目錄摘要 IAbstract II1.緒論 11.1選題背景 11.2選題目的 11.3本文組織結構 12.可行性分析 22.1社會可行性 22.2技術可行性 22.3操作可行性 22.4系統開發平臺及運行環境 22.4.1系統開發工具及平臺 22.4.2運行環境 23.校園概況和網絡拓撲 33.1校園基本構造 33.2校園組成機構 33.3網絡體系結構 33.4網絡拓撲總圖 44.網絡安全基礎 54.1網絡安全的定義 54.2網絡安全的屬性 54.3網絡信息安全因素 64.4網絡信息安全機制 65.安全需求與安全目標 85.1網絡安全需求 85.2網絡安全策略 85.3系統安全目標 86.網絡訪問安全 96.1VPN概述 96.1.1VPN簡介 96.1.2VPN的特點與應用 96.2路由器實現VPN 97.Cisco安全設備 127.1防火墻設計 128.網絡攻擊與防范 168.1黑客攻擊手段 168.2.1“ARP攻擊”的方式和原理 168.2.2利用“ARP欺騙”入侵實際操作 178.2.3“ARP攻擊”防范方法 199.結論 21參考文獻 22致謝 23摘要隨著網絡技術蓬勃發展，校園網的迅速發展和普及，對學校日常工作學習和管理而言也起了重要的作用。但不可忽視的是，隨著網絡的普及，其安全問題也日益突出。如何讓校園網正常高效的運行，充分發揮其教學、管理和服務等功能，已成為不可忽視的一個問題。本設計著重分析了如今校園網中存在的安全隱患，提出理論性與實踐性的依據，并針對網絡設備安全和網絡訪問安全進行了詳細的描述，設計出一個安全、便捷的網絡管理方案，其中涉及到的技術有VLAN、STP、VTP、HSRP、ARP欺騙、MAC欺騙等。本設計方案通過模擬設計環境，使用虛擬機Vmware實現了模擬黑客進攻和被攻擊者的防御手段。希望能對校園網的安全管理有所幫助，為師生創造一個安全、高效、干凈的上網環境。關鍵詞：網絡安全；交換機；VPN；HSRP；OSPFAbstractWiththevigorousdevelopmentofnetworktechnology,therapiddevelopmentofthecampusnetworkandpopularization,dailyworktoschoolforlearningandmanagementalsoplayanimportantrole.Butimportant,alongwiththenetworkpopularization,thesecurityissuesarebecomingincreasinglyprominent.Howtomakethecampusnetworknormalandefficientoperationandmakefulluseofitsteaching,managementandservice,andotherfunctions,hasbecomeaproblemcannotbeignored.Thisdesignfocusesonanalyzingthenowexistinginthecampusnetworksecurityproblems,putsforwardthetheoreticalandpracticalbasis,andinthelightofthenetworkequipmentsafetyandnetworkaccesssecurityaredescribed,designasafe,convenientnetworkmanagementplan,whichinvolvestechnologyhaveVLAN,STP,VTP,HSRP,theARPdeception,MACcheat,etc.Thisdesignschemethroughthesimulationdesignenvironment,usethevirtualmachineVmwarerealizethehackerattacksandthesimulationbyanattackerdefenses.Inhopesofcampusnetworksecuritymanagementhelp,fortheteachersandstudentscreateasafe,efficientandcleantheInternetenvironment.Keywords：Networksecurity;Switches;VPN;HSRP;OSPF1.