中小型企业网络设计及安全实现

长春理工大学光电信息学院毕业设计编号本科生毕业设计中小型企业网络设计及平安实现NetworkDesignAndSecurityofSmallAndMediumSizedEnterprises学生姓名王振阳专业软件工程学号1242130指导教师陈刚分院信息工程分院2023年6月摘要经过对中小型企业网络现状分析，组建一套适合企业自身的网络环境是十分必要的，本文通过网络构建的设计方案、基于平安的网络根本配置方案、网络管理方案三方面，主要运用了HTTP、DNS、FTP、DHCP应用效劳器来实现一个企业网络间接入与访问,并且建设了一种中小型网络的平安方案。在对中小型网络系统有了确切的了解之后，将局域网总体子网划分为三个平安等级，每个等级中包含假设干子网，各类子网设置了各自的平安策略。按照计算机网络平安设计的目标及其计算机网络平安系统的总体规划，对计算机网络平安问题进行了全面的分析。依照各个平安等级的平安需求，设计了中小型网络的平安方案。在满足各子网系统建设的前提下，提出了包括病毒防护、动态口令身份认证、平安审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和平安技术在内的整套解决方案。目的是建立一个完整的、立体的网络及平安防御体系，使网络及平安系统真正获得较好的效果。关键词：局域网网络管理子网划分病毒防护效劳器AbstractThroughtheanalysisofthestatusofsmallandmedium-sizedenterprisenetwork,theformationofanetworkenvironmentsuitablefortheenterpriseitselfisverynecessary,throughnetworkbuildingdesign,safenetworkconfiguration,networkmanagementschemebasedon,themainuseoftheHTTP,DNS,FTP,usingDHCPservertoachieveaenterprisenetworkaccess,andtheconstructionofasecureschemeforasmallnetwork.Afterthesmallandmedium-sizednetworksystemhasacertainunderstanding,thelocalareanetworkisdividedintothreesecuritylevels,eachofwhichcontainsanumberofsubnetwork,allkindsofsubnetworksetuptheirownsecuritypolicy.Accordingtothegoalofcomputernetworksecuritydesignandtheoverallplanofthecomputernetworksecuritysystem,acomprehensiveanalysisismadeonthecomputernetworksecurityproblem.Accordingtothesecurityrequirementsofeachsecuritylevel,thesecurityschemeofthemediumandsmallscalenetworkisdesigned.Inthepremiseofsatisfyingeachsubnetworksystemconstruction,includingvirusprotection,dynamicpasswordidentityauthentication,securityauditmanagement,accesscontrol,informationencryptionstrategiesandintrusiondetectionsystemdeployment,vulnerabilityscanningsystemmanagementandsafetytechnology,setofsolutionsproposed.Thegoalistoestablishacomplete,three-dimensionalnetworkandsecuritydefensesystem,sothatthenetworkandsecuritysystemtoreallygetbetterresults.KeyWords：LANNetworkmanagementSubnetworkpartitioningVirusprotectionServer绪论计算机网络是计算机技术与通信技术结合的产物。自从20世纪60年代计算机网络开展至今，计算机网络对现代人的生产、经济、生活等各个方面都产生了巨大的影响。在过去的20多年里，计算机和计算机网络技术取得了惊人的开展。