校园网网络安全方案设计

西安文理学院计算机科学系课程设计报告设计名称：硬件课程设计设计题目：校园网网络安全方案设计学生学号：*************专业班级：***************************学生姓名：******学生成绩：指导教师（职称）：****（*****）课题工作时间：.5.30至.6.10摘要随着各院校信息化建设的不停提高,网络建设的不停发展,各大中专院校、乃至中小学都在大力发展自己的校园网建设。校园网规模的扩大,多个安全问题也随之而来,如何确保校园网络安全稳定的运行,是校园网建设中必须解决的问题。校园网作为学院重要的基础设施，担当着学院教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的早期，安全问题可能还不突出，但随着应用的进一步，校园网上的多个数据会急剧增加，多个各样的安全问题开始困扰我们。本文通过从校园网内网安全和外网安全两个方面进行了网络安全方案的分析及选择，通过采用软硬件结合的方式，以及从防病毒、交换机端口安全、路由器配备和访问控制列表等技术实现了校园网的安全布署。核心词：校园网；网络安全；访问控制列表AbstractWiththebuildingoftheinstitutionsofinformationcontinuestoimprove,continuesdevelopmentofnetworkconstruction,majorcolleges,andevenschoolsaremakinggreateffortstodeveloptheirowncampusnetworkconstruction.Theexpansionofthecampusnetwork,followedbyavarietyofsecurityissues,howtoensuresafeandstableoperationofthecampusnetwork,campusnetworkconstructionistoberesolved.Importantastheuniversitycampusnetworkinfrastructure,playthecollegeteaching,research,managementandforeignexchange,andmanyoftheroles.Campusnetworkdirectlyaffectthesecuritysituationintheschool’steachingactivities.Builtintheearlystagesofthenetwork,securitymaynotbeprominent,butwiththeapplicationindepth,thecampusnetworkwillbeasharpincreaseinavarietyofdata,avarietyofsecurityissuesstartedtobotherus.Inthispaper,

internalnetworksecurity

fromthe

campusnetwork

and

externalnetworksecurity

aretwoaspects

ofnetworksecurity

solutions

for

theanalysis

and

selection,throughtheuseof

acombinationof

hardwareandsoftware,

aswellas

from

anti-virus,switchport

security,

routerconfiguration,accesscontrol

lists

andothertechnical

toachievea

campusnetwork

securitydeployment.Keywords：campusnetwork；networksecurity；accesscontrol

lists第一章校园网安全隐患分析1.1校园内网安全分析1.1.1BUG影响现在使用的软件特别是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、WindowsNTP、Linux等,这些系统安全风险级别不同,UNIX因其技术较复杂普通会造成某些高级黑客对其进行攻击;而WindowsNTP操作系统由于得到了广泛的普及,加上其本身安全漏洞较多,因此,造成它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行,冲击波”这个运用微软RPC漏洞进行传输的蠕虫病毒最少攻击了全球80%的Windows顾客,使他们的计算机无法工作并重复重启,该病毒还引发了DoS攻击,使多个国家的互联网也受到相称影响。1.1.2设备物理安全设备物理安全重要是指对网络硬件设备的破坏。网络设备涉及服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于多个目的,故意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。1.1.3设备配备安全设备配备安全是指在设备上要进行必要的某些设立(如服务器、交换机、防火墙、路由器的密码等),避免黑客获得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设立必要的密码或密码设立得过于简朴易猜,造成某些略懂或精通网络设备管理技术的人员能够通过网络容易获得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配备,严重时甚至会造成整个校园网络瘫痪。1.1.4管理漏洞一种健全的安全体系,事实上应当体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用多个技术先进的安全设备就能够实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,特别重要的是加强对内部人员的管理和约束,由于内部人员对网络的构造、模式都比较理解,若不加强管理,一但有人出于某种目的破坏网络,后果将不堪构想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配备不当也会造成部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设成本网段的网关地址,这会造成整个学生机房无法正常访问外网。1.1.5无线局域网的安全威胁运用WLAN进行通信必须含有较高的通信保密能力。对于现有的WLAN产品，它的安全隐患重要有下列几点：未经授权使用网络服务由于无线局域网的开放式访问方式，非法顾客能够未经授权而私自使用网络资源，不仅会占用珍贵的无线信道资源，增加带宽费用，还会减少正当顾客的服务质量。地址欺骗和会话拦截现在有诸多个无线局域网的安全技术，涉及物理地址(MAC)过滤、服务集标记符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面对如此多的安全技术，应当选择哪些技术来解决无线局域网的安全问题，才干满足顾客对安全性的规定。在无线环境中，非法顾客通过侦听等手段获得网络中正当站点的MAC地址比有线环境中要容易得多，这些正当的MAC地址能够被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成正当AP进入网络，并进一步获取正当顾客的鉴别身份信息，通过会话拦截实现网络入侵。这些正当的MAC地址能够被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成正当AP进入网络，并进一步获取正当顾客的鉴别身份信息，通过会话拦截实现网络入侵。一旦攻击者侵入无线网络，它将成为进一步入侵其它系统的起点。多数学校布署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法顾客面前。1.2校园外网安全分析1.2.1黑客攻击有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享有Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、回绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部,尚有相称一部分来自校园网内部,由于内部顾客对网络的构造和应用模式都比较理解,因此来自内部的安全威胁会更大某些。1.2.2不良信息传输在校园网接入Internet后,师生都能够通过校园网络进入Internet。现在Internet上多个信息良莠不齐,其中有些不良信息违反人类的道德原则和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年纪小,分辨是非和抵抗干扰能力较差,如果不采用切实可行安全方法,势必会造成这些信息在校园内传输,侵蚀学生的心灵。1.2.3病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范畴普及,接入校园网的节点数日益增多,这些节点大都没有采用安全防护方法,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。

