网络安全课程设计.docx
- 文档编号:24258825
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:20
- 大小:644.21KB
网络安全课程设计.docx
《网络安全课程设计.docx》由会员分享,可在线阅读,更多相关《网络安全课程设计.docx(20页珍藏版)》请在冰豆网上搜索。
网络安全课程设计
辽宁工业大学
网络安全技术专题(论文)
题目:
银行办公局域网办公攻击方案
院(系):
软件学院
专业班级:
学号:
学生姓名:
指导教师:
教师职称:
助教
起止时间:
2010.12.06-2010.12.19
专题设计(论文)任务及评语
院(系):
软件学院教研室:
网络教研室
学号
学生姓名
专业班级
课程设计(论文)题目
银行办公局域网办公攻击方案
课程设计(论文)任务
1.使学生对网络安全技术从整体上有一个较全面的了解。
2.了解当前计算机网络安全技术面临的挑战和现状。
3.了解网络安全技术研究的内容,掌握相关的基础知识。
4.掌握网络安全体系的架构,了解常见的网络攻击手段,掌握入侵检测的技术和手段。
5.了解网络安全应用领域的基础知识。
设计过程中,要严格遵守设计的时间安排,听从指导教师的指导。
正确地完成上述内容,规范完整地撰写出设计报告。
指导教师评语及成绩
该生在《网络安全技术专题》实训过程中,设计相关知识掌握良好。
针对题目银行办公局域网办公攻击方案考虑问题全面,设计结果可行,报告书写认真,图表表达清晰、规范,具有独立分析解决问题的能力,学习态度认真。
动手能力强。
完成了本课程设计任务。
成绩:
指导教师签字:
2010年12月22日
第1章专题的设计目的与要求
1.1专题设计目的
本技术专题实际是网络系统管理专业学生学习完《网络安全基础》课程后,进行的一次关于网络安全技术方面的训练,学生应该具有较系统的网络安全知识,并在实际应用时具备一定的防范非法入侵、维护网络、系统安全性的能力,其目的在于加深对网络安全知识的理解,掌握运用软件进行攻击和防御的基本方法。
1.2专题设计的实验环境
硬件:
Intel®Pentium(R)4CPU2.4GHz845P主板DDR256M内存
软件:
冰盾DDoS防火墙2010V9.7Build
1.3专题设计的预备知识
1.什么事防火墙
防火墙是一个或一组系统,它在网络之间执行访问控制策略。
实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:
一种机制是拦阻传输流通行,另一种机制是允许传输流通过。
一些防火墙偏重拦阻传输流的通行,而另一些防火墙则偏重允许传输流通过。
了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。
如果你不太清楚你需要允许或否决那类访问,你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙,然后他(它)们会为你的机构全面地制定访问策略。
2.防火墙可以防范什么?
一般来说,防火墙在配置上是防止来自“外部”世界XX的交互式登录的。
这大大有助于防止破坏者登录到你网络中的计算机上。
一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。
如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。
防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。
与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phonetap)和跟踪工具的作用。
防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。
3.防火墙不能防范什么?
防火墙不能防范不经过防火墙的攻击。
许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。
不幸得是,对于这些担心来说,一盘磁带可以被很有效地用来泄露数据。
许多机构的管理层对Internet接入非常恐惧,它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。
当你住在一所木屋中,却安装了一扇六英尺厚的钢门,会被认为很愚蠢。
然而,有许多机构购买了价格昂贵的防火墙,但却忽视了通往其网络中的其它几扇后门。
要使防火墙发挥作用,防火墙就必须成为整个机构安全架构中不可分割的一部分。
防火墙的策略必须现实,能够反映出整个网络安全的水平。
例如,一个保存着超级机密或保密数据的站点根本不需要防火墙:
首先,它根本不应当被接入到Internet上,或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。
4..什么是“单故障点”?
应当如何避免出现这种故障?
