东华理工大学毕业设计(论文) 企业局域网的安全设计方案
Reply from 211.100.15.36: bytes=32 time=769ms TTL=248 ??
此时,在路由器上,可以通过命令观察PAT的实际运行情况,再次验证PAT配置正确。
huadong#show ip nat tran
Pro Inside global Inside local Outside local Outside global icmp 210.75.32.9:1975 172.18.124.100:1975 210.75.32.10:1975 210.75.12.10:1975
??
以上测试过程说明,NAT配置正确。内部计算机可以通过安全的途径访问Internet。
(3) 配置ESP-DES IPSec并测试
以下配置是配置VPN的关键。首先,VPN隧道只能限于内部地址使用。 huadong(config)#access-list 105 permit ip 172.18.124.0 255.255.255.0 172.17.123.0 255.255.255.0
huadong(config)#access-list 106 permit ip 172.18.124.0 255.255.255.0 172.18.125.0 255.255.255.0
huadong(config)#access-list 107 permit ip 172.18.124.0 255.255.255.0 172.18.126.0 255.255.255.0
指定VPN在建立连接时协商IKE使用的策略。方案中使用sha加密算法。 huadong(config)#crypto isakmp policy 10 huadong(config-isakmp)#hash sha
huadong(config-isakmp)#authentication pre-share huadong(config-isakmp)#exit
32
东华理工大学毕业设计(论文) 企业局域网安全管理
4 企业局域网安全管理
4.1 安全管理规范
4.1.1 安全管理原则
网络信息系统的安全管理主要基于三个原则。
多人负责原则:每一项与安全有关的活动,都必须有两人或多人在场。这些人应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作情况记录以证明安全工作已得到保障。
任期有限原则:一般地讲,任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
职责分离原则:在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,除非系统主管领导批准。 4.1.2 安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应的规范。
(1) 制订相应的机房出入管理制度:机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
(2) 制订严格的操作规程:操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
(3) 制订完备的系统维护制度:对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(4) 制订应急措施:要制定系统在紧急情况下如何尽快恢复的应急措施,以使损失减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
4.2 常见网络故障及解决
局域网故障五花八门,在这里我们只介绍最常见的两种故障解决方案。 4.2.1 IP冲突解决
发生IP冲突主要有以下几个原因。有些人对TCP/IP不了解,不小心修改了这些信息。另外在维修调试机器的时候,用一些临时的IP地址,结果忘了改过来而出现冲突。另外还有一种我们深恶痛绝的情况,就是有人窃用他人的IP地址。
33
东华理工大学毕业设计(论文) 企业局域网安全管理
接到冲突报告后,要做几件事情,首先要确定冲突发生的VLAN。通过IP规划的vlan定义以及冲突的IP地址,可以找到冲突地址所在的网段。这对成功地找到网卡MAC地址非常关键,因为有些网络命令不能跨网段存取。
下面先把客户机与网络隔离,对于有非法的IP地址的微机,权且容它运行去吧,这样我们倒有机会设法找到它了。再对网络做一些测试,主要的命令有ping命令和arp命令。使用ping命令,假设冲突的IP地址为172.18.124.69,在msdos窗口,命令格式如下:
C:\\\\WIDOWS\\\\〉ping 172.18.124.69 Request timed out
Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉 Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉 Reply from 172.18.124.69 : bytes=32 time〈1ms TTL=128 〉
我们之所以要ping这台机器,有两个目的,首先我必须肯定要找的那台机器确实在网络上,其次,我想知道这台机器的网卡的MAC地址。下面使用第二个命令arp查找MAC地址,arp命令只能在某一个VLAN中使用有效,它是低层协议,而且不能跨路由。
