网络安全实验综合实验网络安全系统的设计与实现Word文件下载.docx

1、指导教师实验类型实验学时2实验时间12.20一、实验目的与要求1、分析公司网络需求，综合运用网络安全技术构建公司网络的安全系统。2、通过对实训项目的设计和实现，以提高和增强学生对网络安全技术的理解能力。二、实验仪器和器材实验所需的额软硬件配置如表1所示。三、 实验原理及步骤【实验原理】网络系统的安全是一项系统工程，利用网络安全理论来规范、指导、设计、实施和监管网络安全建设，从安全制度建设和技术手段方面着手，加强安全意识的教育和培训，自始至终坚持安全防范意识，采取全面、可行的安全防护措施，并不断改进和完善安全管理，把网络安全风险降到最小程度，打造网络系统的安全堡垒。本实训将以企业网络系统为例，综

2、合应用网络安全的各种技术（如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH安全通信技术、网络安全扫描、监听与入侵检测技术、数据备份与还原技术等）来实现公司网络系统中的各种网络安全服务。【实验内容】（1）网络安全风险分析。（2）网络现状分析。（3）网络信息安全的实现。【实验步骤】网络安全风险分析1.1网络安全风险分析 近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。据有关方面统计，美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界

3、列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。针对目前我国计算机网络发展情况，影响我国企业网络安全性的因素主要有以下几个方面。1 网络结构因素 网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性要求。2 网络协议因素在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商

4、带来利益的同时，也带来了安全隐患。3 地域因素 由于内部网既可以是LAN也可能是WAN，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些“黑客”造成可乘之机。4 用户因素 企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的安全性带来了威胁，因为这里可能就有商业间谍或“黑客”。5 主机因素 建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某

5、个操作系统出现漏洞（如某些系统有一个或几个没有口令的账户），就可能造成整个网络的大隐患。6 单位安全政策 实践证明，80的安全问题是由网络内部引起的，因此，单位对自己内部网的安全性要有高度的重视，必须制订出一套安全管理的规章制度。7 人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育，选择有较高职业道德修养的人做网络管理员，制订出具体措施，提高安全意识。网络安全中可能存在着来自各方面的威胁（如黑客攻击、特洛伊木马、信息丢失、蠕虫、泄密、拒绝服务攻击、计算机病毒、后门等），所以对网络安全问题进行风险分析，必须从多层面入手，形成整体的安全评估，从而为需求分析提供可靠的依据。下面主要

6、从物理安全、网络结构安全、系统安全、病毒入侵防护和人工管理等方面进行风险分析。1.2系统安全风险分析操作系统是计算机系统的内核与基石，是应用软件同系统硬件的接口，其目标是高效地、最大限度地、合理地使用计算机资源。在信息系统安全涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心，没有系统的安全就没有信息的安全。作为系统软件中最基础部分的操作系统，其安全问题的解决又是关键中之关键。若没有安全操作系统的支持，数据库就不可能具有存取控制的安全可信性，就不可能有网络系统的安全性，也不可能有应用软件信息处理的安全性。因此，安全操作系统是整个信息系统安全的基础。操作系统安全风险主要有： 1

7、操作系统的漏洞是无法避免的，在新版操作系统弥补旧版本中漏洞的同时，还会引入一些新的漏洞。2端口是服务器提供网络服务的主要通道，端口的不安全管理将会给非法者提供入侵的跳板。3用户账户是计算机安全设置的重要对象，具有高权限的账户是黑客主要的攻击目标。4资源共享是Windows系统的重要功能之一，共享资源权限授权管理的不足将会给系统及数据造成极大的安全隐患。5Internet信息服务是用于配置应用程序池或网络站点的工具，其安全运行是正常提供网络服务的基础。1.3网络结构安全风险分析网络结构安全是整个网络系统正常运行的基础和前提。网络中的主机会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，

8、从内网向公网传送的信息可能被他人窃听或篡改，造成的这些网络安全威胁，有的来自外部，有的可能来自网络内部。网络结构的安全是多方面的，关乎网络的整体安全，网络结构安全风险主要有：1. 边界安全是首要问题，未在网络边界设置网络防火墙或未正确配置防火墙，会使来自互联网的威胁增大。 2网络设备（如交换机）自身安全性也会直接关系各种网络及应用的正常运转。3网络不相关的各部分在无法实现物理隔离的情况下，如也未实现软件层面的隔离，将会使增大来自网络内部的攻击。4交换机的配置不完善，对网络中非法数据传输的控制不够。1.4人工管理安全风险分析人是企业最大的漏洞，无论在企业内外，人都是一种威胁。人的威胁分为两种，一

9、种是以操作失误为代表的无意威胁（偶然失误），另一种是以计算机犯罪为代表的有意威胁（恶意攻击）。人工管理是安全网络中最为薄弱的环节，该环节管理的好坏对网络安全起着举足轻重的作用。 人工管理存在着如下的一些安全风险：1数据库管理员或掌握企业重要信息的员工在某种利益的驱使下，通过非法途径将信息泄露。2网络管理员、系统管理员安全意识淡薄，为了方便省事，设置简单的口令，易遭到破解。为多个用户提供相同的账号，造成管理混乱、责任不清，易引起信息泄露。 3网络管理员、系统管理员将网络设备或信息系统管理员账号泄露给其他人员，增大网络瘫痪或信息泄露的可能性。4重要网络节点、服务器机房出入人员混乱，给网络设备的正常

