《网络安全技术综合设计 .pdf》由会员分享,可在线阅读,更多相关《网络安全技术综合设计 .pdf(41页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、校园网络设计方案名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 41 页 -摘要随着计算机网络通信技术和Interne 的飞速发展,基于因特网的计算机网上远程教学已经开始成为一种全新的教学手段,并且越来越受到人们的关注。由于网上教学具有时效性、共享性、交互性和个别化等诸多特点,因此它有着传统教学模式无法比拟的优点,它创造了一种全新的教学模式,打破了传统教学模式在时间、空间上的限制,采用了先进的教学手段和教学方法,可以大大提高教学效率和教学效果,使教学活动上了一个新台阶。蓬勃兴起的网上教育以其全新的高科技教学手段为解决我国当前资源严重短缺而教育需求日益扩大的矛盾提供了一种投资少、见
2、效快、优质高效的解决方案,它必将成为我国未来教育发展的重要方向。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 41 页 -目录摘要.2目录.3一校园网需求分析与安全评估.41.1 用户需求分析 .4 1.2 其他方面的需求分析.4 1.3 校园网安全评估.5 二校园网设计方案与分析.72.1 网络技术的选择.7 2.2 网络产品选型 .8 2.2.1 核心层 .8 2.2.2 汇聚层 .9 2.2.3 接入层 .11 2.3 网络设备清单 .13 三校园网方案的实施.133.1 系统的组成 .13 3.2 网络地址的划分.14 3.3 校园网络的安全.15 3.3.1IP 冲突
3、解决办法.15 3.3.2ARP 欺骗解决办法.19 四主要服务器和设备配置过程.214.1 配置 VPN 服务器 .21 4.2 基于 Linux 的 DNS 配置.37 4.2.1DHCP 配置文件/etc/dhcpd.conf.37 4.2.2 全局配置 .38 4.2.3 子网配置 .38 4.2.4 网卡与 IP 绑定.38 4.2.5 租期数据库 .39 五数据的备份与保密.39六设计总结.40名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 41 页 -一校园网需求分析与安全评估1.1 用户需求分析任何一个网络最首先要满足在这网络中的每个用户,所以确定这些用户对这网络
4、的真正需求。其次要结合未来,要以长远的目标来选择、设计合适的网络结构和网络技术。提高网络性能,提供用户满意的高质服务。现今快速发展的社会,网络在日常的办公中起着重要的作用,校园网的运作模式会带来大量动态的www 应用数据传输,会有相当一部分应用的主服务器有高速接入网络的需求。这就要求网络有足够的主干带宽和扩展能力。同时,一些新的应用类型,如网络教学、视频直播/广播等,也对网络提出了支持多点广播和宽带高速接入的要求。而且还要注意到由于逻辑上业务网和管理网必须分开,所以建成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教学办公环境的调整和变化。中心机房到汇聚层节点采用千兆多模光
5、纤连接,汇聚层到接入层采用百兆的超五类线连接。通常考虑,建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入,以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA 应用和 Internet 访问等于一体的高可靠、高性能的宽带多媒体校园网。1.2 其他方面的需求分析根据华软软件学院的网络结构,本校园需求还有以下五个方面:教学楼、综合楼(即现在的教师办公楼,包括白宫)、宿舍区、图书馆、网络中心。教学楼:主要为实验楼和多媒体教室,将计算机多媒体引入课堂教学可以大大的提高名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 41
6、页 -教学效果。综合楼:有了办公自动化能更大的帮助教师的办公,文档管理,信息的保存。图书馆:实现多媒体图书馆,让同学可以更加自由的上网查询资源,学习。宿舍区:学校分有 2 个大宿舍区,女生宿舍区和男生宿舍区。给同学们提供上网,为同学平时的生活增添更多的色彩。网络中心:这里也算是学校的中心机房,管理整个学校的网络,由拓扑图也可以看出此处到汇聚层节点采用了千兆多模光钎连接。1.3 校园网安全评估校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。网络系统的安全性取决于网络系统最薄弱的环
