网络仿真课程设计-企业网络系统安全需求分析与设计_精品文档文档格式.doc
《网络仿真课程设计-企业网络系统安全需求分析与设计_精品文档文档格式.doc》由会员分享,可在线阅读,更多相关《网络仿真课程设计-企业网络系统安全需求分析与设计_精品文档文档格式.doc(35页珍藏版)》请在冰豆网上搜索。
中
及格
不及格
课程论文中的创造性成果
学生掌握课程内容的程度
课程论文完成情况
课程论文动手能力
文字表达
学习态度
规范要求
课程论文的质量
指导教师对课程论文的评定意见
综合成绩指导教师签字2010年12月15日
课程设计任务书
学院专业
课程名称
网络工程
时间
学生姓名
指导老师
题目
主要内容:
1)了解企业建立网络安全系统的必要性;
2)理解网络安全技术体系;
3)掌握网络安全系统设计的方法。
要求:
(1)掌握网络网络系统安全设计的基本原理;
(2)熟悉网络安全技术体系;
(3)通过实际设计网络安全系统,掌握企业网络系统安全设计的方法与步骤。
(4)按要求编写课程设计报告书,能正确阐述设计结果。
(5)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。
(6)在老师的指导下,要求每个学生独立完成课程设计的全部内容。
应当提交的文件:
①课程设计报告。
②课程设计附件(源程序、各类图纸、实验数据、运行截图等)
学生姓名:
指导老师:
摘要企业通过Internet可以把遍布世界各地的资源互联互享,但因为其开放性,在Internet上传输的信息在安全性上不可避免地会面临很多危险。
当越来越多的企业把自己的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增多。
面临的这些信息安全问题的解决,我们需要设计出相应的解决方案。
本课程设计主要对企业网络系统安全进行网络基础安全、系统安全、应用管理安全及应用对安全系统的要求等方面的需求分析,并确定企业安全系统实现的目标。
最后提出企业网络安全系统实施建议,建议包括系统设计的基本原则,安全系统实施的步骤,防火墙系统实施建议,VPN系统设计方案及防火墙系统集中管理方法也选型设计。
本课程设计对企业网络系统安全既进行了全面的需求分析也设计出了一个符合题目要求的网络安全系统,初步实现了设计目标,达到了预期的效果。
关键词VPN;
网络安全;
防火墙;
需求分析
目录
1 概述 1
1.1 企业建立网络安全系统的必要性 1
1.2 安全建议书的设计原则 1
1.3 安全技术体系分析模型介绍 2
1.4 安全技术体系的理解及实践 3
2 应用需求分析 6
2.1 网络基础层安全需求分析 6
2.2 系统安全需求分析 9
2.3 应用安全管理需求分析 9
2.4 应用对安全系统的要求分析 12
3 安全系统实现目标 13
3.1 网络基础层安全系统建设目标 13
3.2 应用辅助安全系统的建设目标 14
4 网络安全系统的设计 15
4.1 系统设计的基本原则 15
4.2 安全系统实施步骤 15
4.3 防火墙系统设计 16
4.4 VPN系统设计 21
4.5 防火墙系统集中管理 24
4.6 防火墙选型设计说明 24
5 结束语 29
参考文献 30
企业网络系统安全需求分析与设计第30页共30页
1概述
建设功能强大和安全可靠的网络化信息管理系统是企业实现现代化管理的必要手段。
如何构建企业安全可靠的网络系统是本课程设计的目的。
本课程设计是为企业提出的“网络安全系统设计方案”,只针对网络基础设施安全系统向企业提交网络安全的设计及设计实施方案,没有涉及其他部分的内容,如“数据安全系统”等。
1.1企业建立网络安全系统的必要性
毫无疑问,不需要任何形式的“说教”,在信息和网络被广泛应用的今天,任何一个网络管理或使用者都非常清楚,所有被使用的计算机网络都必然存在被有意或无意的攻击和破坏之风险。
企业的网络同样存在安全方面的风险问题。
对于大多数网络黑客来说,成功地侵入一企业特别是著名企业的网络系统,具有证明和炫耀其“能耐”的价值,尽管这种行为的初衷也许并不具有恶意的目的;
窃取企业的网络数据,甚至破坏其网络系统,更加具有现实和长远的商业价值[5]。
因此,企业网络建立完善的安全系统,其必要性不言而喻。
1.2安全建议书的设计原则
网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。
任何安全系统必须建立在技术、组织和制度这三个基础之上。
在设计企业的网络安全系统时,我们将遵循以下原则:
l体系化设计原则
通过分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。
l全局性、均衡性、综合性设计原则
安全建议书将从企业网络整体建设角度出发,提供一个具有相当高度、可扩展性强的安全解决方案;
从企业的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。
