网络安全设计

1、网络安全技术课程设计 班 级： 11级网络工程1班 实 践 地 点： 校 内 姓 名： 张 俊 学 号： 1 1 5 3 9 0 0 5一、网络安全技术课程设计的目的 网络安全课程设计是网络工程专业重要的实践性教学环节，本课程设计的目的是：使学生通过实践环节深入理解和掌握课堂教学内容,掌握各种网络安全技术的配置，特别是防病毒体系、网络防火墙的配置，初步了解入侵检测、漏洞扫描的配置，了解各种网络安全系统的运行状况及使用效果，最后从网络安全工程的角度编写一份网络安全解决方案，提高其解决实际问题的能力。 二、要求完成的内容 1、本年度网络安全事件调查报告一份。要求对本年度的网络安全事件进行调查统计，

2、写一份简要的调查报告。 2、XX高校网络安全解决方案一份。具体内容包括： （1）网络安全需求分析，网络安全产品选型，网络拓扑结构图。 （2）操作系统的安全配置、测试。 （3）应用服务器系统的漏洞扫描和安全配置，重点是WWW服务器（网站）的安全设计、配置与测试。 （4）恶意代码的防范系统设计，重点是防病毒体系的设计。 （5）防火墙设计、配置与测试。三、课程设计的资料 1、设计背景： XX高校是我省省属重点大学。该校拥有已开通信息点1万多个，上网电脑一万多台，校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。 XX高校的网络结构分为核心、汇聚和接入3个

3、层次，网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构，可以通过ChinaNet，也可以通过CERNET进入互联网。学校有16个C的教育网IP地址和8个ChinaNet的IP地址。目前提供的网络服务有：WWW服务、MAIL服务、FTP服务、VOD服务,图书馆电子图书数据库服务等。 2、安全需求 （1）防止校园网外部用户对校园网内的用户进行攻击 （2）校园网外部用户只能访问WWW服务、MAIL服务，其他服务只对校园网内部用户开放。 （3）考虑到易用性，所有服务器的操作系统采用Windows Server，WWW服务使用IIS。 （

4、4）需要防病毒系统。 XX高校网络安全解决方案服务器的选型及参数戴尔PowerEdge R710参数基本类别类别参数纠错机架式结构参数纠错2U处理器CPU类型参数纠错Xeon E5520CPU频率参数纠错2260MHz处理器描述参数纠错标配2个Xeon E5520处理器最大处理器数量参数纠错2制程工艺参数纠错45纳米CPU核心参数纠错四核（Gainestown）主板主板芯片组参数纠错Intel 5520扩展槽参数纠错2 PCIe x8 + 2 PCIe x4 或 1 x16 + 2 x4内存内存类型参数纠错DDRIII内存大小参数纠错32GB内存带宽/描述参数纠错8个4GB DDR3内存插槽数

5、量参数纠错18最大内存容量参数纠错144GB存储硬盘大小参数纠错5*300GB硬盘类型参数纠错SAS硬盘最大容量参数纠错6TB内部硬盘架数参数纠错通过6个3.5英寸1000 GB热插拔 SAS硬盘最大热插拔硬盘数参数纠错支持热插拔磁盘阵列卡参数纠错RAID 6光驱参数纠错DVD-ROM网络网络控制器参数纠错集成双千兆以太网控制器显示性能显示芯片参数纠错Matrox G200其他参数散热系统参数纠错可选冗余冷却咨询购买热线参数纠错800-858-2339服务参数纠错DELL 3年免费上门服务管理及安全性管理工具参数纠错远程管理卡电源性能电源参数纠错冗余电源电源数量参数纠错2外观特征尺寸参数纠错8

6、6.4*443.1*680.7mm重量参数纠错26.1Kg软件系统系统支持参数纠错Microsoft Windows Server 2008，x64小型企业服务器标准版Microsoft Windows Server 2008，标准 Microsoft Windows Server 2008，企业 Microsoft Windows Server 2008 x64 数据中心，包括 Hyper-V Red Hat Linux Enterprise v5 x86-64 Red Hat Linux Enterprise v4、ES 和 ES x86-64 Solaris 10(非工厂预装)Red H

7、at Linux Enterprise Linux 5.x x86 Red Hat Linux Enterprise Linux 5.x x86_64 Novell SuSe Linux 10 SP2SUSE Linux Enterprise Server 10 x86-64VMware ESX 3.5 标准版VMware ESX 3.5 企业版防火墙的选型及参数CISCO ASA5580-20-BCISCO ASA5580-20-B综述 主要参数设备类型参数纠错企业级防火墙并发连接数参数纠错1000000网络吞吐量(Mbps)参数纠错5000安全过滤带宽参数纠错1000Mbps用户数限制参数

8、纠错无用户数限制安全标准参数纠错UL 60950,CSA C22.2 No.60950,EN 60950 IEC 60950,AS/NZS60950控制端口参数纠错console,1*RJ-45管理参数纠错思科安全管理器(CS-Manager),WebVPN支持参数纠错支持一般参数适用环境参数纠错工作温度:1035;工作湿度:1090%不凝结;存储温度:-3060;存储湿度:1095%不凝结电源参数纠错100240VAC,50/60Hz防火墙尺寸参数纠错673*483*176mm防火墙重量参数纠错29.9kg其他性能参数纠错高性能防火墙、IPS、以及IPSec 和SSL VPN和IPSec V

