1、编号 本科生毕业设计中小型公司网络设计及安全实现Network Design And Security of Small And Medium Sized Enterprises学生姓名王振阳专 业软件工程学 号1242130指导教师陈刚分 院信息工程分院2023年 6 月摘 要通过对中小型公司网络现状分析,组建一套适合公司自身的网络环境是十分必要的,本文通过网络构建的设计方案、基于安全的网络基本配置方案、网络管理方案三方面,重要运用了HTTP、DNS、FTP、DHCP应用服务器来实现一个公司网络间接入与访问,并且建设了一种中小型网络的安全方案。在对中小型网络系统有了确切的了解之后,将局域网总
2、体子网划分为三个安全等级,每个等级中包含若干子网,各类子网设立了各自的安全策略。按照计算机网络安全设计的目的及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。依照各个安全等级的安全需求,设计了中小型网络的安全方案。在满足各子网系统建设的前提下,提出了涉及病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。目的是建立一个完整的、立体的网络及安全防御体系,使网络及安全系统真正获得较好的效果。关键词:局域网 网络管理 子网划分 病毒防护 服务器 AbstractThrough the anal
3、ysis of the status of small and medium-sized enterprise network, the formation of a network environment suitable for the enterprise itself is very necessary, through network building design, safe network configuration, network management scheme based on, the main use of the HTTP, DNS, FTP, using DHC
4、P server to achieve a enterprise network access, and the construction of a secure scheme for a small network. After the small and medium-sized network system has a certain understanding, the local area network is divided into three security levels, each of which contains a number of sub network, all
5、 kinds of sub network set up their own security policy. According to the goal of computer network security design and the overall plan of the computer network security system, a comprehensive analysis is made on the computer network security problem. According to the security requirements of each se
6、curity level, the security scheme of the medium and small scale network is designed. In the premise of satisfying each sub network system construction, including virus protection, dynamic password identity authentication, security audit management, access control, information encryption strategies a
7、nd intrusion detection system deployment, vulnerability scanning system management and safety technology, set of solutions proposed. The goal is to establish a complete, three-dimensional network and security defense system, so that the network and security system to really get better results.Key Wo
8、rds:LAN Network management Sub network partitioning Virus protection Server 目 录绪 论1第一章 需求分析3第二章 网络系统设计42.1网络系统设计规划42.1.1网络设计指导原则42.1.2网络设计总体目的42.1.3网络通信联网协议42.1.4网络 IP 地址规划42.1.5网络设备方案设计52.2网络拓扑图62.3 IP地址规划62.4网络设备选型72.4.1集线器的选型72.4.2互换机的选型72.4.3路由器的选型72.4.4服务器的选型7第三章 网络安全的方案设计83.1中小型公司网络安全系统设计83.1.
