利泰公司网络安全解决方案毕业论文

毕业设计（论文）题

目：

利泰公网安全解方院()：

信息与筑程学院专姓学

业：名：号：

计应用ZK1101指导教：

龙崇冰

二〇一年一月二日

学生姓

毕业设（文）任书学号专

业

计算机用技术院（系毕业设（论文）题任务与求

信息与筑工程学院利泰公网络安全解方案任务学生应质保量按照业设计论文进度计表来完成文的撰写，撰写过中应根据不的时期成论文的题、写作、理、修任务，最终保论文完成。要求：文思想正确方案合，论点正确论证充分，结正确，数据靠，论文字通顺表述清楚，构完整叙述清楚。文文献译文意思正，文字顺。完成时段

20136月28至201325共20周

年11

月指导教单位

重庆科职业学院

教师院（系审核意见

日日毕业设(论)度计表日期月30号月1号至月16日月17至月10日月11至月20日月21日至月10月11日至月25日

工作内论文选分论，理纲根题，集关料完初初完，成稿修二，稿成并印上

执行情况按完按完按完按完按完按完

指教签字教师对度计划实施情总评

该生能按时认真完每个阶的任务，态端正，作积极；所论文，论点确，论充分，能够晰地表自已的观点。签名年月

日本作定生时绩依之

毕业设(论文)期检查记录毕业设(论目:利泰公司网安全解方案学生填

学生姓:专业：算机应用技

学号指导教姓名:宋再红

职称师毕业设(论目工作毕业设(论目难度

饱满大

一般适中

不够不够比较丰毕业设(论目涉及识点

丰富

富

较少很有价毕业设(论目价值

值

一般

价值不检查教师填

学生是按计划进度立完成作任务学生毕设计(论文工作进度写情况指导次学生工态度

认真

一般

较差其他检内容：存在问及采取措施检查教签字:

年

月

日院（系意见(加盖公):

年

月

日

摘要信息网安全已经从一安全品、安全措发展到体的、系统安全解方案。态的安全策,联动安全产,动的安全环构成联的、整体的络安全解方案。即实网络安的管理、防、监测审计、服务个环节及各环节对的产品之间联动。文论述了开系统互安全体系结下的重信息网络安现状分析和险评估;以及在动的安理念指导下据需求风险、价平衡则设计的重集团信网络安全解方案和施策略。本提出的钢网络安全决方案实现安全管和安全技术施统一在技术构方面包括理层、用层、系统、网络、物理层网安全解方案具评估、护、检测、应和恢五种技术能,用网络全集中管理心平台重钢网络及络安全备、重要服器进行中安全管理实现安管理心和防墙系统、入检测系、风险评估统、防毒系统有机合。在织结构方面包括行内部全机构设置人员分、人员培训作,定义部支持构和相关调。在管理构方面主要包括安策略安全制、产管理、险管理技术管等,系统地出安第一、小授权、特分离、层次安全机、应急案等安管理原则。关键词信息网络

网络安

安全系方案

AbstractSecuritysysteminformationnetworksecurityhasfromsinglesecurityproducts,securitymeasuresintowhole.securitytactics,productslinkage,securitywhichlinkagelinkage,theoverallnetworksecurity。Betweenthenetworksecuritymanagement,protection,monitoring,auditing,serviceeachlinkandlinkcorrespondstotheproductofthelinkage。ThispaperdiscussesanalysisofthesituationofChongqingsteelinformationsecurityriskassessmentsecurestructureunderopenandinguidingthesafetyconceptlinkage,solutionsbasedondemand,risk,costbalanceprincipleofthedesignofChongqingSteelGroupinformationnetworksecurityandimplementationstrategy.Internetproblem-solvingplanisproposedthispaperrealizedunificationofsafetymanagementandsafetytechnicalmeasures。Includingmanagementapplicationlayer,systemlayer,networklayer,physicallayersecuritysolutionsinthetechnicalstructure,withassessment,protection,detection,responseandrecoveryoffiveoftechnicalability,thesecuritymanagementcenterChongqingsteelplatformnetworksecurityfacilities,importantservercentralizedsafetymanagement,realizingsafetymanagementcenterandthefirewallintrusiondetectionsystem,riskassessmentsystem,anti-virussystemorganiccombination。Intherespectoforganizationstructure,personneltraining,definitionoftheexternalsupportagenciesandrelatedcoordination。Inmanagementstructure,includingstrategy,securityassetmanagement,riskmanagement,technologymanagement,thesystemputforwardsafetyfirst,minimumauthorization,privilegeseparation,levelmechanism,contingencyplanssecuritymanagementprinciplesKeywords:informationnetworksecurity