9、PN(750个设备对)软件,支持防垃圾邮件、URL阻拦和过滤,以及防网络钓鱼网络拓扑图操作系统的安全配置和测试（1）物理安全设备的无人监控，加锁，防潮（2）停止Guest帐号（3）限制用户数量对于Windows NT/2000主机，如果系统帐户超过10个（4）多个管理员帐号创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用（5）管理员帐号改名（6）陷阱帐号创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码（7）更改默认权限共享文件的权限

10、从“Everyone”组改成“授权用户（8）安全密码要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。（9屏幕保护密码（10）NTFS分区n 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。 （11）防毒软件n 设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。（12）备份盘的安全不能把资料备份在同一台服务器上，这样的话还不如不要备份服务器系统的漏洞扫描和测试（1） 机器有些用户没有密码，有些用户有些简单的密码（2） 不是所有的硬盘都是用的NTFS文件系统（3） 设置匿名登录的最大数量和权限（4）

11、没有设置自动更新（5） 没有设置用户登录密码的过期时间（6） LLS的锁定工具没在机器上运行（7） 一些LLS的实例应用程序安装在机器上了（8） 父路径在一些网站或虚拟目录被启用（9） MSADC , SCrits虚拟目录在一个或更多的网站下面（10）Internet explorer 对用户没有安全的设置恶意代码的防范系统设计1.装一款技术比较先进和成熟的查毒软件，并自动升级，系统要打最新的补丁。2.系统是人开发的，任何系统都存在漏洞，所以要做好数据的备份，这里我们选择差分备份，一旦机器中了病毒和木马，可以在很短的时间内回复。3.在交换机上配置ACL Deny一些恶意代码常用的端口Ip ac

12、cess-list exten 100access-list 100 deny tcp any any eq 135access-list 100 deny tcp any any eq 136access-list 100 deny tcp any any eq 139access-list 100 deny tcp any any eq 445access-list 100 deny tcp any any eq 4444access-list 100 deny udp any any eq 135access-list 100 deny udp any any eq 136access-

13、list 100 deny udp any any eq 445access-list 100 deny udp any any eq 4444access-list 100 deny udp any any eq netbios-ssaccess-list 100 deny udp any any eq netbios-nsaccess-list 100 deny udp any any eq netbios-dgmaccess-list 100 permit ip any anyinter f0/1 24ip access-group 100 in防火墙的配置1. access-list：

14、用于创建访问规则 这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。（1）创建标准访问列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）创建扩展访问列表 命令格式：access-list normal special listnumber2 permit deny protoc

15、ol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）删除访问列表命令格式：no access-list normal special all listnumber subitem 上述命令参数说明如下：normal：指定规则加入普通时间段。 special：指定规则加入特殊时间段。listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2：是100到199之间的一个数值，表

16、示规则是扩展访问列表规则。permit：表明允许满足条件的报文通过。 deny：表明禁止满足条件的报文通过。 protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr：为源IP地址。 source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为。 dest-addr：为目的IP地址。dest-mask：为目的地址的子网掩码。 operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（g

17、t）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或065535之间的一个数值。icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0255之间的一个数值。icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，

18、是0255之间的一个数值。log：表示如果报文符合条件，需要做日志。listnumber：为删除的规则序号，是1199之间的一个数值。subitem：指定删除序号为listnumber的访问列表中规则的序号。例如，现要在华为的一款防火墙上配置一个"允许源地址为 网络、目的地址为网络的WWW访问，但不允许使用FTP"的访问规则。相应配置语句只需两行即可，如下：Quidway (config)#access-list 100 permit tcp eq w

19、ww Quidway (config)#access-list 100 deny tcp eq ftp 2. clear access-list counters：清除访问列表规则的统计信息命令格式：clear access-list counters listnumber 这一命令必须在特权用户模式下进行配置。listnumber 参数是用指定要清除统计信息的规则号，如不指定，则清除所有的规则的统计信息。如要在华为的一款包过滤路由器上清除当前所使用的规则号为100的访问规则统计信息。访问配置语句为：clear

20、 access-list counters 100 如有清除当前所使用的所有规则的统计信息，则以上语句需改为：Quidway#clear access-list counters3. ip access-group 使用此命令将访问规则应用到相应接口上。使用此命令的no形式来删除相应的设置，对应格式为：ip access-group listnumber in out 此命令须在端口用户模式下配置，进入端口用户模式的命令为：interface ethernet（），括号中为相应的端口号，通常0为外部接口，而1为内部接口。进入后再用ip access-group 命令来配置访问规则。listnu

21、mber参数为访问规则号，是1199之间的一个数值（包括标准访问规则和扩展访问规则两类）；in 表示规则应用于过滤从接口接收到的报文；而out表示规则用于过滤从接口转发出去的报文。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。例如将规则100应用于过滤从外部网络接口上

22、接收到的报文，配置语句为（同样为在倾为包过滤路由器上）：ip access-group 100 in 如果要删除某个访问控制表列绑定设置，则可用no ip access-group listnumber in out 命令。4. show access-list 此配置命令用于显示包过滤规则在接口上的应用情况。命令格式为：show access-list all listnumber interface interface-name 这一命令须在特权用户模式下进行配置，其中all参数表示显示所有规则的应用情况，包括普通时间段内及特殊时间段内的规则；如果选择listnumber参数，则仅需显示指定规则号的过滤规则；interface 表示要显示在指定接口上应用的所有规则序号；interface-name参数为接口的名称。 使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例如，现在要显示当前所使用序号为100的规则的使用情况，可执行Quidway#show access-list 100语句即可，随即系统即显示这条规则的使用情况，格式如下：Using norma