复杂网络系统建模与仿真课程报告Word文档格式.docx
《复杂网络系统建模与仿真课程报告Word文档格式.docx》由会员分享,可在线阅读,更多相关《复杂网络系统建模与仿真课程报告Word文档格式.docx(24页珍藏版)》请在冰点文库上搜索。
6安装漏洞补丁技术5
7安全管理队伍的建设5
8进行入侵检测和信息加密6
9建立属性安全控制和完善的备份及恢复机制6
10虚拟专用网络(VPN)6
校园网设计方案(10栋以上楼宇,万人以上用户,2个以上ISP)。
7
1设计概述7
2需求分析7
3详细设计8
3.1局域网技术及方案设计8
3.1.1局域网选型8
3.1.2局域网系统设计方案10
3.1.3网络互连设备选择10
3.2校园网子网设计11
3.2.1拓扑结构图11
3.2.2校园网的VLAN的划分与IP地址的规划12
3.3网络中心14
3.3.1机房工程整体建设14
3.3.2防静电地板铺设14
3.3.3隔断装修15
3.3.4UPS不间断电源15
3.3.5精密空调系统15
3.3.6新风换气系统16
3.3.7接地系统16
3.3.8防雷系统16
3.3.9监控系统16
3.3.10门禁系统17
3.3.11机房环境及动力设备监控系统17
3.3.12消防系统17
3.3.13屏蔽系统17
3.4综合布线18
3.5多ISP设计20
3.5.1大型校园网对多ISP的需求20
3.5.2基于多ISP接入的负载均衡20
一、网络安全隐患的原因
1TCP/IP协议不全面
TCP/IP协议是因特网的基础,但是这个协议是任何组织和个人都可以去任意查阅的,这就造成了协议的透明性,也就是说计算机之间的任何‘谈话’都是透明的,所以很容易让不良居心的人利用它的安全漏洞去实施网络攻击,从而产生网络的安全隐患。
1.1基于TCP/IP的攻击
1.1.1IP源地址欺骗
就是指伪造具有虚假源地址的IP数据包进行发送,目的是隐藏攻击者身份,假冒其他计算机。
该欺骗主要是利用了路由转发只是目的IP地址不对源进行验证的原理。
1.1.2ARP欺骗
利用了ARP协议的漏洞,发送伪造ARP消息,对特定IP所对应的MAC地址进行假冒欺骗,从而达到恶意的目的。
利用ARP欺骗可以进行交换网络中的嗅探,传播ARP病毒及ARP欺骗挂马。
1.1.3ICMP路由重定向攻击
通过伪装成路由器发送虚假的ICMP路由路径控制报文,使受害主机选择攻击者指定的路径,从而达到嗅探或假冒攻击的目的。
攻击者使用ICMP超时或者ICMP主机不可达报文,这两种报文都会使得主机迅速放弃连接。
此时通信连接就会被切断。
一台主机错误地认为信息的目标地址不在本地网络之中的时候,网关通常会使用ICMP重定向消息。
如果攻击者伪造一条重定向消息,就可以导致主机经过攻击者主机向特定连接发送数据包。
1.1.4TCP协议漏洞
利用传输层的协议漏洞,可以进行TCPRST攻击,TCP会话劫持,SYN洪泛攻击等等。
其中TCPSYN洪泛攻击主要利用了TCP三次握手协议的漏洞,大量的伪造源地址的SYN连接请求,消耗目标主机的连接队列资源,使之不能为正常用户提供服务。
2网络结构不安全
因特网是由无数个局域网组成的巨大网络。
用一台主机和另一局域网的主机通信时,两个主机之间的数据传送是要经过很多局域网和很多机器的转发才能实现的。
如果攻击成功一台处于用户数据流传输路径上的主机,那攻击者就很容易获取用户的数据包。
计算机网络是一个体系十分庞大的系统,其自身结构相当复杂。
一个系统虽然被大众喜爱和接受,但并不代表自身没有缺陷,很多系统在操作过程中会面临漏洞的威胁,这些不完善直接让不法分子有洞可钻。
尽管在不停的系统升级,但偶尔在维护过程中,人为的疏忽也会对安全造成影响。
3网络安全性能低
因特网上很多的数据流都没有加密,这样人们就可以利用网上工具探测到网站用户的电子邮件、口令和传输的文件等。
网络软件的漏洞和缺陷是黑客攻击的首选目标,许多服务器都是由于未及时的打上补丁而遭到攻击。
软件公司的设计编程人员为了自己工作方便而设置的软件后门,一旦被黑客洞开,造成的后果很严重。
4网络系统缺乏稳定性
不规范、不合理、欠缺安全性考虑的系统设计,使计算机网络受到一定的影响。
系统设计考虑不够周密,使网络的可靠性、扩充性和升级换代功能发挥受到影响。
