实验二+网络需求研究分析.docx
- 文档编号:2326335
- 上传时间:2022-10-28
- 格式:DOCX
- 页数:9
- 大小:29.63KB
实验二+网络需求研究分析.docx
《实验二+网络需求研究分析.docx》由会员分享,可在线阅读,更多相关《实验二+网络需求研究分析.docx(9页珍藏版)》请在冰豆网上搜索。
实验二+网络需求研究分析
实验二+网络需求分析
————————————————————————————————作者:
————————————————————————————————日期:
淮海工学院计算机科学系
实验报告书
课程名:
《网络规划与设计》
题目:
实验二网络需求分析
班级:
网络122
学号:
********************
姓名:
李卓原李杲杜文康
实验目的与要求
1、了解项目管理工具,学会按照不同的要求用Project工具进行任务管理方法
2、根据选定的题目,完成《网络规划设计书》中网络拓扑结构的设计,可以选择VISIO、易图之一进行绘制。
实验环境
局域网,windows2003
实验学时
2学时,必做实验。
实验内容
1、依据先进性、实用性、开放性、灵活性、可靠性、安全性等原则进行网络规划设计
2、根据项目分析和确定当前网络通信量和未来网络容量
实验步骤
●每个项目组选举组长1人,负责组织全面的项目实现工作;
●项目组成员的任务分工应按照同学的性格、兴趣、特点等安排。
其中任务单元包括:
1)可行性研究报告负责人(并负责撰写相关文档)
2)需求分析负责人(并负责撰写相关文档)
3)系统设计文档负责人
4)系统设计图纸负责人(并负责撰写相关文档)
5)系统施工负责人(并负责撰写相关文档)(此处可略去)
6)系统测试负责人(并负责撰写相关文档):
1人;
7)整理文档
●在项目实现过程中,当进行到某个具体阶段时,由该阶段的负责人负责组织工作,其他所有人员都是该阶段的工程成员。
该阶段的负责人承担该部分的主要工作,其他同学也需要参加部分工作。
这种一人负责,多人配合的分工,可以使全体同学都能经历网络工程项目实现的每一个阶段的工作,从而得到全面锻炼和提高。
1、项目背景介绍
网络系统的安全是一项系统工程,利用网络安全理论来规范、指导、设计、实施和监管网络安全建设,从安全制度建设和技术手段方面着手,加强安全意识的教育和培训,自始至终坚持安全防范意识,采取全面、可行的安全防护措施,并不断改进和完善安全管理,把网络安全风险降到最小程度,打造网络系统的安全堡垒。
本实训将以企业网络系统为例,综合应用网络安全的各种技术(如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH安全通信技术、网络安全扫描、监听与入侵检测技术、数据备份与还原技术等)来实现公司网络系统中的各种网络安全服务。
2、网络的物理布局,用户信息点及地理分布
1.物理安全实现方案
物理安全是整体网络安全的基础,网络设备或线路出现硬件故障,网络的安全性则无从谈起,其他一切安全措施均无法发挥作用,其重要性不言而喻。
根据之前对办公网物理安全的分析,下面主要从完善制度、优化核心机房供电、加强网络节点安全性等方面进行方案实现。
1.1完善机房管理制度
为了确保网络核心设备机房、网络节点、线缆的物理安全,公司应制定《办公网机房管理制度》。
1.明确进入机房的人员及条件;2.在机房内维护、装机等工作时可进行的操作;3.外部人员在机房内进行工作的随工要求;4.机房内各项操作的规范要求;5.机房出现紧急情况的通知汇报流程。
1.2优化核心机房供电
通过布放电源电缆来优化办公网核心机房的供电问题。
以确保供电万无一失,即确保了办公网核心设备的供电安全,使设备正常运行无后顾之忧。
2.网络结构安全实现方案
2.1细分网络减小广播域
将办公网的IP地址段,根据部门在S6502上划分为26位到28位不等的网段。
为每台交换机配置管理IP,这样以后数据操作就可以远程进行了。
另外根据节点交换机下挂的部门,分别从核心交换机透传相应部门的vlan,再在节点交换机上根据端口进行划分。
2.2加强通信访问控制
访问控制根据各部门的职责不同来确定,此项工作需要由S6502核心路由器和Eudemon100防火墙共同配合来完成,下面逐一对其实现方法进行说明。
1)对内服务器需要与互联网隔离。
2)对内服务器应根据提供的业务与对口部门互通。
3)营业区只能访问互联网,不能访问办公网。
4)网络监控组的网络摄像头及监控终端只能彼此互通,与办公网内其他部门和互联网均隔离。
2.3利用防火墙减小外部威胁
根据分析,需要在网络边界增设硬件防火墙一台,结合经济分析和网络设备的统一性,选用华为公司的Eudemon100硬件防火墙。
增加了Eudemon100防火墙后,其承担了办公网私网地址的NAT转换工作。
另外还进行了IP欺骗防范、SYN泛洪攻击防范、Ping攻击防范和DoS(DDoS)攻击防范等方面的配置。
1)IP欺骗防范IP欺骗是一种攻击方法,即使主机系统本身没有任何漏洞,但仍然可以使用各种手段来达到攻击的目的,这种欺骗纯属技术性的,一般都是利用TCP/IP协议本身存在的一些缺陷。
在Eudemon100上,我们通过滤非共有IP地址、内部网络使用的IP地址、环回地址、私有IP地址对访问内部的网络来实现或减轻危害。
2)Ping攻击防范Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。
部分主机不能很好的处理过大的ping包,从而出现PingtoDeath攻击方式,即用超过TCP/IP最大限度65536字节的Ping包搞垮目的主机。
所以,对于进入办公网的ICMP流,要禁止和与Ping命令有关的ICMP类型。
3)DoS和DDoS攻击防范我们用在Eudemon100上限制DoS攻击常用端口的方法来进行防范。
4)加强网络设备自身的安全性网络设备自身的安全性直接影响着整个网络的可用性和稳定性,对于网络安全起着至关重要的作用。
对于办公网内的网络设备,我们通过(设备登录安全、SNMP安全、设备运行安全、无线AP安全)作来加强其安全性。
2.4加强办公电脑的安全
加强终端电脑的安全性主要进行了以下几方面操作:
1.安装集团公司下发的正版SymantecAntiVirus杀毒软件,开启更新、监控和防护功能。
