网络安全设计方案总结5篇网络安全设计方案总结 摘 要运算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet的安全成了新信息安全的热点。网络安全,是运算机信息系统下面是小编为大家整理的网络安全设计方案总结5篇,供大家参考。
篇一:网络安全设计方案总结
/p>要 运算机网络的发展和技术的提高给网络的安全带来了很大的冲击,Internet 的安全成了新信息安全的热点。网络安全,是运算机信息系统安全的一个重要方面。如同打开了的潘多拉魔盒,运算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。如何保证网络信息储备、处理的安全和信息传输安全的问题,就是我们所谓的运算机网络安全。信息安全是指防止信息财产被有意的或偶然的非法授权泄露、更换、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完整性、可用性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、拜访控制、加密和鉴别七个方面。设计一个安全网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的安全,同时又要有较高的成本效益,操作的简易性,以及对用户的透亮性和界面的友好性。
针对运算机网络系统存在的安全性和可靠性问题,本文从网络安全的提出及定义、网络系统安全风险分析 ,网络攻击的一样手段,企业局域网安全设计的原则及其配置方案提出一些见解,并且进行了总结,就当前网络上普遍的安全威逼,提出了网络安全设计的重要理念和安全治理规范并针对常见网络故障进行分析及解决,以使企业中的用户在运算机网络方面增强安全防范意识,实现了企业局域网的网络安全。
关键词:网络安全; 路由器; 防火墙; 交换机; VLAN
Abstract
The development of computer networks and technologies to enhance network security is a big blow, Internet security has become a new hotspot of information security. Network security is the security of computer information systems in an important aspect. Like opening of the Pandora"s Box, the computer systems of the Internet, greatly expanded information resources sharing space at the same time, will be its own exposure to the more malicious attacks under. How to ensure that the network of information storage, processing and transmission of information security security, is the so-called computer network security. Information security is to prevent information from the property have been deliberately or accidentally leaked authorized illegal, altered, damage or illegal information system identification, control; ensure confidentiality, integrity, availability, controllable. Information security, including the safety of the operating system, database security, network security, virus protection, access control, encryption and identification of seven areas. Design of a network security system, which must be done to effectively prevent the network all of the attacks, guarantee the safety of the system, and also have a higher cost-effectiveness, operational simplicity, and transparent to the user interface and friendly.
Computer network system of security and reliability problems, the paper from the network security and the proposed definition, Network security risk analysis, network attacks generally means Enterprise LAN security design principles and disposition program some insights, and it was summed up, on the current network-wide security threats the network security of the important design concepts and security management norms and against common network fault analysis and solution to enable enterprise customers in the computer network to enhance safety, realizing the enterprise LAN network security.
Key words :Network Security; Router; Firewall; Switch; VLAN
目
录
摘
要 .................................................................................................................................... I ABSTRACT ........................................................................................................................ II 目
录 ................................................................................................................................. III 绪论 ....................................................................................................................................... 1 1 1 网络安全概述 ................................................................................................................... 2 1.1
网络安全的概念 ........................................................................................................ 2 1.2
网络安全系统的脆弱性 ............................................................................................ 2 1.3
网络安全模型 ............................................................................................................ 3 1.4
企业局域网的应用 .................................................................................................... 4 2 2 网络系统安全风险分析 ................................................................................................... 5 2.1 物理安全风险分析 ..................................................................................................... 5 2.2 网络平台的安全风险分析 ......................................................................................... 5 2.3 系统的安全风险分析 ................................................................................................. 6 2.4 来自局域网内部的威逼 ............................................................................................. 6 2.5 来自互联网的威逼 ..................................................................................................... 7 2.6 网络的攻击手段 ......................................................................................................... 7 3 3 企业局域网的安全设计方案 ........................................................................................... 8 3.1 企业局域网安全设计的原则 ..................................................................................... 8 3.2
安全服务、机制与技术 ............................................................................................ 9 3.3 企业局域网安全配置方案 ......................................................................................... 9 3.3.1 物理安全技术 ..................................................................................................... 9 3.3.2 路由器安全配置 ................................................................................................. 9 3.3.3 防火墙技术安全配置 ....................................................................................... 12 3.3.4 内部网络隔离 ................................................................................................... 16 3.3.5 企业局域网防病毒设置 ................................................................................... 19 3.3.6 攻击检测技术及方法 ....................................................................................... 22 3.3.7 审计与监控技术实施 ....................................................................................... 27 3.4 信息安全 ................................................................................................................... 30 4 4 企业局域网安全治理 ..................................................................................................... 32 4.1
安全治理规范 .......................................................................................................... 33 4.1.1 安全治理原则 .................................................................................................. 33 4.1.2 安全治理的实现 .............................................................................................. 33
4.2
常见网络故障及解决 .............................................................................................. 33 4.2.1 IP 冲突解决 ..................................................................................................... 33 4.2.2 DNS 错误 ........................................................................................................... 34 终止语 ................................................................................................................................. 36 致
谢 ................................................................................................................................. 37 参考文献 ............................................................................................................................. 38
绪论
随着迅速变化的商业环境和日益复杂的网络, 已经彻底改变了目前从事业务的方式。尽管企业现在依靠许多种安全技术来保护知识产权,但它们经常会遇到这些技术所固有的限制因素难题。
无论当今的技术标榜有何种能力,它们通常均不能够集中监控和控制其它第三方异构安全产品。大多数技术都未能证实有至关重要的整合、正常化和关联层,而它们正是有效安全信息治理基础的组成部分。寻求尖端技术、体会丰富的人员和最佳作法与连续主动进行企业安全治理的坚实整合,是当今所有 IT 安全专业人士面临的最严肃挑战。
有效的安全信息治理主要关键是要求企业治理其企业安全,并同时在风险与性能改进间做到最佳平稳。拥有良好的主动企业安全治理不应是我们所有人难以实现的妄图。通过本企业网络安全技术及解决方案,使企业网络可有效的确保信息资产保密性、完整性和可用性。
本方案为企业局域网网络安全的解决方案,包括原有网络系统分析、网络安全风险分析、安全体系结构的设计等。本安全解决方案是在不影响该企业局域网当前业务的前提下,实现对局域网全面的安全治理。
(1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防备系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2) 定期进行漏洞扫描,审计跟踪,及时发觉问题,解决问题。
(3) 通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(4) 使网络治理者能够很快重新组织被破坏了的文件或应用。使系统重新复原到破坏前的状态,最大限度地减少缺失。
(5) 在服务器上安装相应的防病毒软件,由中央控制台统一控制和治理,实现全网统一防病毒。
1
网络安全概述 1.1
网络安全的概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更换、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
从网络运行和治理者角度说,他们期望对本地网络信息的拜访、读写等操作受到保护和控制,避免显现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威逼,禁止和防备网络黑客的攻击。
从社会教育和意识形状角度来讲,网络上不健康的内容,会对社会的稳固和人类的发展造成阻碍,必须对其进行控制。
1.2
网络安全系统的脆弱性
运算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威逼。尽管近年来运算机网络安全技术取得了庞大的进展,但运算机网络系统的安全性,比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害,他的抗打击力和防护力很弱,其脆弱性主要表现在如下几个方面。
(1) 操作系统的安全脆弱性 操作系统不安全,是运算...
