基于校园网络的优化设计毕业设计.docx
《基于校园网络的优化设计毕业设计.docx》由会员分享,可在线阅读,更多相关《基于校园网络的优化设计毕业设计.docx(39页珍藏版)》请在冰豆网上搜索。
基于校园网络的优化设计毕业设计
摘要
校园网在学校中扮演的角色越来越重要,校园网络的安全性就是一个非常重要的环节。
本文对校园网络现状的分析和安全需求的分析,找到校园网络中存在的安全问题。
利用IP的合理分配提高网络的合理性,通过VLAN的划分各个小的教学和办公的局域网实现区域间的独立性,通过NAT技术实现对外网的访问,用ACl技术、防火墙技术和入侵检测技术来保证校园网的安全可靠性。
通过各个技术的整合来创造一个更好的校园网络环境,促进学校的发展。
关键词:
局域网交换技术TCP/IP网络安全
Abstract
Campusnetworkintheschoolplaysanincreasinglyimportantrole,thesecurityofcampusnetworkisaveryimportantpart.Thispaperanalyzesthecurrentsituationandsecurityneedsofthecampusnetworkanalysis,tofindsecurityproblemsexistinthecampusnetwork.UseareasonableallocationofIPnetworktoimprovetherationalityandachieveindependencebydividingtheregionbetweeneachVLANteachingandsmallofficeLAN,accesstoexternalnetworkthroughNATtechnology,usingACltechnology,firewalltechnologyandintrusiondetectiontechnologyensurethesafetyandreliabilityofthecampusnetwork.Tocreateabetterenvironmentthroughtheintegrationofthevariouscampusnetworktechnology,promotingthedevelopmentoftheschool.
Keywords:
LAN;exchangetechnology;TCP/IP;networksecurity
第一章绪论
1.1研究的目的和意义
随着网络的高速发展,网络渗透到了我们日常学习、生活的方方面面。
比如,各种层出不穷的社交软件需要我们真实的信息注册,各种购物网站账号的注册更需要我们的银行账户信息。
在给我们的生活带来了极大的方便的同时,也增加了许多的网络安全问题。
校园网的用户很多,网络安全问题要高度重视。
本课题就是通过在校园网中配置ACL和防火墙实现对网络完全策略的应用,使校园网成为更安全的网络环境,给学生创造更好的学习生活的网络环境。
随着校园网的快速发展与网络应用的日新月异,学校对网络的依赖性越来越强,这对网络安全性和可运营性提出了新的要求。
在运营方面,实现灵活运营,防止非法用户,以保证学校对校园网的投资回报,安全性管理方面,能够检测、预防病毒传染以及网络攻击,实现对网络的应用监控,保证学生使用的是健康上进的网络。
特别是现在加强了对学校、网吧等场所的上网控制力度,对上网的时
间、浏览的内容进行严格的监控。
因为网络安全与防火墙、路由器关系密切,并且根据网络安全分析和业务需求的分析来决定全局的安全策略,所以我们要正确设置网络的安全策略,在安全和监控方面发挥最大的作用。
1.2国内外研究现状
Acces Conttol List,控制访问起源于20世纪60年代,是一种重要的信息安全技术。
所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。
网络中常说的ACL是CISCO IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。
CISCO路由器中有两种常用的控制访问列表,一种是标访问列表,另一种是扩展访问列表。
