网络安全课程设计Word文件下载.docx
《网络安全课程设计Word文件下载.docx》由会员分享,可在线阅读,更多相关《网络安全课程设计Word文件下载.docx(13页珍藏版)》请在冰点文库上搜索。
⏹设计网络安全的方案
计算机网络安全技术内容:
⏹保密性
⏹安全协议的设计
⏹访问控制
网络安全分析类别:
⏹物理层安全分析及解决方案
⏹数据链路层安全分析及解决方案
⏹网络层安全分析及解决方案
⏹运输层安全分析及解决方案
⏹应用层安全分析及解决方案
设计内容:
网络层安全分析与解决方案
一、网络安全的主要威胁
网络通信过程中,安全问题显得尤为重要,网络安全威胁的来源也是多方面的,但究其性质基本上可以归结为以下几类:
1.截获
攻击者从网络上窃听他人的通信内容;
2.中断
攻击者有意中断他人在网络上的通信;
3.篡改
攻击者故意篡改网络上传送的报文;
4.伪造
攻击者伪造信息在网络上传送;
其中,截获属于被动攻击;
中断、篡改、伪造都属于主动攻击。
二、网络层IP数据包
IP数据包作为网络入侵的核心手段和网络安全维护的基础技术之一,对网络数据包进行捕获、监听与分析等研究对于保证网络的安全性和可靠性是具有重要意义的。
1.网络数据包捕获原理
以太网(Ethernet)具有共享介质的特征,信息以明文的形式在网络上传输,当网络适配器设置为监听模式(混杂模式)时,由于采用以太网广播信道争用的方式,使得监听系统与正常通信的网络能够并联连接,并可以捕获任何一个在同一冲突域上传输的数据包。
IEEE802.3标准的以太网采用的是持续CSMA/CO的方式,正是由于以太网采用这种广播信道争用的方式,使得各个站点可以获得其他站点发送的数据。
运用这一原理使信息捕获系统能够拦截到需要的信息,这是捕获数据包的物理基础。
以太网是一种总线型的网络,从逻辑上来看是由一条总线和多个连接在总线上的站点所组成各个站点采用上面提到的CSMA/CD协议进行信道的争用和共享。
每个站点(这里特指计算机通过的接口卡)由网卡来实现这种功能。
网卡主要的工作是完成对于总线当前状态的探测,确定是否进行数据的传送,判断每个物理数据帧目的地是否为本站地址,如果不匹配,则说明不是发送到本站的而将它丢弃;
如果是的话,接收该数据帧,进行物理数据帧的CRC校验,然后将数据帧提交给LLC子层。
网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发送给自己的帧。
如果采用混杂模式,一个站点的网卡将接受同一网络内所有站点所发送的数据包,这样就可以到达对于网络信息监视捕获的目的。
2.IP层协议数据包的捕获和分析软件总体设计
2.1网卡控制模块
网卡选择模块:
初始化机器上所有的网卡,并在软件界面的网卡选择列表中列出所检测到得网卡供用户选择。
监听控制模块:
对流经所选择网卡的数据包进行监听控制,其中包括监听开始和监听终止,监听开始则开始捕获数据包,监听终止即终止对数据包的捕获。
2.2数据包捕获模块
IP包捕获模块:
对流经网卡的数据包中的IP协议数据包进行捕获。
ARP包捕获模块:
对流经网卡的数据包中的ARP协议数据包进行捕获。
ICMP包捕获模块:
对流经网卡的数据包中的ICMP协议数据包进行捕获。
其他格式捕获模块:
根据需求和设计需要额外加入对流经网卡的数据包中的其他协议数据包进行捕获。
2.3信息统计分析模块
数据包字段分析模块:
对于捕获到并存入数据库中的数据包进行各个字段详细分析并提供显示结果,并可将分析结果以指定格式的文件形式导出。
数据统计模块:
对网络数据流量等信息进行统计分析。
该软件功能总体模块图如图1所示。
3.IP层协议数据包的捕获和分析软件详细设计
3.1网卡控制
网卡选择功能是让用户选择需要进行数据包捕获的网卡以便下一步继续工作。
此模块采用树控件列举出了当前机器上被WinPcap驱动所支持的所有网卡,用户可以选择其中一个网卡进行即将的数据包捕获。
此处非必须选择网卡,如果不选择网卡而点击取消则直接进入程序主界面,但无法进行数据包捕获。
3.2数据包捕获和分析
网络数据包的捕获和分析的功能均在该处予以实现。
主要是捕获IP层中IP,ICMP,ARP,IGMP等协议数据包,并分析各个数据包协议字段的内容然后反馈到程序主界面的相应部分中。
3.3数据包信息统计
在数据包捕获过程中,主要是对捕获到的数据包进行分类个数统计以方便用户时刻关注到流入数据包的数量。
该处的实现主要是通过预先定义的数个全局变量,根据数据包流入的个数施行动态增长计数。
三、网络层防火墙技术
为了保证信息网络的安全,防御网络安全威胁,降低信息安全隐患,人们提出了很多方法和技术,防火墙技术是其中运用比较广泛、有效的方式。
防火墙可以阻断网络中的威胁,及时做出反应,从而减少网
络风险。
1.防火墙技术
防火墙(firewall)是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。
这个控制访问控制策略是由使用防火墙的单位自行制定的。
这种安全策略应当适合本单位的需要。
Ø
防火墙是由软件、硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略。
接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要。
防火墙内的网络称为“可信赖的网络”(trustednetwork),而将外部的因特网称为“不可信赖的网络”(untrustednetwork)。
防火墙可用来解决内联网和外联网的安全问题
2.防火墙的作用
2.1包过滤
包过滤是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,检查数据包,限制数据包进出网络。
通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。
包过滤的最大优点是对用户透明,传输性能高。
2.2包的透明转发
由于防火墙一般部署在提供某些服务或应用的服务器前。
用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发。
因此,防火墙具备网关功能,方便数据包的转发。
2.3网络地址转换
防火墙可以部署为NAT模式(NetworkAddressTranslator),用来缓解地址空间短缺的问题。
由于Internet日益发展及IP地址空间有限,使得企业私网内用户无法获得足够的公网IP地址,私网内用户可以通过防火墙的NAT转换的映射地址访问公网网络上的资源,从而解决企业公网地址不足的问题。
