校园网网络安全方案设计

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

西安文理学院计算机科学系课程设计报告设计名称:硬件课程设计设计题目:校园网网络安全方案设计学生学号:*************专业班级:***************************学生姓名:******学生成绩:指导教师(职称):****(*****)课题工作时间:2011.5.30至2011.6.10摘要随着各院校信息化建设的不断提高,网络建设的不断发展,各大中专院校、乃至中小学都在大力发展自己的校园网建设。校园网规模的扩大,各种安全问题也随之而来,如何确保校园网络安全稳定的运行,是校园网建设中必须解决的问题。校园网作为学院重要的基础设施,担当着学院教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,但随着应用的深入,校园网上的各种数据会急剧增加,各种各样的安全问题开始困扰我们。本文通过从校园网内网安全和外网安全两个方面进行了网络安全方案的分析及选择,通过采用软硬件结合的方式,以及从防病毒、交换机端口安全、路由器配置和访问控制列表等技术实现了校园网的安全部署。关键词:校园网;网络安全;访问控制列表AbstractWiththebuildingoftheinstitutionsofinformationcontinuestoimprove,continuesdevelopmentofnetworkconstruction,majorcolleges,andevenschoolsaremakinggreateffortstodeveloptheirowncampusnetworkconstruction.Theexpansionofthecampusnetwork,followedbyavarietyofsecurityissues,howtoensuresafeandstableoperationofthecampusnetwork,campusnetworkconstructionistoberesolved.Importantastheuniversitycampusnetworkinfrastructure,playthecollegeteaching,research,managementandforeignexchange,andmanyoftheroles.Campusnetworkdirectlyaffectthesecuritysituationintheschool’steachingactivities.Builtintheearlystagesofthenetwork,securitymaynotbeprominent,butwiththeapplicationindepth,thecampusnetworkwillbeasharpincreaseinavarietyofdata,avarietyofsecurityissuesstartedtobotherus.Inthispaper,internalnetworksecurityfromthecampusnetworkandexternalnetworksecurityaretwoaspectsofnetworksecuritysolutionsfortheanalysisandselection,throughtheuseofacombinationofhardwareandsoftware,aswellasfromanti-virus,switchportsecurity,routerconfiguration,accesscontrollistsandothertechnicaltoachieveacampusnetworksecuritydeployment.Keywords:campusnetwork;networksecurity;accesscontrollists西安文理学院计算机科学系课程设计报告第一章校园网安全隐患分析1.1校园内网安全分析1.1.1BUG影响目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身安全漏洞较多,因此,导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行,冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS攻击,使多个国家的互联网也受到相当影响。1.1.2设备物理安全设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。1.1.3设备配置安全设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等),防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。西安文理学院计算机科学系课程设计报告1.1.4管理漏洞一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一但有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设成本网段的网关地址,这会导致整个学生机房无法正常访问外网。1.1.5无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。地址欺骗和会话拦截目前有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴西安文理学院计算机科学系课程设计报告别身份信息,通过会话拦截实现网络入侵。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。1.2校园外网安全分析1.2.1黑客攻击有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部,还有相当一部分来自校园网内部,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。1.2.2不良信息传播在校园网接入Internet后,师生都可以通过校园网络进入Internet。目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。1.2.3病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。西安文理学院计算机科学系课程设计报告第二章设计简介及设计方案论述2.1校园网安全措施2.1.1防火墙网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。1系统组成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1台,用于运行监控系统软件)2主要功能实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通讯会话轨迹。如:E-MAIL:监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。HTTP:监视和记录用户对基于Web方式提供的网络服务的访问操作过程(如用户名、口令等)。FTP:监视和记录访问FTP服务器的过程(IP地址、文件名、口令等)。TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件西安文理学院计算机科学系课程设计报告3主要技术特点采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传输的效率。可采用集中管理的分布式工作方式,能够远程监控。可以对每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。2.1.2防病毒为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1应用状况一台专用服务器(NTSERVER)、一台代理邮件服务器(NTSERVER&PROXYSERVER,ExchangeServer),一台,一台数据库SERVER,100-200台客户机。2系统要求能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒,并对本地的局域网防护的作用。3解决方案采用的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectforNTServerNTSe

1 / 37
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功