網(wǎng)絡(luò)綜合課程設(shè)計(jì)--中小型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)

1、<p><b>　　課程設(shè)計(jì)任務(wù)書</b></p><p>　　2012 ～2013 學(xué)年第二學(xué)期</p><p><b>　　2013 年6 月</b></p><p><b>　　一、課程設(shè)計(jì)目的</b></p><p>　　通過“網(wǎng)絡(luò)綜合課程設(shè)計(jì)”的環(huán)節(jié)，以系統(tǒng)

2、集成項(xiàng)目的調(diào)研、規(guī)劃與實(shí)施為主線，根據(jù)專業(yè)所學(xué)，完成網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)系統(tǒng)的安裝與配置、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理等計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的綜合設(shè)計(jì)與應(yīng)用。通過課程設(shè)計(jì)，使學(xué)生進(jìn)一步鞏固在計(jì)算機(jī)網(wǎng)絡(luò)課程中學(xué)到的專業(yè)知識(shí)，深入掌握計(jì)算機(jī)網(wǎng)絡(luò)工程的設(shè)計(jì)與施工、網(wǎng)絡(luò)系統(tǒng)的安裝與配置技術(shù)，了解網(wǎng)絡(luò)系統(tǒng)建設(shè)各部分之間的相互關(guān)系，提高學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的綜合運(yùn)用和實(shí)際動(dòng)手能力，培養(yǎng)學(xué)生的分工協(xié)作的團(tuán)隊(duì)精神。</p><p>　　二、課程設(shè)計(jì)

3、的名稱及內(nèi)容</p><p>　　名稱：企業(yè)網(wǎng)絡(luò)集成項(xiàng)目規(guī)劃與實(shí)施</p><p>　　企業(yè)背景描述及需求：中小型企業(yè)網(wǎng)構(gòu)建簡(jiǎn)單的說就是將中小型企業(yè)內(nèi)各種信息資源通過高性能網(wǎng)絡(luò)設(shè)備連接起來，形成園區(qū)網(wǎng)系統(tǒng)，以便資源共享，并通過路由器與外網(wǎng)相連。隨著網(wǎng)絡(luò)的的普及和快速發(fā)展，病毒、木馬、黑客攻擊等危害行為隨之產(chǎn)生，所以構(gòu)建一個(gè)安全、企業(yè)網(wǎng)顯得尤為重要。</p><p>

4、　　某企業(yè)分為管理層、銷售部、財(cái)務(wù)部、技術(shù)部等部門，且已在ISP申請(qǐng)了58.242.1.1至58.242.1.10 10個(gè)公網(wǎng)地址，要求為全部用戶提供安全的網(wǎng)絡(luò)接入，企業(yè)網(wǎng)覆蓋企業(yè)所有樓宇，企業(yè)要求建設(shè)對(duì)外的WWW服務(wù)，電子郵件,對(duì)內(nèi)部用戶的文件傳輸服務(wù)、內(nèi)部域名服務(wù)和企業(yè)內(nèi)部門戶網(wǎng)站，要求對(duì)用戶實(shí)現(xiàn)域模式管理，建立嚴(yán)格的資源訪問控制，為保證業(yè)務(wù)的正常開展，要求建立完善的網(wǎng)絡(luò)安全體系和網(wǎng)絡(luò)管理系統(tǒng)，允許外網(wǎng)可信任用戶遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)資源

5、。</p><p><b>　　內(nèi)容：</b></p><p><b>　　總體目標(biāo)</b></p><p>　　1、完成該企業(yè)網(wǎng)絡(luò)與信息化建設(shè)系統(tǒng)集成項(xiàng)目從規(guī)劃到實(shí)施以及管理的全部工作。</p><p>　　2、在企業(yè)網(wǎng)中建成一個(gè)適合于信息采集、共享的內(nèi)部網(wǎng)絡(luò)，在此基礎(chǔ)上建立起供用戶培訓(xùn)使用的內(nèi)部

6、網(wǎng)絡(luò)以及內(nèi)部辦公網(wǎng)絡(luò)。</p><p>　　3、使用防火墻、訪問控制列表、地址轉(zhuǎn)換安全的實(shí)現(xiàn)到Internet的接入與訪問，及實(shí)現(xiàn)信息在Internet的發(fā)布。</p><p><b>　　三、任務(wù)和要求</b></p><p><b>　　1、任務(wù)</b></p><p><b>　　（

