网络安全防御体系的构建研究

学号： 10001344 常 州 大 学毕 业 设 计 （ 论 文 ）（2014 届）题 目 网络安全防御体系的构建研究 学 生 学 院 信息科学与工程学院 专业班级 校内指导教师 专业技术职务 二一四年六月网络安全防御体系的构建研究摘 要 ： 随着网络时代的飞速发展，Internet 日益普及，网络安全问题也日益突出，如何在开放网络环境中保证数据和系统的安全性已经成为众多业内人士关心的问题，并越来越迫切和重要。虽然目前对安全技术的研究也越来越深入，但目前的技术研究重点都放在了某一个单独的安全技术上，却很少考虑如何对各种安全技术加以整合，构建一个完整的网络安全防御系统。 本论文重点论述了构建一个网络安全防御系统的方案设计和实现过程。 在方案设计部分，本文重点论述了设计过程中的两个关键阶段，即安全策略与风险分析，在安全策略部分中描述了一个完整的网络防御系统中所考虑的方方面面，而风险分析部分则以生动的实例说明了如何分析一个系统所面临的风险并将其量化的过程和算法。 在实现部分，本文重点论述了网络安全防御系统采用的网络拓扑结构及其中采用的各种安全技术和安全产品的具体细节。最后则详细描述了该网络安全防御系统中的一个重要组件网络安全监测仪的功能及技术细节，以及为其可用性而开发的远程控制台，并在此基础上提出了安全监控中心的概念及实现计划。关键词 ： 网络安全； 安全策略； 风险分析； 入侵检测； 日志审计； 漏洞； 加密； CGIThe construction of network security defense system researchAbstract ： With the raIPd development of the Internet age, the popularization of Internet and Intranet, network security issues are also increasingly prominent, how to ensure that data in the open network environment and the safety of the system has become the concern of the many insider, and more and more urgent and important. Although at present the research of security technology is becoming more and more thorough, but the current technology research has focused on a single security technology, seldom consider how the various security technology integration, build a complete network security defense system. This paper mainly discusses the building a network security defense system design and implementation process. In design part, this paper mainly discusses the two key stage of the design process, namely the security policy and risk analysis, in security strategy section describes a complete network by considering all aspects of the defense system, and the risk analysis part with vivid example illustrates how to analyze a system facing the risk and its quantitative process and algorithm. In implementation, this paper mainly discusses the network security defense system USES the network topology structure and using of the details of the various security technology and security products. Finally, describes in detail the network security defense system an important component of - the function of the network security monitor and technical details, as well as for its usability and the development of remote console, and on this basis puts forward the concept of safety monitoring center and implementation plan.key words ： Network security； The security policy； Risk analysis； Intrusion detection； Log audit；vulnerability ；encryption ； CGI；目 录第 1 章 绪 论 .11.1. 课题研究的背景及目的 .11.2. 研究现状 .1第 2 章 典型攻击行为技术特点分析及应对措施 .22.1. DoS(Denial Of Service) .22.1.1. 淹没(Flooding) .22.1.2. Smurfing 拒绝服务攻击 .22.1.3. 分片攻击(Fragment Attacks) .42.1.4. 带外数据包攻击/Nuking(Out of Band) .52.1.5. 分布式拒绝服务攻击 DDOS.52.1.6. 拒绝服务攻击小结 .52.2. 恶意软件(Malicious Software) .62.2.1. 逻辑炸弹(Logical Bomb) .62.2.2. 后门(Backdoor) .62.2.3. 蠕虫(Worm) .62.2.4. 病毒（Virus) .62.2.5. 特洛伊木马(Trojan) .62.2.6. 恶意软件攻击方法小结 .72.3. 利用脆弱性(Exploiting Vulnerabilites) .82.3.1. 访问权限(Aceess Permissions) .82.3.2. 蛮力攻击(Brute Force) .82.3.3. 缓冲区溢出(Buffer Overflow) .82.3.4. 信息流泄露(Race Condition) .82.3.5. 