《基于安全的中小企业无线网络的组建毕业设计.doc》由会员分享,可在线阅读,更多相关《基于安全的中小企业无线网络的组建毕业设计.doc(62页珍藏版)》请在三一办公上搜索。
1、毕业设计说明书(论文)作 者: 学 号: 院 系: 专 业: 题 目: 指导者: (姓 名) (专业技术职务)评阅者: (姓 名) (专业技术职务)年 月 南毕业设计说明书(论文)中文摘要如今,网络接入技术迅猛发展,有线网络已经不能满足企业对灵活、快捷、高效办公的需求。无线网络不受网线和地理位置的束缚,已然成为当今现代化企业网络的发展趋势。但是,无线网相对于有线网,比较脆弱,而且企业无线网有异于一般的家庭无线网,它的安全性是需要着重考虑的。本文介绍了基于安全的中小企业无线网络的组建,利用Cisco Packet Tracer模拟软件模拟企业无线网基本的构架和方案。组建的企业内部网络分为三个层次
2、。核心层,使用三层交换机进行负载均衡和冗余。汇聚层,依靠访问控制列表(ACL)制订不同部门的通信规则。接入层,划分虚拟局域网(VLAN)将各部门的计算机分隔开来,通过无线设备将计算机接入网络中。从功能上将整个网络分为两个部分,一是内部网络,所有部门的通信以及对内部服务器的访问都通过此网络,不能与外部通信。另一个则是能访问外网,面向客户的网络。这样极大地提高了内网数据的安全。为了提高网络信息安全性,还布设防火墙、内外地址转换(NAT)、分部与总部建立虚拟专用网络(VPN)等安全措施。关键字 无线网络 信息安全 安全措施毕业设计说明书(论文)外文摘要Title Wireless network s
3、tructures based on the safety of SMEs AbstractToday, the network access technology rapid development of wired network can not meet the demand for flexible, fast and efficient office. Wireless network from the shackles of cable and geographical location, has become the development trend of todays mod
4、ern enterprise networks. However, the wireless network relative to the cable network is relatively weak, different from most home wireless network and the wireless network, its security is the important consideration. This article describes the formation of a wireless network based on the safety of
5、small and medium enterprises, based on Cisco Packet Tracer simulation software to simulate the enterprise wireless network architecture and programs.The internal network is divided into three levels. The core layer, using the three switches for load balancing and redundancy. Convergence layer, relyi
6、ng on access control list (ACL) to the development of different sectors of communication rules. Access layer, divided into virtual local area network (VLAN) separated from the various departments of computer, computer wireless devices access the network. The entire network from the function will be
7、divided into two parts, one is the internal network, all sectors of communications, and the internal server access through this network can not communicate with the outside. The other is able to access the external network, customer-oriented network. This greatly improves the security of data within
8、 the network. In order to improve the security of network information, but also laid the firewall, internal and external address translation (NAT), segments and head office to establish a virtual private network (VPN) and other security measures. Keywords Network Security, VLAN, ACL, NAT,VPN目录前 言1第一
