第一章校園網(wǎng)安全隱患分析1.1校園內(nèi)網(wǎng)安全分析1.1.1BUG影響現(xiàn)在使用軟件尤其是操作系統(tǒng)或多或少都存在安全漏洞,對網(wǎng)絡(luò)安全組成了威脅?，F(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝操作系統(tǒng)有UNIX、WindowsNTP、Linux等,這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不一樣,UNIX因其技術(shù)較復(fù)雜通常會(huì)造成一些高級(jí)黑客對其進(jìn)行攻擊;而WindowsNTP操作系統(tǒng)因?yàn)榈玫搅藦V泛普及,加上其本身安全漏洞較多,所以,造成它成為較不安全操作系統(tǒng)。在去年一段時(shí)期、沖擊波病毒比較盛行,沖擊波”這個(gè)利用微軟RPC漏洞進(jìn)行傳輸蠕蟲病毒最少攻擊了全球80%Windows用戶,使他們計(jì)算機(jī)無法工作并重復(fù)重啟,該病毒還引發(fā)了DoS攻擊,使多個(gè)國家互聯(lián)網(wǎng)也受到相當(dāng)影響。1.1.2設(shè)備物理安全設(shè)備物理安全主要是指對網(wǎng)絡(luò)硬件設(shè)備破壞。網(wǎng)絡(luò)設(shè)備包含服務(wù)器、交換機(jī)、集線器、路由器、工作站、電源等,它們分布在整個(gè)校園內(nèi),管理起來非常困難。個(gè)他人可能出于各種目標(biāo),有意或無意地?fù)p壞設(shè)備,這么會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。1.1.3設(shè)備配置安全設(shè)備配置安全是指在設(shè)備上要進(jìn)行必要一些設(shè)置(如服務(wù)器、交換機(jī)、防火墻、路由器密碼等),預(yù)防黑客取得硬件設(shè)備控制權(quán)。許多網(wǎng)管往往因?yàn)闆]有在服務(wù)器、路由器、防火墻或可網(wǎng)管交換機(jī)上設(shè)置必要密碼或密碼設(shè)置得過于簡單易猜,造成一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)人員能夠經(jīng)過網(wǎng)絡(luò)輕易取得對服務(wù)器、交換機(jī)、路由器或防火墻等網(wǎng)絡(luò)設(shè)備控制權(quán),然后肆意更改這些設(shè)備配置,嚴(yán)重時(shí)甚至?xí)斐烧麄€(gè)校園網(wǎng)絡(luò)癱瘓。1.1.4管理漏洞一個(gè)健全安全體系,實(shí)際上應(yīng)該表現(xiàn)是“三分技術(shù)、七分管理”,網(wǎng)絡(luò)整體安全不是僅僅依賴使用各種技術(shù)先進(jìn)安全設(shè)備就能夠?qū)崿F(xiàn),更主要是表現(xiàn)在對人、對設(shè)備安全管理以及一套行之有效安全管理制度,尤其主要是加強(qiáng)對內(nèi)部人員管理和約束,因?yàn)閮?nèi)部人員對網(wǎng)絡(luò)結(jié)構(gòu)、模式都比較了解,若不加強(qiáng)管理,一但有些人出于某種目標(biāo)破壞網(wǎng)絡(luò),后果將不堪構(gòu)想。IP地址盜用、濫用是校園網(wǎng)必須加強(qiáng)管理方面,尤其是學(xué)生區(qū)、機(jī)房等。IP配置不妥也會(huì)造成部分區(qū)域網(wǎng)絡(luò)不通。如在學(xué)生學(xué)習(xí)機(jī)房,有學(xué)生不甚將自己計(jì)算機(jī)IP地址設(shè)成本網(wǎng)段網(wǎng)關(guān)地址,這會(huì)造成整個(gè)學(xué)生機(jī)房無法正常訪問外網(wǎng)。1.1.5無線局域網(wǎng)安全威脅利用WLAN進(jìn)行通信必須具備較高通信保密能力。對于現(xiàn)有WLAN產(chǎn)品，它安全隱患主要有以下幾點(diǎn)：未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)因?yàn)闊o線局域網(wǎng)開放式訪問方式，非法用戶能夠未經(jīng)授權(quán)而私自使用網(wǎng)絡(luò)資源，不但會(huì)占用寶貴無線信道資源，增加帶寬費(fèi)用，還會(huì)降低正當(dāng)用戶服務(wù)質(zhì)量。地址坑騙和會(huì)話攔截現(xiàn)在有很多個(gè)無線局域網(wǎng)安全技術(shù)，包含物理地址(MAC)過濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配、有線對等保密(WEP)、端口訪問控制技術(shù)(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面對如此多安全技術(shù)，應(yīng)該選擇哪些技術(shù)來處理無線局域網(wǎng)安全問題，才能滿足用戶對安全性要求。在無線環(huán)境中，非法用戶經(jīng)過偵聽等伎倆取得網(wǎng)絡(luò)中正當(dāng)站點(diǎn)MAC地址比有線環(huán)境中要輕易得多，這些正當(dāng)MAC地址能夠被用來進(jìn)行惡意攻擊。另外，因?yàn)镮EEE802.11沒有對AP身份進(jìn)行認(rèn)證，攻擊者很輕易裝扮成正當(dāng)AP進(jìn)入網(wǎng)絡(luò)，并深入獲取正當(dāng)用戶判別身份信息，經(jīng)過會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。這些正當(dāng)MAC地址能夠被用來進(jìn)行惡意攻擊。另外，因?yàn)镮EEE802.11沒有對AP身份進(jìn)行認(rèn)證，攻擊者很輕易裝扮成正當(dāng)AP進(jìn)入網(wǎng)絡(luò)，并深入獲取正當(dāng)用戶判別身份信息，經(jīng)過會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。一旦攻擊者侵入無線網(wǎng)絡(luò)，它將成為深入入侵其余系統(tǒng)起點(diǎn)。多數(shù)學(xué)校布署WLAN都在防火墻之后，這么WLAN安全隱患就會(huì)成為整個(gè)安全系統(tǒng)漏洞，只要攻破無線網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。1.2校園外網(wǎng)安全分析1.2.1黑客攻擊有校園網(wǎng)同時(shí)與CERNET、Internet相連,有經(jīng)過CERNET與Internet相連,在享受Internet方便快捷同時(shí),也面臨著遭遇攻擊風(fēng)險(xiǎn)。黑客攻擊活動(dòng)日益猖獗,成為當(dāng)今社會(huì)關(guān)注焦點(diǎn)。經(jīng)典黑客攻擊有入侵系統(tǒng)攻擊、坑騙攻擊、拒絕服務(wù)攻擊、對防火墻攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不但來自校園網(wǎng)外部,還有相當(dāng)一部分來自校園網(wǎng)內(nèi)部,因?yàn)閮?nèi)部用戶對網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用模式都比較了解,所以來自內(nèi)部安全威脅會(huì)更大一些。1.2.2不良信息傳輸在校園網(wǎng)接入Internet后,師生都能夠經(jīng)過校園網(wǎng)絡(luò)進(jìn)入Internet。現(xiàn)在Internet上各種信息良莠不齊,其中有些不良信息違反人類道德標(biāo)準(zhǔn)和關(guān)于法律法規(guī),對人生觀、世界觀正在形成中學(xué)生危害非常大。尤其是中小學(xué)生,因?yàn)槟昙o(jì)小,分辨是非和抵抗干擾能力較差,假如不采取切實(shí)可行安全方法,勢必會(huì)造成這些信息在校園內(nèi)傳輸,侵蝕學(xué)生心靈。1.2.3病毒危害學(xué)校接入廣域網(wǎng)后,給大家?guī)矸奖阃瑫r(shí),也為病毒進(jìn)入學(xué)校之門提供了方便,下載程序、電子郵件都可能帶有病毒。伴隨校園內(nèi)計(jì)算機(jī)應(yīng)用大范圍普及,接入校園網(wǎng)節(jié)點(diǎn)數(shù)日益增多,這些節(jié)點(diǎn)大都沒有采取安全防護(hù)方法,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、甚至系統(tǒng)癱瘓等嚴(yán)重后果。