篇二:网络安全设计方案总结
X 网络安全系统设计方案 本文由 gsw0554 贡献doc 文档可能在 WAP 端浏览体验不佳。
建议您优先选择 TXT, 或下载源文件到本机查看。
XXX 网络安全系统设计方 案
XXXXXX 有限公司
XXXX 年 XX 月 XX 日
目
录
第一章 前言…… 2 1. 1 概述 …… 2 第二章 系统安全需求分析 …… 4
2. 1 计算机网络环境描述 …… 4 2. 2 网络安全需求分析 …… 5 第三章 网络安全解决方案设计 …… 9
3. 2 网络安全系统设计的原则 …… 9 3. 3 安全防范方案设计构思 …… 10 3. 4 总体设计架构 …… 12 3. 5 防火墙系统设计 …… 13 3. 5. 1 方案原理…… 13 3. 5. 2 设计目标…… 14 3. 5. 3 部署说明…… 14 3. 5. 4 防火墙功能设置及安全策略 …… 16 第四章 产品简介…… 18 4. 1 防火墙简介 …… 18
-1-
第一章 前言
1. 1 概述
随着我国信息化建设的快速发展, 各级单位和部门都正在建设或 者已经建成自己的信息网络, 而随之而来的网络安全问题也日益突 出。
安全包括其上的信息数据安全, 日益成为与公安、 教育、 司法、
军队、 企业、 个人的利益息息相关的“大事情”
。
结合国内的实际情况, 网络安全涉及到网络系统的多个层次和多 个方面, 而且它也是个动态变化的过程, 因此, 国内的网络安全实际 上是一项系统工程。
它既涉及对外部攻击的有效防范, 又包括制定完 善的内部安全保障制度; 既涉及防病毒攻击, 又涵盖实时检测、 数据 加密和安全评估等内容。
因此, 网络安全解决方案不应仅仅提供对于 某种安全隐患的防范能力,
而是应涵盖对于各种可能造成网络安全问 题隐患
的整体防范能力; 同时, 它还应该是一种动态的解决方案, 能 够随着网络安全需求的增加而不断改进和完善。
同时, 网络安全服务在行业领域已逐渐成为一种产品。
在信息化 建设过程中, 国内用户面临的最大问题就是网络安全服务的缺乏。
信 息安全服务已不再仅仅局限于产品售后服务, 而是贯穿从前期咨询、
安全风险评估、
安全项目实施到安全培训、
售后技术支持、
系统维护、
产品更新这种项目周期的全过程。
服务水平的高低, 在一定程度上反 映了厂商的实力,
厂商的安全管理水平也成为阻碍用户对安全问题认 识的一个主要方面。
这就对安全厂商提出了比较高的要求, 如何为用
-2-
户服务、 并使用户满意, 已经成为每个网络安全产品厂商和解决方案 提供者需要认真思考的问题。
在 XXX 网络络安全方案初步设想的基础上,
根据 XXX 网络安全的 切合实际、
保护投资、
着眼未来、
分步建设的原则,
特点和需求,
本着切合实际、
切合实际 保护投资、
着眼未来、
分步建设 提出了针对 XXX 网络安全需求的解决方案。
-3-
第二章 第二章
系统安全需求分析 系统安全需求分析 安全
2. 1 计算机网络环境描述
随着 XXX 系统信息化需求的不断增长, 网络应用的不断扩展、
现有的信息基础设施和信息系统安全措施逐渐暴露出了诸多问题,
如 原有的信息系统业务信息化程度较低, 安全方面考虑较少, 所以在网 络和信息安全及其管理方面的基础非常薄弱:
整体上没有成熟的安全 体系结构的设计,
管理上缺乏安全标准和制度,
应用中缺乏实践经验;
信息系统缺乏有效的评估与审计, 外网的接入无完善的保护措施等 等。
其网络拓扑如下图所示:
网络拓扑图说明:
网络拓扑图说明:
XXX 网络以一台路由器连接到互连网。
XXX 网络内部设立五台服务器。
XXX 网络内部设立有多了 LAN, 通过路由器连接互连网。
-4-
网络安全需求分析 2. 2 网络安全需求分析
主要的网络安全风险主要体现在如下几个方面:
内部局域网风 险、 应用服务安全风险、 互联网风险, 我们将对 XXX 网络各个层面存 在的安全风险进行需求分析:
内部局域网风险分析 主要是保证 XXX 网络结构的安全、 在网络层加强访问控制能力、
加强对攻击的实时检测能力和先于入侵者发现网络中存在漏洞的能 力; 加强全网的安全防范能力。
具体可以概括为:
在 XXX 网络中, 保证非授权用户不能访问任何一台服务器、 路由 器、 交换机或防火墙等网络设备。
内部网络与外部网络(相对于本 地局域网以外的网络)
, 考虑采用硬件防火墙设备进行逻辑隔离, 控 制来自内外网络的用户对重要业务系统的访问。
在 XXX 网络上, 一般来说, 只允许内部用户访问 Internet 上的 HTTP、 FTP、 TELNET、 邮件等服务, 而不允许访问更多的服务; 更进 一步的是要能够控制内部用户访问外部的非授权色情暴力等非法网 站、 网页,
以防员工利用网络之便上黄色网站、 聊天、
打网络游戏等,
导致办公效率降低。
应用层的安全风险分析 系统中各个节点有各种应用服务, 这些应用服务提供给 XXX 网络 内部各级单位使用,
如果不能防止未经验证的操作人员利用应用系统 的脆弱性来攻击应用系统, 会造成系统数据丢失、 数据更改、 非法获 得数据等。
-5-
防火墙的访问控制功能能够很好的对使用应用服务的用户进行 严格的控制,
配合以入侵检测系统就能安全的保护信息网的各种应用 系统。
WWW 服务器安全风险 服务器崩溃, 各种 WEB 应用服务停止;
WEB 服务脚本的安全漏洞, 远程溢出(. Printer 漏洞) ;
通过 WEB 服务服务获取系统的超级用户特权;
WEB 页面被恶意删改;
通过 WEB 服务上传木马等非法后门程序, 以达到对整个服务器的 控制;
WEB 服务器的数据源, 被非法入侵, 用户的一些私有信息被窃;
利用 WEB 服务器作为跳板, 进而攻击内部的重要数据库服务器;
拒绝服务器攻击或分布式拒绝服务攻击;
针对 IIS 攻击的工具, 如 IIS Crash;
各种网络病毒的侵袭, 如 Nimda, Redcode II 等;
恶意的 JavaApplet, Active X 攻击等;
WEB 服务的某些目录可写;
CGI-BIN 目录未授权可写, 采用默认设置, 一些系统程序没有删 除。
软件的漏洞或者“后门”
软件的漏洞或者“后门”
随着软件类型的多样化, 软件上的漏洞也是日益增加, 一些系统 软件、 桌面软件等等都被发现过存在安全隐患。
可以说任何一个软件
-6-
系统都可能会因为程序员的一个疏忽、
设计中的一个缺陷等原因而存 在漏洞, 这也是 XXX 网络网信息安全的主要威胁之一。
资源共享 XXX 网络系统内部自动化办公系统。
因为缺少必要的访问控制策 略。
而办公网络应用通常是共享网络资源, 比如文件共享、 打印机共 享等。
由此就可能存在着:
同事有意、 无意把硬盘中重要信息目录共 享, 长期暴露在网络邻居上, 可能被外部人员轻易偷取或被内部其他 用户窃取并传播出去造成泄密.
电子邮件为网络系统用户提供电子邮件应用。
内部网用户能够通 过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或 收到一些特洛伊木马、
病毒程序等,
由于许多用户安全意识比较淡薄,
对一些来历不明的邮件, 没有警惕性, 给入侵者提供机会, 给系统带 来不安全因素。
服务漏洞 Web 服务器本身不能保证没有漏洞, 不法分子可能利用服务的漏 洞修改页面, 甚至破坏服务器。
系统中的 BUG, 使得黑客可以远程对 公开服务器发出指令, 从而导致对系统进行修改和损坏, 包括无限制 地向服务器发出大量指令, 以至于服务器“拒绝服务”
,最终引起整 个系统的崩溃。
这就要求我们必须提高服务器的抗破坏能力, 防止拒 绝服务(D. O. S)
或分布式拒绝服务(DDOS)
之类的恶意攻击, 提高 .
.
