任务五办公网络安全规划部署课件

1、任务五：办公网络安全规划部署计算机安全维护任务五：办公网络安全规划部署计算机安全维护内容简介 一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结内容简介 一、任务内容一、任务内容任务名称包含步骤能力目标支撑知识训练内容5办公网络安全规划部署5.1规划设计办公网络安全分析设计办公网络安全系统能力组网及应用需求分析、设计1、办公网络的功能分区，各区的安全要求2、办公网络安全设计5.2设置办公网络路由器安全安全功能项设置，入口流量控制能力部署路由器的安全目的办公网路由器安全功能设置5.3设置办公网交换机安全安全功能项设置，网络地址安全管理能力部署交换机的安全目的办公网交换机安全功能

2、设置一、任务内容任务名称包含步骤能力目标支撑知识训练内容5办公网二、 背景知识1、网络规划设计 2、路由器安全的部署 3、交换机安全的部署 二、 背景知识1、网络规划设计 1、网络规划设计 网络规划设计1、用户需求分析（1）用户需求：资源共享及共享资源的安全（2）技术目标： 统一性、完整性、经济实用性、可靠性与有效性、扩展性与先进性、安全性 （3）网络应用：Web、FTP、E-Mail、VOD等2、当前网络现状分析 设备、连接、应用情况、布线、协议、性能等1、网络规划设计 网络规划设计1、网络规划设计 3、逻辑设计整体结构设计、局部网络结构设计4、物理设计网络中心的设计、每栋楼设计5、测试确定

3、测试范围、确定测试内容（连通性、性能、故障）6、用户培训与售后服务1、网络规划设计 3、逻辑设计2、路由器安全的部署 1、包过滤控制访问列表从/24来的数据包可以通过！路由器从/24来的数据包不能通过！2、路由器安全的部署 1、包过滤控制访问列表从192.1682、路由器安全的部署 2、网络病毒的应对办法 路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器并不能识别的。需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。 以上只是辅助措施，根本解决办法是查杀PC的病毒，尽快安装微软操作系统的补丁，升级杀毒工具的病毒库

4、，提高安全意识。2、路由器安全的部署 2、网络病毒的应对办法2、路由器安全的部署 3、远程登录telnet Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：（1）Telnet定义一个网络虚拟终端为远程系统提供一个标准接口。客户机程序不必详细了解远程系统，他们只需构造使用标准接口的程序；（2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；（3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机

5、在屏幕上显示输出。2、路由器安全的部署 3、远程登录telnet2、路由器安全的部署 4、IPSEC配置 IPSEC 是IP Security的缩写，它是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。 IPSEC 作为一个协议族由以下部分组成：(1)保护分组流的协议；(2）用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。2、路由器安全的部署 4、IPSEC配置3、交换机安全的部署 1、基于交换机

6、的访问控制列表安全策略 可通过对交换机建立各种过滤规则的方式来实现整个网络分布实施接入安全性的需求。通常过滤规则设置有MAC和IP两种模式，可根据网络安全性需求采用MAC模式有效实现数据的隔离，也可通过IP模式实现端口过滤封包。当交换机端口需要数据交换时，就会根据过滤规则来过滤封包，决定是转发还是丢弃。 通过访问控制列表的使用，可以对数据包过滤、流量限制、流量统计等。3、交换机安全的部署 1、基于交换机的访问控制列表安全策略3、交换机安全的部署 2、配置交换机的802.1X认证协议 对交换机启用802.1X认证协议后，计算机只有通过授权才可以访问网络资源，否则不能接入到网络，可以有效地保证网络

7、的安全，防止用户随便地接入到网络中。802.1X客户端软件端口启动了802.1X，成为受控端口，客户只有在通过802.1X认证后才能访问网络资源端口未启动802.1X，为非受控端口，通信数据可以畅通无阻3、交换机安全的部署 2、配置交换机的802.1X认证协议83、交换机安全的部署 3、禁用SNMP SNMP是Simple Network Management Protocol的英文缩写。它是用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。3、交换机安全的部署 3、禁用SNMP3、交换机安全的部署 4、使用SSH进行远程管理 SSH是

