本科毕业设计基于路由器的网络安全研究和实现文档格式.docx

1、1.1.2发展趋势网络安全不只是一个单纯的技术间题，同时也是一个非常关键的管理问题。对计算机系统的安全事件进行收集、记录、分析、判断，然后采取对应的安全措施来进行处理的一个过程被称为安全审计。其基本的功能分别为：对用户、操作命令、文件操作等审计对象进行选择；对文件系统完整性进行定期的检测；设置选择逐出系统；保护数据的安全及审计日志等。成立专门负责计算机网络信息安全的行政管理机构，从而审查和订制计算机网络的信息安全措施。确认安全措施实施的方针、政策以及原则；具体组织、协调、监督、检查信息安全措施的执行。来自计算机网络信息系统内部的危害当中，很多是人为造成的对信息安全的危害。由于思想上的松懈和安全

2、意识偏弱，从而给了攻击者可乘之机。因此，加强单位人员的思想教育，培养单位人员的责任感也是保护网络安全不可或缺的一个重要环节。计算机网络安全发展至今，俨然已成为了一个横跨通信技术、网络技术、安全技术、计算机技术、密码学等等多种门科技术的综合性学科。因此计算机网络安全的发展在向高端技术发展的同时会朝着全方位化、纵深化、专业化的方向发展，随着各种新兴技术的不断发展和出现，网络安全将会由单一的技术向各种技术融合的方向发展。基于路由器的大多数主要安全技术通常都是相辅相成的，为了系统安全性的提高，必须通过各种安全机制协调工作。当今，由于信息化的高速发展，加强路由器安全机制和安全协议，改进新的算法研究将会成

3、为保证网络安全的高效性的唯一选择。1.2研究的基本内容随着Internet的飞速发展，全国每个中小型企业和事业单位都在建设局域网并连入了互联网，所以信息网络安全就必须同时跟上发展的脚步，成为我们最需要着重关心的问题之一。我们可以采取在普通路由器中添加安全模块，从技术上加强路由器的安全性；或者借助管理手段，从管理上加强对路由器的安全性等多种手段来保证基于路由器的网络环境下的安全性。网络安全与防火墙关系密不可分，网络防火墙的构建需要明确安全策略，安全而又全面的分析和业务的需求分析将决定一个组织全局的安全策略，因此我们需要仔细并且正确的设置网络安全策略，从而使这个计算机网络防火墙发挥它最大的作用。其

4、中，明确定义哪些数据包允许或禁止通过并使用网络服务，以及这些服务的详细使用规则，同时网络防火墙安全策略中的每一条规定都应该在实际应用时得到实现；这些都属于网络防火墙的安全策略。本文就着重介绍与说明在路由器下通过访问控制列表（ACL）方法实现安全策略，构建出一个小型、简易、安全有合理的计算机网络的防火墙体系结构，从而实现具体的网络防火墙功能，并对其实现和具体应用进行详细的叙述。第2章 配置基本网络环境2.1配置基本网络环境（1）按照表2.1所示内容，正确填写计算机（PA、PB、PC、PD）及路由器（RA、RB、RC、RD）的网络连接参数表2.1 设备配置信息设备名称配置参数路由器（RA）S0IP

5、地址：192.1.1.1子网掩码：255.255.255.0路由器（RB）192.1.1.2S1193.1.1.1194.1.1.2Eth0202.0.0.1202.0.1.1路由器（RC）194.1.1.1路由器（RD）193.1.1.2195.1.1.1195.1.1.2202.0.2.1202.0.3.1计算机（PC-A）202.0.0.2默认网关：计算机（PC-B）202.0.0.3计算机（PC-C）202.0.1.2计算机（PC-D）202.0.1.3计算机（PC-E）202.0.2.2计算机（PC-F）202.0.2.3计算机（PC-G）202.0.3.2计算机（PC-H）202.

6、0.3.32.1.1构建小型模拟局域网设备连接如图2.1所示构建出一个小型模拟局域网（由路由器、交换机、PC组成）。图2.1 设备配置图第3章 AAA配置3.1 AAA简介3.1.1什么是AAA用来对认证、授权和计费这三种安全功能进行配置的一个框架，被称为：Authentication，Authorization and Accounting ，即认证、授权和计费，一般情况下缩写为AAA即可，简称：“三A认证”；它是对网络安全进行管理的认证方式之一，对所有类型LOGIN用户进行本地认证、授权、计费。在这里，网络安全主要指的是访问控制，其中包括了：（1）规定了哪些用户可以访问指定网络服务器（2）

7、具有访问权限的用户组分别可以得到哪些服务，可以做些什么（3）对正在使用该网络资源的用户组进行计费功能AAA可完成下列服务：（1）认证：判断认证用户是否可以获得访问权限（2）授权：被授权的用户组可以使用哪些服务。（3）计费：记录用户组使用网络资源的具体情况。3.2简单基本的AAA配置3.2.1组网需求对所有类型login用户进行本地认证，但不要求计费。3.2.2配置步骤# 使能AAARouter aaa-enable# 配置Login用户Router local-user ftp service-type ftp password simple ftp Router local-user adm