服务器备份与恢复、 防篡改与自动修复能力。
数据信息的安全风险分析
-7-
数据安全对 XXX 网络来说是至关重要的, 在网上传输的数据可能 存在保密性质, 而出于网络本身的自由、 广泛等特性, 数据在广域网 线路上传输, 很难保证在传输过程中不被非法窃取和篡改。
黑客或一 些不法份子会通过一些手段, 设法在线路上获得传输的数据信息, 造 成信息的泄密。
对于 XXX 网络信息通信网来说, 数据丢失、破坏、 被 修改或泄漏等情况都是不允许发生的。
互连网的安全风险
分析 因特网的共享性和开放性使网上信息安全存在先天不足, 因为其 赖以生存的 TCP/IP 协议族, 缺乏相应的安全机制, 而且因特网最初 的设计考虑是该网不会因局部故障而影响信息的传输,
基本没有考虑 安全问题, 因此他在安全可靠、 服务质量、 带宽和方便性等方面存在 着不适应性。
同时网上有各种各样的人,
他们的意图也是形形色色的。
所以说当连入 Internet 时, 网络便面临着严重的安全威胁。
每天黑 客都在试图闯入 Internet 节点, 如果不保持警惕, 很容易被入侵,
甚至连黑客怎么闯入都不知道,
而且该系统还可能成为黑客入侵其他 网络系统的跳板。
影响所及, 还可能涉及许多其它安全敏感领域, 如 网络传输中的数据被黑客篡改和删除, 其后果将不堪设想。
-8-
第三章
网络安全解决方案设计 网络安全解决方案设计
3. 2 网络安全系统设计的原则 网络安全系统设计的原则
结合 XXX 网络的实际情况,
针对目前计算机网络硬件安全设备的 总体设计和实施, 依据国家有关信息安全政策、 法规, 根据 XXX 网络 工作实际需要和我国政府工作信息化建设的实际情况, 使之达到安 全、 可靠运行、 节俭使用, 便于工作和管理维护, 符合国家有关规定 信息安全系统的设计和实现应遵循如下原则:
通用性原则:
通用性原则:
系统设计所选择的设备具有一定的通用性, 采用 标准的技术、 结构、 系统组件和用户接口, 支持所有流行的网络 标准及协议。
综合性原则:
综合性原则:
网络安全不单靠技术措施, 必须结合管理, 当前 我国发生的网络安全问题中, 管理问题占相当大的比例, 在建立 网络安全设施体系的同时必须建立相应的制度和管理体系。
标准化原则:
标准化原则:
有效的降低用户安全风险以及成本折中。
节约性原则:
整体方案的设计应该尽可能的不改变原来网络的 节约性原则:
设备和环境, 以免资源的浪费和重复投资。
集中性原则:
所有的安全产品要求在管理中心可以进行集中管 集中性原则:
理, 这样才能保证在网管中心的服务器上可以掌握全局。
角色化原则:
角色化原则:
防火墙、 入侵检测和漏洞扫描产品在管理上
面不 仅在管理中心可以完全控制外,
在地方节点还需要分配适当的 角色使地方可以在自己的权利下修改和查看防火墙和入侵检
-9-
测策略和审计。
可靠性原则:
网络中心网络不允许有异常情况发生, 因为一旦 可靠性原则:
网络发生异常情况, 就会带来很大的损失。
同时又由于一些网 络设备一旦发生故障, 网络便会断开, 比如防火墙、 入侵检测 设备。
在这种情况下, 就必须要求这些性质的安全产品需要有 很高的性能, 从而保障网络运行的可靠性。
可扩展性原则:
由于网络技术更新比较快, 而且针对 XXX 网络 可扩展性原则:
本次安全项目的实际情况,
因此整体系统需要有很好的可扩展 性和可升级性,
主要是为 XXX 网络以后网络安全系统和其他安 全系统提供优越的条件。
性价比原则:
整个系统应具有较高的性能价格比并能够很好地 性价比原则:
保护投资。
高效性原则:
整个系统应具备较高的资源利用率并便于管理和 高效性原则:
维护。
3. 3 安全防范方案设计构思
我们以防火墙为重点, 结合漏洞检测和安全评估技术、 访问控制 和安全管理等技术, 主要从网络边界、 内部重要网段、 关键主机等三 个方面综合地为用户进行防护管理,
以使客户能达到尽量完整的安全 防御措施的目的。
而且, 客户也可以通过分析参考防护系统所反馈的 信息,
充分调动人员的能动性,
逐步实现对自身网络资源的高效管理。
网络边界的安全和管理 网络边界的安全和管理
- 10 -
内部网和外部公用信息网的连接处为网络边界,
通常情况下网络 边界是最薄弱、 最容易被攻击的地方, 所以企业最先考虑对该处的防 护和管理。
通过采取对进出网络数据流的监测、 分析、 过滤或计量等 方式, 以包过滤、 地址转换、 包状态检测、 应用代理、 流量统计或带 宽控制等技术, 来实现对 Internet 出口处的统一、 有效的管理。
内部网段的安全 在内部局域网中, 有的网段(也包括指 VLAN、 DMZ 区)
运行 着非常重要的业务应用, 它们对数据、 系统的安全性和可靠性都很高 的要求, 所以要与其它的网段进行一定的隔离措施, 以防止受到内外 人员的攻击或误操作行为的干扰或破坏;
同时, 要对网段内的活动状 况进行实时的监控和记录。
一旦有非正常的事件发生, 便可以及时地 报警或响应, 也可以根据相应的记录进行事因调查和责任追踪。
关键主机的安全 某些关键主机承载着至关重要的数据信息和业务系统,
有时候可 能关系到 XXX 发展或生死存亡的命运。
重点保护关键服务器是非常 有实际意义的安全措施。
通过对进出主机数据包的检查和过滤及对主 机系统活动状态、 日志事件的监测和分析, 实时地保护系统和文件数 据的完整性和可靠性,保证服务器始终处于良好的工作状态。
网络脆弱性检测和系统评估 准确认识自身网络系统的安全状况, 对于 XXX 如何有效采取安 全措施及如何正确制定安全策略是很有指导意义的。
漏洞检测和安全
- 11 -
评估系统采用先进的网络扫描技术对各个网络对象 (路由器、
防火墙、
服务...
篇三:网络安全设计方案总结
大学硕士学位论文中文摘要摘要随着互联网的普及和国内各高校网络建设的不断发展, 目前大多高校建立了校园网, 它已经成为高校信息化的重要组成部分, 对加快信息处理、 充分利用优质资源、 提高工作效率和资源共享都起到了不可估量的作用。但随着黑客的入侵增多及网络病毒的泛滥, 校园网的安全已成为不容忽视的问题, 如何在开放网络环境中保证系统的安全性已经成为十分迫切的问题。
网络安全系统的构建是一个非常重要的课题, 它涉及到从系统硬件到软件, 从单机到网络的各个方面。本文对网络安全的相关理论和主要技术作了综述, 并以重庆电子工程职业学院校园网的安全体系为实例, 分析了校园网络中存在的安全风险, 提出了校园网络安全系统的设计方案和具体实施方案, 最后对校园网络安全技术进行了总结。本文主要从以下几个方面对校园网络安全进行了研究和探讨:l、 对国内外校园网络的安全现状进行了研究和探讨;2、 介绍了目前主要的网络安全技术;3、 针对重庆电子工程职业学院校园网的现状, 从物理层、 链路层、 网络层、系统层、 应用层和管理层几个层次分别分析了校园网安全系统中存在的安全风险;4 、 阐述了重庆电子工程职业学院校园网的安全需求;5、 针对重庆电子工程职业学院校园网的安全需求, 分别从物理层、 网络层、系统层、 应用层和管理层对校园网络安全系统进行了设计;6 、 提出了相关网络设备和安全设备的技术选型和具体的网络安全实施方案。该方案从物理层安全、 网络层安全、 系统层安全、 应用层安全和安全管理等方面进行了分类研究, 并结合重庆电子工程职业学院校园网的实际情况, 根据现有网络设备条件, 运用V L A N 技术、 访问控制列表、 用户认证、 流量控制、 数据备份与恢复以及安全管理等方式实现对校园网的基本安全防护;7 、 总结和对后续工作的展望。该方案已在重庆电子工程职业学院校园网实施, 结果表明, 该方案设计合理,能基本满足校园网的安全需求。关键词:
安全需求, 安全风险, 安全方案, 安全设计, 安全实现
重庆大学硕士学位论文英文摘要A B S T R A C TW ith th ep o p u la r iz a tio no fin tem et a n dth ed e v e lo p m e n to fd o m e stic u n iv e r sitie sn e tw o r k co n str u ctio n , th e c a m p u sn etw o rk h a s b e e nm o stly e sta b lish e d , w h ic hn o w a d a y sh a sb e c a m eth eim p o r ta n tco m p o n en to fu n iv e r sityin f o r m a tio n , tosp e e du pinfo rm a tio np r o c e ssin g , m a k ef u llu s e o fh ig h - q u a lity r e s o u r c e s to en h a n ce th eef f icien cya n dth esh a r in go fr e s o u r c e s h a v ep la y e da n in v a lu a b ler o le . H o w e v e r , 、 耐ttlth e in crea se o fha ck er’ S in v a sio n a n dth e o v e r f lo w o fn etw o rkv ir u s, th esecu rityo fca m p u sn e tw o r kh a sb e c o m eth e in tra cta bleq u estio n . T h eref o re, it’ Su r g e n ttom a in ta inth esy stem ’ S secu rityin th eo p e n in gnetw o rk . T h e co n stru ctio n o fn e tw o r ksecu ritysy ste mis aq u ite sig n if ica n tsu bjectw h ic hin v o lv es v a rio u sa sp ects:
f ro mh a r d w a r etoso f tw a r e , f r o mP Cton e tw o r k .T h is a rticle h a s m a d e th esu m m a r yton etw o rksecu rity ’ Sc o r r e la tio n th eo ries a n dth em a jo rtech n iq u e, a n dta k eC h o n g q in g C o lle g eo f E le c tr o n icE n g in e e r in gca m p u sn et’ ssecu rity sy ste ma s th e ex a m ple, ha s a n a ly z e dth esecu rityrisk w h ic h in th ec a m p u sn etw o rkex ists, p ro p o sedth e ca m p u sn e tw o r k secu rity sy stem ’ S d e sig np ro p o sa la n dth e c o n c r e teim p lem en ta tio np la n ,h a v ec a r r ie do n th esu m m a r yf in a llytoth eca m pu sn etw o rksecu rityte ch n o lo g y .T h is a rticlem a in lyh a s c o n d u c te dth er e se a r c h a n dth e d isc u ssio n f r o mf o llo w in gsev era la sp ectstoth eca m pu sn etw o rksecu rity :1. r e se a r c h e da n dth e d isc u ssio n e dth esa f e tyo fd o m e stica n din tern a tio n a l sta tu so fth eca m pu snetw o rk ;in tr o d u c e dth ep r e se n tm a inn etw o rksecu ritytech no lo g y;2.3.in v ie wo fth e c u r r e n tca m p u sn etw o rk o fC h o n g q in gC o lle g eo fE lectro n icE n g in eer in g , f r o mth ep h y 7 sica l lev el, th elin klev el, th en etw o rklev el, th e sy stem a ticlev el, th e a p p lic a tio nla y e ra n dm a n a g e m e n tla y erh a sa n a ly z e dth ese cu r ityrisk w h ic hsep a ra telyinth eca m pu sn etw o rksa f ety sy stem ;4.e la b o r a te dth eca m p u sn e tw o r ksecu rity r e q u ir e m e n tso fC h o n g q in g C o lle g eo fE le c tr o n icE n g in e e r in g ;5.inv ie wo fth eC h o n g q in gC o lle g eo fE lectro n icE n g in e e r in gca m pu sn etw o rksecu rity r eq u ir em en ts, sep a r a telyf r o mth ep h y sic a l lev el, th en etw o rklev el, th esy stem a ticlev el, th ea p p lic a tio n la y e ra n dth em a n a g e m e n th a s c a r r ie do nth ed e sig ntoth ec a m p u sn e tw o r ksecu rity sy stem ;Ⅱ
重庆大学硕十学位论文英文摘要6 . p r o p o se dn e tw o r ksy stem ’ Ssa f eg u a r dsy ste ma n dth ec o n c r e te so lu tio n . T h ep la nf x o mth ep h y sic a l la y e rsecu rity ,n etw o rk la y e r se cu r ity ,sy ste mle v e lsecu r ity ,a p p lic a tio n - le v e l se c u r itya n dsecu rit)rm a n a g e m e n tcla ssif iedresea rch ,co m bin ed 晰t11th eC h o n g q in gC o lle g eo fE le c tr o n icE n g in e e r in go fth ea ctu a l situ a tio nin th ec a m p u sn e tw o r k , a c c o r d in gto th eex istin gn etw o rke q u ip m e n t, w e a p p ly th e V L A Ntech n o lo g y , th ea ccess c o n tr o llists, th e u se ra u th en tica tio n ,th ef lo wco n tro l, th ed a tab a c k u pa n dr e c o v e r ya n d th esecu rityo fm a n a g e m e n tto a ch iev e th e b a sicsecu rityp r o te c tio no fca m p u sn e tw o r kth a t th eu S cof.su m m a r ya n dtoth ef o llo w in gw o r k f o reca st.7.W eh a dim p le m e n te dth e so lu tio n inca m p u sn e tw o r k o fth eC h o n Q q in g C o lle g eo fE le c tr o n icE ng ineering . T h em sM t sh o w sth a t th e so lu tio n isw e ll- d e sig n e da n dC a llsa tisf y r e q u ir e m e n tso fc a m p u sn etw o rksecu rity .K e y w o r d s:
S e c u r ity r e q u ir e m e n t, S e cu r ity r isk , S ecu r ity p la n , S e cu r ity d esig n ,S ecu rityim p lem en tIll
学位论文独创性声明本人声明所呈. 交 的』 L士> 是我个人在导师指导下进行的研究学位论文< 搔因臼丛坌至当苤丛退盐互苤丝工作及取得的研究成果。
尽我所知, 除了文中特别加以标注和致谢的地方外, 论文中不包含其他人己经发表或撰写过的研究成果。
与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示了谢意。签字日期:
如夕. f. ;签字日期:
小7. f. ;学位论文使用授权书本人完全了解重庆大学有关保留、 使用学位论文的规定。
本人完全同意< 中国博士学位论文全文数据库、 中国优秀硕士学位论文全文数据库出版章程》 ( 以下简称“章程’ , ), 愿意将本人的二丕圣土学位论文《拉因旦缢空全古董丛]i!进盛凼提交中国学术期刊( 光盘版)电子杂志社( 咖)在< 中国博士学位论文全文数据库》 、 ‘中国优秀硕士学位论文全文数据库》 以及《重庆大学博硕学位论文全文数据库》 中全文发表。
‘中国博士学位论文全文数据库》 、 < 中国优秀硕士学位论文全文数据库》 可以以电子、 网络及其他数字媒体形式公开出版, 并同意编入C 1N K I‘中国知识资源总库》 , 在‘中国博硕士学位论文评价数据库》 中使用和在互联网上传播, 同意按“章程” 规定享受相关权益和承担相应义务。
本人授权重庆大学可以采用影印、 缩印或其他复制手段保存论文, 可以公开论文的全部或部分内容。作者签名:
叁墨擅导师签名. 歪生伽岁年∥ 月 ?日备注。
审核通过的涉密论文不得签署“授权书竹, 须填写以下内容:该论文属于涉密论文, 其密级是, 涉密期限至年月一日。说明:
本声明及授权书!蛆装订在提交的学位论文最后一页。
重庆大学硕士学位论文1绪论1绪论1. 1本文研究背景及意义1. 1. 1研究的背景随着计算机与互联网的高速发展和广泛应用, 校园网越来越普及, 对加快信息处理、 合理配置和充分利用优质教育资源、 提高工作效率、 实现资源共享都起到了不可估量的作用。
自互联网问世以来, 资源共享和信息安全一直是一对矛盾,随着计算机网络资源共享的进一步加强, 信息安全问题也日益突出, 经常不可避免地受到病毒、 黑客、 恶意软件等的安全威胁和攻击, 造成数据丢失、 系统被攻击、 网络瘫痪等严重后果。
因此, 如何确保校园网正常、 高效和安全地运行是所有高校都面临的问题, 解决网络安全问题刻不容缓。要达到正常、 高效、 安全的校园网目的, 我们高校的网络建设和管理机构应该采取什么办法?一般高校都会采取自己设计或者邀请集成商一起来设计校园网的安全解决办法, 但是当前很多高校的校园网络都还不完善, 所以安全问题也很多。
那么面对越来越多的安全威胁, 我们应该采取什么样的措施来解决这些安全问题呢?本文所研究的课题就是在这样的背景下提出的, 并结合重庆电子工程职业学院的实际情况, 提出校园网络安全方案的设计与实现。1. 1. 2研究的意义网络安全系统的建立, 必将为学院的教学信息系统、 行政管理、 信息交流提供一个安全的环境和完整的平台。
通过先进技术建立起网络安全系统, 可以从根本上解决来自网络内外部对网络安全造成的各种威胁, 以最优秀的网络安全整体解决方案为基础形成一个更加完善的教学和管理自动化系统。
