《本科毕业设计---局域网安全机制分析与保障措施设计.doc》由会员分享,可在线阅读,更多相关《本科毕业设计---局域网安全机制分析与保障措施设计.doc(28页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、2011届学生毕业设计(论文)材料(四)毕 业 设 计(论 文)任 务 书课题名称局域网安全机制分析与保障措施设计姓 名周雄伟学 号0706403-29院 系计算机科学系专 业计算机科学与技术指导教师阳王东 副教授2011年 5 月10日湖南城市学院本科毕业设计(论文)诚信声明本人郑重声明:所呈交的本科毕业设计(论文),是本人在指导老师的指导下,独立进行研究工作所取得的成果,成果不存在知识产权争议,除文中已经注明引用的内容外,本设计(论文)不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。
2、本科毕业设计(论文)作者签名:(亲笔签名) 二 年 月 日(打印)目 录摘 要5关键词5Abstract5Key Word61 概论611 局域网概述6111 局域网的定义6112 局域网的基本部件612 局域网的特点713 局域网的功能714 网络安全的概念82 局域网体系结构及协议821 局域网体系结构8211 物理层8212 数据链路层922 局域网协议923 常见的几种局域网类型9231 传统以太网9232 高速局域网10233 虚拟局域网10234 无线局域网113 局域网的安全分类1131 局域网的安全现状1132 物理安全1233 网络安全12331 非授权访问12332 对信息
3、完整性的攻击13333 拒绝服务攻击1334 系统安全1335 应用安全134 局域网安全危险分析1441 内部网络更容易受到攻击1542 内部网络的安全现状1643 网络安全技术和策略165 局域网的安全防范措施1751 安全技术18511 防火墙技术18512 VPN技术19513 密码学技术24514 认证技术2652 局域网安全防范措施和策略2753 管理层面的网络安全防范策略28参考文献28致 谢29局域网安全机制分析与保障措施设计摘 要:随着计算机技术的飞速发展,互联网的迅速普及,局域网应用已成为企业发展中必不可少的一部分。但在实际使用中,由于用户对操作系统安全使用策略的配置及各种
4、技术选项意义不明确,各种安全工具得不到正确的使用,系统漏洞、违规软件、病毒、恶意代码入侵等现象层出不穷,导致用户计算机操作系统达不到等级标准要求的安全等级。因此采取相应的安全措施减少被攻击的可能性具有很强的实用意义。本论文主要讲述的是网络当中局域网的安全性分析及如何保障及安全,主要是从域网安全概论、局域网的安全结构、局域网的安全机制分析、局域网所面临的危害、局域网安全技术、局域网安全保障措施等方面内容。关键词:局域网;安全技术;防范措施;安全分类LAN security mechannism analysis and safeguard measures design Abstract: As
5、 computer technology in recent years. The rapid spread of lan application, has become an indispensable part of the enterprise development. But in actual usage, the user to use the configure security policy operating system and various technological options is ambiguous, security tools is not correct
6、, violations of the software system vulnerabilities and malicious code, viruses, etc, in which the users computer operating system is not up to standard for safety levels of hierarchy. Therefore take appropriate security measures to reduce the possibility of the attack was possessed of great practic
7、al significance. this paper mainly about network of security analysis of the lan and the protection and security, mainly from the field network security and safety of the survey of local structures, lan security mechanism of the analysis, lan the damage to the local lan technology, safety and securi
