本科计算机网络工程毕业论文

1、.摘要随着计算机网络的发展和普及，计算机网络带来了无限的资源，随之而来的网络安全问题也很重要。 安全是网络运行的前提，网络安全不是单点安全，而是信息网络整体安全，需要从多方面进行立体防护。 本文就局域网网络安全的目前形式和面临的各种威胁、网络安全对策和技术，阐述了局域网网络安全在我们现在生活中的重要性。关键字： LAN网络安全网络安全.Abstract但是，网络安全性的问题是，事先，网络安全性只是指：“withcommationrovernetworkcontunuouslydevelopmentanduniversity”， 不仅仅是微小的位单安全性，aresoccprotecprotect

2、ionthetthecurrreforatenternetworksafetyinbureauandfaceofvariousthreading t，t， thenetworksafetyguardsagainstmeasure，theneticqueandelabordthearenetworksafetyinbureauisintheimportinginforrrmationalintheinkeyword:laninternetsecuritynetworksecurity目录第一章网络安全1第一节网络安全的定义1第二节局域网安全威胁和安全攻击1局域网安全的威胁1二安全攻击2第三节局域

3、网现在的形式和面临的问题4第二章网络安全的防护措施6第一节网络架构6网络第6层2服务、接口、协议6三网络参考模型7第二节网络安全模型10第三节局域网安全措施12防火墙系统12第二入侵检测系统14第三章基于某学校互联网安全的研究16第一节校园网安全系统的建立16校园网络安全战略概述16。2面向校园网的解决方案16第二节某学校的网络安全设计方案19网络安全设计原则19二网络安全建设方案19结束语22谢词23参考文献24第一章网络安全随着互联网的兴起，互联网的安全问题越来越受到人们的关注，采用安全技术防止数据破坏成为网络应用的当务之急。第一节网络安全的定义网络安全性是指，网络系统的硬件、软件及其系统

4、的数据得到保护，以防止偶然或恶意行为造成破坏、变更、泄露，系统连续可靠地正常工作，不中断网络服务网络安全本质上是网络上的信息安全1。第二节局域网安全威胁和安全攻击局域网安全的威胁(1)来自互联网的安全威胁局域网连接到互联网上了. 互联网的开放性、国际性和自由性使局域网面临更严重的安全威胁。 如果局域网和外部网络之间不采取一定的安全措施，就容易受到Internets上的黑客的各种攻击。 他们使用snaffer，将网络I P地址、应用程序操作系统的类型、开放T C P端口号、系统存储用户名和密码等安全信息的重要文件等存在于网络和操作系统中的安全霍他们也可以通过互联网监听等手段获得内部网用户的用户名

5、和密码等信息，进而冒充内部的合法身份非法登录，窃取内部网络的重要信息。 并且，也可以通过发送大量的数据包来攻击网络服务器，由于服务器过载而拒绝服务，使系统瘫痪。(2)来自局域网内部的安全威胁内部管理者将内部网络结构、管理者密码以及系统的一些重要信息发布到外部导致信息泄露的公司内员工，可能精通服务器、applet、脚本、系统的弱点，利用网络开玩笑或破坏。 例如，泄露重要信息、错误地进入数据库、删除数据，会给网络带来巨大的安全威胁。(3)计算机病毒和恶意代码的威胁网络用户没有及时安装防病毒软件和操作系统补丁，或者没有及时更新防病毒软件的病毒库，导致计算机病毒入侵.的原因在于，网络用户无法及时安装防

6、病毒软件和操作系统补丁。 许多网络寄生犯罪软件的攻击利用了用户的弱点。 寄生软件可以修改磁盘上现有的软件，将新代码注入到自己寄生的文件中。 近年来，犯罪软件(Crime Software )激增，寄生软件已经退却到背后，成为犯罪软件的助手。二安全攻击安全攻击是安全威胁的具体表现，他主要包括被动攻击、主动攻击、物理近距离攻击和分发攻击。被动攻击被动攻击的主要目标是被动地看到公共媒体上发布的信息。 抵抗这种攻击的措施是使用虚拟私有网络(VPN )。 表1.1列举了特定的被动攻击。进行攻击说明看明文查看网络攻击者获取不受保护的用户信息和数据对未加密的通信数据进行解密公共域具有密码分析功能密码探测这种

