中小型局域網設計方案rendahit

1、局域網網絡安全設計方案一.畫出本設計方案基于局域網的拓撲圖，并有說明。拓撲圖如下：拓撲結構分析：本設計的拓撲結構是以中間一個核心交換機為核心，外接Router0、Router2，DNS服務器（提供域名解析）、DHCP服務器（為該局域網分配IP地址）、Router3（做外網路由器用，通過它與Internet連接）、一個管理員主機（通過該主機可以對該網絡的設備進行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等，主要是為了該網絡的安全和易于管理。以上只是該網絡的初級設計。二 在對局域網網絡系統(tǒng)安全方案設計、規(guī)

2、劃，應遵循以下原則：需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統(tǒng)設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容光煥發(fā)及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好后再考慮安全措施，不但容易，且花

3、費也小得多。易操作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。三.防病毒的方法和設計第一：病毒可能帶來哪些威脅一旦中毒，就可能對系統(tǒng)造成破壞，導致數(shù)據(jù)泄露或損壞，或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟件或廣告軟件而造成的威脅?！安《尽币辉~通常用于描述某類特定的惡意代碼。經過正確分析和規(guī)劃的防病毒解決方案可防范廣泛的惡意或未經授權的代碼。 第二：

4、病毒是通過哪些方式或者載體來給我們帶來威脅 病毒的載體是用于攻擊目標的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體，有助于組織設計防病毒解決方案來防止被未經授權的代碼感染，并阻止其擴散。常見的威脅的載體有網絡(包括外部網絡和內部網絡)、移動客戶端(包括連接到網絡的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅動器和閃存卡等)。第三：如何有效地防止病毒侵入防病毒軟件:用于清除、隔離并防止惡意代碼擴散。安全機制:防火墻解決方案不足以為服務器、客戶端和網絡提供足夠的保護，以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發(fā)展變化，惡意

5、代碼被設計為通過新的途徑，利用網絡、操作系統(tǒng)和應用程序中的缺陷。及時地添加補丁，更新軟件，對網絡的安全性好很大的幫助。四.防木馬的方法和設計一：建立受限的賬戶用“net user”命令添加的新帳戶，其默認權限為“USERS組”，所以只能運行許可的程序，而不能隨意添加刪除程序和修改系統(tǒng)設置，這樣便可避免大部分的木馬程序和惡意網頁的破壞。二：惡意網頁是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑，因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。三：1禁止程序啟動很多木馬病毒都是通過注冊表加載啟動的，因此可通過權限設置，禁止病毒和木馬對注冊表的啟動項進行修改。2禁止服務啟動一些

6、高級的木馬病毒會通過系統(tǒng)服務進行加載，對此可禁止木馬病毒啟動服務的權限?？梢来握归_“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支，將當前帳戶的“讀取”權限設置為“允許”，同時取消其“完全控制”權限五.防黑客攻擊的方法和設計1.隱藏IP地址 黑客經常利用一些網絡探測技術來查看我們的主機信息，主要目的就是得到網絡中主機的IP地址。IP地址在網絡安全上是一個很重要的概念，如果攻擊者知道了你 的IP地址，等于為他的攻擊準備好了目標，他可以向這個IP發(fā)動各種進攻，如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用

7、代理服務器。與直接連接到Internet相比，使用代理服務器能保護上網用戶的IP地址，從而保障上網安全。代理服務器的原理是在客 戶機（用戶上網的計算機）和遠程服務器（如用戶想訪問遠端WWW服務器）之間架設一個“中轉站”，當客戶機向遠程服務器提出服務要求后，代理服務器首先截 取用戶的請求，然后代理服務器將服務請求轉交遠程服務器，從而實現(xiàn)客戶機和遠程服務器之間的聯(lián)系。很顯然，使用代理服務器后，其它用戶只能探測到代理服務 器的IP地址而不是用戶的IP地址，這就實現(xiàn)了隱藏用戶IP地址的目的，保障了用戶上網安全。提供免費代理服務器的網站有很多，你也可以自己用代理獵手等工具來查找。2.關閉不必要的端口黑客

8、在入侵時常常會掃描你的計算機端口，如果安裝了端口監(jiān)視程序 （比如Netwatch），該監(jiān)視程序則會有警告提示。如果遇到這種入侵，可用工具軟件關閉用不到的端口，比如，用“Norton Internet Security”關閉用來提供網頁服務的80和443端口，其他一些不常用的端口也可關閉。3.更換管理員帳戶Administrator帳戶擁有最高的系統(tǒng)權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號。首先是為Administrator帳戶設置一個強大復雜的密碼，然后我們重命名Admini

9、strator帳戶，再創(chuàng)建一個沒有管理員權限的 Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性。六.局域網防arp病毒攻擊的方法和設計1.安裝arp防火墻或者開啟局域網ARP防護，比如360安全衛(wèi)士等arp病毒專殺工具，并且實時下載安裝系統(tǒng)漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。2. 使用多層交換機或路由器：接入層采用基于IP地址交換進行路由的第三層交換機。由于第三層交換技術用的是IP路由交換協(xié)議，以往的鏈路層的MAC地址和ARP協(xié)議失效，因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。七.本設計的特色 實現(xiàn)本設計既簡單又