网络安全实验综合实验网络安全系统的设计与实现

/计算机和信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络平安试验班级：学号：姓名：任课老师： 计算机和信息科学学院实验报告试验名称网络平安系统的设计和实现指导老师试验类型试验学时2试验时间12.20一、试验目的和要求1、分析公司网络需求，综合运用网络平安技术构建公司网络的平安系统。2、通过对实训项目的设计和实现，以提高和增加学生对网络平安技术的理解实力。二、试验仪器和器材试验所需的额软硬件配置如表1所示。试验原理及步骤【试验原理】网络系统的平安是一项系统工程，利用网络平安理论来规范、指导、设计、实施和监管网络平安建设，从平安制度建设和技术手段方面着手，加强平安意识的教化和培训，自始至终坚持平安防范意识，实行全面、可行的平安防护措施，并不断改进和完善平安管理，把网络平安风险降到最小程度，打造网络系统的平安堡垒。本实训将以企业网络系统为例，综合应用网络平安的各种技术（如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH平安通信技术、网络平安扫描、监听和入侵检测技术、数据备份和还原技术等）来实现公司网络系统中的各种网络平安服务。【试验内容】（1）网络平安风险分析。（2）网络现状分析。（3）网络信息平安的实现。【试验步骤】网络平安风险分析1.1网络平安风险分析近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息平安问题日益突出。据有关方面统计，美国每年由于网络平安问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严峻。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。针对目前我国计算机网络发展状况，影响我国企业网络平安性的因素主要有以下几个方面。网络结构因素网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建立了自己的局域网，所接受的拓扑结构也可能完全不同。在建立内部网时，为了实现异构网络间信息的通信，往往要牺牲一些平安机制的设置和实现，从而提出更高的网络开放性要求。网络协议因素在建立内部网时，用户为了节约开支，必定会爱惜原有的网络基础设施。另外，网络公司为生存的须要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了平安隐患。地域因素由于内部网既可以是LAN也可能是WAN，网络往往跨越城际，甚至国际。地理位置困难，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些“黑客”造成可乘之机。用户因素企业建立自己的内部网是为了加快信息沟通，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业状况的人。用户的增加，也给网络的平安性带来了威逼，因为这里可能就有商业间谍或“黑客”。主机因素建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所运用的操作系统和网络操作系统不尽相同，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。单位平安政策实践证明，80％的平安问题是由网络内部引起的，因此，单位对自己内部网的平安性要有高度的重视，必需制订出一套平安管理的规章制度。人员因素人的因素是平安问题的薄弱环节。要对用户进行必要的平安教化，选择有较高职业道德修养的人做网络管理员，制订出具体措施，提高平安意识。网络平安中可能存在着来自各方面的威逼（如黑客攻击、特洛伊木马、信息丢失、蠕虫、泄密、拒绝服务攻击、计算机病毒、后门等），所以对网络平安问题进行风险分析，必需从多层面入手，形成整体的平安评估，从而为需求分析供应牢靠的依据。下面主要从物理平安、网络结构平安、系统平安、病毒入侵防护和人工管理等方面进行风险分析。1.2系统平安风险分析操作系统是计算机系统的内核和基石，是应用软件同系统硬件的接口，其目标是高效地、最大限度地、合理地运用计算机资源。在信息系统平安涉及的众多内容中，操作系统、网络系统和数据库管理系统的平安问题是核心，没有系统的平安就没有信息的平安。作为系统软件中最基础部分的操作系统，其平安问题的解决又是关键中之关键。若没有平安操作系统的支持，数据库就不行能具有存取限制的平安可信性，就不行能有网络系统的平安性，也不行能有应用软件信息处理的平安性。因此，平安操作系统是整个信息系统平安的基础。