第二章設(shè)計(jì)介紹及設(shè)計(jì)方案闡述2.1校園網(wǎng)安全方法2.1.1防火墻網(wǎng)絡(luò)信息系統(tǒng)安全應(yīng)該是一個(gè)動(dòng)態(tài)發(fā)展過程，應(yīng)該是一個(gè)檢測，安全，響應(yīng)循環(huán)過程。動(dòng)態(tài)發(fā)展是網(wǎng)絡(luò)系統(tǒng)安全規(guī)律。網(wǎng)絡(luò)安全監(jiān)控和入侵檢測產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)必不可少步驟。網(wǎng)絡(luò)監(jiān)控系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)自動(dòng)違規(guī)、入侵識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)網(wǎng)絡(luò)上，經(jīng)過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)覺網(wǎng)絡(luò)違規(guī)模式和未授權(quán)網(wǎng)絡(luò)訪問時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠依照系統(tǒng)安全策略做出反應(yīng)，包含實(shí)時(shí)報(bào)警、事件登錄或執(zhí)行用戶自定義安全策略等。1系統(tǒng)組成網(wǎng)絡(luò)衛(wèi)士監(jiān)控器：一臺(tái)，硬件監(jiān)控系統(tǒng)軟件：一套PC機(jī)（1臺(tái)，用于運(yùn)行監(jiān)控系統(tǒng)軟件）2主要功效實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流跟蹤、采集與還原網(wǎng)絡(luò)監(jiān)控系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)網(wǎng)絡(luò)之上，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡。如：E－MAIL：監(jiān)視特定用戶或特定地址發(fā)出、收到郵件；統(tǒng)計(jì)郵件源及目標(biāo)IP地址、郵件發(fā)信人與收信人、郵件收發(fā)時(shí)間等。HTTP：監(jiān)視和統(tǒng)計(jì)用戶對基于Web方式提供網(wǎng)絡(luò)服務(wù)訪問操作過程（如用戶名、口令等）。FTP：監(jiān)視和統(tǒng)計(jì)訪問FTP服務(wù)器過程（IP地址、文件名、口令等）。TELNET：監(jiān)視和統(tǒng)計(jì)對某特定地址主機(jī)進(jìn)行遠(yuǎn)程登錄操作過程。提供智能化網(wǎng)絡(luò)安全審計(jì)方案網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠?qū)Υ罅烤W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析處理和過濾，生成按用戶策略篩選網(wǎng)絡(luò)日志，大大降低了需要人工處理日志數(shù)據(jù)，使系統(tǒng)更有效。支持用戶自定義網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全事件3主要技術(shù)特點(diǎn)采取透明工作方式，它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流，對網(wǎng)絡(luò)通訊不附加任何延時(shí)，不影響網(wǎng)絡(luò)傳輸效率。可采取集中管理分布式工作方式，能夠遠(yuǎn)程監(jiān)控。能夠?qū)γ總€(gè)監(jiān)控器進(jìn)行遠(yuǎn)程配置，能夠監(jiān)測多個(gè)網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測。網(wǎng)絡(luò)監(jiān)控系統(tǒng)能進(jìn)行運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測，遠(yuǎn)程啟停管理。2.1.2防病毒為了有效預(yù)防病毒對系統(tǒng)侵入，必須在系統(tǒng)中安裝防病毒軟件，并指定嚴(yán)格管理制度，保護(hù)系統(tǒng)安全性。1應(yīng)用情況一臺(tái)專用服務(wù)器（NTSERVER）、一臺(tái)代理郵件服務(wù)器（NTSERVER&PROXYSERVER,ExchangeServer），一臺(tái)WWWSERVER，一臺(tái)數(shù)據(jù)庫SERVER，100-200臺(tái)客戶機(jī)。2系統(tǒng)要求能預(yù)防經(jīng)過PROXYSERVER從Internet下載文件或收發(fā)E-mail內(nèi)隱藏病毒，并對當(dāng)?shù)鼐钟蚓W(wǎng)防護(hù)作用。3處理方案采取防病毒產(chǎn)品如表2-1所表示。表2-1防病毒產(chǎn)品清單所需軟件名稱安裝場所數(shù)量保護(hù)對象ServerProtectforNTServerNTServer每臺(tái)NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客戶機(jī)數(shù)量HTTPFTP、用瀏覽器下開載程序ScanMailforExchangeServerExchangeServer按客戶機(jī)數(shù)量有E-Mail用戶OfficeScancorp各部門NT域服務(wù)器按客戶機(jī)數(shù)量自動(dòng)分發(fā)、更新、實(shí)時(shí)監(jiān)察客戶機(jī)以下是選取以上Trend企業(yè)產(chǎn)品說明：在NT主域控制器和備份域上均采取ServerProtecforWindowsNT保護(hù)NT服務(wù)器免受病毒侵害。另鑒于客戶有100-200臺(tái)客戶機(jī)，客戶端病毒軟件安裝和病毒碼更新等工作，造成MIS人員管理上超負(fù)荷，所以推薦采取OfficeScanCorporatcEdition企業(yè)授權(quán)版OfficeScanCorporateIdition能讓MIS人員經(jīng)過管理程序進(jìn)行中央控管，軟件分配（自動(dòng)安裝，自動(dòng)更新病毒碼、軟件自動(dòng)升級(jí)）。另外在外接Internet和郵件服務(wù)器上，采取InterScanWebProtect和ScanMailForExchange此兩種軟件是現(xiàn)在唯一能從國際互聯(lián)網(wǎng)絡(luò)攔截病毒軟件。設(shè)計(jì)理念是，在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡(luò)入口處-Internet服務(wù)器或網(wǎng)關(guān)（Gateway）上安裝此軟件，它能夠隨時(shí)監(jiān)控網(wǎng)關(guān)中ETP、電子郵件傳輸和Web網(wǎng)頁所下載病毒和惡性程序，并有文件抵達(dá)網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行掃描偵測出來。2.1.3無線網(wǎng)絡(luò)安全方法針對校園應(yīng)用安全處理方案，從校園用戶角度而言，伴隨無線網(wǎng)絡(luò)應(yīng)用推進(jìn)，管理員需要愈加重視無線網(wǎng)絡(luò)安全問題，針對不一樣用戶需求，H3C提出一系列不一樣級(jí)別無線安全技術(shù)策略，從傳統(tǒng)WEP加密到IEEE802.11i，從MAC地址過濾到IEEE802.1x安全認(rèn)證技術(shù)，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不一樣級(jí)別安全需求。