7、节,任何疏忽的地方都可能成为黑客攻击点,导致网络系统受到很大的威胁。最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞,保证网络系统的安全性。网络系统风险分析的方式:问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、抗攻击测试和综合审计报告。其中最主要的就是利用漏洞扫描软件对网络系统进行扫描分析。例如,我们在日常评估中,对IIS的 Web 服务器,使用微软的MBSA(Microsoft Baseline Security Analyzer,微软基准安全分析器)评估漏洞和弱点。评估分析功能主要包括:弱点漏洞检测、运行服务检
8、测、用户信息检测、口令安全性检测和文件系统安全性检测等。网络安全评估要做好以下三方面的工作。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 41 页 -(1)做好万一遭安全性入侵的准备。评估系统安全性的一项重要元素,就是紧急事件应变措施。网络管理者应制定一份紧急事件应变措施,以防在事件发生时,安全性系统却未发生效用的状况发生;同时必须确认所有网络管理人员充分了解这份紧急事件应变措施内容。紧急事件应变措施应说明当紧急事件发生时,应报告给谁知道,谁负责回应,谁做决策;而在准备计划时应包括情境模拟。此外,当网络环境或威胁有所改变时,也应立即检视计划,决定是否需要修正。(2)测试弱点。测
9、试系统整体的频率,应是整个评估安全性方案的一部分。在监督阶段中,安全性系统会定期扫描某些重要信息系统。这些扫瞄结果的记录也就可以用来比对侦测入侵结果及判断信息是否被窜改。此过程可以用来深入分析网络安全的优势与弱势各是什么,根据其结果,或许必须修改政策或方案。(3)评估与再评估。即使网络的安全性基础建设在某一个阶段被评定为非常优良的,但也不能认为下一个阶段仍是安全的。正常的情况是,在一段时间后仍然必须再做一次评估。网络上的威胁,如黑客和病毒,只会随着互联网的逐渐发展成为网络安全的首要问题,而更加复杂。长期而言,有效的安全性方案必须要持续不断地评估网络安全性。网络安全性分析系统是以一个网络安全性评
10、估分析软件为基础,通过实践性的扫描分析网络系统,检查报告系统存在的弱点和漏洞,提出安全建议补救措施和策略。这样我们能让建成后的校园网能充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息,实现资源共享,能够为在此校区学习的学生提供丰富的多媒体教学手段,实现高质高效的教学目标。因此,我们认为,校园网网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的,具备多媒体综合业务发展需求的园区网络。系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。本着为学校校区着想,合理使用建设资金,名师资料
11、总结-精品资料欢迎下载-名师精心整理-第 6 页,共 41 页 -使系统经济可行。二校园网设计方案与分析2.1 网络技术的选择在校园网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择校园网网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资。根据我对校园网网络需求的分析并结合目前高速主干网络技术的特点,决定采用千兆以太网技术做为校园网的主干网络。具体网络拓扑图如下:名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 41 页 -2.2 网络产品选型校区网络建设应该以应用为核心,在设
12、计中充分考虑到教育管理和多媒体教学的要求,并且网络技术上应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。因此在选择设备一定要满足以下条件:稳定可靠的网络、高带宽、易扩展的网络、QoS的保证、安全性、易于管理控制和符合IP 的发展趋势网络。2.2.1 核心层核心层为下两层提供优化的数据输运功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。它是校园网络的核心,应当采用有多层交换功能的交换机。核心交换机应采用模块化设计,有良好的扩展性能、多种接入模块;具备增强的网络传输能力,支持 VLAN、RIP和 O