7、1）共有任務(wù)：</b></p><p>　　①、需求分析：隨著信息時(shí)代的到來,無論是辦公或者是通信都離不開計(jì)算機(jī)?，F(xiàn)在的人越來越依靠于計(jì)算機(jī)，再加上電子商務(wù)行業(yè)的飛速發(fā)展Internet的應(yīng)用也更加廣泛。由于這樣的社會(huì)環(huán)境人們對(duì)各種數(shù)據(jù)形式的信息需求和交流的不斷增長(zhǎng)，使得當(dāng)今的計(jì)算機(jī)網(wǎng)絡(luò)，成為信息技術(shù)的基礎(chǔ)設(shè)施與獲取、共享和交流信息的主要工具，并成為人們?cè)诋?dāng)今社會(huì)生活及工作中不可缺少的組成部分。因此，

8、在全球信息電子化、網(wǎng)絡(luò)化迅速發(fā)展的大環(huán)境下，無論是從大趨勢(shì)上看，還是從自身商業(yè)利益角度考慮，建立園區(qū)網(wǎng)是企業(yè)順應(yīng)時(shí)代潮流的必由之路。</p><p>　　根據(jù)本園區(qū)網(wǎng)實(shí)際情況主要應(yīng)用需求分析如下：</p><p>　?。?）用戶的應(yīng)用需求：所有用戶可以方便地瀏覽和查詢局域網(wǎng)和互聯(lián)網(wǎng)上的學(xué)習(xí)資源，通過WWW服務(wù)器、電子郵件服務(wù)器、文件服務(wù)器、遠(yuǎn)程登錄等實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)，此外為銷售部、管理部、技術(shù)

9、研發(fā)部、財(cái)務(wù)部等用戶。</p><p>　?。?）通信需求：通過E-mail及其它網(wǎng)絡(luò)功能滿足全網(wǎng)的通信與信息交換的要求，提供文件數(shù)據(jù)共享、電子郵箱服務(wù)等。</p><p>　?。?）信息點(diǎn)和用戶需求：按照要求本園區(qū)網(wǎng)內(nèi)信息點(diǎn)要求，其中包括銷售部、管理部、技術(shù)研發(fā)部和財(cái)務(wù)部若干個(gè)，電子郵件服務(wù)器、文件服務(wù)服務(wù)器、DNS域名服務(wù)器等為內(nèi)部單位服務(wù)，WWW服務(wù)器、遠(yuǎn)程登錄等實(shí)現(xiàn)遠(yuǎn)程學(xué)習(xí)，從外部

10、網(wǎng)站獲得資源。</p><p>　　（4）性能需求：此企業(yè)需要支持企業(yè)的日常辦公和管理，包括銷售管理、技術(shù)管理、財(cái)務(wù)管理等并且支持網(wǎng)絡(luò)信息傳輸要求。</p><p>　?。?）安全與管理需求：企業(yè)基本信息檔案和重要的工作文件要求對(duì)數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩缘男阅茌^高，如銷售管理、技術(shù)管理、財(cái)務(wù)管理等可以通過分布式、集中式相集合的方法進(jìn)行管理。網(wǎng)絡(luò)安全對(duì)于網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它直接關(guān)系到網(wǎng)

11、絡(luò)的正常使用。由于企業(yè)內(nèi)部網(wǎng)與外部網(wǎng)進(jìn)行互聯(lián)特別是和Internet的互聯(lián)，Internet是一個(gè)開放式網(wǎng)絡(luò)系統(tǒng)，它的安全性是很差的。因此安全問題更加重要。應(yīng)該采用一定的技術(shù)來控制網(wǎng)絡(luò)的安全性，從內(nèi)部和外部同時(shí)對(duì)網(wǎng)絡(luò)資源的訪問進(jìn)行控制。當(dāng)前主要的網(wǎng)絡(luò)安全技術(shù)有，用戶身份驗(yàn)證，VLAN劃分，防火墻等技術(shù)。網(wǎng)絡(luò)系統(tǒng)還就具備高度的數(shù)據(jù)安全性和保密性。</p><p>　　（6）實(shí)用與經(jīng)濟(jì)性：企業(yè)的特點(diǎn)決定了園區(qū)網(wǎng)絡(luò)系統(tǒng)

