东华理工大学毕业设计(论文) 企业局域网的安全设计方案
● 外部用户向防火墙的外部地址172.18.124.216发出HTTP请求时,重定向到10.1.1.5。
● 外部用户向防火墙的外部地址172.18.124.208的8080端口发出HTTP请求时,重定向到10.1.1.7的80号端口。
以上重定向过程要求如图3.2所示,防火墙的内部端口IP地址为10.1.1.2,外部端口地址为172.18.124.216。
图3.2
以上各项重定向要求对应的配置如下:
static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0 l、显示与保存结果
显示结果所用命令为:show config; 保存结果所用命令为:write memory。
防火墙是目前保护网络免遭黑客袭击的有效手段,但不是完善手段,因此,需要其它环节,来配合完成网络的安全系统。 3.3.4 内部网络隔离
16
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
为了减少企业局域网内部的威胁,我们利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不能让太多人可以随便进出,于是公司采用了VLAN的方法来解决以上问题。通过VLAN的划分,可以把公司主要网络划分为:生产部、财务部、人事部和信息中心四个主要部分(如图3.1),对应的VLAN组名为:Prod、Fina、Huma、Info,各VLAN组所对应的网段如下表所示。
表1
【注】之所以把交换机的VLAN号从2号开始,那是因为交换机有一个默认的VLAN,那就是1号VLAN,它包括所有连在该交换机上的用户。
VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。
下面是具体的配置过程:
第1步:设置好超级终端,连接上1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置):
1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection:
【注】超级终端是利用Windows系统自带的超级终端(Hypertrm)程序进行的,具体参见有关资料。
第2步:单击K按键,选择主界面菜单中[K] Command Line选项 ,进入如下命令行配置界面:
17
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
CLI session with the switch is open. To end the CLI session,enter [Exit ].
此时我们进入了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。所以我们必须进入特权模式。
第3步:在上一步>提示符下输入进入特权模式命令enable,进入特权模式,命令格式为>enable,此时就进入了交换机配置的特权模式提示符:
#config t
Enter configuration commands,one per line.End with CNTL/Z (config)#
第4步:为了安全和方便起见,我们分别给这3个Catalyst 1900交换机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下:
(config)#hostname Switch1
Switch1(config)# enable password level 15 ****** Switch1(config)#
【注】特权模式密码必须是4~8位字符,要注意,这里所输入的密码是以明文形式直接显示的,要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码,也就是说,设置了 level 1 的密码后,你下次连上交换机,并输入 K 后,就会让你输入密码,这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。
第5步:设置VLAN名称。因四个VLAN分属于不同的交换机,VLAN命名的命令为 vlan‘vlan号’name‘vlan名称’,在Switch1、Switch2、Switch3交换机上配置2、3、4、5号VLAN的代码为:
Switch1 (config)#vlan 2 name Prod Switch2 (config)#vlan 3 name Fina Switch3 (config)#vlan 4 name Huma Switch3 (config)#vlan 5 name Info 【注】以上配置是按表1规则进行的。
第6步:上一步我们对各交换机配置了VLAN组,现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是vlan-membership static/ dynamic' VLAN号'。在这个命令中static(静态)和dynamic(动态)分配方式两者必须选择一个,不过通常都是选择static(静态)方式。VLAN端口号应用配置如下:
(1) 名为Switch1的交换机的VLAN端口号配置如下: Switch1(config)#int e0/2
Switch1(config-if)#vlan-membership static 2 ??
18
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
Switch1(config-if)#int e0/21
Switch1(config-if)#vlan-membership static 2 Switch1(config-if)#
【注】int是interface命令缩写,是接口的意思。e0/2是ethernet 0/2的缩写,代表交换机的0号模块2号端口。
(2) 名为Switch2的交换机的VLAN端口号配置如下: Switch2(config)#int e0/2
Switch2(config-if)#vlan-membership static 3 ??