随着网络技术的发展和用户需求的变化,从IOS 12.0开始,CISCO路由器新增加了一种基于时间的访问控制。
防火墙的功能主要包含以下几个方面:
访问控制,如应用ACL进行访问控制;攻击防范,如防止SYNFLOOD等;NAT;VPN;路由;认证和加密;日志记录;支持网管等。
此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对QoS特性的支持和对H.323、SIP等多种应用协议的支持也必不可少。
为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防火墙上也常常把其他网络技术结合进来,例如支持DHCPSERVER、DHCPRELAY;支持动态路由,如RIP、OSPF等;支持拨号、PPPoE等特性;支持广域网口;支持透明模式(桥模式);支持内容过滤(如URL过滤)、防病毒和IDS等功能。
防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。
1.3校园网络安全现状
校园网就是在学校的范围内,利用符合学校自身的教育思想以及理论作为指导,以为学校教学、科研、管理等提供资源和信息交流为目的建立的计算机网络。
当前,大部分的学校都建立了自己的校园网。
那么,实现网络之间的资源共享、协同工作以及维护良好的校园网络安全的要求也变得越来越高。
多数学校在校园网的构建过程中,对于校园网络的技术和运营意识存在着不足,很多都是重技术而轻安全、轻管理。
使得校园网和其他网络一样存在着各种各样的网络安全方面呢的问题。
1.4校园网的安全需求
校园网是一个计算机网络,包括个人PC、网络设备、服务器、软件、数据等。
只有从系统的角度去分析这些环节在网络中的地位和作用,才能制定有效的可行的措施。
也就是计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络完全体系结构。
如连接Internet时,解决网络层的安全性;校园网内部的安全问题,包括网段的划分以及vlan的实现;防止黑客对网络、主机、服务器等应用系统的入侵。
一般来讲,网络信息系统应包括认证、访问控制、安全检测、攻击监控、加密通信、隐藏网络内部信息(如NAT)等安全机制。
根据校园网规模大、用户多的特点,对校园网的信息安全实施分级管理方案,其控制点分为三级安全管理。
第一级:
中心级,主要实现内外网隔离;内外网用户的访问控制;内部网传输数据的备份和稽查。
第二级:
区域级,主要实现内外网络的访问控制;区域间的访问控制;区域内部的安全审计。
第三级:
终端/个人用户级,实现区域内部的访问控制;数据库及终端信息资源的安全保护。
1.5校园网络面临的安全问题
由于校园网属于典型园区局域网,具有具有互联性、共享性、开放性等网络特点,因此非常容易受到黑客入侵或其他的网络攻击行为的侵害,校园网面临的安全问题形势是非常严峻的。
1.5.1网络硬件安全问题
1)电磁泄露问题:
校园网中的网络设备拥有大量的网络端口,传输线路、终端设备等,这些设备可能会因为屏蔽不严或者为屏蔽容易造成电磁泄露。
2)线路窃听问题:
网络线路上传输了大量的数据信息,黑客或者其他不法分子,为了窃取某些数据信息,就会对传输线路进行监听,这是数据信息的安全性就会造成很大威胁。
3)非法终端问题:
对于网络中正常使用的终端上如果有人再安装一个终端,当正常终端停止工作时,如果使用这个非法终端接入到网络当中,这是非法分子就会利用这个终端收集数据信息。
4)非法入侵问题:
如果黑客或者非法分子利用传输介质进行非法入侵,比如利用技术从电话线路入侵网络,就会对校园网安全造成安全隐患,而且有的校园网的系统使用口令验证机制,如果口令丢失被窃,那么安全系统就作废了。
1.5.2网络系统和软件问题
1)网络系统中使用的各种软件存在漏洞,很多软件在设计之初,并没有考虑到安全问题,也就是只注重使用性而忽视了安全性。
因此这些软件漏洞也非常容易被黑客利用,造成信息泄露与安全威胁。
2)网络上的信息资源非常丰富,大量的信息资源可以轻易从网络上下载下来,但是这些资源有的己经被不法分子安装了病毒或者木马,一旦用户下载下来安装使用,就会使这些病毒或木马启动,从而感染用户计算机系统。