9、章 无线网络综述21.1 无线网络标准21.2 企业网络的安全误区21.3 术语及相关缩写解释4第二章 企业网络安全综述52.1 相关设备的概述52.2企业网应用的主要技术5第三章 网络安全的设计与实现163.1 整体框架说明163.2 企业网内部交换机的配置173.3 防火墙的配置233.4 VPN的配置26第四章 企业内部服务器的配置414.1 AAA服务器的配置414.2 WEB服务器的配置434.2 FTP服务器的配置434.3 DNS服务器的配置444.4 E-mail服务器的配置444.5 DHCP服务器的配置44第五章 结束语455.1 毕业设计的难点与创新455.2 毕业设计的
10、收获46致谢47参考文献48附录:英文技术资料翻译49前 言如今社会信息化发展迅猛,无线网络技术支持已日渐成熟。随着人们对无线网络的要求和依赖性越来越强、现代企业追求更高的效率和便捷的办公环境,有线网络已经不能满足现代化企业的要求。由于无线网络不受网线和地点的束缚,组网效率高,接入速度快,成为企业组建网络的首选。但是企业无线网络,除了便捷和高效之外,安全也是需要着重考虑的。作为一个企业,应该保证网络数据安全性以及具有抵御黑客和病毒攻击的能力。在组建无线网络时,保障企业网络安全比其他任何方面都要重要。无线网络依靠无线电波来传输数据,理论上无线电波范围内的任何一台设备都可以登录并监听无线网络。如果
11、企业内部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作。为了使授权设备可以访问网络而非法用户无法截取网络信息,无线网络安全就显得至关重要。其次,无线网络的稳定是也是不容忽视的问题。不稳定的无线网非但没有体现出它的便捷高效的特点,还影响了企业的正常运转。为了能够让内部的员工在公司任何地方都可以无线上网,使用的无线设备需要有很强的穿透能力和大的信号覆盖范围。即使企业存在很多障碍物,强穿透力依然能保证网络的稳定传输。企业在组建无线网络时,不应完全放弃有线网络。而是以有线网络为核心,无线网络为接入层,充分利用有线网络与无线网络的优点,达到扬长避短的目的。为了保证企业网络的容错率和多样化,在企
12、业内部应备有有线网络接口,以供特殊用途。如视频会议,文件传输等应用对网络的稳定性、数据传输速率和数据安全有较高的要求。第一章 无线网络综述1.1 无线网络标准无线网络采用802.11规范,典型情况下,其传送信号时工作原理与基本的以太网集线器很像:他们都采用双向通信的形式,为半双工模式。依靠射频频率(RF),通过天线将无线电波辐射到周围。802.11协议组是国际电工电子工程学会(IEEE)为无线局域网络制定的标准。采用2.4GHz和5GHz这两个ISM频段。常见的802.11标准如下:1)802.11b802.11b是应用得最为广泛的无线网络标准,它运行在2.4GHz射频频段,使用直接序列扩频(
13、DSSS)调制技术,最大传输速率为11Mb/s。另外,也可根据实际情况切换到5.5Mbps、2 Mbps和1 Mbps带宽,实际的工作速度一般在5Mb/s左右,与普通的10Base-T规格有线局域网几乎是处于同一水平。作为企业内部的设施,可以基本满足使用要求。IEEE 802.11b使用的是开放的2.4GHz频段,既可作为对有线网络的补充,也可独立组网,从而使网络用户摆脱网线的束缚,实现真正意义上的移动应用。2)802.11g802.11g在24GHz频段使用正交频分复用(OFDM)调制技术,使数据传输速率提高到20Mbit/s以上;能够与802.11b的Wi-Fi系统互联互通,可共存于同一A
14、P的网络里,从而保障了后向兼容性。这样原有的WLAN系统可以平滑地向高速WLAN过渡,延长了80211b产品的使用寿命,降低了用户的投资。3)802.11a802.11a的传输技术为多载波调制技术。802.11a标准是众多场合得到广泛应用的802.11b无线联网标准的后续标准。它工作在5GHzU-NII频带,物理层速率可达54Mb/s,传输层可达25Mbps。可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,以及TDD/TDMA的空中接口;支持语音、数据、图像业务;一个扇区可接入多个用户,每个用户可带多个用户终端。1.2 企业网络的安全误区1.2.1 防火墙误区防火墙主要
15、工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。1.2.2 杀毒软件误区安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现,杀毒软件误区有以下几种:1)在每台计算机上安装单机版杀毒软件和网络版杀毒软件
16、等效网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。2)只要不上网就不会中毒虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。3)文件设置只读就可以避免感染病毒设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。1.2.3 网络攻击误区基于内部的
17、网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。1.3 术语及相关缩写解释l VLAN:全称Virtual Local Area Network,虚拟局域网;l ACL:全称Access Control List,访问控制列表;l IDS:全称Intrusion Detection System,入侵检测系统;l NAT:全称Network Address Translation,网络地址转换;l PAT:全称Port Address Translati
18、on,即端口地址转换;l DMZ:全称Demilitarized Zone,非军事区,停火区,隔离区;l VPN: 全称Virtual Private Network,虚拟装用网;l VTP:全称VLAN Trunking Protocol,VLAN中继协议。第二章 企业网安全的主要技术本章主要讲述企业网里使用到的常用的安全技术,并对这些技术进行详细的介绍。2.1 相关设备的概述在企业网中设备的选型时非常重要的,在本设计中全部选用的是Cisco的产品设备。因为选用同一厂商设备的好处是兼容性比较好,且能够进行统一管理,使管理更加方便。2.2 企业网应用的主要技术2.2.1 物理安全物理安全是整个
