企业网络安全解决方案的设计.doc

东华理工大学毕业设计（论文） 摘 要 i 摘 要 计算机网络的发展和技术的提高给网络的安全带来了很大的冲击,internet 的 安全成了新信息安全的热点。网络安全，是计算机信息系统安全的一个重要方面。 如同打开了的潘多拉魔盒，计算机系统的互联，在大大扩展信息资源的共享空间的 同时，也将其本身暴露在更多恶意攻击之下。如何保证网络信息存储、处理的安全 和信息传输安全的问题，就是我们所谓的计算机网络安全。信息安全是指防止信息 财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辩识、控制； 确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据 库安全、网络安全、病毒防护、访问控制、加密和鉴别七个方面。设计一个安全网 络系统，必须做到既能有效地防止对网络系统的各种各样的攻击，保证系统的安全， 同时又要有较高的成本效益，操作的简易性，以及对用户的透明性和界面的友好性。 针对计算机网络系统存在的安全性和可靠性问题，本文从网络安全的提出及定 义、网络系统安全风险分析，网络攻击的一般手段，企业局域网安全设计的原则及 其配置方案提出一些见解，并且进行了总结，就当前网络上普遍的安全威胁，提出 了网络安全设计的重要理念和安全管理规范并针对常见网络故障进行分析及解决,以 使企业中的用户在计算机网络方面增强安全防范意识，实现了企业局域网的网络安 全。 关键词：网络安全； 路由器； 防火墙； 交换机； vlan 东华理工大学毕业设计（论文） abstract i abstract the development of computer networks and technologies to enhance network security is a big blow, internet security has become a new hotspot of information security. network security is the security of computer information systems in an important aspect. like opening of the pandoras box, the computer systems of the internet, greatly expanded information resources sharing space at the same time, will be its own exposure to the more malicious attacks under. how to ensure that the network of information storage, processing and transmission of information security security, is the so-called computer network security. information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control; ensure confidentiality, integrity, availability, controllable. information security, including the safety of the operating system, database security, network security, virus protection, access control, encryption and identification of seven areas. design of a network security system, which must be done to effectively prevent the network all of the attacks, guarantee the safety of the system, and also have a higher cost- effectiveness, operational simplicity, and transparent to the user interface and friendly. computer network system of security and reliability problems, the paper from the network security and the proposed definition, network security risk analysis, network attacks generally means enterprise lan security design principles and disposition program some insights, and it was summed up, on the current network-wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety, realizing the enterprise lan network security. key words：network security； router； firewall； switch； vlan 东华理工大学毕业设计（论文） 目录 ii 目 录 摘 要 i abstract .ii 目 录iii 绪论1 1 1 网络安全概述2 1.1 网络安全的概念.2 1.2 网络安全系统的脆弱性.2 1.3 网络安全模型.3 1.4 企业局域网的应用.4 2 2 网络系统安全风险分析5 2.1 物理安全风险分析.5 2.2 网络平台的安全风险分析.5 2.3 系统的安全风险分析.6 2.4 来自局域网内部的威胁.6 2.5 来自互联网的威胁.7 2.6 网络的攻击手段.7 3 3 企业局域网的安全设计方案8 3.1 企业局域网安全设计的原则.8 3.2 安全服务、机制与技术.9 3.3 企业局域网安全配置方案.9 3.3.1 物理安全技术9 3.3.2 路由器安全配置9 3.3.3 防火墙技术安全配置12 3.3.4 内部网络隔离16 3.3.5 企业局域网防病毒设置19 3.3.6 攻击检测技术及方法22 3.3.7 审计与监控技术实施27 3.4 信息安全.30 4 4 企业局域网安全管理33 4.1 安全管理规范.33 4.1.1 安全管理原则.33 东华理工大学毕业设计（论文） 目录 iii 4.1.2 安全管理的实现.33 4.2 常见网络故障及解决.33 4.2.1 ip 冲突解决33 4.2.2 dns 错误34 结束语36 致 谢37 参考文献38 东华理工大学毕业设计（论文） 目录 ii 绪论 随着迅速变化的商业环境和日益复杂的网络, 已经彻底改变了目前从事业务的 方式。