安全性取决于一种机制的结构具有单故障点。
运行桥头堡主机的软件存在错误。
应用程序存在错误。
控制路由器的软件存在错误。
使用所有这些组件建造设计安全的网络,并以冗余的方式使用它们才有意义。
如果你的防火墙结构是屏蔽子网,那么,你有两台包过滤路由器和一台桥头堡主机。
(参见本节的问题2)Internet访问路由器不允许传输流从Internet进入你的专用网络。
然而,如果你不在桥头堡主机以及(或)阻塞(choke)路由器上与其它任何机制一道执行这个规则(rule)的话,那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。
另一方面,如果你在桥头堡主机上具有冗余规则,并在阻塞路由器上也有冗余规则,那么攻击者必须对付三种机制。
此外,如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话,你可能需要让它触发某种报警,因为你知道有人进入了你的访问路由器。
5.防火墙的基本类型是什么?
在概念上,有两种类型的防火墙:
1、网络级防火墙
2、应用级防火墙
这两种类型的差异并不像你想像得那样大,最新的技术模糊了两者之间的区别,使哪个“更好”或“更坏”不再那么明显。
同以往一样,你需要谨慎选择满足你需要的防火墙类型。
网络级防火墙一般根据源、目的地址做出决策,输入单个的IP包。
一台简单的路由器是“传统的”网络级防火墙,因为它不能做出复杂的决策,不能判断出一个包的实际含意或包的实际出处。
现代网络级防火墙已变得越来越复杂,可以保持流经它的接入状态、一些数据流的内容等等有关信息。
许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过,因此要使用这样的防火墙通常需要分配有效的IP地址块。
网络级防火墙一般速度都很快,对用户很透明。
应用级防火墙一般是运行代理服务器的主机,它不允许传输流在网络之间直接传输,并对通过它的传输流进行记录和审计。
由于代理应用程序是运行在防火墙上的软件部件,因此它处于实施记录和访问控制的理想位置。
应用级防火墙可以被用作网络地址翻译器,因为传输流通过有效地屏蔽掉起始接入原址的应用程序后,从一“面”进来,从另一面出去。
在某些情况下,设置了应用级防火墙后,可能会对性能造成影响,会使防火墙不太透明。
早期的应用级防火墙,如那些利用TIS防火墙工具包构造的防火墙,对于最终用户不很透明,并需要对用户进行培训。
应用级防火墙一般会提供更详尽的审计报告,比网络级防火墙实施更保守的安全模型。
防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。
网络级防火墙可能对流经它们的信息越来越“了解”(aware),而应用级防火墙可能将变得更加“低级”和透明。
最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。
越来越多的防火墙(网络和应用层)中都包含了加密机制,使它们可以在Internet上保护流经它们之间的传输流。
具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用,这些机构可以将Internet作为“专用骨干网”,无需担心自己的数据或口令被偷看。
1.4专题设计要求
该实训要求对网络安全的知识有一定基础,通过资料查阅和学习,了解网络安全攻击与防御实例。
通过在实验室的实践,能够独立承担实训任务;内容翔实,符合实训的要求;进行攻击和防御的步骤要分明;安全配置的过程要详细;严格按照说明书格式要求格式化。
第2章专题的设计内容
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正逐渐地得到普及和广泛。
随着应用层次的不断深入,应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展,比较典型的如政府部门业务系统、金融业务系统、教育科研系统等。
与此同时,这股强劲的Internet旋风也以惊人的速度渗透到银行、证券等金融行业的各个方面。
各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。
为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。
