网络安全设计毕业论文

1摘要：随着Internet、网络信息技术的迅速发展及各种应用的日益普及，各单位计算机局域网已成为重要的基础设施，但随之而来的网络安全问题也显得尤为重要，本文章重点介绍了局域网安全控制与病毒防治的一些策略。关键词：局域网安全；VLAN；病毒防治；防火墙Summary：WiththeInternet,therapiddevelopmentofinformationtechnologynetworksandtheincreasingpopularityofvariousapplications,theunitshavebecomeimportantcomputerlocalareanetworkinfrastructure,buttheattendantproblemofnetworksecurityisveryimportant,thisarticlefocusesonlocalareanetworksecuritycontrolandviruscontrolsomeofthestrategies.Keywords:localareanetworksecurity;VLAN;VirusPrevention;Firewall2目录摘要..........................................1前言..........................................2第一章局域网安全..........................................31.1局域网安全现状..........................................31.2局域网安全威胁分析..........................................31.3局域网安全解决方法.........................................41.3.1网络分段.........................................41.3.2以交换式集线器代替共享式集线器.......................41.3.3VLAN的划分.........................................4第二章局域网病毒防治.........................................52.1三大新威胁.........................................52.1.1Spyware(间谍软件).........................................52.1.2Adware(广告软件).........................................52.1.3Phishing(网络钓鱼软件，又称电子黑饵).......................52.2害人四大新趋势.........................................52.2.1盗取个人资料.........................................62.2.2“僵尸”入侵.........................................62.2.3Adware、Spyware偷袭.........................................62.2.4垃圾邮件改头换面.........................................62.3只防病毒不安全.........................................6第三章防火墙与路由器.........................................73.1防火墙与路由器的区别.........................................73.1.1两种设备产生的根源不同.........................................73.1.2根本目的不同.........................................83.2核心技术的不同.........................................83.2.1IP/TCP欺骗.........................................83.3安全策略制定的复杂程度不同.........................................83.4对性能的影响不同.........................................93.5审计功能的强弱差异巨大.........................................93.6防范攻击的能力不同.........................................10第四章防火墙的作用.........................................10第五章网络使用人员的安全培训.........................................11第六章结束语.........................................12参考文献.........................................12致谢.........................................133前言近年来各种网络安全问题接踵而至：计算机病毒、操作系统漏洞、黑客攻击等屡见不鲜，如何使信息网络系统不受黑客和病毒的入侵，如何保障数据传输的安全性、可靠性，也是建设局域网网络安全过程中所必须考虑的重要事情之一。本文依据自己在信息安全领域的经验，从安全角度出发，并结合自己知识向局域网安全控制与病毒防治作出研究。第一章局域网安全1.1局域网安全现状广域网络已有了相对完善的安全防御体系，防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施，安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络，形成极大的安全隐患。目前，局域网络安全隐患是利用了网络系统本身存在的安全弱点，而系统在使用和管理过程的疏漏增加了安全问题的严重程度。1.2局域网安全威胁分析局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类：（1）欺骗性的软件使数据安全性降低；（2）计算机病毒及恶意代码的威胁；（3）服务器区域没有进行独立防护；4（4）IP地址冲突；（5）局域网用户安全意识不强；正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。1.3局域网安全解决办法当前，保证局域网安全的解决办法有以下几种：1.3.1网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。目前，一般的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：普遍使用的DECMultiSwitch900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。1.3.2以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包UnicastPacket）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（BroadcastPacket）和多播包（MulticastPacket）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。1.3.3VLAN的划分为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。5VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括普遍采用的DECMultiSwitch900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（SwitchPortAnalyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。第二章局域网病毒防治上网的人中，很少有谁没被病毒侵害过。但在大多数人将注意力放在对付病毒上时，要想保证上网安全，必须对以下这三种威胁同时设防。第一是以传统宏病毒、蠕虫等为代表的入侵性病毒；第二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁；第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。2.1三大新威胁2.1.1Spyware(间谍软件)：主要是用作偷取用户个人资料的恶意程序，如用户使用网上银行、网上购物等电子商务应用时，如果没有相关的防御措施与意识，那么用户的网银账号和密码就很容易被窃取。2.1.2Adware(广告软件)：是一种软件，一般表现为用户点击网站后就一连出现好多叠加着的网页，非常不好关。它通常都跟某些工具软件绑在一起，当你安装这些软件后，也就跟着进入你的电脑了。它不但占用系统资源，还常常连着一些色情网站。除强行向用户做广告外，更会刺探用户的个人隐私资料，例如姓名、邮箱、银行资