8、ty measures, etc. Key Word: LAN;safety technology;preventive measures;security classification1 概论11 局域网概述 局域网(Local Area Network)是在一个局部的地理范围内(如一个学校、工厂和机关内),将各种计算机,外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个大范围的信息处理系统,简称LAN,是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校
9、等,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。111 局域网的定义局域网的定义从技术方面来讲是由特定类型的传输介质(如电缆,光缆,无线介质等)和网络适配器(也叫网卡)互联在一起的系统。局域网的定义从功能方面来讲,是一组计算机和其它设备以允许用户互相通信和共享计算机资源的方式互联在一起的系统。112 局域网的基本部件要构成LAN,必须有基本的部件。LAN既然是一种计算机网络,自然少不了计算机,因此,对于LAN而言,个人
10、计算机是一种必不可少的构件。计算机互联在一起,当然也不可能没有传输媒体,这种媒体可以是同轴电缆、双绞线、光缆或者辐射性媒体等。第三个构件是网卡,也称为网络适配器。第四个构件是将计算机与传输媒体相连的各种连接设备,如RJ-45插头座等。最后有了局域网的硬件环境,还需要控制和管理局域网正常运行的软件,即网络操作系统。12 局域网的特点局域网与广域网(WAN)不同,它一般限制在一定距离区域内。一般所说的局域网是指以微机为主组成的局域网,具有以下主要特点: (1)通信速率较高。局域网络通信传输率为每秒百万分比特(Mbps),从5Mbps、10Mbps到100Mbps,随着局域网技术的进一步发展,目前正
11、在向着更高的速度发展(例如155Mbps、655Mbps的ATM、1000Mbps的千兆以太网、万兆以太网等)。(2)通信质量较好,传输误码率低。 (3)通常属于某一部门、单位或企业所有。由于LAN的范围一般在0.1km2.5km之内,分布性和高速传输使它适用于一个企业、一个部门的管理,所有权可归某一单位,在设计、安装、操作使用时由单位统一考虑、全面规划,不受公用网络的约束。 (4)支持多种通信传输介质。根据网络本身的性能要求,局域网中可使用多种通信介质,例如电缆(细缆、粗缆、双绞线)、光纤及无线传输等。 (5)局域网络成本低,安装、扩充及维护方便。LAN一般使用价格低而功能强的微机网上工作站
12、。LAN的安装较简单,可扩充性好,尤其在目前大量采用以集线器为中心的星型网络结构的局域网中,扩充服务器、工作站等十分方便,某些站点出现故障时整个网络仍可以正常工作。 (6)如果采用宽带局域网,则可以实现数据、语音和图像的综合传输。在基带网上,随着技术的迅速进展也逐步能实现语音和静态图像的综合传输,这正是办公自动化所需求的。13 局域网的功能局域网的功能主要是提供资源共享和网络之间的相互通信。其功能如下:(1)网络硬件资源共享 连入局域网中的用户可以共享网络中的各种硬件资源。如:打印机、扫描仪等。(2)网络软件资源共享在局域网络中的各个工作站均可共享各种数据资料和各种应用软件。可以避免重复投资和
13、重复工作。(3)信息发布局域网中的用户可通过服务器向局域网中各用户发布各种有用信息。(4)电子邮件电子邮件是局域网中一个重要功能,使网络用户可以接受、转发和处理来自己局域网内或世界各地网络的电子邮件,真正实现办工自动化,提高办工效率。(5)提高计算机系统的可靠性局域网中计算机或站点互为后备,提高了整个系统的可靠性,特别是在自动控制、实时数据数理等领域中更显出其优越性。14 网络安全的概念网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私
14、或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。2 局域网体系结构及协议21 局域网体系结构局域网大多采用共享通道,当通信局限于一个局域网内部时,任意二个节点之间都有唯一的链路,即网络层的功能可由链路层来完成,所以局域网中不单独设立网络层。在IEE 802标准中,只定义了物理层和数据链路层二层。211 物理层物理层是OSI的第一层,它虽然处于最底层,却是整个开放系统的基础。物理层为设备之间的数据通信提供传输媒体及互连设备,为数据传输提供可靠的环境。212 数据链路层数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服
