网络安全设计毕业论文Word格式.doc
- 文档编号:6975466
- 上传时间:2023-05-07
- 格式:DOC
- 页数:13
- 大小:72.50KB
网络安全设计毕业论文Word格式.doc
《网络安全设计毕业论文Word格式.doc》由会员分享,可在线阅读,更多相关《网络安全设计毕业论文Word格式.doc(13页珍藏版)》请在冰点文库上搜索。
1.3.1网络分段.........................................4
1.3.2以交换式集线器代替共享式集线器.......................4
1.3.3VLAN的划分.........................................4
第二章局域网病毒防治.........................................5
2.1三大新威胁.........................................5
2.1.1Spyware(间谍软件).........................................5
2.1.2Adware(广告软件).........................................5
2.1.3Phishing(网络钓鱼软件,又称电子黑饵).......................5
2.2害人四大新趋势.........................................5
2.2.1盗取个人资料.........................................6
2.2.2“僵尸”入侵.........................................6
2.2.3Adware、Spyware偷袭.........................................6
2.2.4垃圾邮件改头换面.........................................6
2.3只防病毒不安全.........................................6
第三章防火墙与路由器.........................................7
3.1防火墙与路由器的区别.........................................7
3.1.1两种设备产生的根源不同.........................................7
3.1.2根本目的不同.........................................8
3.2核心技术的不同.........................................8
3.2.1IP/TCP欺骗.........................................8
3.3安全策略制定的复杂程度不同.........................................8
3.4对性能的影响不同.........................................9
3.5审计功能的强弱差异巨大.........................................9
3.6防范攻击的能力不同.........................................10
第四章防火墙的作用.........................................10
第五章
网络使用人员的安全培训.........................................11
第六章结束语.........................................12
参考文献.........................................12
致谢.........................................13
前言
近年来各种网络安全问题接踵而至:
计算机病毒、操作系统漏洞、黑客攻击等屡见不鲜,如何使信息网络系统不受黑客和病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设局域网网络安全过程中所必须考虑的重要事情之一。
本文依据自己在信息安全领域的经验,从安全角度出发,并结合自己知识向局域网安全控制与病毒防治作出研究。
第一章局域网安全
1.1局域网安全现状
广域网络已有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。
相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。
未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。
目前,局域网络安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
1.2局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。
由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。
局域网的网络安全威胁通常有以下几类:
(1)欺骗性的软件使数据安全性降低;
(2)计算机病毒及恶意代码的威胁;
(3)服务器区域没有进行独立防护;
(4)IP地址冲突;
(5)局域网用户安全意识不强;
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
1.3局域网安全解决办法
当前,保证局域网安全的解决办法有以下几种:
1.3.1网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
例如:
普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
1.3.2以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。
一种很危险的情况是:
用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
当然,交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)。
