实验二+网络需求分析.doc

淮海工学院计算机科学系实验报告书课程名： 网络规划与设计 题目： 实验二 网络需求分析 班 级： 网络122 学 号： 姓 名： 李卓原 李杲 杜文康 评语：成绩： 指导教师： 批阅时间： 年 月 日实验目的与要求1、了解项目管理工具，学会按照不同的要求用Project工具进行任务管理方法2、根据选定的题目，完成网络规划设计书中网络拓扑结构的设计，可以选择VISIO、易图之一进行绘制。实验环境局域网，windows 2003实验学时 2学时，必做实验。实验内容1、依据先进性、实用性、开放性、灵活性、可靠性、安全性等原则进行网络规划设计2、根据项目分析和确定当前网络通信量和未来网络容量实验步骤l 每个项目组选举组长1人，负责组织全面的项目实现工作；l 项目组成员的任务分工应按照同学的性格、兴趣、特点等安排。其中任务单元包括：1) 可行性研究报告负责人（并负责撰写相关文档）2) 需求分析负责人（并负责撰写相关文档）3) 系统设计文档负责人4) 系统设计图纸负责人（并负责撰写相关文档）5) 系统施工负责人（并负责撰写相关文档）（此处可略去）6) 系统测试负责人（并负责撰写相关文档）：1人；7) 整理文档l 在项目实现过程中，当进行到某个具体阶段时，由该阶段的负责人负责组织工作，其他所有人员都是该阶段的工程成员。该阶段的负责人承担该部分的主要工作，其他同学也需要参加部分工作。这种一人负责，多人配合的分工，可以使全体同学都能经历网络工程项目实现的每一个阶段的工作，从而得到全面锻炼和提高。1、项目背景介绍网络系统的安全是一项系统工程，利用网络安全理论来规范、指导、设计、实施和监管网络安全建设，从安全制度建设和技术手段方面着手，加强安全意识的教育和培训，自始至终坚持安全防范意识，采取全面、可行的安全防护措施，并不断改进和完善安全管理，把网络安全风险降到最小程度，打造网络系统的安全堡垒。本实训将以企业网络系统为例，综合应用网络安全的各种技术（如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH安全通信技术、网络安全扫描、监听与入侵检测技术、数据备份与还原技术等）来实现公司网络系统中的各种网络安全服务。2、网络的物理布局，用户信息点及地理分布1. 物理安全实现方案 物理安全是整体网络安全的基础，网络设备或线路出现硬件故障，网络的安全性则无从谈起，其他一切安全措施均无法发挥作用，其重要性不言而喻。根据之前对办公网物理安全的分析，下面主要从完善制度、优化核心机房供电、加强网络节点安全性等方面进行方案实现。1.1完善机房管理制度 为了确保网络核心设备机房、网络节点、线缆的物理安全，公司应制定办公网机房管理制度。 1明确进入机房的人员及条件； 2在机房内维护、装机等工作时可进行的操作； 3外部人员在机房内进行工作的随工要求； 4机房内各项操作的规范要求； 5机房出现紧急情况的通知汇报流程。 1.2 优化核心机房供电 通过布放电源电缆来优化办公网核心机房的供电问题。以确保供电万无一失，即确保了办公网核心设备的供电安全，使设备正常运行无后顾之忧。 2. 网络结构安全实现方案 2.1细分网络减小广播域 将办公网的IP地址段，根据部门在S6502上划分为26位到28位不等的网段。为每台交换机配置管理IP，这样以后数据操作就可以远程进行了。另外根据节点交换机下挂的部门，分别从核心交换机透传相应部门的vlan，再在节点交换机上根据端口进行划分。 2.2加强通信访问控制 访问控制根据各部门的职责不同来确定，此项工作需要由S6502核心路由器和Eudemon100防火墙共同配合来完成，下面逐一对其实现方法进行说明。 1）对内服务器需要与互联网隔离。 2）对内服务器应根据提供的业务与对口部门互通。 3）营业区只能访问互联网，不能访问办公网。 4）网络监控组的网络摄像头及监控终端只能彼此互通，与办公网内其他部门和互联网均隔离。 2.3利用防火墙减小外部威胁 根据分析，需要在网络边界增设硬件防火墙一台，结合经济分析和网络设备的统一性，选用华为公司的Eudemon100硬件防火墙。 增加了Eudemon100防火墙后，其承担了办公网私网地址的NAT转换工作。另外还进行了IP欺骗防范、SYN泛洪攻击防范、Ping攻击防范和DoS（DDoS）攻击防范等方面的配置。 1） IP欺骗防范 IP欺骗是一种攻击方法，即使主机系统本身没有任何漏洞，但仍然可以使用各种手段来达到攻击的目的，这种欺骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。在Eudemon100上，我们通过滤非共有IP地址、内部网络使用的IP地址、环回地址、私有IP地址对访问内部的网络来实现或减轻危害。 2）Ping攻击防范 Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。部分主机不能很好的处理过大的ping包，从而出现Ping to Death攻击方式，即用超过TCP/IP最大限度65536 字节的Ping包搞垮目的主机。所以，对于进入办公网的ICMP流，要禁止和与Ping命令有关的ICMP类型。3） DoS和DDoS攻击防范我们用在Eudemon100上限制DoS攻击常用端口的方法来进行防范。 