第二章设计介绍及设计方案叙述2.1校园网安全方法2.1.1防火墙网络信息系统的安全应当是一种动态的发展过程，应当是一种检测，安全，响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目的的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络监控系统能够根据系统安全方略做出反映，涉及实时报警、事件登录或执行顾客自定义的安全方略等。1系统构成网络卫士监控器：一台，硬件监控系统软件：一套PC机（1台，用于运行监控系统软件）2重要功效实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上，实时监视网络上的数据流，分析网络通讯会话轨迹。如：E－MAIL：监视特定顾客或特定地址发出、收到的邮件；统计邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。HTTP：监视和统计顾客对基于Web方式提供的网络服务的访问操作过程（如顾客名、口令等）。FTP：监视和统计访问FTP服务器的过程（IP地址、文献名、口令等）。TELNET：监视和统计对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析解决和过滤，生成按顾客方略筛选的网络日志，大大减少了需要人工解决的日志数据，使系统更有效。支持顾客自定义网络安全方略和网络安全事件3重要技术特点采用透明工作方式，它静静地监视本网段数据流，对网络通讯不附加任何延时，不影响网络传输的效率。可采用集中管理的分布式工作方式，能够远程监控。能够对每个监控器进行远程配备，能够监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测，远程启停管理。2.1.2防病毒为了有效的避免病毒对系统的侵入，必须在系统中安装防病毒软件，并指定严格的管理制度，保护系统的安全性。1应用状况一台专用服务器（NTSERVER）、一台代理邮件服务器（NTSERVER&PROXYSERVER,ExchangeServer），一台WWWSERVER，一台数据库SERVER，100-200台客户机。2系统规定能避免通过PROXYSERVER从Internet下载文献或收发的E-mail内隐藏的病毒，并对本地的局域网防护的作用。3解决方案采用的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场合数量保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客户机数量HTTPFTP、用浏览器下开载的程序ScanMailforExchangeServerExchangeServer按客户机数量有E-Mail的顾客OfficeScancorp各部门的NT域服务器按客户机数量自动分发、更新、实时监察客户机下列是选用以上Trend公司产品的阐明：在NT主域控制器和备份域上均采用ServerProtecforWindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机，客户端的病毒软件的安装和病毒码更新等工作，造成MIS人员管理上的超负荷，因此推荐采用OfficeScanCorporatcEdition公司授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管，软件的分派（自动安装，自动更新病毒码、软件的自动升级）。另外在外接Internet和邮件服务器上，采用InterScanWebProtect和ScanMailForExchange此两种软件是现在唯一能从国际互联网络拦截病毒的软件。设计的理念是，在电脑病毒入侵公司内部网络的入口处-Internet服务器或网关（Gateway）上安装此软件，它能够随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序，并有文献达成网络系统之迈进行扫描侦测出来。2.1.3无线网络安全方法针对校园应用的安全解决方案，从校园顾客角度而言，随着无线网络应用的推动，管理员需要更加重视无线网络安全的问题，针对不同的顾客需求，H3C提出一系列不同级别的无线安全技术方略，从传统的WEP加密到IEEE802.11i，从MAC地址过滤到IEEE802.1x安全认证技术，可分别满足办公室局部顾客、园区网络、办公网络等不同级别的安全需求。对于办公室局部无线顾客而言，无线覆盖范畴较小，接入顾客数量也比较少，没有专业的管理人员，对网络安全性的规定相对较低。普通状况下不会配备专用的认证服务器，这种状况下，可直接采用AP进行认证，WPA-PSK+AP隐藏能够确保基本的安全级别。在学校园区无线网络环境中，考虑到网络覆盖范畴以及终端顾客数量，AP和无线网卡的数量必将大大增加，同时由于使用的顾客较多，安全隐患也对应增加，此时简朴的WPA-PSK已经不能满足这类顾客的需求。如表中所示的中级安全方案使用支持IEEE802.1x认证技术的AP作为无线网络的安全核心，使用H3C虚拟专用组(VertualPrivateGroup)管理器功效并通过后台的Radius服务器进行顾客身份验证，有效地制止未经授权的顾客接入，并可对顾客权限进行辨别。如果应用无线网络构建校园的办公网络，此时无线网络上承载的是工作业务信息，其安全保密性规定较高，因此顾客认证问题就显得更加重要。