浅析常见网络安全问题与对策毕业论文.docx

1、浅析常见网络安全问题与对策毕业论文浅析常见网络安全问题与对策毕业论文 毕业论文 浅析常见网络安全问题与对策 毕业设计（论文）原创性声明和使用授权说明 原创性声明 本人重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作与取得的成果。尽我所知，除文中特别加以标注和致的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得与其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了意。作 者 签 名：日 期：指导教师签名：日 期：使用授权说明 本人完全了解大学关于收集、保存、使用毕业设计（论文）的规定，

2、即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部容。作者签名：日 期：学位论文原创性声明 本人重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名：日期：年 月 日 学位论文使用授权书 本学位论

3、文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权大学可以将本学位论文的全部或部分容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名：日期：年 月 日 导师签名：日期：年 月 日 注意事项 1.设计（论文）的容包括：1）封面（按教务处制定的标准封面格式制作）2）原创性声明 3）中文摘要（300 字左右）、关键词 4）外文摘要、关键词 5）目次页（附件不统一编入）6）论文主体部分：引言（或绪论）、正文、结论 7）参考文献 8）致 9）附录（对论文

4、支持必要时）2.论文字数要求：理工类设计（论文）正文字数不少于 1 万字（不包括图纸、程序清单等），文科类论文正文字数不少于 1.2万字。3.附件包括：任务书、开题报告、外文译文、译文原文（复印件）。4.文字、图表要求：1）文字通顺，语言流畅，书写字迹工整，打印字体与大小符合要求，无错别字，不准请他人代写 2）工程设计类题目的图纸，要求部分用尺规绘制，部分用计算机绘制，所有图纸应符合国家技术标准规。图表整洁，布局合理，文字注释必须使用工程字书写，不准用徒手画 3）毕业论文须用 A4 单面打印，论文 50页以上的双面打印 4）图表应绘制于无格子的页面上 5）软件工程类课题应有程序清单，并提供电子

5、文档 5.装订顺序 1）设计（论文）2）附件：按照任务书、开题报告、外文译文、译文原文（复印件）次序装订 3）其它 摘要 摘要：随着信息化进程的深入和因特网的迅速发展，人们的工作、学习和生活方式正在发生着巨大的变化。但是，紧随着信息化发展而来，网络安全问题也变的日益突出。针对这些问题，本文分析了计算机网络安全的现状与网络安全所面临的安全威胁。通过事例，研究了对计算机网络正常运行产生不利因素的防措施，从不同角度了解影响计算机网络安全的情况，确保计算机网络的安全管理与有效运行，并提出了一些网络安全问题的方法和对策。关键字：计算机、网络安全、防措施 第一章第一章 引言引言 1.1 网络安全概述网络安

6、全概述 网络安全是指网络系统的硬件、软件与其系统中的数据受到保护，不受任何破坏、更改和泄漏，确保系统能连续可靠正常运行，确保网络服务不中断。从本质上讲，计算机网络安全就是网络上的信息安全。网络安全具有五个方面的特征：性、完整性、可用性、可控性、可审查性。其中性是要保证在网络上传输的信息不被泄漏，防止非法窃取，通常采用信息加密技术，来防止信息的泄漏。完整性是指数据 XX不能进行改变的特性。可用性是被授权的实体可以访问并按需求使用的特性。可控性是指能够通过访问授权使用资源的人或实体对网络的使用方式以与对网络传播的容进行控制，防止和控制非法信息或不良信息的传播。可审查性是指指出现的安全问题时提供的依

7、据与手段。随着互联网和网络应用的飞速发展，网络应用日益普与并更加复杂，网络安全问题已经是互联网和网络应用发展中面临的重要问题。网络攻击行为越来越多且更加复杂，使网络安全的防御变的更加困难。黑客攻击行为，攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移。网上木马、间谍程序、钓鱼等的出现和日趋泛滥。手机、笔记本电脑等无线终端设备的处理能力和功能通用性的提高，使其日趋接近个人计算机，针对这些无线终端设备的网络攻击已经开始出现，并将进一步发展。总之，网络安全问题已经变得更加复杂，影响不断扩大。如果网络安全问题不加以防，将会严重的影响到网络的应用。1.2 网络安全体系结构网络安全体系结构 通