操作系统平安风险主要有：1．操作系统的漏洞是无法避开的，在新版操作系统弥补旧版本中漏洞的同时，还会引入一些新的漏洞。2．端口是服务器供应网络服务的主要通道，端口的担忧全管理将会给非法者供应入侵的跳板。3．用户账户是计算机平安设置的重要对象，具有高权限的账户是黑客主要的攻击目标。4．资源共享是Windows系统的重要功能之一，共享资源权限授权管理的不足将会给系统及数据造成极大的平安隐患。5．Internet信息服务是用于配置应用程序池或网络站点的工具，其平安运行是正常供应网络服务的基础。1.3网络结构平安风险分析网络结构平安是整个网络系统正常运行的基础和前提。网络中的主机会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内网向公网传送的信息可能被他人窃听或篡改，造成的这些网络平安威逼，有的来自外部，有的可能来自网络内部。网络结构的平安是多方面的，关乎网络的整体平安，网络结构平安风险主要有：边界平安是首要问题，未在网络边界设置网络防火墙或未正确配置防火墙，会使来自互联网的威逼增大。2．网络设备（如交换机）自身平安性也会干脆关系各种网络及应用的正常运转。3．网络不相关的各部分在无法实现物理隔离的状况下，如也未实现软件层面的隔离，将会使增大来自网络内部的攻击。4．交换机的配置不完善，对网络中非法数据传输的限制不够。1.4人工管理平安风险分析人是企业最大的漏洞，无论在企业内外，人都是一种威逼。人的威逼分为两种，一种是以操作失误为代表的无意威逼（偶然失误），另一种是以计算机犯罪为代表的有意威逼（恶意攻击）。人工管理是平安网络中最为薄弱的环节，该环节管理的好坏对网络平安起着举足轻重的作用。人工管理存在着如下的一些平安风险：1．数据库管理员或驾驭企业重要信息的员工在某种利益的驱使下，通过非法途径将信息泄露。2．网络管理员、系统管理员平安意识淡薄，为了便利省事，设置简洁的口令，易遭到破解。为多个用户供应相同的账号，造成管理混乱、责任不清，易引起信息泄露。3．网络管理员、系统管理员将网络设备或信息系统管理员账号泄露给其他人员，增大网络瘫痪或信息泄露的可能性。4．重要网络节点、服务器机房出入人员混乱，给网络设备的正常运行造成较大平安隐患。5．责权不明，平安管理制度不健全及缺乏可操作性等都可能引起平安风险。网络现状分析以下是某移动公司的简化的星形网络拓扑图，各组成的部分如图1所示。层次结构接受华为产品，设备接受100M全双工模式。省级交换机图1某移动公司网络拓扑图省级交换机核心设备接受S6502路由交换机，部门交换机均接受S3026交换机，核心交换机和web服务器、bbs服务器、FTP服务器、故障派单服务器等服务器干脆相连。部门网络和交换机之间须要安装一个代理防火墙，核心交换机和互联网之间也要安装防火墙。以阻挡外面的攻击。2.1网络需求分析依据网络服务类型可分为4个子网，分别为内部服务子网、公办子网、营业区子网和对外子网。各子网可依据需求选择性接入子网。图2公司网络现状下面对各子网的平安进行说明。1．营业区子网（1）平安接入互联网，可获得对外服务子网供应的服务；（2）统一部署防毒、杀毒系统；（3）具备系统还原实力。2．办公子网（1）平安接入互联网；（2）可依据部门需求选择性获得对外内服务子网供应的服务；（3）单机部署防毒、杀毒系统。3．对外服务子网（1）发布企业信息并为互联网用户供应服务；（2）能够抵抗来自互联网的各类攻击；（3）可实现访问限制；（4）有系统漏洞监测功能；（5）部署防毒、杀毒系统。4．内部服务子网（1）为企业内部用户供应信息服务；（2）可依据服务类型选择性的向相关部门供应信息服务；（3）和互联网隔离；（4）系统漏洞能较快得到修复；（5）部署防毒、杀毒系统。办公网络对实体需求办公网内的设备实体，如交换机、服务器、个人电脑等的管理存在平安隐患，如出现平安问题，将会造成较为严峻的后果。调研中发觉公司办公网核心设备和服务器在一个机房内，均同时运用UPS接12V50Ah蓄电池组，由于蓄电池组容量较小且已运用多年，实际容量远远小于标称容量，如机房市电停电时间较长，蓄电池组放电完毕后，设备将会停止工作。个人办公电脑系统平安需求公司的文件、报表等重要信息都是以电子文件的形式存储在个人办公电脑上，可以便利地存取、修改、分发。这样可以提高办公的效率，但同时也使信息易受到攻击，造成泄密，特别是对于移动办公的状况更是如此。所以移动办公和重要的涉密计算机，应实行特地的平安措施进行重点防护，以保证其信息的存储平安。另外计算机运用者对计算机不设置访问口令，或运用简洁易破解的口令，都简洁造成公司的文件丢失或信息泄密。服务器操作系统平安需求公司有多台服务器，均供应着不同的服务。随着公司的发展，对服务器的平安性要求也将不断提高。