网络安全与维护技术报告.docx
《网络安全与维护技术报告.docx》由会员分享,可在线阅读,更多相关《网络安全与维护技术报告.docx(15页珍藏版)》请在冰点文库上搜索。
网络安全与维护技术报告
提交要求:
电子版一份,电子版发到邮箱a0605@,并在邮件标题中注明学号和名字,电子版包括:
1.模拟器存档文件(以PKT后缀结尾)
2.WORD文档(回答本考察问卷试题)
打印件一份,将WORD文档打印出,装订好,在文档显眼位置注明学号和名字,课堂上提交
试题一:
使用CiscoPacketTracer5.3模拟器完成如下实验,并回答问题
某学校有A、B、C、D共四个网络区域,四个区域通过以太网交换机进行互联,如下图所示,请在模拟器选用相应的设备和链路完成网络连接拓扑
1)规划A、B、C、D四个区域的子网IP地址及设备互联的IP网段地址,网段地址采用192.168.A+10*n.B(A区n=0,B区n=1,C区n=2,D区n=3)的形式,其中A必须为提交学生的学号,B为任意有效值即可,可以参考下表进行规划并填写
网段规划
序号
网段描述
网络地址
掩码
1
A区域子网网络地址
192.168.26.0
255.255.255.0
2
B区域子网网络地址
192.168.36.0
255.255.255.0
3
C区域子网网络地址
192.168.46.0
255.255.255.0
4
D区域子网网络地址
192.168.56.0
255.255.255.0
5
四区域互联网络地址
192.168.66.0
255.255.255.0
2)请将问题1中的C区域子网网络地址再划分为两个小的子网,按问题1中的格式写下,并说明划分的目的
序号
网段描述
网络地址
掩码
1
C区域子网网络地址1
192.168.46.0
255.255.255.128
2
C区域互联网络地址2
192.168.46.128
255.255.255.128
目的:
通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。
提高交换网络的交换效率,保证网络稳定。
(将子网掩码从24位扩展到25位)
3)标明拓扑中每个设备的端口号,并在每根互联线缆上注明使用的线缆类型
4)拓扑中的电脑需要做哪些基本配置,并列举出进行基本配置检查的命令
拓扑中电脑需要做IP地址配置,IP地址配置如下:
APC01:
192.168.26.1/24
BPC01:
192.168.36.1/24
BPC02:
192.168.36.2/24
BPC03:
192.168.36.3/24
APC01:
192.168.46.1/25
基本配置检查的命令:
ipconfig
5)请简要说明区域A中存在着什么网络问题,问题产生的原因和使用什么网络协议可以解决,并写出相应设备的配置命令和检查命令
(1)广播风暴
原因:
由于网络中有环路存在,造成每一帧都在网络中重复广播,引起了广播风暴
使用STP协议(生成树协议),以网络中一台交换机为节点生成一棵转发树,而树是没有环路的,这样所有的数据都只在这棵树所指示的路径上传输
配置命令Switch(config)#spanning-treemodepvst
检查命令Switch#showspanning-tree
6)区域B中有三台电脑BPC01、BPC02、BPC03,其中BPC02和BPC03由于保密要求,网络访问限制在它们之间,不能和其他电脑和网络设备进行互访;BPC01无保密要求,可以访问除BPC02和BPC03外的其他设备,请说明使用的网络技术,并写出相应设备的网络配置
答使用的是vlan技术进行区域的划分
相应设备BS01的网络设备如下:
7)对全网进行静态路由配置,达到APC01、BPC01和CPC01之间互相ping通,并将相应设备的配置写出
配置命令如下:
AR01
uildingconfiguration...
Currentconfiguration:
688bytes
!
version12.4
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
!
hostnameRouter
--More—
interfaceFastEthernet0/0
ipaddress192.168.66.1255.255.255.0
duplexauto
speedauto
!
interfaceFastEthernet0/1
ipaddress192.168.26.254255.255.255.0
duplexauto
speedauto
!
interfaceVlan1
noipaddress
shutdown
!
ipclassless
iproute192.168.36.0255.255.255.0192.168.66.2
--More—
iproute192.168.46.0255.255.255.128192.168.46.130
iproute192.168.46.128255.255.255.128192.168.66.3
iproute192.168.56.0255.255.255.0192.168.66.4
linecon0
linevty04
login
End
BR01
Buildingconfiguration...
Currentconfiguration:
688bytes
!
version12.4
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
!
hostnameRouter
interfaceFastEthernet0/0
ipaddress192.168.66.2255.255.255.0
duplexauto
speedauto
!
interfaceFastEthernet0/1
ipaddress192.168.36.254255.255.255.0
duplexauto
speedauto
!
interfaceVlan1
noipaddress
shutdown
!
ipclassless
iproute192.168.26.0255.255.255.0192.168.66.1
iproute192.168.46.0255.255.255.128192.168.46.130
iproute192.168.46.128255.255.255.128192.168.66.3
iproute192.168.56.0255.255.255.0192.168.66.4
linecon0
linevty04
login
end
CR01
Buildingconfiguration...