本建议书将考虑到各种安全措施的使用。
本安全建议书将均衡考虑各种安全措施的效果,提供具有最优的性能价格比的安全解决方案。
安全需要付出代价(资金、性能损失等),但是任何单纯为了安全而不考虑代价的安全建议书都是不切实际的。
建议书同时提供了可操作的分步实施计划。
l可行性、可靠性、安全性
作为一个工程项目,可行性是设计企业安全方案的根本,它将直接影响到网络通信平台的畅通;
可靠性是安全系统和网络通信平台正常运行的保证;
而安全性是设计安全系统的最终目的。
1.3安全技术体系分析模型介绍
安全方案必须架构在科学的安全体系和安全框架之上,因为安全框架是安全方案设计和分析的基础。
为了系统、科学地分析网络安全系统涉及的各种安全问题,网络安全技术专家们提出了三维安全体系结构,并在其基础上抽象地总结了能够指导安全系统总体设计的三维安全体系(见图1-1),它反映了信息系统安全需求和体系结构的共性。
具体说明如下:
图1-1安全框架示意图
(1)安全服务
安全服务(X轴)定义了7种主要完全属性。
具体如下:
身份认证,用于确认所声明的身份的有效性;
访问控制,防止非授权使用资源或以非授权的方式使用资源;
数据保密,数据存储和传输时加密,防止数据窃取、窃听;
数据完整,防止数据篡改;
不可抵赖,取两种形式的一种,用于防止发送者企图否认曾经发送过数据或其内容和用以防止接收者对所收到数据或内容的抗否认;
审计管理,设置审计记录措施,分析审计记录;
可用性、可靠性,在系统降级或受到破坏时能使系统继续完成其功能,使得在不利的条件下尽可能少地受到侵害者的破坏。
(2)协议层次
协议层次(Y轴)由ISO/OSI参考模型的七层构成。
与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。
(3)系统单元
系统单元(Z轴)描述了信息网络基础构件的各个成分。
通信平台,信息网络的通信平台;
网络平台,信息网络的网络系统;
系统平台,信息网络的操作系统平台;
应用平台,信息网络各种应用的开发、运行平台;
物理环境,信息网络运行的物理环境及人员管理。
1.4安全技术体系的理解及实践
贯穿于安全体系的三个方面,各个层次的是安全管理。
通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务。
(1)安全体系的理解
在图1-1的安全体系分析模型中,完整地将网络安全系统的全部内容进行了科学和系统的归纳,详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的范围(即网络层次)。
对于上图的理解,不妨简单说明如下:
安全服务是网络安全系统所提供可实现的全部技术手段;
网络协议是网络安全系统应该将所采纳之安全技术手段实施的范围;
系统单元是网络安全系统应该提供安全保护的对象。
作为一个现实的网络安全系统,首先要考虑的是安全建议书所涉及的有哪些系统单元,然后根据这些系统单元的不同,确定该单元所需要的安全服务,再根据所需要的安全服务,确定这些安全服务在哪些OSI层次实现。
(2)构建安全系统的基本目标
在上述的三维结构的安全体系中,安全服务维是向网络系统的各个部分和每一个层次,提供安全保证的各种技术手段和措施。
虽然并不是每一个应用网络都需要安全服务维提出的所有手段,但是对于一个包含各种应用和具有一定规模的企业网络,这些安全措施应该都基本具备,因此安全服务维所涉及的所有安全服务措施,是网络安全系统的基本建设目标。
根据我们对企业网络系统应用现状的认识,以及未来将要实现的各种应用目标了解,我们认为企业网络安全系统,最终需要全部实现图1-1中安全服务维所提出的基本技术手段。
(3)网络安全系统的技术实施
构筑网络安全系统的最终目的是对网络资源或者说是保护对象,实施最有效的安全保护[1]。
从网络的系统和应用平台对网络协议层次的依赖关系不难看出,只有对网络协议结构层次的所有层实施相应有效的技术措施,才能实现对网络资源的安全保护。
针对一般网络系统的结构和应用要求,为了达到保护网络资源的目的,必须在网络协议层实施相应的安全措施,如下表1-1所示。
表1-1网络协议层实施相应的安全措施
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层
认证
*
访问控制
数据保密
数据完整性
不可抵赖性
审计
可用性
说明:
*表示需要实施的项目
在本项目设计中,我们建议企业网络系统通过防火墙系统、VPN应用系统、认证系统和网络漏洞扫描及攻击检测系统实现表1-1中的安全手段实施。
2应用需求分析
企业网络结构包括企业内部网络Intranet和企业外部网络Extranet,外部网络连接到Internet,满足互联网访问、WWW发布、外部移动用户应用等需求。
本章将根据企业网络系统的结构及应用,详细分析企业网络系统的安全需求。
2.1网络基础层安全需求分析
网络基础层(在此网络基础层是指网络通信链路、路由/交换设备、网络节点接