网络安全方案设计

网络安全方案 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 第一章校园网安全隐患分析 1.1校园内网安全分析 1.1.1 BUG影响 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行, 冲击波”这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。 1.1.2设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。 1.1.3设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等) , 防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。 1.1.4 管理漏洞 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 , 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一但有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设成本网段的网关地址, 这会导致整个学生机房无法正常访问外网。 1.1.5 无线局域网的安全威胁 利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品，它的安全隐患主要有以下几点: , 未经授权使用网络服务 由于无线局域网的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，还会降低合法用户的服务质量。 , 地址欺骗和会话拦截 目前有很多种无线局域网的安全技术，包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术 (IEEE802.1x)、WPA?(Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术，应该选择哪些技术来解决无线局域网的安全问题，才能满足用户对安全性的要求。在无线环境中，非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多，这些合法的MAC地址可以被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成合法AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成合法AP进入网络，并进一步获取合法用户的鉴 别身份信息，通过会话拦截实现网络入侵。一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。 1.2校园外网安全分析 1.2.1黑客攻击 有的校园网同时与CERNET、Internet 相连, 有的通过CERNET与Internet 相连, 在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗, 成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部, 还有相当一部分来自校园网内部, 由于内部用户对网络的结构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。 1.2.2不良信息传播 在校园网接入Internet 后, 师生都可以通过校园网络进入Internet 。目前Internet 上各种信息良莠不齐, 其中有些不良信息违反人类的道德标准和有关法律法规, 对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小, 分辨是非和抵御干扰能力较差, 如果不采取切实可行安全措施, 势必会导致这些信息在校园内传播,侵蚀学生的心灵。 1.2.3病毒危害 学校接入广域网后, 给大家带来方便的同时, 也为病毒进入学校之门提供了方便, 下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及, 接入校园网的节点数日益增多, 这些节点大都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。 第二章 设计简介及设计方案论述 2.1校园网安全措施 2.1.1防火墙 网络信息系统的安全应该是一个动态的发展过程，应该是一种检测，安全，响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。 网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录或执行用户自定义的安全策略等。 1 系统组成 网络卫士监控器:一台，硬件 监控系统软件:一套 PC机(1台，用于运行监控系统软件) 2 主要功能 实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上，实时监视网络上的数据流，分析网络通讯会话轨迹。如:E,MAIL:监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。 HTTP:监视和记录用户对基于Web方式提供的网络服务的访问操作过程(如用户名、口令等)。 FTP:监视和记录访问FTP服务器的过程(IP地址、文件名、口令等)。 TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤，生成按用户策略筛选的网络日志，大大减少了需要人工处理的日志数据，使系统更有效。支持用户自定义网络安全策略和网络安全事件 3 主要技术特点 采用透明工作方式，它静静地监视本网段数据流，对网络通讯不附加任何延时，不影响网络传输的效率。可采用集中管理的分布式工作方式，能够远程监控。可以对每个监控器进行远程配置，可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测，远程启停管理。 2.1.2防病毒 为了有效的防止病毒对系统的侵入，必须在系统中安装防病毒软件，并指定严格的管理 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 ，保护系统的安全性。 1 应用状况 一台专用服务器(NTSERVER)、一台代理邮件服务器(NT SERVER&PROXY SERVER,Exchange Server)，一台WWW SERVER，一台数据库SERVER，100-200台客户机。 2 系统要求 能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒，并对本地的局域网防护的作用。 3 解决方案 采用的防病毒产品如表2-1所示。 