网络安全实验综合实验网络安全系统的设计与实现.docx

1、网络安全实验综合实验网络安全系统的设计与实现计算机与信息科学学院实 验 报 告（20122013学年第一学期 ）课程名称： 网络安全实验 班 级： 学 号： 姓 名： 任课教师： 计算机与信息科学学院实 验 报 告实验名称网络安全系统的设计与实现指导教师实验类型实验学时2实验时间12.20一、实验目的与要求1、分析公司网络需求，综合运用网络安全技术构建公司网络的安全系统。2、通过对实训项目的设计和实现，以提高和增强学生对网络安全技术的理解能力。二、实验仪器和器材实验所需的额软硬件配置如表1所示。三、 实验原理及步骤【实验原理】网络系统的安全是一项系统工程，利用网络安全理论来规范、指导、设计、实

2、施和监管网络安全建设，从安全制度建设和技术手段方面着手，加强安全意识的教育和培训，自始至终坚持安全防范意识，采取全面、可行的安全防护措施，并不断改进和完善安全管理，把网络安全风险降到最小程度，打造网络系统的安全堡垒。本实训将以企业网络系统为例，综合应用网络安全的各种技术（如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH安全通信技术、网络安全扫描、监听与入侵检测技术、数据备份与还原技术等）来实现公司网络系统中的各种网络安全服务。【实验内容】（1）网络安全风险分析。（2）网络现状分析。（3）网络信息安全的实现。【实验步骤】网络安全风险分析1.1网络安全风险分析 近年来随着Inter

3、net的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。据有关方面统计，美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。针对目前我国计算机网络发展情况，影响我国企业网络安全性的因素主要有以下几个方面。 1 网络结构因素 网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一些

4、安全机制的设置和实现，从而提出更高的网络开放性要求。2 网络协议因素在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了安全隐患。3 地域因素 由于内部网既可以是LAN也可能是WAN，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些“黑客”造成可乘之机。4 用户因素 企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业情

5、况的人。用户的增加，也给网络的安全性带来了威胁，因为这里可能就有商业间谍或“黑客”。 5 主机因素 建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。6 单位安全政策 实践证明，80的安全问题是由网络内部引起的，因此，单位对自己内部网的安全性要有高度的重视，必须制订出一套安全管理的规章制度。7 人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育，选择有较高职业道德修养的人做网络管理员，制订出具

6、体措施，提高安全意识。网络安全中可能存在着来自各方面的威胁（如黑客攻击、特洛伊木马、信息丢失、蠕虫、泄密、拒绝服务攻击、计算机病毒、后门等），所以对网络安全问题进行风险分析，必须从多层面入手，形成整体的安全评估，从而为需求分析提供可靠的依据。下面主要从物理安全、网络结构安全、系统安全、病毒入侵防护和人工管理等方面进行风险分析。1.2系统安全风险分析操作系统是计算机系统的内核与基石，是应用软件同系统硬件的接口，其目标是高效地、最大限度地、合理地使用计算机资源。在信息系统安全涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心，没有系统的安全就没有信息的安全。作为系统软件中最基础部

7、分的操作系统，其安全问题的解决又是关键中之关键。若没有安全操作系统的支持，数据库就不可能具有存取控制的安全可信性，就不可能有网络系统的安全性，也不可能有应用软件信息处理的安全性。因此，安全操作系统是整个信息系统安全的基础。操作系统安全风险主要有： 1操作系统的漏洞是无法避免的，在新版操作系统弥补旧版本中漏洞的同时，还会引入一些新的漏洞。 2端口是服务器提供网络服务的主要通道，端口的不安全管理将会给非法者提供入侵的跳板。 3用户账户是计算机安全设置的重要对象，具有高权限的账户是黑客主要的攻击目标。 4资源共享是Windows系统的重要功能之一，共享资源权限授权管理的不足将会给系统及数据造成极大的

