网络安全设计.docx
- 文档编号:24752097
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:18
- 大小:319.20KB
网络安全设计.docx
《网络安全设计.docx》由会员分享,可在线阅读,更多相关《网络安全设计.docx(18页珍藏版)》请在冰豆网上搜索。
网络安全设计
网络平安设计
班级:
________________________
姓名:
________________________
指导教师:
__________________________
完成日期:
________________
工程背景3
设计目的4
平安风险分析4
网络平安技术方案6
部署防火墙7
部署入侵检测系统11
部署网闸13
VPN15
计算机系统平安16
心得体会与反思19
工程背景
1、设计背景
X研究所是我国重要的军工研究所,拥有强大的军事装备研发实力,在研发过程中充分应用信息技术,显著进步了研发工作的效率。
该所除总部建立了覆盖全所的计算机网络外,北京办事处也建有计算机网络以处理日常事务。
总部和北京办事处间通过Internet连接。
少量员工到外地出差时也可能需要通过Internet访问研究所内部网络。
总部包括一室、二室、计算机中心等许多业务和职能部门。
研究所网络的拓扑构造如下列图:
在研究所内网中,运行着为全所提供效劳的数据库效劳器、电子邮件效劳器、Web效劳器等。
2、平安需求
〔1〕防止来自Internet的攻击和内部网络间的攻击;
〔2〕实现Internet上通信的保密和完好性,并实现方便的地址管理;
〔3〕数据库效劳器存储了研究所的所有数据需要特殊保护;
〔4〕主机操作系统主要是Linux和Windows,要采取相应的平安措施;
〔6〕解决挪动办公条件下文件平安问题。
设计目的
网络平安课程设计是信息平安专业重要的理论性教学环节,目的是使学生通过综合应用各种平安技术和产品来解决实际网络平安问题,以深化理解和掌握课堂教学内容,培养解决实际问题的才能。
平安风险分析
该所的办公主要有三类,即在公司总部办公、在北京办事处办公以及出差员工在外的挪动办公。
公司总部、北京办事处以及出差员工间需要通过网络通信来进展数据传输。
公司总部设置有web效劳器、email效劳器和数据库效劳器,这些效劳器存储着公司的大量机密信息跟关键数据,它们的平安性决定了公司的是否能平安正常的运营。
影响公司系统平安的攻击主要分为两种,即内部攻击和外部攻击。
对该公司的网络拓扑构造及公司提供的各种效劳来进展分析,可以看出该公司的网络系统存在以下风险:
内部攻击
即来自内部人员的攻击,公司内部人员无意或者有意的操作引起的对网络系统的攻击,通常有数据窃取、越权访问等。
外部攻击
外部攻击方式多种多样且攻击方式层出不穷,有ip欺诈、口令破解、非法访问、垃圾邮件轰炸、ddos攻击、数据窃取、网络监听、病毒、木马、蠕虫等攻击方式。
这些攻击方式将对系统的平安性、可靠性、可用性、机密性、完好性产生宏大的威胁。
通过对该公司的网络拓扑构造的分析出的该公司存在的来自内部或外部的平安风险,结合各种平安技术的原理特点和详细平安产品功能,对其归类总结出该公司的系统平安类别如下:
1.网络平安:
通过入侵检测、防火墙、vpn、网闸等,保证网络通信的平安。
2.系统平安:
通过各种技术保证操作系统级的平安。
3.系统应用的平安:
通过各种技术保证数据库、电子邮件、web等效劳的平安。
4.数据平安:
通过数据加密、身份认证、访问控制等措施,保证文件和数据库数据的平安。
根据该公司的网络拓扑构造和其存在的平安风险,该公司的网络架设需求如下:
1.防止来自Internet的攻击和内部网络间的攻击
2.实现Internet上通信的保密和完好性,并实现方便的地址管理
3.数据库效劳器存储了研究所的所有数据需要特殊保护
4.主机操作系统主要是Linux和Windows,要采取相应的平安措施
5.解决挪动办公条件下文件平安问题
网络平安技术方案
网络平安:
通过入侵检测、防火墙、vpn、网闸等,保证网络通信的平安。
该公司网络系统与其他网络系统一样,存在着遭受各种网络攻击的危险。
为实现公司的网络平安,因根据各种平安产品和平安技术的特点,结合该公司特有的网络拓扑构造来架设具有自己特色的企业系统。
部署防火墙
防火墙定义
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取平安性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个平安网关〔SecurityGateway〕,从而保护内部网免受非法用户的侵入,防火墙主要由效劳访问规那么、验证工具、包过滤和应用网关4个局部组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。
