浅析常见网络安全问题与对策毕业论文.docx
《浅析常见网络安全问题与对策毕业论文.docx》由会员分享,可在线阅读,更多相关《浅析常见网络安全问题与对策毕业论文.docx(28页珍藏版)》请在冰豆网上搜索。
浅析常见网络安全问题与对策毕业论文浅析常见网络安全问题与对策毕业论文毕业论文浅析常见网络安全问题与对策毕业设计(论文)原创性声明和使用授权说明原创性声明本人重承诺:
所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作与取得的成果。
尽我所知,除文中特别加以标注和致的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得与其它教育机构的学位或学历而使用过的材料。
对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了意。
作者签名:
日期:
指导教师签名:
日期:
使用授权说明本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即:
按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;在不以赢利为目的前提下,学校可以公布论文的部分或全部容。
作者签名:
日期:
学位论文原创性声明本人重声明:
所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特别加以标注引用的容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
作者签名:
日期:
年月日学位论文使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权大学可以将本学位论文的全部或部分容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
作者签名:
日期:
年月日导师签名:
日期:
年月日注意事项1.设计(论文)的容包括:
1)封面(按教务处制定的标准封面格式制作)2)原创性声明3)中文摘要(300字左右)、关键词4)外文摘要、关键词5)目次页(附件不统一编入)6)论文主体部分:
引言(或绪论)、正文、结论7)参考文献8)致9)附录(对论文支持必要时)2.论文字数要求:
理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。
3.附件包括:
任务书、开题报告、外文译文、译文原文(复印件)。
4.文字、图表要求:
1)文字通顺,语言流畅,书写字迹工整,打印字体与大小符合要求,无错别字,不准请他人代写2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规。
图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画3)毕业论文须用A4单面打印,论文50页以上的双面打印4)图表应绘制于无格子的页面上5)软件工程类课题应有程序清单,并提供电子文档5.装订顺序1)设计(论文)2)附件:
按照任务书、开题报告、外文译文、译文原文(复印件)次序装订3)其它摘要摘要:
随着信息化进程的深入和因特网的迅速发展,人们的工作、学习和生活方式正在发生着巨大的变化。
但是,紧随着信息化发展而来,网络安全问题也变的日益突出。
针对这些问题,本文分析了计算机网络安全的现状与网络安全所面临的安全威胁。
通过事例,研究了对计算机网络正常运行产生不利因素的防措施,从不同角度了解影响计算机网络安全的情况,确保计算机网络的安全管理与有效运行,并提出了一些网络安全问题的方法和对策。
关键字:
计算机、网络安全、防措施第一章第一章引言引言1.1网络安全概述网络安全概述网络安全是指网络系统的硬件、软件与其系统中的数据受到保护,不受任何破坏、更改和泄漏,确保系统能连续可靠正常运行,确保网络服务不中断。
从本质上讲,计算机网络安全就是网络上的信息安全。
网络安全具有五个方面的特征:
性、完整性、可用性、可控性、可审查性。
其中性是要保证在网络上传输的信息不被泄漏,防止非法窃取,通常采用信息加密技术,来防止信息的泄漏。
完整性是指数据XX不能进行改变的特性。
可用性是被授权的实体可以访问并按需求使用的特性。
可控性是指能够通过访问授权使用资源的人或实体对网络的使用方式以与对网络传播的容进行控制,防止和控制非法信息或不良信息的传播。
可审查性是指指出现的安全问题时提供的依据与手段。
