網(wǎng)絡(luò)安全方案設(shè)計

西安文理學(xué)院計算機(jī)科學(xué)系課程設(shè)計報告-PAGEI-第一章校園網(wǎng)安全隱患分析1.1校園內(nèi)網(wǎng)安全分析1.1.1BUG影響目前使用的軟件尤其是操作系統(tǒng)或多或少都存在安全漏洞,對網(wǎng)絡(luò)安全構(gòu)成了威脅。現(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、WindowsNTP2000、Linux等,這些系統(tǒng)安全風(fēng)險級別不同,UNIX因其技術(shù)較復(fù)雜通常會導(dǎo)致一些高級黑客對其進(jìn)行攻擊;而WindowsNTP2000操作系統(tǒng)由于得到了廣泛的普及,加上其自身安全漏洞較多,因此,導(dǎo)致它成為較不安全的操作系統(tǒng)。在去年一段時期、沖擊波病毒比較盛行,沖擊波”這個利用微軟RPC漏洞進(jìn)行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶,使他們的計算機(jī)無法工作并反復(fù)重啟,該病毒還引發(fā)了DoS攻擊,使多個國家的互聯(lián)網(wǎng)也受到相當(dāng)影響。1.1.2設(shè)備物理安全設(shè)備物理安全主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、工作站、電源等,它們分布在整個校園內(nèi),管理起來非常困難。個別人可能出于各種目的,有意或無意地?fù)p壞設(shè)備,這樣會造成校園網(wǎng)絡(luò)全部或部分癱瘓。1.1.3設(shè)備配置安全設(shè)備配置安全是指在設(shè)備上要進(jìn)行必要的一些設(shè)置(如服務(wù)器、交換機(jī)、防火墻、路由器的密碼等),防止黑客取得硬件設(shè)備的控制權(quán)。許多網(wǎng)管往往由于沒有在服務(wù)器、路由器、防火墻或可網(wǎng)管的交換機(jī)上設(shè)置必要的密碼或密碼設(shè)置得過于簡單易猜,導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過網(wǎng)絡(luò)輕易取得對服務(wù)器、交換機(jī)、路由器或防火墻等網(wǎng)絡(luò)設(shè)備的控制權(quán),然后肆意更改這些設(shè)備的配置,嚴(yán)重時甚至?xí)?dǎo)致整個校園網(wǎng)絡(luò)癱瘓。1.1.4管理漏洞一個健全的安全體系,實(shí)際上應(yīng)該體現(xiàn)的是“三分技術(shù)、七分管理”,網(wǎng)絡(luò)的整體安全不是僅僅依賴使用各種技術(shù)先進(jìn)的安全設(shè)備就可以實(shí)現(xiàn)的,更重要的是體現(xiàn)在對人、對設(shè)備的安全管理以及一套行之有效的安全管理制度,尤其重要的是加強(qiáng)對內(nèi)部人員的管理和約束,由于內(nèi)部人員對網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解,若不加強(qiáng)管理,一但有人出于某種目的破壞網(wǎng)絡(luò),后果將不堪設(shè)想。IP地址盜用、濫用是校園網(wǎng)必須加強(qiáng)管理的方面,特別是學(xué)生區(qū)、機(jī)房等。IP配置不當(dāng)也會造成部分區(qū)域網(wǎng)絡(luò)不通。如在學(xué)生學(xué)習(xí)機(jī)房,有學(xué)生不甚將自己的計算機(jī)的IP地址設(shè)成本網(wǎng)段的網(wǎng)關(guān)地址,這會導(dǎo)致整個學(xué)生機(jī)房無法正常訪問外網(wǎng)。1.1.5無線局域網(wǎng)的安全威脅利用WLAN進(jìn)行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品，它的安全隱患主要有以下幾點(diǎn)：未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無線局域網(wǎng)的開放式訪問方式，非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源，不僅會占用寶貴的無線信道資源，增加帶寬費(fèi)用，還會降低合法用戶的服務(wù)質(zhì)量。地址欺騙和會話攔截目前有很多種無線局域網(wǎng)的安全技術(shù)，包括物理地址(MAC)過濾、服務(wù)集標(biāo)識符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面對如此多的安全技術(shù)，應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題，才能滿足用戶對安全性的要求。在無線環(huán)境中，非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。另外，由于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證，攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過會話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。另外，由于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證，攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲取合法用戶的鑒別身份信息，通過會話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。一旦攻擊者侵入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡(luò)，整個網(wǎng)絡(luò)就將暴露在非法用戶面前。1.2校園外網(wǎng)安全分析1.2.1黑客攻擊有的校園網(wǎng)同時與CERNET、Internet相連,有的通過CERNET與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風(fēng)險。黑客攻擊活動日益猖獗,成為當(dāng)今社會關(guān)注的焦點(diǎn)。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不僅來自校園網(wǎng)外部,還有相當(dāng)一部分來自校園網(wǎng)內(nèi)部,由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來自內(nèi)部的安全威脅會更大一些。1.2.2不良信息傳播在校園網(wǎng)接入Internet后,師生都可以通過校園網(wǎng)絡(luò)進(jìn)入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對人生觀、世界觀正在形成中的學(xué)生危害非常大。特別是中小學(xué)生,由于年齡小,分辨是非和抵御干擾能力較差,如果不采取切實(shí)可行安全措施,勢必會導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。1.2.3病毒危害學(xué)校接入廣域網(wǎng)后,給大家?guī)矸奖愕耐瑫r,也為病毒進(jìn)入學(xué)校之門提供了方便,下載的程序、電子郵件都可能帶有病毒。隨著校園內(nèi)計算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,這些節(jié)點(diǎn)大都沒有采取安全防護(hù)措施,隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、甚至系統(tǒng)癱瘓等嚴(yán)重后果。