8、in service-type administrator ssh password cipher adminRouter local-user operator service-type operator ssh password simple operatorRouter local-user guest service-type guest ssh password simple guest# 配置对login用户进行认证Router aaa authentication-scheme login default local Router login-method authenticat

9、ion-mode con defaultRouter login-method authentication-mode async defaultRouter login-method authentication-mode hwtty defaultRouter login-method authentication-mode pad defaultRouter login-method authentication-mode telnet defaultRouter login-method authentication-mode ssh default# 配置对FTP用户进行认证Rout

10、er login-method authentication-mode ftp default# 配置对login用户不计费Router undo login-method accounting-mode login conRouter undo login-method accounting-mode login asyncRouter undo login-method accounting-mode login hwttyRouter undo login-method accounting-mode login padRouter undo login-method accountin

11、g-mode login telnetRouter undo login-method accounting-mode login ssh四台路由器均要进行相同的AAA配置，指令相同，不作重复。第4章 OSPF配置4.1 OSPF简介由IETF组织研发的一个基于链路状态下的自治系统内部路由协议被称为：开放最短路由优先协议（Open Shortest Path First），简称OSPF，目前普遍使用的是版本2（RFC1583）。4.1.1 OSPF的主要特性1. 适应范围支持最多几千台路由器的各种大、中、小规模的网络。2. 快速收敛在网络的拓扑结构发生变化后立即发送并更新报文并在自治系统中达到

12、同步。3. 无自环用最短路径树算法计算路由，保证了不会生成自环路由。4. 区域划分为了减少占用带宽，自治系统的网络被划分成的区域传送的路由信息被抽象。5. 等值路由到同一目的地址的多条等值路由。6. 路由分级当同时使用不同等级的路由时，按区域内路由、区域间路由、第一类外部路由和第二类外部路由这个优先顺序分级。7. 支持验证支持基于接口的报文验证，保障了路由计算的安全性、稳定性。8. 组播发送在有组播发送能力的链路层上，基于组播地址进行接收、发送报文。在达到了广播作用的同时又最大程度地减少了对其它网络设备的干扰。4.1.2 OSPF协议路由计算的过程OSPF协议路由的计算过程可简单描述如下： 1

13、. 描述整个自治系统拓扑结构的链路状态数据库（简称LSDB）是由每一台支持OSPF协议的路由器维护着；他们都会根据周围的网络拓扑结构来生成链路状态并且发布Link State Advertising（LSA），然后再将LSA发送给网络中其它路由器。这样，每台路由器都将会收到来自其它路由器的 LSA，然后将所有的 LSA 放在一起组成了一个相对完整的链路状态数据库。2. 对路由器周围网络拓扑结构的具体描述被称为LSA，而对整个网络的拓扑结构的一种描述则被成为LSDB。自然而然，自治系统内的各个路由器都将得到完全相同的网络拓扑图是因为路由器会将LSDB转换成一张带有权值的真实反映整个网络拓扑结构的

14、有向图。3. 使用SPF算法的每台路由器都会计算出一棵到自治系统中各个节点的路由的树，这是一棵以自己为根的最短路径树，这棵树给出了通过广播外部路由的路由器来记录关于整个自治系统的额外信息。另外，为了建立多个邻接（Adjacent）关系，使处于广播网和NBMA网中的每台路由器都可以将存储在本地的路由信息广播到整个自治系统中去，则会出现多次传递任意一台路由器的路由变化的情况，因而浪费了宝贵的带宽资源。为了解决这个难题，OSPF因此定义了“指定路由器”（Designated Router），简称为DR；为了大大减少各路由器之间邻居关系的数量，DR接收所有路由器发送出来的路由信息，然后再由它将该网络的

15、链路状态广播出去。OSPF支持IP子网和外部路由信息的标记接收，它支持基于接口的报文验证以保证路由计算的安全性；并使用IP组播方式发送和接收报文。4.2 OSPF的配置必须先启动OSPF、使能OSPF网络后，才能在各项配置任务中配置其它与协议相关的功能特性，而OSPF是否使能将不会影响在接口下配置的与协议相关的参数。关闭OSPF的同时原来在接口下配置的与协议相关的参数也同时失效。4.2.1配置步骤1. 配置路由器RARAinterface S0RA-Serial0ip address 192.1.1.1 255.255.255.0RA-Serial0interface S1RA-Serial1

16、ip address 193.1.1.1 255.255.255.0RA-Serial1interface eth0RA-Ethernet0ip address 202.0.0.1 255.255.255.0RA-Ethernet0quitRAospf enableRA-ospfinterface s0RA-Serial0ospf enable area 0RA-Serial0interface s1RA-Serial1ospf enable area 0RA-Serial1quitRAinterface e0RA-Ethernet0ospf enable area 02. 配置路由器RBRB

