还剩40页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
摘要计算机网络的发展和技术的提高给网络的安全带来了很大的冲击Internet的安全成了新信息安全的热点网络安全,是计算机信息系统安全的一个重要方面如同打开了的潘多拉魔盒,计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下如何保证网络信息存储、处理的安全和信息传输安全的问题,就是我们所谓的计算机网络安全信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面设计一个安全网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的安全,同时又要有较高的成本效益,操作的简易性,以及对用户的透明性和界面的友好性针对计算机网络系统存在的安全性和可靠性问题,本文从网络安全的提出及定义、网络系统安全风险分析,网络攻击的一般手段,企业局域网安全设计的原则及其配置方案提出一些见解,并且进行了总结,就当前网络上普遍的安全威胁,提出了网络安全设计的重要理念和安全管理规范并针对常见网络故障进行分析及解决以使企业中的用户在计算机网络方面增强安全防范意识,实现了企业局域网的网络安全关键词网络安全;路由器;防火墙;交换机;VLANAbstractThedevelopmentofcomputernetworksandtechnologiestoenhancenetworksecurityisabigblowInternetsecurityhasbecomeanewhotspotofinformationsecurity.Networksecurityisthesecurityofcomputerinformationsystemsinanimportantaspect.LikeopeningofthePandorasBoxthecomputersystemsoftheInternetgreatlyexpandedinformationresourcessharingspaceatthesametimewillbeitsownexposuretothemoremaliciousattacksunder.Howtoensurethatthenetworkofinformationstorageprocessingandtransmissionofinformationsecuritysecurityistheso-calledcomputernetworksecurity.Informationsecurityistopreventinformationfromthepropertyhavebeendeliberatelyoraccidentallyleakedauthorizedillegalaltereddamageorillegalinformationsystemidentificationcontrol;ensureconfidentialityintegrityavailabilitycontrollable.Informationsecurityincludingthesafetyoftheoperatingsystemdatabasesecuritynetworksecurityvirusprotectionaccesscontrolencryptionandidentificationofsevenareas.Designofanetworksecuritysystemwhichmustbedonetoeffectivelypreventthenetworkalloftheattacksguaranteethesafetyofthesystemandalsohaveahighercost-effectivenessoperationalsimplicityandtransparenttotheuserinterfaceandfriendly.ComputernetworksystemofsecurityandreliabilityproblemsthepaperfromthenetworksecurityandtheproposeddefinitionNetworksecurityriskanalysisnetworkattacksgenerallymeansEnterpriseLANsecuritydesignprinciplesanddispositionprogramsomeinsightsanditwassummeduponthecurrentnetwork-widesecuritythreatsthenetworksecurityoftheimportantdesignconceptsandsecuritymanagementnormsandagainstcommonnetworkfaultanalysisandsolutiontoenableenterprisecustomersinthecomputernetworktoenhancesafetyrealizingtheenterpriseLANnetworksecurity.Keywords NetworkSecurity;Router;Firewall;Switch;VLAN目录TOC\o1-3\h\z\u摘要IABSTRACTII目录III绪论11网络安全概述
21.1网络安全的概念
21.2网络安全系统的脆弱性
21.3网络安全模型
31.4企业局域网的应用42网络系统安全风险分析
52.1物理安全风险分析
52.2网络平台的安全风险分析
52.3系统的安全风险分析
62.4来自局域网内部的威胁
62.5来自互联网的威胁
72.6网络的攻击手段73企业局域网的安全设计方案
83.1企业局域网安全设计的原则
83.2安全服务、机制与技术
93.3企业局域网安全配置方案
93.
3.1物理安全技术
93.
3.2路由器安全配置
93.
3.3防火墙技术安全配置
123.
3.4内部网络隔离
163.
3.5企业局域网防病毒设置
193.
3.6攻击检测技术及方法
223.
3.7审计与监控技术实施
273.4信息安全304企业局域网安全管理
334.1安全管理规范
334.
1.1安全管理原则
334.
1.2安全管理的实现
334.2常见网络故障及解决
334.
2.1IP冲突解决
334.
2.2DNS错误34结束语36致谢37参考文献38绪论随着迅速变化的商业环境和日益复杂的网络已经彻底改变了目前从事业务的方式尽管企业现在依赖许多种安全技术来保护知识产权,但它们经常会遇到这些技术所固有的限制因素难题无论当今的技术标榜有何种能力,它们通常均不能够集中监控和控制其它第三方异构安全产品大多数技术都未能证实有至关重要的整合、正常化和关联层,而它们正是有效安全信息管理基础的组成部分寻求尖端技术、经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合,是当今所有IT安全专业人士面临的最严峻挑战有效的安全信息管理主要关键是要求企业管理其企业安全,并同时在风险与性能改进间做到最佳平衡拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想通过本企业网络安全技术及解决方案,使企业网络可有效的确保信息资产保密性、完整性和可用性本方案为企业局域网网络安全的解决方案,包括原有网络系统分析、网络安全风险分析、安全体系结构的设计等本安全解决方案是在不影响该企业局域网当前业务的前提下,实现对局域网全面的安全管理1将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险2定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题3通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施4使网络管理者能够很快重新组织被破坏了的文件或应用使系统重新恢复到破坏前的状态,最大限度地减少损失5在服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒1网络安全概述
1.1网络安全的概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断网络安全从其本质上来讲就是网络上的信息安全从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制
1.2网络安全系统的脆弱性计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁尽管近年来计算机网络安全技术取得了巨大的进展,但计算机网络系统的安全性,比以往任何时候都更加脆弱主要表现在他极易受到攻击和侵害,他的抗打击力和防护力很弱,其脆弱性主要表现在如下几个方面1操作系统的安全脆弱性操作系统不安全,是计算机系统不安全的根本原因2网络系统的安全脆弱性网络安全的脆弱性使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素计算机硬件的故障由于生产工艺和制造商的原因,计算机硬件系统本身有故障,软件本身的“后门”软件本身的“后门”是软件公司为了方便自己进入而在开发时预留设置的,一方面为软件调试进一步开发或远程维护提供了方便,但同时也为非法入侵提供了通道,入侵者可以利用“后门”多次进入系统常见的后门有修改配置文件、建立系统木马程序和修改系统内核等软件的漏洞软件中不可避免的漏洞和缺陷,成了黑客攻击的首选目标,典型的如操作系统中的BUGS3数据库管理系统的安全脆弱性大量信息存储在数据库中,然而对这些数据库系统在安全方面的考虑却很少数据库管理系统安全必须与操作系统的安全相配套,例如,DBMS的安全级别是B2级,操作系统的安全级别也应是B2级,但实践中往往不是这样4防火墙的局限性防火墙依然存在着一些不能防范的威胁,例如不能防范不经过防火墙的攻击,及很难防范网络内部攻击及病毒威胁等5天灾人祸天灾指不可控制的自然灾害,如地震、雷击等人祸是指人为因素对计算机网络系统构成的威胁,人祸可分为有意的和无意的,有意的是指人为的恶意攻击、违纪、违法和计算机犯罪无意是指误操作造成的不良后果,如文件的误删除、误输入,安全配置不当,用户口令选择不慎,账号泄露或与别人共享6其他方面的原因如环境和灾害的影响,计算机领域中任何重大的技术进步,都对安全性构成新的威胁等总之,系统自身的脆弱和不足,是造成网络安全问题的内部根源,但系统本身的脆弱性,社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进步
1.3网络安全模型计算机网络系统安全的概念是相对的,每一个系统都具有潜在的危险安全具有动态性,需要适应变化的环境,并能作出相应的调整,以确保计算机网络系统的安全一个最常见的安全模型就是PDRR模型PDRR模型就是4个英文单词的头字符,Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)这四个部分构成了一个动态的信息安全周期,如图图1-1网络安全模型安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能安全策略的第一部分就是防御根据系统已知的所有安全问题做出防御的措施,如打补丁、访问控制、数据加密等等防御作为安全策略的第一个战线安全策略的第二个战线就是检测攻击者如果穿过了防御系统,检测系统就会检测出来这个安全战线的功能就是检测出入侵者的身份,包括攻击源、系统损失等一旦检测出入侵,响应系统开始响应包括事件处理和其他业务安全策略的最后一个战线就是系统恢复在入侵事件发生后,把系统恢复到原来的状态每次发生入侵事件,防御系统都要更新,保证相同类型的入侵事件不能再发生,所以整个安全策略包括防御、检测、响应和恢复,这四个方面组成了一个信息安全周期
1.4企业局域网的应用企业的局域网可以为用户提供如下主要应用1文件共享、办公自动化、WWW服务、电子邮件服务;2文件数据的统一存储;3针对特定的应用在数据库服务器上进行二次开发比如财务系统;4提供与Internet的访问;5通过公开服务器对外发布企业信息、发送电子邮件等;2网络系统安全风险分析这个企业的局域网是一个信息点较多的百兆局域网络系统,它所联接的现有上百个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等通过公开服务器,企业可以直接对外发布信息或者发送电子邮件高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的企业局域网安全可以从以下几个方面来理解1网络物理是否安全;2网络平台是否安全;3系统是否安全;4企业局域网本身是否安全;5与互联网连接是否安全针对每一类安全风险,结合实际情况,我们将具体的分析网络的安全风险