如果不能精确可靠地进行顾客认证，就有可能造成帐号盗用、非法入侵的问题，对于无线业务网络来说是不能够接受的。专业级解决方案能够较好地满足顾客需求，通过H3C虚拟专用组(VPG)管理器功效、IEEE802.11i加密、Radius的顾客认证确保高安全性。具体安全划分及技术方案选择如表2-2所示。表2-2安全划分及技术办法选择安全级别典型场合使用技术初级安全办公室局部无线顾客WPA-PSK＋AP隐藏中级安全学校园区无线网IEEE802.1x认证＋TKIP加密+VPG管理专业级安全无线校园办公网VPG管理＋IEEE802.11i＋Radius认证为了进一步加强无线网络的安全性和确保不同厂家之间无线安全技术的兼容，IEEE802.11工作组开发了作为新的安全原则的IEEE802.11i，并且致力于从久远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i原则中重要包含加密技术：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及认证合同：IEEE802.1x。IEEE802.11i原则已在6月24美国新泽西的IEEE原则会议上正式获得同意。2.2H3C无线校园网的安全方略针对现在无线校园网应用中的种种安全隐患，H3C的无线局域网产品体系能够提供强有力的安全特性，除了传统无线局域网中的安全方略之外，还能够提供更加精细的管理方法。2.2.1可靠的加密和认证、设备管理能够支持现在802.11小组所提出的全部加密方式，涉及高级WPA256位加密(AES)，40/64位、128位和152位WEP共享密钥加密，WPATKIP，特有的128位动态安全链路加密，动态会话密钥管理。802.1x认证使用802.1xRADIUS认证和MAC地址联合认证，确保只有正当顾客和客户端设备才可访问网络；WPATKIP认证采用EAP-MD5，EAP-TLS和PEAP合同，扩展的证书认证功效更加确保顾客身份的严格鉴定。支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器；通过本地控制台或通过SSHv2或Telnet远程管理的命令行界面；并可通过无线局域网管理系统进行集中管理。2.2.2顾客和组安全配备和传统的无线局域网安全方法同样，H3C无线网络能够依靠物理地址(MAC)过滤、服务集标记符(SSID)匹配、访问控制列表(ACL)来提供对无线客户端的初始过滤，只允许指定的无线终端能够连接AP。同时，传统无线网络也存在它的局限性之处。首先，它的安全方略依赖于连接到某个网络位置的设备上的特定端口，对物理端口和设备的依赖是网络工程的基础。例如，子网、ACL以及服务等级(CoS)在路由器和交换机的端口上定义，需要通过台式机的MAC地址来管理顾客的连接。H3C采用基于身份的组网功效，可提供增强的顾客和组的安全方略，针对特殊规定创立虚拟专用组(VertualPrivateGroup)，VLAN不再需要通过物理连接或端口来实施，而是根据顾客和组名来辨别权限。并且，H3C无线网络能够对无线局域网进行前所未有的控制和观察，监视工具甚至能够跟踪进一步到个人的信息(无论他的位置在哪里)，网络标记基于顾客而不是基于物理端口或位置。另一方面，H3C无线网络简化了SSID支持，不再需要多个SSID来支持漫游和授权方略；单个SSID足以支持漫游、跨子网漫游或涉及VLAN或子网组员资格的授权方略。大量的可配备监视工具用于收集顾客数据(例如位置、访问控制和安全设立)和识别顾客身份。另外，使用H3C虚拟专用组(VertualPrivateGroup)管理器功效，可觉得顾客和组分派特定的安全和访问方略，从而获得最大的灵活性，同时增强网络安全性并明显缩短管理时间。顾客不仅可更改单个顾客设立，还能够只通过简朴的几次击键操作即可从中央管理控制台方便地配备相似的顾客组、AP组，而不必逐个配备AP。2.2.3非法接入检测和隔离H3C无线网络可自动执行的AP射频扫描功效通过标记可去除非法AP，使管理员能更加好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来减少网络性能，通过尝试获取数据或顾客名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP，但是网络规模越大就越容易受到攻击。为了消除这种威胁，能够指定某些AP充当射频“卫士”，其办法是扫描无线局域网来查找非法AP位置，统计这些位置信息并采用方法以及为这些位置重新分派信道以使网络处在连接状态并正常运行。AP射频扫描程序还会检测并调节引发射频干扰的其它来源，例如微波炉和无绳电话。并且，射频监测配合基于顾客身份的组网，不仅可使顾客在漫游时含有诸如虚拟专用构组员资格、访问控制列表(ACL)、认证、漫游方略和历史、位置跟踪、带宽使用以及其它授权等内容，还可告知管理人员哪些顾客已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。2.2.4监视和告警H3C无线网络体系提供了实时操作信息，能够快速检测到问题，提高网络的安全性并优化网络，甚至还能够定位顾客。网络管理应用程序针对当今的动态业务而设计，它提供了配备更改的自动告警功效。向导界面提供了即时提示，从而使得管理员能够快速针对冲突做出更改。通过使用软件的移动配备文献功效，管理者能够在顾客或顾客组漫游整个无线局域网时控制其访问资源的位置。另外，位置方略能够根据顾客的位置来制止或允许对特殊应用程序的访问。