17、interface S0RB-Serial0ip address 192.1.1.2 255.255.255.0RB-Serial0interface S1RB-Serial1ip address 194.1.1.2 255.255.255.0RB-Serial1quitRBospf enableRB-ospfinterface s0RB-Serial0ospf enable area 0RB-Serial0interface s1RB-Serial1ospf enable area 0RBinterface eth0RB-Ethernet0ip address 202.0.1.1 255.2

18、55.255.0RB-Ethernet0ospf enable area 0RB-Ethernet0quit3. 配置路由器RCRCinterface S0RC-Serial0ip address 194.1.1.1 255.255.255.0RC-Serial0interface S1RC-Serial1ip address 195.1.1.1 255.255.255.0RC-Serial1quitRCospf enableRC-ospfinterface s0RC-Serial0ospf enable area 0RC-Serial0interface s1RC-Serial1ospf e

19、nable area 0RCinterface eth0RC-Ethernet0ip address 202.0.2.1 255.255.255.0 RC-Ethernet0ospf enable area 0RC-Ethernet0quit4. 配置路由器RDRDinterface S0RD-Serial0ip address 193.1.1.2 255.255.255.0RD-Serial0interface S1RD-Serial1ip address 195.1.1.2 255.255.255.0RD-Serial1interface eth0RD-Ethernet0ip addres

20、s 202.0.3.1 255.255.255.0RD-Ethernet0quitRDospf enableRD-ospfinterface s0RD-Serial0ospf enable area 0RD-Serial0interface s1RD-Serial1ospf enable area 0RD-Serial1interface e0RD-Ethernet0ospf enable area 0如此配置完成后，所有的端口都可以相互PING通。如图2.1 构建的小型局域网就完成了。第5章 防火墙5.1防火墙简介5.1.1什么是防火墙防火墙作为Internet访问控制的基本技术，其主要作用

21、是监视和过滤通过它的数据包，拒绝非法用户访问网络并保障合法用户正常工作，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃。为了阻止未经认证或者XX的用户访问保护内部网络或数据，防止来自外网的恶意攻击，一般将防火墙设置在外部网和内部网的连接处。也可以用防火墙将企业网中比较敏感的网段与相对开放的网段隔离开来，从而达到即使该访问是来自局域网内部，也必须经过防火墙的过滤的效果。防火墙可通过监测、限制、更改跨越防火墙的数据流来保护内部网络的安全性，尽可能地对外部屏蔽网络内部的信息、结构和运行状况。现在的许多防火墙同时甚至还可以对用户进行身份鉴别，对信息进行安全加密处理等等。5.1.2防火墙的

22、分类防火墙一般被分为网络层防火墙和应用层防火墙两种类型。网络层防火墙主要是用来获取协议号、源地址、目的地址和目的端口等等数据包的包头信息；或者选择直接获取包头的一段数据。而选择对整个信息流进行系统的分析则是应用层防火墙。常见的防火墙有以下几类：1. 应用网关（Application Gateway）：检验通过此网关的所有数据包中的位于应用层的数据。比如FTP网关，连接中传输的所有FTP数据包都必须经过此FTP网关。2. 包过滤（Packet Filter）：是指对每个数据包都将会完全按照用户所定义的规则来比较进入的数据包的源地址、目的地址是否符合所定义的规则。如用户规定禁止端口是25或者大于等

23、于1024的数据包通过，则只要端口符合该条件，该数据包便被禁止通过此防火墙。3. 代理（Proxy）：通常情况下指的是地址代理。它的机制是将网内主机的IP地址和端口替换为路由器或者服务器的IP地址和端口。让所有的外部网络主机与内部网络之间的相互访问都必须通过使用代理服务器来实现。这样，就可以控制外部网络中的主机对内部网络中具有重要资源的机器的访问。5.2 包过滤一般情况下，包过滤是指对路由器需要转发的数据包，先获取包头信息中所承载的上层IP协议中的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，比较后的结果对数据包进行转发或者丢弃。因此只要用户所配置的规则比

24、较符合实际的应用，那么在这一层就可以过滤掉许多带有安全隐患的未知数据包。包过滤（对IP数据包）所选取用来判断的元素如下图所示（图中IP所承载的上层协议为TCP）。图5.1 包过滤示意图5.2.1包过滤可实现的功能1. 不让任何人从外界使用Telnet登录。2. 让每个人经由SMTP（Simple Message Transfer Protocol，简单邮件传输协议）向我们发送电子邮件。3. 使得某台机器可以通过NNTP（Network News Transfer Protocol，网络新闻传输协议）向我们发送新闻，而其它机器都不具备此项服务等等。5.2.2网络设备的包过滤的特性1. 基于访问控制列表（ACL）：访问控制列表的运用面很广，它不仅仅可以应用在包过滤中，还可应用在如地址转换和IPSec等其它需