2.1物理安全风险分析网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障,人为操作失误或错误,设备被盗、被毁,电磁干扰,线路截获以及高可用性的硬件,双机多冗余的设计,机房环境及报警系统,安全意识等它是整个网络系统安全的前提,在这个企业局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的
2.2网络平台的安全风险分析网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等公开服务器面临的威胁企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大同时公开服务器本身要为外界服务,必须开放相应的服务每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板因此,企业局域网的管理人员对Internet安全事故做出有效反应变得十分重要我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝整个网络结构和路由状况安全的应用往往是建立在网络系统之上的网络系统的成熟与否直接影响安全系统成功的建设在这个企业局域网络系统中,只使用了一台路由器,作为与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险
2.3系统的安全风险分析所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任网络操作系统、网络硬件平台的可靠性对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door我们可以这样讲,没有完全安全的操作系统但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性因此,不但要选用尽可能可靠的操作系统和硬件平台,而且必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性其次应该严格限制登录者的操作权限,将其操作权限限制在最小的范围内
2.4来自局域网内部的威胁1应用的安全风险应用系统的安全是动态的、不断变化的,其结果是安全漏洞也不断增加且隐藏越来越深因此,保证应用系统的安全也是一个随网络发展不断完善的过程应用的安全性涉及到信息、数据的安全性信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等由于这个企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密2管理的安全风险管理是网络安全中最重要的部分责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险管理混乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性所以我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为建立全新的网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和网络安全解决方案的结合3不满的内部员工不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等
2.5来自互联网的威胁1黑客攻击黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上一切可能利用的漏洞公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到服务器的口令文件并将之送回黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西在这个企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保护网络内的信息资源,防止黑客攻击2恶意代码恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的软件所以应该加强对恶意代码的检测3病毒的攻击计算机病毒一直是计算机安全的主要威胁病毒不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性轻则影响机器运行速度,使机器不能正常运行,重则使机器处于瘫痪,会给用户带来不可估量的损失能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度
2.6网络的攻击手段一般认为,目前对网络的攻击手段主要表现在非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息信息泄漏或丢失指敏感数据在有意或无意中被泄漏出去或丢失,通常包括信息在传输中或者存储介质中丢失、泄漏,或通过建立隐蔽隧道窃取敏感信息等破坏数据完整性以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意修改数据,以干扰用户的正常使用拒绝服务攻击它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务利用网络传播病毒通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范3企业局域网的安全设计方案本公司有100台左右的计算机,主要使用网络的部门有生产部
20、财务部
15、人事部8和信息中心12四大部分,如图
3.1所示网络基本结构为整个网络中干部分采用3台Catalyst1900网管型交换机(分别命名为Switch
1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN用户)、一台Cisco2514路由器,整个网络都通过路由器Cisco2514与外部互联网进行连接图
3.1企业局域网的安全设计方案
3.1企业局域网安全设计的原则企业局域网网络系统安全方案设计、规划时,应遵循以下原则综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致易操作性原则安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性其次,措施的采用不能影响系统的正常运行分步实施原则由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加一劳永逸地解决网络安全问题是不现实的同时由于实施信息安全措施需要相当的费用支出因此分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支多重保护原则任何安全措施都不是绝对安全的,都可能被攻破但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全可评价性原则如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现
3.2安全服务、机制与技术安全服务控制服务、对象认证服务、可靠性服务等;安全机制访问控制机制、认证机制等;安全技术防火墙技术、病毒防治技术、攻击检测技术、审计监控技术等;在安全的开放环境中,用户可以使用各种安全应用安全应用由一些安全服务来实现,而安全服务又是由各种安全机制或安全技术来实现的应当指出,同一安全机制有时也可以用于实现不同的安全服务
3.3企业局域网安全配置方案
3.
3.1物理安全技术保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,它主要包括三个方面环境安全对系统所在环境的安全保护,如区域保护和灾难保护;设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;媒体安全包括媒体数据的安全及媒体本身的安全
3.
3.2路由器安全配置作为企业局域网与外部Internet互联网络连接的第一关,路由器的配置是很重要的,既要保证网络的畅通,也不能忽略网络的安全性而只取其一(我们所使用的是Cisco2514路由器),因此,除了对路由器与Internet外网连接配置外,我们对路由器还采用了如下安全配置1路由器网络服务安全配置a、禁止CDPCiscoDiscoveryProtocolRouterConfig#nocdprunRouterConfig-if#nocdpenableb、禁止其他的TCP、UDPSmall服务RouterConfig#noservicetcp-small-serversRouterConfig#noserviceudp-small-serversc、禁止Finger服务RouterConfig#noipfingerRouterConfig#noservicefingerd、禁止HTTP服务RouterConfig#noiphttpserver启用了HTTP服务则需要对其进行安全配置设置用户名和密码,采用访问列表进行控制e、禁止BOOTP服务RouterConfig#noipbootpserverf、禁止IPSourceRoutingRouterConfig#noipsource-routeg、禁止IPDirectedBroadcastRouterConfig#noipdirected-broadcasth、禁止IPClasslessRouterConfig#noipclasslessi、禁止ICMP协议的IPUnreachablesRedirectsMaskRepliesRouterConfig-if#noipunreacheablesRouterConfig-if#noipredirectsRouterConfig-if#noipmask-replyj、明确禁止不使用的端口RouterConfig#interfaceeth0/3RouterConfig#shutdown/PP2路由器路由协议安全配置a、启用IPUnicastReverse-PathVerification它能够检查源IP地址的准确性,从而可以防止一定的IPSpoolingb、配置uRPFuRPF有三种方式,strict方式、ACL方式和loose方式在接入路由器上实施时,对于通过单链路接入网络的用户,建议采用strict方式;对于通过多条链路接入到网络的用户,可以采用ACL方式和loose方式在出口路由器上实施时,采用loose方式/PPStrict方式Router#configt!启用CEFRouterConfig#ipcef!启用UnicastReverse-PathVerificationRouterConfig#interfaceeth0/1RouterConfig-if#ipverifyunicastreverse-path/PPACL方式interfacepos1/0ipverifyunicastreverse-path190access-list190permitip{customernetwork}{customernetworkmask}anyaccess-list190denyipanyany[log]这个功能检查每一个经过路由器的数据包的源地址,若是不符合ACL的,路由器将丢弃该数据包Loose方式interfacepos1/0ipverunicastsourcereachable-viaany这个功能检查每一个经过路由器的数据包,在路由器的路由表中若没有该数据包源IP地址的路由,路由器将丢弃该数据包/PP2启用OSPF路由协议的认证默认的OSPF认证密码是明文传输的,建议启用MD5认证并设置一定强度密钥key相对的路由器必须有相同的Keyc、RIP协议的认证只有RIP-V2支持,RIP-1不支持建议启用RIP-V2并且采用MD5认证普通认证同样是明文传输的d、启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口建议对于不需要路由的端口,启用passive-interface但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收在OSPF协议中是禁止转发和接收路由信息e、启用访问列表过滤一些垃圾和恶意路由信息控制网络的垃圾信息流如RouterConfig#access-list10deny
172.
