局域网网络安全设计.docx
《局域网网络安全设计.docx》由会员分享,可在线阅读,更多相关《局域网网络安全设计.docx(17页珍藏版)》请在冰豆网上搜索。
局域网网络安全设计
xx学院
计算机工程技术学院(软件学院)
毕业设计
题目:
局域网网络安全设计
专业:
学生姓名:
学号:
大一班级:
大三班级:
指导教师姓名:
职称:
2017年3月25日
xx学院计算机工程技术学院
计算机网络技术专业毕业设计任务书
填表日期:
2017年3月25日
项目名
局域网网络安全设计
学生
姓名
学生号
联系电话
指导
教师
单位
联系电话
项目
简介
本项目模拟某企业的局域网内部网络,运用一些网络技术,加上网络安全设备,从而使该企业的局域网网络处于相对安全的局面。
设
计
任
务
、
目
标
与
计
划
目标:
1.模拟某企业的局域网内部网络,实现企业局域网内部网络的安全,防止非法设备接入内网并将其阻断
2.配置防火墙的安全策略,防止来自外部网络的侵害
3.允许内部主机能够访问外网
计划:
1.确定设计的选题,明确具体的研究方向
2.查阅相关的技术文献,并通过实验检验选题的可行性
3.起草设计论文的主要内容,撰写设计文档
4.初稿交由指导老师审阅
5.修改完善设计文档,完成设计任务
指导教师评语:
指导教师评分:
指导教师签名:
年月日
答辩专家组对毕业设计答辩评议及成绩评定:
答辩组长:
(签章)
年月日
学院毕业审核意见:
院长:
(签章)
年月日
局域网网络安全设计
摘要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。
这些都促使了计算机网络互联技术迅速的大规模使用。
众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
网络安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
因此本论文为企业构架网络安全体系,主要运用vlan划分、防火墙技术、病毒防护等技术,来实现企业的网络安全。
关键词:
端口安全,网络,安全,防火墙,vlan
IIAbstract
Inrecentyears,Internettechnologyhasmatured,hasbeguntoprovideandguaranteefromthenetworkconnectivityasthemaintargetofthefirstgenerationofInternettechnologytoprovidenetworkdataservicesforthecharacteristicsofthesecondgenerationofInternettechnologytransition.Theseallcontributedtotherapidcomputernetworkingtechnologyoflarge-scaleuse.Asweallknow,theworld'slargestinformationnetworkuseof,Internetopennessoftheiragreementgreatlyfacilitateavarietyofcomputernetworkingtobroadenthesharingofresources.However,intheearlydesignofnetworkprotocolsonsecurityissuesofneglect,aswellasinmanagementanduseoftheanarchy,theInternetincreasinglyseriousthreattotheirsecurity,anditsrelatedsecurityincidentshappenedquitefrequently.Networksecuritythreatsmainlyin:
unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingtheInternetspreadthevirus,linetappingandsoon.Therefore,thispaperfortheenterprisearchitecturenetworksecuritysystem,mainlybytheuseofvlan,firewall,virusprotectionandothertechnologiestoachievecorporatenetworksecurity.
Keywords:
PortSecurity,network,security,firewall,vlan
一、引言
随着计算机运用到各个领域,计算机用户的数量逐渐增多,这就涉及到越来越多的重要信息被计算机存储下来,所以对于计算机安全问题的解决以及预防是刻不容缓的任务。
计算机容易受到黑客、病毒的侵入,而这些不仅会影响到计算机的安全,更加会影响到用户信息的安全,会给用户造成极大的危害,所以计算机的安全问题必须值得深思和研究。
二、项目需求分析(黑体4号)
1.局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。
由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。
局域网的网络安全威胁通常有以下几类:
(1)欺骗性的软件使数据安全性降低;
(2)计算机病毒及恶意代码的威胁;
(3)服务器区域没有进行独立防护;.
(4)IP地址冲突;
(5)局域网用户安全意识不强;
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
2.局域网安全解决办法
当前,保证局域网安全的解决办法有以下几种:
(1)网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
(2)VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:
基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。
基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。
各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
三、项目设计
利用华为模拟器eNsp模拟一个小型企业的局域网局部内部网络,其拓扑图如下:
1.设计任务:
A该公司内部主机的地址全部通过dhcp获取,R1做dhcp服务器,业务部为vlan10,它的地址网段为192.168.10.0/24,其中192.168.10.1作为vlan10的网关;会计部为vlan20,它的地址网段为192.168.20.0/24,其中192.168.20.1作为vlan20的网关
B在接入交换机中开启端口安全,配置接口MAC地址学习限制数为1;配置端口安全功能的保护动作为shutdown;开启接口StickyMAC功能。
C在R1跟防火墙之间使用动态路由协议ospf
D在防火墙中配置区域安全,并设置安全策略,在防火墙做NAT,将内部的私有地址映射出去,允许内部地址访问外部网络。
2.原理分析:
A.Vlan
VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
划分VLAN后,不同VLAN之间不能直接通信。
如果要实现VLAN间通信,可以采取以下方案:
图2 通过子接口实现VLAN间的通信
a.子接口
如上图2所示,DeviceA为支持配置子接口的三层设备,DeviceB为二层交换设备。
LAN通过DeviceB的以太网接口(交换式以太网接口)与DeviceA的以太网接口(路由式以太网接口)相连。
用户主机被划分到两个VLAN:
VLAN2和VLAN3。
可通过如下配置实现VLAN间互通。
在DeviceA的以太网接口(与DeviceB相连的以太网接口)上创建2个子接口Port1.1和Port2.1,并配置802.1Q封装与VLAN2和VLAN3分别对应。
配置子接口的IP地址,保证两个子接口对应的IP地址路由可通。
将DeviceB与DeviceA相连的以太网接口类型配置为Trunk或Hybrid类型,允许VLAN2和VLAN3的帧通过。
将用户设备的缺省网关设置为所属VLAN对应子接口的IP地址。
主机A和C的通信过程如下:
主机A将主机C的IP地址和自己所在网段进行比较,发现主机C和自己不在同一个子网。
主机A发送ARP请求给自己的网关DeviceA,请求网关的MAC地址。
DeviceA收到该ARP请求后,返回ARP应答报文,报文中源MAC地址为VLAN2对应子接口的MAC地址。
主机A学习到网关的MAC地址。
主机A向网关发送目的MAC为子接口MAC地址、目的IP为主机C的IP地址的报文。
升级会员 