发布时间 : 星期二 文章校园网络管理与安全推优毕业设计论文更新完毕开始阅读5678b3642bf90242a8956bec0975f46527d3a791
域名 远程网关 鉴别密钥 易尚网关防火墙VPN网关 拨号vpn网关的外部ip地址 网关鉴别密钥必须配置拨号vpn网关通道的鉴别密钥 客户端 211.1.1.2 abcd1234 在IPSec客户端设置中,远程网络地址需与网关加密策略的来源地址对应,如图4.6.4所示
图4.6.4
使用XAuth进行VPN拨号二次认证:
通常在使用IPSec客户端进行VPN连接时,为了增强安全性,可使用扩展身份认证X-Auth进行二次认证,即除了设置VPN认证的共享米要之外,在进行第二次密码验证。这样要完成VPN客户端连接,不仅要获知IPSec没共享密钥,还得需要有XAuth认证用户的用户名和密码,设置参考下列步骤:
在防火墙设置中新建本地用户,如图4.6.5所示
图4.6.5
新建用户组,将刚才新建的用户归入改组,如图4.6.6所示
图4.6.6
在IPSec的阶段1设置中,在高级选项下启用XAuth,设置参考如图4.6.7所示
图4.6.7
进入IPSec客户端设置,在“高级设置”中启用“扩展身份认证(XAuth)”,并勾上“登陆时提示”,如图4.6.8所示
图4.6.8
在IPSec客户端启用VPN连接,会弹出登陆对话框,输入正确的用户名和密钥即可:如图4.6.9所示
图4.6.9
让IPSec客户端获得虚拟IP,并能让内部用户访问客户端:
一般的情况下,IPSec客户端在与防火墙的VPN连接建立后,客户端是没有相应的虚拟IP的,这时客户端能够访问到内部网,但内部网的用户访问不到客户端。若要实现能让内部网用户也能访问到VPN拨入的IPSec客户端,需要在IPSec客户端正确的设置虚拟IP地址。步骤参考如下:
设置IPSec连接时,设置要访问的“远程网络地址”,该地址应在防火墙之后:如图4.6.10
图4.6.10
进行“高级设置”,勾上“获取虚拟IP地址”并进行设置:如图4.6.11
9 图4.6.11
使用“手工设置”,设置一个虚拟IP(推荐使用私网IP地址),该地址即为VPN连接成功后IPSec客户端所获得的虚拟IP,该IP不要与防火墙内部的网段相同:如图4.6.12
图4.6.12
4.7校园网信息管理系统的防护
在安式100防火墙进行策略编辑,施行最小特权原则。编辑ACL(访问控制列表)对一些黑客端口,漏洞端口进行封堵。命令如下所示
Deny icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 135 Deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 136 Deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 137 Deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 445 Deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 d-port 135
第五章 方案可行性分析以及实验数据和结果
5.1 arp双向绑定方案可行性分析
对于arp双向绑定的实际操作数据分析,在绑定之前出现的断网数量和绑定之后出现的断网数量有着明显的不同。双向绑定技术遏制了70%的ARP病毒欺骗,大大改善了校园网内的整体网络质量。在具体实施过程中采取的BAT(批处理文件)方式进行绑定可以更加方便快捷的实施工程。 5.2 关于开启DHCP Snooping功能可行性分析
在接入层开启了DHCP Snooping之后,根据宿管网络报修关于无法获取DHCP或者获取了IP地址但是无法上网的数量显示。DHCP Snooping技术有效的阻止了恶意的DHCP应答报文,从而增强了内部网络的IP地址的管理。 5.3 关于核心交换机之间的链路聚合可行性分析
在实验之前FTP服务器的下载速度最高达到3MS,实验之后可以达到5-6MS。成倍的提升了FTP服务的服务质量,同时也减轻了2个核心交换机之间的负载能力。施行了核心交换机链路聚合技术,大大增加了男生宿舍访问内部网络资源的能力。但是在工程实施的资金方面还有待考虑和改善。 5.4 关于IDSIPS部署的可行性分析
部署了Cisco IDS之前,许多内部网络病毒,网络攻击都无法被核心层交换机过
10 滤和抵挡。在成功部署IDS之后,能及时的预警网络中出现的各种威胁警告。从而保证了局域网内的网络安全和减少了网络中传输的垃圾数据。 5.5 关于使用Radius管理网络设备可行性分析
在之前使用的原始的Telnet方式进行登陆和管理,非常的不安全,入侵者很有可能通过Sniffer软件嗅探出管理员的管理帐号和密码,从而增加网络威胁。在使用Radius服务器验证登陆帐号和密码后,网络中传输的帐号密码得到了Radius服务协议的加密而避免了在传输过程中被截取。大大减少了网络设备的管理风险。 5.6 关于校园网防火墙VPN服务可行性分析
移动办公对于xx校园网的需求并不是非常大,打开VPN服务将会给防火墙带来另外一个负担。从实验得出的数据来看,打开VPN功能的防火墙对于数据包的过滤能力有所下降。
第六章 总结
在快速发展的当今时代,互联网发展相当迅速,网络攻击、网络病毒、网络木马花样繁多。应对这样的威胁,我们应该做好充足的准备,采取明确的计划实施保护和灾难恢复。
xx校园网目前的网络配置和运行的相关策略仍然存在着安全隐患。尤其是对于网络设备管理这快,对于重要的网络设备开启了Web管理、SNMP密钥设置过于简单。非常容易给入侵者有机可乘,一旦网络设备都给攻陷了,校园网内的网络安全将土崩瓦解。对于整个校园网的管理除了硬件方面的管理,还需要针对软件方面进行加强。在对各学生网管应该加强网络安全知识的培训,对各楼层的网络设备应该施行一套完成的检修检查制度。在整个网络管理过程中,施行事前而非事后。并不是等到别人开始投诉的时候才去维护,而是要在投诉之前发现问题解决问题。xx校园网的安全问题,远远不止论文中所提到的。
参考文献:
[1]冯普胜.ARP病毒处理方法[J].内蒙古电力技术,2008(5) [2]鲁海城.打造安全的DNS服务[Z].2008
[3]田野,张智勇,张远平.基于Radius的校园网认证计费系统的设计[J].福建电脑,2008(4)
[4]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008(11)
[5]李雪峰,徐开勇.基于保护主机完整性的入侵防御系统设计与实现[J].计算机安
11 全.2008
致 谢
值此论文付梓之际,特别感谢田宏政老师的帮助。老师渊博的学识,严谨的治学态度和一丝不苟的工作作风使我们终身受益匪浅。从软件的设计到完成,再到论文的构筑直到最后的定稿,都得到了洪老师的精心指导。在老师的指引和帮助下,我们开阔了视野,分析和解决问题等方面的能力有了长足的进步。在此仅衷心地向他致以最诚挚的谢意。我们在研究及学习的过程中,也得到张悟教授,邹延平主任,田宏政老师等的帮助,在此深表谢意。
12