止非法设备破坏系统安全,非法获取系统数据。 作用:
(1) ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。
(2)ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
(3) ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。
(4) ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
例如:学生宿舍要求只能使用 WWW 这个功能,就可以通过ACL实现; 又例如,为了财务部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。 2. NAT
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
现在校园网网内部的主机本来已经分配到了本地IP地址(即仅在本校园网内使用的专用地址),但现在又要接入互联网,和因特网上的主机通信(并不需要加密),就需要使用NAT方法。 3. VPN
虚拟专用网络(Virtual Private Network,VPN)其功能是在公用网络上建立专用网络,进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如,学校财务部员工出差到外地,他想访问学校内网的服务器资源,这种访问就属于远程访问,他得使用VPN才能访问。
11
五、 网络安全设计
随着社会的发展,计算机信息安全已经成为人们关注的焦点。信息的安全性涉及到机密信息泄露、未经授权的访问、 破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。应用系统安全与具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用系统的安全性涉及到信息、数据的安全性。
因此网络安全管理员应采取各种手段增强服务器的安全,确保网络服务的正常运行。 1.安全配置
关闭不必要的服务,,安装操作系统的最新补丁,将网络服务升级到最新版本并安装所有补丁,对根据网络服务提供者的安全建议进行配置等,这些措施将极大提供网络系统本身的安全。 2.防火墙
安装必要的防火墙,阻止各种扫描工具的试探和信息收集,甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接,给网络服务器增加一个防护层,同时需要对防火墙内的网络环境进行调整,消除内部网络的安全隐患。 3.漏洞扫描
使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描,来发现潜在的安全问题,并确保由于升级或修改配置等正常的维护工作不会带来安全问题。
4.入侵检测系统
利用入侵检测系统(IDS)的实时监控能力,发现正在进行的攻击行为及攻击前的试探行为,记录黑客的来源及攻击步骤和方法。
这些安全措施都将极大提高网络服务器的安全,减少被攻击的可能性。
12
第3章 系统实现
一、设备选型
1. 核心层路由器
Cisco 2800系列包括四个平台:Cisco 2801、Cisco 2811、Cisco 2821和 Cisco 2851。与价格类似的前几代思科路由器相比,Cisco 2800系列可以将性能提升五倍,将安全和话音性能提升十倍,并且可以提供新的嵌入式服务选项,因而可以为客户提供重要的附加值。它可以在大幅度提升插槽性能和密度的同时,支持Cisco 1700和2600系列中现有的90多种模块。2800 系列 集成多业务路由器的设计能以线速提供多种并发服务-高达多T1/E1/xDSL 速度。机箱性能提高五倍,安全/话音性能提高了十倍。此处所说的多T1/E1/xDSL值指的是高于一般2800服务配置中的IMIX分组大小。在服务负载不太高的环境中,实际的WAN吞吐量将更高。在传输64字节分组的轻松服务环境中,2800系列 的性能可达到 90-250kpps。有关机箱、安全和话音性能的具体信息,在FCS时会发行1800/2800/3800 性能白皮书。Cisco 2800 系列 提供了全面的特性集,适用于有以下要求的应用和解决方案:
集成多业务—凭借范围广泛的服务模块的可选集成,Cisco 2800系列可方便地在一个网络模块中集成多个独立网络设施和组件的功能,在不影响路由器性能的情况下支持多种服务。许多网络模块,如网络分析、语音留言、入侵检测和内容引擎模块,都有内嵌处理器和硬盘,使它们主要独立于路由器运行。 用于数据、话音和视频的安全网络连接 -- Cisco 2800系列具有先进的集成、端到端安全性,可提供融合服务和应用。安全功能直接集成入路由器,提供了多种最优性能的安全应用,如网络准入控制(NAC)、动态多点VPN(DMVPN)解决方案、IPv6 Cisco IOS Firewall、动态入侵保护系统和透明Cisco IOS Firewall。 融合IP通信—Cisco CallManager Express (CME) 是一个内嵌于Cisco IOS软件的可选解决方案,为思科IP电话提供了呼叫处理。此解决方案适用于有数据连接需求、希望为多达96个电话部署融合IP电话解决方案的客户1。客户可安全
