网络安全课程设计报告

青岛理工大学琴岛学院设计报告课题名称：网吧网络安全问题学院：青岛理工大学琴岛学院专业班级：学号：学生：指导教师：青岛理工大学琴岛学院教务处2013年12月13日学生指导教师课题名称网吧网络安全问题设计时间设计地点设计目的网络安全计算机网络专业中的一个重要部分，主要考核学生的组网安全设计和配置的能力。使之适应当前市场对于计算机网络组建与安全规划配置的需求，要求学生同时具备一定的规划能力和网络安全防护的技能。一、需求分析（一）大型网吧网络的主要安全隐患现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，网络安全威胁的主要来源主要包括。1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。3)上网客户的非规范操作。4)网络管理员的专业性。5)网民的信息失窃、虚拟货币丢失问题（二）网吧安全分析（1）网络不稳定的问题，造成不稳定的原因有四个：1)非法数据及广播报文耗尽设备资源造成网络瘫痪2)出口设备出现故障造成网吧网络出口瘫痪,无法营业3)某条运营商接入线路出现故障,造成外部网络中断4)网吧内部或外部攻击（2）网络速度慢的问题。1)电信与网通的互联问题造成了网吧访问某一运营商网站或游戏服务器时速度慢2)网吧用户开启的应用增多，出口路由器转发性能低造成瓶颈3)路由器进行内部用户VLAN间的互访，占用路由器CPU资源4)视频应用不流畅，延时现象严重5)对IP进行限速后，带宽在网吧用户数少时被严重浪费二、详细设计（一）网吧网络结构图1.网吧网络拓扑结构图（二）网络安全配置（1）防范病毒攻击：一般在网吧中存在大量的“冲击波”“震荡波”等病毒，这类病毒不断的变化源IP地址或目的IP地址进行扫描和发送攻击数据，极大的消耗网络设备资源，这些病毒有固定的端口，如：TCP/135,TCP/444,UDP/1434等等，所以需要对匹配这些目的端口的报文进行过滤；来提高网络安全。Router(config)#access-list109denytcpanyanyeq135Router(config)#access-list109denytcpanyanyeq136Router(config)#access-list109denytcpanyanyeq137Router(config)#access-list109denytcpanyanyeq138Router(config)#access-list109denyudpanyanyeq444Router(config)#access-list109denyudpanyanyeq444Router(config)#access-list109denyudpanyanyeq1434Router(config)#access-listpermitipanyanyRouter(config)#intf0/0Router(config-if)#ipaccess-group109in（2）内部自带病毒：在网吧安装系统时，安装盘可能存在病毒，或者移动介质存在病毒，导致客户端感染病毒，这种情况根治较为麻烦，即便安装了还原卡，还有些可以穿透还原类型的病毒存在。所以在安装使用前注意杀毒和选择纯净版系统。（3）通过开启防火墙来保证内网的安全。在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。（4）配置动态NAT地址转换，有效的节约地址，还能防止访问内网数据，从而使网络的安全得到保障。Router(config)#ipnatpoolnat192.168.1.1192.168.1.5netmask255.255.255.0Router(config)#access-list1permit192.168.3.00.0.0.255Router(config)#ipnatintsidesourcelist1poolnatRouter(config)#ints1/0Router(config-if)#ipnatoutRouter(config-if)#intf0/0Router(config-if)#ipnatinsideRouter(config)#ipnatpoolnat1192.168.1.1192.168.1.5netmask255.255.255.0Router(config)#access-list2permit192.168.3.00.0.0.255Router(config)#ipnatintidesourcelist1poolnat1Router(config)#ints1/0Router(config-if)#ipnatoutRouter(config-if)#intf0/0Router(config-if)#ipnatinside（5）配置收银台注意防火墙，禁止任何设备访问，从而保证资金安全。图2pc机防火墙配置（6）广播风暴。作为发现未知设备的主要手段，广播在网络中有着非常重要的作用。然而，随着网络中计算机数量的增多，广播包的数量会急剧增加。当广播包的数量达到３０％时，网络传输效率会明显下降。当网卡或网络设备损坏后，会不停的发送广播包，从而导致广播风暴，使网络通信陷于瘫痪。