8、安全隐患。 5Internet信息服务是用于配置应用程序池或网络站点的工具，其安全运行是正常提供网络服务的基础。1.3网络结构安全风险分析网络结构安全是整个网络系统正常运行的基础和前提。网络中的主机会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内网向公网传送的信息可能被他人窃听或篡改，造成的这些网络安全威胁，有的来自外部，有的可能来自网络内部。网络结构的安全是多方面的，关乎网络的整体安全，网络结构安全风险主要有： 1. 边界安全是首要问题，未在网络边界设置网络防火墙或未正确配置防火墙，会使来自互联网的威胁增大。 2网络设备（如交换机）自身安全性也会直接关系各种网络及应用的正常运

9、转。3网络不相关的各部分在无法实现物理隔离的情况下，如也未实现软件层面的隔离，将会使增大来自网络内部的攻击。4交换机的配置不完善，对网络中非法数据传输的控制不够。1.4人工管理安全风险分析人是企业最大的漏洞，无论在企业内外，人都是一种威胁。人的威胁分为两种，一种是以操作失误为代表的无意威胁（偶然失误），另一种是以计算机犯罪为代表的有意威胁（恶意攻击）。人工管理是安全网络中最为薄弱的环节，该环节管理的好坏对网络安全起着举足轻重的作用。 人工管理存在着如下的一些安全风险： 1数据库管理员或掌握企业重要信息的员工在某种利益的驱使下，通过非法途径将信息泄露。 2网络管理员、系统管理员安全意识淡薄，为了

10、方便省事，设置简单的口令，易遭到破解。为多个用户提供相同的账号，造成管理混乱、责任不清，易引起信息泄露。 3网络管理员、系统管理员将网络设备或信息系统管理员账号泄露给其他人员，增大网络瘫痪或信息泄露的可能性。 4重要网络节点、服务器机房出入人员混乱，给网络设备的正常运行造成较大安全隐患。 5责权不明，安全管理制度不健全及缺乏可操作性等都可能引起安全风险。网络现状分析以下是某移动公司的简化的星形网络拓扑图，各组成的部分如图1所示。层次结构采用华为产品，设备采用100M全双工模式。省级交换机图1 某移动公司网络拓扑图核心设备采用S6502路由交换机，部门交换机均采用S3026交换机，核心交换机与w

11、eb服务器、bbs服务器、FTP服务器、故障派单服务器等服务器直接相连。部门网络与交换机之间需要安装一个代理防火墙，核心交换机与互联网之间也要安装防火墙。以阻挡外面的攻击。2.1 网络需求分析根据网络服务类型可分为4个子网，分别为内部服务子网、公办子网、营业区子网和对外子网。各子网可根据需求选择性接入子网。 图2 公司网络现状下面对各子网的安全进行说明。1营业区子网 （1）安全接入互联网，可获得对外服务子网提供的服务； （2）统一部署防毒、杀毒系统； （3）具备系统还原能力。2办公子网 （1）安全接入互联网； （2）可根据部门需求选择性获得对外内服务子网提供的服务； （3）单机部署防毒、杀毒系

12、统。3对外服务子网 （1）发布企业信息并为互联网用户提供服务； （2）能够抵御来自互联网的各类攻击； （3）可实现访问控制； （4）有系统漏洞监测功能； （5）部署防毒、杀毒系统。4 内部服务子网 （1）为企业内部用户提供信息服务； （2）可根据服务类型选择性的向相关部门提供信息服务； （3）与互联网隔离； （4）系统漏洞能较快得到修复； （5）部署防毒、杀毒系统。 办公网络对实体需求办公网内的设备实体，如交换机、服务器、个人电脑等的管理存在安全隐患，如出现安全问题，将会造成较为严重的后果。调研中发现公司办公网核心设备和服务器在一个机房内，均同时使用UPS接12V 50Ah蓄电池组，由于蓄电池

13、组容量较小且已使用多年，实际容量远远小于标称容量，如机房市电停电时间较长，蓄电池组放电完毕后，设备将会停止工作。个人办公电脑系统安全需求 公司的文件、报表等重要信息都是以电子文件的形式存储在个人办公电脑上，可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也使信息易受到攻击，造成泄密，特别是对于移动办公的情况更是如此。所以移动办公和重要的涉密计算机，应采取专门的安全措施进行重点防护，以保证其信息的存储安全。另外计算机使用者对计算机不设置访问口令，或使用简单易破解的口令，都容易造成公司的文件丢失或信息泄密。 服务器操作系统安全需求 公司有多台服务器，均提供着不同的服务。随着公司的发展，对