而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,网络的建设为银行业的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。
目前银行主要应用有:
储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。
但是我们应该意识到事务的两面性,随着应用的不断增加,网络安全风险也会不断暴露出来。
原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失。
而且由于银行属于商业系统,都有一些各自的商业机密信息,如果这些机密信息在网上传输过程中泄密,其造成的损失将是不可估量的。
所以金融业网络安全方案的解决不容忽视。
冰盾信息安全技术可以通过以上对银行网络系统应用与安全风险分析,提出防范网络安全危险的安全需求:
1)采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。
2)采用加密设备应用加密、认证技术防范信息在网络传输过程中被非法窃取,而造成信息的泄露,并通过认证技术保证数据的完整性、真实性、可靠性。
3)采用安全检测技术来实时检查进出网络的数据流,动态防范各种来自内外网络的恶意攻击。
4)采用网络安全评估系统定期或不定期对网络系统或操作系统进行安全性扫描,评估网络系统及操作系统的安全等级,并分析提出补救措施。
5)采用防病毒产品及技术实时监测进入网络或主机的数据,防范病毒对网络或主机的侵害。
6)采用网络备份与恢复系统,实现数据库的安全存储及灾难复。
7)构建CA认证中心,来保证加密密钥的安全分发及安全管理。
8)应用安全平台的开发,针对银行特殊的应用进行特定的应用开发。
9)必须制定完善安全管理制度,并通过培训等手段来增强员工的安全防范技术及防范意识。
随着互联网技术和信息技术的飞速发展,网络安全风险系数不断提高,曾经作为最主要网络安全防范手段的防火墙,已经不能满足人们对网络安全的需求。
作为对防火墙有益补充的入侵检测系统(IDS),能够帮助网络快速发现网络攻击的发生,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
IDS被认为是防火墙之后的第二道安全闸门,它能在不影响网络性能的情况下对网络进行监听,从而提供对网络攻击和网络入侵的实时保护。
攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等。
攻击和入侵事件给这些机构和企业带来了巨大的经济损失,甚至直接威胁到国家的安全。
攻击者为什么能够对网络进行攻击和入侵呢?
原因在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置,主要表现在操作系统、协议、应用程序、网络设备等几个方面。
攻击者常用的入侵方法如下:
(1)利用系统的内部缺陷和漏洞
对于口令字的攻击:
口令字是一般安全系统所采取的最简单的安全措施。
许多攻击行为从突破口令字入手,有的采用程序强力攻击的办法登录到远程网络,或采用口令字典进行猜测的办法,发现设置十分简单的口令字从而进入到系统。
据美国国防部对1995年入侵行为统计表明,有约250000次攻击是由于通过破解口令字造成的。
系统中协议的脆弱性:
在网络运行的许多协议中,有一些协议存在着安全漏洞。
如ICMP,这种协议很容易被拒绝服务攻击所利用。
Ping是ICMP中常用的命令之一,它的连接请求可以被攻击者利用,发出许多无效的连接请求,可以造成经由的中间主机和被攻击的主机或系统崩溃。
IMAP是网络上另一种常见协议,攻击者可以通过IMAP和POP3取得UNIX系统下的根目录权限,执行各种命令,获取敏感信息和超级用户的权限。
TCP/IP握手协商协议也可以被拒绝服务攻击所利用。
缓冲区溢出:
这是对系统危害较大的攻击手段,在许多系统中,应用程序和缓冲区都不检查数据的特性,它允许接受任意长的数据,这可能造成系统的堆栈或缓冲区溢出,造成系统瘫痪。
IDS的出现,缓解了以上的网络安全问题。
设置硬件防火墙,可以提高网络的通过能力并阻挡一般性的攻击行为;而采用IDS入侵检测系统,则可以对越过防火墙的攻击行为以及来自网络内部的违规操作进行监测和响应。