表2-1防病毒产品清单 所需软件的名称 安装场所 数量 保护对象 ServerProtectfoNTServer 每台NTServer一NT SERVER本身 rNTServer 套 InterScanWebProProxyServer 按客户机数量 HTTPFTP、用浏览器下tect 开载的程序 ScanMailforExchExchangeServ按客户机数量 有E-Mail的用户 angeServer er OfficeScancorp 各部门的NT按客户机数量 自动分发、更新、实 域服务器 时监察客户机 以下是选用以上Trend公司产品的说明: 在NT主域控制器和备份域上均采用Server Protec for WindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机，客户端的病毒软件的安装和病毒码更新等工作，造成MIS人员管理上的超负荷，因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管，软件的分派(自动安装，自动更新病毒码、软件的自动升级)。另外在外接Internet和邮件服务器上，采用InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是，在电脑病毒入侵企业内部网络的入口处-Internet服务器或网关(Gateway)上安装此软件，它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序，并有文件到达网络系统之前进行扫描侦测出来。 2.1.3无线网络安全措施 针对校园应用的安全解决方案，从校园用户角度而言，随着无线网络应用的推进，管理员需要更加注重无线网络安全的问题，针对不同的用户需求，H3C提出一系列不同级别的无线安全技术策略，从传统的WEP加密到IEEE 802.11i，从MAC地址过滤到IEEE 802.1x安全认证技术，可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。 对于办公室局部无线用户而言，无线覆盖范围较小，接入用户数量也比较少，没有专业的管理人员，对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器，这种情况下，可直接采用AP进行认证，WPA-PSK+AP隐藏可以保证基本的安全级别。 在学校园区无线网络环境中，考虑到网络覆盖范围以及终端用户数量，AP和无线网卡的数量必将大大增加，同时由于使用的用户较多，安全隐患也相应增加，此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心，使用H3C虚拟专用组(Vertual Private Group)管理器功能并通过后台的Radius服务器进行用户身份验证，有效地阻止未经授权的用户接入，并可对用户权限进行区分。 如果应用无线网络构建校园的办公网络，此时无线网络上承载的是工作业务信息，其安全保密性要求较高，因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证，就有可能造成帐号盗用、非法入侵的问题，对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求，通过H3C虚拟专用组(VPG)管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。具体安全划分及技术方案选择如表2-2所示。 表2-2安全划分及技术方法选择 安全级别 典型场合 使用技术 初级安全 办公室局部无线用户 WPA-PSK，AP隐藏 中级安全 学校园区无线网 IEEE802.1x认证，TKIP加密+VPG管理 专业级安全 无线校园办公网 VPG管理，IEEE802.11i，Radius认证 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容， IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i ，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和AES(Advanced Encryption Standard)，以及认证 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 :IEEE802.1x 。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。 2.2 H3C无线校园网的安全策略 针对目前无线校园网应用中的种种安全隐患，H3C的无线局域网产品体系能够提供强有力的安全特性，除了传统无线局域网中的安全策略之外，还能够提供更加精细的管理措施。 2.2.1可靠的加密和认证、设备管理 能够支持目前802.11小组所提出的全部加密方式，包括高级WPA 256位加密(AES)，40/64位、128位和152位WEP共享密钥加密，WPA TKIP，特有的128位动态安全链路加密，动态会话密钥管理。802.1x 认证使用802.1x RADIUS认证和MAC地址联合认证，确保只有合法用户和客户端设备才可访问网络;WPA TKIP 认证采用EAP-MD5，EAP-TLS和PEAP协议，扩展的证书认证功能更加保证用户身份的严格鉴定。 支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。 2.2.2用户和组安全配置 和传统的无线局域网安全措施一样，H3C无线网络可以依靠物理地址(MAC)过滤、服务集标识符(SSID)匹配、访问控制列表(ACL)来提供对无线客户端的初始过滤，只允许指定的无线终端可以连接AP。 同时，传统无线网络也存在它的不足之处。首先，它的安全策略依赖于连接到某个网络位置的设备上的特定端口，对物理端口和设备的依赖是网络工程的基础。例如，子网、ACL 以及服务等级(CoS)在路由器和交换机的端口上定义，需要通过台式机的MAC地址来管理用户的连接。H3C采用基于身份的组网功能，可提供增强的用户和组的安全策略，针对特殊要求创建虚拟专用组(Vertual Private Group)，VLAN不再需要通过物理连接或端口来实施，而是根据用户和组名来区分权限。并且，H3C无线网络可以对无线局域网进行前所未有的控制和观察，监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里)，网络标识基于用户而不是基于物理端口或位置。 其次，H3C无线网络简化了SSID支持，不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置)和识别用户身份。