2.开启系统更新功能,及时安装漏洞补丁及软件更新。
3.关闭Guest账户。
4.为Administrator账户设置较为复杂的密码。
5.对外接移动存储设备需先杀毒后打开。
3、网络的性能要求
.安装有效的病毒防护软件,有效运行并打开实时系统监控。
2.及时从防病毒软件官方网站下载更新,并安装安全补丁程序和升级杀毒软件程序版本。
3.定期对整个系统进行病毒的检测清楚工作。
4.运用杀毒软件的清理恶意软件的功能,经常扫描计算机系统并对发现的恶意软件及时删除。
5.安装防火墙,制定适宜的防护规则。
6.提高风险意识,控制上网时间,不上网时断开网络连接。
论坛及聊天软件等不要长时间挂网,以免长时间暴露自己的IP地址,招惹不必要的麻烦。
7.对实时监控发现的系统漏洞补丁,须及时进行安装。
8.新购置的计算机或新安装的系统,一定要进行系统升级,确保修补所有已知的安全漏洞。
9.关闭不必要的端口和服务。
10.使用高强度的密码,并经常进行修改。
11.不必要的软件尽量不要安装。
12.从网络上下载的资源要特别注意杀毒检测。
13.不健康网站往往携有大量病毒程序,不要轻易点击。
14.重要资料注意刻录备份或者转移备份。
15.采用安全性较好的网络浏览器。
16.要慎收来历不明的邮件,在不能确定是安全“附件”的情况下,不要打开“附件”。
17.利用命令行工具或者防火墙软件进行局域网网关的IP地址和MAC地址的绑定,防止受到ARP病毒的影响。
4、所需的网络服务
虚拟网技术
防火墙技术
包过滤型
病毒防护技术
入侵检测技术
安全扫描技术
认证和数字签名技术
VPN技术
应用系统的安全技术
计算机网络安全措施
5、网络系统的安全
(1)首先设置VPN,方便内网与外网的连接,虚拟专用网是对企业内部网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入,以实现安全连接;可以用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.
(2)设置防火墙,防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。
所以如果过滤器对传入的信息数据包进行标记,则不允许该数据包通过。
能够保证使用的网站的安全性,以及防止恶意攻击以及破坏企业网络正常运行和软硬件,数据的安全。
防止服务器拒绝服务攻击.
(3)网络病毒防护,采用网络防病毒系统.在网络中部署被动防御体系(防病毒系统),采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。
从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的企业网病毒防护体系。
(4)设置DMZ,数据冗余存储系统.将需要保护的Web应用程序服务器和数据库系统放在内网中,把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中,这样就为应用系统安全提供了保障。
DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击,攻击者即使初步入侵成功,还要面临DMZ设置的新的障碍。
(5)设置数据备份管理系统,专门备份企业重要数据。
为避免客观原因、自然灾害等原因造成的数据损坏、丢失,可采用异地备份方式。
(6)双重数据信息保护,在重要部门以及工作组前设置交换机,可以在必要时候断开网络连接,防止网络攻击,并且设置双重防火墙,进出的数据都将受到保护。
(7)设置备份服务器,用于因客观原因、自然灾害等原因造成的服务器崩溃。
(8)广域网接入部分,采用入侵检测系统(IDS)。
对外界入侵和内部人员的越界行为进行报警。
在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点保护网段的局域网交换机上装上IDS。
(9)系统漏洞分析。
采用漏洞分析设备。
6、可行性分析及研究结论
1.1网络安全风险分析
近年来随着Internet的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题日益突出。
据有关方面统计,美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、
3
新加坡问题也很严重。
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
针对目前我国计算机网络发展情况,影响我国企业网络安全性的因素主要有以下几个方面。
①网络结构因素网络基本拓扑结构有3种:
星型、总线型和环型。
一个单位在建立自己的内部网之前,各部门可能已建造了自己的局域网,所采用的拓扑结构也可能完全不同。
在建造内部网时,为了实现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。
②网络协议因素在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。
另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。
这在给用户和厂商带来利益的同时,也带来了安全隐患。
③地域因素由于内部网既可以是LAN也可能是WAN,网络往往跨越城际,甚至国际。
地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中的损坏和丢失,也给一些“黑客”造成可乘之机。
④用户因素企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。
建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。
用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客”。
⑤主机因素
4
建立内部网时,使原来的各局域网、单机互联,增加
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 网络 需求 研究 分析