緒論1.1選題背景經過多年的信息化建設之后，我們國內大多數高等院校基本上都建成了自己的校園網。但隨著其應用的深入，校園網絡的安全性和可靠性也成為院校領導共同關心的問題。校園網絡的安全直接影響著學校的日常教學、管理、科研活動的開展。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不會由于偶然的或者惡意的原因而遭到破壞、更改和泄露。系統能夠連續、可靠、正常地運行，使網絡服務不中斷。個人信息資料和學院相關網絡文件一旦遺失或被盜，學院就會因此蒙受巨大損失，甚至間接的影響到該校教師和學生的人身安全。因此，在全面了解校園網的安全現狀基礎上，合理構建安全體系結構，改善網絡應用環境的工作迫在眉睫。1.2選題目的目前，全國各媒體，網站對國內校園網安全系統的設計與實現進行相關調查，發現目前國內各校園對自己校園網的系統安全設計都有著適合自己的特色以及功能。目前相關的校園網安全系統的設計與實現的相關資料也比比皆是，由于網絡技術的飛速發展，越來越多的新的設計理念和創新的想法也逐步被人們領略到。這些都為安全系統設計和實現提供了充足的材料和理論基礎。我們的目的就是在這現有的條件，根據自己學到的知識，以華南師范大學增城學院為研究對象去設計出一個校園網的系統安全設計方案。1.3本文組織結構本文主要介紹校園局域網局域網：局域網：是指在某一區域內由多臺計算機互聯成的計算機組。本論文的主要內容分為八章。第二章詳細的從各個方面分析了我們這個方案的可行性。第三章以華南師范大學增城學院為研究對象，簡述校園的基本構造和設計網絡拓撲。第四章和第五章主要結合參考文獻，整體對網絡的安全基礎以及安全需求和安全目標做出詳細的說明第六章主要對VPN的設計和用路由器實現VPN。第七章CISCO安全設備防火墻的設計。第八章通過用虛擬機的模擬來實現網絡攻擊與防范。2.可行性分析可行性分析就是在系統調查的基礎上，針對新系統的開發是否具備必要性和可能性，對新系統的開發從技術、經濟、社會的方面進行分析和研究，以避免投資失誤，保證新系統的開發成功。可行性研究的目的就是用最小的代價在盡可能短的時間內確定問題是否能夠解決。該系統的可行性分析包括以下幾個方面的內容。2.1社會可行性隨著計算機技術的發展和網絡人口的增加，網絡世界也越來越廣博，越來越豐富，校園實現網絡辦公、網絡教學已經是一股潮流了。相信要不了太長有時間，每個校園都會有屬于自己的局域網絡，都會實現網絡辦公，網絡教學。校園網絡系統主要目的是進行保護校園的網絡安全，并且嚴格按照國家法律法規來進行研究和實踐，并無法律和政策方面的限制。2.2技術可行性本系統在PacketTracer上設計，并在虛擬機Vmware模擬實現，Windows2003Server操作系統。由于在PacketTrace建立網絡拓撲，能很方便的設計、配置網絡模擬環境；Vmware能為我們的設計做出類似于實際環境的模擬測試。所以使用這兩個軟件可以說明很好的證明該設計方案和實現的可行性。硬件方面，科技飛速發展的今天，硬件更新的速度越來越快，容量越來越大，可靠性越來越高，價格越來越低，其硬件平臺完全能滿足此系統的需要。2.3操作可行性目前，大多數計算機都能運行該系統，該安全系統的安裝、調試、運行不會改變原計算機系統的設置和布局，由相關人員指導便能夠方便的操作此系統。2.4系統開發平臺及運行環境2.4.1系統開發工具及平臺系統設計是在PacketTracer上的。PacketTracer是由Cisco公司發布的一個輔助學習工具，為學習思科網絡課程的初學者去設計、配置、排除網絡故障提供了網絡模擬環境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網絡拓撲，并可提供數據包在網絡中行進的詳細處理過程，觀察網絡實時運行情況。可以學習IOS的配置、鍛煉故障排查能力。2.4.2運行環境操作系統：Windows2000或WindowsXP。