9、1安全体系结构网络83.1.2安全体系层次模型83.1.3安全体系设计83.2安全产品的配置与应用103.2.1防病毒及特洛伊木马软件103.2.2动态口令身份认证方案113.2.3访问控制:防火墙系统11第四章 网络服务器的安装与配置134.1网络配置134.1.1 VLAN配置134.1.2 路由配置134.2 服务器配置144.2.1 DNS配置144.2.2 HTTP配置184.2.3 配置三层互换机和DHCP服务器214.2.4 FTP配置26第五章 网络调试295.1 ping命令格式295.2 调试过程295.3碰到在问题及解决办法295.3.1问题295.3.2解决办法30结
10、论32参考文献34致 谢35绪 论计算机网络是计算机技术与通信技术结合的产物。自从20世纪60年代计算机网络发展至今,计算机网络对现代人的生产、经济、生活等各个方面都产生了巨大的影响。在过去的20数年里,计算机和计算机网络技术取得了惊人的发展。解决和传输信息的计算机网络已经成为了信息社会的命脉和发展知识经济的重要基础,不管是企事业单位、社会团队或个人,他们的生产效率和工作效率都由于使用计算机和计算机网络技术而有了实质性的提高。在当今的信息社会中,人们不断地依靠计算机网络来解决个人和工作上的事务,而这种趋势也使得计算机和计算机网络发挥出更强大的功能。Internet网络是目前重要的网络构建模式。
11、本文通过实际的应用案例给出了构建Internet 1网络的系统设计过程。在案例中省去了一些无关紧要的内容,突出了重要的技术环节,有助于中小公司构建Internet时作为参考的依据。局域网系统正逐渐成为不少发达国家教育机构、院校或部门的重要组成部分2,既是公司网络应用的基础,也是公司网站建设的前提。因素很简朴,没有局域网的中小型公司通常都不会搭建自己的网站。运用网络不仅可以把这一切做得更好,并且还能完毕许多单机所无法想象的任务,比如打印共享、文献传输、协同工作和资源共享等等,从而极大地提高工作效率,减少设备资金投入,为公司带来极大的利润。国际标准化组织(IS0)对计算机系统安全的定义是为数据解决
12、系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶尔和恶意的因素遭到破坏、更改和泄露。从此我们可以看出网络系统安全单靠某些安全技术手段是局限性以完全解决问题是的,并且网络袭击手段不断变化3,病毒木马不断升级,故此相应的防御手段也需要不断进行更新与强大以此抗击外界的网络系统的干扰。在这样的形势下,以保护网络中的信息免受各种袭击为主线目的网络安全变得越来越重要。网络安全威胁一般分为外部闯入、内部渗透和不妥行为三种类型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据;不合法行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授
13、权。网络自身的缺陷、开放性以及黑客的袭击是导致网络不安全的重要因素。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以定义为:保障网络服务的可用性和网络信息的完整性。前者规定网络向所有用户有选择地随时提供各自应得到的网络服务,后者则规定网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的主线问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当限度的控制以保障系统的可用性和信息的完整性不受影响4。一个安全的计算机网络应当具有以下几个特点:1.可靠性是网络系统安全最基本的规定。可靠性重要是指网络系统硬件和软件无
14、端障运营的性能。2.可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,可以保证授权用户使用。3.保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能辨认真正的信息内容。4.完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,重要用于网络信息的互换过程,保证信息互换的参与者都不也许否认或抵赖曾进行的操作,类似于在发文或收文过程中的署名和签收的过程。 从技术角度看,网络安全的内容大体涉及4个
15、方面:1.网络实体安全2.软件安全3.网络数据安全4.网络安全管理由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。其特性是针对计算机网络自身也许存在的安全问题,实行网络安全保护方案,以保证算机网络自身的安全性为目的。第一章 需求分析随着近年来公司信息化建设的进一步,公司的运作越来越融入到计算机网络中中小型公司运用网络实现内部的数据流转、实现与外界的实时交流、实现网络服务与应用等。例如文献传输、资源共享、打印共享和协同工作等等。中小型公司构建网络可以极大地提高工作效率,减少设备资金投入。由于当前计算机都带有网络设备,所以在组网的时候只需配置网线,互换机等设备。除了这些基
16、本的需要外,用于充当服务器的计算机还必须对内存和硬盘容量等硬件进行一些必要的升级过更新,使其可以更好的服务所有用户。例如,服务器需要为每个部门的员工提供一定的私有空间及公用空间,因此必须要有超大容量的硬盘。网络上的规定稳定,有安全机制,升级扩展容易,用户使用简朴,维护容易等;系统规定配置简朴方便,系统运营有高稳定性,可管理性等;用户规定,满足基本带宽5规定,保存一定的余量供扩展等;设备规定技术上具有先进性,易管理,具有良好的性价比。公司网已经越来越多地被人们提到,运用网络技术,现代公司可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到公司能否获得关键的竞争优势。近年来越来越
