校园网络安全防御系统的设计与实现【毕业论文说明书】
收藏
资源目录
压缩包内文档预览:(预览前10页/共44页)
编号:10279216
类型:共享资源
大小:3.31MB
格式:ZIP
上传时间:2018-07-10
上传人:小***
认证信息
个人认证
林**(实名认证)
福建
IP属地:福建
50
积分
- 关 键 词:
-
校园
网络安全
防御
系统
设计
实现
毕业论文
说明书
仿单
- 资源描述:
-
校园网络安全防御系统的设计与实现【毕业论文说明书】,校园,网络安全,防御,系统,设计,实现,毕业论文,说明书,仿单
- 内容简介:
-
目 录摘 要 .IIIAbstract .IV1 绪 论 .11.1 课题研究背景及意义 .11.2 校园网安全现状 .12 校园安全防御技术 .32.1 防火墙 .32.1.1 防火墙及其功能 .32.1.2 防火墙体系结构与实现模型 .42.2 网络认证防护 .42.2.1 Telnet 认证 .42.2.2 SNMP 认证 .52.2.3 OSPF 认证 .52.2.4 VRRP 认证 .62.2.5 PPP CHAP 认证 .72.3 网络隔离防护 .72.3.1 VLAN 隔离技术 .72.3.2 NAT 隔离 .82.4 本章小结 .93 校园网安全规划设计 .93.1 校园网安全分析 .93.1.1 威胁校园网安全的因素 .93.1.2 校园网络安全需求 .103.2 校园网安全设计主要思路 .113.2.1 物理防护 .113.2.2 网络防护 .113.2.2 数据防护 .12I3.3 校园网组网规划 .133.3.1 网络规划原则 .133.3.2 网络层次结构 .143.3.3 IP 地址规划 .153.4 校园安全防护架构 .163.5 本章小结 .174 校园安全防御的实现与仿真 .184.1 校园网网络设备选型 .184.2 LITO 模拟器介绍 .194.3 校园网物理防护的实现 .224.4 校园网网络防护的实现 .224.4.1 网络隔离防护 .224.4.2 网络认证防护 .304.4.3 网络检测防护 .374.5 校园网数据防护的实现 .374.6 本章小结 .395 总结与展望 .405.1 总结 .405.2 展望 .40参考文献 .41致谢 .42II校园网络安全防御系统的设计与实现摘 要随着校园网络的发展,人们对校园网的安全性要求越来越高,校园网安全防御系统成为了保证校园信息安全的重要设施。 本论文首先介绍了校园网安全防御系统的研究背景及其现状以及防火墙、网络认证防护和网络隔离防护等安全防御技术;接着基于校园网络的安全分析,从物理防护、网络防护和数据防护三个方面,依据网络层次结构和网络规划原则对校园网进行了规划设计;然后基于现网中实际使用的设备,利用华三网络模拟器LITO,对校园网安全防御系统进行搭建和配置,主要研究了网络防护中隔离、验证和检测中涉及的重点技术;最终,模拟测试了内外网之间安全防御系统。关键词:校园网络;物理防护;网络防护;数据防护IIIDesign and implementation of campus network security defense systemAbstractWith the development of the campus network, the security of the campus network is becoming more and more high. The campus network security defense system has become an important facility to ensure the safety of campus information.This paper firstly introduces the research background of campus network security defense system and its status quo, firewall, network authentication protection and network isolation protection, security and defense technology; then analyzes the security of the campus network based on, from the physical protection, network protection and data protection three aspects, according to the network structure and network planning principles for planning and design on the campus network; then the actual use of the current network equipment based on the three China Network Simulator - LITO, was set up and configuration of campus network security