對于辦公室局部無線用戶而言，無線覆蓋范圍較小，接入用戶數(shù)量也比較少，沒有專業(yè)管理人員，對網(wǎng)絡(luò)安全性要求相對較低。通常情況下不會(huì)配置專用認(rèn)證服務(wù)器，這種情況下，可直接采取AP進(jìn)行認(rèn)證，WPA-PSK+AP隱藏能夠確?；景踩?jí)別。在學(xué)校園區(qū)無線網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量，AP和無線網(wǎng)卡數(shù)量必將大大增加，同時(shí)因?yàn)槭褂糜脩糨^多，安全隱患也對應(yīng)增加，此時(shí)簡單WPA-PSK已經(jīng)不能滿足這類用戶需求。如表中所表示中級(jí)安全方案使用支持IEEE802.1x認(rèn)證技術(shù)AP作為無線網(wǎng)絡(luò)安全關(guān)鍵，使用H3C虛擬專用組(VertualPrivateGroup)管理器功效并經(jīng)過后臺(tái)Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)用戶接入，并可對用戶權(quán)限進(jìn)行區(qū)分。假如應(yīng)用無線網(wǎng)絡(luò)構(gòu)建校園辦公網(wǎng)絡(luò)，此時(shí)無線網(wǎng)絡(luò)上承載是工作業(yè)務(wù)信息，其安全保密性要求較高，所以用戶認(rèn)證問題就顯得愈加主要。假如不能準(zhǔn)確可靠地進(jìn)行用戶認(rèn)證，就有可能造成帳號(hào)盜用、非法入侵問題，對于無線業(yè)務(wù)網(wǎng)絡(luò)來說是不能夠接收。專業(yè)級(jí)處理方案能夠很好地滿足用戶需求，經(jīng)過H3C虛擬專用組(VPG)管理器功效、IEEE802.11i加密、Radius用戶認(rèn)證確保高安全性。詳細(xì)安全劃分及技術(shù)方案選擇如表2-2所表示。表2-2安全劃分及技術(shù)方法選擇安全級(jí)別經(jīng)典場所使用技術(shù)初級(jí)安全辦公室局部無線用戶WPA-PSK＋AP隱藏中級(jí)安全學(xué)校園區(qū)無線網(wǎng)IEEE802.1x認(rèn)證＋TKIP加密+VPG管理專業(yè)級(jí)安全無線校園辦公網(wǎng)VPG管理＋I(xiàn)EEE802.11i＋Radius認(rèn)證為了深入加強(qiáng)無線網(wǎng)絡(luò)安全性和確保不一樣廠家之間無線安全技術(shù)兼容，IEEE802.11工作組開發(fā)了作為新安全標(biāo)準(zhǔn)IEEE802.11i，而且致力于從久遠(yuǎn)角度考慮處理IEEE802.11無線局域網(wǎng)安全問題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及認(rèn)證協(xié)議：IEEE802.1x。IEEE802.11i標(biāo)準(zhǔn)已在6月24美國新澤西IEEE標(biāo)準(zhǔn)會(huì)議上正式取得同意。2.2H3C無線校園網(wǎng)安全策略針對現(xiàn)在無線校園網(wǎng)應(yīng)用中種種安全隱患，H3C無線局域網(wǎng)產(chǎn)品體系能夠提供強(qiáng)有力安全特征，除了傳統(tǒng)無線局域網(wǎng)中安全策略之外，還能夠提供愈加精細(xì)管理方法。2.2.1可靠加密和認(rèn)證、設(shè)備管理能夠支持現(xiàn)在802.11小組所提出全部加密方式，包含高級(jí)WPA256位加密(AES)，40/64位、128位和152位WEP共享密鑰加密，WPATKIP，特有128位動(dòng)態(tài)安全鏈路加密，動(dòng)態(tài)會(huì)話密鑰管理。802.1x認(rèn)證使用802.1xRADIUS認(rèn)證和MAC地址聯(lián)合認(rèn)證，確保只有正當(dāng)用戶和客戶端設(shè)備才可訪問網(wǎng)絡(luò)；WPATKIP認(rèn)證采取EAP-MD5，EAP-TLS和PEAP協(xié)議，擴(kuò)展證書認(rèn)證功效愈加確保用戶身份嚴(yán)格判定。支持經(jīng)過當(dāng)?shù)乜刂婆_(tái)或經(jīng)過SSL或HTTPS集中管理Web瀏覽器；經(jīng)過當(dāng)?shù)乜刂婆_(tái)或經(jīng)過SSHv2或Telnet遠(yuǎn)程管理命令行界面；并可經(jīng)過無線局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。2.2.2用戶和組安全配置和傳統(tǒng)無線局域網(wǎng)安全方法一樣，H3C無線網(wǎng)絡(luò)能夠依靠物理地址(MAC)過濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配、訪問控制列表(ACL)來提供對無線客戶端初始過濾，只允許指定無線終端能夠連接AP。同時(shí)，傳統(tǒng)無線網(wǎng)絡(luò)也存在它不足之處。首先，它安全策略依賴于連接到某個(gè)網(wǎng)絡(luò)位置設(shè)備上特定端口，對物理端口和設(shè)備依賴是網(wǎng)絡(luò)工程基礎(chǔ)。比如，子網(wǎng)、ACL以及服務(wù)等級(jí)(CoS)在路由器和交換機(jī)端口上定義，需要經(jīng)過臺(tái)式機(jī)MAC地址來管理用戶連接。H3C采取基于身份組網(wǎng)功效，可提供增強(qiáng)用戶和組安全策略，針對特殊要求創(chuàng)建虛擬專用組(VertualPrivateGroup)，VLAN不再需要經(jīng)過物理連接或端口來實(shí)施，而是依照用戶和組名來區(qū)分權(quán)限。而且，H3C無線網(wǎng)絡(luò)能夠?qū)o線局域網(wǎng)進(jìn)行前所未有控制和觀察，監(jiān)視工具甚至能夠跟蹤深入到個(gè)人信息(不論他位置在哪里)，網(wǎng)絡(luò)標(biāo)識(shí)基于用戶而不是基于物理端口或位置。其次，H3C無線網(wǎng)絡(luò)簡化了SSID支持，不再需要多個(gè)SSID來支持漫游和授權(quán)策略；單個(gè)SSID足以支持漫游、跨子網(wǎng)漫游或包含VLAN或子網(wǎng)組員資格授權(quán)策略。大量可配置監(jiān)視工具用于搜集用戶數(shù)據(jù)(比如位置、訪問控制和安全設(shè)置)和識(shí)別用戶身份。另外，使用H3C虛擬專用組(VertualPrivateGroup)管理器功效，能夠?yàn)橛脩艉徒M分配特定安全和訪問策略，從而取得最大靈活性，同時(shí)增強(qiáng)網(wǎng)絡(luò)安全性并顯著縮短管理時(shí)間。用戶不但可更改單個(gè)用戶設(shè)置，還能夠只經(jīng)過簡單幾次擊鍵操作即可從中央管理控制臺(tái)方便地配置相同用戶組、AP組，而無須逐一配置AP。2.2.3非法接入檢測和隔離H3C無線網(wǎng)絡(luò)可自動(dòng)執(zhí)行AP射頻掃描功效經(jīng)過標(biāo)識(shí)可去除非法AP，使管理員能愈加好地查看網(wǎng)絡(luò)情況，提升對網(wǎng)絡(luò)能見度。非法AP經(jīng)過引入更多流量來降低網(wǎng)絡(luò)性能，經(jīng)過嘗試獲取數(shù)據(jù)或用戶名來危及網(wǎng)絡(luò)安全或者坑騙網(wǎng)絡(luò)以生成有害垃圾郵件、病毒或蠕蟲。任何網(wǎng)絡(luò)中都可能存在非法AP，不過網(wǎng)絡(luò)規(guī)模越大就越輕易受到攻擊。為了消除這種威脅，能夠指定一些AP充當(dāng)射頻“衛(wèi)士”，其方法是掃描無線局域網(wǎng)來查找非法AP位置，統(tǒng)計(jì)這些位置信息并采取方法以及為這些位置重新分配信道以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會(huì)檢測并調(diào)整引發(fā)射頻干擾其余起源，比如微波爐和無繩電話。而且，射頻監(jiān)測配合基于用戶身份組網(wǎng)，不但可使用戶在漫游時(shí)具備諸如虛擬專用組組員資格、訪問控制列表(ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其余授權(quán)等內(nèi)容，還可通知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務(wù)以及他們曾經(jīng)使用過哪些服務(wù)。2.2.4監(jiān)視和告警H3C無線網(wǎng)絡(luò)體系提供了實(shí)時(shí)操作信息，能夠快速檢測到問題，提升網(wǎng)絡(luò)安全性并優(yōu)化網(wǎng)絡(luò)，甚至還能夠定位用戶。網(wǎng)絡(luò)管理應(yīng)用程序針對當(dāng)今動(dòng)態(tài)業(yè)務(wù)而設(shè)計(jì)，它提供了配置更改自動(dòng)告警功效。向?qū)Ы缑嫣峁┝思磿r(shí)提醒，從而使得管理員能夠快速針對沖突做出更改。經(jīng)過使用軟件移動(dòng)配置文件功效，管理者能夠在用戶或用戶組漫游整個(gè)無線局域網(wǎng)時(shí)控制其訪問資源位置。另外，位置策略能夠依照用戶位置來阻止或允許對特殊應(yīng)用程序訪問。