第三章具体设计网络安全系统规划是一种系统建立和优化的过程，建设网络的根本目的是在Internet上进行资源共享与通信。要充足发挥投资网络的效益，需求设计成为网络规划建设中的重要内容，网络平台中重要有针对学校建筑群而设计出的拓扑图，有互联网设备（主交换机、路由器、二级交换机、服务器等）。校园内部网络采用共享或者交换式以太网，选择中国科研教育网接入Internet，校际之间通过国际互联网的方式互相连接。同时采用对应的方法，确保通讯数据的安全、保密。另外为了避免这个校区内病毒的传输、感染和破坏，我们在校园网内可能感染和传输病毒的地方采用对应的防毒方法，布署防毒组件，规划以下：在学校服务上安装服务器端杀毒软件；在行政、教学单位的各个分支分别安装客户端杀毒软件；学校的网络中心负责整个校园网的升级工作，分发杀毒软件的升级文献（涉及病毒定义码、扫描引擎、程序文献等）到校内全部用机，并对杀毒软件网络版进行更新。3.1ISA软件防火墙的配备校园网内的软件防火墙采用ISAServe，之因此采用防火墙，是由于ISAServer是一种新型的应用层防火墙，避免服务的弱点及漏洞的攻击，同时支持VPN功效及充当Web代理服务器，并能提供具体的日志报告。安装示意图如图3-1所示。图3-1ISA安装示意图3.1.1基本配备通过ISAServe中的ISAManagement项中的Services标签，启动集成模式中的三个服务，就能够使用ISA的全部默认功效。同时须打开IPRouting功效、访问权限功效、访问方略功效、统一管理等。3.1.2限制学校用机的上网首先要定义组，通过在ISAServer软件防火墙的ClientAddressSets标签中新建一种组名的标记，按照机房用机的IP地址范畴进行添加，在ProtocolRules中选中合同规则后切换到Appliesto标签，选中ClientAddressSetsspecifiedbelow，加入设定的组即可。这样就能够先知学校其它用机随意上网。3.1.3检测外部攻击及入侵能够通过配备ISAServer来监测常见的校园网络攻击。在ISAServe中启用入侵检测后，ISAServer一检测到攻击，就会向Windows事件日志中发消息。要启用ISAServer的入侵检测功效，应在ISAServer管理窗口中选择服务器名称中的IPPacketFiltersProperties选项，勾选EnableIntrusiondetection，即打开ISAServer的入侵检查功效。3.1.4校园网信息过滤配备校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围的信息，硬件配备涉及一种读卡器、一张软件光盘和若干上网卡。“过滤王”重要负责监控、过滤、统计对应的日志（加密）并适时向网络中心上传数据。在软件管理终端，管理员选择“类别”和“统计日期”，点击“查看按钮”，就能够查看网络日志和操作日志，另外，安装“过滤王”软件终端程序涉及核心和控制台两部分，核心程序安装在中心交换机以及学校机房的代理服务器上，在监控的网卡列表中选测内网网卡，进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上，操作系统安装为Win。安装完毕后，控制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。3.1.5网络流量的监控STARVIEW在网络初步异常的状况下，能进一步查看网络中的具体流量，从而为网络故障的定位提供丰富数据支持。3.1.6无线局域网安全技术普通网络的安全性重要体现在访问控制和数据加密两个方面。访问控制确保敏感数据只能由授权顾客进行访问，而数据加密则确保发送的数据只能被所盼望的顾客所接受和理解。3.2物理地址(MAC)过滤每个无线客户端网卡都由唯一的48位物理地址(MAC)标记，可在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种办法的效率会随着终端数目的增加而减少，并且非法顾客通过网络侦听就可获得正当的MAC地址表，而MAC地址并不难修改，因而非法顾客完全能够盗用正当顾客的MAC地址来非法接入，如图3-2所示。图3-2MAC地址的过滤图3.2.1服务集标记符(SSID)匹配无线客户端必须设立与无线访问点AP相似的SSID，才干访问AP；如果出示的SSID与AP的SSID不同，那么AP将回绝它通过本服务集上网。运用SSID设立，能够较好地进行顾客群体分组，避免任意漫游带来的安全和访问性能的问题。能够通过设立隐藏接入点(AP)及SSID的权限控制来达成保密的目的，因此能够认为SSID是一种简朴的口令，通过提供口令认证机制，实现一定的安全，具体的服务集标记匹配如图3-3所示。图3-3服务集标记匹配在IEEE802.11中，定义了WEP来对无线传送的数据进行加密，WEP的核心是采用的RC4算法。在原则中，加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的，需要在AP和Station上配备的密钥就只有40位或104位，加密原理如图3-4所示。图3-4WEP加密原理图WEP加密原理以下：1、AP先产生一种IV，将其同密钥串接(IV在前)作为WEPSeed，采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列；2、计算待加密的MPDU数据校验值ICV，将其串接在MPDU之后；3、将上述两步的成果按位异或生成加密数据；4、加密数据前面有四个字节，寄存IV和KeyID，IV占前三个字节，KeyID在第四字节的高两位，其它的位置0；如果使用Key-mappingKey，则KeyID为0，如果使用DefaultKey，则KeyID为密钥索引(0-3其中之一)。3.2.2端口访问控制技术和可扩展认证合同IEEE802.1x并不是专为WLAN设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后，与否能够使用AP的服务要取决于802.1x的认证成果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许顾客连接网络，具体原理如图3-5所示。图3-5802.1x端口控制在含有802.1x认证功效的无线网络系统中，当一种WLAN顾客需要对网络资源进行访问之前必须先要完毕下列的认证过程。1.当顾客有网络连接需求时打开802.1x客户端程序，输入已经申请、登记过的顾客名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给AP，开始启动一次认证过程。