13、SPF 协议、服务质量(QOS)、IP 组播、DHCP 中继和 AAA 认证等功能;支持通用的管理特性(SNMP),能使用流行的网管软件对它进行管理,如HP OpenView等。所以核心层交换机采用DCRS-7504,以下为它的参数:神州数码DCRS-7504 参数主要参数交换机类型路由交换机传输速率10Mbps/100Mbps/1000Mbps 网络标准IEEE 802.3,802.3u,802.3z,802.3x 端口数量56 口 10/100Base-TX,1000Base-TX/FX 传输模式全双工/半双工自适应名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 41 页 -
14、配置形式可堆叠交换方式存储-转发背板带宽128 电源电压额定电压(V):90-250 产品尺寸(mm)381(长)*445(宽)*222(高)产品重量(Kg)30 其他技术参数包转发率:96Mpps MAC地址表:16K 其它特点SNMP,CLI,WEB,TELNET,RMON,管理DCRS-7504 2.2.2 汇聚层汇聚层连接核心和接入层,应当采用带VLAN和网管功能的中低档交换机。汇聚层交名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 41 页 -换机具有快速的级联核心的以太端口以及高速堆叠模块;带VLAN子网划分功能,能很好的管理接入层用户;支持IEEE802.1Q、VT
15、P、SNMP 等协议所以汇聚层交换机采用RG-S5750-24GT/12SFP,以下为它的参数:锐捷网络RG-S5750-24GT/12SFP参数主要参数交换机类型智能交换机传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ae、IEEE802.3ak、IEEE802.3ad、IEEE802.3af、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s端口数量24传
16、输模式支持全双工交换方式存储-转发背板带宽240GbpsVLAN 支持支持模块化插槽数2电源电压AC 176264V,48Hz60Hz环境标准工作温度:0-45、存储温度:-40-70、工作湿度:10%-90%RH、存储湿度:5%-90%RH产品尺寸(mm)440 435 44名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 41 页 -RG-S5750-24GT/12SFP2.2.3 接入层接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整,如 Access-list Filtering等。在广域网环境中,接入层主要提供通过Frame Relay、
17、ISDN、Leased Line连入远程节点。所以接入层交换机采用STAR-S2150G,以下为它的参数:锐捷网络STAR-S2150G 参数主要参数交换机类型千兆以太网交换机传输速率10Mbps/100Mbps/1000Mbps 网络标准IEEE 802.3,802.3u,802.3z,802.3x,802.3ab,802.1p 名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 41 页 -端口数量48 接口介质10/100Base-TX/FX,1000Base-TX/SX 传输模式全双工/半双工自适应配置形式可堆叠交换方式存储-转发背板带宽18.5Gbps VLAN 支持支持
18、MAC 地址表8k 模块化插槽数2 产品尺寸(mm)44030044STAR-S2150G 名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页,共 41 页 -2.3 网络设备清单设备名数量价钱(单位:元/RMB)描述核心层交换机 DCRS-75042 300000*2=600000 网络中心一台,行政楼一台汇聚层交换机RG-S5750-24GT/12SFP20 70000*20=1400000 每栋宿舍一台接入层交换机STAR-S2150G大约 150 3000*150=450000 每个楼层一台ES4000防火墙1 949000 学校的防火墙安氏 100 1 7800 软件研究所的
