┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
接下来在任意一台计算机上输入www.jeasky.com 输出结果如下
图6.9 测试HTTP服务器
如上图HTTP服务器正常工作。
6.6 Syslog服务器
SYSLOG服务器用于存放系统的日志文件,由于路由器交换机的存储空间有限,不能存放大量日志文件,而系统日志文件对企业将来的检查与排错有着重要的作用。
用IP地址为192.168.8.1的交换机上,生成了一个Severity Levels为5的即Notification等级的系统日志。
图6.10 Syslog服务器结果显示
如上图设备成功将系统日志存储到Syslog服务器上,可以确定服务器正常工作。
最后,考虑到将来企业的扩展,需要用到VPN服务,搭建AAA对未来企业发展起重要作用,AAA服务器目前用于路由器的telnet访问控制。
这里只对服务器进行了简单的配置,和确保服务器的正常工作,具体配置还不太熟悉。
第37页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
第七章 企业网络安全设计
安全不仅是单一PC的问题,也不仅是服务器或路由器的问题,而是整体网络系统的问题。所以网络安全要考虑整个网络系统,因此必须结合网络系统来制定合适的网络安全策略。 网络安全涉及到的问题非常多,如防病毒、防入侵破坏、防信息盗窃、用户身份验证等,这些都不是由单一产品来完成,也不可能由单一产品来完成,因此网络安全也必须从整体策略来考虑。网络安全防护体系必须是一个动态的防护体系,需要不断监测与更新,只有这样才能保障网络安全。调查显示,有超过70%的安全问题来自企业的内部,如何对员工进行网络安全教育,如何让员工参与网络安全建设,是网络安全要解决的核心问题之一。企业对信息系统的依赖性越来越强,电子商务公司没有网络是无法生存的,金融与电信等行业由于网络出问题所造成的损失是无法估量的。因此,安全是企业核心业务的保护神。
7.1建立企业网络安全
从安全角度看,企业接入Internet网络前的检测与评估是保障网络安全的重要措施。但大多数企业没有这样做,就把企业接入了Internet。基于此情况,企业应从以下几个方面对网络安全进行检测与评估。
7.1.1网络设备
重点检测与评估连接不同网段的设备和连接广域网(WAN)的设备,如Switch、网桥和路由器等。这些网络设备都有一些基本的安全功能,如密码设置、存取控制列表、VLAN等,首先应充分利用这些设备的功能。
7.1.2数据库及应用软件
数据库在信息系统中的应用越来越广泛,其重要性也越来越强,银行用户账号信息、网站的登记用户信息、企业财务信息、企业库存及销售信息等都存在各种数据库中。数据库也具有许多安全特性,如用户的权限设置、数据表的安全性、备份特性等,利用好这些特性也是同网络安全系统很好配合的关键。
7.1.3 E-mail系统
E-mail系统比数据库应用还要广泛,而网络中的绝大部分病毒是由E-mail带来的,因此,其检测与评估也变得十分重要。
第38页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
7.1.4Web站点
许多Web Server软件(如IIS等)有许多安全漏洞,相应的产品供应商也在不断解决这些问题。通过检测与评估,进行合理的设置与安全补丁程序,可以把不安全危险尽量降低。
7.2建立安全体系结构
7.2.1物理安全
物理安全是指在物理介质层次上对存储和传输的网络信息进行安全保护,是网络信息安全的基本保障。建立物理安全体系结构应从3个方面考虑:一是自然灾害(地震、火灾、洪水)、物理损坏(硬盘损坏、设备使用到期、外力损坏)和设备故障(停电断电、电磁干扰);二是电磁辐射、乘机而入、痕迹泄漏等;三是操作失误(格式硬盘、线路拆除)、意外疏漏等。
7.2.2操作系统安全
网络操作系统是网络信息系统的核心,其安全性占据十分重要的地位。根据美国的“可信计算机系统评估准则”,把计算机系统的安全性从高到低分为4个等级:A、B、C、D。DOS、Windows 3.x/95、MacOS 7.1等属于D级,即最不安全的。Windows NT/2000/XP、Unix、Netware等则属于C2级,一些专用的操作系统可能会达到B级。C2级操作系统已经有了许多安全特性,但必须对其进行合理的设置和管理,才能使其发挥作用。如在Windows NT下设置共享权限时,缺省设置是所有用户都是“Full Control”权限,必须对其进行更改。
7.3使用ACL封堵常见病毒端口
大多数病毒都是通过TCP的135(Microsoft RPC),136-139 (NetBIOS),445(Microsoft DS),1068,555,9996,2046,4444,1434,UDP的135,136,137,138 ,139 ,445, 5554, 9996, 2046, 4444, 1434
利用Extended access-list禁用某些病毒的传播端口,并将IP访问列表应用到相应的VLAN和端口。 Extended ACL 配置