17、多的公司都在加快构建自身的信息网络,而其中绝大多数都是中小公司。 通过网络建设可以实现公司内部资源的共享,减少公司成本,可以更好的与外界进行沟通,让外部更加了解公司。目前中小型公司建设过程中,存在很多问题,如有些中小型公司不考虑自身需求,一味追求高性能,构建的网络往往导致不必要的浪费;或另一方面,有些中小型公司建成的网络主线达不到应用自身对网络的需求。公司网络应分为内部网络和外部网络两个部分,其中还涉及在这两部分上的实际应用,中小型公司在网络设计之初就应当充足考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络。因此,在建立局域网时应当考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带
18、宽、经济性。第二章 网络系统设计2.1网络系统设计规划2.1.1网络设计指导原则网络设计应当遵循开放性和标准化原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证2.1.2网络设计总体目的灵活性:系统具有较高的适应变化的能力。布线系统且具有一定的扩展能力。实用性:使用方便、简朴、易扩展的特点。布线系统应在满足各种需求的情况下尽也许减少材料成本;布线系统具有操作简朴、使用方便、易于扩展的特点。安全性:具有高安全性。2.1.3网络通信联网协议TCP/IP:每种网络协议都有自己的优点,但是只有TCP/IP
19、允许与Internet完全的连接。Telnet:远程登录访问协议,使其他跨省区域的用户通过远程访问总部的内外,在远程访问时,会设立相应的ACL认证和相对的权限设立。SNMP网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、互换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网络管理员可以管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接受随机消息(及事件报告)网络管理系统获知网络出现问题。路由协议:OSPF。2.1.4网络 IP 地址规划公司园区网计划使用私有的A类IP地址。公司园区网的IP地址分派原则如下:公司使用IPv4地
20、址方案。公司使用私有IP地址空间:10.0.0.0/8。公司使用VLSM(变长子网掩码)技术分派IP地址空间。公司IP地址分派满足集团的运用。 公司IP地址分派满足便于路由汇聚。公司IP地址分派满足分类控制等。公司IP地址分派满足未来公司网络扩容的需要。 2.1.5网络设备方案设计1.路由器:CISCO 2811 参考价:5200思科2811路由器采用模块化端口结构,传输速率 10/100Mbps 设立一个10/100Mbps固定广域网接口,2个固定局域网接口10/100Mbps,支持4个扩展模块插槽,1个NM插槽和1个Console控制端口,配有RS-232的控制端口。该产品搭载Motoro
21、la MPC860 160MHz的解决器,配备最大256MB的Flash闪存和最大760MB的DRAM内存,极大的提高了该产品的安全性能。思科2811支持IEEE 802.3X6网络协议以及SNMP网管协议,同时还配备Cisco ClickStart网管软件,支持VPN-虚拟专用网,以及QoS,协议方面支持比较完善。安全面,2811内置了防火墙,并支持UL 60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN 60950-1、AS/NZS 60950等众多安全标准,为公司用户提供更安全的网络服务。2.三层互换机:采用友讯网络(D-Link)DES-3326 参考
22、价:6300元DES-3326是友讯网络公司推出的一款可网管、支持千兆的10/100M智能三层互换机,是一款线速第三层互换机,提供了24个10/100BASE-TX端口及1个扩展插槽,可扩展2个可选千兆以太网端口。DES-3326互换机将第二层线速互换及第三层IP路由以及服务质量(QoS)有机集成为一体,并可采用支持SNMP标准的网管系统进行配置、监控和管理。DES-3326互换机前面板插槽可选插2口千兆模块,不同模块可支持1000BASE-SX、1000BASE-T标准。所有模块支持流量控制和全双工,可解决大量数据。支持优先级队列和QoS机制,优先级队列功能可以根据数据互换的重要性进行排队,
23、优先互换重要数据。该款互换机具有端口聚合功能,最大可将8个10/100Mbps端口聚合成一个端口,而聚合之后的这个端口性能非常强大,这项功能重要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用,而这项功能最重要的应用场合是VLAN划分,VLAN划分需要设立汇聚链路,而汇聚链路对带宽规定非常高,通过端口聚合功能可提供一个高带宽的端口。DES-3326支持SNMP管理和RMON监控功能,并且还支持端口镜像功能,通过这些功能,管理员可对该款互换机进行管理、配置以及对此款互换机所连接的网络进行监控。DES-3326互换机还提供了流量控制功能,支持VLAN划分,提供了冗余电源接口等。3.二层互换机
24、:D-Link DES-1024D 参考价:530它符合百兆以太网标准,提供了24个自适应全/半双工10/100Mbps端口,可自动判断连入设备的类型提供相应的连接方式和带宽。此外运用配备的16K的MAC地址表和2.5MB缓存,它可以运用IEEE802.3x7流量控制技术动态将缓存分派到各个端口,保持网络畅通。2.2网络拓扑图如下图2.1所示图2.1 网络拓扑图2.3 IP地址规划1.VLAN 10 财务部IP地址:192.168.10.1192.168.10.254网关;192.168.10.2542.VLAN 20 营销部IP地址:192.168.20.1192.168.20.254网关:
25、192.168.20.2543.VLAN 30 工程部IP地址:192.168.30.1192.168.30.254网关:192.168.30.2544.VLAN 40 人事部IP地址:192.168.40.1192.168.40.254网关:192.168.40.2542.4网络设备选型网络设备是指集线器、互换机、路由器、服务器和网络存储设备等。布线决定着网络所可以提供的最大潜在带宽,集线设备即集线器和互换机决定着网络当前可以提供的最大网络带宽,路由器决定着网络之间或网络与Internet之间的连接速率。网络设备就像F1赛道上的汽车,决定最高时速的只有其排量和性能。2.4.1集线器的选型目前
26、,集线器作为一种便宜的集线设备,重要广泛应用于数据传输量不大,用户数量不多的小型网络,或作为中型网络的一种补充。2.4.2互换机的选型选择互换机时,应选择在国内市场上有相称的份额,具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品,如中兴、3Com、华为的产品市场份额较大。既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、 良好的售后服务,否则买回的互换机出现故障时既没有技术支持又没有产品服务,使公司蒙受损失。2.4.3路由器的选型采用成熟的、经实践证明其实用性的技术。所使用的设备应支 持 VLAN 划 分技术、HSRP(热备份路由协议)技术、OSPF 等协议,保证网 络
27、的传输性能和路由快速改敛性,克制局域网内广播风暴,减少数据传输延时;不盲目追求高性能产品,要购买适合自身需求的产品。2.4.4服务器的选型为了保证网络的正常运转,用户选择的服务器一方面要保证稳定。在具体选购服务器时,用户应当考察厂商是否有一套面向客户的完善的服务体系及未来在该领域的发展计划。第三章 网络安全的方案设计3.1中小型公司网络安全系统设计3.1.1安全体系结构网络安全体系结构重要考虑安全机制和安全对象,安全对象重要有网络安全、信息安全、设备安全、系统安全、数据库安全、信息介质安全和计算机病毒防治等。还以此为根基对公司网络的安全建设进行了研究并提出建立方位性强、多层次、细致全面的网络安
28、全解决方案8。3.1.2安全体系层次模型按照网络OSI的7层模型,网络安全贯穿于整个7层。针对网络系统实际运营的TCP/IP协议,网络安全贯穿于信息系统的4个层次。1.物理层。物理层信息安全,重要防止物理通路的损坏、物理通路的窃听、对物理通路的袭击(干扰等)。2.链路层。链路层的网络安全需要保证通过网络链路传送的数据不被窃听。重要采用划分VLAN、加密通讯等手段。3.网络层。网络层的安全要保证网络只给授权的人员使用授权的服务,保证网络路由对的,避免被监听或拦截。4.操作系统。操作系统安全规定保证客户资料、操作系统访问控制的安全,同时可以对该操作系统上的应用进行安全审计。5.应用平台。应用平台指
29、建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术来增强应用平台的安全性。6.应用系统完毕网络系统的最终目的是为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通讯双方的认证,通讯内容安全,审计等手段3.1.3安全体系设计安全体系设计原则在进行计算机网络安全设计和规划时,应遵循以下原则:1.需求、风险、代价平衡分析的原则对任一网络来说,绝对安全难以达成,也不一定必要。对一个网络要进行实际分析,对网络面临的威胁及也许承担的风险进行定性与定量相结合的分析,然后制定规范和
30、措施,拟定本系统的安全策略。保护成本与被保护信息的价值必须平衡,价值仅2万元的信息假如用6万元的技术和设备去保护是一种不适当的保护。2.综合性、整体性原则运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络涉及个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才也许获得有效、可行的措施。3.一致性原则这重要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。事实上,在网络建设之初就应考虑网络安全对策,比等网络建设好后再考虑,不
31、仅容易,并且花费也少很多。4.安全、可靠性原则最大保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充足保证其安全性;对项目实行过程实现严格的技术管理和设备的冗余配置,保证产品质量,保证系统运营的可靠性。5.先进、标准、兼容性原则先进的技术体系,标准化的技术实现。6.易操作性原则安全措施要由人来完毕,假如措施过于复杂,对人的规定过高,自身就减少了安全性。另一方面,采用的措施不会影响系统正常运营。7.适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易修改、容易适应。8.多重保护原则任何安全保护措施都不是绝对安全的,都也许被攻破。但是建立一个
32、多重保护系统,各层保护互相补充,当一层保护被攻破时,尚有其它层保护信息的安全。安全管理的实现信息系统的安全管理部门应根据管理原则和该系统解决数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:1.拟定该系统的安全等级。根据拟定的安全等级,拟定安全管理的范围。2.制订相应的机房出入管理制度。对安全等级规定较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。3.制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。4.制订完备的系统维护制度。维护时,要一方面经主管部门批准,并有安全管理人员在场,故障因素、维护内容和维护前后的情况要具体记录。
