網(wǎng)絡(luò)安全課程設(shè)計(jì)實(shí)驗(yàn)報(bào)告

1、網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全技術(shù)課程設(shè)計(jì)報(bào)告中小型網(wǎng)吧管理系統(tǒng)安全風(fēng)險(xiǎn)分析與設(shè)計(jì)班級(jí)學(xué)號(hào)：指導(dǎo)老師：設(shè)計(jì)人員：目錄1概述錯(cuò)誤!未定義書(shū)簽。2網(wǎng)吧管理系統(tǒng)基本結(jié)構(gòu)及資源分析錯(cuò)誤！未定義書(shū)簽。 TOC o 1-5 h z 網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用3安全風(fēng)險(xiǎn)分析33.1物理安全分析3 HYPERLINK l bookmark38 o Current Document 網(wǎng)絡(luò)安全分析33.1系統(tǒng)安全分析錯(cuò)誤！未定義書(shū)簽。客戶安全需求4 HYPERLINK l bookmark47 o Current Document 計(jì)劃工具45.1銳捷防火墻4 HYPERLINK l bookmark58 o Current Do

2、cument 金山殺毒軟件5安全策略6物理安全策略.6網(wǎng)絡(luò)安全策略.6結(jié)論9 HYPERLINK l bookmark94 o Current Document 參考文獻(xiàn)9概述隨著Internet在全球的廣泛推廣，用戶數(shù)量的迅速增加，使Internet成為全 球通信的熱點(diǎn)。隨著網(wǎng)絡(luò)迅速發(fā)展的同時(shí)，各地網(wǎng)吧也迅猛發(fā)展；在此過(guò)程中， 也出現(xiàn)了許多問(wèn)題。隨著我國(guó)有關(guān)網(wǎng)絡(luò)的法律法規(guī)逐步建立，加強(qiáng)對(duì)網(wǎng)吧的管理，保障網(wǎng)吧網(wǎng) 絡(luò)的穩(wěn)定、安全迫在眉睫。網(wǎng)吧管理系統(tǒng)基本結(jié)構(gòu)及資源分析2.1網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)總體上是一個(gè)星型結(jié)構(gòu)的網(wǎng)絡(luò)，根據(jù)網(wǎng)絡(luò)規(guī)模的不同， 可分為百兆以太網(wǎng)和千兆以太網(wǎng)兩種，根

3、據(jù)經(jīng)營(yíng)管理方式的不同，又可以分為普 通門(mén)店式網(wǎng)吧和連鎖網(wǎng)吧。網(wǎng)吧接入Internet方式也根據(jù)當(dāng)?shù)厍闆r和網(wǎng)絡(luò)規(guī)模各 不相同，普通中小網(wǎng)吧多數(shù)采用ADSL等寬帶接入方式，大中型網(wǎng)吧多采用光 纖專線接入，一些高檔網(wǎng)吧可能還會(huì)進(jìn)行線路備份。而網(wǎng)吧的網(wǎng)絡(luò)應(yīng)用一般包含 Internet訪問(wèn)，寬帶電影瀏覽以及聯(lián)網(wǎng)游戲等。大型網(wǎng)吧內(nèi)聯(lián)網(wǎng)上還會(huì)建立支持 娛樂(lè)活動(dòng)的服務(wù)器群（包括WWW、FTP、DNS、流媒體服務(wù)器、十六頻道有線 電視轉(zhuǎn)播服務(wù)器組及SF和各種游戲戰(zhàn)網(wǎng)服務(wù)器等），具有信息共享、傳遞迅速、 使用方便、高效率等特點(diǎn)的處理系統(tǒng)。安全風(fēng)險(xiǎn)分析3.1物理安全風(fēng)險(xiǎn)分析物理安全的風(fēng)險(xiǎn)是多種多樣的。物理安全主要是