8、过对网络的全面了解，按照安全策略的要求、风险分析的结果与整个网络的安全目标，整个网络安全体系主要由物理安全、网络安全、系统安全、信息安全、用用安全和安全管理等几个方面组成。物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施与其他媒体免遭地震、火灾、水灾等环境事故以与人为操作失误或错误与各种计算机犯罪行为导致的破坏过程。系统安全主要是指操作系统、应用系统的安全性与网络硬件平台的可靠性。信息安全就是要保护网络中各个位置的敏感信息。在应用安全上，首先要考虑到通信的授权，传输的加密和审计记录。其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的围。安全管理是指一些安全管

9、理的策略。安全管理策略主要有：定义完善的安全管理模型；建立长远可实施的安全策略；彻底规的安全防措施；建立恰当的安全评估尺度，并且进行经常性的规划审核。当然还需建立高效的管理平台。1.3 网络安全技术简介网络安全技术简介 防病毒技术、防火墙技术和入侵检测技术是网络安全领域的三大主流技术。1.3.1 防病毒技术 在所有计算机安全威胁中，计算机病毒是最严重的，不仅发生的频率高、损失大，而且潜伏性强、覆盖围广。因此，查杀病毒是必须的措施。单机防病毒、网络防病毒、网关防病毒、系统的防病毒的防病毒计划是目前主要的防病毒技术。单机防病毒与专业的防病毒服务器配合，定期或自动通过英特网连接产品官方服务器获得最新

10、病毒定义，以实现动态防御与静态杀毒相结合。网络防病毒技术是目前主流安全防护技术之一，适用于各种规模的局域网。网络防病毒技术包括服务器模块和客户端模块，其中服务器主要为客户端提供统一部署和管理，如病毒库升级、远程部署等，而客户端则只需接受防病毒服务器的管理即可。网关防病毒技术主要有两个部分，一是如何对进出网关数据进行查杀；而是对要查杀的数据进行检测与清除。网关防病毒技术有基与代理服务器、基于防火墙协议还原、基于服务器、基于信息渡船产品方式等几种实现形式。系统的防病毒计划重要包括制定系统和防病毒策略、部署多层防御战略、定期更新防病毒定义文件和引擎、定期备份文件等计划。1.3.2 防火墙技术 防火墙

11、是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入部网络，访问部网络资源，保护部网络操作环境的特殊网络互联设备。目前的防火墙产品主要有包过滤路由器、代理服务器以与电路层网关、屏蔽主机防火墙等类型。按照防火墙所采用的技术不同又可以分为包过滤、网络地址转换、代理型、检测型四种基本类型。1.3.3 入侵检测技术 入侵检测技术简单地说是指一种能够与时发现并报告系统中未授权或异常现象的技术。入侵检测的作用主要有如下几个方面：（1）若能迅速检测到入侵，则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。（2）若能迅速检测到入侵，可以减少损失，使系统迅速恢复正常工作，对入侵者造成威

12、胁，阻止其进一步的行为。（3）通过入侵检测可以收集关于入侵的技术资料，可用于改进和增强系统抵抗入侵的能力。第二章第二章 操作系统的安全操作系统的安全 2.1 实现主机系统的安全实现主机系统的安全 2.1.1禁止建立空(如果开放着 IPC$的话，黑客可以通过一些工具与计算机建立连接，然后得到用户列表并进行暴力破解，因此禁止建立空连接很重要)如下图 21 图 21 2.1.2 关闭不必要的端口和服务 关闭不必要的端口（以关闭 445端口为例），如下图 22 图 22 关闭不必要的服务（以关闭 IPSEC Services 为例），如下图 23 图 23 2.1.3 禁止系统自动启动服务器共享，如下

13、图 24 图 24 2.2 实现防火墙对网络的保护实现防火墙对网络的保护 2.2.1 允许部电脑访问 Internet 和外部 FTP 服务器 第一步：打开 ISA Server 管理窗口，在左窗格中依次展开“服务器名称”“配置”目录，并选中“网络”选项。这时右侧的任务窗格中默认打开“模版”选项卡，里面列出了系统置的五种模版，单击“边缘防火墙”模版，如下图 25。图 25 第二步：打开“网络模版向导”，在欢迎页中单击“下一步”按钮。如下图 26 图 26 第三步：点击下一步，打开“部网络 IP 地址”对话框，确认向导正确识别了部网络的 IP 地址。在该对话框中，用户可以通过添加 IP 地址、添