10、运行造成较大安全隐患。5责权不明，安全管理制度不健全及缺乏可操作性等都可能引起安全风险。网络现状分析以下是某移动公司的简化的星形网络拓扑图，各组成的部分如图1所示。层次结构采用华为产品，设备采用100M全双工模式。省级交换机图1 某移动公司网络拓扑图核心设备采用S6502路由交换机，部门交换机均采用S3026交换机，核心交换机与web服务器、bbs服务器、FTP服务器、故障派单服务器等服务器直接相连。部门网络与交换机之间需要安装一个代理防火墙，核心交换机与互联网之间也要安装防火墙。以阻挡外面的攻击。2.1 网络需求分析根据网络服务类型可分为4个子网，分别为内部服务子网、公办子网、营业区子网和对

11、外子网。各子网可根据需求选择性接入子网。 图2 公司网络现状下面对各子网的安全进行说明。1营业区子网 （1）安全接入互联网，可获得对外服务子网提供的服务；（2）统一部署防毒、杀毒系统；（3）具备系统还原能力。2办公子网 （1）安全接入互联网；（2）可根据部门需求选择性获得对外内服务子网提供的服务；（3）单机部署防毒、杀毒系统。3对外服务子网 （1）发布企业信息并为互联网用户提供服务；（2）能够抵御来自互联网的各类攻击；（3）可实现访问控制；（4）有系统漏洞监测功能；（5）部署防毒、杀毒系统。4 内部服务子网 （1）为企业内部用户提供信息服务；（2）可根据服务类型选择性的向相关部门提供信息服务；

12、（3）与互联网隔离；（4）系统漏洞能较快得到修复； 办公网络对实体需求办公网内的设备实体，如交换机、服务器、个人电脑等的管理存在安全隐患，如出现安全问题，将会造成较为严重的后果。调研中发现公司办公网核心设备和服务器在一个机房内，均同时使用UPS接12V 50Ah蓄电池组，由于蓄电池组容量较小且已使用多年，实际容量远远小于标称容量，如机房市电停电时间较长，蓄电池组放电完毕后，设备将会停止工作。个人办公电脑系统安全需求 公司的文件、报表等重要信息都是以电子文件的形式存储在个人办公电脑上，可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也使信息易受到攻击，造成泄密，特别是对于移动办公的情况

13、更是如此。所以移动办公和重要的涉密计算机，应采取专门的安全措施进行重点防护，以保证其信息的存储安全。另外计算机使用者对计算机不设置访问口令，或使用简单易破解的口令，都容易造成公司的文件丢失或信息泄密。服务器操作系统安全需求 公司有多台服务器，均提供着不同的服务。随着公司的发展，对服务器的安全性要求也将不断提高。这些服务器均使用Windows 2000 Server或Windows Server 2003操作系统，任何操作系统，任何版本的操作系统，均存在系统漏洞，对系统漏洞的及时修复是保证系统免受攻击的基本条件。另外关闭不使用的端口和异常端口、高权限账号的安全管理、资源共享的正确设置及Inter

14、net信息服务的正常运行都是服务器正常提供服务的保障。访问控制需求根据公司各部门的职责和公司信息服务器的提供的服务类型，结合安全的考虑，在网络内部层面上，各部门与服务器之间需有一定的通信策略。另外办公网各子网对互联网的访问也需有一定的限制，办公子网、营业体验区子网及对外服务子网均接入互联网，对内服务子网虽与互联网物理连通，但必须通过三层交换机或防火墙的设置来做好隔离，另外财务专网需要严格与互联网进行物理隔离。 在实际使用过程中会议室还应安装接入办公网的WiFi AP，这些无线接入设备如果配置不当，不但会使网络资源暴漏在外，造成信息丢失，还会成为入侵者进入内部网络的跳板，给网络造成极大的威胁，所

15、以对无线接入的恰当管理是保障网络安全的一项重要工作。2.2网络结构安全技术分析从实际出发，针对原办公网存在的种种安全问题，我们需要从细分网络减小广播域、利用防火墙减小外部威胁、加强通信访问控制、加强网络设备自身的安全性及加强办公电脑的安全性等方面进行优化工作。2.21细分网络减小冲突域 将办公网内的终端电脑按照某种条件划分为多个网段，每个网段均为不同的vlan。这里根据部门来划分网段，由于每个部门的终端数量不一，在划分的时候根据是数量将网段划分为26位到28位不等的网段。此项工作由核心路由交换机S6502来实现。2.22 利用防火墙减小外部威胁 在互联网边界设置硬件防火墙，根据端口划分非信任区（Internet）、信任区（办公网）和对外服务区（对外服务子网）。对内服务子网