4、指地震、水災(zāi)、火災(zāi)等環(huán)境 事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲 等。它是整個(gè)信息系統(tǒng)安全的前提，需要制定健全的安全管理制度，做好備份， 加強(qiáng)信息系統(tǒng)的管理，重點(diǎn)設(shè)備系統(tǒng)重點(diǎn)保護(hù)，避免物理安全風(fēng)險(xiǎn)的發(fā)生。3.2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。有來(lái) 自與公網(wǎng)互聯(lián)的安全威脅、內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅、內(nèi)部局域網(wǎng)的 安全威脅?？赡苊媾R的風(fēng)險(xiǎn)：1）線路穩(wěn)定和網(wǎng)絡(luò)帶寬保證。無(wú)論是采用ADSL接入或者專線接入的網(wǎng)吧， 由于長(zhǎng)時(shí)間連續(xù)和公網(wǎng)連接，容易成為黑客攻擊和利用的目標(biāo)，如果沒(méi)有有效的 防護(hù)措施，極有可能成為黑客攻擊他

5、人的跳板，這不僅僅會(huì)帶了網(wǎng)絡(luò)的安全問(wèn)題， 同時(shí)還會(huì)使網(wǎng)絡(luò)性能下降，帶寬降低。2）黑客入侵、病毒感染。對(duì)于網(wǎng)吧經(jīng)營(yíng)者，每天上網(wǎng)的顧客來(lái)來(lái)往往，網(wǎng)上 病毒傳輸又難以操控，總會(huì)給網(wǎng)絡(luò)帶來(lái)一些不安全因素。隨著計(jì)算機(jī)技術(shù)的不斷 進(jìn)步，黑客和病毒技術(shù)也在不斷發(fā)展，并且有日益融合的趨勢(shì)。僅靠簡(jiǎn)單的防病 毒軟件，已經(jīng)很難防止網(wǎng)絡(luò)蠕蟲(chóng)病毒的擴(kuò)散和傳播，必須采用防病毒、防火墻、 入侵檢測(cè)等多種技術(shù)的有機(jī)結(jié)合才能起到比較好的防護(hù)、阻擋作用，最近的“沖 擊波”病毒就是一個(gè)很好的例子。3）不良網(wǎng)站和信息的訪問(wèn)。國(guó)家政策明文規(guī)定，限制互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè) 場(chǎng)所經(jīng)營(yíng)單位和上網(wǎng)消費(fèi)者對(duì)某些不良站點(diǎn)和信息的訪問(wèn)，并且要求用戶上網(wǎng)

6、記 錄有據(jù)可查。也就是說(shuō)網(wǎng)吧經(jīng)營(yíng)者必須加強(qiáng)對(duì)用戶網(wǎng)絡(luò)行為管理。3.3系統(tǒng)安全風(fēng)險(xiǎn)分析所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。對(duì)于我國(guó)來(lái)說(shuō)，恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是Microsoft 的Windows NT或者其他任何商用 UNIX操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其 Back-Door，而且系統(tǒng)本身必定存在安全漏洞。這些“后門(mén)”或安全漏洞都將存 在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系 統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百 出，掌握一般攻擊技術(shù)的人都可能入侵得手。如果進(jìn)行安全配置，比如，填補(bǔ)安 全漏洞，關(guān)閉一些

7、不常用的服務(wù)，禁止開(kāi)放一些不常用而又比較敏感的端口等， 那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí) 間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全 解決方案。客戶安全需求帶寬管理(QOS)和多種媒體支持。網(wǎng)吧上網(wǎng)人數(shù)的猛增，網(wǎng)吧提供的Internet 接入解決了網(wǎng)民的部分需求，但隨著網(wǎng)民視野的開(kāi)闊，興趣的轉(zhuǎn)移，網(wǎng)民的需求 不斷提高，簡(jiǎn)單的網(wǎng)頁(yè)瀏覽、ICQ已不能滿足網(wǎng)民的需求，對(duì)于沒(méi)有QOS保證 的互連網(wǎng)VOD、游戲服務(wù)，雖然網(wǎng)吧提供了寬帶接入，但多個(gè)網(wǎng)民同時(shí)進(jìn)行操 作時(shí)，仍不能保證畫(huà)面的流暢、聲音的同步，為了留住網(wǎng)民、發(fā)展網(wǎng)民，為網(wǎng)民 提供高質(zhì)