第二章設(shè)計簡介及設(shè)計方案論述2.1校園網(wǎng)安全措施2.1.1防火墻網(wǎng)絡(luò)信息系統(tǒng)的安全應(yīng)該是一個動態(tài)的發(fā)展過程，應(yīng)該是一種檢測，安全，響應(yīng)的循環(huán)過程。動態(tài)發(fā)展是網(wǎng)絡(luò)系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全監(jiān)控和入侵檢測產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。網(wǎng)絡(luò)監(jiān)控系統(tǒng)是實(shí)時網(wǎng)絡(luò)自動違規(guī)、入侵識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時截獲網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時報警、事件登錄或執(zhí)行用戶自定義的安全策略等。1系統(tǒng)組成網(wǎng)絡(luò)衛(wèi)士監(jiān)控器：一臺，硬件監(jiān)控系統(tǒng)軟件：一套PC機(jī)（1臺，用于運(yùn)行監(jiān)控系統(tǒng)軟件）2主要功能實(shí)時網(wǎng)絡(luò)數(shù)據(jù)流跟蹤、采集與還原網(wǎng)絡(luò)監(jiān)控系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)之上，實(shí)時監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會話軌跡。如：E－MAIL：監(jiān)視特定用戶或特定地址發(fā)出、收到的郵件；記錄郵件的源及目的IP地址、郵件的發(fā)信人與收信人、郵件的收發(fā)時間等。HTTP：監(jiān)視和記錄用戶對基于Web方式提供的網(wǎng)絡(luò)服務(wù)的訪問操作過程（如用戶名、口令等）。FTP：監(jiān)視和記錄訪問FTP服務(wù)器的過程（IP地址、文件名、口令等）。TELNET：監(jiān)視和記錄對某特定地址主機(jī)進(jìn)行遠(yuǎn)程登錄操作的過程。提供智能化網(wǎng)絡(luò)安全審計方案網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠?qū)Υ罅康木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析處理和過濾，生成按用戶策略篩選的網(wǎng)絡(luò)日志，大大減少了需要人工處理的日志數(shù)據(jù)，使系統(tǒng)更有效。支持用戶自定義網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全事件3主要技術(shù)特點(diǎn)采用透明工作方式，它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流，對網(wǎng)絡(luò)通訊不附加任何延時，不影響網(wǎng)絡(luò)傳輸?shù)男??？刹捎眉泄芾淼姆植际焦ぷ鞣绞?，能夠遠(yuǎn)程監(jiān)控?？梢詫γ總€監(jiān)控器進(jìn)行遠(yuǎn)程配置，可以監(jiān)測多個網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測。網(wǎng)絡(luò)監(jiān)控系統(tǒng)能進(jìn)行運(yùn)行狀態(tài)實(shí)時監(jiān)測，遠(yuǎn)程啟停管理。2.1.2防病毒為了有效的防止病毒對系統(tǒng)的侵入，必須在系統(tǒng)中安裝防病毒軟件，并指定嚴(yán)格的管理制度，保護(hù)系統(tǒng)的安全性。1應(yīng)用狀況一臺專用服務(wù)器（NTSERVER）、一臺代理郵件服務(wù)器（NTSERVER&PROXYSERVER,ExchangeServer），一臺WWWSERVER，一臺數(shù)據(jù)庫SERVER，100-200臺客戶機(jī)。2系統(tǒng)要求能防止通過PROXYSERVER從Internet下載文件或收發(fā)的E-mail內(nèi)隱藏的病毒，并對本地的局域網(wǎng)防護(hù)的作用。3解決方案采用的防病毒產(chǎn)品如表2-1所示。表2-1防病毒產(chǎn)品清單所需軟件的名稱安裝場所數(shù)量保護(hù)對象ServerProtectforNTServerNTServer每臺NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客戶機(jī)數(shù)量HTTPFTP、用瀏覽器下開載的程序ScanMailforExchangeServerExchangeServer按客戶機(jī)數(shù)量有E-Mail的用戶OfficeScancorp各部門的NT域服務(wù)器按客戶機(jī)數(shù)量自動分發(fā)、更新、實(shí)時監(jiān)察客戶機(jī)以下是選用以上Trend公司產(chǎn)品的說明：在NT主域控制器和備份域上均采用ServerProtecforWindowsNT保護(hù)NT服務(wù)器免受病毒的侵害。另鑒于客戶有100-200臺客戶機(jī)，客戶端的病毒軟件的安裝和病毒碼更新等工作，造成MIS人員管理上的超負(fù)荷，因此推薦采用OfficeScanCorporatcEdition企業(yè)授權(quán)版OfficeScanCorporateIdition能讓MIS人員通過管理程序進(jìn)行中央控管，軟件的分派（自動安裝，自動更新病毒碼、軟件的自動升級）。另外在外接Internet和郵件服務(wù)器上，采用InterScanWebProtect和ScanMailForExchange此兩種軟件是目前唯一能從國際互聯(lián)網(wǎng)絡(luò)攔截病毒的軟件。設(shè)計的理念是，在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的入口處-Internet服務(wù)器或網(wǎng)關(guān)（Gateway）上安裝此軟件，它可以隨時監(jiān)控網(wǎng)關(guān)中的ETP、電子郵件傳輸和Web網(wǎng)頁所下載的病毒和惡性程序，并有文件到達(dá)網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行掃描偵測出來。2.1.3無線網(wǎng)絡(luò)安全措施針對校園應(yīng)用的安全解決方案，從校園用戶角度而言，隨著無線網(wǎng)絡(luò)應(yīng)用的推進(jìn)，管理員需要更加注重?zé)o線網(wǎng)絡(luò)安全的問題，針對不同的用戶需求，H3C提出一系列不同級別的無線安全技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE802.11i，從MAC地址過濾到IEEE802.1x安全認(rèn)證技術(shù)，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級別的安全需求。對于辦公室局部無線用戶而言，無線覆蓋范圍較小，接入用戶數(shù)量也比較少，沒有專業(yè)的管理人員，對網(wǎng)絡(luò)安全性的要求相對較低。