网络安全--防火墙--综合布线--VPN毕业论文.doc
《网络安全--防火墙--综合布线--VPN毕业论文.doc》由会员分享,可在线阅读,更多相关《网络安全--防火墙--综合布线--VPN毕业论文.doc(38页珍藏版)》请在咨信网上搜索。
1、摘 要随着网络应用的蓬勃发展,Internet的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事情。从企业角度来说,安全保障能力是新世纪一个企业实力、竞争力和生存能力的重要组成部分。在Internet 应用迅速普及发展的今天,企业计算机网络接入Internet获取资源,提供信息是一种广泛的应用模式。此时,如何保护企业计算机网络资源不受外部非法侵袭是一个严肃、重要的课题。本文列举浙江银轮机械有限公司计算机网络系统的Internet访问安全核心Cisco公司的PIX 515防火墙,介绍如何使用防火墙提供的安全策略,构筑一般企业计算机网络In
2、ternet应用的安全体系。具体内容分为如下五个章节来说明:第一章介绍了设计背景,包括防火墙技术的发展现状以及防火墙在网络中的作用。第二章是防火墙的需求分析,指出了企业的业务、安全性、通信流量、以及管理的需求。第三章描述了防火墙的设计,包括防火墙工作原理、网络拓扑结构以及安全策略。第四章是防火墙的配置,阐述了防火墙各功能的实现,详述如何实现包过滤和NAT功能。第五章是网络安全措施设计。关键词: 网络安全 防火墙 综合布线 VPN38目 录摘 要1目 录2第1章 防火墙设计背景41.1 防火墙概论41.1.1网络安全定义41.1.2防火墙在网络中的作用51.2防火墙发展历史和现状5第2章 企业需
3、求分析72.1应用背景72.2业务需求72.3 管理需求82.4 安全性需求92.5 通信量需求102.6 网络可扩展性需求11第3章 防火墙规划及设计123.1 PIX防火墙的工作原理123.1.1数据包如何通过防火墙123.1.2转换内部地址123.2防火墙的体系结构123.2.1屏蔽路由器123.2.2双穴主机网关133.2.3被屏蔽主机网关133.2.4被屏蔽子网133.3 网络拓扑结构143.3.1网络拓扑结构143.3.2网络安全策略15第4章 企业防火墙配置184.1防火墙的选择184.1.1设置防火墙的要素184.1.2防火墙在大型网络系统中的部署184.1.3防火墙的局限19
4、4.2 防火墙安装194.2.1防火墙的安装194.2.2防火墙升级包安装过程254.3 VPN284.3.1VPN工作原理284.3.2封装安全载荷ESP294.3.3防火墙中的VPN的实现29第5章 企业安全策略的设计与实施345.1 物理安全控制345.2 基础设施和数据完整性345.3 安全策略验证与监控目的345.4安全意识培训35结 论36参考文献37致 谢38第1章 防火墙设计背景1.1 防火墙概论1.1.1网络安全定义安全的定义是:远离危险的状态或特征,为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。网络安全的根本目的就是防止通过计算机网络传输的信息被非法使用。有时网络
5、信息安全的不利影响甚至远超过信息共享所带来的巨大利益。一个有效的安全计划包括安全意识、防止、检测、管理和响应以使危险降低至最小。完美的安全是不存在的,有决心、持之以恒的攻击者可以找到欺骗或绕开任何安全措施的方法。网络安全是一种减少漏洞和管理危险的方法。安全是一个连续的过程,包括保护阶段、检测阶段、分析阶段、管理阶段和恢复阶段。分析安全需求是,首先要明确的是要保护的财产以及它们的价值大小,确定可能会破坏这些财产的威胁,以及威胁发生的可能性。检测分析指通过监视并记录网络和系统的状态信息,通过分析这些线索与状态以便能识别出一次攻击。通常使用入侵检测系统来观察网络通信量。恢复和保护一样重要,用来从入侵