这些服务器均运用Windows2000Server或WindowsServer2003操作系统，任何操作系统，任何版本的操作系统，均存在系统漏洞，对系统漏洞的刚好修复是保证系统免受攻击的基本条件。另外关闭不运用的端口和异样端口、高权限账号的平安管理、资源共享的正确设置及Internet信息服务的正常运行都是服务器正常供应服务的保障。访问限制需求依据公司各部门的职责和公司信息服务器的供应的服务类型，结合平安的考虑，在网络内部层面上，各部门和服务器之间需有确定的通信策略。另外办公网各子网对互联网的访问也需有确定的限制，办公子网、营业体验区子网及对外服务子网均接入互联网，对内服务子网虽和互联网物理连通，但必需通过三层交换机或防火墙的设置来做好隔离，另外财务专网须要严格和互联网进行物理隔离。在实际运用过程中会议室还应安装接入办公网的WiFiAP，这些无线接入设备假如配置不当，不但会使网络资源暴漏在外，造成信息丢失，还会成为入侵者进入内部网络的跳板，给网络造成极大的威逼，所以对无线接入的恰当管理是保障网络平安的一项重要工作。2.2网络结构平安技术分析从实际动身，针对原办公网存在的种种平安问题，我们须要从细分网络减小广播域、利用防火墙减小外部威逼、加强通信访问限制、加强网络设备自身的平安性及加强办公电脑的平安性等方面进行优化工作。2.21细分网络减小冲突域将办公网内的终端电脑依据某种条件划分为多个网段，每个网段均为不同的vlan。这里依据部门来划分网段，由于每个部门的终端数量不一，在划分的时候依据是数量将网段划分为26位到28位不等的网段。此项工作由核心路由交换机S6502来实现。2.22利用防火墙减小外部威逼在互联网边界设置硬件防火墙，依据端口划分非信任区（Internet）、信任区（办公网）和对外服务区（对外服务子网）。对内服务子网、办公子网、营业体验区子网均上联S6502核心路由交换机，核心路由交换机分别上联省公司办公网交换机和防火墙信任区端口，对外服务子网通过三层交换机汇聚干脆上联防火墙对外服务区端口，防火墙非信任区端口上联咸阳联通互联网核心设备。另外通过防火墙配置，进行一些防病毒、防攻击等操作。2.23加强通信访问限制公司各部门由于其职责不同，对网络的需求也各有不同，应依据其需求及公司的制度从技术层面来进行限制。公司办公网内的访问限制，主要有以下几方面要求：1.对内网服务器须要和互联网隔离。2.对内服务器应依据供应的业务和对口部门互通。3.营业区只能访问互联网，不能访问办公网。2.24加强网络设备自身的平安性在网络平安中，网络通信顺畅、数据传输平安、主机服务正常等经常是人们关注的要点，而供应网络服务的设备本身往往被忽视，可是这些设备的正常运行恰恰是网络平安的基础。其平安性将干脆影响到整个网络的可用性和稳定性，对于网络平安起着至关重要的作用。设备登录平安对办公网内的网络设备进行登录方面的平安配置。对防火墙、核心交换机和三层交换机均配置localuser用户名，其用户名的级别为1级，可用于console口和远程telnet登录。另外单独配置super密码，获得super密码的管理员才可对交换机进行数据配置。1级的登录用户只有读权限，没有写权限。通过这些配置来加强设备的登录平安。SNMP平安SNMP是一种应用协议，作为沟通网络管理者和网络设备的桥梁，其平安性必需得到重视。由于后面介绍到的网络设备网管软件的启用，办公网内的设备就必需使能SNMP功能。要使能SNMP功能，就必需严格其配置，否则将会为非法入侵者留下入侵机会。设备运行平安这里分别用WhatsUpGold和SolarWindsNetworkPerformancemonitor作为网管软件。WhatsUpGold可以实时直观的监控办公网内全部设备的当前状态，并可以通过Ping等简洁叮嘱来测试网络的连通状态。NetworkPerformancemonitor主要用来监控各台设备各端口的流量状况，并可以保存历史记录，可以将设备的整体流量等信息按时间以图形来显示。2.24加强办公电脑的平安性为了加强办公网内终端电脑的平安性，避开出现ARP病毒，所以加强终端电脑的平安性照旧不行忽视。加强终端电脑的平安性主要从以下几方面入手。1．安装正规的杀毒软件及防火墙（如金山毒霸、卡巴斯基、NOD32、瑞星、360杀毒等），并实时保持更新和开启他们的全面监控和防护功能。这样能有效的避开病毒或木马对你计算机造成的威逼。2．利用具有系统漏洞扫描功能的软件（如360平安卫士、迅雷等）定期扫描系统，对操作系统和应用软件的漏洞补丁刚好进行更新安装，修补系统或软件漏洞，防止受到病毒或木马的威逼。3．关闭Guest帐户，Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到很多限制。