defense system, mainly studies the network protection in isolation, verification and detection of related key technology; finally, simulation test between internal and external network security defense system. Key words: Campus network; physical protection; network protection; data protection41 绪 论1.1 课题研究背景及意义人类对于网络多功能的需求越来越大,促使了许多网络技术的发展,计算机网络的出现使人类的日常生活产生了巨大的变化。但是与此同时,网络的安全性也逐渐受到人们的关注。近段时间,各种网络攻击等屡屡出现,政府也大力督促各种网络安全技术的更新。但是在校园网络搭建的过程中,由于对网络安全的认知还达不到深度,使得校园网络的安全性一直达不到预期的目标。今天,网络连接着越来越多的人们,网络用户群的超速增长,各种应用的普及,使得校园网从早先的测试型网络慢慢转换成大型的需要运营的网络,校园网作为校园数字流量的最核心的传输通道,在整个学校的运作中起到了关键的作用。如何保证校园网络安全健康的运行并且不受不法分子的攻击成了我们必须要考虑的问题。也就是说,建立一个拥有众多安全机制且便于管理的高安全性网络,确保校园内部的信息不被非法用户获取和破坏成了重中之重。1.2 校园网安全现状 据了解,我国绝大多校园都遭遇过恶意攻击,因此增强校园网络的安全性迫在眉睫,目前我国校园网的安全现状和面临的主要威胁是:(1)计算机网络采用的各种设备本身的安全性还不够高,设备需要升级。(2)学生的信息安全意识虽然有所提高,但离我们的目标还有很远。(3)人们对网络的安全还不够重视,无论是从法律上还是思想上。(4)中国安全保护人才的培养计划虽然已经逐步推进,但是其发展速度却远远赶不上网络发展的速度。不管在国内还是国外,如今校园网络安全普遍受到重视。网络安全一个重要的体现就是信息安全,校园网内有很多重要的学生信息,如:学习成绩、学生档案等。国内外对于保证数据安全的技术的发展都很支持。在我国,进口信息技术不包含密码技术,其他国家的密码技术不能在我国进行推广,而美国政府重点控制了密码技术的出口。目前在美国等发达国家流行的主要攻击防范技术有:信息伪装技术、入侵检测技术、黑客防范体系、信息监控与分析、病毒防范技术以及反病毒和抗入侵技术中的应用等等,这些都是比较前卫的技术。同样,我国在校园网络安全及可靠性方面的保障上也做了大量的工作。通常采用把当前国际先进的安全技术和实现网络可靠性的技术相结合起来合理的维护整个网络。现在,我国的校园网络已经跟上了发达国家的步伐,多种技术诸如认证、加密、防火墙及入侵检测已经被灵活的运用到校园网络中。防火墙等隔离不合法流量的产品都逐步被全球范围接收并投入使用。 5在国内外的所有校园网络中,安全可靠的校园网永远是不变的追求。该课题结合对校园网安全整体需求的理解和学习,构建出一个高安全性的校园网络。62 校园安全防御技术当今网络处于一个高速发展的时期,而在网络发展的过程中,也产生了众多网络安全防御技术和设施。本章将从硬件和协议两种范畴内阐释本论文将来用的安全防御技术。首先,本论文在硬件上采用了防火墙技术来抵御外部不合法数据的攻击;接着,本论文将从网络认证防护和网络隔离防护两个方向对保证校园网安全的 7 种协议进行叙述,其中包含:OSPF 认证、telnet 认证、SNMP 认证、VRRP 认证、PPP CHAP 认证、VLAN 隔离、NAT 隔离。2.1 防火墙防火墙是指设置在组织内部(安全的网络)和组织网外部(不安全的网络)之间布置的用来隔离非法数据的物理设备。它可以隔离、检测、甚至改变内网的数据,使得外网无法获得内网的信息,从而达到保护网络安全的作用。2.1.1 防火墙及其功能 防火墙(Firewall )通过一些配置的策略对网络进行保护。它认为某一组织外部的网络都为不安全的网络,而组织内部的网络是一个可以被信赖的网络。它可以保证内网的资源和数据不被一些非法的外部用户获取,甚至任意更改,从而阻止内部网络受到攻击。总的来说,防火墙有如下几个作用:过滤所配置策略认为不合法的数据;控制组织外部流量进入组织内部;使外部看不到内部网络;有自主记录通过防火墙的数据的功能,如图 1,就是一个典型的防火墙拓扑图,它在外网和内网的出口路由之间隔离了外网的不合法数据。图 1 防火墙72.1.2 防火墙体系结构与实现模型从 FireWire 的组成上来看,大致分为以下几种: (1)分组过滤路由器。这种结构是在三层设备上布置防火墙。 (2)主机过滤结构。在该结构使得主机只与内网互连;另外该结构还有一台单独的过滤路由器,通常由路由器封锁堡垒主机的特定端口,只允许一定数量的通信服务。 (3)子网过滤结构。由于电脑在网络中容易收到攻击,所以子网过滤结构就是在电脑过滤的时候中再加一次防护,在内网和外网之间添加两层隔离。2.2 网络认证防护认证技术分为身份认证和协议认证,身份认证可以有效地确认计算机网络中操作者的身份,协议认证可以保证网络中协议产生效果的安全性。