本科毕业设计局域网安全机制分析与保障措施设计文档格式.docx
《本科毕业设计局域网安全机制分析与保障措施设计文档格式.docx》由会员分享,可在线阅读,更多相关《本科毕业设计局域网安全机制分析与保障措施设计文档格式.docx(24页珍藏版)》请在冰豆网上搜索。
1.1局域网概述6
1.1.1局域网的定义6
1.1.2局域网的基本部件6
1.2局域网的特点7
1.3局域网的功能7
1.4网络安全的概念8
2局域网体系结构及协议8
2.1局域网体系结构8
2.1.1物理层8
2.1.2数据链路层9
2.2局域网协议9
2.3常见的几种局域网类型9
2.3.1传统以太网9
2.3.2高速局域网10
2.3.3虚拟局域网10
2.3.4无线局域网11
3局域网的安全分类11
3.1局域网的安全现状11
3.2物理安全12
3.3网络安全12
3.3.1非授权访问12
3.3.2对信息完整性的攻击13
3.3.3拒绝服务攻击13
3.4系统安全13
3.5应用安全13
4局域网安全危险分析14
4.1内部网络更容易受到攻击15
4.2内部网络的安全现状16
4.3网络安全技术和策略16
5局域网的安全防范措施17
5.1安全技术18
5.1.1防火墙技术18
5.1.2VPN技术19
5.1.3密码学技术24
5.1.4认证技术26
5.2局域网安全防范措施和策略27
5.3管理层面的网络安全防范策略28
参考文献28
致谢29
摘要:
随着计算机技术的飞速发展,互联网的迅速普及,局域网应用已成为企业发展中必不可少的一部分。
但在实际使用中,由于用户对操作系统安全使用策略的配置及各种技术选项意义不明确,各种安全工具得不到正确的使用,系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷,导致用户计算机操作系统达不到等级标准要求的安全等级。
因此采取相应的安全措施减少被攻击的可能性具有很强的实用意义。
本论文主要讲述的是网络当中局域网的安全性分析及如何保障及安全,主要是从域网安全概论、局域网的安全结构、局域网的安全机制分析、局域网所面临的危害、局域网安全技术、局域网安全保障措施等方面内容。
关键词:
局域网;
安全技术;
防范措施;
安全分类
LANsecuritymechannismanalysisandsafeguardmeasuresdesign
Abstract:
Ascomputertechnologyinrecentyears.Therapidspreadoflanapplication,hasbecomeanindispensablepartoftheenterprisedevelopment.Butinactualusage,theusertousetheconfiguresecuritypolicyoperatingsystemandvarioustechnologicaloptionsisambiguous,securitytoolsisnotcorrect,violationsofthesoftwaresystemvulnerabilitiesandmaliciouscode,viruses,etc,inwhichtheuser'
scomputeroperatingsystemisnotuptostandardforsafetylevelsofhierarchy.Thereforetakeappropriatesecuritymeasurestoreducethepossibilityoftheattackwaspossessedofgreatpracticalsignificance.thispapermainlyaboutnetworkofsecurityanalysisofthelanandtheprotectionandsecurity,mainlyfromthefieldnetworksecurityandsafetyofthesurveyoflocalstructures,lansecuritymechanismoftheanalysis,lanthedamagetothelocallantechnology,safetyandsecuritymeasures,etc.
