冯靖惠网络安全综合实验

华北科技学院计算机系综合性实验报告华北科技学院计算机系综合性实验实 验 报 告 课程名称 网络安全 实验学期 2013 至 2014 学年 第 一 学期学生所在系部 计算机 年级 2011 专业班级 网络B113班 学生姓名 学号 任课教师 田立勤 实验成绩 计算机系制 网络安全课程综合性实验报告开课实验室： 计算机网络工程实验室 2013年11 月21日实验题目网络安全的规划与设计一、实验目的 利用当前的网络技术，在特定资金的投入下，进行单位信息的风险评估。在评估的基础上提出或改进网络的整体规划方案，包括安全设备的选型、拓扑结构的绘制、建立完善的安全管理制度、安全资金的合理分配、防火墙体系结构的设计、数据加密、备份与恢复方案、防病毒系统、入侵检测系统的设置、网络中心机房的安全与防护措施以及网络安全应急处理等。二、设备与环境（1） 网络互联环境（2） PC机三、实验内容本次综合性实验做的是校园网络安全的规划与设计具体内容入如下：（一）安全需求分析通过前面我们对这个学校局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：病毒防护、数据安全保护、数据备份与恢复、网络的安全管理，针对这个学校局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：1.提高系统的安全性（重点是可用性和可控性）；2.保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5.安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；6.安全产品具有合法性，及经过国家有关管理部门的认可或认证；7.分布实施。 （二）网络系统安全风险分析 针对这个学校局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与这个学校局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素：网络安全可以从以下几个方面来理解：1网络物理是否安全；2网络平台是否安全；3系统是否安全；4应用是否安全；5管理是否安全。针对每一类安全风险，结合这个学校局域网的实际情况，我们将具体的分析网络的安全风险。（三）网络设计原则 我国各校校园网的建设，主要是借助国家现成的传输系统，利用现代传输媒介和通讯技术，因地制宜地组建自己的 校园网络，并开发了数量众多、形式各异的校园网络系统。主要有闭路电视网、计算机网、 二合一网络、一线通网等等。然而，这些校园网往往投资很大，但由于没有用 到教育主业上，仅用在办公自动化中，其利用率就显得很低，十分可惜，因此，我们在建设 校园网时一定要把握以下几个原则：1、系统性 校园网是一个复杂的系统，校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看等。任何一项工作都从全局、长远的角度出发，体现整体最优性。2、先进性、实用性校园网规划、设计尽可能地采用先进技术，同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里，不考虑技术的先进性，无疑会形成建成不久即面临淘汰的局面。而一味追求先进，不考虑技术的成熟性，将存在巨大的风险。因为先进性是以大量的资金投入为代价的。另一方面，一味追求先进，以至脱离自己的实际需求，也是没有实际意义的。3、开放性、发展性系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口，有良好的兼容性，以利于网络的维护、扩展、升级及与外界的沟通。既要满足现在和未来五年的用户需求，又要考虑将来向更为先进的技术实现低成本平滑地升级过渡。4、安全性系统具有多层次的安全控制手段，完善的安全管理体系，防止受到黑客攻击和破坏。5、易用性、可靠性系统要求设计简单，层次清晰，软、硬件设备性能优良，功能完善，运行稳定、可靠，易于维护。6、经济性系统设计和资金投向合理，体现良好的性能价格比。力争少花钱，多办事。7、强调培训老师和学生是校园网的使用者，他们的计算机应用水平直接决定了校园网使用情况的好坏。因此，学校要加强对应用人员的培训8、采用开放产品，遵循国际标准只有采用开放的和符合国际标准的产品，校园网络才能确保适应将来网络技术发展的需要。9、可兼容及可扩展性在进行方案建设时，力求做到网络结构清晰、合理并具有扩展能力；硬件配置先进、可靠，能够满足网络及软件运行的需要；系统软件安全、可靠，界面友好，易于操作和维护。10、统筹规划，分步实施的原则学校经费十分有限，一次性拿出大笔资金使网络建设一步到位是不现实的，也没有这个必要。因为网络建设本身不仅是硬件建设，更重要的是软件建设和实际应用，而软件建设和实际应用需要逐步地依据需求的增长来完成。另一方面，整个网络系统也必须随着网络技术的发展不断地扩展和升级，需要连续的资金投入。但有些关键性的基础设施必须一步到位，如主要网络设备、服务器及操作系统软件等。我们要认真地进行科学的论证，制定整体方案，确保网络的整体性和实用性。