19、防火墙总计3406800 三校园网方案的实施3.1 系统的组成校园网的建设主要是为了教学应用,而多媒体辅助教学和多媒体教室是教学应用的核心,在网络建设时应考虑多媒体信息的特点,如信息量大,对时间延迟敏感等;在校园网中常会出现几十个学生执行相同操作的现象,所以要考虑并发信息的控制;学生利用网络做作业,教师要在家拨号访问学校网络,学籍管理信息在网上传输,所以也要考虑网络的安全性,防止黑客破坏网络,学生抄袭作业;校园网又是面向不同知识层次的教师、学生和办公人员的工具,它帮助我们更好地提高教学水平、办公效率和学习兴趣,所以应用和管理应简便易行,界面友好,不宜太专业化。考虑到华软学院的具体情况如性质、规
20、模、财务等,提出以下校园网解决方案:方案特点如下:(1)支持多媒体应用,包括多媒体教室、电子阅览室、多媒体教学;(2)高性能,全交换,满足用户需求;名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 41 页 -(3)管理简单,浏览器方式无需专门培训;(4)系统安全,保密性高;(5)ADSL 连接方式,按需建立连接降低链路费用。(6)互联网接入,安全的广域网访问。由上章设备清单可以看出,我们的网络设备主要是由以下组成:神州数码DCRS-7504交换机2 台锐捷RG-S5750-24GT/12SFP 20台锐捷STAR-S2150G 150台各种服务器(VOD,邮件,web,DNS
21、等等)3.2 网络地址的划分园区网分配IP 地址方案,一个有效的IP 地址规划或IP 地址方案就是在地址资源的效率性和管理的方便性之间找到最佳的平衡点。按行政隶属划分是指按信息节点的行政隶属关系将用户按校园各部门进行IP 地址分配规划。由于各部门之间在地域位置上并不一定集中,但需要统一管理,因此我们建议采用行政隶属的方式划分IP 地址段。按楼宇规划在传统的网络平台上很难实现。主要是因为传统的网络平台局限于设备的地理位置,无法跨地域进行灵活规划。但现今的网络平台都支持虚拟网络 VLAN 技术。该技术避开了物理位置的缺陷,可以在逻辑上灵活组网。因此,IP 网段规划可以与VLAN 的划分相一致。规划
22、每个网段中的信息点数时,既要考虑到当前IP 地址资源的充分利用性,又要预留出适当的扩展余地,因此如果采用私网地址分配IP,我们都采用172.16.0.0 255.255.0.0的网络,根据具体的情况再分为具体的子网。从经验角度,通常一个IP 网段也是一个独立的VLAN,也就是一个独立的广播域。一个网段内的信息节点数在40-200 个时,性能和地址资源的名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页,共 41 页 -最佳利用性较理想,并且将来可扩充到254 个。宽带接入用户接入宽带IP 网的方式可以有多种形式:首先,用户利用固定IP 地址接入,则无需其它的认证过程,只需将用户所连的交
23、换机端口划入某一特点VLAN 即可;其次用户通过PPP 方式接入,即虚拟拨号方式,则需要一个专用的PPP 终结设备终结PPP 进程,通过对PPP 进程的认证,可以确认用户身份;用户还可以利用DHCP 获得 IP 地址。另外交换机可以实现专用VLAN 技术,可以通过配置选择实现在同一VLAN内用户是否可以互通,进行数据交换。例如就拿宿舍来说吧,一个楼层就分配一个C 类网段:红棉楼 5 楼 IP 段 172.16.146.0172.16.146.253,红棉楼 6楼 IP 段 172.16.147.0172.16.147.253。3.3 校园网络的安全校园网络的承担着整个学校所有学生与老师的通讯,
24、在学校这个网络中同样存在各种安全问题,现今内网中存在最多的问题主要有以下几种:*IP 地址的管理问题,包括IP 地址非法使用、IP 地址冲突和 IP 地址欺骗*利用 ARP 欺骗获取账号、密码、信息,甚至恶意篡改信息内容、嫁祸他人问题3.3.1IP 冲突解决办法我们知道,对于在 Internet 和 Intranet 网络上,使用 TCP/IP 协议时每台主机必须具有独立的 IP 地址,有了 IP 地址的主机才能与网络上的其它主机进行通讯。随着网络应用大力推广,网络客户急剧膨胀,由于静态IP 地址分配,IP 地址冲突的麻烦相继而来。IP 地址冲突造成了很坏的影响,首先,网络客户不能正常工作,只
25、要网络上存在冲突的机器,只要电源打开,在客户机上都会频繁出现地址冲突的提示:“如果网络上某项应用的安全策略(诸如名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页,共 41 页 -访问权限,存取控制等)是基于 IP 地址进行的,这种非法的IP 用户会对应用系统的安全造成了严重威胁。出现问题有时并不能及时发现,只有在相互冲突的网络客户同时都在开机状态时才能显露出问题,所以具有相当的隐蔽性。分析原因有如下几种情况可以造成IP 地址冲突。1、很多用户对TCP/IP 并不了解,不知道“IP 地址”、“子网掩码”、“默认网关”等参数如何设置,有时用户不是从管理员处得到的上述参数的信息,或者是用户