处理和传输信息的计算机网络已经成为了信息社会的命脉和开展知识经济的重要根底，不管是企事业单位、社会团体或个人，他们的生产效率和工作效率都由于使用计算机和计算机网络技术而有了实质性的提高。在当今的信息社会中，人们不断地依靠计算机网络来处理个人和工作上的事务，而这种趋势也使得计算机和计算机网络发挥出更强大的功能。Internet网络是目前主要的网络构建模式。本文通过实际的应用案例给出了构建Internet[1]网络的系统设计过程。在案例中省去了一些无关紧要的内容，突出了重要的技术环节，有助于中小企业构建Internet时作为参考的依据。局域网系统正逐渐成为不少兴旺国家教育机构、院校或部门的重要组成局部[2]，既是企业网络应用的根底，也是企业网站建设的前提。原因很简单，没有局域网的中小型企业通常都不会搭建自己的网站。利用网络不仅可以把这一切做得更好，而且还能完成许多单机所无法想象的任务，比方打印共享、文件传输、协同工作和资源共享等等，从而极大地提高工作效率，减少设备资金投入，为企业带来极大的利润。国际标准化组织(IS0)对计算机系统平安的定义是为数据处理系统建立和采用的技术和管理的平安保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。从此我们可以看出网络系统平安单靠某些平安技术手段是缺乏以完全解决问题是的，而且网络攻击手段不断变化[3]，病毒木马不断升级，故此对应的防御手段也需要不断进行更新与强大以此抗击外界的网络系统的干扰。在这样的形势下，以保护网络中的信息免受各种攻击为根本目的网络平安变得越来越重要。网络平安威胁一般分为外部闯入、内部渗透和不当行为三种类型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据;不正当行为是指用户虽经授权，但对授权数据和资源的使用不合法或滥用授权。网络自身的缺陷、开放性以及黑客的攻击是造成网络不平安的主要原因。由于计算机网络最重要的资源是它向用户提供的效劳及所拥有的信息，因而计算机网络的平安性可以定义为：保障网络效劳的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络效劳，后者那么要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立平安的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络效劳的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响[4]。一个平安的计算机网络应该具有以下几个特点：1.可靠性是网络系统平安最根本的要求。可靠性主要是指网络系统硬件和软件无故障运行的性能。2.可用性是指网络信息可被授权用户访问的特性，即网络信息效劳在需要时，能够保证授权用户使用。3.保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的根底上保证网络信息平安的非常重要的手段。保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容。4.完整性是指网络信息未经授权不能进行改变的特性，即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保也称做不可否认性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。从技术角度看，网络平安的内容大体包括4个方面：1.网络实体平安2.软件平安3.网络数据平安4.网络平安管理由此可见，计算机网络平安不仅要保护计算机网络设备平安，还要保护数据平安等。其特征是针对计算机网络本身可能存在的平安问题，实施网络平安保护方案，以保证算机网络自身的平安性为目标。第一章需求分析随着近年来企业信息化建设的深入，企业的运作越来越融入到计算机网络中中小型企业利用网络实现内部的数据流转、实现与外界的实时交流、实现网络效劳与应用等。例如文件传输、资源共享、打印共享和协同工作等等。中小型企业构建网络能够极大地提高工作效率，减少设备资金投入。由于当前计算机都带有网络设备，所以在组网的时候只需配置网线，交换机等设备。除了这些根本的需要外，用于充当效劳器的计算机还必须对内存和硬盘容量等硬件进行一些必要的升级过更新，使其能够更好的效劳所有用户。例如，效劳器需要为每个部门的员工提供一定的私有空间及公用空间，因此必须要有超大容量的硬盘。网络上的要求稳定，有平安机制，升级扩展容易，用户使用简单，维护容易等;系统要求配置简单方便，系统运行有高稳定性，可管理性等;用户要求,满足根本带宽[5]要求，保存一定的余量供扩展等;设备要求技术上具有先进性，易管理，具有良好的性价比。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供给商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中小企业。