此外，使用H3C虚拟专用组(Vertual Private Group)管理器功能，可以为用户和组分配特定的安全和访问策略，从而获得最大的灵活性，同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置，还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组，而不必逐个配置AP。 2.2.3非法接入检测和隔离 H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP，使管理员能更好地查看网络状况，提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能，通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP，但是网络规模越大就越容易受到攻击。 为了消除这种威胁，可以指定某些AP充当射频“卫士”，其方法是扫描无线局域网来查找非法AP位置，记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源，例如微波炉和无绳电话。 并且，射频监测配合基于用户身份的组网，不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容，还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。 2.2.4监视和告警 H3C无线网络体系提供了实时操作信息，可以快速检测到问题，提高网络的安全性并优化网络，甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计，它提供了配置更改的自动告警功能。向导界面提供了即时提示，从而使得管理员能够快速针对冲突做出更改。 通过使用软件的移动配置文件功能，管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外，位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。 第三章 详细设计 网络安全系统规划是一个系统建立和优化的过程，建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益，需求设计成为网络规划建设中的重要内容，网络平台中主要有针对学校建筑群而设计出的拓扑图，有互联网设备(主交换机、路由器、二级交换机、服务器等)。校园内部网络采用共享或者交换式以太网，选择中国科研教育网接入Internet，校际之间通过国际互联网的方式互相连接。同时采取相应的措施，确保通讯数据的安全、保密。 另外为了防止这个校区内病毒的传播、感染和破坏，我们在校园网内可能感染和传播病毒的地方采取相应的防毒措施，部署防毒组件，规划如下:在学校服务上安装服务器端杀毒软件;在行政、教学单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作，分发杀毒软件的升级文件(包括病毒定义码、扫描引擎、程序文件等)到校内所有用机，并对杀毒软件网络版进行更新。 3.1 ISA软件防火墙的配置 校园网内的软件防火墙采用ISAServe，之所以采用防火墙，是因为ISA Server是一种新型的应用层防火墙，避免服务的弱点及漏洞的攻击，同时支持VPN功能及充当Web代理服务器，并能提供详细的日志报告。安装示意图如图3-1所示。 图3-1 ISA安装示意图 3.1.1基本配置 通过ISA Serve中的ISA Management项中的Services标签，启动集成模式中的三个服务，就可以使用ISA的所有默认功能。同时须打开IP Routing功能、访问权限功能、访问策略功能、统一管理等。 3.1.2限制学校用机的上网 首先要定义组，通过在ISA Server软件防火墙的Client Address Sets标签中新建一个组名的标识，按照机房用机的IP地址范围进行添加，在Protocol Rules中选中协议规则后切换到Applies to标签，选中Client Address Sets specified below，加入设定的组即可。这样就可以先知学校其他用机随意上网。 3.1.3检测外部攻击及入侵 可以通过配置ISA Server来监测常见的校园网络攻击。在ISA Serve中启用入侵检测后，ISA Server一检测到攻击，就会向Windows2000事件日志中发消息。要启用ISA Server的入侵检测功能，应在ISA Server管理窗口中选择服务器名称中的IP Packet Filters Properties选项，勾选Enable Intrusion detection，即打开ISA Server的入侵检查功能。 3.1.4校园网信息过滤配置 校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围 的信息，硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日志(加密)并适时向网络中心上传数据。在软件管理终端，管理员选择“类别”和“记录日期”，点击“查看按钮”，就可以查看网络日志和操作日志，此外，安装“过滤王”软件终端程序包括核心和控制台两部分，核心程序安装在中心交换机以及学校机房的代理服务器上，在监控的网卡列表中选测内网网卡，进行通信的网卡也指定为内网网卡即可。将控制 台程序安装在服务器机房上的应用服务器上，操作系统安装为Win2000。安装完成后，控制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。 3.1.5网络流量的监控 STARVIEW在网络初步异常的情况下，能进一步查看网络中的详细流量，从而为网络故障的定位提供丰富数据支持。 3.1.6无线局域网安全技术 通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发送的数据只能被所期望的用户所接收和理解。 3.2物理地址(MAC)过滤 每个无线客户端网卡都由唯一的48位物理地址(MAC)标识，可在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而MAC地址并不难修改，因而非法用户完全可以盗用合法用户的 MAC地址来非法接入，如图3-2所示。 图3-2 MAC地址的过滤图 3.2.1服务集标识符( SSID )匹配 无线客户端必须设置与无线访问点AP相同的SSID，才能访问AP;如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务集上网。利用SSID设置，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及SSID的权限控制来达到保密的目的，因此可以认为SSID是一个简单的口令，通过提供口令认证机制，实现一定的安全，具体的服务集标识匹配如图3-3所示。 图3-3 服务集标识匹配 在IEEE802.11中，定义了WEP来对无线传送的数据进行加密，WEP的核心是采用的RC4算法。