任务五办公网络安全规划部署课件.ppt

1、任务五：办公网络安全规划部署任务五：办公网络安全规划部署任务五：办公网络安全规划部署任务五：办公网络安全规划部署任务五：办公网络安全规划部署任务五：办公网络安全规划部署 一、任务内容一、任务内容 二、背景知识二、背景知识 三、风险分析三、风险分析 四、步骤介绍四、步骤介绍 五、任务小结五、任务小结任务名称包含步骤能力目标支撑知识训练内容5办公网络安全规划部署5.1规划设计办公网络安全分析设计办公网络安全系统能力组网及应用需求分析、设计1、办公网络的功能分区，各区的安全要求2、办公网络安全设计5.2设置办公网络路由器安全安全功能项设置，入口流量控制能力部署路由器的安全目的办公网路由器安全功能设置

2、5.3设置办公网交换机安全安全功能项设置，网络地址安全管理能力部署交换机的安全目的办公网交换机安全功能设置1 1、网络规划设计网络规划设计 2 2、路由器安全的部署路由器安全的部署 3 3、交换机安全的部署交换机安全的部署 网络规划设计网络规划设计1 1、用户需求分析、用户需求分析（1）用户需求：资源共享及共享资源的安全（2）技术目标：统一性、完整性、经济实用性、可靠性与有效性、扩展性与先进性、安全性（3）网络应用：Web、FTP、E-Mail、VOD等2 2、当前网络现状分析、当前网络现状分析 设备、连接、应用情况、布线、协议、性能等3 3、逻辑设计、逻辑设计整体结构设计、局部网络结构设计4

3、 4、物理设计、物理设计网络中心的设计、每栋楼设计5 5、测试、测试确定测试范围、确定测试内容（连通性、性能、故障）6 6、用户培训与售后服务、用户培训与售后服务1 1、包过滤控制访问列表、包过滤控制访问列表从192.168.20.0/24来的数据包可以通过！路由器从192.168.10.0/24来的数据包不能通过！2 2、网络病毒的应对办法、网络病毒的应对办法 路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器并不能识别的。需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。以上只是辅助措施，根本解决办法是查杀PC

4、的病毒，尽快安装微软操作系统的补丁，升级杀毒工具的病毒库，提高安全意识。3 3、远程登录、远程登录telnettelnet Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：（1）Telnet定义一个网络虚拟终端为远程系统提供一个标准接口。客户机程序不必详细了解远程系统，他们只需构造使用标准接口的程序；（2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；（3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入

5、，也不强迫客户机在屏幕上显示输出。4 4、IPSECIPSEC配置配置 IPSEC 是IP Security的缩写，它是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。IPSEC 作为一个协议族由以下部分组成：(1)保护分组流的协议；(2）用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。1 1、基于交换机的访问控制列表安全策略、基于交换机的访问控制列表安全策略 可通过对交换机建立各种过滤规则的方式

6、来实现整个网络分布实施接入安全性的需求。通常过滤规则设置有MAC和IP两种模式，可根据网络安全性需求采用MAC模式有效实现数据的隔离，也可通过IP模式实现端口过滤封包。当交换机端口需要数据交换时，就会根据过滤规则来过滤封包，决定是转发还是丢弃。通过访问控制列表的使用，可以对数据包过滤、流量限制、流量统计等。2 2、配置交换机的、配置交换机的802.1X802.1X认证协议认证协议 对交换机启用802.1X认证协议后，计算机只有通过授权才可以访问网络资源，否则不能接入到网络，可以有效地保证网络的安全，防止用户随便地接入到网络中。3 3、禁用、禁用SNMPSNMP SNMP是Simple Netw

7、ork Management Protocol的英文缩写。它是用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。4 4、使用、使用SSHSSH进行远程管理进行远程管理 SSH是Secure Shell的英文缩写。通过SSH的使用，用户可把所要传输的数据信息进行加密，而且也能够防止DNS和IP欺骗。SSH可以替代Telnet，又可以为FTP、POP、PPP提供一个安全的“通道”。由于在使用SSH进行通讯时，对用户名及口令等均进行了加密，有效防止了口令被窃听，便于网络管理人员进行远程的安全网络管理。5 5、交换机、交换机VLANVLAN（1

