《网络安全实验综合实验网络安全系统的设计与实现.doc》由会员分享,可在线阅读,更多相关《网络安全实验综合实验网络安全系统的设计与实现.doc(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机与信息科学学院实 验 报 告20212021学年第一学期 课程名称: 网络平安实验 班 级: 学 号: 姓 名: 任课教师: 计算机与信息科学学院实 验 报 告实验名称网络平安系统的设计与实现指导教师实验类型实验学时2实验时间12.20一、实验目的与要求1、分析公司网络需求,综合运用网络平安技术构建公司网络的平安系统。2、通过对实训工程的设计与实现,以提高与增强学生对网络平安技术的理解能力。二、实验仪器与器材实验所需的额软硬件配置如表1所示。三、 实验原理及步骤【实验原理】网络系统的平安是一项系统工程,利用网络平安理论来标准、指导、设计、实施与监管网络平安建立,从平安制度建立与技术手段方
2、面着手,加强平安意识的教育与培训,自始至终坚持平安防范意识,采取全面、可行的平安防护措施,并不断改良与完善平安管理,把网络平安风险降到最小程度,打造网络系统的平安堡垒。本实训将以企业网络系统为例,综合应用网络平安的各种技术如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH平安通信技术、网络平安扫描、监听与入侵检测技术、数据备份与复原技术等来实现公司网络系统中的各种网络平安效劳。【实验内容】1网络平安风险分析。2网络现状分析。3网络信息平安的实现。【实验步骤】网络平安风险分析网络平安风险分析 近年来随着Internet的飞速开展,计算机网络的资源共享进一步加强,随之而来的信息平安问
3、题日益突出。据有关方面统计,美国每年由于网络平安问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。针对目前我国计算机网络开展情况,影响我国企业网络平安性的因素主要有以下几个方面。 网络构造因素 网络根本拓扑构造有3种:星型、总线型与环型。一个单位在建立自己的内部网之前,各部门可能已建造了自己的局域网,所采用的拓扑构造也可能完全不同。在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些平安机制的设置与实现,从而提出更高的网络开放性要求。 网络协议因素在建造内
4、部网时,用户为了节省开支,必然会保护原有的网络根底设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容与相互通信。这在给用户与厂商带来利益的同时,也带来了平安隐患。 地域因素 由于内部网既可以是LAN也可能是WAN,网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏与丧失,也给一些“黑客造成可乘之机。 用户因素 企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户与想了解企业情况的人。用户的增加,也给网络的平安性带来了威胁,因为这里可能就有商业间谍或“黑客。
5、 主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、效劳器,甚至小型机、大中型机。由于它们所使用的操作系统与网络操作系统不尽一样,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 单位平安政策 实践证明,80的平安问题是由网络内部引起的,因此,单位对自己内部网的平安性要有高度的重视,必须制订出一套平安管理的规章制度。 人员因素 人的因素是平安问题的薄弱环节。要对用户进展必要的平安教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高平安意识。网络平安中可能存在着来自各方面的威胁如黑客攻击、特洛伊木马、信息丧失、