33、5.制订应急措施。要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。6.建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全面的各项措施。网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。对网络进行级别划分与控制,网络级别的划分大体涉及外网与内网等,其中Internet外网的接口要采用专用防火墙,各网络级别的接口运用物理隔离设备、防
34、火墙、安全邮件服务器、路由器的可控路由表、安全拨号验证服务器和安全级别较高的操作系统。从技术角度来看,入侵检测技术可划分为两种9,一种是异常检测模型,第二种是误用检测模型增强网络互连的分割和过滤控制,也可以大大提高安全保密性。3.2安全产品的配置与应用3.2.1防病毒及特洛伊木马软件为了实现在整个局域网内杜绝病毒的感染、传播和发作,我们应当在整个网络内也许感染和传播病毒的地方采用相应的防病毒手段。同时为了有效、快捷地实行和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络采用上机机房与办公区相分离的结构。1.在公司机房的 WindowS202
35、3服务器上安装瑞星杀毒软件网络版的系统中心,负责管理2023多个员工主机网点。2.在各办公室分别安装瑞星杀毒软件网络版的客户端。3.安装完瑞星杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定期查杀毒的设立,保证所有客户端即使在没有联网的时候也可以定期进行对本机的查杀毒。4.网络中心负责整个公司网的升级工作。为了安全和管理的方便,由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文献(涉及病毒定义码、扫描引擎、程序文献等),然后自动将最新的升级文献分发到其他2023多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。在安全级别较高的子网采用的防病毒措施为:1.客
36、户端防毒:采用趋势科技的Officescan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受WindowS域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯W己b的部署方式。2.邮件防毒:采用趋势科技的 SacllMailforNoteS。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNoteS的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防
37、毒管理工作,并提供实时监控病毒流量的活动记录报告。3.服务器防毒:采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新,另一方面减少了整个防毒系统对原系统的影响,Serve少rotect产品支持WindowsNT/2023、NovellNetware,同时ServerProtect是业界第一款支持Lin吧平台的防病毒产品。3.2.2动态口令身份认证方案动态口令身份认证具有随机性、动态性、一次性、不可逆等特点,不仅保存了静态口令方便性的优点,并且很好地填补了静态口令存在的各种缺陷。
38、动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过数十次以上的非线性迭代运算,完毕时间参数与密钥充足的混合扩散。在此基础上,采用先进的身份认证及加解密10流程、先进的密钥管理方式,从整体上保证了系统的安全性。本网络系统采用南京众力科技有限公司生产的VPN动态口令身份认证系统。VPN动态口令身份认证系统重要由以下几个重要模块组成:认证系统管理员界面、帐号管理服务器(UAM)、RADIUS认证服务器、NAS(网络接入服务器采用带VPN功能的防火墙,例如:NOKIAIP380)、ORACLE数据库管理系统、VPN客户端、防火墙管理软件(例如:NOKIA防火墙软件Che
39、ekPointExpress)。VPN用户从顶temet远程访问内部网络,需要对用户身份进行认证,允许合法的用户访问网络,不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险,而采用动态口令作为密码,真正做到一次一密,即每次用户通过身份认证后本次密码立即失效。用户下次登录时,通过VPN客户端获得新的密码,并通过手机短信将新密码发送给用户。采用该方案后,在中小型公司的认证系统中可以实现:1.密钥/时间双因素的身份认证机制;2.登录口令随时间变化;3.口令使用次数和时效自由控制,有效抵御重播袭击行为;4.开放的应用程序接口,与应用系统方便集成;5.使用通过国家认可的自主密码算法,具有优秀
40、的安全性;6.提供客户端设备与认证服务器之间的时间补偿机制,提高系和可用性7.用户端设备设计小巧,性能稳定,使用方便;8.提供完善灵活的安全事件日记审计和查询功能。9.网络数据流窃听(Sniffer)10.认证信息截取/重放(Reeord/Rplay)11.字典袭击12.穷举尝试(BruteForee)3.2.3访问控制:防火墙系统防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙重要用来执行两个网络之间的访问控制策略,它能限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。防火墙是一种隔离控制技术,
