1、 毕 业 设 计题目: 局域网网络安全设计 局域网网络安全设计摘 要近几年来,Internet 技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代 Internet 技术向以提供网络数据信息服务为特征的第二代 Internet 技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet 自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使 Internet 自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现
2、在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业构架网络安全体系,主要运用 vlan 划分、防火墙技术、病毒防护等技术,来实现企业的网络安全。关键词:端口安全,网络,安全,防火墙,vlanII AbstractIn recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of I
3、nternet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networking technology of large-scale use. As we all know, the worlds largest information network use of, Internet openne
4、ss of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security,
5、 and its related security incidents happened quite frequently. Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this
6、 paper for the enterprise architecture network security system, mainly by the use of vlan, firewall, virus protection and other technologies to achieve corporate network security. Keywords: Port Security,network, security, firewall, vlan一、 引言随着计算机运用到各个领域,计算机用户的数量逐渐增多,这就涉及到越来越多的重要信息被计算机存储下来,所以对于计算机安全
7、问题的解决以及预防是刻不容缓的任务。计算机容易受到黑客、病毒的侵入,而这些不仅会影响到计算机的安全,更加会影响到用户信息的安全,会给用户造成极大的危害,所以计算机的安全问题必须值得深思和研究。二、 项目需求分析(黑体 4 号)1局域网安全威胁分析 局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类: (1)欺骗性的软件使数据安全性降低; (2)计算机病毒及恶意代码
8、的威胁; (3)服务器区域没有进行独立防护;. (4)IP 地址冲突; (5)局域网用户安全意识不强; 正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。2. 局域网安全解决办法 当前,保证局域网安全的解决办法有以下几种:(1)网络分段 网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。 目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交
9、换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。(2)VLAN 的划分 为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。 目前的 VLAN 技术主要有三种:基于交换机端口的 VLAN、基于节点MAC 地址的 VLAN 和基于应用协议的 VLAN。基于端口的 VLAN 虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于 MAC 地址的 VLAN 为移动计算提供了可能性,但同时也潜藏着遭受 MAC 欺诈攻击的隐患。而基于协议的 VLAN,理论上非常
10、理想,但实际应用却尚不成熟。 在集中式网络环境下,我们通常将中心的所有主机系统集中到一个 VLAN里,在这个 VLAN 里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的 VLAN 内,互不侵扰。三、项目设计利用华为模拟器 eNsp 模拟一个小型企业的局域网局部内部网络,其拓扑图如下:1.设计任务:A 该公司内部主机的地址全部通过 dhcp 获取,R1 做 dhcp 服务器,业务部为 vlan10,它的地址网段为 192.168.10.0/24,其中 192.168.10.1 作为vla