文件服务器是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。
网卡用工作站选配不当,导致网络不稳定。
二、合理的解决方案
1TCP/IP攻击的解决方案
1.1IP欺骗防范措施
防止IP欺骗的方法包括:
a)使用随机化的初始序列号避免远程的盲攻击。
b)使用网络层安全传输协议如IPsec,避免泄露高层协议可供利用的信息和传输内容。
c)避免采用基于IP地址的信任策略,而是以基于加密算法的用户身份认证机制来替代。
d)在路由和网关上实施包检查和过滤,建立入站出站过滤机制。
防范
ARP欺骗的防范措施如下:
a)静态绑定关键主机的IP地址和MAC地址的映射关系
b)使用相应的ARP防范工具如ARP防火墙
c)使用VLAN虚拟子网细分网络拓扑
d)加密传输数据以降低ARP欺骗攻击的危害后果
1.3ICMP路由重定向攻击防范
ICMP路由重定向攻击的防范措施如下:
a)根据类型过滤一些ICMP数据包
b)设置防火墙过滤
c)对于ICMP重定向报文判断是不是来自本地的路由
1.4TCP协议漏洞防范
a)避免攻击者成为通信双方的中间人
b)部署交换式网络,用交换机代替集线器
c)禁用主机上的源路由
d)SYN洪泛攻击防范措施
弥补TCP连接建立过程资源分配这一缺陷,使用无状态的三次握手
e)检测ACK风暴
2防火墙技术
防火墙技术对于实现网络安全具有重大意义。
对于实现网络安全来说,设置防火墙既有效又经济。
也是最基本的安全措施之一。
防火墙主要由软件组成,也有软件设备和硬件设备组合而成,一般处于外界通道和网络群体计算机或者企业之间。
对外部用户访问内部网络进行了限制,同时对内部用户访问外界网络进行了管理。
当用户与互联网连接后,最首要的任务是防止非法用户的入侵,其次是考虑系统的健壮性和计算机病毒。
防火墙可以过滤不安全的服务,极大的提高内部网络的安全性,有效的降低了网络安全风险。
可以在防火墙上配置所有的安全软件,强化网络安全策略。
3建立网络智能型日志系统
日志系统能够记录综合性数据和自动分类检索。
还能将用户从登录到退出系统的执行的所有操作都记录下来,包括使用数据库和登录失败的记录
4数据加密与用户授权访问控制技术
数据加密技术是一种主动安全防御策略,用很小的代价就能为信息提供相当大的安全保护。
数据加密主要用于对动态信息的保护,它的实质用密钥控制的以符号为基础来对数据进行移位的变换,信息经过加密后,既可以防止非授权用户查看机密的数据文件,防止机密数据被泄露或篡改,也是有效对付恶意软件的方法。
数据加密技术相比防火墙来说,更加灵活,可以用以进行动态信息的保护。
加密技术就是通过数据的变换等方式让信息变乱。
主要的加密类型有两种:
私匙加密和公匙加密。
私匙加密使用同一个密匙加密和解密,速度快,任何人都可以使用,可以在硬件和软件中实现。
公匙加密使用两个密匙,一个用于加密信息,一个用于解密。
速度较慢,相对复杂,但安全性较高。
网络加密常用的方法有链路加密、端点加密和节点加密。
用户访问控制技术也称为规则集,是用来约束主体和客体之间的访问过程的。
规则集涉及到入网访问控制、遵循原则、授权方式以及安全级别等。
不管是主体还是客体,都要遵守这些规则。
5防病毒技术
防病毒技术有这几个措施:
安全一套功能强大的杀毒软件,经常更新病毒库,对于别人发过来的邮件附件要进行扫描,特别是对于一些后缀名为“exe“的文件更要进行预扫描,确定无病毒后再打开;
不要浏览不良网页,不随意下载文件或是登录垃圾网站,对于来历不明的光盘或是移动工具要先检测一下再打开;
目前出现的很多病毒都是利用操作系统的漏洞对电脑进行攻击的,经常关注系统软件的漏洞消息,及时为新的漏洞打上补丁,给出漏洞报告,及时采用软件升级或是补丁升级是对付这类电脑病毒攻击最有效的方法。
这类病毒的典型病毒有冲击波和震荡波病毒。
6安装漏洞补丁技术
微软是这样定义漏洞的:
漏洞是可以在攻击过程中利用的弱点。
这个弱点包括软件、硬件、功能设计、配置不当或是程序缺点。
一份研究报告指出,在软件中普遍存在漏洞和缺陷。
网络用户在使用网络的过程中经常会因为网络漏洞受到攻击,系统程序重点的漏洞是病毒和黑客的入侵点,所以要及时的下载和升级补丁程序,以防止居心不良者利用漏洞来威胁我们的网络信息安全。