6、蠕虫、泄密、拒绝效劳攻击、计算机病毒、后门等,所以对网络平安问题进展风险分析,必须从多层面入手,形成整体的平安评估,从而为需求分析提供可靠的依据。下面主要从物理平安、网络构造平安、系统平安、病毒入侵防护与人工管理等方面进展风险分析。系统平安风险分析操作系统是计算机系统的内核与基石,是应用软件同系统硬件的接口,其目标是高效地、最大限度地、合理地使用计算机资源。在信息系统平安涉及的众多内容中,操作系统、网络系统与数据库管理系统的平安问题是核心,没有系统的平安就没有信息的平安。作为系统软件中最根底局部的操作系统,其平安问题的解决又是关键中之关键。假设没有平安操作系统的支持,数据库就不可能具有存取控制
7、的平安可信性,就不可能有网络系统的平安性,也不可能有应用软件信息处理的平安性。因此,平安操作系统是整个信息系统平安的根底。操作系统平安风险主要有: 1操作系统的漏洞是无法防止的,在新版操作系统弥补旧版本中漏洞的同时,还会引入一些新的漏洞。 2端口是效劳器提供网络效劳的主要通道,端口的不平安管理将会给非法者提供入侵的跳板。 3用户账户是计算机平安设置的重要对象,具有高权限的账户是黑客主要的攻击目标。 4资源共享是Windows系统的重要功能之一,共享资源权限授权管理的缺乏将会给系统及数据造成极大的平安隐患。 5Internet信息效劳是用于配置应用程序池或网络站点的工具,其平安运行是正常提供网络
8、效劳的根底。网络构造平安风险分析网络构造平安是整个网络系统正常运行的根底与前提。网络中的主时机受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内网向公网传送的信息可能被他人窃听或篡改,造成的这些网络平安威胁,有的来自外部,有的可能来自网络内部。网络构造的平安是多方面的,关乎网络的整体平安,网络构造平安风险主要有: 1. 边界平安是首要问题,未在网络边界设置网络防火墙或未正确配置防火墙,会使来自互联网的威胁增大。 2网络设备如交换机自身平安性也会直接关系各种网络及应用的正常运转。3网络不相关的各局部在无法实现物理隔离的情况下,如也未实现软件层面的隔离,将会使增大来自网络内部的攻击。4
9、交换机的配置不完善,对网络中非法数据传输的控制不够。人工管理平安风险分析人是企业最大的漏洞,无论在企业内外,人都是一种威胁。人的威胁分为两种,一种是以操作失误为代表的无意威胁偶然失误,另一种是以计算机犯罪为代表的有意威胁恶意攻击。人工管理是平安网络中最为薄弱的环节,该环节管理的好坏对网络平安起着举足轻重的作用。 人工管理存在着如下的一些平安风险: 1数据库管理员或掌握企业重要信息的员工在某种利益的驱使下,通过非法途径将信息泄露。 2网络管理员、系统管理员平安意识淡薄,为了方便省事,设置简单的口令,易遭到破解。为多个用户提供一样的账号,造成管理混乱、责任不清,易引起信息泄露。 3网络管理员、系统
10、管理员将网络设备或信息系统管理员账号泄露给其他人员,增大网络瘫痪或信息泄露的可能性。 4重要网络节点、效劳器机房出入人员混乱,给网络设备的正常运行造成较大平安隐患。 5责权不明,平安管理制度不健全及缺乏可操作性等都可能引起平安风险。网络现状分析以下是某移动公司的简化的星形网络拓扑图,各组成的局部如图1所示。层次构造采用华为产品,设备采用100M全双工模式。省级交换机图1 某移动公司网络拓扑图核心设备采用S6502路由交换机,部门交换机均采用S3026交换机,核心交换机与web效劳器、bbs效劳器、FTP效劳器、故障派单效劳器等效劳器直接相连。部门网络与交换机之间需要安装一个代理防火墙,核心交换
11、机与互联网之间也要安装防火墙。以阻挡外面的攻击。2.1 网络需求分析根据网络效劳类型可分为4个子网,分别为内部效劳子网、公办子网、营业区子网与对外子网。各子网可根据需求选择性接入子网。 图2 公司网络现状下面对各子网的平安进展说明。1营业区子网 1平安接入互联网,可获得对外效劳子网提供的效劳; 2统一部署防毒、杀毒系统; 3具备系统复原能力。2办公子网 1平安接入互联网; 2可根据部门需求选择性获得对外内效劳子网提供的效劳; 3单机部署防毒、杀毒系统。3对外效劳子网 1发布企业信息并为互联网用户提供效劳; 2能够抵御来自互联网的各类攻击; 3可实现访问控制; 4有系统漏洞监测功能; 5部署防毒