尽管企业现在依赖许多种安全技术来保护知识产权，但它们经常会遇到这些 技术所固有的限制因素难题。 无论当今的技术标榜有何种能力，它们通常均不能够集中监控和控制其它第三 方异构安全产品。大多数技术都未能证实有至关重要的整合、正常化和关联层，而 它们正是有效安全信息管理基础的组成部分。寻求尖端技术、经验丰富的人员和最 佳作法与持续主动进行企业安全管理的坚实整合，是当今所有 it 安全专业人士面临 的最严峻挑战。 有效的安全信息管理主要关键是要求企业管理其企业安全，并同时在风险与性 能改进间做到最佳平衡。拥有良好的主动企业安全管理不应是我们所有人难以实现 的梦想。通过本企业网络安全技术及解决方案，使企业网络可有效的确保信息资产 保密性、完整性和可用性。 本方案为企业局域网网络安全的解决方案，包括原有网络系统分析、网络安全 风险分析、安全体系结构的设计等。本安全解决方案是在不影响该企业局域网当前 业务的前提下，实现对局域网全面的安全管理。 (1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有 效阻止非法用户进入网络，减少网络的安全风险。 (2) 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 (3) 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时 具备很好的安全取证措施。 (4) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复 到破坏前的状态，最大限度地减少损失。 (5) 在服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现 全网统一防病毒。 东华理工大学毕业设计（论文） 网络安全概 述 1 1 网络安全概述 1.1 网络安全的概念 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的 或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不 中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网 络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络 安全的研究领域。 从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受 到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用 和非法控制等威胁，制止和防御网络黑客的攻击。 从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人 类的发展造成阻碍，必须对其进行控制。 1.2 网络安全系统的脆弱性 计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全 威胁。尽管近年来计算机网络安全技术取得了巨大的进展，但计算机网络系统的安 全性，比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害，他的抗打 击力和防护力很弱，其脆弱性主要表现在如下几个方面。 (1) 操作系统的安全脆弱性 操作系统不安全，是计算机系统不安全的根本原因。 (2) 网络系统的安全脆弱性 网络安全的脆弱性 使用 tcp/ip 协议的网络所提供的 ftp、e-mail、rpc 和 nfs 都包含许多 不安全的因素。 计算机硬件的故障 由于生产工艺和制造商的原因，计算机硬件系统本身有故障， 软件本身的“后门” 软件本身的“后门”是软件公司为了方便自己进入而在开发时预留设置 的，一方面为软件调试进一步开发或远程维护提供了方便，但同时也为非法 入侵提供了通道，入侵者可以利用“后门”多次进入系统。 常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。 软件的漏洞 东华理工大学毕业设计（论文） 网络安全概 述 2 软件中不可避免的漏洞和缺陷，成了黑客攻击的首选目标，典型的如操 作系统中的 bugs。 (3) 数据库管理系统的安全脆弱性 大量信息存储在数据库中，然而对这些数据库系统在安全方面的考虑却很少。 数据库管理系统安全必须与操作系统的安全相配套，例如，dbms 的安全级别是 b2 级，操作系统的安全级别也应是 b2 级，但实践中往往不是这样。 (4) 防火墙的局限性 防火墙依然存在着一些不能防范的威胁，例如不能防范不经过防火墙的攻击， 及很难防范网络内部攻击及病毒威胁等。 (5) 天灾人祸 天灾指不可控制的自然灾害，如地震、雷击等。 人祸是指人为因素对计算机网络系统构成的威胁，人祸可分为有意的和无意的， 有意的是指人为的恶意攻击、违纪、违法和计算机犯罪。无意是指误操作造成的不 良后果，如文件的误删除、误输入，安全配置不当，用户口令选择不慎，账号泄露 或与别人共享。 (6) 其他方面的原因 如环境和灾害的影响，计算机领域中任何重大的技术进步，都对安全性构成 新的威胁等。 总之，系统自身的脆弱和不足，是造成网络安全问题的内部根源，但系统本身 的脆弱性，社会对系统的依赖性这一对矛盾又将促进网络安全技术的不断发展和进 步。 1.3 网络安全模型 计算机网络系统安全的概念是相对的，每一个系统都具有潜在的危险。安全具 有动态性，需要适应变化的环境，并能作出相应的调整，以确保计算机网络系统的 安全。 一个最常见的安全模型就是 pdrr 模型：pdrr 模型就是 4 个英文单词的头字符， protection（防护） 、detection（检测） 、response（响应） 、recovery（恢复） 。这 四个部分构成了一个动态的信息安全周期，如图： 东华理工大学毕业设计（论文） 网络安全概 述 3 图 1-1 网络安全模型 安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策 略的第一部分就是防御。根据系统已知的所有安全问题做出防御的措施，如打补丁、 访问控制、数据加密等等。防御作为安全策略的第一个战线。安全策略的第二个战 线就是检测。攻击者如果穿过了防御系统，检测系统就会检测出来。这个安全战线 的功能就是检测出入侵者的身份，包括攻击源、系统损失等。一旦检测出入侵，响 应系统开始响应包括事件处理和其他业务。安全策略的最后一个战线就是系统恢复。 在入侵事件发生后，把系统恢复到原来的状态。