畢業(yè)設(shè)計(jì)-中小型企業(yè)局域網(wǎng)組建論文

1、目 錄摘 要 I第一章 局域網(wǎng)的安全概述 11.1局域網(wǎng)存在安全分析 41.2局域網(wǎng)的病毒威脅 4第二章 企業(yè)的現(xiàn)狀及需求分析 52.1 公司背景 6公司的基本情況及局域網(wǎng)拓?fù)鋱D 62.2 公司的網(wǎng)絡(luò)安全現(xiàn)狀 62.3 公司的需求及分析 7公司需求 7需求分析 9總體需求 9第三章 局域網(wǎng)的安全實(shí)施與策略 103.1 防火墻部署 10防火墻簡介 10防火墻類型與配置 10防火墻的地址轉(zhuǎn)換能力 103.2 內(nèi)部網(wǎng)絡(luò)部署監(jiān)控 11百絡(luò)網(wǎng)警的功能簡介 11百絡(luò)網(wǎng)警的特點(diǎn) 113.3 病毒的防御措 11安裝殺毒軟件 11 12電子郵件病毒防范 123.4 入侵檢測 12入侵檢測方法 12入侵檢測系統(tǒng)部

2、署 13入侵預(yù)防措施 143.5 群集 14基于服務(wù)器的群集 293.6 數(shù)據(jù)備份與恢復(fù) 30結(jié) 論 35致 謝 36第一章 局域網(wǎng)的安全概述局域網(wǎng)安全是在一個(gè)局部的地理范圍內(nèi)(如一個(gè)學(xué)校、工廠和機(jī)關(guān)內(nèi)，將各種計(jì)算機(jī)、外部設(shè)備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計(jì)算機(jī)通信網(wǎng)絡(luò)系統(tǒng)沒有被危險(xiǎn)虛擬事物侵害的狀態(tài)?；ヂ?lián)網(wǎng)的迅速普及，局域網(wǎng)應(yīng)用已成為企業(yè)發(fā)展中必不可少的一部分。然而，在感受網(wǎng)絡(luò)所帶來的便利的同時(shí)，也面臨著各種各樣的進(jìn)攻和威脅：機(jī)密泄漏、數(shù)據(jù)丟失、網(wǎng)絡(luò)濫用、身份冒用、非法入侵。目前有些企業(yè)建立了相應(yīng)的局域網(wǎng)絡(luò)安全系統(tǒng)，并制定了相應(yīng)的網(wǎng)絡(luò)安全使用制度，但在實(shí)際使用中，由于用戶對操作系統(tǒng)安全使用策略

3、的配置及各種技術(shù)選項(xiàng)意義不明確，各種安全工具得不到正確的使用，系統(tǒng)漏洞、違規(guī)軟件、病毒、惡意代碼入侵等現(xiàn)象層出不窮，導(dǎo)致用戶計(jì)算機(jī)操作系統(tǒng)達(dá)不到等級標(biāo)準(zhǔn)要求的安全等級。1.1局域網(wǎng)的安全威脅局域網(wǎng)絡(luò)安全隱患是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全缺點(diǎn)，而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴(yán)重程度。局域網(wǎng)的安全威脅通常有以下幾類：1 來自互聯(lián)網(wǎng)的安全威脅局域網(wǎng)是與Inernet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，很容易遭到來自Internet 黑客的各種攻擊。他們可以通過嗅探程序來探測、掃

4、描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)，甚至使系統(tǒng)癱瘓。2 來自局域網(wǎng)內(nèi)部的威脅內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部非授權(quán)人員有意或無意的偷竊機(jī)密信息，更改網(wǎng)絡(luò)配置和記錄信息，破壞網(wǎng)絡(luò)系統(tǒng)，刪除數(shù)據(jù)等，這些都將給網(wǎng)絡(luò)造成極大的安全威脅。3 欺騙性的軟件使數(shù)據(jù)安全性降低由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于資源共享的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被