利用脆弱性小结 .92.4. 操纵 IP 包(IP Packet manipulation) .92.4.1. 端口欺骗(Port sPoofing) .92.4.2. 划整为零(Tiny fargments) .92.4.3. “盲”IP 欺骗(Blind IP spoofing) .92.4.4. 序列号预（Sequence number guessing) .102.5. 内部攻击(Attacks“from the inside”) .112.5.1. “后门”守护程序(“Backdoor”daemons) .112.5.2. 日志修改(Log manipulation) .112.5.3. 隐蔽(Cloaking) .122.5.4. 窃听(Sniffing) .122.5.5. “非盲”欺骗(Non 一 blind spoofing) .122.6. CGI 攻击 .122.6.1. 低级 CGI 攻击 .132.6.2. 高级 CGI 攻击 .13第 3 章 网络安全防御系统方案的设计过程及安全策略 .143.1. 确定方案的目标与用户职责 .143.2. 风险分析 .153.2.1. 确定系统资产情况 .153.2.2. 确定风险大小 .173.2.3. 风险分析算法举例 .213.3. 制定安全策略 .223.3.1. 整体安全策略 .223.3.2. 信息安全策略 .223.3.3. 个人安全策略 .253.3.4. 计算机及网络安全策略 .30第 4 章 网络安全防御系统实现 .434.1. 网络安全 .464.1.1. 安全网络拓扑 .464.1.2. 防火墙 .464.1.3. 实时入侵检测 .474.1.4. 审计与监控 .474.2. 数据安全 .474.2.1. 完整性 .474.2.2. 保密性 .474.2.3. 可用性及可靠性 .484.3. 系统安全 .494.3.1. 鉴别认证机制 .494.3.2. 安全操作系统 .494.3.3. 周期性的安全扫描 .52第 5 章 某高校网络安全工程实践 .535.1. 校园网网络拓扑 .535.2. 校园网络安全实现 .545.3. 主要设备选型及设备性能 .55参考文献 .56致谢 .57结论 .58常州大学本科毕业设计（论文）第 1 页 共 58 页第 1 章 绪 论1.1. 课题研究的背景及目的在当今的信息社会中，信息系统的安全对于整个社会都具有极其重要的意义，大到国家，小到个人，以及公司，企业，其信息系统的安全性都需要得到充分的保护。竞争者可以发动一场不可见却又很有效的信息攻击，影响你的顾客或财务信息，影响你的市场信誉，从而扩大自己的市场份额。而在当今的网络时代里，网络安全已经成为信息系统安全中一个重要的组成部分，在很多时候，网络系统安全己经成为信息系统安全的代名词。本课题及即研究如何在一个开放的网络环境中保证信息的安全，保证整个信息系统的正常运行。1.2. 研究现状1) 从来没有象现在这样有如此多的电脑通过网络相连,网络的巨大范围使得安全管理员很难,甚至不可能觉察到攻击行为,以及判断其来源。2) 大量的廉价却很好用的攻击工具充斥于网络中,自动化攻击工具大量泛滥,几年前仅仅适用于高智能范围的工具己经能够从商业途径购买并使用。而使用这些工具并不需要很高的技术水平,这使得一个普通的攻击者也可以对系统造成巨大的危害。3) 攻击技术的普及使得高水平的攻击者越来越多,反而言之,安全管理员面临着巨大的挑战,我们的系统面临的安全威胁也越来越大。4) 病毒在最近的一两年以惊人的速度发展,一个新病毒在一夜之间就可以通过网络传到整个信息世界,很少有公司或企业没有受到病毒的感染和影响。综上我们可以看出在当今的网络时代,信息安全问题已经突出的表现在了网络安全方面,即如何在一个开放的网络环境中保证信息的安全,保证整个信息系统的正常运行。这也正是本文论述的重点。常州大学本科毕业设计（论文）第 2 页 共 58 页第 2 章 典型攻击行为技术特点分析及应对措施2.1. DoS(Denial Of Service)2.1.1. 淹没(Flooding)是指黑客向目标主机发送大量的垃圾数据或者无效的请求,阻碍服务器的为合法用户提供正常服务。典型的情况是“ 半开的 SYN”连接请求拒绝服务攻击 (称为 sYNFlooding)。对于每个 TCP 连接请求,TCP 协议实现时要为该连接请求保留一定的存储空间。由于存储空间有限,而且黑客可以采用 IP 地址欺骗的办法 ,伪造 SYN 请求的源地址并大量地发出这样的请求,使得服务器认为连接请求是来自不同的用户。因为服务器需要等待某个连接请求的确认,并认为请求过期是需要一定的时间的,在得到客户端确认之前服务器将一直保留对应的存储空间,但是黑客却大量发出无效的连接请求 SYN,当服务器接收到超过其存储能力的 TCP 连接请求数量后,便不能再接收任何请求,包括合法用户的正常请求。2.1.2. Smurfing 拒绝服务攻击msurfing 拒绝服务攻击的主要原理黑客使用 IP 广播和 IP 欺骗使 Flooding 攻击的效果倍增,使用伪造的 ICMPECHO REQUEST 包发往目标网络的 IP 广播地址。smurfing 攻击的原理如下图所示。CIMP 是用来处理错误和交换控制信息的,并且可以用来确定网络上的某台主机是否响应。在一个网络上,可以向某个单一主机也可以向局域网的广播地址发送 IP 包。当黑客向某个网络的广播地址发送 CIMPECHOREQUEST 包时,如果网络的路由器对发往网络广播地址的 CIMP 包不进行过滤,则网络内部的所有主机都可以接收到该 CIMP 请求包,并且都要向 CIMP 包所指示的源地址回应以 ICMPECHO 既 PYL 包。如果黑客将发送的 ICMP 请求包的源地址伪造为被攻击者的地址,则该网络上所有主机的常州大学本科毕业设计（论文）第 3 页 共 58 页CIMPECHOREPYL 包都要发往被攻击的主机,不仅造成被攻击者的主机出现流量过载,减慢甚至停止正常的服务,而且发出 CIMP 回应包的中间受害网络也会出现流量拥塞甚至网络瘫痪。可以说,Sfing 攻击的受害者是黑客的攻击目标,和无辜的充当黑客攻击工具的第三方网络。图 2-1注释:图 2-1 中实线部分表示黑客发出的 CIMP 包,虚线部分表示对目标攻击的 CIMP 包Smurf 攻击的小结 Smurf 攻击的影响面Smurf 攻击使得被黑客利用的“无辜” 中间网络和被攻击的目标 ,无论是它们的内部网络还是与因特网的连接,网络性能都受到影响,严重时整个网络都无法使用。而且,为这些网络提供服务的中小 SIP,也会因此减低其网络效率和服务性能。对大型的 ISP 而言,其骨干网可能会出现流量饱和的现象而部分影响其服务质量。 被黑客利用进行攻击的“无辜”中间网络应采取的措施 配置路由器禁止 IP 广播包进网。在几乎所有的情况下 ,这种功能是 常州大学本科毕业设计（论文）第 4 页 共 58 页不必要的。应该要在网络的所有路由器上都要禁止这种功能,而不仅仅在与外部网络连接的路由器上禁止。例如,网络上有五个路由器连接着十个 LAN,应在这五个路由器上都禁止 IP 广播包的通过。 配置网络上所有计算机的操作系统,禁止对目