第三章詳細(xì)設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃是一個(gè)系統(tǒng)建立和優(yōu)化過程，建設(shè)網(wǎng)絡(luò)根本目標(biāo)是在Internet上進(jìn)行資源共享與通信。要充分發(fā)揮投資網(wǎng)絡(luò)效益，需求設(shè)計(jì)成為網(wǎng)絡(luò)規(guī)劃建設(shè)中主要內(nèi)容，網(wǎng)絡(luò)平臺(tái)中主要有針對學(xué)校建筑群而設(shè)計(jì)出拓?fù)鋱D，有互聯(lián)網(wǎng)設(shè)備（主交換機(jī)、路由器、二級(jí)交換機(jī)、服務(wù)器等）。校園內(nèi)部網(wǎng)絡(luò)采取共享或者交換式以太網(wǎng)，選擇中國科研教育網(wǎng)接入Internet，校際之間經(jīng)過國際互聯(lián)網(wǎng)方式相互連接。同時(shí)采取對應(yīng)方法，確保通訊數(shù)據(jù)安全、保密。另外為了預(yù)防這個(gè)校區(qū)內(nèi)病毒傳輸、感染和破壞，我們在校園網(wǎng)內(nèi)可能感染和傳輸病毒地方采取對應(yīng)防毒方法，布署防毒組件，規(guī)劃以下：在學(xué)校服務(wù)上安裝服務(wù)器端殺毒軟件；在行政、教學(xué)單位各個(gè)分支分別安裝客戶端殺毒軟件；學(xué)校網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)升級(jí)工作，分發(fā)殺毒軟件升級(jí)文件（包含病毒定義碼、掃描引擎、程序文件等）到校內(nèi)全部用機(jī)，并對殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。3.1ISA軟件防火墻配置校園網(wǎng)內(nèi)軟件防火墻采取ISAServe，之所以采取防火墻，是因?yàn)镮SAServer是一個(gè)新型應(yīng)用層防火墻，防止服務(wù)弱點(diǎn)及漏洞攻擊，同時(shí)支持VPN功效及充當(dāng)Web代理服務(wù)器，并能提供詳細(xì)日志匯報(bào)。安裝示意圖如圖3-1所表示。圖3-1ISA安裝示意圖3.1.1基本配置經(jīng)過ISAServe中ISAManagement項(xiàng)中Services標(biāo)簽，開啟集成模式中三個(gè)服務(wù)，就能夠使用ISA全部默認(rèn)功效。同時(shí)須打開IPRouting功效、訪問權(quán)限功效、訪問策略功效、統(tǒng)一管理等。3.1.2限制學(xué)校用機(jī)上網(wǎng)首先要定義組，經(jīng)過在ISAServer軟件防火墻ClientAddressSets標(biāo)簽中新建一個(gè)組名標(biāo)識(shí)，按照機(jī)房用機(jī)IP地址范圍進(jìn)行添加，在ProtocolRules中選中協(xié)議規(guī)則后切換到Appliesto標(biāo)簽，選中ClientAddressSetsspecifiedbelow，加入設(shè)定組即可。這么就能夠先知學(xué)校其余用機(jī)隨意上網(wǎng)。3.1.3檢測外部攻擊及入侵能夠經(jīng)過配置ISAServer來監(jiān)測常見校園網(wǎng)絡(luò)攻擊。在ISAServe中啟用入侵檢測后，ISAServer一檢測到攻擊，就會(huì)向Windows事件日志中發(fā)消息。要啟用ISAServer入侵檢測功效，應(yīng)在ISAServer管理窗口中選擇服務(wù)器名稱中IPPacketFiltersProperties選項(xiàng)，勾選EnableIntrusiondetection，即打開ISAServer入侵檢驗(yàn)功效。3.1.4校園網(wǎng)信息過濾配置校園網(wǎng)中擬采取“過濾王”來實(shí)現(xiàn)有效過濾反動(dòng)、色情、邪教等有害校園氣氛信息，硬件配置包含一個(gè)讀卡器、一張軟件光盤和若干上網(wǎng)卡。“過濾王”主要負(fù)責(zé)監(jiān)控、過濾、統(tǒng)計(jì)對應(yīng)日志（加密）并適時(shí)向網(wǎng)絡(luò)中心上傳數(shù)據(jù)。在軟件管理終端，管理員選擇“類別”和“統(tǒng)計(jì)日期”，點(diǎn)擊“查看按鈕”，就能夠查看網(wǎng)絡(luò)日志和操作日志，另外，安裝“過濾王”軟件終端程序包含關(guān)鍵和控制臺(tái)兩部分，關(guān)鍵程序安裝在中心交換機(jī)以及學(xué)校機(jī)房代理服務(wù)器上，在監(jiān)控網(wǎng)卡列表中選測內(nèi)網(wǎng)網(wǎng)卡，進(jìn)行通信網(wǎng)卡也指定為內(nèi)網(wǎng)網(wǎng)卡即可。將控制臺(tái)程序安裝在服務(wù)器機(jī)房上應(yīng)用服務(wù)器上，操作系統(tǒng)安裝為Win。安裝完成后，控制臺(tái)程序所在服務(wù)器IP地址就是安裝關(guān)鍵程序中心交換機(jī)IP。3.1.5網(wǎng)絡(luò)流量監(jiān)控STARVIEW在網(wǎng)絡(luò)初步異常情況下，能深入查看網(wǎng)絡(luò)中詳細(xì)流量，從而為網(wǎng)絡(luò)故障定位提供豐富數(shù)據(jù)支持。3.1.6無線局域網(wǎng)安全技術(shù)通常網(wǎng)絡(luò)安全性主要表現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面。訪問控制確保敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問，而數(shù)據(jù)加密則確保發(fā)送數(shù)據(jù)只能被所期望用戶所接收和了解。3.2物理地址(MAC)過濾每個(gè)無線客戶端網(wǎng)卡都由唯一48位物理地址(MAC)標(biāo)識(shí)，可在AP中手工維護(hù)一組允許訪問MAC地址列表，實(shí)現(xiàn)物理地址過濾。這種方法效率會(huì)伴隨終端數(shù)目標(biāo)增加而降低，而且非法用戶經(jīng)過網(wǎng)絡(luò)偵聽就可取得正當(dāng)MAC地址表，而MAC地址并不難修改，因而非法用戶完全能夠盜用正當(dāng)用戶MAC地址來非法接入，如圖3-2所表示。圖3-2MAC地址過濾圖3.2.1服務(wù)集標(biāo)識(shí)符(SSID)匹配無線客戶端必須設(shè)置與無線訪問點(diǎn)AP相同SSID，才能訪問AP；假如出示SSID與APSSID不一樣，那么AP將拒絕它經(jīng)過本服務(wù)集上網(wǎng)。利用SSID設(shè)置，能夠很好地進(jìn)行用戶群體分組，防止任意漫游帶來安全和訪問性能問題。能夠經(jīng)過設(shè)置隱藏接入點(diǎn)(AP)及SSID權(quán)限控制來達(dá)成保密目標(biāo)，所以能夠認(rèn)為SSID是一個(gè)簡單口令，經(jīng)過提供口令認(rèn)證機(jī)制，實(shí)現(xiàn)一定安全，詳細(xì)服務(wù)集標(biāo)識(shí)匹配如圖3-3所表示。