精华内容
下载资源
问答
  • 1.5本文组织结构 4 2 需求分析 6 2.1系统功能需求 6 2.1.1系统功能需求 6 2.1.2用户特点 8 2.2系统模型 8 2.2.1参与者 8 2.2.2管理员用例图 8 2.2.3普通员工用例图 9 2.3可行性分析 10 2.3.1技术可行性 10 2.3.2...
  • Microsoft体系结构概述

    2021-03-05 06:09:13
    企业体系结构ANSI/IEEEStd1471-2000中使用的体系结构定义是:“一个系统的基本组织,表现为系统的组件、组件之间的相互关系、组件与环境之间的相互关系以及设计和进化的原理。”企业体系结构(EA)是帮助组织理解自己...
  • 本课程从Quartz框架讲起,由浅到深,从使用到结构分析,再到源码分析,深入解析Quartz、Spring+Quartz,并且会讲解相关原理, 让大家充分理解这个框架和框架的设计思想。 由于互联网复杂性,为了满足我们特定...
  • 2.1.1 OSPF的基本原理 2.1.2 OSPF的默认路由 2.2 使用VRRP来实现网关冗余 2.3 NAT的工作原理 2.4 入侵防御系统技术 3 关于入侵防御系统的需求分析 3.1 可用性需求分析 3.2 功能性需求分析 3.3 可行性需求...

    目录

    1 绪论

    1.1 课题研究背景

    1.2 课题研究目的与意义

    1.3 创新思路

    1.4 论文组织结构

    2 构建网络系统的相关技术

    2.1 OSPF技术

    2.1.1 OSPF的基本原理

    2.1.2 OSPF的默认路由

    2.2 使用VRRP来实现网关冗余

    2.3 NAT的工作原理

    2.4 入侵防御系统技术

    3 关于入侵防御系统的需求分析

    3.1 可用性需求分析

    3.2 功能性需求分析

    3.3 可行性需求分析

    4 网络系统的设计

    4.1 企业网络结构的概述

    4.2 三层网络结构的设计

    4.3 入侵防御层的设计方案

    5 入侵防御系统的实现

    5.1  配置路由策略

    5.1.1  进行初始化配置

    5.1.2  使用OSPF协议来实现企业内部网络的相互连通

    5.1.3  VRRP网关冗余的实现

    5.1.4  NAT网络地址转换的实现

    5.2 IPS的防御实现

    5.2.1  接口对的配置

    5.2.2  CDP模式的配置

    5.2.3  配置IPS的旁路模式

    5.2.5  ICMP洪水的防御实现

    5.2.6  UDP洪水攻击的防御实现

    5.2.7  SYN泛洪攻击的防御实现

    6 系统测试

    6.1 测试内部网络之间的连通性

    6.2 测试VRRP的网关冗余功能

    6.3 测试网络地址转换NAT的功能

    6.4 测试IPS的接口对

    6.5 测试CDP的模式

    6.6 测试IPS的ICMP的洪水的防御功能

    6.7 测试IPS的UDP洪水的防御功能

    6.8 测试IPS的SYN洪水的防御行为

    7 总结

    参考文献

    致谢

    注意:版权所有,未经作者本人同意,不得用于商业用途与传播,违者必究!


     

     

     

    入侵防御系统在企业网络中的应用

    摘要

    本设计从实际需求出发,利用虚拟路由器技术及最短开放路径优先算法,并且结合了入侵防御系统技术,设计并且实现了保障数据安全的网络系统。根据企业的实际情况,把网络设计为四层,分别为网络接入层、网络分布层、网络核心层及入侵防御层。网络接入层主要用于连接网络服务器及其他网络终端,网络分布层主要用于配置路由策略,网络核心层主要用于高速转发数据,而入侵防御层主要是用于检测与过滤数据。最短路径优先算法实现了企业内部的网络互通,网络地址转换技术实现了内部网络与外部网络的连通。

    而入侵防御系统技术则实现了对数据的检测与过滤的功能,可以有效的阻挡ICMP洪水、SYN洪水、UDP洪水等拒绝服务攻击。在本设计中,入侵防御系统被设计在企业网络的最外层,充当网络攻击的首道防御墙。IPS设置了在线的接口对模式,所有的数据都会流经它,它不仅可以检测数据,还可以进行对数据的过滤,而设置了CDP的丢弃模式可以最大限度的隐藏边界的设备信息,提高了安全性,把旁路设置为自动工作模式,当分析引擎不能工作时就不会检查数据,这样可以最大程度的保障数据的可持续性。当然最重要的是防御网络上最常见的三种攻击,这个设计的思路都是利用协议的缺陷特点来实现防御的,它们都是具有相同的速率限制、拒绝在线的攻击者的数据包、产生告警、记录攻击者的信息等防御行为特点。

    关键词网络地址转换;开放最短路径优先算法;虚拟路由器冗余协议;入侵防御系统

     

     

     

    The application of intrusion prevention system in enterprise network

    ABSTRACT

    This design embarks from the actual demand, the use of virtual router technology and Open Shortest Path First algorithm, and combined the technology of the intrusion prevention system, was designed and implemented to ensure data security of network system.According to the actual situation of the enterprise, the network is designed as four layers, namely network access layer, network distribution layer, network core layer and intrusion prevention layer.The network access layer is mainly used to connect to the Internet server and other network terminal, network distribution layer is mainly used for configuring the routing strategy, network core layer is mainly used for high speed data forwarding, and intrusion prevention layer is mainly used to detect and filter the data.The Shortest Path Priority Algorithm realizes the network intercommunication within the enterprise, and the Network Address Translation technology realizes the connection between the internal network and the external network.

    However, the Intrusion Prevention System technology has realized the function of detecting and filtering the data, which can effectively block the denial of service attacks such as ICMP flood, SYN flood and UDP flood.In this design, the Intrusion Prevention System is designed to be the outermost layer of the enterprise network and acts as the first defense wall for network attacks.IPS set up online interface mode, all data flows through it, it can detect not only the data, also can undertake to data filtering, CDP discard mode can be set up by the maximum hidden border equipment information, improve the safety, the bypass mode is set to automatically, when the analysis engine can't work will not check the data, it can maximize the sustainability of the security data., of course, the most important thing is that three of the most common attack on defense network, the design train of thought are using defect characteristics to realize the defense of the agreement, they are all have the same rate limit, refused to online attackers packets, warning, record information such as defense behavior characteristics of attackers.

     

    Key words: Network Address Translation;Open Shortest Path Priority Algorithm;Redundant Protocol of Virtual Router;Intrusion Prevention System

     

    目录

    1 绪论.................................................................................................................... 1

    1.1 课题研究背景......................................................................................... 1

    1.2 课题研究目的与意义............................................................................. 2

    1.3 创新思路................................................................................................. 2

    1.4 论文组织结构......................................................................................... 2

    2 构建网络系统的相关技术................................................................................ 4

    2.1 OSPF技术............................................................................................... 4

    2.1.1 OSPF的基本原理........................................................................ 4

    2.1.2 OSPF的默认路由........................................................................ 4

    2.2 使用VRRP来实现网关冗余................................................................ 5

    2.3 NAT的工作原理..................................................................................... 6

    2.4 入侵防御系统技术................................................................................. 6

    3 关于入侵防御系统的需求分析........................................................................ 8

    3.1 可用性需求分析..................................................................................... 8

    3.2 功能性需求分析..................................................................................... 8

    3.3 可行性需求分析..................................................................................... 8

    4 网络系统的设计................................................................................................ 9

    4.1 企业网络结构的概述............................................................................. 9

    4.2 三层网络结构的设计............................................................................. 9

    4.3 入侵防御层的设计方案....................................................................... 10

    5 入侵防御系统的实现...................................................................................... 12

    5.1  配置路由策略..................................................................................... 12

    5.1.1  进行初始化配置...................................................................... 12

    5.1.2  使用OSPF协议来实现企业内部网络的相互连通.............. 12

    5.1.3  VRRP网关冗余的实现.......................................................... 13

    5.1.4  NAT网络地址转换的实现..................................................... 14

    5.2 IPS的防御实现..................................................................................... 15

    5.2.1  接口对的配置.......................................................................... 15

    5.2.2  CDP模式的配置..................................................................... 17

    5.2.3  配置IPS的旁路模式.............................................................. 18

    5.2.4  拒绝服务攻击的常见类型与攻击原理 ................................ 19

    5.2.5  ICMP洪水的防御实现........................................................... 20

    5.2.6  UDP洪水攻击的防御实现..................................................... 21

    5.2.7  SYN泛洪攻击的防御实现..................................................... 22

    6 系统测试.......................................................................................................... 26

