基于路由器的网络安全研究和实现_毕业设计(编辑修改稿)

基于路由器的网络安全研究和实现_毕业设计(编辑修改稿)内容摘要：

配置 9 1. 描述整个自治系统拓扑结构的链路状态数据库（简称 LSDB）是由每一台支持 OSPF 协议的路由器维护 着；他们都会根据周围的网络拓扑结构来生成链路状态并且发布 Link State Advertising（ LSA），然后再将 LSA 发送给网络中其它路由器。 这样，每台路由器都将会收到来自其它路由器的 LSA，然后将所有的 LSA 放在一起组成了一个相对完整的链路状态数据库。 2. 对路由器周围网络拓扑结构的具体描述被称为 LSA，而对整个网络的拓扑结构的一种描述则被成为 LSDB。 自然而然，自治系统内的各个路由器都将得到完全相同的网络拓扑图是因为路由器会将 LSDB 转换成一张带有权值的真实反映整个网络拓扑结构的有向图。 3. 使用 SPF 算法的每台路由器都会计算出一棵到自治系统中各个节点的路由的树，这是一棵以自己为根的最短路径树，这棵树给出了通过广播外部路由的路由器来记录关于整个自治系统的额外信息。 另外，为了建立多个邻接（ Adjacent）关系，使处于广播网和 NBMA 网中的每台路由器都可以将存储在本地的路由信息广播到整个自治系统中去，则会出现多次传递任意一台路由器的路由变化的情况，因而浪费了宝贵的带宽资源。 为了解决这个难题， OSPF 因此定义了“指定路由器”（ Designated Router），简称为 DR；为了大大减 少各路由器之间邻居关系的数量， DR 接收所有路由器发送出来的路由信息，然后再由它将该网络的链路状态广播出去。 OSPF 支持 IP 子网和外部路由信息的标记接收，它支持基于接口的报文验证以保证路由计算的安全性；并使用 IP 组播方式发送和接收报文。 OSPF 的配置 必须先启动 OSPF、使能 OSPF 网络后，才能在各项配置任务中配置其它与协议相关的功能特性，而 OSPF 是否使能将不会影响在接口下配置的与协议相关的参数。 关闭 OSPF 的同时原来在接口下配置的与协议相关的参数也同时失效。 配置步骤 1. 配置路 由器 RA 浙江大学城市学院毕业论文 第 4 章 OSPF 配置 10 [RA]interface S0 [RASerial0]ip address [RASerial0]interface S1 [RASerial1]ip address [RASerial1]interface eth0 [RAEther0]ip address [RAEther0]quit [RA]ospf enable [RAospf]interface s0 [RASerial0]ospf enable area 0 [RASerial0]interface s1 [RASerial1]ospf enable area 0 [RASerial1]quit [RA]interface e0 [RAEther0]ospf enable area 0 2. 配置路由器 RB [RB]interface S0 [RBSerial0]ip address [RBSerial0]interface S1 [RBSerial1]ip address [RBSerial1]quit [RB]ospf enable [RBospf]interface s0 [RBSerial0]ospf enable area 0 [RBSerial0]interface s1 [RBSerial1]ospf enable area 0 [RBSerial1]quit [RB]interface eth0 [RBEther0]ip address [RBEther0]ospf enable area 0 [RBEther0]quit 浙江大学城市学院毕业论文 第 4 章 OSPF 配置 11 3. 配置路由器 RC [RC]interface S0 [RCSerial0]ip address [RCSerial0]interface S1 [RCSerial1]ip address [RCSerial1]quit [RC]ospf enable [RCospf]interface s0 [RCSerial0]ospf enable area 0 [RCSerial0]interface s1 [RCSerial1]ospf enable area 0 [RCSerial1]quit [RC]interface eth0 [RCEther0]ip address [RCEther0]ospf enable area 0 [RCEther0]quit 4. 配置路由器 RD [RD]interface S0 [RDSerial0]ip address [RDSerial0]interface S1 [RDSerial1]ip address [RDSerial1]interface eth0 [RDEther0]ip address [RDEther0]quit [RD]ospf enable [RDospf]interface s0 [RDSerial0]ospf enable area 0 [RDSerial0]interface s1 [RDSerial1]ospf enable area 0 [RDSerial1]interface e0 [RDEther0]ospf enable area 0 [RDEther0]quit 浙江大学城市学院毕业论文 第 4 章 OSPF 配置 12 如此配置完成后，所有的端口都可以相互 PING 通。 如图 构建的小型局域网就完成了。 浙江大学城市学院毕业论文 第 5 章 防火墙 13 第 5 章 防火墙 防火墙简介 什么是防火墙 防火墙作为 Inter 访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，拒绝非法用户访问网络并保障合法用户正常工作，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃。 为了阻止未经认证或者未经授权的用户访问保护内部网络或数据，防止来自外网的恶意攻击，一般将防火墙设置在外部网和内部网的连接处。 也可以用防火墙将企业网中比较敏感的网段与相对开 放的网段隔离开来，从而达到即使该访问是来自局域网内部，也必须经过防火墙的过滤的效果。 