东华理工大学毕业设计(论文) 企业局域网的安全设计方案
网络中由于交换机的每个端口拥有自己的冲突域,因此无法捕获除广播和组播之外的网络流量。这就要求交换机提供监控端口,本网络使用的是Cisco Catalyst系列交换机,其监控端口是通过端口的SPAN特性来实现的,用交换机管理软件启用该特性即可。
为了运行该系统,以超级用户身份执行下列命令: #/etc/init.d/mysql.server start
#/usr/local/bin/snort -c /etc/snort.conf -l /var/log/snort -I elx0 -D
#/usr/local/bin/apachectl sslstart 这样,网络入侵检测系统已开始运行。 3.3.7 审计与监控技术实施
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样的使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
本公司局域网系统是通过软件IpTraf来实现网络的监控与审计,具体措施如下: (1) 安装
将iptraf-2.7.0.tar.gz上传到防火墙的 /home/yan/ 目录下 # cd /home/yan
# tar zxf iptraf-2.7.0.tar.gz # cd iptraf-2.7.0 # ./Setup 至此,安装完毕
安装程序会将执行程序安装到 /usr/local/bin 目录下,并创 /var/local/iptraf 目录放置iptraf的配置文件,同时创建 /var/log/iptraf 目录放置iptraf产生的日志文件
(2) 运行iptraf
确认环境变量的PATH变量包含路径 /usr/local/bin # iptraf
运行iptraf后会产生一个字符界面的菜单,点击 x 可以退出 iptraf,各菜单说明如下:
a、菜单Configure...
在这里可以对 iptraf 进行配置,所有的修改都将保存在文件:/var/local/iptraf/iptraf.cfg 中
27
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
--- Reverse DNS Lookups 选项,对IP地址反查 DNS名,默认是关闭的 --- TCP/UDP Service Names 选项,使用服务器代替端口号,例如用www 代替80,默认是关闭的
--- Force promiscuous 混杂模式,此时网卡将接受所有到达的数据,不管是不是发给自己的。
--- Color 终端显示彩色,当然用telnet ,ssh连接除外,也就是用不支持颜色的终端连接肯定还是没有颜色。
--- Logging 同时产生日志文件,在/var/log/iptraf 目录下 --- Activity mode 可以选择统计单位是kbit/sec 还是 kbyte/sec
--- Source MAC addrs in traffic monitor 选择后,会显示数据包的源MAC地址
b、菜单Filters...
在这里设置过滤规则,这是最有用的选项了,从远端连入监控机时,自己的机器与监控机会产生源源不断的tcp数据包,此时就可以将自己的IP地址排除在外。
它包括六个选项,分别是:Tcp、Udp、Other IP、ARP、RARP、Non-ip。我们只说明TCP,其他选项的配置都很相似。
--- Defining a New Filter
选择Defining a New Filter后,会出来一对话框,要求填入对所建的当前规则的描述名,然后回车确定,Ctrl+x取消
在接着出现的对话框里,Host name/IP address的First里面填源地址,Second里填目标地址,Wildcard mask 的两个框里面分别是源地址和目标地址所对应的掩码。
Port栏要求填入要过滤的端口号,0表示任意端口号
Include/Exclude栏要求填入I或者E,I表示包括,E表示排除 填写完毕,回车确认,Ctrl+x取消 --- Applying a Filter
我们在上一步定义过滤规则会存储为一个过滤列表,在没有应用之前并不起作用,在这里选择我们应用那些过滤规则。所有应用的规则会一直起作用,即使重新启动iptraf。我们可以执行Detaching a Filter来取消执行当前所有应用的规则。
--- Editing a Defined Filter 编辑一个已经存在的规则 --- Deleting a Defined Filter 删除一个已经定义的规则 --- Detaching a Filter 取消执行当前所有应用的规则 c、菜单IP Traffic Monitor
IP数据包流量实时监控窗口,在这里可以实时的看到每一个连接的流量状态,它有两个窗口,上面的是TCP的连接状态,下面的窗口可以看到UDP、ICMP、OSPF、
28
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
IGRP、IGP、IGMP、GRE、ARP、RARP的数据包。点击s键选择排序,按照包的数量排序,也可按照字节的大小排序,当你开始监控IP Traffic时,程序会提示你输入Log文件的文件名,默认的是ip_traffic-1.log。
在一个比较繁忙的网络里,显示的结果可能很乱,可以使用Filters菜单过滤显示来找到有用的数据。
d、菜单General Interface Statistics
显示每个网络设备出去和进入的数据流量统计信息,包括总计、IP包、非IP包、Bad IP包、还有每秒的流速,单位是kbit/sec或者是kbyte/sec ,这由Configure菜单的Activity选项决定。
e、菜单Detailed Interface Statistics
这里包括了每个网络设备的详细的统计信息,很简单,不再赘述。 f、Statistical Breakdowns
这里提供更详细的统计信息,可以按包的大小分类,分别统计,也可以按Tcp/Udp的服务来分类统计,也不再赘述。
g、LAN Station Statistics
提供对每个网络地址通过本机的数据的统计信息。 3.3.8 系统备份及恢复方案
在我们的网络系统中,使用Norton Ghost来实现网络系统的备份及恢复。其具体实施如下:
(1) 利用MultiCast Server进行备份与灾难恢复的具体步骤:
a、通过IP网络正确连接被克隆的源机器(运行ghost网络客户软件)与网络文件服务器(运行MultiCast Server)。
b、找到ghost网络客户机网卡的Packet Driver或者是NDIS2.1 Driver。ghost网络客户通过包驱动或者是NDIS模拟包驱动来与MultiCast Server通信。
c、制作MultiCast网络客户机启动软盘。利用Multicast Assist向导根据屏幕提示(需要DOS启动盘),一步一步的制作MultiCast客户机启动软盘。
d、在文件服务器上启动MultiCast Server,设置多点传送会话的名称,选择安装客户机或者备份客户机、对整盘操作或分区操作,指明映像文件在服务器上的路径和文件名,点击Accept Client按钮,MultiCast Server进入等待客户连接状态。
e、用制作的ghost网络客户机启动软盘开机启动客户机,自动进入ghost图形用户界面,选择MultiCast菜单,指定上一步设置的多点传送会话的名称以便与MultiCast Server建立通信连接。接下来,ghost就开始了真正的克隆操作。 (2) 利用硬盘映像文件制作灾难恢复光盘的具体步骤:
a、制作启动软盘。其内容包括IO.SYS、MSDOS.SYS、COMMAND.COM、HIMEM.SYS、MSCDEX.EXE、CD-ROM驱动程序、CONFIG.SYS、AUTOEXEC.BAT等文件。
29
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
b、刻制CD-R。在刻录软件中要设定CD-R的格式为ISO9660、并选中可启动光盘复选框,按屏幕提示插入刚才制作的启动软盘,克录软件自动生成bootcat.bin、bootimg.bin两个文件,然后选择正确的硬盘映像文件、ghost.exe、ghost.env、ghost.ini等相关文件作为复制对象,按下刻录按钮,系统恢复光盘就大功告成了。 c、系统灾难恢复(或者是批量安装)。利用自制的系统恢复光盘开机启动就可以自动、快速恢复/安装目标计算机,一般10来分钟即可完成。
3.4 信息安全
VPN是企业实现安全远程互联的有效方法。VPN主要应用特点包括:基于封装安全负载标准ESP-DES(Encapsulating Securiry Payload–Data Encryption Standard)的IPSec;专有网络通过端口地址转换技术访问Internet。
配置过程及测试步骤:
在前面我们已经对路由器作了初始化配置,下面直接进入VPN设置过程 (1) 配置路由器的以太网接口,并测试与本地计算机的连通性
关键是配置IP地址和启用以太网接口。测试时,使用基本的测试命令ping。 huadong(config)#inter eth0/0
huadong(config-if)#ip address 172.18.124.1 255.255.255.0 huadong(config-if)#no shutdown 在IP地址为172.18.124.100的计算机上: c:>ping 172.18.124.1
Pinging 172.18.124.1 with 32 bytes of data: Reply from 172.18.124.1 bytes=32 time=5ms TTL=255 ??
结果证明连接及配置正确。 (2) 配置路由器NAT网络 a、配置外出路由并测试 主要是配置缺省路由。
huadong(config)#ip route 0.0.0.0 0.0.0.0 210.75.32.9 huadong#ping 211.100.15.36 ?? !!!!! ??
结果证明本路由器可以通过ISP访问Internet。 b、配置PAT,使内部网络计算机可以访问外部网络
主要是基于安全目的,不希望内部网络被外部网络所了解,而使用地址转换(NAT)
30
东华理工大学毕业设计(论文) 企业局域网的安全设计方案
技术。同时,为了节约费用,只租用一个IP地址(路由器使用)。所以,需要使用PAT技术。使用NAT技术的关键是指定内外端口和访问控制列表。
在访问控制列表中,需要将对其他内部网络的访问请求包废弃,保证对其他内部网络的访问是通过IPSec来实现的。
huadong(config)#inter eth0/0 huadong(config-if)#ip nat inside huadong(config-if)#inter serial0/0 huadong(config-if)#ip nat outside huadong(config-if)#exit 以上命令的作用是指定内外端口。
huadong(config)#route-map abc permit 10 huadong(config-route-map)#match ip address 150 huadong(config-route-map)#exit 以上命令的作用是指定对外访问的规则名。
huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.17.123.0 255.255.255.0
huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.18.125.0 255.255.255.0
huadong(config)#access-list 150 deny 172.18.124.0 255.255.255.0 172.18.126.0 255.255.255.0
huadong(config)#access-list 150 permit ip 172.18.124.0 255.255.255.0 any 以上命令的作用是指定对外访问的规则内容。禁止利用NAT对其他内部网络直接访问,和允许内部计算机利用NAT技术访问Internet。
huadong(config)#ip nat inside source route-map abc interface serial0/0 overload
上述命令的作用是声明使用串口的注册IP地址,在数据包遵守对外访问的规则的情况下,使用PAT技术。
在IP地址为172.18.124.100的计算机上,执行必要的测试工作,以验证内部计算机可以通过PAT访问Internet。
c:>ping 210.75.32.10 ??
Reply from 210.75.32.10: bytes=32 time=1ms TTL=255 ??
c:>ping www.ninemax.com ??
31
企业网络安全解决方案的设计
