网络安全方案设计.docx
- 文档编号:27911563
- 上传时间:2023-07-06
- 格式:DOCX
- 页数:10
- 大小:40.57KB
网络安全方案设计.docx
《网络安全方案设计.docx》由会员分享,可在线阅读,更多相关《网络安全方案设计.docx(10页珍藏版)》请在冰豆网上搜索。
网络安全方案设计
网络安全方案设计
——旅游小岛运营设计方案
(2011/2012学年第一学期)
学生系别:
学生班级:
学生姓名:
学生学号:
指导教师:
2011-12-16
第一章安全威胁与需求
1.1威胁来源
1.网络上各种各样的网络病毒。
2.大量用户频繁登录系统及不正确操作对系统产生不可预计危害。
3.由于系统的未知漏洞而产生的信息安全问题。
4.对用户信息安全的保护问题。
5.日渐多样的网络攻击形式。
6.IP、MAC地址的盗用。
1.2安全需求
1.局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现。
2.在连接Internet时,如何在网络层实现安全性。
3.应用系统如何保证安全性、如何防止黑客对网络、主机、服务器等的入侵。
4.如何实现广域网信息传输的安全保密性。
5.加密系统如何布置,包括建立证书管理中心、应用系统集成加密等。
6.如何实现远程访问的安全性。
7.如何评价网络系统的整体安全性。
第二章网络体系
2.1网络体系结构图
体系结构图
2.2拓扑分析
本网络是由客户端与服务器端组成的,客户通过旅行社客户端,与小岛处服务器端通过Internet建立通信,将全球各地的用户信息及其他服务信息通过Internet汇集与主干网络与服务器进行通信。
同时为保证信息及系统安全,在外部信息和内部信息进行交换时需要通过防火墙。
控制中心主要作用是控制系统安全运行,以及在系统出错迅速作出反应以减少所产生损失。
服务器用于对用户信息、系统信息等重要信息的记录和更新等操作保证系统正常运行。
然后通过主干网络于交换机与岛上各个部门建立联系。
第三章网络安全部署
3.1网络部署及说明
网络的安全层次分为:
链路安全、网络安全、信息安全。
网络的安全层次及在相应层次上采取的安全措施见下表:
信息安全
信息传输安全(动态安全)
数据加密
数据完整性鉴别
防抵赖
安全管理
信息存储安全(静态安全)
数据库安全
终端安全
信息的防泄密
信息内容审计
用户
鉴别
授权(CA)
网络安全
访问控制
(防火墙)
网络安全检测
入侵检测
(监控)
IPSEC(IP安全)
审计分析
链路安全
链路加密
1、链路安全
链路安全保护措施主要是链路加密设备,如各种链路加密机。
它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。
加密后的数据不能进行路由交换。
2、网络安全
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。
也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。
利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
入侵检测系统是实时网络违规自动识别和响应系统。
它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。
当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
3、信息安全
我们把信息安全定义为应用层与数据安全。
在这一层次上,主要是应用密码技术解决用户身份鉴别、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。
由于网络的开放性和资源的共享,使得网络上的信息(无论是动态的还是静态的)的使用和修改都是自由的,如非法修改、越权使用、改变信息的流向等。
第四章设备选型
4.1选型要求
1、基本防护体系
用户需求:
全部或部分满足以下各项
•解决内外网络边界安全,防止外部攻击,保护内部网络
•解决内部网安全问题,隔离内部不同网段,建立VLAN
•根据IP地址、协议类型、端口进行过滤
•内外网络采用两套IP地址,需要网络地址转换NAT功能
•支持安全服务器网络SSN
•通过IP地址与MAC地址对应防止IP欺骗
•基于IP地址计费
•基于IP地址的流量统计与限制
•基于IP地址的黑白名单。
•防火墙运行在安全操作系统之上
•防火墙为独立硬件
•防火墙无IP地址
2、标准防护体系
用户需求:
在基本防护体系配置的基础之上,全部或部分满足以下各项
•提供应用代理服务,隔离内外网络
•用户身份鉴别
•权限控制
•基于用户计费
•基于用户的流量统计与控制
•基于WEB的安全管理
•支持VPN及其管理
•支持透明接入
•具有自身保护能力,防范对防火墙的常见攻击
3、强化防护体系
用户需求:
在标准防护体系配置的基础之上,全部或部分满足以下各项
•网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)