18.
124.
0255.
255.
255.0RouterConfig#access-list10permitany!禁止路由器接收更新
172.
18.
124.0网络的路由信息RouterConfig#routerospf100RouterConfig-router#distribute-list10in!禁止路由器转发传播
172.
18.
124.0网络的路由信息RouterConfig#routerospf100RouterConfig-router#distribute-list10out/PP3路由器其他安全配置a、IP欺骗简单防护如过滤非公有地址访问内部网络过滤自己内部网络地址;回环地址
172.
0.
0.0/8;RFC1918私有地址;DHCP自定义地址
169.
254.
0.0/16;科学文档作者测试用地址
192.
0.
2.0/24;不用的组播地址
224.
0.
0.0/4;SUN公司的古老的测试地址
20.
20.
20.0/24;
204.
152.
64.0/23;全网络地址
0.
0.
0.0/8RouterConfig#access-list100denyip
172.
0.
0.
00.
255.
255.255anyRouterConfig#access-list100denyip
172.
18.
124.
0255.
255.
255.0anyRouterConfig#access-list100denyip
172.
16.
0.
00.
15.
255.255anyRouterConfig#access-list100denyip
10.
0.
0.
00.
255.
255.255anyRouterConfig#access-list100denyip
169.
254.
0.
00.
0.
255.255anyRouterConfig#access-list100denyip
172.
18.
124.
0255.
255.
255.0anyRouterConfig#access-list100denyip
224.
0.
0.
015.
255.
255.255anyRouterConfig#access-list100denyip
20.
20.
20.
00.
0.
0.255anyRouterConfig#access-list100denyip
204.
152.
64.
00.
0.
2.255anyRouterConfig#access-list100denyip
0.
0.
0.
00.
255.
255.255anyRouterConfig#access-list100permitipanyanyRouterConfig-if#ipaccess-group100in/PPb、采用访问列表控制流出内部网络的地址必须是属于内部网络的RouterConfig#noaccess-list101RouterConfig#access-list101permitip
172.
18.
124.
0255.
255.
255.0anyRouterConfig#access-list101denyipanyanyRouterConfig#interfaceeth0/1RouterConfig-if#description“internetEthernet”RouterConfig-if#ipaddress
172.
18.
124.
0255.
255.
255.0RouterConfig-if#ipaccess-group101in/PP
3.
3.3防火墙技术安全配置网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态1防火墙的基本配置原则防火墙的配置过程中需坚持以下三个基本原则a、简单实用b、全面深入c、内外兼顾2防火墙的基本配置a、用一条防火墙自带的串行电缆从笔记本电脑的COM口连到CiscoPIX525防火墙的console口;b、开启所连电脑和防火墙的电源,进入Windows系统自带的超级终端,通讯参数可按系统默认进入防火墙初始化配置,在其中主要设置有Date日期、time时间、hostname主机名称、insideipaddress内部网卡IP地址、domain主域等,完成后也就建立了一个初始化设置了此时的提示符为pix255c、修改此特权用户模式密码命令格式为enablepassword****************[encrypted],这个密码必须大于16位Encrypted选项是确定所加密码是否需要加密d、激活以太端口必须用enable进入,然后进入configure模式PIX525enablePassword:PIX525#configtPIX525config#interfaceethernet0autoPIX525config#interfaceethernet1auto在默认情况下ethernet0是属外部网卡outsideethernet1是属内部网卡insideinside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活e、命名端口与安全级别采用命令nameifPIX525config#nameifethernet0outsidesecurity0PIX525config#nameifethernet0outsidesecurity100security0是外部端口outside的安全级别(0安全级别最高)security100是内部端口inside的安全级别如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZDemilitarizedZones非武装区域f、配置以太端口IP地址采用命令为ipaddress内部网络为
172.
18.
124.
0255.
255.
255.0外部网络为
222.
20.
16.
0255.
255.
255.0PIX525config#ipaddressinside
172.
18.
124.
0255.
255.
255.0PIX525config#ipaddressoutside
222.
20.
16.
1255.
255.
255.0g、配置远程访问[telnet]在默认情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别Inside端口可以做telnet就能用了但outside端口还跟一些安全配置有关PIX525config#telnet
172.
18.
124.
0255.
255.
255.0insidePIX525config#telnet
222.
20.
16.
1255.
255.
255.0outside测试telnet在[开始]-[运行]telnet
172.
18.
124.1PIXpasswd:输入密码****************h、访问列表access-list访问列表也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,允许访问主机:
222.
20.
16.254的www端口为80PIX525config#access-list100permitipanyhost
222.
20.
16.254eqwwwPIX525config#access-list100denyipanyanyPIX525config#access-group100ininterfaceoutsidei、地址转换(NAT)和端口转换PATNAT跟路由器基本是一样的,首先必须定义IPPool,提供给内部IP地址转换的地址段,接着定义内部网段PIX525config#globaloutside
1222.
20.
16.100-
222.
20.
16.200netmask
255.
255.
255.0PIX525config#natoutside
1172.
18.
124.
0255.
255.
255.0外部地址是很有限的,主机必须单独占用一个IP地址,解决公用一个外部IP
222.
20.
16.201则必须配置PAT,这样就能解决更多用户同时共享一个IP有点像代理服务器一样的功能配置如下PIX525config#globaloutside
1222.
20.
16.100-
222.
20.
16.200netmask
255.
255.
255.0PIX525config#globaloutside
1222.
20.
16.201netmask
255.
255.
255.0PIX525config#natoutside
10.
0.
0.
00.
0.
0.0j、DHCPServer在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCPServer),CiscoFirewallPIX都具有这种功能,下面配置DHCPServer地址段为
172.
18.
124.100—
172.
18.
124.255DNS:主
202.
99.
224.8备
202.
99.
224.68主域名称abc.com.cnDHCPClient通过PIXFirewallPIX525config#ipaddressdhcpDHCPServer配置PIX525config#dhcpaddress
172.
18.
124.100—
172.
18.
124.255insidePIX525config#dhcpdns
202.
99.
224.
8202.
99.
224.68PIX525config#dhcpdomainabc.com.cnk、静态端口重定向PortRedirectionwithStatics端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过防火墙传输到内部指定的内部服务器其中重定向后的地址可以是单一外部地址、共享的外部地址转换端口(PAT),或者是共享的外部端口这种方式并不是直接与内部服务器连接,而是通过端口重定向连接的,所以可使内部服务器很安全命令格式有两种,分别适用于IP包和TCP/UDP通信●static[internal_if_nameexternal_if_name]{global_ip|interface}local_ip[netmaskmask]max_conns[emb_limit[norandomseq]]]●static[internal_if_nameexternal_if_name]{tcp|udp}{global_ip|interface}global_portlocal_iplocal_port[netmaskmask][max_conns[emb_limit[norandomseq]]]此命令中的以上各参数解释如下internal_if_name内部接口名称;external_if_name外部接口名称;{tcp|udp}选择通信协议类型;{global_ip|interface}重定向后的外部IP地址或共享端口;local_ip本地IP地址;[netmaskmask]本地子网掩码;max_conns允许的最大TCP连接数,默认为0,即不限制;emb_limit允许从此端口发起的连接数,默认也为0,即不限制;norandomseq不对数据包排序,此参数通常不用选我们具体实施如下●外部用户向
172.
18.
124.99的主机发出Telnet请求时,重定向到
10.
1.
1.6●外部用户向
172.
18.
124.99的主机发出FTP请求时,重定向到
10.
1.
1.3●外部用户向
172.
18.
124.208的端口发出Telnet请求时,重定向到
10.
1.
1.4●外部用户向防火墙的外部地址
172.
18.
124.216发出Telnet请求时,重定向到
10.
1.
1.5●外部用户向防火墙的外部地址
172.
18.
124.216发出HTTP请求时,重定向到
10.
1.
1.5●外部用户向防火墙的外部地址
172.