13
地在单一平台上为其小型办公机构部署数据、话音和IP电话,可帮助他们简化运行并降低网络成本。 2.核心层及汇聚层交换机
Cisco Catalyst 3560系列交换机是一个采用快速以太网配置的固定配置、企业级、IEEE 802.3af和思科预标准以太网电源(PoE)的交换机,提供了可用性、安全性和服务质量(QoS)功能,改进了网络运营。Catalyst 3560系列是适用于小型企业布线室或分支机构环境的理想接入层交换机,这些环境将其LAN基础设施用于部署全新产品和应用,如IP电话、无线接入点、视频监视、建筑物管理系统和远程视频信息亭。客户可以部署网络范围的智能服务,如高级QoS、速率限制、访问控制列表、组播管理和高性能IP路由,并保持传统LAN交换的简便性。内嵌在Cisco Catalyst 3560系列交换机中的思科集群管理套件(CMS)让用户可以利用任何一个标准的Web浏览器,同时配置多个Catalyst桌面交换机并对其排障。Cisco CMS软件提供了配置向导,它可以大幅度简化融合网络和智能化网络服务的部署。
Catalyst 3560系列为采用思科IP电话和Cisco Aironet无线LAN接入点,以及任何IEEE 802.3af兼容终端设备的部署,提供了较低的总体拥有成本(TCO)。以太网电源使客户无需再为每台支持PoE的设备提供墙壁电源,免除了在IP电话和无线LAN部署中所必不可少的额外布线。Catalyst 3560 24端口版本可以以支持24个15.4W的同步全供电PoE端口,从而获得了最佳上电设备支持。通过采用Cisco Catalyst智能电源管理,48端口版本可支持24个15.4W端口、48个7.7W端口,或它们的任意组合。当Catalyst 3560交换机与思科冗余电源系统675(RPS 675)共用时,可提供针对内部电源故障的无缝保护,而不间断电源(UPS)系统可防范电源中断情况,从而使融合式语音和数据网络实现最高电源可用性。 3.接入层交换机
固定安装的线速快速以太网桌面交换机Cisco Catalyst 2950系列,可以为局域网(LAN)提供极佳的性能和功能。这些独立的、10/100自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用、基于Web的Cisco集群管理套件(CMS)和集成Cisco IOS软件来进行管理。带有10/100/1000 BaseT上行链路的Cisco Catalyst 2950 铜线千兆位,可为中等规
14
模的公司和企业分支机构办公室提供理想的解决方案,以使他们能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。
Catalyst 2950系列包括Catalyst 2950T-24、2950-24、2950-12和2950C-24交换机。Catalyst 2950-24交换机有24个10/100端口;2950-12有12个10/100端口;2950T-24有24个10/100端口和2个固定10/100/1000 BaseT上行链路端口; 2950C-24有24个10/100端口和2个固定100 BaseFX上行链路端口。每个交换机占用一个机柜单元(RU),这样它们方便地配置到桌面和安装在配线间内。
二、配置交换机路由器
1. 配置核心交换机
Switch#show run
Building configuration...
Current configuration : 2169 bytes version 12.2
no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname Switch ip routing
spanning-tree mode pvst interface FastEthernet0/1
switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/2
switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/3
switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/4
switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/5
switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/6
switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/7 no switchport
ip address 202.10.100.1 255.255.255.0 duplex auto speed auto
interface FastEthernet0/8 switchport access vlan 70 switchport mode access interface FastEthernet0/9 switchport access vlan 70
15
昆明理工大学-期末考查报告--计算机网络工程-校园网的设计与实现
