毕业设计初稿同名5796文档格式.docx
《毕业设计初稿同名5796文档格式.docx》由会员分享,可在线阅读,更多相关《毕业设计初稿同名5796文档格式.docx(21页珍藏版)》请在冰点文库上搜索。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
网络安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
因此本论文为企业构架网络安全体系,主要运用vlan划分、防火墙技术、病毒防护等技术,来实现企业的网络安全。
关键词:
端口安全,网络,安全,防火墙,vlan
IIAbstract
Inrecentyears,Internettechnologyhasmatured,hasbeguntoprovideandguaranteefromthenetworkconnectivityasthemaintargetofthefirstgenerationofInternettechnologytoprovidenetworkdataservicesforthecharacteristicsofthesecondgenerationofInternettechnologytransition.Theseallcontributedtotherapidcomputernetworkingtechnologyoflarge-scaleuse.Asweallknow,theworld'
slargestinformationnetworkuseof,Internetopennessoftheiragreementgreatlyfacilitateavarietyofcomputernetworkingtobroadenthesharingofresources.However,intheearlydesignofnetworkprotocolsonsecurityissuesofneglect,aswellasinmanagementanduseoftheanarchy,theInternetincreasinglyseriousthreattotheirsecurity,anditsrelatedsecurityincidentshappenedquitefrequently.Networksecuritythreatsmainlyin:
unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingtheInternetspreadthevirus,linetappingandsoon.Therefore,thispaperfortheenterprisearchitecturenetworksecuritysystem,mainlybytheuseofvlan,firewall,virusprotectionandothertechnologiestoachievecorporatenetworksecurity.
Keywords:
PortSecurity,network,security,firewall,vlan
一、引言
随着计算机运用到各个领域,计算机用户的数量逐渐增多,这就涉及到越来越多的重要信息被计算机存储下来,所以对于计算机安全问题的解决以及预防是刻不容缓的任务。
计算机容易受到黑客、病毒的侵入,而这些不仅会影响到计算机的安全,更加会影响到用户信息的安全,会给用户造成极大的危害,所以计算机的安全问题必须值得深思和研究。
二、项目需求分析(黑体4号)
1.局域网安全威胁分析
局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。
由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。
局域网的网络安全威胁通常有以下几类:
(1)欺骗性的软件使数据安全性降低;
(2)计算机病毒及恶意代码的威胁;
(3)服务器区域没有进行独立防护;
.
(4)IP地址冲突;
(5)局域网用户安全意识不强;
正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
2.局域网安全解决办法
当前,保证局域网安全的解决办法有以下几种:
(1)网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,一般的局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
(2)VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:
基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。
基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。
各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
三、项目设计
利用华为模拟器eNsp模拟一个小型企业的局域网局部内部网络,其拓扑图如下:
1.设计任务:
A该公司内部主机的地址全部通过dhcp获取,R1做dhcp服务器,业务部为vlan10,它的地址网段为192.168.10.0/24,其中192.168.10.1作为vlan10的网关;
会计部为vlan20,它的地址网段为192.168.20.0/24,其中192.168.20.1作为vlan20的网关
B在接入交换机中开启端口安全,配置接口MAC地址学习限制数为1;
配置端口安全功能的保护动作为shutdown;
开启接口StickyMAC功能。
C在R1跟防火墙之间使用动态路由协议ospf
D在防火墙中配置区域安全,并设置安全策略,在防火墙做NAT,将内部的私有地址映射出去,允许内部地址访问外部网络。
2.原理分析:
A.Vlan
VLAN(VirtualLocalAreaNetwork)的中文名为"
虚拟局域网"
。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。
VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。
与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:
网络设备的移动、添加和修改的管理开销减少;
可以控制广播活动;
可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
不同的广播域之间想要通信,需要通过一个或多个路由器。
这样的一个广播域就称为VLAN。
划分VLAN后,不同VLAN之间不能直接通信。
如果要实现VLAN间通信,可以采取以下方案:
图2
通过子接口实现VLAN间的通信
a.子接口
如上图2所示,DeviceA为支持配置子接口的三层设备,DeviceB为二层交换设备。
LAN通过DeviceB的以太网接口(交换式以太网接口)与DeviceA的以太网接口(路由式以太网接口)相连。
用户主机被划分到两个VLAN:
VLAN2和VLAN3。
可通过如下配置实现VLAN间互通。
在DeviceA的以太网接口(与DeviceB相连的以太网接口)上创建2个子接口Port1.1和Port2.1,并配置802.1Q封装与VLAN2和VLAN3分别对应。
配置子接口的IP地址,保证两个子接口对应的IP地址路由可通。
将DeviceB与DeviceA相连的以太网接口类型配置为Trunk或Hybrid类型,允许VLAN2和VLAN3的帧通过。
将用户设备的缺省网关设置为所属VLAN对应子接口的IP地址。
主机A和C的通信过程如下:
主机A将主机C的IP地址和自己所在网段进行比较,发现主机C和自己不在同一个子网。
主机A发送ARP请求给自己的网关DeviceA,请求网关的MAC地址。
DeviceA收到该ARP请求后,返回ARP应答报文,报文中源MAC地址为VLAN2对应子接口的MAC地址。
主机A学习到网关的MAC地址。
主机A向网关发送目的MAC为子接口MAC地址、目的IP为主机C的IP地址的报文。
DeviceA收到该报文后进行三层转发,发现主机C的IP地址为直连路由,报文将通过VLAN3关联的子接口进行转发。
DeviceA作为VLAN3内主机的网关,向VLAN3内发送一个ARP广播,请求主机C的MAC地址。
主机C收到网关发送的ARP广播后,对此请求进行ARP应答。
网关收到主机C的应答后,就把主机A的报文发送给主机C。
主机A之后要发给C的报文都先发送给网关,由网关做三层转发。
b.VLANIF接口
三层交换技术是将路由技术与交换技术合二为一的技术,在交换机内部实现了路由,提高了网络的整体性能。
三层交换机通过路由表传输第一个数据流后,会产生一个MAC地址与IP地址的映射表。
当同样的数据流再次通过时,将根据此表直接从二层通过而不是通过三层,从而消除了路由器进行路由选择而造成的网络延迟,提高了数据包转发效率。
为了保证第一次数据流通过路由表正常转发,路由表中必须有正确的路由表项。
因此必须在三层交换机上部署三层接口并部署路由协议,实现三层路由可达。
VLANIF接口由此而产生。
VLANIF接口是三层逻辑接口,可以部署在三层交换机上,也可以部署在路由器上。
在下图3所示的网络中,交换机上划分了2个VLAN:
在Device上创建2个VLANIF接口并配置VLANIF接口的IP地址,保证两个VLANIF接口对应的IP地址路由可通。
将用户设备的缺省网关设置为所属VLAN对应VLANIF接口的IP地址。
图3
通过VLANIF接口实现VLAN间的通信
主机A发送ARP请求给自己的网关Device,请求网关的MAC地址。
Device收到该ARP请求后,返回ARP应答报文,报文中源MAC地址为VLANIF2的MAC地址。
主机A向网关发送目的MAC为VLANIF接口MAC地址、目的IP为主机C的IP地址的报文。
Device收到该报文后进行三层转发,发现主机C的IP地址为直连路由,报文将通过VLANIF3接口进行转发。
Device作为VLAN3内主机的网关,向VLAN3内发送一个ARP广播,请求主机C的MAC地址。
B.端口安全
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。
这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。
启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。
这里的非法报文是指:
a禁止MAC地址学习时,收到的源MAC地址为未知MAC的报文;
b端口学习到的MAC地址达到端口所允许的最大MAC地址数后,收到的源MAC地址为未知MAC的报文;
c未通过认证的用户发送的报文。
C.OSPF
OSPF是一种分层次的路由协议,其层次中最大的实体是AS(自治系统),即遵循共同路由策略管理下的一部分网络实体。
在每个AS中,将网络划分为不同的区域。
每个区域都有自己特定的标识号。
对于主干(backbone)区域,负责在区域之间分发链路状态信息。
这种分层次的网络结构是根据OSPF的实际提出来的。
当网络中自治系统非常大时,网络拓扑数据库的内容就更多,所以如果不分层次的话,一方面容易造成数据库溢出,另一方面当网络中某一链路状态发生变化时,会引起整个网络中每个节点都重新计算一遍自己的路由表,既浪费资源与时间,又会影响路由协议的性能(如聚合速度、稳定性、灵活性等)。
因此,需要把自治系统划分为多个域,每个域内部维持本域一张唯一的拓扑结构图,且各域根据自己的拓扑图各自计算路由,域边界路由器把各个域的内部路由总结后在域间扩散。
这样,当网络中的某条链路状态发生变化时,此链路所在的域中的每个路由器重新计算本域路由表,而其它域中路由器只需修改其路由表中的相应条目而无须重新计算整个路由表,节省了计算路由表的时间。
OSPF由两个互相关联的主要部分组成:
“呼叫”协议和“可靠泛洪”机制。
呼叫协议检测邻居并维护邻接关系,可靠泛洪算法可以确保统一域中的所有的OSPF路由器始终具有一致的链路状态数据库,而该数据库构成了对域的网络拓扑和链路状态的映射。
链路状态数据库中每个条目称为LSA(链路状态通告),共有5种不同类型的LSA,路由器间交换信息时就是交换这些LSA。
每个路由器都维护一个用于跟踪网络链路状态的数据库,然后各路由器的路由选择就是基于链路状态,通过Dijkastra算法建立起来最短路径树,用该树跟踪系统中的每个目标的最短路径。
最后再通过计算域间路由、自治系统外部路由确定完整的路由表。
与此同时,OSPF动态监视网络状态,一旦发生变化则迅速扩散达到对网络拓扑的快速聚合,从而确定出新的网络路由表。
