任务五办公网络安全规划部署.

任务五：办公网络安全规划部署内容简介一、任务内容二、背景知识三、风险分析四、步骤介绍五、任务小结一、任务内容任务名称包含步骤能力目标支撑知识训练内容5办公网络安全规划部署5.1规划设计办公网络安全分析设计办公网络安全系统能力组网及应用需求分析、设计1、办公网络的功能分区，各区的安全要求2、办公网络安全设计5.2设置办公网络路由器安全安全功能项设置，入口流量控制能力部署路由器的安全目的办公网路由器安全功能设置5.3设置办公网交换机安全安全功能项设置，网络地址安全管理能力部署交换机的安全目的办公网交换机安全功能设置二、背景知识1、网络规划设计2、路由器安全的部署3、交换机安全的部署1、网络规划设计网络规划设计1、用户需求分析（1）用户需求：资源共享及共享资源的安全（2）技术目标：统一性、完整性、经济实用性、可靠性与有效性、扩展性与先进性、安全性（3）网络应用：Web、FTP、E-Mail、VOD等2、当前网络现状分析设备、连接、应用情况、布线、协议、性能等1、网络规划设计3、逻辑设计整体结构设计、局部网络结构设计4、物理设计网络中心的设计、每栋楼设计5、测试确定测试范围、确定测试内容（连通性、性能、故障）6、用户培训与售后服务2、路由器安全的部署1、包过滤控制访问列表从192.168.20.0/24来的数据包可以通过！路由器从192.168.10.0/24来的数据包不能通过！2、路由器安全的部署2、网络病毒的应对办法路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器并不能识别的。需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。以上只是辅助措施，根本解决办法是查杀PC的病毒，尽快安装微软操作系统的补丁，升级杀毒工具的病毒库，提高安全意识。2、路由器安全的部署3、远程登录telnetTelnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：（1）Telnet定义一个网络虚拟终端为远程系统提供一个标准接口。客户机程序不必详细了解远程系统，他们只需构造使用标准接口的程序；（2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；（3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。2、路由器安全的部署4、IPSEC配置IPSEC是IPSecurity的缩写，它是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。IPSEC作为一个协议族由以下部分组成：(1)保护分组流的协议；(2）用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。3、交换机安全的部署1、基于交换机的访问控制列表安全策略可通过对交换机建立各种过滤规则的方式来实现整个网络分布实施接入安全性的需求。通常过滤规则设置有MAC和IP两种模式，可根据网络安全性需求采用MAC模式有效实现数据的隔离，也可通过IP模式实现端口过滤封包。当交换机端口需要数据交换时，就会根据过滤规则来过滤封包，决定是转发还是丢弃。通过访问控制列表的使用，可以对数据包过滤、流量限制、流量统计等。3、交换机安全的部署2、配置交换机的802.1X认证协议对交换机启用802.1X认证协议后，计算机只有通过授权才可以访问网络资源，否则不能接入到网络，可以有效地保证网络的安全，防止用户随便地接入到网络中。802.1X客户端软件端口启动了802.1X，成为受控端口，客户只有在通过802.1X认证后才能访问网络资源端口未启动802.1X，为非受控端口，通信数据可以畅通无阻3、交换机安全的部署3、禁用SNMPSNMP是SimpleNetworkManagementProtocol的英文缩写。它是用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。3、交换机安全的部署4、使用SSH进行远程管理SSH是SecureShell的英文缩写。通过SSH的使用，用户可把所要传输的数据信息进行加密，而且也能够防止DNS和IP欺骗。SSH可以替代Telnet，又可以为FTP、POP、PPP提供一个安全的“通道”。由于在使用SSH进行通讯时，对用户名及口令等均进行了加密，有效防止了口令被窃听，便于网络管理人员进行远程的安全网络管理。3、交换机安全的部署5、交换机VLAN（1）VLAN简介VLAN（VirtualLocalAreaNetwork），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机，由于VLAN是逻辑地而不是物理地划分，所以同一个VLAN内的各个计算机不必放置在同一个物理位置，即这些计算机不一定属于同一个物理LAN网段。3、交换机安全的部署5、交换机VLAN（2）VLAN划分的方法基于端口划分的VLAN基于MAC地址划分VLAN基于网络层协议划分VLAN根据IP组播划分VLAN按策略划分VLAN按用户定义、非用户授权划分VLAN1234交换机广播帧交换机收到广播帧后，只转发到属于同一VLAN的其他端口。