【《企业网络安全方案设计与实现案例分析》3000字】

企业网络安全方案设计与实现案例分析目录TOC\o"1-3"\h\u24424企业网络安全方案设计与实现案例分析 1175371.1防火墙安全 1197051.2内网端口安全 3266141.3交换机安全 399161.4DHCPSnooping 5297962企业网络功能测试 64931.1链路捆绑效果测试 6308471.2网络连通性测试 6284661.2无线AP测试 851381.4防火墙NAT转换测试 95081.5VRRP效果验证 111.1防火墙安全在企业的出口处部署一台防火墙用于隔离企业内网和外网。防火墙上有四个默认安全区域：trust，unstrust，dmz，local，其中防火墙对trust区域的设备信任度最高，对untrust区域的信任度最低。将连接内网的接口划分到trust区域，连接外网设备的接口划分到untrust区域，然后在dmz区域放置FTP文件服务器和DNS域名解析服务器。[FW1-zone-trust]trust[FW1-zone-trust]setpriority85[FW1-zone-trust]addinterfaceGigabitEthernet0/0/0[FW1-zone-trust]addinterfaceGigabitEthernet1/0/6[FW]firewallzoneuntrust[FW1-zone-untrust]setpriority5[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/0[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW]firewallzonedmz[FW1-zone-dmz]setpriority50[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/2安全策略主要是控制防火墙间流量的转发。防火墙能够对流量进行识别，并将流量的特性与安全策略的条件进行匹配，如果所有条件都匹配，则执行安全策略所定义的动作。为了让内网trust区域可以访问untrust，可以设置一个trust到untrust区域的名为trust2untrust的安全策略。当trust区域的流量访问untrust区域时，防火墙会放行满足安全策略要求的流量通过，为了保证回包流量可以通过防火墙，还需要设置一个untrust到trust的安全策略，允许防火墙放行外网回包流量通过。[FW]security-policy[FW1-policy-security]rulenametrust2untrust[FW1-policy-security-rule-trust2untrust]source-zonetrust[FW1-policy-security-rule-trust2untrust]destination-zoneuntrust[FW1-policy-security-rule-trust2untrust]actionpermit[FW1-policy-security]rulenameuntrust2trust[FW1-policy-security-rule-untrust2trust]source-zoneuntrust[FW1-policy-security-rule-untrust2trust]destination-zonetrust[FW1-policy-security-rule-untrust2trust]actionpermit为了保障内网FTP服务器不受外网恶意文件的攻击，我们会利用防火墙提供的反病毒功能阻止病毒文件在文件传输过程中进入受保护网络，保障内网FTP服务器的安全。在防火墙的命令行界面配置针对FTP协议的反病毒配置文件，该反病毒配置文件只针对FTP进行病毒检测，所以其他的协议检测都关闭。[FW]profiletypeavnameav_ftp[FW-profile-av-av_ftp]ftp-detectdirectionuploadactionblock[FW-profile-av-av_ftp]undohttp-detect[FW-profile-av-av_ftp]undosmtp-detect[FW-profile-av-av_ftp]undopop3-detect[FW-profile-av-av_ftp]undoimap-detect[FW-profile-av-av_ftp]undonfs-detect[FW-profile-av-av_ftp]undosmb-detect[FW-profile-av-av_ftp]quit配置完反病毒文件后，需要配置外网用户到内网服务器方向的安全策略，放行外网用户到内网DMZ区域的流量并调用反病毒配置文件。[FW]security-policy[FW-policy-security]rulenamepolicy_av_2[FW-policy-security-rule-policy_av_2]source-zoneuntrust[FW-policy-security-rule-policy_av_2]destination-zonedmz[FW-policy-security-rule-policy_av_2]actionpermit[FW-policy-security-rule-policy_av_2]profileavav_ftp1.2内网端口安全访问控制列表是在路由器接口上使用的配置指令，它用来控制数据包的进与出。通过ACL指令，可以抓取数据包中的源地址，目的地址，端口号等信息，然后对这些信息进行允许通过和拒绝通过的命令。目前，大部分病毒通过软件的各种漏洞和网络设备开放的端口进行病毒入侵。为了防止病毒入侵网络，可以在核心层的上层网络设备上使用ACL命令，拒绝流量访问内网的特定端口。比如黑客通过445端口对用户进行勒索病毒攻击，使用135端口对内网用户进行远程控制入侵等等。