19、计算机网络系统安全的前提,是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面:机房环境安全、通信线路安全、设备安全,以及电源安全。物理安全重要性和措施主要涉及以下方面:1)保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从以下三个方面考虑:l 自然灾害、物理损坏和设备故障 l 电磁辐射、乘机而入、痕迹泄漏等 l 操作失误、意外疏漏等
20、2)选用合适的传输介质屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦
21、性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。2.2.2 VLAN技术随着交换技术的发展也加快了虚拟局域网的应用速度。虚拟局域网VLAN(Virtual Local Area Network)是以交换式网络为基础,把网络上用户的终端设备划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN。VLAN就是一个网络设备或用户的逻辑组,该逻辑组是一个独立的逻辑网络、单一广播域,而这个逻辑
22、组的设定不受实际交换机区段的限制,也不受用户所在的物理位置和物理网段的限制。在现在的企业网络中都能见到VLAN的身影,VLAN都是一个独立的逻辑网段,一个独立的广播域,VLAN的广播信息只发送给同一个VLAN的成员,其他VLAN的成员是收不到的,这样就减小的广播域的大小,提高了带宽的利用率。VLAN之间是不能直接通信的必须通过三层路由功能完成,所以在企业网络中可以按部门进行划分VLAN,这个不同的部门之间的互访就受到限制,有效保护了某些敏感部门的敏感信息不被泄露。VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于V
23、LAN的几点优势:对网络中的广播风暴的控制,提高网络的整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小。网络管理的简单、直观。在企业网络中划分VLAN可以有多种方式:1)基于端口的VLAN:基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。2)基于MAC地址的VLAN:MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络
24、规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。3)基于路由的VLAN:路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。划分好VLAN后一般是把接入层交换机接入到核心交换机上,由核心交换机负责内部网络的路由,如果不采用核心交换机,而是直接通过单臂路由的形式接到网络出口的路由器或者防火墙上,那么会给出口路由器或防火墙带来负担,如果出口路由器或防火墙性能不强的话,很有可能造成瓶颈,这样网络的可用性就会降低。所以
25、一般是建议采用核心交换机的方式。2.2.3 ACL技术访问控制列表ACL(Access Control List)技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全性。在企业网中ACL扮演着很重要的角色,在网络中我们可以通过划分VLAN来限制不同VLAN成员的互访,但如果把二层交
26、换机接入路由器或者三层交换机,那么原来不同VLAN是不通的,现在不同VLAN之间也能通信,那么原来通过划分VLAN来使不同VLAN之间不能通信已经行不通了。在这就要使用ACL来控制了。使用ACL的好处还有就是可以控制用户对主机或服务器的访问,即对于一台服务器那些用户可以访问而那些用户不能访问。这样就进一步增加了企业网内部的安全。就我们现在的IP网络来说ACL技术可以分为一下几种:1)标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从199以及13001999的访问控制列表是标准IP访问控制列表。一般来说标准的AC
27、L放置在靠近目的的路由器或三层交换机上。2)扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100199以及20002699的访问控制列表是扩展IP访问控制列表。一般来说扩展的ACL放置在靠近源的路由器或者三层交换机上。3)命名IP访问控制列表所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。本设计中在Cisco Catalyst 3640核心交换机上配置扩展的ACL使得其他的部门无法访问财务部
28、门,ACL的应用范围很广,在本设计中总部与分布之间建立IPSec VPN是就需要使用ACL来定义感兴趣的流量,只有感兴趣的流量才会进入VPN隧道。2.2.4 NAT技术到目前为止全球的IPv4的地址已经耗尽,现在的地址缺乏或者说已经没有空余的IPv4的地址了,那么企业网络中有很多主机需要访问Internet,为每一台主机分配一个公网地址那是不可能的事。所以借助于NAT(Network Address Translation)技术,私有(保留)地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Int