18.
124.208的8080端口发出HTTP请求时,重定向到
10.
1.
1.7的80号端口以上重定向过程要求如图
3.2所示,防火墙的内部端口IP地址为
10.
1.
1.2,外部端口地址为
172.
18.
124.216图
3.2以上各项重定向要求对应的配置如下staticinsideoutsidetcp
172.
18.
124.99telnet
10.
1.
1.6telnetnetmask
255.
255.
255.25500staticinsideoutsidetcp
172.
18.
124.99ftp
10.
1.
1.3ftpnetmask
255.
255.
255.25500staticinsideoutsidetcp
172.
18.
124.208telnet
10.
1.
1.4telnetnetmask
255.
255.
255.25500staticinsideoutsidetcpinterfacetelnet
10.
1.
1.5telnetnetmask
255.
255.
255.25500staticinsideoutsidetcpinterfacewww
10.
1.
1.5 wwwnetmask
255.
255.
255.25500staticinsideoutsidetcp
172.
18.
124.
208808010.
1.
1.7wwwnetmask
255.
255.
255.25500l、显示与保存结果显示结果所用命令为showconfig;保存结果所用命令为writememory 防火墙是目前保护网络免遭黑客袭击的有效手段,但不是完善手段,因此,需要其它环节,来配合完成网络的安全系统
3.
3.4内部网络隔离为了减少企业局域网内部的威胁,我们利用VLAN技术来实现对内部子网的物理隔离通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离这样,就能防止影响一个网段的问题穿过整个网络传播针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不能让太多人可以随便进出,于是公司采用了VLAN的方法来解决以上问题通过VLAN的划分,可以把公司主要网络划分为生产部、财务部、人事部和信息中心四个主要部分(如图
3.1),对应的VLAN组名为Prod、Fina、Huma、Info,各VLAN组所对应的网段如下表所示表1【注】之所以把交换机的VLAN号从2号开始,那是因为交换机有一个默认的VLAN,那就是1号VLAN,它包括所有连在该交换机上的用户VLAN的配置过程其实非常简单,只需两步
(1)为各VLAN组命名;
(2)把相应的VLAN对应到相应的交换机端口下面是具体的配置过程第1步设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置)1usersnowactiveonManagementConsole.UserInterfaceMenu[M]Menus[K]CommandLine[I]IPConfigurationEnterSelection:【注】超级终端是利用Windows系统自带的超级终端(Hypertrm)程序进行的,具体参见有关资料第2步单击K按键,选择主界面菜单中[K]CommandLine选项,进入如下命令行配置界面CLIsessionwiththeswitchisopen.ToendtheCLIsessionenter[Exit].此时我们进入了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限所以我们必须进入特权模式第3步在上一步提示符下输入进入特权模式命令enable,进入特权模式,命令格式为enable,此时就进入了交换机配置的特权模式提示符#configtEnterconfigurationcommandsoneperline.EndwithCNTL/Zconfig#第4步为了安全和方便起见,我们分别给这3个Catalyst1900交换机起个名字,并且设置特权模式的登陆密码下面仅以Switch1为例进行介绍配置代码如下config#hostnameSwitch1Switch1config#enablepasswordlevel15******Switch1config#【注】特权模式密码必须是4~8位字符,要注意,这里所输入的密码是以明文形式直接显示的,要注意保密交换机用level级别的大小来决定密码的权限Level1是进入命令行界面的密码,也就是说,设置了level1的密码后,你下次连上交换机,并输入K后,就会让你输入密码,这个密码就是level1设置的密码而level15是你输入了enable命令后让你输入的特权模式密码第5步设置VLAN名称因四个VLAN分属于不同的交换机,VLAN命名的命令为vlan‘vlan号’name‘vlan名称’,在Switch
1、Switch
2、Switch3交换机上配置
2、
3、
4、5号VLAN的代码为Switch1config#vlan2nameProdSwitch2config#vlan3nameFinaSwitch3config#vlan4nameHumaSwitch3config#vlan5nameInfo【注】以上配置是按表1规则进行的第6步上一步我们对各交换机配置了VLAN组,现在要把这些VLAN对应于表1所规定的交换机端口号对应端口号的命令是vlan-membershipstatic/dynamicVLAN号在这个命令中static静态和dynamic动态分配方式两者必须选择一个,不过通常都是选择static静态方式VLAN端口号应用配置如下1名为Switch1的交换机的VLAN端口号配置如下Switch1config#inte0/2Switch1config-if#vlan-membershipstatic2……Switch1config-if#inte0/21Switch1config-if#vlan-membershipstatic2Switch1config-if#【注】int是interface命令缩写,是接口的意思e0/2是ethernet0/2的缩写,代表交换机的0号模块2号端口2名为Switch2的交换机的VLAN端口号配置如下Switch2config#inte0/2Switch2config-if#vlan-membershipstatic3……Switch2config-if#inte0/16Switch2config-if#vlan-membershipstatic3Switch2config-if#3名为Switch3的交换机的VLAN端口号配置如下它包括两个VLAN组的配置,先看VLAN4(Huma)的配置代码Switch3config#inte0/2Switch3config-if#vlan-membershipstatic4……Switch3config-if#inte0/9Switch3config-if#vlan-membershipstatic4Switch3config-if#下面是VLAN5(Info)的配置代码Switch3config#inte0/10Switch3config-if#vlan-membershipstatic5……Switch3config-if#inte0/21Switch3config-if#vlan-membershipstatic5Switch3config-if#我们已经按表1要求把VLAN都定义到了相应交换机的端口上了为了验证我们的配置,可以在特权模式使用showvlan命令显示出刚才所做的配置,检查一下是否正确
3.
3.5企业局域网防病毒设置随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生接下来,就是我们企业局域网中对防病毒软件的安装配置过程在我们的企业局域网安全方案中,使用的是SymantecAntivirus
8.0企业版,下面,介绍一下该防病毒软件的安装和配置方法1安装和配置防病毒服务器a、安装防病毒服务器安装Symantec Antivirus防病毒软件,为了便于管理,我们在局域网控制中心选择一台计算机作为SymantecAntivirns防病毒软件的服务器端按照安装说明提示,安装Symantec Antivirus防病毒软件的服务器端,其过程是全中文提示,并且自动安装的,因此,安装过程不作详细介绍了等安装完成了NortonAntivirus防病毒服务器所有必须组件之后接下来就可以对其进行配置了b、配置防病毒服务器Norton Antivirus防病毒服务器是通过Symantec系统中心进行统一管理的,通过Symantec系统中心控制台,我们可以创建新的服务器组,同时还可以管理服务器组的成员计算机也可以监视服务器组中成员计算机病毒软件的运行情况在正常使用上述功能前我们首先应该对Norton Antivirus防病毒服务器进行一些初始化配置,具体的方法如下:打开开始菜单程序项Symantec系统中心菜单项单击其中Symantec系统中心控制台程序列表运行Symantec系统中心控制台,在弹出的Symantec系统中心控制台窗口树状列表中双击Symantec系统中心,列表项,将其展开在出现的系统等级列表项中,双击鼠标左键将该列表项展开,这时在该项下面将出现我们安装Norton Antivirus防病毒服务器时所建立的服务器组名在该服务器组上单击鼠标右键,在弹出的右键菜单上选择解除服务器组的锁定菜单项这时,将弹出解锁服务器组的锁定对话框在密码对话框中输入安装Norton Antivirus防病毒服务器时安装程序提供的默认密码注意大小写,并单击确定按钮进行解锁接下来,可以看到服务器组下列出了刚刚安装的Norton