3)缺乏身份认证机制,校园网中上网人员复杂,而且人数众多,由于没有验证机制,任何人都可以轻易进入校园内网,这对学校网的信息安全会造成严重的威胁。
1.5.3网络攻击安全问题
1)网络病毒问题
网络上病毒种类多样,而且各种病毒的变种威胁更大,这其中以网络病毒危害最为广泛,对校园网中经常容易遭受网络病毒的侵害,比如ARP病毒等,这些病毒对校园网的影响很大,会造成网络中断,无法上网、感染性强、传染迅速快等特点,给正常的校园网运行造成很大的影响。
2)拒绝服务攻击问题
拒绝服务攻击或分布时拒绝服务攻击,是非常典型的网络攻击行为由于它的不易觉察性和简易性,因而一直是网络安全的重大隐患。
它是一种技术含量低,攻击效果明显的攻击方法,受到攻击时,服务器在长时间内不能提供服务,使得合法用户不能得到服务,特别是分布式拒绝服务DDoS,它的效果很明显,并且难以找到真正的攻击源,因此很难找到行之有效的解决方法。
因此,这种攻击会对校园网的安全造成极大的危害。
1.6网络安全策略
网络安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务,以及这些服务的使用规则。
而且,每一条规定都应该在实际应用时得到实现。
通过组合利用防火墙和路由器的安全技术,通过设置访问控制列表、NAT、VLAN等实现安全策略,以达到构建安全体系的功能。
第二章网络技术
2.1IP规划
2.1.1IP地址简介
网际协议(IP)的规范是在1982年由RFC791建立的。
这些规范的部分内容规定了IP地址的结构。
这个结构为每个主机和路由器接口提供了32位2进制逻辑地址。
其中包括网络部分与主机部分。
为方便书写及记忆,一个IP地址通常采用用0~255之内的4个十进制数表示,数之间用句点分开。
这些十进制数中的每一个都代表32位地址的其中8位,即所谓的八位位组,称为点分表示法。
图2-1IP规划范例
2.1.2IP地址分类
图2-2IP地址分类
按照原来的定义,IP寻址标准并没有提供地址类,为了便于管理后来加入了地址类的定义。
地址类的实现将地址空间分解为数量有限的特大型网络(A类),数量较多的中等网络(B类)和数量非常多的小型网络(C类)。
另外,还定义了特殊的地址类,包括D类(用于多点传送)和E类,通常指试验或研究类。
IP地址的类别可以通过查看地址中的前8位位组(最重要的)而确定。
最高位的数值决定了地址类。
位格式也定义了和每个地址类相关的8位位组的十进制的范围。
A类:
A类地址,8位分配给网络地址,24位分配给主机地址。
如果第1个8位位组中的最高位是0,则地址是A类地址。
这对应于0~127的可能的八位位组。
在这些地址中,0和127具有保留功能,所以实际的范围是1~126。
A类中仅仅有126个网络可以使用。
因为仅仅为网络地址保留了8位,第1位必须是0。
然而,主机数字可以有24位,所以每个网络可以有16,777,214个主机。
B类:
B类地址中,为网络地址分配了16位,为主机地址分配了16位,一个B类地址可以用第1个8位位组的头两位为10来识别。
这对应的值从128~191。
既然头两位已经预先定义,则实际上为网络地址留下了14位,所以可能的组合产生了16,384个网络,而每个网络包含65,534个主机。
C类:
C类为网络地址分了24位,为主机地址留下了8位。
C类地址的前8位位组的头3位为110,这对应的十进制数从192~223。
在C类地址中,仅仅最后的8位位组用于主机地址,这限制了每个网络最多仅仅能有254个主机。
既然网络编号有21位可以使用(3位已经预先设置为110),则共有2,097,152个可能的网络。
D类:
D类地址以1110开始。
这代表的八位位组从224~239。
这些地址并不用于标准的IP地址。
相反,D类地址指一组主机,它们作为多点传送小组的成员而注册。
多点传送小组和电子邮件分配列表类似。
正如你可以使用分配列表名单来将一个消息发布给一群人一样,你可以通过多点传送地址将数据发送给一些主机。
多点传送需要特殊的路由配置,在默认情况下,它不会转发。
E类:
如果第1个8位位组的前4位都设置为1111,则地址是一个E类地址。
这些地址的范围为240~254,这类地址并不用于传统的IP地址。
这个地址类有时候用于实验室或研究。