在标准中，加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的，需要在AP和Station上配置的密钥就只有40位或104位，加密原理如图3-4所示。 图3-4 WEP加密原理图 WEP加密原理如下: 1、AP先产生一个IV，将其同密钥串接(IV在前)作为WEP Seed，采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列; 2、计算待加密的MPDU数据校验值ICV，将其串接在MPDU之后; 3、将上述两步的结果按位异或生成加密数据; 4、加密数据前面有四个字节，存放IV和Key ID，IV占前三个字节，Key ID在第四字节的高两位，其余的位置0;如果使用Key-mapping Key，则Key ID为0，如果使用Default Key，则Key ID为密钥索引(0-3其中之一)。 3.2.2端口访问控制技术和可扩展认证协议 IEEE802.1x 并不是专为WLAN设计的。它是一种基于端口的访问控制技术。 该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为STA打开这个逻辑端口，否则不允许用户连接网络，具体原理如图3-5所示。 图3-5 802.1x端口控制 在具有802.1x认证功能的无线网络系统中，当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。 1.当用户有网络连接需求时打开802.1x客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给AP，开始启动一次认证过程。 2.AP收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3.客户端程序响应AP发出的请求，将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4.认证服务器收到AP转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给AP，由AP传给客户端程序。 5.客户端程序收到由AP传来的加密字后，用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的)，并通过AP传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向AP发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持AP端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。 WPA (Wi-Fi Protected Access) WPA = 802.1x + EAP + TKIP + MIC 在IEEE 802.11i 标准最终确定前， WPA标准是代替WEP的无线安全标准协议，为 IEEE 802.11无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和TKIP。 认 证 在802.11中几乎形同虚设的认证阶段，到了WPA中变得尤为重要起来，它要求用户必须提供某种形式的证据来证明它是合法用户，并拥有对某些网络资源的访问权，并且是强制性的。 WPA的认证分为两种:第一种采用802.1x+EAP的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器(一般是 RADIUS服务器)来实现。在大型网络中，通常采用这种方式。但是对于一些中小型的网络或者个别用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂，因此WPA也提供一种简化的模式，它不需要专门的认证服务器，这种模式叫做WPA预共享密钥(WPA-PSK)，仅要求在每个WLAN节点 (AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN的访问权。 由于这个密钥仅仅用于认证过程，而不用于加密过程，因此不会导致诸如使用WEP密钥来进行802.11共享认证那样严重的安全问题。 加密WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24 位增加到48位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法，但其动态密钥的特性很难被攻破。 消息完整性校验(MIC)，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11 一样继续保留对每个数据分段(MPDU)进行CRC校验外，WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值，这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的CRC算法，但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时， WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。 第四章 具体配置及分析 4.1交换机配置 4.1.1交换机端口安全概述 交换机有端口安全功能，利用端口安全这个特性，可以实现网络接入安全，具体可以通过限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后，除了源地址为这些安全地址的包外，这个端口将不转发其他任何包。此外，你还可以限制一个安全地址，则连接到这个口的工作站(其地址为配置的安全地址)将独享该端口的全部带宽。 为了增强安全性，你可以将MAC地址和IP地址绑定起来作为安全地址。当然你也可以只指定MAC地址而不绑定IP地址。 如果一个端口被配置为一个安全端口，当其安全地址的数目已达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将发生。当安全违例产生时，你可以选择多种方式来处理违例，例如丢弃接收到的报，发送违例通知或关闭相应端口等。 当设置了安全端口上安全地址的最大个数后，可以使用下面几种方式加满端口上的安全地址: 可以使用接口配置模式下的命令switchport port-security mac-address mac-address [ip-address ip-address]来手工配置端口的所有安全地址。 也可以让该端口自动学习地址，这些自动学习到的地址将变成该端口上的安全地址，直到达到IP最大个数。需要注意的是，自动学习的安全地址均不会绑定地址，如果在一个 端口上，你已经配置了绑定IP地址的安全地址，则将不能再通过自动学习来增加安全地址。 也可以手工配置一部分安全地址，剩下的部分让交换机自己学习。 