8、Secure Shell的英文缩写。通过SSH的使用，用户可把所要传输的数据信息进行加密，而且也能够防止DNS和IP欺骗。SSH可以替代Telnet，又可以为FTP、POP、PPP提供一个安全的“通道”。由于在使用SSH进行通讯时，对用户名及口令等均进行了加密，有效防止了口令被窃听，便于网络管理人员进行远程的安全网络管理。3、交换机安全的部署 4、使用SSH进行远程管理3、交换机安全的部署 5、交换机VLAN（1）VLAN简介 VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 VLAN技术允

9、许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机不必放置在同一个物理位置，即这些计算机不一定属于同一个物理LAN网段。3、交换机安全的部署 5、交换机VLAN3、交换机安全的部署 5、交换机VLAN（2）VLAN划分的方法基于端口划分的VLAN基于MAC地址划分VLAN基于网络层协议划分VLAN根据IP组播划分VLAN按策略划分VLAN按用户定义、非用户授权划分VLAN1234交换机广播帧交换机收到广播帧后，只转发到属于同一VLAN的其他端口

10、。广播域广播帧广播域（3）VLAN的优越性增加了网络连接的灵活性控制网络上的广播增加网络的安全性3、交换机安全的部署 5、交换机VLAN1234交换机广播帧三、风险分析三、风险分析四、步骤介绍1、办公网络安全分析设计 2、办公网络路由器安全设置 具体步骤：包过滤控制访问列表；网络病毒的应对办法；远程登录telnet；IPSEC配置。3、办公网络交换机安全设置 具体步骤：基于交换机的访问控制列表安全策略；配置交换机的802.1X认证协议；禁用SNMP；使用SSH进行远程管理；交换机VLAN的构建。四、步骤介绍1、办公网络安全分析设计 1、办公网络安全分析设计 1 具体案例 要组建一个50位员工公

11、司的办公网络，该公司有如下的几个部门：A办公室（3人）、B人事部（3人）、C财务部（4人）、D市场经销部（12人）、E产品研发部（28人）等五大部门，参见办公网络平面示意图。2 网络用户及安全需求 假设该办公网络中A、B、D三区的用户需要访问Internet，而C、E二区的用户可根据具体情况，允许或不允许访问Internet；A、B、D三区用户间可以相互访问，但不可访问C、E二区的用户。 结合以上网络用户需求，如何通过对网络用户计算机、网络设备路由器、交换机进行相关的安全设置，以满足以上办公网络安全的需求。 由于A、B、C、D四区用户数量不多，可直接使用一个交换即可。E区用户数量较多，可单独使

12、用一个交换机。1、办公网络安全分析设计 1 具体案例1、办公网络安全分析设计 1、办公网络的组网及应用需求分析办公网络平面示意图1、办公网络安全分析设计 1、办公网络的组网及应用需求1、办公网络安全分析设计 3 规划设计方案为满足以上办公网络的需求，可提出如下的规划设计方案：（1）路由器、交换机的选型由于以上办公网络规划不大，对路由器、交换机的选型较为简单，可选用中低端产品即可满足以上网络用户的要求。（2）传输介质的选型在传输介质的选择方面，不必使用光纤，可使用5类或超5类双绞线即可。（3）网络安全规划设计为提高办公网络的安全性，在对办公网络进行安全规划设计时，可从以下三个方面进行。路由器的安

13、全设置交换机的安全设置VLAN的使用1、办公网络安全分析设计 3 规划设计方案2、办公网络路由器安全设置 1、包过滤控制访问列表安全需要日志主机地址：08：00-22：00 禁止报文送出串口禁止PC远程登录到路由器。如图所示。2、办公网络路由器安全设置 1、包过滤控制访问列表2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置命令#Routerinfo-center loghost 0 Router#Routerfirewall enable Router#Routerinterface Ethernet0/0ip address firewall packet-filter 3000

14、 inboundfirewall packet-filter 2000 outbound#Routerinterface Ethernet2/0ip address firewall packet-filter 3000 inbound#2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置命令Routeracl number 2000 match-order autoRouter-acl-2000rule 0 deny logging#Routeracl number 3000 match-order autoRouter-a

