机关内部建立局域网，求如何操作。_百度知道
机关内部建立局域网，求如何操作。
机关内部20几台机器网线全部连通，要求一台管理，其余均可访问此机器上共享文件，或者局域网内共享，同时也可上传，但不能修改。如何操作，使用何种软件最简便，要求有详细操作方法。谢谢各位。
提问者采纳
第一章 总则 本方案为某大型局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对他们局域网全面的安全管理。 1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。 2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 3.通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。 4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。 5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。 第二章 网络系统概况 2.1 网络概况 这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。 2.1.1 网络概述 这个企业的局域网，物理跨度不大，通过千兆交换机在主干网络上提供1000M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器，所有用户可直接访问Internet。 2.1.2 网络结构 这个企业的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中，我们基于安全的重要程度和要保护的对象，可以在 Catalyst 型交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。（图省略） 2.2 网络应用 这个企业的局域网可以为用户提供如下主要应用： 1．文件共享、办公自动化、WWW服务、电子邮件服务； 2．文件数据的统一存储； 3．针对特定的应用在数据库服务器上进行二次开发(比如财务系统)； 4．提供与Internet的访问； 5．通过公开服务器对外发布企业信息、发送电子邮件等； 2.3 网络结构的特点 在分析这个企业局域网的安全风险时，应考虑到网络的如下几个特点： 1.网络与Internet直接连结，因此在进行安全方案设计时要考虑与Internet连结的有关风险，包括可能通过Internet传播进来病毒，黑客攻击，来自Internet的非授权访问等。 。 2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。 3.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。 4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。 总而言之，在进行网络方案设计时，应综合考虑到这个企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。 第三章 网络系统安全风险分析 随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。 针对这个企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与这个企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素： 网络安全可以从以下三个方面来理解：1 网络物理是否安全；2 网络平台是否安全；3 系统是否安全；4 应用是否安全；5 管理是否安全。针对每一类安全风险，结合这个企业局域网的实际情况，我们将具体的分析网络的安全风险。 3.1物理安全风险分析 网络的物理安全的风险是多种多样的。 网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在这个企业区局域网内，由于网络的物理跨度不大，，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。 3.2网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。 公开服务器面临的威胁 这个企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息发布平台，一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入Internet节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。 整个网络结构和路由状况 安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。 3.3系统的安全风险分析 所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。 网络操作系统、网络硬件平台的可靠性：对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT 或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 3.4应用的安全风险分析 应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。 应用系统的安全动态的、不断变化的：应用的安全涉及面很广，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有几十种，但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的，因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的，其结果是安全漏洞也是不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。 应用的安全性涉及到信息、数据的安全性：信息的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。 3.5管理的安全风险分析 管理是网络安全中最重要的部分 管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。 当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。 建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。 3.6黑客攻击 黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服务器软件，得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后，有可能修改特权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能开发欺骗程序，将其装入UNIX服务器中，用以监听登录会话。当它发现有用户登录时，便开始存储一个文件，这样黑客就拥有了他人的帐户和口令。这时为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。 3.7通用网关接口（CGI）漏洞 有一类风险涉及通用网关接口（CGI）脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过 CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常，这些CGI脚本只能在这些所指WWW服务器中寻找，但如果进行一些修改，他们就可以在WWW服务器之外进行寻找。要防止这类问题发生，应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力，提高服务器备份与恢复能力，提高站点内容的防篡改与自动修复能力。 3.8恶意代码 恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。 3.9病毒的攻击 计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。 3.10不满的内部员工 不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。 3.11网络的攻击手段 一般认为，目前对网络的攻击手段主要表现在： 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如&黑客&们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。 