14、服务器的安全性要求也将不断提高。这些服务器均使用Windows 2000 Server或Windows Server 2003操作系统，任何操作系统，任何版本的操作系统，均存在系统漏洞，对系统漏洞的及时修复是保证系统免受攻击的基本条件。另外关闭不使用的端口和异常端口、高权限账号的安全管理、资源共享的正确设置及Internet信息服务的正常运行都是服务器正常提供服务的保障。访问控制需求根据公司各部门的职责和公司信息服务器的提供的服务类型，结合安全的考虑，在网络内部层面上，各部门与服务器之间需有一定的通信策略。另外办公网各子网对互联网的访问也需有一定的限制，办公子网、营业体验区子网及对外服务子网均

15、接入互联网，对内服务子网虽与互联网物理连通，但必须通过三层交换机或防火墙的设置来做好隔离，另外财务专网需要严格与互联网进行物理隔离。 在实际使用过程中会议室还应安装接入办公网的WiFi AP，这些无线接入设备如果配置不当，不但会使网络资源暴漏在外，造成信息丢失，还会成为入侵者进入内部网络的跳板，给网络造成极大的威胁，所以对无线接入的恰当管理是保障网络安全的一项重要工作。2.2网络结构安全技术分析从实际出发，针对原办公网存在的种种安全问题，我们需要从细分网络减小广播域、利用防火墙减小外部威胁、加强通信访问控制、加强网络设备自身的安全性及加强办公电脑的安全性等方面进行优化工作。 2.21细分网络减

16、小冲突域 将办公网内的终端电脑按照某种条件划分为多个网段，每个网段均为不同的vlan。这里根据部门来划分网段，由于每个部门的终端数量不一，在划分的时候根据是数量将网段划分为26位到28位不等的网段。此项工作由核心路由交换机S6502来实现。 2.22 利用防火墙减小外部威胁 在互联网边界设置硬件防火墙，根据端口划分非信任区（Internet）、信任区（办公网）和对外服务区（对外服务子网）。对内服务子网、办公子网、营业体验区子网均上联S6502核心路由交换机，核心路由交换机分别上联省公司办公网交换机和防火墙信任区端口，对外服务子网通过三层交换机汇聚直接上联防火墙对外服务区端口，防火墙非信任区端口

17、上联咸阳联通互联网核心设备。另外通过防火墙配置，进行一些防病毒、防攻击等操作。2.23 加强通信访问控制 公司各部门由于其职责不同，对网络的需求也各有不同，应根据其需求及公司的制度从技术层面来进行控制。 公司办公网内的访问控制，主要有以下几方面要求： 1.对内网服务器需要与互联网隔离。 2.对内服务器应根据提供的业务与对口部门互通。 3.营业区只能访问互联网，不能访问办公网。2.24加强网络设备自身的安全性在网络安全中，网络通信顺畅、数据传输安全、主机服务正常等常常是人们关注的要点，而提供网络服务的设备本身往往被忽视，可是这些设备的正常运行恰恰是网络安全的基础。其安全性将直接影响到整个网络的可

18、用性和稳定性，对于网络安全起着至关重要的作用。设备登录安全 对办公网内的网络设备进行登录方面的安全配置。对防火墙、核心交换机和三层交换机均配置local user用户名，其用户名的级别为1级，可用于console口和远程telnet登录。另外单独配置super密码，获得super密码的管理员才可对交换机进行数据配置。1级的登录用户只有读权限，没有写权限。通过这些配置来加强设备的登录安全。 SNMP安全 SNMP是一种应用协议，作为沟通网络管理者和网络设备的桥梁，其安全性必须得到重视。由于后面介绍到的网络设备网管软件的启用，办公网内的设备就必须使能SNMP功能。要使能SNMP功能，就必须严格其配