•操作系统安全性检测
•网络监控与入侵检测
4.2设备参数
设备名称:
CISCOASA5510-K8
防火墙参数
4.3入侵检测
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。
从技术上,入侵检测分为两类:
一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。
检测主要判别这类特征是否在所收集到的数据中出现。
此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。
基于标志的检测技术的核心是维护一个知识库。
对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。
基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
4.4选取原因
由于该网络面向全球用户,用户量较大,所以要选用的防火墙用户限制必须是比较大的,且性价比高,并发连接数高,价格低廉,重量轻,功能齐全具有入侵检测、安全标准为UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001等。
虽然端口较少3个快速以太网端口,但是也足够使用。
第五章安全设置
5.1网络安全设置
1.禁止动态路由
#touch/etc/notroute
2.不提示telnet信息
#touch/etc/default/telnetd
#echo"BANNER=">/etc/default/telnetd
#chmod444/etc/default/telnetd
3.不提示FTP信息
#touch/etc/default/ftpd
#echo"BANNER=">/etc/default/ftpd
#chmod444/etc/default/ftpd
4.系统日志
在日常维护中,时时检查系统日志是防范攻击的必不可少的步骤。
以下列出常用的日志文件的说明:
文件名称说明
/var/adm/lastlog记载用户最后一次成功登录消息
/var/adm/loginlog记录不良的尝试记录
/var/adm/messages记录输出到系统主控台以及由syslog系统服务程序产生的消息,一般系统管理员在这里查看报警信息和错误信息
/var/adm/utmp记录当前登录的每个用户
/var/adm/utmpx扩展的utmp
/var/adm/wtmp记录每一次用户登录和注销的信息
/var/adm/wtmpx扩展的wtmp
/var/adm/sulog记录使用su指令的情况
/var/cron/log调度日志
5.2系统安全设置
1.取消rlogin/rsh服务
移去/etc/hosts.equiv和/.rhosts以及各home目录下的.rhosts。
2.防止堆栈溢出
至少90%以上的安全问题都是来自所谓的“堆栈溢出”。
攻击者通过给一个以root身份运行的程序提供比它所预期的输入多得多的东西,使被攻击程序无法处理而改变执行流程去执行攻击者指定的代码。
3.系统路径PATH
绝对禁止把当前目录“.”放到PATH中,尤其是放在PATH的第一项。
通过以下命令查看当前PATH:
#echo$PATH
4.文件权限设置
1)保证系统配置文件的所有人是root;
2)修改以下文件权限:
#chmod660/etc/passwd/etc/shadow
#chmod750/etc/security
#chmod660/var/adm/vold.log/var/adm/spellhist/var/adm/messages
#chmod660/var/adm/wtmp/var/adm/wtmpx/var/adm/utmp/var/adm/utmpx
#chmod660/var/log/syslog
5.SUID位
许多setgid和setuid程序都只是由root运行的,或者是由某些特定用户或组运行,那就可以将其setuid位移去,下面是一个Solaris7上setuid程序的列表,如果你的系统中有你所没见过的setuid程序,要小心。
第六章总结
通过本次网络安全设置了解了网络安全需求:
防止IP地址冲突、非法站点访问过滤、非法言论的准确追踪、恶意攻击的实时处理、记录访问日志提供完整审计等要求。
以及网络管理需求:
需要方便的进行用户管理,包括开户、销户、资料修改和查询、需要能够对网络设备进行集中的统一管理、需要对网络故障进行快速高效的处理等。
网络的稳定性要求,整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求。
网络高性能需求,整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻。
通过此次设计对所学知识有了更好的理解,并学会了对其简单的应用。
同时感谢在课程设计过程中同学及老师给予的帮助。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 方案设计