OSPF的设计实现要涉及到指定路由器、备份指定路由器的选举、协议包的接收、发送、泛洪机制、路由表计算等一系列问题。
D.NAT
NAT(NetworkAddressTranslation,网络地址转换)是1994年提出的。
当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。
装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。
这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。
借助于NAT,私有(保留)地址的"
内部"
网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据部分嵌入IP地址的应用程序就不能正常工作。
Nat-工作流程1
①如右图这个client(终端)的gateway(网关)设定为NAT主机,所以当要连上Internet的时候,该封包就会被送到NAT主机,这个时候的封包Header之sourceIP(源IP)为192.168.1.100;
②而透过这个NAT主机,它会将client的对外联机封包的sourceIP(192.168.1.100)伪装成ppp0(假设为拨接情况)这个接口所具有的公共IP,因为是公共IP了,所以这个封包就可以连上Internet了,同时NAT主机并且会记忆这个联机的封包是由哪一个(192.168.1.100)client端传送来的;
Nat工作流程2
③由Internet传送回来的封包,当然由NAT主机来接收了,这个时候,NAT主机会去查询原本记录的路由信息,并将目标IP由ppp0上面的公共IP改回原来的192.168.1.100;
④最后则由NAT主机将该封包传送给原先发送封包的Client
E.DHCP
DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口。
详细的交互过程如下图。
1.DHCPClient以广播的方式发出DHCPDiscover报文。
2.所有的DHCPServer都能够接收到DHCPClient发送的DHCPDiscover报文,所有的DHCPServer都会给出响应,向DHCPClient发送一个DHCPOffer报文。
DHCPOffer报文中“Your(Client)IPAddress”字段就是DHCPServer能够提供给DHCPClient使用的IP地址,且DHCPServer会将自己的IP地址放在“option”字段中以便DHCPClient区分不同的DHCPServer。
DHCPServer在发出此报文后会存在一个已分配IP地址的纪录。
3.DHCPClient只能处理其中的一个DHCPOffer报文,一般的原则是DHCPClient处理最先收到的DHCPOffer报文。
DHCPClient会发出一个广播的DHCPRequest报文,在选项字段中会加入选中的DHCPServer的IP地址和需要的IP地址。
4.DHCPServer收到DHCPRequest报文后,判断选项字段中的IP地址是否与自己的地址相同。
如果不相同,DHCPServer不做任何处理只清除相应IP地址分配记录;
如果相同,DHCPServer就会向DHCPClient响应一个DHCPACK报文,并在选项字段中增加IP地址的使用租期信息。
5.DHCPClient接收到DHCPACK报文后,检查DHCPServer分配的IP地址是否能够使用。
如果可以使用,则DHCPClient成功获得IP地址并根据IP地址使用租期自动启动续延过程;
如果DHCPClient发现分配的IP地址已经被使用,则DHCPClient向DHCPServer发出DHCPDecline报文,通知DHCPServer禁用这个IP地址,然后DHCPClient开始新的地址申请过程。
6.DHCPClient在成功获取IP地址后,随时可以通过发送DHCPRelease报文释放自己的IP地址,DHCPServer收到DHCPRelease报文后,会回收相应的IP地址并重新分配。
在使用租期超过50%时刻处,DHCPClient会以单播形式向DHCPServer发送DHCPRequest报文来续租IP地址。
如果DHCPClient成功收到DHCPServer发送的DHCPACK报文,则按相应时间延长IP地址租期;
如果没有收到DHCPServer发送的DHCPACK报文,则DHCPClient继续使用这个IP地址。
在使用租期超过87.5%时刻处,DHCPClient会以广播形式向DHCPServer发送DHCPRequest报文来续租IP地址。
如果没有收到DHCPServer发送的DHCPACK报文,则DHCPClient继续使用这个IP地址,直到IP地址使用租期到期时,DHCPClient才会向DHCPServer发送DHCPRelease报文来释放这个IP地址,并开始新的IP地址申请过程。
需要说明的是:
DHCP客户端可以接收到多个DHCP服务器的DHCPOFFER数据包,然后可能接受任何一个DHCPOFFER数据包,但客户端通常只接受收到的第一个DHCPOFFER数据包。
另外,DHCP服务器DHCPOFFER中指定[1]
的地址不一定为最终分配的地址,通常情况下,DHCP服务器会保留该地址直到客户端发出正式请求。
正式请求DHCP服务器分配地址DHCPREQUEST采用广播包,是为了让其它所有发送DHCPOFFER数据包的DHCP服务器也能够接收到该数据包,然后释放已经OFFER(预分配)给客户端的IP地址。
如果发送给DHCP客户端的地址已经被其他DHCP客户端使用,客户端会向服务器发送DHCPDECLINE信息包拒绝接受已经分配的地址信息。
在协商过程中,如果DHCP客户端发送的REQUEST消息中的地址信息不正确,如客户端已经迁移到新的子网或者租约已经过期,DHCP服务器会发送DHCPNAK消息给DHCP客户端,让客户端重新发起地址请求过程。
四、项目实现
1.配置dhcp地址池
[R1]ippoolvlan10
[R1-ip-pool-vlan10]gateway-list192.168.10.1
[R1-ip-pool-vlan10]network192.168.10.0mask255.255.255.0
[R1-ip-pool-vlan10]leaseday10hour0minute0
[R1-ip-pool-vlan10]d