    6.1 测试内部网络之间的连通性............................................................... 26

    6.2 测试VRRP的网关冗余功能.............................................................. 27

    6.3 测试网络地址转换NAT的功能......................................................... 28

    6.4 测试IPS的接口对............................................................................... 29

    6.5 测试CDP的模式................................................................................. 29

    6.6 测试IPSICMP的洪水的防御功能............................................... 30

    6.7 测试IPSUDP洪水的防御功能..................................................... 32

    6.8 测试IPSSYN洪水的防御行为..................................................... 33

    7 总结.................................................................................................................. 38

    参考文献.............................................................................................................. 40

    致谢...................................................................................................................... 41

     

     

    1 绪论

    1.1 课题研究背景

    目前,网络安全越来越受大家关注,因为网络工具的发达,在加快网络发展的同时,也严重威胁到了网络数据的安全。数据安全事故可能是人为造成的,也有可能是设备本身的物理原因造成的。当一个网络系统不存在冗余网关时,若一条物理链路出现了故障,导致了不能通信,那么有时候对于企业造成的损失是巨大的。例如,当有客户急需访问数据库时或者公司的外部员工需要访问公司内部的数据库时突然发现无法访问的情况。这种问题可以使用网关冗余来备份网关,当网关出现问题就可以马上切换到另一台网关,这就保证了数据的可用性。但是很多时候,人们在设计的时候很容易忽略了数据的实时性,特别是在小型的企业网络中。通过使用开放最短路径优先算法协议,可以在网络拓扑发生变化时,及时的更新,因为它是使用触发更新的方式来收敛的。

    黑客技术的进步使得网络中的数据更加容易被破坏,也许有人说,我们不是在电脑上安装了杀毒软件吗?有杀毒软件还怕什么?杀毒软件只是检测到电脑上的病毒才会起作用,况且杀毒软件不仅会占用大量的内存,而且杀毒时还会降低电脑性能,影响工作效率。这时候硬件防火墙就变得很重要了,而入侵防御系统就是一种比较有效的硬件防火墙。

    使用了入侵防御系统后,可以自定义攻击库,从而达到有效的检测和拦截有害的数据。例如,可以定义关闭思科发现协议功能,外部就难以利用这个漏洞来找到这个设备的有效信息。网络的攻击中,还有一种拒绝服务攻击,也就是发送大量的ICMP数据包来消耗网络带宽从而使得目标服务器停止提供服务。这种拒绝服务攻击问题一直得不到有效的解决,因为这是由于网络协议本身的安全缺陷造成的。使用入侵防御系统,可以定义拒绝服务攻击这种行为,一旦发现就丢掉攻击者的数据包并且产生告警等。还有SYN的泛洪攻击也比较常见,我们也可以定义攻击库,将TCP的泛洪攻击定义出来,并且作出相应的动作。入侵防御系统可以根据定义攻击库来达到防御和检测数据的目的,但是这种定义有时也会被黑客利用,因为这种定义有时候是模糊的、存在歧义的。那么这种弊端如何解决呢?我相信随着网络技术的成熟一定可以解决这个问题的。

     

    1.2 课题研究目的与意义

    本课题的意义在于按照实际需求,结合开放最短路径优先算法、网络地址转换、虚拟路由器冗余、入侵防御系统等技术设计出一个具有高可用性、安全性、实时性的简单网络系统。使用实验环境来模拟真实的网络系统,通过分析、测试,实现企业网络在发生单点故障时可以自动切换网关来避免,且结合OSPF来维护路由信息,加快路由收敛速度,提高数据的实时性,同时利用了入侵防御系统技术有效的防御ICMP洪水、UDP洪水、SYN洪水的攻击,增强了网络系统对三种主流网络攻击的防御,提高了系统的安全性,确保了企业正常的业务。

    1.3 创新思路

    现在的公司发展迅速,有很多的公司因为前期的网络设计考虑不周,导致扩展性不足,网络无法在不影响公司业务的情况下进行网络规模扩展,而且还存在一些常见致命的安全隐患。在考虑到网络系统的扩展性与安全性后,设计了一个新型的具有高扩展性与安全性较大的网络系统,可以以这个网络系统为原型,进行网络规模扩展,且不会对原有的系统有影响。除此之外,在之后的扩展中,也可以在入侵防御系统与边界路由器上加上防火墙来增强系统安全。这个入侵防御系统可以在应用的过程中不断的完善,重要的是,整个网络系统可以作为设计一个新的网络系统的原型。特别的,这个网络系统中,已经设计好了对网络上的三种主流的网络攻击的防御措施,只要触发了IPS的防御机制,IPS就会按照设定的后果来处理。我在这里设计的ICMP洪水、 UDP洪水、 SYN洪水的网络攻击的防御动作有产生告警、记录攻击者的信息、拒绝攻击者的在线数据包。

    1.4 论文组织结构

    第1章 绪论,介绍课题研究背景,明确了选题的目的与意义。

    第2章 构建网络系统的相关技术,介绍了OSPF的实现维护路由信息功能、NAT的网络地址转换功能、VRRP的冗余网关以达到避免单点故障的作用、以及IPS的入侵防御原理。

    第3章 关于入侵防御系统的需求分析,从企业的实际需求出发,从设计系统的可用性、功能性、可行性需求等三个方面的分析。

    第4章 网络系统的设计,从网络系统的特点出发,进行网络层次结构的设计,结合实际情况设计目标与思路,然后实现方案。

    第5章 入侵防御系统的实现,描述设计整个入侵防御系统的具体步骤,以及实现对ICMP、UDP、SYN洪水等网络攻击防御的详细过程。

    第6章 系统测试与分析,对系统实现的功能进行各方面的测试,验证结果并分析。

    第7章 总结,对论文工作进行了总结,总结课题研究主要解决的技术问题和存在的不足,以及对未来工作的展望。

     

     

     

    2 构建网络系统的相关技术

    2.1 OSPF技术

    2.1.1 OSPF的基本原理

    OSPF是一种公有的网络路由选择协议,采用区域化的结构来组建网络,由于它具有可扩展性、快速收敛和多供应商环境支持的特点,所以对于一些大、中型的企业来说特别适用。OSPF是一种链路状态协议,采用触发更新的方式更新OSPF的链路状态数据库(Link State DataBase,也就是LSDB),虽然它采用触发更新的方式更新数据,但是它也有定期更新的,它每30分钟就自动发送更新,而链路状态数据库的超时时间为60分钟。OSPF第10秒就会发送一个Hello包,保持时间为40秒,若40秒还没有收到Hello包则认为邻居不存在了,邻接关系就会DOWN掉。而在非广播网络中,如帧中继,它是第30秒发送一次,保持时间为120秒。那么OSPF是如何构建网络的呢?首先使用ROUTER OSPF 100的命令进入OSPF路由进程,然后使用ROUTER-ID IP-ADDRESS来唯一地标识这个区域中的OSPF路由器,再使用命令NETWORK 192.168.1.1 0.0.0.255 AREA 0来将要宣告的接口添加进OSPF路由进程,并且分配好区域。在这里把IP地址为192.168.1.1的接口添加进OSPF路由进程,并且分配的区域为0,OSPF的路由进程号是用来区分本路由器的不同OSPF进程,可以与邻居不一致。区域号主要是用来隔离1类、2类LSA(链路状态通告,不是一种数据包,只是一种消息,必须得使用链路状态更新包(LSU)才能发送出去),以达到减少路由表的条目、降低路由器的内存,提高路由器的性能的目的。OSPF的区域划分为两部份,一部份为骨干区域,另一部份为非骨干区域。骨干区域的功能为高速转发不同区域的数据,非骨干区域的功能为连接网络的不同区域。来自其它区域的所有流量必须通过中转区域,即骨干区域。如果来自不同区域的流量不经过骨干区域的话,是无法与其它的非骨干区域通信的。

     

     

    2.1.2 OSPF的默认路由

    默认路由是一种特殊的静态路由,当路由表中没有包含前往目标网络的路由但是必须要做出路由选择时就可以用到默认路由。默认路由分两种,一种是静态默认路由,由网络管理员手工配置,另一种是动态默认路由,由动态路由协议生成。两者的最大区别是,静态默认路由由不可人为控制路由路径,在大型的网络中比较适用,可以减轻管理员的负担,提高网络性能。内网需要访问外网,网关的路由器必须要有到外网的路由,如果使用静态默认路由,工作量大,还容易出错,采用OSPF动态默认路由,方便配置又节省人工。进入路由进程后,使用Default-Information Originate Always来强制下发默认路由,这种方式不用存在默认路由,它会自动生成的。而采用另一种形式,使用Default-Information Originate的命令,则必须要写一条默认路由,否则的话,OSPF的默认路由是不生效的。使用Default-Information Originate Always可以节省配置步骤,比第二种方式更加的方便。