该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙〞,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意〞的人和数据进入你的网络,同时将你“不同意〞的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,假如不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进展通信。
防火墙主要部署在内部网和外部网之间,以有效限制外网对内网的访问。
此外,根据企业的详细情况,也可以在公司内部不同部门。
不同子网之间以及个人主机上部署防火墙。
防火墙分为软件防火墙和硬件防火墙,根据其针对的平安需求不同,其功能等各方面也有较大的差异,公司应根据本企业的详细平安需求和经济效益等方面的综合考虑选取防火墙产品,公司网络部署的多个防火墙也根据其部署位置不同而选择不同的产品。
CiscoSecurePIX525硬件防火墙
CiscoSecurePIX525防火墙是世界领先的CiscoSecurePIX防火墙系列的组成局部,它所提供的完全防火墙保护以及IP平安〔IPsec〕虚拟专网〔VPN〕才能使特别合适于保护企业总部的边界。
采用NAT技术的CiscoSecurePIX525-R-BUN具有节省IP地址、扩展网络地址空间等好处。
对内部网络的IP地址进展转换,而对外部网络那么隐藏起内部网络的构造,使对局域网内部发起攻击更加困难。
支持各种网络接口,其中包括单端口或4端口10/100快速以太网、千兆以太网、4/16令牌环和双连接多模FDDI卡。
另外,PIX525还提供多种电源选件,用户可以选择交流或48V直流电源。
每一种选件都配有为第二个"故障切换"PIX系统准备的成对儿产品,从而实现最高的冗余和高可用性。
CiscoSecurePIX防火墙可以提供空前的平安保护才能,它的保护机制的核心是可以提供面向静态连接防火墙功能的自适应平安算法〔ASA〕。
静态平安性虽然比拟简单,但与包过滤相比,功能却更加强劲;另外,与应用层代理防火墙相比,其性能更高,扩展性更强。
ASA可以跟踪源和目的地址、传输控制协议〔TCP〕序列号、端口号和每个数据包的附加TCP标志。
只有存在已确定连接关系的正确的连接时,访问才被允许通过CiscoSecurePIX防火墙。
这样做,内部和外部的受权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非受权访问的侵袭。
另外,实时嵌入式系统还能进一步进步CiscoSecurePIX防火墙系列的平安性。
虽然UNIX效劳器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最正确的性能和平安性。
而专用的CiscoSecurePIX防火墙是为了实现平安、高性能的保护而专门设计。
华为赛门铁克USG2130防火墙
华为赛门铁克USG2130为VPN是一款统一集成企业防火墙,该款防火墙只有两个网络端口,一个是配置端口(CON),另一个是备份端口(AUX),提供DoS/DdoS两种入侵检测形式,支持VPN。
华为赛门铁克USG2130提供平安的路由解析功能,提供平安的交换机系统,拥有百兆的性能,系统模块化架构。
华为赛门铁克SecowayUSG2130支持外部攻击防范、IPS(入侵防御)、抗DDoS攻击、P2P限流、URL过滤等功能,可以有效的保证网络的平安;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、MPLSVPN等,可以构建多种形式的VPN;提供丰富的路由才能,支持RIP/OSPF/BGP/路由协议及策略路由。
并支持100多种IM/P2P应用协议识别,基于时间、应用、用户、带宽、连接数的多方位调控手段,让IM/P2P随您掌控,可有效保障关键业务带宽,提升带宽利用率,提升员工工作效率。
华为赛门铁克USG2130提供丰富路由特性,不仅支持IPv4路由(静态路由、RIP、OSPF与BGP动态路由),还支持完好的IPv6路由协议,IPv4/IPv6全兼容,从而使组网应用更加灵敏。
其还可以通过接口卡扩展,最高支持21FE+2GE的下行接口,满足企业终端、效劳器的接入,节约用户投资。
360个人防火墙
360网络防火墙是一款保护用户上网平安的产品,为用户阻截各类网络风险。
防火墙拥有云平安引擎,解决了传统防火墙频繁拦截,识别才能弱的问题,可以轻巧快速地保护上网平安。
360网络防火墙的智能云监控功能,可以拦截不平安的上网程序,保护隐私、帐号平安;上网信息保护功能,可以对不平安的共享资源、端口等网络破绽进展封堵;入侵检测功能可以解决常见的网络攻击,让电脑不受黑客损害;ARP防火墙功能可以解决局域网互相使用攻击工具限速的问题。
日前,精睿平安实验室发布?
