网络管理与安全设计.docx
《网络管理与安全设计.docx》由会员分享,可在线阅读,更多相关《网络管理与安全设计.docx(15页珍藏版)》请在冰点文库上搜索。
网络管理与安全设计
目录
引言-2-
一、需求分析-3-
1.1网络拓扑结构-3-
1.2风险分析-3-
二、网络布线-5-
2.1总体规划-5-
2.1.1办公楼综合布线项目要求-5-
2.1.2有关技术要求-5-
2.2布线系统的结构-6-
2.2.1信息点分布-6-
2.2.2布线各子系统-6-
2.3故障排除-7-
三、网络集成-7-
3.1网络设备选型-7-
3.1.1交换机-7-
3.1.2网卡的选择-8-
3.1.3网络服务器-8-
3.1.4网络工作站-8-
3.2设备的安装与使用-8-
3.2.1交换机的配置-8-
3.2.2RIP动态路由配置-9-
四、网络管理-10-
五、安全管理-12-
5.1网络安全分析-12-
5.1.1网络攻击和入侵的主要途径-12-
5.1.2网络中安全缺陷产生的原因-13-
5.2网络安全的防范措施-13-
5.2.1防火墙-14-
5.2.2IDS-14-
六、网间互联-15-
七、小结-15-
八、参考文献-15-
引言
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。
网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
网络安全性是为保护网络不受任何损害而采取的所有措施的总和,并且当正确实现这些措施时,就能使网络得到保护,使之免受侵害并保证网络的平静与安宁。
为保护网络的安全,需要协同使用多种安全措施。
网络的安全是全面协防的概念,而非仅依靠某一层次或某一设备予以解决。
全面的安全协防旨在不同层次上利用不同技术、不同成本的设备相互补充,从而既加强了安全,又平衡了安全中存在的矛盾。
一、需求分析
1.1网络拓扑结构
1-1拓扑图
1.2风险分析
我认为企业网络安全主要面临以下问题:
网络接入Internet后,需要对网关进行防护,防止黑客、病毒等对网络内部进行攻击;网络病毒对企业网络安全造成巨大威胁,它可能造成操作系统崩溃、数据丢失损坏、网络瘫痪等严重后果;由于具有独立的信息发布系统,需要对这些系统进行集中的安全防护,从而保证这些系统正常的运行;由于企业网内计算机的数量大,操作系统打补丁、应用软件分发、计算机资产管理、计算机运行状况监控等重复性工作,网络管理部门已无法承担,网络整体安全无法得到保证。
1.网络结构的安全风险分析
企业网络与外网有互连。
基于网络系统的范围大、函盖面广,内部网络将面临更加严重的安全威胁,入侵者每天都在试图闯入网络节点。
网络系统中办公系统及员工主机上都有涉密信息,假如内部网络的一台电脑安全受损,就会同时影响在同一网络上的许多其他系统。
2.操作系统的安全风险分析
所谓系统安全通常是指操作系统的安全。
操作系统的安装以正常工作为目标,一般很少考虑其安全性,因此安装通常都是以缺省选项进行设置。
从安全角度考虑,其表现为装了很多用不着的服务模块,开放了很多不必开放的端口,其中可能隐含了安全风险。
3.应用的安全风险分析
应用系统的安全涉及很多方面。
应用系统是动态的、不断变化的。
应用的安全性也是动态的。
这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等。
4.管理的安全分析
管理方面的安全隐患包括:
内部管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易破解。
责任不清,使用相同的用户名、口令,导致权限管理混乱,信息泄密。
把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
内部不满的员工有的可能造成极大的安全风险。
二、网络布线
2.1总体规划
2.1.1办公楼综合布线项目要求
基本情况:
整个局域网采用以太网技术,主干带宽达1000Mbps,100Mbps到桌面。
开放:
采用标准RJ45接口,兼容不同厂家的标准产品。
灵活:
水平子系统支持语音、数据,支持10Base-T、100Base-T等。
可靠:
高品质布线系统,通过标准测试与验证,提供15年以上质保。
先进:
采用目前流行,具有一定先进技术的超五类系列产品。
易于管理:
面板、配线架有明显标识,机房线路管理、维护方便。
中心机房设备要求:
标准机柜,主要安装网络设备并提供跳接线管理。
机房设备安置考虑机房维护人员维修的方便,同时机器四周有足够的散热空间。
机房要求有独立接地保护系统,地阻值不大于4欧姆。
机房需设置独立电源回路。
2.1.2有关技术要求
符合最新的国际标准ISO/IEC11801超五类布线标准,产品应符合做主网络的高速、可靠的信息传输要求,并具有高度灵活性、可靠性、综合性、易扩容性。
进行开放式布线,所有插座端口都支持数据通讯、语音和图像传递,满足电视会议,多媒体等系统的需要。
能满足灵活的应用要求,即任一信息点能够方便地任意连接终端设备。
所有接插件都应是模块化的标准件,以方便管理并在将来有更大的发展时,容易地将设备扩展进去能够支持千兆速率的数据传输,可支持以太网、高速以太网、令牌环网、ATM、FDDT、ISDN等网络及应用。