Antivirus防病毒服务器计算机名在默认情况下,新建的服务器组中的NortonAntivirus防病毒服务器还不是一级服务器,如果一个服务器组中没有一级服务器,将无法执行某些Symantec产品管理操作因此必须指定一台安装有NortonAntivirus防病毒服务器的计算机作为一级服务器,具体的方法是:在树状列表中选中要作为一级服务器的计算机,并在其上单击鼠标右键,在弹出的右键菜单中,选择使服务器成为一级服务器菜单项,这时将弹出是否将该服务器作为一级服务器提示框,单击是按钮,即可将其转换为一级服务器【注】在Symantec系统中心中选择服务器组对象并设置其选项后,所做的设置将被存到该服务器组的一级服务器上,之后,同一服务器组中的其他服务器将使用新的配置,由于一级服务器的作用很重要,所以应该选择一台性能稳定、能够持续运转的服务器来充当在服务器升级为一级服务器后,我们就可以对其进行一些基本的设置了,具体的方法是,在该一级服务器上单击鼠标右键,在弹出的右键菜单上选择所有任务-Norton AntiVirus菜单项下的相应选项,在弹出的设置窗口中进行相应设置就可以了设置Norton Antivirus防病毒服务器的病毒库升级时间,在该一级服务器上单击鼠标右键在弹出的有键菜单上选择所有任务-Norton AntiVirus-病毒定义管理器菜单项,在弹出的病毒定义管理器对话框中,选中只更新此服务器的一级服务器单选框,并单击后面的“设置”按钮,在弹出的设置一级服务器更新对话框中,单击调度按锤,在新弹出的病毒定义更新调度对话框中根据需要设置病毒定义的更新频率和时间即可c、安装邮件防病毒服务器病毒通过邮件传播已经成为新一代病毒的发展趋势下面我们说明一下NortonAntiVirusformicrosoftExchange
2.5简体中文版防病毒服务器的安装与设置首先,将SymantecAntivirus
8.0企业版安装光盘包中的Norton AntiVirusforMicrosoftExchange
2.5简体中文版安装光盘放入光驱中打开光盘中的NAVMSE25文件夹在该文件夹中找到Setup.exe安装文件,并双击该图标将其运行并且安装安装结束后,安装程序向导将提示你安装LiveUpdate并通过LiveUpdate更新最新的病毒定义和程序请首先将Norton Antivirus for MicrosoftExchange服务器所在计算机连接到Internet,然后单击下一步按钮,LiveUpdate将通过Internet查找最新的病毒定义和相关的程序更新信息并进行更新更新完成后,单击完成按钮,关闭安装程序这时系统将自动运行Norton Antivirus for MicrosoftExchange服务器,并且开始监控Exchange邮件服务器d、配置邮件防病毒服务器安装完成NortonAntivirusforMicrosoftExchange服务器后,打开浏览器,在地址栏中输入之前设置的IP地址和端口号格式是http://IP地址端口号),这时浏览器将弹出密码录入窗口,输入安装时建立的用户和密码,并单击确定按钮即可进入Norton Antiviru sforMicrosoftExchange服务器的管理界面在NortonAntiVirusforMicrosoftExchange服务器的管理界面左侧导航栏中,单击全局选项按钮,右侧内容窗口中将会出现具体的设置信息单击相应的选项卡,就可以为NortonAntiVirusFORMicrosoftExchange服务器配置相应的扫描和警报选项一般来说,安装完成NortonAntivirusformicrosoftexchange后,服务器就已配置好基本的设置选项,设置完成后,单击“保存设置”按钮,使改动生效2安装和配置防病毒软件客户端 a、安装防病毒软件客户端通过内部Web服务器方法安装NortonAntivirus防病毒软件客户端要求NortonAntivirus防病毒服务器所在计算机上安装有Web服务器(例如微软的InternetInformationServer)在客户机上安装NortonAntivirus防病毒软件客户端,具体的方法是,在客户机上打开浏览器,在浏览器主窗口地址栏上输入http://NAVSrv/NAV/wenist防病毒服务器的计算机名为NAVSrv,虚拟目录名为NAV,并按下回车键将其打开,这时将打开NortonAntivirus防病毒软件客户端的安装网页在该页面上,单击立即安装按钮,即可开始安装NortonAntivirus防病毒软件客户端b、配置防病毒软件客户端在完成NortonAntivirus防病毒客户端安装后,就可以在客户机的任务栏系统托盘中看到一个盾牌图标双击该图标将弹出NortonAntivirus防病毒客户端的主窗口 在该窗口左侧树形导航栏中,双击配置项将其打开,在该项下,选中文件系统实时防护项这时右侧内容窗口将显示NortonAntivirus防病毒客户端的具体设置内容,可以根据实际需要设置其中的相应选项,设置完成单击确定按钮即可将设置生效至此,网络便可以安全的防御病毒的攻击了
3.
3.6攻击检测技术及方法互联网的普及给网络管理人员带来了极大的挑战随处可得的黑客工具和系统漏洞信息使我们的网络无时无刻不处于危险之中一般来说,一个典型的网络攻击是以大量的端口扫描等手段获取关于攻击对象的信息为开端的,这个过程必然产生大量的异常网络流量预示着即将到来的真正攻击然而当前被广泛使用的网络产品都具有一个普遍的弱点——被动防御,即对这些重要的网络攻击先兆熟视无睹,错过了最佳的防御时间为了扭转这种不利的局面,变被动防御为积极防御,就要求网管人员对网络的运行状态进行实时监控以便随时发现入侵征兆并进行具体的分析,然后及时进行干预,从而取得防患于未然的效果完成这种功能的安全产品就是网络入侵检测系统(NetworkIntrusionDetectionSystems,NIDS)本系统采用三层分布式体系结构网络入侵探测器、入侵事件数据库和基于Web的分析控制台为了避免不必要的网络流量,我们将网络入侵探测器和入侵事件数据库整合在一台主机中,用标准浏览器异地访问主机上的Web服务器作为分析控制台,两者之间的通信采用HTTPS安全加密协议传输由于实现本系统所需的软件较多,有必要在此进行简要的说明Snort
1.
8.6功能简述网络入侵探测器;Libpcap
0.
7.1功能简述Snort所依赖的网络抓包库;MySQL
3.
23.49功能简述入侵事件数据库;Apache
1.
3.24功能简述Web服务器;Mod_ssl
2.
8.8功能简述为Apache提供SSL加密功能的模块;OpenSSL
0.
9.6d功能简述开放源代码SSL加密库,为mod_ssl所依赖;MM
1.
1.3功能简述为Apache的模块提供共享内存服务;PHP
4.
0.6功能简述ACID的实现语言;GD
1.
8.4功能简述被PHP用来即时生成PNG和JPG图像的库;ACID
0.
9.6b21功能简述基于Web的入侵事件数据库分析控制台;ADODB
2.00功能简述为ACID提供便捷的数据库接口;PHPlot
4.
4.6功能简述ACID所依赖的制图库;1安装及配置在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具a、安装MySQL首先,以超级用户的身份登录系统,创建mysql用户和mysql用户组;然后,以mysql身份登录,执行下列命令$gzip-d-cmysql-
3.
23.
49.tar.gz|tarxvf-$cdmysql-
3.
23.49$./configure$make$makeinstall这样,就按照缺省配置将MySQL安装在/usr/local目录下然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库用/etc/init.d/mysql.server启动数据库服务器后,使用/usr/local/bin/mysqladmin程序来改变数据库管理员的口令b、安装Snort首先安装Snort所依赖的库libpcap#gzip-d-clibpcap-
0.
7.
1.tar.gz|tarxvf-#cdlibpcap-
0.
7.1#./configure#make#makeinstall这样libpcap缺省地安装在/usr/local目录下然后开始安装Snort#gzip-d-csnort-
1.
8.
6.tar.gz|tarxvf-#cdsnort-
1.
8.6#./configure--prefix=/usr/local\--with-mysql=/usr/local\--with-libpcap-includes=/usr/local\--with-libpcap-libraries-/usr/local#make#makeinstall安装完毕后,将源码树中的snort.conf文件、classification.config文件和规则文件(*.rules)拷贝到系统的/etc目录下按照下列步骤配置Snort将其捕获的网络信息输出到MySQL数据库●创建Snort入侵事件数据库和存档数据库#/usr/local/bin/mysqladmin-uroot-pcreatesnort#/usr/local/bin/mysqladmin-uroot-pcreatesnort_archive●执行Snort源码树下contrib目录下的create_mysqlSQL脚本文件创建相关表#/usr/local/bin/mysql-uroot-Dsnort-pcreate_mysql#/usr/local/bin/mysql-uroot-Dsnort_archive-pcreate_mysql●编辑/etc/snort.conf文件,在outputplugin段中加入如下一行outputdatabase:alertmysqluser=rootpassword=abc123dbname=snorthost=localhostc、安装Apache●安装MM库#gzip-d-cmm-
1.