瀏覽器：InternetExplorer6.0及以上版本。3.校園概況和網絡拓撲本章主要以華南師范大學增城學院為研究對象，進行系統的分析校園網的具體組成部分以及設計出網絡拓撲。3.1校園基本構造建筑規模為行政樓，教學樓，圖書館和師生宿舍。工程設計范圍是行政樓，教學樓，圖書館和師生宿舍的網絡建設。3.2校園組成機構最高層：董事長辦公室、董事會辦公室、院長辦公室。第二層：行政樓辦公室(由第一行政樓和第二行政樓組成，主要辦公室有各處長辦公室、各系系主任辦公室、黨委書記辦公室、團委書記辦公室以及各老師辦公室)。第三層：圖書館圖書數據庫和圖書館辦公室(由圖書館館長辦公室和各老師辦公室組成)。第四層：教學樓辦公室、實驗室和多媒體課室。最底層：師生宿舍3.3網絡體系結構圖3-1網絡體系結構3.4網絡拓撲總圖圖3-2網絡拓撲圖4.網絡安全基礎4.1網絡安全的定義網絡安全是指網絡系統的硬件、軟件及其中數據受到保護，不受偶然的或者惡意的破壞、更改、泄露，保證系統連續可靠地運行，確保網絡服務不中斷。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性科學。4.2網絡安全的屬性從本質上來講，計算機網絡安全就是網絡上的信息安全。凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全具有以下幾個基本屬性。1.可靠性可靠性是網絡信息系統能夠在規定條件下、規定時間內完成規定功能的特性。可靠性是系統安全的基本要求之一，是所有網絡信息系統的基本目標。網絡信息系統的可靠性包括如下三種特性：抗毀性、生存性和有效性。抗毀性是指系統在人為破壞下的可靠性。例如，部分線路或節點失效后，系統能否繼續提供服務。增強抗毀性可以有效地避免因各種災害造成的大面積網絡癱瘓問題。生存性是在隨機破壞下系統的可靠性。生存性主要反映隨機性破壞和網絡拓撲結構對系統可靠性的影響。有效性是一種基于業務性能的可靠性。有效性主要反映在網絡信息系統的部件失效情況下，滿足業務性能要求的程度。比如，網絡部件失效雖然沒有引起連接性故障，但是卻造成質量指標下降、平均延時增加、線路阻塞等現象[1]。2.可用性可用性是網絡信息可被授權實體訪問并按需求使用的特性。即網絡信息服務被使用時，允許授權用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。可用性是網絡信息系統面向用戶的安全性能。網絡信息系統最基本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面的、有時還有時間要求。可用性一般用系統正常使用時間和整個工作時間之比來度量。可用性還應該滿足以下要求：身份識別與確認、訪問控制、業務流控制、路由選擇控制、審計跟蹤。審計跟蹤的信息主要包括：事件類型、被管客體等級、事件時間、事件信息、事件回答以及事件統計等方面的信息[1]。3.保密性保密性是數據信息不被泄露給非授權的用戶、實體或供其利用的特性。保密性是在可靠性和可用性基礎之上，保障網絡信息安全的重要手段。常用的保密技術包括：防偵聽、防輻射、信息加密、物理保密。4.完整性完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成和正確存儲和傳輸。完整性與保密性不同，保密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。影響網絡信息完整性的主要因素有：設備故障、誤碼(傳輸、處理和存儲過程中產生的誤碼，定時的穩定度和精度降低造成的誤碼，各種干擾源造成的誤碼)、人為攻擊、計算機病毒等。保障網絡信息完整性的主要方法有：協議、糾錯編碼方法、密碼校驗和方法、數字簽名、公證[1]。5.不可抵賴性不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。6.可控性可控性是對網絡信息的傳播及內容具有控制能力的特性。可控性最重要的體現是全局監控、預警能力和應急響應處理能力。