5、篡改和刪除，數(shù)據(jù)安全性較低。4 服務(wù)區(qū)域沒有進(jìn)行獨(dú)立防護(hù)如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù)，局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性。5 計(jì)算機(jī)病毒及惡意代碼的威脅網(wǎng)絡(luò)用戶沒有及時(shí)安裝操作系統(tǒng)補(bǔ)丁和防病毒軟件、也沒有及時(shí)更新防病毒軟件而造成計(jì)算機(jī)病毒侵入。以上特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒傳播速度快、數(shù)據(jù)安全性低、電腦相互感染、數(shù)據(jù)經(jīng)常丟失。1.2 局域網(wǎng)的病毒威脅局域網(wǎng)（LAN）就是“局部區(qū)域網(wǎng)絡(luò)”的簡稱，它主要是指在小范圍內(nèi)由服務(wù)器和多臺電腦組成的工作組互聯(lián)網(wǎng)絡(luò)，屬于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的一個(gè)分支。由于通過服務(wù)器把網(wǎng)內(nèi)每一臺電腦連接，因此局域網(wǎng)內(nèi)的信息的傳輸速率比較高，同

6、樣也給病毒傳播提供了有效的通道，通常病毒在局域網(wǎng)內(nèi)通過下面幾種途徑相互傳播：1） 由于局域網(wǎng)很大的一部分用處是在共享資源方面，而正是由于共享資源的“數(shù)據(jù)開放性”，造就了病毒感染的直接性。2） 由于有些服務(wù)器屬于低端服務(wù)器或者干脆是由普通pc改制而成，在性能上不是很強(qiáng)，因此各電腦在通過服務(wù)器和外界數(shù)據(jù)傳輸時(shí)，一旦服務(wù)器感染外界病毒，所有需要經(jīng)過服務(wù)器的數(shù)據(jù)也會被順帶感染，進(jìn)而造成整個(gè)網(wǎng)絡(luò)感染病毒的情況。3） 局域網(wǎng)最大的特點(diǎn)就是網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便易的傳遞，如果其中一臺計(jì)算機(jī)感染病毒，任何與該電腦數(shù)據(jù)傳遞都必會感染病毒4） 如果局域網(wǎng)中其中一臺電腦感染病毒，又通服務(wù)器來進(jìn)行信息傳遞，就會感染

7、服務(wù)器，現(xiàn)在局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就會感染病毒。5） 網(wǎng)絡(luò)使用者對病毒的安全意識不強(qiáng)，因此會造成經(jīng)常性的病毒感染。正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn)，造成局域網(wǎng)內(nèi)的病毒快速傳遞，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡。第二章 企業(yè)的現(xiàn)狀及需求分析2.1 公司背景盛千公司是一家專業(yè)從事服裝設(shè)計(jì)、制板、生產(chǎn)、銷售于一體的中小型企業(yè)，主要致力于制服的設(shè)計(jì)和生產(chǎn)。公司的基本情況及局域網(wǎng)拓?fù)鋱D盛千公司是一家制衣的中小型企業(yè)，現(xiàn)有65臺計(jì)算構(gòu)成的一個(gè)中小型局域網(wǎng)。盛千公司有4個(gè)部門分別是：行政部、研發(fā)部、供銷部、生產(chǎn)部。公司共有三棟樓，1號樓，2號樓，3號樓。各棟樓之間得知距離50米。1號樓

8、：三層，作為行政辦公樓，共有20臺電腦分布在各個(gè)辦公室中。一樓5臺，二樓10，三樓5臺；2號樓：五層，產(chǎn)品研發(fā)部，供銷部，共有30臺電腦，其中20臺集中在三樓研發(fā)部。設(shè)計(jì)室中設(shè)一個(gè)機(jī)房。其他10臺分散在各個(gè)辦公室中；3號樓：5層，生產(chǎn)車間，每層一個(gè)車間，每個(gè)車間有3臺電腦，共15臺。2.2 公司的網(wǎng)絡(luò)安全現(xiàn)狀盛千公司的計(jì)算機(jī)操作系統(tǒng)是windows 98，安全防范方面也部署了防火墻、瑞星殺毒軟件。雖然部署了防火墻、瑞星殺毒軟件，但還是受到網(wǎng)絡(luò)攻擊，沖擊波等危害。導(dǎo)致大部分的計(jì)算機(jī)癱瘓，運(yùn)行緩慢，大量信息資料被篡改和刪除，數(shù)據(jù)丟失。2.3公司需求及需求分析盛千公司所從事的服裝設(shè)計(jì)，銷售對網(wǎng)絡(luò)系統(tǒng)