8、 1）VLANVLAN简介简介 VLAN（Virtual Local Area Network），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机不必放置在同一个物理位置，即这些计算机不一定属于同一个物理LAN网段。5 5、交换机、交换机VLANVLAN（2 2）VLANVLAN划分的方法划分的方法l基于端口划分的VLANl基于MAC地址划分V

9、LANl基于网络层协议划分VLANl根据IP组播划分VLANl按策略划分VLANl按用户定义、非用户授权划分VLAN1234交换机交换机广播帧广播帧交换机收到广播帧后，只转发到属于同一VLAN的其他端口。广播域广播域广播帧广播帧广播域广播域（3 3）VLANVLAN的优越性的优越性l增加了网络连接的灵活性l控制网络上的广播l增加网络的安全性1 1、办公网络安全分析设计办公网络安全分析设计 2 2、办公网络路由器安全设置办公网络路由器安全设置 具体步骤：包过滤控制访问列表；网络病毒的应对办法；远程登录telnet；IPSEC配置。3 3、办公网络交换机安全设置办公网络交换机安全设置 具体步骤：基

10、于交换机的访问控制列表安全策略；配置交换机的802.1X认证协议；禁用SNMP；使用SSH进行远程管理；交换机VLAN的构建。1 1 具体案例具体案例 要组建一个50位员工公司的办公网络，该公司有如下的几个部门：A办公室（3人）、B人事部（3人）、C财务部（4人）、D市场经销部（12人）、E产品研发部（28人）等五大部门，参见办公网络平面示意图。2 2 网络用户及安全需求网络用户及安全需求 假设该办公网络中A、B、D三区的用户需要访问Internet，而C、E二区的用户可根据具体情况，允许或不允许访问Internet；A、B、D三区用户间可以相互访问，但不可访问C、E二区的用户。结合以上网络用

11、户需求，如何通过对网络用户计算机、网络设备路由器、交换机进行相关的安全设置，以满足以上办公网络安全的需求。由于A、B、C、D四区用户数量不多，可直接使用一个交换即可。E区用户数量较多，可单独使用一个交换机。1 1、办公网络的组网及应用需求分析、办公网络的组网及应用需求分析办公网络平面示意图3 3 规划设计方案规划设计方案为满足以上办公网络的需求，可提出如下的规划设计方案：（1）路由器、交换机的选型由于以上办公网络规划不大，对路由器、交换机的选型较为简单，可选用中低端产品即可满足以上网络用户的要求。（2）传输介质的选型在传输介质的选择方面，不必使用光纤，可使用5类或超5类双绞线即可。（3）网络安

12、全规划设计为提高办公网络的安全性，在对办公网络进行安全规划设计时，可从以下三个方面进行。l路由器的安全设置l交换机的安全设置lVLAN的使用 1 1、包过滤控制访问列表、包过滤控制访问列表安全需要日志主机地址：192.168.1.208：00-22：00 禁止报文送出串口禁止PC远程登录到路由器。如图所示。当前路由器提示视图依次输入的配置命令#Routerinfo-center loghost 0 10.0.0.8 Router#Routerfirewall enable Router#Routerinterface Ethernet0/0 ip address 10.0.0.1 255.25

13、5.255.0 firewall packet-filter 3000 inbound firewall packet-filter 2000 outbound#Routerinterface Ethernet2/0 ip address 10.0.1.1 255.255.255.0 firewall packet-filter 3000 inbound#当前路由器提示视图依次输入的配置命令Routeracl number 2000 match-order autoRouter-acl-2000rule 0 deny logging#Routeracl number 3000 match-or

14、der autoRouter-acl-3000rule 0 deny tcp destination 10.0.1.1 0 destination-port eq telnet logging rule 1 deny tcp destination 10.0.0.1 0 destination-port eq telnet logging#Routertime-range time_range 08:30 to 18:30 daily2 2、对网络病毒的应对办法、对网络病毒的应对办法说明路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器是并不能识别的。

15、需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。禁止端口号为135的tcp报文。禁止端口号为69的udp报文。禁止icmp报文。3 3、远程登录、远程登录telnettelnet（1 1）缺省情况）缺省情况:无需用户名和密码无需用户名和密码,均可均可telnettelnet其连接拓扑如图所示。当前路由器提示视图依次输入的配置命令!Routerinterface Ethernet0Router-Ethernet0ip address 10.0.0.1 255.255.255.0!Routerinterface Serial0Router-Serial0li