目录第一章绪

第二章网安全概

第一节网安全的念第二节网安全系的脆弱性.......................................................2第三节网安全模...............................................................3第四节企局域网应用...........................................................第三章网系统安风险分析

第一节物安全风分析...........................................................第二节网平台的全风险分析.....................................................第三节系的安全险分析.........................................................5第四节来局域网部的威胁.......................................................5第五节来互联网威胁...........................................................第六节网的攻击段第四章企网络安解决实施

第一节物安全..................................................................9第二节网

划分............................................................第三节网防火墙置.............................................................第四节网配置.............................................................15第五节网防病毒施.............................................................第五章局网故障诊断与排除

第一节局网故障诊断19第二节局网故障排除19结论

致谢

参考文

第一章言随着迅变化的商业境和日复杂的网络已经彻改变了目前事业务方式。管企业现在赖许多安全技术来护知识权但它们经会遇到些技术所固的限制因素题。无当今的技术榜有何能力，它们常均有能够集中监和控制其他三方异安全产品。多数技都未能证实至关重的整合，正和关联层，它们正有效安全信基础的成部分。寻尖端技，经验丰富人员和最佳法与持主动进行企安全管的坚实整合当今所IT全专业土面临的最峻挑战有效的安全息管理要关键是要企业管其企业安全并同时在风与性能进间做到最平衡。有良好的主企业安管理不应是们所有人难实现的想。通过本业网络全技术及解方案，企业网络可效的确保信资产保性，完整性可用性本方案为企局域网络安全的解方案，包括有网络统分析，网安全风分析，安全系结构设计等。本全解决方案在不影该企业局域当前业的前提下，现对局网全面的安管理。1.将安全策略，件及软件等法结合来，构成一统一的御系统，有阻止非用户进入网，减少络的安全风。2.期进行漏扫描，计跟踪，及发现问，解决问题3过入侵检测等方实现实安全监控，供快响应故的手段同时其备很好的全取证措施4用网络管理者能很快重组织起来被的文件应用使系统重新复到破坏前状态，最大度地减损失。5.在服务器上安相应的防毒件，由央控制台统控制和理，实现全络统一病毒。第二章络安全概述第节网安的念网络安是指网络系的硬件较件及其系中数据保护，不受然的或

恶意的因而遭到破，更改泄漏，系统续可靠常地运行，络服务中断。网络安从其本质上讲就是络上的信息全。从义上来说，是涉及网络上息的保密性完整性可用性，真性和可性的相关技和理论是网络安全研究领域。从网络行和管理者角度说他们希望对地网络息的访问，写等操受到保和控制，避出现“门，毒，非法存，拒绝务和网络资非法占用和非控制等威胁制止和御网络黑管攻击。从社会教育和意识态角度讲，网络上健康的容，会对社的稳定发展造阻碍，必须其进行制。第节网安系的弱计算机临着黑客，毒，特伊木马程序系统后和窥探等多方面安威胁。管近年来计机风络全技术取得大的发，但计算机络系统安全性，比往任何时候更加脆。主要表现他极易到攻击和侵，他的击力和防护很弱，其脆性主要现在下几个面。1.作系统的全脆弱操作系不安全，是算机系不安全的根原因。2.络系统的全脆弱网络安的脆弱性，用议的网络提供的FTP，E-AIL，RPCNFS都包含多不安全的素；计机硬件的故，由二产工艺和制商的原，计算机硬系统本身有障；软本身的“后，软本身的后门是软件司为了方便已进入而在发时预设置的，一面软件调试进一步展或远维护提供了便，但同时为非法侵提供了通，入侵可以利用“门，多进入系统，见的后门有改配制件，建立系木马程和修改系统核等；件的漏洞，件中不可避的漏洞缺陷，成了客攻击首要目标，型的如作系统中的BUCS。3.据库管理统的安脆弱性大量信存储在数据中，然对这些数据系统在全的考虑却少。数库管理统安全必须操作系的安全相配，例如DMBS的全级别B2级操作系统安全级别也是B2，但实中往往不是样。