1.
3.tar.gz|tarxvf-#cdmm-
1.
1.3#./configure#make#makeinstallMM库被按照缺省配置安装在/usr/local目录下●安装OpenSSL#gzip-d-copenssl-
0.
9.6d.tar.gz|tarxvf-#cdopenssl-
0.
9.6d#./config#make#maketest#makeinstallOpenSSL按照缺省设置安装在/usr/local目录下●为Apache扩展mod_ssl代码#gzip-d-capache-
1.
3.
24.tar.gz|tarxvf-#gzip-d-cmod_ssl-
2.
8.8-
1.
3.
24.tar.gz|tarxvf-#cdmod_ssl-
2.
8.8-
1.
3.24#./configure--with-apache=apache-
1.
3.24该命令运行成功之后,会有提示说明已经成功扩展了Apache的源代码●安装Apache#cd../apache-
1.
3.24#SSL_BASE=/usr/local\EAPI_MM=/usr/local\./configure-enable-module=so\--enable-module=ssl\--prefix=/usr/local#make#makecertificate#makeinstall其中,makecertificate命令是为mod_ssl生成所需的安全证书,按照提示输入相应信息即可这样,Apache就被安装在了/usr/local目录下d、安装PHP首先安装为PHP提供既时生成PNG和JPG图象功能的GD库#gzip-d-cgd-
1.
8.
4.tar.gz|tarxvf-#cdgd-
1.
8.4#make#makeinstall按照缺省配置,将其安装到/usr/local目录下接下来开始正式安装PHP#gzip-d-cphp-
4.
0.
6.tar.gz|tarxvf-#cdphp-
4.
0.6#./configure-with-mysql=/usr/local\--with-apxs=/usr/local/bin/apxs\--with-gd=/usr/local#make#makeinstall此处采用的是PHP的Apache动态模块DSO安装模式,完成之后,将会在/usr/local/libexec目录下生成ApacheDSO模块libphp
4.so然后,还需将源码树中的PHP缺省配置文件php.ini-dist拷贝到/etc目录下并更名为php.ini;最后为了通知Apache启用PHP模块,编辑Apache的配置文件httpd.conf加入如下两行AddTypeapplication/x-httpd-php.phpLoadModulephp4_modulelibexec/libphp
4.so至此完成PHP的安装e、安装ACID该部分的安装工作具体包括三个软件包adodb
200.tar.gz、phplot-
4.
4.
6.tar.gz和acid-
0.
9.6b
21.tar.gz安装过程十分简单,只需分别将这三个软件包解压缩并展开在Apache服务器的文档根目录下即可,具体操作如下所示#cd/usr/local/htdocs#gzip-d-cadodb
200.tar.gz|tarxvf-#gzip-d-cphplot-
4.
4.
6.tar.gz|tarxvf-#gzip-d-cacid-
0.
9.6b
21.tar.gz|tarxvf-#chown-Rroot:other*#chmod-R755*然后开始配置工作,转到acid-
0.
9.6b21目录下编辑ACID的配置文件acid_conf.php给下列变量赋值$Dblib_path=../adodb200$DBtype=mysql$alert_dbname=snort$alert_host=localhost$alert_port=3306$alert_user=root$alert_password=abc123$archive_dbname=snort_archive$archive_host=localhost$archive_port=3306$archive_user=root$archive_password=abc123$ChartLib_path=../phplot-
4.
4.6$Chart_file_format=png$portscan_file=/var/log/snort/portscan.log至此,网络入侵检测系统的软件安装工作结束2系统部署及运行系统被部署在网络服务器所处的DMZ区,用来监控来自互联网和内网的网络流量负责监控的网络探测器Snort使用无IP地址的网卡进行监听以保证网络入侵检测系统自身的安全;通过另一块网卡接入内网并为其分配内网所使用的私有IP地址,以便从内网访问分析控制台程序ACID通过启用Apache服务器的用户身份验证和访问控制机制并结合SSL以保证系统的访问安全另外,布署网络入侵检测系统的关键是应当保证系统的监听网卡所连接的设备端口能够看到受监控网段的全部网络流量在共享式网络中这不是问题,但在交换式网络中由于交换机的每个端口拥有自己的冲突域,因此无法捕获除广播和组播之外的网络流量这就要求交换机提供监控端口,本网络使用的是CiscoCatalyst系列交换机,其监控端口是通过端口的SPAN特性来实现的,用交换机管理软件启用该特性即可为了运行该系统,以超级用户身份执行下列命令#/etc/init.d/mysql.serverstart#/usr/local/bin/snort-c/etc/snort.conf-l/var/log/snort-Ielx0-D#/usr/local/bin/apachectlsslstart这样,网络入侵检测系统已开始运行
3.
3.7审计与监控技术实施审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据本公司局域网系统是通过软件IpTraf来实现网络的监控与审计,具体措施如下1安装将iptraf-
2.
7.
0.tar.gz上传到防火墙的/home/yan/目录下#cd/home/yan#tarzxfiptraf-
2.
7.
0.tar.gz#cdiptraf-
2.
7.0#./Setup至此,安装完毕安装程序会将执行程序安装到/usr/local/bin目录下,并创/var/local/iptraf目录放置iptraf的配置文件,同时创建/var/log/iptraf目录放置iptraf产生的日志文件2运行iptraf确认环境变量的PATH变量包含路径/usr/local/bin#iptraf运行iptraf后会产生一个字符界面的菜单,点击x可以退出iptraf,各菜单说明如下a、菜单Configure...在这里可以对iptraf进行配置,所有的修改都将保存在文件/var/local/iptraf/iptraf.cfg中---ReverseDNSLookups选项,对IP地址反查DNS名,默认是关闭的---TCP/UDPServiceNames选项,使用服务器代替端口号,例如用www代替80,默认是关闭的---Forcepromiscuous混杂模式,此时网卡将接受所有到达的数据,不管是不是发给自己的---Color终端显示彩色,当然用telnetssh连接除外,也就是用不支持颜色的终端连接肯定还是没有颜色---Logging同时产生日志文件,在/var/log/iptraf目录下---Activitymode可以选择统计单位是kbit/sec还是kbyte/sec---SourceMACaddrsintrafficmonitor选择后,会显示数据包的源MAC地址b、菜单Filters...在这里设置过滤规则,这是最有用的选项了,从远端连入监控机时,自己的机器与监控机会产生源源不断的tcp数据包,此时就可以将自己的IP地址排除在外它包括六个选项,分别是Tcp、Udp、OtherIP、ARP、RARP、Non-ip我们只说明TCP,其他选项的配置都很相似---DefiningaNewFilter选择DefiningaNewFilter后,会出来一对话框,要求填入对所建的当前规则的描述名,然后回车确定,Ctrl+x取消在接着出现的对话框里,Hostname/IPaddress的First里面填源地址,Second里填目标地址,Wildcardmask的两个框里面分别是源地址和目标地址所对应的掩码Port栏要求填入要过滤的端口号,0表示任意端口号Include/Exclude栏要求填入I或者E,I表示包括,E表示排除填写完毕,回车确认,Ctrl+x取消---ApplyingaFilter我们在上一步定义过滤规则会存储为一个过滤列表,在没有应用之前并不起作用,在这里选择我们应用那些过滤规则所有应用的规则会一直起作用,即使重新启动iptraf我们可以执行DetachingaFilter来取消执行当前所有应用的规则---EditingaDefinedFilter编辑一个已经存在的规则---DeletingaDefinedFilter删除一个已经定义的规则---DetachingaFilter取消执行当前所有应用的规则c、菜单IPTrafficMonitorIP数据包流量实时监控窗口,在这里可以实时的看到每一个连接的流量状态,它有两个窗口,上面的是TCP的连接状态,下面的窗口可以看到UDP、ICMP、OSPF、IGRP、IGP、IGMP、GRE、ARP、RARP的数据包点击s键选择排序,按照包的数量排序,也可按照字节的大小排序,当你开始监控IPTraffic时,程序会提示你输入Log文件的文件名,默认的是ip_traffic-
1.log在一个比较繁忙的网络里,显示的结果可能很乱,可以使用Filters菜单过滤显示来找到有用的数据d、菜单GeneralInterfaceStatistics显示每个网络设备出去和进入的数据流量统计信息,包括总计、IP包、非IP包、BadIP包、还有每秒的流速,单位是kbit/sec或者是kbyte/sec,这由Configure菜单的Activity选项决定e、菜单DetailedInterfaceStatistics这里包括了每个网络设备的详细的统计信息,很简单,不再赘述f、StatisticalBreakdowns这里提供更详细的统计信息,可以按包的大小分类,分别统计,也可以按Tcp/Udp的服务来分类统计,也不再赘述g、LANStationStatistics提供对每个网络地址通过本机的数据的统计信息
3.
