网络安全毕业设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图2-5入侵检测系统(IDS)部署
4、使用AAA服务器进行远程用户的验证
AAA是验证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。
入侵检测系统包括响应单元和时间数据库。响应单元是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警;时间数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测基本流程
图2-4入侵检测技术(IDS)工作流程
IDS的部署方式:一台IDS连接核心交换机,时时获得网络流量,时时监控外网与内网的所有通信流量
(二)现阶段网络安全的分析
当前的网络面临的主要威胁主要来自下面几方面:
1、黑客的攻击
黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
2、管理的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。
Router(config)#usernametreepassword test
Router(config)#aaa authentication login test group radius local
Router(config)#radius-server host192.168.1.222
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address192.168.1.1255.255.255.0
Router(config-if)#no shutdown
步骤2配置路由器AAA认证方法列表。
Router(config)#aaa new-model
3、网络的缺陷
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议族,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
4、软件的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的冲击波、震荡波等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
防火墙功能:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
屏蔽子网(Screened Subnet)体系结构使用两个包过滤路由器和一个堡垒主机在内部网络和外部网络之间建立一个“非军事区”(Demilitarized Zone,DMZ)。DMZ又称为屏蔽子网,它将内部网络和外部网络分开,内部网络和外部网络均可访问DMZ,但禁止它们穿过DMZ通信。从而迫使源于内网主机的业务流和源于外网主机的业务流都必须经过堡垒主机。
图2-1 VPN的作用原理
Intranet VPN(简称内部VPN)是企业的总部与分支机构之间通过公网构筑的虚拟网。
Intranet VPN是一种网络到网络以对等方式连接的拓扑结构。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
图2-2 VPN应用
2、采用防火墙技术(屏蔽子网体系结构)
图2-3屏蔽子网(DMZ)
3、入侵检测技术
入侵检测(Intrusion Detection,ID),是指对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测功能:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。
5、企业网络内部
网络内部用户的误操作,资源滥用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击,也无法对网络内部的滥用做出反应。
二、
网络安全策略
(一)防范的重点和对象
1、对外
防止外部的非法访问,防止黑客的入侵,保证整个企业内部网络的安全,保证企业的网络通信的畅通。
2、对内
公司内部可能有一些员工对公司有不满情绪,对企业的网络直接发起攻击,因为他们的计算机直接在企业防火墙的内部,对企业网络内部发起攻击会比外部的黑客入侵有更大的危险性,防火墙无法了解和阻断这些攻击,因此内部网络安全的防范必须给予高度的重视。
使用AAA服务器验证功能,可以代替路由器来验证远程用户的登录信息(telnet用户名、密码),这样所有用户的登录信息就全在AAA服务器上而不是在路由器中,这可以防止当路由器受到攻击被攻陷时路由器中的用户信息暴露。
AAA服务器工作:
图2-6 AAA服务器工作原理
(三)实验验证
1、实验目的:使用路由器AAA功能提供安全远程登录。
3、重点部门的防范
企业内部一些重点部门(如财务部)由于这些部门存放有公司的一些重要资料,因此必须重点保护。
(二)企业网络安全方案
1、在公司网络中采用VPN技术
虚拟专用网络(Virtual Private Network,VPN)是指将物理上分布在不同地点的局域网,通过公共网络(Internet)构建成一个逻辑上的专用网络,实现安全可靠、方便快捷的通信。
防火墙(Firewall)实际上是一种隔离技术,它将内部网和外网分开,在两者之间设置一道屏障,防止来自不明入侵者的所有通信。同时防火墙也是一种网络安全设备,它自身具有较强的抗攻击能力,它对两个网络之间传输的数据包按照一定的安全策略来实施检查、过滤,以决定网络之间的通信是否被允许,并监视网络运行状态。
2、需求分析
要实现远程登录用户的安全访问,可以利用路由器的AAA认证功能。同时出于稳定性的考虑,在AAA认证方法列表中配置两种认证方法,RADIUS服务器认证和本地认证,优先选择RADIUS服务器认证,当RADIUS服务器没有响应时选择本地认证方法。
3、实验拓扑
4、实验过程
步骤1配置路由器接口地址。
毕业设计
题 目:
系部(院):ห้องสมุดไป่ตู้
专 业:
学 号:
姓 名:
指导教师:
内容摘要
现代计算机系统功能日渐负责,网络功能日渐强大,正在对社会的各行各业产生巨大的影响,但同时对于其开放性的特点,使的安全问题越来越突出。然而,随着人们对计算机网络的以来依赖程度日渐加深,网络安全也表现的越来越重要。网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息安全方面的规划则非常有限,这样,伴随计算机与通信技术的迅猛发展,网络攻击与防御技术交替递升,原来网络股固有优越性的开放性和互联性间接变成了信息的安全一环。网络安全已变成越来越棘手的问题,只要是介入到因特网中的主机都有可能被攻击或者入侵,而遭受到安全问题的困扰。我们经常可以听到黑客对莫企业的信息资源进行入侵、篡改和破坏的报道,所以分析和研究增强网络的安全功能,构建一个安全的企业网络系统是非常重要的。
关键词:网络安全 信息交流 信息 攻击
企业网络中信息安全维护
一、绪论
(一)问题的提出
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或恶意的原因而遭破坏、更改或泄露,系统能连续可靠、正常地运行,使网络服务不中断。自网络问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和黑客(Hackers)对网络的攻击越来越激烈,许多企业遭受破坏的事例不胜枚举。