圖3-3服務(wù)集標(biāo)識(shí)匹配在IEEE802.11中，定義了WEP來對無線傳送數(shù)據(jù)進(jìn)行加密，WEP關(guān)鍵是采取RC4算法。在標(biāo)準(zhǔn)中，加密密鑰長度有64位和128位兩種。其中有24BitIV是由系統(tǒng)產(chǎn)生，需要在AP和Station上配置密鑰就只有40位或104位，加密原理如圖3-4所表示。圖3-4WEP加密原理圖WEP加密原理以下：1、AP先產(chǎn)生一個(gè)IV，將其同密鑰串接(IV在前)作為WEPSeed，采取RC4算法生成和待加密數(shù)據(jù)等長(長度為MPDU長度加上ICV長度)密鑰序列；2、計(jì)算待加密MPDU數(shù)據(jù)校驗(yàn)值ICV，將其串接在MPDU之后；3、將上述兩步結(jié)果按位異或生成加密數(shù)據(jù)；4、加密數(shù)據(jù)前面有四個(gè)字節(jié)，存放IV和KeyID，IV占前三個(gè)字節(jié)，KeyID在第四字節(jié)高兩位，其余位置0；假如使用Key-mappingKey，則KeyID為0，假如使用DefaultKey，則KeyID為密鑰索引(0-3其中之一)。3.2.2端口訪問控制技術(shù)和可擴(kuò)展認(rèn)證協(xié)議IEEE802.1x并不是專為WLAN設(shè)計(jì)。它是一個(gè)基于端口訪問控制技術(shù)。該技術(shù)也是用于無線局域網(wǎng)一個(gè)增強(qiáng)網(wǎng)絡(luò)安全處理方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否能夠使用AP服務(wù)要取決于802.1x認(rèn)證結(jié)果。假如認(rèn)證經(jīng)過，則AP為STA打開這個(gè)邏輯端口，不然不允許用戶連接網(wǎng)絡(luò)，詳細(xì)原理如圖3-5所表示。圖3-5802.1x端口控制在具備802.1x認(rèn)證功效無線網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個(gè)WLAN用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下認(rèn)證過程。1.當(dāng)用戶有網(wǎng)絡(luò)連接需求時(shí)打開802.1x客戶端程序，輸入已經(jīng)申請、登記過用戶名和口令，發(fā)起連接請求。此時(shí)，客戶端程序?qū)l(fā)出請求認(rèn)證報(bào)文給AP，開始開啟一次認(rèn)證過程。2.AP收到請求認(rèn)證數(shù)據(jù)幀后，將發(fā)出一個(gè)請求幀要求用戶客戶端程序?qū)⑤斎胗脩裘蜕蟻怼?.客戶端程序響應(yīng)AP發(fā)出請求，將用戶名信息經(jīng)過數(shù)據(jù)幀送給AP。AP將客戶端送上來數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。4.認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來用戶名信息后，將該信息與數(shù)據(jù)庫中用戶名表相比對，找到該用戶名對應(yīng)口令信息，用隨機(jī)生成一個(gè)加密字對它進(jìn)行加密處理，同時(shí)也將此加密字傳送給AP，由AP傳給客戶端程序。5.客戶端程序收到由AP傳來加密字后，用該加密字對口令部分進(jìn)行加密處理(此種加密算法通常是不可逆)，并經(jīng)過AP傳給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器將送上來加密后口令信息和其自己經(jīng)過加密運(yùn)算后口令信息進(jìn)行對比，假如相同，則認(rèn)為該用戶為正當(dāng)用戶，反饋認(rèn)證經(jīng)過消息，并向AP發(fā)出打開端口指令，允許用戶業(yè)務(wù)流經(jīng)過端口訪問網(wǎng)絡(luò)。不然，反饋認(rèn)證失敗消息，并保持AP端口關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)經(jīng)過而不允許業(yè)務(wù)數(shù)據(jù)經(jīng)過。WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802.11i標(biāo)準(zhǔn)最終確定前，WPA標(biāo)準(zhǔn)是代替WEP無線安全標(biāo)準(zhǔn)協(xié)議，為IEEE802.11無線局域網(wǎng)提供更強(qiáng)大安全性能。WPA是IEEE802.11i一個(gè)子集，其關(guān)鍵就是IEEE802.1x和TKIP。認(rèn)證在802.11中幾乎形同虛設(shè)認(rèn)證階段，到了WPA中變得尤為主要起來，它要求用戶必須提供某種形式證據(jù)來證實(shí)它是正當(dāng)用戶，并擁有對一些網(wǎng)絡(luò)資源訪問權(quán)，而且是強(qiáng)制性。WPA認(rèn)證分為兩種：第一個(gè)采取802.1x+EAP方式，用戶提供認(rèn)證所需憑證，如用戶名密碼，經(jīng)過特定用戶認(rèn)證服務(wù)器(通常是RADIUS服務(wù)器)來實(shí)現(xiàn)。在大型網(wǎng)絡(luò)中，通常采取這種方式。不過對于一些中小型網(wǎng)絡(luò)或者個(gè)別用戶，架設(shè)一臺(tái)專用認(rèn)證服務(wù)器未免代價(jià)過于昂貴，維護(hù)也很復(fù)雜，所以WPA也提供一個(gè)簡化模式，它不需要專門認(rèn)證服務(wù)器，這種模式叫做WPA預(yù)共享密鑰(WPA-PSK)，僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP、無線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)。只要密鑰吻合，客戶就能夠取得WLAN訪問權(quán)。因?yàn)檫@個(gè)密鑰僅僅用于認(rèn)證過程，而不用于加密過程，所以不會(huì)造成諸如使用WEP密鑰來進(jìn)行802.11共享認(rèn)證那樣嚴(yán)重安全問題。加密WPA采取TKIP為加密引入了新機(jī)制，它使用一個(gè)密鑰構(gòu)架和管理方法，經(jīng)過由認(rèn)證服務(wù)器動(dòng)態(tài)生成份發(fā)密鑰來取代單個(gè)靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性。而且，TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接收了用戶身份后，使用802.1x產(chǎn)生一個(gè)唯一主密鑰處理會(huì)話。然后，TKIP把這個(gè)密鑰經(jīng)過安全通道分發(fā)到AP和客戶端，并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)，使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一數(shù)據(jù)加密密鑰，來加密每一個(gè)無線通信數(shù)據(jù)報(bào)文。TKIP密鑰構(gòu)架使WEP靜態(tài)單一密鑰變成了500萬億可用密鑰。即使WPA采取還是和WEP一樣RC4加密算法，但其動(dòng)態(tài)密鑰特征極難被攻破。消息完整性校驗(yàn)(MIC)，是為了預(yù)防攻擊者從中間截獲數(shù)據(jù)報(bào)文、篡改后重發(fā)而設(shè)置。除了和802.11一樣繼續(xù)保留對每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行CRC校驗(yàn)外，WPA為802.11每個(gè)數(shù)據(jù)分組(MSDU)都增加了一個(gè)8個(gè)字節(jié)消息完整性校驗(yàn)值，這和802.11對每個(gè)數(shù)據(jù)分段(MPDU)進(jìn)行ICV校驗(yàn)?zāi)繕?biāo)不一樣。ICV目標(biāo)是為了確保數(shù)據(jù)在傳輸途中不會(huì)因?yàn)樵肼暤任锢碓蛟斐蓤?bào)文犯錯(cuò)，所以采取相對簡單高效CRC算法，不過黑客能夠經(jīng)過修改ICV值來使之和被篡改過報(bào)文相吻合，能夠說沒有任何安全功效。