校园网络构建总结报告

《校园网络构建总结报告》由会员分享，可在线阅读，更多相关《校园网络构建总结报告（12页珍藏版）》请在金锄头文库上搜索。

1、重庆科技学院网络安全技术综合训练刖百随着近来网络安全事件不断地发生，安全问题也己成为IT业的一个热点，安全问 题对于小型企业的发展也越来越重要。安全问题巳经成为影响小型企业业务平台的稳定 性和业务的正常提供的一个问题，所以提升我们小型企业自身的安全性也己经成为小型 企业增强企业竞争力的重要方面之一。如今在这个社会网络安全越来越重要，如果出现信息泄露将会给企业带来致命的打 击，所以我们要学会如何维护网络安全，保护好企业。小型局域网的安全解决方案。域 网（如，企业网、校园网等）内终端数量众多，是组织日常办公和业务运行的载体，大 量重要的信息存储在终端上，如果局域网终端的安全受到威胁，即使网络中的核

2、心设备 安然无恙，整个网络的业务运行也会受到影响甚至瘫痪，更严重的是可能导致泄密事件。 因此，局域网的安全至关重要。目录前言I1. 目的与要求11.1实训目的11.2实训要求12. UU 1*1 1 22. 1实训拓扑22.2拓扑简介22. 3安全分析与解决方案32.3. 1终端安全管理32.3.2内网接入控制52.3.3非法外联检测52.3.4移动存储设备的接入监控62.3.5内网防ARP欺骗63. 实训总结7致谢8参考资料91. 目的与要求1.1实训目的为了让同学们更好的把网络安全技术的理论知识用到实际当中，充分的掌握相关的 知识点，进行的相关实训。我完成的课题是：小型局域网的安全解决方案

3、。域网（如， 企业网、校园网等）内终端数量众多，是组织日常办公和业务运行的载体，大量重要的 信息存储在终端上，如果局域网终端的安全受到威胁，即使网络中的核心设备安然无恙, 整个网络的业务运行也会受到影响甚至瘫痪，更严重的是可能导致泄密事件。因此，局 域网的安全至关重要。1.2实训要求分析某种类型的小型局域网在运行过程中可能存在的风险，制订局域网网络安全综 合解决方案。同时根据任务书，完成每天的进度，一步一步的做，争取做到最好！2. 实训内容2.1实训拓扑由于本实训旨在分析局域网运行中可能存在的风险，所以简单的架设了一个实验拓 扑图,拓扑图1.1如下所示：图1.12. 2拓扑简介本拓扑外部通过路

4、由器接入ISP,接入网络，内部使用网络拓扑中的3层结构:核心 层，汇聚层和接入层。本公司分3个部门：人力，财务和办公部。通过用户组模式进行 管理。对内：通过接入层交换机划分为3个不同的vlan,禁止不同vlan之间的互访。对外：通过路由器2811做基于端口的NAT转换。2. 3安全分析与解决方案2.3.1终端安全管理由于在局域网中对终端安全设备进行管理，所以这里结合局域网的布局，可分别对 设备以及主机进行管理。接入层：通过对每个接入层设备划分不同的vlan,禁止相互间的互访，配置管理 ip,配置安全密码，防止内部人员进行配置。可以的话，可对接入层设备进行ip地址 绑定。如图所示：interFa

5、stEthemet0/ 2svitchporc access vlan 2 svit. chport. mo de accessinter ace F as t E t he me 10 / 2 switchpoxt access vlaxx 3 switchpoxt xaode accessint&rface Vlanlip address 192.168.1.1 ZS5.2S5.ZSS.0i .Iline con 0exec-timeout 0 0!line vty 0 4password 123loqin图2. 1interface Vlanlip address 192.168.Z.L

6、 Z5S.25S.25S.0i.inter face Vlan3no ip addressline con 0 exec-timeouc 0 0!line vty 0 4 password 123 Login图2.2interface Vlanlip address 192.168.3.1 255.255.255.0!I.line con 0axec-timeout 0 0!interface ?astEthernetO/Z suitchport access vlan 4 suitchport mode accessline vty 0 4password 123login图2. 3汇聚层：