14、加适配器或添加专用地址来添加更多的 IP 地址。添加到“地址围”列表框中的 IP 地址将被允许访问外部网络（Internet），确认部 IP 地址围无误后单击“下一步”继续，如下图 27所示：图 27 第四步：打开“选择一个防火墙策略”对话框，在“选择一个防火墙策略”列表中选中一个防火墙策略。本例选中“允许无限制的访问”选项，该策略将允许部网络和 VPN 客户端网络中的计算机无限制访问 Internet。设置完毕单击“下一步”按钮，如下图 28 所示：图 28 第五步：点击下一步，单击完成按钮。如下图 29 图 29 第六步：返回 ISA Server 管理窗口。在左窗格中单击“防火墙策略”选

15、项，这时可以在右窗格中看到新建的策略规则。最后依次单击“应用”“确定”按钮保存更改并更新配置，如下图 210，211所示：图 210 图 211 第七步：出于安全考虑，ISA Server 服务器默认不允许 FTP 上传（即不能向位于外部网络的 FTP 服务器），用户必须手动取消 FTP 的“只读”属性才能实现 FTP 上传。在上述创建的“无限制的 Internet 访问”策略规则上单击右键，选择“配置 FTP”快捷命令。在打开的“配置 FTP 协议策略”对话框中取消选中“只读”复选框，并依次单击“确定”“应用”“确定”按钮保存更改并更新设置，如下图 212所示：图 212 2.2.2具体策略

16、(使 ccc 和 xp 能够 ping通 bbb，使 ccc能够 telnet bbb，而 xp 不能telnet bbb)第一步：bbb上未安装 ISA之前 ccc能够 ping 通 bbb如下图 213所示：图 213 第二步：在 bbb上安装 ISA2004，如下图 214所示 图 214 第三步：bbb上安装了 ISA2004后，bbb能够 ping同 ccc和 xp,而 ccc 和 xp 不能ping通 bbb。在 bbb上创建策略，使 ccc和 xp 能够 ping通 bbb。如下图 215，216，217所示：图 215 图 216 图 217 第四步：创建策略使 ccc能够 t

17、elnet bbb 而 xp不能 telnet bbb，如下图 218 所示：图 218 第五步：Ccc能够 telnet bbb,而 xp不能 telnet bbb，如下图 219，220所示：图 219 图 220 2.3 实现系统部蜜罐功能实现系统部蜜罐功能 第一步：单击“开始”“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。第二步：在弹出的“组件服务”对话框中，选择“计算机”选项。第三步：在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。第四步：在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式 COM”前的勾。第五步：选择“默认协

18、议”选项卡，选中“面向连接的 TCP/IP”，单击“删除”按钮。第六步：单击“确定”按钮，设置完成，重新启动后即可关闭 80端口。关闭了 80端口，如下图 221所示：图 221 第七步：服务器类型选 iis 服务后开始监听，如下图 222所示：图 222 第八步：bbb(192.168.1.42)访问 192.168.1.1，访问到虚拟 web，如下图 223所示 图 223 第九步：aaa上日志文件检测到 192.168.1.42 的访问，如下图所示：224 图 224 第三章第三章 网络设备安全网络设备安全 3.1 网络设备网络设备 IOS 安全安全 3.1.1 登录密码安全（以交换机为

19、例）为交换机 SI配置 Enable 密码，如下图 31 图 31 3.1.2 终端访问限制安全（以交换机为例），如下图 32 图 32 3.2 Cisco交换机安全（S1 只能学到一个 MAC 地址，如果违规就将接口关闭）3.2.1 交换机端口安全 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类型：一是限制交换机端口的最接数，二是针对交换机端口进行 MAC 地址、IP 地址的绑定。限制交换机端口的最接数可以控制交换机端口下连的主机数，并防止用户进行恶意的 ARP 欺骗。交换机端口地址绑定可以实现对用户进行严格的控制、保证用户的安

20、全接入和防止常见的网的网络攻击。在 S1上配置（让 S1 的端口 fa0/2 只能学到一个 mac地址）的命令如下图 33所示：图 33 3.2.2 VLAN安全 VLAN的主要作用：一是提高网络安全性，阻止 XX的 VLAN访问，二是提高网络传输效率，将广播隔离在子网之。在局域网使用 VLAN可以降低移动和变更的管理成本，控制广播、增强安全性、网络监督和管理的自动化。3.2.2.1 划分 VLAN并配置 VTP 并将电脑加入到相应的 VLAN 如下拓扑图 34 图 34 第一步：连线并且配置中继链路 S1(config)#interface fa0/4 S1(config-if)#switc