当违例产生时，可以设置下面几种针对违例的处理模式: Protect 当安全地址个数满后，安全端口将丢弃未知地址(不是该端口的安全地中的任何一个)的包。 RestrictTrap 当违例产生时，将发送一个Trap通知。 Shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 端口安全的具体内容有四项，他的默认配置如表4-1所示。 表4-1 端口的默认设置 内容 设置 端口安全开头 所有端口均关闭端口安全功能 最大安全地址个数 128 安全地址 无 违例处理方式 保护(protect) 4.1.2配置端口安全的限制 配置端口安全是有如下一些限制: 一个安全端口不能是一个aggregate port: 一个安全端口只能是一个access port. 一个千兆接口上最多支持120个同时申明IP地址和MAC地址的安全地址。另外，由于这种同时申明IP地址和MAC地址的安全地址占用的硬件资源与ACLs等功能占用的系统硬件资源共享，因此当您在某一个端口上应用了ACLs，则相应地该端口上所能设置的申明IP地址是安全地址个数将会减少。 建议一个安全端口上的安全地址的格式保持一致，即一个端口上的安全地址或者全是绑定了IP的安全地址，或者都是不绑定IP地址的安全地址。如果一个安全端口同时包含这两种格式的安全地址，则不绑定IP地址的安全地址将失效(绑定IP地址的安全地址优先级更高)，这时如果你想使端口上不绑定IP地址的安全地址生效，你必须删除端口上所有的绑定了IP地址的安全地址。 4.1.3配置安全端口及违例处理方式 从特权模式开始，可以通过以下步骤来配置一个安全端口和违例处理方式: (1)configure terminal 进入全局培植模式。 (2)interface interface-id 进入接口配置模式。 (3)switchport mode access 设置接口为access模式(如果确定接口已经处 于access模式，则此步骤可以省略)。 (4)switchport port-security 打开该接口安全功能。 (5)switchport port-secruity maximum value 设置接口上安全地址的最大个 数，范围是1-128，默认值为128。 (6)switchport port-security violation{protect| restrict | shutdown} 设置处理违 例的方式: potect 保护端口，当安全地址个数满后，安全端口将丢弃未知名地址(不 是该端口的安全地址中的任何一个)的包。 rstrict 当违例产生时，将发送一个Trap 通知。 Shutdown 当违例产生时，将关闭端口并发送一个Trap通知。当端口因为 违例而被关闭后，可以在全局模式下使用命令errdisable reeovery来将接口从错 误状态中恢复过来。 7)End 回到特权模式。 ( (8)Show port-security interface[interface-id]验证你的配置。 在借口配置模式下，你可以使用命令no switchport port-security 来关闭一个 接口的端口安全功能。使用命令no switchport port-security violation来恢复默认 个数。使用命令no switchport port-security violation来将违例处理配置为默认模 式。 下面的例子说明了如何使能接口gigabitethermet 1/3上的端口安全功能，设 置最大地址个数为8，设置违例方式为protect。 Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#linterface gigabitethernet 1/3 Switch (config-if)# switchport mode access Switch (config-if)# switchport port-security Switch (config-if)# switchport port-security maximum 8 Switch (config-if)# switchport port-security violation protect Switch (config-if)# end 4.1.4配置安全端口上的安全地址 从特权模式开始，你可以通过以下步骤来手工配置一个安全端口上的安全地址。 (1) configure terminal 进入全局配置模式。 (2) interface interface-id 进入接口配置模式。 (3) switch port-security mac-address mac-address[ip-address ip-address]手工配置接口上的安全地址。Ip-address: 可选IP为这个安全地址绑定的地址。 (4) wnd 回到特权模式。 (5) show port-security address 验证你的配置。 在接口配置模式下，可以使用命令no switchport port-security mac-address mac-address来删除该接口的安全地址。 下面的例子说明了如何为接口gigabitcthernet 1/3配置一个安全MAC地址:00d0.f800.073c,并为其绑定一个地址IP:192.168.12.202。 配置安全地址的老化时间 你可以为一个接口上的所有安全地址配置老化时间。打开这个功能，你需要设置安全地址的最大个数，这样，你就可以让交换机自动的增加和删除接口上的安全地址。 从特权模式开始，你就可以通过以下步骤来配置端口的功能。 configure terminal 进入全局配置模式。 interface interface-id 进入接口配置模式。 switchport port-security aging{static|time time} static:加上这个关键字，表示老化时间将同时应用于手工配置的安全地址和自动学习的地址，否则只应用于自动学习的地址。Time:表示这个端口上安全地址的老化时间，范围是0~1440，单位是分钟。如果设置为0，则老化功能实际上被关闭。老化时间按照绝对的方式计时，也就是一个地址成为一个端口的安全地址后，经过Time指定的时间后，这个地址就将被自动删除。Time指定的时间后，这个地址就将被自动删除。Time的默认值为0。 End 回到特权模式。 show port-security interface [interface-id] 验证你的配置。 可以在接口配置模式下使用命令no switchport port-security aging time 来 关闭一个接口的安全地址老化功能(老化时间为0)，使用命令 no switchport port-security aging static来使老化时间仅应用于动态学习到的安全地址。 