2.AP收到请求认证的数据帧后，将发出一种请求帧规定顾客的客户端程序将输入的顾客名送上来。3.客户端程序响应AP发出的请求，将顾客名信息通过数据帧送给AP。AP将客户端送上来的数据帧通过封包解决后送给认证服务器进行解决。4.认证服务器收到AP转发上来的顾客名信息后，将该信息与数据库中的顾客名表相比对，找到该顾客名对应的口令信息，用随机生成的一种加密字对它进行加密解决，同时也将此加密字传送给AP，由AP传给客户端程序。5.客户端程序收到由AP传来的加密字后，用该加密字对口令部分进行加密解决(此种加密算法普通是不可逆的)，并通过AP传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己通过加密运算后的口令信息进行对比，如果相似，则认为该顾客为正当顾客，反馈认证通过的消息，并向AP发出打开端口的指令，允许顾客的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持AP端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802.11i原则最后拟定前，WPA原则是替代WEP的无线安全原则合同，为IEEE802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一种子集，其核心就是IEEE802.1x和TKIP。认证在802.11中几乎形同虚设的认证阶段，到了WPA中变得尤为重要起来，它规定顾客必须提供某种形式的证据来证明它是正当顾客，并拥有对某些网络资源的访问权，并且是强制性的。WPA的认证分为两种：第一种采用802.1x+EAP的方式，顾客提供认证所需的凭证，如顾客名密码，通过特定的顾客认证服务器(普通是RADIUS服务器)来实现。在大型网络中，普通采用这种方式。但是对于某些中小型的网络或者个别顾客，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此WPA也提供一种简化的模式，它不需要专门的认证服务器，这种模式叫做WPA预共享密钥(WPA-PSK)，仅规定在每个WLAN节点(AP、无线路由器、网卡等)预先输入一种密钥即可实现。只要密钥吻合，客户就能够获得WLAN的访问权。由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会造成诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。加密WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理办法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等办法增强安全性。并且，TKIP运用了802.1x/EAP构架。认证服务器在接受了顾客身份后，使用802.1x产生一种唯一的主密钥解决睬话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一种密钥构架和管理系统，使用主密钥为顾客会话动态产生一种唯一的数据加密密钥，来加密每一种无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。即使WPA采用的还是和WEP同样的RC4加密算法，但其动态密钥的特性很难被攻破。消息完整性校验(MIC)，是为了避免攻击者从中间截获数据报文、篡改后重发而设立的。除了和802.11同样继续保存对每个数据分段(MPDU)进行CRC校验外，WPA为802.11的每个数据分组(MSDU)都增加了一种8个字节的消息完整性校验值，这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了确保数据在传输途中不会由于噪声等物理因素造成报文出错，因此采用相对简朴高效的CRC算法，但是黑客能够通过修改ICV值来使之和被篡改正的报文相吻合，能够说没有任何安全的功效。而WPA中的MIC则是为了避免黑客的篡改而定制的，它采用Michael算法，含有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采用一系列的对策，例如立刻更换组密钥、暂停活动60秒等，来制止黑客的攻击。第四章具体配备及分析4.1交换机配备4.1.1交换机端口安全概述交换机有端口安全功效，运用端口安全这个特性，能够实现网络接入安全，具体能够通过限制允许访问交换机上某个端口的MAC地址以及IP（可选）来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功效并配备了某些安全地址后，除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。另外，你还能够限制一种安全地址，则连接到这个口的工作站（其地址为配备的安全地址）将独享该端口的全部带宽。为了增强安全性，你能够将MAC地址和IP地址绑定起来作为安全地址。固然你也能够只指定MAC地址而不绑定IP地址。如果一种端口被配备为一种安全端口，当其安全地址的数目已达成允许的最大个数后，如果该端口收到一种源地址不属于端口上的安全地址的包时，一种安全违例将发生。当安全违例产生时，你能够选择多个方式来解决违例，例如丢弃接受到的报，发送违例告知或关闭对应端口等。当设立了安全端口上安全地址的最大个数后，能够使用下面几个方式加满端口上的安全地址：能够使用接口配备模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]来手工配备端口的全部安全地址。也能够让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直达成到IP最大个数。需要注意的是，自动学习的安全地址均不会绑定地址，如果在一种端口上，你已经配备了绑定IP地址的安全地址，则将不能再通过自动学习来增加安全地址。也能够手工配备一部分安全地址，剩余的部分让交换机自己学习。当违例产生时，能够设立下面几个针对违例的解决模式：Protect当安全地址个数满后，安全端口将丢弃未知地址（不是该端口的安全地中的任何一种）的包。RestrictTrap当违例产生时，将发送一种Trap告知。Shutdown当违例产生时，将关闭端口并发送一种Trap告知。端口安全的具体内容有四项，他的默认配备如表4-1所示。