4.火墙的局性防火墙然存在着一不能防的威胁，例不能防不经过防火的攻击及很难范网络内部击及病威胁等。5.灾人祸天灾是不可控制的然灾害如地震，雷等。人是指人为的意攻击违纪，法和计算机罪。无是指误操作成的不后果，如文的误删，误输入，全配置不当用户口选择不慎，号泄露与别人共享6.他方面如环境灾害的影响计算机域中任何重的技术步，都对安构成新威胁等总之，系统身的脆和不足，是成网络全问题的内根源，系统本身的弱性，社会系统的赖性这一矛又将促网络安全技的不断步发展和进。第节网安模计算机络系统安全概念是对，每一个统都具潜在的危险安全具动态性需要适应变的环境并能作出相的调整以确保计算网络系的安全。一个最见的安全模是PDRR型：模型就四个英文单的头字，PROTECTION（护，DETECTION检测RESPONSE(应，RECOVERY(恢这四个部分成了一个动的信息全周期，如图：图1-1网络全型安全策的每一部分括一组应的安全措来实施定的安全功。安全略的第部分就是防。根据统忆知的所安全问防御的措施如打补，访问控制数据加密等。防御为安全策略第一战。安全策略第二战就是检测。击者如果穿防御系，检测系统会检测来。这个安战绩的能就是检测入侵者的身，包括击来源，系损失等一旦检测出侵，响系统开始响包括事件处和其他务。安全策的最后个战绩就是统恢复在入侵事件生后，把系恢复到来的状态。次发生侵事件，防系统都更新，保证相类型的入侵件不能发生，所以个安全略包括防御检测，应和恢复，四个方面组了一个息安全周期

第节企局网应企业局网的应用可为用户供如下主要用：1.件共享，公自动，服务，电邮件服；2.件数据的一存储3对特定的应用在据库服器上进行二开发（如财务系统；4.供与INTERNET的访问；5.过公开服器对外布企业信息发送电邮件等。第三章络系统安全风分析这个企的局域网是个信息较多的百兆域网络统，它所联的现在有百个息点为整个业内办的各部门得一个快，方便的信交流平。不仅如此通过专线与INTERNET连接，打通一扇通外部界的窗，各个部门可以直与互联网用进行交，查询资料。通过开服务器，业可以接对外发布息或者与发电子邮。高速交换术的采，灵活的网互连方设计为用户供快速，方，灵活信平台的同，也为络的安全带了更大风险因此，原有网络上施一套整，可操作安全的决方案不仅可行的而且是必需企业局域网全可以以下几个方来理解1.网络物理是否全；2.网络平台否安全；3.系统否安全；企业局域本身是安全；互联连接是安全。对每一类安风险，合实际情况我们将体的分析网的安全险。第节物安风分网络的理安全主要指地震水灾，火灾环境事，电源故障人为操失误或误，设备被，被毁电磁干扰，较截获及高可用性硬件，机多冗余的计，机房环及报警统，安全意等。它整个网络系安全的提，在这个且加强网络备和机的管理，这风险是以避免的。第节网平的全险析网络结的安全涉及网络拓结构，网络由状况网络的环境。