通过网络建设能够实现企业内部资源的共享，降低企业本钱，可以更好的与外界进行沟通，让外部更加了解企业。目前中小型企业建设过程中，存在很多问题，如有些中小型企业不考虑自身需求，一味追求高性能，构建的网络往往造成不必要的浪费；或另一方面，有些中小型企业建成的网络根本达不到应用本身对网络的需求。企业网络应分为内部网络和外部网络两个局部，其中还包括在这两局部上的实际应用，中小型企业在网络设计之初就应该充分考虑到自身的需求，通过这些需求来具体设计适合自己需求的网络。因此，在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。第二章网络系统设计2.1网络系统设计规划2.1.1网络设计指导原那么网络设计应该遵循开放性和标准化原那么、可用性原那么、高性能原那么、经济性原那么、可靠性原那么、平安第一原那么、适度的可扩展性原那么、易管理性原那么、易维护性原那么、最正确的性能价格比原那么、QoS保证2.1.2网络设计总体目标灵巧性：系统具有较高的适应变化的能力。布线系统且具有一定的扩展能力。实用性：使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料本钱；布线系统具有操作简单、使用方便、易于扩展的特点。平安性：具有高平安性。2.1.3网络通信联网协议TCP/IP：每种网络协议都有自己的优点，但是只有TCP/IP允许与Internet完全的连接。Telnet：远程登录访问协议，使其他跨省区域的用户通过远程访问总部的内外，在远程访问时，会设置相应的ACL认证和相对的权限设置。SNMP网络管理协议：SNMP用于在IP网络管理网络节点〔效劳器、工作站、路由器、交换机及HUBS等〕的一种标准协议，它是一种应用层协议。SNMP使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过SNMP接收随机消息〔及事件报告〕网络管理系统获知网络出现问题。路由协议：OSPF。2.1.4网络IP地址规划企业园区网方案使用私有的A类IP地址。企业园区网的IP地址分配原那么如下：企业使用IPv4地址方案。企业使用私有IP地址空间：/8。企业使用VLSM(变长子网掩码)技术分配IP地址空间。企业IP地址分配满足集团的利用。企业IP地址分配满足便于路由会聚。企业IP地址分配满足分类控制等。企业IP地址分配满足未来公司网络扩容的需要。2.1.5网络设备方案设计1.路由器：CISCO2811参考价：5200思科2811路由器采用模块化端口结构，传输速率10/100Mbps设置一个10/100Mbps固定广域网接口，2个固定局域网接口10/100Mbps，支持4个扩展模块插槽，1个NM插槽和1个Console控制端口，配有RS-232的控制端口。该产品搭载MotorolaMPC860160MHz的处理器，配备最大256MB的Flash闪存和最大760MB的DRAM内存，极大的提高了该产品的平安性能。思科2811支持IEEE802.3X[6]网络协议以及SNMP网管协议，同时还配备CiscoClickStart网管软件，支持VPN-虚拟专用网，以及QoS，协议方面支持比拟完善。平安方面，2811内置了防火墙，并支持UL60950:CAN/CSAC22.2No.60950、IEC60950、EN60950-1、AS/NZS60950等众多平安标准，为企业用户提供更平安的网络效劳。2.三层交换机：采用友讯网络〔D-Link〕DES-3326参考价：6300元DES-3326是友讯网络公司推出的一款可网管、支持千兆的10/100M智能三层交换机，是一款线速第三层交换机，提供了24个10/100BASE-TX端口及1个扩展插槽，可扩展2个可选千兆以太网端口。DES-3326交换机将第二层线速交换及第三层IP路由以及效劳质量(QoS)有机集成为一体，并可采用支持SNMP标准的网管系统进行配置、监控和管理。DES-3326交换机前面板插槽可选插2口千兆模块，不同模块可支持1000BASE-SX、1000BASE-T标准。所有模块支持流量控制和全双工，可处理大量数据。支持优先级队列和QoS机制，优先级队列功能可以根据数据交换的重要性进行排队，优先交换重要数据。该款交换机具有端口聚合功能，最大可将8个10/100Mbps端口聚合成一个端口，而聚合之后的这个端口性能非常强大，这项功能主要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用，而这项功能最主要的应用场合是VLAN划分，VLAN划分需要设置会聚链路，而会聚链路对带宽要求非常高，通过端口聚合功能可提供一个高带宽的端口。DES-3326支持SNMP管理和RMON监控功能，并且还支持端口镜像功能，通过这些功能，管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。