网络安全设计与实施报告11.docx
《网络安全设计与实施报告11.docx》由会员分享,可在线阅读,更多相关《网络安全设计与实施报告11.docx(12页珍藏版)》请在冰豆网上搜索。
网络安全设计与实施报告11
1、学到的安全技术
网络安全技术概述
网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
1.1网络安全产品的特点
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
网络安全产品的自身安全的防护技术网络安全设备安全防护的关键,一个自身不安全的设备不仅不能保护被保护的网络而且一旦被入侵,反而会变为入侵者进一步入侵的平台。
1.2网络安全技术
1.2.1防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机。
例如,Firewall允许外部访问特定的MailServer和WebServer。
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
Firewall可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。
外部用户也只需要经过一次认证即可访问内部网。
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
1.2.2EFS加密
随着计算机应用技术的普及,数据安全变得越来越重要。
EFS是NTFS文件系统的独有特点,使用它可以实现文件和文件夹的加密、解密和恢复代理等操作,从而保障计算机数据的安全性。
EFS所用的加密技术是基于公钥的。
它易于管理,不易受到攻击,并且对用户是透明的。
如果用户想要访问一个加密的NTFS文件,并且有这个文件的私钥,那么就能像打开普通文档那样打开这个文件,而没有该文件的私钥拥护将被拒绝访问。
公钥:
EFS中公钥其实是用来加密数据的,就相当于自己家里的门锁,任何人都可以使用它。
私钥:
就是用来解密文件的,也就是我们家里的门钥匙。
如果我们的私钥损坏或丢失了,我们同样不能打开自家的锁。
1.2.3ARP攻击与防御和数据包筛选
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
在你上不去的电脑上arp-a一下,看看获取到的MAC和IP和网关mac和ip是否一致;
如果不一致,检查网络里面是否有这个MAC-IP的路由设备,或者通过抓包找出发起arp攻击的IP;通过一些arp检查工具查找攻击源,找出后重做系统(发arp的机器未必是上不去网的。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
在你上不去的电脑上arp-a一下,看看获取到的MAC和IP和网关mac和ip是否一致;
如果不一致,检查网络里面是否有这个MAC-IP的路由设备,或者通过抓包找出发起arp攻击的IP;通过一些arp检查工具查找攻击源,找出后重做系统(发arp的机器未必是上不去网的。
1.2.4VPN
虚拟专用网(vpn)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
1.2.5ARP攻击与防御和数据包筛选
PSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。
IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
护IP数据包的内容;通过数据包筛选及受信任通讯的实施来防御网络攻击;这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。
这个基础为专用网络计算机、域、站点、远程站点、Extranet和拨号用户之间的通信提供了既有力又灵活的保护。
它甚至可以用来阻碍特定通讯类型的接收和发送。
其中已接收和发送最为重要。
1.2.6SSL加密服务器证书在IIS中的应用配置
SSL的中文全称是“加密套接字协议层”,是由NETSCAPE公司推出的一种安全通信协议,它位于HTTP协议层和TCP协议层之间,能够对信用卡和个人信息提供较强的保护。
SSL在客户和服务器之间建立一条加密通道,确保所传输的数据不被非法窃取,SSL安全加密机制功能是依靠使用数学证书来实现的。
2.本学期学到的网络安全技术能解决的应用问题
2.1EFS所解决的应用问题
随着计算机应用技术的普及,数据安全变得越来越重要。
EFS是NTFS文件系统的独有特点,使用它可以实现文件和文件夹的加密、解密和恢复代理等操作,从而保障计算机数据的安全性。
2.2防火墙解决的应用问题
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问。
Firewall可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机。
例如,Firewall允许外部访问特定的MailServer和WebServer。
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
2.3虚拟专用网解决的应用问题
虚拟专用网是对企业内部网的扩展。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.4SSL所解决的应用问题
SSL能够对信用卡和个人信息提供较强的保护。
SSL在客户和服务器之间建立一条加密通道,确保所传输的数据不被非法窃取,SSL安全加密机制功能是依靠使用数学证书来实现的。
3、设计一个企业拓补图(有数据清单)
注:
将本学期学到的网络安全技术应用到该拓扑结,出实施网络安全技术的基本配置参数和过程。
某公司拓补图
数据清单
PC机
3台
DNS服务器
1台
路由器
2台
WEB服务器
3台
3.1内网可以上外网
3.1.1用PING命令保证机子能通
先将每台机子设置在同一网段然后再相互PING通,直到保证每台机都能通为止.
3.1.2配置各机子
现在按上述的图将每台机子的IP,子网,网关,,配置起来!
!
主要是做路由器的两台机子块网卡都要是好的,并且把静态路由表配置好。
3.1.3设置网关
把3网段的网关配置成192.168.3.1……4网段的配置成192.168.4.2,外网配置成202.102.10.1
3.1.4启动NAT
先在R2上进行NAT的设置,在管理工具里启动路由后,选择NAT后,一定要先选择外网,后选择内网。
完成后用PC1和PC2去PING202.102.10.6
3.2让内网特定的机子不能上公网
3.2.1进入R1数据筛选
3.2.2PC不能上外网
3.3让内网的机子能访问外网的特定服务器
3.3.1在R1上设置
3.3.2内网访问外网
3.4.应用防火墙技术
3.4.1在服务器上设置防火墙
3.4.2在客户机上测试
3.6启用VPN让外网能访问内网
3.6.1先建用户sgl
在R2的机子上建立一个sgl的用户加入administrators组然后再拨入里———允许拨入和不回拨。
3.6.2从外网拨入
右击网上邻居-----属性----新建连接向导---连接到我的工作场所------虚拟专用网------公司名随便写
3.7测试结果
NAT实现内网能够访问外网
VPN实现外网能够访问内网
数据包筛选实现外网和内网相互访问
4、论文总结:
学习体会和心得
学了这门课之后,我深深的明白网络安全的重要性。
老师上课讲过的每个实验的要点,都让我受益匪浅!
网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
Internet是一种开放和标准的面向所有用户的技术,其资源通过网络共享。
我觉得资源共享和信息安全是一对矛盾.自Internet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出,各种计算机病毒和网上黑客(Hackers)对Internet的攻击越来越激烈,许多网站遭受破坏的事例不胜枚举。
更何况信息的应用也从原来的军事、科技、文化和商业渗透到当今社会的各个领域,在社会生产、生活中的作用日益显著。
传播、共享和自增殖是信息的固有属性,和此同时,又需求信息的传播是可控的,共享是授权的,增殖是确认的。
因此在所有情况下,信息的安全和可靠必须是确保的。
虽然有些安全技术在某方面是起到一定的作用,但也存在着漏洞!
其中,EFS是NTFS文件系统的独有特点,使用它可以实现文件和文件夹的加密、解密和恢复代理等操作,从而保障计算机数据的安全性。
但EFS有个缺陷就是不能拒绝物理删除,NTFS和EFS必须配合使用。
使用EFS也只能加密NTFS分区上的文件或文件夹,不能加密压缩的文件或文件。
还有就是防火墙不能防止病毒,它是防止不希望的非法流量和未过授权的流量进出被保护的网络。
VPN也是,因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性,来自internet的XX的对企业内部网的存取,当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。
所以网络安全问题时时刻刻存在,我们必须做好防御工作!
升级会员 