所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
1.3.3VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:
基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。
基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。
各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
目前,大多数的交换机(包括普遍采用的DECMultiSwitch900)都支持RIP和OSPF这两种国际标准的路由协议。
如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。
当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。
因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPortAnalyzer)功能的交换机。
这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。
第二章局域网病毒防治
上网的人中,很少有谁没被病毒侵害过。
但在大多数人将注意力放在对付病毒上时,要想保证上网安全,必须对以下这三种威胁同时设防。
第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;
第二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁;
第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。
2.1三大新威胁
2.1.1Spyware(间谍软件):
主要是用作偷取用户个人资料的恶意程序,如用户使用网上银行、网上购物等电子商务应用时,如果没有相关的防御措施与意识,那么用户的网银账号和密码就很容易被窃取。
2.1.2Adware(广告软件):
是一种软件,一般表现为用户点击网站后就一连出现好多叠加着的网页,非常不好关。
它通常都跟某些工具软件绑在一起,当你安装这些软件后,也就跟着进入你的电脑了。
它不但占用系统资源,还常常连着一些色情网站。
除强行向用户做广告外,更会刺探用户的个人隐私资料,例如姓名、邮箱、银行资料、电话、地址等,因此隐藏着不小的危害性,需要尽快清除。
2.1.3Phishing(网络钓鱼软件,又称电子黑饵):
是fishing和phone的缩写。
是指盗取他人个人资料、银行及财务账户资料的网络相关诱骗行为,可分为诱骗式及技术式两种。
诱骗式是利用特制的电邮,引导收件人连接到特制的网页,这些网页通常会伪装成真正的银行或理财网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等;
技术性的Phishing则是将程序安装到受害者的电脑中,直接盗取个人资料或使用木马程序、按键记录程序等。
2.2害人四大新趋势
总体来说,以前的黑客攻击和犯罪的目的性不很明确,他们大多出于好奇、出风头的目的。
而现在多是有组织、有目的的经济犯罪。
据我们分析,黑客的攻击大致有如下四大趋势:
2.2.1盗取个人资料
近年来利用Phishing攻击的犯罪增长非常快,主要出现在电子商务应用中。
黑客假借银行之名给银行用户发电子邮件,提示银行系统升级要求用户重新注册,用户一旦轻信进行注册,银行账号即落入黑客掌中,与此伴随的将是你的银行存款不翼而飞。
2.2.2“僵尸”入侵
从全球来看,僵尸即机器人(BOT)程序在中国的增长最快,而整个亚太区也居于全球前十名。
BOT类似于木马程序,它执行的是预先没有设置好的程序,通过所有被程序控制的“僵尸”电脑一同对某一目标发起攻击。
这种攻击的危险性最大,因为它不像病毒可以提前监控。
2.2.3Adware、Spyware偷袭
Symantec的技术中心曾在用户送修的笔记本电脑中发现,其已经被植入了多达近百种的Adware或Spyware软件。
它们一般通过小的用户在下载Flash和小游戏时安装,由于它们不像病毒和蠕虫那么敏感,于是得以在不知不觉中入侵你的电脑。
现在一些正规的软件厂商也在应用这些软件来搜集用户的资料。
尽管目前这类软件不见得都有害,但它们搜集的毕竟是你的个人隐私信息。
这也将成为未来防范的重点。
2.2.4垃圾邮件改头换面
从当前来看,垃圾邮件的总量虽然呈下降态势,但其逃避技术却越来越强。
这类邮件中携带着大量的病毒、Phishing、蠕虫、木马及额外的风险。
2.3只防病毒不安全
目前众多网民已不再是简单地上网浏览网页及收发电邮,随着网上银行、网上购物等电子商务应用的出现,来自网上的威胁不仅仅是传统的病毒了。
中国目前已经成黑客首选的攻击目标,每天有3万台PC机处于随时可能被攻击的失控状态。
业内人士指出,未来对电脑及电脑用户造成最大威胁的并不是我们惯常认为的电脑病毒(Virus),而是一些Spyware(间谍软件)、Adware(广告软件)、Phishing(网络钓鱼软件)、Trojan(木马程序)、Worms(蠕虫)。
原因是大部分用户及商业机构对一般的电脑病毒已有一定的防范,譬如安装防毒程序等,再新的病毒也能在短时间内被解决,可是对于Spyware、Trojan及Worms绝大多数网民防范意识较为薄弱。
虽然一般的电脑上也安装了防毒程序,但实际上单一的防毒程序并不能阻挡来自网上的侵袭。
现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件等攻击。
杀毒软件发展了十几年,依然是停留在被动杀毒的层面,而国外的调查表明,当今全球杀毒软件对80%的病毒无法起到识别作用,也就是说,杀毒软件之所以能杀毒,纯粹是根据病毒样本的代码特征来识别他是否是病毒,就如警察抓住一个小偷,这个小偷留着大胡子,于是警察就天天在街上盯着大胡子的人。
这样的杀毒效果可想而知。
同样的道理,杀毒软件对于木马、间谍软件的防范也是基于这种方式。
现在病毒、木马的更新很快,从全球范围内来看,能造成较大损失的病毒木马,大部分都是新出现的,或者是各类变种,由于这些病毒木马的特征并没有被杀毒软件掌握,因此杀毒软件对它们是既不能报警,也无法剿杀。
难道我们就任病毒木马宰割了吗?