     

    2.2 使用VRRP来实现网关冗余

    虚拟路由器冗余协议(Virtual Router Redundancy Protocol,单称VRRP),是IEEE(电气电子工程师协会)发布的一种公有协议,它旨在如何解决在局域网中配置静态网关出现单点失效现象的问题。它的角色分为主路由器和备用路由器,主路由器定期地发送VRRP通告报文,通知备份组内的其他路由器自己工作正常,备用路由器则定时地等待通告报文。VRRP默认是抢占的,只有主路由器才会发送通告(类似于Hello包)。每次通告时间为1S,超时时间为3S,若3S后备用路由器没有收到主路由器的通告消息,它就会发送通告来选举主路由器。VRRP采用优先级来选举主路由器,可配置的范围为1-254,优先级0一般用在IP地址所有者主动放弃主控者角色时使用。使用命令VRRP  X  IP 网关(如192.168.1.1)来开启VRRP功能,X为VRRP的组号,网关为虚拟出来的网关。它采用组播的方式发送数据包,组播地址为224.0.0.18.由于VRRP可以使用优先级来抢占主路由器,所以,可以更改路由器的优先级来控制主路由器与备份路由器的选举。命令为VRRP X PRIORITY Y,Y为路由器的优先级。

     

     

    2.3 NAT的工作原理

       网络地址转换(Network Address Translation,简称NAT),当企业内网访问外网时需要进行地址转换才能实现内网与外网的通讯。网络地址转换的原理,当公司内部网络发送数据给外网络时,会把源的IP地址转换为公网IP地址,当返回到出口路由器时,就会把目的IP地址转换回内部网络IP地址,这样就可以实现了内网与外网的通讯。网络地址转换技术分为3类:第一类为静态NAT,必须手工配置源IP地址与转换后的IP地址关联,由于这种关联是一一对应的,所以它不够灵活,若大量转换的话容易出错,第二类为动态NAT,它可以实现1对多,或多对多的地址转换,转换后的IP地址是随机的,第三类为端口多路复用NAT,也称为PAT,使用它的好处是,可以节省公网IP地址,它可以通过复用的方式将要转换的私网IP地址都转换为出口的那个公网IP地址,并且与端口号关联起来用以区分不同的私网IP地址。无论哪种网络地址转换技术,都必须要定义一个NAT内部接口与一个外部NAT接口来确定要转换IP地址的方向。随着网络的规模的扩大,静态NAT、动态NAT已经不太适用了,端口复用PAT可以最大限度地节省IP地址资源,内部网络的所有主机均可以共享一个合法的外部IP地址实现对Internet的访问,同时又隐藏了内部网络的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。

    2.4 入侵防御系统技术

    最早的网络只是由少数的计算机组成,对于网络攻击毫无抵抗之力,很容量就被其他人入侵了。科学的进步,网络数据的保护变得越来越重要,如果丢失了一些重要的数据,对于一些公司来说是一场灭顶之灾。为了更好地保护好网络数据,催生了防火墙技术和杀毒软件,这种技术是基于软件应用的。但是随着网络的发展,防火墙技术和杀毒软件的不足逐渐显露了出来。杀毒软件只能被动的检测到已有的病毒库中已有的病毒然后才会把病毒杀掉,若是一种新型的病毒攻击了计算机,它是无法起作用的,因为它的病毒库不存在这种病毒。而且杀毒软件的缺点也是明显的,首先,它针对的数据是硬盘上的数据,是在被感染了才被动地作出反应,其次,它会占用计算机的内存和CPU等资源,因为病毒的数量只会越来越大,所以病毒库也会越来越大,因此占用的计算机资源也会增大。而防火墙的话,它是一种防外不防内的过滤技术,我们可以定义防火墙规则,规定只有符合规则的数据才能通过防火墙。所谓的防外不防内指的是,防火墙对于外部进入内部网络的数据具有检测过滤的作用,而对于内部的数据则不会阻拦。所以,可以在内部的工作场所进行网络攻击,这种内部的网络攻击往往是致命的,因为防火墙不起作用,服务器的数据容易受到窃取的威胁。防火墙有三个最基本的特性,一是,内部网络与外部网络之间的所有网络数据流都必须经过防火墙,二是,只有符合安全策略的数据流才能通过防火墙,三是,防火墙自身具有非常强的抗攻击免疫力。如果使用杀毒软件的话就会显得很被动,而且会影响计算机的性能,使用防火墙的话,内部的网络攻击它无法起作用。那有什么方法可以更好的防止网络攻击?这时入侵防御系统技术(Intrusion Prevention System)应运而生,它是一种对防病毒软件(Antivirus Programs)和防火墙(Firewall)补充。它可以对网络数据在进入到计算机之前就完成对数据的检测与拦截功能,它的作用范围是网络中的数据,而杀毒软件的作用范围是硬盘中的数据。在早期的网络中,电脑没有广泛应用,网络也没有普及,病毒的扩散比较慢,杀毒软件的开发商有足够的时间从容研究病毒,开发防病毒、杀毒软件。但是今天不仅病毒增多了,越变得复杂的,而且可以通过网络快速传染其他没有被感染的计算机,可以在比较短的时间内传遍整个世界的。况且还存在病毒变种的情况,会使用防毒软件失效的。如果可以手工定义一个攻击库,并且根据这个攻击库来处理数据的话,那么计算机网络的安全就会有了很大的保障。入侵防御系统就是一种可以通过自定义攻击库来达到防御网络攻击的一种技术,它独立在一台计算机网络安全设备,不仅可以实时监视网络或网络设备的资料传输行为,还可以即时中断、设置或隔离一些不正常或是具有危害网络的行为。

     

     

     

     

    3 关于入侵防御系统的需求分析

    3.1 可用性需求分析

    可用性是在某个考察时间,系统能够正常运行的概率或时间占有率期望值。考察时间为指定瞬间,则称瞬时可用性;考察时间为指定时段,则称时段可用性;考察时间为连续使用期间的任一时刻,则称固有可用性。它是衡量设备在投入使用后实际使用的效能,是设备或系统的可靠性、可维护性和维护支持性的综合特性。这个系统使用了VRRP技术来进行网关冗余,可以有效的避免单点故障,可以较大限度提高服务器的可用性。

    3.2 功能性需求分析

    针对企业的一些实际需求,这个入侵防御系统需具备以下功能:

    1. 可以实现内网的相互通信;
    2. 可以实现网关的负载均衡;
    3. 内网可以与外网相互通信;
    4. 禁止边界路由器的CDP通过IPS;
    5. 当分析引擎出现故障时,进行旁路,所有的数据都不用检查就可以通过;
    6. 可以有效的防御ICMP、UDP、SYN洪水等网络攻击;

    3.3 可行性需求分析

    使用设计的OSPF、NAT、VRRP、IPS等技术都是比较成熟的一种技术,加上使用的GNS3、IPS、UDP洪水、SYN洪水模拟器都是经得起考验的工具。OSPF可以实现内网的相互通信,VRRP可以实现网关的负载均衡,NAT可以实现公网IP与私网IP的转换,IPS可以通过定义攻击库来实现对数据的检测与过滤中,所以即使会有些小BUG,但是对于整个设计来说是影响不大的。因此,这个系统的设计是可行的。

     

     

     

     

    4 网络系统的设计

    4.1 企业网络结构的概述

    由于扁平网络的投入资金过大、不方便普及的局限性,因此催生了三层的网络结构设计。三层的网络结构分别为接入层、分布层、核心层,而接入层的功能是接入终端设备,分布层的功能是配置路由策略,核心层则负责高速转发数据流量。三层网络结构为什么可以代替扁平网络呢?因为三层网络结构是基于性能瓶颈和网络利用率的。它采用层次化的模型设计,可以将一个复杂的网络设计分成几个层次,每个层又有一些特定的功能,类似于OSI开放系统互连模型,把复杂的大的问题转化为多个小的简单的问题。接入层只是接入终端设备的作用,因此接入层的设备不需要高端的,而分布层的设备只是用于配置策略,本身没有经过大量的数据流,所以中高端的设备即可,但是核心层它负责高速转发流量的,处理数据的能力必须要强大,所以最好是用高端的设备,使用中端设备也可以但是如果网络规模太大就不建议中端设备,因为会影响网络性能。