26、无意修改了这些信息;2、管理员或用户根据管理员提供的上述参数进行设置时,由于失误造成参数输错;3、在客户机维修调试时,维修人员使用临时IP 地址应用造成;4、有人窃用他人的IP 地址。接到冲突报告后,我们首先确定冲突发生的VLAN。通过 IP 规划的 vlan 定义,和冲突的 IP 地址,找到冲突地址所在的网段。这对成功地找到网卡MAC 地址很关键,因为有些网络命令不能跨网段存取。首先将客户机与网络隔离,让非法的IP 地址的微机在网上运行,网管员便可以设法找到它了。应用网络测试命令有ping 命令和 arp 命令。使用 ping 命令,假设冲突的IP 地址为 172.16.147.221,在
27、msdos 窗口,命令格式如下,其中斜体部分是命令结果。ping 172.16.147.221 Request timed out Reply from172.16.147.221:bytes=32 time1ms TTL=128 略我们之所以要ping 这台机器,是出于两个目的,首先我们要知道我们要找的机器确实在网络上,其次,我们要知道这台机器的网卡的MAC 地址,那么我们如何知道它的MAC地址哪?这就需要使用第二个命令arp:arp 命令只能在某一个VLAN 中使用有效,它是低层协议,并不能跨路由。名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页,共 41 页 -arp-a In
28、terface:.on Inerface.Internet Address/Physical Address/Type 172.16.147.221/00-00-21-34-63-56/dynamic 以下略以 上 列 表 表 示 出 冲 突IP地 址172.16.147.221 处 网 卡 的MAC地 址 为00-00-21-34-63-56。接下来我们要找的是MAC 地址为 00-00-21-34-63-56的网卡的具体物理位置。网络简介中已经说明,每台客户机的网卡直接连接到第二级交换机上,接下来面对大量的以太网交换机,我们要查找是冲突MAC 所对应交换机端口。本网络中与客户连接的设备是
29、Bay 的 303/304,本文以 303 为例,描述如何查找某一个MAC 地址所在的端口位置。Bay303 的网管有多种方式,下面仅以Web 浏览器方式描述查找非法MAC 的方法。在查找之前,首先要确定VLAN 内的交换机位置,查出这些交换机的IP 地址,使用交换机地址可以访问该交换机的网管信息。*在网管员的机器上启动浏览器*键入交换机的IP 地址*提示登陆信息后输入用户名和密码*进入“MAC Address Table”选项显示表格如下:Index/MAC address/Learned on Port/Learning Method/Filter Packets to this Addr
30、ess 1 00:00:21:34:63:56 13 Dynamic No 2 00:00:81:65:c3:a0 N/A Static No 3 00:00:a2:f7:c3:e4 25 Dynamic No 4 00:00:21:34:63:56 2 Dynamic No 以下略。名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页,共 41 页 -此时你可以看到索引的第4 项,它正是我们要查找的MAC 地址,它的端口号为2。根据综合布线资料,可以查找出相应的信息点的物理位置,从而定位到所连接的微机位置。当然,在此是针对特有的交换机所举的例子,在实际工作中我们要查找很多台交换机,才能
31、找到我们要找的MAC 地址,当 VLAN 中存在大量的交换机时,我们需要在这些交换机中逐个去查找,直到找到为止,这是一个相当烦琐的事情。对于某一交换机的端口中存在下联交换机的情况,因为交换机支持多个MAC 地址,会在上级的MAC 表中有下级MAC 的记载,所以首先查找上级交换机MAC 表,确定较具体位置后再去查找下一级交换机,这样会大幅度地缩减查找范围。对于局域网来讲此类IP 地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须深思加以解决。目前有两种方案,一是使用动态IP 地址分配(DHCP),另一种方案是使用静态地址分配,但必须加强MAC 地址的管理。用动态IP 地