全局預警就是要建立全局性的安全狀況收集系統，對于新的安全漏洞和攻擊方法能及時了解，針對體系內局部發生的安全入侵等事件進行響應[1]。4.3網絡信息安全因素網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊，網絡中的敏感數據有可能泄露或被修改，從內部網向公共網傳送的信息可能被他人竊聽或篡改等。典型的網絡安全威脅如表4-1所示。表4-1典型的網絡安全威脅威脅描述竊聽網絡中傳輸的敏感信息被竊聽重傳攻擊者事先獲得部分信息或全部信息，以后將此信息發送給接收者偽造攻擊者將偽造的信息發送給接收者篡改攻擊者對合法用戶之間的通信信息進行修改、刪除、插入、再發送給接收者非授權訪問通過假冒、身份攻擊、系統漏洞等手段獲取系統訪問權，從而使非法用戶進入網絡系統讀取、刪除、修改、插入信息等拒絕服務攻擊攻擊者通過某種方法使系統響應減慢甚至癱瘓，阻止合法用戶獲得服務行為否認通信實體否認已經發生的行為旁路控制攻擊者發掘系統的缺陷或安全脆弱性電磁/射頻截獲攻擊者從點子或機電設備所發出的無線射頻或其他電磁輻射中提取信息人員疏忽已授權人為了利益或由于粗心將信息泄露給未授權人影響計算機網絡安全的因素有很多，如人為的疏忽、人為的惡意攻擊、網絡軟件的漏洞、非授權訪問、信息泄露或丟失、破壞數據完整性[2]。4.4網絡信息安全機制網絡信息安全機制定義了實現網絡信息安全服務的技術措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數據進行處理。網絡信息安全機制包括如下八種。1.加密機制加密是提供數據保密的基本方法，用加密方法和認證機制相結合，可提供數據的保密性和完整性。2.數字簽名機制數字簽名是解決信息安全特殊問題的一種方法，適用于通信雙方發生了下列情況的安全驗證。3.訪問控制機制訪問控制是指處理主體對客體訪問的權限設置的合法性問題，一個主體只能訪問經過授權使用的給定客體。否則，訪問控制機制的審計跟蹤系統會自動拒絕訪問，并給出事件報告的跟蹤審計信息。4.數據完整性機制數據完整性主要解決數據單元的完整性和數據單元序列的完整性。5.鑒別交換機制鑒別交換是在通信進程中，以雙方互換約定信息方式確認實體身份機制。[2]6.通信業務填充機制目的是對抗非法攻擊者在傳輸信道上監聽以及非法進行流量和流向分析。7.路由控制機制在復雜的網絡環境中，路由控制機制在于引導信息發送者選擇代價小且安全的特殊路徑，保證數據能由源節點出發，經選擇路由，安全到達目標節點。8.公證機制公證機制在于解決通信的矛盾雙方，因事故和信用危機導致責任問題的公證仲裁[3]。5.安全需求與安全目標5.1網絡安全需求通過對局域網結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護及管理安全上。因此，要采用相應的安全措施杜絕安全隱患，應該做到以下幾點[4]。公開服務器的安全保護防止黑客從外部攻擊入侵檢測與監控信息審計與記錄病毒防護數據安全保護數據備份與恢復網絡的安全管理5.2網絡安全策略安全策略是指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。改安全策略模型包括建立安全環境的三個重要組成部分[12]：1.法律規章。安全的基石是社會法律、法規、規章制度與相應的制裁手段，在這基礎上建立一套安全管理的辦法。既通過建立與信息安全相關的法律、法規和單位的規章制度，使不法分子攝于法律，不敢輕舉妄動。2.先進技術。先進的安全技術是信息安全的根本保障，用戶對自身面臨的威脅進行風險評估，決定對其需要的安全服務種類，選擇相應的安全機制和先進的安全技術。3.嚴格管理。各網絡使用機構、校園和單位應建立相宜的信息安全管理辦法，加強內部管理，建立審計和跟蹤體系，提供整體的信息安全意識。5.3系統安全目標局域網絡系統安全應該實現以下的目標[5]：建立一套完整可行的網絡安全與網絡管理策略將內部網絡、公共服務器網絡和外網進行有效隔離，避免與外部網絡的直接通信建立網站各主機和服務器的安全保護措施，保證系統安全對網絡服務請求內容進行控制，使非法訪問在到達主機前被拒絕加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度全面監視對公共服務器的訪問，及時防線和拒絕不安全的操作和黑客攻擊行為6.