DES-3326交换机还提供了流量控制功能，支持VLAN划分，提供了冗余电源接口等。3.二层交换机：D-LinkDES-1024D参考价：530它符合百兆以太网标准，提供了24个自适应全/半双工10/100Mbps端口，可自动判断连入设备的类型提供相应的连接方式和带宽。另外利用配备的16K的MAC地址表和2.5MB缓存，它可以利用IEEE802.3x[7]流量控制技术动态将缓存分配到各个端口，保持网络畅通。2.2网络拓扑图如下列图2.1所示图2.1网络拓扑图2.3IP地址规划1.VLAN10财务部IP地址：～54网关;542.VLAN20营销部IP地址：～54网关：543.VLAN30工程部IP地址：～54网关：544.VLAN40人事部IP地址：～54网关：542.4网络设备选型网络设备是指集线器、交换机、路由器、效劳器和网络存储设备等。布线决定着网络所能够提供的最大潜在带宽，集线设备即集线器和交换机决定着网络当前能够提供的最大网络带宽，路由器决定着网络之间或网络与Internet之间的连接速率。网络设备就像F1赛道上的汽车，决定最高时速的只有其排量和性能。2.4.1集线器的选型目前，集线器作为一种廉价的集线设备，主要广泛应用于数据传输量不大，用户数量不多的小型网络，或作为中型网络的一种补充。2.4.2交换机的选型选择交换机时，应选择在国内市场上有相当的份额，具有高性能、高可靠性、高平安性、高可扩展性、高可维护性的产品，如中兴、3Com、华为的产品市场份额较大。既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、良好的售后效劳，否那么买回的交换机出现故障时既没有技术支持又没有产品效劳，使企业蒙受损失。2.4.3路由器的选型采用成熟的、经实践证明其实用性的技术。所使用的设备应支持VLAN划分技术、HSRP〔热备份路由协议〕技术、OSPF等协议，保证网络的传输性能和路由快速改敛性，抑制局域网内播送风暴，减少数据传输延时；不盲目追求高性能产品，要购置适合自身需求的产品。2.4.4效劳器的选型为了保证网络的正常运转，用户选择的效劳器首先要确保稳定。在具体选购效劳器时，用户应该考察厂商是否有一套面向客户的完善的效劳体系及未来在该领域的开展方案。第三章网络平安的方案设计3.1中小型公司网络平安系统设计3.1.1平安体系结构网络平安体系结构主要考虑平安机制和平安对象，平安对象主要有网络平安、信息平安、设备平安、系统平安、数据库平安、信息介质平安和计算机病毒防治等。还以此为根基对企业网络的平安建设进行了研究并提出建立方位性强、多层次、细致全面的网络平安解决方案[8]。3.1.2平安体系层次模型按照网络OSI的7层模型，网络平安贯穿于整个7层。针对网络系统实际运行的TCP/IP协议，网络平安贯穿于信息系统的4个层次。1.物理层。物理层信息平安，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。2.链路层。链路层的网络平安需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN、加密通讯等手段。3.网络层。网络层的平安要保证网络只给授权的人员使用授权的效劳，保证网络路由正确，防止被监听或拦截。4.操作系统。操作系统平安要求保证客户资料、操作系统访问控制的平安，同时能够对该操作系统上的应用进行平安审计。5.应用平台。应用平台指建立在网络系统之上的应用软件效劳，如数据库效劳器、电子邮件效劳器、Web效劳器等。由于应用平台的系统非常复杂，通常采用多种技术来增强应用平台的平安性。6.应用系统完成网络系统的最终目的是为用户效劳。应用系统的平安与系统设计和实现关系密切。应用系统使用应用平台提供的平安效劳来保证根本平安，如通讯双方的认证，通讯内容平安，审计等手段3.1.3平安体系设计平安体系设计原那么在进行计算机网络平安设计和规划时，应遵循以下原那么：1.需求、风险、代价平衡分析的原那么对任一网络来说，绝对平安难以到达，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承当的风险进行定性与定量相结合的分析，然后制定标准和措施，确定本系统的平安策略。保护本钱与被保护信息的价值必须平衡，价值仅2万元的信息如果用6万元的技术和设备去保护是一种不适当的保护。2.综合性、整体性原那么运用系统工程的观点、方法，分析网络的平安问题，并制定具体措施。一个较好的平安措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络平安中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。3.一致性原那么这主要是指网络平安问题应与整个网络的工作周期同时存在，制定的平安体系结构必须与网络的平安需求相一致。