基于安全的企业网络毕业设计说明.docx
- 文档编号:14311867
- 上传时间:2023-06-22
- 格式:DOCX
- 页数:60
- 大小:1.32MB
基于安全的企业网络毕业设计说明.docx
《基于安全的企业网络毕业设计说明.docx》由会员分享,可在线阅读,更多相关《基于安全的企业网络毕业设计说明.docx(60页珍藏版)》请在冰点文库上搜索。
基于安全的企业网络毕业设计说明
毕业设计说明书(论文)
作者:
学号:
院系:
专业:
题目:
指导者:
(姓名)(专业技术职务)
评阅者:
(姓名)(专业技术职务)
年月南
毕业设计说明书(论文)中文摘要
如今,网络接入技术迅猛发展,有线网络已经不能满足企业对灵活、快捷、高效办公的需求。
无线网络不受网线和地理位置的束缚,已然成为当今现代化企业网络的发展趋势。
但是,无线网相对于有线网,比较脆弱,而且企业无线网有异于一般的家庭无线网,它的安全性是需要着重考虑的。
本文介绍了基于安全的中小企业无线网络的组建,利用CiscoPacketTracer模拟软件模拟企业无线网基本的构架和方案。
组建的企业部网络分为三个层次。
核心层,使用三层交换机进行负载均衡和冗余。
汇聚层,依靠访问控制列表(ACL)制订不同部门的通信规则。
接入层,划分虚拟局域网(VLAN)将各部门的计算机分隔开来,通过无线设备将计算机接入网络中。
从功能上将整个网络分为两个部分,一是部网络,所有部门的通信以及对部服务器的访问都通过此网络,不能与外部通信。
另一个则是能访问外网,面向客户的网络。
这样极提高了网数据的安全。
为了提高网络信息安全性,还布设防火墙、外地址转换(NAT)、分部与总部建立虚拟专用网络(VPN)等安全措施。
关键字无线网络信息安全安全措施
毕业设计说明书(论文)外文摘要
TitleWirelessnetworkstructuresbasedonthesafetyofSMEs
Abstract
Today,thenetworkaccesstechnologyrapiddevelopmentofwirednetworkcannotmeetthedemandforflexible,fastandefficientoffice.Wirelessnetworkfromtheshacklesofcableandgeographicallocation,hasbecomethedevelopmenttrendoftoday'smodernenterprisenetworks.However,thewirelessnetworkrelativetothecablenetworkisrelativelyweak,differentfrommosthomewirelessnetworkandthewirelessnetwork,itssecurityistheimportantconsideration.Thisarticledescribestheformationofawirelessnetworkbasedonthesafetyofsmallandmediumenterprises,basedonCiscoPacketTracersimulationsoftwaretosimulatetheenterprisewirelessnetworkarchitectureandprograms.
Theinternalnetworkisdividedintothreelevels.Thecorelayer,usingthethreeswitchesforloadbalancingandredundancy.Convergencelayer,relyingonaccesscontrollist(ACL)tothedevelopmentofdifferentsectorsofcommunicationrules.Accesslayer,dividedintovirtuallocalareanetwork(VLAN)separatedfromthevariousdepartmentsofcomputer,computerwirelessdevicesaccessthenetwork.Theentirenetworkfromthefunctionwillbedividedintotwoparts,oneistheinternalnetwork,allsectorsofcommunications,andtheinternalserveraccessthroughthisnetworkcannotcommunicatewiththeoutside.Theotherisabletoaccesstheexternalnetwork,customer-orientednetwork.Thisgreatlyimprovesthesecurityofdatawithinthenetwork.Inordertoimprovethesecurityofnetworkinformation,butalsolaidthefirewall,internalandexternaladdresstranslation(NAT),segmentsandheadofficetoestablishavirtualprivatenetwork(VPN)andothersecuritymeasures.