12、必需要有實(shí)用與經(jīng)濟(jì)性。實(shí)用性使得網(wǎng)絡(luò)便于管理、維護(hù)，以減少網(wǎng)絡(luò)使用人員運(yùn)用網(wǎng)絡(luò)的難度，從而降低人為操作引起的網(wǎng)絡(luò)故障，并使更多的人掌握網(wǎng)絡(luò)的使用。由于企業(yè)的資金有限，所以在建設(shè)園區(qū)網(wǎng)時(shí)一定要使用性價(jià)比高的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)設(shè)備，以節(jié)約建設(shè)資金。</p><p><b>　　② </b></p><p>　　圖1-1 項(xiàng)目整體架構(gòu)圖</p><p>

13、;　?、劬W(wǎng)絡(luò)基礎(chǔ)架構(gòu)規(guī)劃與實(shí)施</p><p><b>　　第一節(jié) 設(shè)計(jì)原則</b></p><p>　　由于計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的特殊性，網(wǎng)絡(luò)建設(shè)需要考慮以下一些因素：系統(tǒng)的先進(jìn)性、體統(tǒng)的穩(wěn)定性、系統(tǒng)的可擴(kuò)展性、系統(tǒng)的可維護(hù)性、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的配合度、與外界網(wǎng)絡(luò)的連通性等。</p><p>　　（一）選擇可擴(kuò)充的網(wǎng)絡(luò)架構(gòu)</p>

14、<p>　　園區(qū)網(wǎng)的用戶數(shù)量或服務(wù)功能是逐步提高的，網(wǎng)絡(luò)技術(shù)也是日新月異的，新技術(shù)新產(chǎn)品不斷地涌現(xiàn)。一般情況下，企業(yè)網(wǎng)的建設(shè)資金用量非常大，所以在園區(qū)網(wǎng)構(gòu)建時(shí)，宜采用當(dāng)時(shí)最新的網(wǎng)絡(luò)技術(shù)，結(jié)合公司財(cái)力，實(shí)行分步實(shí)施，循序漸進(jìn)。這就要求在網(wǎng)絡(luò)構(gòu)件時(shí)要選擇具有良好可擴(kuò)展性能的網(wǎng)絡(luò)互連設(shè)備，有效地保護(hù)現(xiàn)有的投資。</p><p>　?。ǘ┏浞止蚕斫j(luò)資源</p><p>　　組建計(jì)算

15、機(jī)網(wǎng)絡(luò)的主要目的是實(shí)現(xiàn)資源共享，這個(gè)資源包括硬件資源、軟件資源。網(wǎng)絡(luò)用戶通過網(wǎng)絡(luò)不僅可以實(shí)現(xiàn)文件共享、數(shù)據(jù)共享，還可以通過網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的共享，如打印機(jī)、存儲(chǔ)設(shè)備的共享等。</p><p>　?。ㄈ┚W(wǎng)絡(luò)可管理性，降低網(wǎng)絡(luò)運(yùn)行及維護(hù)成本</p><p>　　降低網(wǎng)絡(luò)運(yùn)營(yíng)成本和維護(hù)成本是網(wǎng)絡(luò)設(shè)計(jì)過程中必須考慮的一個(gè)環(huán)節(jié)。只要在網(wǎng)絡(luò)設(shè)計(jì)時(shí)選用支持網(wǎng)絡(luò)管理功能的網(wǎng)絡(luò)設(shè)備，才能為將來降低網(wǎng)絡(luò)運(yùn)行

16、及基礎(chǔ)。</p><p>　?。ㄋ模┚W(wǎng)絡(luò)系統(tǒng)與應(yīng)用系統(tǒng)的整和</p><p>　　園區(qū)網(wǎng)構(gòu)建了園區(qū)內(nèi)通暢的數(shù)據(jù)流通路，為應(yīng)用系統(tǒng)發(fā)揮更大的作用打下了基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)與應(yīng)系統(tǒng)要能夠很好的融合，才能發(fā)揮園區(qū)網(wǎng)的效率和優(yōu)勢(shì)，構(gòu)建校園網(wǎng)的目的并不是只為了人們?yōu)g覽Internet的方便。應(yīng)用系統(tǒng)應(yīng)能夠在網(wǎng)絡(luò)平臺(tái)上，與硬件平臺(tái)很好的結(jié)合，發(fā)揮出網(wǎng)絡(luò)的優(yōu)勢(shì)。</p><p><

