实验楼安全防范策略防火墙篇.docx
- 文档编号:28758303
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:15
- 大小:140.66KB
实验楼安全防范策略防火墙篇.docx
《实验楼安全防范策略防火墙篇.docx》由会员分享,可在线阅读,更多相关《实验楼安全防范策略防火墙篇.docx(15页珍藏版)》请在冰豆网上搜索。
实验楼安全防范策略防火墙篇
实验楼
安全防范策略
—防火墙篇
班级:
计算机通信A0901
学号:
0903********
姓名:
杨英
指导老师:
杨在华
目录
第一章系统背景3
1.1客户端3
1.2网络安全需求4
第二章词语注释5
2.1黑客组织5
2.1.1黑客5
2.1.2骇客5
2.1.3快客5
2.1.4武士5
2.1.5幼虫5
2.2局域网.........................................................................5
2.3虚拟局域网(VLAN)........................................................5
2.4服务质量证............................................................................6
2.5DMZ非区.............................................................................6
第三章现有网络运行情况7
第四章现有网络中存在的各种问题8
4.1应用程序和操作系统攻击9
4.1.1基于堆栈的缓冲区溢出攻击9
4.1.2口令攻击9
4.1.3Web应用程序攻击9
4.2网络攻击9
4.2.1嗅探9
4.2.2电子欺骗9
4.2.3会话劫持9
4.3拒绝服务攻击9
4.3.1资源缺乏9
4.3.2宽带消耗10
4.4恶意软件10
4.4.1病毒10
4.5评估漏洞10
第五章安全措施11
5.1防火墙防御什么11
5.1.1对网络存取和访问进行监控审计11
5.1.2防止内部信息的外泄11
5.2防火墙安全措施防御12
5.3图释13
第六章资金预算14
第1章系统背景
1.1客户端
某实验楼共有四个网络教室,其余为教师教学机,每个教室还有一个管理机,每个教网络教室有45台计算机,一个交换机,若干网络布线工具。
该学校大概有一万人左右,每周轮流排课到实验楼上计算机课、网络课等等。
1.2网络安全需求
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。
安全运营中心(SecurityOperationCenter)是针对传统管理方式的一种重大变革。
它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出
全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。
总体来说SOC的根本模型就是PDR模型,而SOC系统就是实现其中的D(Detection,检测)和R(Response,响应)。
SOC的需求主要是从以下几个方面得到体现:
大系统的管理。
通常安全系统是分别独立逐步的建立起来的,比如防病毒系统、防火墙系统、入侵检测系统等,各个系统都有单独的管理员或者管理控制台。
这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件报警,这些分散独立的安全事件信息难以形成全局的风险观点,导致了安全策略和配置难于统一协调。
这种对于大规模系统的安全管理也正是SOC的需求根源,就是说只有大系统、拥有复杂应用的系统才有SOC的需求。
海量信息数据随着安全系统建设越来越大,除了需要协调各个安全系统之间的问题之外,由于安全相关的数据量越来越大,有些关键的安全信息和告警事件常常被低价值或无价值的告警信息所淹没,一些全局性的、影响重大的问题很难被分析和提炼出来。
为了从大量的、孤立的单条事件中准确的发现全局性的、整体的安全威胁行为,需要SOC这样一个平台使得整个安全体系的检测能力更加准确,更加集中于影响重大的焦点问题。
信息安全目标我们知道传统的信息安全有7个属性,即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)、不可否认性(Nonreputiation)、可追究性(Accountability)和可控性/可治理性(Controllability/Governability)。
信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题、事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性。
SOC的出现就是为了确保对全局的掌控,实现全面支撑信息安全管理目标。
全局可控性是信息安全7个属性中最重要的一个,可控性最重要的体现是全局监控、预警能力和应急响应处理能力。
全局预警就是要建立全局性的安全状况收集系统,对于新的安全漏洞和攻击方法的及时了解,针对体系内局部发生的安全入侵等事件进行响应。
我们通常用水桶效应来描述分布式系统的安全性问题,认为整个系统的安全性取决于水桶中最薄弱的一块木条。