32、址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但是,因为IP 地址是动态分配的,网管员不能从 IP 地址上鉴定客户的身份,相应的IP 层管理将失去作用。而且使用动态IP 地址分配需要设置额外DHCP 服务器。使用静态IP 地址分配可以对各部门进行合理的IP 地址规划,能够在第三层上方便地跟踪管理,如果我们通过加强对MAC 地址的管理,同样也会有效地解决这一问题。在网络用户连网的同时,建立IP 地址和 MAC 地址的信息档案,自始至终地对局域网客户执行严格的管、登记制度,将每个用户的IP 地址、MAC 地址、上联端口、
33、物理位置和用户身份等信息记录在网络管理员的数据库中。试想,在我们上述的案例中,如果知道了非法用户的MAC 地址后,我们可以从管理员数据库中进行查寻,如果我们对MAC 地址记录全面,我们便可以立即找到具体的使用人的信息,这会节省我们大量宝贵时间,避免大海捞针的烦恼。同时我们对于某些应用应避免名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页,共 41 页 -使用 IP 地址来进行权限限制,如果我们从MAC 地址上进行限制相对来说要安全的多,这样可以有效地防止有人窃取IP 地址的侥幸行为。3.3.2ARP 欺骗解决办法首先,ARP 的意思是 Address Resolution Proto
34、col(地址解析协议),它是一个位于TCP/IP 协议栈中的低层协议,负责将某个IP 地址解析成对应的MAC 地址。从影响网络连接通畅的方式来看,ARP 欺骗分为二种,一种是对路由器ARP 表的欺骗;另一种是对内网PC 的网关欺骗。第一种 ARP 欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC 地址,造成正常PC 无法收到信息。第二种 ARP 欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC 看来,
35、就是上不了网了,“网络掉线了”。ARP 欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。而本次我的网站服务器所在的托管机房同一局域网中的某台服务器即被感染了ARP欺骗木马,所以就影响了整个机房的其他服务器,于是服务器中成千上万的虚拟主机网站就全部遭殃了,木马种植者站点访问量也是猛增,这还是小事,该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取 QQ 密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便和巨大的经济损失。名师资料总结
36、-精品资料欢迎下载-名师精心整理-第 19 页,共 41 页 -如何检查本机是否中了ARP 欺骗木马病毒?“CTRL”+“ALT”+“DELETE”键打开“Windows任务管理器”窗口,查看有没有“MIR0.dat”的进程,如果有,表示中毒了,需要立即“结束该进程”。如何检查局域网内感染ARP 欺骗木马病毒的计算机?“开始”菜单“运行”“cmd”打开 MSDOS 窗口,输入“ipconfig”获得“Default Gateway”默认网关。继续执行命令“arp-a”,查看默认网关IP 对应的“Physical Address”值,在网络正常时这就是网关的正确物理地址,在网络受“ARP 欺骗”
37、木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部IP 地址,然后再查 ARP 表。如果有一个IP 对应的物理地址与网关的相同,那么这个IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。如何防范计算机遭受ARP 欺骗?1、不要把你的网络安全信任关系建立在ip 基础上或 mac 基础上,(rarp 同样存在欺骗的问题),理想的关系应该建立在ip+mac 基础上。2、设置静态的mac-ip 对应表,不要让主机刷新你设定好的转换表。3、除非很有必要,否则停止使用ARP,将 ARP 做为永久条目保存在对应表中。4、使用 ARP 服务器。通过该服务器查找自己的