    4.2 三层网络结构的设计

    如下图4.1,分别设计了企业的接入层、分布层、核心层。接入层主要使用了中低端的交换机,是用于接入公司的终端设备与服务器的,配置的网段为192.168.1.0,172.16.1.0,子网掩码都为255.255.255.0。分布层使用了中端或高端的交换机,主要用于配置路由策略。核心层用于高速转发流量,进行内网与外网的通讯。

     

    图4.1 三层网络设计结构图

    4.3 入侵防御层的设计方案

    入侵防御系统是一种较新型的网络数据检测与过滤技术,因此通常将它应用在网络的内部与外部之间。入侵防御系统IPS设计在网络的外部,如图4.2,采用在线模式,所以网络数据可以直接通过它,但是这部份数据在经过它时,会被它监控,当发现的数据与定义的攻击库有匹配的条目时,它就是根据触发攻击库的行为进行相应的动作。例如,当发现有一个思科发现协议包经过且IPS是禁止它转发的,那么它就会直接把这个数据包丢掉。IPS是一种防火墙与防病毒软件的结合体,功能强大,特别是在防御一些网络的主流攻击时。当有ICMP洪水、SYN洪水、UDP洪水等拒绝服务攻击时,若在IPS的攻击库中有特定的攻击特征,那么就可以起到有效的防御效果。在这层设计中,它的主要的功能就是防御这三个主流的拒绝服务攻击。

     

    图4.2 入侵防御系统的设计图

     

    5 入侵防御系统的实现

    5.1  配置路由策略

    5.1.1  进行初始化配置

    在每台设备上都进行初始化配置

    Router(config)#hostname Border

    Border(config)#no ip domain-lookup

    Border(config)#line console 0

    Border(config-line)#logging synchronous

    Border(config-line)#exec-time  0 0

    Border(config-line)#interface FastEthernet0/0

     ip address 58.248.27.1 255.255.255.252

    no shutdown

    在Border边界路由器上必须配置静态默认路由才能把数据转发到Internet上,当然,还要配合NAT技术才能在Internet上路由。

    Border(config)#ip route 0.0.0.0 0.0.0.0 58.248.27.2

    还有因为这是模拟环境,所以可以在Internet路由器上使用静态默认路由来实现外部与内部网络的连通。

    Internet(config)#ip route 0.0.0.0 0.0.0.0 58.248.27.1

    5.1.2  使用OSPF协议来实现企业内部网络的相互连通

    OSPF在大型的网络中优点十分明显,它可以进行分层,每个层之间的路由条目不必都出现在路由表中,因为各层之间是相不干扰的,特别的使用它,会使网络具有良好的可扩展性。分别在分布层与核心层配置OSPF,配置过程如下:

    (1)核心层的OSPF配置:

    Border(config-router)#do show running | sections router ospf

    router ospf 100

     router-id 1.1.1.1

     log-adjacency-changes

     redistribute static

     network 172.16.2.0 0.0.0.255 area 0

     network 172.16.3.0 0.0.0.255 area 0

     default-information originate

    (2)分布层的OSPF配置:

    r1(config-router)#do show running | sections router ospf

    router ospf 100

     router-id 2.2.2.2

     log-adjacency-changes

     network 172.16.1.0 0.0.0.255 area 0

     network 172.16.2.0 0.0.0.255 area 0

     network 192.168.1.0 0.0.0.255 area 1

     

    r2(config-router)#do sh running | sections router ospf

    router ospf 100

     router-id 3.3.3.3

     log-adjacency-changes

     network 172.16.1.0 0.0.0.255 area 0

     network 172.16.2.0 0.0.0.255 area 0

     network 192.168.1.0 0.0.0.255 area 1

    5.1.3  VRRP网关冗余的实现

    在分布层的设备上,配置VRRP来实现风头冗余。分别在R1和R2连接到接入层交换机的接口上配置VRRP。

    r1(config-router)#do show running | sections vrrp  

     vrrp 1 ip 192.168.1.100

     vrrp 1 authentication ccie

     vrrp 1 ip 172.16.1.100

     vrrp 1 authentication ccna

     

    r2(config-router)#do show running | sections vrrp

     vrrp 1 ip 172.16.1.100

     vrrp 1 authentication ccna

     vrrp 1 ip 192.168.1.100

     vrrp 1 authentication ccie

    5.1.4  NAT网络地址转换的实现

    进入内部网络的接口,使用命令ip nat inside设置为需要转换的内部端口,进入外部网络的接口,使用命令ip nat outside设置的需要转换的外部端口。然后,定义内部访问列表,命令为access-list 1 permit 192.168.1.0 0.0.0.255,允许访问Internet的网段为192.168.1.0~192.168.1.255,子网掩码为255.255.255.0,这里采用的是反掩码。最后一步,将内部本地IP地址与外部合法地址之间建立端口复用连接。在全局模式下,使用命令ip nat inside source list 1 interface f0/0 overload来将访问列表1中的私有IP地址转换为路由器的出口的合法IP地址。实现过程如下:Border(config)#do show running | sections access-list

    access-list 1 permit 192.168.1.0 0.0.0.255

    Border(config)#do show running | sections ip nat

     ip nat outside

     ip nat inside

     ip nat inside

    ip nat inside source list 1 interface FastEthernet0/0 overload

    Border(config)#ip nat inside source list 1 int f0/0 overload

     

     

    5.2 IPS的防御实现

    5.2.1  接口对的配置

    思科入侵防御系统是一个优秀的安全系统 ,它使我们可以积极防御网络攻击、非法访问,该系统包括传感器和代理,它们在网络各个位置完成对数据流量的实时监控,范围涉及从网络级到主机级。为了适应不同的网络环境与不同的业务需要,思科IPS系列产品支持的工作模式有四种,分别为混杂模式、在线接口对模式、在线VLAN对模式以及VLAN级模式,用户可以根据实际的安全需要灵活地选择和切换。在混杂模式下,IPS并联在网络中,受监控网络的数据包不会流经IPS,通过在交换机上配置SPAN,把流经交换机的流量拷贝给IPS,这跟传统的入侵检测系统IDS十分类似。在混杂模式下,因为IPS只是监控网络数据而没有处理网络数据,所以它不会对网络的传输有丝毫影响,但是,IPS对网络攻击的响应能力有限,不能很好好抵御各种各样的网络攻击与网络蠕虫病毒,因此,应用这种模式时,IPS应该与防火墙联动一起来抵御攻击。而在线接口模式下,IPS是与网络串联在一起的,网络中的数据流量都流经IPS设备。这种模式下,IPS会检测是否有恶意的流量,如果发现它马上就会拦截,使用目标免受到网络攻击。在线的IPS不仅处理数据包的第3层和第4层信息,还分析数据包的有效载荷从而发现理深层次的攻击深度审查使IPS可以识别和阻断那些能够穿越传统防火墙的攻击。在线接口模式下,IPS的两个接口被配置为接口对,数据包从接口对中的一个接口进,从另一个接口出,当数据包从接口对中的一个接口进入IPS后,IPS会根据攻击库对数据包进行检测,以决定将数据包转发到接口中的另一个接口或是直接丢弃。在线VLAN对模式下,IPS的一个物理接口可以关联多个VLAN对,交换机和IPS的链路产802.1trunk链路,IPS利用物理接口的子接口来对一对VLAN的流量进行检测。在VLAN组模式下,IPS的物理接口被划分成VLAN组子接口,每个子接口可以关联一组VLAN,且在该模式下,分析引擎支持多个虚拟的传感器(Virtual Sensor,VS),每个虚拟的传感器都可以监控一个或多个VLAN组子接口,这种特性可以实现在同一个传感器上配置不同的策略。由于没有使用防火墙,所以必须使用在线的工作模式才能更好地保护网络,这里我们使用接口对的工作模式。首先选择Configuration的面板,点击Interfaces,把相应的接口打开,然后在点击Interface Pairs,增加一个接口对,过程如图5.1,图5.2,图5.3,所示。最后将接口对添加进一个虚拟的传感器中以方便监控就完成了。

     

     

    图5.1  启用相应的接口配置图

     

    图5.2  添加接口对配置图

     

    图5.3  添加接口对到传感器的配置图

     

