【正文】 how portsecurity interface：查看交換機的端口安全接口配置，驗證以上所做的配置。該解決方案與基于端口的MAC地址綁定大體相同，但它是基于MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。VLAN可以把同一個物理網(wǎng)絡劃分為多個邏輯網(wǎng)段，因此，VLAN可以抑制網(wǎng)絡風暴，增強網(wǎng)絡的安全性。下面我們以Cisco交換機進行示例。首先創(chuàng)建VLAN并命名，然后將端口分派給該VLAN。Switchen Switchvlan database在vlan database下創(chuàng)建vlan Switch(vlan)vlan 10 name Math創(chuàng)建vlan并命名VLAN 10 added: Name: MathSwitch(vlan)exAPPLY pleted.Exiting....**大學管理學學士學位論文 第六章 網(wǎng)絡層安全設計方案第六章 網(wǎng)絡層安全設計方案在網(wǎng)絡層的安全保護措施中，我們能夠立即聯(lián)想到的就是防火墻的應用了。網(wǎng)絡邊界防火墻是處于網(wǎng)絡的邊界，用于保護內(nèi)部網(wǎng)絡的。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關(guān)（代理服務器）以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。 包過濾（Packet filtering）防火墻可以在網(wǎng)絡的網(wǎng)絡層、傳輸層，甚至應用層中實現(xiàn)。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)，其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄，而這些信息的來源就是IP、TCP、UDP、ICMP等數(shù)據(jù)包協(xié)議頭。（NAT）防火墻根據(jù)預先定義好的映射規(guī)則來判斷訪問請求是否安全，當符合規(guī)則時，防火墻認為訪問是安全的、可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。所謂的代理防火墻，是指代表客戶處理在服務器連接請求的程序。代理服務器在外部網(wǎng)絡向內(nèi)部網(wǎng)絡服務時發(fā)揮了中間的轉(zhuǎn)接作用。同時，這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡節(jié)點之中，不僅能夠監(jiān)測來自網(wǎng)絡外部的攻擊，同時來自內(nèi)部的惡意破壞也有很強的防范作用。 校園網(wǎng)網(wǎng)絡體系結(jié)構(gòu) Campus network system structure此網(wǎng)絡是指防火墻連接邊界路由器、邊界交換機（一般是指廣域網(wǎng)交換機，大多數(shù)局域網(wǎng)無此設備）的一側(cè)。它通過外圍防火墻將數(shù)據(jù)輸入到外圍網(wǎng)絡。將傳入用戶鏈接到Web服務器或其他服務，Web服務器再通過內(nèi)部防火墻鏈接到內(nèi)部網(wǎng)絡。防火墻檢查傳入IP數(shù)據(jù)包并且阻止那些它檢測為入侵性質(zhì)的數(shù)據(jù)包。或者，也可以獎防火墻配置為阻止某些數(shù)據(jù)包。因此有許多的缺點。這是因為內(nèi)部通信的合法目的地可能是內(nèi)部網(wǎng)絡中的任何服務器，因為更難控制。網(wǎng)絡設備開發(fā)商，利用這一技術(shù)，開發(fā)出了相應的防火墻解決方案。網(wǎng)絡結(jié)構(gòu)如圖62所示。同時它提供了一個區(qū)域放置公共服務器，從而又能有效地避免一些互聯(lián)應用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。在這個防火墻方案中，包括兩個防火墻，外部防火墻抵擋外部網(wǎng)絡的攻擊，并管理所有內(nèi)部網(wǎng)絡對DMZ的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡的第三道安全防線(前面有了外部防火墻和堡壘主機)，當外部防火墻失效的時候，它還可以起到保護內(nèi)部網(wǎng)絡的功能。在這樣的結(jié)構(gòu)里，一個黑客必須通過三個獨立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機)才能夠到達局域網(wǎng)。