2021主流杀毒软件年度测试报告?
,选取了国内外10款主流杀毒软件,在Windows10系统中进展测试,旨在为越来越多使用Win10的用户提供参考。
测试考察了杀毒软件对病毒木马的查杀、对受感染文件的修复、以及对恶意程序的主动防御三大指标。
测试结果说明,国产软件360不仅领先卡巴斯基、Avast等国外老牌杀软,综合实力排名第一。
其中,在最近接用户场景、也最考验杀软硬实力的主动防御领域,360更是遥遥领先,展现了其精准的实时识别与防御才能。
图为十款杀毒软件综合才能比照
BarracudaEmailSecurityGateway梭子鱼邮件平安网关
梭子鱼垃圾邮件防火墙是由美国博威特公司的主打产品。
博威特网络是位于美国加州Cupertino的专业的应用网络平安设备厂商,在日本东京,香港,台湾。
英国,阿联酋等十几个国家设有分公司,在全世界45个国家销售。
在日本也有很高的市场占有率。
并且我们提供八种国际语言,包括英语,简体中文,繁体中文,德语,日语,西班牙语,法语,葡萄牙语等
博威特网络技术〔上海〕是美国BarracudaNetworks,Inc.在上海设立的全资子公司。
BarracudaNetworks,Inc.是国际指导的应用网络平安设备厂商,2002年成立于美国硅谷,目前公司总部设在美国加州硅谷山景城〔MountainView〕。
博威特网络公司是目前国际应用网络平安设备的指导者,其主打的梭子鱼垃圾邮件防火墙采用了世界上领先的“十大技术〞、“十层过滤〞垃圾邮件防护技术,结合其“五大优点〞,为用户提供平安、高效、全面的垃圾和病毒邮件防护的整体解决方案。
部署方案
在公司总部中心网络和外部网络之间部署CiscoPIX525防火墙,中心交换机与数据库效劳器、web效劳器、一室、二室、三室之间及外部网与北京办事处之间部署华为赛门铁克USG2130防火墙,公司总部中心交换机与email效劳器之间部署BarracudaEmailSecurityGateway,能在一定程度上确保电子邮件平安。
为了保护个人主机的平安,在员工个人主机上部署360防火墙。
部署入侵检测系统
入侵检测系统定义
入侵检测系统〔intrusiondetectionsystem,简称“IDS〞〕,是一种对网络传输进展即时监视,在发现可疑传输时发出警报或者采取主动反响措施的网络平安设备。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于形式识别技术的不完善,IDS的高虚警率也是它的一大问题。
IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:
根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进展统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大局部的网络区域都已经全面晋级到交换式的网络构造。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
[1]这些位置通常是:
效劳器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
由于入侵检测系统的市场在近几年中飞速开展,许多公司投入到这一领域上来。
Venustech(启明星辰〕、InternetSecuritySystem〔ISS〕、思科、赛门铁克等公司都推出了自己的产品。
启明星辰天阗NS100
天阗入侵检测与管理系统是启明星辰信息技术自行研制开发的入侵检测类网络平安产品。
天阗入侵检测与管理系统是在以新一代入侵检测技术为核心的根底上,引入全面流量监测发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和破绽之间具有对应的关联关系,给出入侵威胁和资产脆弱性之间的关联风险分析结果,从而有效地管理平安事件并进展及时处理和响应。
天阗NS100具有攻击检测才能;响应方式;日志与报表;策略功能;管理功能;用户管理;晋级管理;产品平安性等功能
部署方案
为保证该公司网络系统的平安,根据入侵检测系统部署位置和该公司的网络拓扑构造,将入侵检测系统部署在Internet与公司总部相连的位置,置于防火墙之后,作为公司网络的第二道防线。
这样入侵检测系统能监听到所有进入内网的数据包,以到达平安审计的目睹,从而能从审计记录中找出已经产生的攻击。
部署网闸
网闸定义
网闸〔简称:
GAP〕,全称平安隔离网闸,是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并可以在网络间进展平安适度的应用数据交换的网络平安设备。
平安隔离网闸是由软件和硬件组成。
隔离网闸分为两种架构,一种为双主机的2+1构造,另一种为三主机的三系统构造。
2+1的平安隔离网闸的硬件设备由三局部组成:
外部处理单元、内部处理单元、隔离平安数据交换单元。
平安数据交换单元不同时与内外网处理单元连接,为2+1的主机架构。
隔离网闸采用SU-Gap平安隔离技术,创立一个内、外网物理断开的环境。
三系统的平安隔离网闸的硬件也由三局部组成:
外部处理单元〔外端机〕、内部处理单元〔内端机〕、仲裁处理单元〔仲裁机〕,各单元之间采用了隔离平安数据交换单元。
京泰物理隔离网闸
京泰物理隔离网闸采用高速固态开关,在内外网络之间切换,开关的物理特性决定了任意一个时刻,系统在物理链路上只能处于内网或者外网的一侧;当连入外网时,与内网断开,从外网获取需要交换的数据;断开外网连接,连接内网,交换数据到内网。
往复不断,从而完成内外网络信息的交换;连接建立后,采用自定义信息交换报文和协议进展信息传递和交换,防止黑客利用标准网络协议的各种破绽进展攻击;由于采用自定义平安传输协议,系统在底层自行完成对文件的分片、传递工作,在另一端负责对其进展重组、检测;系统提供给用接口,对应用系统的表单内容进展严格的信息检测和过滤,防止利用各种非法的查询来获取信息或者破坏信息;由于通过高速固态开关交换信息,时间延迟极短,为毫秒级,为用户应用系统提供实时的在线访问提供了坚实的根底。
平安网闸不但提供标准的信息交流效劳,如文件交流、数据库交流和邮件交流等。
还提供其他详细应用系统的二次开发接口,帮助用户更快、更好的建立自己的平安信息交流平台。
支持第三方平安软件,如对传递和交换的数据进展杀毒等,采用Linux操作系统设计,通过公安部、保密局、国家信息平安测评认证中心等权威部门的平安认证,使得自身系统的平安性大为进步。
部署方案
在公司总部网络与Internet之间部署网闸作为防火墙后的另一道防线,实现公司内部网与外部网的物理与协议上的平安隔离,使当防火墙被攻破或绕过时能保证系统平安
VPN
VPN定义
VPN的英文全称是“VirtualPrivateNetwork〞,翻译过来就是“虚拟专用网络〞。
顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购置路由器等硬件设备。
VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网〔VPN〕被定义为通过一个公用网络〔通常是因特网〕建立一个临时的、平安的连接,是一条穿过混乱的公用网络的平安、稳定的隧道。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供给商同公司的内部网建立可信的平安连接,并保证数据的平安传输。
虚拟专用网可用于不断增长的挪动用户的全球因特网接入,以实现平安连接;可用于实现企业网站之间平安通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的平安外联网虚拟专用网。
之前选用的CiscoPIX525防火墙集成了VPN功能,能直接提供一种平安、可扩展的平来来经济高效的使用公共数据效劳来实现远程访问。
远程办公和外部网连接。
部署方案
直接配置CiscoPIX525防火墙的vpn功能。
用网络层的vpn技术实现网络层vpn。
网络层vpn技术之一的IPsec也是IETF支持的标准之一,它是第三层即IP层的加密。
IPsec不是某种特殊的加密算法或认证算法,也没有在它的数据构造中指定某种特殊的加密算法或认证算法,它是一个开放的构造,定义在IP数据包格式中,不同的加密算法都可以利用IPsec定义的体系构造在网络数据传输中施行。
计算机系统平安
主机操作系统主要是Linux和Windows,而这两款操作系统照旧有些常见的破绽和普遍的平安问题存在,因此要采取一些平安措施尽可能的保证系统平台的平安,以保证公司系统的平安运作。
1.Windows系统平安
为了到达平安的目的,一般来说我们需要关注操作系统的八个方面:
补丁管理>账号破绽>受权管理>效劳管理>功能优化>文件管理>远程访问控制>日志审计
其中:
补丁管理
使用最新版的补丁,防止使系统存在的破绽,从而被攻击者利用。
账号口令
梳理出系统中正在使用和存在的账号和口令,防止使用默认的账号