    5.2.2  CDP模式的配置

    CDP(Cisco Discover Protocol,即思科发现协议)是一种思科私有的二层网络协议,不一定要在思科设备上运行,一些非思科设备也可以运行的。可以使用它来获得直连设备之间的有关操作系统版本,IP地址,硬件平台等相关信息。CDP在配置的每台设备上发送周期性信息,默认是每60秒发送一次,超时时间为180秒,若超时了它将清除原有收到的CDP信息,发送的为组播地址为01-00-0C-CC-

    CC-CC。CDP有两个版本,目前普遍使用第二个版本,因为相对第一个版本,它具有更高的智能设备跟踪功能。CDP是一种独立的协议,它不会依赖任何的三层协议,可以利用CDP协议来帮助我们解决一些三居错误配置的故障,比如错误的三层地址等。网络管理员使用CDP,可以更加方便的了解网络拓扑、以及网络故障排错等。但是,正是由于它的便利性,使得黑客利用它来获取有效的信息,如设备的接口、设备操作系统、硬件运行的平台等。黑客获取这些信息就会分析这些数据,从相应的操作系统中找漏洞。所以,在边界的的设备应该禁用掉CDP的查询功能。IPS关于CDP的模式有丢掉CDP数据包和转发数据包这种,我们选择丢弃CDP数据包就可以了,如图5.4所示。

     

    图5.4  CDP的工作模式配置图

    5.2.3  配置IPS的旁路模式

    旁路(Bypass)模式可以作为一种诊断工具和一种失败后复原机制,可用于确保虚拟传感器的分析引擎软件失效后继续通过传感器来转发数据包。旁路模式分为三种,分别为自动模式、关闭模式、开启模式。自动模式下,如果分析引擎失效的,数据可以通过传感器转发,但是旁路分析引擎不会检查它,直到传感器的引擎功能恢复。这种模式一般用于传感器升级时,但又必须确保数据要通过传感器来转发。在关闭模式下,流量通过分析引擎进行检查,然后根据签名政策被转发或拒绝,若分析引擎失效了,数据流就停止通过传感器来转发。关闭这种模式,常用于所有通过传感器的数据流都必须要被检查的情况。在开启模式下,通过传感器的数据流不要求通过分析引擎的检查,也就是说,分析引擎失效的情况下也可以通过传感器转发数据。在这个设计中,由于内部网络与外部网络只有一个通道口,一旦数据无法转发造成的损失可能是巨大的,甚至会出现生产事故,所以不能停止数据的转发,应该将旁路模式设置为自动模式,它的工作模式如图5.5。在分析引擎正常的情况下,所有的网络数据应当接受检查的,以确保数据安全,一旦分析引擎失效了,首先要确保内部网络与外部网络的连通性,所以数据仍然要通过传感器转发。

     

                        图5.5  旁路的工作模式配置图

    5.2.4  拒绝服务攻击的常见类型与攻击原理

    拒绝服务攻击(Denial of Service,即DOS),指的是故意使用暴力的手段发送大量的数据包来耗尽被攻击目标的资源,使得目标计算机或网络不能提供正常的服务或资源访问,目标服务系统会停止响应甚至崩溃,当然这个攻击不包括入侵的目标服务器或目标网络设备。

    最常见的DOS攻击有计算机网络带宽攻击和连通性攻击虽然有一些服务器的资源(包括网络带宽、文件系统空间容量、允许的连接数等)非常充足,但是若不对于DOS攻击加以防范的话,服务器的资源很容易会因被耗尽而拒绝提供服务器。拒绝服务攻击原理很简单,就是发送大量的数据包来耗尽服务器的资源,当超过了服务器的处理能力时,服务器系统就会因资源不足而停止服务器甚至系统崩溃。这种网络攻击手段虽然简单、野蛮,但是这种暴力的手段却是非常有效的。拒绝服务攻击的问题直到都无法彻底解决,因为这是由于协议本身的规则所造成的。举一个形象的例子,一个发言者被一个记者访问时,它可以很从容的回答记者的问题,如果有两个记者同时发问,他可能回答的有点勉强,但是如果有一堆记者来访问他呢?他必须要回答这些记者的所有问题的话该怎么办?他就要一个一个地回答记者的问题,所以他是无法同时回答大量的问题的,因为这大大超出了他的处理能力。传统上,攻击者所面临的主要问题是网络带宽,较小的网络规模加上较低的网络速度的限制,攻击者发出的请求有限。于是乎,DOS的攻击者开发了分布式的拒绝服务攻击。攻击者使用简单的工具聚合大量的网络带宽来同时对同一个目标发动大量的攻击请求,这就是分布式拒绝服务攻击,简称DDOS攻击。无论是DOS攻击还是DDOS攻击,都是一种使用蛮力来破坏网络服务的黑客手段,实现的方法可能会多种多样,但是两者都有一个共同点,就是目的在于使用被攻击的服务器无法及时地接收且处理外界的请求,或者是不能及时回应外界请求。具体的形式有三种:1.制造大量的虚假数据,造成目标服务器的网络拥塞,使目标服务器不能正常与外界通信;2.利用被攻击服务器提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击重复服务请求,使得目标服务器无法及时处理其它正常的请求;3.利用被攻击服务器或主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误的分配系统资源,使主机处于宕机或挂起状态。

    拒绝服务攻击是一种对网络有巨大危害的恶意攻击,如今DOS具有代表性的攻击手段主要有死亡ping(Ping of Death)、泪滴(Tear Drop)、UDP泛洪、SYN泛洪等等。死亡ping是使用ICMP(Internet Control Message Protocol,简称Internet控制信息协议)协议的漏洞来对目标服务器进行攻击的。ICMP的功能是用于错误处理和传递控制信息,通过发送请求包来确认目标主机是否还处于活动状态,这是ping的最简单的一个功能。在RFC文档上对包的最大尺寸都一个严格的规定,一般的操作系统都将ICMP包的大小设置为64KB,包头被读取后,得要根据里面包含的信息来生成缓冲区。死亡ping就是故意产生畸形的测试包,说明自己已经超出ICMP上限了,也就是加载的尺寸超过了64KB,若网络系统没有采取保护策略就会出现内存分配错误。

    5.2.5  ICMP洪水的防御实现

    那么如何防御死亡ping呢?如果可以设置一个阀门值来限制ICMP的数量和大小,那么就可以防御这种ICMP泛洪攻击了,可以通过定义IPS的攻击库来防御。首先进入攻击库中选取Dos攻击类型中的ICMP Flood类型,然后启用它。第二步编辑ICMP Flood的攻击行为特征,设置能够接收的ICMP数据包的速率,若超过单位时间ICMP数据包的数量它就违反了规则,即当速率超过了设定的阀门值,就会触发了攻击的防御行为,系统会根据定义的攻击库来采取相应的动作。第三步,汇总相同的ICMP的数据包,也就是说,单位时间内收到相同的ICMP包它会自动汇总为一个数据包,超过汇总的阀门值且在单位时间内它会自动汇总为一个数据包。第四步为编辑触发攻击行为后的动作,这一步一般都会选择日记记录和记录攻击者的信息以及拒绝再次收到攻击者的数据包,这跟列入黑名单类似,配置如图5.6。记录的信息会显示事件的类型,显示的为ICMP泛洪事件。

     

    图5.6  ICMP洪水的攻击行为定义图

     

    5.2.6  UDP洪水攻击的防御实现

    UDP洪水攻击是攻击者使用TCP/IP的服务漏洞,如Chargen和Echo来传送大量的无用数据来侵占目标主机的的网络带宽。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。想要防御UDP洪水攻击得从UDP协议本身入手,因为企业的一些使用UDP的服务是不能停止的,所以可以在IPS上通过定义UDP的攻击行为来达到防御的目的。第一步开启攻击库中UDP的主机泛洪服务类型。第二步定义UDP泛洪的行为,如设定接收UDP的速率、关闭一些闲置的端口.。第三步编辑触发UDP泛洪行为的后果,如记录攻击者的信息、日记记录、拒绝攻击者的数据包,它的配置如图5.7。UDP的泛洪防御看似简单,但是在面对相关的端口时会存在难以精确定义的问题,况且一些大的网站使用UDP的可能性很高,如何定义UDP数量的阀门值也是一个问题。

     

    图5.7  UDP洪水攻击的行为定义图

     