随着互联网和网络应用的飞速发展,网络应用日益普与并更加复杂,网络安全问题已经是互联网和网络应用发展中面临的重要问题。
网络攻击行为越来越多且更加复杂,使网络安全的防御变的更加困难。
黑客攻击行为,攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移。
网上木马、间谍程序、钓鱼等的出现和日趋泛滥。
手机、笔记本电脑等无线终端设备的处理能力和功能通用性的提高,使其日趋接近个人计算机,针对这些无线终端设备的网络攻击已经开始出现,并将进一步发展。
总之,网络安全问题已经变得更加复杂,影响不断扩大。
如果网络安全问题不加以防,将会严重的影响到网络的应用。
1.2网络安全体系结构网络安全体系结构通过对网络的全面了解,按照安全策略的要求、风险分析的结果与整个网络的安全目标,整个网络安全体系主要由物理安全、网络安全、系统安全、信息安全、用用安全和安全管理等几个方面组成。
物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施与其他媒体免遭地震、火灾、水灾等环境事故以与人为操作失误或错误与各种计算机犯罪行为导致的破坏过程。
系统安全主要是指操作系统、应用系统的安全性与网络硬件平台的可靠性。
信息安全就是要保护网络中各个位置的敏感信息。
在应用安全上,首先要考虑到通信的授权,传输的加密和审计记录。
其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的围。
安全管理是指一些安全管理的策略。
安全管理策略主要有:
定义完善的安全管理模型;建立长远可实施的安全策略;彻底规的安全防措施;建立恰当的安全评估尺度,并且进行经常性的规划审核。
当然还需建立高效的管理平台。
1.3网络安全技术简介网络安全技术简介防病毒技术、防火墙技术和入侵检测技术是网络安全领域的三大主流技术。
1.3.1防病毒技术在所有计算机安全威胁中,计算机病毒是最严重的,不仅发生的频率高、损失大,而且潜伏性强、覆盖围广。
因此,查杀病毒是必须的措施。
单机防病毒、网络防病毒、网关防病毒、系统的防病毒的防病毒计划是目前主要的防病毒技术。
单机防病毒与专业的防病毒服务器配合,定期或自动通过英特网连接产品官方服务器获得最新病毒定义,以实现动态防御与静态杀毒相结合。
网络防病毒技术是目前主流安全防护技术之一,适用于各种规模的局域网。
网络防病毒技术包括服务器模块和客户端模块,其中服务器主要为客户端提供统一部署和管理,如病毒库升级、远程部署等,而客户端则只需接受防病毒服务器的管理即可。
网关防病毒技术主要有两个部分,一是如何对进出网关数据进行查杀;而是对要查杀的数据进行检测与清除。
网关防病毒技术有基与代理服务器、基于防火墙协议还原、基于服务器、基于信息渡船产品方式等几种实现形式。
系统的防病毒计划重要包括制定系统和防病毒策略、部署多层防御战略、定期更新防病毒定义文件和引擎、定期备份文件等计划。
1.3.2防火墙技术防火墙是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入部网络,访问部网络资源,保护部网络操作环境的特殊网络互联设备。
目前的防火墙产品主要有包过滤路由器、代理服务器以与电路层网关、屏蔽主机防火墙等类型。
按照防火墙所采用的技术不同又可以分为包过滤、网络地址转换、代理型、检测型四种基本类型。
1.3.3入侵检测技术入侵检测技术简单地说是指一种能够与时发现并报告系统中未授权或异常现象的技术。
入侵检测的作用主要有如下几个方面:
(1)若能迅速检测到入侵,则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。
(2)若能迅速检测到入侵,可以减少损失,使系统迅速恢复正常工作,对入侵者造成威胁,阻止其进一步的行为。
(3)通过入侵检测可以收集关于入侵的技术资料,可用于改进和增强系统抵抗入侵的能力。
第二章第二章操作系统的安全操作系统的安全2.1实现主机系统的安全实现主机系统的安全2.1.1禁止建立空(如果开放着IPC$的话,黑客可以通过一些工具与计算机建立连接,然后得到用户列表并进行暴力破解,因此禁止建立空连接很重要)如下图21图212.1.2关闭不必要的端口和服务关闭不必要的端口(以关闭445端口为例),如下图22图22关闭不必要的服务(以关闭IPSECServices为例),如下图23图232.1.3禁止系统自动启动服务器共享,如下图24图242.2实现防火墙对网络的保护实现防火墙对网络的保护2.2.1允许部电脑访问Internet和外部FTP服务器第一步:
打开ISAServer管理窗口,在左窗格中依次展开“服务器名称”“配置”目录,并选中“网络”选项。
这时右侧的任务窗格中默认打开“模版”选项卡,里面列出了系统置的五种模版,单击“边缘防火墙”模版,如下图25。
图25第二步:
打开“网络模版向导”,在欢迎页中单击“下一步”按钮。
如下图26图26第三步:
点击下一步,打开“部网络IP地址”对话框,确认向导正确识别了部网络的IP地址。
在该对话框中,用户可以通过添加IP地址、添加适配器或添加专用地址来添加更多的IP地址。
添加到“地址围”列表框中的IP地址将被允许访问外部网络(Internet),确认部IP地址围无误后单击“下一步”继续,如下图27所示:
图27第四步:
打开“选择一个防火墙策略”对话框,在“选择一个防火墙策略”列表中选中一个防火墙策略。
本例选中“允许无限制的访问”选项,该策略将允许部网络和VPN客户端网络中的计算机无限制访问Internet。
设置完毕单击“下一步”按钮,如下图28所示:
图28第五步:
点击下一步,单击完成按钮。
如下图29图29第六步:
返回ISAServer管理窗口。
在左窗格中单击“防火墙策略”选项,这时可以在右窗格中看到新建的策略规则。
最后依次单击“应用”“确定”按钮保存更改并更新配置,如下图210,211所示:
图210图211第七步:
出于安全考虑,ISAServer服务器默认不允许FTP上传(即不能向位于外部网络的FTP服务器),用户必须手动取消FTP的“只读”属性才能实现FTP上传。
在上述创建的“无限制的Internet访问”策略规则上单击右键,选择“配置FTP”快捷命令。
在打开的“配置FTP协议策略”对话框中取消选中“只读”复选框,并依次单击“确定”“应用”“确定”按钮保存更改并更新设置,如下图212所示:
图2122.2.2具体策略(使ccc和xp能够ping通bbb,使ccc能够telnetbbb,而xp不能telnetbbb)第一步:
bbb上未安装ISA之前ccc能够ping通bbb如下图213所示:
图213第二步:
在bbb上安装ISA2004,如下图214所示图214第三步:
bbb上安装了ISA2004后,bbb能够ping同ccc和xp,而ccc和xp不能ping通bbb。
在bbb上创建策略,使ccc和xp能够ping通bbb。
如下图215,216,217所示:
图215图216图217第四步:
创建策略使ccc能够telnetbbb而xp不能telnetbbb,如下图218所示:
图218第五步:
Ccc能够telnetbbb,而xp不能telnetbbb,如下图219,220所示:
图219图2202.3实现系统部蜜罐功能实现系统部蜜罐功能第一步:
单击“开始”“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。
第二步:
在弹出的“组件服务”对话框中,选择“计算机”选项。
第三步:
在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
第四步:
在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
第五步:
选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
第六步:
单击“确定”按钮,设置完成,重新启动后即可关闭80端口。
关闭了80端口,如下图221所示:
图221第七步:
服务器类型选iis服务后开始监听,如下图222所示:
图222第八步:
bbb(192.168.1.42)访问192.168.1.1,访问到虚拟web,如下图223所示图223第九步:
aaa上日志文件检测到192.168.1.42的访问,如下图所示:
224图224第三章第三章网络设备安全网络设备安全3.1网络设备网络设备IOS安全安全3.1.1登录密码安全(以交换机为例)为交换机SI配置Enable密码,如下图31图313.1.2终端访问限制安全(以交换机为例),如下图32图323.2Cisco交换机安全(S1只能学到一个MAC地址,如果违规就将接口关闭)3.2.1交换机端口安全交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。
交换机端口安全主要有两种类型:
一是限制交换机端口的最接数,二是针对交换机端口进行MAC地址、IP地址的绑定。
限制交换机端口的最接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。