SOC就像是这个水桶的箍,有了这个箍,水桶就很难崩溃,即使出现个别的漏洞,也不至于对整个体系造成灾难性的破坏。
SOC充分利用所掌握的空间、时间、知识、能力等资源优势,形成全局性的资源协调体系,为系统的全局可控性提供有力的保障。
网络安全要求基本表现在:
●网络正常运行,在受到攻击的情况下,能够保证网络系统继续运行。
●网络管理/网络资料不被窃取。
●具备先进的入侵检测及跟踪体系。
●提供灵活高效的内外通讯服务。
第2章词语注释
2.1黑客组织
黑客组织不仅仅是因特网上自找麻烦的孤立的个体,事实上,你将惊奇地发现他们是网络一个活跃的黑客组织。
2.1.1黑客
黑客是精通计算机技术的人,并且热衷于发现和解决有挑战性的技巧的问题这种人通常有很好的UNIX和网络知识背景,包括他在上网的经验和入侵其他网络的能力。
2.1.2骇客
黑客组织的另一类给给黑客带来坏名声的人,这一类人北称为骇客,骇客完全以破坏的目的而入侵计算机和网络。
2.1.3快客黑客
黑客组织的另一类给给黑客带来坏名声的人,这一类人北称为骇客,骇客完全以破坏的目的而入侵计算机和网络。
2.1.3快客
快客本质上与黑客相似,但不拥有黑客的技术,他们没有复杂的技术和实力入侵系统。
2.1.4武士
拥有精湛技艺并将这种技艺合法出租给公司和其他组织的黑客,他们因试图入侵公司的网络而获得报酬。
禁止以非法手段滥用他们的技术和方法。
2.1.5幼虫
刚刚出道的黑客,他们对很多技术缺乏实战经验。
2.2局域网
局域网(localareanetwork):
简称LAN,一种覆盖一座或几座大楼、一个校园或者一个厂区等地理区域的小范围的计算机网,进行数据通信或资源共享的计算机网络。
局域网连接非常灵活,两台计算机就可以连成一个对等的局域网。
2.3虚拟局域网(VLAN)
它是一种将局域网设备从逻辑上划分网段的技术。
VLAN在交换局域网的基础上,采用网络管理软件构建可跨越不同网段、不同网络的端到端的逻辑网络。
2.4防火墙
防火墙(Firewall)指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障是一种获取安全性的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用关4个部分组成。
2.5服务质量保证
QOS(QualityofService)服务质量,是网络的一种安全机制,是用来解决网络延迟阻塞等问题的一种技术。
在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QOS,比如Web应该,或E-mail设置等。
但是对关键应用和多媒体应用就十分必要。
当网络过载或拥塞时,QOS能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
2.6DMZ非军事化区
DMZ非军事化区:
为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
吞吐量:
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。
这是测量防火墙性能的重要指标。
第3章现有网络运行情况
现有的实验楼网络拓扑结构
第4章现有网络中存在的各种问题
4.1应用程序和操作系统攻击
应用程序和操作系统攻击包括对正在系统内运行的应用程序执行的攻击或者对驱动操作环境的操作系统执行的攻击。
一旦确定了应用程序或者操作系统,黑客就可以使用不同技术从目标搜集情报。
目标应用程序常常包括FTP服务器、邮件服务器、网络服务器和应用程序服务器。
4.1.1基于堆栈的缓冲区溢出攻击
基于堆栈的缓冲区溢出攻击是高级的熟练黑客用于利用特定系统的一般攻击。
缓冲区溢出攻击需详细了解系统级语言(汇编语言)和操作系统的内部细节。
基于堆栈的缓冲区溢出攻击黑客有三个目标:
◆把堆栈缓冲区作为目标
◆注入攻击代码
◆修改编写的地址
4.1.2口令攻击
口令攻击发生在系统内部存在的用户账户上。
4.1.3Web应用程序攻击
Internet是Web服务器的公共位置,它将Web页面传递到Web用户。
HTTP(超文本船底协议)是Web客户和Web服务器之间的典型通信协议。
Web服务器为请求的客户提供HTML页面。
一些常见的Web应用程序攻击包括:
v修改或破坏Web站点
v窃取敏感客户信息
vDos(拒绝服务)攻击
黑客利用这类Web应用程序框架内的常见安全漏洞,其中一些漏洞:
✧隐秘窗体字段。
隐秘窗体字段包含诸如口令和会话等敏感信息。
黑客通过处理隐秘窗体字段的值并且发送代用内容,可以访问有关服务器应用程序的敏感信息。
✧后门。
为了调试Web应用程序,故意使后门入口保持开放。
如果黑客偶然发现了这样一个后门,黑客就会完全利用它直接控制和修改程序。
✧已知的安全漏洞和服务器误配置
✧窃取Cookie。
窃取Cookie是黑客可以获取用户账户的另一种方法。
✧参数操作。
这些参数可能包括在服务器端产生特殊事件的控制代码,黑客可以获得这类控制代码列表,并且手工操作HTTP请求参数。
✧缓冲区溢出。
黑客还可以利用Web应用程序上的缓冲区溢出,因为当给Web应用程序发送大量输入时,服务器通常会崩溃。
4.2网络攻击
4.2.1嗅探