7、攻击包括使用协议分析工具来获取未经授权使用的密码。的。通信量分析即使不解码下层信息，外部通信模式的观察也能够向对方提供重要的信息。 通信模式的变更可以提示紧急行动表1.1特定被动攻击的示例(2)自主攻击主动攻击的主要目标是避免或破坏安全，引入恶意代码(如计算机病毒)，并转换数据或系统完整性。 常见措施包括增强的区域边界保护(如防火墙和边防)、基于认证的访问控制、安全的远程访问、质量安全管理、自动病毒检测工具、审计和入侵检测等。 表1.2类收集了几个特定的积极攻击。表1.2主动攻击的例子进行攻击说明变更传送中的数据在金融领域，如果修改电子交易以改变交易数量，或者将交易转移到其他帐户，结果会是毁灭

8、性的。播放(数据插入)旧消息的重新插入会推迟及时的行动劫机对话这种攻击包括您没有权限使用已建立的会话冒充被认可的用户或服务器。这种攻击包括攻击者自己冒充别人，没有权限访问资源和信息. 攻击者实施嗅探等来获取用户/管理员信息，并以授权用户的身份登录。 此类攻击还包括用于获取机密数据的假脱机服务器，通过与可疑用户建立信任关系来进行攻击获取系统应用程序和操作系统软件攻击者探索用系统权限运行的软件中存在的脆弱性利用主机或网络的信任攻击者操作文件，为虚拟/远程主机提供服务，利用分发的信任利用数据来执行攻击者通过在看起来无害的下载用软件和电子邮件中嵌入恶意代码，让用户执行该恶意代码。 恶意代码可以用于破坏

9、或修改文件，特别是包含权限参数值的文件。插入或利用恶意代码。攻击者可以进入用户系统，执行命令。 利用以前发现的脆弱性，来达到其攻击目的利用协议和基础设施的BUGS攻击者利用协议的制约，欺骗用户和重定向的通信量。 恶意代码可以在VPN中经由较低级别的隧道来获得信息拒绝服务。攻击者还有很多其他攻击方法，如有效地将路由器从网络上脱离ICMP炸弹、向网络扩散垃圾邮件、向邮件中心扩散垃圾邮件等(3)物理接近攻击在物理接近攻击中，未经授权的人可以物理上接近网络、系统或设备，以便改变、收集或拒绝对信息的访问。 该接近可以是秘密的或公开的，也可以是两者。 表1.3显示了这种攻击特有的典型攻击例子。表1.3近距

10、离攻击的例子进行攻击说明更改数据或收集信息附近的攻击者通过物理访问系统，修改或窃取IP地址、登录用户名、密码等信息系统干预此攻击来自邻居访问系统并介入系统(例如，窃听、降级等)。物理破坏该攻击者从获得对该系统的物理访问的邻居对本地系统造成了物理破坏(四)分发攻击“分发攻击”一词是指在软件和硬件开发到安装之间，或者从一个位置发送到另一个位置时，攻击者恶意修改硬件和软件。 工厂加强处理配置的管理，可以将此类威胁降到最低。 使用受管理的分发或通过最终用户验证的签名软件和访问控制来消除分发威胁。 表1.4显示了这种布局特有的典型攻击例表1.4分发攻击的例子进行攻击说明在制造商的设备上修改软件/硬件当软

11、件和硬件在生产线上流通时，可以通过变更硬件和软件的结构来实施这种攻击。 这个阶段的威胁对策包括严格的完整性控制和用测试软件产品加密签名，前者包括可靠的配置控制在分发产品时修改软件/硬件这些攻击可以通过在产品分发期间(装船时设置窃听设备等)修改软件和硬件的配置来实施。 这个阶段的威胁对策包括在包装阶段使用篡改检测技术，通过许可和批准，使用繁忙的购买技术第三节局域网现在的形式和面临的问题随着局域网技术的发展和社会信息化进程的加快，现在人们的生活、工作、学习、娱乐和交流离不开计算机网络。 目前，全球网民已超过15亿，网络已成为生活中不可或缺的工具，经济、文化、军事和社会活动对网络有很大的依赖。 网络