2.2布线系统的结构
按每个模块的作用,可把它划分成6个部分,“一间、二区、三个子系统”,即:
设备间、工作区、管理区、水平子系统、干线子系统、建筑群子系统
2.2.1信息点分布
根据学校办公楼办公区的初步安排和学校的实际需求,初步设计办公楼综合布线信息点为40个。
两栋楼共设信息点40个,所有信息点均按超五类标准设计,达到100M的数据传输速度并且所有的信息点通过跳线均可达到语音、数据通用。
在主楼2楼微机中心设置网络中心控制间,将主配线架放在中心控制室,同时可将程控交换机放置在中心控制室,在中心控制室旁,设置网络中心机房,放置网络服务器。
因为2楼中心控制室到最远信息点的垂直距离加水平距离之和小于90M,为了便于集中管理,在每层不再设水平配线间,所有配线和管理均在中心控制室主配线间进行,线缆从主配线间直接到各个信息点,所有信息点均采用暗盒方式。
所有综合布线产品均采用IBDN超五类产品,即超五类双绞线、超五类信息插座、超五类快速跳线、超五类BIX模块等,能提拱100M的数据传输速度,满足高速以太网及ATM网络数据传输的需求,从而为高速数据转输打下了基础。
2.2.2布线各子系统
1.工作区子系统
工程中布线系统全部采用IBDN超五类,依照非屏蔽双绞线这一标准,每个信息点均能满足100M的数据传输速度,足以支持现有数据、语音系统以及今后的高速数据及视频系统的需求。
2.水平布线子系统
水平区系统采用星型拓扑结构延伸主干系统到工作区,并端接在信息插座上。
水平线从楼层配线架引出进入主走线槽,沿线槽分到不同的布线管到墙面信息安装盒,整个布线距离必须在90M以内,确保数据信号在正常的衰减范围内。
信息点的水平布线采用超五类非屏蔽双绞线。
3.主配线管理子系统
管理区在中心机房放置通讯布线设备,通过互跳连接各水平区。
主要元器件为配线架、跳线等。
数据配线管理系统采用非常适合于数据系统的IBDN系列模块式配线架。
数据配线架装在标准机柜内,并可加锁以保安全。
根据本系统的特点,在工程设计中未采用垂直主干线系统及设备间主系统。
2.3故障排除
1.连接故障
即在一个链路中各个独立的缆线间的连接和终结故障。
目前来说,这是最常见的故障。
它与安装过程中的工艺水平紧密相关。
最常见的故障是:
电缆标签错、连接开路、双绞线连接图错(包括错对、极性接反、交错)以及短路。
2.电缆性能问题
在链路没有连接错误的情况下,还可能存在不满足支持网络运行的必须的传输特性问题。
链路的传输特性主要由衰减、近端串扰、特性阻抗、峰值噪音及信噪比来决定,这些总是称作性能故障。
三、网络集成
3.1网络设备选型
3.1.1交换机
采用Bay公司的Bay350T工作组交换机。
该机具有16口10/100M自适应以太网端口,具有扩展模块扩槽,可扩100BASE-FX快速以太网光纤模块和ATM槽块。
支持4080以上的MCA地址,支持PACE技术,支持多达16个的VLAN管理功能,具有增强多媒体及实时应用的传输功能。
在各主干网段下的二级工作组拟采用Bay的Bay303交换机,它具有一个10M/100M和24个10M口。
各信息点均实现10M交换到桌面。
3.1.2网卡的选择
高性能Bay的网卡具有独创的高速网卡技术,并选用高品质的IC器件,进而达到相当可靠和完善的功能和性能。
因此,它提出了终生保修的承诺。
我们选用Bay的BayFa31010/100自适应网卡,它具有双速,双工特性。
能充分利用4对双绞线的物理特性,进而拓展带宽,成倍提升网络速率。
3.1.3网络服务器
网络服务器作为网络的中心处理部件,承担着网络处理工作的大部分负荷,因此选择一个处理能力强大,性能稳定的网络服务器对于建设的网络的高效、流畅使用具有十分重要的作用。
选择由美国IBM公司生产的服务器产品:
PCSERVER330。
IBMPCSERVER330服务器产品采用333MHZPentiumⅡ处理器,配备512KB的ECC二级缓存,64MBEDOECC内存(可扩至1GB),拥有集成的PCI总线,WideUltraSCSI和10/100Mbps自适应网卡。
它能够满足网络需求,承担网络中心处理任务的负担。
3.1.4网络工作站
网络工作站作为用户的网络前端处理工具,在选择上应遵询好用、够用的原则,不能一味的追求高性能。
同时在品牌的选择上,选择国内品牌机。
3.2设备的安装与使用
3.2.1交换机的配置
Switch3#vlandatabase
Switch3(vlan)#vtpserver
Switch3(vlan)#vtpdomainstudy
Switch3(vlan)#vlan2namegroup1
Switch3(vlan)#vlan3namegroup2
Switch3(vlan)#exit
Switch3#conft
Switch3(config)#intf0/1
Switch3(config-if)#switchportmodetrunk
Switch3(config-if)#switchporttrunkencapsulationdot1q
Switch3(config-if)#intf0/8
Switch3(config-if)#switchportmodetrunk