不幸的是，Guest也为黑客入侵打开了便利之门。办公网电脑多用户运用时可创建多个用户而不是打开Guest账户。4．全部电脑的Administrator账户必需配置密码。假如创建了其他用户名，Administrator这个管理员账户必需从平安模式才能进入，所以该账户的平安性往往被人忽视，Administrator账户不设置密码将会给黑客入侵供应便利的条件。所以Administrator须配置密码且不行太过简洁，方可避开电脑从今途径被攻击。5．当电脑需连接移动存储设备（如U盘、移动硬盘、MP3、存储卡等）时必需先杀毒后打开，以防这些移动存储设备带有病毒程序而感染到电脑。网络信息平安的实现【物理平安实现方案】物理平安是整体网络平安的基础，网络设备或线路出现硬件故障，网络的平安性则无从谈起，其他一切平安措施均无法发挥作用，其重要性不言而喻。依据之前对办公网物理平安的分析，下面主要从完善制度、优化核心机房供电、加强网络节点平安性等方面进行方案实现。3.1完善机房管理制度为了确保网络核心设备机房、网络节点、线缆的物理平安，公司应制定《办公网机房管理制度》。1．明确进入机房的人员及条件；2．在机房内维护、装机等工作时可进行的操作；3．外部人员在机房内进行工作的随工要求；4．机房内各项操作的规范要求；5．机房出现紧急状况的通知汇报流程。3.2优化核心机房供电通过布放电源电缆来优化办公网核心机房的供电问题。以确保供电万无一失，即确保了办公网核心设备的供电平安，使设备正常运行无后顾之忧。【网络结构平安实现方案】3.3细分网络减小广播域将办公网的IP地址段，依据部门在S6502上划分为26位到28位不等的网段。为每台交换机配置管理IP，这样以后数据操作就可以远程进行了。另外依据节点交换机下挂的部门，分别从核心交换机透传相应部门的vlan，再在节点交换机上依据端口进行划分。3.4加强通信访问限制访问限制依据各部门的职责不同来确定，此项工作须要由S6502核心路由器和Eudemon100防火墙共同协作来完成，下面逐一对其实现方法进行说明。1）对内服务器须要和互联网隔离。2）对内服务器应依据供应的业务和对口部门互通。3）营业区只能访问互联网，不能访问办公网。4）网络监控组的网络摄像头及监控终端只能彼此互通，和办公网内其他部门和互联网均隔离。3.5利用防火墙减小外部威逼依据分析，须要在网络边界增设硬件防火墙一台，结合经济分析和网络设备的统一性，选用华为公司的Eudemon100硬件防火墙。增加了Eudemon100防火墙后，其担当了办公网私网地址的NAT转换工作。另外还进行了IP欺瞒防范、SYN泛洪攻击防范、Ping攻击防范和DoS（DDoS）攻击防范等方面的配置。1）IP欺瞒防范IP欺瞒是一种攻击方法，即使主机系统本身没有任何漏洞，但照旧可以运用各种手段来达到攻击的目的，这种欺瞒纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。在Eudemon100上，我们通过滤非共有IP地址、内部网络运用的IP地址、环回地址、私有IP地址对访问内部的网络来实现或减轻危害。2）Ping攻击防范Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。部分主机不能很好的处理过大的ping包，从而出现PingtoDeath攻击方式，即用超过TCP/IP最大限度65536字节的Ping包搞垮目的主机。所以，对于进入办公网的ICMP流，要禁止和和Ping叮嘱有关的ICMP类型。3）DoS和DDoS攻击防范我们用在Eudemon100上限制DoS攻击常用端口的方法来进行防范。4）加强网络设备自身的平安性网络设备自身的平安性干脆影响着整个网络的可用性和稳定性，对于网络平安起着至关重要的作用。对于办公网内的网络设备，我们通过（设备登录平安、SNMP平安、设备运行平安、无线AP平安）作来加强其平安性。3.6加强办公电脑的平安加强终端电脑的平安性主要进行了以下几方面操作：1．安装集团公司下发的正版SymantecAntiVirus杀毒软件，开启更新、监控和防护功能。2．开启系统更新功能，刚好安装漏洞补丁及软件更新。3．关闭Guest账户。4．为Administrator账户设置较为困难的密码。5．对外接移动存储设备需先杀毒后打开。【系统平安方案的实现】3.7Windows系统漏洞平安3.8Windows端口平安3.9Windows用户账户平安4.0Internet信息服务平安【病毒入侵防护方案】在网络层面进行防病毒工作的同时，还对办公网内计算机的进行了防毒工作，主要从以下方面开展：1．安装有效的病毒防护软件，有效运行并打开实时系统监控。2．刚好从防病毒软件官方网站下载