根據(jù)現(xiàn)在防火墻的主流產(chǎn)品我們選用Cisco ASA5510系列的產(chǎn)品進行介紹：根據(jù)上圖配置步驟：一、密碼配置Ciscoasa(config)passwd 123456用于telnet登陸ASA的密碼Ciscoasa(config)enable password 123456 進入enable特權(quán)模式的密碼Ciscoasa(config)hostname ASA5510設備命名二、接口配置Ciscoasa(config)interface Ethernet0/1進入e0/1接口配置模式Ciscoasa(configif)nameif outside 將該接口命名為outsideCiscoasa(config)interface Ethernet0/2 進入e0/2接口配置模式Ciscoasa(configif)nameif inside 將該接口命名為insideCiscoasa(config)interface Ethernet0/3 進入e0/3接口配置模式Ciscoasa(configif)nameif dmz 將該接口命名為dmz一般的情況將E0/1命為外網(wǎng)接口，將E0/2命為內(nèi)網(wǎng)接口，將E0/3命名為DMZ接口。Ciscoasa(configif)ip address .*.* Ciscoasa(configif)shutdown/no shutdown Ciscoasa(config)route inside 意思為：，Ciscoasa(config)route outside 創(chuàng)建一條外網(wǎng)默認路由，（NAT）配置NAT實現(xiàn)的方式有三種：動態(tài)NAT 、靜態(tài)NAT、PAT動態(tài)NAT：指將內(nèi)部網(wǎng)絡私有IP地址轉(zhuǎn)換為公有IP地址，IP地址不確定，是隨機的，所有被授權(quán)訪問internet的私有IP地址可隨機轉(zhuǎn)換為任何指定合法IP地址。靜態(tài)NAT：指IP地址一對一的轉(zhuǎn)換。內(nèi)部所有網(wǎng)絡均可以共享一個合法外部IP地址實現(xiàn)對internet的訪問，從而可以最大限度節(jié)約IP地址資源。因此，做NAT時推薦用PAT。語法：Ciscoasa(config)accesslist listname extended permit tcp/udp any hsot outside_address eq port_numlist_name:訪問控制列表名稱tcp/udp:需要映射的協(xié)議類型port_num:需要映射的端口號Ciscoasa(config)static (inside,outside) tcp/udp interface port_num local_address port_num netmask Tcp/udp:需要映射的協(xié)議類型port_num：映射前的端口號local_address：映射后的內(nèi)網(wǎng)主機IP地址port_num：映射后的端口號例如：Ciscoasa(config)accesslist 100 extended permit tcp any host .*.* eq 80.*.*的tcp 80端口Ciscoasa(config)static (inside,outside) tcp interface 80 80 netmask 80端口Ciscoasa(config)accessgroup 100 in intercae outside peruseroverride訪問必須調(diào)用ACL備注如果，只是需要將內(nèi)網(wǎng)一個服務器映射到公網(wǎng)可以這樣做ciscoasa(config)static (inside, outside) .*.* ciscoasa(config)static (inside, outside) .*.* 10000 10 后面的10000為限制連接數(shù)，10為限制的半開連接數(shù)。 配置訪問控制列表216。ciscoasa(config)accesslist list_name standard deny/permit des_address netmask list_name:標準訪問控制列表的名稱（199） deny/permit：阻止或是允許符合此條規(guī)則的流量 des_address ：需要做控制的目的地址 netmask:需要做控制的目的地址的掩碼ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:標準訪問控制列表的名稱interface_name:調(diào)用控制列表的接口名擴展訪問控制列表ciscoasa(config)accesslist listname extended deny/permit tcp/udp sour_address sour_mask des_address des_mask eq port_numlistname:擴展訪問控制列表名稱deny/permit:拒絕/允許符合此條規(guī)則的流量tcp/udp：此條規(guī)則匹配的協(xié)議sour_address：此條規(guī)則匹配的源地址sour_mask：此條規(guī)則匹配的源地址掩碼des_address：此條規(guī)則匹配目的地址des_mask：此條規(guī)則匹配目的地址掩碼port_num：此條規(guī)則匹配的端口號ciscoasa(config)accessgroup