通常情況下不會配備專用的認(rèn)證服務(wù)器，這種情況下，可直接采用AP進(jìn)行認(rèn)證，WPA-PSK+AP隱藏可以保證基本的安全級別。在學(xué)校園區(qū)無線網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量，AP和無線網(wǎng)卡的數(shù)量必將大大增加，同時由于使用的用戶較多，安全隱患也相應(yīng)增加，此時簡單的WPA-PSK已經(jīng)不能滿足此類用戶的需求。如表中所示的中級安全方案使用支持IEEE802.1x認(rèn)證技術(shù)的AP作為無線網(wǎng)絡(luò)的安全核心，使用H3C虛擬專用組(VertualPrivateGroup)管理器功能并通過后臺的Radius服務(wù)器進(jìn)行用戶身份驗證，有效地阻止未經(jīng)授權(quán)的用戶接入，并可對用戶權(quán)限進(jìn)行區(qū)分。如果應(yīng)用無線網(wǎng)絡(luò)構(gòu)建校園的辦公網(wǎng)絡(luò)，此時無線網(wǎng)絡(luò)上承載的是工作業(yè)務(wù)信息，其安全保密性要求較高，因此用戶認(rèn)證問題就顯得更加重要。如果不能準(zhǔn)確可靠地進(jìn)行用戶認(rèn)證，就有可能造成帳號盜用、非法入侵的問題，對于無線業(yè)務(wù)網(wǎng)絡(luò)來說是不可以接受的。專業(yè)級解決方案可以較好地滿足用戶需求，通過H3C虛擬專用組(VPG)管理器功能、IEEE802.11i加密、Radius的用戶認(rèn)證確保高安全性。具體安全劃分及技術(shù)方案選擇如表2-2所示。表2-2安全劃分及技術(shù)方法選擇安全級別典型場合使用技術(shù)初級安全辦公室局部無線用戶WPA-PSK＋AP隱藏中級安全學(xué)校園區(qū)無線網(wǎng)IEEE802.1x認(rèn)證＋TKIP加密+VPG管理專業(yè)級安全無線校園辦公網(wǎng)VPG管理＋I(xiàn)EEE802.11i＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容，IEEE802.11工作組開發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長遠(yuǎn)角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及認(rèn)證協(xié)議：IEEE802.1x。IEEE802.11i標(biāo)準(zhǔn)已在2004年6月24美國新澤西的IEEE標(biāo)準(zhǔn)會議上正式獲得批準(zhǔn)。2.2H3C無線校園網(wǎng)的安全策略針對目前無線校園網(wǎng)應(yīng)用中的種種安全隱患，H3C的無線局域網(wǎng)產(chǎn)品體系能夠提供強(qiáng)有力的安全特性，除了傳統(tǒng)無線局域網(wǎng)中的安全策略之外，還能夠提供更加精細(xì)的管理措施。2.2.1可靠的加密和認(rèn)證、設(shè)備管理能夠支持目前802.11小組所提出的全部加密方式，包括高級WPA256位加密(AES)，40/64位、128位和152位WEP共享密鑰加密，WPATKIP，特有的128位動態(tài)安全鏈路加密，動態(tài)會話密鑰管理。802.1x認(rèn)證使用802.1xRADIUS認(rèn)證和MAC地址聯(lián)合認(rèn)證，確保只有合法用戶和客戶端設(shè)備才可訪問網(wǎng)絡(luò)；WPATKIP認(rèn)證采用EAP-MD5，EAP-TLS和PEAP協(xié)議，擴(kuò)展的證書認(rèn)證功能更加保證用戶身份的嚴(yán)格鑒定。支持通過本地控制臺或通過SSL或HTTPS集中管理Web瀏覽器；通過本地控制臺或通過SSHv2或Telnet遠(yuǎn)程管理的命令行界面；并可通過無線局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。2.2.2用戶和組安全配置和傳統(tǒng)的無線局域網(wǎng)安全措施一樣，H3C無線網(wǎng)絡(luò)可以依靠物理地址(MAC)過濾、服務(wù)集標(biāo)識符(SSID)匹配、訪問控制列表(ACL)來提供對無線客戶端的初始過濾，只允許指定的無線終端可以連接AP。同時，傳統(tǒng)無線網(wǎng)絡(luò)也存在它的不足之處。首先，它的安全策略依賴于連接到某個網(wǎng)絡(luò)位置的設(shè)備上的特定端口，對物理端口和設(shè)備的依賴是網(wǎng)絡(luò)工程的基礎(chǔ)。例如，子網(wǎng)、ACL以及服務(wù)等級(CoS)在路由器和交換機(jī)的端口上定義，需要通過臺式機(jī)的MAC地址來管理用戶的連接。H3C采用基于身份的組網(wǎng)功能，可提供增強(qiáng)的用戶和組的安全策略，針對特殊要求創(chuàng)建虛擬專用組(VertualPrivateGroup)，VLAN不再需要通過物理連接或端口來實(shí)施，而是根據(jù)用戶和組名來區(qū)分權(quán)限。并且，H3C無線網(wǎng)絡(luò)可以對無線局域網(wǎng)進(jìn)行前所未有的控制和觀察，監(jiān)視工具甚至可以跟蹤深入到個人的信息(無論他的位置在哪里)，網(wǎng)絡(luò)標(biāo)識基于用戶而不是基于物理端口或位置。其次，H3C無線網(wǎng)絡(luò)簡化了SSID支持，不再需要多個SSID來支持漫游和授權(quán)策略；單個SSID足以支持漫游、跨子網(wǎng)漫游或包括VLAN或子網(wǎng)成員資格的授權(quán)策略。大量的可配置監(jiān)視工具用于收集用戶數(shù)據(jù)(例如位置、訪問控制和安全設(shè)置)和識別用戶身份。此外，使用H3C虛擬專用組(VertualPrivateGroup)管理器功能，可以為用戶和組分配特定的安全和訪問策略，從而獲得最大的靈活性，同時增強(qiáng)網(wǎng)絡(luò)安全性并顯著縮短管理時間。用戶不僅可更改單個用戶設(shè)置，還可以只通過簡單的幾次擊鍵操作即可從中央管理控制臺方便地配置相似的用戶組、AP組，而不必逐個配置AP。2.2.3非法接入檢測和隔離H3C無線網(wǎng)絡(luò)可自動執(zhí)行的AP射頻掃描功能通過標(biāo)識可去除非法AP，使管理員能更好地查看網(wǎng)絡(luò)狀況，提高對網(wǎng)絡(luò)的能見度。非法AP通過引入更多的流量來降低網(wǎng)絡(luò)性能，通過嘗試獲取數(shù)據(jù)或用戶名來危及網(wǎng)絡(luò)安全或者欺騙網(wǎng)絡(luò)以生成有害的垃圾郵件、病毒或蠕蟲。任何網(wǎng)絡(luò)中都可能存在非法AP，但是網(wǎng)絡(luò)規(guī)模越大就越容易受到攻擊。為了消除這種威脅，可以指定某些AP充當(dāng)射頻“衛(wèi)士”，其方法是掃描無線局域網(wǎng)來查找非法AP位置，記錄這些位置信息并采取措施以及為這些位置重新分配信道以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會檢測并調(diào)整引起射頻干擾的其他來源，例如微波爐和無繩電話。并且，射頻監(jiān)測配合基于用戶身份的組網(wǎng)，不但可使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表(ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容，還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務(wù)以及他們曾經(jīng)使用過哪些服務(wù)。2.2.4監(jiān)視和告警H3C無線網(wǎng)絡(luò)體系提供了實(shí)時操作信息，可以快速檢測到問題，提高網(wǎng)絡(luò)的安全性并優(yōu)化網(wǎng)絡(luò)，甚至還可以定位用戶。網(wǎng)絡(luò)管理應(yīng)用程序針對當(dāng)今的動態(tài)業(yè)務(wù)而設(shè)計，它提供了配置更改的自動告警功能。向?qū)Ы缑嫣峁┝思磿r提示，從而使得管理員能夠快速針對沖突做出更改。通過使用軟件的移動配置文件功能，管理者可以在用戶或用戶組漫游整個無線局域網(wǎng)時控制其訪問資源的位置。此外，位置策略能夠根據(jù)用戶的位置來阻止或允許對特殊應(yīng)用程序的訪問。

