网络安全设计

1网络安全设计班级：________________________姓名：________________________指导老师：__________________________完成日期：________________2目录项目背景....................................................................................................................................3设计目的....................................................................................................................................4安全风险分析............................................................................................................................4网络安全技术方案....................................................................................................................6部署防火墙........................................................................................................................7部署入侵检测系统..........................................................................................................11部署网闸.................................................................................................................................13VPN.........................................................................................................................................15计算机系统安全.....................................................................................................................16心得体会与反思............................................................................................................................193项目背景1、设计背景X研究所是我国重要的军工研究所，拥有强大的军事装备研发实力，在研发过程中充分应用信息技术，显著提高了研发工作的效率。该所除总部建设了覆盖全所的计算机网络外，北京办事处也建有计算机网络以处理日常事务。总部和北京办事处间通过Internet连接。少量员工到外地出差时也可能需要通过Internet访问研究所内部网络。总部包括一室、二室、计算机中心等许多业务和职能部门。研究所网络的拓扑结构如下图：在研究所内网中，运行着为全所提供服务的数据库服务器、电子邮件服务器、Web服务器等。2、安全需求（1）防止来自Internet的攻击和内部网络间的攻击；（2）实现Internet上通信的保密和完整性，并实现方便的地址管理；（3）数据库服务器存储了研究所的所有数据需要特殊保护；（4）主机操作系统主要是Linux和Windows，要采取相应的安全措施；（6）解决移动办公条件下文件安全问题。4设计目的网络安全课程设计是信息安全专业重要的实践性教学环节，目的是使学生通过综合应用各种安全技术和产品来解决实际网络安全问题，以深入理解和掌握课堂教学内容，培养解决实际问题的能力。安全风险分析该所的办公主要有三类，即在公司总部办公、在北京办事处办公以及出差员工在外的移动办公。公司总部、北京办事处以及出差员工间需要通过网络通信来进行数据传输。公司总部设置有web服务器、email服务器和数据库服务器，这些服务器存储着公司的大量机密信息跟关键数据，它们的安全性决定了公司的是否能安全正常的运营。影响公司系统安全的攻击主要分为两种，即内部攻击和外部攻击。对该公司的网络拓扑结构及公司提供的各种服务来进行分析，可以看出该公司的网络系统存在以下风险：内部攻击即来自内部人员的攻击，公司内部人员无意或者有意的操作引起的对网络系统的攻击，通常有数据窃取、越权访问等。外部攻击外部攻击方式多种多样且攻击方式层出不穷，有ip欺诈、口令破解、非法访问、垃圾邮件轰炸、ddos攻击、数据窃取、网络监听、病毒、木马、蠕虫等攻击方式。这些攻击方式将对系统的安全性、可靠性、可用性、机密性、完整性产生巨大的威胁。通过对该公司的网络拓扑结构的分析出的该公司存在的来自内部或外部的安全风险，结合各种安全技术的原理特点和具体安全产品功能，对其归类总结出该公司的系统安全类别如下：1.网络安全：通过入侵检测、防火墙、vpn、网闸等，保证网络通信的安全。2.系统安全：通过各种技术保证操作系统级的安全。3.系统应用的安全：通过各种技术保证数据库、电子邮件、web等服务的安全。54.数据安全：通过数据加密、身份认证、访问控制等措施，保证文件和数据库数据的安全。根据该公司的网络拓扑结构和其存在的安全风险，该公司的网络架设需求如下：1.防止来自Internet的攻击和内部网络间的攻击2.实现Internet上通信的保密和完整性，并实现方便的地址管理3.数据库服务器存储了研究所的所有数据需要特殊保护4.主机操作系统主要是Linux和Windows，要采取相应的安全措施5.解决移动办公条件下文件安全问题6网络安全技术方案网络安全：通过入侵检测、防火墙、vpn、网闸等，保证网络通信的安全。该公司网络系统与其他网络系统一样，存在着遭受各种网络攻击的危险。为实现公司的网络安全，因根据各种安全产品和安全技术的特点，结合该公司特有的网络拓扑结构来架设具有自己特色的企业系统。7部署防火墙防火墙定义防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。防火墙主要部署在内部网和外部网之间，以有效限制外网对内网的访问。此外，根据企业的具体情况，也可以在公司内部不同部门。不同子网之间以及个人主机上部署防火墙。防火墙分为软件防火墙和硬件防火墙，根据其针对的安全需求不同，其功能等各方面也有较大的差异，公司应根据本企业的具体安全需求和经济效益等方面的综合考虑选取防火墙产品，公司网络部署的多个防火墙也根据其部署位置不同而选择不同的产品。CiscoSecurePIX525硬件防火墙CiscoSecurePIX525防火墙是世界领先的CiscoSecurePIX防火墙系列的组成部分，它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。采用NAT技术的CiscoSecurePIX525－R-BUN具有节省IP地址、扩展网络地址空间等好处。对内部网络的IP地址进行转换，而对外部网络则隐藏起内部网络的结构，使对局域网内部发起攻击更加困难。支持各种网络接口，其中包括单端口或4端口10/100快速以太网、千兆以太网、4/16令牌环和双连接多模FDDI卡。另外，PIX525还提供多种电源选件，用户可以选择交流或48V直流电源。每一种选件都配有为第二个故障切换PIX系统准备的成对儿产品，从而实现最高的冗余和高可用性。CiscoSecurePIX防火墙能够提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单，但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强。ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过CiscoSecurePIX防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受8到非授权访问的侵袭。另外，实时嵌入式系统还能进一步提高CiscoSecurePIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的CiscoSecurePIX防火墙是为了实现安全、高性能的保护而专门设计。华为赛门铁克USG2130防火墙华为赛门铁克USG2130为VPN是一款统一集成企业防火墙，该款防火墙只有两个网络端口，一个是配置端口(CON)，另一个是备份端口(AUX)，提供DoS/DdoS两种入侵检测模式，支持VPN。华为赛门铁克USG2130提供安全的路由解析功能，提供安全的交换机系统，拥有百兆的性能，系统模块化架构。华为赛门铁克SecowayUSG2130支持外部攻击防范、IPS(入侵防御)、抗DDoS攻击、P2P限流、URL过滤等功能，能够有效的保证网络的安全;支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN、MPLSVPN等，可以构建多种形式的VPN;提供丰富的路由能力，支持RIP/OSPF/BGP/路由协议及策略路由。并支持100多种IM/P2P应用协议识别，基于时间、应用、用户、带宽、连接数的多方位调控手段，让IM/P2P随您掌控，可有效保障关键业务带宽，提升带宽利用率，提升员工工作效率。华为赛门铁克USG2130提供丰富路由特性，不仅支持IPv4路由(静态路由、RIP、OSPF与BGP动态路由)，还支持完整的IPv6路由协议，IPv4/IPv6全兼容，从而使组网应用更加灵活。其还可以通过接口卡扩展，最高支持21FE+2GE的下行接口，满足企业终端、服务器的接入，节约用户投资。360个人防火墙360网络防火墙是一款保护用户上网安全的产品，为用户阻截各类网络风险。防火墙拥有云安全引擎，解决了传统防火墙频繁拦截，识别能力弱的问题，可以轻巧快速地保护上网安全。360网络防火墙的智能云监控功能，可以拦截不安全的上网程序，保护隐私、帐号安全；上网信息保护功能，可以对不安全的共享资源、端口等网络漏洞进行封堵；入侵检测功能可以解决常见的网络攻击，让电脑不