KeywordsNetworkSecurity,VLAN,ACL,NAT,VPN
目 录
前言
如今社会信息化发展迅猛,无线网络技术支持已日渐成熟。
随着人们对无线网络的要求和依赖性越来越强、现代企业追求更高的效率和便捷的办公环境,有线网络已经不能满足现代化企业的要求。
由于无线网络不受网线和地点的束缚,组网效率高,接入速度快,成为企业组建网络的首选。
但是企业无线网络,除了便捷和高效之外,安全也是需要着重考虑的。
作为一个企业,应该保证网络数据安全性以及具有抵御黑客和病毒攻击的能力。
在组建无线网络时,保障企业网络安全比其他任何方面都要重要。
无线网络依靠无线电波来传输数据,理论上无线电波围的任何一台设备都可以登录并监听无线网络。
如果企业部网络的安全措施不够严密,则完全有可能被窃听、浏览甚至操作。
为了使授权设备可以访问网络而非法用户无法截取网络信息,无线网络安全就显得至关重要。
其次,无线网络的稳定是也是不容忽视的问题。
不稳定的无线网非但没有体现出它的便捷高效的特点,还影响了企业的正常运转。
为了能够让部的员工在公司任何地方都可以无线上网,使用的无线设备需要有很强的穿透能力和大的信号覆盖围。
即使企业存在很多障碍物,强穿透力依然能保证网络的稳定传输。
企业在组建无线网络时,不应完全放弃有线网络。
而是以有线网络为核心,无线网络为接入层,充分利用有线网络与无线网络的优点,达到扬长避短的目的。
为了保证企业网络的容错率和多样化,在企业部应备有有线网络接口,以供特殊用途。
如视频会议,文件传输等应用对网络的稳定性、数据传输速率和数据安全有较高的要求。
第一章无线网络综述
1.1无线网络标准
无线网络采用802.11规,典型情况下,其传送信号时工作原理与基本的以太网集线器很像:
他们都采用双向通信的形式,为半双工模式。
依靠射频频率(RF),通过天线将无线电波辐射到周围。
802.11协议组是国际电工电子工程学会(IEEE)为无线局域网络制定的标准。
采用2.4GHz和5GHz这两个ISM频段。
常见的802.11标准如下:
1)802.11b
802.11b是应用得最为广泛的无线网络标准,它运行在2.4GHz射频频段,使用直接序列扩频(DSSS)调制技术,最大传输速率为11Mb/s。
另外,也可根据实际情况切换到5.5Mbps、2Mbps和1Mbps带宽,实际的工作速度一般在5Mb/s左右,与普通的10Base-T规格有线局域网几乎是处于同一水平。
作为企业部的设施,可以基本满足使用要求。
IEEE802.11b使用的是开放的2.4GHz频段,既可作为对有线网络的补充,也可独立组网,从而使网络用户摆脱网线的束缚,实现真正意义上的移动应用。
2)802.11g
802.11g在2.4GHz频段使用正交频分复用(OFDM)调制技术,使数据传输速率提高到20Mbit/s以上;能够与802.11b的Wi-Fi系统互联互通,可共存于同一AP的网络里,从而保障了后向兼容性。
这样原有的WLAN系统可以平滑地向高速WLAN过渡,延长了802.11b产品的使用寿命,降低了用户的投资。
3)802.11a
802.11a的传输技术为多载波调制技术。
802.11a标准是众多场合得到广泛应用的802.11b无线联网标准的后续标准。
它工作在5GHzU-NII频带,物理层速率可达54Mb/s,传输层可达25Mbps。
可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,以及TDD/TDMA的空中接口;支持语音、数据、图像业务;一个扇区可接入多个用户,每个用户可带多个用户终端。
1.2企业网络的安全误区
1.2.1防火墙误区
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防极为有效,可以提供网络周边的安全防护。
但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防”,对部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业部。
1.2.2杀毒软件误区
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现,杀毒软件误区有以下几种:
1)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。
网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。
同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
2)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。
所以只要计算机开着,就要防病毒。
3)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
1.2.3网络攻击误区
基于部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在部网络中实施攻击。
所以,加强部网络安全管理,特别是用户管理,如密码、临时、过期和权限等方面的管理非常必要了。
1.3术语及相关缩写解释
●VLAN:
全称VirtualLocalAreaNetwork,虚拟局域网;
●ACL:
全称AccessControlList,访问控制列表;
●IDS:
全称IntrusionDetectionSystem,入侵检测系统;
●NAT:
全称NetworkAddressTranslation,网络地址转换;