9、都有相對的重要性。內(nèi)部辦公運(yùn)用都需要網(wǎng)絡(luò)的支持，為了提高網(wǎng)絡(luò)的可用性、可控性、安全性、并有一定的可擴(kuò)展性。在公司內(nèi)建立一個(gè)完善、安全、易于操作、維護(hù)，并自動化管理的局域網(wǎng)網(wǎng)絡(luò)，針對服裝設(shè)計(jì)，銷售滿足各項(xiàng)的需要。借鑒此次局域網(wǎng)受到的危害，公司要求在項(xiàng)目的規(guī)劃上和實(shí)施中采集高強(qiáng)的防火墻，服務(wù)器，網(wǎng)絡(luò)設(shè)備以及系統(tǒng)管理模式，實(shí)現(xiàn)公司內(nèi)部所有的信息資源合法的運(yùn)用和完善管理。使所有員工能夠方便熟悉、安全高效地訪問公司的網(wǎng)絡(luò)運(yùn)用服務(wù)和因特網(wǎng)。針對盛千公司的安全現(xiàn)狀以及公司的規(guī)劃需求，對此考慮建立一個(gè)通暢、安全、易于操作的局域網(wǎng)網(wǎng)絡(luò)。1）對于公司網(wǎng)絡(luò)有大量的信息傳輸、共享資源。使員工有效的利用網(wǎng)絡(luò)資料，提高效

10、率。因此，需一條10M帶寬以太網(wǎng)方式的寬帶接入鏈路，提高訪問因特網(wǎng)速度；2）對于公司的內(nèi)部網(wǎng)絡(luò)安全，防止內(nèi)部非授權(quán)人員有意或無意的偷竊機(jī)密信息，更改網(wǎng)絡(luò)配置、記錄信息，破壞網(wǎng)絡(luò)系統(tǒng)，刪除數(shù)據(jù)等，這些都將給內(nèi)部網(wǎng)絡(luò)造成極大的安全威脅。因此，需進(jìn)行用戶訪問權(quán)限的設(shè)置；3）對于公司員工信息交流和網(wǎng)絡(luò)運(yùn)用便利熟悉。因此，需構(gòu)建一個(gè)易操作的局域網(wǎng)網(wǎng)絡(luò)。第三章 局域網(wǎng)的安全策略3.1防火墻防火墻是在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件。防火墻遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信，目的是保護(hù)網(wǎng)絡(luò)不被他人侵?jǐn)_。通常，防火墻就是位地內(nèi)

11、部網(wǎng)絡(luò)或Web站點(diǎn)與因特網(wǎng)之間的一個(gè)路由器或一臺計(jì)算機(jī)，又稱堡壘主機(jī)，它是對所有網(wǎng)絡(luò)通信流進(jìn)行過濾的節(jié)點(diǎn)，防火墻通過審查經(jīng)過堡壘主機(jī)的每一個(gè)數(shù)據(jù)包，判斷它是否匹配事先設(shè)置的過濾規(guī)則。如果滿足，根據(jù)控制機(jī)制做出相應(yīng)的動作。如果不滿足，則將數(shù)據(jù)包丟棄，從而保護(hù)網(wǎng)絡(luò)的安全。防火墻類型與配置防火墻技術(shù)根據(jù)實(shí)現(xiàn)的設(shè)備可以分為硬件防火墻和軟件防火墻；根據(jù)防范的方法和側(cè)重點(diǎn)的不同，可以分為很多種類型，但總體上可以分為包過濾防火墻、代理服務(wù)型防火墻、和網(wǎng)絡(luò)地址翻譯等。包過濾防火墻    數(shù)據(jù)包過濾(Packet Filtering技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)