29、ernet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。NAT实现方式有以下三种:1)静态转换(Static Nat)将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。2)动态转换(Dynamic Nat)将内部
30、网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。3)端口多路复用(Overload)改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Inter
31、net的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。另外,在NAT中经常使用的术语:1)内部局部地址(Inside Local Address):在内部网络使用的地址,是私有地址。2)内部全局地址(Inside Global Address):用来替代一个或多个本地IP地址的、对外的、向NIC注册过的地址。3)外部局部地址(Outside Local Address):一个外部主机相对于内部网络所用的IP地址、不一定是合法的地址。4)外部全局地址(Outside Global A
32、ddress):外部网络主机的合法地址。NAT还可以用于端口映射,在企业网中服务器群一般是放置在DMZ区域中,使用的是私有地址,如果某台服务器要向外网发布服务的时候就需要在网络出口的路由器和防火墙上做端口映射,这样外网用户就可以通过访问企业的公网IP,就能够访问到内网的服务器。2.2.5 VPN技术现在很多企业都有分支机构而且分支机构和总部都在异地,企业网的内部网络可以通过各种手段来保证安全,那么总部与分部之间传输的数据怎样才能保证其安全呢。这里就可以采用VPN(Virtual Private Network)技术,VPN技术是在公网上建立一个临时的,安全的连接,是一条穿越混乱的公用网络的安全
33、的稳定的隧道。使用这条隧道可以对数据进行加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可以通过特殊加密的通讯协议连接到Internet上,在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路,可以节约成本。VPV按照所使用的隧道协议大致有以下几种:1)PPTP(Point to Point Protocol)PPTP属于OSI第二层隧道协议,该协议会把网络协议的数据包放进IP封
34、包,包装好的封包看起来就像正常的IP封包一样,所有遇到该封包的路由器或机器都会把它视为一个IP封包,以一般正常IP封包的方式来处理它。PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。PPTP的使用比较简单如Microsoft Windows等操作系统就自带PPTP。另外,PPTP VPN使用的身份验证有以下几种方法。(1)PAP口令验证协议 是一种简单的明文验证方式。NAS(网络接入服务器,Network Access Server)要求用户提供用户名和口令
35、,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。(2)CHAP身份验证 CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发送到网络上。(3)MS-CHAP 同CHAP相似,微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证,它在响
36、应时使用质询-响应机制和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。(4)MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用 MS-CHAP v2 作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。值得注意的是。VPN服务端和VPN客户端之间一定要采用相同的身份验证,比如VPN服务端选择了MS-CHAP2,那么相应的VPN客户端也要选择MS-CHAP2,否则无法连接。2)L2
37、TP(Layer Two Tunneling Protocol)L2TP是结合L2F(Layer-2 Forwarding)和PPTP的协议,L2TP也属于二层隧道协议。L2TP使用两种类型的消息:控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道,而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。在安全性考虑上,L2TP仅定义了控制消息的加密传输方式,对传输中的数据并不加密。L2TP的使用比较简单如Microsoft Windows等操作系统就自带PPTP。3)IPSec(IP Security)IPSec是一个标准的第三
38、层安全协议,他是在隧道外面再封装,保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录,电子邮件,文件传输及WEB访问在内多种应用程序的安全。IPSec协议包括IKE协商程序,可为IPSec产生密钥,其它还包括算法、密钥长度、转码程序以及算法专用的资讯,而协商时常使用的参数则被归类在一个单独的文件中。IPSec它不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH),AH 是一种为IPSec提供数据完整性、数据
39、源验证和可选的防重放功能特性的体系框架。不提供数据机密性 因此数据可以被偷窥,因此一般和ESP配合使用 利用HMAC验证完整。封装安全负载协议(Encapsulating Security Payload,简称为ESP)ESP 是一种为IPSec提供数据机密性、数据完整性、数据源验证、和可选的防重放功能特性的体系框架。密钥管理协议(Internet Key Exchange,简称为IKE)动态的更改IPSec参数和密钥的机制 通过自动的密钥交换/更新机制来防止IPSec会话的密钥被攻击 使得IPSec具备良好的扩展性。在2个端点自动建立SA SA是2个对等体之间协商参数和用于网络认证及加密的一