    5.2.7  SYN泛洪攻击的防御实现

    SYN Flood,也叫TCP洪水攻击,是当前最流行的DOS(拒绝服务攻击 )与DDOS(Distributed Denial Of Service,分布式拒绝服务攻击)的方式之一。这种攻击利用了TCP协议本身的漏洞来实现网络攻击的,发送大量的TCP连接请求,使目标服务器的资源被耗尽(内存不足与CPU满负荷)的攻击方式。TCP(Transport Control Protocol,简称传输控制协议)是一种面向连接的可靠协议,当与目标主机通信时,首先要进行连接,这个连接被称为三次握手(Tree-way Handshake)。正常情况下,攻击者首先会向目标服务器发送一个包含SYN(Synchronize,即同步报文)标志的TCP报文。这个同步的报文中有客户端的端口号和TCP连接的初始序号,这是攻击者与被攻击的服务器建立的第一次握手。目标服务器收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,用来同意建立连接的请求,这里TCP的序列号会自动加1,这样攻击者与被攻击的服务器就完成了第二次的握手。攻击者最后发送一个确认包ACK(Acknowledgment)给服务器,同样TCP的序列号加1,这时就完成了3次握手。这样攻击者与服务器就可以正常通信了。攻击者就是利用了TCP三次握手的第三个过程,攻击者发送SYN报文后,服务器也返回SYN与ACK报文,这时攻击者就不发送确认包给服务器,服务器在这种情况下一般会重传(SYN+ACK给客户端),因为可能数据在中途丢失或客户端在发送SYN报文后突然掉线了。这重传要等待一段时间,然后丢弃这个连接,在等待的过程中,服务器的资源是一直被占用的,只有超时时间到了才会释放这个资源,这个时间我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约30秒到2分钟)。服务器处理的数据很多,出现一个因客户端问题而等待的线程等待一些时间也没什么问题,但是如果被一个黑客模拟大量这种情况(通过伪造IP地址),那么服务器就会为了维护大量的半连接而消耗大量的资源。服务器忙于处理攻击伪造的TCP连接请求而无法提供客户正常服务,在正常的客户角度看,服务器失去了响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。解决SYN洪水的方法有多种多样,在IPS这里,我通过设定洪水签名允许的时间间隔、允许SYN泛洪的峰流量数量、每秒数据包的阀门值。选择攻击库号为3050的Half-open SYN Attack类型,编辑它攻击行为,设定的数值如图5.8。然后编辑触发它的后果或行为,这里我设置为产生警告、记录攻击者信息、拒绝攻击者的数据包、请求速率限制,最后我设置了它的连接的超时时间,如图5.9。

     

    图5.8  SYN洪水攻击的行为定义图

     

    图5.9  SYN的速率限制与超时配置图

     

    6 系统测试

    6.1 测试内部网络之间的连通性

    在主机PC上ping网关。

    PC(config)#do ping 192.168.1.100

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 192.168.1.100, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 28/235/1032 ms

    在Server上ping网关

    Server(config-if)#do ping 172.16.1.100

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 8/228/1036 ms

    在主机PC上ping边界路由器

    PC(config)#do ping 172.16.2.1

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds:

    .!!!!

    Success rate is 80 percent (4/5), round-trip min/avg/max = 12/29/44 ms

    在Server上ping边界路由器

    Server(config-if)#do ping 172.16.3.1

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 172.16.3.1, timeout is 2 seconds:

    .!!!!

    Success rate is 80 percent (4/5), round-trip min/avg/max = 8/277/1036 ms

    在边界路由器上使用show ip route命令来查看路由

     

         172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks

    O       172.16.1.0/24 [110/11] via 172.16.2.2, 00:22:25, FastEthernet0/1

    C       172.16.2.0/30 is directly connected, FastEthernet0/1

    C       172.16.3.0/30 is directly connected, FastEthernet1/0

    O       172.16.3.0/24 [110/12] via 172.16.2.2, 00:22:25, FastEthernet0/1

         58.0.0.0/30 is subnetted, 1 subnets

    C       58.248.27.0 is directly connected, FastEthernet0/0

    O IA 192.168.1.0/24 [110/20] via 172.16.2.2, 00:22:25, FastEthernet0/1

    从以上结果来看,边界路由器包含了整个内部网络的路由,终端与其他设备也可以通信,所以这个网络的内部是相互连通的。

    6.2 测试VRRP的网关冗余功能

    在PC上跟踪一下边界路由器的172.16.2.1的路由。

    PC(config)#do tracerout 172.16.2.1

    Type escape sequence to abort.

    Tracing the route to 172.16.2.1

     1 192.168.1.2 16 msec 40 msec 40 msec

      2 172.16.1.1 32 msec 16 msec 8 msec

      3 172.16.2.1 8 msec *  40 msec

    关闭它的网关接口192.168.1.2(实际上它使用是的是虚拟的192.168.1.100的IP地址作为网关),然后再继续跟踪一下IP为172.16.2.1的路由。

    r2(config-if)#interface f0/1

    r2(config-if)#shutdown

    PC(config-if)#do tracerout 172.16.2.1

    Type escape sequence to abort.

    Tracing the route to 172.16.2.1

     1 192.168.1.1 20 msec 28 msec 32 msec

      2 172.16.2.1 12 msec *  16 msecc

    从以上的结果上,可以看出,当网关出现故障时,系统会自动实现网关冗余,从而避免了单点故障。

    6.3 测试网络地址转换NAT的功能

    在边界路由器上使用命令deb ip nat来动态查看NAT的地址转换信息,同时使用主机PC来ping外部网络。

    Border(config)#do debug ip nat

    IP NAT debugging is on

     

    PC(config)#do ping 58.248.27.2

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 58.248.27.2, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/5 ms

     

    Border(config)#

    *May  1 02:51:35.600: NAT*: s=192.168.1.3->58.248.27.1, d=58.248.27.2 [40]

    *May  1 02:51:35.601: NAT*: s=58.248.27.2, d=58.248.27.1->192.168.1.3 [40]

    *May  1 02:51:35.605: NAT*: s=192.168.1.3->58.248.27.1, d=58.248.27.2 [41]

    *May  1 02:51:35.606: NAT*: s=58.248.27.2, d=58.248.27.1->192.168.1.3 [41]

    *May  1 02:51:35.610: NAT*: s=192.168.1.3->58.248.27.1, d=58.248.27.2 [42]

    *May  1 02:51:35.611: NAT*: s=58.248.27.2, d=58.248.27.1->192.168.1.3 [42]

    *May  1 02:51:35.615: NAT*: s=192.168.1.3->58.248.27.1, d=58.248.27.2 [43]

    *May  1 02:51:35.616: NAT*: s=58.248.27.2, d=58.248.27.1->192.168.1.3 [43]

    *May  1 02:51:35.621: NAT*: s=192.168.1.3->58.248.27.1, d=58.248.27.2 [44]

    Border(config)#

    *May  1 02:51:35.621: NAT*: s=58.248.27.2, d=58.248.27.1->192.168.1.3 [44]

    以上的测试数据表明,当内网的主机PC想要与外网通信,在经过Border路由器时会把源IP地址转换为出口的公网IP地址,数据包返回Border路由器时,会把目标的IP地址转换回私网的IP地址。

    6.4 测试IPS的接口对

    在边界路由器与外部网络路由器刚刚接上IPS时,测试他们之间的连通性。

    Border#ping 58.248.27.2

     

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 58.248.27.2, timeout is 2 seconds:

    .....

    Success rate is 0 percent (0/5)

    在配置好了IPS的接口对工作模式后,继续测试。

    Border#ping 58.248.27.2

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 58.248.27.2, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 12/53/84 ms

    从以上结果表明,设置了接口对后,数据会直接流经IPS,这也是一种在线的工作模式,在工作中比较常用的。

    6.5 测试CDP的模式

    在Internet路由器上使用show cdp neighbors来查看他们的邻居信息。

    Internet#show cdp neighbors

    Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

                      S - Switch, H - Host, I - IGMP, r - Repeater

    Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID

    Border           Fas 0/0            167         R S I     2691      Fas 0/0

    配置CDP的工作模式为丢弃模式后,继续测试。

    Internet#show cdp neighbors

    Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge

                      S - Switch, H - Host, I - IGMP, r - Repeater

    Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID

    Internet#

    从以上的结果,可以看出IPS的CDP丢弃模式可以防止边界路由器的邻居信息泄露。

    6.6 测试IPS的ICMP的洪水的防御功能

    在没有启用IPS的ICMP的洪水防御功能之前。

    Type escape sequence to abort.

