网络安全课程设计Word下载.docx
- 文档编号:19032796
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:17
- 大小:354.62KB
网络安全课程设计Word下载.docx
《网络安全课程设计Word下载.docx》由会员分享,可在线阅读,更多相关《网络安全课程设计Word下载.docx(17页珍藏版)》请在冰豆网上搜索。
课程设计(论文)任务
1.使学生对网络安全技术从整体上有一个较全面的了解。
2.了解当前计算机网络安全技术面临的挑战和现状。
3.了解网络安全技术研究的内容,掌握相关的基础知识。
4.掌握网络安全体系的架构,了解常见的网络攻击手段,掌握入侵检测的技术和手段。
5.了解网络安全应用领域的基础知识。
设计过程中,要严格遵守设计的时间安排,听从指导教师的指导。
正确地完成上述内容,规范完整地撰写出设计报告。
指导教师评语及成绩
该生在《网络安全技术专题》实训过程中,设计相关知识掌握良好。
针对题目大型机房网络防御方案考虑问题全面,设计结果可行,报告书写认真,图表表达清晰、规范,具有独立分析解决问题的能力,学习态度认真。
动手能力强。
完成了本课程设计任务。
成绩:
指导教师签字:
2010年12月22日
第1章专题的设计目的与要求
1.1专题设计目的
本技术专题实际是网络系统管理专业学生学习完《网络安全基础》课程后,进行的一次关于网络安全技术方面的训练,学生应该具有较系统的网络安全知识,并在实际应用时具备一定的防范非法入侵、维护网络、系统安全性的能力,其目的在于加深对网络安全知识的理解,掌握运用软件进行攻击和防御的基本方法。
1.2专题设计的实验环境
硬件:
Intel®
Pentium(R)4CPU2.4GHz845P主板DDR256M内存
软件:
Windows2000操作平台彩影ARP防火墙antiARPsniffer
1.3专题设计的预备知识
网络安全应具有以下五个方面的特征:
保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:
对信息的传播及内容具有控制能力。
可审查性:
出现的安全问题时提供依据与手段
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。
在系统处理能力提高的同时,系统的连接能力也在不断的提高。
但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:
网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。
甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
通常,系统安全与性能和功能是一对矛盾的关系。
如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。
但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。
构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;
另一方面也增加了管理费用。
但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。
选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。
采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。
全方位的安全体系:
与其它安全体系(如保安系统)类似,企业应用系统的安全休系应包含:
访问控制:
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
检查安全漏洞:
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
攻击监控:
通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
加密通讯:
主动的加密通讯,可使攻击者不能了解、修改敏感信息。
认证:
良好的认证体系可防止攻击者假冒合法用户。
备份和恢复:
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
隐藏内部信息,使攻击者不能了解系统内的基本情况。
设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。
1.4专题设计要求
该实训要求对网络安全的知识有一定基础,通过资料查阅和学习,了解网络安全攻击与防御实例。
通过在实验室的实践,能够独立承担实训任务;
内容翔实,符合实训的要求;
进行攻击和防御的步骤要分明;
安全配置的过程要详细;
严格按照说明书格式要求格式化。
第2章专题的设计内容
2.1背景描述
对于多媒体机房网络的建设,将实现教学、管理及辅助教学的功能,总体目标是建立可网管、高交换容量、支持组播业务、具有丰富QOS保证的网络。
同时,希望采用标准化的硬件平台能降低建设成本,并且更易用使用、维护和扩展。
当前在局域网的建设中,主要应用的拓扑结构有总线型、环型和星型。
在总线型网络中,由于各计算机共享一条通信电缆,而且不需要额外的通信设备,因此,可以节约组网费用。
但是其缺点也是十分明显的,网络中的任何一个节点出现故障,都将导致整个网络瘫痪,这与在网络建设要求网络具有高可靠性和沉佘性不相符,因此使用总线型拓扑结构建设的网络已趋于淘汰,在新的网络建设中不应再使用。