第三章詳細(xì)設(shè)計網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃是一個系統(tǒng)建立和優(yōu)化的過程，建設(shè)網(wǎng)絡(luò)的根本目的是在Internet上進(jìn)行資源共享與通信。要充分發(fā)揮投資網(wǎng)絡(luò)的效益，需求設(shè)計成為網(wǎng)絡(luò)規(guī)劃建設(shè)中的重要內(nèi)容，網(wǎng)絡(luò)平臺中主要有針對學(xué)校建筑群而設(shè)計出的拓?fù)鋱D，有互聯(lián)網(wǎng)設(shè)備（主交換機(jī)、路由器、二級交換機(jī)、服務(wù)器等）。校園內(nèi)部網(wǎng)絡(luò)采用共享或者交換式以太網(wǎng)，選擇中國科研教育網(wǎng)接入Internet，校際之間通過國際互聯(lián)網(wǎng)的方式互相連接。同時采取相應(yīng)的措施，確保通訊數(shù)據(jù)的安全、保密。另外為了防止這個校區(qū)內(nèi)病毒的傳播、感染和破壞，我們在校園網(wǎng)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防毒措施，部署防毒組件，規(guī)劃如下：在學(xué)校服務(wù)上安裝服務(wù)器端殺毒軟件；在行政、教學(xué)單位的各個分支分別安裝客戶端殺毒軟件；學(xué)校的網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作，分發(fā)殺毒軟件的升級文件（包括病毒定義碼、掃描引擎、程序文件等）到校內(nèi)所有用機(jī)，并對殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。3.1ISA軟件防火墻的配置校園網(wǎng)內(nèi)的軟件防火墻采用ISAServe，之所以采用防火墻，是因為ISAServer是一種新型的應(yīng)用層防火墻，避免服務(wù)的弱點(diǎn)及漏洞的攻擊，同時支持VPN功能及充當(dāng)Web代理服務(wù)器，并能提供詳細(xì)的日志報告。安裝示意圖如圖3-1所示。圖3-1ISA安裝示意圖3.1.1基本配置通過ISAServe中的ISAManagement項中的Services標(biāo)簽，啟動集成模式中的三個服務(wù)，就可以使用ISA的所有默認(rèn)功能。同時須打開IPRouting功能、訪問權(quán)限功能、訪問策略功能、統(tǒng)一管理等。3.1.2限制學(xué)校用機(jī)的上網(wǎng)首先要定義組，通過在ISAServer軟件防火墻的ClientAddressSets標(biāo)簽中新建一個組名的標(biāo)識，按照機(jī)房用機(jī)的IP地址范圍進(jìn)行添加，在ProtocolRules中選中協(xié)議規(guī)則后切換到Appliesto標(biāo)簽，選中ClientAddressSetsspecifiedbelow，加入設(shè)定的組即可。這樣就可以先知學(xué)校其他用機(jī)隨意上網(wǎng)。3.1.3檢測外部攻擊及入侵可以通過配置ISAServer來監(jiān)測常見的校園網(wǎng)絡(luò)攻擊。在ISAServe中啟用入侵檢測后，ISAServer一檢測到攻擊，就會向Windows2000事件日志中發(fā)消息。要啟用ISAServer的入侵檢測功能，應(yīng)在ISAServer管理窗口中選擇服務(wù)器名稱中的IPPacketFiltersProperties選項，勾選EnableIntrusiondetection，即打開ISAServer的入侵檢查功能。3.1.4校園網(wǎng)信息過濾配置校園網(wǎng)中擬采用“過濾王”來實(shí)現(xiàn)有效的過濾反動、色情、邪教等有害校園氛圍的信息，硬件配置包括一個讀卡器、一張軟件光盤和若干上網(wǎng)卡?！斑^濾王”主要負(fù)責(zé)監(jiān)控、過濾、記錄相應(yīng)的日志（加密）并適時向網(wǎng)絡(luò)中心上傳數(shù)據(jù)。在軟件管理終端，管理員選擇“類別”和“記錄日期”，點(diǎn)擊“查看按鈕”，就可以查看網(wǎng)絡(luò)日志和操作日志，此外，安裝“過濾王”軟件終端程序包括核心和控制臺兩部分，核心程序安裝在中心交換機(jī)以及學(xué)校機(jī)房的代理服務(wù)器上，在監(jiān)控的網(wǎng)卡列表中選測內(nèi)網(wǎng)網(wǎng)卡，進(jìn)行通信的網(wǎng)卡也指定為內(nèi)網(wǎng)網(wǎng)卡即可。將控制臺程序安裝在服務(wù)器機(jī)房上的應(yīng)用服務(wù)器上，操作系統(tǒng)安裝為Win2000。安裝完成后，控制臺程序所在的服務(wù)器IP地址就是安裝核心程序的中心交換機(jī)IP。3.1.5網(wǎng)絡(luò)流量的監(jiān)控STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步查看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供豐富數(shù)據(jù)支持。3.1.6無線局域網(wǎng)安全技術(shù)通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問，而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解。3.2物理地址(MAC)過濾每個無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識，可在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)目的增加而降低，而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入，如圖3-2所示。圖3-2MAC地址的過濾圖3.2.1服務(wù)集標(biāo)識符(SSID)匹配無線客戶端必須設(shè)置與無線訪問點(diǎn)AP相同的SSID，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)集上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題?？梢酝ㄟ^設(shè)置隱藏接入點(diǎn)(AP)及SSID的權(quán)限控制來達(dá)到保密的目的，因此可以認(rèn)為SSID是一個簡單的口令，通過提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定的安全，具體的服務(wù)集標(biāo)識匹配如圖3-3所示。