（四）设备选型主机系统负责整个网络的数据存储和数据处理，因此必须选择处理能力强、可伸缩性强、优良的TCP/IP网络性能、先进的数据库产品、高可靠解决方案、功能强大的应用开发工具以及客户机/服务器应用解决方案包的服务器系统。如PC服务器基于Intel的体系结构（IA），采用Windows NT、NetWare等通用网络操作系统，与传统的RISC UNIX服务器相比，具有开放性、标准化、性价比高等特点。Unix服务器主要是以Sun、Siemens、SGI学校为代表厂商，提供完整系列的Unix服务器，从针对中、小型校园网或学校网的小型Unix服务器，到大型Unix服务器均可提供，并且配以大量应用软件。校园网Intranet主要是以Web服务器为中心，WEB服务器提供基本的HTTP功能，从通用数据库（URL）中得到所需页的路径，并传送回浏览器，它改变了传统的Client/Server的结构。1、锐捷 STAR-R2624锐捷R2624模块化路由器1台，路由器价格21000，STAR-R2624路由器提供丰富的网络安全特性，支持哑终端接入服务器功能；提供完备的冗余备份解决方案。STAR-R2624路由器支持VoIP特性、IP组播协议，有丰富的QoS特性，为中小型学校提供高性价比的三网合一解决方案。2、锐捷 STAR-S3550STAR-S3550千兆智能多层交换机6台，每台价格39000，STAR-S3550-24带有24个10/100自适应以太网端口，2个千兆扩展插槽，可扩展1个或者是2个千兆/百兆模块，有12.8Gbps背板带宽和6.6Mpps二三层转发能力；而STAR-S3550-48具有48个10/100自适应端口，2个千兆扩展插槽，可扩展1至2个千兆/百兆模块；背板带宽18.5Gbps，二三层转发能力达到10.1Mpps。STAR-S3550-12G/S3550-24G产品则是两款全千兆的智能多层交换机，STAR-S3550-12G具有12个基于GBIC的千兆位以太网端口，48Gbps的背板带宽，18Mpps的二三层转发能力；STAR-S3550-24G的GBIC千兆位以太网端口有24个，背板带宽为72Gbps，二三层转发能力达到36Mpps。STAR-S3550系列智能多层交换机凭借丰富的产品系列、齐全的端口、高性能配置，能够为各种网络应用提供个性化选择。而STAR-S3550系列交换机之所以受到广大用户的欢迎，还在于其为用户所提供的丰富地网络智能服务：硬件实现多种功能，增强数据处理能力。STAR-S3550系列多层交换机独创性采用了硬件方式实现交换和路由，并且ACL和QOS功能也是通过硬件实现，这意味着，即使在大量数据处理情况下，系统所有端口仍能保持线速转发。3、锐捷 RG-S2126交换机S2126交换机55台，每台价格5600，S2126交换机支持512个802.1Q VLAN，支持端口和MAC地址绑定，支持广播风暴抑制，还可以对属于同一个802.1Q VLAN的端口之间设置隔离或互通。 S2126灵活的扩展能力和远程维护，S2126提供百兆光接口扩展能力，允许交换机通过光纤上联网络。 支持HGMP集群管理系统并能实现设备管理和故障诊断，实现了设备的集中管理和维护。S2126 多样的管理方式，S2126交换机支持SNMP V1/V2，支持Open View等通用网管平台以及iMC网管系统配置和管理。支持CLI命令行，Web网管，TELNET，HGMP集群管理等多种方式，便于设备维护。（5） vlan划分及子网配置 Vlan的划分办公楼VLAN1，PC机IP范围：/2454/241号教学楼VLAN2，PC机IP范围：/2454/242号教学楼VLAN3，PC机IP范围：/2454/243号教学楼VLAN4, PC机IP范围：/2454/24教师公寓VLAN5，PC机IP范围：/2454/24网络拓扑结构设计星状拓扑图结构是一种以中央为中心，把若干外围节点连接起来的辐射式互联结构。这种结构适用于局域网，特别是近年来连接的局域网大都采用这种连接方式。这种连接方式以双绞线或同轴电缆作连接线路，其优点是结构简单、容易实现、便于管理，通常以集线器（HUB）作为中央节点，便于维护和管理。其缺点是中心节点是全网络的可靠瓶颈，中心节点出现故障会导致网络的瘫痪。（6） 网络攻击的防范 1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL，能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使用。2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增强网络的安全性。4、 实验心得 本次实验，首先完成需求分析，包括主干网，各个部门层以及交换到桌面所需带宽，选择确定局域网网络技术，以单模与多模光纤以及双绞线等为传输介质。其次，就是划分子网，根据学校要求将网络划分为六个子网，即办公区子网，教师公寓子网，教学楼子网，然后确定Internet接入方案以及中心机房设计，确定实现的信息服务，应用程序及系统及数据安全分析等。再次，就是网络拓扑图及方案整体描述与实现，确定主干网传输方案，详细描述Internet接入方案，远程访问支持等，根据对网络的需求设计出包括网络拓扑结构图、IP分配及规划、特殊网络应用技术和网络测试及协议分析。完成设备选型，确定存储方案，然后进