19、置，否则将会为非法入侵者留下入侵机会。 设备运行安全 这里分别用WhatsUp Gold和SolarWinds Network Performance monitor作为网管软件。WhatsUp Gold可以实时直观的监控办公网内所有设备的当前状态，并可以通过Ping等简单命令来测试网络的连通状态。Network Performance monitor主要用来监控各台设备各端口的流量情况，并可以保存历史记录，可以将设备的整体流量等信息按时间以图形来显示。2.24 加强办公电脑的安全性为了加强办公网内终端电脑的安全性，避免出现ARP病毒，所以加强终端电脑的安全性仍然不可忽视。加强终端电脑的安全性

20、主要从以下几方面入手。 1安装正规的杀毒软件及防火墙（如金山毒霸、卡巴斯基、NOD32、瑞星、360杀毒等），并实时保持更新和开启他们的全面监控和防护功能。这样能有效的避开病毒或木马对你计算机造成的威胁。 2利用具有系统漏洞扫描功能的软件（如360安全卫士、迅雷等）定期扫描系统，对操作系统和应用软件的漏洞补丁及时进行更新安装，修补系统或软件漏洞，防止受到病毒或木马的威胁。 3关闭Guest帐户，Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到很多限制。不幸的是，Guest也为黑客入侵打开了方便之门。办公网电脑多用户使用时可创建多个用户而不是打开Guest账户。 4所有电脑的Admini

21、strator账户必须配置密码。如果创建了其他用户名，Administrator这个管理员账户必须从安全模式才能进入，所以该账户的安全性往往被人忽视，Administrator账户不设置密码将会给黑客入侵提供便利的条件。所以Administrator须配置密码且不可太过简单，方可避免电脑从此途径被攻击。 5当电脑需连接移动存储设备（如U盘、移动硬盘、MP3、存储卡等）时必需先杀毒后打开，以防这些移动存储设备带有病毒程序而感染到电脑。网络信息安全的实现【物理安全实现方案】物理安全是整体网络安全的基础，网络设备或线路出现硬件故障，网络的安全性则无从谈起，其他一切安全措施均无法发挥作用，其重要性不言

22、而喻。根据之前对办公网物理安全的分析，下面主要从完善制度、优化核心机房供电、加强网络节点安全性等方面进行方案实现。3.1完善机房管理制度为了确保网络核心设备机房、网络节点、线缆的物理安全，公司应制定办公网机房管理制度。1明确进入机房的人员及条件； 2在机房内维护、装机等工作时可进行的操作； 3外部人员在机房内进行工作的随工要求； 4机房内各项操作的规范要求； 5机房出现紧急情况的通知汇报流程。 3.2 优化核心机房供电通过布放电源电缆来优化办公网核心机房的供电问题。以确保供电万无一失，即确保了办公网核心设备的供电安全，使设备正常运行无后顾之忧。【网络结构安全实现方案】3.3细分网络减小广播域将

23、办公网的IP地址段，根据部门在S6502上划分为26位到28位不等的网段。为每台交换机配置管理IP，这样以后数据操作就可以远程进行了。另外根据节点交换机下挂的部门，分别从核心交换机透传相应部门的vlan，再在节点交换机上根据端口进行划分。3.4加强通信访问控制访问控制根据各部门的职责不同来确定，此项工作需要由S6502核心路由器和Eudemon100防火墙共同配合来完成，下面逐一对其实现方法进行说明。1）对内服务器需要与互联网隔离。2）对内服务器应根据提供的业务与对口部门互通。3）营业区只能访问互联网，不能访问办公网。4）网络监控组的网络摄像头及监控终端只能彼此互通，与办公网内其他部门和互联网

24、均隔离。3.5利用防火墙减小外部威胁根据分析，需要在网络边界增设硬件防火墙一台，结合经济分析和网络设备的统一性，选用华为公司的Eudemon100硬件防火墙。 增加了Eudemon100防火墙后，其承担了办公网私网地址的NAT转换工作。另外还进行了IP欺骗防范、SYN泛洪攻击防范、Ping攻击防范和DoS（DDoS）攻击防范等方面的配置。1）IP欺骗防范IP欺骗是一种攻击方法，即使主机系统本身没有任何漏洞，但仍然可以使用各种手段来达到攻击的目的，这种欺骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。在Eudemon100上，我们通过滤非共有IP地址、内部网络使用的IP地址、环回