網絡訪問安全6.1VPN概述VPN是專用網絡的擴展，是一種通過公共網絡把兩個私有網絡連接在一起的安全訪問技術，通常作為大型校園網絡的補充，用于實現遠程安全接入和管理。VPN技術通過一系列的驗證和加密技術，使建立VPN連接的兩端虛擬的組成一條排他的專用線路，就好像是一條建立在校園兩端的Intranet專線一樣，只不過這條線路是通過因特網建立的。6.1.1VPN簡介VPN(VirtualPrivateNetwork)，虛擬專用網絡。VPN被定義為通過一個公用網絡建立一個臨時的、安全的連接，是一條穩定的隧道。虛擬專用網是對校園內部網的擴展，可以讓遠程用戶、校園的內部網建立可信的安全連接，并保證數據的安全傳輸。6.1.2VPN的特點與應用1．安全保障雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數據進行加密，以保證數據僅被指定的發送者和接收者了解，從而保證了數據的私有性和安全性。2．服務質量保證(QoS)VPN網應當為校園數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素；而對于擁有眾多分支機構的專線VPN網絡，交互式的內部校園網應用則要求網絡能提供良好的穩定性；對于其它應用(如視頻等)則對網絡提出了更明確的要求，如網絡時延及誤碼率等。QoS通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。3．可擴充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。4．可管理性從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容[10]。6.2路由器實現VPN在本方案中，以一個學生宿舍與學院之間實現用VPN通信為例，以下為拓撲圖：圖6-2VPN通信拓撲其中，學院(R2)的詳細配置如下，第一步：配置端口地址；R2(config)#inte0/1R2(config-if)#ipaddress第二步：配置隧道；R2(config)#inttunnel10R2(config-if)#ipaddressR2(config-if)#tunnelsourceR2(config-if)#tunneldestination第三步：配置連接內部的端口地址，并設置靜態路由；R2(config)#inte0/3R2(config-if)#noshutdownR2(config-if)#ipaddressR2(config-if)#iproute實踐效果如圖6-3所示：圖6-3路由器R2路由表圖6-4路由器R2ping通效果圖宿舍R3的配置如下所示：R3(config)#inte0/2R3(config-if)#ipaddressR3(config)#inttunnel10R3(config-if)#ipaddressR3(config-if)#tunnelsourceR3(config-if)#tunneldestinationR3(config-if)#noshutdown圖6-5路由器R3路由表以上可以看到，從R2路由器可以成功ping通道R3的路由器。證明本方案的VPN通道是可以通信的。7.Cisco安全設備7.1防火墻設計所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關(SecurityGateway)，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。網絡防火墻的主要特點是只能通過對它的數據包進行攔截和過濾，通常需要部署在被保護網絡的邊界，如局域網接入Internet時，就應該將防火墻部署在局域網的出口處。網絡防火墻可以應用于如下四種網絡環境[7]。1.內部網絡與Internet的連接這是一種應用最廣，也是最重要的防火墻應用環境。在這種應用環境下，防火墻主要保護內部網絡不遭受互連網用戶的攻擊。