原網路狀況描述
本地isp採用dhcp動態給所有使用者分配合法的公網位址,所以,造成我們的計算機獲取的都是合法公網位址,直接暴露在公網之上;而且每次啟動ip位址都會變,即使緊挨著的兩台計算機,共享印表機和資料也很困難;a作為www伺服器,b儲存各種資料;使用者的應用水平、計算機安全意識和自我防護能力嚴重不足。防毒軟體不會公升級,甚至有的使用者還嫌個人防火牆礙事,自行關掉甚至解除安裝,結果造成計算機不斷的被病毒感染,不斷被黑客攻擊,給網管人員帶來了巨大的工作負擔。事故、故障的頻出,很大的影響了辦公,網路得不到充分的利用。
網管人員每天都在忙著防毒,打補丁,抓木馬,重灌系統,就像乙個消防隊員。還得負責單位**開發、維護,工作量可想而知。網路改造勢在必行了。經過一番調查,學習,反覆驗證,制定了以下方案。新規劃的網路拓撲圖如圖2所示:
圖2 改造後的網路拓撲圖
這次的重點是啟用了一台cisco2620路由器,並做如下設定(命令清單見後):
a) nat轉換,隱藏區域網內部計算機的ip位址,這樣解決了客戶機直接暴露在公網上的問題;同時也把所有的客戶機放到了乙個網段內,便於網路管理,便於印表機和資料共享;
b) acl(訪問控制列表)過濾。對流經的資料報進行過濾,把已知不安全的位址段、埠遮蔽;
c) 位址繫結。防止使用者盜用ip位址,造成位址衝突,避免被入侵者利用;
d) 還有控制對路由器的telnet訪問一些輔助安全設定,詳見命令清單。
伺服器方面
a) 每台伺服器仍然有介面直接接入公網,這樣可以保證訪問速度;
b) 由於天網防火牆似乎對伺服器雙至強處理器相容性不好,頻繁出錯,於是決定伺服器使用windows2003自帶的防火牆進行保護,只開啟需要的埠,其餘關閉;
c) a伺服器仍提供www服務,b伺服器安裝ftp服務用於滿足大量的資料交換;
ip位址每個辦公室分配5個,保留20個給網路中心,保留50個機動使用。
路由器命令清單
nat設定命令
! 定義位址池和訪問列表、設定nat轉換
router(config)# ip nat pool jyj 192.168.1.1 192.168.1.255 255.255.255.0
router(config)# access-list 99 pemit 192.168.1.0 0.0.0.255
router(config)# ip nat inside source list 99 pool jyj overload
!定義靜態對映,特定的伺服器需要
router(config)# ip nat inside source static 192.168.1.192 111.222.111.222
! 進入內部埠配置模式,指定nat內部埠
router(config)# int f0/0
router(config-line)# ip nat inside
!進入外部埠配置模式,指定nat外部埠
router(config)# int e1/0
router(config-line)# ip nat outside
(說明: 本部分命令為網上參考.需注意採用正確的工作模式,一般為以下三種模式的一種:
* 特權模式
* 全域性配置模式
* 區域性配置模式)
nat設定命令說明
復用動態位址轉換首先是一種動態位址轉換,它可以允許多個內部位址共用乙個內部合法位址。只申請到少量ip位址但卻經常同時有多於合法位址個數的使用者上外部網路的情況,這種轉換極為有用。
配置步驟:
1. 在全域性設定模式下,定義內部合法位址池
ip nat pool 位址池名字 起始ip位址 終止ip位址 子網掩碼
注:其中位址池名字可以任意設定。
2. 在全域性設定模式下,定義乙個標準access-list規則以允許哪些內部位址可以進行動態位址轉換。
access-list 標號 permit 源位址 萬用字元
注:其中標號為1-99之間的整數。
3. 在全域性設定模式下,設定在內部的本地位址與內部合法ip位址間建立復用動態位址轉換。
ip nat inside source list 訪問列表標號 pool 內部合法位址池名字 overload
4. 在埠設定狀態下,指定與內部網路相連的內部埠
ip nat inside
5. 在埠設定狀態下,指定與外部網路相連的外部埠
ip nat outside
telnet 設定
!指定telnet登入口令
router(config)# line vty 0 4
router(config-line)# login
router(config-line)# password jyj
!指定line vty 0 4 埠 ip過濾表,只允許內網telnet登入
router(config-line)# ip access-class 99 in