破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。 第四章 安全需求与安全目标 4.1安全需求分析 通过前面我们对这个企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到： 公开服务器的安全保护 防止黑客从外部攻击 入侵检测与监控 信息审计与记录 病毒防护 数据安全保护 数据备份与恢复 网络的安全管理 针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求： 1.大幅度地提高系统的安全性（重点是可用性和可控性）； 2.保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置； 3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； 4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展； 5.安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； 6.安全产品具有合法性，及经过国家有关管理部门的认可或认证； 7.分布实施。 4.2网络安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即： 威严的法律：安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。 先进的技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。 严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。 4.3系统安全目标 基于以上的分析，我们认为这个局域网网络系统安全应该实现以下目标： 建立一套完整可行的网络安全与网络管理策略 将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信 建立网站各主机和服务器的安全保护措施，保证他们的系统安全 对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝 加强合法用户的访问认证，同时将用户的访问权限控制在最低限度 全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为 加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完 整的系统日志 备份与灾难恢复——强化系统备份，实现系统快速恢复 加强网络安全管理，提高系统全体人员的网络安全意识和防范技术 第五章 网络安全方案总体设计 5.1安全方案设计原则 在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则： 综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容光焕发及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。 易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。 分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。 多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。 5.2安全服务、机制与技术 安全服务：安全服务主要有：控制服务、对象认证服务、可靠性服务等； 安全机制：访问控制机制、认证机制等； 安全技术：防火墙技术、鉴别技术、审计监控技术、病毒防治技术等；在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。 第六章 网络安全体系结构 通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成：物理安全、网络安全、系统安全、信息安全、应用安全和安全管理 6.1物理安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面： 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》 设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等； 媒体安全：包括媒体数据的安全及媒体本身的安全。 在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的安全。 6.2.1网络结构 安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由的优化。 网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。 网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。 6.2.2网络系统安全 6.2.2.1 访问控制及内外网的隔离 访问控制 访问控制可以通过如下几个方面来实现： 1.制订严格的管理制度:可制定的相应：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。 2.配备相应的安全设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。 防火墙主要的种类是包过滤型，包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。
提问者评价
其他类似问题
局域网的相关知识
您可能关注的推广回答者：
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁两条外网两个路由器，一个小交换机，怎么组成一个局域网互访？_网络吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：25,056贴子：
两条外网两个路由器，一个小交换机，怎么组成一个局域网互访？收藏
公司有两条外网，两个路由器（7口的），还有一个TPlink交换机（也是7口的）。以前是一个外网连接一个路由器，一个路由器下面带6台电脑，这样就是12台电脑两个局域网了，问题是共享文件很不方便。本菜鸟学过一点网络，今天发现公司还有个，网线若干。怎么把两个到一起，还是两个外网上网（不然网速就慢了）。如图，现在的情况是这样连接的：不要告诉我再买个多wan路由，也不会设置什么下一跳。。。就目前这些设备，能不能实现？怎么实现？1、2两个路由器里面怎么设置？WAN口和LAN口怎么连接？具体步骤。最终实现12台PC文件共享。文字描述不清楚可以附图。谢谢！不清楚可以继续问。高分求解！这是路由器里面的图：
1楼 10:06&|
相关的贴子53408428
你的交换机多少个口？24个吗？ 如果是24个，把所有PC接到交换机上，把2台路由器的内网设成192.168.1.253 和192.168.1.254 （可以自己决定具体设成什么，但2台要不相同），把两台路由器也分别用网线接到交换机上，在一半PC上设置网关为192.168.1.253，另一台设置成192.168.1.254 。正常好的话就可以满足你的要求了。但是如果交换机口不够的话好像实现不了
收起回复2楼 16:39&|
把1路由器的LAN口与路由器2的LAN口用网线连接起来，再分别把1，2的LAN口IP设置成192。168。1。1和192。168。1。2两个IP不一样就行。这样就可以相互访问了。
3楼 17:49&|
没有十个口，一切都不用说了，买个大的吧
4楼 22:08&|来自
交换机不够口，不然可以设置虚拟LAN
5楼 14:34&|
PC最好接交换机，这样局域网互相访问比较快，交换机转发的速度要比路由器快的多！
6楼 16:15&|来自
有需要网络设备的可以直接联系我们的公司哦~@东方锐阳数码专营店
7楼 10:35&|
很简单啊路由器1设置为192.168.1.1 255.255.255.0路由器2设置为192.168.1.254 255.255.255.0用一根反交线把2个路由器的各任何1个LAN口连接起来所有计算机配IP地址192.168.1.2-192.168.1.253之间的需要走路由器1的配网关为192.168.1.1需要走路由器2的配网关192.168.1.254这样内网建立起来了,计算机可以选择走哪个路由器出去
收起回复8楼 16:13&|
三个路由器还是3路由器的LAN口连其他路由的LAN口设置同路由器2规则一样。下面的电脑设置网关就可以选择哪个路由出口了。
11楼 15:26&|
登录百度帐号推荐应用
内&&容:使用签名档&&
想了解更多关于 ”网络“的信息,请&或加载中，请稍候...
加载中，请稍候...
京 东 价：
￥48.40 [8.8折][定价：￥55.00]
温馨提示：
其它类似商品
正在加载中，请稍候...
正在加载中，请稍候...
正在加载中，请稍候...