Switch3(config-if)#switchporttrunkencapsulationdot1q
Switch3(config-if)#intf0/2
Switch3(config-if)#switchportmodeaccess
Switch3(config-if)#switchportaccessvlan2
Switch3(config-if)#intf0/4
Switch3(config-if)#switchportmodeaccess
Switch3(config-if)#switchportaccessvlan3
Switch1与Switch2配置如上
3.2.2RIP动态路由配置
Router>en
Rourer#conft
Router(config)#intf0/0
Rouer(config-if)#ipadd10.65.1.2255.255.0.0
Rouer(config-if)#noshutdown
Rouer(config-if)#intf0/1
Rouer(config-if)#ipadd10.66.1.2255.255.0.0
Rouer(config-if)#noshutdown
Rouer(config-if)#ints1
Rouer(config-if)#ipadd10.68.1.2255.255.0.0
Rouer(config-if)#noshutdown
Rouer(config-if)#exit
Router(config)#routerrip
Rouer(config-router)#network10.0.0.0
Rouer(config-router)#exit
四、网络管理
网络系统与数据的安全备份
(1)Win2000资源备份及恢复
使用Windows2000“备份工具”,管理员可以将数据备份到各种各样的存储媒体上,如磁带机、外接硬盘驱动器、Zip盘以及可擦写CD-ROM。
下面就介绍如何在Windows2000中备份文件。
操作步骤如下:
1.打开“开始”菜单,选择“程序”|“附件”|“系统工具”|“备份”命令,打开“备份”窗口
2.在“欢迎”选项卡中,单击“备份向导”按钮,打开“备份向导”对话框
3.单击“下一步”按钮,打开“要备份的内容”对话框
4.选择“备份选定的文件、驱动器或网络数据”单选按钮,备份用户选定的文件、驱动器或网络数据。
如果用户备份整个系统或者只备份系统状态数据,可选择“备份整个系统”或者“只备份系统状态数据”单选按钮
5.单击“下一步”按钮,打开“要备份的项目”对话框
6.在“备份内容”列表框中,通过单击相应的复选框,选择要备份的驱动器、文件或文件夹。
要展开“备份内容”文本框中的项目,需要双击该项目节点
7.选定需要备份的内容后,单击“下一步”按钮,打开“备份保存的位置”对话框
8.在“备份媒体或文件名”文本框中用户需要输入希望存储备份资料的媒体标示号以及完整的路径,或者通过单击“浏览”按钮打开“打开”对话框来选择备份媒体和文件名,这里我们选择A盘作为备份的媒体
9.单击“下一步”按钮,打开“正在完成备份向导”对话框
10.通过单击“高级”按钮,用户可以进行一些备份的高级设置,例如,选择要执行的备份操作类型和指定是否要备份迁移到远程存储中的文件内容
11.单击“完成”按钮后,系统将自动对所选定的项目进行备份
12.用户可以单击“报表”按钮来查看备份操作的有关信息,最后单击“关闭”按钮即可完成所有备份操作
(2)还原文件
当用户的计算机出现硬件故障、意外删除或者其他的数据丢失或损害时,可以使用Windows2000的故障恢复工具还原以前备份的数据。
下面以具体的实例介绍如何还原备份的文件,操作步骤如下:
1.打开“开始”菜单,选择“程序”|“附件”|“系统工具”|“备份”命令,打开“备份”窗口
2.在“欢迎”选项卡中,单击“还原向导”按钮,打开“还原向导”对话框
3.击“下一步”按钮,打开“还原项目”对话框
4.在“还原项目”列表框中,用户可以单击某项目前的复选框来选择想要还原的驱动器、文件或文件夹
5.通过单击“导入文件”按钮,用户可以对以前所备份的文件进行输入
6.单击“下一步”按钮,系统将自动进行相关操作并打开“输入备份文件名”对话框
7.在“从备份文件恢复”文本框中用户需要输入备份文件的名称,或者通过单击“浏览”按钮来选择备份文件进行输入
8.单击“确定”按钮,系统将自动进行还原工作,之后屏幕上将显示“还原进度”对话框
9.通过单击“报表”按钮,用户可以查看还原操作的有关信息,最后单击“关闭”按钮结束还原操作
注释在“备份”窗口中,使用“备份”和“还原”选项卡也可进行备份和还原工作,方法与“备份向导”和“还原向导”基本相同。
五、安全管理
5.1网络安全分析
5.1.1网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。
网络入侵的主要途径有:
破译口令、IP欺骗和DNS欺骗。
(1)破译口令
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。
这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
(2)IP欺骗