在本质上,入侵检测系统是一个典型的“窥探设备”,它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需在网络上收集所关心的报文即可。
入侵检测模型如图1所示。
图1 入侵检测模型
目前,IDS分析及检测一般通过以下几种技术手段进行分析:
特征库匹配、基于统计分析和完整性分析。
其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
特征库匹配(也叫特征检测)就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
该方法的优点是只需收集相关的数据集合,显著减少系统负担,检测准确率和效率都相当高;但弱点是需要不断升级以对付不断出现的黑客攻击手法。
统计分析(也叫异常检测)首先给信息对象(如用户、连接、文件等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网络、系统的行为进行比较,观察值在正常偏差之外时,就认为有入侵发生。
例如一个在晚九点至早五点不登录的账户却在凌晨两点试图登录,或者针对某一特定站点的数据流量异常增大等。
其优点是可检测到未知的入侵和更为复杂的入侵;缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。
完整性分析利用强有力的加密机制,能识别极其微小的变化。
其优点能够发现文件或其他对象的任何改变;缺点是一般以批处理方式实现,不用于实时响应。
根据数据来源的不同,入侵检测系统常被分为基于主机的入侵检测系统和基于网络的入侵检测系统。
HIDS的数据源来自主机,如日志文件、审计记录等;而NIDS的数据源是网络数据流。
HIDS的检测范围很小,只限于1台主机内;而NIDS的检测范围是整个网段。
根据网络威胁原理(离被防护信息点越近,保护的作用就越有效),HIDS从空间满足了网络安全的先决条件;同时由于监听的是用户的整个访问行为,HIDS可以有效利用操作系统本身提供的功能,准确快速报告攻击行为。
但由于HIDS安装在被保护主机上,故所占用的资源不能太多,从而限制了所采用的检测方法及处理性能,安全性也受其所在主机的操作系统的安全性限制。
NIDS最大的特点在于不需要改变服务器等主机的配置,不会影响这些机器的CPU、I/O)等资源的使用,也不会影响业务系统的性能。
因此,部署一个NIDS,比HIDS的风险与成本相对较低。
但由于NIDS保护的主机和操作系统不尽相同,入侵者可利用不同系统的差异来进行信息收集或进行攻击。
网络攻击手段正在不断多样化,简单地采用多种孤立的基于单层次体系结构的安全手段已不能满足需求。
在这种情况下,提出构建全面的安全防御系统,即利用复杂系统和安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。
把网络结构、加密认证、防火墙、病毒防护、入侵检测等单一的安全措施有机地结合起来,形成一套整体功能远远大于局部系统的安全系统。
图1是我们在学习和实践中,根据实际需要,建立的全面安全防御系统模型。
2.1背景描述
随着互联网技术的迅速发展,网络攻击和入侵事件与日俱增,入侵检测系统被认为是防火墙之后的第二道网络安全闸门,本文介绍了网络攻击和入侵以及IDS的技术特点,重点阐述了如何在网络中部署IDS,并分析了IDS的存在的缺陷,最后探讨了IDS的未来发展趋势。
入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作,他首次提出了“威胁”等术语,这里所指的“威胁”与入侵的含义基本相同,将入侵尝试或威胁定义为:
潜在的、有预谋的、XX的访问企图,致使系统不可靠或无法使用。
1987年DorothyE.Denning首次给出一个入侵检测的抽象模型,并将入侵检测作为一个新的安全防御措施提出。
在过去的20年里,网络技术在不断发展,攻击者攻击能力在不断提高,攻击工具与攻击手法日趋复杂多样,特别是以黑客为代表的攻击者对网络的威胁日益突出,他们不遗余力地与网络安全进行着斗争。
攻击技术和手段的不断发展,也促使IDS从一个简单单一的产品发展成为一种网络安全防护的重要手段。
由于信息技术的发展,银行业逐渐实现了业务和办公的自动化和电子化。