实际上，在网络建设之初就应考虑网络平安对策，比等网络建设好后再考虑，不但容易，而且花费也少很多。4.平安、可靠性原那么最大保证系统的平安性。使用的信息平安产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其平安性;对工程实施过程实现严格的技术管理和设备的冗余配置，保证产品质量，保证系统运行的可靠性。5.先进、标准、兼容性原那么先进的技术体系，标准化的技术实现。6.易操作性原那么平安措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了平安性。其次，采用的措施不会影响系统正常运行。7.适应性、灵巧性原那么平安措施必须能随着网络性能及平安需求的变化而变化，要容易修改、容易适应。8.多重保护原那么任何平安保护措施都不是绝对平安的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，还有其它层保护信息的平安。平安管理的实现信息系统的平安管理部门应根据管理原那么和该系统处理数据的保密性，制订相应的管理制度或采用相应标准，其具体工作是：1.确定该系统的平安等级。根据确定的平安等级，确定平安管理的范围。2.制订相应的机房出入管理制度。对平安等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。3.制订严格的操作规程。操作规程要根据职责别离和多人负责的原那么，各负其责，不能超越自己的管辖范围。4.制订完备的系统维护制度。维护时，要首先经主管部门批准，并有平安管理人员在场，故障原因、维护内容和维护前后的情况要详细记录。5.制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。6.建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。平安系统需要由人来方案和管理，任何系统平安设施也不能完全由计算机系统独立承当系统平安保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统平安方面的各项措施。网络平安设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和平安特性也不同，因而其网络平安措施也不相同。对网络进行级别划分与控制，网络级别的划分大致包括外网与内网等，其中Internet外网的接口要采用专用防火墙，各网络级别的接口利用物理隔离设备、防火墙、平安邮件效劳器、路由器的可控路由表、平安拨号验证效劳器和平安级别较高的操作系统。从技术角度来看，入侵检测技术可划分为两种[9]，一种是异常检测模型，第二种是误用检测模型增强网络互连的分割和过滤控制，也可以大大提高平安保密性。3.2平安产品的配置与应用3.2.1防病毒及特洛伊木马软件为了实现在整个局域网内杜绝病毒的感染、传播和发作，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络采用上机机房与办公区相别离的结构。1.在企业机房的WindowS2000效劳器上安装瑞星杀毒软件网络版的系统中心，负责管理2000多个员工主机网点。2.在各办公室分别安装瑞星杀毒软件网络版的客户端。3.安装完瑞星杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4.网络中心负责整个企业网的升级工作。为了平安和管理的方便，由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等)，然后自动将最新的升级文件分发到其他2000多个主机网点的客户端与效劳器端，并自动对瑞星杀毒软件网络版进行更新。在平安级别较高的子网采用的防病毒措施为：1.客户端防毒：采用趋势科技的Officescan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵巧的产品集中部署方式，不受WindowS域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯W己b的部署方式。2.邮件防毒：采用趋势科技的SacllMailforNoteS。该产品可以和Domino的群件效劳器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNoteS的数据库及电子邮件，实时扫描并去除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。3.效劳器防毒：采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面使所有效劳器的防毒系统可以从单点进行部署，管理和更新，另一方面减少了整个防毒系统对原系统的影响，Serve少rotect产品支持WindowsNT/2000、NovellNetware，同时ServerProtect是业界第一款支持Lin吧平台的防病毒产品。