6、和攻击中恢复的有计划的响应是网络安全所必须的一部分,安全管理需要协调与计划。网络安全是一件复杂的任务,安全性与安全链中最薄弱的环节密切相关,安全策略一致性是至关重要的。可用性、完整性、机密性是网络安全的基本要求。可用性是可被授权实体访问并按要求使用的特性。可用性确保了信息和服务在需要时可以被访问并能工作。冗余、容错、可靠性、自动故障度越、备份、恢复、弹性和负载平衡是网络设计中确保可用性是用到的概念。如果系统不可用,那么完整性和机密性无从谈起。拒绝服务(Denial of Service,DOS)攻击的目的是攻击网络和服务器的可用性。完整性指确保信息完整、精确、可信。对于网络的完整性,指确保收到
7、的消息与发送的消息是相同的,消息内容没有被修改。机密性用于保护敏感信息免受未被授权的暴露或可以理解的截取。加密和访问控制用于保护机密性。1.1.2防火墙在网络中的作用一般来说,防火墙是一种位于网络上的安全机制,通过实施一个或一组访问控制策略以保护资源不受其他网络和个人破坏。它在内部网络(专用网络)与外部网络(共用网络)之间形成一道安全屏障,以防止非法用户访问内部网络上的资源和非法向外传递内部信息,同时也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防火墙在内部也用于控制对特定部门或资源的访问。如果在网络的边界没有访问控制,则网络的安全性完全依赖于适当的配置及单个主机和服务器的安全性。
8、在一定意义上所有主机系统必须通过协作来实现均匀一致的高级安全性。如果这样,对于有上百个设备需要被配置的网络的管理将是不可能的。防火墙的基本思想不是对单个设备进行保护,而是让所有的访问通过某一点,并对这一点进行保护,并尽可能地对外界屏蔽保护网络的信息和结构。使用防火墙有助于提高网络总体安全性。如图1-1所示,防火墙处于内部网络和外部网络之间,所有数据包都要经过防火墙的审查,使内部网络多了一道安全屏障。 因 特 网防火墙内部网络图 1-1 Internet上的防火墙结构1.2防火墙发展历史和现状按照防火墙对内外来往数据的处理方法,大致可以将防火墙分为两大体系:包过滤防火墙和代理防火墙(应用层网关防
9、火墙)。从发展历史来看,经过了四个阶段。第一阶段的防火墙为基于路由器的防火墙。防火墙与路由器一体,利用路由器本身对分组解析,过滤判决的依据可是是地址、端口号等其他网络特征。第一代防火墙产品不足之处很明显:它仅有包过滤的功能;而且由于路由器的主要功能是为网络提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能;且十分灵活的路由协议,本身具有安全漏洞。基于路由器的防火墙只是网络安全的一种应急措施。第二阶段的防火墙是用户化的防火墙工具套。将过滤功能从路由器中独立出来,并加上审计和告警功能,用户可针对需求自己动手构造防火墙,
10、这种用户化的防火墙工具套,虽然较第一代防火墙安全性提高了、价格降低了,但由于是纯软件产品,在实现、维护上都对系统管理员提出了相当复杂的要求,使用中出现差错的情况很多,而且全软件的实现使得安全性和处理速度均有局限。第三阶段的防火墙产品建立在通用操作系统之上。它包括分组过滤功能,装有专用的代理系统,监控所有协议的数据和指令,保护用户编程和用户可配置内核参数的配置,安全性和速度大为提高。第三代防火墙有以纯软件实现的,也有以硬件方式实现,但随着安全需求的变化和使用时间的推延,仍表现出不少问题:作为基础的操作系统及其内核往往不为管理者所知,原码的保密使得安全性无从保证,通用操作系统厂商通常不会对操作系统
11、的安全性负责,从本质上看,防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击,用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能。1.双端口或三端口的结构2.透明的访问方式3.灵活的代理系统4.多级的过滤技术5.网络地址转换技术6.Internet网关技术7.安全服务器网络(SSN)
12、8.用户鉴别与加密9.用户定制服务10.审计和告警第2章 企业需求分析2.1应用背景浙江银轮机械股份有限公司是一家创建于1998年的省批股份制企业,前身浙江天台机械厂。公司由油冷器制造分厂、铝散热器制造分厂、总成制造分厂、配件制造分厂、上海银畅国际贸易公司、上海神天散热器公司、上海创斯达交换器公司组成。公司位于风景秀丽的佛教胜地、国家一级风景区天台山麓。现有员工536人,其中工程技术人员105人,公司主要生产各种散热器,机械产品,多功能冲抓式造孔机,离心机等。目前是国内机油冷却器、空气冷却器产品生产规模最大、品种规格最多和测试设备最齐全的散热器专业生产厂家。1994年产品进入美国售后市场,开始