广播域广播帧广播域（3）VLAN的优越性增加了网络连接的灵活性控制网络上的广播增加网络的安全性三、风险分析风险造成的影响办公网络设备配置不当共享资源的安全网络病毒、木马及恶意软件的传播办公网络系统存在的漏洞路由器、交换机没有实施安全策略数据存储未加密，数据明文传输打开了默认共享或建立了不安全共享未授权用户越权访问办公网络资源网络用户计算机操作系统及应用软件存在漏洞风险成因1、黑客可以通过默认共享连接你的电脑，并不受限制地对这些共享访问2、未授权用户访问网络资源，造成系统的隐私泄露3、计算机网络病毒、木马的影响，造成网络用户不能正常使用网络4、计算机网络病毒的影响，造成网络内用户计算机系统无法正常使用5、计算机网络病毒的影响，造成网络内用户计算机软件无法正常运行6、计算机网络病毒的影响，造成网络内用户的计算机硬件损坏7、网络内用户过多的占用网络带宽，响网络内部其他用户的使用网络安全防护知识安全防护技术1、路由器、交换机安全功能设置2、关闭默认共享，建立安全的共享3、数据备份、网络克隆4、局域网扫描工具及杀毒软件网络版的使用5、系统补丁分发1、局域网扫描技术2、网络访问控制技术3、病毒防治技术4、数据备份与恢复技术5、系统漏洞修复技术四、步骤介绍1、办公网络安全分析设计2、办公网络路由器安全设置具体步骤：包过滤控制访问列表；网络病毒的应对办法；远程登录telnet；IPSEC配置。3、办公网络交换机安全设置具体步骤：基于交换机的访问控制列表安全策略；配置交换机的802.1X认证协议；禁用SNMP；使用SSH进行远程管理；交换机VLAN的构建。1、办公网络安全分析设计1具体案例要组建一个50位员工公司的办公网络，该公司有如下的几个部门：A办公室（3人）、B人事部（3人）、C财务部（4人）、D市场经销部（12人）、E产品研发部（28人）等五大部门，参见办公网络平面示意图。2网络用户及安全需求假设该办公网络中A、B、D三区的用户需要访问Internet，而C、E二区的用户可根据具体情况，允许或不允许访问Internet；A、B、D三区用户间可以相互访问，但不可访问C、E二区的用户。结合以上网络用户需求，如何通过对网络用户计算机、网络设备路由器、交换机进行相关的安全设置，以满足以上办公网络安全的需求。由于A、B、C、D四区用户数量不多，可直接使用一个交换即可。E区用户数量较多，可单独使用一个交换机。1、办公网络安全分析设计1、办公网络的组网及应用需求分析Internet路由器交换机A（工作组）A区（办公室3）B区（人事部3）C区（财务部4）D区（市场经销部12）E区（产品研发部28）……交换机B（工作组）接入Internet区域办公网络平面示意图1、办公网络安全分析设计3规划设计方案为满足以上办公网络的需求，可提出如下的规划设计方案：（1）路由器、交换机的选型由于以上办公网络规划不大，对路由器、交换机的选型较为简单，可选用中低端产品即可满足以上网络用户的要求。（2）传输介质的选型在传输介质的选择方面，不必使用光纤，可使用5类或超5类双绞线即可。（3）网络安全规划设计为提高办公网络的安全性，在对办公网络进行安全规划设计时，可从以下三个方面进行。路由器的安全设置交换机的安全设置VLAN的使用2、办公网络路由器安全设置1、包过滤控制访问列表[安全需要]日志主机地址：192.168.1.208：00-22：00禁止报文送出串口禁止PC远程登录到路由器。如图所示。InternetOutInPCRouter2、办公网络路由器安全设置当前路由器提示视图依次输入的配置命令#[Router]info-centerloghost010.0.0.8[Router]#[Router]firewallenable[Router]#[Router]interfaceEthernet0/0ipaddress10.0.0.1255.255.255.0firewallpacket-filter3000inboundfirewallpacket-filter2000outbound#[Router]interfaceEthernet2/0ipaddress10.0.1.1255.255.255.0firewallpacket-filter3000inbound#2、办公网络路由器安全设置当前路由器提示视图依次输入的配置命令[Router]aclnumber2000match-orderauto[Router-acl-2000]rule0denylogging#[Router]aclnumber3000match-orderauto[Router-acl-3000]rule0denytcpdestination10.0.1.10destination-porteqtelnetloggingrule1denytcpdestination10.0.0.10destination-porteqtelnetlogging#[Router]time-rangetime_range08:30to18:30daily2、办公网络路由器安全设置2、对网络病毒的应对办法[说明]路由器的功能是保持网络的连通性，尽自己最大能力转发数据包。网络病毒发送的大量垃圾报文，路由器是并不能识别的。需要手工配置ACL，比如最近流行的冲击波病毒，通过配置，路由器可以部分阻止这些垃圾报文。禁止端口号为135的tcp报文。禁止端口号为69的udp报文。禁止icmp报文。2、办公网络路由器安全设置3、远程登录telnet（1）缺省情况:无需用户名和密码,均可telnet其连接拓扑如图所示。PCRouterIP2、办公网络路由器安全设置当前路由器提示视图依次输入的配置命令![Router]interfaceEthernet0[Router-Ethernet0]ipaddress10.0.0.1255.255.255.0![Router]interfaceSerial0[Router-Serial0]link-protocolppp![Router]interfaceBri0[Router-Bri0]link-protocolppp!quit2、办公网络路由器安全设置（2）允许telnet:只有正确的用户名和密码才可以telnet。当前路由器提示视图依次输入的配置命令![Rou