《内网安全》报告

本文格式为Word版，下载可任意编辑——《内网安全》报告

《内网安全》课程论文报告

海南大学

《内网安全》论文报告

题目：GREOverIPSecVPN多校区安全网络设计方案学号：

姓名：年级：学院：信息学院

系别：

专业：

指导教师：

完成日期：2023年5月2日

《内网安全》课程论文报告

目录摘要

摘要

随着互联网技术的发展，网络中的各种应用越来越丰富，校园网作为互联网的巨大分支，在学校特别是高校的办公中，扮演着越来越重要的角色。各种网络化的应用正在日渐深入到我们的日常工作，因此对于互联网的依靠也在逐渐加强。但是随着用户群的增加，网络安全在互联网中的重要性日趋明显，而多校区现象的出现，给网络安全带来更大的考验。

此外，为了充分发挥校园网为学校的教学、科研、信息交流、协同工作的作用，本文对多个校区的网络互连进行了研究，综合多方面考虑决定采用GREOverIPSecVPN技术实现多校区网络互连，同时又能保证内部保密数据安全地网络中进行传输。本文将以海南大学为基础，设计一套多校区安全网络解决方案，搭建网络拓扑结构，模拟构建了网络试验平台，配置了GREOverIPSecVPN，最终对配置的结果进行了试验，并通过了测试。为多校区校园网互连提供了一种安全的解决方案。

《内网安全》课程论文报告

目录

1绪论(1)

1.1研究背景(1)

1.2解决的主要问题(1)

1.3本论文的主要工作(1)

1.4论文的组织结构(2)2校园网安全特点与安全风险分析(2)

2.1校园网安全特点(2)

2.2校园网安全风险分析(3)

2.2.1

2.2.2

2.2.3

2.2.4

2.2.5

2.2.6物理层安全风险分析(3)接入层安全风险分析(3)网络层安全风险分析(5)应用层风险分析(5)系统安全风险分析(6)人员管理安全风险分析(7)3理论基础(8)

3.1VPN概念(8)

3.2GRE(9)

3.3IPSEC(9)

《内网安全》课程论文报告

3.4IPSEC与GRE两种技术的综合(10)4校园网安全方案的实现(10)

4.1物理层安全方案的实现(10)

4.2接入层安全方案的实现(11)

4.3多校区互联安全方案的实现(11)

4.3.1安全拓扑结构设计(11)

4.3.2GREOverIPSECVPN技术应用及测试(13)

4.4系统安全方案的实现(23)

4.5人工管理安全方案的实现(25)5不足之处(25)6总结与展望(25)

6.1总结(25)

6.2展望(25)

《内网安全》课程论文报告

1绪论

1.1研究背景

目前，好多高校的规模在不断扩大，导致网络规模不断扩展，多校区的教学模式越来越多地出现在各个高校。通过建设统一的校园网络，可以将不同校区的之间的教学管理、财务管理、后勤管理集中到一个系统内，有利于降低管理成本，而且可以减少多校区之间学科设计和管理的重复，充分实现教学资源的共享。在这种通信要求越来越高的状况下，如何整合各校区的网络系统安全地、可靠地、经济地实现校区间资源共享已经是大量高校面临的主要问题。

2023年8月14日，由华南热带农业大学与原海南大学合并组建新的海南大学，新海南大学的历史以原华南热带农业大学的创立时间为起点（1958年），面对校区的合并，校区资源的整合尤为重要，对此，VPN安全网络的的建设与应用势在必行。

为此，本文综合各VPN的特点最终决定采用目前较为安全、使用最广泛的IPsecVPN技术，此外，由于GRE技术支持对网络中组播和广播数据的安全封装，可用于封装路由报文协议，因此可以建立GREOverIPSecVPN的加密隧道，实现多校区的网络互连。

1.2解决的主要问题

本文以海南大学多校区网络互联为基础，通过对VPN等技术进行应用领域的摸索，分析了基于VPN技术的网络数据传输的安全性，最终将技术与海南大学多校区的实际状况相结合，建立一个基于VPN的多校区互联的安全网络结构模型，并进行了模拟试验。此外，并对校园网存在的安全问题提出了响应的解决方案。