[SW6]aclnumber3000[SW6-acl-adv-3000]rule5denytcpdestination-porteq445[SW6-acl-adv-3000]rule10denytcpdestination-porteq135[SW6-acl-adv-3000]rule15denytcpdestination-porteq138[SW6-acl-adv-3000]rule20denytcpdestination-porteq5900[SW6-acl-adv-3000]rule25denytcpdestination-porteq6588[SW6-acl-adv-3000]rule30denyudpdestination-porteq1434[SW6-acl-adv-3000]rule35permitip最后在路由器的接口上，入向调用ACL3000，实现ACL访问控制功能。[SW6]interfaceGigabitEthernet0/0/8[SW6-GigabitEthernet0/0/8]traffic-filterinboundacl30001.3交换机安全(1)BPDU保护BPDU保护是一款交换机的重要安全保护功能，一般情况下，交换机的边缘端口不会受到RSTBPDU报文的，但是如果有不法分子伪造该报文攻击交换设备，当边缘端口收到该报文的时候，就会自动将端口的边缘模式转换为非边缘模式，这样该端口会参与生成树的选举，引起不必要的网络震荡。通过在交换机的系统视图下，执行stpbpdu-protection来开启BPDU保护功能[SW3]stpbpdu-protection根保护功能主要是让交换机的某个端口始终处于转发状态。在针对交换机的网络攻击中，如果运行生成树协议的根桥交换机收到优先级更高的网桥协议数据单元报文，那该交换机就会失去根桥的地位。失去根桥地位以后，交换机就会进行生成树的计算。在这种情况下，可能会让生成树拓扑的发生改变，堵塞高带宽的链路，引起网络拥塞。启用根保护功能的交换机指定端口，当收到优先级更高的网桥协议数据单元报文时，端口会停止转发任何数据报文。在一段时间过后，如果端口没有再一次收到优先级更高的网桥协议数据单元报文，则端口会继续开始转发数据报文。通过在交换机的指定端口视图下，执行stproot-protection来开启根保护功能。[SW1-GigabitEthernet0/0/3]stproot-protection(2)Port-security交换机的端口安全也是内网安全的一部分。一般情况下，一个接入层交换机的接口只会连接一台员工电脑，如果有用户试图在交换机的某个接口下级联一台小型的交换机，从而扩展上网接口，这样容易出现公司非信任终端接入网络的现象。由于非信任终端存在一定的安全性问题，所以在网络拓扑设计的时候,应该避免这种情况的发生。一个主机具有一个全球唯一的MAC地址，而交换机通过学习数据包的源MAC，接收该数据包的接口号和接口号所属VLAN的方式，来形成一张本地唯一的MAC表项，通过MAC表项指导数据的转发。如果同一时间，一个接口在MAC表项中，对应两个不同的MAC地址，则认为该接口下有多个终端。在接入层交换机上的接口视图下，配置接口安全命令，并将该接口下最多可学习到的MAC地址设置为1。如果同一时间，该接口下学习到多个MAC地址，则认为该接口存在安全隐患，并将该接口的状态设置为Shutdown，等待网络管理员重新将该接口的状态设置为Up。[SW8]inteth0/0/1[SW8-Ethernet0/0/1]port-securityenable[SW8-Ethernet0/0/1]port-securitymax-mac-num1[SW8-Ethernet0/0/1]port-securityprotect-actionshutdown1.4DHCPSnooping在企业网内部，终端用户通过DHCP获得IP地址，默认网关以及DHCP服务器的地址等信息，这些信息是决定用户能否正常上网的关键。在一个网络中，如果上网用户获得了一个错误的IP地址或网关，那么可能会造成上网中断或工作受到影响。为了防止用户从非法的DCHPserver上获取IP地址，在DHCP中继设备上启用DHCPSnooping，并将连接DHCPserver的接口设置为信任接口。[SW1]dhcpsnoopingenable[SW1-vlan10]dhcpsnoopingenable[SW1]interfaceGigabitEthernet0/0/5[SW1-GigabitEthernet0/0/5]dhcpsnoopingtrusted5企业网络功能测试1.1链路捆绑效果测试在核心层交换机的系统视图下，执行displayeth-trunk12命令，查看链路聚合组中的成员链路的状态。手工链路捆绑效果测试如图1.1所示。图1.1手工链路捆绑测试图由上图可以得出在名称为eth-trunk12链路聚合组中，核心层交换机SW1的GigabitEthernet0/0/1接口和GigabitEthernet0/0/2接口处于同一个链路聚合组中，且status字段为up，表明这两个接口都处于活跃转发状态。1.2网络连通性测试在进行网络连通性测试之间，需要先行测试网络终端设备是否可以通过DHCP服务自动获取IP地址。在终端用户的基础配置中，选择DHCP选项，如图1.2所示。图1.2用户基础配置界面然后点开图1.2界面中的命令行菜单，输入ipconfig，查看用户获取IP地址为51/24，结果如图1.3所示。图1.3DHCP获取结果使用PC1验证与内网ip地址为50/24的连通性，结果如图1.4所示。图1.4内网相同网段主机连通性测试使用该主机验证内网IP地址为50/24的连通性，结果如图1.5所示。图1.5内网不同网段连通性测试结果然后使用该主机验证外网IP地址为/24的连通性，结果如图1.6所示。图1.6外网连通性测试结果1.2无线AP测试使用无线终端连接名称为Guess的wlan，如图1.7所示。图1.7接入wlan进入无线终端的命令行界面，使用ipconfig命令查看自动获取的ip地址，并ping内网DNS服务器地址，测试图如图1.8所示。图1.8无线用户测试图1.4防火墙NAT转换测试（1）内网访问外网的NAT转换测试。在防火墙的untrust区域配置一个外网ip地址/24，然后使用内网主机ping外网地址，在防火墙上观察防火墙会话表如图1.9所示。图1.9NAT转换测试由上