当然不!
高手岂能向几个病毒木马低头!
虽然杀毒软件只能干瞪眼,可是我们还有严守大门的防火墙呢!
第三章防火墙与路由器
3.1防火墙与路由器的区别
防火墙为什么就能挡住病毒木马甚至是最新的病毒木马变种呢?
但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?
以下我们针对NetEye防火墙与业界应用最多、最具代表性的Cisco路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
3.1.1两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。
路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:
能否将不同的网段的数据包进行路由从而进行通。
防火墙是产生于人们对于安全性的需求。
数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
3.1.2根本目的不同
路由器的根本目的是:
保持网络和数据的通。
防火墙根本的的目的是:
保证任何非允许的数据包不通。
3.2核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下图是一个最为简单的应用:
企业内网的一台主机,通过路由器对内网提供服务。
为了保证安全性,在路由器上需要配置成:
外-》内只允许clientserver的tcp1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性
3.2.1IP/TCP欺骗
存在上述隐患的原因是,路由器不能监测TCP的状态。
如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。
同时,NetEye防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的Lock-and-Key功能能够通过动态控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全。
3.3安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
3.4对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
中
华考
试网
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
3.5审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器等来完成对日志、事件的存储;
路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;
路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。
审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;
针对这两种存储,NetEye防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;
NetEye防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;
NetEye防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
3.6防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。
第四章防火墙的作用
这就要从防火墙的防御机制说起了。
防火墙是根据连接网络的数据包来进行监控的,也就是说,防火墙就相当于一个严格的门卫,掌管系统的各扇门(端口),它负责对进出的人进行身份核实,每个人都需要得到最高长官的许可才可以出入,而这个最高长官,就是你自己了。
每当有不明的程序想要进入系统,或者连出网络,防火墙都会在第一时间拦截,并检查身份,如果是经过你许可放行的(比如在应用规则设置中你允许了某一个程序连接网络),则防火墙会放行该程序所发出的所有数据包,如果检测到这个程序并没有被许可放行,则自动报警,并发出提示是否允许这个程序放行,这时候就需要你这个“最高统帅”做出判断了。
一般来说,自己没有运行或者不太了解的程序,我们一律阻拦,并通过搜索引擎或者防火墙的提示确认该软件的性质。
写到这里,大家估计对杀毒软件和防火墙的区别有一定了解了,举个直观的例子:
你的系统就好比一座城堡,你是这个城堡的最高统帅,杀毒软件和防火墙是负责安全的警卫,各有分工。
杀毒软件负责对进入城堡的人进行鉴别,如果发现可疑的人物就抓起来(当然,抓错的几率很大,不然就没有这么多误杀误报事件了);
而防火墙则是门卫,对每一个进出城堡的人都进行检查,一旦发现没有出入证的人就向最高统帅确认。
因此,任何木马或者间谍软件,或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码,可是由于防火墙把城门看得死死的,再多的信息也传不出去,从而保护了你的系统安全。
另外,对于黑客攻击,杀毒软件是没有任何办法的,因为黑客的操作不具有任何特征码,杀毒软件自然无法识别,而防火墙则可以把你系统的每个端口都隐藏起来,让黑客找不到入口,自然也就保证了系统的安全。
目前全球范围内防火墙种类繁多,不过从个人经验来说,推荐NETEYE防火墙给大家。
NETEYE防火墙可以有效的防止黑客、木马或者其他恶意程序盗取您的隐私包括:
网上银行、网络游戏、QQ等的帐号和密码。
网络使用人员的安全培训
培养九个好习惯
从技术的角度看网络是没有绝对安全的,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 设计 毕业论文