而WPA中MIC則是為了預(yù)防黑客篡改而定制，它采取Michael算法，具備很高安全特征。當(dāng)MIC發(fā)生錯(cuò)誤時(shí)候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時(shí)，WPA還會(huì)采取一系列對策，比如立刻更換組密鑰、暫停活動(dòng)60秒等，來阻止黑客攻擊。第四章詳細(xì)配置及分析4.1交換機(jī)配置4.1.1交換機(jī)端口安全概述交換機(jī)有端口安全功效，利用端口安全這個(gè)特征，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)接入安全，詳細(xì)能夠經(jīng)過限制允許訪問交換機(jī)上某個(gè)端口MAC地址以及IP（可選）來實(shí)現(xiàn)嚴(yán)格控制對該端口輸入。當(dāng)你為安全端口打開了端口安全功效并配置了一些安全地址后，除了源地址為這些安全地址包外，這個(gè)端口將不轉(zhuǎn)發(fā)其余任何包。另外，你還能夠限制一個(gè)安全地址，則連接到這個(gè)口工作站（其地址為配置安全地址）將獨(dú)享該端口全部帶寬。為了增強(qiáng)安全性，你能夠?qū)AC地址和IP地址綁定起來作為安全地址。當(dāng)然你也能夠只指定MAC地址而不綁定IP地址。假如一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址數(shù)目已達(dá)成允許最大個(gè)數(shù)后，假如該端口收到一個(gè)源地址不屬于端口上安全地址包時(shí)，一個(gè)安全違例將發(fā)生。當(dāng)安全違例產(chǎn)生時(shí)，你能夠選擇多個(gè)方式來處理違例，比如丟棄接收到報(bào)，發(fā)送違例通知或關(guān)閉對應(yīng)端口等。當(dāng)設(shè)置了安全端口上安全地址最大個(gè)數(shù)后，能夠使用下面幾個(gè)方式加滿端口上安全地址：能夠使用接口配置模式下命令switchportport-securitymac-addressmac-address[ip-addressip-address]來手工配置端口全部安全地址。也能夠讓該端口自動(dòng)學(xué)習(xí)地址，這些自動(dòng)學(xué)習(xí)到地址將變成該端口上安全地址，直抵達(dá)成IP最大個(gè)數(shù)。需要注意是，自動(dòng)學(xué)習(xí)安全地址均不會(huì)綁定地址，假如在一個(gè)端口上，你已經(jīng)配置了綁定IP地址安全地址，則將不能再經(jīng)過自動(dòng)學(xué)習(xí)來增加安全地址。也能夠手工配置一部分安全地址，剩下部分讓交換機(jī)自己學(xué)習(xí)。當(dāng)違例產(chǎn)生時(shí)，能夠設(shè)置下面幾個(gè)針對違例處理模式：Protect當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知地址（不是該端口安全地中任何一個(gè)）包。RestrictTrap當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。端口安全詳細(xì)內(nèi)容有四項(xiàng)，他默認(rèn)配置如表4-1所表示。表4-1端口默認(rèn)設(shè)置內(nèi)容設(shè)置端口安全開頭全部端口均關(guān)閉端口安全功效最大安全地址個(gè)數(shù)128安全地址無違例處理方式保護(hù)（protect）4.1.2配置端口安全限制配置端口安全是有以下一些限制：一個(gè)安全端口不能是一個(gè)aggregateport:一個(gè)安全端口只能是一個(gè)accessport.一個(gè)千兆接口上最多支持120個(gè)同時(shí)申明IP地址和MAC地址安全地址。另外，因?yàn)檫@種同時(shí)申明IP地址和MAC地址安全地址占用硬件資源與ACLs等功效占用系統(tǒng)硬件資源共享，所以當(dāng)您在某一個(gè)端口上應(yīng)用了ACLs，則對應(yīng)地該端口上所能設(shè)置申明IP地址是安全地址個(gè)數(shù)將會(huì)降低。提議一個(gè)安全端口上安全地址格式保持一致，即一個(gè)端口上安全地址或者全是綁定了IP安全地址，或者都是不綁定IP地址安全地址。假如一個(gè)安全端口同時(shí)包含這兩種格式安全地址，則不綁定IP地址安全地址將失效（綁定IP地址安全地址優(yōu)先級(jí)更高），這時(shí)假如你想使端口上不綁定IP地址安全地址生效，你必須刪除端口上全部綁定了IP地址安全地址。4.1.3配置安全端口及違例處理方式從特權(quán)模式開始，能夠經(jīng)過以下步驟來配置一個(gè)安全端口和違例處理方式：（1）configureterminal進(jìn)入全局培植模式。（2）interfaceinterface-id進(jìn)入接口配置模式。（3）switchportmodeaccess設(shè)置接口為access模式（假如確定接口已經(jīng)處于access模式，則此步驟能夠省略）。（4）switchportport-security打開該接口安全功效。（5）switchportport-secruitymaximumvalue設(shè)置接口上安全地址最大個(gè)數(shù)，范圍是1-128，默認(rèn)值為128。（6）switchportport-securityviolation{protect|restrict|shutdown}設(shè)置處理違例方式：potect保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未著名地址（不是該端口安全地址中任何一個(gè)）包。rstrict當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。當(dāng)端口因?yàn)檫`例而被關(guān)閉后，能夠在全局模式下使用命令errdisablereeovery來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。（7）End回到特權(quán)模式。（8）Showport-securityinterface[interface-id]驗(yàn)證你配置。在借口配置模式下，你能夠使用命令noswitchportport-security來關(guān)閉一個(gè)接口端口安全功效。使用命令noswitchportport-securityviolation來恢復(fù)默認(rèn)個(gè)數(shù)。使用命令noswitchportport-securityviolation來將違例處理配置為默認(rèn)模式。下面例子說明了怎樣使能接口gigabitethermet1/3上端口安全功效，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protect。Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#linterfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end4.1.4配置安全端口上安全地址從特權(quán)模式開始，你能夠經(jīng)過以下步驟來手工配置一個(gè)安全端口上安全地址。（1）configureterminal進(jìn)入全局配置模式。（2）interfaceinterface-id進(jìn)入接口配置模式。（3）switchport-securitymac-addressmac-address[ip-addressip-address]手工配置接口上安全地址。Ip-address:可選IP為這個(gè)安全地址綁定地址。（4）wnd回到特權(quán)模式。（5）showport-securityaddress驗(yàn)證你配置。在接口配置模式下，能夠使用命令noswitchportport-securitymac-addressmac-address來刪除該接口安全地址。下面例子說明了怎樣為接口gigabitcthernet1/3配置一個(gè)安全MAC地址：00d0.f800.073c,并為其綁定一個(gè)地址IP：02。配置安全地址老化時(shí)間你能夠?yàn)橐粋€(gè)接口上全部安全地址配置老化時(shí)間。