利用高性能的网络安全环境, 提供整体防病毒、 防火墙、 防黑客、 数据加密、 身份验证、 计费等于一身的功能, 有效地保证机密文件的安全传输, 保证教学和管理工作的正常进行。因此, 本课题的研究将有相当大的现实意义。1. 2国内外研究现状1. 2. 1国内现状我国从19 9 4 年开始启动中国教育科研计算机网( C E R N E T , C h in aE d u c a tio na n dR e se a r c hN e tw o r k ), 19 9 8 年10 月 , 启动二期工程。
到19 9 9 年, 已经有几百所学校通过C E R N E T 相互连接, 从根本上改善了教师、 学生、 科研人员之间的信息交流、 资源共享、 科学计算以及科研合作的条件。
到20 0 0 年二期工程完成时,已经连接了国内10 0 0 余所大学。
作为龙头, 北大、 清华的校园网硬件设施已初具
重庆大学硕士学位论文1绪论规模, 实现了“千兆到楼, 百兆到桌面” , 几乎所有的办公、 教学、 寝室楼都铺了网线。
网络系统成熟稳定, 24 小时开通。
截止到20 0 7 年底, 我国高校几乎都已建立校园网, 其中拥有10 0 0 M 主干带宽的高校已占高校总数的6 5%以上, 一些综合类大学和理工类院校率先升级到万兆校园网。
但是很多高校在网络安全、 稳定方面却考虑较少。
许多学校所谓的安全解决方案只是购买一套防火墙、 安装一套杀病毒软件而已, 没有相应的安全管理机构和安全管理措施, 也没有发生故障或灾难时的安全恢复措施, 这样的安全方案必将带来巨大的信息安全隐患。我国在8 0 年代末就制定了很多的国家网络安全标准, 9 0 年代特别是近年来参照国外特别是美国和IS O 的网络与信息安全标准制定了一系列的网络安全安全标准, 但是很多高校的校园网都没有按照这些标准来设计。1. 2. 2国外现状目前, 国外高校的校园网在基础建设、 应用建设和安全建设安全都比我国完善。
他们的网络建设包括应用建设都是在一个合理的安全构架或者安全规范下进行的, 因此他们保证向师生提供安全、 稳定、 高效的校园网服务。
他们的安全技术标准基本上都是按照国家规定的网络安全标准和信息技术标准设计和实施的。这些网络安全标准制定了一个具体的网络安全架构, 建立了网络安全的技术要求和规范。1. 3本文研究目的及主要内容1. 3. 1本文研究的目的本课题的研究目的主要是以重庆电子工程职业学院校园网为实验环境, 分析校园网存在的主要安全问题, 研究并提出校园网安全方案的设计和具体实施。1. 3. 2本文研究的主要内容论文首先概述了我国校园网存在的主要安全问题和网络安全的国内外现状,并引出研究的相关问题。
然后通过对重庆电子工程职业学院校园网的介绍, 分析了校园网存在的主要安全问题, 并从物理层、 链路层、 网络层、 操作系统层、 应用层和管理层六个层次分析了校园网络存在的安全风险。
最后针对重庆电子工程职业学院校园网络安全的实际需求, 提出了网络设备和安全设备的技术选型、 安全设计方案及具体的实施方案。2
重庆大学硕士学位论文2网络安全技术2网络安全技术2. 1网络安全定义国际标准化组织( IS O )对计算机系统安全的定义是:
为数据处理系统建立和采用的技术和管理的安全保护, 保护计算机硬件、 软件和数据不因偶然和恶意的原因遭到破坏、 更改和泄露。
由此可以将计算机网络的安全理解为:
通过采用各种技术和管理措施, 使网络系统正常运行, 从而确保网络数据的可用性、 完整性和保密性。
所以, 建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、 修改、 丢失和泄露等。2. 2常用网络安全技术2. 2. 1防火墙技术防火墙( F irew a ll)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一【l】
。
防火墙是设置在被保护网络和外部网络之间的一道屏障, 以防止发生不可预测的、 潜在破坏性的侵入, 可有效地保证网络安全。
它是指设置在不同网络( 如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可通过监测、限制、 更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、 结构和运行状况, 以此来实现网络的安全保护。
在逻辑上, 防火墙是一个分离器, 一个限制器, 也是一个分析器, 它有效地监控了内部网和In tem et之间的活动, 保证内部网络的安全。①防火墙的种类防火墙总体上分为包过滤、 应用级网关和代理服务器三大类型【2】
。1)数据包过滤数据包过滤( P a c k e tF ilterin g )技术是在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑, 被称为访问控制表( A c c e ssC o n tr o lT a b le)。
通过检查数据流中每个数据包的源地址、 目的地址、 所用的端口号、 协议状态等, 或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙逻辑简单, 价格便宜,易于安装和使用, 网络性能和透明性好, 它通常安装在路由器上。
路由器是内部网络与In tem et连接必不可少的设备, 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。2)应用级网关应用级网关( A p p lica tio nL e v e lG a tew a y s)是在网络应用层上建立协议过滤和
重庆大学硕士学位论文2网络安全技术转发功能。
针对特定的网络应用服务协议使用指定的数据过滤逻辑, 并在过滤的同时, 对数据包进行必要的分析、 登记和统计, 形成报告。
实际中的应用网关通常安装在专用工作站上。
数据包过滤和应用网关防火墙有一个共同的特点, 就是它们依靠特定的逻辑判定是否允许数据包通过。
一旦满足逻辑, 则防火墙内外的计算机系统建立直接联系, 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态, 以实施非法访问和攻击。3)代理服务代理服务( P r o x yS er v ice)也称链路级网关或T C P 通道, 也有人将它归于应用级网关一类。
它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术, 其特点是将所有跨越防火墙的网络通信链路分为两段。
防火墙内外计算机系统间应用层的“链接” , 由两个终点代理服务器上的“链接” 来实现, 外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。此外, 代理服务也对过往的数据包进行分析、 注册登记, 形成报告, 当发现被攻击迹象时会向网络管理员发出替报, 并保...
篇四:网络安全设计方案总结
. 1设计原则 1.充分满足现在以及未来3-5年内的网络需求, 既要保证校园网能很好的为学校服务, 又要保护学校的投资。
2.
强大的安全管理措施, 四分建设、 六分管理, 管理维护的好坏是校园网正常运行的关键 3.
在满足学校的需求的前提下, 建出自己的特色 1. 2网络建设需求 网络的稳定性要求
整个网络需要具有高度的稳定性, 能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能, 能够满足各种流媒体的无障碍传输, 保证校园网各种应用的畅通无阻
认证计费效率高, 对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止 IP 地址冲突
非法站点访问过滤
非法言论的准确追踪
恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理, 包括开户、 销户、 资料修改和查询
需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理 2. 1校园网现网拓扑图
整个网络采用二级的网络架构:
核心、 接入。
核心采用一台 RG-S4909, 负责整个校园网的数据转发, 同时为接入交换机 S1926F+、 内部服务器提供百兆接口。
网络出口采用 RG-WALL1200防火墙。
原有网络设备功能较少, 无法进行安全防护, 已经不能满足应用的需求。
2. 2校园网设备更新方案
方案一:
不更换核心设备
核心仍然采用锐捷网络 S4909交换机, 在中校区增加一台 SAM 服务器, 部署 SAM 系统, 同时东校区和西校区各用3台 S2126G 替换原有 S1926F+, 其中汇聚交换机各采用一台新增的 S2126G, 剩余的两台 S2126G 用于加强对关键机器的保护, 中校区的网络结构也做相应的调整, 采用现有的两台 S2126G 做为汇聚设备, 其它交换机分别接入这两台交换机, 从而实现所有汇聚层交换机都能进行安全控制, 重点区域在接入层进行安全控制的网络布局。
2. 3骨干网络设计 骨干网络由 RG-S8606构成, 核心交换机 RG-S8606主要具有5特性:
整个骨干网采用千兆双规线路的设计, 二条线路通过 VRRP 冗余路由协议和 OSPF 动态路由协议实现负载分担和冗余备份, 以后, 随着网络流量的增加, 可以将链路升级到万兆。
CPP 即 CPU Protect Policy, RG-S8606采用硬件来实现, CPP 提供管理模块和线卡 CPU 的保护功能, 对发往CPU 的数据流进行带宽限制(总带宽、 QOS 队列带宽、 类型报文带宽)
, 这样, 对于 ARP 攻击的数据流、 针对CPU 的网络攻击和病毒数据流, RG-S8606分配给其的带宽非常的有限, 不会影响其正常工作。
由于锐捷10万兆产品 RG-S8606采用硬件的方式实现, 不影响整机的运行效率 现在的网络需要更安全、 需要为不同的业务提供不同的处理优先级, 这样, 大量的 ACL 和 QOS 需要部署, 需要核心交换机来处理, 而这些应用属于对交换机硬件资源消耗非常大的, 核心交换机 RG-S8606通过在交换机的每一个用户端口上增加一个 FFP(快速过滤处理器) , 专门用来处理 ACL 和 QOS, 相当于把交换机的每一个端口
都变成了一台独立的交换机, 可以保证在非常复杂的网络环境中核心交换机的高性能。
1、 网络病毒的防范 病毒产生的原因:
某校园网很重要的一个特征就是用户数比较多, 会有很多的 PC 机缺乏有效的病毒防范手段, 这样, 当用户在频繁的访问 INTERNET 的时候, 通过局域网共享文件的时候, 通过 U 盘, 光盘拷贝文件的时候, 系统都会感染上病毒, 当某个学生感染上病毒后, 他会向校园网的每一个角落发送, 发送给其他用户,发送给服务器。