15、务,其最基本的服务是将源机网络层来的数据可靠地传输到相邻节点的目标机网络层。数据链路层的最基本的功能是向该层用户提供透明的和可靠的数据传送基本服务。透明性是指该层上传输的数据的内容、格式及编码没有限制,也没有必要解释信息结构的意义;可靠的传输使用户免去对丢失信息、干扰信息及顺序不正确等的担心。在物理层中这些情况都可能发生,在数据链路层中必须用纠错码来检错与纠错。数据链路层是对物理层传输原始比特流的功能的加强,将物理层提供的可能出错的物理连接改造成为逻辑上无差错的数据链路,使之对网络层表现为一无差错的线路。22 局域网协议一台计算机只有在遵守网络协议的前提下,才能在网络上与其他计算机进行正常的通
16、信。网络协议通常被分为几个层次,每层完成自己单独的功能。通信双方只有在共同的层次间才能相互联系。常见的协议有:TCP/IP协议、IPX/SPX协议、NetBEUI协议等。在局域网中用得的比较多的是IPX/SPX.。用户如果访问Internet,则必须在网络协议中添加TCP/IP协议。23 常见的几种局域网类型随着计算机网络与通信技术的高速发展,局域网技术也在不停的发展,不断地更新换代,我们常见的局域网类型主要有以下几种:231 传统以太网传统以太网分类见下表 1 传统以太网分类图表 1 传统以太网分类图传统以太网分类网络拓扑结构传输介质介质访问控制协议信息编码传输速率最大网段长度标准以太网总线
17、型50的粗同轴电缆RG-11或RG-8CSMA/CD曼切斯特编码10Mbit/s500M细缆以太网总线型50的粗同轴电缆RG-58A/U10Mbit/s185M双绞线以太网星型非屏蔽双绞线,线直径4-6mm,阻抗10010-100Mbit/s100M232 高速局域网随着个人计算机处理能力的增强,计算机网络应用的普及,用户对计算机网络的需求日益增加,现在常规局域网已经远远不能满足要求。于是高速局域网(High Speed Local Network)便应运而生。高速局域网的传输速率大于等于100Mbit/s,常见的高速局域网有FDDI光纤环网、100BASE-T高速以太网、千兆位以太网、10G
18、bit/s以太网等。233 虚拟局域网VLAN(Virtual Local Area Network)的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: (1) 网络设备的移动、添加和修改的管理开销减少。(2) 可以控制广播活动。 (3) 可提高网络的安全性。234 无线局域网无线局域网是计算机网络与无线通信技术相结合的产物
19、。通俗点说,无线局域网(Wirelesslocal-area network,WLAN),就是不采用传统电缆线的同时,提供传统有线局域网的所有功能,网络所需的基础设施不需要再埋在地下或隐藏在墙里,网络却能够随着实际需要移动或变化。之所以还称是局域网,是因为会受到无线连接设备与电脑之间距离的远近限制而影响传输范围,所以必须要在区域范围之内才可以连上网络。无线局域网的基础还是传统的有线局域网,是有线局域网的扩展和替换。它只是在有线局域网的基础上通过无线集线器、无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现。与有线网络一样,无线局域网同样也需要传送介质。只是无线局域网采用的传输介质不是双绞
20、线或者光纤,而是红外或者无线电波,且以后者使用较多。3 局域网的安全分类在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全信,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,二方面相互补充,缺一不可。31 局域网的安全现状广域网已经有了相对完善的安全防御体系,防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户
21、端的安全威胁缺乏必要的安全管理措施,安全威胁较大。末经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络,形成极大的安全隐患。目前,局域网的安全隐患是利用了网络系统本身存在的安全弱点,而系统在使用和管理过程的疏漏增加了安全问题的严重程度。32 物理安全物理安全主要是指通过物理隔离实现网络安全。局域网物理安全主要包括因为服务器、网络设备硬件、线路和信息存储设备等物理介质造成的信息泄露、丢失或服务中断。产生的原因主要包括以下几种:(1)电磁辐射与塔线窃听。(2)盗用。(3)偷窃。(4)硬件故障。(5)超负荷。(6)火灾及自然灾害。在局域网内,由于网络的物理跨度不大,只要制定健全的安全管理
22、制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。33 网络安全网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。网络安全问题主要有如下情况:331 非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入
23、网络系统进行违法操作、合法用户以未授权方式进行操作等。332 对信息完整性的攻击有几种类型的攻击可能威胁信息的完整性,即篡改(modification)、伪装(masquerading)、重放(replaying)和否认(repudiation)。333 拒绝服务攻击DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算