环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构,环型结构的缺点与总线型的缺点是差不多的,也是一种不太常用的网络拓扑。
当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。
因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉佘性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。
关于此项目具体组网方案的制定,应该从网络交换设备层面提出了以下两个方面的需求:
交换机的总体要求。
为了可以支撑多媒体业务,方案中选用的交换机必须支持三层交换及端口线速转发,并且包括汇聚交换机在内的所有交换机都要支持组播业务和丰富的QoS,同时还需要支持支持802.1D生成树协议及802.1QVLAN。
交换机技术指标。
汇聚交换机需是三层交换机,支持千兆和百兆光纤接入,并且支持ACL访问控制;
接入交换机需要具备24个10/100M自适应端口,2个扩展槽,支持千兆光纤模块,支持堆叠,背板交换速率≥20Gbps。
通过前期细致的规划、多次的论证和详细的设备测试,金坛普教多媒体机房项目的建设方案最终采用锐捷网络提供的网络解决方案及网络设备。
拓扑结构如下:
如图所示,首先,多媒体机房项目汇聚层采用锐捷网络千兆智能多层交换机STAR-S3550-48。
S3550-48是高密度端口的智能多层交换机,其18.5G的背板带宽和10.1Mpps的三层包转发速率可为用户提供高速无阻塞的交换;
高达48个快速以太网端口和2个千兆端口可为金坛普教多媒体机房项目提供大幅的容量扩展,其ACL访问控制功能和丰富的QOS特性完全满足多媒体环境中大流量数据和关键业务的带宽保证。
接入层全部采用锐捷网络千兆堆叠交换机STAR-S2024M都具有强大的运行维护能力,通过多种网络管理方式,可以方便、有效地管理每一个断口,有效降低学校的管理、维护成本。
2.2软件安装与工具使用
ARP防火墙采用内核层拦截技术和主动防御技术,几大功能模块(拦截ARP攻击/拦截IP冲突/DoS攻击抑制/安全模式/ARP数据分析/监测ARP缓存/主动防御/追踪攻击源/查杀ARP病毒/系统时间保护/IE首页保护/ARP缓存保护/自身进程保护/智能防御)互相配合,可彻底解决ARP相关问题,扼杀DoS攻击源。
防火墙是计算机网络上一类防范措施的总称,它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访,用来保护内部网络。
防火墙简单的可以只用路由器实现,复杂的则可以用主机甚至一个子网来实现,设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。
防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视Internet安全和预警的方便端点。
由于网络具有天生的开放性,所以有许多防范功能的防火墙也有一些防范不到的地方,如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。
因此,防火墙只能是一种整体安全防范政策的一部分。
实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。
报文过滤是在IP层实现的,它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过,因此它可以只用路由器完成。
在用应用层网关实现的防火墙有多种方式,如应用代理报务器和网络地址转换器等。
在校园网中大部分的应用都是内部网络用户,而内部用户通常具有较大的访问权限,因此局域网络系统的安全是整个网络系统安全中最重要的部分。
但相对而言,内部的安全问题是可以预测的,并可据此制定相应的防范措施。
安装防火墙软件
目前ARP防火墙显示的数据类型有以下几种,
(1)外部ARP攻击-显示的数据是别人对你的ARP攻击(别人攻击你)
(2)外部IP冲突-显示的数据是别人对你的IP冲突攻击(别人攻击你)
(3)对外ARP攻击-显示的数据是你对别人的ARP攻击(你攻击别人)
(4)对外IP攻击-显示的数据是你对别人的伪造源IP攻击,通常是TCPSYNFlood(你攻击别人)
(5)对外IP洪水-当你本机发送数据的速度超过设定的阀值时,防火墙会启动拦截,拦截后的数据会显示这里。
(6)安全模式-安全模式下只响应来自网关的ARPRequest,别的机器发的ARPRequest会被拦截,拦截后的数据显示在这里。
(7)抑制发送ARP-当你本机发送ARP的速度超过设定阀值时,防火墙会启动拦截,拦截后的数据会显示这里。
(8)分析接收到的ARP-显示的是本机收到的所有ARP数据包,用以分析网络状况。
这里显示的数据只是供经验丰富的网管人员分析网络中是否存在潜在的攻击者或者中毒机器,与是否存在ARP攻击没有必然联系。
如果你不是网管人员,且你现在网络正常,完全可以忽略这里面显示的数据。
防火墙的优缺点
防火墙的优点:
(1)防火墙能强化安全策略因为因特网上每天都有上百万人在那里收集信息。
交换信息,不可避免的会发生个别品的不良的人,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,他执行站点的安全策略,仅仅容许“认可”和符合规则的请求通过。