下面的例子说明了如何配置一个接口gigabitethernet 1/3上的端口安全的老 化时间，老化时间设置为8分钟，老化时间应用于静态配置的安全地址: Switch# configure terminal Enter configuration commands,one per line,End with CNTL/Z. Switch(config)# interface gigabitthernet 1/3. Switch (config-if)# switchport port-security aging time 8 Switch (config-if)# Sswitchport port-security aging time static Switch (config-if)# end 查看端口安全信息 在特权模式开始，你可以通过下面的命令来查看端口安全的信息: Show port-security interface [interface-id] 查看端口的端口安全配置信息。 address 查看安全地址信息。 Show port-security Show port-security [interface-id] address 显示某个接口上的安全地址信息。 Show port-security 显示所有安全端口的统计信息，包括最大安全地址数， 当前安全地址以及违例处理方式等。 下面的例子显示了接口 gigabitethernet 1/3上的端口安全配置: Switch# show port-security interface gigabitethernet 1/3 Interface: Gil/3 Port security:Enabled Port status: down Violation mode:shutdown Maximum MAC Address:0 Configured MAC Address:0 Aging time :8 mins SecureStatic address aging:Enabled 下面的例子显示了系统中的所有安全地址: Switch# show port-security address Vlan Mac address IP Address Type Port Remaining Age(mins) ------------------------------------------------------------------------------------------------- 1 00d0.f800.073c 192.168.12.202 Configured Gi1/3 8 下面的例子显示的是安全端口的统计信息: Switch# show port-security Secure port MaxSecureAddr(count) CurrentAddr (count) Secutity Action ------------------------------------------------------------------------------------------------- Gi1/1 128 1 Restrict Gi1/2 128 0 Restrict Gi1/3 8 1 protect 4.2在路由器中配置访问控制列表ACL 4.2.1访问控制列表ACL概述 访问控制列表ACL(Access Control List),最直接的功能便是包过滤。通过接入控制列表(ACL)可以在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流进行过滤。 认证输入数据流的定义可以基于网络地址、TCP/UDP的应用等。可以选择对于符号合过滤标准的流是丢弃还是转发，因此必须知道网络是如何设计的，以及路由器接口是如何在过滤标准设备上使用的。要通过ACL配置网络安全属性，只有通过命令来完成配置。无法通过SNMP来完成这些设置。 4.2.2 ACL的类型 ACL的类型主要分为IP标准控制列表(Standard IP ACL)和IP扩展访问控制列表(Extended IP ACL);主要的动作作为允许(Permit)和拒绝(Deny)如图9-1所示;主要的应用方法是入栈(In)应用和出栈(Out)应用，访问控制列表的工作流程如图4-1所示。 图4-1访问控制列表工作流程 1. 编号的访问控制列表 在路由器上可配置编号的访问控制列表。具体介绍如下。、 IP标准访问控制列表(Standard IP ACL)。 标准访问控制列表是基本IP数据包中的IP地址进行控制，如图4-2所示。 图4-2标准访问控制列表 所有的访问控制列表都是在全局配置模式下生成的。IP标准访问控制列表的格式如下: Access-list listnumber {permit | deny }address [wildcard-mask] 其中:listnumber是规则序号，标准访问控制列表(Standard IP ACL)的规则序号范围是1~99; Permit和deny表示允许或禁止满足该规则的数据包通过;Address是源地址 IP;wildcard-mask是源地址IP 的通配比较位，也称反掩码。例如: (config) #access-list 1 permit 172.16.0..0 0.0.255.255 (config) #access-list 1 deny 0.0.0.0 255.255.255.255 2 IP扩展访问控制列表(Extended IP ACL)。 扩展访问控制列表不仅可以对原IP地址加以控制，还可以对目的地址、协 议以及端口好加以控制，如图4-3所示。 图4-3 扩展访问控制列表 IP扩展访问控制列表也都是在全局配置模式下生成的。IP扩展访问控制列 表的格式如下: Access-list listnumber {permit | deny }protocol source source-wildxard-mask destination destination-wildcard-mask[operator operand] 扩展访问控制列表支持的操作符及其语法如表9-2所示。 表4-2 扩展访问控制列表支持的操作符及其语法 操作符及其语法 意义 eq portnumber 等于端口号 portnumber gt portnumber 大于端口号 portnumber It portnumber 小于端口号 portnumber Neq portnumber 不等于端口号 portnumber range pornumber1 portnumber2 介于端口号 portnumber1和 portnumber2 3 ACL命令中的反掩码。 反掩码与子网码算法相似，但写法不同，区别是:反掩码中，0表示需要比较，1表示不需要比较，对于: 0.0.0.255 只比较前24位 0.0.3.255 只比较前22位 0.255.255.255 只比较前8位 4 入栈(In)应用和出栈(Out)应用。 这两个应用是相对于设备的某一端口而言，当要对从设备外的数据经端口流入设备时做访问控制，就是入栈(In)应用;当要对从设备内的数据经端口流出设备时做访问控制，就是出栈(Out)应用。 