我们的大部分讨论内容的重点是A类、B类和C类,因为它们是用于常规IP寻址类别。
2.1.3保留的IP地址
IP地址用于唯一的标识一台网络设备,但并不是每一个IP地址都是可用的,一些特殊的IP地址被用于各种各样的用途,不能用于标识网络设备。
对于主机部分全为“0”的IP地址,称为网络地址,网络地址用来标识一个网段。
例如,A类地址1.0.0.0,私有地址10.0.0.0,192.168.1.0等。
对于主机部分全为“1”的IP地址,称为网段广播地址,广播地址用于标识一个网络的所有主机。
例如,10.255.255.255,192.168.1.255等,路由器可以在10.0.0.0或者192.168.1.0等网段转发广播包。
广播地址用于向本网段的所有节点发送数据包。
对于网络部分为127的IP地址,例如127.0.0.1往往用于环路测试目的。
全“0”的IP地址0.0.0.0代表所有的主机,在路由器上用0.0.0.0地址指定默认路由。
全“1”的IP地址255.255.255.255,也是广播地址,但255.255.255.255代表所有主机,用于向网络的所有节点发送数据包。
这样的广播不能被路由器转发。
2.1.4可用主机地址数量的计算
图2-3可用主机地址计算
例如B类网段172.16.0.0,有16个主机位,因此有216个IP地址,去掉一个网络地址172.16.0.0,一个广播地址172.16.255.255不能用作标识主机,那么共有216-2个可用地址。
C类网段192.168.1.0,有8个主机位,共有28=256个IP地址,去掉一个网络地址192.168.1.0,一个广播地址192.168.1.255,共有254个可用主机地址。
现在,我们可以这样计算每一个网段可用主机地址:
假定这个网段的主机部分位数为n,那么可用的主机地址个数为2n-2个。
网络层设备(例如路由器等)使用网络地址来代表本网段内的主机,大大减少了路由器的路由表条目。
2.1.5子网掩码
IP地址在没有相关的子网掩码的情况下存在是没有意义的。
子网掩码定义了构成IP地址的32位中的多少位用于网络位,或者网络及其相关子网位。
子网掩码中的二进制位构成了一个过滤器,它通过标识应该解释为网络地址的IP地址的那一部分来计算网络地址。
完成这个任务的过程称为按位求与。
按位求与是一个逻辑运算,它对地址中的每一位和相应的掩码位进行计算。
划分子网其实就是将原来地址中的主机位借位作为子网位来使用,目前规定借位必须从左向右连续借位,即子网掩码中的1和0必须是连续的。
2.1.6可变长子网掩码VLSM
定义子网掩码的时候,我们作出了假设,在整个网络中将一致地使用这个掩码。
在许多情况下,这导致浪费了很多主机地址。
比如我们有一个子网,它通过串口连接了2个路由器。
在这个子网上仅仅有两个主机,每个端口一个,但是我们已经将整个子网分配给了这两个接口。
这将浪费很多IP地址。
如果我们使用其中的一个子网,并进一步将其划分为第2级子网,将有效地“建立子网的子网”,并保留其他的子网,则可以最大限度地利用IP地址。
建立子网的子网”的想法构成了VLSM的基础。
为使用VLSM,我们通常定义一个基本的子网掩码,它将用于划分第1级子网,然后用第2级掩码来划分一个或多个1级子网。
VLSM仅仅可以由新的路由协议,如BGP或OSPF或RIPv2识别.为了不浪费IP地址,我们会根据规划根据计算应用VLSM技术使分配给每一台电脑特定的IP后剩余的主机位地址最少。
更充分的利用IP地址并且提高了安全性。
2.2VLAN技术
2.2.1VLAN技术简介
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN是一个广播域,其中的成员仿佛共享同一物理网段一样。
不同VLAN成员不能直接访问。
在VLAN中,划分在同一广播域中的成员并没有任何物理或地理上的限制,它们可以连接到一个交换网络中的不同交换机上。
广播分组、未知分组及成员之间的数据分组都被限定在VLAN之内。
对VLAN的另一个定义是,它能够使单一的交换结构被划分成多个小的广播域。
2.2.2VLAN特点
VLAN提供如下功能与好处:
第一:
区段化:
使用VLAN可将单一的交换架构,一个广播域分隔成多个广播域,相当于分隔出物理上分离的多个单独的网络。