圖3-3服務(wù)集標(biāo)識匹配在IEEE802.11中，定義了WEP來對無線傳送的數(shù)據(jù)進(jìn)行加密，WEP的核心是采用的RC4算法。在標(biāo)準(zhǔn)中，加密密鑰長度有64位和128位兩種。其中有24Bit的IV是由系統(tǒng)產(chǎn)生的，需要在AP和Station上配置的密鑰就只有40位或104位，加密原理如圖3-4所示。圖3-4WEP加密原理圖WEP加密原理如下：1、AP先產(chǎn)生一個IV，將其同密鑰串接(IV在前)作為WEPSeed，采用RC4算法生成和待加密數(shù)據(jù)等長(長度為MPDU長度加上ICV的長度)的密鑰序列；2、計算待加密的MPDU數(shù)據(jù)校驗值ICV，將其串接在MPDU之后；3、將上述兩步的結(jié)果按位異或生成加密數(shù)據(jù)；4、加密數(shù)據(jù)前面有四個字節(jié)，存放IV和KeyID，IV占前三個字節(jié)，KeyID在第四字節(jié)的高兩位，其余的位置0；如果使用Key-mappingKey，則KeyID為0，如果使用DefaultKey，則KeyID為密鑰索引(0-3其中之一)。3.2.2端口訪問控制技術(shù)和可擴(kuò)展認(rèn)證協(xié)議IEEE802.1x并不是專為WLAN設(shè)計的。它是一種基于端口的訪問控制技術(shù)。該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為STA打開這個邏輯端口，否則不允許用戶連接網(wǎng)絡(luò)，具體原理如圖3-5所示。圖3-5802.1x端口控制在具有802.1x認(rèn)證功能的無線網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個WLAN用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程。1.當(dāng)用戶有網(wǎng)絡(luò)連接需求時打開802.1x客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認(rèn)證的報文給AP，開始啟動一次認(rèn)證過程。2.AP收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?.客戶端程序響應(yīng)AP發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給AP。AP將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。4.認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機(jī)生成的一個加密字對它進(jìn)行加密處理，同時也將此加密字傳送給AP，由AP傳給客戶端程序。5.客戶端程序收到由AP傳來的加密字后，用該加密字對口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的)，并通過AP傳給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息，并向AP發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持AP端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802.11i標(biāo)準(zhǔn)最終確定前，WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議，為IEEE802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。認(rèn)證在802.11中幾乎形同虛設(shè)的認(rèn)證階段，到了WPA中變得尤為重要起來，它要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶，并擁有對某些網(wǎng)絡(luò)資源的訪問權(quán)，并且是強(qiáng)制性的。WPA的認(rèn)證分為兩種：第一種采用802.1x+EAP的方式，用戶提供認(rèn)證所需的憑證，如用戶名密碼，通過特定的用戶認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來實(shí)現(xiàn)。在大型網(wǎng)絡(luò)中，通常采用這種方式。但是對于一些中小型的網(wǎng)絡(luò)或者個別用戶，架設(shè)一臺專用的認(rèn)證服務(wù)器未免代價過于昂貴，維護(hù)也很復(fù)雜，因此WPA也提供一種簡化的模式，它不需要專門的認(rèn)證服務(wù)器，這種模式叫做WPA預(yù)共享密鑰(WPA-PSK)，僅要求在每個WLAN節(jié)點(diǎn)(AP、無線路由器、網(wǎng)卡等)預(yù)先輸入一個密鑰即可實(shí)現(xiàn)。只要密鑰吻合，客戶就可以獲得WLAN的訪問權(quán)。由于這個密鑰僅僅用于認(rèn)證過程，而不用于加密過程，因此不會導(dǎo)致諸如使用WEP密鑰來進(jìn)行802.11共享認(rèn)證那樣嚴(yán)重的安全問題。加密WPA采用TKIP為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過由認(rèn)證服務(wù)器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性。而且，TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后，使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后，TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端，并建立起一個密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通信數(shù)據(jù)報文。TKIP的密鑰構(gòu)架使WEP靜態(tài)單一的密鑰變成了500萬億可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法，但其動態(tài)密鑰的特性很難被攻破。消息完整性校驗(MIC)，是為了防止攻擊者從中間截獲數(shù)據(jù)報文、篡改后重發(fā)而設(shè)置的。除了和802.11一樣繼續(xù)保留對每個數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗外，WPA為802.11的每個數(shù)據(jù)分組(MSDU)都增加了一個8個字節(jié)的消息完整性校驗值，這和802.11對每個數(shù)據(jù)分段(MPDU)進(jìn)行ICV校驗的目的不同。ICV的目的是為了保證數(shù)據(jù)在傳輸途中不會因為噪聲等物理因素導(dǎo)致報文出錯，因此采用相對簡單高效的CRC算法，但是黑客可以通過修改ICV值來使之和被篡改過的報文相吻合，可以說沒有任何安全的功能。而WPA中的MIC則是為了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。當(dāng)MIC發(fā)生錯誤的時候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時，WPA還會采取一系列的對策，比如立刻更換組密鑰、暫?；顒?0秒等，來阻止黑客的攻擊。第四章具體配置及分析4.1交換機(jī)配置4.1.1交換機(jī)端口安全概述交換機(jī)有端口安全功能，利用端口安全這個特性，可以實(shí)現(xiàn)網(wǎng)絡(luò)接入安全，具體可以通過限制允許訪問交換機(jī)上某個端口的MAC地址以及IP（可選）來實(shí)現(xiàn)嚴(yán)格控制對該端口的輸入。