3.2.2动态口令身份认证方案动态口令身份认证具有随机性、动态性、一次性、不可逆等特点，不仅保存了静态口令方便性的优点，而且很好地弥补了静态口令存在的各种缺陷。动态口令系统在国际公开的密码算法根底上，结合生成动态口令的特点，加以精心修改，通过数十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此根底上，采用先进的身份认证及加解密[10]流程、先进的密钥管理方式，从整体上保证了系统的平安性。本网络系统采用南京众力科技有限公司生产的VPN动态口令身份认证系统。VPN动态口令身份认证系统主要由以下几个主要模块组成：认证系统管理员界面、帐号管理效劳器(UAM)、RADIUS认证效劳器、NAS(网络接入效劳器采用带VPN功能的防火墙，例如：NOKIAIP380)、ORACLE数据库管理系统、VPN客户端、防火墙管理软件(例如：NOKIA防火墙软件CheekPointExpress)。VPN用户从顶temet远程访问内部网络，需要对用户身份进行认证，允许合法的用户访问网络，不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险，而采用动态口令作为密码，真正做到一次一密，即每次用户通过身份认证后本次密码立即失效。用户下次登录时，通过VPN客户端获得新的密码，并通过手机短信将新密码发送给用户。采用该方案后，在中小型公司的认证系统中能够实现：1.密钥/时间双因素的身份认证机制;2.登录口令随时间变化;3.口令使用次数和时效自由控制，有效抵御重播攻击行为;4.开放的应用程序接口，与应用系统方便集成;5.使用经过国家认可的自主密码算法，具有优秀的平安性;6.提供客户端设备与认证效劳器之间的时间补偿机制，提高系和可用性7.用户端设备设计小巧，性能稳定，使用方便;8.提供完善灵巧的平安事件日志审计和查询功能。9.网络数据流窃听(Sniffer)10.认证信息截取/重放(Reeord/Rplay)11.字典攻击12.穷举尝试(BruteForee)3.2.3访问控制：防火墙系统防火墙是目前最为流行、使用最广泛的一种网络平安技术，它的核心思想是在不平安的网络环境中构造一个相对平安的子网环境。防火墙主要用来执行两个网络之间的访问控制策略，它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙是一种隔离控制技术，可以作为不同网络或网络平安域之间信息的出入口，能根据企业的平安策略控制出入网络的信息流，且本身具有较强的抗攻击能力。通过在网络入口点检查网络通讯数据，根据预先设定的平安规那么，提供一种平安的网间网数据通讯。现在市场上的防火墙产品品种繁多，例如全球领先的网络解决方案供给商思科公司、Checkpoint软件技术公司[11]、网屏技术公司，天融信、东软等。防火墙主要有三种类型：包过滤型、代理效劳器型、全状态包过滤型。防火墙的使用是非常灵巧的，可以在以太网络的任意部位进行链路上分割，构成平安的网络范围。中小型公司平安网由多个具有不同平安信任度的网络局部构成，在控制不可信连接、分辨非法访问、区分身份伪装等方面存在着很大的缺陷，从而构成了对网络平安的重要隐患。防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase数据库、SQL数据库等主流应用。当然，对不同的控制点，对防火墙的要求会不完全一样。有效地反映网络攻击，保证网络系统及其业务的可用性、可靠性。要适合中小型公司网络接入模式、接口标准、带宽要求，防火墙不能成为网络或业务的瓶颈。防火墙要符合国家相关标准和标准。防火墙要具有很高的可靠性，不会降低网络系统现有的可靠性。深层日志及灵巧、强大审计分析功能，提供丰富的日志信息，用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息，可详细审计命令级操作，便于入侵行为的分析和追踪，通过分析此数据状态来判断是否让链接通过[12]。大大提高防火墙的审计分析的有效性。更好地支持业界公认的TOPSEC协议，防火墙应具有联动功能，能够实现与入侵检测设备的通讯。采用独创的最新最先进核检测技术，即基于OS内核的会话检测技术，在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。第四章网络效劳器的安装与配置4.1网络配置4.1.1VLAN配置如下列图4.1所示：图4.1VLAN配置4.1.2路由配置如下列图4.2所示图4.2路由配置4.2效劳器配置4.2.1DNS配置1.在“Windows组建向导〞窗口添加“网络效劳〞中的“域名系统〔DNS〕〞并安装，过程如下列图4.3-4.4所示。图4.3组件向导图4.4网络效劳2.