命名的访问控制列表 在三层交换机上配置命名的ACL。可以采用创建ACL、接口上应用ACL、查看ACL这三个步骤进行。 创建Standard IP ACLs 在特权配置模式，可以通过如下步骤来创建一个Standard IP ACL。 (1) configure terminal 进入全局配置模式。 (2) ip access=list standard{name} 用数字或名字来定义一条Standard IP ACL并进入access-list配置模式。 (3) deny{source source-wildcard|host source|any}或permit{source source-wildcard|host source|any}在access-list配置模式，申明一个式多个允许通过(permit)或丢弃(deny)的条件以用于交换机决定报文是转发还是丢弃。Host source代表一台源主机，其source-wildcard为0.0.0.0;any代表任意主机，即source为0.0.0.0，source-wild为255.255.255.255. (4) end 退回到特权模式。 (5) show access-lists[name]显示该接入控制列表，如果您不指定access-list及name参数，则显示所有接入控制列表。 下例显示如何创建一个IP Standard Access-list,该ACL名字叫deny-host 192.168.12.x:有两条ACE(访问控制条目)，第一条ACE拒绝来自192.168.12.0网段的任一主机，第二条ACE物许其他任意主机: Switch (conifg)# ip access-list standard deny-host192.168.12.x Switch (config-std-nacl)# deny 192.168.12.0 0.0.0.255 Switch (config-std-nacl)# permit any Switch (config-std-nacl)# end 创建Extended IP ACLs 在特权配置模式，可以通过如下步骤来创建一个Extended IP ACL。 (1) configure terminal 进入全局配置模式。 (2) ip access-list extended{name} 用数字或名字来定义一条Extended IP ACL 并进入access-list配置模式。 (3) {deny|permit} protocol{source source-wildcard|host source|any}[operator port] 在access-list配置模式，一个或多个允许通过(permit)或丢弃(deny)的条件以用于交换机决定匹配条件的报文是转发还是丢弃。 (4) {destination destination-wildcard|host destination|any}[operator port]如下方式定义TCP或UDP的目的或源端口: ? 操作符(operator)只能为eq。 ? 如果操作符在source source-wildcard之后，则报文的源端口匹配指定值时条件生效。 ? 如果操作符在destination destination –wildcard之后，则报文的目的端口匹配指定值时条件生效。 ? Port为十进制值，它代表TCP或UDP的端口号。值范围为0~65535。 Protocol可以为: a) Tcp 指明为tcp数据流 b) Udp 指明为udp数据流 c) Ip 指明为任意ip 数据流 d) End 退回到特权模式 (5) Show access-lists[name] 显示该接入控制列表，如果您不下access-list number及name参数，则显示所有接入控制列表。 下例显示如何创建一条Extended IP ACL，该ACL有一条ACE，用于允许 指定网络(192.168.,.,)的所有主机以HTTP访问服务器172.168.12.3，但拒 绝其他所有主机使用网络。 Switch (config) # ip access-list extended allow_0xc0a800_to_172.168.12.3 Switch (config-std-nacl) # permit tcp 192.168.0.0 0.0.255.255 host172.168.12.3 eq www Switch (config-std-nacl) #end Switch # show access-list 将ip standard access-list及ip extended access-list 应用到指定接口上 在特权模式，通过如下步骤将IP ACLs应用到指定接口上。 (1) configure terminal 进入全局配置模式。 (2) interface interface-id指定一个接口并进入接口配置模式。 (3) ip access-group{name} {in|out} 将指定的ACL应用于该接口上，使其对 输入或输出该接口的数据流进行接入控制 (4) end 退回到特权模式。 下例显示如何将access-list- deny_unknow_device应用于VLAN接口,上。 Switch (config) # interface vlan 2 Switch (config-if) #ip access-group deny_unknow_device in (5) 显示ACLs配置。 可以通过命令来显示ACL配置。 以下例子显示名字为ip_acl的Standard IP access-lists的内容: Router # show ip access-lists ip_acl Standard ip access list ip_acl Permit host 192.168.12.1 Permit host 192.168.9.1 以下例子显示名字为 ip_ext_acl的Extended IP access-lists的内容: Router #show ip access-lists ip_ext_acl Extended ip access list ip_ext_acl Permit tcp 192.168.0.0 255.255.0.0 host 192.168.1.1 eq www Permit tcp 192.167.0.0 255.255.0.0 host 192.168.1.1 eq 以下例子显示所有 IP access-lists 的内容: Switch # show ip acess-lists Standard ip access list ip_acl Permit host 192.168.12.1 Permit host 192.168.9.1 Extended ip access list ip_ext_acl Permit tcp 192.168.0.0 