打開這個(gè)功效，你需要設(shè)置安全地址最大個(gè)數(shù)，這么，你就能夠讓交換機(jī)自動(dòng)增加和刪除接口上安全地址。從特權(quán)模式開始，你就能夠經(jīng)過以下步驟來配置端口功效。configureterminal進(jìn)入全局配置模式。interfaceinterface-id進(jìn)入接口配置模式。switchportport-securityaging{static|timetime}static：加上這個(gè)關(guān)鍵字，表示老化時(shí)間將同時(shí)應(yīng)用于手工配置安全地址和自動(dòng)學(xué)習(xí)地址，不然只應(yīng)用于自動(dòng)學(xué)習(xí)地址。Time：表示這個(gè)端口上安全地址老化時(shí)間，范圍是0~1440，單位是分鐘。假如設(shè)置為0，則老化功效實(shí)際上被關(guān)閉。老化時(shí)間按照絕正確方式計(jì)時(shí)，也就是一個(gè)地址成為一個(gè)端口安全地址后，經(jīng)過Time指定時(shí)間后，這個(gè)地址就將被自動(dòng)刪除。Time指定時(shí)間后，這個(gè)地址就將被自動(dòng)刪除。Time默認(rèn)值為0。End回到特權(quán)模式。showport-securityinterface[interface-id]驗(yàn)證你配置。能夠在接口配置模式下使用命令noswitchportport-securityagingtime來關(guān)閉一個(gè)接口安全地址老化功效（老化時(shí)間為0），使用命令noswitchportport-securityagingstatic來使老化時(shí)間僅應(yīng)用于動(dòng)態(tài)學(xué)習(xí)到安全地址。下面例子說明了怎樣配置一個(gè)接口gigabitethernet1/3上端口安全老化時(shí)間，老化時(shí)間設(shè)置為8分鐘，老化時(shí)間應(yīng)用于靜態(tài)配置安全地址：Switch#configureterminalEnterconfigurationcommands,oneperline,EndwithCNTL/Z.Switch(config)#interfacegigabitthernet1/3.Switch(config-if)#switchportport-securityagingtime8Switch(config-if)#Sswitchportport-securityagingtimestaticSwitch(config-if)#end查看端口安全信息在特權(quán)模式開始，你能夠經(jīng)過下面命令來查看端口安全信息：Showport-securityinterface[interface-id]查看端口端口安全配置信息。Showport-securityaddress查看安全地址信息。Showport-security[interface-id]address顯示某個(gè)接口上安全地址信息。Showport-security顯示全部安全端口統(tǒng)計(jì)信息，包含最大安全地址數(shù)，當(dāng)前安全地址以及違例處理方式等。下面例子顯示了接口gigabitethernet1/3上端口安全配置：Switch#showport-securityinterfacegigabitethernet1/3Interface:Gil/3Portsecurity:EnabledPortstatus:downViolationmode:shutdownMaximumMACAddress:0ConfiguredMACAddress:0Agingtime:8minsSecureStaticaddressaging:Enabled下面例子顯示了系統(tǒng)中全部安全地址：Switch#showport-securityaddressVlanMacaddressIPAddressTypePortRemainingAge（mins）-------------------------------------------------------------------------------------------------100d0.f800.073c02ConfiguredGi1/38下面例子顯示是安全端口統(tǒng)計(jì)信息：Switch#showport-securitySecureportMaxSecureAddr(count)CurrentAddr(count)SecutityAction-------------------------------------------------------------------------------------------------Gi1/11281RestrictGi1/21280RestrictGi1/381protect4.2在路由器中配置訪問控制列表ACL4.2.1訪問控制列表ACL概述訪問控制列表ACL（AccessControlList）,最直接功效便是包過濾。經(jīng)過接入控制列表（ACL）能夠在路由器、三層交換機(jī)上進(jìn)行網(wǎng)絡(luò)安全屬性配置，能夠?qū)崿F(xiàn)對進(jìn)入到路由器、三層交換機(jī)輸入數(shù)據(jù)流進(jìn)行過濾。認(rèn)證輸入數(shù)據(jù)流定義能夠基于網(wǎng)絡(luò)地址、TCP/UDP應(yīng)用等。能夠選擇對于符號(hào)合過濾標(biāo)準(zhǔn)流是丟棄還是轉(zhuǎn)發(fā)，所以必須知道網(wǎng)絡(luò)是怎樣設(shè)計(jì)，以及路由器接口是怎樣在過濾標(biāo)準(zhǔn)設(shè)備上使用。要經(jīng)過ACL配置網(wǎng)絡(luò)安全屬性，只有經(jīng)過命令來完成配置。無法經(jīng)過SNMP來完成這些設(shè)置。4.2.2ACL類型ACL類型主要分為IP標(biāo)準(zhǔn)控制列表（StandardIPACL）和IP擴(kuò)展訪問控制列表（ExtendedIPACL）；主要?jiǎng)幼髯鳛樵试S（Permit）和拒絕（Deny）如圖9-1所表示；主要應(yīng)用方法是入棧（In）應(yīng)用和出棧（Out）應(yīng)用，訪問控制列表工作流程如圖4-1所表示。圖4-1訪問控制列表工作流程1.編號(hào)訪問控制列表在路由器上可配置編號(hào)訪問控制列表。詳細(xì)介紹以下。、IP標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）。標(biāo)準(zhǔn)訪問控制列表是基本IP數(shù)據(jù)包中IP地址進(jìn)行控制，如圖4-2所表示。圖4-2標(biāo)準(zhǔn)訪問控制列表全部訪問控制列表都是在全局配置模式下生成。IP標(biāo)準(zhǔn)訪問控制列表格式以下：Access-listlistnumber{permit|deny}address[wildcard-mask]其中：listnumber是規(guī)則序號(hào)，標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）規(guī)則序號(hào)范圍是1~99；Permit和deny表示允許或禁止?jié)M足該規(guī)則數(shù)據(jù)包經(jīng)過；Address是源地址IP；wildcard-mask是源地址IP通配比較位，也稱反掩碼。比如：（config）#access-list1permit172.16.0..055（config）#access-list1deny552IP擴(kuò)展訪問控制列表（ExtendedIPACL）。擴(kuò)展訪問控制列表不但能夠?qū)υ璉P地址加以控制，還能夠?qū)δ繕?biāo)地址、協(xié)議以及端口好加以控制，如圖4-3所表示。圖4-3擴(kuò)展訪問控制列表IP擴(kuò)展訪問控制列表也都是在全局配置模式下生成。IP擴(kuò)展訪問控制列表格式以下：Access-listlistnumber{permit|deny}protocolsourcesource-wildxard-maskdestinationdestination-wildcard-mask[operatoroperand]擴(kuò)展訪問控制列表支持操作符及其語法如表9-2所表示。