3.8系统备份及恢复方案在我们的网络系统中,使用NortonGhost来实现网络系统的备份及恢复其具体实施如下1利用MultiCastServer进行备份与灾难恢复的具体步骤a、通过IP网络正确连接被克隆的源机器(运行ghost网络客户软件)与网络文件服务器(运行MultiCastServer)b、找到ghost网络客户机网卡的PacketDriver或者是NDIS
2.1Driverghost网络客户通过包驱动或者是NDIS模拟包驱动来与MultiCastServer通信c、制作MultiCast网络客户机启动软盘利用MulticastAssist向导根据屏幕提示(需要DOS启动盘),一步一步的制作MultiCast客户机启动软盘d、在文件服务器上启动MultiCastServer,设置多点传送会话的名称,选择安装客户机或者备份客户机、对整盘操作或分区操作,指明映像文件在服务器上的路径和文件名,点击AcceptClient按钮,MultiCastServer进入等待客户连接状态e、用制作的ghost网络客户机启动软盘开机启动客户机,自动进入ghost图形用户界面,选择MultiCast菜单,指定上一步设置的多点传送会话的名称以便与MultiCastServer建立通信连接接下来,ghost就开始了真正的克隆操作2利用硬盘映像文件制作灾难恢复光盘的具体步骤a、制作启动软盘其内容包括IO.SYS、MSDOS.SYS、COMMAND.COM、HIMEM.SYS、MSCDEX.EXE、CD-ROM驱动程序、CONFIG.SYS、AUTOEXEC.BAT等文件b、刻制CD-R在刻录软件中要设定CD-R的格式为ISO
9660、并选中可启动光盘复选框,按屏幕提示插入刚才制作的启动软盘,克录软件自动生成bootcat.bin、bootimg.bin两个文件,然后选择正确的硬盘映像文件、ghost.exe、ghost.env、ghost.ini等相关文件作为复制对象,按下刻录按钮,系统恢复光盘就大功告成了c、系统灾难恢复(或者是批量安装)利用自制的系统恢复光盘开机启动就可以自动、快速恢复/安装目标计算机,一般10来分钟即可完成
3.4信息安全VPN是企业实现安全远程互联的有效方法VPN主要应用特点包括基于封装安全负载标准ESP-DESEncapsulatingSecuriryPayload–DataEncryptionStandard的IPSec;专有网络通过端口地址转换技术访问Internet 配置过程及测试步骤在前面我们已经对路由器作了初始化配置,下面直接进入VPN设置过程1配置路由器的以太网接口,并测试与本地计算机的连通性关键是配置IP地址和启用以太网接口测试时,使用基本的测试命令pinghuadongconfig#intereth0/0huadongconfig-if#ipaddress
172.
18.
124.
1255.
255.
255.0huadongconfig-if#noshutdown在IP地址为
172.
18.
124.100的计算机上:c:ping
172.
18.
124.1Pinging
172.
18.
124.1with32bytesofdata:Replyfrom
172.
18.
124.1bytes=32time=5msTTL=255……结果证明连接及配置正确2配置路由器NAT网络a、配置外出路由并测试主要是配置缺省路由huadongconfig#iproute
0.
0.
0.
00.
0.
0.
0210.
75.
32.9huadong#ping
211.
100.
15.36……!!!!!……结果证明本路由器可以通过ISP访问Internetb、配置PAT,使内部网络计算机可以访问外部网络主要是基于安全目的,不希望内部网络被外部网络所了解,而使用地址转换(NAT)技术同时,为了节约费用,只租用一个IP地址(路由器使用)所以,需要使用PAT技术使用NAT技术的关键是指定内外端口和访问控制列表在访问控制列表中,需要将对其他内部网络的访问请求包废弃,保证对其他内部网络的访问是通过IPSec来实现的huadongconfig#intereth0/0huadongconfig-if#ipnatinsidehuadongconfig-if#interserial0/0huadongconfig-if#ipnatoutsidehuadongconfig-if#exit以上命令的作用是指定内外端口huadongconfig#route-mapabcpermit10huadongconfig-route-map#matchipaddress150huadongconfig-route-map#exit以上命令的作用是指定对外访问的规则名huadongconfig#access-list150deny
172.
18.
124.
0255.
255.
255.
0172.
17.
123.
0255.
255.
255.0huadongconfig#access-list150deny
172.
18.
124.
0255.
255.
255.
0172.
18.
125.
0255.
255.
255.0huadongconfig#access-list150deny
172.
18.
124.
0255.
255.
255.
0172.
18.
126.
0255.
255.
255.0huadongconfig#access-list150permitip
172.
18.
124.
0255.
255.
255.0any以上命令的作用是指定对外访问的规则内容禁止利用NAT对其他内部网络直接访问,和允许内部计算机利用NAT技术访问Internethuadongconfig#ipnatinsidesourceroute-mapabcinterfaceserial0/0overload上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术在IP地址为
172.
18.
124.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internetc:ping
210.
75.
32.10……Replyfrom
210.
75.
32.10:bytes=32time=1msTTL=255……c:pingwww.ninemax.com……Replyfrom
211.
100.
15.36:bytes=32time=769msTTL=248……此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确huadong#showipnattranProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp
210.
75.
32.9:
1975172.
18.
124.100:
1975210.
75.
32.10:
1975210.
75.
12.10:1975……以上测试过程说明,NAT配置正确内部计算机可以通过安全的途径访问Internet3配置ESP-DESIPSec并测试以下配置是配置VPN的关键首先,VPN隧道只能限于内部地址使用huadongconfig#access-list105permitip
172.
18.
124.
0255.
255.
255.
0172.
17.
123.
0255.
255.
255.0huadongconfig#access-list106permitip
172.
18.
124.
0255.
255.
255.
0172.
18.
125.
0255.
255.
255.0huadongconfig#access-list107permitip
172.
18.
124.
0255.
255.
255.
0172.
18.
126.
0255.
255.
255.0指定VPN在建立连接时协商IKE使用的策略方案中使用sha加密算法huadongconfig#cryptoisakmppolicy10huadongconfig-isakmp#hashshahuadongconfig-isakmp#authenticationpre-sharehuadongconfig-isakmp#exit4企业局域网安全管理
4.1安全管理规范
4.
1.1安全管理原则网络信息系统的安全管理主要基于三个原则多人负责原则每一项与安全有关的活动,都必须有两人或多人在场这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障任期有限原则一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行职责分离原则在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准
4.
1.2安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范1制订相应的机房出入管理制度机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理2制订严格的操作规程操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围3制订完备的系统维护制度对系统进行维护时,应采取数据保护措施,如数据备份等维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录4制订应急措施要制定系统在紧急情况下如何尽快恢复的应急措施,以使损失减至最小建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权
4.2常见网络故障及解决局域网故障五花八门,在这里我们只介绍最常见的两种故障解决方案
4.