翻开“开始〞菜单，单击“程序〞→“管理工具〞→“DNS命令〞，翻开DNS窗口，选择要创立搜索区域的DNS效劳器，如下列图4.5所示。图4.5新建区域向导3.单击“操作〞→“创立新区域〞命令，系统启动“新建区域向导〞对框，该向导将引导用户创立新区域，如下列图4.6所示。图4.6区域类型4.单击“下一步〞，步骤如下列图4.7-4.9所示。图4.7区域名称图4.8创立新区域文件图4.9完成新建区域向导4.2.2HTTP配置1.在“Windows组建向导〞窗口添加“应用程序效劳器〞中的“IIS〞并安装，过程如下列图4.10-4.11所示。图4.10组件向导图4.11应用程序效劳器2.翻开“开始〞菜单，单击“程序〞→“管理工具〞→“IIS管理器〞，翻开IIS管理器窗口，选择“默认网站〞→“属性〞，如下列图4.12-4.15所示。图4.12属性主目录图4.13属性网站图4.14属性目录平安性图4.15身份验证方法4.2.3配置三层交换机和DHCP效劳器1.配置三层交换机如图4.16所示：某网络中心采用一台DHCP效劳器为用户分配IP地址，三层交换机作为DHCP效劳器的中继，并且为每个楼宇划分了不同的Vlan。要求每个楼宇的计算机都能自动的获得自己的IP地址。请配置三层交换机和DHCP效劳器以实现上述目的。图4.16三层交换机〔1〕创立VLAN(缺省为VTPserver模式)：Switch>vandatabaseSwitch(Van)>vlan10nameclient1Switch(Vlan)>vlan20nameclient2Switch(vlan)>vlan30nameclient3Switch(vlan)>exit〔2〕启用DHCP中继代理：Switch>enableSwitch#conftSwitch(Config)#servicedhcp〔3〕设置VLANIP地址：Switch(Config)>intvlan10Switch(Config-vlan)ipaddress54Switch(Config-vlan)noshutSwitch(Config-vlan)>intvlan30Switch(Config-vlan)ipaddress54Switch(Config-vlan)noshutSwitch(Config-vlan)exit〔4〕将端口添加到VLAN10，20，30中Switch(Config)interfacerangefa0/1-8Switch(Config-if-range)switchportmodeaccessSwitch(Config-if-range)switchportaccessvlan20Switch(Config)interfacerangefa0/9-16Switch(Config-if-range)switchportmodeaccessSwitch(Config-if-range)switchportaccessvlan30Switch(Config-if-range)exit〔5〕设定DHCP效劳器地址Switch(Config)#iphelper-address00Switch(Config-vlan)exit〔6〕启用路由Switch(Config)iproutingSwitch(Config)exit〔7〕结束并保存配置Switch#copyrunstart2.DHCP配置〔1〕在“Windows组建向导〞窗口添加“网络效劳〞中的“DHCP〞并安装，过程如下列图4.17-4.18所示。图4.17组件向导图4.18网络效劳〔2〕翻开“开始〞菜单，单击“程序〞→“管理工具〞→“DHCP命令〞，翻开DHCP窗口，选择要创立作用域的效劳器，单击“操作〞→“新建作用域〞命令，系统启动“作用域名〞对话框，该向导将引导用户创立新区域，如下列图4.19所示。图4.19新建作用域〔3〕单击“下一步〞，步骤如下列图4.20-4.23所示。图4.20添加排除图4.21租约期限图4.22设置默认网关图4.23vins效劳器4.2.4FTP配置1.在“Windows组建向导〞窗口添加“IIS〞中的“FTP效劳〞并安装，过程如下列图4.24所示。图4.24信息效劳〔IIS〕2.翻开“开始〞菜单，单击“程序〞→“管理工具〞→“IIS管理器〞，翻开IIS管理器窗口，选择“默认FTP站点〞→“属性〞，如下列图4.25-4.27所示。图4.25默认FTP属性图4.26FTP主目录图4.27FTP目录平安性第五章网络调试5.1ping命令格式Ping命令是DOS命令中的一种，但使用却较为广泛。我们平常使用电脑的时候可以用ping命令来检测网速和连接是否正常等常规操作[13]。Ping命令可以测试TCP/IP协议是否安装正确以及网络是否通畅。Ping命令完整格式为：ping[-t][-a][-ncount][-llength][-f][-ittl][-vtos][-rcount][-scount][-j-Hostlist]|[-kHost-list][-wtimeout]destination-list。