Switch(config)#intrangefastEthernet0/1-24Switch(config-if-range)#storm-controlbroadcastlevel70.5Switch(config-if-range)#end（7）蠕虫病毒。蠕虫病毒对网络速率的影响越来越严重。这种病毒导致被感染的用户只要一连上网就不停的往外发邮件，病毒选择用户电脑中的随机文档附加在用户通讯簿的随机地址上进行邮件发送。垃圾邮件排着队往外发送，有的被成批的退回堆在服务器上。造成个别骨干互联网出现明显拥塞，局域网近于瘫痪。因此，网吧管理员要时常注意各种新病毒通告，了解各种病毒特征；及时升级所用的杀毒软件，安装系统补丁程序；同时卸载不必要的服务，关闭不必要的端口，以提高系统的安全性和可靠性。（8）针对内网服务器和交换机的DDoS攻击。针对内网服务器和交换机的DDoS攻击采取通过安全交换机过滤网络中所有的DDoS攻击，该方法类似于对ARP的防御方法，通过交换机内置硬件DDoS防御模块，每个端口对收到的DDoS攻击报文，进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时，启用自身协议保护，保证自身的CPU不被DDoS报文影响。目前已知的，通过交换机可以过滤TCPSYN、UDPSYN、ICMPSYN、Land等常见DDoS攻击，基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击，防御效率高，对PC和网络无影响，是目前最经济高效的防御方式。（9）ARP欺骗泛滥，可以使用IP+MAC地址绑定。Switch(config)#intrangf0/1-24Switch(config-if-range)#switchportport-securitySwitch(config-if-range)#switchportport-securityviolationrestrictSwitch(config-if-range)#switchportport-securitymaximum2Switch(config-if-range)#switchportport-securitymac-addresssticky（三）拓扑详细配置命令（1）路由器DHCP配置，实现网吧内部IP地址动态分配。S1(config)#ipdhcpexcluded-address192.168.4.250192.168.4.254S1(config)#ipdhcppoolvlan10S1(dhcp-config)#net192.168.4.0255.255.255.0S1(dhcp-config)#dns-server10.10.10.1S1(dhcp-config)#default-router192.168.4.254（2）RIP路由协议Router(config)#routerripRouter(config-router)#version2Router(config-router)#network192.168.1.0Router(config-router)#network192.168.2.0Router(config-router)#network192.168.3.0Router(config-router)#noauto-summary（3）交换机VTP配置Switch(config)#vtpdomainciscoSwitch(config)#vtpmodeserverSwitch(config)#intrangef0/19-21Switch(config-if-range)#switchportmodetrunkSwitch(config)#vtpdomainciscoSwitch(config)#vtpmodeclient（4）vlan划分，并配置vlan管理地址：Switch(config)#intf0/19Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config)#intvlan10Switch(config-if)#ipadd192.168.4.255255.255.255.0Switch(config-if)#noshut（5）配置postfast端口，防止路由环路Router(config)#intrangf0/1-24Router(config-if-range)#spanning-treeportfast三、总结与心得通过这次课程设计，了解了网络安全的重要性，接触到了一些平时网络中存在的安全隐患和安全攻击。随着因特网的而发展和应用，安全越来越引起人们的关注，如何保护网络安全成为一个重大的问题。网络安全技术作为一种用来保护内部的第一道安全屏障，越来越受人们的重视。虽然我的做设计不是很成熟，还有很多不足之处，安全工作做的不到位，但我从中也学到了不少的知识。在做设计的时候就会发现很多的问题，弥补了自己平时的不足，也学到了很多新的知识。做设计实际就需要把平时学到的东西在复习一遍，平时上课还有课后自己的学习，都主要在基于理论方面的，虽然也做很多实验，但当把设计当作一个实际的工程来这次做论文的经历也使我终身收益，我感受到了要真真正正用心去做好每一件事情，那是真正的自己学习的过程和研究的过程。指导教师评语系部教研室意见