2.1IP冲突解决发生IP冲突主要有以下几个原因有些人对TCP/IP不了解,不小心修改了这些信息另外在维修调试机器的时候,用一些临时的IP地址,结果忘了改过来而出现冲突另外还有一种我们深恶痛绝的情况,就是有人窃用他人的IP地址接到冲突报告后,要做几件事情,首先要确定冲突发生的VLAN通过IP规划的vlan定义以及冲突的IP地址,可以找到冲突地址所在的网段这对成功地找到网卡MAC地址非常关键,因为有些网络命令不能跨网段存取下面先把客户机与网络隔离,对于有非法的IP地址的微机,权且容它运行去吧,这样我们倒有机会设法找到它了再对网络做一些测试,主要的命令有ping命令和arp命令使用ping命令,假设冲突的IP地址为
172.
18.
124.69,在msdos窗口,命令格式如下:C:\\WIDOWS\\〉ping
172.
18.
124.69Request timed outReply from
172.
18.
124.69 : bytes=32 time〈1ms TTL=128 〉Reply from
172.
18.
124.69 : bytes=32 time〈1ms TTL=128 〉Reply from
172.
18.
124.69 : bytes=32 time〈1ms TTL=128 〉我们之所以要ping这台机器,有两个目的,首先我必须肯定要找的那台机器确实在网络上,其次,我想知道这台机器的网卡的MAC地址下面使用第二个命令arp查找MAC地址,arp命令只能在某一个VLAN中使用有效,它是低层协议,而且不能跨路由C:\\WIDOWS\\〉arp –aInterface: ...... on Inerface ......Internet Address/Physical Address/Type
172.
18.
124.69/00-00-22-35-62-53/ dynamic这就说明冲突IP地址
172.
18.
124.69 处网卡的MAC地址是00-00-22-35-62-53接下来我们要找的是MAC地址为00-00-22-35-62-53的网卡的具体物理位置,然后解决冲突
4.
2.2DNS错误出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题,然而访问他的域名就会出现错误解决DNS解析故障计算机出现了DNS解析故障后不要着急,解决的方法也很简单1用nslookup来判断是否真的是DNS解析故障第一步通过“开始-运行-输入CMD”后回车进入命令行模式第二步输入nslookup命令后回车,将进入DNS解析查询界面第三步命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如DNS服务器IP为
202.
106.
0.20第四步接下来输入无法访问的站点对应的域名例如输入www.softer.com,假如不能访问,那么DNS解析应该是不能够正常进行的我们会收到DNSrequesttimedout,timeoutwas2seconds的提示信息这说明我们的计算机确实出现了DNS解析故障小提示如果DNS解析正常的话,会反馈回正确的IP地址,例如用www.sohu.com这个地址进行查询解析,会得到name:sohu.com,addresses
61.
135.
133.
10361.
135.
133.104的信息2查询DNS服务器工作是否正常这时候就要看看自己计算机使用的DNS地址是多少了,并且查询他的运行情况第一步通过“开始-运行-输入CMD”后回车进入命令行模式第二步输入ipconfig/all命令来查询网络参数第三步在ipconfig/all显示信息中我们能够看到一个地方写着DNSSERVERS,这个就是我们的DNS服务器地址例如是
202.
106.
0.20和
202.
106.
46.151从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,我们可以更换一个其他的DNS服务器地址即可解决问题第四步如果在DNS服务器处显示的是公司的内部网络地址,那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析解决DNS服务器上的DNS服务故障,一般来说问题也能够解决3清除DNS缓存信息法当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的,一般来说当解析工作完成一次后,该解析条目会保存在计算机的DNS缓存列表中,如果这时DNS解析出现更改变动的话,由于DNS缓存列表信息没有改变,在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息,会根据自己计算机上保存的缓存对应关系来解析,这样就会出现DNS解析故障这时应该通过清除DNS缓存的命令来解决故障第一步通过“开始-运行-输入CMD”进入命令行模式第二步在命令行模式中我们可以看到在ipconfig/中有一个名为/flushdns的参数,这个就是清除DNS缓存信息的命令第三步执行ipconfig/flushdns命令,当出现“successfullyflushedthednsresolvercache”的提示时就说明当前计算机的缓存信息已经被成功清除第四步接下来我们再访问域名时,就会到DNS服务器上获取最新解析地址,再也不会出现因为以前的缓存造成解析错误故障了结束语由于时间有限,我们所设计的企业局域网络安全系统只具备了一些基本安全防护功能,随着网络安全技术的发展,系统的功能也会随之进一步成熟化、完善化,相信随着操作系统的完善化和网络安全技术的成熟化,局域网的安全防护功能将更加符合企业的需求通过这次毕业设计,我大致了解在进行网络工程设计的基本过程,并且从中获得了许多从课堂上学不到的知识和有意义的收获,其中我对以下几点有很深的体会1企业网络的安全是一个复杂的问题,只依靠
一、两种网络安全产品是不能解决问题的必须综合应用多种安全技术,并将其功能有机地整合到一起进而构成统一的网络安全基础设施2管理一个大型的企业局域网络,不是一个人能够轻易的,况且一个人也不是安全之举;在工作中要多其他的管理人员沟通与讨论,这样可以保证整体工程的一致性,而且也可以互相交流经验,从而充实自己3查阅资料是必不可少的一个环节,再工作和学习中,丰富自己的经验,在以后的工作中避免走许多不必要弯路在互联网上查找相关资料,往往会收到意想不到的效果,可以大大的提高效率致谢在论文完成之际,谨向所有帮助过的我的老师和同学致以最衷心的感谢!在这段时间的设计和论文的写作中,我的指导老师钟国韵老师给予了我很大的帮助从选题到论文完成的整个过程,钟老师给予了我许多的帮助和指导精心挑选课题,考虑课题的可行性、难易程度以及我能否完成等各个方面的问题;设计过程中,出现了各种各样的难题,都是钟老师在帮我分析帮我找问题所在,并不断的鼓励我去解决所遇到的各个难题;最后是论文的撰写过程,从交初稿到最后的定稿,被老师修改过了很多次,在不断的修改和老师的分析中,才完成了这篇论文感谢班主任雷伯录老师雷老师在我们大学本科的时间里管理班务,组织活动,支持和帮助我们够顺利地完成课程学习,进行论文撰写完成这篇论文我还要感谢班级里的一些同学还有室友们,她们在撰写论文过程中帮我解决了许多问题感谢信息工程学院领导和通信工程专业的老师们对于我们毕业班学生的关心和帮助,本设计能够顺利的完成,也归功于各位任课老师的认真负责,在此向各位老师表示深深的感谢和崇高的敬意感谢母校东华理工大学4年来对我们的谆谆教导衷心感谢在百忙中评审论文和参加答辩的专家与评委们!还有,感谢对于一直关注和支持我学业的我的家人和好友们,正是在他们无私支持和鼓励下,才使我顺利地度过了本科四年的学习生活并不断成长参考文献
[1]郭军.网络管理.北京北京邮电大学出版社,2001
[2]劳帼龄.网络安全与管理.北京高等教育出版社,2003
[3]祁明.网络安全与保密.北京高等教育出版社,2001
[4]洪峰.Cisco路由器管理.北京中国电力出版社,2000-1-1
[5]SmithM.VirtualLAN.北京清华大学出版社,2003-12-1
[6]美Cisco公司编著.CiscoIOS网络安全信达工作室译.北京人民邮电出版社2001-1-1
[7]美鲁西格南编著.Cisco网络安全管理王勇译.北京中国电力出版社2001-7-1
[8]美查普曼等著.Cisco安全PIX防火墙李逢天译.北京人民邮电出版社2002-8-1
[9]美迪尔DealR.著.CiscoVPN完全配置指南姚军玲,郭稚晖译.北京人民邮电出版社2007-4-1
[10]美赫卡拜,[美]麦奎瑞著.Cisco现场手册Catalyst交换机配置张辉译.北京人民邮电出版社2004-2-1
[11]ClarkK.HamiltonK.CiscoLANSwitchingTechnology.北京人民邮电出版社2003-6-1
[12]美MichaelWynston著.Cisco企业管理解决方案第1卷师夷工作室译.北京中国青年出版社2001-10-1。