list_name in/out interface interface_namein/out:調(diào)用接口的入與出口向interface_name：調(diào)用控制列表的接口名例句：ciscoasa(config) accesslist 400 extended deny udp eq 80 ciscoasa(config)accessgroup 400 in interface inside 防火墻工作狀態(tài)調(diào)試Ciscoasa show runningconfig查看當前ASA配置Ciscoasa show cpu usage可查看CPU使用率(正常應該在80%以下)Ciscoasashow memory內(nèi)存使用：Ciscoasashow conn count Xlate 表大小Ciscoasashow interface interface_name端口狀態(tài)Ciscoasaping ip_address(ip地址) Ping驗證防火墻的連接性Ciscoasashow route查看路由表Ciscoasashow accesslist ASA防火墻ACL檢查**大學管理學學士學位論文 第七章 WLAN安全設計方案第七章 WLAN安全設計方案無線局域網(wǎng)（WLAN）技術(shù)于20世紀90年代逐步成熟并投入商用，既可以作傳統(tǒng)有線網(wǎng)絡的延伸，在某些環(huán)境也可以替代傳統(tǒng)的有線網(wǎng)絡。上海絕大部分地方也實現(xiàn)覆蓋。216。 靈活性無線技術(shù)使得WLAN設備可以靈活的進行安裝并調(diào)整位置，使無線網(wǎng)絡達到有線網(wǎng)絡不易覆蓋的區(qū)域；216。同時，由于WLAN技術(shù)本身就是面向數(shù)據(jù)通信領(lǐng)域的IP傳輸技術(shù)，因此可直接通過百兆自適應網(wǎng)口和企業(yè)、學校內(nèi)部Intranet相連，從體系結(jié)構(gòu)上節(jié)省了協(xié)議轉(zhuǎn)換器等相關(guān)設備；216。在這里就不在贅述。 對于辦公室局部無線用戶而言，無線覆蓋范圍較小，接入用戶數(shù)量也比較少，沒有專業(yè)的管理人員，對網(wǎng)絡安全性的要求相對較低。 在學校園區(qū)無線網(wǎng)絡環(huán)境中，考慮到網(wǎng)絡覆蓋范圍以及終端用戶數(shù)量，AP和無線網(wǎng)卡的數(shù)量必將大大增加，同時由于使用的用戶較多，安全隱患也相應增加，此時簡單的WPAPSK已經(jīng)不能滿足此類用戶的需求。具體安全劃分及技術(shù)方案選擇如表71所示。IEEE 標準中主要包含加密技術(shù)：TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard)，以及認證協(xié)議： ?！猈PA2PSK＋AP隱藏基礎(chǔ)安全主要應用于小型辦公網(wǎng)絡，比如教師辦公室，因為布線相對于無線來說要復雜的多，采用無線相對要方便。下面我們以騰達無線路由器來示例無線加密配置的方法。默認地址是：，因產(chǎn)品而異。： 路由器登入界面 router interface 第二步：點擊無線設置→無線安全選擇加密方式，有三種方式可選：，選擇好加密方式和填寫好密碼之后，確定就可以了。我們可以限定上傳和下載的帶寬，控制個別用戶占用帶寬。一面非法諸如的非法接入。Fig Hidden AP and configuration SSID——＋Radius認證WLAN的中級安全主要應用于校園網(wǎng)內(nèi)部，學生對無線進行認證上網(wǎng)，（如EAPTLS）可以滿足WLAN大部分的安全需求。 無線客戶端該組件是運行需要訪問網(wǎng)絡資源的應用程序的計算機或設備。216。AP還可安全地與客戶端共享加密密鑰，以確保網(wǎng)絡通信流的安全。216。此外，還可收集客戶端訪問網(wǎng)絡的記賬信息和審核信息。 216。 WLAN安全性必須配置兩個主要的軟件解決方案組件。其二是客戶端計算機的Active組策略。遠程訪問策略通過無線AP強制訪問網(wǎng)絡，連接請求策略確定如何處理來自各種配置為Radius客戶端的無線AP的Radius請求。該組策略影響客戶端與無線AP、Radius服務器和其他無線網(wǎng)絡的交互。策略文件、策略權(quán)限和策略配置文件，如下表72遠程范維根策略條件和表73遠程訪問策略配置文件選項所示表 72 遠程訪問策略條件 Remote access strategies conditions策略條件匹配條件備注NAS端口類型無線其他，該條件可識別老師無線AP硬件的傳入請求Windows組“遠程訪問策略——無線訪問”安全組的成員資格這是一種域通用安全組，包含了嵌套的用戶和計算機（可訪問WLAN）全劇組該解決方案中遠程訪問策略的策略權(quán)限設置為“授予”，用戶賬戶配置了通過“遠程訪問策略控制訪