Switch2(config-if)#int e0/16
Switch2(config-if)#vlan-membership static 3 Switch2(config-if)#
(3) 名为Switch3的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置),先看VLAN 4(Huma)的配置代码:
Switch3(config)#int e0/2
Switch3(config-if)#vlan-membership static 4 ??
Switch3(config-if)#int e0/9
Switch3(config-if)#vlan-membership static 4 Switch3(config-if)#
下面是VLAN5(Info)的配置代码: Switch3(config)#int e0/10
Switch3(config-if)#vlan-membership static 5 ??
Switch3(config-if)#int e0/21
Switch3(config-if)#vlan-membership static 5 Switch3(config-if)#
我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置,可以在特权模式使用show vlan命令显示出刚才所做的配置,检查一下是否正确。
3.3.5 企业局域网防病毒设置
随着网络病毒的泛滥,对于一个局域网来说,以前各扫门前雪的防病毒方式经显得力不从心了,如果仅靠局域网中部分计算机的单机版防病毒软件,根本不可能做到对病毒的及时防御。因此,在局域网中构建一个完整的防病毒体系己经成为当务之急,网络防病毒软件也应运而生。接下来,就是我们企业局域网中对防病毒软件的安装配
19
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
置过程。
在我们的企业局域网安全方案中,使用的是Symantec Antivirus8.0企业版,下面,介绍一下该防病毒软件的安装和配置方法:
(1) 安装和配置防病毒服务器 a、安装防病毒服务器
安装Symantec Antivirus防病毒软件,为了便于管理,我们在局域网控制中心选择一台计算机作为Symantec Antivirns防病毒软件的服务器端。
按照安装说明提示,安装Symantec Antivirus防病毒软件的服务器端,其过程是全中文提示,并且自动安装的,因此,安装过程不作详细介绍了。等安装完成了Norton Antivirus防病毒服务器所有必须组件之后。接下来就可以对其进行配置了。
b、配置防病毒服务器
Norton Antivirus防病毒服务器是通过\系统中心\进行统一管理的,通过\系统中心\控制台,我们可以创建新的服务器组,同时还可以管理服务器组的成员计算机。也可以监视服务器组中成员计算机病毒软件的运行情况。在正常使用上述功能前,我们首先应该对Norton Antivirus防病毒服务器进行一些初始化配置,具体的方法如下:
打开\开始\菜单\程序\项\系统中心\菜单项。单击其中\系统中心控制台\程序列表。运行Symantec系统中心控制台,在弹出的\系统中心控制台\窗口\树状\列表中。双击Symantec系统中心,列表项,将其展开。在出现的\系统等级\列表项中,双击鼠标左键。将该列表项展开,这时在该项下面将出现我们安装Norton Antivirus防病毒服务器时所建立的服务器组名。
在该服务器组上单击鼠标右键,在弹出的右键菜单上。选择\解除服务器组的锁定\菜单项。
这时,将弹出\解锁服务器组的锁定\对话框。在\密码\对话框中。输入安装Norton Antivirus防病毒服务器时安装程序提供的默认密码(注意大小写),并单击\确定\按钮进行解锁。
接下来,可以看到服务器组下列出了刚刚安装的Norton Antivirus防病毒服务器计算机名。在默认情况下,新建的服务器组中的Norton Antivirus防病毒服务器还不是一级服务器,如果一个服务器组中没有一级服务器,将无法执行某些Symantec产品管理操作。因此。必须指定一台安装有Norton Antivirus防病毒服务器的计算机作为一级服务器,具体的方法是:
在树状列表中选中要作为一级服务器的计算机,并在其上单击鼠标右键,在弹出的右键菜单中,选择\使服务器成为一级服务器\菜单项,这时将弹出\是否将该服务器作为一级服务器\提示框,单击\是\按钮,即可将其转换为一级服务器。
20
企业网络安全解决方案的设计