●PAT:
全称PortAddressTranslation,即端口地址转换;
●DMZ:
全称DemilitarizedZone,非军事区,停火区,隔离区;
●VPN:
全称VirtualPrivateNetwork,虚拟装用网;
●VTP:
全称VLANTrunkingProtocol,VLAN中继协议。
第二章企业网安全的主要技术
本章主要讲述企业网里使用到的常用的安全技术,并对这些技术进行详细的介绍。
2.1相关设备的概述
在企业网中设备的选型时非常重要的,在本设计中全部选用的是Cisco的产品设备。
因为选用同一厂商设备的好处是兼容性比较好,且能够进行统一管理,使管理更加方便。
2.2企业网应用的主要技术
2.2.1物理安全
物理安全是整个计算机网络系统安全的前提,是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏的过程。
物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。
物理安全在整个计算机网络信息系统安全中占有重要地位。
它主要包括以下几个方面:
机房环境安全、通信线路安全、设备安全,以及电源安全。
物理安全重要性和措施主要涉及以下方面:
1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。
要从以下三个方面考虑:
●自然灾害、物理损坏和设备故障
●电磁辐射、乘机而入、痕迹泄漏等
●操作失误、意外疏漏等
2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。
与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。
3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差围。
机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
2.2.2VLAN技术
随着交换技术的发展也加快了虚拟局域网的应用速度。
虚拟局域网VLAN(VirtualLocalAreaNetwork)是以交换式网络为基础,把网络上用户的终端设备划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN。
VLAN就是一个网络设备或用户的逻辑组,该逻辑组是一个独立的逻辑网络、单一广播域,而这个逻辑组的设定不受实际交换机区段的限制,也不受用户所在的物理位置和物理网段的限制。
在现在的企业网络中都能见到VLAN的身影,VLAN都是一个独立的逻辑网段,一个独立的广播域,VLAN的广播信息只发送给同一个VLAN的成员,其他VLAN的成员是收不到的,这样就减小的广播域的大小,提高了带宽的利用率。
VLAN之间是不能直接通信的必须通过三层路由功能完成,所以在企业网络中可以按部门进行划分VLAN,这个不同的部门之间的互访就受到限制,有效保护了某些敏感部门的敏感信息不被泄露。
VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势:
对网络中的广播风暴的控制,提高网络的整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小。
网络管理的简单、直观。
在企业网络中划分VLAN可以有多种方式:
1)基于端口的VLAN:
基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。
该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。
而不用考虑该端口所连接的设备是什么。
2)基于MAC地址的VLAN:
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。
基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。
在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
3)基于路由的VLAN:
路由协议工作在七层协议的第三层:
网络层,即基于IP和IPX协议的转发。
这类设备包括路由器和路由交换机。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
划分好VLAN后一般是把接入层交换机接入到核心交换机上,由核心交换机负责部网络的路由,如果不采用核心交换机,而是直接通过单臂路由的形式接到网络出口的路由器或者防火墙上,那么会给出口路由器或防火墙带来负担,如果出口路由器或防火墙性能不强的话,很有可能造成瓶颈,这样网络的可用性就会降低。
所以一般是建议采用核心交换机的方式。
2.2.3ACL技术
访问控制列表ACL(AccessControlList)技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。
标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。
ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。
随着局域网部网络资源的增加,一些企业已经开始使用ACL来控制对局域网部资源的访问能力,进而来保障这些资源的安全性。