KeyWord:
LAN;
safetytechnology;
preventivemeasures;
securityclassification
1概论
1.1局域网概述
局域网(LocalAreaNetwork)是在一个局部的地理范围内(如一个学校、工厂和机关内),将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。
它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个大范围的信息处理系统,简称LAN,是指在某一区域内由多台计算机互联成的计算机组。
“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等,一般是方圆几千米以内。
局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。
局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。
1.1.1局域网的定义
局域网的定义从技术方面来讲是由特定类型的传输介质(如电缆,光缆,无线介质等)和网络适配器(也叫网卡)互联在一起的系统。
局域网的定义从功能方面来讲,是一组计算机和其它设备以允许用户互相通信和共享计算机资源的方式互联在一起的系统。
1.1.2局域网的基本部件
要构成LAN,必须有基本的部件。
LAN既然是一种计算机网络,自然少不了计算机,因此,对于LAN而言,个人计算机是一种必不可少的构件。
计算机互联在一起,当然也不可能没有传输媒体,这种媒体可以是同轴电缆、双绞线、光缆或者辐射性媒体等。
第三个构件是网卡,也称为网络适配器。
第四个构件是将计算机与传输媒体相连的各种连接设备,如RJ-45插头座等。
最后有了局域网的硬件环境,还需要控制和管理局域网正常运行的软件,即网络操作系统。
1.2局域网的特点
局域网与广域网(WAN)不同,它一般限制在一定距离区域内。
一般所说的局域网是指以微机为主组成的局域网,具有以下主要特点:
(1)通信速率较高。
局域网络通信传输率为每秒百万分比特(Mbps),从5Mbps、10Mbps到100Mbps,随着局域网技术的进一步发展,目前正在向着更高的速度发展(例如155Mbps、655Mbps的ATM、1000Mbps的千兆以太网、万兆以太网等)。
(2)通信质量较好,传输误码率低。
(3)通常属于某一部门、单位或企业所有。
由于LAN的范围一般在0.1km~2.5km之内,分布性和高速传输使它适用于一个企业、一个部门的管理,所有权可归某一单位,在设计、安装、操作使用时由单位统一考虑、全面规划,不受公用网络的约束。
(4)支持多种通信传输介质。
根据网络本身的性能要求,局域网中可使用多种通信介质,例如电缆(细缆、粗缆、双绞线)、光纤及无线传输等。
(5)局域网络成本低,安装、扩充及维护方便。
LAN一般使用价格低而功能强的微机网上工作站。
LAN的安装较简单,可扩充性好,尤其在目前大量采用以集线器为中心的星型网络结构的局域网中,扩充服务器、工作站等十分方便,某些站点出现故障时整个网络仍可以正常工作。
(6)如果采用宽带局域网,则可以实现数据、语音和图像的综合传输。
在基带网上,随着技术的迅速进展也逐步能实现语音和静态图像的综合传输,这正是办公自动化所需求的。
1.3局域网的功能
局域网的功能主要是提供资源共享和网络之间的相互通信。
其功能如下:
(1)网络硬件资源共享
连入局域网中的用户可以共享网络中的各种硬件资源。
如:
打印机、扫描仪等。
(2)网络软件资源共享
在局域网络中的各个工作站均可共享各种数据资料和各种应用软件。
可以避免重复投资和重复工作。
(3)信息发布
局域网中的用户可通过服务器向局域网中各用户发布各种有用信息。
(4)电子邮件
电子邮件是局域网中一个重要功能,使网络用户可以接受、转发和处理来自己局域网内或世界各地网络的电子邮件,真正实现办工自动化,提高办工效率。
(5)提高计算机系统的可靠性
局域网中计算机或站点互为后备,提高了整个系统的可靠性,特别是在自动控制、实时数据数理等领域中更显出其优越性。
1.4网络安全的概念
网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
网络安全的具体含义会随着“角度”的变化而变化。
比如:
从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。
2局域网体系结构及协议
2.1局域网体系结构
局域网大多采用共享通道,当通信局限于一个局域网内部时,任意二个节点之间都有唯一的链路,即网络层的功能可由链路层来完成,所以局域网中不单独设立网络层。
在IEE802标准中,只定义了物理层和数据链路层二层。
2.1.1物理层
物理层是OSI的第一层,它虽然处于最底层,却是整个开放系统的基础。
物理层为设备之间的数据通信提供传输媒体及互连设备,为数据传输提供可靠的环境。
2.1.2数据链路层
数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。
数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层来的数据可靠地传输到相邻节点的目标机网络层。
数据链路层的最基本的功能是向该层用户提供透明的和可靠的数据传送基本服务。
透明性是指该层上传输的数据的内容、格式及编码没有限制,也没有必要解释信息结构的意义;
可靠的传输使用户免去对丢失信息、干扰信息及顺序不正确等的担心。
在物理层中这些情况都可能发生,在数据链路层中必须用纠错码来检错与纠错。
数据链路层是对物理层传输原始比特流的功能的加强,将物理层提供的可能出错的物理连接改造成为逻辑上无差错的数据链路,使之对网络层表现为一无差错的线路。
2.2局域网协议
