【正文】 網絡版客戶端 安裝方法： 網絡版客戶端有多種安裝方式，對于域用戶可以采用自動分發(fā)安裝的方式，使域中的用戶在登陸時自動安裝網絡版的客戶端，也可采用光盤直接安裝，網絡共享安裝 ； 對于非域用戶可以采用網絡共享方式安裝，也可以采用光盤直接安裝 。 網絡版 防病毒系統(tǒng)具有 集中式管理、分布式殺毒的特點， 非常適合大型復雜網絡的部署。 漏洞管理產品能夠提供完整的漏洞管理機制，方便管理者跟蹤、記錄和驗證評估的成效。 32 通過漏洞管理產品將網絡資產按照重要性進行分類，自動周期升級并對網絡資產進行評估，最后自動將風險評估結果自動發(fā)送給相關責任人，大大降低人工維護成本。它從漏洞的整個生命周期著手，在周期的不同階段采取不同的措施，是一個循環(huán)、周期執(zhí)行的工作流程。 通過防火墻和 IPS的聯(lián)合部署，高校校園網絡基本上能防御內外網的攻擊，并能審計、記錄攻擊行為，便于調查攻擊。 IDS 彌補了防火墻的某些設計和功能缺陷，側重網絡監(jiān)控，注重安全審計，適合對網絡安全狀態(tài)的了解， 為了彌補防火墻和 IDS的缺陷，入侵保護系統(tǒng) IPS（ Intrusion Prevention System）作為 IDS的替代產品應運而生。那么，通過 Inter 進來的公眾用戶只能訪問到對外公開的一些服務（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，并能夠對發(fā)生在網絡中的安全事件進行跟蹤和審計。典型地， 在 Inter 與校園網之間部署一臺防火墻，成為內外網之間一道牢固的安全屏障。如學生瀏覽黃色，暴力網站；在論壇等發(fā)表非法言論；濫用 P2P，在線視頻等，嚴重占用網絡帶寬。當前，尤其針對 WEB應用的攻擊成為趨勢。 31 應用層安全風險 高校校園網絡中存在大量應用，如 WWW服 務、郵件服務、數據 庫服務等。病毒大多 也是 利用了操作系統(tǒng)本身的漏洞 。 交換機和路由器設備如果配置不當或者配置信息改動，會引起信息的泄露 ， 網絡癱瘓等后果。由于學校對 INTERNET開放了 WWW、 EMAIL等服務，如果控制不好，這些服務器有面臨黑客攻擊的危險。 如果在網絡邊界上沒有強有力的控制，則 網絡之間的非法訪問或者惡意破壞就 無法避免 。 數據在 網絡 傳輸過程中，如果不采取保護措施，就有可能被竊聽、篡改和破壞，如采用搭線竊聽、在交換機或集線器上連接一個竊聽設備等。 (3)因電磁輻射造成信息泄露； (4)地震、火災、水災等自然災害。 ． 1 物理層安全風險 網絡的物理層安全風險主要指網絡周邊環(huán)境和物理特性引起的網絡設備和線路的阻斷，進而造成網絡系統(tǒng)的阻斷 。要知道如何防護，首先需要了解安全風險來自于何處。它在互聯(lián)網的作用是：把域名轉換成為網絡可以識別的 ip地址 ；也 可以把我們輸入的好記的域名轉換為要訪問的服務器的 IP地址 。 DNS服務器的配置 圖 4 5 配置域名 。 SMTP（ Simple Mail Transfer Protocol）即簡單郵件傳輸協(xié)議 ,它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉方式。使用 FTP時必須首先登錄，在遠程主機上獲得相應的權限以后，方可上傳或下載文件。 在 FTP的使用當中，用戶經常遇到兩個概念： 下載 （ Download）和 上 傳 （ Upload）。 通過萬維網，人們只要通過使用簡單的方法，就可以很迅速方便地取得豐 富的信息資料。 應用服務器的設計 Web 服務器的配置 28 圖 4 2 配置 Web服務器的地址 ，以及設置其權限；為了方便訪問 服務器，以及訪問學校的網頁。 ADSL傳輸特點 ： 1）連接速率高： ADSL支持的常用下行速率高達 8Mbps，是普通 56K調制解調 器的 150倍，上行也達 1Mbps； 2）性能穩(wěn)定：由于 ADSL采用自適應信道的調制方式，在一段頻率內選出若干 不受干擾效果最好的頻點，而且當某一頻點被干擾后會自動跳到其他頻點，因此很少 “ 掉線 ” 。 ADSL上網也通過電話線路，但不需要撥號。 4. ACL 的配置 網內所有主機均能訪問 服務器、 ftp服務器（在核心交換機上 ） Switch(config)accesslist 100 permit tcp any eq 80 Switch(config)accesslist 100 permit tcp any eq 21 Switch(config)int fa0/23 Switch(configif)ip accessgroup 100 out 其他區(qū)不能訪問辦公區(qū) SwitchC(config)accesslist 1 deny any SwitchC(config)int fa0/2 SwitchC(configif)ip accessgroup 100 in 27 圖 4 1 Inter的方式 目前校園網接入 Inter的方式主要有：光纖、 DDN、 ISDN、 ADSL等。 標準訪問控制列表：過濾基于源地址、允許或拒絕整個協(xié)議族、范圍（ 199）。 