表4-2擴(kuò)展訪問控制列表支持操作符及其語法操作符及其語法意義eqportnumbergtportnumberItportnumberNeqportnumberrangepornumber1portnumber2等于端口號(hào)portnumber大于端口號(hào)portnumber小于端口號(hào)portnumber不等于端口號(hào)portnumber介于端口號(hào)portnumber1和portnumber23ACL命令中反掩碼。反掩碼與子網(wǎng)碼算法相同，但寫法不一樣，區(qū)分是：反掩碼中，0表示需要比較，1表示不需要比較，對于：55只比較前24位55只比較前22位55只比較前8位4入棧（In）應(yīng)用和出棧（Out）應(yīng)用。這兩個(gè)應(yīng)用是相對于設(shè)備某一端口而言，當(dāng)要對從設(shè)備外數(shù)據(jù)經(jīng)端口流入設(shè)備時(shí)做訪問控制，就是入棧（In）應(yīng)用；當(dāng)要對從設(shè)備內(nèi)數(shù)據(jù)經(jīng)端口流出設(shè)備時(shí)做訪問控制，就是出棧（Out）應(yīng)用。命名訪問控制列表在三層交換機(jī)上配置命名ACL。能夠采取創(chuàng)建ACL、接口上應(yīng)用ACL、查看ACL這三個(gè)步驟進(jìn)行。創(chuàng)建StandardIPACLs在特權(quán)配置模式，能夠經(jīng)過以下步驟來創(chuàng)建一個(gè)StandardIPACL。(1)configureterminal進(jìn)入全局配置模式。(2)ipaccess=liststandard{name}用數(shù)字或名字來定義一條StandardIPACL并進(jìn)入access-list配置模式。(3)deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配置模式，申明一個(gè)式多個(gè)允許經(jīng)過(permit)或丟棄(deny)條件以用于交換機(jī)決定報(bào)文是轉(zhuǎn)發(fā)還是丟棄。Hostsource代表一臺(tái)源主機(jī)，其source-wildcard為；any代表任意主機(jī)，即source為，source-wild為55.(4)end退回到特權(quán)模式。(5)showaccess-lists[name]顯示該接入控制列表，假如您不指定access-list及name參數(shù)，則顯示全部接入控制列表。下例顯示怎樣創(chuàng)建一個(gè)IPStandardAccess-list,該ACL名字叫deny-host192.168.12.x:有兩條ACE（訪問控制條目），第一條ACE拒絕來自網(wǎng)段任一主機(jī)，第二條ACE物許其余任意主機(jī)：Switch(conifg)#ipaccess-liststandarddeny-host192.168.12.xSwitch (config-std-nacl)#deny 55Switch (config-std-nacl)#permitanySwitch (config-std-nacl)#end創(chuàng)建ExtendedIPACLs在特權(quán)配置模式，能夠經(jīng)過以下步驟來創(chuàng)建一個(gè)ExtendedIPACL。(1)configureterminal進(jìn)入全局配置模式。(2)ipaccess-listextended{name}用數(shù)字或名字來定義一條ExtendedIPACL并進(jìn)入access-list配置模式。(3){deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]在access-list配置模式，一個(gè)或多個(gè)允許經(jīng)過(permit)或丟棄(deny)條件以用于交換機(jī)決定匹配條件報(bào)文是轉(zhuǎn)發(fā)還是丟棄。(4){destinationdestination-wildcard|hostdestination|any}[operatorport]以下方式定義TCP或UDP目標(biāo)或源端口：①操作符(operator)只能為eq。②假如操作符在sourcesource-wildcard之后，則報(bào)文源端口匹配指定值時(shí)條件生效。③假如操作符在destinationdestination–wildcard之后，則報(bào)文目標(biāo)端口匹配指定值時(shí)條件生效。④Port為十進(jìn)制值，它代表TCP或UDP端口號(hào)。值范圍為0~65535。Protocol能夠?yàn)椋篴)Tcp指明為tcp數(shù)據(jù)流b)Udp指明為udp數(shù)據(jù)流c)Ip指明為任意ip數(shù)據(jù)流d)End退回到特權(quán)模式(5)Showaccess-lists[name]顯示該接入控制列表，假如您不下access-listnumber及name參數(shù)，則顯示全部接入控制列表。下例顯示怎樣創(chuàng)建一條ExtendedIPACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.Ｘ.Ｘ）全部主機(jī)以HTTP訪問服務(wù)器，但拒絕其余全部主機(jī)使用網(wǎng)絡(luò)。Switch (config)#ipaccess-listextendedallow_0xc0a800_to_Switch (config-std-nacl)#permittcp 55hosteqwwwSwitch(config-std-nacl)#endSwitch#showaccess-list將ipstandardaccess-list及ipextendedaccess-list應(yīng)用到指定接口上在特權(quán)模式，經(jīng)過以下步驟將IPACLs應(yīng)用到指定接口上。(1)configureterminal進(jìn)入全局配置模式。(2)interfaceinterface-id指定一個(gè)接口并進(jìn)入接口配置模式。(3)ipaccess-group{name}{in|out}將指定ACL應(yīng)用于該接口上，使其對輸入或輸出該接口數(shù)據(jù)流進(jìn)行接入控制(4)end退回到特權(quán)模式。下例顯示怎樣將access-list-deny_unknow_device應(yīng)用于VLAN接口２上。Switch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_unknow_devicein(5)顯示ACLs配置。能夠經(jīng)過命令來顯示ACL配置。以下例子顯示名字為ip_aclStandardIPaccess-lists內(nèi)容：Router#showipaccess-listsip_aclStandardipaccesslistip_aclPermithostPermithost以下例子顯示名字為ip_ext_aclExtendedIPaccess-lists內(nèi)容：Router#showipaccess-listsip_ext_aclExtendedipaccesslistip_ext_aclPermittcphosteqwwwPermittcphosteq以下例子顯示全部IPaccess-lists內(nèi)容：Switch#showipacess-listsStandardipaccesslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp0.0255.255hosteqwwwPermittcp55hosteqwwwRouter#showaccess-listsStandardipacceslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp55hosteqwwwPermittcp55hosteqwwwExtendedMACaccesslistmacextdenyhost0x00d0f8000000anyaarppermitanyany4.3防火墻配置以銳捷RG-WALL150防火墻為例，介紹RG-WALL系列防火墻初始配置。將PCCOM1口連接到防火墻Console口，并將PC機(jī)網(wǎng)卡連接到防火墻Forcethernet口，然后進(jìn)行配置。在初始設(shè)置過程中，首先經(jīng)過防