毕业设计企业网络安全设计.docx
- 文档编号:30685861
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:34
- 大小:78.28KB
毕业设计企业网络安全设计.docx
《毕业设计企业网络安全设计.docx》由会员分享,可在线阅读,更多相关《毕业设计企业网络安全设计.docx(34页珍藏版)》请在冰豆网上搜索。
毕业设计企业网络安全设计
本科毕业设计说明书
题目:
企业网络安全设计
院(部):
计算机科学与技术学院
专业:
网络工程
班级:
网络091
姓名:
刘明
学号:
2009111186
指导教师:
于志云
完成日期:
1前言
2校园网络知识简介
3网络安全简述
4校园网络安全策略和安全技术
摘要
随着Internet的迅速普及,各大中专院校及中小学相继建成或正在建设校园网,校园网的建成,使学校实现了管理网络化和教学手段现代化。
这对于提高学校的管理水平和教学质量具有十分重要的意义。
本文针对学校校园网的安全系统的需求,进行了深入的研究与开发,按照“建立的网络安全应该是动态防护体系,是动态加静态的防御;是被动加主动的防御甚至攻击,是管理加技术的完整安全观念。
”,提出了一个能覆盖整个校园网络的全方位、各个层次、多种防御手段的网络安全实现模型,构建了数字校园网的安全系统体系结构,并完成了其中的全部设计。
本安全系统经初步测试和试运行的结果,表明了上述研发成果的有效性和可行性。
关键词:
校园网;网络安全;防火墙
TheLayoutandDesignoftheCampusNetwork
—NetworkSecurity
ABSTRACT
WiththerapidpopularityofInternet,manycampusnetworkshavebeensetuporaregoingtobesetupinmanyuniversities,colleges,middleschoolsandprimaryschools.Thebenefitofwhichisthatnetworkmanagementsandmodernteachingmethodshavebecomepossibleinmanyinstructionalorganizations,whichisalsoveryimportantforthedevelopmentofimprovingschoolmanagementstandardandthatofteachingqualifications
Inthispaper,theschoolcampusnetworksecuritysystemneedstoconductanin-depthresearchanddevelopment,inaccordancewiththe"establishmentofthenetworksecurityprotectionsystemshouldbedynamic,dynamicandstaticdefense;passiveandactivedefenseorattack,istomanageandTechnicalintegrityofthesecurityconcept",putforwardacancovertheentirecampusnetworkinalldirectionsandatvariouslevels,avarietyofdefensivemeanstoachievethenetworksecuritymodel,constructedcampusnetworksecuritysystemarchitecture,andcompletedallofthesedesigns.Thesecuritysystemasapreliminarytestandtheresultsoftrialoperation,theabove-mentionedresearchresultsshowthattheeffectivenessandfeasibility.
Keywords:
campusnetwork,networksecurity,firewalls
1前言
当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。
在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。
随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。
自1995年中国教育教研网(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。
校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。
其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。
在为我们带来巨大经济和社会效益的同时,Internet的负面效应也日益显现出来,那就是Internet的安全性问题。
Internet的复杂性给网络安全保护带来巨大的挑战,政府、企业、教育等行业必须解决如何安全的连接Internet,如何保护重要信息免受病毒、黑客、竞争者和内部不满人员的破坏,如何安全的连接其他组织和分支机构,如何确保仅通过单点认证就能够进行信息访问等问题。
只有构建一个安全的网络平台,政府、企业、教育等行业才能够顺利的开展活动,才具有旺盛的生命力。
从政府、企业、教育的整体安全性考虑,无论是有意的攻击,还是无意的误操作,都将给政府、企业、教育网络带来不可估量的损失,因此部署一个政府、企业、教育范围的整体安全框架比单一的边界防护和Internet防御更加有效和全面。
这种安全框架必须既能保护重要信息资源,也能满足开展网络活动的需要。