當(dāng)你為安全端口打開了端口安全功能并配置了一些安全地址后，除了源地址為這些安全地址的包外，這個端口將不轉(zhuǎn)發(fā)其他任何包。此外，你還可以限制一個安全地址，則連接到這個口的工作站（其地址為配置的安全地址）將獨(dú)享該端口的全部帶寬。為了增強(qiáng)安全性，你可以將MAC地址和IP地址綁定起來作為安全地址。當(dāng)然你也可以只指定MAC地址而不綁定IP地址。如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已達(dá)到允許的最大個數(shù)后，如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將發(fā)生。當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例，例如丟棄接收到的報，發(fā)送違例通知或關(guān)閉相應(yīng)端口等。當(dāng)設(shè)置了安全端口上安全地址的最大個數(shù)后，可以使用下面幾種方式加滿端口上的安全地址：可以使用接口配置模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]來手工配置端口的所有安全地址。也可以讓該端口自動學(xué)習(xí)地址，這些自動學(xué)習(xí)到的地址將變成該端口上的安全地址，直到達(dá)到IP最大個數(shù)。需要注意的是，自動學(xué)習(xí)的安全地址均不會綁定地址，如果在一個端口上，你已經(jīng)配置了綁定IP地址的安全地址，則將不能再通過自動學(xué)習(xí)來增加安全地址。也可以手工配置一部分安全地址，剩下的部分讓交換機(jī)自己學(xué)習(xí)。當(dāng)違例產(chǎn)生時，可以設(shè)置下面幾種針對違例的處理模式：Protect當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知地址（不是該端口的安全地中的任何一個）的包。RestrictTrap當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。端口安全的具體內(nèi)容有四項，他的默認(rèn)配置如表4-1所示。表4-1端口的默認(rèn)設(shè)置內(nèi)容設(shè)置端口安全開頭所有端口均關(guān)閉端口安全功能最大安全地址個數(shù)128安全地址無違例處理方式保護(hù)（protect）4.1.2配置端口安全的限制配置端口安全是有如下一些限制：一個安全端口不能是一個aggregateport:一個安全端口只能是一個accessport.一個千兆接口上最多支持120個同時申明IP地址和MAC地址的安全地址。另外，由于這種同時申明IP地址和MAC地址的安全地址占用的硬件資源與ACLs等功能占用的系統(tǒng)硬件資源共享，因此當(dāng)您在某一個端口上應(yīng)用了ACLs，則相應(yīng)地該端口上所能設(shè)置的申明IP地址是安全地址個數(shù)將會減少。建議一個安全端口上的安全地址的格式保持一致，即一個端口上的安全地址或者全是綁定了IP的安全地址，或者都是不綁定IP地址的安全地址。如果一個安全端口同時包含這兩種格式的安全地址，則不綁定IP地址的安全地址將失效（綁定IP地址的安全地址優(yōu)先級更高），這時如果你想使端口上不綁定IP地址的安全地址生效，你必須刪除端口上所有的綁定了IP地址的安全地址。4.1.3配置安全端口及違例處理方式從特權(quán)模式開始，可以通過以下步驟來配置一個安全端口和違例處理方式：（1）configureterminal進(jìn)入全局培植模式。（2）interfaceinterface-id進(jìn)入接口配置模式。（3）switchportmodeaccess設(shè)置接口為access模式（如果確定接口已經(jīng)處于access模式，則此步驟可以省略）。（4）switchportport-security打開該接口安全功能。（5）switchportport-secruitymaximumvalue設(shè)置接口上安全地址的最大個數(shù)，范圍是1-128，默認(rèn)值為128。（6）switchportport-securityviolation{protect|restrict|shutdown}設(shè)置處理違例的方式：potect保護(hù)端口，當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。rstrict當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。Shutdown當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。當(dāng)端口因為違例而被關(guān)閉后，可以在全局模式下使用命令errdisablereeovery來將接口從錯誤狀態(tài)中恢復(fù)過來。（7）End回到特權(quán)模式。（8）Showport-securityinterface[interface-id]驗證你的配置。在借口配置模式下，你可以使用命令noswitchportport-security來關(guān)閉一個接口的端口安全功能。使用命令noswitchportport-securityviolation來恢復(fù)默認(rèn)個數(shù)。使用命令noswitchportport-securityviolation來將違例處理配置為默認(rèn)模式。下面的例子說明了如何使能接口gigabitethermet1/3上的端口安全功能，設(shè)置最大地址個數(shù)為8，設(shè)置違例方式為protect。Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#linterfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end4.1.4配置安全端口上的安全地址從特權(quán)模式開始，你可以通過以下步驟來手工配置一個安全端口上的安全地址。（1）configureterminal進(jìn)入全局配置模式。（2）interfaceinterface-id進(jìn)入接口配置模式。（3）switchport-securitymac-addressmac-address[ip-addressip-address]手工配置接口上的安全地址。Ip-address:可選IP為這個安全地址綁定的地址。（4）wnd回到特權(quán)模式。（5）showport-securityaddress驗證你的配置。在接口配置模式下，可以使用命令noswitchportport-securitymac-addressmac-address來刪除該接口的安全地址。下面的例子說明了如何為接口gigabitcthernet1/3配置一個安全MAC地址：00d0.f800.073c,并為其綁定一個地址IP：02。配置安全地址的老化時間你可以為一個接口上的所有安全地址配置老化時間。打開這個功能，你需要設(shè)置安全地址的最大個數(shù)，這樣，你就可以讓交換機(jī)自動的增加和刪除接口上的安全地址。從特權(quán)模式開始，你就可以通過以下步驟來配置端口的功能。configureterminal進(jìn)入全局配置模式。interfaceinterface-id進(jìn)入接口配置模式。