21、hport mode trunk S2(config)#interface fa0/4 S2(config-if)#switchport mode trunk 查看和检验的命令 S2#show interfaces trunk 第二步：配置域名 S1(config)#vtp domain syh S2(config)#vtp domain syh 第三步：在交换机 S1上创建一个 VLAN 第四步：把端口加到 VLAN中 S2(config)#interface fa0/1 S2(config-if)#switchport mode acce S2(config-if)#swi acc vla

22、n 10 S2(config-if)#exit S2(config)#inter fa0/2 S2(config-if)#swi mo acc S2(config-if)#swi acc vlan 20 S2(config-if)#exi S2(config)#interfac fa0/3 S2(config-if)#swi mo acc S2(config-if)#swi acc vlan 30 第五步：S1为 VTP 服务器，S2为 VTP 客户 S1(config)#vtp mode server S2(config)#vtp mode client 3.3 Cisco 路由器安全路由器

23、安全 3.3.1 路由器 ACL安全 3.3.1.1拓扑图如下图 35 所示 图 35 3.3.1.2 安全策略 1 只允许 PC3（192.168.3.2）访问服务器的 web 站点（192.168.1.3），其他都拒绝.其配置命令如下图 36 所示：图 36 3.3.1.3安全策略 2 拒绝来自因特网的 PING、telnet，其它都允许。其配置命令如下图 37所示：图 37 3.3.2 路由器物理访问安全 路由器是局域网中的主要设备之一，也是网络安全的前沿关口。如果路由器连自身的安全都没有保障，整个网络也就毫无安全可言。因此在网络安全管理上，必须对路由器进行合理规划、配置，采取必要的安全

24、措施，避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。维护路由器一直是网络管理员最重要的工作之一，除确保管理员身份外，还应建立完善的记录备案机制，通常情况下可以从为路由器间的协议交换增加认证功能、物理安全防、静止远程访问、保护路由器口令、阻止查看路由器当前的用户列表、防止包嗅探等方面加以控制。严格控制 CON端口的访问，可以采取下列措施：1、如果可以开机箱的，则可以切断与 CON口互联的物理线路；2、可以改变默认的连接属性，例如修改波特率；3、配合使用访问控制列表控制对 CON的访问；4、为 CON口设置高强度的密码。第四章第四章 各种攻击与其防对策各种攻击与其防对策 4.1 IPC

25、$入侵入侵 第一步：建立 IPC$连接（目标主机的 ip:172.5.211.105）如下图 41所示：图 41 第二步：映射对方默认共享 C 盘，如下图 42所示：图 42 第三步：在我的电脑上会出现网络驱动器，如下图 43 图 43 第四步：编写一个批处理文件（其目的是为了留下后门），并拷贝到对方的电脑上，然后增加计划任务执行批处理文件，如下图 44 批处理命令：（保存为 adduser.bat）net user nebulastest 123456/add/增加用户 nebulastest，密码 123456 net localgroup administrators nebulaste

26、st/add/为用户 nebulastest 赋予管理员权限 图 44 第五步：删除当前 IPC$，使用新用户和新密码建立 IPC$，如下图 45所示：图 312 第六步：使用 telnet（其格式是：在命令行输入 telnet 目标主机的 ip）进行登陆：（前提:目标电脑已经开启 telnet 服务）如下图 46所示：图 46 第七步：登陆后的界面（获得了目标主机的 shell），如下图 47所示：图 47 4.2 IP 欺骗与防欺骗与防 4.2.1 IP 欺骗 第一步：ipmap 安装成功提示，如下图 48 图 48 第二步：启动 ipmap，如下图 49 图 49 4.2.2 IP 欺骗

27、防 IP 欺骗的防措施主要有以下三个：（1）抛弃基于地址的信任策略 放弃以地址为基础的验证。不允许 r*类远程调用命令的使用；删除 rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其他远程通信手段，如 telnet、ssh、skey等（2）阻止伪冒 ip地址 采用访问控制列表（ACL）可也阻止这类 ip 地址进入网在进站 ACL拒绝的私有地址的进入（黑客冒充私有一般）ip access-list exitingress-antispoof deny ip 10.0.0.0 0.255.255.255 any permit ip any any 建立策略防止自