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。
它只能对某些特定的运行TCP/IP的计算机进行入侵。
IP欺骗利用了TCP/IP网络协议的脆弱性。
在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。
当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。
IP欺骗是建立在对目标网络的信任关系基础之上的。
同一网络的计算机彼此都知道对方的地址,它们之间互相信任。
由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
(3)DNS欺骗
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。
通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。
DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。
当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。
这些改变被写入DNS服务器上的转换表。
因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。
因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
5.1.2网络中安全缺陷产生的原因
1.TCP/IP的脆弱性
因特网的基石是TCP/IP协议。
但不幸的是该协议对于网络的安全性考虑得并不多。
并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
2.网络结构的不安全性
因特网是一种网间网技术。
它是由无数个局域网所连成的一个巨大网络。
当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
3.易被窃听
由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
4.缺乏安全意识
虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。
如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
5.2网络安全的防范措施
在总体设计时要注意以下几个问题:
由于局域网采用的是以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个节点的网卡所接收,同时也被处在同一以太网上的任何一个节点的网卡所截取。
因此,只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。
为解除这个网络系统固有的安全隐患,可采取以下措施:
(1)网络分段技术的应用将从源头上杜绝网络的安全隐患问题
因为局域网采用以交换机为中心、以路由器为边界的网络传输格局,再加上基于中心交换机的访问控制功能和三层交换功能,所以采取物理分段与逻辑分段两种方法,来实现对局域网的安全控制,其目的就是将非法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的安全畅通
(2)以交换式集线器代替共享式集线器的方式。
强化计算机管理是网络系统安全的保证。
5.2.1防火墙
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。
通常,防火墙的安全性问题来自两个方面:
其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。
所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。
其二是使用不当。
一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
5.2.2IDS
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
即服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上防火墙和IDS可以分开操作,IDS是个监控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置。
六、网间互联
将网络联入INTERNET
七、小结
通过本次试训,使我对网络安全以及网络设备配置方面都有了更深的了解,能够基本做到保证系统的安全性。
从中我了解到,网络安全的实质就是要保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠的工作。
八、参考文献
《计算机网络管理与安全》清华大学出版社第一版
《计算机网络管理与安全技术》人民邮电出版社黄中伟主编
《计算机网络》电子工业出版社杨明福主编
《入侵检测技术》人民邮电出版社曹元大主编