12、、杀毒系统。4 内部效劳子网 1为企业内部用户提供信息效劳; 2可根据效劳类型选择性的向相关部门提供信息效劳; 3与互联网隔离; 4系统漏洞能较快得到修复; 5部署防毒、杀毒系统。 办公网络对实体需求办公网内的设备实体,如交换机、效劳器、个人电脑等的管理存在平安隐患,如出现平安问题,将会造成较为严重的后果。调研中发现公司办公网核心设备与效劳器在一个机房内,均同时使用UPS接12V 50Ah蓄电池组,由于蓄电池组容量较小且已使用多年,实际容量远远小于标称容量,如机房市电停电时间较长,蓄电池组放电完毕后,设备将会停顿工作。个人办公电脑系统平安需求 公司的文件、报表等重要信息都是以电子文件的形式存储
13、在个人办公电脑上,可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也使信息易受到攻击,造成泄密,特别是对于移动办公的情况更是如此。所以移动办公与重要的涉密计算机,应采取专门的平安措施进展重点防护,以保证其信息的存储平安。另外计算机使用者对计算机不设置访问口令,或使用简单易破解的口令,都容易造成公司的文件丧失或信息泄密。 效劳器操作系统平安需求 公司有多台效劳器,均提供着不同的效劳。随着公司的开展,对效劳器的平安性要求也将不断提高。这些效劳器均使用Windows 2000 Server或Windows Server 2003操作系统,任何操作系统,任何版本的操作系统,均存在系统漏洞,对
14、系统漏洞的及时修复是保证系统免受攻击的根本条件。另外关闭不使用的端口与异常端口、高权限账号的平安管理、资源共享的正确设置及Internet信息效劳的正常运行都是效劳器正常提供效劳的保障。访问控制需求根据公司各部门的职责与公司信息效劳器的提供的效劳类型,结合平安的考虑,在网络内部层面上,各部门与效劳器之间需有一定的通信策略。另外办公网各子网对互联网的访问也需有一定的限制,办公子网、营业体验区子网及对外效劳子网均接入互联网,对内效劳子网虽与互联网物理连通,但必须通过三层交换机或防火墙的设置来做好隔离,另外财务专网需要严格与互联网进展物理隔离。 在实际使用过程中会议室还应安装接入办公网的WiFi A
15、P,这些无线接入设备如果配置不当,不但会使网络资源暴漏在外,造成信息丧失,还会成为入侵者进入内部网络的跳板,给网络造成极大的威胁,所以对无线接入的恰当管理是保障网络平安的一项重要工作。网络构造平安技术分析从实际出发,针对原办公网存在的种种平安问题,我们需要从细分网络减小播送域、利用防火墙减小外部威胁、加强通信访问控制、加强网络设备自身的平安性及加强办公电脑的平安性等方面进展优化工作。 1细分网络减小冲突域 将办公网内的终端电脑按照某种条件划分为多个网段,每个网段均为不同的vlan。这里根据部门来划分网段,由于每个部门的终端数量不一,在划分的时候根据是数量将网段划分为26位到28位不等的网段。此
16、项工作由核心路由交换机S6502来实现。 2 利用防火墙减小外部威胁 在互联网边界设置硬件防火墙,根据端口划分非信任区Internet、信任区办公网与对外效劳区对外效劳子网。对内效劳子网、办公子网、营业体验区子网均上联S6502核心路由交换机,核心路由交换机分别上联省公司办公网交换机与防火墙信任区端口,对外效劳子网通过三层交换时机聚直接上联防火墙对外效劳区端口,防火墙非信任区端口上联咸阳联通互联网核心设备。另外通过防火墙配置,进展一些防病毒、防攻击等操作。3 加强通信访问控制 公司各部门由于其职责不同,对网络的需求也各有不同,应根据其需求及公司的制度从技术层面来进展控制。 公司办公网内的访问控
17、制,主要有以下几方面要求: 1.对内网效劳器需要与互联网隔离。 2.对内效劳器应根据提供的业务与对口部门互通。 3.营业区只能访问互联网,不能访问办公网。加强网络设备自身的平安性在网络平安中,网络通信顺畅、数据传输平安、主机效劳正常等常常是人们关注的要点,而提供网络效劳的设备本身往往被无视,可是这些设备的正常运行恰恰是网络平安的根底。其平安性将直接影响到整个网络的可用性与稳定性,对于网络平安起着至关重要的作用。设备登录平安 对办公网内的网络设备进展登录方面的平安配置。对防火墙、核心交换机与三层交换机均配置local user用户名,其用户名的级别为1级,可用于console口与远程telnet