通过本毕业设计课题的论述,希望使读者能够了解校园网的建设过程以及所涉及到的各种网络安全技术,并能对今后大家在学习网络技术知识或是进行校园网的工程建设中有所借鉴。
2校园网络知识简介
计算机网络是指通过传输媒体连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。
计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网(LocalAreaNetwork,LAN)、城域网(MetropolitanAreaNetwork,MAN)、广域网(WideAreaNetwork,WAN)。
我们经常用到的因特网(Internet)属于广域网,校园网属局域网。
未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。
2.1局域网简介
局域网是同一建筑、同一校园、方圆几公里远的地域内的专用网络。
局域网通常用来连接公司办公室或企业内部的个人计算机和工作站,以共享软、硬件资源。
美国电气和电子工程师协会(IEEE)局域网标准委员会员会曾提出局域网的一些具体特征:
局域网在通信距离有一定的限制,一般在1到2Km的地域范围内。
比如在一个办公楼内、一个学校等。
较高传输率的物理通信信道也是局域网的一个主要特征,在广域网中用电话线连接的计算机一般也只有20到40Kpbs的速率。
因为连接线路都比较短,中间几乎不会爱任何干扰,所以局域网还具有始终一致的低误码率。
局域网一般是一个单位或部门专用的,所以管理起很方便。
另外局域网的拓扑结构比较简单,所支持连接的计算机数量也是有限的。
组网时也就相对很容易连接。
2.1.1网络的体系结构
网络通常按层或级的方式来组织,每一层都建立在它的下层之上。
不同的网络,层的名字、数量、内容和功能都不尽相同。
但是每一层的目的都是向它的上一层提供服务,这一点是相同的。
层和协议的集合被称为网络体系结构。
作为具体的网络体系结构,当前重要的和使用广泛的网络体结构有OSI体系结构和TCP/IP体系结构。
OSI是开放系统互连基本参考模型OSI/RM(OpenSystemInterconnectionReferenceModel)缩写,它被分成7层,这7个层次分别定义了不同的功能。
几乎所有的网络都是基于这种体系结构的模型进行改进并定义的,这些层次从上到下分别是应用层、表示层、会话层、运输层、网络层,数据链路层和物理层,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。
TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议和互连网协议)缩写,TCP/IP体系结构是当前应用于Internet网络中的体系结构,它是由OSI结构演变来的,它没有表示层,只有应用层、运输层,网际层和网络接口层。
2.1.2网络协议
网络协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送,在校园局域网上用到的协议主要有,ICP/IP协议、IPX/SPX协议等。
(1)TCP/IP协议
TCP/IP协议是目前在网络中应用得最广泛的协议,ICP/IP实际上是一个关于Internet的标准,并随着的Internet广泛应用而风靡全球,它也成为局域网的首选协议。
TCP/IP是一种分层协议,它共被分为个4层次,大约包含近期100个非专有协议,通过这些协议,可以高效和可靠地实现计算机系统之间的互连。
TCP/IP协议中的核心协议有TCP(传输控制协议)、UDP(用户数据报协议)和IP(因特网协议)
TCP协议可以在网络用户启动的软件应用进程之间建立通信会话,并实现数据流量控制和错误检测,这样就可以在不可靠的网络上提供可靠的端到端数据传输。
UDP协议是一种无连接的协议,它在传输数据之前不建立连接,也不提供良好的可靠性和差错检查,只仅仅依赖于校验来保证可靠性。
UDP不进行流量控制,没有序列或者确认,因此它处理和传输数据的速度快,还被用来传输关键的网络状态消息。
IP协议的基本功能是提供数据传输、数据包编址、数据包路由,分段等。
通过IP编址约定,可以成功地将数据通过路由传输到正确的网络或者子网。
每个网络站点具有一个32位的IP地址,它和48位MAC地址一起协作,完成网络通信,IP协议也是一种无连接的协议。
(2)超文本传输协议(HTTP)
HTTP(HyperTextTransferProtocol),超文本传输协议)是WWW浏览器和WWW服务器之间的应用层协议,是用于分布式协作超文本信息系统的、通用的、面向对象的协议,HTTP协议还是基于TCP/IP协议之上的应用层协议。
(3)文件传输协议(FTP)
FTP(FileTransferProtocol,文件传输协议)是由支持Internet文件传输的各种规则所组成的集合。
这些规则能使网络用户把文件从一个主机拷贝到另一个主机上,FTP是采客户/服务器方式服务的。
(4)远程登录协议(Telnet)
远程登录协议的目的是提供一个全面的、双向的、面向8个比特字节的通信工具,其主要目标是提供终端设备与面向进程接口的标准方法,Telnet是应用层的协议,采用客户/服务器模式工作的,Telnet不仅允许用户登录到远端主机上,还允许用执行远端主机的命令,这样用户就能以极小的网络资源代价完成大型的网络应用。
2.1.3常用网络设备
网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立的,每一部分在网络中有着不同的作用,缺一不可,只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统,网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。
(1)网卡
