网络安全设计

网络安全设计

班级：________________________ 姓名：________________________ 指导老师：__________________________ 完成日期：________________

目录

项目背景 (3)

设计目的 (4)

安全风险分析 (4)

网络安全技术方案 (6)

部署防火墙 (7)

部署入侵检测系统 (11)

部署网闸 (13)

VPN (15)

计算机系统安全 (16)

心得体会与反思 (19)

项目背景

1、设计背景

X 研究所是我国重要的军工研究所，拥有强大的军事装备研发实力，在研发过程中充分应用信息技术，显著提高了研发工作的效率。该所除总部建设了覆盖全所的计算机网络外，北京办事处也建有计算机网络以处理日常事务。总部和北京办事处间通过Internet 连接。少量员工到外地出差时也可能需要通过Internet 访问研究所内部网络。总部包括一室、二室、计算机中心等许多业务和职能部门。

研究所网络的拓扑结构如下图：

在研究所内网中，运行着为全所提供服务的数据库服务器、电子邮件服务器、Web服务器等。

2、安全需求

（1）防止来自Internet 的攻击和内部网络间的攻击；

（2）实现Internet 上通信的保密和完整性，并实现方便的地址管理；

（3）数据库服务器存储了研究所的所有数据需要特殊保护；

（4）主机操作系统主要是Linux 和Windows，要采取相应的安全措施；

（6）解决移动办公条件下文件安全问题。

设计目的

网络安全课程设计是信息安全专业重要的实践性教学环节，目的是使学生通过综合应用各种安全技术和产品来解决实际网络安全问题，以深入理解和掌握课堂教学内容，培养解决实际问题的能力。

安全风险分析

该所的办公主要有三类，即在公司总部办公、在北京办事处办公以及出差员

工在外的移动办公。公司总部、北京办事处以及出差员工间需要通过网络通信来

进行数据传输。公司总部设置有web服务器、email 服务器和数据库服务器，这些服务器存储着公司的大量机密信息跟关键数据，它们的安全性决定了公司的是否能安全正常的运营。影响公司系统安全的攻击主要分为两种，即内部攻击和外部攻击。对该公司的网络拓扑结构及公司提供的各种服务来进行分析，可以看出该公司的网络系统存在以下风险：

内部攻击

即来自内部人员的攻击，公司内部人员无意或者有意的操作引起的对网络系

统的攻击，通常有数据窃取、越权访问等。

外部攻击

外部攻击方式多种多样且攻击方式层出不穷，有ip 欺诈、口令破解、非法

访问、垃圾邮件轰炸、ddos 攻击、数据窃取、网络监听、病毒、木马、蠕虫等

攻击方式。这些攻击方式将对系统的安全性、可靠性、可用性、机密性、完整性产生巨大的威胁。

通过对该公司的网络拓扑结构的分析出的该公司存在的来自内部或外部的

安全风险，结合各种安全技术的原理特点和具体安全产品功能，对其归类总结出该公司的系统安全类别如下：

1. 网络安全：通过入侵检测、防火墙、vpn、网闸等，保证网络通信的安全。

2. 系统安全：通过各种技术保证操作系统级的安全。

3. 系统应用的安全：通过各种技术保证数据库、电子邮件、web 等服务的

安全。

4. 数据安全：通过数据加密、身份认证、访问控制等措施，保证文件和数

据库数据的安全。

根据该公司的网络拓扑结构和其存在的安全风险，该公司的网络架设需求如下：

1. 防止来自Internet 的攻击和内部网络间的攻击

2. 实现Internet上通信的保密和完整性，并实现方便的地址管理

3. 数据库服务器存储了研究所的所有数据需要特殊保护

4. 主机操作系统主要是Linux 和Windows，要采取相应的安全措施

5. 解决移动办公条件下文件安全问题

网络安全技术方案

网络安全：通过入侵检测、防火墙、vpn、网闸等，保证网络通信的安全。

该公司网络系统与其他网络系统一样，存在着遭受各种网络攻击的危险。

为实现公司的网络安全，因根据各种安全产品和安全技术的特点，结合该公司特有的网络拓扑结构来架设具有自己特色的企业系统。

部署防火墙

防火墙定义

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet 与Intranet 之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由

服务访问规则、验证工具、包过滤和应用网关 4 个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通

信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访

问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet 上的人也无法和公司内部的人进行通信。

防火墙主要部署在内部网和外部网之间，以有效限制外网对内网的访问。此外，根据企业的具体情况，也可以在公司内部不同部门。不同子网之间以及个人主机上部署防火墙。防火墙分为软件防火墙和硬件防火墙，根据其针对的安全需求不同，其功能等各方面也有较大的差异，公司应根据本企业的具体安全需求和

经济效益等方面的综合考虑选取防火墙产品，公司网络部署的多个防火墙也根据

其部署位置不同而选择不同的产品。

Cisco Secure PIX 525硬件防火墙

Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分，它所提供的完全防火墙保护以及IP 安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。

采用NAT 技术的Cisco Secure PIX 525－R-BUN 具有节省IP 地址、扩展网络地址空间等好处。对内部网络的IP 地址进行转换，而对外部网络则隐藏起内

部网络的结构，使对局域网内部发起攻击更加困难。支持各种网络接口，其中包括单端口或 4 端口10/100 快速以太网、千兆以太网、4/16 令牌环和双连接多模FDDI 卡。另外，PIX 525 还提供多种电源选件，用户可以选择交流或48V 直流电源。每一种选件都配有为第二个"故障切换"PIX 系统准备的成对儿产品，从而实现最高的冗余和高可用性。

Cisco Secure PIX 防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性

虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙

相比，其性能更高，扩展性更强。ASA 可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP 标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过Cisco Secure PIX防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受