网络安全解决方案.docx
- 文档编号:23647942
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:13
- 大小:70.89KB
网络安全解决方案.docx
《网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《网络安全解决方案.docx(13页珍藏版)》请在冰豆网上搜索。
网络安全解决方案
解
决
方
案
班级:
计算机网络101班
姓名:
刘小永
学号:
JS02201030113
指导老师:
闫心丽
1、用户需求分析3
2、设备选型3
2.1路由器的选择3
2.2防火墙4
2.3服务器4
3、网络拓扑设计及原则4
3.1拓扑设计4
3.2设计原则5
4、网络方案设计5
4.1网络结构分析5
4.11.骨干层5
4.22.接入层6
4.2网络架构设计6
4.3扩展的考虑7
4.4网络VLAN的设计7
4.5网络安全设计7
5、防火墙的设计8
5.1、防火墙简介8
5.2、防火墙性能测试方法9
6.恶意代码9
6.1恶意代码危害分析9
6.2网络安全防范体系设计准则10
7.应用服务器系统的漏洞扫描10
7.1漏洞介绍10
7.2漏洞分析10
8.总结10
1、用户需求分析
在校园网络建设中存在多用户,多服务的现状。
带来了对网络系统要求具有高效率等,以保证大数据量访问下有效的处理能力。
针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。
使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。
并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。
这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
在校园网络中,对于校园网的安全保障十分重要:
校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。
学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。
另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。
为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。
由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
2、设备选型
2.1路由器的选择
锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC-48。
部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务,并提供高可用性网络所需的冗余支持。
RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽,并支持将来扩展到4.8T/2.4T的能力,高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议,并可扩展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等丰富的业务功能,满足客户环境灵活而复杂的不同应用需求。
RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
RG-S2924G特有的CPU保护控制机制,对发送到CPU的数据进行带宽控制,以避免非法者对CPU的恶意攻击,充分保障了交换机的安全。
RG-S2924G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、高效、安全、智能的企业网新需求。
2.2防火墙
为了以后扩展的需要,所以采用了RG-WALL1000。
RG-WALL1000采用锐捷网络独创的分类算法(ClassificationAlgorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(StatefulInspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP,H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。
另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL的主要功能包括:
扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。
2.3服务器
0
天阔I650(r)-E服务器以处理能力、可用性及可管理性等方面的强大优势,为电信、ISP/ICP/ASP等行业用户提供了一款系统性能、可用性最佳的部门级服务器精品。
天阔I650(r)-E服务器完全兼容Windows2000/2003、RedHatLinux、SUNSolaris、SCOOpenserver/Unixware、NovellNetware等多种操作系统平台,用户可以根据自己的需求在各种平台上构筑自己的网络及应用。
天阔I650(r)-E服务器提供了塔式天阔I650-E服务器及机架式天阔I650r-E服务器两种机型,灵活满足不同用户环境下对部门级服务器的应用需求。
3、网络拓扑设计及原则
3.1拓扑设计
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。
由于所有节点的往外传输都必须经过中央节点来处理,因此,对中央节点的要求比较高。
优点是网络结构简单,易于维护,便于管理(集中式);每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务),因为任何两台入网机之间交换信息,都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。
对该网络支持的设备生产厂商有较好的技术支持。
3.2设计原则
校园网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。
并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:
高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
我们遵循以下的原则进行网络设计:
1.实用性和经济性
2.先进性和成熟性
3.可靠性和稳定性
4.安全性和保密性
5.可扩展性和可管理性
4、网络方案设计
4.1网络结构分析
4.11.骨干层
网络中心节点及其它核心节点作为校园网络系统的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。
另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。
具体来说核心节点的交换机有两个基本要求:
1)高密度端口情况下,还能保持各端口的线速转发;2)关键模块必须冗余,如管理引擎、电源、风扇。
由于校园网建设最终必将采用万兆技术,因此需要考虑到核心设备对万兆的支持能力。
综上所述,主干核心交换机属于高端系列的产品,所以在本方案中,核心交换机建议采用多业务万兆核心路由交换机。
可以根据用户的需求灵活配置,灵活构建弹性可扩展的网络。
多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换,强大的交换路由功能、安全智能技术可为用户提供完整的端到端解决方案,是大型网络核心骨干交换机的理想选择。
RG-S68100E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。
目前提供10竖插槽设计和6横插槽设计两种主机:
RG-S6810E和RG-S6806E。
在此方案中,校区网络中心采用RG-S6810E多业务万兆核心路由交换机作为核心交换机。
核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑,从而实现带宽的灵活扩展。
4.22.接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
楼层交换节点采用千兆智能堆叠交换机,提供智能的流分类和完善的QoS特征。
为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管,最大化满足高速、融合、安全的园区网新需求;本方案中各接入层交换机通过千兆链路上联到各汇聚层设备,对下联的桌面设备提供全双工的百兆连接,为各类用户提供无阻塞的交换性能。
4.2网络架构设计
网络拓扑规划图如下:
4.3扩展的考虑
备份线路带宽扩展:
在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。