16、nk-protocol ppp!Routerinterface Bri0Router-Bri0link-protocol ppp!quit（2 2）允许）允许telnet:telnet:只有正确的用户名和密码才可以只有正确的用户名和密码才可以telnettelnet。当前路由器提示视图依次输入的配置命令!Routerlocal-user b service-type admin password simple b!Routerinterface Ethernet0Router-Ethernet0ip address 10.0.0.1 255.255.255.0!Routerinterface

17、Serial0Router-Serial0link-protocol ppp!Routerinterface Bri0Router-Bri0link-protocol ppp!quit（3 3）禁止）禁止telnet:telnet:只允许特定只允许特定IPIP地址设备地址设备telnettelnet到到路由器路由器当前路由器提示视图依次输入的配置命令!Routerfirewall enableRouterlocal-user a service-type admin password simple aRouter!Routeracl 101Router-acl-101rule permit t

18、cp source 10.0.0.2 0.0.0.0 destination 10.0.0.1 0.0.0.0 eq telnetRouter-acl-101rule deny tcp source any destination 10.0.0.1 0.0.0.0 eq telnet!Routerinterface Ethernet0Router-Ethernet0ip address 10.0.0.1 255.255.255.0（1）开启802.1X认证systemSystem View:return to User View with Ctrl+Z.S3026Edot1x802.1X is

19、 enabled globally.开启全局下的802.1X认证S3026Einterface ethernet1/0/2S3026E-Ethernet1/0/2dot1x802.1X is enabled on port Ethernet1/0/2开启端口ethernet1/0/2的802.1x认证。S3026E-Ethernet1/0/2quitS3026ES3026Elocal-user user01 添加新用户New local user added此时S3026E交换机的配置完成，已有了默认的system域和一个名为system的 Radius Scheme，即可使用802.1X认证

20、。S3026E-luser-user02password cipher 1234S3026E-luser-user02service-type lan-access 用户服务类型一定为lan-accessS3026E-luser-user02quitS3026ES3026Edisp domain system 查看system域The contents of Domain system:State=ActiveScheme=LocalAccess-limit=DisableVlan-assignment-mode=IntegerDomain User Template:Idle-cut=Dis

21、ableSelf-service=DisableMessenger Time=DisableS3026ES3026Edisp radius scheme 查看radius scheme（2）认证计算机上的操作lWindows XP自带的802.1X认证客户端l使用802.1x 认证客户端lWindows XP自带的802.1X认证客户端 图 “本地连接”属性上开启802.1x认证图 按照提示单击打开认证对话框 图 输入用名和密码图 认证后网络连通 l使用802.1x 认证客户端图 使用802.1x 认证客户端输入用名和密码 图 使用802.1x 认证客户端反馈信息3 3、禁用、禁用SNMPSN

22、MP对于华为S3026E交换机，执行“no SNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭，可执行“disp SNMP”命令。4 4、使用、使用SSHSSH进行远程管理进行远程管理（1）配置访问控制规则只允许192.168.1.0/24网段登录 SwitchAacl number 2000 SwitchA-acl-basic-2000rule deny source any SwitchA-acl-basic-2000rule permit source 192.168.1.0 0.0.0.255（2）配置只允许符合ACL2000的IP地址登录交换机 SwitchA-

23、ui-vty0-4acl 2000 inbound 5 5、VLANVLAN的规划、配置及测试的规划、配置及测试（1 1）VLANVLAN的规划的规划针对该公司的五个部门：A办公室（3人）、B人事部（3人）、C财务部（4人）、D市场经销部（12人）、E产品研发部（28人）等五大部门，参见图示1。为提高该办公网络的安全性，特别是财务部、产品研发部，其网络上的信息不想让太多人访问，可采用VLAN方法进行，具体规划见下表。注意：之所以把交换机的VLAN号从“2”号开始，那是因为交换机有一个默认的VLAN，即1号VLAN，它包括所有连在该交换机上的用户。VLAN 号VLAN 名端口号端口数部门2BRS