15、cl-3000rule 0 deny tcp destination 0 destination-port eq telnet loggingrule 1 deny tcp destination 0 destination-port eq telnet logging#Routertime-range time_range 08:30 to 18:30 daily2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置2、办公网络路由器安全设置2、对网络病毒的应对办法说明路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器是并不能识别的。需要手工配

16、置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。禁止端口号为135的tcp报文。禁止端口号为69的udp报文。禁止icmp报文。2、办公网络路由器安全设置2、对网络病毒的应对办法2、办公网络路由器安全设置 3、远程登录telnet（1）缺省情况:无需用户名和密码,均可telnet其连接拓扑如图所示。2、办公网络路由器安全设置 3、远程登录telnet2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置命令!Routerinterface Ethernet0Router-Ethernet0ip address !Routerinterface Serial0

17、Router-Serial0link-protocol ppp!Routerinterface Bri0Router-Bri0link-protocol ppp!quit2、办公网络路由器安全设置 当前路由器提示视图依次输入的配置2、办公网络路由器安全设置 （2）允许telnet: 只有正确的用户名和密码才可以telnet。当前路由器提示视图依次输入的配置命令!Routerlocal-user b service-type admin password simple b!Routerinterface Ethernet0Router-Ethernet0ip address !Routerint

18、erface Serial0Router-Serial0link-protocol ppp!Routerinterface Bri0Router-Bri0link-protocol ppp!quit2、办公网络路由器安全设置 （2）允许telnet: 只有正2、办公网络路由器安全设置 （3）禁止telnet:只允许特定IP地址设备telnet到路由器当前路由器提示视图依次输入的配置命令!Routerfirewall enableRouterlocal-user a service-type admin password simple aRouter!Routeracl 101Router-ac

19、l-101rule permit tcp source destination eq telnetRouter-acl-101rule deny tcp source any destination eq telnet!Routerinterface Ethernet0Router-Ethernet0ip address 2、办公网络路由器安全设置 （3）禁止telnet:只允许特3、办公网络交换机安全设置 （1）开启802.1X认证systemSystem View: return to User View with Ctrl+Z.S3026Edot1x802.1X is enabled g

20、lobally. 开启全局下的802.1X认证S3026Einterface ethernet1/0/2S3026E -Ethernet1/0/2dot1x802.1X is enabled on port Ethernet1/0/2开启端口ethernet1/0/2的802.1x认证。S3026E -Ethernet1/0/2quitS3026ES3026Elocal-user user01 添加新用户New local user added此时S3026E交换机的配置完成，已有了默认的system域和一个名为system的 Radius Scheme，即可使用802.1X认证。3、办公网络

21、交换机安全设置 （1）开启802.1X认证此时S3、办公网络交换机安全设置 S3026E -luser-user02password cipher 1234S3026E -luser-user02service-type lan-access 用户服务类型一定为lan-accessS3026E -luser-user02quitS3026ES3026Edisp domain system 查看system域The contents of Domain system:State = ActiveScheme = LocalAccess-limit = DisableVlan-assignment

22、-mode = IntegerDomain User Template:Idle-cut = Disable3、办公网络交换机安全设置 S3026E -luser-u3、办公网络交换机安全设置 Self-service = DisableMessenger Time = DisableS3026ES3026Edisp radius scheme 查看radius scheme（2）认证计算机上的操作Windows XP自带的802.1X认证客户端使用802.1x 认证客户端3、办公网络交换机安全设置 Self-service = D3、办公网络交换机安全设置 Windows XP自带的802.

23、1X认证客户端 图 “本地连接”属性上开启802.1x认证图 按照提示单击打开认证对话框3、办公网络交换机安全设置 Windows XP自带的8023、办公网络交换机安全设置 图 输入用名和密码图 认证后网络连通3、办公网络交换机安全设置 图 输入用名和3、办公网络交换机安全设置 使用802.1x 认证客户端图 使用802.1x 认证客户端输入用名和密码3、办公网络交换机安全设置 使用802.1x 认证3、办公网络交换机安全设置 图 使用802.1x 认证客户端反馈信息3、办公网络交换机安全设置 图 使用8023、办公网络交换机安全设置 3、禁用SNMP对于华为S3026E交换机，执行“no