公开服器面临的威，企业域网内公开务器区.EMAIL等务器）为公司的息发布平台旦不能行后者受到击，对业的声誉影巨大。时公开服务本身要为外服务，须开放相应服务。天，黑客都试图闯INTERNET

节点，些节点如果保持警，可能连黑怎么闯的都不知道甚至会成客入侵其他点的跳。因此，企局域网管理人员对INTERNET安全故做出效反应变得分重要我们必须将开服务，内部网络外部网进行隔离，免网络结构息外泄同时还要对网络的务请求加以虑，只许正常通信数据包到达应的主，其他的请在到达机之前就该到拒绝整个网结构和路由况，安的应用往往建立在络系统之上网络系的成熟否直接影响全系统功的建设。这个企局域网网络统中，使用一台路器，作为与连接的边路由器，网结构相简单，具体置时可以虑使用静态由，这大大减少了网络结和网络路由成的安风险。第节系的全险析所谓系的安全是指个局域络操作系统网络硬平台是否可且值得任。网络操系统，网络件平台可靠性：对中国来，恐怕没有对安全操作系可以选择，论是MICROSOFT的WINDOWS或其任何用UNIX操系统，其开发必然有其BACK--DOOR。们可以样讲没有完安全的操作统。但，我们可对现在所有操作平进行安全配，对操和访问权限行严格制，提高系的安全性。此，不要选用尽可的操作统和硬件平，而且须加强登录程的认证（别是在达服务器主之前的证，保用户合法性。其次应该严限制登录的操作限，限制操权限制最小的范围。第节来局网部威（1）用的安风险应用系的安全是动，不断化的，其结是安全洞也不断增且隐藏来越深因此，保证用系统安全也是一随网络展不断完善过程。用的安全性及到信息，据的安性。信息的全性涉到机密信息漏，未授权

的访问破坏信息完性，假，破坏系统可用性。由于这个业局域度不大，绝部份重要信在内部递，因此信的机密和完整性是以保证。对于有些别重要的信需要对部进行保密可以考在应用级进加密，对具体的应直接在应用统开发进行加密。（2）理的安全风管理是络安全中最要的部，责权不明管理混，安全管理度不健及缺乏操作性等都能引起理安全的风。管理知乱使得一员工或理员随便让些非本地员甚至外人员进入机重地，者员工有意意泄漏们所知道的些重要信息而管理却没有相应度来约。当网络出攻击行或网络受到他一些安全胁（如部人员违规作等，法进行时检，监控报告与预。同时，当故发生后，也无法供黑客击行为的追线索及案依据，即乏对网络的控性与审查性。所我们必对站点的访活动进多层次的记，及时发现法入侵为。建立全的网络全机制，必深刻理网络并能提解决方案，此最可的做法是管制度和络安全解决案的结。（3）满的内员工不满的部员工可能站点上些小玩笑，至破坏不论如何，们最熟服务器小程序，脚和系统弱点。例如们可以出至关重要信息，漏安全重要息，错误地入数据等等。第节来互网威（1）客攻击黑客们攻击行为是时无刻在进行的，且会利系统和管理一切可胜利用漏洞。公开务器存漏洞的一个型例证是黑客可以易地骗公开服务器件，得到服器的口文件并将之回。黑入侵服务器，有可修改特权，普通用户变高级用，一旦成功黑客可直接进入口文件。客还能开发骗程序，将装入服器中，用以听登录话。当它发所有用登录时，便始存储一个件，这黑客就拥有人的帐和口令。这为了防黑客，需要设公开服务器使得它离开自已的间而进另外的目录另外，应设置组特，不允许任使用公服务器的人问页面件以外的东。在这企业的局域内我们可以合采用火尖端技术入侵检技术，访问制技术保护，