11、n10 的网关;会计部为 vlan20,它的地址网段为 192.168.20.0/24,其中192.168.20.1 作为 vlan20 的网关B 在接入交换机中开启端口安全,配置接口 MAC 地址学习限制数为 1;配置端口安全功能的保护动作为 shutdown;开启接口 Sticky MAC 功能。C 在 R1 跟防火墙之间使用动态路由协议 ospfD 在防火墙中配置区域安全,并设置安全策略,在防火墙做 NAT,将内部的私有地址映射出去,允许内部地址访问外部网络。2.原理分析:AVlanVLAN(Virtual Local Area Network)的中文名为“虚拟局域网“。虚拟局域网(VL
12、AN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN 是一种比较新的技术,工作在 OSI 参考模型的第 2 层和第 3 层,一个 VLAN 就是一个广播域,VLAN 之间的通信是通过第 3 层的路由器来完成的。与传统的局域网技术相比较,VLAN 技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不
13、同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为 VLAN。 划分 VLAN 后,不同 VLAN 之间不能直接通信。如果要实现 VLAN 间通信,可以采取以下方案:图 2 通过子接口实现 VLAN 间的通信a子接口如上图 2 所示,DeviceA 为支持配置子接口的三层设备,DeviceB 为二层交换设备。LAN 通过 DeviceB 的以太网接口(交换式以太网接口)与 DeviceA 的以太网接口(路由式以太网接口)相连。用户主机被划分到两个 VLAN:VLAN2和 VLAN3。可通过如下配置实现 VLAN 间互通。在 DeviceA 的以太
14、网接口(与 DeviceB 相连的以太网接口)上创建 2 个子接口 Port1.1 和 Port2.1,并配置 802.1Q 封装与 VLAN2 和 VLAN3 分别对应。配置子接口的 IP 地址,保证两个子接口对应的 IP 地址路由可通。将 DeviceB 与 DeviceA 相连的以太网接口类型配置为 Trunk 或 Hybrid 类型,允许 VLAN2 和 VLAN3 的帧通过。将用户设备的缺省网关设置为所属 VLAN 对应子接口的 IP 地址。主机 A 和 C 的通信过程如下:主机 A 将主机 C 的 IP 地址和自己所在网段进行比较,发现主机 C 和自己不在同一个子网。主机 A 发送
15、 ARP 请求给自己的网关 DeviceA,请求网关的 MAC 地址。DeviceA 收到该 ARP 请求后,返回 ARP 应答报文,报文中源 MAC 地址为VLAN2 对应子接口的 MAC 地址。主机 A 学习到网关的 MAC 地址。主机 A 向网关发送目的 MAC 为子接口 MAC 地址、目的 IP 为主机 C 的 IP 地址的报文。DeviceA 收到该报文后进行三层转发,发现主机 C 的 IP 地址为直连路由,报文将通过 VLAN3 关联的子接口进行转发。DeviceA 作为 VLAN3 内主机的网关,向 VLAN3 内发送一个 ARP 广播,请求主机 C 的 MAC 地址。主机 C
16、收到网关发送的 ARP 广播后,对此请求进行 ARP 应答。网关收到主机 C 的应答后,就把主机 A 的报文发送给主机 C。主机 A 之后要发给 C 的报文都先发送给网关,由网关做三层转发。bVLANIF 接口三层交换技术是将路由技术与交换技术合二为一的技术,在交换机内部实现了路由,提高了网络的整体性能。三层交换机通过路由表传输第一个数据流后,会产生一个 MAC 地址与 IP 地址的映射表。当同样的数据流再次通过时,将根据此表直接从二层通过而不是通过三层,从而消除了路由器进行路由选择而造成的网络延迟,提高了数据包转发效率。为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。因
17、此必须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。VLANIF 接口由此而产生。VLANIF 接口是三层逻辑接口,可以部署在三层交换机上,也可以部署在路由器上。在下图 3 所示的网络中,交换机上划分了 2 个 VLAN:VLAN2 和 VLAN3。可通过如下配置实现 VLAN 间互通。在 Device 上创建 2 个 VLANIF 接口并配置 VLANIF 接口的 IP 地址,保证两个 VLANIF 接口对应的 IP 地址路由可通。将用户设备的缺省网关设置为所属 VLAN 对应 VLANIF 接口的 IP 地址。图 3 通过 VLANIF 接口实现 VLAN 间的通信主机 A