7安全管理队伍的建设
在计算机网络系统中没有绝对的安全加强信息网络的安全技术建设和安全规范化管理,制定健全的安全管理体制,是实现网络信息安全的重要保障。
网络管理人员和网络用户应该共同努力,采取一切有效的方法去维护网络安全,严厉打击破坏网络安全的行为,尽可能减少计算机网络威胁,另外,要强化计算机信息安全的规范管理,提高安全管理技术,增强网络管理人员和网民的安全防范意识,由于IP地址经常被管理人员忽略,为了维护网络安全,应该统一管理IP地址资源,对盗用IP资源的因为要予以惩戒。
为了避免越权访问数据的现象发生,网络管理员可以设置操作口令和应用程序数据。
8进行入侵检测和信息加密
入侵检测系统是从多种计算机系统中收集信息,再通过这此信息分析入侵特征的网络安全系统,是防火墙之后的第二道安全闸门,它能对入侵攻击系统的整个过程做出反应,首先检测到入侵攻击,利用报警与防护系统驱逐入侵攻击,减少入侵攻击所造成的损失,在遭到侵攻击后,把收集的相关信息添加入策略集里,避免系统再次受到同类攻击。
数据加密主要用于对动态信息的保护,实质上是对以符号为基础、用密钥控制、进行数据进行移位和置换的变换,可以做到以很小的代价得到很大的安全保护。
通过信息加密,不但可以防止非授权用户的搭线窃听和入网,而且是对付恶意软件的有效方法。
9建立属性安全控制和完善的备份及恢复机制
属性安全控制将给定的属性和网络服务器的网络设备联系起来,在权限安全的基础上,提供更进一步的安全保障。
网络属性可以控制向某个文件写数据、拷贝、删除、执行、共享等,还可以保护重要的目录和文件,防止目录和文件被用户误删除或执行修改等。
采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时备份,可有效防止存储设备的异常损坏。
强大的数据库触发器和恢复重要数据的操作,可以确保最大限度地恢复重要数据。
10虚拟专用网络(VPN)
VPN(VirtualPrivateNetwork)即虚拟专用网络,该技术采用了隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)四种技术来进行保障,用以帮助帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接。
1设计概述
一个完整的校园网建设在实施过程中可以分成两个环节:
网络集成方案设计和信息系统集成。
其中信息系统集成是目的,网络集成是手段。
网络集成方案主要包括两个方面:
结构化布线与设备选择、网络技术及设备选型。
它的设计思想有两个,一个是网络方案采用模块化的设计,各个模块完成各自的功能。
在实施的过程中,可以根据需要将相应的模块添加到网络中,也可以不使用某些模块,在需要时候再添加。
同时,模块化设计容易维护,某个模块出现故障,不会影响到整个网络的安全。
另一个设计思想是采用层次体系,整个网络通过主干网连接起来,各个子网通过接口与主干网连接,实现各自的功能,在子网内部及与主干网进行数据通信。
2需求分析
校园网应提供如下功能:
(1)连接校内所有教学楼、实验室、办公楼,宿舍楼中的PC。
(2)同时支持约10000用户浏览Internet。
(3)提供丰富的网络服务,实现广泛的软件,硬件资源共享
a)提供基本的Internet网络服务功能:
如电子邮件、文件传输、远程登录等。
b)提供校内各个管理机构的办公自动化。
c)提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。
d)提供全校共享资源服务,避免重复投资,发挥最大效益。
e)经广域网接口,提供国内外计算机系统的互连,为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。
(4)为了提高校园网与外网连接的速度,应该连接多个ISP
校园网对主机系统的主要要求
a)主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;
b)主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
c)支持通用大型数据库,如Oracle等;