局域网交换机安全
查找同类商品
　　与普遍观点相反，以太网交换机并不具备天然的安全性。以太网交换机中的安全隐患多种多样：从交换机的实现，到控制平面协议（生成树协议（STP）、Cisco发现协议等）和数据平面协议，例如，地址解析协议（ARP）或动态主机配置协议（DHCP）。《局域网交换机安全》阐述了网络基础设施中与以太网交换机相关的所有安全隐患，而且还展示了如何配置交换机以防止或缓解基于这些安全隐患的攻击。《局域网交换机安全》还以专门章节描述了如何利用交换机以增强整个网络的安全性，并防范未来的攻击。　　《局域网交换机安全》为4个部分，为读者提供了实施的具体步骤，以确保在第二层设备上穿梭往来的语音及数据流量的完整性。第1部分讲述了第二层协议中的缺陷，以及如何配置交换机阻止针对这些缺陷的攻击。第2部分介绍了与以太网交换机有关的拒绝服务攻击（DoS），并演示了如何遏制这些攻击。第3部分详述了通过在交换机上利用线速访问控制列表（ACL）的处理，以及通过IEEE80
2.1X执行用户的认证和授权，从而切实增强网络整体安全性的方法。第4部分研究了IEEE
LinkSec工作组的未来发展。《局域网交换机安全》通篇的绝大部分内容与硬件供应商无关，并对所有部署以太网交换机的网络架构师都有极高的实用性。　　阅读完《局域网交换机安全》后，读者一定会对加深对LAN安全的理解，并有能力堵住存在于诸多园区网络中的安全漏洞。　　利用端口安全防范CAM攻击　　防范生成树攻击　　运用正确的配置手段隔离VLAN　　防范流氓DHCP服务器　　阻止ARP欺骗　　防范IPv6邻居发现和路由器恳求攻击　　识别PoE隐患　　缓解HSRP阳VRRP的风险　　遏制利用CDP、PaGP、CGMPI以及其他Cisco辅助协议的信息泄露　　理解并防范针对交换机的DoS攻击　　利用ACI一执行简单的线速安全策略　　以端口为基础利用802.1X实施用户认证　　使用IEEE的新协议以线速加密所有以太网帧　　《局域网交换机安全》为Cisco
Press出版的网络技术系列丛书之一。Cisco
Press出版的安全类别的图书可以帮助网络从业人员保护重要的数据和资源。防范和缓解网络攻击。以及构建端到端的自防御网络。
　　《局域网交换机安全》是迄今为止国内引进的第一本专门介绍第二层交换环境安全技术的图书。作者在书中通过一个个鲜活的第二层攻击场景，以及针对这些攻击的化解之策，来强调第二层安全的重要性。这些针对第二层协议的攻击场景，囊括了读者所知的任何一种第二层协议(STP、VRRP/HSRP、LACP/PagP、ARP等)。书中给出了针对上述攻击的各种反制措施。　　除了攻击与对抗攻击之外，作者还高屋建瓴般地展望了未来以及正在流行的第二层安全体系结构及技术，这包括线速的ACL、IEEE802.1AE、CiscoINBS以及结合IPSec与L2TPv3的安全伪线。读完《局域网交换机安全》之后，读者将会加深对网络整体安全性的理解：网络安全并不能只靠防火墙、入侵检测系统甚至是内容过滤设备。如果没有上述这些设备，在网络的第二层利用交换机同样可以实施网络安全。　　《局域网交换机安全》适合从事计算机网络设计、管理和运维工作的工程技术人员阅读，可以帮助网络(安全)工程师、网络管理员快速、高效地掌握各种第二层网络安全技术。《局域网交换机安全》同样可以作为高校计算机和通信专业本科生或研究生学习网络安全的参考资料。
　　维恩克（Eric
Vymcke），获得比利时列日大学计算机科学工程系硕士学位后在该校任助理研究员。随后进入比利时网络研究院，出任研发部门的领导。之后加盟西门子出任多个安全项目（包括-个代理防火墙项目）的项目经理。自1997年起，他被Cisco公司委以杰出咨询工程师一职，担当公司欧洲地区的安全技术顾问。20年来，Eric从事的专业领域一直在从第二层到应用层的网络安全方面。Eric还是几所比利时大学安全研讨班的客座教授，经常参加各种安全活动.（如Cisco
Live的Networkers、RSA大会）并发言。　　培根（Christopher
Paggen），于1996年加入Cisco，一直从事以局域网交换和安全方面为主的工作。之后，转而负责公司当前和未来高端防火墙的产品需求定义。Christopher持有几项美国专利，其中一项与动态ARP检测（Dynamic