13、参与全球竞争。1998年:由职工入股,企业成功由国有改制为民营股份制。2001年:产品进入美国OEM市场,商务、物流和新品开发程序开始与国际接轨。与美国等较早开展信息化建设的国家相比,中国的信息化建设相对滞后一些.为了增强自身的市场竞争能力,提高企业自身的信息化程度,国家信息产业部领导在接受记者采访时,再三强调“信息化这个东西不是可有可无的,而是势必行,如果不搞信息化,就将被市场淘汰。” 浙江银轮机械股份有限公司信息化建设目的为了增强企业的核心竞争力,实现利润最大化,提高经济效益和保证持续发展 ,为了充分发挥信息资源的作用,需要对企业的信息资源进行整体部署。因此,建设企业网络工程是信息化建设方
14、面的紧迫任务,是企业可持续发展的重要保证之一。通过这样的通信系统工程,企业可以提高通信效率,降低通信成本,从而提高生产效率,降低运作成本,提升其自身的竞争力。2.2业务需求业务需求的分析目标是明确企业的业务类型,应用系统软件种类,以及它们对网络功能指标(如带宽,服务质量QOS)的要求.业务需求是企业建网中的首要环节,是进行网络规划与设计的基本依据。通过对浙江银轮机械股份有限公司的实地考察,和对公司的负责人交流,以及问卷调查的方式,通常对数量较多的最终用户提问, 询问其对将要建设的网络应用的要求,公司要实现企业内部办公网络,上面运行的应用包括Internet连接共享、传真、电子邮件、企业办公消息
15、管理等。企业内部办公网络的核心问题是在保证日常办公效率的基础上,如何进一步的提高安全性和可监控性。企业内部办公网络应该考虑的功能需求如下:1、网络安全保护。包括企业级防火墙和企业级的反病毒软件,防范病毒和黑客的攻击。2、网络管理监控。提高整个网络系统的可管理性,明确每个部门或人员的职责和权限,控制公司业务的关键环节。3、网络服务器。需要有专用的服务器,作为反病毒软件和网络管理监控软件或其他应用的主控服务器。4、Email办公。公司业务Email文件可以在相关的部门和人员之间快速流转。收发Email时,文件必须经过主管部门的监控和转发,普通人员将在受监控的状态下面和公司客户通信。5、Fax办公。
16、收发Fax时,图片可以通过网络办公系统自由分发,而无需打印和手工传递。同时,Fax内容和传递过程需要记录日志,以备追溯。6、Internet连接共享。试用Internet连接共享时,需要控制不同权限的员工使用Internet的方式和范围。限制普通员工利用公司网络进行业务无关的活动。7、VPN连接VPN安全策略包括:身份认证,完整性,机密性,可用性以及审计功能。8、视频服务根据上网用户数据流量,主干网采用千兆以太网,在汇聚层干线上采用百兆,接入层十兆/百兆到桌面。2.3 管理需求网络的管理是企业建网不可缺少的方面,网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理,高效的管理策略能提高网络
17、的运营效率。针对本企业的业务特点及目前企业建设的实际情况,提供一种对计算机网络进行规划、设计、操作、运行、管理、监视、分析、控制、评估和扩展等手段,从而以合理的代价,组织和利用系统资源,提供正常、安全、可靠、有效、充分、用户友好的服务。需要对网络进行远程管理,远程管理可以帮助网络管理员利用远程控制软件管理网络设备,使网管工作更方便,更高效。所有的网络管理由公司的网络管理员统一负责。由于本公司的业务对象都是内部用户,所以就不需要承担记费功能。在网络管理中,必须实现对计算机网络的配置,运行状态等管理,实现网络故障诊断,安全管理,流量控制以及路由选择策略等。在网络管理方面,采用网管软件EasyTuc