    Sending 100, 100-byte ICMP Echos to 58.248.27.1, timeout is 2 seconds:

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    Success rate is 100 percent (100/100), round-trip min/avg/max = 4/15/68 ms

    Internet#

    在启用IPS的ICMP的洪水防御功能之后

    Internet#ping 58.248.27.1 repeat 100

    Type escape sequence to abort.

    Sending 100, 100-byte ICMP Echos to 58.248.27.1, timeout is 2 seconds:

    !!!!!!!!!!!!!!!!!!!!..............................................

     

     

    图6.1  ICMP洪水攻击触发IPS的防御图

     

     

    Internet#ping 58.248.27.1 so l0

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 58.248.27.1, timeout is 2 seconds:

    Packet sent with a source address of 183.63.130.1

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 8/28/56 ms

    Internet#

        从以上的结果,可以看出当ICMP的数量到达阀门值后,即触发了IPS的攻击防御,IPS就会拦截攻击者的数据包,并且产生告警以及记录攻击者的信息,而对于其他没有触发到的IP还是可以继续通信的。

    6.7 测试IPS的UDP洪水的防御功能

    在启用UDP洪水攻击防御之前,使用UDP发包工具泛洪并且使用抓包工具查看数据包,如图5.2,图5.3,图5.4。

     

    图6.2  UDP洪水攻击工具图

     

    图6.3  触发UDP洪水攻击的效果图

     

          图6.4  UDP包内部结构图

    在启用UDP洪水防御之后,查看IPS的事件查看器,结果如图6.5。

     

    图6.5  UDP洪水攻击触发IPS的防御图

    从以上的数据中,可以看出,当发送的UDP数据包的数量触发了IPS攻击库的阀门值时,就会触发IPS的防御行为,如记录攻击者的信息、产生告警、拒绝攻击者在线的数据包等。

    6.8 测试IPS的SYN洪水的防御行为

    在启用SYN洪水的防御之前,使用Xcap攻击工具来模拟SYN的半连接攻击和抓包来查看一下数据包的类型,如下图6.6,同时在边界路由器上使用命令debug ip tcp package来动态查看TCP的连接情况。

     

                    图6.6  SYN洪水攻击工具图

     

                            图6.7  SYN洪水攻击的效果图

    Border#debug ip tcp packet

    TCP Packet debugging is on

    *Mar  1 05:01:39.342: TCP0: bad seg from 58.248.23.101 -- connection queue limit reached: port 80 seq 0 ack 0 rcvnxt 0 rcvwnd 4128 len 0 SYN  WIN 10000

    *Mar  1 05:01:40.290: TCP0: bad seg from 58.248.23.5 -- connection queue limit reached: port 80 seq 0 ack 0 rcvnxt 0 rcvwnd 4128 len 0

    *Mar  1 05:01:40.298: tcp0: I LISTEN 58.248.23.4:7 58.248.27.1:80 seq 0

            SYN  WIN 10000

    *Mar  1 05:01:40.302: TCP0: bad seg from 58.248.23.4 -- connection queue limit reached: port 80 seq 0 ack 0 rcvnxt 0 rcvwnd 4128 len 0

    *Mar  1 05:01:40.306: tcp0: I LISTEN 58.248.23.3:7 58.248.27.1:80 seq 0

            SYN  WIN 10000

    *Mar  1 05:01:40.306: TCP0: bad seg from 58.248.23.3 -- connection queue limit reached: port 80 seq 0 ack 0 rcvnxt 0 rcvwnd 4128 len 0

    *Mar  1 05:01:41.282: tcp0: I LISTEN 58.248.22.162:7 58.248.27.1:8

    在启用SYN洪水攻击的防御之后,查看一下IPS的事件查看器以及已经被列入拒绝的黑名单。

     

              图6.8  SYN洪水攻击触发IPS的防御图

     

     

     

           图6.9  列入黑名单的攻击者图

    从以上图的数据中,可以得出在攻击者触发了IPS的防御行为后,它可以自动的记录攻击者的信息、拒绝攻击者在线的数据包、并且把它们列入黑名单中以及产生告警结论。

    7 总结

    时光匆匆,毕业设计进入了尾声阶段,回忆整个设计过程,感慨颇多。在没有接到设计任务之前,心里是有点担忧的,因为人总是会对一些未知的东西感到害怕。但是在接到设计任务时,我却感到很高兴,因为我对自己有信心,把学了四年的东西设计出一个作品,应该不难。与此同时,不仅可以检验我这四年来的学习成果,而且还可以提升我设计的能力。

    想像是很美好的,现实是很残酷的。我一开始是打算使用IOU这个模拟工具来设计的,但是很快我就放弃了。IOU这个模拟器虽然相对于其他的模拟器的模拟效果较好,但是它也是存在很多的BUG的,我承认它是在交换机的模拟上比较好,但是在路由器的模拟上我实际不敢恭维。我不得不使用GNS3 IOS这个模拟器来设计了,但是模拟器它的仿真效果再好也不能与真机一样的,真机也会出错呢,何况是模拟它的软件。在最开始的设计中,就出现了问题,因为路由器默认只有两个接口,所以必须要添加接口。那么问题就来了,新添加的接口与原来的接口是不同的,它们的双工是不匹配的,它会一直出现提示双工不匹配的日记记录,且这种BUG是无法通过修改它的双工模式来匹配的,所幸的是,这对我的设计影响不大。

    在我设计的过程中,也遇到了一些关于工具的问题。我在最后的测试中,是要测试IPS对ICMP洪水攻击、SYN洪水攻击、UDP洪水攻击的防御功能的,但是在使用测试工具时,我就犯愁了。ICMP洪水攻击方式可以使用路由器大量重复的ping来模拟攻击,但是UDP洪水攻击与SYN洪水攻击无法使用这种方式来实现啊!我花了很多时间来找这些工具,找到了之后就按照工具说明来测试,我发现有些工具是有问题的,例如,我使用的是UDP洪水攻击工具,理应发出来的是UDP的数据包,但是我使用WireShark抓包工具抓到的数据包居然是ARP的数据包。还有,由于我是第一次使用这些工具,且实验环境都是在自己的电脑上,对这些工具的威力估计不足,直接使用了较大的频率来攻击,结果这台电脑差点就报废了。虽然我做了这个设计遇到了很多麻烦,但是在彻底完成它后,心里感到很高兴。做这个设计不仅让我的实践能力得到了提升,还让我知道了自己的不足,原来一些看似微不足道的小事却能造成大的灾难。

    经过多次的实验测试,尽管这个设计还有一些不足的地方,但是总算是达到了预期的效果。经多次测试,这个网络系统可以实现内部网络与外部网络的通信;可以避免单点链路故障;入侵防御系统可以对ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击作出相应的防御行为;此外这个系统的可扩展性比较好。

    参考文献

    [1]RFC 3768: Virtual Router Redundancy Protocol (VRRP).

    [2]Xiao-qi YinYi-zhuo-Guo.Campus Network Based on VRRP Redundancy  and Reliability.2013

    [3]李永. VRRP技术在企业网中的应用[J].产业与科技论   坛,2016(18):65-66.

    [4]吴瑞强. 浅谈VRRP与OSPF协议在大型网络系统中的应用    [J].2012(11):27-46.

    [5]雷宇飞. OSPF动态路由协议在校园网的应用研究[J].2014(16):98-99.

    [6]吴海燕. 入侵防御系统研究[J]. 计算机工程与设计, 2007, 28(24): 3-9

    [7]袁宏春. 入侵防御系统(IPS)的技术研究及其实现[J]. 通信技术, 2003, (6):   18-20

    [8]张成志. 安全网关技术在企业中的应用[J]. 电脑知识与技术, 2011,     07(28):45-46.

    [9]刘忠华. 通过部署入侵防御系统(IPS)来提升网络安全[J]. 科技广场,     2009(05):12-14.

    [10]吴穷. 浅谈入侵防御系统IPS[J]. 科技信息(学术版), 2008((9)):24-26.

    [11]崔捷. IDS与IPS的分析与对比[J]. 网络安全技术与应用,     2017((12)):8-10.

    [12]郭淑红. 入侵防御系统(IPS)[J]. 信阳农业高等专科学校学报, 2017,     17((2)):3-4.