Inspection，DAI）有关。除CCIE证书（CCIE#2659）外，Christopher还曾获得HEMES大学（比利时）计算机科学学士学位，并继续在I.IMS大学（比利时）学习了两年经济学。
第1部分　安全隐患和缓解技术第1章　安全导论第2章　挫败学习型网桥的转发进程第3章　攻击生成树协议第4章　VLAN安全吗第5章　利用DHCP缺陷的攻击第6章　利用IPv4
ARP的攻击第7章　利用IPv6邻居发现和路由器通告协议的攻击第8章　以太网上的供电呢第9章　HSRP适应力强吗第10章　能打败VRRP吗第11章　Cisco辅助协议与信息泄露第2部分　交换机如何抵抗拒绝服务攻击第12章　拒绝服务攻击简介第13章　控制平面的监管第14章　屏蔽控制平面协议第15章　利用交换机发现数据平面拒绝服务攻击(DoS)第3部分　用交换机来增强网络安全第16章　线速访问控制列表第17章　基于身份的网络服务与802.1X第4部分　网络安全的下一步第18章　IEEE
802.1AE附录　结合IPSec与L2TPv3
实现安全伪线
　　17.2.2
认证　　认证是为请求服务的客户端确立和证实身份的过程。在建立相关授权时，认证是必需的，其强度由所采取的核实方法决定。　　17.2.3
授权　　授权是指在一个域中获得服务的权利，它可以发生在OSI参考模型的任意-层。　　未经认证的授权毫无意义。　　IBNS和802.1X一起提供了对用户和／或设备进行认证的基本概念，并提供了与I.AN介质的无关性。　　从技术角度来看，当用户通过传统的点到点介质连入交换机或通过无线网络访问LAN时，必须对用户进行认证。通常，应仅允许已经一个组织批准的机器或用户进行访问。　　此外，当用户或设备通过有区别的访问控制获得对网络的访问时，IBNS还有助于为这些用户和设备制定行为规范。认证还针对网络提供了立即记账的能力，除了能够知晓何时、何处以及如何获得服务以外，还可以了解“谁”获得了网络访问。　　17.3
探索扩展认证协议　　基于端口的网络访问控制使用IEEE
I.AN基础设施的物理访问特性。这些基础设施能够充分利用扩展认证协议（EAP）承载任意的认证信息，而非认证方法本身。
　　人们常认为局域网和以太网交换机与管道系统很相似，易于安装、配置。但恰恰是看似简单的东西，往往容易忽略对其安全性的关注。　　以太网交换机存在着多个安全隐患。利用这些隐患的攻击工具几年前就已经问世（例如著名的dsniff软件包）。运用这些工具，黑客可以打破交换机的所谓安全神话：“不可能用嗅探和包截取技术来攻击交换机”。的确，使用dsniff、Cain或者其他Windows、Linux系统下界面友好的工具，黑客可以轻而易举地将任何流量转向他的个人计算机，从而破坏了这些流量的保密性和完整性。　　对于第二层协议，从生成树协议到IPv6邻居发现，这些隐患中的绝大部分都是与生俱来的。一旦第二层被攻陷，再使用诸如“中间人”（MTTM）攻击之类的技术在更高层协议上构建攻击手段是轻而易举的事。由于能够截取任意流量，黑客可以在明文通信（例如HTTP和Telnet）和加密通道（例如SSL或SSH）里做手脚。　　要利用网络第二层的隐患，攻击者常常必须与攻击目标在第二层相邻。尽管听起来有些不可思议，但实际上外部黑客是可以连接到一个公司的局域网的。他可以运用社交工程出入公司场所，或是假扮成一名电话约来的工程师，来现场解决“机械故障”。　　另外，很多攻击来自于公司内部员工，比如由一个在现场工作的雇员发起攻击。传统上，企业一直存在着不成文的和在某些场合是书面的规则，即认定雇员是受信任的个体。然而，过去数10年中无数的案件和统计数据证明，这一假设是错误的。2006年CSI／FBI计算机犯罪与安全调查报告显示，受调查公司68％的损失都部分地或完全归结于内部员工的行为不端。　　一旦进入大多数组织的场所内部，取得未经授权的网络连接相对来说就容易多了：找到一个墙上闲置的以太网插口，或者一部可以断开的网络设备（例如，一台网络打印机）。考虑到DHCP的广泛部署，基于局域网的端口中仅有很低比例需要认证（例如IEEE
802.1x），用户的计算机可以获得一个IP地址，且在绝大多数情况下，拥有了和其他合法授权用户同样的网络访问级别。获取网络中的一个IP地址后，恶意用户就可以尝试各种攻击手段。
正在加载中，请稍候...
正在加载中，请稍候...
正在加载中，请稍候...
正在加载中，请稍候...
正在加载中，请稍候...
正在加载中，请稍候...
正在加载中，请稍候...
七日畅销榜
新书热卖榜}