表4-1端口的默认设立内容设立端口安全开头全部端口均关闭端口安全功效最大安全地址个数128安全地址无违例解决方式保护（protect）4.1.2配备端口安全的限制配备端口安全是有以下某些限制：一种安全端口不能是一种aggregateport:一种安全端口只能是一种accessport.一种千兆接口上最多支持120个同时声明IP地址和MAC地址的安全地址。另外，由于这种同时声明IP地址和MAC地址的安全地址占用的硬件资源与ACLs等功效占用的系统硬件资源共享，因此当您在某一种端口上应用了ACLs，则对应地该端口上所能设立的声明IP地址是安全地址个数将会减少。建议一种安全端口上的安全地址的格式保持一致，即一种端口上的安全地址或者全是绑定了IP的安全地址，或者都是不绑定IP地址的安全地址。如果一种安全端口同时包含这两种格式的安全地址，则不绑定IP地址的安全地址将失效（绑定IP地址的安全地址优先级更高），这时如果你想使端口上不绑定IP地址的安全地址生效，你必须删除端口上全部的绑定了IP地址的安全地址。4.1.3配备安全端口及违例解决方式从特权模式开始，能够通过下列环节来配备一种安全端口和违例解决方式：（1）configureterminal进入全局培植模式。（2）interfaceinterface-id进入接口配备模式。（3）switchportmodeaccess设立接口为access模式（如果拟定接口已经处在access模式，则此环节能够省略）。（4）switchportport-security打开该接口安全功效。（5）switchportport-secruitymaximumvalue设立接口上安全地址的最大个数，范畴是1-128，默认值为128。（6）switchportport-securityviolation{protect|restrict|shutdown}设立解决违例的方式：potect保护端口，当安全地址个数满后，安全端口将丢弃未出名地址（不是该端口的安全地址中的任何一种）的包。rstrict当违例产生时，将发送一种Trap告知。Shutdown当违例产生时，将关闭端口并发送一种Trap告知。当端口由于违例而被关闭后，能够在全局模式下使用命令errdisablereeovery来将接口从错误状态中恢复过来。（7）End回到特权模式。（8）Showport-securityinterface[interface-id]验证你的配备。在借口配备模式下，你能够使用命令noswitchportport-security来关闭一种接口的端口安全功效。使用命令noswitchportport-securityviolation来恢复默认个数。使用命令noswitchportport-securityviolation来将违例解决配备为默认模式。下面的例子阐明了如何使能接口gigabitethermet1/3上的端口安全功效，设立最大地址个数为8，设立违例方式为protect。Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#linterfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end4.1.4配备安全端口上的安全地址从特权模式开始，你能够通过下列环节来手工配备一种安全端口上的安全地址。（1）configureterminal进入全局配备模式。（2）interfaceinterface-id进入接口配备模式。（3）switchport-securitymac-addressmac-address[ip-addressip-address]手工配备接口上的安全地址。Ip-address:可选IP为这个安全地址绑定的地址。（4）wnd回到特权模式。（5）showport-securityaddress验证你的配备。在接口配备模式下，能够使用命令noswitchportport-securitymac-addressmac-address来删除该接口的安全地址。下面的例子阐明了如何为接口gigabitcthernet1/3配备一种安全MAC地址：00d0.f800.073c,并为其绑定一种地址IP：02。配备安全地址的老化时间你可觉得一种接口上的全部安全地址配备老化时间。打开这个功效，你需要设立安全地址的最大个数，这样，你就能够让交换机自动的增加和删除接口上的安全地址。从特权模式开始，你就能够通过下列环节来配备端口的功效。configureterminal进入全局配备模式。interfaceinterface-id进入接口配备模式。switchportport-securityaging{static|timetime}static：加上这个核心字，表达老化时间将同时应用于手工配备的安全地址和自动学习的地址，否则只应用于自动学习的地址。Time：表达这个端口上安全地址的老化时间，范畴是0~1440，单位是分钟。如果设立为0，则老化功效事实上被关闭。老化时间按照绝对的方式计时，也就是一种地址成为一种端口的安全地址后，通过Time指定的时间后，这个地址就将被自动删除。Time指定的时间后，这个地址就将被自动删除。Time的默认值为0。End回到特权模式。showport-securityinterface[interface-id]验证你的配备。能够在接口配备模式下使用命令noswitchportport-securityagingtime来关闭一种接口的安全地址老化功效（老化时间为0），使用命令noswitchportport-securityagingstatic来使老化时间仅应用于动态学习到的安全地址。下面的例子阐明了如何配备一种接口gigabitethernet1/3上的端口安全的老化时间，老化时间设立为8分钟，老化时间应用于静态配备的安全地址：Switch#configureterminalEnterconfigurationcommands,oneperline,EndwithCNTL/Z.Switch(config)#interfacegigabitthernet1/3.Switch(config-if)#switchportport-securityagingtime8Switch(config-if)#Sswitchportport-securityagingtimestaticSwitch(config-if)#end查看端口安全信息在特权模式开始，你能够通过下面的命令来查看端口安全的信息：Showport-securityinterface[interface-id]查看端口的端口安全配备信息。Showport-securityaddress查看安全地址信息。Showport-security[interface-id]address显示某个接口上的安全地址信息。