密码和脆弱的口令如123456、admin等
受权管理
降低操作系统上的软件的权限,将权限降低到不影响软件运行所需的最低权限,防止软件因为拥有过高的权限而被有心人利用。
效劳管理
假如操作系统上假如运行着不需要的功能或者效劳,尽量关闭。
功能优化
对操作系统上的软件进展平安优化,确保系统的平安性。
文件管理
配置好关键文件的权限,比方说windows文件夹这种关键性的文件夹,不应该允许被非管理员权限的用户访问。
远程访问控制
假如计算机上开启了远程访问功能,需要对访问的人员进展限制,比方说只允许某个ip或者某个网络的人员可以远程登陆,其他的一律回绝。
日志审计
对于效劳器来说,应该要增强操作系统的日志功能,以防发生平安事件后可以追溯源头,提供保障。
根据这八大方面的平安操作需要做的有:
保护Linux系统平安的九个常用方法
1.使用SELinux
SELinux是用来对Linux进展平安加固的,有了它,用户和管理员们就可以对访问控制进展更多控制。
SELinux为访问控制添加了更细的颗粒度控制。
与仅可以指定谁可以读、写或执行一个文件的权限不同的是,SELinux可以让你指定谁可以删除链接、只能追加、挪动一个文件之类的更多控制。
(LCTT译注:
虽然NSA也给SELinux奉献过很多代码,但是目前尚无证据证明SELinux有潜在后门)
2.订阅破绽警报效劳
平安缺陷不一定是在你的操作系统上。
事实上,破绽多见于安装的应用程序之中。
为了防止这个问题的发生,你必须保持你的应用程序更新到最新版本。
此外,订阅破绽警报效劳,如SecurityFocus。
3.禁用不用的效劳和应用
通常来讲,用户大多数时候都用不到他们系统上的效劳和应用的一半。
然而,这些效劳和应用还是会运行,这会招来攻击者。
因此,最好是把这些不用的效劳停掉。
(LCTT译注:
或者干脆不安装那些用不到的效劳,这样根本就不用关注它们是否有平安破绽和该晋级了。
)
4.检查系统日志
你的系统日志告诉你在系统上发生了什么活动,包括攻击者是否成功进入或试着访问系统。
时刻保持警觉,这是你第一条防线,而经常性地监控系统日志就是为了守好这道防线。
5.考虑使用端口试探
设置端口试探(Portknocking)是建立效劳器平安连接的好方法。
一般做法是发生特定的包给效劳器,以触发效劳器的回应/连接(翻开防火墙)。
端口敲门对于那些有开放端口的系统是一个很好的防护措施。
6.使用Iptables
Iptables是什么?
这是一个应用框架,它允许用户自己为系统建立一个强大的防火墙。
因此,要提升平安防护才能,就要学习怎样一个好的防火墙以及怎样使用Iptables框架。
7.默认回绝所有
防火墙有两种思路:
一个是允许每一点通信,另一个是回绝所有访问,提示你是否答应。
第二种更好一些。
你应该只允许那些重要的通信进入。
(LCTT译注:
即默认答应策略和默认制止策略,前者你需要指定哪些应该制止,除此之外统统放行;后者你需要指定哪些可以放行,除此之外全部制止。
)
8.使用入侵检测系统
入侵检测系统,或者叫IDS,允许你更好地管理系统上的通信和受到的攻击。
Snort是目前公认的Linux上的最好的IDS。
9.使用全盘加密
加密的数据更难窃取,有时候根本不可能被窃取,这就是你应该对整个驱动器加密的原因。
采用这种方式后,假如有某个人进入到你的系统,那么他看到这些加密的数据后,就有得头痛了。
根据一些报告,大多数数据丧失源于机器被盗。
心得体会与反思
这次的课程设计可以顺利完成要感谢教师平日对我们的严格要求。
教师在平日的教学中擅长启迪我们的思想,乐于传授我们课程之外的知识。
正因为这样才能使我完本钱次课程设计时感觉到轻松不少。
通过这次的课程设计让我对企业的平安保障机制有了一定的理解,自己动手进展设计才知道方案制作的不易。
同时经过这次的课程设计让我知道了自己在平时学习时的知识缺乏、知识面不够广,想到的平安保障方面不够完善,假设是将之投入使用会导致严重的后果。
这是这次的课程设计让我初步理解了平安方案的制作方法。
同时这次的课程设计我所做的照旧有缺乏的地方存在,总结出的问题如下:
1.在外设的选购方面,只放眼于平安保障效果却忽略了外设的价格,假设是在工作中这样的平安方案是绝对不合格的。
2.平安保障系统中照旧存在些许破绽,主要是因为平时知识积累缺乏导致。
希望在进展下次课程设计的时候我
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 设计