(2)防火墙能有效的记录因特网上的活动因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。
作为唯一的访问点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段。
这样,能够防止影响一个网段问题通过整个网络转播。
(4)防火墙是一个安全策略的检查站所有进出的信息必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝与门外。
防火墙的缺点:
(1)不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘,放在公文包中带出去。
如果入侵者已经在防火墙内部,防火墙就变得无能为力。
内部用户可以偷窃数据。
破坏硬件和软件,并且巧妙的修改程序而不接近防火墙。
(2)不能防范不通过它的连接防火墙能够有效的防止通过它进行传输的信息的功绩,然而不能防止不通过它而传输的信息的功绩。
(3)不能防备全部的威胁防火墙被用来防备已知的威胁,如果是一个很好的防火墙涉及方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的威胁。
(4)防火墙不能防范病毒防火墙不能消除网络上的pc机的病毒。
常见的放火墙有三种类型:
1、分组过滤防火墙;
2、应用代理防火墙;
3、状态检测防火墙。
分组过滤(PacketFiltering):
作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。
应用代理(ApplicationProxy):
也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
实际中的应用网关通常由专用工作站实现。
状态检测(StatusDetection):
直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
应用代理防火墙
应用代理(ApplicationProxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。
代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。
代理服务器运行在应用层,因此又被称为“应用网关”。
安装过程如下图所示
打开天ARP防火墙的安装光盘,您会看到一个setup程序,启动程序后,出现如下界面,如图1-1所示:
图1-1
单机下一步,出现如下界面,点击我接受许可协议中的条款,如图1-2所示:
图1-2
进入ARP防火墙系统的主安装界面。
如图1-3所示:
图1-3
按照安装向导的选择进行安装。
如图1-4所示:
图1-4
完成安装,如图1-5所示
安装完成,如图1-5所示
图1-5
二代ARP主要表现在病毒通过网络访问或是主机间的访问互相传播。
由于病毒已经感染到电脑主机,可以轻而易举的清除掉客户机电脑上的ARP静态绑定(首先执行的是arp-d然后在执行的是arp-s,此时绑定的是一个错误的MAC)伴随着绑定的取消,错误的网关IP和MAC的对应并可以顺利的写到客户机电脑,ARP的攻击又畅通无阻了。
解决办法
(1)部分用户采用的“双/单项绑定”后,ARP攻击得到了一定的控制。
面临问题双绑和单绑都需要在客户机上绑定。
二代ARP攻击会清除电脑上的绑定,使得电脑静态绑定的方式无效。
如图1-6
图1-6
(2)部分用户采用一种叫作“循环绑定”的办法,就是每过一段“时间”客户端自动绑定一个“IP/MAC”。
面临问题如果我们“循环绑定”的时间较长(比arp清除的时间长)就是说在“循环绑定”进行第二次绑定之前就被清除了,这样对arp的防范仍然无效。
如果“循环绑定”的时间过短(比arp清除时间短)这块就会暂用更多的系统资源,这样就是“得不偿失”。
ARP缓存中的每一个条目都会超时,否则就不是“动态绑定”了。
ARP协议会为表中每一个条目设置一个计时器,从该条目创建之时开始计时,计时器超时后,会删除相应的条目。
超时时间因不同的操作系统而有所不同,典型的时间为20分钟。
如图1-7
图1-7
(3)部分用户采用一种叫作“arp防护”,就是网关每过一段时间按照一定的“频率”在内网发送正确网关“IP/MAC”
主机在没有收到ARP请求时也可以发送ARP应答;
而且,主机在没有发送ARP请求时,也会“愉快地”接受ARP应答。
也就是说,不管主机有没有发送请求,收到ARP应答后都要根据应答包中的IP地址到硬件地址的对应信息刷新ARP缓存。
面临问题如果发送的“频率”过快(每秒发送的ARP多)就会严重的消耗内网的资源(容易造成内网的堵塞),如果发送“频率”太慢(没有arp协议攻击发出来频率高)在arp防范上面没有丝毫的作用。
如图1-8
图1-8
最简单的办法,是将IP地址和硬件地址进行静态绑定。
在windows和linux操作系统下,可使用如下命令:
arp–s192.168.0.1CC-CC(注:
有些系统只允许6个字节的硬件地址)
使用此命令静态绑定IP地址192.168.0.1和硬件地址CC-CC后,这条绑定信息在ARP缓存表中就相对固定,没有超时设置。
在linux和windowsXP操作系统下,静态绑定的条目不会根据收到的ARP报文进行动态刷新。
但是,在windows 9X/NT/2000系统下,此命令并不能真正实现“静态”绑定,只是在ARP缓存中设置了一条不会超时的地址对应关系,这条对应关系仍然会根据收到的ARP报文而动态改变。