同时NAT功能可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。
2.4阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的网络中。
例如在防火墙设置访问策略,禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。
3.防火墙的分类
一个防火墙的实现过程无论多么复杂,归根结底主要分为三大类:
包过滤(PacketFiltering)、应用代理(ApplicationProxy)和状态监测(StateInspection)
3.1包过滤防火墙
包过滤防火墙工作在网络层,具有识别和控制数据包的源地址及目地地址的作用。
包过滤防火墙将对每一个接收到的数据包做出允许或拒绝的决定。
包过滤防火墙针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
基于TCP/IP协议的信息网络上的数据都是以一定格式的数据包的形式进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如标识发送者和接收者位置的IP地址、TCP/UDP端口号等地址信息。
防火墙通过读取数据包中的地址信息来判断这些数据包是否来自可信任的区域,一旦发现来自不可信区域的数据包,防火墙便会阻挡这些数据通过,将其拒之门外。
在信息网络的安全控制中,包过滤防火墙对所有通过它的数据流中每个数据包的IP包头信息进行检查,然后按照网络管理员所设定的过滤规则进行匹配。
如果某个数据包信息匹配防火墙设定的过滤规则,那么传输过来的数据包就会通过。
反之,数据包信息不匹配防火墙设定的过滤规则,数据包就会被过滤掉。
包过滤防火墙具有处理数据包速度快、容易实现、比较简单等优点。
由于包过滤防火墙工作在IP层和TCP层,所以处理包的速度较快,对于一个小型的、不太复杂的站点较容易实现。
同时包过滤防火墙具有不支持有效的用户认证、规则表很快会变得很大而且复杂、过于依赖一个单一的部件来保护系统等缺点。
3.2应用代理防火墙
应用代理防火墙安全性较高,对数据包的检测能力较强,能够有效的防范基于应用层的侵入和病毒传播。
应用代理实际是设置在防火墙网关上有特殊功能的应用层代码,还可应用于实施数据流监测、过滤、记录和审计等功能。
网络管理员可以通过应用代理防火墙设置允许或拒绝特定的应用程序或者服务。
应用代理防火墙提供应用层服务控制,彻底隔断内部网络与外部网络的直接通信,起到内部网络向外部网络申请服务时转发作用,内部网络只接受代理提出的服务请求,拒绝外部网络其他节点的直接请求。
应用代理的工作原理比较简单:
首先是内部网络用户与代理防火墙建立连接,然后将访问的外部目的地址告知代理,对于符合防火墙策略的合法请求,代理防火墙会以自己的身份(应用代理)与外部目的地址建立有效连接,然后代理在这两个连接中进行数据转发。
其主要特点是有状态性,能完全提供与应用相关的状态和部分传输方面的信息,能隐藏内部IP地址,能够实现比包过滤防火墙更严格的安全策略。
3.3状态检测防火墙
状态检测防火墙又称动态包过滤防火墙,能够对各层的数据进行主动的、实时的监测。
在对各层数据加以分析的基础上,状态检测防火墙能够有效地判断出各层中的非法侵入。
状态检测防火墙摒弃了包过滤防火墙仅通过识别和控制数据包lP地址、端口号等参数,不关心数据包具体数据的匹配过滤的方法,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个会话,利用状态表跟踪每一个会话状态。
状态监测对每—个数据包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
4.防火墙的优缺点
4.1防火墙的主要优点
(1)防火墙可作为网络通信的阻塞点,能够强化安全策略,可以识别和丢弃带欺骗性源IP地址的包。
防火墙隔离受信任网络与不受信任网络,极大地加强了网络安全,并简化了网络管理。
(2)防火墙一般部署于内部与外部网络之间,所有数据包都会通过防火墙进行传输,能有效地收集和记录网络上的活动,提供监视、管理网络的使用和预警功能。
4.2防火墙的主要缺点
(1)防火墙对绕过它的攻击行为无能为力。
(2)由于防火墙部署的位置多位于外部网络与内部网络之间,因此无法阻挡内部网络的威胁,亦无法完全阻挡病毒。
四、网络安全防范体系的设计原则
1.安全攻击、安全机制和安全服务
ITU-TX.800标准将我们常说的“网络安全(networksecurity)”进行逻辑上的分别定义,即安全攻击(securityattack)是指损害机构所拥有信息的安全的任何行为;
安全机制(securitymechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制;
安全服务(securityservice)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。
2.网络安全防范体系框架结构
为了能够有效了解用户的安全需求,选择各种安全产品和策略,有必要建立一些系统的方法来进行网络安全防范。
网络安全防范体系的科学性、可行性是其可顺利实施的保障。
框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。
网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。
针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则我们认为该信息网络是安全的。
3.网络安全防范体系层次
作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的安全问题,根据网络的应用现状情况和网络的结构,我们将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
3.1物理环境的安全性(物理层安全)
该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。
物理层的安全主要体现在通信线路的可靠性(线路备份、网管软件、传输介质),软硬件设备安全性(替换设备、拆卸设备、增加设备),设备的备份,防灾害能力、防干扰能力,设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。