24、SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭，可执行“disp SNMP”命令。4、使用SSH进行远程管理（1）配置访问控制规则只允许/24网段登录 SwitchAacl number 2000 SwitchA-acl-basic-2000rule deny source any SwitchA-acl-basic-2000rule permit source 55 （2）配置只允许符合ACL2000的IP地址登录交换机 SwitchA-ui-vty0-4acl 2000 inbound 3、办公网络交换机安全设置 3、禁用SNMP3、办公网络交换机安全设置 5、V

25、LAN的规划、配置及测试（1）VLAN的规划针对该公司的五个部门：A办公室（3人）、B人事部（3人）、C财务部（4人）、D市场经销部（12人）、E产品研发部（28人）等五大部门，参见图示1。为提高该办公网络的安全性，特别是财务部、产品研发部，其网络上的信息不想让太多人访问，可采用VLAN方法进行，具体规划见下表。注意：之所以把交换机的VLAN号从“2”号开始，那是因为交换机有一个默认的VLAN，即1号VLAN，它包括所有连在该交换机上的用户。VLAN 号VLAN 名端口号端口数部门2BRSSwitchA 2-1918办公室、人事部、市场经销部3CWSwitchA 20-234财务部4CPYFS

26、witchB 2-2928产品研发部3、办公网络交换机安全设置 5、VLAN的规划、配置及测试V3、办公网络交换机安全设置 （2）VLAN的配置流程VLAN的配置过程大致分二步进行：首先为各VLAN组命名，然后把相应的VLAN对应到交换机端口。第1步：设置好超级终端，连接上1900交换机，通过超级终端配置交换机的VLAN，连接成功后出现如下所示的主配置界面。1 user(s) now active on Management Console.User Interface MenuM MenusK Command LineI IP ConfigurationEnter Selection:说明：

27、超级终端是利用Windows系统自带的超级终端（HyperTerminal）程序进行的。3、办公网络交换机安全设置 （2）VLAN的配置流程3、办公网络交换机安全设置 第2步：单击K按键，选择主界面菜单中K Command Line选项 ，进入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit .第3步：输入enable命令进入特权模式，此时交换机的提示符为#。enableconfig tEnter configuration commands,one per line.End with

28、 CNTL/Z(config)#说明：进入交换机的普通用户模式，该模式只能查看配置，不能更改配置，需要进入“特权模式”。3、办公网络交换机安全设置 第2步：单击K按键，选择主界3、办公网络交换机安全设置 第4步：为图示1中的2个交换机命名，并且设置特权模式的登陆密码。仅以SwitchA为例进行介绍。(config)#hostname SwitchASwitchA(config)# enable password level 15 XXXXXXSwitchA(config)#说明：特权模式密码必须是4-8位字符，这里所输入的密码是以明文形式直接显示的，要注意保密。交换机用 level 级别的大小

29、来决定密码的权限。Level 1 是进入命令行界面的密码，即设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。 3、办公网络交换机安全设置 第4步：为图示1中的2个交换机命3、办公网络交换机安全设置 第5步：设置VLAN名称。因三个VLAN分属于二个不同的交换机，VLAN命名的命令格式为 vlan vlan号 name vlan名称 ，在SwitchA、SwitchB交换机上配置2、3、4号VLAN的代码为：SwitchA (config)#v

30、lan 2 name BRSSwitchA (config)#vlan 3 name CWSwitchB (config)#vlan 4 name CPYF 第6步：配置VLAN端口号（1）名为SwitchA的交换机的VLAN端口号配置如下：SwitchA(config)#int e0/2 SwitchA(config-if)#vlan-membership static 2 3、办公网络交换机安全设置 第5步：设置VLAN名称。3、办公网络交换机安全设置 SwitchA(config-if)#int e0/3SwitchA(config-if)#vlan-membership static

31、2SwitchA(config-if)#int e0/4SwitchA(config-if)#vlan-membership static 2SwitchA(config-if)#int e0/18SwitchA(config-if)#vlan-membership static 2SwitchA(config-if)#int e0/19SwitchA(config-if)#vlan-membership static 2SwitchA(config-if)#说明：int是interface命令缩写，是接口的意思。e0/3是ethernet 0/2的缩写，代表交换机的0号模块2号端口。3、办公网络交换机安全设置 SwitchA(config-i3、办