12、环境的复杂性、多样性、信息系统的脆弱性、开放性和攻击性决定了网络安全威胁的客观存在。 计算机网络给人们提供了很大的便利，但受技术和社会因素的各种影响，计算机网络中存在着很多安全缺陷。 攻击者总是利用这些缺陷实施攻击和入侵，对计算机网络造成巨大损害，网络攻击、病毒感染、垃圾邮件等迅速增加，利用网络盗窃、欺诈、威胁、盗窃等事件逐年上升，对网络正常秩序产生严重影响网络系统的安全性和可靠性成为世界各国共同关心的焦点。中国互联网信息中心2010年初发布的统计报告显示，中国互联网网站已经超过300万家，网民超过2亿人，网民和宽带网络用户均居世界第二。 同时，网络安全风险随处可见，各种网络安全脆弱性大量存在

13、，不断被发现，计算机系统感染病毒，被破坏的情况相当严重，计算机病毒呈现出非常活跃的状况。 面对网络安全的严峻形势，中国的网络安全保障工作还处于开始阶段，基础薄弱，水平不高。 网络安全系统在预测、反应、防盗和恢复能力方面有很多弱点。 安全保护能力远远低于美国、俄罗斯、以色列等信息安全强国，而且落后于印度、韩国。 监督管理方面证据和标准不足，监督措施不足，监督系统还不完善，网络信息安全保障制度不健全，责任不落实，管理不足。 网络信息安全法律法规不完善，重要技术和产品受人束缚，网络信息安全服务机构专业化程度不高，行为不规范，缺乏网络安全技术和管理人才。面对网络安全严峻的形势，如何建设高质量、高稳定性

14、、高可靠性的安全网，成为面对通信行业乃至整个社会发展需要解决的重大课题。第二章网络安全的防护措施第一节网络体系结构网络层次结构计算机网络通过将多台计算机相互连接，使用户程序能够交换信息和共享资源。 不同系统实体通信的过程相当复杂，为了简化网络的设计，人们采用工程设计中常用的结构化设计方法，将复杂通信问题分解成几个容易处理的子问题，一个一个地解决。网络设计中采用的结构化设计方法将网络按功能划分为一系列层，在各层完成特定功能，相邻层中的上层直接使用下层的服务实现基本层的功能，同时通过向该上层提供服务，提供和使用服务或相邻层的接口这就是一般所说的网络阶层，阶层结构是现代计算机网络的基础。 参照图2.

15、1。 该结构不仅网络设计与具体应用、基础媒体技术、互连技术等无关，具有较大的灵活性，而且各层功能简单，易于实现和维护3。图2.1网络的分层结构辅助服务、接口、协议每个层的活动元素被称为实体，并且在同一层中具有不同硬件实体(例如智能I/O芯片)的实体(例如过程)的实体被称为对等实体把用于在某一层进行通信的规则的集合称为该层的协议，把各层的协议按层顺序排列的协议序列称为协议栈4。在实际上，除了正在最下层物理媒体上进行实际的通信外，还在其馀的对等体之间进行虚拟通信，即，数据流不会直接从一个系统的第n层流到另一个系统的第n层。 每个实体可以直接与相同系统中的上下相邻的实体通信。 不同系统中的对等实体没有直接通信的能力，并且它们之间的通信必须通过其下层通信来间接进行。 第n层实体向第N 1层实体提供的第n层上的通信能力被称为第n层服务。 由此，第N 1层实体通过请求第n层的服务完成第N 1层的通信，第n层实体通过请求第N-1层的服务完成第n层的通信，然后该第n层实体以同样的方式持续到最下层，最下层的对等实体通过连接它们的物理介质。 在第n层协议中传输的各个信息称为第n层协议数据单元