25、地址、私有IP地址对访问内部的网络来实现或减轻危害。2）Ping攻击防范Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。部分主机不能很好的处理过大的ping包，从而出现Ping to Death攻击方式，即用超过TCP/IP最大限度65536 字节的Ping包搞垮目的主机。所以，对于进入办公网的ICMP流，要禁止和与Ping命令有关的ICMP类型。3）DoS和DDoS攻击防范我们用在Eudemon100上限制DoS攻击常用端口的方法来进行防范。4）加强网络设备自身的安全性网络设备自身的安全性直接影响着整个网络的可用性和稳定性，对于网络安全起着至关重要的作用。对于办公网内的网络设备

26、，我们通过（设备登录安全、SNMP安全、设备运行安全、无线AP安全）作来加强其安全性。3.6加强办公电脑的安全加强终端电脑的安全性主要进行了以下几方面操作：1安装集团公司下发的正版Symantec AntiVirus杀毒软件，开启更新、监控和防护功能。 2开启系统更新功能，及时安装漏洞补丁及软件更新。 3关闭Guest账户。 4为Administrator账户设置较为复杂的密码。 5对外接移动存储设备需先杀毒后打开。【系统安全方案的实现】3.7 Windows系统漏洞安全3.8 Windows端口安全3.9 Windows用户账户安全4.0 Internet信息服务安全【病毒入侵防护方案】在网

27、络层面进行防病毒工作的同时，还对办公网内计算机的进行了防毒工作，主要从以下方面开展： 1安装有效的病毒防护软件，有效运行并打开实时系统监控。 2及时从防病毒软件官方网站下载更新，并安装安全补丁程序和升级杀毒软件程序版本。3定期对整个系统进行病毒的检测清楚工作。 4运用杀毒软件的清理恶意软件的功能，经常扫描计算机系统并对发现的恶意软件及时删除。 5安装防火墙，制定适宜的防护规则。 6提高风险意识，控制上网时间，不上网时断开网络连接。论坛及聊天软件等不要长时间挂网，以免长时间暴露自己的IP地址，招惹不必要的麻烦。 7对实时监控发现的系统漏洞补丁，须及时进行安装。 8新购置的计算机或新安装的系统，一

28、定要进行系统升级，确保修补所有已知的安全漏洞。9关闭不必要的端口和服务。 10使用高强度的密码，并经常进行修改。 11不必要的软件尽量不要安装。 12从网络上下载的资源要特别注意杀毒检测。 13不健康网站往往携有大量病毒程序，不要轻易点击。 14重要资料注意刻录备份或者转移备份。 15采用安全性较好的网络浏览器。 16要慎收来历不明的邮件，在不能确定是安全“附件”的情况下，不要打开“附件”。 17利用命令行工具或者防火墙软件进行局域网网关的IP地址和MAC地址的绑定，防止受到ARP病毒的影响。四、实验小结和思考（包括感想、体会与启示）本实验针对计算机网络安全问题，以实体网络为研究目标，从网络实

29、际情况入手，通过实验分析得出安全需求。分别从物理安全、网络结构安全、系统安全、病毒入侵防护和人工管理等方面提出了多层次的安全方案。在实验中我们体会到了一些在网络安全中容易出问题的地方：1.对网络设备物理安全重视度不够，这种情况不但会出现人为故意或非故意引起的故障，严重时还可造成设备丢失，另外在出现问题的责任也不易落实； 2.网络安全的重点多放在了对局域网外部的防御，而对局域网内部的防御严重缺失，经常会出现一台机器影响局域网内部大乱的情况；3.由于缺少网络监控手段使网络运行信息获取量不足，造成对网络中出现问题的预见性不强，安全方面的工作主要在出现安全问题之后的问题处理上；本身实验进行的相关办公网安全优化改造工作，从多方面提高了办公网的安全指数，在网络的实际运行中确实降低了网络的危险性。五、指导教师评语成 绩日 期批阅人