在企业网中ACL扮演着很重要的角色,在网络中我们可以通过划分VLAN来限制不同VLAN成员的互访,但如果把二层交换机接入路由器或者三层交换机,那么原来不同VLAN是不通的,现在不同VLAN之间也能通信,那么原来通过划分VLAN来使不同VLAN之间不能通信已经行不通了。
在这就要使用ACL来控制了。
使用ACL的好处还有就是可以控制用户对主机或服务器的访问,即对于一台服务器那些用户可以访问而那些用户不能访问。
这样就进一步增加了企业网部的安全。
就我们现在的IP网络来说ACL技术可以分为一下几种:
1)标准IP访问控制列表
一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。
编号围是从1~99以及1300~1999的访问控制列表是标准IP访问控制列表。
一般来说标准的ACL放置在靠近目的的路由器或三层交换机上。
2)扩展IP访问控制列表
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
编号围是从100~199以及2000~2699的访问控制列表是扩展IP访问控制列表。
一般来说扩展的ACL放置在靠近源的路由器或者三层交换机上。
3)命名IP访问控制列表
所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。
本设计中在CiscoCatalyst3640核心交换机上配置扩展的ACL使得其他的部门无法访问财务部门,ACL的应用围很广,在本设计中总部与分布之间建立IPSecVPN是就需要使用ACL来定义感兴趣的流量,只有感兴趣的流量才会进入VPN隧道。
2.2.4NAT技术
到目前为止全球的IPv4的地址已经耗尽,现在的地址缺乏或者说已经没有空余的IPv4的地址了,那么企业网络中有很多主机需要访问Internet,为每一台主机分配一个公网地址那是不可能的事。
所以借助于NAT(NetworkAddressTranslation)技术,私有(保留)地址的"部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。
NAT实现方式有以下三种:
1)静态转换(StaticNat)
将部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对部网络中某些特定设备(如服务器)的访问。
2)动态转换(DynamicNat)
将部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络部的计算机数量时。
可以采用动态转换的方式。
3)端口多路复用(Overload)
改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation).采用端口多路复用方式。
部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
另外,在NAT中经常使用的术语:
1)部局部地址(InsideLocalAddress):
在部网络使用的地址,是私有地址。
2)部全局地址(InsideGlobalAddress):
用来替代一个或多个本地IP地址的、对外的、向NIC注册过的地址。
3)外部局部地址(OutsideLocalAddress):
一个外部主机相对于部网络所用的IP地址、不一定是合法的地址。
4)外部全局地址(OutsideGlobalAddress):
外部网络主机的合法地址。
NAT还可以用于端口映射,在企业网中服务器群一般是放置在DMZ区域中,使用的是私有地址,如果某台服务器要向外网发布服务的时候就需要在网络出口的路由器和防火墙上做端口映射,这样外网用户就可以通过访问企业的公网IP,就能够访问到网的服务器。
2.2.5VPN技术
现在很多企业都有分支机构而且分支机构和总部都在异地,企业网的部网络可以通过各种手段来保证安全,那么总部与分部之间传输的数据怎样才能保证其安全呢。
这里就可以采用VPN(VirtualPrivateNetwork)技术,VPN技术是在公网上建立一个临时的,安全的连接,是一条穿越混乱的公用网络的安全的稳定的隧道。
使用这条隧道可以对数据进行加密达到安全使用互联网的目的。
虚拟专用网是对企业部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的部网建立可信的安全连接,并保证数据的安全传输。
VPN可以通过特殊加密的通讯协议连接到Internet上,在位于不同地方的两个或多个企业部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路,可以节约成本。
VPV按照所使用的隧道协议大致有以下几种:
1)PPTP(PointtoPointProtocol)
PPTP属于OSI第二层隧道协议,该协议会把网络协议的数据包放进IP封包,包装好的封包看起来就像正常的IP封包一样,所有遇到该封包的路由器或机器都会把它视为一个IP封包,以一般正常IP封包的方式来处理它。
PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。
被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。
PPTP的使用比较简单如MicrosoftWindows等操作系统就自带PPTP。
另外,PPTPVPN使用的身份验证有以下几种方法。
(1)PAP口令验证协议是一种
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 安全 企业 网络 毕业设计 说明