3.2操作系统的安全性(系统层安全)
该层次的安全问题来自网络内使用的操作系统的安全,如WindowsNT,Windows2000等。
主要表现在三方面,一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。
二是对操作系统的安全配置问题。
三是病毒对操作系统的威胁。
3.3网络的安全性(网络层安全)
该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。
3.4应用的安全性(应用层安全)
该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、DNS等。
此外,还包括病毒对系统的威胁。
3.5管理的安全性(管理层安全)
安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。
管理的制度化极大程度地影响着整个网络的安全,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
4.网络安全防范体系设计准则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("
系统安全工程能力成熟模型"
)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:
4.1网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。
“木桶的最大容积取决于最短的一块木板”。
网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。
攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。
因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。
安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"
安全最低点"
的安全性能。
4.2网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。
因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。
安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。
安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。
安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
4.3安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。
安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。
评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
4.4标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。
4.5技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。
因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
4.6统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。
随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。
4.7等级性原则
等级性原则是指安全层次和安全级别。
良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
4.8动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
4.9易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
总结:
通过此次课程设计,使我更加扎实的掌握了有关通信方面的知识,特别是IP层的知识。
在设计过程中虽然遇到了一些问题,但经过一次又一次的思考,一遍又一遍的检查终于找出了原因所在,同时也反映出了前期知识欠缺和经验不足。
在课程设计过程中,我们不断发现错误,不断改正,不断领悟,不断获取。
终于顺利完成了,在设计中遇到了很多问题,最后在老师的指导下,终于游逆而解。
在今后社会的发展和学习实践过程中,一定要不懈努力,不能遇到问题就想到要退缩,一定要不厌其烦的发现问题所在,然后一一进行解决,只有这样,才能成功的做成想做的事,而不是知难而退,那样永远不可能收获成功,收获喜悦,也永远不可能得到社会及他人对你的认可!
回顾起此课程设计,至今我仍感慨颇多,从理论到实践,在这段日子里,可以说得是苦多于甜,但是可以学到很多很多的东西,不仅可以巩固了以前所学过的知识,而且学到了很多在书本上所没有学到过的知识。
通过这次课程设计使我懂得了理论与实际相结合是很重要的,只有理论知识是远远不够的,只有把所学的理论知识与实践相结合起来,从理论中得出结论,才能真正为社会服务,从而提高自己的实际动手能力和独立思考的能力。
在设计的过程中遇到问题,可以说得是困难重重,但可喜的是最终都得到了解决。
在此次课程设计过程中,对团队精神也进行了考察,让我们在合作起来更加默契,在成功后一起体会喜悦的心情。
果然是团结就是力量,只有互相之间默契融洽的配合才能换来最终完美的结果。
此次设计也让我明白了思路即出路,有什么不懂不明白的地方要及时请教或上网查询,只要认真钻研,动脑思考,动手实践,就没有弄不懂的知识。
总之,学到很多,收获很多。
参考文献:
[1]计算机网络(第五版)谢希仁编著
[2]用TCP/IP进行网际互联(第一卷)DouglasE.Comer著
[3]IP层协议数据包的捕获和分析软件设计刘晓灵
[4]基于协议分析的网络入侵检测系统付宇玲
[5]网络安全与防火墙技术王春璞
升级会员 