4）加强网络设备自身的安全性 网络设备自身的安全性直接影响着整个网络的可用性和稳定性，对于网络安全起着至关重要的作用。对于办公网内的网络设备，我们通过（设备登录安全、SNMP安全、设备运行安全、无线AP安全）作来加强其安全性。2.4加强办公电脑的安全 加强终端电脑的安全性主要进行了以下几方面操作： 1 安装集团公司下发的正版Symantec AntiVirus杀毒软件，开启更新、监控和防护功能。 2开启系统更新功能，及时安装漏洞补丁及软件更新。 3关闭Guest账户。 4为Administrator账户设置较为复杂的密码。 5对外接移动存储设备需先杀毒后打开。 3、网络的性能要求安装有效的病毒防护软件，有效运行并打开实时系统监控。 2.及时从防病毒软件官方网站下载更新，并安装安全补丁程序和升级杀毒软件程序版本。 3定期对整个系统进行病毒的检测清楚工作。 4运用杀毒软件的清理恶意软件的功能，经常扫描计算机系统并对发现的恶意软件及时删除。 5安装防火墙，制定适宜的防护规则。 6提高风险意识，控制上网时间，不上网时断开网络连接。论坛及聊天软件等不要长时间挂网，以免长时间暴露自己的IP地址，招惹不必要的麻烦。 7对实时监控发现的系统漏洞补丁，须及时进行安装。 8新购置的计算机或新安装的系统，一定要进行系统升级，确保修补所有已知的安全漏洞。 9关闭不必要的端口和服务。 10使用高强度的密码，并经常进行修改。 11不必要的软件尽量不要安装。 12从网络上下载的资源要特别注意杀毒检测。 13不健康网站往往携有大量病毒程序，不要轻易点击。 14重要资料注意刻录备份或者转移备份。 15采用安全性较好的网络浏览器。 16要慎收来历不明的邮件，在不能确定是安全“附件”的情况下，不要打开“附件”。 17利用命令行工具或者防火墙软件进行局域网网关的IP地址和MAC地址的绑定，防止受到ARP病毒的影响。4、所需的网络服务虚拟网技术防火墙技术包过滤型病毒防护技术入侵检测技术安全扫描技术认证和数字签名技术VPN技术应用系统的安全技术计算机网络安全措施5、网络系统的安全（1）首先设置VPN,方便内网与外网的连接,虚拟专用网是对企业内部网的扩展.可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据(Data)的安全传输.虚拟专用网可以用于不断增长的移动用户的全球因特网接入，以实现安全连接；可以用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网.（2）设置防火墙，防火墙是对通过互联网连接进入专用网络或计算机系统的信息进行过滤的程序或硬件设备。所以如果过滤器对传入的信息数据包进行标记，则不允许该数据包通过。能够保证使用的网站的安全性，以及防止恶意攻击以及破坏企业网络正常运行和软硬件，数据的安全。防止服务器拒绝服务攻击.（3）网络病毒防护，采用网络防病毒系统.在网络中部署被动防御体系（防病毒系统）,采用主动防御机制（防火墙、安全策略、漏洞修复等），将病毒隔离在网络大门之外。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系。（4）设置DMZ，数据冗余存储系统. 将需要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。（5）设置数据备份管理系统，专门备份企业重要数据。为避免客观原因、自然灾害等原因造成的数据损坏、丢失，可采用异地备份方式。（6）双重数据信息保护，在重要部门以及工作组前设置交换机，可以在必要时候断开网络连接，防止网络攻击，并且设置双重防火墙，进出的数据都将受到保护。（7）设置备份服务器，用于因客观原因、自然灾害等原因造成的服务器崩溃。（8）广域网接入部分,采用入侵检测系统（IDS） 。对外界入侵和内部人员的越界行为进行报警。在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上和重点保护网段的局域网交换机上装上IDS。（9）系统漏洞分析。采用漏洞分析设备。6、可行性分析及研究结论1.1网络安全风险分析 近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题日益突出。据有关方面统计，美国每年由于网络安全问题而遭受的经济 损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、 3 新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。 针对目前我国计算机网络发展情况，影响我国企业网络安全性的因素主要有以下几个方面。 网络结构因素 网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性要求。 网络协议因素 在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了安全隐患。 地域因素 由于内部网既可以是LAN也可能是WAN，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些“黑客”造成可乘之机。 用户因素 企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的安全性带来了威胁，因为这里可能就有商业间谍或“黑客”。 