1.3本论文的主要工作

本文以海南大学多校区网络互联为基础，搭建相应的互联网络拓扑结构，并在GNS3上模拟构建了网络试验平台，配置了GREOverIPSecVPN技术，最终对配置的结果进行了试验，并通过了测试，为多校区校园网互连提供了一种安全的解决方案。此外，本文还对目前校园网存在的安全风险进行分析，并在后文提供响应的解决方案，最终为多校区校园网络提供了较为全面的一套安全解决方

《内网安全》课程论文报告

案。

1.4论文的组织结构

本文共分为六大部分，第一章绪论部分主要介绍了本文产生的背景；其次章对目前的校园网安全特点及对校园网存在的风险进行详细的分析；第三章理论基础部分对本文运用到的理论知识进行了整理和归纳；第四章安全方案的实现部分，即根据校园网当前存在的风险分别制定了详细的解决方案；第五章对本文的设计方案进行了分析，论述其不足之处；最终一章，总结与展望则对本论文中提出的安全改造方案进行总结和展望。

2校园网安全特点与安全风险分析

2.1校园网安全特点

校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等提供资源共享、信息交流和协同工作的计算机网络。

组建一个具有高带宽、高可靠性、易扩展性、安全性和开放性的校园网络，它应广泛支持网络标准协议，提供校园内部及面向全球的、FTP、VOD、电子邮件等服务，实现与国际互联网的完全接轨：同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持，采用模块化结构设计，简单升级；还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。

建立校园网的目的就是为了实现以上所提到的主要功能，这就决定了校园网与其它企业网络的不同，因此在安全方面应具有如下特点：

①开放的网络环境。由于学校具有教学和科研的特点，所以要求校园网络的环境是开放的，而且在管理方面相比于企业网络来说更宽松一些，这样就会留下一些安全隐患。

②活跃的用户群。在高等学校中，在校学生寻常是最活跃的网络用户，而且数量十分巨大，人员滚动性大，他们对网络新技术充满好奇，敢于尝试。特别是一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行为可能对校园网络造成一定的影响和破坏。

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

③繁杂的计算机系统管理。高校中学尘的电脑一般是自己花钱购买、自己维护的，假使统一的管理这些电脑很不现实。另外，大多数用户基本上使用的是盗版软件或者是在互联网上下载的一些破解软件，这些软件存在好多的问题，例如留有后门、携带病毒等，这些将会影响计算机系统的IF常运行。以上这些状况下要求实施统一的安全策略十分困难的，一旦发生某些不可预计的问题，解决起来十分困难。

以上这些特点是造成校园网成为攻击发源地的主要原因，同时也造成校园网成为最简单攻击的目标。致使学校面临着一些安全性要挟，提出这些常见的安全问题，从而进一步得到解决刻不容缓。

2.2校园网安全风险分析

2.2.1物理层安全风险分析

网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工过程中应考虑如下本卷须知：

①必需优先考虑保护人和网络设备不受电、火灾和雷击的侵害；

②考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气

管道之间的距离；

③考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必需建设防雷

系统，防雷系统不仅考虑建筑物防雷，还必需考虑计算机及其他弱电耐

压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等

环境事故；

④电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截

获；高可用性的硬件；双机多冗余的设计；

⑤机房环境及报警系统、安全意识等，因此要注意这些安全隐患，同时还

要尽量避免网络的物理安全风险。

2.2.2接入层安全风险分析

针对网络其次层的攻击是最简单实施、也是最不简单被发现的安全要挟，它可以使网络瘫痪或者通过非法获取密码等敏感信息的方式来危及网络用户的安全。由于任何一个合法用户都能获取一个以太网端口的访问权限，而这些用户都

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

有可能成为黑客；同时，由于设计OSI模型的时候，允许不同通信层处于相对独立的工作模式，因此承载所有客户关键应用的网络其次层的安全就变得至关重要。因此，来自接入层的要挟直接影响着校园网络，也成为校园网络管理者最重视的问题。

根据安全要挟的特征分析，来自于网络其次层的攻击主要包括：MAC地址泛滥攻击、DHCF服务器欺骗攻击、ARP欺骗、IF／MAC地址欺骗。

①MAC地址泛滥攻击

交换机遇主动学习客户端的MAC地址，建立、维护端口和MAC地址的对应表，以此建立交换路径，这个表就是寻常我们所说的CAM表。MAC／CAM攻

击是指黑客利用攻击工具发送大量带有虚假源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时发往新目的MAC地址的数据包就会被广播到交换机的所有端口，交换机就会像HUB一样工作，黑客则可以利用sniffer工具监听所有端口的数据流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。