Currentconfiguration:
740bytes
!
version12.4
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
!
hostnameRouter
!
interfaceFastEthernet0/0
ipaddress192.168.66.3255.255.255.0
duplexauto
speedauto
!
interfaceFastEthernet0/1
ipaddress192.168.46.254255.255.255.128
duplexauto
speedauto
!
interfaceVlan1
noipaddress
shutdown
!
ipclassless
iproute192.168.26.0255.255.255.0192.168.66.1
iproute192.168.36.0255.255.255.0192.168.66.2
iproute192.168.56.0255.255.255.0192.168.66.4
iproute192.168.46.0255.255.255.128192.168.46.130
iproute192.168.46.0255.255.255.128192.168.46.129
linecon0
linevty04
login
!
!
!
end
CR02
Buildingconfiguration...
Currentconfiguration:
690bytes
!
version12.4
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
!
hostnameRouter
interfaceFastEthernet0/0
ipaddress192.168.46.100255.255.255.128
duplexauto
speedauto
!
interfaceFastEthernet0/1
ipaddress192.168.46.130255.255.255.128
duplexauto
speedauto
!
interfaceVlan1
noipaddress
shutdown
!
ipclassless
iproute192.168.26.0255.255.255.0192.168.66.1
iproute192.168.36.0255.255.255.0192.168.66.2
iproute192.168.46.128255.255.255.128192.168.66.3
iproute192.168.56.0255.255.255.0192.168.66.4
linecon0
linevty04
login
end
8)请说明CenterSw交换机的MAC地址表学习过程
mac地址表的自学习过程:
端口1上的A计算机要与端口2上的B计算机通信时,A发到交换机上,交换机收到信息后,交换机先记录发端口1所对应的a的mac地址并记录在自己的mac表中,然后再查收方B的mac是否在表中,若在mac地址表中,直接转发给B所对应的端口2转发下去,如果不在mac表中,则向所有端口广播出去,当B收到后会回应交换机转到A,在回应这个过程中,交换机就会把B的mac地址记录在mac表中,达到双方通信功能。
依此类推,交换机都是从发端学习到mac地址的,并在每5分钟后,如果端口上连接计算机的mac地址没有信息交换,就把该端口所对应的计算机的mac地址从交换机的mac地址表中清除。
9)如果接到网络报障,被告知电脑APC01无法通过“\\X.X.X.X”方式访问电脑CPC01的文件,请说明作为一名网管,应该如果定位故障及排除故障,并例举出不少于5个的故障点
排查点:
全面收集信息,并分析故障现象。
定位故障范围。
故障隔离。
.排除故障,
检验故障是非已排除
不在同一工作组防火墙的设置问题设置用户访问权限问题ip冲突问题外围设备的问题
物理线路故障问题
试题二:
论网络安全管理
网络的安全性及其实施方法是网络管理规划中的关键任务,为了保障信息系统的安全性,各种网络安全技术得到广泛应用
现在你作为一名学校的网络管理员,请围绕“网络安全管理”论题,依次对以下几个方面进行论述。
1)思考并例举学校网络内使用的信息系统,说明该信息系统的作用、服务对象等方面,并结合本课程简要说明架设的方法(不少于500字)
1校园网络及其管理应用
通过TCP/IP网络通信协议,校园网络一方面可以获得中国教育科研网(Cernet)和国际互联网(Internet)所提供的一系列服务,包括E-Mail电子邮件、FTP文件传输、Telent远程登录、WWW信息浏览等。
另一方面,校园网络又是一个采用了Internet技术和产品的学校内部网即Intranet,它的应用主要体现在以下几个方面:
•校内、外通信服务,多媒体信息发布与查询;
•计算机辅助教学(CAI)系统和远程教学;
•学校行政管理信息系统(MIS)和学校办公自动化(OA)网络系统;
•图书资料检索系统;
•网络资源共享。
一般说来,校园网络建设应该包括以下三个部分:
网络基础设施建设、网络应用软件系统建设(含学校管理信息系统)以及网络信息资源建设。
2学校管理信息系统的功能构成
学校管理信息系统是一个以计算机为工具,对学校管理信息进行处理的人—机系统,
各分系统的功能构成如下:
•学校教务管理系统
通常包括编班、课程表调度、学籍管理、教学档案管理等功能模块或子系统。
学生管理系统
这里的学生管理指的是对学生工作的综合性管理。
•教职工人事管理系统
该系统由教职工基本人事档案管理和教师业务档案管理两个子系统组成,主要完成上述档案的登录、分类、检索查询和各种统计报表输出等。
•图书资料管理系统
该系统通常由采编管理、流通管理和报刊杂志管理三个子系统组成,用以辅助学校图书馆及资料室的日常管理业务。
其中采编管理子系统主要实现图书订购、查重和订单备案等功能;流通管理子系统可实现书库快速检索、登录、编制日、月、年报表等功能;报刊杂志管理子系统则主要完成各种报刊、杂志的征订、统计汇总和检索。
•学校财产管理系统
财务管理系统
其它事务管理系统
在学校管理中,除了上述六个方面的信息管理以外,通常还应建立以下四个方面的事务管理信息系统。
体育、卫生管理:
主要包括全校体育基础数据、学生体育达标情况、田径运动会等的管理,以及教职工和学生的健康档案管理。
学校基建管理:
对学校房屋、场所及其设施的新建、扩建和改造等基建项目的定额、预算和决算等事务进行管理。
科研管理:
包括学校科研项目的计划、科研经费的使用情况、科研成果登录和评估,以及技术市场和科技服务等方面的管理。
校办企业管理:
对校办工厂、农场或服务公司的生活、经营、销售等事务进行辅助管理。
学校管理信息系统是管理信息系统(MIS)理论与技术在教育领域的具体体现,因此它遵循MIS的一般规律。