0.0255.255 host 192.168.1.1 eq www Permit tcp 192.167.0.0 0.0.255.255 host 192.168.1.1 eq www Router #show access-lists Standard ip acces list ip_acl Permit host 192.168.12.1 Permit host 192.168.9.1 Extended ip access list ip_ext_acl Permit tcp 192.168.0.0 0.0.255.255 host 192.168.1.1 eq www Permit tcp 192.167.0.0 0.0.255.255 host 192.168.1.1 eq www Extended MAC access list macext deny host 0x00d0f8000000 any aarp permit any any 4.3防火墙的配置 以锐捷RG-WALL 150防火墙为例，介绍RG-WALL系列防火墙的初始配置。 将PC的COM1口连接到防火墙的Console口，并将PC机网卡连接到防火墙的 Forcethernet口，然后进行配置。 在初始设置过程中，首先通过防火墙的控制口(Console)登录进入防火墙进行 一些初步设置，然后启动已注册管理员的PC的浏览器(Web Browser)，在地址栏 中输入RG-WALL的内网接口IP地址，由此可进入防火墙的图形化配置界面， 对防火墙估进一步的配置。具体的配置如下例所示。 1. 登录防火墙 RG-Wall-150 login : root Password : rg-wall123 以上是系统的默认ID和口令值 / >si 按任意键进入默认设置阶段，设置系列号、feature code以及授权号。 RG-WALL的第一步系统将提示输入系列号、feature code以及授权号。按照“产品使用授权书”上提供的信息输入序列号，区分大小写。序列号的格式以SW-xx-xxxxx以及SK-xx-xxxxx输入，例如: SW-03-91004 输入完序列号再输入feature code 的内容，feature code是设置RG-WALL可使用功能的编码(厂商提供的16位编码)。授权号与序列号和feature code相同。 2. 选定路由模式或网桥模式 按任意键继续。下一阶段将决定RG-WALL在安装网络中要起的作用。并且这一阶段的选择决定以后的设置工作。在这里将说明路由模式下的设置方法。 在最后的输入提示中键入“P/p”时将取消当前设置和之前阶段的设置，进入前一个设置阶段。键入“C/c”时将取消当前设置的内容，重新开始当前设置过程。输入任意键将应用当前设置内容并进入下一个阶段。这些设置阶段的取消以及移动的方法在其他安装步骤中也相同。 3. 输入管理员ID和密码 完成防火墙模式设置以后，输入要启用的管理员ID和密码。这里的主管理员表示带有停止/启动系统的、授权其他管理员权限的主要系统负责人员。默认将admin作为管理员帐号，管理员密码必须是英文和数字的混合格式并且必须大于6个字。如输入密码:admin123。两次密码输入完全匹配时才可以进入下一步操作。 4. 设置系统名称以及语言 接下来输入系统名称，例如:Host.firewall.com。 下一阶段选择CLI Terminal识别的语言，默认值是中文。 5. 设置时间 下一阶段是设置系统时间。所有的日志和报表以及计划任务的作业都会根据这里设置的时间来形成，因此必须正确设置当前时间。 选择[0]进入下一个阶段。 6. 指定管理员PC的IP地址 要RG-WALL的GUI和CLI必须注册管理员PC的IP地址。管理员的IP地址最多可以输入10个并且每个IP地址之间用“，”和空格隔开。例如:192.168.1.1, 192.168.1.2。输入完管理员IP地址进入下一阶段。 以下的步骤基本上都可以通过进入防火墙的图形化配置界面后进行配置。 7. 网络接口构成 为了使RG-WALL的网络连接正常必须按照计划书的方案分配各接口地址。各接口 的区域分配可以修改，但是必须设置Internal和External并且启用HA时也必须设置HA Link。 8. VLAN构成 如果要构成VLAN并通过802.1Q方式访问时必须设置各VLAN的IP地址以及子网掩码和MTU信息。RG-WALL共提供6个VLAN接口。设置完VLAN后选择[0]进入下一个阶段。 输入VLAN设置的接口号开始设置VLAN。 9. Static Route 如果计划在路由模式下启用OSPF可以跳过这一阶段进入下一个OSPF设置阶段，或者以后WEB方式设置。 10. 设置OSPF 路由模式下可以设置该值，或者以后通过WEB方式设置。 11. 设置HA Zone 架设路由模式下高可用结构时首先要确定是否启用虚IP地址、配置什么样的虚IP以及是否使用4层交换机来实现高层同步模式。 在此输入组成HA Zone的RG-WALL组名。默认值为Default。 12. 设置虚IP地址 首先构成VIG(Virtual Interface Group)。选择[2]可以确认当前的VIG以及各接口的虚IP地址信息。 13. 设置DNS 在此输入域名，输入完成按回车键进入下一阶段。 14. 选择基本规则 最后一个阶段是设置初始规则阶段。在这个阶段选择需要的基本规则即可，基本设置完毕后通过GUI进一步设置。 15. 应用系统设置 基本安装设置已经完成，按任意键重新启动系统的同时应用当前设置。重新启动后出现登录画面，登录操作系统。这时会出现RG-WALL的登录提示符。 登录RG-WALL系统后出现CLI基本菜单。继续通过CLI进行作业可以选择[2]或者[3]。 16. Reinstall RG-WALL的重新安装提供了路由模式设置和网桥模式设置中的所有设置项。 在CLI命令提示符上输入reinstall重新设置系统。 17. 确认安装是否正常 进入RG-WALL CLI模式并输入以下命令: [admin:E:W] RG-WALL>ping “与各接口连接的对方设备IP地址” 邻接网络设备的ping测试成功以后可以再测试ping管理员PC、DMZ的主要服务器以及外网常用的IP地址。 18. GUI安装 RG-WALL的GUI通过JAVA技术实现，因此兼具客客户端软件管理方式和WEB浏览器管理方式的优点，支持多种语言，与管理工作站的操作系统无关。 为了运行JAVA类程序，管理员工作站需要具备SUN公司的免费软件Java Runtime Environment(JRE)。这一插件可以通过RG-WALL的WEB管理界面安装。 在管理员工作站上启动WEB浏览器后，在地址栏中输入RG-WALL Internal 接口的IP地址。 注意:在初始配置中，关键是要设置管理员ID、密码和IP地址，并设置至少一个接口的IP地址，其余配置可以在进入WEB配置界面后设置。注意:在初始配置中，关键是要配置管理员ID、密码和IP地址，并设置至少一个接口的IP地址，其余配置可以在以后进入Web配置界面后设置.