38、ARP 转换表来响应其他机器的ARP 广播。确保这台 ARP 服务器不被黑。5、使用 proxy 代理 ip 的传输。6、使用硬件屏蔽主机。设置好你的路由,确保ip 地址能到达合法的路径。(静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止ARP 欺骗。7、管理员定期用响应的ip 包中获得一个rarp 请求,然后检查ARP 响应的真实性。名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页,共 41 页 -8、管理员定期轮询,检查主机上的ARP 缓存。9、使用防火墙连续监控网络。注意有使用SNMP 的情况下,ARP 的欺骗有可能导致陷阱包丢失。四主要服务器和设备配置过程4.1
39、 配置 VPN 服务器因为条件限制,所以只能用虚拟机来测试1、首先为虚拟机配置双网卡;(1)打开虚拟机 Windows Server 2003(但不要启动!)名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页,共 41 页 -名师资料总结-精品资料欢迎下载-名师精心整理-第 22 页,共 41 页 -此时虚拟机的双网卡已添加,单击“start this virtual machine”启动虚拟机;(2)将虚拟机两个网络连接设置成实验要求的网段,一个为172.16.39.0/24,一个为192.168.126.0/24;(3)真机的 IP 配置成 172.16.39.0/24;2、在虚拟
40、机上安装和配置VPN 服务器;(1)打开本地机的“控制面板”中的“管理工具”,单击“路由与远程访问”,打开“路由与远程访问”窗口。右击窗口左侧的本地服务器,选择“配置并启用路由选择选项”,可以看到“路由和远程访问服务器安装向导”对话框;名师资料总结-精品资料欢迎下载-名师精心整理-第 23 页,共 41 页 -(2)单击“下一步”按钮,在向导中选择“远程访问(拨号或VPN)”;名师资料总结-精品资料欢迎下载-名师精心整理-第 24 页,共 41 页 -(3)单击下一步,显示“VPN 连接”窗口。此窗口要求为VPN 服务器选择一个连接到外网的网络接口。在这里我们选择“本地连接”做为连接到Inte
41、rnet 的网络接口;名师资料总结-精品资料欢迎下载-名师精心整理-第 25 页,共 41 页 -(4)单击“下一步”,进入“IP 地址指定”,如果没有或不想利用DHCP 服务器为远程客户自动分配 IP 地址,可选中“来自一个指定的地址范围”;(5)单击“下一步”按钮,打开“地址范围指定”对话框,并单击“新建”按钮,打开“新名师资料总结-精品资料欢迎下载-名师精心整理-第 26 页,共 41 页 -建地址范围”对话框,输入要分配给VPN 客户的 IP 地址范围;(6)单击“确定”按钮,IP 地址范围已成功添加;名师资料总结-精品资料欢迎下载-名师精心整理-第 27 页,共 41 页 -(7)单
42、击“下一步”按钮,进入“管理多个远程访问服务器”界面。如果有多个远程访问服务器,而且账号非常多的话,可以使用RADIUS 服务器,不过一般情况下,可以选择“否,使用路由和远程访问来对连接请求进行身份验证(O)”;(8)单击“下一步”,弹出配置成功完成界面。在此界面的“摘要”内容里可以看到刚刚所设置的内容;名师资料总结-精品资料欢迎下载-名师精心整理-第 28 页,共 41 页 -(9)单击“完成”和“确定”按钮,显示“正在启动路由和远程访问”窗口后,将出现“路由和远程访问”窗口。名师资料总结-精品资料欢迎下载-名师精心整理-第 29 页,共 41 页 -3、在 VPN 服务器上设置远程登录用户
43、;(1)打开“计算机管理”,右击“本地用户和组”中的“用户”,选择“新用户”;(2)新建用户“wsj”,设置相应的密码;名师资料总结-精品资料欢迎下载-名师精心整理-第 30 页,共 41 页 -(3)然后选中已新建的“wsj”用户,右击选择“属性”。选择“拨入”选项卡,修改“远程访问权限”为“允许访问”,点“确定”完成;至此,VPN 服务器端配置完成。4、真机 VPN 客户端的安装和配置;名师资料总结-精品资料欢迎下载-名师精心整理-第 31 页,共 41 页 -(1)将 TCP/IP 属性已设为手动,数值同自动获取的值;(2)右击网上邻居,选择“属性”,打开“网络连接”窗口。在窗口中单击右