這也是目前絕大多數校園采用防火墻的目的。在這種應用環境中，一般情況下防火墻網絡可劃分為三個不同級別的安全區域，如圖7-1所示。圖7-1防火墻三個級別安全區域內部網絡：這是防火墻要保護的對象，包括全部的校園內部網絡設備及用戶主機，這個區域是防火墻的可信區域。外部網絡：這是防火墻要防護的對象，包括外部互連網主機和設備。這個區域為防火墻的非可信網絡區域。DMZ(非軍事區)：它是從校園內部網絡中劃分的一個小區域，在其中就包括內部網絡中用于公眾服務的外部服務器，如Web服務器、郵件服務器、FTP服務器等，他們都是為互連網提供某種信息服務[8]。2.局域網和廣域網的連接局域網和廣域網之間的連接有兩種方式可供選擇，網絡用戶可以根據自己的實際需求來選擇。如果校園原來已有邊界路由器，則此可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻設置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻和需要保護的內部網絡連接[5]。對于DMZ區中的公用服務器，則可直接和邊界路由器相連，只經過路由器的簡單防護，而不用經過防火墻。網絡拓撲結構如圖7-2所示。圖7-2存在邊界路由器網絡連接在此拓撲結構中，邊界路由器和防火墻就一起組成了兩道安全防線，并且在這兩者之間能設置一個DMZ區，用來放置那些允許外部用戶訪問的公用服務器設施。如果校園原來沒有邊界路由器，此時僅由防火墻來保護內部網絡。此時DMZ區域和需要保護的內部網絡分別連接防火墻的不同LAN網絡接口。因此需要對這兩部分網絡設置不同的安全策略。這種網絡雖然只有一道安全防線，但對于大多數中、小校園來說是可以滿足的。這種應用環境的網絡拓撲結構如圖7-3所示。圖7-3無邊界路由器的網絡連接3.內部網絡不同部門之間的連接這種應用環境就是在一個校園內部網絡之間，對一些安全敏感的部門進行隔離保護，比如人事部門、財務部門和市場部門等。通過防火墻保護內部網絡中敏感部門的資源不被非法訪問。這些部門網絡主機中的數據對于校園來說是非常重要，他的工作不能完全離開校園網絡，但其中的數據又不能隨便給網絡用戶訪問[4]。這時有幾種解決方案，一種是采用VLAN設置，但這種方法設置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關的設置。通過防火墻隔離后，盡管同屬于一個內部局域網，不過其他用戶的訪問都需要經過防火墻的過濾，符合條件的用戶才能訪問。網絡拓撲結構如圖7-4所示。圖7-4連接內部子網絡4.用戶與中心服務器之間的連接對于一個服務器中心而言，比如主機托管中心，大多數服務器需要對第三方開放，不過所有這些服務器分別屬于不同用戶所有，其安全策略也各不相同。如果把他們都定義在同一個安全區域中，顯然不能滿足各用戶的不同需求，這時我們就得分別設置。按不同安全策略保護這些服務器，根據實施方式的不同又可以分為以下兩種網絡環境[10]。1.為每個服務器獨立設置一個獨立的防火墻。這種方案是一種最容易實現的方法，但這種方案無論從經濟上、還是從使用和管理的靈活可靠性上都不是最佳的。2.采用虛擬網絡防火墻。這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全需求的服務器劃分至不同的VLAN。然后通過對高性能防火墻對VLAN子網的設置，將一個高性能防火墻劃分為多個虛擬防火墻。其拓撲結構如圖7-5所示。圖7-5虛擬防火墻雖然這種方案配置較為復雜，但配置完成后，隨后的使用和管理將相當的方便，就像用交換機管理多個VLAN子網一樣來管理每個用戶服務器，而且該方案在現實中比較經濟可行。8.網絡攻擊與防范8.1黑客攻擊手段 隨著Internet的發展，對Internet的攻擊方式也層出不窮。目前為止，以報道的攻擊方式達500多種。大致分為以下7類：1.地址欺騙地址欺騙是基于地址的證實，即攻擊者將自己的地址偽裝成主機認為可信賴的地址，如內部網地址，從而欺騙主機的信任，達到攻擊的目的。2.TCP盜用由于TCP是基于有連接的通信，這樣攻擊者通過監聽攝取連接信息，一旦合法的連接建立后，攻擊者即可插入數據包，甚至接管客戶的TCP連接。