病毒对校园网的影响:
校园网万兆、 千兆、 百兆的网络带宽都被大量的病毒数据包所消耗, 用户正常的网络访问得不到响应, 办公平台不能使用; 资源库、 VOD 不能点播; INTERNET 上不了, 学生、 老师面临着看着丰富的
校园网资源却不能使用的尴尬境地。
2、 防止 IP、 MAC 地址的盗用 IP、 MAC 地址的盗用的原因:
某校园网采用静态 IP 地址方案, 如果缺乏有效的 IP、 MAC 地址管理手段, 用户可以随意的更改 IP 地址, 在网卡属性的高级选项中可以随意的更改 MAC 地址。
如果用户有意无意的更改自己的 IP、 MAC 地址, 会引起多方冲突, 如果与网关地址冲突, 同一网段内的所有用户都不能使用网络; 如果恶意用户发送虚假的 IP、 MAC 的对应关系, 用户的大量上网数据包都落入恶意用户的手中, 造成 ARP 欺骗攻击。
IP、 MAC 地址的盗用对校园网的影响:
在用户看来, 校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的 IP、 MAC 冲突的现象导致了用户经常不能使用网络上的资源, 而且, 用户在正常工作和学习时候,自己的电脑上会经常弹出 MAC 地址冲突的对话框。
由于担心一些机密信息比如银行卡账户、 密码、 邮箱密码泄漏, 用户会尽量减少网络的使用, 这样, 学生、 老师对校园网以及网络中心的信心会逐渐减弱, 投入几百万的校园网也就不能充分发挥其服务于教学的作用, 造成很大程度上的资源浪费。
3、 安全事故发生时候, 需要准确定位到用户 安全事故发生时候, 需要准确定位到用户原因:
国家的要求:
2002年, 朱镕基签署了 282号令, 要求各大 INTERNET 运营机构(包括高校)
必须要保存60天的用户上网记录, 以待相关部门审计。
校园网正常运行的需求:
如果说不能准确的定位到用户, 学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂, 更严重的是, 如果当某个学生在校外的某个站点发布了大量涉及政治的言论, 这时候公安部门的网络信息安全监察科找到我们的时候, 我们无法处理, 学校或者说网络中心只有替学生背这个黑锅。
4、 安全事故发生时候, 不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后, 很容易在社会上广泛传播, 上级主管部门会对学校做出处理; 同时也会大大降低学校在社会上的影响力, 降低家长、 学生对学校的满意度, 对以后学生的招生也是大有影响的。
5、 用户上网时间的控制 无法控制学生上网时间的影响:
如果缺乏有效的机制来限制用户的上网时间, 学生可能会利用一切机会上网,会旷课。
学生家长会对学校产生强烈的不满, 会认为学校及其的不负责任, 不是在教书育人。
这对学校的声誉以及学校的长期发展是及其不利的。
6、 用户网络权限的控制
在校园网中, 不同用户的访问权限应该是不一样的, 比如学生应该只能够访问资源服务器, 上网, 不能访问办公网络、 财务网络。
办公网络的用户因该不能访问财务网络。
因此, 需要对用户网络权限进行严格的控制。
7、 各种网络攻击的有效屏蔽 校园网中常见的网络攻击比如 MAC FLOOD、 SYN FLOOD、 DOS 攻击、 扫描攻击、 ARP 欺骗攻击、 流量攻击、 非法组播源、 非法 DHCP 服务器及 DHCP 攻击、 窃取交换机的管理员密码、 发送大量的广播报文, 这些攻击的存在,会扰乱网络的正常运行, 降低了校园网的效率。
2.4.2.1 安全到边缘的设计思想 用户在访问网络的过程中, 首先要经过的就是交换机, 如果我们能在用户试图进入网络的时候, 也就是在接入层交换机上部署网络安全无疑是达到更好的效果。
2.4.2.2 全局安全的设计思想 锐捷网络提倡的是从全局的角度来把控网络安全, 安全不是某一个设备的事情, 应该让网络中的所有设备都发挥其安全功能, 互相协作, 形成一个全民皆兵的网络, 最终从全局的角度把控网络安全。
2.4.2.3 全程安全的设计思想
用户的网络访问行为可以分为三个阶段, 包括访问网络前、 访问网络的时候、 访问网络后。
对着每一个阶段, 都应该有严格的安全控制措施。
2.4.3 某校园网网络安全方案 锐捷网络结合 SAM 系统和交换机嵌入式安全防护机制设计的特点, 从三个方面实现网络安全:
事前的准确身份认证、 事中的实时处理、 事后的完整审计。
2.4.3.1 事前的身份认证 对于每一个需要访问网络的用户, 我们需要对其身份进行验证, 身份验证信息包括用户的用户名/密码、 用户 PC 的 IP 地址、 用户 PC 的 MAC 地址、 用户 PC 所在交换机的 IP 地址、 用户PC 所在交换机的端口号、 用户被系统定义的允许访问网络的时间, 通过以上信息的绑定, 可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一, 避免了个人信息被盗用.
当安全事故发生的时候, 只要能够发现肇事者的一项信息比如 IP 地址, 就可以准确定位到该用户, 便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网, 防止非法用户的非法接入, 这也切断了恶意用户企图向校园网中传播网络病毒、 黑客程序的通道。
2.4.3.2 网络攻击的防范
1、 常见网络病毒的防范 对于常见的比如冲击波、 振荡波等对网络危害特别严重的网络病毒, 通过部署扩展的 ACL,能够对这些病毒所使用的 TCP、 UDP 的端口进行防范, 一旦某个用户不小心感染上了这种类型的病毒, 不会影响到网络中的其他用户, 保证了校园网网络带宽的合理使用。
2、 未知网络病毒的防范 对于未知的网络病毒, 通过在网络中部署基于数据流类型的带宽控制功能, 为不同的网络应用分配不同的网络带宽, 保证了关键应用比如 WEB、 课件资源库、 邮件数据流有足够可用的带宽, 当新的病毒产生时, 不会影响到主要网络应用的运行, 从而保证了网络的高可用性。
3、 防止 IP 地址盗用和 ARP 攻击 通过对每一个 ARP 报文进行深度的检测, 即检测 ARP 报文中的源 IP 和源 MAC 是否和端口安全规则一致, 如果不一致, 视为更改了 IP 地址, 所有的数据包都不能进入网络, 这样可有效防止安全端口上的 ARP 欺骗, 防止非法信息点冒充网络关键设备的 IP(如服务器)
, 造成网络通讯混乱。
4、 防止假冒 IP、 MAC 发起的 MAC Flood\SYN Flood 攻击 通过部署 IP、 MAC、 端口绑定和 IP+MAC 绑定(只需简单的一个命令就可以实现)
。
并实现端口反查功能, 追查源 IP、 MAC 访问, 追查恶意用户。
有效的防止通过假冒源 IP/MAC 地址进行网络的攻击, 进一步增强网络的安全性。
5、 非法组播源的屏蔽 锐捷产品均支持 IMGP 源端口检查, 实现全网杜绝非法组播源, 指严格限定 IGMP 组播流的进入端口。
当 IGMP 源端口检查关闭时, 从任何端口进入的视频流均是合法的, 交换机会把它们转发到已注册的端口。
当 IGMP 源端口检查打开时, 只有从路由连接口进入的视频流才是合法的, 交换机把它们转发向已注册的端口; 而从非路由连接口进入的视频流被视为是非法的, 将被丢弃。
锐捷产品支持 IGMP 源端口检查, 有效控制非法组播, 实现全网杜绝非法组播源, 更好地提高了网络的安全性和全网的性能, 同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势, 而且也是网络带宽合理的分配所必须的。
同时IGMP 源端口检查, 具有效率更高、 配置更简单、 更加实用的特点, 更加适用于校园运营网络大规模的应用环境。
6、 对 DOS 攻击, 扫描攻击的屏蔽 通过在校园网中部署防止 DOS 攻击, 扫描攻击, 能够有效的避免这二种攻击行为, 节省了网络带宽, 避免了网络设备、 服务器遭受到此类攻击时导致的网络中断。
2.4.3.3 事后的完整审计 当用户访问完网络后, 会保存有完备的用户上网日志纪录, 包括某个用户名, 使用那个 IP 地址, MAC 地址是多少, 通过那一台交换机的哪一个端口, 什么时候开始访问网络, 什么时候结束, 产生了多少流量。
如果安全事故发生, 可以通过查询该日志, 来唯一的确定该用户的身份, 便于了事情的处理。
2.5 网络管理设计 网络管理包括设备管理、 用户管理、 网络故障管理 2.5.1 网络用户管理 网络用户管理见网络运营设计开户部分 2.5.2 网络设备管理 网络设备的管理通过 STARVIEW 实现, 主要提供以下功能, 这些功能也是我们常见的解决问
题的思路:
1、 网络现状及故障的自动发现和了解 STARVIEW 能自动发现网络拓扑结构, 让网络管理员对整个校园网了如指掌, 对于用户私自挂接的 HUB、 交换机等设备能及时地发现, 提前消除各种安全隐患。
对于网络中的异常故障, 比如某台交换机的 CPU 利用率过高, 某条链路上的流量负载过大,STARVIEW 都可以以不同的颜色进行显示, 方便管理员及时地发现网络中的异常情况。
2、 网络流量的查看 STARVIEW 在网络初步异常的情况下, 能进一步的察看网络中的详细流量, 从而为网络故障的定位提供了丰富的数据支持。
3、 网络故障的信息自动报告 STARVIEW 支持故障信息的自动告警, 当网络设备出现故障时, 会通过 TRAP 的方式进行告警, 网络管理员的界
面上能看到各种故障信息, 这些信息同样为管理员的故障排除提供了丰富的信息。
4、 设备面板管理 STARVIEW 的设备面板管理能够很清楚的看到校园中设备的面板, 包括端口数量、 状态等等, 同时可以很方便
的登陆到设备上, 进行配置的修改, 完善以及各种信息的察看。
5、 RGNOS 操作系统的批量升级 校园网很大的一个特点就是规模大, 需要使用大量的接入层交换机, 如果需要对这些交换机进行升级, 一台一台的操作, 会给管理员的工作带来很大的压力, STARVIEW 提供的操作系统的批量升级功能, 能够很方便的一次对所有的相同型号的交换机进行升级, 加大的较少了网络管理员的工作量。
2. 5. 3网络故障管理 随着校园网用户数的增多, 尤其是宿舍网运营的开始, 用户网络故障的排除会成为校园网管理工作的重点和难点, 传统的网络故障解决方式主...