類型 描述 特征 靜態(tài) NAT 手工配置 NAT轉換表 一對一轉換 內部主機地址被一對一映射到外部主機地址 動態(tài) NAT 定義地址池，動態(tài)創(chuàng)建 NAT映射表 一 對一轉換 內部主機使用地址池中的公網地址來映射 端口復用PAT 多對一轉換 通過端口標識不同數據流 內部多個私有地址通過不同的端口被映射到一個公網地址 表 4 9 在防火墻上公網地址 accesslist 10 permit any ip nat inside source list 10 interface FastEther0/24 overload interface FastEther0/2 ip nat outside interface FastEther0/3 ip nat inside ip nat pool sziitnatpool mask ip nat inside source list 1 pool sziitnatpool interface FastEther0/2 ip nat outside interface FastEther0/3 ip nat insid ACL訪問控制列表 26 ACL（ Access Control Lists，訪問控制列表），也稱為訪問列表（ Access Lists），俗稱為防火墻，在有的文檔中還稱之為包過濾、允許通過或丟棄 。 表 4 6 優(yōu)點 缺點 靜態(tài)路由 route的CPU負擔 、支持廣泛 ，管理員要所有的routers上手動修改路由表，配置維護復雜 動態(tài)路由 不夠安全 不受網絡規(guī)模的限制 24 占用 CPU、內存和鏈路帶寬 需要掌握高級的知識和技能 自動根據網絡拓撲發(fā)生變化進行調整 簡單和復雜拓撲均適合 默認路由 比較方便 默認路由，用于 INTERNET連接，安全性不好 表 4 7 按類別分 有類別 RIPv IGRP、不攜帶 子網掩碼 無類別 在同一網絡中有不同子網、支持手動匯總 按應用范圍分 內部 RIPv OSPF 一個自治系統(tǒng) 同一管理范圍內 外部 BGP4 按算法分 距離矢量型 RIP、 IGRP 鏈路狀態(tài)型 OSPF、 ISIS 高級距離矢量型 EIGRP 表 4 8 設置路由的原因 1) 實現內外部間的通信 2) 是網絡更為安全 3) 轉發(fā) IP數據報，選擇路徑 4) 抑制廣播風暴 核心層路由的設計 Switch1(config) router ospf 1 work 0 area 0 work 0 area 0 work 0 area 0 work 0 area 0 (Switch2中將 vlan400改為 vlan500即可 ) 匯聚層路由的設計 SwitchA(config) router ospf 1 work area 0 work area 0 work area 0 work area 0 work 0 area 0 work 0 area 0 work 0 area 0 SwitchB(config) router ospf 1 work area 0 work area 0 25 work 0 area 0 SwitchC(config) router ospf 1 work area 0 work area 0 work 0 area 0 NAT網絡地址轉換 NAT稱為網絡地址轉換，用來修改 IP數據包中的源、目的地址。 動態(tài)路由的應用場合 可以應用在任意場和之中， 默認路由的應用場合 在公司網絡中，連接到 ISP網絡的邊緣路由器上往往會配置默認路由。 動態(tài)路由：根據網絡結構或流量的變化，路由協(xié)議會自動調整路由信息以實現路由 默認路由：是指路由器在路由表中如果找不到到達目標網絡的明細路 由時，最后會采用的路由。多條物理鏈路之間能夠相互冗余備份，其中任意一條鏈路斷開，不會影響其他鏈路的正常轉發(fā)數據。 1）負載均衡（在匯聚層的交換機上配置） Switchen Switchconf t Switch (config)interface vlan 10 Switch (configif)standby 1 ip 配置虛擬IP Switch (configif)standby 1 preempt 設為搶占模式 Switch (configif)standby 1 priority 254 VLAN10的standby優(yōu)先級設為 254 Switch (config)interface vlan 20 … … … … 2）冗余鏈路 配置 MSTP(在接入層的交換機上配置 ) 簡單來說 ,MSTP就是基于 VLAN的 STP. RGS21A：開啟生成樹，狀態(tài)設為 MSTP，配置實例和版本 switch(config)spanningtree 開啟生成樹 switch (config)spanningtree mode mstp 生成樹類型為多生成樹 switch (config)spanningtree mst configuration 配置多生成樹 switch (configmst)instance 1 VLAN 1015 將 vlan1015放入實例1中 一個實例生成一個樹，該樹可以和其他實例生成的樹的路徑不一樣，達到負載均衡的作用 switch (configmst)revision 1 ！配置多生成樹的版本號 switch (configmst)instance 2 vlan 20,30,40,50 將 vlan 50放入實例 2中 switch (configmst)revision 1 switch (configmst)exit … … 23 … … 以太通道的配置 (核心層的配置兩臺三層交換機上 ) 作用有：交換機之間的傳輸帶寬，并實現鏈路冗余備份。 （ 2）具體設置：只需在一段設置 trunk即可 在三層交換機上設置 trunk： Switchenable 進入特權模式 Switchconfigure terminal 進入 全局 模式 Switch(config)int fa0/1 進入端口 Switch(configif)switchport trunk encapsulation dot1q 封裝 Switch(configif)switchport mode trunk 設置為 trunk口 Switch(configif)exit 退出 在二層交換機上設置 trunk： Switchenable 進入特權模式 Switchconfigure terminal 進入 全局 模式 Swi