40、些算法等。4)SSL(Secure Socket Layer)SSL是高层协议,是第四层隧道协议,SSL VPN和其他的VPN最大的不通之处就是客户端只需要有浏览器就可以工作,不需要安装其他的客户端软件,是VPN的可用性大大提高。SSL利用内置在每个Web浏览器中的加密和验证功能,并与安全网关相结合,提供安全远程访问企业应用的机制,这样,远程移动用户可以轻松访问公司内部B/S和C/S应用及其他核心资源。在本设计中总部已分部之间可以使用总部-分部这样的方式在总部路由器和分部路由器之间建立一条IPSec VPN通道,移动客户端可以使用PPTP、L2TP或者EasyVPN与总部互联。2.2.6 防火
41、墙技术对于企业网来说最重要的就是防火墙,防火墙可以提高安全和减少外部网络对内部网络的威胁。如果没有防火墙内网中的主机就会暴露于网络中,很容易遭受黑客的攻击。防火墙更具用户设定的安全规则,对进入内网以及出外网的数据包进行检测,一旦发现威胁就断开连接,使内部网络避免被黑客的攻击。如今的防火墙各式各样,但总体来讲可以分为“包过滤型”和“应用代理型”两大类:1) 包过滤型包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。如下图2-1所示。图2-1包
42、过滤防火墙示意图包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为它能很大程度上满足了绝大多数企业安全要求。2) 应用代理型应用代理型防火墙是工作在OSI的最高层,即应用层。其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。其典型网络结构如图2-2所示。图2-2应用代理防火墙示意图代理类型防火墙的最突出的优点就是安全。由于它工作于最高层,所以它可以对网络中任何
43、一层数据通信进行筛选保护,而不是像包过滤那样,只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制,它可以为每一种应用服务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理服务器审核,通过后再由代理服务器代为连接,根本没有给内、外部网络计算机任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。2.2.7 企业版杀毒软件1) 企业版杀毒软件介绍网络版杀毒软件的一个最大的特点就是可以整个网络主机和服务器同步杀毒,这对于网络病毒横行的今天来说尤其重要。因为在网络中只要有一台主机感染了病毒,则很可能在全网络主机上感染。另外,网络版实现全网络服务器和
44、客户端程序同步更新。还有一个管理中心控制台,可以对整个网络的服务器端和客户端程序集中管理,实现全网络的同步更新和杀毒。2) 企业版杀毒软件的实施这里选用Symantec Endpoint Protection,它是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。Symantec Endpoint Protection具有以下显著特点:l 先进的体系结构l 超强的杀毒能力l 完备的远程控制l 方便的分级、分组管理主控制中心部署在DMZ服务器区,子控制
45、中心部署在3层交换机上面。如图2-3所示。图2-3 企业版杀毒软件示意图控制中心负责整个Symantec Endpoint Protection的管理与控制,是整个Symantec Endpoint Protection的核心,在部署Symantec Endpoint Protection网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着Symantec Endpoint Protection防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。 根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控
46、制中心除了要 完成控制中心的功能外,还要负责与它的上级主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。第三章 网络安全的设计与实现本章主要对网络系统的整体框架进行设计,并实现企业内部局域网的搭建,VLAN间通信,DMZ区服务器交换机搭建,出口防火墙的安全配置以及VPN等。3.1 整体框架说明将企业内部网和服务器组成分别置于PIX防火墙的inside口和DMZ口相连接,防火墙的outside端口连接ISP的Internet接入。对于三个端口的权限设置为
47、:outside为0、DMZ为50、inside为100(最高)。在PIX防火墙上激活网络入侵检测IDS系统,提供对多个网络的入侵检测,一旦发现网络中存在供给行为或非正常数据包,防火墙将会报警并且在Log中留下记录。内部网使用两台Cisco Catalyst 3640交换机提供的VLAN技术和虚拟访问控制列表VACL等安全交换技术,以及使用生成树做冗余。同时通过合理的IP地址分配策略和路由策略,在接入层交换机上使用端口安全技术来对用户的接入进行控制。服务器群应该是通过一台Cisco Catalyst 3640交换机连接到防火墙的DMZ端口,并为之独立的分配一个VLAN,通过在防火墙做端口映射把内网需要发布的服务器发布到外网,同时通过防火墙上的访问控制列表ACL和访问端口数据监控等安全技术提供对服务器的安全控制。对于外网接入,在防火墙上配置安全策略,允许外部连接可以到达指定服务器的服务端口,同时定义安全规则,允许指定的应用数据包通过防火墙。