网卡(简称NIC),也网络适配卡或网络接口卡,网卡作为计算机与网络连接的接口,是不可缺少的网络设备之一。
无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现与计算机的连接,是计算机与局域网相互连接的惟一接口。
每块网卡上都有一个世界惟一的ID号,也就是MAC(MediaAccessControl)地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。
网卡有很多种,不同类型的网络需要使用不同种类的网卡,不同速度的网络需求也要使用不同的网卡。
如根据带宽来分的话,有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡;如按总线分,有ISA总线、PCI总线、PCMCIA总线网卡等。
从目前校园网建设的实际情况来看,工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。
(2)交换机
交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。
作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。
由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。
交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。
(3)路由器
路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。
根据路由设备的组成可以分为软路由和硬路由。
根据路由表的设置方式可以将路由器分为静态的和动态的。
路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。
当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。
(4)传输介质
网络要求把各个独立的计算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠,无线介质只是在特殊环境下才使用的传输方式。
常用的有线介质主要有以下几类。
①同轴电缆
同轴电缆以硬铜线为芯,外包一层绝缘材料。
这层绝缘材料用密织的网状导体环绕,网外又覆盖一层保护性材料。
同轴电缆有许多种不同的规格,最常用是细同轴电缆和粗同轴电缆。
细同轴电缆主要用于建筑物内的网络连接,而粗同轴电缆则常用于建筑物间相连。
它们的区别在于粗同轴电缆屏蔽更好,能传输更远的距离。
同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成。
②双绞线
双绞线是综合布线工程中最常用的一种传输介质。
双绞线由两根具有绝缘保护层的铜导线组成。
把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。
目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。
③光纤
光纤是一种直接为50-100um的柔软的、能传导光波的介质,一般由玻璃制造。
光纤分为:
按传输点模数分为单模光纤(SingleModeFiber)和多模光纤(MultiModeFiber)。
单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。
多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,与单模光纤相比,多模光纤的传输性能较差。
2.1.4服务器
校园网中的服务器主有数据库服务器和代理服务器,数据服务器与代理服务器主要是面向校园网内部用户的服务,对来自Internet的用户服务也很多,主要是对校园网内部用户进行Internet代理服务。
目前,绝大多数校园网都要求内部服务用户通过代理访问Internet,这样内部用户就不能直接访问Internet,同时代理服务器保存着内部用户访问Internet的日志,以作为记费的依据。
由于用户数量非常大,也非常集口中,所以在选型代理服务器时,主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性,一般来说都选用大型服务器作为代理服务器。
2.2校园网的安全维护
2.2.1影响校园网络的因素
(1)IP地址盗用问题:
少数没有IP地址的用户,冒用他人的合法IP地址,造成网络内部地址的冲突,阻碍了合法用户的正常使用。
(2)防火墙攻击:
一些用户缺乏相应的常识,有意或无意地对校园网进行各种各样的攻击,严重影响了校园网的正常工作。
(3)网络病毒:
通过网络传播的病毒在传播速度、破坏性、传播范围都比单机病毒危害严重。
病毒发作以后能导致网络系统崩溃,网络瘫痪。
2.2.2校园网的安全维护措施
针对以上影响校园网安全的因素,我们可采取下列措施以保证校园网安全运行。
(1)采用入侵检测系统:
入侵检测技术是为保证计算机系统的安全而设计配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动保护系统安全的目的。
(2)运用过滤平台和防火墙技术:
过滤技术可以屏蔽不良的网站,对网上色情、暴力、和邪教内容有强大的堵截功能。
防火墙技术包含动态的包过滤、应用代理服务器、用户认证、网络地址转换、预警模块、日志及计费分析等功能。
可以有效地将内部网与外部网隔离开,保护校园网络不被未授权的第三方入侵。
(3)运用VLAN技术:
运用VLAN技术加强内部网络管理。
VLAN技术核心是网络分段。