每次发生入侵事件，防御系统都要 更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御、检测、 响应和恢复，这四个方面组成了一个信息安全周期。 1.4 企业局域网的应用 企业的局域网可以为用户提供如下主要应用： (1) 文件共享、办公自动化、www 服务、电子邮件服务； (2) 文件数据的统一存储； (3) 针对特定的应用在数据库服务器上进行二次开发(比如财务系统)； (4) 提供与 internet 的访问； (5) 通过公开服务器对外发布企业信息、发送电子邮件等； 东华理工大学毕业设计（论文） 网络安全概 述 4 2 网络系统安全风险分析 这个企业的局域网是一个信息点较多的百兆局域网络系统，它所联接的现有上 百个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。 不仅如此，通过专线与 internet 的连接，打通了一扇通向外部世界的窗户，各个部 门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接 对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计 为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。 因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是 必需的。 企业局域网安全可以从以下几个方面来理解：1 网络物理是否安全；2 网络平 台是否安全；3 系统是否安全；4 企业局域网本身是否安全；5 与互联网连接是否 安全。针对每一类安全风险，结合实际情况，我们将具体的分析网络的安全风险。 2.1 物理安全风险分析 网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障，人为操作 失误或错误，设备被盗、被毁，电磁干扰，线路截获以及高可用性的硬件，双机多 冗余的设计，机房环境及报警系统，安全意识等。它是整个网络系统安全的前提， 在这个企业局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度， 做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。 2.2 网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 企业局域网内公开服务器区（www、email 等服务器）作为公司的信息发布平台， 一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外 东华理工大学毕业设计（论文） 网络系统安全风险分 析 5 界服务，必须开放相应的服务。每天，黑客都在试图闯入 internet 节点，这些节点 如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点 的跳板。因此，企业局域网的管理人员对 internet 安全事故做出有效反应变得十分 重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信 息外泄。同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应 主机，其他的请求服务在到达主机之前就应该遭到拒绝。 整个网络结构和路由状况 安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全 系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，作为与 internet 连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路 由，这就大大减少了因网络结构和网络路由造成的安全风险。 2.3 系统的安全风险分析 所谓系统的安全是指整个局域网网络操作系统、网络硬件平台是否可靠且值得 信任。 网络操作系统、网络硬件平台的可靠性：对于中国来说，恐怕没有绝对安全的 操作系统可以选择，无论是 microsoft 的 windows nt 或者其他任何商用 unix 操作 系统，其开发厂商必然有其 back-door。我们可以这样讲，没有完全安全的操作系 统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格 控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台， 而且必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户 的合法性。其次应该严格限制登录者的操作权限，将其操作权限限制在最小的范围 内。 2.4 来自局域网内部的威胁 (1) 应用的安全风险 应用系统的安全是动态的、不断变化的，其结果是安全漏洞也不断增加且隐藏 越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、 未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局 域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可 以保证的。对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行 加密，针对具体的应用直接在应用系统开发时进行加密。 (2) 管理的安全风险 管理是网络安全中最重要的部分。责权不明，管理混乱、安全管理制度不健全 及缺乏可操作性等都可能引起管理安全的风险。管理混乱使得一些员工或管理员随 东华理工大学毕业设计（论文） 网络系统安全风险分 析 6 便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知 道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络 受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监 控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破 案依据，即缺乏对网络的可控性与可审查性。所以我们必须对站点的访问活动进行 多层次的记录，及时发现非法入侵行为。 建立全新的网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此， 最可行的做法是管理制度和网络安全解决方案的结合。 (3) 不满的内部员工 不满的内部员工可能在 www 站点上开些小玩笑，甚至破坏。不论如何，他们最 熟悉服务器、小程序、脚本和系统的弱点。