18、和 C 的通信过程如下:主机 A 将主机 C 的 IP 地址和自己所在网段进行比较,发现主机 C 和自己不在同一个子网。主机 A 发送 ARP 请求给自己的网关 Device,请求网关的 MAC 地址。Device 收到该 ARP 请求后,返回 ARP 应答报文,报文中源 MAC 地址为VLANIF2 的 MAC 地址。主机 A 学习到网关的 MAC 地址。主机 A 向网关发送目的 MAC 为 VLANIF 接口 MAC 地址、目的 IP 为主机 C 的IP 地址的报文。Device 收到该报文后进行三层转发,发现主机 C 的 IP 地址为直连路由,报文将通过 VLANIF3 接口进行转发。D
19、evice 作为 VLAN3 内主机的网关,向 VLAN3 内发送一个 ARP 广播,请求主机 C 的 MAC 地址。主机 C 收到网关发送的 ARP 广播后,对此请求进行 ARP 应答。网关收到主机 C 的应答后,就把主机 A 的报文发送给主机 C。主机 A 之后要发给 C 的报文都先发送给网关,由网关做三层转发。B端口安全端口安全是一种基于 MAC 地址对网络接入进行控制的安全机制,是对已有的 802.1X 认证和 MAC 地址认证的扩充。这种机制通过检测端口收到的数据帧中的源 MAC 地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的 MAC 地址来控制对非授权设备的访
20、问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源 MAC 地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指: a 禁止 MAC 地址学习时,收到的源 MAC 地址为未知 MAC 的报文; b 端口学习到的 MAC 地址达到端口所允许的最大 MAC 地址数后,收到的源MAC 地址为未知 MAC 的报文; c 未通过认证的用户发送的报文。C.OSPFOSPF 是一种分层次的路由协议,其层次中最大的实体是 AS(自治系统) ,即遵循共同路由策略管
21、理下的一部分网络实体。在每个 AS 中,将网络划分为不同的区域。每个区域都有自己特定的标识号。对于主干(backbone)区域,负责在区域之间分发链路状态信息。这种分层次的网络结构是根据 OSPF 的实际提出来的。当网络中自治系统非常大时,网络拓扑数据库的内容就更多,所以如果不分层次的话,一方面容易造成数据库溢出,另一方面当网络中某一链路状态发生变化时,会引起整个网络中每个节点都重新计算一遍自己的路由表,既浪费资源与时间,又会影响路由协议的性能(如聚合速度、稳定性、灵活性等) 。因此,需要把自治系统划分为多个域,每个域内部维持本域一张唯一的拓扑结构图,且各域根据自己的拓扑图各自计算路由,域边界
22、路由器把各个域的内部路由总结后在域间扩散。这样,当网络中的某条链路状态发生变化时,此链路所在的域中的每个路由器重新计算本域路由表,而其它域中路由器只需修改其路由表中的相应条目而无须重新计算整个路由表,节省了计算路由表的时间。 OSPF 由两个互相关联的主要部分组成:“呼叫”协议和“可靠泛洪”机制。呼叫协议检测邻居并维护邻接关系,可靠泛洪算法可以确保统一域中的所有的OSPF 路由器始终具有一致的链路状态数据库,而该数据库构成了对域的网络拓扑和链路状态的映射。链路状态数据库中每个条目称为 LSA(链路状态通告) ,共有 5 种不同类型的 LSA,路由器间交换信息时就是交换这些 LSA。每个路由器都
23、维护一个用于跟踪网络链路状态的数据库,然后各路由器的路由选择就是基于链路状态,通过 Dijkastra 算法建立起来最短路径树,用该树跟踪系统中的每个目标的最短路径。最后再通过计算域间路由、自治系统外部路由确定完整的路由表。与此同时,OSPF 动态监视网络状态,一旦发生变化则迅速扩散达到对网络拓扑的快速聚合,从而确定出新的网络路由表。 OSPF 的设计实现要涉及到指定路由器、备份指定路由器的选举、协议包的接收、发送、泛洪机制、路由表计算等一系列问题。D.NATNAT(Network Address Translation,网络地址转换)是 1994 年提出的。当在专用网内部的一些主机本来已经分
24、配到了本地 IP 地址(即仅在本专用网内使用的专用地址) ,但现在又想和因特网上的主机通信(并不需要加密)时,可使用 NAT 方法。这种方法需要在专用网连接到因特网的路由器上安装 NAT 软件。装有 NAT软件的路由器叫做 NAT 路由器,它至少有一个有效的外部全球 IP 地址。这样,所有使用本地地址的主机在和外界通信时,都要在 NAT 路由器上将其本地地址转换成全球 IP 地址,才能和因特网连接。另外,这种通过使用少量的公有 IP 地址代表较多的私有 IP 地址的方式,将有助于减缓可用的 IP 地址空间的枯竭。借助于 NAT,私有(保留)地址的“内部“网络通过路由器发送数据包时,私有地址被转换成合法的 IP 地址,一个局域网只需使用少量 IP 地址(甚至是1 个)即可实现私有地址网络内所有计算机与 Internet 的通信需求。NAT 将自动修改 IP 报文的源 IP 地址和目的 IP 地址,Ip 地址校验则在 NAT处理过程中自动完成。有些应用程序将源 IP 地址嵌入到 IP 报文的数据部分中,