41、可以作为不同网络或网络安全域之间信息的出入口,能根据公司的安全策略控制出入网络的信息流,且自身具有较强的抗袭击能力。通过在网络入口点检查网络通讯数据,根据预先设定的安全规则,提供一种安全的网间网数据通讯。现在市场上的防火墙产品品种繁多,例如全球领先的网络解决方案供应商思科公司、Checkpoint 软件技术公司11、网屏技术公司,天融信、东软等。防火墙重要有三种类型:包过滤型、代理服务器型、全状态包过滤型。防火墙的使用是非常灵活的,可以在以太网络的任意部位进行链路上分割,构成安全的网络范围。中小型公司安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方
42、面存在着很大的缺陷,从而构成了对网络安全的重要隐患。防火墙可以支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的规定会不完全同样。有效地反映网络袭击,保证网络系统及其业务的可用性、可靠性。要适合中小型公司网络接入模式、接口规范、带宽规定,防火墙不能成为网络或业务的瓶颈。防火墙要符合国家相关标准和规范。防火墙要具有很高的可靠性,不会减少网络系统现有的可靠性。深层日记及灵活、强大审计分析功能,提供丰富的日记信息,用户可根据特定的需要进行日记选项(不做日记、通信日记(即传统的日记)、应用层协议日记
43、、应用层内容日记)。独创的网络实时监测信息,可具体审计命令级操作,便于入侵行为的分析和追踪,通过度析此数据状态来判断是否让链接通过12。大大提高防火墙的审计分析的有效性。更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能,可以实现与入侵检测设备的通讯。采用独创的最新最先进核检测技术,即基于OS内核的会话检测技术,在OS内核算现相应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不仅更加成功地实现了相应用层的细粒度控制,同时,更有效保证了防火墙的性能。第四章 网络服务器的安装与配置4.1网络配置4.1.1 VLAN配置如下图4.1所示:图4.1 VLAN配置4.1.2 路由配置如下图4
44、. 2所示图4.2 路由配置4.2 服务器配置4.2.1 DNS配置1.在“Windows组建向导”窗口添加“网络服务”中的“域名系统(DNS)”并安装,过程如下图4.3-4.4所示。图4.3组件向导图4.4网络服务2.打开“开始”菜单,单击“程序”“管理工具”“DNS命令”,打开DNS窗口,选择要创建搜索区域的DNS服务器,如下图4.5所示。图4.5新建区域向导3.单击“操作”“创建新区域”命令,系统启动“新建区域向导”对框,该向导将引导用户创建新区域,如下图4.6所示。图4.6区域类型4.单击“下一步”,环节如下图4.7-4.9所示。图4.7区域名称图4.8创建新区域文献图4.9完毕新建区
45、域向导4.2.2 HTTP配置1.在“Windows组建向导”窗口添加“应用程序服务器”中的“IIS”并安装,过程如下图4.10-4.11所示。图4.10组件向导图4.11应用程序服务器2.打开“开始”菜单,单击“程序”“管理工具”“IIS管理器”,打开IIS管理器窗口,选择“默认网站”“属性”,如下图4.12-4.15所示。图4.12属性主目录图4.13属性网站图4.14属性目录安全性图4.15身份验证方法4.2.3 配置三层互换机和DHCP服务器1.配置三层互换机如图4.16所示:某网络中心采用一台DHCP服务器为用户分派IP地址,三层互换机作为DHCP服务器的中继,并且为每个楼宇划分了不
46、同的Vlan。规定每个楼宇的计算机都能自动的获得自己的IP地址。请配置三层互换机和DHCP服务器以实现上述目的。图4.16三层互换机(1)创建VLAN(缺省为VTP server模式):Switchvan databaseSwitch(Van)vlan 10 name client1Switch(Vlan)vlan 20 name client2Switch(vlan)vlan30 name client3Switch(vlan)exit(2)启用DHCP中继代理:SwitchenableSwitch#conf tSwitch(Config)#service dhcp(3)设立VLAN IP地
47、址:Switch(Config)int vlan10Switch(Config-vlan)ip address 192.168.10.254 255.255.255.0Switch(Config-vlan)no shutSwitch(Config-vlan)int vlan 30Switch(Config-vlan)ip address 192.168.30.254 255.255.255.0Switch(Config-vlan)no shutSwitch(Config-vlan)exit(4)将端口添加到VLAN10,20,30中Switch(Config)interface range fa 0/1 - 8Switch(Config-if-range)switchport mode accessSwitch(Config-if-range)switchport access vlan 20Switch(Config)interface range fa 0/9 -
浙ICP备2021020529号-1 | 浙B2-20240490 