5.2调试过程利用ping命令测试，假设连接正常，所有发送的包均被成功接收，丢包率为0；假设连接不正常，所有发送的包均未被成功接收，丢包率为100%。5.3遇到的问题及解决方法5.3.1问题1.本地主机不能与远程主机通讯原因：〔1〕DNS工作不正常；〔2〕没有连到远程主机的路由；〔3〕缺少缺省网关；〔4〕管理拒绝〔ACL〕。2.不能ping远程主机原因：〔1〕ACL；〔2〕没有连到远程主机的路由；〔3〕没有设置缺省网关；〔4〕远程主机down。3.缺少路由原因：〔1〕没有正确配置路由协议；〔2〕发布列表；〔3〕被动接口；〔4〕没有通告路由的邻居；〔5〕路由协议版本不一致，邻居关系没有建立。5.3.2解决方法1.本地主机不能与远程主机通讯解决方法：〔1〕DNS工作不正常时，可以在配置DNS主机的配置和DNS效劳器，使用nslookup校验DNS效劳器的工作。〔2〕要是在公司的话，远程登录路由器下的电脑，可以用以下的方法：开启公司计算机的远程桌面功能，或者安装Pcanywhere之类的远程控制软件;在公司的路由器上做这台计算机的端口映射，将上述软件需要的端口映射出去，如远程桌面就是TCP3389;.端口映射根据路由器品牌型号的不同设置区别比拟大，有的叫做端口映射，有的那么叫做特殊效劳之类的，但是都是需要设置内网ip地址和对应端口到外网的ip地址和对应端口就可以了。现在很少路由器不支持DNS，也许不同的路由器叫不同的名字比方直接称为动态域名的。〔3〕如果网关设备支持dhcp，在cmd窗口里运行ipconfig/all可以查看网关如果不支持dhcp，通过用抓包软件抓包来查看。〔4〕本地管理员是有权限设置本地文件夹域用户访问权限的，出现拒绝访问的主要原因在于C盘中有很多目录，默认管理员是没有权限写入的〔如平安性选项卡中ACL列表为空〕，需要用管理员权限C盘平安性界面你的高级中设置Administrators组取得所有权并替换子目录的所有权，这样就可以设置普通域用户的权限了。但注意，一般我们不建议对整个C盘设置用户的访问权限，存有一定的风险。2.不能ping远程主机解决方法：〔1〕没有到远程主机的路由时，可以使用ipconfig/all检查缺省网关或者用showiproute查看是否相应路由。〔2〕如果没有该路由，用showiproute查看是否有缺省网关。〔3〕如有网关，检查到目标的下一跳；如无网关，修正问题。〔4〕如果一直是线路问题，端口状态是一直down。有active状态也有可能是线路松动。出现active再down对于交换机二层设备无法预知，一般有几个检查的地方：全双工，半双工问题，半双工容易出现这个问题；端口平安是不是有平安特殊限制。3.缺少路由解决方法：〔1〕网络没有配置以处理应用程序查看路由器配置。〔2〕缺少路由时，可以在第1台路由器上用showiproute查看所学到的路由。〔3〕校验相邻路由器。〔4〕有正确的路由network和neighbor语句。〔5〕对OSPF，校验通配符掩码，检查应用到接口上的distributelist验证邻居的IP配置。结论本方案是在WindowsServer2023系统下完成的，用到的技术、方法、原理主要有如下几点：1.网络平台技术：网络平台技术一般定义为保证网络端到端连通性的根本网络技术;2.网络管理技术：网络管理技术贯穿了整个网络系统，是基于简单网络管理协议〔SNMP〕的一系列技术的统称，是对交换机、路由器、防火墙、工作站等网上设备的管理;3.效劳器技术：各种配置效劳器的方法、原理等。如DHCP、DNS、FTP等;4.网络平安技术：目前，网络平安技术是计算机网络中不可或少的技术，是保护用户、企业等信息平安的技术，如防火墙。本方案未来需完善，继续研究的有如下几点：1.为了防止造成很大的经济损失，维护硬件的正常运行是网络管理中一件很重要的工作是必需的，因为硬件设备是一台计算机正常运转的物质根底;硬件操作要得当，防止发生故障。2.为了更好的使用应用软件，防止出现网路堵塞和中断，我们应该对各种应用软件、网络操作系统、通信协议进行必要的日常的维护。3.对企业而言，病毒更可能造成不可估量的损失；因为计算机病毒〔ComputerVirus〕可以瞬间损坏文件系统，使系统陷入瘫痪，导致丧失大量数据，因此是计算机平安的一大毒瘤，令许多计算机用户谈毒色变；所以企业一定要完善自己的病毒防护机制，以及提防黑客的入侵，以防造成损失。4.网络出现故障时，需要根据平时的经验和专业知识并查阅相关资料，认真分析。然后在第一时间内解决故障，最大限度地降低企业因故障而带来的损失，为企业尽量减少风险。为适应企业信息化的开展，满足日益增长的通信需求和网络稳定运行。任何一个系统都需要管理，依据系统的大小、复杂性的上下，管理的重要性也有所不同[14]。网络也是一个系统，网络管理作为一项重要技术，已成为现代信息网络开展中不可或缺的一环。当前企业网络开展的特点是规模不断扩大，复杂性不断增加，异构性日益增强。一个企业网络，往往包容着假设干子系统，集成