例如他们可以传出至关重要的信息、泄 露安全重要信息、错误地进入数据库、删除数据等等。 2.5 来自互联网的威胁 (1) 黑客攻击 黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上一切可能 利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服 务器软件，得到服务器的口令文件并将之送回。黑客侵入服务器后，有可能修改特 权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能 开发欺骗程序，将其装入服务器中，用以监听登录会话。当它发现有用户登录时， 便开始存储一个文件，这样黑客就拥有了他人的帐户和口令。这时为了防止黑客， 需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设 置组特权，不允许任何使用公开服务器的人访问 www 页面文件以外的东西。在这个 企业的局域网内我们可以综合采用防火墙技术、入侵检测技术、访问控制技术来保 护网络内的信息资源，防止黑客攻击。 (2) 恶意代码 恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑炸弹和其他未经同意的 软件。所以应该加强对恶意代码的检测。 (3) 病毒的攻击 计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在的，它隐蔽在其 他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度， 使机器不能正常运行，重则使机器处于瘫痪，会给用户带来不可估量的损失。能在 internet 上传播的新型病毒，例如通过 e-mail 传播的病毒，增加了这种威胁的程 度。 2.6网络的攻击手段 东华理工大学毕业设计（论文） 网络系统安全风险分 析 7 一般认为，目前对网络的攻击手段主要表现在： 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问， 如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权 限，越权访问信息。 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，通常包括信 息在传输中或者存储介质中丢失、泄漏，或通过建立隐蔽隧道窃取敏感信息等。 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发 某些重要信息，以取得有益于攻击者的响应；恶意修改数据，以干扰用户的正常使 用。 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执 行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排 斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统， 而且用户很难防范。 3 企业局域网的安全设计方案 本公司有 100 台左右的计算机，主要使用网络的部门有：生产部(20)、财务部 (15)、人事部(8)和信息中心(12)四大部分，如图 3.1 所示。 网络基本结构为：整个网络中干部分采用 3 台 catalyst 1900 网管型交换机 （分别命名为：switch1、switch2 和 switch3，各交换机根据需要下接若干个集线 器，主要用于非 vlan 用户）、一台 cisco 2514 路由器，整个网络都通过路由器 cisco 2514 与外部互联网进行连接。 图 3.1 企业局域网的安全设计方案 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 9 3.1 企业局域网安全设计的原则 企业局域网网络系统安全方案设计、规划时，应遵循以下原则： 综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措 施。安全措施主要包括行政法律手段、各种管理制度（人员审查、工作流程、维护 保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、 采用高安全产品等） 。 一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或 生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。 易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过 高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及 应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。 同时由于实施信息安全措施需要相当的费用支出。因此分步实施，既可满足网络系 统及信息安全的基本需求，亦可节省费用开支。 多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一 个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护 信息的安全。 可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通 过国家有关网络信息安全测评认证机构的评估来实现。 3.2 安全服务、机制与技术 安全服务：控制服务、对象认证服务、可靠性服务等； 安全机制：访问控制机制、认证机制等； 安全技术：防火墙技术、病毒防治技术、攻击检测技术、审计监控技术等； 在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务 来实现，而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安 全机制有时也可以用于实现不同的安全服务。 3.3 企业局域网安全配置方案 3.3.1 物理安全技术 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提， 它主要包括三个方面： 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护； 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、 抗电磁干扰及电源保护等； 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 10 媒体安全：包括媒体数据的安全及媒体本身的安全。 