18、登录。另外单独配置super密码,获得super密码的管理员才可对交换机进展数据配置。1级的登录用户只有读权限,没有写权限。通过这些配置来加强设备的登录平安。 SNMP平安 SNMP是一种应用协议,作为沟通网络管理者与网络设备的桥梁,其平安性必须得到重视。由于后面介绍到的网络设备网管软件的启用,办公网内的设备就必须使能SNMP功能。要使能SNMP功能,就必须严格其配置,否那么将会为非法入侵者留下入侵时机。 设备运行平安 这里分别用WhatsUp Gold与SolarWinds Network Performance monitor作为网管软件。WhatsUp Gold可以实时直观的监控办公网内
19、所有设备的当前状态,并可以通过Ping等简单命令来测试网络的连通状态。Network Performance monitor主要用来监控各台设备各端口的流量情况,并可以保存历史记录,可以将设备的整体流量等信息按时间以图形来显示。 加强办公电脑的平安性为了加强办公网内终端电脑的平安性,防止出现ARP病毒,所以加强终端电脑的平安性仍然不可无视。加强终端电脑的平安性主要从以下几方面入手。 1安装正规的杀毒软件及防火墙如金山毒霸、卡巴斯基、NOD32、瑞星、360杀毒等,并实时保持更新与开启他们的全面监控与防护功能。这样能有效的避开病毒或木马对你计算机造成的威胁。 2利用具有系统漏洞扫描功能的软件如3
20、60平安卫士、迅雷等定期扫描系统,对操作系统与应用软件的漏洞补丁及时进展更新安装,修补系统或软件漏洞,防止受到病毒或木马的威胁。 3关闭Guest帐户,Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到很多限制。不幸的是,Guest也为黑客入侵翻开了方便之门。办公网电脑多用户使用时可创立多个用户而不是翻开Guest账户。 4所有电脑的Administrator账户必须配置密码。如果创立了其他用户名,Administrator这个管理员账户必须从平安模式才能进入,所以该账户的平安性往往被人无视,Administrator账户不设置密码将会给黑客入侵提供便利的条件。所以Administrat
21、or须配置密码且不可太过简单,方可防止电脑从此途径被攻击。 5当电脑需连接移动存储设备如U盘、移动硬盘、MP3、存储卡等时必需先杀毒后翻开,以防这些移动存储设备带有病毒程序而感染到电脑。网络信息平安的实现【物理平安实现方案】物理平安是整体网络平安的根底,网络设备或线路出现硬件故障,网络的平安性那么无从谈起,其他一切平安措施均无法发挥作用,其重要性不言而喻。根据之前对办公网物理平安的分析,下面主要从完善制度、优化核心机房供电、加强网络节点平安性等方面进展方案实现。完善机房管理制度为了确保网络核心设备机房、网络节点、线缆的物理平安,公司应制定?办公网机房管理制度?。1明确进入机房的人员及条件; 2
22、在机房内维护、装机等工作时可进展的操作; 3外部人员在机房内进展工作的随工要求; 4机房内各项操作的标准要求; 5机房出现紧急情况的通知汇报流程。 3.2 优化核心机房供电通过布放电源电缆来优化办公网核心机房的供电问题。以确保供电万无一失,即确保了办公网核心设备的供电平安,使设备正常运行无后顾之忧。【网络构造平安实现方案】细分网络减小播送域将办公网的IP地址段,根据部门在S6502上划分为26位到28位不等的网段。为每台交换机配置管理IP,这样以后数据操作就可以远程进展了。另外根据节点交换机下挂的部门,分别从核心交换机透传相应部门的vlan,再在节点交换机上根据端口进展划分。加强通信访问控制访
23、问控制根据各部门的职责不同来确定,此项工作需要由S6502核心路由器与Eudemon100防火墙共同配合来完成,下面逐一对其实现方法进展说明。1对内效劳器需要与互联网隔离。2对内效劳器应根据提供的业务与对口部门互通。3营业区只能访问互联网,不能访问办公网。4网络监控组的网络摄像头及监控终端只能彼此互通,与办公网内其他部门与互联网均隔离。利用防火墙减小外部威胁根据分析,需要在网络边界增设硬件防火墙一台,结合经济分析与网络设备的统一性,选用华为公司的Eudemon100硬件防火墙。 增加了Eudemon100防火墙后,其承当了办公网私网地址的NAT转换工作。另外还进展了IP欺骗防范、SYN泛洪攻击