switchportport-securityaging{static|timetime}static：加上這個關(guān)鍵字，表示老化時間將同時應(yīng)用于手工配置的安全地址和自動學(xué)習(xí)的地址，否則只應(yīng)用于自動學(xué)習(xí)的地址。Time：表示這個端口上安全地址的老化時間，范圍是0~1440，單位是分鐘。如果設(shè)置為0，則老化功能實(shí)際上被關(guān)閉。老化時間按照絕對的方式計時，也就是一個地址成為一個端口的安全地址后，經(jīng)過Time指定的時間后，這個地址就將被自動刪除。Time指定的時間后，這個地址就將被自動刪除。Time的默認(rèn)值為0。End回到特權(quán)模式。showport-securityinterface[interface-id]驗證你的配置?？梢栽诮涌谂渲媚Ｊ较率褂妹頽oswitchportport-securityagingtime來關(guān)閉一個接口的安全地址老化功能（老化時間為0），使用命令noswitchportport-securityagingstatic來使老化時間僅應(yīng)用于動態(tài)學(xué)習(xí)到的安全地址。下面的例子說明了如何配置一個接口gigabitethernet1/3上的端口安全的老化時間，老化時間設(shè)置為8分鐘，老化時間應(yīng)用于靜態(tài)配置的安全地址：Switch#configureterminalEnterconfigurationcommands,oneperline,EndwithCNTL/Z.Switch(config)#interfacegigabitthernet1/3.Switch(config-if)#switchportport-securityagingtime8Switch(config-if)#Sswitchportport-securityagingtimestaticSwitch(config-if)#end查看端口安全信息在特權(quán)模式開始，你可以通過下面的命令來查看端口安全的信息：Showport-securityinterface[interface-id]查看端口的端口安全配置信息。Showport-securityaddress查看安全地址信息。Showport-security[interface-id]address顯示某個接口上的安全地址信息。Showport-security顯示所有安全端口的統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址以及違例處理方式等。下面的例子顯示了接口gigabitethernet1/3上的端口安全配置：Switch#showport-securityinterfacegigabitethernet1/3Interface:Gil/3Portsecurity:EnabledPortstatus:downViolationmode:shutdownMaximumMACAddress:0ConfiguredMACAddress:0Agingtime:8minsSecureStaticaddressaging:Enabled下面的例子顯示了系統(tǒng)中的所有安全地址：Switch#showport-securityaddressVlanMacaddressIPAddressTypePortRemainingAge（mins）100d0.f800.073c02ConfiguredGi1/38下面的例子顯示的是安全端口的統(tǒng)計信息：Switch#showport-securitySecureportMaxSecureAddr(count)CurrentAddr(count)SecutityActionGi1/11281RestrictGi1/21280RestrictGi1/381protect4.2在路由器中配置訪問控制列表ACL4.2.1訪問控制列表ACL概述訪問控制列表ACL（AccessControlList）,最直接的功能便是包過濾。通過接入控制列表（ACL）可以在路由器、三層交換機(jī)上進(jìn)行網(wǎng)絡(luò)安全屬性配置，可以實(shí)現(xiàn)對進(jìn)入到路由器、三層交換機(jī)的輸入數(shù)據(jù)流進(jìn)行過濾。認(rèn)證輸入數(shù)據(jù)流的定義可以基于網(wǎng)絡(luò)地址、TCP/UDP的應(yīng)用等?？梢赃x擇對于符號合過濾標(biāo)準(zhǔn)的流是丟棄還是轉(zhuǎn)發(fā)，因此必須知道網(wǎng)絡(luò)是如何設(shè)計的，以及路由器接口是如何在過濾標(biāo)準(zhǔn)設(shè)備上使用的。要通過ACL配置網(wǎng)絡(luò)安全屬性，只有通過命令來完成配置。無法通過SNMP來完成這些設(shè)置。4.2.2ACL的類型ACL的類型主要分為IP標(biāo)準(zhǔn)控制列表（StandardIPACL）和IP擴(kuò)展訪問控制列表（ExtendedIPACL）；主要的動作作為允許（Permit）和拒絕（Deny）如圖9-1所示；主要的應(yīng)用方法是入棧（In）應(yīng)用和出棧（Out）應(yīng)用，訪問控制列表的工作流程如圖4-1所示。圖4-1訪問控制列表工作流程1.編號的訪問控制列表在路由器上可配置編號的訪問控制列表。具體介紹如下。、IP標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）。標(biāo)準(zhǔn)訪問控制列表是基本IP數(shù)據(jù)包中的IP地址進(jìn)行控制，如圖4-2所示。圖4-2標(biāo)準(zhǔn)訪問控制列表所有的訪問控制列表都是在全局配置模式下生成的。IP標(biāo)準(zhǔn)訪問控制列表的格式如下：Access-listlistnumber{permit|deny}address[wildcard-mask]其中：listnumber是規(guī)則序號，標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）的規(guī)則序號范圍是1~99；Permit和deny表示允許或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過；Address是源地址IP；wildcard-mask是源地址IP的通配比較位，也稱反掩碼。例如：（config）#access-list1permit172.16.0..055（config）#access-list1deny552IP擴(kuò)展訪問控制列表（ExtendedIPACL）。擴(kuò)展訪問控制列表不僅可以對原IP地址加以控制，還可以對目的地址、協(xié)議以及端口好加以控制，如圖4-3所示。圖4-3擴(kuò)展訪問控制列表IP擴(kuò)展訪問控制列表也都是在全局配置模式下生成的。IP擴(kuò)展訪問控制列表的格式如下：Access-listlistnumber{permit|deny}protocolsourcesource-wildxard-maskdestinationdestination-wildcard-mask[operatoroperand]擴(kuò)展訪問控制列表支持的操作符及其語法如表9-2所示。表4-2擴(kuò)展訪問控制列表支持的操作符及其語法操作符及其語法意義eqportnumbergtportnumberItportnumberNeqportnumberrangepornumber1portnumber2等于端口號portnumber大于端口號portnumber小于端口號portnumber不等于端口號portnumber介于端口號portnumber1和portnumber23ACL命令中的反掩碼。反掩碼與子網(wǎng)碼算法相似，但寫法不同，區(qū)別是：反掩碼中，0表示需要比較，1表示不需要比較，對于：55只比較前24位55只比較前22位55只比較前8位4入棧（In）應(yīng)用和出棧（Out）應(yīng)用。