主机因素 4 建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。 单位安全政策 实践证明，80的安全问题是由网络内部引起的，因此，单位对自己内部网的安全性要有高度的重视，必须制订出一套安全管理的规章制度。 人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育，选择有较高职业道德修养的人做网络管理员，制订出具体措施，提高安全意识。 网络安全中可能存在着来自各方面的威胁（如黑客攻击、特洛伊木马、信息丢失、蠕虫、泄密、拒绝服务攻击、计算机病毒、后门等），所以对网络安全问题进行风险分析，必须从多层面入手，形成整体的安全评估，从而为需求分析提供可靠的依据。下面主要从物理安全、网络结构安全、系统安全、病毒入侵防护和人工管理等方面进行风险分析。1.2系统安全风险分析 操作系统是计算机系统的内核与基石，是应用软件同系统硬件的接口，其目标是高效地、最大限度地、合理地使用计算机资源。在信息系统安全涉及的众多内容中，操作系统、网络系统与数据库管理系统的安全问题是核心，没有系统的安全就没有信息的安全。作为系统软件中最基础部分的操作系统，其安全问题的解决又是关键中之关键。若没有安全操作系统的支持，数据库就不可能具有存取控制的安全可信性，就不可能有网络系统的安全性，也不可能有应用软件信息处理的安全性。因此，安全操作系统是整个5 信息系统安全的基础。操作系统安全风险主要有： 1操作系统的漏洞是无法避免的，在新版操作系统弥补旧版本中漏洞的同时，还会引入一些新的漏洞。 2端口是服务器提供网络服务的主要通道，端口的不安全管理将会给非法者提供入侵的跳板。 3用户账户是计算机安全设置的重要对象，具有高权限的账户是黑客主要的攻击目标。 4资源共享是Windows系统的重要功能之一，共享资源权限授权管理的不足将会给系统及数据造成极大的安全隐患。 5Internet信息服务是用于配置应用程序池或网络站点的工具，其安全运行是正常提供网络服务的基础。1.3网络结构安全风险分析 网络结构安全是整个网络系统正常运行的基础和前提。网络中的主机会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内网向公网传送的信息可能被他人窃听或篡改，造成的这些网络安全威胁，有的来自外部，有的可能来自网络内部。网络结构的安全是多方面的，关乎网络的整体安全，网络结构安全风险主要有： 1.边界安全是首要问题，未在网络边界设置网络防火墙或未正确配置防火墙，会使来自互联网的威胁增大。 2网络设备（如交换机）自身安全性也会直接关系各种网络及应用的正常运转。 3网络不相关的各部分在无法实现物理隔离的情况下，如也未实现软件层面的隔离，将会使增大来自网络内部的攻击。 4交换机的配置不完善，对网络中非法数据传输的控制不够。 6 1.4人工管理安全风险分析 人是企业最大的漏洞，无论在企业内外，人都是一种威胁。人的威胁分为两种，一种是以操作失误为代表的无意威胁（偶然失误），另一种是以计算机犯罪为代表的有意威胁（恶意攻击）。人工管理是安全网络中最为薄弱的环节，该环节管理的好坏对网络安全起着举足轻重的作用。 人工管理存在着如下的一些安全风险： 1数据库管理员或掌握企业重要信息的员工在某种利益的驱使下，通过非法途径将信息泄露。 2网络管理员、系统管理员安全意识淡薄，为了方便省事，设置简单的口令，易遭到破解。为多个用户提供相同的账号，造成管理混乱、责任不清，易引起信息泄露。 3网络管理员、系统管理员将网络设备或信息系统管理员账号泄露给其他人员，增大网络瘫痪或信息泄露的可能性。 4重要网络节点、服务器机房出入人员混乱，给网络设备的正常运行造成较大安全隐患。 5责权不明，安全管理制度不健全及缺乏可操作性等都可能引起安全风险。7、网络使用寿命综合布线系统是一种既具有良好的初期投资特性，即在今后若干年中不增加新的投资情况下仍能保持建筑物的先进性，又是具有极高的性能价格比的高科技产品。通常情况下，综合布线系统的使用寿命为15年。分析与思考1、 需求分析总体设计需要遵循哪些原则？充分调查了解开发服务的对象、市场、客户等等情况，以及遇到的问题、难度、工作量。收集所用技术和方法，达到成本、效益、效率的最优。2、 需求分析中考虑的网络性能通常有哪些？数据精确度 在精度需求上，根据实际需要，数据在输入、输出及传输的过程中要满足各种精度的需求根据关键字精度的不同。如：查找可分为精确查找和泛型查找，精确查找可精确匹配与输入完全一致的查询结果，泛型查找，只要满足与输入的关键字相匹配的输入即输出，可供查找。 时间特性系统响应时间应在人的感觉和视觉范围内(<1 s)，系统响应时间足够迅速(<5 s)，能够满足用户要求。适应性 在操作方式、运行环境、软件接口或开发计划等发生变化时，应具有适应能力。可使用性操作界面简单明了，易于操作，对格式和数据类型限制的数据，进行验证，包括客户端验证和服务器验证，并采用错误提醒机制，提示用户输入正确数据和正确的操作系统。安全保密性只有合法用户才能登录使用系统，对每个用户都有权限设置。对登录名、密码、以及用户重要信息进行加密，保证账号信息安全。可维护性系统采用了记录日志，用于记录用户的操作及故障信息，同时本系统采用的B /S模式，结构清晰，便于维护人员进行维护。