8、量的視聽(tīng)效果，成了網(wǎng)吧業(yè)主的當(dāng)務(wù)之急。計(jì)劃工具5.1銳捷防火墻銳捷防火墻在這里起到以下幾個(gè)作用：1、線路穩(wěn)定性和網(wǎng)絡(luò)安全的保證。銳捷防火墻支持PPPOE和DHCP客戶 端，可以實(shí)現(xiàn)ADSL撥號(hào)等多種寬帶上網(wǎng)方式。銳捷防火墻的高效狀態(tài)檢測(cè)包 過(guò)濾功能可以很好地保障網(wǎng)吧內(nèi)部網(wǎng)絡(luò)和服務(wù)器的安全，阻擋黑客攻擊。同時(shí)速 通防火墻支持平衡路由，可以很好滿足大型網(wǎng)吧網(wǎng)絡(luò)對(duì)于線路備份和負(fù)載均衡的 要求。2、銳捷防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)， 超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè) 庫(kù)，真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法，并通過(guò)升級(jí)入侵檢測(cè)庫(kù)的方法，

9、 不斷抵御新的攻擊方法。銳捷防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流 中潛在的入侵、攻擊和濫用方式，并防火墻模塊實(shí)現(xiàn)聯(lián)動(dòng)，自動(dòng)調(diào)整控制規(guī)則， 為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。銳捷防火墻入侵檢測(cè)模塊中包含了對(duì)網(wǎng)絡(luò)上傳 輸病毒和蠕蟲(chóng)的檢測(cè)，可以在計(jì)算機(jī)病毒和蠕蟲(chóng)傳輸?shù)剿拗鳈C(jī)之前檢測(cè)出來(lái)，在 網(wǎng)關(guān)上防止網(wǎng)絡(luò)病毒的傳播，防患于未然。真正實(shí)現(xiàn)了少花錢多辦事的效果。3、銳捷防火墻的內(nèi)容過(guò)濾功能，主要包含DNS和URL過(guò)濾功能，利用這 些功能可以很好地限制內(nèi)部用戶訪問(wèn)不良站點(diǎn)和信息。4、銳捷防火墻的網(wǎng)管功能，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的有效管理和流量計(jì)費(fèi)， 同時(shí)速通防火墻支持H.323協(xié)議、多波路由等，可以比較好

10、地滿足網(wǎng)吧用戶對(duì)視 頻、多媒體點(diǎn)播等的要求。5、銳捷防火墻的多網(wǎng)口結(jié)構(gòu)、策略路由、VLAN trunck支持等能比較好地 滿足大型網(wǎng)吧用戶對(duì)網(wǎng)絡(luò)規(guī)劃的要求。6、銳捷防火墻支持遠(yuǎn)程、集中管理，對(duì)于連鎖網(wǎng)吧用戶來(lái)說(shuō)，可以通過(guò)一 個(gè)網(wǎng)絡(luò)管理員，集中統(tǒng)一地管理多臺(tái)防火墻。7、銳捷防火墻提供強(qiáng)大的日志功能，提供流量日志、網(wǎng)絡(luò)監(jiān)控日志和管理 日志，可以向管理員提供比較詳盡的日志，同時(shí)提供日志查詢和日志報(bào)表功能， 方便管理員的查詢和統(tǒng)計(jì)。5.2金山殺毒軟件考察一個(gè)殺毒軟件的能力，要從四個(gè)方面入手：對(duì)病毒的查殺能力。對(duì)病毒的攔截能力。對(duì)新病毒的反應(yīng)能力。因?yàn)閲?guó)產(chǎn)的殺毒軟件實(shí)驗(yàn)室都設(shè)置在國(guó)內(nèi)，所以在這個(gè) 方面對(duì)