這兩個應(yīng)用是相對于設(shè)備的某一端口而言，當(dāng)要對從設(shè)備外的數(shù)據(jù)經(jīng)端口流入設(shè)備時做訪問控制，就是入棧（In）應(yīng)用；當(dāng)要對從設(shè)備內(nèi)的數(shù)據(jù)經(jīng)端口流出設(shè)備時做訪問控制，就是出棧（Out）應(yīng)用。命名的訪問控制列表在三層交換機(jī)上配置命名的ACL?？梢圆捎脛?chuàng)建ACL、接口上應(yīng)用ACL、查看ACL這三個步驟進(jìn)行。創(chuàng)建StandardIPACLs在特權(quán)配置模式，可以通過如下步驟來創(chuàng)建一個StandardIPACL。(1)configureterminal進(jìn)入全局配置模式。(2)ipaccess=liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進(jìn)入access-list配置模式。(3)deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式，申明一個式多個允許通過(permit)或丟棄(deny)的條件以用于交換機(jī)決定報文是轉(zhuǎn)發(fā)還是丟棄。Hostsource代表一臺源主機(jī)，其source-wildcard為；any代表任意主機(jī)，即source為，source-wild為55.(4)end退回到特權(quán)模式。(5)showaccess-lists[name]顯示該接入控制列表，如果您不指定access-list及name參數(shù)，則顯示所有接入控制列表。下例顯示如何創(chuàng)建一個IPStandardAccess-list,該ACL名字叫deny-host192.168.12.x:有兩條ACE（訪問控制條目），第一條ACE拒絕來自網(wǎng)段的任一主機(jī)，第二條ACE物許其他任意主機(jī)：Switch(conifg)#ipaccess-liststandarddeny-host192.168.12.xSwitch (config-std-nacl)#deny 55Switch (config-std-nacl)#permitanySwitch (config-std-nacl)#end創(chuàng)建ExtendedIPACLs在特權(quán)配置模式，可以通過如下步驟來創(chuàng)建一個ExtendedIPACL。(1)configureterminal進(jìn)入全局配置模式。(2)ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進(jìn)入access-list配置模式。(3){deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]在access-list配置模式，一個或多個允許通過(permit)或丟棄(deny)的條件以用于交換機(jī)決定匹配條件的報文是轉(zhuǎn)發(fā)還是丟棄。(4){destinationdestination-wildcard|hostdestination|any}[operatorport]如下方式定義TCP或UDP的目的或源端口：①操作符(operator)只能為eq。②如果操作符在sourcesource-wildcard之后，則報文的源端口匹配指定值時條件生效。③如果操作符在destinationdestination–wildcard之后，則報文的目的端口匹配指定值時條件生效。④Port為十進(jìn)制值，它代表TCP或UDP的端口號。值范圍為0~65535。Protocol可以為：a)Tcp指明為tcp數(shù)據(jù)流b)Udp指明為udp數(shù)據(jù)流c)Ip指明為任意ip數(shù)據(jù)流d)End退回到特權(quán)模式(5)Showaccess-lists[name]顯示該接入控制列表，如果您不下access-listnumber及name參數(shù)，則顯示所有接入控制列表。下例顯示如何創(chuàng)建一條ExtendedIPACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.Ｘ.Ｘ）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其他所有主機(jī)使用網(wǎng)絡(luò)。Switch (config)#ipaccess-listextendedallow_0xc0a800_to_Switch (config-std-nacl)#permittcp 55hosteqwwwSwitch(config-std-nacl)#endSwitch#showaccess-list將ipstandardaccess-list及ipextendedaccess-list應(yīng)用到指定接口上在特權(quán)模式，通過如下步驟將IPACLs應(yīng)用到指定接口上。(1)configureterminal進(jìn)入全局配置模式。(2)interfaceinterface-id指定一個接口并進(jìn)入接口配置模式。(3)ipaccess-group{name}{in|out}將指定的ACL應(yīng)用于該接口上，使其對輸入或輸出該接口的數(shù)據(jù)流進(jìn)行接入控制(4)end退回到特權(quán)模式。下例顯示如何將access-list-deny_unknow_device應(yīng)用于VLAN接口２上。Switch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_unknow_devicein(5)顯示ACLs配置?？梢酝ㄟ^命令來顯示ACL配置。以下例子顯示名字為ip_acl的StandardIPaccess-lists的內(nèi)容：Router#showipaccess-listsip_aclStandardipaccesslistip_aclPermithostPermithost以下例子顯示名字為ip_ext_acl的ExtendedIPaccess-lists的內(nèi)容：Router#showipaccess-listsip_ext_aclExtendedipaccesslistip_ext_aclPermittcphosteqwwwPermittcphosteq以下例子顯示所有IPaccess-lists的內(nèi)容：Switch#showipacess-listsStandardipaccesslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp0.0255.255hosteqwwwPermittcp55hosteqwwwRouter#showaccess-listsStandardipacceslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp55hosteqwwwPermittcp55hosteqwwwExtendedMACaccesslistmacextdenyhost0x00d0f8000000anyaarppermitanyany4.3防火墻的配置以銳捷RG-WALL150防火墻為例，介紹RG-WALL系列防火墻的初始配置。將PC的COM1口連接到防火墻的Console口，并將PC機(jī)網(wǎng)卡連接到防火墻的Forcethernet口，然后進(jìn)行配置。在初始設(shè)置過程中，首先通過防火墻的控制口(Console)登錄進(jìn)入防火墻進(jìn)行一