校园网络构建总结报告Word文件下载.docx

1、致谢 81. 目的与要求 1.1 实训目的为了让同学们更好的把网络安全技术的理论知识用到实际当中，充分的掌握相关的知识点，进行的相关实训。我完成的课题是： 1.2 实训要求分析某种类型的小型局域网在运行过程中可能存在的风险，制订局域网网络安全综合解决方案。同时根据任务书，完成每天的进度，一步一步的做，争取做到最好！ 2. 实训内容 2.1 实训拓扑由于本实训旨在分析局域网运行中可能存在的风险,所以简单的架设了一个实验拓扑图,拓扑图1.1如下所示:图 1.1 2.2 拓扑简介本拓扑外部通过路由器接入ISP,接入网络,内部使用网络拓扑中的3层结构:核心层,汇聚层和接入层。本公司分3个部门：人力，财

2、务和办公部。通过用户组模式进行管理。对内：通过接入层交换机划分为3个不同的vlan，禁止不同vlan 之间的互访。对外：通过路由器2811做基于端口的NAT转换。 2.3 安全分析与解决方案 2.3.1 终端安全管理由于在局域网中对终端安全设备进行管理，所以这里结合局域网的布局，可分别对设备以及主机进行管理。接入层：通过对每个接入层设备划分不同的vlan，禁止相互间的互访，配置管理ip，配置安全密码，防止内部人员进行配置。可以的话，可对接入层设备进行ip地址绑定。如图所示：图2.1图2.2图2.3汇聚层：通过汇聚层与接入层的接口，开启3层端口功能，通过分配SVI接口，分配ip地址，使其作为vl

3、an内部的网关地址，对本vlan内部的数据进行汇聚，然后通过核心层交换机进入外部网络，配置管理ip地址，以便设备管理。因为有3个部门所以这里只列出一个配置图，如图所示：图2.4核心层：与汇聚层之间通过2层链路链接，在与外部路由器相连的端口，做一条默认路由，配置此端口的ip地址，把所有的数据包通过与路由器相连的端口转发出去，同时也要配置一个管理地址，配置rip协议，公告汇聚层设备的管理ip地址。用户终端： 1绑定ip地址，考略到公司属于小型企业，可省略各个服务器的搭建，直接通过手动配置ip地址，然后通过绑定ip地址，防止同一个vlan内部成员对ip地址的抢夺。ip地址绑定如下图所示：图2.5 2

4、.通过配置操作系统防火墙，对本机端口进行数据过滤。 3.配置IPSec，关闭不需要的服务，加固系统。 4.安装系统安全软件，进一步对用户终端电脑进行管理，比如杀毒软件以及一些维护软件。外部路由器： 1.由于没有防火墙设备，这里通过设置路由器来充当防火墙设备，配置基于端口的NAT（PAT），对内部ip数据进行转换，接入internet。图2.6 2.通过配置扩展ACL，对常见的木马以及病毒通过网络传播的端口进行隔离。（access-list 101999） 2.3.2 内网接入控制外界路由器：结合本公司的工作时间，可以制定一个基于时间的ACL，对内部用户进行internet接入限制。（time-

5、range） 2.3.3 非法外联检测非法外联一般都是用户终端主动接入外部网络导致，导致这种情况发生的情况的原因可能是由于本用户终端被植入木马，或者病毒等。可以通过安装杀毒软件，更新病毒库，全面清除本机中隐藏的危险文件。图2.7 2.3.4 移动存储设备的接入监控这个主要针对U盘、移动硬盘等移动设备，安装了安全软件，现在就可对移动存储设备内容进行自动扫描。 2.3.5 内网防ARP欺骗为了预防arp欺骗，这里针对内部用户，可以通过acl来隔离网关数据从端口进入。3. 实训总结本次实训的目的是针对小型局域网在运行过程的所存在的安全隐患，所做出的网络安全综合解决方案。所以我的这篇报告的重点不在系统

6、集成这一块，主要的是在于针对安全隐患所作出的解决措施。虽然局域网安全隐患有许多，远远不止以上提及的几点，但是通过这次实训，给了我很多对于局域网网络安全的认知，同时也巩固了我对网络系统集成这一块知识的记忆。总的来说，通过本次实验，我学习到了许多东西，增强了自己的实践能力。这次实训过程中我们边设计边探索，发现理论和实践要充分地结合，是需要扎实的基本功的，这就表明学好基础知识是理论付诸实践的前提。所以在以后的生活中，我会不断地增加自己的实践能力。致谢感谢互帮互助的同学！感谢辛苦的老师！感谢支持我的人！参考资料1 吴灏网络攻防技术M北京：机械工业出版社，2009年2胡建伟.网络安全与保密M. 西安电子科技大学出版社，2006年.3牛少彰，江为强.网络的攻击于防范理论与实践M. 北京：北京邮电大学出版社，2006.