储蓄、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等,ATM机(自动提款机)、POS机(销售终端机)、CRS(现金循环设备)、CDM(自动存款机)、FEM(外币兑换机)、电话银行、自助银行、网络银行等广泛运用,在提高银行业务的处理能力、方便用户的同时,也对银行业网络安全防护系统提出了更高的要求。
另外,近年来越来越多见诸报端的信用卡用户资料失窃案、银行网页被非法仿冒以及网络钓鱼事件,使得金融信息安全一时间成为各大银行工作的重点和焦点。
2.2软件安装与工具使用
冰盾DDoS防火墙2010V9.7Build安装:
一、安装准备工作
1、Windows2000、WindowsXP或Windows2003操作系统。
2、冰盾安装光盘。
二、安装步骤
1、下载安装软件:
2、运行安装程序bdfwsetup.exe。
3、安装欢迎画面。
如图2.21所示:
图2.21
4点击Next按钮进入安装目录画面。
如图2.22所示:
图2.22
5、点击Next进入程序组画面。
如图2.23所示:
图2.23
6、点击Next进入桌面图标选择画面。
如图2.24所示:
图2.24
7、点击Next进入安装配置确认画面。
如图2.25所示:
图2.25
8、点击Install即进行安装过程并可看到安装完成画面。
如图2.26所示
图2.26
三、安装完成
1、冰盾安装完毕后会在桌面建立“冰盾防火墙”快捷图标。
2、点击桌面的“冰盾防火墙”的快捷图标即启动冰盾,有时可能需要重新启动系统才行。
冰盾DDoS防火墙2010V9.7Build使用过程:
DDOS监控情况:
端口过滤情况:
可以设置Ip黑白名单:
2.3结果显示
第3章设计总结
这次完成这个银行办公局域网办公防御方案实训,从开始的设计构想,一直到之后的完成实现,前前后后也花了差不多半个多月的时间,从网上、书中搜集资料,然后开始正式制作这个,在制作的过程中,也碰到了很多这样那样的困难,有很多困难,通过同学,老师的帮助,还有自己的努力,总算还是克服了过去,但是还是有本来想要做到的功能没有完成的,这方面,我觉得还是有所不足的。
本次实习使我再度意识到一个网络的安全,对于一个网络的重要性。
它合理方便的给学校提供了最大的方便。
通过对系统的分析设计,使我把在书本上学到的理论与实践相结合,大大提高巩固了之前所学习的内容。
但银行办公局域网办公防御方案在设计过程中不可避免地遇到了各种各样的问题,因为本人水平有限,并没有完全地理解防火墙的强大功能,因此方案还存在着许多不足之处。
受开发条件和开发时间的限制,由于精力有限,所以此程序只做出了,程序的最基本功能,如果应用到实际生活中,要根据具体的学校情况,添加不同的模块。
光阴似箭,转眼3年的大学就要结束了。
在这次设计中,我得到了许多老师的真诚教诲和同学们的热情帮助,在此我向给予我帮助的老师和同学表示最衷心的感谢!
有你们的帮助和支持才会让我完成这次设计,并将走的更远,更好。
在学习中老师严谨的治学态度、丰富渊博的知识、敏锐的学术思维、精益求精的工作态度以及诲人不倦的师者风范是我终生学习的楷模,指导老师高深精湛的造诣与严谨求实的治学精神,将永远激励着我。
其次要感谢学校图书馆为我提供查找资料的场所,最后还特别感谢我的家人,他们的关爱让我能够拥有舒适的环境和充足的条件。
参考文献
1马在强计算机网络安全实用技术重庆西南师范大学出版社2006.11
2.胡庆龙、文益民网络管理域维护清华大学出版社2007.9
3许治坤,王伟,郭添森,等.网络渗透技术·电子工业出版社2005.5.
4刘文清.计算机网络技术基础[M].北京·中国电力出版社,2005.
5凌捷、肖鹏、何东风,“防火墙本身的安全问题浅析[J]”2004.2.
6李家春,李之棠.入侵检测系统.计算机应用研究2001.12.
7陈波.计算机系统安全原理与技术[M].机械工业出版社,2006.1.
8阎慧,土伟.防火墙原理与技术[M].北京·机械工业出版,2004.
9袁家政.计算机网络安全与应用技术[M].北京·清华大学出版社2002.
10陈爱民.计算机的安全与保密[M].北京·电子工业出版社,2002.
11殷伟.计算机安全与病毒防治[M].合肥·安徽科学技术出版社,2004.
12卢开澄.计算机系统安全.重庆出版社编著,2006.
13朱文余.计算机密码应用基础.科学出版社等编著,2005.
14周学毛.网络规划建设与管理维护[M].北京·电子工业出版社,2005.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 课程设计