一台计算机只有在遵守网络协议的前提下,才能在网络上与其他计算机进行正常的通信。
网络协议通常被分为几个层次,每层完成自己单独的功能。
通信双方只有在共同的层次间才能相互联系。
常见的协议有:
TCP/IP协议、IPX/SPX协议、NetBEUI协议等。
在局域网中用得的比较多的是IPX/SPX.。
用户如果访问Internet,则必须在网络协议中添加TCP/IP协议。
2.3常见的几种局域网类型
随着计算机网络与通信技术的高速发展,局域网技术也在不停的发展,不断地更新换代,我们常见的局域网类型主要有以下几种:
2.3.1传统以太网
传统以太网分类见下表1传统以太网分类图
表1传统以太网分类图
传统以太网分类
网络拓扑结构
传输介质
介质访问控制协议
信息编码
传输速率
最大网段长度
标准以太网
总线型
50Ω的粗同轴电缆RG-11或RG-8
CSMA/CD
曼切斯特编码
10Mbit/s
500M
细缆以太网
50Ω的粗同轴电缆RG-58A/U
185M
双绞线以太网
星型
非屏蔽双绞线,线直径4-6mm,阻抗100Ω
10-100Mbit/s
100M
2.3.2高速局域网
随着个人计算机处理能力的增强,计算机网络应用的普及,用户对计算机网络的需求日益增加,现在常规局域网已经远远不能满足要求。
于是高速局域网(HighSpeedLocalNetwork)便应运而生。
高速局域网的传输速率大于等于100Mbit/s,常见的高速局域网有FDDI光纤环网、100BASE-T高速以太网、千兆位以太网、10Gbit/s以太网等。
2.3.3虚拟局域网
VLAN(VirtualLocalAreaNetwork)的中文名为"
虚拟局域网"
。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。
但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
(1)网络设备的移动、添加和修改的管理开销减少。
(2)可以控制广播活动。
(3)可提高网络的安全性。
2.3.4无线局域网
无线局域网是计算机网络与无线通信技术相结合的产物。
通俗点说,无线局域网(Wirelesslocal-areanetwork,WLAN),就是不采用传统电缆线的同时,提供传统有线局域网的所有功能,网络所需的基础设施不需要再埋在地下或隐藏在墙里,网络却能够随着实际需要移动或变化。
之所以还称是局域网,是因为会受到无线连接设备与电脑之间距离的远近限制而影响传输范围,所以必须要在区域范围之内才可以连上网络。
无线局域网的基础还是传统的有线局域网,是有线局域网的扩展和替换。
它只是在有线局域网的基础上通过无线集线器、无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现。
与有线网络一样,无线局域网同样也需要传送介质。
只是无线局域网采用的传输介质不是双绞线或者光纤,而是红外或者无线电波,且以后者使用较多。
3局域网的安全分类
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。
因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全信,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,二方面相互补充,缺一不可。
3.1局域网的安全现状
广域网已经有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。
相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施,安全威胁较大。
末经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。
目前,局域网的安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。
3.2物理安全
物理安全主要是指通过物理隔离实现网络安全。
局域网物理安全主要包括因为服务器、网络设备硬件、线路和信息存储设备等物理介质造成的信息泄露、丢失或服务中断。
产生的原因主要包括以下几种:
(1)电磁辐射与塔线窃听。
(2)盗用。
(3)偷窃。
(4)硬件故障。
(5)超负荷。
(6)火灾及自然灾害。
在局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.3网络安全
网络安全问题主要有如下情况:
3.3.1非授权访问
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
它主要有以下几种形式:
假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
3.3.2对信息完整性的攻击
有几种类型的攻击可能威胁信息的完整性,即篡改(modification)、伪装(masquerading)、重放(replaying)和否认(repudiation)。
3.3.3拒绝服务攻击
DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。
连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
3.4系统安全
系统安全问题是指服务器或主机的操作系统本身的安全。
如系统中用户账号和口令设置、文件和目录存权限设置、系统安全管理设置,以及服务程序使用管理。
在网络服务中,网络操作系统起着非常重要的组织作用,所以操作系统的安全关系到网络的整体性能。
系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系。