24、SwitchA 2-1918办公室、人事部、市场经销部3CWSwitchA 20-234财务部4CPYFSwitchB 2-2928产品研发部（2 2）VLANVLAN的配置流程的配置流程VLAN的配置过程大致分二步进行：首先为各VLAN组命名，然后把相应的VLAN对应到交换机端口。第第1 1步：步：设置好超级终端，连接上1900交换机，通过超级终端配置交换机的VLAN，连接成功后出现如下所示的主配置界面。1 user(s)now active on Management Console.User Interface MenuM MenusK Command LineI IP Configur

25、ationEnter Selection:说明：超级终端是利用Windows系统自带的超级终端（HyperTerminal）程序进行的。第第2 2步：步：单击K按键，选择主界面菜单中K Command Line选项，进入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit.第第3 3步步：输入enable命令进入特权模式，此时交换机的提示符为#。enableconfig tEnter configuration commands,one per line.End with CNTL/Z(c

26、onfig)#说明：进入交换机的普通用户模式，该模式只能查看配置，不能更改配置，需要进入“特权模式”。第第4 4步：步：为图示1中的2个交换机命名，并且设置特权模式的登陆密码。仅以SwitchA为例进行介绍。(config)#hostname SwitchASwitchA(config)#enable password level 15 XXXXXXSwitchA(config)#说明：特权模式密码必须是4-8位字符，这里所输入的密码是以明文形式直接显示的，要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码，即设置了 level 1 的密码后，

27、你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。第第5 5步：步：设置VLAN名称。因三个VLAN分属于二个不同的交换机，VLAN命名的命令格式为 vlan vlan号 name vlan名称，在SwitchA、SwitchB交换机上配置2、3、4号VLAN的代码为：SwitchA(config)#vlan 2 name BRSSwitchA(config)#vlan 3 name CWSwitchB(config)#vlan 4 name CPYF 第第6 6步：步：配置V

28、LAN端口号（1）名为SwitchA的交换机的VLAN端口号配置如下：SwitchA(config)#int e0/2 SwitchA(config-if)#vlan-membership static 2 SwitchA(config-if)#int e0/3SwitchA(config-if)#vlan-membership static 2SwitchA(config-if)#int e0/4SwitchA(config-if)#vlan-membership static 2SwitchA(config-if)#int e0/18SwitchA(config-if)#vlan-memb

29、ership static 2SwitchA(config-if)#int e0/19SwitchA(config-if)#vlan-membership static 2SwitchA(config-if)#说明：int是interface命令缩写，是接口的意思。e0/3是ethernet 0/2的缩写，代表交换机的0号模块2号端口。（2）名为SwitchA的交换机的VLAN端口号配置如下：SwitchA(config)#int e0/20SwitchA(config-if)#vlan-membership static 3SwitchA(config-if)#int e0/21Switch

30、A(config-if)#vlan-membership static 3SwitchA(config-if)#int e0/22SwitchA(config-if)#vlan-membership static 3SwitchA(config-if)#int e0/23SwitchA(config-if)#vlan-membership static 3 （3）名为SwitchB的交换机的VLAN端口号配置如下：SwitchB(config)#int e0/2SwitchB(config-if)#vlan-membership static 4SwitchB(config-if)#int e

31、0/3SwitchB(config-if)#vlan-membership static 4SwitchB(config-if)#int e0/4SwitchB(config-if)#vlan-membership static 4SwitchB(config-if)#int e0/28SwitchB(config-if)#vlan-membership static 4SwitchB(config-if)#int e0/29SwitchB(config-if)#vlan-membership static 4 （3 3）VLANVLAN的测试的测试在特权模式使用show vlan命令显示出刚才所做的配置，检查一下是否正确。说明：其它交换机的VLAN配置方法基本类似，参照有关交换机说明书即可。通过通过“办公网络安全规划部署办公网络安全规划部署”任务的实施，要求学生学会做办公网任务的实施，要求学生学会做办公网络的需求分析、组建办公网络、办公网络的规划设计、设置办公网络路络的需求分析、组建办公网络、办公网络的规划设计、设置办公网络路由器安全、设置办公网交换机安全等，达到对办公网络的安全分析与防由器安全、设置办公网交换机安全等，达到对办公网络的安全分析与防范策略有一个较为详细的了解的目的。范策略有一个较为详细的了解的目的。