防火墙可通过监测、限制、更改跨越防火墙的数据流来保护内部网络的安全性，尽可能地对外部屏蔽网络内部的信息、结构和运行状况。 现在的许多防火墙同时甚至还可以对用户进行身份鉴别，对信息进行安全加密处理等等。 防火墙的分类 防火墙一般被分为网络层防火墙和应用层防火墙两种类型。 网络层防火墙主要是用来获取协议号、源地址、目的地址和目的端口等等数据包的包头信息；或者选择直接获取包头的一段数据。 而选择对整个信息流进行系统的分析则 是应用层防火墙。 常见的防火墙有以下几类： 1. 应用网关（ Application Gateway）：检验通过此网关的所有数据包中的位于应用层的数据。 比如 FTP 网关，连接中传输的所有 FTP 数据包都必须经过此 FTP网关。 浙江大学城市学院毕业论文 第 5 章 防火墙 14 2. 包过滤（ Packet Filter）：是指对每个数据包都将会完全按照用户所定义的规则来比较进入的数据包的源地址、目的地址是否符合所定义的规则。 如用户规定禁止端口是 25 或者大于等于 1024 的数据包通过，则只要端口符合该条件，该数据包便被禁止通过此防火墙。 3. 代理（ Proxy）：通常情 况下指的是地址代理。 它的机制是将网内主机的 IP地址和端口替换为路由器或者服务器的 IP 地址和端口。 让所有的外部网络主机与内部网络之间的相互访问都必须通过使用代理服务器来实现。 这样，就可以控制外部网络中的主机对内部网络中具有重要资源的机器的访问。 包过滤 一般情况下，包过滤是指对路由器需要转发的数据包，先获取包头信息中所承载的上层 IP 协议中的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，比较后的结果对数据包进行转发或者丢弃。 因此只要用户所配置的规则比较符合实际的应 用，那么在这一层就可以过滤掉许多带有安全隐患的未知数据包。 包过滤（对 IP 数据包）所选取用来判断的元素如下图所示（图中 IP 所承载的上层协议为 TCP）。 图 包过滤示意图 包过滤可实现的功能 1. 不让任何人从外界使用 Tel 登录。 2. 让每个人经由 SMTP（ Simple Message Transfer Protocol，简单邮件传输协议）浙江大学城市学院毕业论文 第 5 章 防火墙 15 向我们发送电子邮件。 3. 使得某台机器可以通过 NNTP（ Network News Transfer Protocol，网络新闻传输协议）向我们 发送新闻，而其它机器都不具备此项服务等等。 网络设备的包过滤的特性 1. 基于访问控制列表（ ACL）：访问控制列表的运用面很广，它不仅仅可以应用在包过滤中，还可应用在如地址转换和 IPSec 等其它需要对数据流进行分类的特性中的应用中。 ．支持标准及扩展访问控制列表：可以是只设定一个简单的地址范围的标准访问控制列表；也可以使用具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等等的扩展访问控制列表功能。 . 支持时间段：可以使访问控制列表在完全自定义的特定的 时间段内起作用，比如可设置每周一的 8:00 至 20:00 此访问控制列表起作用。 2. 支持访问控制列表的自动排序：为了简化配置的复杂程度，方便对于访问控制列表的配置及维护，可以选择是否针对某一类的访问控制列表进行自动排序。 3. 可以具体到接口的输入及输出方向：可以在连接 WAN 的接口的输出方向上应用某条包过滤规则，也可以在该接口的输入方向上应用其它的包过滤规则。 4. 支持基于接口进行过滤：可以在一个接口的某个方向上设定禁止或允许转发来自某个接口的报文。 5. 支持对符合条件的报文做日志：可记录报文的相关信息，并提供机制保证在有大量相同触发日志的情况下不会消耗过多的资源。 本文主要使用包过滤功能（ ACL 访问控制列表）实现基本的防火墙功能，下面将着重介绍 ACL 访问控制列表的配置。 浙江大学城市学院毕业论文 第 6 章 ACL 配置 16 第 6 章 ACL 配置 访问控制列表 简单的来说就是需要配置一些过滤数据包的规则，规定什么样的数据包可以通过，什么样的数据包不能通过。 访问控制列表可分为标准访问控制列表和扩展访问控制列表。 标准访问控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } [source sourceaddr sourcewildcard | any ] 扩展访问控制列表 acl aclnumber [ matchorder config | auto ] rule { normal | special }{ permit | deny } pronumber [source sourceaddr sourcewildcard | any ] [sourceport operator port1 [ port2 ] ] [ destination destaddr dest wildcard | any ] [destinationport operator port1 [ port2 ] ] [icmptype icmptype icmpcode] [logging] 其中“ protocolnumber”用名字或数字表示的 IP 承载的协议类型。 数字范围为 0～ 255；名字取值范围为： icmp、 igmp、 ip、 tcp、 udp、 gre、 ospf。 对于“ protocol”参数的不同，该命令又有以下形式： 1. “ protocol”为 ICMP 时的命令格式如下： rule { normal | special }{ permit | deny } icmp [source sourceaddr sourcewildcard | any ] [ destination destaddr dest wildcard | any ] [icmptype icmptype icmpcode] [logging] 浙江大学城市学院毕业论文 第 6 章 ACL 配置 17 2. “ protocol”为 IGMP、 IP、 GRE、 OSPF 时的命令格式如下： rule { normal | special }{ permit | deny } { ip | ospf | igm。