Showport-security显示全部安全端口的统计信息，涉及最大安全地址数，现在安全地址以及违例解决方式等。下面的例子显示了接口gigabitethernet1/3上的端口安全配备：Switch#showport-securityinterfacegigabitethernet1/3Interface:Gil/3Portsecurity:EnabledPortstatus:downViolationmode:shutdownMaximumMACAddress:0ConfiguredMACAddress:0Agingtime:8minsSecureStaticaddressaging:Enabled下面的例子显示了系统中的全部安全地址：Switch#showport-securityaddressVlanMacaddressIPAddressTypePortRemainingAge（mins）-------------------------------------------------------------------------------------------------100d0.f800.073c02ConfiguredGi1/38下面的例子显示的是安全端口的统计信息：Switch#showport-securitySecureportMaxSecureAddr(count)CurrentAddr(count)SecutityAction-------------------------------------------------------------------------------------------------Gi1/11281RestrictGi1/21280RestrictGi1/381protect4.2在路由器中配备访问控制列表ACL4.2.1访问控制列表ACL概述访问控制列表ACL（AccessControlList）,最直接的功效便是包过滤。通过接入控制列表（ACL）能够在路由器、三层交换机上进行网络安全属性配备，能够实现对进入到路由器、三层交换机的输入数据流进行过滤。认证输入数据流的定义能够基于网络地址、TCP/UDP的应用等。能够选择对于符号合过滤原则的流是丢弃还是转发，因此必须懂得网络是如何设计的，以及路由器接口是如何在过滤原则设备上使用的。要通过ACL配备网络安全属性，只有通过命令来完毕配备。无法通过SNMP来完毕这些设立。4.2.2ACL的类型ACL的类型重要分为IP原则控制列表（StandardIPACL）和IP扩展访问控制列表（ExtendedIPACL）；重要的动作作为允许（Permit）和回绝（Deny）如图9-1所示；重要的应用办法是入栈（In）应用和出栈（Out）应用，访问控制列表的工作流程如图4-1所示。图4-1访问控制列表工作流程1.编号的访问控制列表在路由器上可配备编号的访问控制列表。具体介绍以下。、IP原则访问控制列表（StandardIPACL）。原则访问控制列表是基本IP数据包中的IP地址进行控制，如图4-2所示。图4-2原则访问控制列表全部的访问控制列表都是在全局配备模式下生成的。IP原则访问控制列表的格式以下：Access-listlistnumber{permit|deny}address[wildcard-mask]其中：listnumber是规则序号，原则访问控制列表（StandardIPACL）的规则序号范畴是1~99；Permit和deny表达允许或严禁满足该规则的数据包通过；Address是源地址IP；wildcard-mask是源地址IP的通配比较位，也称反掩码。例如：（config）#access-list1permit172.16.0..055（config）#access-list1deny552IP扩展访问控制列表（ExtendedIPACL）。扩展访问控制列表不仅能够对原IP地址加以控制，还能够对目的地址、合同以及端口好加以控制，如图4-3所示。图4-3扩展访问控制列表IP扩展访问控制列表也都是在全局配备模式下生成的。IP扩展访问控制列表的格式以下：Access-listlistnumber{permit|deny}protocolsourcesource-wildxard-maskdestinationdestination-wildcard-mask[operatoroperand]扩展访问控制列表支持的操作符及其语法如表9-2所示。表4-2扩展访问控制列表支持的操作符及其语法操作符及其语法意义eqportnumbergtportnumberItportnumberNeqportnumberrangepornumber1portnumber2等于端标语portnumber不不大于端标语portnumber不大于端标语portnumber不等于端标语portnumber介于端标语portnumber1和portnumber23ACL命令中的反掩码。反掩码与子网码算法相似，但写法不同，区别是：反掩码中，0表达需要比较，1表达不需要比较，对于：55只比较前24位55只比较前22位55只比较前8位4入栈（In）应用和出栈（Out）应用。这两个应用是相对于设备的某一端口而言，当要对从设备外的数据经端口流入设备时做访问控制，就是入栈（In）应用；当要对从设备内的数据经端口流出设备时做访问控制，就是出栈（Out）应用。命名的访问控制列表在三层交换机上配备命名的ACL。能够采用创立ACL、接口上应用ACL、查看ACL这三个环节进行。创立StandardIPACLs在特权配备模式，能够通过以下环节来创立一种StandardIPACL。(1)configureterminal进入全局配备模式。(2)ipaccess=liststandard{name}用数字或名字来定义一条StandardIPACL并进入access-list配备模式。(3)deny{sourcesource-wildcard|hostsource|any}或permit{sourcesource-wildcard|hostsource|any}在access-list配备模式，声明一种式多个允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发还是丢弃。Hostsource代表一台源主机，其source-wildcard为；any代表任意主机，即source为，source-wild为55.(4)end退回到特权模式。(5)showaccess-lists[name]显示该接入控制列表，如果您不指定access-list及name参数，则显示全部接入控制列表。