12、設(shè)置的過濾邏輯，被稱為訪問控制表(Access Control List，ACI，。通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號和協(xié)議狀態(tài)等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。包過濾防火墻的優(yōu)點(diǎn)是：它對用戶來說是透明的，處理速度快且易于維護(hù)。包過濾防火墻的缺點(diǎn)是：非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；數(shù)據(jù)包的源地址、目的地址和IP的端口號都在數(shù)據(jù)包的頭部，可以很輕松地偽造。IP地址欺騙是黑客比較常用的針對包過濾防火墻的攻擊手段代理服務(wù)型防火墻代理服務(wù)器有兩個(gè)主要的部件：代理服務(wù)器和代理客戶。代理客戶端的用戶面對的是代理服務(wù)器而不是因特網(wǎng)上真正的服務(wù)

13、器。代理服務(wù)器評價(jià)來自客戶的請求，決定認(rèn)可哪一個(gè)或否認(rèn)哪一個(gè)。如果一個(gè)請求被認(rèn)可，代理服務(wù)器代表客戶接觸真正的服務(wù)器，并且轉(zhuǎn)發(fā)從代理客戶到真正的服務(wù)器的請求，將服務(wù)器的響應(yīng)傳送給代理客戶。代理服務(wù)器并非將用戶的全部網(wǎng)絡(luò)請求提交給因特網(wǎng)上的真正的服務(wù)器，因?yàn)榇矸?wù)器能依據(jù)安全規(guī)則和用戶的請求做出判斷，看是否代理執(zhí)行該請求，所以它能控制用戶的請求，有些請求可能會被否認(rèn)，比如FTP代理就可能拒絕用戶將文件往遠(yuǎn)程主機(jī)上傳送，或者它只允許用戶下載某些特定的外部站點(diǎn)的文件。代理服務(wù)可能對于不同的主機(jī)執(zhí)行不同的安全規(guī)則，而不對所有主機(jī)執(zhí)行同一個(gè)標(biāo)準(zhǔn)。應(yīng)用代理防火墻(Proxy Service也稱鏈路級網(wǎng)關(guān)

14、或TCP通道。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。當(dāng)代理服務(wù)器接收到用戶對某個(gè)站點(diǎn)的訪問請求后就會檢查該請求是否符合控制規(guī)則。如果規(guī)則允許用戶訪問該站點(diǎn)，代理服務(wù)器就會代替用戶去訪問，并取回所需信息，然后再轉(zhuǎn)發(fā)給用戶。內(nèi)外用戶的訪問都是通過代理服務(wù)器上的“鏈接”來實(shí)現(xiàn)的，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)器也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)有被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊記錄，為證據(jù)收集和網(wǎng)絡(luò)維護(hù)提供幫助。網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯也是一種重要的防火墻技術(shù)，因?yàn)樗?/p>

15、對外隱藏了內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)，外部攻擊者無法確定內(nèi)部網(wǎng)絡(luò)的連接狀態(tài)。而且不同的時(shí)候，內(nèi)部網(wǎng)絡(luò)向外連接使用的地址都不同，給外部攻擊者造成了困難。同樣，NAT通過定義各種映射規(guī)則，屏蔽外部的連接請求，并可以將連接請求映射到不同的主機(jī)上。    網(wǎng)絡(luò)地址翻譯都和IP數(shù)據(jù)包過濾一起使用，這就構(gòu)成了一種更復(fù)雜的包過濾型防火墻。僅僅具備包過濾能力的路由器，其防火墻能力是有限的，抵抗外部人侵的能力比較差，如果和網(wǎng)絡(luò)地址翻譯技術(shù)結(jié)合，就能起到更好的安全保證。首先需要配置NAT，步驟如下。(1配置外部網(wǎng)絡(luò)的地址池。假設(shè)外部網(wǎng)絡(luò)有10個(gè)地址可以使用，則配置的命令如下： (2配置訪問控制列表，命令如下：Quidwayacl 1(3允許私有內(nèi)部網(wǎng)絡(luò)中的主機(jī)進(jìn)行NAT轉(zhuǎn)換,命令如下：(4連接外部網(wǎng)絡(luò)接中,命令如下：Quidwayint s0(5外部網(wǎng)絡(luò)接口IP地址，命令如下：(6進(jìn)行網(wǎng)絡(luò)地址翻譯即NAT，命令如下：Quidwaynat outbound 1 add