28、己网络中用户仿冒其他网络的 ip（3)使用加密方法 通信时要求加密传输和验证。IPSEC 是 intenet 协议安全，它使用很强的密码系统提供认证和加密服务，提供两个网关之间的安全通道的能力，数据在发送者的网送处加密，在接受者处的网关处解密 4.3 网页病毒的制作与防网页病毒的制作与防 4.3.1 网页病毒的制作 第一步：代码编辑，我们使用写字板编辑如下代码：第二步：执行脚本编写的代码。要执行上述代码，首先要配好 IIS 服务和我 web服务器 第三步：当 web服务器配置完成，将上述编辑好的代码保存到 web 服务器的路径中，如“c:Inetpubwwwroottext.asp”.第四步：

29、打开 IE浏览器，在地址栏中输入“:/localhost/text.asp”，运行脚本。这时，如果脚本没有语法错误则会在网页中输出“新建文件 myfile”,并且在 d 盘根目录下建立了一个文件 myfile 4.3.2 网页病毒的防 自定义安全级别。打开 IE，在 Internet 选项中选择“工具”“安全”“自定义安全级别”把“ActiveX 的插件和控件”的一切设为禁用。如下图 410所示：图 410 4.4 遇到密码破解的对策遇到密码破解的对策 4.4.1 对称密钥密码体制 所谓对称密钥密码体制是指加密和解密密钥是一样的。对称密钥密码体制在应用中的缺陷：密钥管理的麻烦、不能提供法律依据

30、、缺乏自动检测密钥泄密的能力。4.4.2 公钥密码体制 所谓公钥密码体制是指加密和解密是不同的，密钥是一对。一个是公开的，一个是秘密的。公钥密码应用上的缺陷：公钥算法一般比较复杂、加解密速度慢。网络上的加密普遍采用公钥和私钥密码相结合的混合加密体制：加解密采用传统密码，密钥传送采用公钥密码。这样既解决了密钥管理的困难，又解决了加解密速度的问题。4.4.3 密码体制的应用（虚拟专用网），VPN 的过程如下图 411所示：图 411 要通过 Internet 建立 VPN，不仅只是对两端传送的数据进行加密，还需要对用户的身份进行认证。用户认证涉与认证算法或公钥证书。VPN 还需要建立访问控制能力，

31、只有合法的用户才能访问部网，不同用户的访问权限也会不一样。第第五章五章 结论结论 有网络连接的地方，就会有网络安全问题的存在。网络安全问题是网络发展的核心和灵魂。在本次毕业设计中，主要浅析了一些简单的网络安全的问题与其防的措施。在此设计过程中，通过实践和参考了许多有关方面的资料，也对以前所学的关于网络方面的知识有了更深的了解，当完成这个设计之后，我们感受到网络的无穷魅力同时也发现自己掌握的网络知识是如此欠缺并对网络知识产生了一进步了解加深的渴望。在这次设计中虽然遇见了很多问题，但通过查询资料，请教同学，问题都不同程度的解决了。通过这次课题，我学到了很多，与此同时也巩固了我的已学知识，提高了我们

32、的思维能力，加强了我们解决困难和应对困难的能力。参考文献参考文献 1晟 峥，计算机网络安全实验教程，第一版，清华大学，2011 年 2 晓辉，网络安全设计、配置与管理大全，第一版，电子工业，2009年 3 希仁，计算机网络(第 5版)，第 5 版，电子工业，2009年 4 涛,网络安全概论，第 1版,电子工业,2004年 5牛冠杰，网络安全技术实践与代码详解，人民邮电.，2010年 6 波，现代密码学（第 2 版），清华大学，2010年 7 Greg Holden 著 王斌 孔璐译 防火墙与网络安全入侵检测和 VPNs，清华大学，2009年 8 龚涛 鲁立，网络操作系统基于 Windows Server 2003，机械工业，2010 年 9 David Hucaby著 王兆文译，CCNP SWITCH（642-813）认证考试指南，人民邮电，2010年 10 Todd Lammle 著 程代伟 徐宏 池亚平译，CCNA学习指南，第三版，电子工业，2009年 致致 首先诚挚的感指导老师 XXX老师，在 XXX 老师的悉心指导下，我不但顺利完成了论文，还学到了很多知识，使我在以后的学习和工作中了解懂得了更多，给了我很大的帮助。另外我还要感我的同学，在完成论文的同时她们给了我很大的帮助和支持，让我能更快的完成论文。