11、國(guó)內(nèi)新出的病毒響應(yīng)能力都很及時(shí)殺毒軟件自我保護(hù)能力。因?yàn)橐粋€(gè)殺毒軟件即使前面三個(gè)能力都很強(qiáng)悍，但是 病毒一旦入侵到殺毒軟件自身，殺毒軟件沒(méi)來(lái)得及查殺就已經(jīng)報(bào)廢了，這樣的殺 毒軟件肯定不行。不過(guò)在這方面瑞星的自保能力就很好，堪稱國(guó)內(nèi)最好的，即使 用進(jìn)程粉碎器，瑞星還是安然無(wú)恙綜上，采用金山殺毒軟件。安全策略6.1物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體 和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、 防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備 的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生

12、。 6.2網(wǎng)絡(luò)安全策略相對(duì)于計(jì)算機(jī)安全，網(wǎng)絡(luò)安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)的 保護(hù)，使之不受偶然或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)連續(xù)可 靠正常運(yùn)行，各種服務(wù)不中斷。網(wǎng)絡(luò)安全主要包括以下幾個(gè)方面:1）防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制是保護(hù)內(nèi) 部網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻設(shè)置在不同網(wǎng) 絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口。防火墻具有以下五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的 訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻 擊的檢測(cè)和告警。防火墻有軟件防火墻和硬件防火墻，有

13、的集成路由器，而安全策略管理是保 障系統(tǒng)安全運(yùn)行重要環(huán)節(jié)，沒(méi)有良好的安全策略再好的防火墻也將是非常脆弱 的。所以選擇防火墻時(shí)要注意防火墻的功能和安全布置對(duì)自己是否夠用、是否需 要。2）防病毒由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。主要體現(xiàn)在 以下方面：*計(jì)算機(jī)病毒對(duì)工作站的安全威脅*計(jì)算機(jī)病毒對(duì)服務(wù)器的安全威脅*計(jì)算機(jī)病毒對(duì)郵件系統(tǒng)威脅*計(jì)算機(jī)病毒對(duì)WEB站點(diǎn)的威脅*計(jì)算機(jī)病毒對(duì)數(shù)據(jù)庫(kù)系統(tǒng)威脅考慮到網(wǎng)絡(luò)中的工作站數(shù)量眾多，如果靠網(wǎng)管人員逐一到每臺(tái)計(jì)算機(jī)上安裝 單機(jī)防病毒軟件。費(fèi)時(shí)費(fèi)力，同時(shí)難以實(shí)施統(tǒng)一的防病毒策略，維護(hù)和更新工作 也十分繁瑣，許多殺毒軟件推出網(wǎng)絡(luò)版。目前企業(yè)常用

14、的殺毒軟件有瑞星、金山、 Norton 等。3）安全檢測(cè)網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng) 中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對(duì) 網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方 法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒軟件 發(fā)布授權(quán)和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性 的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)救措施和安 全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性

15、的目的。4）加密和認(rèn)證網(wǎng)絡(luò)安全的主要目標(biāo)就是保證網(wǎng)絡(luò)上的信息的保密、完整和有效，這三個(gè)方 面有一個(gè)方面得不到保證，這個(gè)網(wǎng)絡(luò)系統(tǒng)就不安全，而保證這三個(gè)方面的安全的 有效方案就是加密和認(rèn)證。加密是指使用現(xiàn)代密碼學(xué)通過(guò)對(duì)信息進(jìn)行重新組合，使得只有收發(fā)雙方才能 解碼還原信息。加密技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域通常有兩種形式，即面向網(wǎng)絡(luò)和面 向應(yīng)用服務(wù)。前者通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過(guò)加密的數(shù)據(jù)包傳送、認(rèn) 證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損 害。面向應(yīng)用服務(wù)的加密技術(shù)則主要由專門(mén)的軟件來(lái)實(shí)現(xiàn)，如新模式圖紙安全專 家就是針對(duì)CAD應(yīng)用的一種加密技術(shù)。認(rèn)證技術(shù)是信息安全理論與技術(shù)的一個(gè)重要方面。認(rèn)證主要包括身份認(rèn)證和 信息認(rèn)證兩個(gè)方面。身份認(rèn)證是一種辨別對(duì)方身份是否