24、防范、Ping攻击防范与DoSDDoS攻击防范等方面的配置。1IP欺骗防范IP欺骗是一种攻击方法,即使主机系统本身没有任何漏洞,但仍然可以使用各种手段来到达攻击的目的,这种欺骗纯属技术性的,一般都是利用TCP/IP协议本身存在的一些缺陷。在Eudemon100上,我们通过滤非共有IP地址、内部网络使用的IP地址、环回地址、私有IP地址对访问内部的网络来实现或减轻危害。2Ping攻击防范Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。局部主机不能很好的处理过大的ping包,从而出现Ping to Death攻击方式,即用超过TCP/IP最大限度65536 字节的Ping包搞垮目的主
25、机。所以,对于进入办公网的ICMP流,要制止与与Ping命令有关的ICMP类型。3DoS与DDoS攻击防范我们用在Eudemon100上限制DoS攻击常用端口的方法来进展防范。4加强网络设备自身的平安性网络设备自身的平安性直接影响着整个网络的可用性与稳定性,对于网络平安起着至关重要的作用。对于办公网内的网络设备,我们通过设备登录平安、SNMP平安、设备运行平安、无线AP平安作来加强其平安性。加强办公电脑的平安加强终端电脑的平安性主要进展了以下几方面操作:1安装集团公司下发的正版Symantec AntiVirus杀毒软件,开启更新、监控与防护功能。 2开启系统更新功能,及时安装漏洞补丁及软件更
26、新。 3关闭Guest账户。 4为Administrator账户设置较为复杂的密码。 5对外接移动存储设备需先杀毒后翻开。【系统平安方案的实现】3.7 Windows系统漏洞平安3.8 Windows端口平安3.9 Windows用户账户平安4.0 Internet信息效劳平安【病毒入侵防护方案】在网络层面进展防病毒工作的同时,还对办公网内计算机的进展了防毒工作,主要从以下方面开展: 1安装有效的病毒防护软件,有效运行并翻开实时系统监控。 2及时从防病毒软件官方网站下载更新,并安装平安补丁程序与升级杀毒软件程序版本。3定期对整个系统进展病毒的检测清楚工作。 4运用杀毒软件的清理恶意软件的功能,
27、经常扫描计算机系统并对发现的恶意软件及时删除。 5安装防火墙,制定适宜的防护规那么。 6提高风险意识,控制上网时间,不上网时断开网络连接。论坛及聊天软件等不要长时间挂网,以免长时间暴露自己的IP地址,招惹不必要的麻烦。 7对实时监控发现的系统漏洞补丁,须及时进展安装。 8新购置的计算机或新安装的系统,一定要进展系统升级,确保修补所有的平安漏洞。9关闭不必要的端口与效劳。 10使用高强度的密码,并经常进展修改。 11不必要的软件尽量不要安装。 12从网络上下载的资源要特别注意杀毒检测。 13不安康网站往往携有大量病毒程序,不要轻易点击。 14重要资料注意刻录备份或者转移备份。 15采用平安性较好
28、的网络浏览器。 16要慎收来历不明的邮件,在不能确定是平安“附件的情况下,不要翻开“附件。 17利用命令行工具或者防火墙软件进展局域网网关的IP地址与MAC地址的绑定,防止受到ARP病毒的影响。四、实验小结与思考包括感想、体会与启示本实验针对计算机网络平安问题,以实体网络为研究目标,从网络实际情况入手,通过实验分析得出平安需求。分别从物理平安、网络构造平安、系统平安、病毒入侵防护与人工管理等方面提出了多层次的平安方案。在实验中我们体会到了一些在网络平安中容易出问题的地方:1.对网络设备物理平安重视度不够,这种情况不但会出现人为成心或非成心引起的故障,严重时还可造成设备丧失,另外在出现问题的责任也不易落实; 2.网络平安的重点多放在了对局域网外部的防御,而对局域网内部的防御严重缺失,经常会出现一台机器影响局域网内部大乱的情况;3.由于缺少网络监控手段使网络运行信息获取量缺乏,造成对网络中出现问题的预见性不强,平安方面的工作主要在出现平安问题之后的问题处理上;本身实验进展的相关办公网平安优化改造工作,从多方面提高了办公网的平安指数,在网络的实际运行中确实降低了网络的危险性。五、指导教师评语成 绩日 期批阅人第 19 页