东华理工大学毕业设计(论文) 企业局域网的安全设计方案
(2) 配置路由器NAT网络 a、配置外出路由并测试 主要是配置缺省路由。
huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9 huadong#ping 211.100.15.36 ?? !!!!! ??
结果证明本路由器可以通过ISP访问Internet。 b、配置PAT,使内部网络计算机可以访问外部网络
主要是基于安全目的,不希望内部网络被外部网络所了解,而使用地址转换(NAT)技术。同时,为了节约费用,只租用一个IP地址(路由器使用)。所以,需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。
在访问控制列表中,需要将对其他内部网络的访问请求包废弃,保证对其他内部网络的访问是通过IPSec来实现的。
huadong(config)#inter eth0/0 huadong(config-if)#ip nat inside huadong(config-if)#inter serial0/0 huadong(config-if)#ip nat outside huadong(config-if)#exit 以上命令的作用是指定内外端口。
huadong(config)#route-map abc permit 10 huadong(config-route-map)#match ip address 150 huadong(config-route-map)#exit 以上命令的作用是指定对外访问的规则名。
huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.17.123.0 255.255.255.0
huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.18.125.0 255.255.255.0
huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.18.126.0 255.255.255.0
huadong(config)#access-list 150 permit ip 172.18.124.0 255.255.255.0 any 以上命令的作用是指定对外访问的规则内容。禁止利用NAT对其他内部网络直接访问,和允许内部计算机利用NAT技术访问Internet。
huadong(config)#ip nat inside source route-map abc interface serial0/0
31
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
overload
上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术。
在IP地址为172.18.124.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internet。
c:>ping 210.75.32.10 ??
Reply from 210.75.32.10: bytes=32 time=1ms TTL=255 ??
c:>ping www.ninemax.com ??
Reply from 211.100.15.36: bytes=32 time=769ms TTL=248 ??
此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确。
huadong#show ip nat tran
Pro Inside global Inside local Outside local Outside global icmp 210.75.32.9:1975 172.18.124.100:1975 210.75.32.10:1975 210.75.12.10:1975
??
以上测试过程说明,NAT配置正确。内部计算机可以通过安全的途径访问Internet。
(3) 配置ESP-DES IPSec并测试
以下配置是配置VPN的关键。首先,VPN隧道只能限于内部地址使用。 huadong(config)#access-list 105 permit ip 172.18.124.0 255.255.255.0 172.17.123.0 255.255.255.0
huadong(config)#access-list 106 permit ip 172.18.124.0 255.255.255.0 172.18.125.0 255.255.255.0
huadong(config)#access-list 107 permit ip 172.18.124.0 255.255.255.0 172.18.126.0 255.255.255.0
指定VPN在建立连接时协商IKE使用的策略。方案中使用sha加密算法。 huadong(config)#crypto isakmp policy 10 huadong(config-isakmp)#hash sha
huadong(config-isakmp)#authentication pre-share huadong(config-isakmp)#exit
32
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
4 企业局域网安全管理
4.1 安全管理规范
4.1.1 安全管理原则
网络信息系统的安全管理主要基于三个原则。
多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。 4.1.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。
(1) 制订相应的机房出入管理制度:机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
(2) 制订严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
(3) 制订完备的系统维护制度:对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维
33
东华理工大学毕业设计(论文) 企业局域网安全管理
护内容和维护前后的情况要详细记录。
(4) 制订应急措施:要制定系统在紧急情况下如何尽快恢复的应急措施,以使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
4.2 常见网络故障及解决
局域网故障五花八门,在这里我们只介绍最常见的两种故障解决方案。 4.2.1 IP冲突解决
发生IP冲突主要有以下几个原因。有些人对TCP/IP不了解,不小心修改了这些信息。另外在维修调试机器的时候,用一些临时的IP地址,结果忘了改过来而出现冲突。另外还有一种我们深恶痛绝的情况,就是有人窃用他人的IP地址。
接到冲突报告后,要做几件事情,首先要确定冲突发生的VLAN。通过IP规划的vlan定义以及冲突的IP地址,可以找到冲突地址所在的网段。这对成功地找到网卡MAC地址非常关键,因为有些网络命令不能跨网段存取。
下面先把客户机与网络隔离,对于有非法的IP地址的微机,权且容它运行去吧,这样我们倒有机会设法找到它了。再对网络做一些测试,主要的命令有ping命令和arp命令。使用ping命令,假设冲突的IP地址为172.18.124.69,在msdos窗口,命令格式如下:
C:\\\\WIDOWS\\\\〉ping 172.18.124.69 Request timed out
Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉 Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉 Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉 我们之所以要ping这台机器,有两个目的,首先我必须肯定要找的那台机器确实在网络上,其次,我想知道这台机器的网卡的MAC地址。下面使用第二个命令arp查找MAC地址,arp命令只能在某一个VLAN中使用有效,它是低层协议,而且不能跨路由。
C:\\\\WIDOWS\\\\〉arp –a
Interface: ...... on Inerface ...... Internet Address/Physical Address/Type 172.18.124.69/00-00-22-35-62-53/ dynamic
这就说明冲突IP地址172.18.124.69 处网卡的MAC地址是00-00-22-35-62-53。接下来我们要找的是MAC地址为00-00-22-35-62-53的网卡的具体物理位置,然后解决冲突。 4.2.2 DNS错误
33
东华理工大学毕业设计(论文) 企业局域网安全管理
出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题,然而访问他的域名就会出现错误。
解决DNS解析故障:
计算机出现了DNS解析故障后不要着急,解决的方法也很简单 (1) 用nslookup来判断是否真的是DNS解析故障
第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。 第二步:输入nslookup命令后回车,将进入DNS解析查询界面。
第三步:命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如DNS服务器IP为202.106.0.20。
第四步:接下来输入无法访问的站点对应的域名。例如输入www.softer.com,假如不能访问,那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out,timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。
小提示:如果DNS解析正常的话,会反馈回正确的IP地址,例如用www.sohu.com这个地址进行查询解析,会得到61.135.133.103,61.135.133.104的信息。
(2) 查询DNS服务器工作是否正常
这时候就要看看自己计算机使用的DNS地址是多少了,并且查询他的运行情况。 第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。 第二步:输入ipconfig /all命令来查询网络参数。
第三步:在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS,这个就是我们的DNS服务器地址。例如是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,我们可以更换一个其他的DNS服务器地址即可解决问题。
第四步:如果在DNS服务器处显示的是公司的内部网络地址,那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障,一般来说问题也能够解决。
(3) 清除DNS缓存信息法
当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的,一般来说当解析工作完成一次后,该解析条目会保存在计算机的DNS缓存列表中,如果这时DNS解析出现更改变动的话,由于DNS缓存列表信息没有改变,在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息,会根据自己计算机上保存的缓存对应关系来解析,这样就会出现DNS解析故障。这时应该通过清除DNS缓存的命令来解决故障。
34
name:sohu.com,addresses:
企业网络安全解决方案的设计