篇五:网络安全设计方案总结
大学硕士学位论文校园网网络安全方案设计与实现姓名:黄欣申请学位级别:硕士专业:计算机技术指导教师:赵志刚;李承林201204校园网网络安全方案设计与实现摘 要校园网是高校信息化建设的重要支撑平台,负责各种网络资源的推广、传播与应用,是非常重要的基础设施。近几年各个高校的发展空前,各种管理系统、电子数据信息传输,使管理者意识到,一个安全的校园网网络非常重要,校园网的最大用户是学生,人数众多,求知欲强,校园网网络的安全,对于维持整个校园的正常教学秩序有着极其重要的意义。针对目前网络安全的现状以及其发展趋势,特别是广西农业职业技术学院校园网安全的现状,迫切需要建立更加安全的网络安全管理平台,以应对不断增多的师生用户,以及越来越复杂的应用需求。因此,建设与部署一个稳定、可靠、高速、安全的校园网,采用各种实用的安全技术,构建立体的、全方位的网络安全防御体系结构,实现全局安全是一个很迫切的课题。本文分析介绍了校园网当前主要的网络安全的各种实用技术,比如对病毒的防治、数据的过滤与预警、漏洞的发现与修复、身份认证与访问控制等,在网络系统安全理论的指导下,分析当前农职院校园网的现状与不足,结合校园网网络建设需求与原则,提出广西农业职业技术学院网络安全体系结构的构建,包括主干网的安全设计、安全防护系统设计、出口安全设计、以及统一的身份认证系统的设计,在具体实现中,应用了ACL、VLAN、VRRP技术,IDS与防火墙联动,出口策略路由技术,以及DES技术在身份认证中的具体应用,本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行测试分析。关键字:校园网网络安全,防火墙,网络层,身份认证,联动
TheDesignandImplementofCampusNetworkSecurityABSTRACTWith therapidly developmentof theInternet,the campusnetworkcriticalinfrastructureasaincollegesassumes new technology applicationandrecentpromotionfunction.Inyears,thedevelopmentofmany managementsystemsand electronic datacollegestransmissionaremanymanagersusersunprecedentedinvarious ofawaringthataand universities,SOare safecampusstudents・networkisveryimportant.ThelargestofCampusnetworkareBecause the number of theusersisnumeroustoandt11eyall thirst forknowledge,ithas th extremelyvitalsignificancemaintain normalorder of thecampusteaching.In view of thecurrentlynetwork securiystatustrendency,especiallyfor theand thedevelopmentGuangxiacampusnetworksecuritysituationinthetoVocational and Technica CollegeofAgriculture,itisurgentneed establishmoresecure networksecurity management platformwithmanysecuritycanprotectivemeans.So thatmanynetworkattackingorbe fastactivelydefensedat thestart of thespreadinfection before the network.Withtheincreasingisumberof thecampusnetwork users,thescale of thecampusnetworkout to fredbecomingmore and moredeveloped.Itisa veryimporanttopichowto design andconstructasafecampusnetwork.campusnetworkThispaperintroducesthecurrentlymainnetworksecurityII
technology,includingthefirewalltechnology,theintrusion deteciontechnology,thesecurityvulnerability scanningtechnology,the identity authenticationnetworkaccessingcontroltechnology,thetechnologyintechnology,virus preventionand curenetworksecurity system.Inthe networksystemsecuritytheory,under theguidanceof theanalysisof the currentagriculture vocational—tecb血calcolleg the statusquobuilding upaand defects of thecampusstructurenetwork,ithasputforward tosecurity systemintheGuangxi AgriculturalVocationalTechnicalCollege.includingthe backbone ofthesafetydesign,safey protectionsystemsystemdesign,safety design,anddesign.Inexporttheunityof theidentityauthenticationthespecificimplementation,appliedtheACL,VLAN,VRRPtechnology,IDSDESand firewalllinkage,exportinstrategy routingtechnology,andtechnology identityauthentication in thespecific application,this paperalso to unietheeffect afterKEYtestidentityauthenticationsystemindetail abouttheplanand theaanalysis.networksecurity,Firewall,Networklayer,IdentityWORDS:Campusauthentication,LinkageHI
广西大掌3爿蔓硕士掣明立论文校园网网鲤H融全方案设计与实现第一章绪论1.1课题的研究背景当今信息化在社会各领域中的广泛应用,人类的生活工作已经完全依赖信息技术,在学校在教育领域也是不可或缺的一部分,而校园网是高校信息化的最重要的支撑平台,在学校软件资源建设、应用服务的开发与应用、日常教学管理的开展,都起着非常重要的作用,是不可缺少的校园基础设施。网络技术越发展,网络应用的深入,由于网络协议的开放性【l】,系统的通用和由于管理意识与资金方面的原因,管理的疏漏,使校园网面临着不可预测的威胁和攻击,网络进攻手段现在呈现出多式多样的趋势。在高校信息化的大潮中,作为传输数字信息最关键的载体一校园网,正起着越来越重要的作用,无论是在日常教学管理还是学校教学质量的提升上,都有非常重要的意义【2】【3】。目前,随着网络的规模越来越大,结构更加复杂,应用更加多样化,对我们校园网的性能提出更高的要求。面对以上需求,尤其是近几年在校园里大规模的安全事件的接连发生的,让人们对网络信息安全的重要性有了更深刻的体会【4】。因此,建设与部署一个稳定、可靠、高速、安全的校园网,是当前迫切解决的课题。1.2课题的研究意义校园网作为校园网络化建设不可缺少的支撑平台,承担着学校教学、管理、科研以及软件资源库、应用服务群、一卡通等应用的环境支持,也是学校校园网内外资源共享、交流访问的重要方式【5】。作为学院数字信息传输最重要的载体,校园网的安全自然就面对着各种威胁,主要有网络设备的破坏以及网络中传输的数据信息的危害。前者主要是破坏设备的软件系统、干扰运行;后者则是:越权非法访问、假冒合法用户、木马与病毒、窃听数据等。除此外,对校园网另外一个威胁体现在无法对网络数据进行自主识别与过滤,比如电信网络,上面有大量的资源,这些资源鱼龙混杂、良莠不齐,我们却无法进行有针对性的处理,以至占用大量网络带宽,造成数据堵塞,严重影响用户体验。同时由于我们目前我国的网络管理制度还有待完善,网站上众多严重影响学生身体健康、心理成长的内容,诸如暴力、反动、色情之类,导致非常恶劣的后果【6】。校园网在高校的数字化、信息化、自动化中发挥着越来越重要的作用,直接影响到