C:\\\\WIDOWS\\\\〉arp –a
Interface: ...... on Inerface ...... Internet Address/Physical Address/Type 172.18.124.69/00-00-22-35-62-53/ dynamic
这就说明冲突IP地址172.18.124.69 处网卡的MAC地址是00-00-22-35-62-53。接下来我们要找的是MAC地址为00-00-22-35-62-53的网卡的具体物理位置,然后解决冲突。 4.2.2 DNS错误
出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题,然而访问他的域名就会出现错误。
解决DNS解析故障:
计算机出现了DNS解析故障后不要着急,解决的方法也很简单 (1) 用nslookup来判断是否真的是DNS解析故障
第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。 第二步:输入nslookup命令后回车,将进入DNS解析查询界面。
第三步:命令行窗口中会显示出当前系统所使用的DNS服务器地址,例如DNS服务器IP为202.106.0.20。
第四步:接下来输入无法访问的站点对应的域名。例如输入www.softer.com,假如不能访问,那么DNS解析应该是不能够正常进行的。我们会收到DNS request
34
东华理工大学毕业设计(论文) 企业局域网安全管理
timed out,timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。
小提示:如果DNS解析正常的话,会反馈回正确的IP地址,例如用www.sohu.com这个地址进行查询解析,会得到61.135.133.103,61.135.133.104的信息。
(2) 查询DNS服务器工作是否正常
这时候就要看看自己计算机使用的DNS地址是多少了,并且查询他的运行情况。 第一步:通过“开始->运行->输入CMD”后回车进入命令行模式。 第二步:输入ipconfig /all命令来查询网络参数。
第三步:在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS,这个就是我们的DNS服务器地址。例如是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址,如果使用外网DNS出现解析错误时,我们可以更换一个其他的DNS服务器地址即可解决问题。
第四步:如果在DNS服务器处显示的是公司的内部网络地址,那么说明公司的DNS解析工作是交给公司内部的DNS服务器来完成的,这时需要检查这个DNS服务器,在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障,一般来说问题也能够解决。
(3) 清除DNS缓存信息法
当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的,一般来说当解析工作完成一次后,该解析条目会保存在计算机的DNS缓存列表中,如果这时DNS解析出现更改变动的话,由于DNS缓存列表信息没有改变,在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息,会根据自己计算机上保存的缓存对应关系来解析,这样就会出现DNS解析故障。这时应该通过清除DNS缓存的命令来解决故障。
第一步:通过“开始->运行->输入CMD”进入命令行模式。
第二步:在命令行模式中我们可以看到在ipconfig /?中有一个名为/flushdns的参数,这个就是清除DNS缓存信息的命令。
第三步:执行ipconfig /flushdns命令,当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。
第四步:接下来我们再访问域名时,就会到DNS服务器上获取最新解析地址,再也不会出现因为以前的缓存造成解析错误故障了。
35
name:sohu.com,addresses:
东华理工大学毕业设计(论文) 结束语
结束语
由于时间有限,我们所设计的企业局域网络安全系统只具备了一些基本安全防护功能,随着网络安全技术的发展,系统的功能也会随之进一步成熟化、完善化,相信随着操作系统的完善化和网络安全技术的成熟化,局域网的安全防护功能将更加符合企业的需求。
通过这次毕业设计,我大致了解在进行网络工程设计的基本过程,并且从中获得了许多从课堂上学不到的知识和有意义的收获,其中我对以下几点有很深的体会:
(1) 企业网络的安全是一个复杂的问题,只依靠一、两种网络安全产品是不能解决问题的。必须综合应用多种安全技术,并将其功能有机地整合到一起进而构成统一的网络安全基础设施。
(2) 管理一个大型的企业局域网络,不是一个人能够轻易的,况且一个人也不是安全之举;在工作中要多其他的管理人员沟通与讨论,这样可以保证整体工程的一致性,而且也可以互相交流经验,从而充实自己。
(3) 查阅资料是必不可少的一个环节,再工作和学习中,丰富自己的经验,在以后的工作中避免走许多不必要弯路。在互联网上查找相关资料,往往会收到意想不到的效果,可以大大的提高效率。
36
企业网络安全解决方案的设计