44、键,选择“新建连接”。进入到“新建连接向导”界面。选中“连接到我的工作场所的网络”网络连接类型;(3)在网络连接中选中“虚拟专用网络连接”;(4)连接名处输入“华软”或其它也可;名师资料总结-精品资料欢迎下载-名师精心整理-第 32 页,共 41 页 -(5)单击“下一步”按钮,因为VPN 网络要求的前提是客户机已经连通网络,所以在这里只要填入VPN 服务器连接外部网络的地址(可以是域名也可以是IP 地址)即可。此处输入“172.16.39.12”;名师资料总结-精品资料欢迎下载-名师精心整理-第 33 页,共 41 页 -(6)单击“下一步”,弹出“可用连接”对话框,设置该VPN 连接是否为
45、任何用户使用,选中“只是我自己使用”;(7)单击“下一步”,新建的虚拟专用网的客户端创建完成;名师资料总结-精品资料欢迎下载-名师精心整理-第 34 页,共 41 页 -6、结果验证;连接创建的虚拟专用网;(1)可以通过右击“网络连接”窗口的虚拟专用网图标,也可以通过或右击桌面上虚拟专用网的快捷方式,选择“连接”,打开“连接华软”窗口。输入刚刚在VPN 服务器填加的用户名“wsj”和密码,单击“连接”;(2)服务器账号及服务设置都正确的话,就可以看到提示框显示“正在网络上注册你的计算机”。稍候显示连接完成;名师资料总结-精品资料欢迎下载-名师精心整理-第 35 页,共 41 页 -(3)连接完
46、成后,虚拟专用网的连接状态在网络连接窗口及任务栏处显示,并成功获取 VPN 服务器指定IP 范围内的 IP 地址。(4)再 VPNClient 运行 cmd,输入 ipconfig/all可以看到其PPP adapter 连接已获取VPN 服务器中的192.168.126.11的地址;名师资料总结-精品资料欢迎下载-名师精心整理-第 36 页,共 41 页 -(5)启动虚拟机和真机里“服务”Messager;此时,VPN Client 向虚拟机发信息“net send*hello”虚拟机可以收到。实验成功。(6)观察 VPN Server 的“路由和远程访问”窗口中的“远程客户端”选项,将显示
47、VPN Client 连接的有关信息。验证结束。4.2 基于 Linux 的 DNS 配置4.2.1DHCP 配置文件/etc/dhcpd.conf 配置文件中有两类陈述:a.参数表明如何执行任务,是否要执行任务或将哪些网络配置选项发送给客户。b.声明描述网络的布局,描述客户,提供客户的地址或把一组参数应用到一组声明中。某些参数必须以option 关键字开头,它们也被称为选项。选项配置 DHCP 的 可选选项;而参数配置的是必选的或控制DHCP 服务器行为的值。在使用大括号()的部分之前声明的参数(包括选项)通常被当做全局参数。全局参数应用位于其下的所有部分。名师资料总结-精品资料欢迎下载-名
48、师精心整理-第 37 页,共 41 页 -DHCP 配置文件/etc/dhcpd.conf 4.2.2 全局配置ddns-update-style interim;ignore client-updates;not authoritative;4.2.3 子网配置subnet 192.168.2.0 netmask 255.255.255.0 range dynamic-bootp 192.168.2.2 192.168.2.253;option routers 192.168.2.1;option subnet-mask 255.255.255.0;option domain-name ;o
49、ption domain-name-servers 172.16.100.40,202.96.128.68;option time-offset-180000;#Eastern Standard Time default-lease-time 416000;max-lease-time 632000;4.2.4 网卡与 IP 绑定host elserver hardware ethernet 00:11:11:95:F2:17;fixed-address 192.168.3.236;example subnet 192.168.0.0 netmask 255.255.255.0 range d
50、ynamic-bootp 192.168.0.50 192.168.0.80;range dynamic-bootp 192.168.0.120 192.168.0.170;option routers 192.168.0.1;option subnet-mask 255.255.255.0;option domain-name ;option domain-name-servers 172.16.100.40,202.96.128.68;option time-offset-180000;#Eastern Standard Time default-lease-time 10800;max-