交换机端口地址绑定可以实现对用户进行严格的控制、保证用户的安全接入和防止常见的网的网络攻击。
在S1上配置(让S1的端口fa0/2只能学到一个mac地址)的命令如下图33所示:
图333.2.2VLAN安全VLAN的主要作用:
一是提高网络安全性,阻止XX的VLAN访问,二是提高网络传输效率,将广播隔离在子网之。
在局域网使用VLAN可以降低移动和变更的管理成本,控制广播、增强安全性、网络监督和管理的自动化。
3.2.2.1划分VLAN并配置VTP并将电脑加入到相应的VLAN如下拓扑图34图34第一步:
连线并且配置中继链路S1(config)#interfacefa0/4S1(config-if)#switchportmodetrunkS2(config)#interfacefa0/4S2(config-if)#switchportmodetrunk查看和检验的命令S2#showinterfacestrunk第二步:
配置域名S1(config)#vtpdomainsyhS2(config)#vtpdomainsyh第三步:
在交换机S1上创建一个VLAN第四步:
把端口加到VLAN中S2(config)#interfacefa0/1S2(config-if)#switchportmodeacceS2(config-if)#swiaccvlan10S2(config-if)#exitS2(config)#interfa0/2S2(config-if)#swimoaccS2(config-if)#swiaccvlan20S2(config-if)#exiS2(config)#interfacfa0/3S2(config-if)#swimoaccS2(config-if)#swiaccvlan30第五步:
S1为VTP服务器,S2为VTP客户S1(config)#vtpmodeserverS2(config)#vtpmodeclient3.3Cisco路由器安全路由器安全3.3.1路由器ACL安全3.3.1.1拓扑图如下图35所示图353.3.1.2安全策略1只允许PC3(192.168.3.2)访问服务器的web站点(192.168.1.3),其他都拒绝.其配置命令如下图36所示:
图363.3.1.3安全策略2拒绝来自因特网的PING、telnet,其它都允许。
其配置命令如下图37所示:
图373.3.2路由器物理访问安全路由器是局域网中的主要设备之一,也是网络安全的前沿关口。
如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。
因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
维护路由器一直是网络管理员最重要的工作之一,除确保管理员身份外,还应建立完善的记录备案机制,通常情况下可以从为路由器间的协议交换增加认证功能、物理安全防、静止远程访问、保护路由器口令、阻止查看路由器当前的用户列表、防止包嗅探等方面加以控制。
严格控制CON端口的访问,可以采取下列措施:
1、如果可以开机箱的,则可以切断与CON口互联的物理线路;2、可以改变默认的连接属性,例如修改波特率;3、配合使用访问控制列表控制对CON的访问;4、为CON口设置高强度的密码。
第四章第四章各种攻击与其防对策各种攻击与其防对策4.1IPC$入侵入侵第一步:
建立IPC$连接(目标主机的ip:
172.5.211.105)如下图41所示:
图41第二步:
映射对方默认共享C盘,如下图42所示:
图42第三步:
在我的电脑上会出现网络驱动器,如下图43图43第四步:
编写一个批处理文件(其目的是为了留下后门),并拷贝到对方的电脑上,然后增加计划任务执行批处理文件,如下图44批处理命令:
(保存为adduser.bat)netusernebulastest123456/add/增加用户nebulastest,密码123456netlocalgroupadministratorsnebulastest/add/为用户nebulastest赋予管理员权限图44第五步:
删除当前IPC$,使用新用户和新密码建立IPC$,如下图45所示:
图312第六步:
使用telnet(其格式是:
在命令行输入telnet目标主机的ip)进行登陆:
(前提:
目标电脑已经开启telnet服务)如下图46所示:
图46第七步:
登陆后的界面(获得了目标主机的shell),如下图47所示:
图474.2IP欺骗与防欺骗与防4.2.1IP欺骗第一步:
ipmap安装成功提示,如下图48图48第二步:
启动ipmap,如下图49图494.2.2IP欺骗防IP欺骗的防措施主要有以下三个:
(1)抛弃基于地址的信任策略放弃以地址为基础的验证。
不允许r*类远程调用命令的使用;删除rhosts文件;清空/etc/hosts.equiv文件。
这将迫使所有用户使用其他远程通信手段,如telnet、ssh、skey等
(2)阻止伪冒ip地址采用访问控制列表(ACL)可也阻止这类ip地址进入网在进站ACL拒绝的私有地址的进入(黑客冒充私有一般)ipaccess-listexitingress-antispoofdenyip10.0.0.00.255.255.255anypermitipanyany建立策略防止自己网络中用户仿冒其他网络的ip(3)使用加密方法通信时要求加密传输和验证。
IPSEC是intenet协议安全,它使用很强的密码系统提供认证和加密服务,提供两个网关之间的安全通道的能力,数据在发送者的网送处加密,在接受者处的网关处解密4.3网页病毒的制作与防网页病毒的制作与防4.3.1网页病毒的制作第一步:
代码编辑,我们使用写字板编辑如下代码:
第二步:
执行脚本编写的代码。
要执行上述代码,首先要配好IIS服务和我web服务器第三步:
当web服务器配置完成,将上述编辑好的代码保存到web服务器的路径中,如“c:
Inetpubwwwroottext.asp”.第四步:
打开IE浏览器,在地址栏中输入“:
/localhost/text.asp”,运行脚本。
这时,如果脚本没有语法错误则会在网页中输出“新建文件myfile”,并且在d盘根目录下建立了一个文件myfile4.3.2网页病毒的防自定义安全级别。
打开IE,在Internet选项中选择“工具”“安全”“自定义安全级别”把“ActiveX的插件和控件”的一切设为禁用。
如下图410所示:
图4104.4遇到密码破解的对策遇到密码破解的对策4.4.1对称密钥密码体制所谓对称密钥密码体制是指加密和解密密钥是一样的。
对称密钥密码体制在应用中的缺陷:
密钥管理的麻烦、不能提供法律依据、缺乏自动检测密钥泄密的能力。
4.4.2公钥密码体制所谓公钥密码体制是指加密和解密是不同的,密钥是一对。
一个是公开的,一个是秘密的。
公钥密码应用上的缺陷:
公钥算法一般比较复杂、加解密速度慢。
网络上的加密普遍采用公钥和私钥密码相结合的混合加密体制:
加解密采用传统密码,密钥传送采用公钥密码。
这样既解决了密钥管理的困难,又解决了加解密速度的问题。
4.4.3密码体制的应用(虚拟专用网),VPN的过程如下图411所示:
图411要通过Internet建立VPN,不仅只是对两端传送的数据进行加密,还需要对用户的身份进行认证。
用户认证涉与认证算法或公钥证书。
VPN还需要建立访问控制能力,只有合法的用户才能访问部网,不同用户的访问权限也会不一样。
第第五章五章结论结论有网络连接的地方,就会有网络安全问题的存在。
网络安全问题是网络发展的核心和灵魂。
在本次毕业设计中,主要浅析了一些简单的网络安全的问题与其防的措施。
在此设计过程中,通过实践和参考了许多有关方面的资料,也对以前所学的关于网络方面的知识有了更深的了解,当完成这个设计之后,我们感受到网络的无穷魅力同时也发现自己掌握的网络知识是如此欠缺并对网络知识产生了一进步了解加深的渴望。
在这次设计中虽然遇见了很多问题,但通过查询资料,请教同学,问题都不同程度的解决了。
通过这次课题,我学到了很多,与此同时也巩固了我的已学知识,提高了我们的思维能力,加强了我们解决困难和应对困难的能力。
参考文献参考文献1晟峥,计算机网络安全实验教程,第一版,清华大学,2011年2晓辉,网络安全设计、配置与管理大全,第一版,电子工业,2009年3希仁,计算机网络(第5版),第5版,电子工业,2009年4涛,网络安全概论,第1版,电子工业,2004年5牛冠杰,网络安全技术实践与代码详解,人民邮电.,2010年6波,现代密码学(第2版),清华大学,2010年7GregHolden著王斌孔璐译防火墙与网络安全入侵检测和VPNs,清华大学,2009年8龚涛鲁立,网络操作系统基于WindowsServer2003,机械工业,2010年9DavidHucaby著王兆文译,CCNPSWITCH(642-813)认证考试指南,人民邮电,2010年10ToddLammle著程代伟徐宏池亚平译,CCNA学习指南,第三版,电子工业,2009年致致首先诚挚的感指导老师XXX老师,在XXX老师的悉心指导下,我不但顺利完成了论文,还学到了很多知识,使我在以后的学习和工作中了解懂得了更多,给了我很大的帮助。
另外我还要感我的同学,在完成论文的同时她们给了我很大的帮助和支持,让我能更快的完成论文。
升级会员 