!指定enable口令,必需設定,否則telnet無法使用enable模式
router(config)#enable password jyj
ip位址繫結
router(config)# arp 192.168.1.* ***x.***x.***x arpa
router(config)# no arp 192.168.1.* ***x.***x.***x
router(config) #arp 192.168.1.* 0000.0000.0000 arpa
1將不用的位址繫結為不存在的mac位址,防止被盜用
(注: 命令列中的「*」為具體位址。)
acl設定命令列表
! 用於控制icmp掃瞄
router(config) # access-list 101 deny icmp any any echo
! 控制外網使用保留位址訪問,防止位址欺騙攻擊,共有以下位址段需要控制
!192.168.0.0,掩碼255.255.0.0
router(config) # access-list 101 deny ip 192.168.0.0 0.0.255.255 any
!172.16.0.0(255.255.0.0),10.0.0.0(255.0.0.0),127.0.0.0(255.0.0.0),169.254.0.0(255.255.0.0),
!192.0.2.0(0.0.0.255),224.0.0.0(15.255.255.255)20.20.20.0(255.255.255.0),204.152.64.0(0.0.2.255),
!0.0.0.0(0.255.255.255)
! 用於關閉的埠列表(為了保險起見,tcp和udp都關閉相應埠) :
router(config) # access-list 101 deny tcp any any eq 69
!134 135 136 137 138 445 139 443 593 4444 1434
!允許其它的通訊
router(config) # access-list 101 permit ip any any
!將訪問列表載入到外部埠e0/0
router(config)#int e0/0
router(config-if)#ip access-group 101 in
改造總結
網路改造完成後,至今沒有發生大面積病毒傳染造成網路執行不暢,也沒有發現黑客入侵現象。網路一下子清靜了許多。
1. 架設isa防火牆。作為網路接入的冗餘措施,更能對資料流進行精細的檢查、控制,比如:
a) 對外,更有效的防止各種各樣的攻擊,入侵檢測;
b) 對內,可以進行bt控制,qq控制,網路遊戲的控制。
c) 惡意外掛程式,惡意**。
2. 網路版防毒軟體、個人防火牆的安裝,例如:symantec client security。這樣可以避免使用者自行關閉防毒軟體或者防火牆軟體,在網路安全上產生漏洞。
其實路由器的功能還很強大,比如ssl的驗證,vpn的實施,大家可以充分挖掘cisco裝置的潛力。
關於網路規模與資金投入的思考
網路安全問題是要解決的,但是應該怎樣看待這個問題呢?置之不理是斷然不行的,但是為此大量的投入也是需要慎重考慮的,筆者就曾經見過一些中小學建網,買裝置非cisco,華為,symantec等名牌不用,非專業防火牆不用,但是作為乙個規模一般的校園網在裝置上投入如此之大,確實有些浪費,不如把這些資金用到網路管理人員、教師的培訓上,做到以人為本,充分激發工作人員的勞動積極性,才能讓網路在有限的條件下,保證最大的安全性。
網路安全問題解答
tcp協議存在哪些典型的安全漏洞?如何應對這些漏洞?tcp使用三次握手機制來建立一條連線,握手的第一哥報文為syn包 第二個報文為syn ack包,標明它應答的第乙個syn包同時繼續握手的過程 第三個報文僅僅是乙個應答,表示為ack包。若a方為連線方,b方為響應方,期間可能的威脅有 1.攻擊者監聽b...
執行緒安全問題解決方案
實現賣票案例出現了執行緒安全問題,賣出了不存在和重複的票 解決執行緒安全的第一種方法 使用同步 塊 格式 synchronized 鎖物件 注意 1.同步 塊中的鎖物件,可以使用任意物件 2.但是必須保證多個執行緒使用的鎖物件是同乙個 3.鎖物件作用 把同步 塊鎖住,只讓乙個執行緒在同步 塊中執行 ...
AppScan安全問題解決方案
一 環境準備 三 高危常見問題解決方案 1.sql盲注 主要就是通過注入sql的關鍵字,來破壞原有的查詢,導致頁面報錯 a.看看幾種常見的盲注方式 b.解決方案 思路 sql注入與sql盲注實際的攻入方式不同,但是解決思路都是通過過濾特殊字元,只是過濾的字元稍有差異。實際解決 從以上幾種注入可以看出...