4.4网络VLAN的设计
在校园网络的整个网络规划当中,VLAN的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。
主要突出为以下几点:
●VLAN划分,可以避免广播风暴,可以增加网络的安全性网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理。
建立VLAN和IP子网的对应关系。
●提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
●VLAN间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设备上实行,分流核心交换机的三层交换,优化了组网。
这样划分VLAN的好处有:
1、方便管理2、易于实施。
3、VLAN间路由采用三层交换设备进行VLAN路由。
4.5网络安全设计
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。
它是保证网络安全最重要的核心策略之一。
1.接入安全
RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机,在提供高性能、高带宽的同时,提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
2.访问安全
锐捷RG-S6800E多业务万兆核心路由交换机支持802.1QVLAN,可使用VLAN划分隔离用户访问。
同时还支持VLAN隧道技术,可实现跨校区的VLAN功能。
并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
ACLs的全称为接入控制列表(AccessControlLists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。
在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。
3.病毒防御
锐捷网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。
主要提供以下几个功能:
1)预防PC感染类似“冲击波、震荡波”的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。
3)支持防止DDoS攻击,防止IP段恶意扫描等抗攻击特性。
5、防火墙的设计
5.1、防火墙简介
1)什么是防火墙
古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。
现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。
但同时,外部世界也同样可以访问该网络并与之交互。
为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。
这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。
2)防火墙的功能
主体功能可以归纳为如下几点:
·根据应用程序访问规则可对应用程序联网动作进行过滤;
·对应用程序访问规则具有学习功能;
·可实时监控,监视网络活动;
·具有日志,以记录网络访问动作的详细信息;
·被拦阻时能通过声音或闪烁图标给用户报警提示。
1.防火墙的作用
防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。
随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。
一般的防火墙都可以达到如下目的:
一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。
2.防火墙的特点
防火墙一般具有如下显著特点:
·广泛的服务支持·对私有数据的加密支持·客户端只允许用户访问指定的网络或选择服务反欺骗·C/S模式和跨平台支持
3.防火墙的优势和存在的不足
1)防火墙的优势
(1)防火墙能够强化安全策略。
(2)防火墙能有效地记录网络上的活动。
(3)防火墙限制暴露用户点(4)防火墙是一个安全策略的检查站。
2)防火墙存在的不足
(1)不能防范恶意的知情者。
(2)不能防范不通过它的连接(3)不能防备全部的威胁。
4防火墙的管理与维护
1)网络服务访问策略
网络服务访问策略是一种高层次的、具体到事件的策略,主要用于定义在网络中允许的或禁止的网络服务,还包括对拨号访问以及PPP(点对点协议)连接的限制。
这是因为对一种网络服务的限制可能会促使用户使用其他的方法,所以其他的途径也应受到保护。
比如,如果一个防火墙阻止用户使用Telnet服务访问因特网,一些人可能会使用拨号连接来获得这些服务,这样就可能会使网络受到攻击。
网络服务访问策略不但应该是一个站点安全策略的延伸,而且对于机构内部资源的保护也起全局的作用。
这种策略可能包括许多事情,从文件切碎条例到病毒扫描程序,从远程访问到移动介质的管理。
2)防火墙的设计策略
防火墙一般执行一下两种基本策略中的一种:
①除非明确不允许,否则允许某种服务;
②除非明确允许,否则将禁止某项服务。
5.2、防火墙性能测试方法
对一款防火墙产品进行性能评估,分为两个步骤。
首先要进行防火墙基线性能测试,其次是进行模拟实际应用环境下的性能测试。
1.基线性能指标测试
1)吞吐量评估
2)连接数评估
2.并发连接数的测试
DDoS攻击条件下的转发性能测试
6.恶意代码
6.1恶意代码危害分析
1.禁止使用电脑
现象描述:
尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!
浏览了含有这种恶意代码的网页其后果是:
"关闭系统"、"运行"、"注销"、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入"实模式"、驱动器被隐藏。
解决办法:
一般来说上述八大现象你都遇上了的话,基本上系统就给"废"了,建议重装。
2.格式化硬盘
现象描述:
这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。
只要你浏览了含有它的网页,浏览器就会弹出一个警告说"当前的页面含有不安全的ActiveX,可能会对你造成危害",问你是否执行。
如果你选择"是"的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
解决办法:
除非你知道自己是在做什么,否则不要随便回答"是"。
该提示信息还可以被修改,如改成"Windows正在删除本机的临时文件,是否继续",所以千万要注意!
此外,将计算机上F、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
6.2网络安全防范体系设计准则
1.网络信息安全的木桶原则2.网络信息安全的整体性原则3.安全性评价与平衡原则4.标准化与一致性原则5.技术与管理相结合原则6.统筹规划,分步实施原则7.等级性原则8.动态发展原则9.易操作性原则
7.应用服务器系统的漏洞扫描
7.1漏洞介绍
所谓漏洞就是指程序设计方面在安全性上存在缺失,留下了隐患,而网络黑客可以从这些漏洞对远程计算机进行攻击,窃取数据,破坏远程用户电脑等等,危害很大。
尤其是机密被窃,损失不可估计,就是个人用户也非常危险,个人帐号密码被入侵后可能会被窃取。
7.2漏洞分析
系统安全漏洞是在系统具体实现和具体使用中产生的错误,但并不是系统中存在的错误都是安全漏洞。
只有能威胁到系统安全的错误才是漏洞。
许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。
漏洞虽然可能最初就存在于系统当中,但一个漏洞并不是自己出现的,必须要有人发现。
在实际使用中,用户会发现系统中存在错误,而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具,这时人们会认识到这个错误是一个系统安全漏洞。
系统供应商会尽快发布针对这个漏洞的补丁程序,纠正这个错误。
这就是系统安全漏洞从被发现到被纠正的一般过程。
软件:
Retian
RetinaNetworkSecurityScannerv5.09.682,06月13日发布,eeye公司出品的网络安全扫描产品,强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞,并且生成详细的安全检测报告,兼容各种主流操作系统、防火墙、路由器等各种网络设备。
曾在国外的安全评估软件的评测中名列第一。
8.总结
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。
一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。
由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 解决方案