3.3.2 路由器安全配置 作为企业局域网与外部 internet 互联网络连接的第一关，路由器的配置是很重 要的，既要保证网络的畅通，也不能忽略网络的安全性而只取其一（我们所使用的 是 cisco 2514 路由器），因此，除了对路由器与 internet 外网连接配置外，我们 对路由器还采用了如下安全配置： (1) 路由器网络服务安全配置 a、禁止 cdp(cisco discovery protocol)。 router(config)#no cdp run router(config-if)# no cdp enable b、禁止其他的 tcp、udp small 服务。 router(config)# no service tcp-small-servers router(config)# no service udp-small-servers c、禁止 finger 服务。 router(config)# no ip finger router(config)# no service finger d、禁止 http 服务。 router(config)# no ip http server 启用了 http 服务则需要对其进行安全配置：设置用户名和密码，采用访问列表 进行控制。 e、禁止 bootp 服务。 router(config)# no ip bootp server f、禁止 ip source routing。 router(config)# no ip source-route g、禁止 ip directed broadcast。 router(config)# no ip directed-broadcast h、禁止 ip classless。 router(config)# no ip classless i、禁止 icmp 协议的 ip unreachables, redirects, mask replies。 router(config-if)# no ip unreacheables router(config-if)# no ip redirects router(config-if)# no ip mask-reply j、明确禁止不使用的端口。 router(config)# interface eth0/3 router(config)# shutdown 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 11 (2) 路由器路由协议安全配置 a、启用 ip unicast reverse-path verification。它能够检查源 ip 地址的准 确性，从而可以防止一定的 ip spooling。 b、配置 urpf。urpf 有三种方式，strict 方式、acl 方式和 loose 方式。在接 入路由器上实施时，对于通过单链路接入网络的用户，建议采用 strict 方式；对于 通过多条链路接入到网络的用户，可以采用 acl 方式和 loose 方式。在出口路由器 上实施时，采用 loose 方式。strict 方式： router# config t ！启用 cef router(config)# ip cef ！启用 unicast reverse-path verification router(config)# interface eth0/1 router(config-if)# ip verify unicast reverse-path acl 方式： interface pos1/0 ip verify unicast reverse-path 190 access-list 190 permit ip customer network customer network mask any access-list 190 deny ip any any log 这个功能检查每一个经过路由器的数据包的源地址，若是不符合 acl 的，路由 器将丢弃该数据包。 loose 方式： interface pos 1/0 ip ver unicast source reachable-via any 这个功能检查每一个经过路由器的数据包，在路由器的路由表中若没有该数据 包源 ip 地址的路由，路由器将丢弃该数据包。2 启用 ospf 路由协议的认证。 默认的 ospf 认证密码是明文传输的，建议启用 md5 认证。并设置一定强度密钥(key,相 对的路由器必须有相同的 key)。 c、rip 协议的认证。只有 rip-v2 支持，rip-1 不支持。建议启用 rip-v2。并 且采用 md5 认证。普通认证同样是明文传输的。 d、启用 passive-interface 命令可以禁用一些不需要接收和转发路由信息的 端口。建议对于不需要路由的端口，启用 passive-interface。但是，在 rip 协议 是只是禁止转发路由信息，并没有禁止接收。在 ospf 协议中是禁止转发和接收路由 信息。 e、启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如： router(config)# access-list 10 deny 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 12 router(config)# access-list 10 permit any ！禁止路由器接收更新 网络的路由信息 router(config)# router ospf 100 router(config-router)# distribute-list 10 in ！禁止路由器转发传播 网络的路由信息 router(config)# router ospf 100 router(config-router)# distribute-list 10 out (3) 路由器其他安全配置 a、ip 欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地 址；回环地址(/8)；rfc1918 私有地址；dhcp 自定义地址 (/16)；科学文档作者测试用地址(/24)；不用的组播地址 (/4)；sun 公司的古老的测试地址(/24;/23)； 全网络地址(/8)。 router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 deny ip 55 any router(config)# access-list 100 permit ip any any router(config-if)# ip access-group 100 in b、采用访问列表控制流出内部网络的地址必须是属于内部网络的。 