4、使用AAA服务器进行远程用户的验证
AAA是验证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。
入侵检测系统包括响应单元和时间数据库。响应单元是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警;时间数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测基本流程
图2-4入侵检测技术(IDS)工作流程
IDS的部署方式:一台IDS连接核心交换机,时时获得网络流量,时时监控外网与内网的所有通信流量
(二)现阶段网络安全的分析
当前的网络面临的主要威胁主要来自下面几方面:
1、黑客的攻击
黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
2、管理的欠缺
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%-85%的网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业损失在25万美元以上。
Router(config)#usernametreepassword test
Router(config)#aaa authentication login test group radius local
Router(config)#radius-server host192.168.1.222
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address192.168.1.1255.255.255.0
Router(config-if)#no shutdown
步骤2配置路由器AAA认证方法列表。
Router(config)#aaa new-model
3、网络的缺陷
因特网的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议族,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
4、软件的漏洞
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件、等等都被发现过存在安全隐患。大家熟悉的冲击波、震荡波等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全的主要威胁之一。
防火墙功能:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
屏蔽子网(Screened Subnet)体系结构使用两个包过滤路由器和一个堡垒主机在内部网络和外部网络之间建立一个“非军事区”(Demilitarized Zone,DMZ)。DMZ又称为屏蔽子网,它将内部网络和外部网络分开,内部网络和外部网络均可访问DMZ,但禁止它们穿过DMZ通信。从而迫使源于内网主机的业务流和源于外网主机的业务流都必须经过堡垒主机。
图2-1 VPN的作用原理
Intranet VPN(简称内部VPN)是企业的总部与分支机构之间通过公网构筑的虚拟网。
Intranet VPN是一种网络到网络以对等方式连接的拓扑结构。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。
图2-2 VPN应用
2、采用防火墙技术(屏蔽子网体系结构)
图2-3屏蔽子网(DMZ)
3、入侵检测技术
入侵检测(Intrusion Detection,ID),是指对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测功能:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。
5、企业网络内部
网络内部用户的误操作,资源滥用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击,也无法对网络内部的滥用做出反应。
二、
网络安全策略
(一)防范的重点和对象
1、对外
防止外部的非法访问,防止黑客的入侵,保证整个企业内部网络的安全,保证企业的网络通信的畅通。
2、对内
公司内部可能有一些员工对公司有不满情绪,对企业的网络直接发起攻击,因为他们的计算机直接在企业防火墙的内部,对企业网络内部发起攻击会比外部的黑客入侵有更大的危险性,防火墙无法了解和阻断这些攻击,因此内部网络安全的防范必须给予高度的重视。
使用AAA服务器验证功能,可以代替路由器来验证远程用户的登录信息(telnet用户名、密码),这样所有用户的登录信息就全在AAA服务器上而不是在路由器中,这可以防止当路由器受到攻击被攻陷时路由器中的用户信息暴露。
AAA服务器工作:
图2-6 AAA服务器工作原理
(三)实验验证
1、实验目的:使用路由器AAA功能提供安全远程登录。
3、重点部门的防范
企业内部一些重点部门(如财务部)由于这些部门存放有公司的一些重要资料,因此必须重点保护。
(二)企业网络安全方案
1、在公司网络中采用VPN技术
虚拟专用网络(Virtual Private Network,VPN)是指将物理上分布在不同地点的局域网,通过公共网络(Internet)构建成一个逻辑上的专用网络,实现安全可靠、方便快捷的通信。
防火墙(Firewall)实际上是一种隔离技术,它将内部网和外网分开,在两者之间设置一道屏障,防止来自不明入侵者的所有通信。同时防火墙也是一种网络安全设备,它自身具有较强的抗攻击能力,它对两个网络之间传输的数据包按照一定的安全策略来实施检查、过滤,以决定网络之间的通信是否被允许,并监视网络运行状态。
2、需求分析
要实现远程登录用户的安全访问,可以利用路由器的AAA认证功能。同时出于稳定性的考虑,在AAA认证方法列表中配置两种认证方法,RADIUS服务器认证和本地认证,优先选择RADIUS服务器认证,当RADIUS服务器没有响应时选择本地认证方法。
3、实验拓扑
4、实验过程
步骤1配置路由器接口地址。
毕业设计
题 目:
系部(院):ห้องสมุดไป่ตู้
专 业:
学 号:
姓 名:
指导教师:
内容摘要
现代计算机系统功能日渐负责,网络功能日渐强大,正在对社会的各行各业产生巨大的影响,但同时对于其开放性的特点,使的安全问题越来越突出。然而,随着人们对计算机网络的以来依赖程度日渐加深,网络安全也表现的越来越重要。网络设计之初仅考虑到信息交流的便利和开放,而对于保障信息安全方面的规划则非常有限,这样,伴随计算机与通信技术的迅猛发展,网络攻击与防御技术交替递升,原来网络股固有优越性的开放性和互联性间接变成了信息的安全一环。网络安全已变成越来越棘手的问题,只要是介入到因特网中的主机都有可能被攻击或者入侵,而遭受到安全问题的困扰。我们经常可以听到黑客对莫企业的信息资源进行入侵、篡改和破坏的报道,所以分析和研究增强网络的安全功能,构建一个安全的企业网络系统是非常重要的。
关键词:网络安全 信息交流 信息 攻击
企业网络中信息安全维护
一、绪论
(一)问题的提出
国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或恶意的原因而遭破坏、更改或泄露,系统能连续可靠、正常地运行,使网络服务不中断。自网络问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和黑客(Hackers)对网络的攻击越来越激烈,许多企业遭受破坏的事例不胜枚举。