17、;b>　?。ㄎ澹┙ㄔO(shè)成本</b></p><p>　　考慮園區(qū)網(wǎng)工程在建設(shè)方面都希望成本較低，整個(gè)網(wǎng)絡(luò)系統(tǒng)有較高的性價(jià)比，在設(shè)備選型等方面選用性價(jià)比高的網(wǎng)絡(luò)產(chǎn)品。</p><p><b>　　（六）高可靠性</b></p><p>　　網(wǎng)絡(luò)要求具有高可靠性、高穩(wěn)定性和足夠設(shè)備冗余和備份，防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，避免

18、網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效的情況。在網(wǎng)絡(luò)干線上要提供備份鏈路。在網(wǎng)絡(luò)設(shè)備上要提供適當(dāng)?shù)娜哂嗯渲谩２捎酶鞣N有效的安全措施，保證網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)安全運(yùn)行。安全包括4個(gè)層面-網(wǎng)絡(luò)安全，操作系統(tǒng)安全，數(shù)據(jù)庫安全，應(yīng)用系統(tǒng)安全。由于Internet的開放性，世界各地的Internet用戶也可訪問校園網(wǎng)，校園網(wǎng)將采用防火墻、數(shù)據(jù)加密等技術(shù)防止非法侵入、防止竊聽和篡改數(shù)據(jù)、路由信息的安全保護(hù)來保證安全。同時(shí)要建立系統(tǒng)和數(shù)據(jù)庫的磁帶備份系統(tǒng)。</p>

19、;<p>　　各主要節(jié)點(diǎn)的交換機(jī)分別用光纖與網(wǎng)絡(luò)中心的中心交換機(jī)相連接，構(gòu)成校園網(wǎng)千兆位以太網(wǎng)的主干網(wǎng)絡(luò)。</p><p><b>　?、苄〗M成員分工：</b></p><p>　　小組共有四名成員：董宇，楊光巨，高陸林，張高鵬。</p><p>　　我的任務(wù)是：入侵檢測(cè)系統(tǒng)與漏洞掃描服務(wù)的架設(shè)。</p><p

20、>　　第二節(jié) 主要技術(shù)介紹</p><p>　　根據(jù)園區(qū)網(wǎng)的設(shè)計(jì)需求，來完成企業(yè)Web、Mail、DNS、DHCP、數(shù)據(jù)庫等基礎(chǔ)服務(wù)的規(guī)劃與建設(shè)，需要以下主要技術(shù)：</p><p><b>　　vlan劃分</b></p><p><b>　　不同vlan間通信</b></p><p><

21、;b>　　以太通道技術(shù)</b></p><p><b>　　HSRP熱備份技術(shù)</b></p><p><b>　　STP技術(shù)</b></p><p><b>　　防火墻技術(shù)</b></p><p><b>　　遠(yuǎn)程登錄</b></

22、p><p><b>　　地址轉(zhuǎn)換</b></p><p><b>　　第三節(jié) 設(shè)備選型</b></p><p>　　（1）依照分層的原理設(shè)計(jì)網(wǎng)絡(luò)：</p><p>　　整個(gè)園區(qū)網(wǎng)是嚴(yán)格按照cisco建議的核心層三層模型設(shè)計(jì)的。其中，核心層負(fù)責(zé)實(shí)現(xiàn)高速數(shù)據(jù)轉(zhuǎn)發(fā)；接入層負(fù)責(zé)策略實(shí)施，如vlan劃分等；接入層

23、連接最終用戶，如PC機(jī)或筆記本電腦。</p><p>　　由于企業(yè)網(wǎng)比較小，把匯聚層和接入層合為一層，管理部，技術(shù)部，財(cái)務(wù)部，銷售部，都是采用cisco的低端交換機(jī)c2960。匯聚層采用的是cisco的中高端交換機(jī)（三層交換機(jī)）3560.出口路由器采用的cisco的系列路由器。園區(qū)的出口防火墻為PIX802，采用的是最基本的包過濾防火墻模式。這樣可以方面企業(yè)各部門之間的互相訪問，既節(jié)省了企業(yè)資金，又提高了企業(yè)生產(chǎn)

24、效率。</p><p><b>　　（2）線纜的選擇：</b></p><p>　　根據(jù)同種設(shè)備用交叉線，異種設(shè)備用直通線的原理，線纜選擇如下:</p><p>　　用戶與交換機(jī)：直通線</p><p>　　交換機(jī)與三層交換機(jī)：交叉線</p><p>　　三層交換機(jī)與出口路由器：直通線</p