另外,在linux系统下,还可以从文件中加载静态的ARP对应表,命令如下:
arp–f<
filename>
filename文件格式如下:
192.168.0.1CC-CC-CC-CC-CC-CC
192.168.0.2AA-AA-AA-AA-AA-AA
从文件中加载和使用arp–s命令的效果是一样的。
注意,ARP绑定信息存在于高速缓存中,所以系统重新启动时会失效。
静态的ARP对应表在每次系统重启时都需要重新从文件中加载或使用命令进行绑定。
静态绑定有违ARP动态解析和更新地址对应关系的原则,而且增加了管理网络的成本,不太适用于经常变动的网络环境和大规模的网络,但是对于小规模的安全网络来说,还是有效而且可行的。
最彻底的办法
(4)arp是个“双头怪”要想彻底解决必须要“首尾兼顾”有两种方式可以实现
第一采用“看守式绑定”的方法,实时监控电脑ARP缓存,确保缓存内网关MAC和IP的正确对应。
在arp缓存表里会有一个静态的绑定,如果受到arp的攻击,或只要有公网的请求时,这个静态的绑定又会自动的跳出,所以并不影响网络的正确的访问。
这种方式是安全与网卡功能融合的一种表现,也叫作“终端抑制”。
第二就是在网络接入架构上要有“安全和网络功能的融合”就是在接入网关做NAT的时候不是按照传统路由那样根据“MAC/IP”映射表来转发数据,而是根据他们在NAT表中的MAC来确定(这样就会是只要数据可以转发出去就一定可以回来)就算ARP大规模的爆发,arp表也混乱了但是并不会给我们的网络造成任何影响。
(不看IP/MAC映射表)这种方法在现有控制ARP中也是最彻底的。
也被称为是“免疫网络”的重要特征。
使用ARP服务器后,主机的一种更为理想的选择是使用相对固定的ARP对应表。
当主机启动时,从ARP服务器拷贝一份ARP对应表,表中的条目不设置超时值,只根据从ARP服务器收到的ARP报文更新。
当ARP服务器中的条目有所更新时,就把变化的部分向所有主机广播。
这样,当主机进行通信时,不必先向ARP服务器发送ARP请求,所以提高了工作效率,而且降低了ARP服务器和网络的负载。
使用ARP服务器不会增加硬件成本,只需在一台比较有安全保障的主机上运行ARP服务器软件即可。
可以准确的定位是那一台机器出了问题,这是一个好的管理工具。
2.3结果显示
在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。
在正常情况下这个缓存表能够有效保证数据传输的一对一性,像主机B之类的是无法截获A与D之间的通信信息的。
但是主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。
这就导致主机B截取主机A与主机D之间的数据通信成为可能。
首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是02-02-02-02-02-02,主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成02-02-02-02-02-02,同时主机B向网关C发送一个ARP响应包说192.168.1.2的MAC是02-02-02-02-02-02,同样,网关C也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成02-02-02-02-02-02。
当主机A想要与主机D通信时,它直接把应该发送给网关192.168.1.1的数据包发送到02-02-02-02-02-02这个MAC地址,也就是发给了主机B,主机B在收到这个包后经过修改再转发给真正的网关C,当从主机D返回的数据包到达网关C后,网关也使用自己ARP表中的MAC,将发往192.168.1.2这个IP地址的数据发往02-02-02-02-02-02这个MAC地址也就是主机B,主机B在收到这个包后再转发给主机A完成一次完整的数据通信,这样就成功地实现了一次ARP欺骗攻击。
服务处理程序是该系统的核心部分,包括报警输出处理子程序(AO_Handler)和PHP请求处理子程序(Web_Handler)两个部分。
报警输出处理子程序主要负责接收Snort报警,解析报警信息,并通过向iptables加规则的方式对攻击主机进行阻塞;
而PHP请求处理子程序主要负责与PHP管理页面通信,并根据页面的请求做出相应的处理。
服务程序中维护了一个规则相关信息表,这个表以队列(报警队列和阻塞队列)的数据结构进行组织,其中报警队列中记录的是经Snort报警输出解析得到的攻击主机信息(即报警结点,由AO_Handler生成),而阻塞队列中记录了正在被阻塞的攻击主机信息(即阻塞结点)。
如果报警结点不在阻塞队列中,程序将对这个结点所代表的主机进行阻塞操作,并把该结点加入到阻塞队列中。
对每个阻塞操作所对应的阻塞结点设定一个有效期,当阻塞时间超过这个有效期时,程序将该阻塞结点从阻塞队列中删除,并删除iptables中对应的阻塞规则,对该阻塞主机放行。
采用两个列队来维护报警和阻塞信息可以防止程序在多次收到有关同一个主机地址的报警时,添加重复的阻塞规则而为规则管理和取消阻塞操作时所带来的混乱。
另外阻塞信息的维护使得程序可以为终端用户提供当前被系统自动阻塞的主机的所有信息:
报警时间,阻塞时间,阻塞原因等,为用户了解和管理这些信息提供了
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 课程设计
![提示](https://static.bdocx.com/images/bang_tan.gif)