在這種情況下，即使經過很強的證實后，也容易接管Telent和FTP的會話操作。3.業務否決攻擊者通過向被攻擊者發送大量的數據流使被攻擊主機淹沒在信息處理的汪洋中，對正常業務請求無法處理，從而否決正常業務。例如，攻擊者可向網上其他主機發出請求，使這些主機向被攻擊主機發送郵件。這樣被攻擊主機就被大量的郵件阻塞。4.對域名系統和基礎設施的破壞攻擊者通過對域名系統，路由器等網絡設施進行破壞，從而使受害主機在域名系統中消失，或無法找到路由。這在動態路由器中可采用欺騙路由應答等方式進行攻擊。5.利用Web破壞數據庫攻擊者在進行Web訪問時，通過對數據庫的訪問查詢有關內容。此時很可能對Web數據庫進行惡意操作，從而導致整個Web服務器不能正常工作甚至癱瘓。6.社會工程這種攻擊方式主要通過一些日常社會交往獲取有用信息，從而利用這些有用信息進行攻擊。7.口令猜測這是最早的攻擊方式，到現在為止依然廣泛被使用，目前黑客已經收集口令并形成字典，使得口令猜測成功率明顯提高。這種攻擊的危害性很大，因為它可能使黑客猜測到系統管理員的口令而破壞整個系統。8.2.1“ARP攻擊”的方式和原理 從影響網絡連接通暢的方式來看，ARP攻擊大概可以分為兩種。一種是對路由器ARP表的欺騙，這種方法可以破壞系統的ARP緩存表，從而組成內外IP地址的混亂。另一種是對局域網內計算機的網關欺騙，讓網內計算機系統的數據報通過假網關來發送。 第一種ARP欺騙是截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行地址的更換，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，從而造成計算機訪問黑客精心構建的網絡陷阱。 第二種ARP欺騙是偽造網關。它的原理是建立假網關，讓被它欺騙的計算機向假網關發數據，而不是通過正常的路由器途徑上網。8.2.2利用“ARP欺騙”入侵實際操作 黑客要利用“ARP欺騙”入侵計算機，只需要一個前提條件，就是進行入侵的計算機和被攻擊的計算機要在同一個局域網的網段中。由于ARP欺騙是通過數據包進行欺騙的，所以在進行操作以前要在本地計算機安裝一個驅動程序，為數據傳輸做準備。我們可以通過一個很出名的ARP攻擊工具WinArpAttacker來實現入侵的過程。 1.打開虛擬機，主機運行WinArpAttacker.EXE，掃描局域網的機器，會發現用虛擬機運行的機器，如圖8-1所示圖8-1掃描的結果截圖2.在要攻擊的機器前面打勾，然后點擊攻擊的按鈕就可以實現攻擊了。攻擊的方式有以下幾種：一、Flood:連續并且大量地發送“IpConflict”包(此功能有會導致對方DOWN機)。效果如圖8-2所示圖8-2網絡阻塞攻擊二、BanGateway:發包欺騙網關，告訴網關錯誤的目標機MAC地址，導致目標機無法接收到網關發送的包。三、IpConflict:發送一個IP一樣但Mac地址不一樣的包至目標機，導致目標機IP沖突。(頻繁發送此包會導致機器斷網)，如果被攻擊，效果很明顯，在你機器的右下角會有個IP沖突的標志。如圖8-3所示圖8-3Ip沖突效果截圖四、Sniffgateway:同時ARP欺騙網關和目標機，使你可以監聽目標機的通信。五、SniffHosts：欺騙多個主機，使你可以監聽他們之間的通信。六、SniffLan：欺騙局域網的所有機器，說是你才是網關，然后通過這個你可以監聽整個網絡。七、修改arp緩存表：修改局域網內某臺機器的arp緩存表，實現MAC地址欺騙，以達到竊取信息的目的,具體演示如下：1.打開虛擬機，主機運行WinArpAttacker.EXE，掃描局域網的機器，會發現用虛擬機運行的機器，如圖8-1所示圖8-1掃描的結果截圖2.虛擬機的ip地址為2，MAC地址為08-00-27-7E-91-9B，使用arp–a命令查看其arp緩存表：圖8-4虛擬機的arp緩存表3.在主機上使用WinArpAttacker制作arp攻擊包，并發送給虛擬機：圖8-5arp攻擊包的制作4.在虛擬機上查看被修改后的arp緩存表：圖8-6被修改的arp緩存表8.2.3“ARP攻擊”防范方