25、><p>　　出口路由器與ISP運(yùn)營(yíng)商：廣域網(wǎng)線</p><p>　　第四章 系統(tǒng)詳細(xì)設(shè)計(jì)</p><p>　　第一節(jié) 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的詳細(xì)設(shè)計(jì)</p><p>　　PT模擬器拓?fù)浼暗刂芬?guī)劃：維護(hù)成本打下堅(jiān)實(shí)的 圖1-2 模擬器拓?fù)鋱D</p><p>　　GNS3模擬器拓?fù)鋱D：</p>&l

26、t;p>　　圖 1-3 模擬器拓?fù)鋱D</p><p>　　(2）設(shè)計(jì)分布: 在本園區(qū)網(wǎng)設(shè)計(jì)中，整個(gè)網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)及分部三部分分別進(jìn)行設(shè)計(jì)。</p><p><b>　　一、內(nèi)網(wǎng)：</b></p><p>　　在匯聚層之下二層交換機(jī)上分為管理部、技術(shù)部、銷售部、財(cái)務(wù)部部和DMZ區(qū)域。</p><p>　　DMZ

27、區(qū)域: 在DMZ區(qū)域放置WEB服務(wù)器，DHCP服務(wù)器，F(xiàn)TP服務(wù)器，DNS服務(wù)器，EMAIL服務(wù)器。</p><p>　　管理部：企業(yè)中的管理人員所在的區(qū)域</p><p>　　技術(shù)部：企業(yè)中技術(shù)人員所在區(qū)域</p><p>　　財(cái)務(wù)部：企業(yè)的財(cái)務(wù)部門，安全要求很高</p><p>　　銷售部：專門掌握企業(yè)的銷售人員所在的部門</p&g

28、t;<p><b>　　二、外網(wǎng)：</b></p><p><b>　　通過電信出外網(wǎng)。</b></p><p>　　(3)主要部署環(huán)節(jié):</p><p><b>　　一、地址規(guī)劃</b></p><p>　　根據(jù)園區(qū)網(wǎng)設(shè)計(jì)要求，該企業(yè)已在ISP申請(qǐng)了58.242

29、.1.1至58.242.1.10幾個(gè)公網(wǎng)地址，要求為全部用戶提供安全的網(wǎng)絡(luò)接入，企業(yè)網(wǎng)覆蓋企業(yè)所有樓宇。所以公網(wǎng)IP地址是58.242.1.1至58.242.1.10。企業(yè)內(nèi)部地址為一致的私有地址，在本設(shè)計(jì)中私網(wǎng)地址為192.168.0.0/24和172.25.0.0/24。</p><p><b>　　二、VLAN劃分</b></p><p>　　配置后結(jié)果為：

30、 </p><p>　　vlan 1是默認(rèn)的管理vlan，所以vlan1是不需要?jiǎng)?chuàng)建的，在實(shí)驗(yàn)中，vlan1是與路由器連接的地址。</p><p>　　2．把用戶接入到對(duì)應(yīng)的vlan中</p><p><b>　　語句如下：</b></p><p>　　3.最終VlAN劃分如下：</p><p>

31、;<b>　　路由選擇</b></p><p>　　在本園區(qū)網(wǎng)設(shè)計(jì)中，使用了多種路由選擇方式，考慮到所有設(shè)備均是cisco的設(shè)備，所以采用思科最快、最穩(wěn)定的路由協(xié)議——Eigrp；以及相關(guān)的靜態(tài)、默認(rèn)路由。</p><p>　?。?）在匯聚層交換機(jī)和內(nèi)部路由器、以及防火墻、出網(wǎng)路由之間使用路由信息協(xié)議Eigrp</p><p>　　router

32、 eigrp 1 //開啟動(dòng)態(tài)路由協(xié)議eigrp</p><p>　　no au //關(guān)閉自動(dòng)匯總</p><p>　　network 192.168.0.0 255.255.255.0 //讓10網(wǎng)段的接口參與到路由協(xié)議中</p><p>　

33、?。?）在出口路由器上做動(dòng)態(tài)路由協(xié)議： </p><p>　　redi static // 在出網(wǎng)路由上重分發(fā)直連，內(nèi)部學(xué)習(xí)到外部的路由條目，防止內(nèi)部的目標(biāo)不可達(dá)</p><p>　　ip route 0.0.0.0 0.0.0.0 210.46.1.1 //在出口路由器上做默認(rèn)路由指向isp的接口：</p><