系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题,制定并执行安全工作规划(系统安全活动)。
并且把系统安全活动贯穿于生命整个系统生命周期,直到系统报废为止。
3.5应用安全
应用安全问题通常是指主机上所安装的应用软件的安全问题以及使用人员的人为因素造成的安全问题。
例如:
有的Web服务器的HTTP就有安全漏洞,在使用自己编写的的应用程序时,可能因为程序员对系统安全漏洞认识不足,设计与开发中对安全问题重视不够,造成的本身安全问题。
另外,如网上的不可靠站点下载未经严格验证的应用软件会带入一些木马、病毒,甚至打开匿名邮件都可能被计算机病毒感染。
使用人员不要进一些不良网站,不明网站,自己不要有意在电脑上、主机上安装非法软件,如盗号软件、黑客攻击软件等。
使用人员在使用时,要严格按照使用操作程序进行。
局域网管理人员也要具有一定的网络安全管理意识。
建议在网络中对业务汇聚分流路由器和城域内网络设备本身实现一定的安全考虑。
对设备本身的安全保护建议作如下考虑:
(1)用户口令的认证,本地认证或Radius,TACACS。
(2)用户级别的划分,将可进入到设备的管理用户分为多个级别,对不同级别的用户具有不同的访问权限。
(3)设置Log记录,对网络设备的任何有效配置和改动均需要相应的记录。
对于用户口令安全方面的考虑,建议采用集中管理的方式,在电信网管中心配置访问控制器,所有设备的用户名、口令、权限控制都统一管理,避免因分散式管理带来的安全漏洞和管理的复杂性。
在用户的资格认证方面,有四种常用的认证方式,分别是:
(1)固定用户名/口令;
(2)时效用户名/口令;
(3)一次性口令;
(4)令牌卡/软令牌。
4局域网安全危险分析
局域网是指在小范围内由服务器和多台电脑组成的工作组互联网络。
由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。
目前,在我国的各个行业系统中,无论是涉及科学研究的大型研究所,还是拥有自主知识产权的发展中企业,都有大量的技术和业务机密存储在计算机和网络中,如何有效地保护这些机密数据信息,已引起各单位的巨大关注!
防病毒、防黑客、数据备份是目前常用的数据保护手段,我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭,因此采取了一系列的防范措施,如建立两套网络,一套仅用于内部员工办公和资源共享,称之为内部网络;
另一套用于连接互联网检索资料,称之为外部网络,同时使内外网物理断开;
另外采用防火墙、入侵检测设备等。
但是,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所为!
(ComputerWorld,Jan-uary2002)。
来自内部的数据失窃和破坏,远远高于外部黑客的攻击!
事实上,来自内部的攻击更易奏效!
4.1内部网络更容易受到攻击
为什么内部网络更容易受到攻击呢?
主要原因如下:
(1)信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。
网络已经是许多企业不可缺少的重要的组成部分,基于Web的应用在内部网正日益普及,典型的应用如财务系统、PDM系统、ERP系统、SCM系统等,这些大规模系统应用密切依赖于内部网络的畅通。
(2)在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。
另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。
也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。
(3)黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。
这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。
(4)内部网络更脆弱。
由于网络速度快,百兆甚至千兆的带宽,能让黑客工具大显身手。
(5)为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。
(6)内部网络的用户往往直接面对数据库、直接对服务器进行操作,利用内网速度快的特性,对关键数据进行窃取或者破坏。
(7)众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。
服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。
(8)涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。
(9)由于人们对口令的不重视,弱口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。
4.2内部网络的安全现状
目前很多企事业单位都加快了企业信息化的进程,在网络平台上建立了内部网络和外部网络,并按照国家有关规定实行内部网络和外部网络的物理隔离;
在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的应用如财务系统、PDM系统甚至到计算机集成制造(CIMS)或企业资源计划(ERP),逐步实现企业信息的高度集成,构成完善的企事业问题解决链。
在网络安全方面系统内大多企业或是根据自己对安全的认识,或是根据国家和系统内部的相关规定,购置部分网络安全产品,如防火墙、防病毒、入侵检测等产品来配置在网络上,然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。
由于内部网络的高性能、多应用、涉密信息分散的特点,各种分立的安全产品通常只能解决安全威胁的部分
升级会员 