     

    致谢

    时光如白驹过隙,四年的时光即将过去,我的大学生涯也将在这温暖的五月结束。感谢身边的同学、朋友,是他们让我体会到了家庭的温馨,也是他们让我明白,在成功的路上,我不是孤单一个人的。感谢大学的各位老师,是你们的真诚的教诲,让我明白大学的生活并不是枯燥无味的,活得痛快与否,取决于个人而已。

    首先,我要感谢我的父母,是他们的支持才可以使得我顺利完成学业,准时完成毕业设计。父母的期望的眼神历历在目,我只有珍惜现在,憧憬未来,加倍地努力学习技能和工作才能对得直他们的栽培。

    这是我毕业论文的终章,但是我相信这不是设计的结束,应该是开始,因为我的生活就应该像这样,充满活力、激情、不停息地去追求属于我的生活。感谢我的指导教师王金恒,本论文就是在她对我的亲切关怀与悉心指导下完成的。她严谨的科学态度与精益求精的工作精神,深深地感染和激励着我 。在设计的这段日子里,感谢有你的细心指导和支持。在你的指导下,许多看似难以解决的问题我都可以迎刃而解,因此设计的路途上有你,我不孤单。在此,我在这里再次说声,谢谢你,老师你辛苦!

    其次我要感谢我的同学李同学、张同学、许同学,是你们的真诚使得我敢于真心表达自己的情感,使我从一个羞涩的的小青年进步到现在直面人生的青年,你们的不懈支持是我不断进步的动力。

    最后,再次感谢那些给于我帮助的师长、同学、朋友们!

     

     

    注意:版权所有,未经作者本人同意,不得用于商业用途,违者必究!

     

    展开全文
  • 麦肯锡 金字塔原理

    2019-04-26 15:32:18
    第一个步骤是展开问题的基本部分;第二个步骤是确定你的解决方案处于什么阶段,是已经提出来了,还是已经被接受了;第三个步骤是提出适当的疑问;第四个步骤是检查金字塔结构是否回答了疑问。 2、展开问题的各要素...
  • 业务流程重组在中小企业 ERP实施中的作用 发表时间2009-11-24 吴鉴 孙延明 来源万方数据 关键字ERP业务流程重组 流程管理 信息化应用调查我要找茬在线投稿加入...根据BPR的基本思想和ER洛勺基本原理结合中小型企业
  • 事务处理原理 第2版

    热门讨论 2012-12-30 10:49:38
    新的标准、新的技术和产品,以及新的语言允许web服务、rest/http和soa成为为企业应用程序设计的主导风格。借助于《事务处理原理(第2版)》及其丰富的示例,读者能够开发、集成、部署和管理最高水准的事务处理应用...
  • 在整个blog进行开发之前,要确定出整个项目整体架构,包括系统选型、运行环境确定及系统结构设计。下面对这进行详细介绍。 在进行软件系统开发最初环节,一般都需要进行系统选型,即根据系统功能实际...
  • 在这部畅销全球多年、影响了一代设计师的经典著作中,RobjnWilliams将优秀设计的秘诀归纳为对比、重复、对齐和亲密性四条基本原则,并用简洁通俗、幽默生动的文笔,同时配以大量经过修改进行前后对比的实例图解和...
  • 根据工作要求与人员特点,设计岗位,通过授权和分工,将适当人员安排在适当岗位上,用制度规定各个岗位职责和上下左右相互关系,形成一个有机的组织结构,使整个组织协调运转——这就是组织职能组织...
  • 本书以我们设计、实现并维护运行北大“天网”搜索引擎经验,介绍大规模搜索引擎工作原理和实现技术。我们要向读者揭示,为什么向搜索引擎输入一个关键词或者短语,就能够在秒钟内得到那么多相关文档及其摘要,...
  • 需求分析阶段的设计目标是通过详细调查现实世界要处理对象(组织、部门、企业等),充分了解原系统手工系统或计算机系统)工作概况明确用户各种需求,然后在此基础上确定新系统功能。 **调查内容是“数据”...
  • 2005-2009软件设计师历年真题

    千次下载 热门讨论 2010-05-18 19:20:10
     • 系统总体结构设计(总体布局、设计原则、模块结构设计、数据存储设计、系统配置方案)  • 系统详细设计(代码设计、数据库设计、用户界面设计、处理过程设计)  • 系统设计说明书  3.4 系统实施知识  • ...
  • 5.5.3 RMI的基本原理 220 5.6 同时作为客户端和服务器的 RMI程序 222 5.6.1 开发客户端程序 222 5.6.2 开发服务器端程序 223 5.7 本章小结 225 第6章 利用JMS实现企业消息处理 226 6.1 面向消息的架构和JMS概述 227 ...
  • 本节先从Bootstrap 的基本原理讲起,并将常用的前端框架比如 JQuery等进行集成。最后通过一个实战内容,来帮助学员理解掌握。 第10章 博客系统的需求分析与原型设计 本章节是对博客系统的需求分析与设计。对于企业...
  • 本节先从Bootstrap 的基本原理讲起,并将常用的前端框架比如 JQuery等进行集成。最后通过一个实战内容,来帮助学员理解掌握。 第10章 博客系统的需求分析与原型设计 本章节是对博客系统的需求分析与设计。对于企业...
  • 第2部分:信息架构基本原理 第4章:信息架构详解 展现信息架构 信息架构组件 第5章:组织系统 信息组织挑战 组织网站和企业网络 组织体系 组织结构 大众分类 建立凝聚性组织系统 第6章:标签系统 为何要关心标签...
  • 中小企业信息化生产数据综合管理系统,是甘肃腾龙在线科技针对生产型企业在采购、出入库及生产过程中信息化系统建设特点和需求,结合行业先进系统设计理念,融合IT主流先进技术和产品,提出综合性运行平台解决...
  • 第2部分:信息架构基本原理 第4章:信息架构详解 展现信息架构 信息架构组件 第5章:组织系统 信息组织挑战 组织网站和企业网络 组织体系 组织结构 大众分类 建立凝聚性组织系统 第6章:标签系统 为何要关心标签...
  • 本节先从Bootstrap 的基本原理讲起, 并将常用的前端框架比如 JQuery等进行集成。最后通过一个实战内容,来帮助学员理解掌握。 第10章 博客系统的需求分析与原型设计 本章节是对博客系统的需求分析与设计。对于...
  • 二十三种设计模式【PDF版】

    热门讨论 2011-05-30 14:13:49
    的被使用,被调用,而是深刻的介入到一个领域中去,J2EE 等框架软件设计的目的是将一个领域中不变的东西先定义好,比如 整体结构和一些主要职责(如数据库操作 事务跟踪 安全等),剩余的就是变化的东西,针对这个领域...
  • 2.3.3 TCP/IP连接的基本原理 57 2.4 小结 59 第3章 文件 60 3.1 参数文件 61 3.1.1 什么是参数 62 3.1.2 遗留的init.ORA参数文件 65 3.1.3 服务器参数文件 67 3.1.4 参数文件小结 72 3.2 跟踪文件 73 3.2.1...
  • 本产品能具体化、合理化的管理学生的学籍档案,用结构化的思维方式去了解计算机的基本工作原理和汉语程序设计语言。 1.3 定义 缩写词 略语 汉语程序设计语言:它是由北京元易达科技发展有限责任公司完全自主开发,...
  • 本书分为上篇和下篇两部分,上篇介绍CFL照明设计中基本概念和电路设计技巧,下篇介绍LED照明中的基本概念和电路设计技巧,我们授权工程师朋友和各个媒体免费下载此书并进行推广,但是不得以本书进行商业活动。...
  • strid1=strid1 & rs("ID") & ","是将所有选出的试题的id号用逗号分割后存储在strid1一个变量中,以方便的把所有选出的试题的id号传到result.Asp文件中,这也是本设计的一个独特的地方。需要说明的是strid1变量的...
  • 软件体系结构是系统的基本组织,由其组件,它们之间的相互关系以及与环境的关系以及确定系统设计和演进的原理来表示。 (来源:软件体系结构手册) 建筑水平 可以在抽象的几个“层次”上完成体系结构。 水平会影响...
  • 第2部分:信息架构基本原理 第4章:信息架构详解 展现信息架构 信息架构组件 第5章:组织系统 信息组织挑战 组织网站和企业网络 组织体系 组织结构 大众分类 建立凝聚性组织系统 第6章:标签系统 为何要关心标签...
  • 2.3.3 TCP/IP连接的基本原理 58 2.4 小结 61 第3章 文件 63 3.1 参数文件 64 3.1.1 什么是参数? 65 3.1.2 遗留的init.ora参数文件 67 3.1.3 服务器参数文件 69 3.1.4 参数文件小结 75 3.2 跟踪文件 76 ...

空空如也

空空如也

1 2 3 4 5 6
收藏数 104
精华内容 41
关键字:

企业组织结构设计的基本原理