d)具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
e)支持SNMP网络管理协议,具有良好的可管理性和可维护性;
校园网对网络设备的要求
a)高性能;
所有网络设备都应足够的吞吐量;
b)高可靠性和高可用性;
应考虑多种容错技术;
c)可管理性;
所有网络设备均可用适当的网管软件进行监控、管理和设置;
d)采用国际统一的标准;
3详细设计
3.1局域网技术及方案设计
3.1.1局域网选型
局域网技术是网络系统中最常用的技术,同时也是核心技术之一。
局域网是指覆盖范围相对较小的高速数据网络,它通常包括网络设备、工作站、服务器、打印机等硬件设备。
主要的局域技术,包括以太网、令牌环、光纤分布式数据接口和异步传输模式。
随着数量不断增长的用户和数据密集型办公室、Intranet和多媒体应用程序促使带宽需求日益增加,从而给当今许多局域网的主干网带来了沉重负担。
到了90年代,出现了一些更快速的衍生产品,如交换式10Mbps以太网、共享式100Mbps以太网和交换式100Mpbs快速以太网等,它们极大地提高了工作组和客户机/服务器应用不断增长的企业的工作性能----随着企业采用日益复杂的应用程序,许多网管员正在向用户所在的网络边缘提供交换式10BASE-T和100BASE-T连接。
但是,在台式机和服务器上采用这些先进技术,以及提高网络的访问速度经常会使局域网主干网承受更大的压力,并产生与那些在传统的共享式以太网局域网上类似的瓶颈。
因而,许多网络将能够从更快的连接中获益。
所以在以太网网络的演进过程中,千兆位以太网是一个合乎逻辑的跃进,如它的前几代产品所做的那样,承诺将经济、高效地满足当今的网络需求。
与快速以太网在Internet上所提供的10倍的加速类似,千兆位以太网正被设计来为网管员提供更高的性能,同时保留现有的网络基础设施。
千兆位以太网将是MIS机构面临的许多网络挑战的理想解决方案。
当今的商业企业采用的是超级快速服务器等更为强劲的技术,以及视频流式传输、可视电话会议或者高速文件备份等数据密集型应用程序,新的千兆位以太网标准将大大有助于以合理的成本大量增加带宽。
以下内容阐述了千兆位以太网将能提供给我们的主要优势。
将显著增加纯带宽,以帮助校园网迎接负担过重或者不断扩展的网络基础设施所带来的挑战。
千兆位以太网的通信处理能力将极大地缓解局域网主干网所承受的压力,同时为用户提供高效运行数据密集型应用程序所需的可缩放性和速度,体现了快速以太网带给以太网网络的性价比优点,它将以2至3倍于当今的快速以太网的成本提供10倍于它的性能。
工作组以这些具体的成本目标为宗旨选择使用各种技术,如用于光纤的光纤通道物理涂层。
千兆位以太网将保留802.3和以太网标准帧格式以及802.3管理的对象规格。
因此,校园网能够在保留现有应用程序、操作系统、IP、IPX及AppleTald等协议以及网络管理平台与工具的同时,方便地升级至千兆位以太网。
管理人员将能够在网络中安装千兆位以太网时,尽可能不中断服务,另外,除性能方面的收益以外新的技术对用户将是完全透明化的。
对从快速以太网主干网升级而来的千兆位以太网网络的管理将是简单而方便的,因为新的技术省却了学习的繁琐,并不要求对MIS人员进行培训,管理人员不用以高成本改变他们的网路,不用学习和采用新的系统范围的技术或者网络管理方法,便可将提供附加带宽。
通过与现有的10/100以太网标准的向后兼容能力,千兆位以太网将提供快速以太网曾经提供的同样卓越的投资保护。
当升级至千兆性能后,各公司将保留现有的线缆、操作系统、协议、驱动程序和桌面应用程序。
无需对用户或者网络管理人员进行培训,网络管理工具和应用程序将维持现状。
管理人员将能够保留现有的已经使用和验证的硬件、软件和管理方法,并为他们的企业,以最低的风险和成本,提供所需的功能和性能。
另外,由于千兆位以太网将支持光纤媒介,使用交换式光缆分布式数据接口(FDDI)的公司能够较为容易升级至千兆位的速度。
这将极大地增加提供给用户们的带宽,同时又保护了企业在光纤线缆上的投资。
3.1.2局域网系统设计方案
局域网交换系统设计的主要模型是三层交换结构模型,即把整个网络设计成为核心层、汇聚层、接入层,三层之间以树形结构连接。