嗅探是黑客闯入一个相对容易的网络组件以偷听网络通信的过程。
黑客可以通过嗅探网络获取一些信息包括:
●账户信息
●账户口令
●低层协议信息
4.2.2电子欺骗
电子欺骗是黑客假冒或者使用假冒攻击方法控制一个网络的过程。
a.硬地址欺骗
b.IP欺骗
黑客将发送方的IP地址修改为另一个不同地址,这样接收系统认为数据包来自网络中一个合法系统过程。
4.2.3会话劫持
与嗅探网络相同概念
4.3拒绝服务攻击
Dos攻击完全破坏了一个系统,使它无法执行。
Dos攻击通常是一个恶意攻击,它是由一个对破坏通信、会话、事务处理或网络上,其他任何一类商业活动感兴趣的故意破坏者执行的。
4.3.1资源缺乏
资源缺乏是黑客消耗受害主机的系统资源,从而阻止受害者提供任何服务的Dos攻击,这类攻击被消耗的系统的系统资源:
●CPU
●内存
●硬盘空间
4.3.2宽带消耗
宽带消耗是另一种Dos攻击,是用大量数据拥塞网络,从而消耗完所有带宽。
4.3.3路由攻击
4.4恶意软件
4.4.1病毒
病毒是黑客故意编写以影响受害者软件程序。
病毒的一般目的是使受害者系统崩溃、从消耗新系统资源或者将敏感信息发送给黑客。
●特洛伊木马
特洛伊木马是受害者系统受到感染,从而造成损害的软件程序。
●蠕虫
蠕虫在理想介质上复制自己的软件程序。
●后门
后门是一个编写用于感染受害者系统,并且为黑客打开密门的计算机程序。
4.5评估漏洞
漏洞是系统的内部的弱点,一个系统的漏洞越多,那么对这个系统的成功攻击的风险就越高。
由于这些原因系统会存在有漏洞:
●内部组件质量低
●内部组件设计欠佳
●组件误配置
第5章安全措施
一些防火墙只允许电子邮件通过,因而保护了网络免受除电子邮件服务攻击之外的任何攻击。
一般来说,防火墙在配置上是防止来自“外部”世界XX的交互式登陆的。
5.1防火墙防御什么
5.1.1对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
5.1.2防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。
通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。
不仅省去了专用通信线路,而且为信息共享提供了技术保障。
5.2防火墙安全措施防御
路由器
DMZ
交换机
服务器
防火墙
客户端
5.3图释
防火墙对内网的主机提供一定的保护功能,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
第6章资金预算
序号
设备名称
数量
单价
预计金额
1
计算机一
(实验室1)
45
1000
45000
2
计算机二
(实验室2)
45
1000
45000
3
计算机三
(实验室3)
45
1000
45000
4
计算机四
(实验室4)
45
1000
45000
5
交换机
4
1300
5200
6
路由器
1
7000
7000
7
服务器
2
2200
4400
8
局域网布线工程
1
46454
46454
9
防火墙
AmarantenAS-F500Ltd-4-100MV4-A
1
24000
24000
共计
2.工程费:
(7000+2200+24000+46454)*30%=2.3万
3.资金预算:
20万
4.工程周期:
一个星期
阿姆瑞特防火墙的产品介绍:
设备类型:
安全网关
网络吞吐:
100
并发连接:
8000(可升级50000)
用户数限:
无用户数限制
网络端口:
4×10/100Base-TX+6xSW
VPN支持:
支持
处理器:
采用多核+ASIC
阿姆瑞特防火墙通过定义管道的方式提供CoS/QoS功能,并且管道没有数量的限制,可以基于IP、协议、接口、组信息、VLAN信息、VPN连接等信息进行带宽管理。
并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量。
阿姆瑞特防火墙的六大特
(1)在不修改任何客户端IP地址设置的前提下,校园网用户能正常工作。
(2)防火墙能够支持OSPF协议。
(3)外部用户要访问校园网的Web、FTP、Mail、DNS等其他服务器,防火墙能够提供安全防护功能。
(4)对校内使用私网地址的用户提供NAT功能,同时满足因网络中私网地址众多使得位于网络出口的设备要有较强性能的需求。
(5)尽可能地节约校园网调整、改造的投资。
(6)由于可以经由P2P软件获得大量应用资源,所以也不适于简单地对这类软件进行封杀。
阿姆瑞特采用带宽管理的方式,使之能够正常使用,而又不会无限制地占用带宽,从而保障学校正常的教学、科研工作。
参考文献
1)雷震甲.计算机网络管理.西安电子科技大学出版社,2006
2)张永平.计算机系统安全技术.北京:
高等教育出版社,2003
3)谢希仁.计算机网络.大连:
大连理工大学出版社,2004
4)JerryLeeFord著,段云所王召唐立勇陈钟译.个人防火墙.人民出版社,2002
5)V.V.Preetham著,冉小雯译.Internet安全与防火墙.清华大学出版社
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 安全 防范 策略 防火墙
![提示](https://static.bdocx.com/images/bang_tan.gif)