②DHCP服务器欺骗攻击

采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数，简化了用户网络设置。但在DHCP管理使用上也存在着一些问题，常见的有：DHCPserver的冒充，DHCPserver的DoS攻击，由于不防备配

置了DHCP服务器引起的网络混乱也很常见。黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器对应网段的所有地址被占用。此类攻击既可以造成DoS的破坏，也可和DHCP服务器欺诈结合，将流量重指到意图进行流量截取的恶意节点。

③ARP欺骗

ARP用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功能。

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

④IP／MAC地址欺骗

除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP／MAC欺骗，其目的一般为伪造身份或者获取针对IP／MAC的特权。此方法也被广泛用作DoS攻击，目前较多的攻击是：PingOfDeath、Synflood、ICMPUnreacheableStorm。

2.2.3网络层安全风险分析

路由器和三层交换机是网络层的网络连接设备，这些设备的合理设置为网络安全提供了保障。但是由于路由和三层交换设备设置的问题，同样会给网络带来安全问题。VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之问的通讯是需要有路由来完成的。当网络中的不同VLAN间进行相互通信时，需要路由的支持，既可采用路由器，也可采用三层交换机来完成。

校园网由于管理的需要划分了大量的VLAN，但是在划分VLAN、配置路由和三层交换机后，没有对不同VLAN实施访问控制，使得不同VLAN之间通过路由可以进行访问，从而给网络层攻击提供了可能：

①一个网段用户的蠕虫病毒攻击可以直接波及所有网段，造成内网拥塞或广泛传播；

②基于源地址欺骗的攻击方式在网络中通行无阻。大量应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

2.2.4应用层安全风险分析

校园网内有提供公众信息服务的服务器，如服务、FTP服务、E．MAIL、服务等。和操作系统提供的系统服务一样，这些应用服务假使存在漏洞也会给系统的安全带来极大的隐患。

①服务

作为学校宣传的重要窗口，服务扮演了重要的角色。假使服务器存在漏洞，可能造成的危害有：(a)攻击者非法篡改校园网，把不良内容带入校园网；(b)攻击者通过DoS技术攻击服务器，干扰其正常运行。

②FTP服务

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

FTP服务用于传输文件。假使使用了匿名FTP服务，就不需要口令，这时，匿名FTP服务的安全很大程度上决定于一个系统管理员的水平，一个低水平的系统管理员很可能会错误配置权限，从而被黑客利用而破坏整个系统。或者，假使提供FTP服务的软件存在漏洞，则也存在安全风险。

③电子邮件服务

电子邮件服务给人们提供了一种低廉、便利和快捷的服务，假使E．MAIL服务器存在漏洞，攻击者可以利用这些漏洞控制E．MAIL服务器，这将给使用E．MAIL服务器的用户构成极大的要挟。

④数据库服务

无论在校本部网管中心、各教学单位或行政办公网络中，都存在数据库管理服务器。假使数据库服务器存在安全漏洞(如：空口令等)，攻击者可以利用这些漏洞，控制数据库服务器，从而获取数据库中保存的信息，引起信息泄露；另外有些数据库采用的还是安全系数比较低的access数据库，十分简单通过其自身的漏洞对服务器造成要挟。

2.2.5系统安全风险分析

所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。操作系统是计算机系统的内核与基石，是应用软件同系统硬件的接口，其目标是高效地、最大限度地、合理地使用计算机资源。在信息系统安全涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心，没有系统的安全就没有信息的安全。作为系统软件中最基础部分的操作系统，其安全问题的解决又是关键中之关键。若没有安全操作系统的支持，数据库就不可能具有存取控制的安全可信性，就不可能有网络系统的安全性，也不可能有应用软件信息处理的安全性。因此，安全操作系统是整个信息系统安全的基础「列。操作系统安全风险主要有:

①操作系统的漏洞是无法避免的，在新版操作系统弥补旧版本中漏洞的同时，还会引入一些新的漏洞。

②端口是服务器提供网络服务的主要通道，端口的担忧全管理将会给非法者提供入侵的跳板。

③用户账户是计算机安全设置的重要对象，具有高权限的账户是黑客主要

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

的攻击目标。

④资源共享是Windows系统的重要功能之一，共享资源权限授权管理的不足将会给系统及数据造成极大的安全隐患。

⑤Internet信息服务是用于配置应用程序池或网络站点的工具，其安全运行是正常提供网络服务的基础。

2.2.6人员管理风险分析

人是一个单位最大的漏洞，无论在单位的内外，人都是一种要挟。人的要挟分为两种，一种是以操作失误为代表的无意要挟(偶然失误)，另一种是以计算机犯罪为代表的有意要挟(恶意攻击)。人工管理是安全网络中最为薄弱的环节，该环节管理的好坏对网络安全起着举足轻重的作用。

人工管理存在着如下的一些安全风险:

①数据库管理员或把握重要信息的员工在某种利益的驱使下，通过非法途径将信息泄露。

②网络管理员、系统管理员安全意识淡薄，为了便利省事，设置简单的口令，易遭到破解。为多个用户提供一致的账号，造成管理混乱、责任不清，易引起信息泄露。

③网络管理员、系统管理员将网络设备或信息系统管理员账号泄露给其他人员，增大网络瘫痪或信息泄露的可能性。

④重要网络节点、服务器机房出入人员混乱，给网络设备的正常运行造成较大安全隐患。

⑤责权不明，安全管理制度不健全及缺乏可操作性等都可能引起安全风险。

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

图2.1网络安全中存在的要挟

3理论基础

3.1VPN概念

虚拟专用网VPN（VirtualPrivateNetwork）指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接，能够利用Internet或其它公共互联网络的基础设施为用户创立隧道，并提供与专用网络一样的安全和功能保障。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

图3.1VPN的功能实现

3.2GRE

通用路由封装协议（GenericRoutingEncapsulation，GRE）是VPN的第三层隧道协议，即在协议层之间采用了一种被称之为Tunnel（隧道）的技术。GRE是对某些网络层协议（如IP、IPX、AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE协议栈如图3.2所示，GRE并未对数据进行加密，仅将IP数据包加上GRE头后封装在IP数据项内，寻常用来构建站点到站点的VPN隧道。GRE技术的最大优点是可以对多种协议、报文进行封装，并封装在隧道中安全传输，所以GRE寻常可用于需要在VPN隧道中传递路由信息的场合。它的缺点是不提供对数据的保护（如加密），只能提供简单的隧道验证功能。

图3.2GRE协议栈

3.3IPSEC

IPSec（IPSecurity）是目前VPN使用率很高的一种技术，同时提供VPN和信息加密两项技术。IPSec的目的是保证IP数据包传输时的安全性，它不是一

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

个单独的协议，而是一个框架性架构，具体由AH、ESP和IKE三类协议组成，其中AH、ESP协议为安全协议，IKE为密钥管理协议。IPSec使用了多种加密算法、散列算法、密钥交换方法等为IP数据量提供安全性，它可以提供数据的机密性、数据的完整性、数据源认证和防重放等安全服务。

IPSec技术的优点是是能够保障数据的安全传输，缺点是不能够对网络中的组播报文进行封装，所以常用的路由协议报文无法在IPSec协议封装隧道中传输。

3.4IPSEC与GRE两种技术的综合

针对IPSec和GRE技术的优缺点，这时可以综合运用GRE和IPSec两种技术，利用GRE技术来对用户数据和路由协议报文进行隧道封装，然后通过IPSec技术提供的安全措施保护GRE隧道中数据的安全，这两种技术的综合使用，即构成了GREOverIPSecVPN技术。

4校园网安全方案的实现

4.1物理层安全方案的实现

物理安全是整体网络安全的基础，网络设备或线路出现硬件故障，网络的安全性则无从谈起，其他一切安全措施均无法发挥作用，其重要性不言而喻。根据之前对办公网物理安全的分析，下面主要从完善制度、优化核心机房供电、加强网络节点安全性等方面进行方案实现。