34、;p>　　配置完成后，在匯聚層交換機(jī)和出口路由器里分別查看路由表，以保證路由信息的正確性：語句為show ip route，結(jié)果如下圖：</p><p><b>　　三層交換的路由表：</b></p><p>　　圖 1-3 路由配置表</p><p>　　內(nèi)部路由器的路由表： </p><p>　　圖1-4 路

35、由配置圖</p><p><b>　　出口路由器路由表：</b></p><p>　　圖1-5 路由配置表</p><p><b>　　四、地址轉(zhuǎn)換</b></p><p>　　在本園區(qū)網(wǎng)中，地址轉(zhuǎn)換的方法是NAT技術(shù)。NAT技術(shù)就是為了解決IPV4地址不足而產(chǎn)生的技術(shù)。它主要的功能是把私有IP地址

36、轉(zhuǎn)換為公有IP地址。 內(nèi)網(wǎng)可以使用私有地址，但在訪問外網(wǎng)的時(shí)候還需要使用公網(wǎng)地址。因?yàn)樵诨ヂ?lián)網(wǎng)上是不允許私有IP地址的運(yùn)行的。NAT技術(shù)主要分為三類：靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換和端口地址轉(zhuǎn)換。在本王設(shè)計(jì)中，在內(nèi)網(wǎng)訪問外網(wǎng)時(shí)采用的是動(dòng)態(tài)NAT，而在外網(wǎng)訪問內(nèi)網(wǎng)時(shí)采用的是靜態(tài)NAT。</p><p><b>　?。?）NAT</b></p><p>　　圖1-6 NAT

37、配置表</p><p>　　我的任務(wù)： 網(wǎng)絡(luò)安全相關(guān)設(shè)計(jì)（漏洞掃描和入侵檢測(cè)）</p><p>　　依據(jù)業(yè)務(wù)管理和安全需求在企業(yè)內(nèi)部架設(shè)入侵檢測(cè)系統(tǒng)，并布置漏洞掃描系統(tǒng)，防止由于服務(wù)器漏洞造成的黑客攻擊。</p><p>　　第一部分：架設(shè)漏洞掃描系統(tǒng)</p><p>　　漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)

38、系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為。</p><p>　　漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。它和防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置，在黑客攻擊前進(jìn)行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)

39、的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為，做到防患于未然。</p><p>　　掃描軟件選擇：Safe3 Web Vul Scanner 以及Windows server 2003 漏洞檢測(cè)軟件</p><p>　　下載安裝web scanner 并安裝 .Net Framework組件。</p><p>　　運(yùn)行 Web Scann

40、er,輸入 服務(wù)器域名及其端口服務(wù)，然后啟動(dòng)掃描服務(wù)，檢查服務(wù)器網(wǎng)頁sql等漏洞.</p><p>　　運(yùn)行Windows 漏洞掃描軟件，并依據(jù)結(jié)果安裝系統(tǒng)相關(guān)補(bǔ)丁。</p><p>　　第二部分 Snort 入侵檢測(cè)服務(wù)架設(shè)</p><p><b>　　安裝Apache;</b></p><p><b>　　

41、安裝PHP;</b></p><p><b>　　安裝Snort;</b></p><p>　　安裝配置MySQL數(shù)據(jù)庫；</p><p><b>　　安裝adodb;</b></p><p>　　安裝配置數(shù)據(jù)控制臺(tái)acid；</p><p>　　安裝jpgrap

42、g庫；</p><p>　　安裝Winpcap;</p><p>　　配置并啟動(dòng)snort;</p><p><b>　　控制臺(tái)檢測(cè)結(jié)果；</b></p><p>　?。?1）配置snort規(guī)則：添加語句 alert udp any any <> $HOME_NET</p><p>　

43、　any (msg:”udp ids/dns-version-query”;content:”version”;)</p><p>　　實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)UDP協(xié)議相關(guān)流量檢測(cè)，并報(bào)警。</p><p><b>　　保存文件，退出。</b></p><p>　　（12）重啟Snort和ACID檢測(cè)控制臺(tái)，使規(guī)則生效。</p><p&

44、gt;　　五．實(shí)驗(yàn)具體過程及其分析：</p><p>　　第一部分：漏洞掃描：</p><p>　　圖2-1 Web Scanner 掃描web 服務(wù)器漏洞</p><p>　　圖2-2 Web Scanner 掃描web 服務(wù)器漏洞</p><p>　　圖2-3 Web Scanner 掃描web 服務(wù)器漏洞</p><