下例显示如何创立一种IPStandardAccess-list,该ACL名字叫deny-host192.168.12.x:有两条ACE（访问控制条目），第一条ACE回绝来自网段的任一主机，第二条ACE物许其它任意主机：Switch(conifg)#ipaccess-liststandarddeny-host192.168.12.xSwitch (config-std-nacl)#deny 55Switch (config-std-nacl)#permitanySwitch (config-std-nacl)#end创立ExtendedIPACLs在特权配备模式，能够通过以下环节来创立一种ExtendedIPACL。(1)configureterminal进入全局配备模式。(2)ipaccess-listextended{name}用数字或名字来定义一条ExtendedIPACL并进入access-list配备模式。(3){deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operatorport]在access-list配备模式，一种或多个允许通过(permit)或丢弃(deny)的条件以用于交换机决定匹配条件的报文是转发还是丢弃。(4){destinationdestination-wildcard|hostdestination|any}[operatorport]以下方式定义TCP或UDP的目的或源端口：①操作符(operator)只能为eq。②如果操作符在sourcesource-wildcard之后，则报文的源端口匹配指定值时条件生效。③如果操作符在destinationdestination–wildcard之后，则报文的目的端口匹配指定值时条件生效。④Port为十进制值，它代表TCP或UDP的端标语。值范畴为0~65535。Protocol可觉得：a)Tcp指明为tcp数据流b)Udp指明为udp数据流c)Ip指明为任意ip数据流d)End退回到特权模式(5)Showaccess-lists[name]显示该接入控制列表，如果您不下access-listnumber及name参数，则显示全部接入控制列表。下例显示如何创立一条ExtendedIPACL，该ACL有一条ACE，用于允许指定网络（192.168.Ｘ.Ｘ）的全部主机以HTTP访问服务器，但回绝其它全部主机使用网络。Switch (config)#ipaccess-listextendedallow_0xc0a800_to_Switch (config-std-nacl)#permittcp 55hosteqwwwSwitch(config-std-nacl)#endSwitch#showaccess-list将ipstandardaccess-list及ipextendedaccess-list应用到指定接口上在特权模式，通过以下环节将IPACLs应用到指定接口上。(1)configureterminal进入全局配备模式。(2)interfaceinterface-id指定一种接口并进入接口配备模式。(3)ipaccess-group{name}{in|out}将指定的ACL应用于该接口上，使其对输入或输出该接口的数据流进行接入控制(4)end退回到特权模式。下例显示如何将access-list-deny_unknow_device应用于VLAN接口２上。Switch(config)#interfacevlan2Switch(config-if)#ipaccess-groupdeny_unknow_devicein(5)显示ACLs配备。能够通过命令来显示ACL配备。下列例子显示名字为ip_acl的StandardIPaccess-lists的内容：Router#showipaccess-listsip_aclStandardipaccesslistip_aclPermithostPermithost下列例子显示名字为ip_ext_acl的ExtendedIPaccess-lists的内容：Router#showipaccess-listsip_ext_aclExtendedipaccesslistip_ext_aclPermittcphosteqwwwPermittcphosteq下列例子显示全部IPaccess-lists的内容：Switch#showipacess-listsStandardipaccesslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp0.0255.255hosteqwwwPermittcp55hosteqwwwRouter#showaccess-listsStandardipacceslistip_aclPermithostPermithostExtendedipaccesslistip_ext_aclPermittcp55hosteqwwwPermittcp55hosteqwwwExtendedMACaccesslistmacextdenyhost0x00d0f8000000anyaarppermitanyany4.3防火墙的配备以锐捷RG-WALL150防火墙为例，介绍RG-WALL系列防火墙的初始配备。将PC的COM1口连接到防火墙的Console口，并将PC机网卡连接到防火墙的Forcethernet口，然后进行配备。在初始设立过程中，首先通过防火墙的控制口(Console)登录进入防火墙进行某些初步设立，然后启动已注册管理员的PC的浏览器(WebBrowser)，在地址栏中输入RG-WALL的内网接口IP地址，由此可进入防火墙的图形化配备界面，对防火墙估进一步的配备。具体的配备以下例所示。1.登录防火墙RG-Wall-150login:rootPassword:rg-wall123以上是系统的默认ID和口令值/>si按任意键进入默认设立阶段，设立系列号、featurecode以及授权号。RG-WALL的第一步系统将提示输入系列号、featurecode以及授权号。按照“产品使用授权书”上提供的信息输入序列号，辨别大小写。序列号的格式以SW-xx-xxxxx以及SK-xx-xxxxx输入，例如：SW-03-91004输入完序列号再输入featurecode的内容，featurecode是设立RG-WALL可使用功效的编码（厂商提供的16位编码）。授权号与序列号和featurecode相似。2.选定路由模式或网桥模式按任意键继续。下一阶段将决定RG-WALL在安装网络中要起的作用。并且这一阶段的选择决定后来的设立工作。在这里将阐明路由模式下的设立办法。在最后的输入提示中键入“P/