24、机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。34 系统安全系统安全问题是指服务器或主机的操作系统本身的安全。如系统中用户账号和口令设置、文件和目录存权限设置、系统安全管理设置,以及服务程序使用管理。在网络服务中,网络操作系统起着非常重要的组织作用,所以操作系统的安全关系到网络的整体性能。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系。系统安全的基本原则就是在一个新系统的构思阶段就必须考虑其安全性的问题,制定并执行安全工作规划(系统安全活动)。并且把系统安全活动贯穿于生命整个系统生命周期,直到系统报废为止。35 应用安全应用安全问
25、题通常是指主机上所安装的应用软件的安全问题以及使用人员的人为因素造成的安全问题。例如:有的Web服务器的HTTP就有安全漏洞,在使用自己编写的的应用程序时,可能因为程序员对系统安全漏洞认识不足,设计与开发中对安全问题重视不够,造成的本身安全问题。另外,如网上的不可靠站点下载未经严格验证的应用软件会带入一些木马、病毒,甚至打开匿名邮件都可能被计算机病毒感染。使用人员不要进一些不良网站,不明网站,自己不要有意在电脑上、主机上安装非法软件,如盗号软件、黑客攻击软件等。使用人员在使用时,要严格按照使用操作程序进行。局域网管理人员也要具有一定的网络安全管理意识。建议在网络中对业务汇聚分流路由器和城域内网
26、络设备本身实现一定的安全考虑。对设备本身的安全保护建议作如下考虑:(1) 用户口令的认证,本地认证或Radius,TACACS。(2) 用户级别的划分,将可进入到设备的管理用户分为多个级别,对不同级别的用户具有不同的访问权限。(3) 设置Log记录,对网络设备的任何有效配置和改动均需要相应的记录。对于用户口令安全方面的考虑,建议采用集中管理的方式,在电信网管中心配置访问控制器,所有设备的用户名、口令、权限控制都统一管理,避免因分散式管理带来的安全漏洞和管理的复杂性。在用户的资格认证方面,有四种常用的认证方式,分别是:(1) 固定用户名/口令;(2) 时效用户名/口令;(3) 一次性口令;(4)
27、 令牌卡/软令牌。4 局域网安全危险分析局域网是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。目前,在我国的各个行业系统中,无论是涉及科学研究的大型研究所,还是拥有自主知识产权的发展中企业,都有大量的技术和业务机密存储在计算机和网络中,如何有效地保护这些机密数据信息,已引起各单位的巨大关注!防病毒、防黑客、数据备份是目前常用的数据保护手段,我们通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭,因此采取了一
28、系列的防范措施,如建立两套网络,一套仅用于内部员工办公和资源共享,称之为内部网络;另一套用于连接互联网检索资料,称之为外部网络,同时使内外网物理断开;另外采用防火墙、入侵检测设备等。但是,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所为! (Computer World,Jan-uary 2002)。来自内部的数据失窃和破坏,远远高于外部黑客的攻击!事实上,来自内部的攻击更易奏效!41 内部网络更容易受到攻击为什么内部网络更容易受到攻击呢?主要原因如下:(1)信息网络技术的应用正日益普及,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展。网络已经是许多
29、企业不可缺少的重要的组成部分,基于Web的应用在内部网正日益普及,典型的应用如财务系统、PDM系统、ERP系统、SCM系统等,这些大规模系统应用密切依赖于内部网络的畅通。(2)在对Internet严防死守和物理隔离的措施下,对网络的破坏,大多数来自网络内部的安全空隙。另外也因为目前针对内部网络安全的重视程度不够,系统的安装有大量的漏洞没有去打上补丁。也由于内部拥有更多的应用和不同的系统平台,自然有更多的系统漏洞。(3)黑客工具在Internet上很容易获得,这些工具对Internet及内部网络往往具有很大的危害性。这是内部人员(包括对计算机技术不熟悉的人)能够对内部网络造成巨大损害的原因之一。
30、(4)内部网络更脆弱。由于网络速度快,百兆甚至千兆的带宽,能让黑客工具大显身手。(5)为了简单和易用,在内网传输的数据往往是不加密的,这为别有用心者提供了窃取机密数据的可能性。(6)内部网络的用户往往直接面对数据库、直接对服务器进行操作,利用内网速度快的特性,对关键数据进行窃取或者破坏。(7)众多的使用者所有不同的权限,管理更困难,系统更容易遭到口令和越权操作的攻击。服务器对使用者的管理也不是很严格,对于那些如记录键盘敲击的黑客工具比较容易得逞。(8)涉密信息不仅仅限于服务器,同时也分布于各个工作计算机中,目前对个人硬盘上的涉密信息缺乏有效的控制和监督管理办法。(9)由于人们对口令的不重视,弱