45、p>　　第二部分：入侵檢測(cè)系統(tǒng)架設(shè)</p><p>　　安裝Apache_2.0.46：</p><p>　　圖2-4 Apache 安裝</p><p>　?。?）安裝在默認(rèn)文件夾C:\apache下：</p><p>　　圖 2-5 Apache安裝步驟</p><p>　　圖2-6 Apache安裝&

46、lt;/p><p>　?。?）打開配置文件C:\apache\apache2\conf\httpd.conf，將其中的Listen 8080，更改為L(zhǎng)isten 50080：</p><p>　?。?）進(jìn)入命令行運(yùn)行方式，轉(zhuǎn)入C:\apache\apache\bin子目錄，輸入下面命令：</p><p>　　C:\apache\apache2\bin>apache

47、 –k install：</p><p><b>　　2.安裝PHP</b></p><p>　　(1)解壓縮php-4.3.2-Win32.zip至C:\php。</p><p>　　(2)復(fù)制C:\php下php4ts.dll 至%systemroot%\System32，php.ini-dist至%systemroot%\php.ini。

48、</p><p>　　(3)添加gd圖形支持庫，在php.ini中添加extension=php_gd2.dll。如果php.ini有該句，將此句前面的“；”注釋符去掉.</p><p>　　(4)添加Apache對(duì)PHP的支持。在C:\apahce\apache2\conf\httpd.conf中添加：</p><p>　　LoadModule php4_modu

49、le “C:/php/sapi/php4apache2.dll”</p><p>　　AddType application/x-httpd-php .php</p><p>　　(5)進(jìn)入命令行運(yùn)行方式，輸入下面命令：Net start apache2.2，啟動(dòng)apache</p><p><b>　　服務(wù)。</b></p>&

50、lt;p>　　圖 2-7 CMD啟動(dòng)apache服務(wù)</p><p>　　(6)在C:\apache\apche2\htdocs目錄下新建test.php測(cè)試文件，test.php文件內(nèi)容為<?phpinfo();?>使用http://127.0.0.1:50080/test.php測(cè)試</p><p>　　圖 2-8 Apache和PHP服務(wù)搭建WEB測(cè)試頁面<

51、/p><p><b>　　3.安裝snort</b></p><p>　　圖2-9 Snort 安裝</p><p>　　4.安裝配置Mysql數(shù)據(jù)庫</p><p>　?。?）安裝Mysql到默認(rèn)文件夾C:\mysql</p><p>　　圖2-10 MySQL數(shù)據(jù)庫安裝</p>&l

52、t;p>　?。?）在命令行方式下進(jìn)入C:\mysql\bin，輸入下面命令：C:\mysql\bin\mysqld ––install。</p><p>　?。?）在命令行方式下輸入net start mysql，啟動(dòng)mysql服務(wù)。</p><p>　?。?）進(jìn)入命令行方式，輸入以下命令C:\mysql\bin>mysql –u root –p 。</p>&l

53、t;p>　?。?）在mysql提示符后輸入下面的命令（（Mysql>）表示屏幕上出現(xiàn)的提示符，下同）：</p><p>　?。∕ysql>）create database snort;</p><p>　?。∕ysql>）create database snort_archive;</p><p>　　(6)輸入quit命令退出mysql后，

54、在出現(xiàn)的提示符之后輸入:</p><p>　?。╟:\mysql\bin>）Mysql –D snort –u root –p<C:\snort\contrib\create_mysql</p><p>　　（c:\mysql\bin>）Mysql –D snort_archive –u root –p<C:\snort\contrib\create_mysql&l

55、t;/p><p>　　圖2-11 CMD 運(yùn)行MySQL服務(wù)</p><p>　?。?）再次以root用戶身份登錄mysql數(shù)據(jù)庫，在提示符后輸入下面的語句：</p><p>　?。╩ysql>）grant usage on *.* to “acid”@”loacalhost” identified by “acidtest”;</p><p&

56、gt;　?。╩ysql>）grant usage on *.* to “snort”@”loacalhost” identified by“snorttest”;</p><p>　　圖2-12 CMD運(yùn)行MySQL服務(wù)</p><p>　?。?）在mysql提示符后面輸入下面的語句：</p><p>　　（mysql>）grant select,in

57、sert,update,delete,create,alter on snort.* to “adid”@”localhost;</p><p>　　（mysql>）grant select,insert on snort.* to “snort”@”localhost;</p><p>　?。╩ysql>）grant select,insert,update,delete