access-list 102 deny tcp any any eq 135 access-list 102 deny tcp any any eq 136 access-list 102 deny tcp any any eq 137 access-list 102 deny tcp any any eq 138 access-list 102 deny tcp any any eq 139 access-list 102 deny tcp any any eq 445 access-list 102 deny tcp any any eq 1068
第39页 共49页
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊ ┊ ┊ ┊ 线 ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
安徽工业大学 毕业设计(论文)说明书
access-list 102 deny udp any any eq 135 access-list 102 deny udp any any eq 136 access-list 102 deny udp any any eq 137 access-list 102 deny udp any any eq 138 access-list 102 deny udp any any eq 139 access-list 102 deny udp any any eq 445 access-list 102 deny tcp any any eq 5554 access-list 102 deny udp any any eq 5554 access-list 102 deny tcp any any eq 9996 access-list 102 deny udp any any eq 9996 access-list 102 deny tcp any any eq 2046 access-list 102 deny udp any any eq 2046 access-list 102 deny tcp any any eq 4444 access-list 102 deny udp any any eq 4444 access-list 102 deny tcp any any eq 1434 access-list 102 deny udp any any eq 1434 access-list 102 permit ip any any access-list 102 permit tcp any any access-list 102 permit udp any any
将ACL应用到各VLAN,配置命令如下 interface range vlan 1 - 10 ip access-group 102 in ip access-group 102 out exit
配置命令后在路由器上使用show access-list 查看ACL的配置。
7.4封堵p2p端口
企业将自己的内网与其外网相连,虽然这样可以从网上得到很多对公司有利的商机,但是有些企业内部员工,还要使用P2P软件非法占用公共的网络资源,从而影响到了其他人员的办公。
由于雇员滥用对等(P2P)网络技术共享音乐和视频,这项技术已经直接影响到企业的利益。由于目前国内企业一般只有有限的带宽,而P2P的出现在给你带来好处的同时,也给网络带宽带来了巨大的压力,尤其在用来进行大量数据下载的时候,很容易导致企业的其他业务无法正常进行。
在出口路由上利用Extended access-list 控制列表限制p2p端口。
Router (config)#access-list 110 deny tcp any any range 6881 6890 Router (config)#access-list 110 permit ip any any Router (config)#interface fastethernet0/0 Router (config-if)#ip access-group 111 in
另外,有关资料建议,如果需要保证网络的绝对安全性,则可以利用ACL
第40页 共49页
安徽工业大学 毕业设计(论文)说明书
只开放常用的端口,其他所有端口全部禁用。
由于这样做很大限度地限制了通信端口,故没有在实际试验中使用,因为会导致整个网络的通讯受到影响,该规则只适合用于对网络通信要求非常严格的网┊ 络环境下。
┊ Router(config)#access-list 112 permit tcp any any eq 25 ┊ Router(config)#access-list 112 permit tcp any any eq 53 ┊ Router(config)#access-list 112 permit tcp any any eq 80 ┊ Router(config)#access-list 112 permit tcp any any eq 110 ┊ Router(config)#access-list 112 deny ip any any ┊
┊ 其中各个端口的用途如下图
┊ ┊ ┊ ┊ ┊ 装 ┊ ┊ ┊ ┊ ┊ 订 ┊ ┊
┊ 图7.1 各个端口的用途
┊ ┊ 线 ┊
┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊ ┊
第41页 共49页