4.1.1完善机房管理制度

为了确保网络核心设备机房、网络节点、线缆的物理安全，制定了《办公网机房管理制度》和《办公网机房施工管理制度))。

4.2.2优化核心机房供电模式

电源室配备专用大功率柴油发电机组和专业的维护人员，可确保供电万无一失，即确保了核心设备的供电安全，使设备正常运行无后顾之忧。

4.2.3加强网络节点的安全性

使用机械锁限制非维护人员对办公网网络节点设备的操作。机械锁作为最简单的安全工具，看似不起眼，但其作用可谓不小，针对防范目标是办公网的状况，

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

在每个节点设备的机箱上加一把锁就可以达到限制非维护人员对网络节点设备的操作。

4.2接入层安全方案的实现

接入层可由RG2126和RG2150工作组交换机构成。其主要功能是为校园区中

的网络用户提供高性价比的100M网络接口，实现用户的宽带接入。并与集聚层通过千兆链路互连，为接入的用户提供高速上连。在接入层全部采用安全智能无阻塞架构的全线速接入交换机，提供千兆上行、百兆到桌面，并提供强大的安全功能，从而在接入层对常见的病毒和攻击进行防护。

RG．S2126交换机的主要安全特性是：

①高安全智能ACL特性防止病毒及网络攻击；

②基于交换机的三元素绑定实现用户身份唯一；

③基于802．IX认证系统的六元素绑定保障网络安全、运营、计费；

④丰富的生成树协议提供网络高可靠性；

⑤灵活的VLAN划分和PVLAN技术；

⑥多样的管理方式。

4.3多校区互联安全方案的实现

4.3.1安全拓扑结构设计

试验设备：Ciscoc37004台；Cisco36003台（模拟真实PC）

调试环境：GNS3,SecureCRT

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

图4.1路由器构建GREoverIPSecVPN网络拓扑

IP地址规划设计：

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

表一IP地址规划图拓扑说明：

海南大学目前分为三个校区，海甸主校区和城西校区分别位于海口市的美兰区和城西区，儋州校区位于儋州市，各网络相互独立，通过VPN将两市三地独立的校园网互连起来。

为了较为真实地模拟多校区校园网络的互连，搭建了图4.1所示的网络拓扑结构图，其中路由器海甸校区、城西校区和儋州校区分别模拟位于不同地区校园网的出口路由器，路由器ISP即运营商，模拟公共的Internet网络，此外，由于GNS3模拟器的限制，各校区的终端PC只能使用路由器来模拟，并主要用于测试。

4.3.2GREOverIPSECVPN技术应用及测试

（1）基本配置

对路由器ISP、haidain、chengxi、danzhou、pc_haidian、pc_chengxi、pc_danzhou进行基本配置，具体端口IP地址配置如表1所示。

①PC机的基础配置(仅以海甸校区pc为例)

Pc_haidian(config)#noiprouting//关闭路由功能，模拟PC机

Pc_haidian(config)#

Pc_haidian(config)#intfa1/0

Pc_haidian(config-if)#ipadd

Pc_haidian(config-if)#ipdefault-gatewat255.255.255.//设置默认网关

Pc_haidian(config-if)#noshut

②分校区的基础配置（仅以海甸校区路由为例）

haidian#conft

《内网安全》课程论文报告

GREOverIPSecVPN多校区安全网络设计方案

haidian(config)#intfa0/0

haidian(config-if)#ipadd52

haidian(config-if)#noshut

haidian(config-if)#intfa0/1

haidian(config-if)#ipadd

haidian(config-if)#noshut

haidian(config-if)#exit

haidian(config)#iproute//设置默认路由指向ISP

③ISP的基础配置

ISP#conft

ISP(config)#intfa0/0

ISP(config-if)#ipadd52

ISP(config-if)#noshut

ISP(config-if)#intfa0/1

ISP(config-if)#ipadd52

ISP(config-if)#noshut

ISP(config-if)#intfa1/0

ISP(config-if)#ipadd52

ISP(config-if)#noshut

（2）配置GRE隧道

①配置路由器“haidian〞

第一步：配置海甸-城西的通信隧道

haidian#conft

haidian(config)#interfacetunnel1//创立序号为1的通道

//为通道设置IP地址haidian(config-if)#ipaddress

haidian(config-if)#tunnelsourcefastEthernet0/0//设置隧道的源接口或源地址h