router(config)# no access-list 101 router(config)# access-list 101 permit ip any router(config)# access-list 101 deny ip any any router(config)# interface eth 0/1 router(config-if)# description “internet ethernet” router(config-if)# ip address 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 13 router(config-if)# ip access-group 101 in 3.3.3 防火墙技术安全配置 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法 手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特 殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安 全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 (1) 防火墙的基本配置原则 防火墙的配置过程中需坚持以下三个基本原则： a、简单实用 b、全面深入 c、内外兼顾 (2) 防火墙的基本配置 a、用一条防火墙自带的串行电缆从笔记本电脑的 com 口连到 cisco pix 525 防火墙的 console 口； b、开启所连电脑和防火墙的电源，进入 windows 系统自带的“超级终端“，通 讯参数可按系统默认。进入防火墙初始化配置，在其中主要设置有：date(日期)、 time(时间)、hostname(主机名称)、inside ip address(内部网卡 ip 地址)、 domain(主域)等，完成后也就建立了一个初始化设置了。此时的提示符为： pix255。 c、修改此特权用户模式密码。 命令格式为：enable password * encrypted，这个密码必 须大于 16 位。encrypted 选项是确定所加密码是否需要加密。 d、激活以太端口 必须用 enable 进入，然后进入 configure 模式 pix525enable password: pix525#config t pix525(config)#interface ethernet0 auto pix525(config)#interface ethernet1 auto 在默认情况下 ethernet0 是属外部网卡 outside, ethernet1 是属内部网卡 inside, inside 在初始化配置成功的情况下已经被激活生效了，但是 outside 必须 命令配置激活。 e、命名端口与安全级别 采用命令 nameif pix525(config)#nameif ethernet0 outside security0 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 14 pix525(config)#nameif ethernet0 outside security100 security0 是外部端口 outside 的安全级别（0 安全级别最高） security100 是内部端口 inside 的安全级别,如果中间还有以太口，则 security10，security20 等等命名，多个网卡组成多个网络，一般情况下增加一个 以太口作为 dmz(demilitarized zones 非武装区域)。 f、配置以太端口 ip 地址 采用命令为：ip address 内部网络为： 外部网络为： pix525(config)#ip address inside pix525(config)#ip address outside g、配置远程访问telnet 在默认情况下，pix 的以太端口是不允许 telnet 的，这一点与路由器有区别。 inside 端口可以做 telnet 就能用了,但 outside 端口还跟一些安全配置有关。 pix525(config)#telnet inside pix525(config)#telnet outside 测试 telnet 在开始-运行 telnet pix passwd: 输入密码：* h、访问列表(access-list) 访问列表也是 firewall 的主要部分，有 permit 和 deny 两个功能，网络协议一 般有 ip|tcp|udp|icmp 等等，允许访问主机:54 的 www,端口为：80 pix525(config)#access-list 100 permit ip any host 54 eq www pix525(config)#access-list 100 deny ip any any pix525(config)#access-group 100 in interface outside i、地址转换（nat）和端口转换(pat) nat 跟路由器基本是一样的，首先必须定义 ip pool，提供给内部 ip 地址转换 的地址段，接着定义内部网段。 pix525(config)#global (outside) 1 00-00 netmask pix525(config)#nat (outside) 1 东华理工大学毕业设计（论文） 企业局域网的安全设计方 案 15 外部地址是很有限的，主机必须单独占用一个 ip 地址，解决公用一个外部 ip(01),则必须配置 pat，这样就能解决更多用户同时共享一个 ip,有点 像代理服务器一样的功能。配置如下： pix525(config)#global (outside) 1 00-00 netmask pix525(config)#global (outside) 1 01 netmask pix525(config)#nat (outside) 1 j、dhcp server 在内部网络，为了维护的集中管理和充分利用有限 ip 地址，都会启用动态主机 分配 ip 地址服务器（dhcp server），cisco firewall pix 都具有这种功能，下面 配置 dhcp server,地址段为 0055 dns: 主 备 8 主域名称： dhcp client 通过 pix firewall pix525(config)#ip address dhcp dhcp server 配置 pix525(config)#dhcp address 0055 inside pix525(config)#dhcp dns 8 pix525(config)#dhcp domain k、静态端口重定向(port redirection with statics) 端口重定向的功能，允许外部用户通过一个特殊的 ip 地址/端口通过防火墙传 输到内部指定的内部服务器。其中