58、,create,alter on snort_archive.* to “adid”@”localhost;</p><p>　　圖 2-13 CMD 運(yùn)行MySQL服務(wù)</p><p><b>　　5.安裝adodb</b></p><p>　　6.安裝配置數(shù)據(jù)控制臺(tái)acid</p><p>　　(1)解壓縮aci

59、d-0.9.6b23.tat.gz至C:\apache\apache2\htdocs\zlt</p><p>　　(2)修改C:\apahce\apache2\htdocs下的acid_conf.php文件： </p><p>　　圖2-14 ACID 控制臺(tái)配置</p><p>　　圖2-15 修改ACID 配置文件</p><p>　

60、　（3）查看http://127.0.0.1:50080/acid/acid_db_setup.php網(wǎng)頁</p><p>　　7.安裝jpgraph庫</p><p>　　(1)解壓縮jpgraph-1.12.2.tar.gz至C:\php\jpgraph</p><p>　　(2)修改C:\php\jpgrah\src下jpgraph.php文件，去掉下面語句的

61、注釋。</p><p>　　DEFINE（”CACHE_DIR”,”/tmp/jpgraph_cache/”）; </p><p>　　圖2-16 ACID 控制臺(tái)測(cè)試網(wǎng)頁</p><p>　　圖2-17 修改PHP 的jpgraph庫配置文件</p><p>　　8.安裝winpcap</p><p>　　9.

62、配置并啟動(dòng)snort</p><p>　　(1)打開C:\snort\etc\snort.conf文件，將文件中的下列語句：</p><p>　　include classification.config</p><p>　　include reference.config</p><p><b>　　修改為絕對(duì)路徑：</b&

63、gt;</p><p>　　include C:\snort\etc\classfication.config</p><p>　　include C:\snort\etc\reference.config</p><p>　　(2) 在該文件的最后加入下面語句：</p><p>　　Output database: alert,mysql,

64、host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full</p><p>　　(3) 進(jìn)入命令行方式，輸入下面的命令：</p><p>　　C:\snort\bin>snort –c “C:\snort\etc\snort.conf” –l “C:\snort\log” –d

65、–e –X</p><p>　　圖2-18 Snort 服務(wù)CMD啟動(dòng)</p><p>　?。?）打開http://127.0.0.1:50080/acid/acid_main.php網(wǎng)頁</p><p>　　10.打開C:\snort\etc\snort.conf</p><p>　　(1) 配置snort的內(nèi)、外網(wǎng)檢測(cè)范圍。將snort

66、.conf文件中var Home_NET any語句中的any改為自己所在的子網(wǎng)地址，即將snort監(jiān)測(cè)的內(nèi)網(wǎng)設(shè)置為本機(jī)所在局域網(wǎng)。如本地IP為192.168.1.10，則將any改為192.168.1.0/24。</p><p>　　并將var EXTERNAL_NET any語句中的any改為！192.168.1.1/24，即將snort監(jiān)測(cè)的外網(wǎng)改為本機(jī)所在局域網(wǎng)以外的網(wǎng)絡(luò)</p><p

67、>　　圖2-19 修改 Snort配置文件</p><p>　?。?） 設(shè)置監(jiān)測(cè)包含規(guī)則。</p><p>　　找到snort.conf文件中描述規(guī)則的部分，前面加“#”表示該規(guī)則沒有啟用，將local.rules之前的“#”去掉，其余規(guī)則保持不變。</p><p>　?。?）打開C:\snort\rules\local.rules文件。自己編寫一條規(guī)則，實(shí)

68、現(xiàn)對(duì)內(nèi)網(wǎng)的對(duì)某特定網(wǎng)站訪問時(shí)給出報(bào)警信息，并報(bào)警：</p><p>　　圖 2-20 修改 Snort 規(guī)則</p><p>　?。?）檢測(cè)所有ping消息</p><p>　　Log icmp any any ->any any(msg”has ping!”;).</p><p><b>　　參考文獻(xiàn)</b>&l

69、t;/p><p>　　[1] 楊衛(wèi)東. 網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)（第2版）. 科學(xué)出版社[2] SEAN CONVERY. 網(wǎng)絡(luò)安全體系結(jié)構(gòu). 人民郵電出版社</p><p>　　[3] 劉易斯. 思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA Exploration. 人民郵電出版社</p><p>　　[4] 林慧琛，尤國(guó)君，劉殊. Red Hat Linux服務(wù)器配置與應(yīng)用