局域网网络安全设计Word格式.docx

1、xx学院计算机工程技术学院 计算机网络技术 专业毕业设计任务书填表日期： 2017 年 3 月 25 日 项目名学生姓名学生号联系电话指导教师单位项目简介 本项目模拟某企业的局域网内部网络，运用一些网络技术，加上网络安全设备，从而使该企业的局域网网络处于相对安全的局面。设计任务、目标与划目标：1.模拟某企业的局域网内部网络，实现企业局域网内部网络的安全，防止非法设备接入内网并将其阻断2.配置防火墙的安全策略，防止来自外部网络的侵害3.允许内部主机能够访问外网计划：1.确定设计的选题，明确具体的研究方向2.查阅相关的技术文献，并通过实验检验选题的可行性3.起草设计论文的主要内容，撰写设计文档4.

2、初稿交由指导老师审阅5.修改完善设计文档，完成设计任务指导教师评语：指导教师评分：指导教师签名：年 月 日答辩专家组对毕业设计答辩评议及成绩评定： 答辩组长： （签章）学院毕业审核意见： 院长：摘 要近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理

3、和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业构架网络安全体系，主要运用vlan划分、防火墙技术、病毒防护等技术，来实现企业的网络安全。关键词：端口安全，网络，安全，防火墙，vlanII AbstractIn recent years, Internet technology has matured, has begun to provide and guarantee from the network conn

4、ectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networking technology of large-scale use. As we all know, the wo

5、rlds largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the

6、 Internet increasingly serious threat to their security, and its related security incidents happened quite frequently. Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet

7、spread the virus, line tapping and so on.Therefore, this paper for the enterprise architecture network security system, mainly by the use of vlan, firewall, virus protection and other technologies to achieve corporate network security. Keywords: Port Security，network, security, firewall, vlan一、引言随着计

8、算机运用到各个领域，计算机用户的数量逐渐增多，这就涉及到越来越多的重要信息被计算机存储下来，所以对于计算机安全问题的解决以及预防是刻不容缓的任务。计算机容易受到黑客、病毒的侵入，而这些不仅会影响到计算机的安全，更加会影响到用户信息的安全，会给用户造成极大的危害，所以计算机的安全问题必须值得深思和研究。二、项目需求分析（黑体4号）1局域网安全威胁分析 局域网（LAN）是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此局域网内信息的传输速率比较高，同时局域网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患

9、。局域网的网络安全威胁通常有以下几类：（1）欺骗性的软件使数据安全性降低；（2）计算机病毒及恶意代码的威胁；（3）服务器区域没有进行独立防护；. （4）IP地址冲突；（5）局域网用户安全意识不强；正是由于局域网内应用上这些独特的特点，造成局域网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。 2. 局域网安全解决办法 当前，保证局域网安全的解决办法有以下几种：（1）网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两

10、种方式。目前，一般的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。（2）VLAN的划分 为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受

11、MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。 在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。三、项目设计 利用华为模拟器eNsp模拟一个小型企业的局域网局部内部网络，其拓扑图如下：1.设计任务：A 该公司内部主机的地址全部通过dhcp获取，R1做dhcp服务器，业务部为vlan10，它的地址网段为192.168.10.0/24，其中192.1

12、68.10.1作为vlan10的网关；会计部为vlan20，它的地址网段为192.168.20.0/24，其中192.168.20.1作为vlan20的网关B 在接入交换机中开启端口安全，配置接口MAC地址学习限制数为1；配置端口安全功能的保护动作为shutdown；开启接口Sticky MAC功能。C 在R1跟防火墙之间使用动态路由协议ospfD 在防火墙中配置区域安全，并设置安全策略，在防火墙做NAT,将内部的私有地址映射出去，允许内部地址访问外部网络。 2.原理分析： AVlan VLAN（Virtual Local Area Network）的中文名为虚拟局域网。虚拟局域网（VLAN）

13、是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点： 网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广

14、播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。划分VLAN后，不同VLAN之间不能直接通信。如果要实现VLAN间通信，可以采取以下方案：图2通过子接口实现VLAN间的通信a子接口如上图2所示，DeviceA为支持配置子接口的三层设备，DeviceB为二层交换设备。LAN通过DeviceB的以太网接口（交换式以太网接口）与DeviceA的以太网接口（路由式以太网接口）相连。用户主机被划分到两个VLAN：VLAN2和VLAN3。可通过如下配置实现VLAN间互通。在DeviceA的以太网接口（与DeviceB相连的以太网接口）上创建2个子接口Port1.1和Port2.

15、1，并配置802.1Q封装与VLAN2和VLAN3分别对应。配置子接口的IP地址，保证两个子接口对应的IP地址路由可通。将DeviceB与DeviceA相连的以太网接口类型配置为Trunk或Hybrid类型，允许VLAN2和VLAN3的帧通过。将用户设备的缺省网关设置为所属VLAN对应子接口的IP地址。主机A和C的通信过程如下:主机A将主机C的IP地址和自己所在网段进行比较，发现主机C和自己不在同一个子网。主机A发送ARP请求给自己的网关DeviceA，请求网关的MAC地址。DeviceA收到该ARP请求后，返回ARP应答报文，报文中源MAC地址为VLAN2对应子接口的MAC地址。主机A学习到网关的MAC地址。主机A向网关发送目的MAC为子接口MAC地址、目的IP为主机C的IP地址的报文。