计算机网络链路上传递的所有信息都是数字信号,计算机只有获取相应的数字信号,才能对用户或者协议进行认证。所以,如何保证协议对等体之间的安全建立,认证技术就是为了解决这些问题而产生的。接下来,本节将叙述保证远程登入安全的 telnet 认证、保证网络管理安全的 SNMP 认证等身份认证技术,以及保证路由条目安全的 OSPF 认证、确保网关备份安全的 VRRP认证,以及提供串行信息传递安全的 PPP CHAP 认证等协议认证技术。2.2.1 Telnet 认证Telnet 协议可以帮助我们远程登入一些物理上不在周围的设备 。它使得我们可以在自己的主机上对其他远端的设备进行操作配置。我们在电脑上使用 telnet 程序,通过它连接到服务器。这样我们就可以直接在自己的电脑上输入命令,等同与对服务器直接配置命令。可以超脱物理范围去控制服务器。但是如何保证 telnet 的安全性?当我们开始一个telnet 会话时,必须输入用户名和密码来登录服务器,这样才能保证校园网络的安全性。telnet 允许多人使用一台主机,但是为了网络的安全,我们规定每个用户登入时必须输入用户名和密码,系统还为每个用户指定了用户名和密码。用户在登入某个设备之前要输入用户信息,这就是登录的步骤。而远程登录是指用户主机让本端电脑作为服务器的虚拟终端的技术。虚拟终端是一个简单的机器,只是把本端的配置信息发送给服务器,再将服务器输出的信息返回给本端。telnet 认证模式分为三种,分别为不需要用户名与密码认证、只需要输入密码认证、需要输入用户名和密码的认证,在此,我们在核心层设备上都选用用户名和密码认证,使得只有管理员能登入核心层设备进行配置修改,从而提高校园网的安全性。2.2.2 SNMP 认证简单网络管理协议(SNMP )是用来探测校园网络中的硬件是否发生了异常的情况。SNMP 是为了协助管理 Internet 上无数产商生产的众多平台,因此 SNMP 也受了很多8Internet 标准网络管理框架的影响。随着网络的发展,SNMP 被发明出来,直到现在它仍受很多大型网络的青睐。但是,SNMP 刚产生的时候没有考虑到产品的安全性,直到现在的最近版本也有用的问题。网络上任何服务、协议的安全性都是不能忽略的,SNMP 也不例外。但是 SNMP3.0 版本考虑到了安全性,认证功能被大大的加强了。SNMPv3 有三种安全级别,分别为 noAuthNoPriv(不认证也不加密)、authNoPriv(认证但是不加密)、authPriv(既认证又加密)。2.2.3 OSPF 认证OSPF(Open Shortest Path First 开放式最短路径优先)是内部网关协议 (Interior Gateway Protocol,简称 IGP),用于在一个自治系统(autonomous system,AS)内获取路由。一个区域内的 OSPF 路由器都含有相同的 LSDB,这个 LSDB 包含了整个网络的链路状态的信息,OSPF 路由器通过这个 LSDB 计算自己到达网络每个非直连网段的路由。但是,因为 OSPF 是一个开放式的路由协议,所有人都可以使用,在这种情况下,若有人恶意通过抓包工具,分析校内路由器上的配置,从而模拟一些错误报文,对我的设备进行攻击,会导致校园网的路由不能被学习到,或者因为链路震荡影响校园网络的稳定,配置了认证之后,攻击者,必须用对应的认证密钥才能对路由器进行更改操作,这样就保证了校园网的安全性。OSPF 可以对接口区域虚链路进行认证接口认证要求在两个路由器之间必须配置相同的认证口令;区域认证指所有属于该区域的接口都要启用认证 ,因为 OSPF 以接口做为区域分界,区域内路由器之间必须配置同样的验证方式和密码配置区域认证的接口可以和配置接口认证的接口一起配合进行认证,但是使用 MD5 认证口令要相同OSPF 认证方式也有多种,分别为 NULL 认证,协议字段类型 0明文密码认证MD5 加密效验认证。2.2.4 VRRP 认证今天,网络的可靠性被人们关注。对于用户来说,网络的一直畅通非常重要,所以我们有了很多备份技术,VRRP 就是其中一种。现网中,因为网络内部运行路由协议实现互通,但是却没有通向外部网络的路由,所以都要设置一条相同的静态默认路由,指向网关。但是,一旦出口网关出现问题,主机与外网就不能互相通信。我们可以用过配置多个网关来增强校园网的可靠性,但是主机是只有发送和接收报文的功能,不接受自动获取路由的协议,所以无法在多个网关中选路。IETF(Internet Engineering TASk Force,因特网工程任务组)推出了 VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议,它可是实现网管备份,提高网络可靠性。VRRP 是一种加强可靠性的技术,它通过把几台网关设备逻辑上组成一个网关设备,9并通过其本身的机制使得其中一台的下一跳出现问题时,可以及时将数据发送到其他设备,形成一种网关备份。同时,VRRP 的安全一直是一个引起我们注意的重点,有一些网络环境不够安全,此时我们可以对 VRRP 使用认证。当网络环境安全时,我们可以配置不需要认证的 VRRP。
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号