根据不同的应用业务及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问目的。
(4)漏洞扫描系统的设计:
解决网络安全问题,首先要弄清网络中存在哪些安全隐患、脆弱点。
而对大型网络的复杂性和不断变化的情况,寻找一种能查找网络安全漏洞,评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
(5)运用跟踪手段:
黑客攻击事件发生后,尽快恢复系统正常运行,并通过对跟踪记录的分析来找出黑客进入方式,然后弥补相关漏洞,防止再次受到攻击。
校园网的网络安全是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
建设校园网时要本着从实际出发,以应用为目的,综观全局、统筹安排。
同时对建设好的校园网络我们应加强安全防御意识,建立相应的安全防御体系和管理维护制度。
以确保校园网正常安全运行和朝着健康有序方向发展。
2.3校园网的建设思路
校园网的建设是一项非常复杂的系统工程,校园作为一个特殊的网络应用环境,它的建设与使用都有其自身的特点。
在选择局域网的网络技术时要体现开放式、分布式、安全可靠,维护简单的原则。
校园网的建设主要应用局域网技术以及多媒体技术为主的各种网络应用技术。
局域网技术是一项在20世纪70年代发展起来的计算机互联技术,经过多年的发展,技术已经成熟,并得到了广泛的应用,局域网技术成为网络技术的重要组成部分。
计算机多媒体技术是伴随着多媒体信息的应用而得到迅速的计算机应用技术,在网络环境下,多媒体得到了更快更好的应用,使我们得到了更好更多的信息。
校园网是使用了局域网技术以及各种多媒体应用技术,并结合Internet应用等其它的技术来建设。
使得校园网能满足现代教学对信息处理的要求,使计算机的应用能对教学管理现代化起重要的促进作用,能实现信息查寻、教务管理,并与外部网络系统进行交流等多种需要。
2.4校园网的建设原则
校园网建设是一项综合性非常强的系统工程,它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。
因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系,从而使校园网的建设工作健康稳定地开展。
首先,校园网的建设是一个为学校教育教学活动长期服务的工作,因此在校园网的规划建设过程中,必须从学校长远发展规划出发,以服务于教育为基本点,结合学校当前教育教学的实际需要,做出科学的规划部署。
在校园网的规划建设中,一般学校应遵循“统一规划、整体设计、分步实施”的原则。
其次,在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则,在重视硬件建设的同时,加强网络的组织管理水平,不断开发网络的功能,从而充分发挥校园网络的功效,提高校园网对学校教育的服务水平。
下图2.1是一个校园网的基本网络拓扑图:
图2.1校园网的基本网络拓扑图
3网络安全简述
3.1什么是网络安全
国际标准化组织(ISO)对计算机系统安全的定义是:
为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏。
由此,可以将网络安全理解为网络系统的硬件、软件及其系统中的数据受到保护,通过建立网络安全保护措施确保通过网络传输、存储的数据不会发生增加、修改丢失和泄漏等,保证系统连续可靠正常地运行,网络服务不被中断。
概括的说,网络安全可以定义为通过各种计算机、网络、密码技术和信息安全技术、网络控制技术,保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。
3.2信息网络安全的意义
3.2.1保障安全的需要
网络与信息的安全关系到国家的基础设施的安全,因此为保障经济建设顺利进行,在信息网络中必须具有安全设施和安全技术。
由于TCP/IP协议缺乏相应的安全机制,而且互联网最初设计基本没有考虑安全问题,互联网的共享性和开放性,使信息网络的安全存在先天不足。
几乎所有的信息网络在当初建设及其发展过程中,都忽略了最不该忽略的安全性问题,给信息网络的安全埋下了隐患。
黑客们的篡改信息、盗取企业信息、发送垃圾邮件、病毒炸弹等攻击,造成网络瘫痪,甚至无法恢复,损失巨大。
据调查数据显示,垃圾邮件和垃圾短信已经成为信息网上的一大祸害,它在全球造成的经济损失每年超过205亿美元,仅美国在2003年因为垃圾邮件消耗的总费用达到110亿美元。
随着信息网络整体技术的迅速发展,及其与人类生活的关系密不可分,怎样保障信息网络的可靠?
怎样保障网络不受或少受攻击?
因此,网络管理人员必须了解和掌握网管软件的各种协议、技术、特性、配置等相关内容,保障网络安全稳定可靠,显得十分重要。
例如关于信息网络安全的硬件管理、相关软件的管理等等。
3.2.2市场发展的需要
当前人们用手机或用在线计算机向好友发短信是一种时尚,非常方便,受到青睐,我国每天仅手机发送短信数以亿计。
但一些不法之徒利用短信的特殊优势,向手机或在线计算机用户滥发短信,内容格调低下,并以揽财为目的,成为网上一大祸害。
随着人们安全意识和对网络攻击破坏严重性认识的不断提高,以及信息网络管理技术市场的快速发展,市场需求的不断增加,越来越多的信息网络管理技术被开发和应用,使信息网络管理技术的市场发展迅速扩大。
3.2.3技术进步的需要
当前信息网络正向下一代网(NGN)演进,由于NGN以开放性为特征,所以将面临更高层次的安全性挑战。
除了信息网络的安全外,信息安全更是用户所密切关注的。
信息网络功能越强,用户的行踪时刻在网络的掌握之中,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 毕业设计 企业 网络安全 设计
![提示](https://static.bdocx.com/images/bang_tan.gif)