g-西大掌工程訇nb掣啊立供瞄≮ 校园网网络安全方案设计与实现学院管理水平的提高与教学质量提升,同时也是高校之间实力竞争的一个关键点。但是,由于意识与资金方面的原因,许多高校常常只是在内部网与互联网之间放一个防火墙就了事,直接面对互联网,随着校园网规模曰趋扩大、应用环境日趋复杂,从而成为病毒、木马以及黑客的目标,导致校园网内木马病毒泛滥、黑客入侵攻击时有发生、信息被纂改、服务遇拒绝等均成现列71。可见,针对各种安全事故,采取行之有效的措施去应对,主动防范,从而确保校园网安全、稳定、高效、可靠运转,是我们每个学校迫切需要重视的问题。本课题首先拿目前流行的各种安全防护技术分析,结合自己单位实际,提出广西农业职业技术学院的目标,在我院构建一个安全、可靠、高效、稳定的校园网。在此基础上,并应用多种安全技术,构建我院网络安全防御体系,为学院信息化、办公自动化、数字资源化提供坚实的硬件平台。在具体实现中,应用了ACL、VLAN、VRRP技术,IDS与防火墙联动,出口策略路由技术,以及DES技术在身份认证中的具体应用,本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行i贝9试分析,在单位实现一个“可看、可管、可控"安全网络。1.3网络安全的国内外研究现状当今世界在网络信息安全技术方面,美国、以色列、法国、瑞士、等国家走在前列,原因在于这些国家芯片技术相当发达,经过长时间的沉积,在技术上具有优势;另外由于这些国家在信息安全技术应用方面起步很早,也应用非常广泛。他们在漏洞扫描、病毒查杀、入侵检测、防火墙技术、身份认证等领域处于领先地位。众所周知,美国在计算机硬件或者软件水平均执全球之牛耳,计算机最重要的三大部分,操作系统、微处理器和数据库差不多被美国产品所垄断。在美国,由于拥有全球最先进的主:于网,而该主干网连接众多美国大学,所以它们的校园网也非常先进,在计算机应用的水平也比普遍高一些。比如斯坦福大学,在1982年,就投入数亿美元,由惠普、SUN等公司部署在世界首屈一指的智能校园网系统。我国计算机网络起步很慢,最先是北京计算机应用研究所在1987年开通x.25链路连接德国。到90年代,中国教育科研网开始组建,首先是由北京大学、清华大学等校园网为基础,迅速得到壮大,发展为国家四大主干网络中一员。Cemet是国家投资、各高校作为分节点接入,教育部统一管理,在校园应用最广泛的计算机互联网络,同时也成为学校重要的基础设施。
广西大掌工程司nb掌位‘论’文 校园网网络安全方案设计与实现当前,我国在校园网建设与网络技术应用方面处于地位的是北京大学和清华大学。它们均建设于90年代前后,他们校园网及相关的应用系统开发与应用已有20多年,规模在全国范围内都是处于前列,光纤互连所有楼宇,无信息孤岛,当前信息点均超过4万,在线人线也超过15000人。全国其它1500多所高校中,绝大部份已经建设好单位的校园网。随着学校规模的增大,学校内部开设了更多的系、院等二层单位,所以建成的校园网又向更大规模发展。近几年,国家也加大西部地区的扶持,在校园网等基础设施建设中也投入了大量的人力和精力,进一步促进中西部高校的发展。由于我国在网络信息安全技术方面的研究与产业起步较晚,这几年虽然发展很快,但是由于基础差,时间短,整体布局不合理,缺乏顶层设计,没有相应的信息安全产业。目前在我国网络信息安全面临的主要威胁是【9J:(1)没有掌握计算机网络安全方面的核心技术和软件。(2)在信息安全的意识方面,还有待提高。(3)网络安全防范机制不完善,好多单位目前随便开通了网络,但还没有建设相应的响应机制。(4)有关网络犯罪方面相关的法律,还急需健全。(5)网络飞速发展需要大量网络管理人才,但目前急缺,需要大量培养。1.4论文的内容及结构安排论文主要来源于广西农业职业技术学院校园网三期规划与建设项目,通过对当今保障网络安全的各种技术研究,主要包括:防火墙技术、密码验证和入侵检测技术等技术,分析了农职院校园网的安全现状与不足,结合校园网网络建设需求与原则,提出广西农业职业技术学院网络安全体系结构的构建,包括主干网的安全设计、安全防护系统设计、出口安全设计、以及统一的身份认证系统的设计,在具体实现中,应用了ACL、VLAN、VRRP技术,IDS与防火墙联动,出口策略路由技术,以及DES技术在身份认证中的具体应用,本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行测试分析。第一章:绪论。对论文的选题背景、研究意义进行说明,对国内外在网络安全领域的研究现状进行了介绍,并给出了论文的主要内容与层次结构。第二章:高校校园网的网络安全概述。介绍了网络安全的定义以及确保网络安全的各种防护措施,包括病毒木马防治,数据包的过滤、入侵预警及漏洞扫描、身份认证及访问控制等,并对这些安全防护技术的发展趋势进行分析。第三章:农职院校园网安全方案的分析与设计。首先对农职院校园网的现状进行分
广西大掌工程硕士掌位论文校园网网络安全方案设计与实现析,找出成因;其次给出我院网络安全的需求,并基于这些需求,制定好校园网的设计原则,以及方案设计的目标。第四章:校园网网络安全设计与实现。介绍农职院校园网安全体系结构的构建,包括主干网的安全、安全防护系统、出口安全、以及统一的身份认证等设计与实现并对方案实施后进行测试分析。第五章:论文小结及进一些工作的方向。对论文已完成的工作进行小结,并介绍进下步工作的目标与方向。1.5论文的创新点本文来源于学校校园网的升级改造项目,作为项目的技术主要负责人,参加了整个方案的设计,以及具体的部署与应用。在整个项目中,最大的特点是对各种技术的应用,能综合应用各种安全技术,来构建安全、稳定、高效、可靠的校园网,通过实现主干网的安全、安全防御系统的实现、出口安全的实现以及统一身份认证系统的实现,构成了我院校园网立体化,全局性的网络安全防护体系结构,通过认证服务器平台实现全网统一管理,从而实现校园网“可看、可管、可控"。在此次论文研究中,首先能够对学院校园网的现状与不足进行分析,找到各种威胁的成因,从来得出来自我院校园网最真实的需求,然后再根据设计原则制定方案目标。这样保证了方案的合理性,设计的科学性。其次在具体实施上,我们从学院实际需求出发,以“实用、够用”为指导原则选择设备,同时综合应用各种安全技术来实现校园网的立体化、全局性安全,为以后的管理、改造、维护和下一步的应用服务的完善奠定了很好的基础。经过改造后的校园网,具有以下特色:1、建设了更稳定、可靠的校园主干网,为全网数据交换提供高质量的平台,克服以前设备老旧、性能低下特点,为以后校园网网络业务丰富奠定了很好的基础。2、利用ACL、VLAN、VRRP等安全技术简单实现病毒防治、流量控制、上网时间控制,不同业务的隔离,核心交换机的冗余备份以及负载均衡。3、通过IDS与防火墙相互联动,构成一个主动防御与静态过滤相结合的安防系统,实现网络数据安全。4、在核心、出口等理念重要位置采用冗余备份理念,关键设备都有备份,从而克解决单点故障引起的断网问题,同时在双链路的出口,使用策略路由技术,使不同目的4
广西大掌工程硕士掌位论文..—————————————————————————————————————————————————————————————————————一竺!竺竺竺竺!竺兰竺竺竺!兰的数据包各行其道,提高效率,且实现负载均衡。5、对所有校园网用户终端,实现接入安全认证,并通过相关技术管理和控制,可以轻松定位安全问题的源头并处理;通过其它设备与认证服务器联动,统一管理各种安防设备及用户,实现全网‘‘可观、可管、可控"的一体化网络安全体系。
广西大掌】耀司Eb掌位论文 校园网网络安全方案设计与实现第二章校园网网络安全技术2.1计算机网络安全综述针对计算机安全的陈述,国际标准化委员会和我国均给出了类似的定义,前者定义为:通过各种安全手段保障计算机软、硬件的数据不会由于恶意、偶然等种种原因而导致被破坏、纂改、泄露,这些安全手段包括数据处理系统的构建、应用各种安全技术及管理;后者则直接定义为:通过安全技术对计算机数据、软件、硬件的保护,从而确保不受偶然性或者故意的因素破坏、纂改、泄露,实现系统稳定运行。由以上定义可知,计算机网络安全应该由以下方面构成:网络操作系统、各种服务器等软件的安全;人员管理的安全:网络互联所关联的链路安全及网络运行的连接安全等。它的安全性由人员安全意识、数据的安全性、及通信链路的可靠性决定。网络安全研究领域非常广,包括网络上数据的安全而采用的技术、相关的理论研究,它还是应用数学、通信安全、密码技术、网络技术等学科的综合。作为非常强调创新性与自主性的学科,它要求我们对多种技术的灵活运用、在顶层设计上坚持自主创新,从来得出整体的、严密的、可靠的安全方案。2.2网络安全的发展趋势El前在全球范围中,各种病毒、木马无孔不入,变种速度快,传播能力强,目的性明确,是当前网络安全面临着的最大的问题。在不断发展的网络安全领域中,如何利用各种安全防护技术来面对不种的威胁,确保网络的保密性、完整性和可用性fHⅡ121,是当前网络安全建设的重大问题,也是安全领域最重要的课题。2.2.1网络的安全威胁安全技术的飞速发展及信息化高速迈进,给我们日常生活带来极大便利的同时,也让网络安全的情势越来越严峻。在网络时时刻刻都会发生网络攻击事件,通过对近年比较典型的事件研究,我们发现,网络攻击手段由以前的单点式向综合式、复杂化、多样化、立体化演变【131。当前的病毒、木马、蠕虫都不是孤立攻击的,往往集成于一体,多样化攻击,同时利用各种软、硬件本身有漏洞进行攻击,特别是基于局域网内部的攻击是新的趋势,已经逐渐演变成以经济利益为目标的黑色产业,并...
推荐访问:网络安全设计方案总结 网络安全 设计方案