网络内信息资源，止黑客击。（2）意代码恶意代不限于病毒还包括虫，特洛伊马，逻炸弹和其他经同意较件。以应该加强恶意代的检测。（3）毒的攻计算机毒一直是计机安全主要威胁。毒不是立存在，它藏在其可执行程序之中，有破坏，又有传染和潜伏。轻则影响器运行度，使机器能正常运行重则使器处于瘫痪会给用带来不可估的损失能在INTERNET上传播的新型毒，如通过传播的毒，增了这种威胁程度。第节网的击段一般认，目前对网的攻击段主要的表：非授权问：没有预经过同，就使网络计算机源被看作非权访问如有意开系统访问控机制对网络设备资源进非正常使用或擅自大权限，越限访问信息信息泄或丢失：指感数据有意或无意被泄漏丢失，通常括信息传输中者存储介质丢失，漏，或通过立隐蔽道窃取敏感息等。破坏数的完整性：非法手窃取对数据使用权删除，修改插入或发某些要信息，以得有益攻击者的响，恶意改数据，以扰用户正常使用。拒绝服攻击：它不对网络务系统进行扰，改其正常的作流程，行无关序使系统响减慢甚瘫痪，影响常用户使用，甚至用合法户被排斥而能进入计算网络系或不能得到应的服。利用网传播病毒：过网络播计算机病，其破性大大高于机系统而用户难防范。

第四章业网络安全解实施第节物安利泰公网络中保护络设备物理安全是整个计机网络系统全的前提，物安全是指保计算机络设备、设以及其媒体免遭地、水灾火灾等环境故、人为操失误或种计算机犯行为导的破坏。针对利公司的物理全主要虑的问题是境、场和设备的安及物理问控制应急处置计等。物安全在整个算机网信息系统安中占有要地位。它要包括以下个方面保证机环境安全信息系中的计算机件、网设施以及运环境是息系统运行最基本环境。从一下三个面考虑a.然灾害、物损坏和备故障b.磁辐射乘机而入痕迹泄漏等c.作失误意外疏等2)选用合适传输介质屏蔽式绞线的抗干能力更，且要求必配有支屏蔽功能的接器件要求介有良好的接（最好多接地对于干严重的区域使用屏式双绞线，并将其在金属管内增强抗扰能力。光纤是长距离和高量传输统最有效的径，从输特性等分，无论种光纤有传输频带、速率、传输损耗、传输离远、抗雷和电磁干扰性好保性好，不易窃听或截获数据、输的误率很低，可性高，积小和重量等特点。与绞线或轴电缆不同是光纤辐射能量，够有效阻止窃听。3)保证供电全可靠计算机网络主干设对交流源的质量要十分严，对交流电电压和率，对源波形的正性，对相电源的对性，对电的连续性可靠性定性和抗干性等各项指，都要保持在允许差范围。机房的供电系统计既要满足备自身运转要求，要满足网络用的要，必须做到证网络统运行的可性，保证设的设计命保证信息全保证房人员的工环境。

第节网VLAN分VLAN技术能有效离局域，防止网内攻击，以利泰商贸限公司络中按部门行了VLAN划，划分为以两个VLAN：财务部VLAN业务部VLAN核心交机VLAN路由

交换机S1接入交换机（州数码DCS-3950）交换机S2接入交换机（州数码DCS-3950）核心交机（神州数DCRS-5526）S1置如下switch>switch>enaswitch#conswitch(Config)#vlan10switch(Config-Vlan10)#swint0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#int0/0/24switch(Config-Ethernet0/0/24)#swtSettheportEthernet0/0/24TRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swavasettheportEthernet0/0/24vlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolswitch(dhcp-vlan10-config)#network-addressswitch(dhcp-vlan10-config)#leaseswitch(dhcp-vlan10-config)#default-routerswitch(dhcp-vlan10-config)#dns-serverswitch(dhcp-vlan10-config)#exitswitch(config)ipdhcpexcluded-addressS2置如下