7、通过汇聚层与接入层的接口，开启3层端口功能，通过分配SVI接口，分 配ip地址，使其作为vlan内部的网关地址，对本vlan内部的数据进行汇聚，然后通 过核心层交换机进入外部网络，配置管理ip地址，以便设备管理。因为有3个部门所 以这里只列出一个配置图，如图所示：interface Vlanl ip address 17Z.16.1.1 Z55.Z55.Z55. 0I interface Vlan2 ip address 13Z.168.4.1 Z55.2S5. Z55.0 ! ip classlessinterace FastEthernet0/2 switchport. access vl

8、an 2 switchport. iaode accessline con 0 exec-tiM&out 0 0line vt-y 0 4 password 123 1 nrf-i-n图2. 4核心层：与汇聚层之间通过2层链路链接，在与外部路由器相连的端口，做一条默 认路由，配置此端口的ip地址，把所有的数据包通过与路由器相连的端口转发出去， 同时也要配置一个管理地址，配置rip协议，公告汇聚层设备的管理ip地址。用户终端：1. 绑定ip地址，考略到公司属于小型企业，可省略各个服务器的搭建，直接 通过手动配置ip地址，然后通过绑定ip地址，防止同一个vlan内部成员对ip地址的 抢夺。ip地址

9、绑定如下图所示：叩-S ip地址用户终端rn&c图2. 52. 通过配置操作系统防火墙，对本机端口进行数据过滤。3. 配置IPSec,关闭不需要的服务，加固系统。如图所示：4. 安装系统安全软件，进一步对用户终端电脑进行管理，比如杀毒软件以及一 些维护软件。外部路由器：1. 由于没有防火墙设备，这里通过设置路由器来充当防火墙设备，配置基于端 口的NAT (PAT),对内部ip数据进行转换，接入internetoip nat inside source List 1 interface SerialO/O overloadip classlessip route 0.0.0.0 0.0.0.0

10、SeriaLO/O!i.iccess-list 1 permit 192.168.1.0 0.0.0.255图2. 62. 通过配置扩展ACL,对常见的木马以及病毒通过网络传播的端口进行隔离。(access-list 10广999)232内网接入控制外界路由器：结合本公司的工作时间，可以制定一个基于时间的ACL,对内部用户 进行 internet 接入限制。(time-range)2.3.3非法外联检测非法外联一般都是用户终端主动接入外部网络导致，导致这种情况发生的情况的原 因可能是由于本用户终端被植入木马，或者病毒等。可以通过安装杀毒软件，更新病毒 库，全面清除本机中隐藏的危险文件。S病毒查

11、杀目冒画杀毒间8快速轻巧永久免费实时防护图2. 72.3.4移动存储设备的接入监控这个主要针对U盘、移动硬盘等移动设备，安装了安全软件，现在就可对移动存储 设备内容进行自动扫描。2.3.5内网防ARP欺骗汇聚层：为了预防arp欺骗，这里针对内部用户，可以通过acl来隔离网关数据从 端口进入。3. 实训总结本次实训的目的是针对小型局域网在运行过程的所存在的安全隐患，所做出的网络 安全综合解决方案。所以我的这篇报告的重点不在系统集成这一块，主要的是在于针对 安全隐患所作出的解决措施。虽然局域网安全隐患有许多，远远不止以上提及的儿点， 但是通过这次实训，给了我很多对于局域网网络安全的认知，同时也巩固了我对网络系 统集成这一块知识的记忆。总的来说，通过本次实验，我学习到了许多东西，增强了自 己的实践能力。这次实训过程中我们边设计边探索，发现理论和实践要充分地结合，是 需要扎实的基本功的，这就表明学好基础知识是理论付诸实践的前提。所以在以后的生 活中，我会不断地增加自己的实践能力。致谢感谢互帮互助的同学!感谢辛苦的老师！感谢支持我的人！参考资料1吴源.网络攻防技术国.北京：机械工业出版社，2009年.2胡建伟.网络安全与保密M.西安电子科技大学出版社，2006年.3牛少彰，江为强.网络的攻击于防范一一理论与实践M.北京：北京邮电 大学出版社，2006.