另一方面,学校管理信息系统的处理对象是学校管理过程中的各类信息,所执行的是学校中的各项管理事务,这又决定了该系统所具有的特殊性。
学校管理系统各个职能子系统的划分的设置,随着学校的类别、规模、管理结构和管理习惯的差异而有所不同,以上给出的只是最为一般的划分方案。
3建立学校管理信息系统的条件和步骤
学校管理信息系统是一个涉及学校管理、信息科学和计算机技术的复杂的人——机系统。
为了使管理信息系统达到预期目标,就必须针对学校管理和计算机信息系统的特点,根据软件工程思想,采用科学的方法进行规划、分析、设计与实施。
2)思考并分析学校信息系统(包括网络)可能面临的安全问题(不少于500字)
第一,校园网与互联网相连,且速度快、规模大,在分享互联网资源的同时,也面临着遭遇攻击的风险。
高校校园网目前普遍使用了百兆、数G甚至数十G实现校园里主干互联。
校园网的用户群体一般也比较大,少则数千人、多则数万人。
我国大学生一般集中在校住宿,因而用户群比较密集。
正是由于高带宽和用户密集的特点,网络安全问题一般蔓延快,对网络的影响比较严重。
第二,开放的网络环境极易受到攻击。
由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。
比如,企业网可以限制浏览的网页、电子邮件的流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网的主干网上不能实施过多的限制,否则一些新的网络技术很难应用到校园网内部。
第三,校园网内部也存在很大的安全隐患。
高校学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。
如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术进行内部攻击,可能会对网络造成一定的影响和破坏。
内部用户对Internet的非法访问威胁。
如浏览黄色、暴力等不良网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发Dos攻击,导致网络及服务不可用;校园网内针对QQ号的黑客程序随处可见。
第四,使用的操作系统存在的安全漏洞,对网络安全构成了威胁。
网络服务器安装的操作系统有Windows、UNIX、Linux等,这些系统安全风险级别不同,例如,我们最常用的Windows系列系统的普遍性和可操作性使它成为最不安全的系统:
自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。
普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。
几乎每一个操作系统或应用软件都有安全漏洞和后门,这些正是黑客攻击的首选目标。
另外,程序员为了方便自己而设置的软件“后门”更是危害极大,虽然一般不为人所知,但是,一旦“后门”被打开,网络所面临的危险可想而知。
第五,兼管的疏忽和维护力量不足造成的网络威胁。
校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。
在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数千台计算机的安全。
校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,致使校园网网络受到威胁。
3)详细论述你想采用的保障网络安全和信息安全的技术和方法(每个方法应尽可能详尽说明)(不少于800字)
第一,物理安全策略。
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。
它主要包括两个方面:
1.环境安全。
对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。
2.设备安全。
包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
第二,访问控制策略。
访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。
1.入网访问控制。
入网访问控制为网络访问提供了第一层访问控制,它限制了入网用户的权限,它控制哪些用户能够登录到网络并获取网络资源;控制准许用户入网的时间和准许他们在哪台计算机上入网。
2.网络的权限控制。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。
用户和用户组被赋予一定的权限。
网络控制用户和用户组可以访问哪些资源;可以指定用户对这些资源能够执行哪些具体操作。
3.网络监测和锁定控制。
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。
如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。
第三,防火墙控制策略。
防火墙(Firewall)是一种用来加强网络之间访问控制的特殊网络互连设备,是一种非常有效的网络安全模型,防火墙是一种保护计算机网络安全的技术性措施,在不安全的网际网环境中构造一个相对安全的子网环境。
它是一个用以阻止网络中的黑客访问某个机构网络的屏障。
它位于两个网络之间执行控制策略的系统,用来限制外部非法用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
防火墙是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道,以按照事先制定的策略控制信息的流入和流出,监督和控制使用者的操作。
第四,网络入侵检测技术。
试图破坏信息系统的机密性、完整性、可信性的任何网络活动,都称为网络入侵。
入侵检测(IntrusionDetection)是指:
识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。
它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。
入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
第五,网络安全管理规范。
网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。
网络的安全管理策略包括:
确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
综上所述,校园网络的安全问题,不仅仅是设备,技术的问题,更是管理的问题。
对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,更需要制定一套完整的规章制度来规范上网人员的行为。