Switch>Switch>enaSwitch#conswitch(Config)#vlan20switch(Config-Vlan20)#swint0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#int0/0/24switch(Config-Ethernet0/0/24)#swtSettheportEthernet0/0/24TRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swavasettheportEthernet0/0/24vlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolswitch(dhcp-vlan20-config)#network-addressswitch(dhcp-vlan20-config)#leaseswitch(dhcp-vlan20-config)#default-routerswitch(dhcp-vlan20-config)#dns-serverswitch(dhcp-vlan20-config)#exitswitch(config)ipdhcpexcluded-addressS0置如下switch>switch>enableswitch#configswitch(Config)#hostnameS0S0(Config)#vlan10S0(Config-Vlan10)#vlan20S0(Config-Vlan20)#exitS0(Config)#int0/0/1-2

S0(Config-Port-Range)#swmtS0(Config-Port-Range)#swtaaS0(Config-Port-Range)#exitS0(Config)#int10S0(Config-If-Vlan10)#ipS0(Config-If-Vlan10)#noshutdownS0(Config-If-Vlan10)#exitS0(Config)#int2000:04:23:%LINK-5-CHANGED:InterfaceVlan20,changedtoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan20,changedstatetoUPS0(Config-If-Vlan20)#ipS0(Config-If-Vlan20)#noshutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#ipS0(Config-If-Vlan1)#noshutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#showrouteS0#conS0(Config)#ip第节网防墙置利泰公网络中使用是神州码的DCFW-1800S里面包含防火墙VPN等功能以下为配置程：在防火略下，新增如图

图4-1新增业火策示图源域：untrust；源地址象：any目的域trust目的地对象：any在全局全策略设置面如图4-2图示:图4-2企业火策配示图

图企防墙略置意图4-4企业火策配示图可以设全局下面访策略，及域内和域的访问略。这里我设置，部网络信任区域（trustInteneter为不信任区域untrust服务器区域DMZ域。动包括许，拒，以及其他的定的服。这里允许部访问部和DMZ域，DMZ和Inteneter不允访问内。但是处于间位置的以允许Inteneter的问。以要添好几NAT略。在网络口处如图示:

图4-5网络口配示图要配置3个以太网口为up，安全区域分别为eth1：l2-trust，：l2-untrust，。其中外网的eth0工模式为由模式，其接DMZ和内部都为NAT式。如示图4-6以网口置意同时为们配好相应网络地eth02，eth1：eth2。第节网VPN配置利泰公网络的VPN能主要是通过面的防火墙现的。图4-7,图4-8所示

图4-7PPTP协议意图图4-8PPTP示意图这里我使用PPTP协来实现VPN，首先是增PPTP地址池，范围如图所示图4-9PPTP协议现VPN示意在PPTP设置里，选择Chap加密认，加方式。DNS分别为，MTU为第节网防毒施针对利公司网络的状，在合考虑了公对防病系统的性能求、成和安全以后，我选江民杀软件KV网络来在网中进防病毒系统建立。

产品特:KV网络版是为种简单或复网络环设计计算机毒网络防护统，即用于包若干台主机单一网网络，也适于包含种务器、件服务器、应用服器，以及分在不同市，包含数万台主的超大型网。络版具有以下著特点：(1)进的体结构(2)强的杀能力(3)备的远控制(4)便的分、分管理利泰公网络KV络版的主制中心署在DMZ服器区，子控中心部在3交换机的一台服器上。网络拓结构如图4-10示:图4-10主控中部图子控制心与主控制心关系控制中负责整个络版管理与制，是整个KV网络的核心在部KV网络时，必须首安装。了对络中的算机进行日的管理控制外，它实时地录着KV络版防护系内每计算机上的毒监控查杀病毒和级等信息。在1网段内允许装台控制中心。根据控制心所的网段不同可以将控中心划分为控制中和子控制中，子控中心除了要完成控制中心功能外还要负责与的上级—主控制中进行通。这里的“”和“”是一个相对的概：每控制中对于的下级网段来说都主控制心，对于它

的上级网段来说又子控制心，这种控结构可根据网络的要无限延伸下去。为利泰司网络安装KV网络版杀毒软件，为期配置件的安策略。对利泰公司户端计算机软实现更为完的远程制功能，利KV软控制中心的“略设置”功组