即将一个网络进行区段化,减少每个区段的主机数量,提高网络性能。
第二:
灵活性:
VLAN配置、成员的添加、移去和修改都是通过在交换机上进行配置实现的。
一般情况下无须更改物理网络与增添新设备及更改布线系统,所以VLAN提供了极大的灵活性。
第三:
安全性:
将一个网络划分VLAN后,不同VLAN内的主机间通讯必须通过3层设备,而在3层设备上可以设置ACL等实现第3层的安全性,即VLAN间的通讯是在受控的方式下完成的。
相对于没有划分VLAN的网络,所有主机可直接通讯而言,VLAN提供了较高的安全性。
另外用户想加入某一VLAN必须通过网络管理员在交换机上进行配置才能加入特定VLAN,相应的提高了安全性。
2.2.3VLAN成员划分的方式
目前最普遍的VLAN划分方式为基于端口的静态划分方式。
网络管理员将端口划分为某个特定VLAN的端口,连接在这个端口的主机即属于这个特定VLAN。
其优点是配置相对简单,对交换机转发性能几乎没有影响,其缺点为需要为每个交换机端口配置所属的VLAN,一旦用户移动位置可能需要网络管理员对交换机相应端口进行重新设置。
其他划分VLAN成员的方式有:
基于MAC地址划分、基于协议划分、基于IP地址子网划分、基于应用划分、基于用户名、密码划分等多种方式。
2.2.4VLAN的运作
每个VLAN相当于一个物理上独立的网桥,不同VLAN成员不能直接访问。
VLAN可以跨越交换机,不同交换机上相同VLAN的成员处于一个广播域,可以直接相互访问。
由于VLAN的划分是基于交换机的物理端口,交换机从连接主机的某个端口上接收到一个数据帧,交换机知道这个数据帧是属于哪个VLAN的。
但是对于连接2台交换机的链路而言,此链路需要承载不同VLAN的数据,连接此链路的交换机的端口不属于某个特定VLAN。
如果不对数据帧做标记,交换机对从这样的链路上接收到的数据帧将无法确定所属的VLAN。
所以交换机将数据帧发送到这样的链路前必须对数据帧做标记,即为每一个数据帧都被加上了一个标记,用来确定该分组所属的VLAN。
VLAN的标记使交换机能够将来自不同VLAN上的业务流复用到一条物理线路上。
2.3NAT技术
2.3.1NAT技术简介
NAT(NetworkAddressTranslation,网络地址转换)是1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。
装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。
这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。
在RFC1632中有对NAT的说明。
2.3.2NAT技术工作原理
网络地址转换(NetworkAccessTranslation,NAT)针对IP地址日益短缺的情况产生。
1个局域网内部有很多台主机,不能保证都拥有合法的公网IP地址,为了内部主机都可以连接Internet网络,我们使用NAT。
NAT不仅完美地解决了IP地址不足的问题,而且有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT将局域网内部主机可以任意分配的IP地址称为私有地址。
私有地址的范围包括:
10.0.0.0-10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255。
而连接到外部网络(例如Internet)的NAT路由器的出口接口有ISP分配公有IP地址。
NAT路由器的作用就是根据路由器内部的地址转换表中的映射关系,将网络数据包中的私有地址和公有地址进行转换。
NAT还可以反过来给外网的用户提供访问局域网内部的WWW、Telnet、FTP等服务。
2.3.3NAT的实现方式
NAT的实现方式有三种:
静态转换(一对一)、动态转换(地址池)和端口复用(PAT)。
PAT增加了基于端口(Port)的转换,将内部网络的所有主机的数据包的内网IP地址和内网端口,转换成NAT出口的外网IP地址和外网端口,也就使内部网络只需要共享一个公有IP地址实现对Internet的访问。
2.4ACL技术
2.4.1ACL技
升级会员 