18、h40 for Windows,网络监控软件HammerView-Enhanced-WIN。依据性能的可靠性,稳定性,高智能,高安全等特性,交换机和路由器网络设备采用港湾网络有限公司推出的BigHammer6800系列核心智能多层交换机。该设备交换容量最高可达1.92Tbps。BigHammer6800支持高密度万兆、千兆、百兆端口,同时还支持POS等广域网接口;支持IPv6、MPLS、VPN、策略路由、用户认证、NAT等特性;并且支持高达1M容量的路由表。BigHammer6800交换机内置硬件防火墙模块支持安全分区策略,从而为用户构建高性能、高安全、多业务的IP网络提供一个优秀的万兆应用中
19、心。配合港湾自主开发的EasyTouch统一网管平台和HammerView图形界面管理系统,可以实现分级分权管理、日志管理、性能管理、VLAN管理、手机短信告警等等智能化管理手段。支持SNMPv3、SSH,满足网管协议对安全的要求。智能ASIC技术配合策略网管执行,对应用数据流的优先级划分和带宽调度,满足不同应用业务对服务质量的不同要求。除此之外还需要采用跟踪技术,在跟踪各种系统信息时,记录时间是非常重要的。2.4 安全性需求随着近年来网络安全事件不断地发生,安全问题也已成为IT业的一个热点,安全问题对于企业的发展也越来越重要。安全问题已经成为影响企业业务平台的稳定性和业务的正常提供的一个问题
20、,所以提升企业自身的安全性也已经成为企业增强企业竞争力的重要方面之一。敏感性数据主要分布在,总经理办公室有5个,国内市场部20个,国外市场部20个,工程部50个,制造部40个,财务部20个,采购部30个,人力资源部10个,企管信息部20个,质量保证部10个,投资发展部10个,计算机中心5个。在每一个数据的分部点上,划分各个部门的虚拟局域网,设置每个用户的不同权限及安全级别。可能在数据的存储和传输过程中,数据的机密性,可用性得不到有效的安全保护,即使是这样,发生数据的泄露,对本系统的全局影响没有多大。在保障数据安全性方面,首先要做到物理安全的控制及物理网络的基础设施保护,包括选择适当的介质类型及
21、电缆的铺设路线(网络拓扑)。其次逻辑安全控制负责在不同的网段之间构造逻辑边界。它同时还对不同网段间信息流的流动进行控制。逻辑访问控制通过对网段间的信息流进行逻辑过滤来提供安全性保障。根据实际出发,公司采用NetHammer M262/M242模块化多业务路由器,提供2个固定串口,2个固定FE口,多槽位,DVPN(动态VPN),SNA、哑终端等金融特色服务,数据、语音/传真、视频组播多种业务集成,丰富的QOS、防火墙功能。NetHammer M262/M242采用模块化结构,高性能MPC配合自主知识产权的专利技术FFS(Fast Flow Switch)算法,最大限度发挥CPU性能,在提供了集成
22、的2个快速以太网接口、1个AUX口和2个高速同步串口、4/2个模块化插槽的同时,还提供丰富的可选配模块。在连接Internet出口处,安装Cisco PIX 515硬件防火墙,Cisco Secure PIX防火墙是同类产品市场中的领先产品,它是一个高速专用防火墙设备,能在不影响网络性能的情况下提供强大的安全。新的PIX 515机箱通过一个成本更低的小型中低档型号,扩展了这一世界领先的产品线。PIX 515高度仅为1RU(1.72英寸),在不牺牲吞吐量的情况下节省了珍贵的机架空间。PIX 515支持50,000和100,000个连接,对于较小的或远程站点非常理想。在用户桌面上的电脑采用金山毒霸
23、2006版杀毒软件和个人防火墙,有效的能保护个人电脑。2.5 通信量需求通信量需求是从网络应用出发,对当前技术条件下可以提供的网络带宽做出的评估。由单一的文本应用迅速向文本、语音、图形、视图综合服务发展,面向高速化和宽带需求发展的需求日趋强烈,如高速LAN,交换LAN,ATM技术等。依据公司的业务需求,可总结如下:文件服务,远程连接,压缩视频,MP3,RM等流媒体传输,VOD视频点播,视频会议等,综上所述,接入宽带方式采用Frame Relay(帧中继)线路,并采用DDR(拨号备份)作为广域网的后援线路以保证广域网络的可靠性。公司的海外办事处的业务人员,利用公司笔记本或电脑从国外能够安全地访问
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防火墙 综合布线 VPN 毕业论文
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。