31、口令很容易产生,很多人用诸如生日、姓名等作为口令,在内网中,黑客的口令破解程序更易奏效。42 内部网络的安全现状目前很多企事业单位都加快了企业信息化的进程,在网络平台上建立了内部网络和外部网络,并按照国家有关规定实行内部网络和外部网络的物理隔离;在应用上从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的应用如财务系统、PDM系统甚至到计算机集成制造(CIMS)或企业资源计划(ERP),逐步实现企业信息的高度集成,构成完善的企事业问题解决链。在网络安全方面系统内大多企业或是根据自己对安全的认识,或是根据国家和系统内部的相关规定,购置部分网络安全产品,如防火墙、防病毒、入侵检测等产品来配置
32、在网络上,然而这些产品主要是针对外部网络可能遭受到安全威胁而采取的措施,在内部网络上的使用虽然针对性强,但往往有很大的局限性。由于内部网络的高性能、多应用、涉密信息分散的特点,各种分立的安全产品通常只能解决安全威胁的部分问题,而没有形成多层次的、严密的、相互协同工作的安全体系。同时在安全性和费用问题上形成一个相互对立的局面,如何在其中寻找到一个平衡点,也是众多企业中普遍存在的焦点问题。43 网络安全技术和策略内部网络的安全具体来说包括攻击检测、攻击防范、攻击后的恢复这三个大方向,那么安全技术和策略的实现也应从这三个方面来考虑。积极主动的安全策略把入侵检测概念提升到了更有效、更合理的入侵者检测(
33、甚至是内部入侵者)层面。内部安全漏洞在于人,而不是技术。因此,应重点由发现问题并填补漏洞迅速转向查出谁是破坏者、采取弥补措施并消除事件再发的可能性。如果不知道破坏者是谁,就无法解决问题。真正的安全策略的最佳工具应包括实时审查目录和服务器的功能,具体包括:不断地自动监视目录,检查用户权限和用户组帐户有无变更;警惕地监视服务器,检查有无可疑的文件活动。无论未授权用户企图访问敏感信息还是员工使用下载的工具蓄意破坏,真正的安全管理工具会通知相应管理员,并自动采取预定行动。在积极查询的同时,也应该采用必要的攻击防范手段。网络中使用的一些应用层协议,如HTTP、 Telnet,其中的用户名和密码的传递采用
34、的是明文传递的方式,极易被窃听和获取。因此对于数据的安全保护,理想的办法是在内部网络中采用基于密码技术的数字身份认证和高强度的加密数据传输技术,同时采用安全的密钥分发技术,这样既防止用户对业务的否认和抵赖,同时又防止数据遭到窃听后被破解,保证了数据在网上传输的可靠性。攻击后恢复首先是数据的安全存储和备份,在发现遭受攻击后可以利用备份的数据快速的恢复;针对WWW服务器网页安全问题,实施对 Web文件内容的实时监控,一旦发现被非法篡改,可及时报警并自动恢复,同时形成监控和恢复日志,并提供友好的用户界面以便用户查看、使用,有效地保证了Web文件的完整性和真实性。5 局域网的安全防范措施通过前面我们对
35、局域网络的结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:公开服务器的安全保护;防止黑客从外部攻击;入侵检测与监控;信息审计与记录;病毒防护;数据安全保护;数据备份与恢复;网络的安全管理。我们可以通过一系列的安全技术来做到这些。51 安全技术网络安全防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。在局域网中,我们可以通过各种技术来保障局域网的
36、安全。主要提出下面四种技术能保障局域网的安全,如图2 局域网安全防范措施表 2 局域网安全防范措施局域网安全措施主要作用防火墙技术通过设置不同的安全级别对进入局域网中的包过滤,保护局域网受到外来攻击VPN技术通过一个公用网络建立一个临时的,安全的连接,通过它可以帮助远程用户,公司分支机构,商业伙伴及供应商同公司的内部建立可信的安全连接,并保证数据的安全传输。数据加密技术隐藏和保护需要保护的信息,防止他人窃取认证技术通过特点的认证方式识别局域网中的用户,有效防止他人对系统进行攻击,如冒充、篡改等511 防火墙技术防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信控制实施防问控制,常用的
37、防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。防火墙的工作原理
38、 (1)包过滤防火墙包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则,也可以在建立防火墙之后,根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分:执行动作和选择准则,执行动作包括拒绝和准许,分别表示拒绝或者允许数据包通行;选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后,防火墙在接收到一个数据包之后,就根据所建立的准则,决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的