核心层的主要作用是以尽可能快的速度传输数据包,所以高的交换能力是核心层交换设备的主要考虑因素;
汇聚层的主要作用是与核心层和接入层连接,提供交换通道,实现三层交换和其他控制,汇聚层交换机要求综合智能能力较强;
接入层的作用是接入用户端工作站,接入层交换机通常放置于分配线间,对于接入层交换机而言,主要考虑的因素是价格、上连接能力等。
校园网采用光纤为通信介质,采用高速以太网,星型连接,建设中心节点:
网络中心。
核心层采用两台第三层路由交换机,这两台路由器之间使用链路聚合技术。
校内主干千兆,部分主干百兆。
选用第三层路由交换机作为交换核心,第三层交换机可以提供线速路由,是解决Internet应用造成路由瓶颈问题的一种可行方案。
汇聚层每个子网采用两台三层交换机汇接到网络信息中心的核心交换机上。
接入层交换机与对应汇聚层两台交换机分别相连。
在此设计中有一个大的缺点:
就是在核心与汇聚之间为了提供冗余,都采用两个相同的核心与汇聚交换机,这样的冗余拓扑设计使用网络具有容错能力,不会因为单个链路、端口或连网设备失效而导致整个网络的瘫痪。
但是基于交换机的冗余拓扑,容易受到广播风暴、帧的反复传和介质访问控制数据库不稳定的影响。
所以在网络设计中采用生成树协议(STP)来防止这些情况的发生。
并且在两个核心交换机之间采用链路聚合,设备之间传输带宽为全双工,使困扰网络设计和实施的瓶颈问题得到一定程度上的解决。
3.1.3网络互连设备选择
互连设备:
网络互连的目的,主要是在地理位置不同的网络之间建立通信链路,完成信息的交换。
由于网络分层,使得网络之间的互连虽然层次划分有所不同,但又有很明确的任务,并且各层之间的分工明确,这对网络互连是非常有利的。
但与此同时,网络之间的互连就产生了多种不同的方法:
在物理层之间相连,网络互连设备有为中继器(Repeater)和集线器;
在数据链路层之间相连,网络互连设备有为网桥(或桥接器Bridge)和交换机;
在网络层之间互连,此时网络互连设备称为路由器(Router);
在网络层以上的各层互连,此时网络互连设备称为网关或信关(Gateway)和协议路由。
网络各层之间的连结,需要解决的问题是不同的,其任务也不相同。
因此,各种网络设备的工作原理和结构也是大不相同的。
3.2校园网子网设计
3.2.1拓扑结构图
为简化设计,假设一共有10栋楼,所以划分为10个子网
计算机楼
行政楼
地质楼
教学楼1
教学楼2
学生宿舍楼1
图书馆
学生宿舍楼2
网络中心楼
学生宿舍楼3
拓扑结构图如下图所示
3.2.2校园网的VLAN的划分与IP地址的规划
VLAN概述
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的。
VLAN的作用
1、降低移动和变更的管理成本:
在学校里,由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网,如果使用了VLAN,迁移的工作只是在交换机上重新定义VLAN即可,尤其是采用网卡的MAC地址来划分VLAN时,交换机能够自动跟踪该终端的MAC地址,并自动将其纳如定义的VLAN中,对于网络管理而言,可以轻松完成变更。
假若使用物理手段划分子网,这种迁移所耗费的精力和时间相当可观的。
2、控制广播:
由于不同的VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
3、增强网络的安全性:
由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接访问,因此,通过划分VLAN可以提高网络的安全性。
4、网络监督和管理的自动化:
网络管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。
通过划分VLAN可以使网络管理变的更加简单、有效。
IP地址规划
IP地址规划应该包括两部分:
外部地址和内部地址的规划--外部地址就是Internet上的公有地址,本次校园网向服务提供商申请了C类202.17.89.0/24共256个公有IP地址,分配服务器群50,其余用于NAT地址转换。
内部IP地址应该本着易管理、易分配、易理解等原则来进行分配,由于规