39、安全访问控制策略。(2)代理防火墙代理防火墙一般应用层网关来实现。应用层网关位于TCP/IP协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中,应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时,在访问Internet之前首先应登录到代理服务器,代理服务器对该用户进行身份验证检查,决定其是否允许访问Internet,如果验证通过,用户就可以登录到Internet上的远程服务器。同样,从Internet到内部网络的数据流也由代理服务器代为接收,在检查之后再发送到相应的用户。由于代理服务器工作于Interne
40、t应用层,因此对不同的Internet服务应有相应的代理服务器,常见的代理服务器有Web、Ftp、Telnet代理等。512 VPN技术VPN 即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 架构中采用了
41、多种安全机制,如隧道技术( Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。在具体实现VPN网络互联之前,应考虑以下几个问题,做好统一规划。(1)VPN路由器初始化。确定VPN路由器之间是采用单向初始化连接还是双向初始化连接。使用单向初始化连接,一个VPN路由器是VPN服务器(或称为拨入路由器、应答路由器),另一个路由器是VPN客户机(或称为拨出路由器、呼叫路由器),VPN服务器只能接受隧道建立请
42、求,VPN客户机只能请求建立隧道。双向初始化连接即两端VPN路由器既可作为VPN服务器,又可作为VPN客户机,任何一端都可以发起VPN连接。当VPN隧道不能全天24小时启用,需要从任何一端发起VPN连接时,可考虑使用双向初使化连接。(2)确定所用的VPN协议。IPSec基于IP网络,安全性高,兼容性好,是网络互联的首选。另外,L2TP/IPSec集L2TP和IPSec的优点于一身,能支持多种协议,使得在原来非IP网上的投资不会浪费。该协议得到了越来越多的厂商支持,面向中小企业的VPN产品也开始支持此协议。(3)确定IP地址配置方案。通常连接到公网(宽带城域网)的IP地址由电信运营商指定,连接到
43、内网的IP地址自己分配,要使用保留的内网地址,可采取动态分配或指定静态地址。()确定路由选择方案。两端的路由器必须在其路由表中有合适的路由配置,使得各自所连接局域网之间能够互相访问。下面介绍VPN实施的一般步骤:(1)设置总部VPN路由器的网络连接安装两块网卡,一块连接宽带网,按照运营商要求指定IP地址,子网掩码和默认网关,别一块连接公司内部网,指定内部网地址,子网掩码。(2)启用和配置Windows 2003路由器1 在常规选项卡,确认选中了路由器复选框和用于局域网和请求拨号连接单选钮,如图1所示。2 设置安全选项,选择身份验证方式,用来验证请求拨号路由器的身份。3 在IP选项卡上选中启用I
44、P路由和允许基于IP的远程访问和请求拨号连接复选框,并配置分配到基于PPTP的VPN客户的IP地址范围,如图2所示。4 在PPP选项卡上选中连接控制协议(LCP)扩展和软件压缩复选框。 图 1 图2图2(3)配置PPTP端口在路由和远程访问控制台中,所有端口都作为一个独立的端口列在端口列表中。如图3所示,使用栏表示端口的用途,“RAS”表示支持远程访问(接入),“路由”表示支持路由选择,可以拨入和拨出。默认情况下所有端口配置为请求拨号路由选择连接(入站和出站),即支持VPN请求拨号路由,如图4所示。图3 图4 (4)配置请求拨号接口1打开路由和远程访问控制台,用鼠标右击路由接口,选择新的请求拨
45、号接口,启动向导,根据提示操作。2在接口名称对话框中,输入连接分支机构A的接口名称(以branch-vpn-server为例)。3在接口类型对话框中,选择使用虚拟专用网络(VPN)连接。4在VPN种类对话框中,选择点对点隧道协议(PPTP)。5在目标地址对话框中,输入分支机构A的宽带网IP地址(10.56.30.82)。6在协议及安全措施对话框中,如图5所示,选中在此接口上路由选择IP数据包和添加一个用户账户使远程路由器可以接入。7在拨入凭据对话框中,如图6所示,设置分支机构A的路由器连接总部要使用的用户名和密码。8在拨出凭据对话框中,设置连接到分支机构A的路由器要使用的用户名和密码。9参照上述步骤再添加一个连接到分支机构B的请求拨号接口。 图 5 图 6(5) 配置路由创建了请求拨号接口之后,需要添加指向分支机构A的路由,打开路由和远程访问控制台,用鼠标右击IP路由选择,选择静态路由,如图7所示,为请求拨号接口添加指向分支机构A的路由。图 7(6)配置PPTP筛选器:要保证VPN路由器外部接口(宽带连接)上安全发送和接收信息,就应当限制PPTP以外的所有通信,如果没有配置PPTP筛选器,那么该接口上收到的任何通信都将被路由,从而给网络带来安全问题。1打开路由和远程访问控制台,展开目录树,单击常规按钮。2用鼠标右击该接口,然后单击属性按钮,打开设置对话框。3在常规选项卡上
限制150内