A. 計算機網路課程設計 組建小型企業區域網
一,准備50口交換機一個
二、網線若干(根據你的實地距離來定網線)
接法:
寬頻線--貓--路由器--交換機--PC,
設置:
先確定路由器的IP地址,然後在PC機里的填上IP地址(同一網段的,比如說陸游器的IP地址是192.168.18.1那麼你們公司網段就要在192.168.18.2--254之間)PC的網關就是192.168.18.1
設置文件共享:
1)安裝NWlink IPX/SPX/NetBIOS Compatible Transport Protocol協議。
(2)開啟guest賬號:右擊我的電腦\管理\用戶有個guest,雙擊之去掉「賬戶已停用」前面的勾。
(3)右擊我的電腦\屬性\計算機名,查看該選項卡中出現的區域網工作組名稱,如「WORKGROUP」\網路ID\下一步\選擇「本機是商業網路的一部分,用它連接到其他工作著的計算機」\下一步\選擇「公司使用沒有域的網路」\隨後輸入區域網的工作組名,如「WORKGROUP」\下一步\完成。重新啟動計算機即可
(4)使用winxp防火牆的例外:winxp防火牆在默認狀態下是全面啟用的,這意味著運行計算機的所有網路連接,難於實現網上鄰居共享。同時,由於windows防火牆默認狀態下是禁止「文件與列印機共享的」,所以,啟用了防火牆,往往不能共享列印,解決辦法是:進入「本地連接」窗口,點「高級」\「設置」\「例外」\在程序與服務下勾選「文件和列印機共享」。
5)刪除「拒絕從網路上訪問這台計算機」項中的guest賬戶:運行組策略(gpedit.msc)\本地計算機\計算機配置\windows設置\安全設置\本地策略\用戶權利指派\拒絕從網路訪問這台計算機。如果其中有guest,則將其刪除。(原因是:有時xp的guest是不允許訪問共享的)
6)取消「使用簡單文件共享」方式:資源管理器\工具\文件夾選項\查看\去掉「使用簡單文件共享(推薦)」前面的勾。
7)工作組名稱一致。
8)勾選「Microsoft網路的文件和列印機共享」。
9)運行服務策略「Services.msc」。啟動其中的「Clipbook Server」(文件夾伺服器):這個服務允許你們網路上的其他用戶看到你的文件夾。當然有時你可把它改為手動啟動,然後再使用其他程序在你的網路上發布信息。
10)win98的計算機無法訪問win2000/winxp的計算機,原因是:win2000/winxp的計算機中的guest用戶被禁用了或者win2000/winxp採用NTFS分區格式,設置了許可權控制。一般要允許win98訪問的話,win2000/winxp里的安全控制里不要將everyone的賬號組刪除。注意:
>a、如果您沒有加入域並想查看「安全」選項卡,則設置顯示「安全」選項卡:資源管理器\工具\文件夾選項\查看\去掉「使用簡單文件共享(推薦)」前面的勾。
b、查看文件和文件夾的有效許可權:資源管理器\右擊要查看有效許可權該文件或文件夾\「屬性」\單擊「安全」選項卡\「高級」\「有效許可權」\「選擇」\在「名稱」框中鍵入用戶或組的名稱,然後單擊「確定」。選中的復選框表示用戶或組對該文件或文件夾的有效許可權。
c、只能在格式化為使用 NTFS 的驅動器上設置許可權。
11)解決網上鄰居太慢的方法:win98,假設網路中沒有novell網路,可刪除為了兼容novell netware網路而裝的ipx/spx兼容協議即可;win2000/xp,可刪除系統盤符\documents and setting\用戶名\nethood文件夾下的所有文件即可。如果對方沒有設置共享,你就不能訪問,你看看他能不能訪問你
一、首先啟用guest來賓帳戶
二、控制面板→管理工具→本地安全策略→本地策略→用戶權利指派里,「從網路訪問此計算機」中加入guest帳戶,而「拒絕從網路訪問這台計算機」中刪除guest帳戶;
三、我的電腦→工具→文件夾選項→查看→去掉「使用簡單文件共享(推薦)」前的勾;
四、設置共享文件夾
五、控制面板→管理工具→本地安全策略→本地策略→安全選項里,把「網路訪問:本地帳戶的共享和安全模式」設為「僅來賓-本地用戶以來賓的身份驗證」(可選,此項設置可去除訪問時要求輸入密碼的對話框,也可視情況設為「經典-本地用戶以自己的身份驗證」);
六、右擊「我的電腦」→「屬性」→「計算機名」,該選項卡中有沒有出現你的區域網工作組名稱,如「work」等。然後單擊「網路 ID」按鈕,開始「網路標識向導」:單擊「下一步」,選擇「本機是商業網路的一部分,用它連接到其他工作著的計算機」;單擊「下一步」,選擇「公司使用沒有域的網路」;單擊「下一步」按鈕,然後輸入你的區域網的工作組名,如「work」,再次單擊「下一步」按鈕,最後單擊「完成」按鈕完成設置。
七、檢查本地連接是否被禁用,右擊「本地連接」→「啟用」;
八、關閉網路防火牆;
九、檢查是否啟用了域,是否加入了該域並檢查域設置;
十、檢查是否關閉了server服務;
十一、檢查本地連接IP、子網掩碼、網關及DNS設置是否有誤;
>十二、「本地連接」→屬性→常規,檢查是否安裝了「Microsoft網路文件和列印機共享」、「Microsoft網路客戶端」以及TCP/IP協議
列印機共享設置:
確定一台PC做為連接列印機用的,然後把列印機設置為共享,共享名自己寫,然後去的別PC操作 添加列印機--網路列印機--瀏覽列印機或著是連接到這台列印機(輸入\\IP地址\列印機共享名)
不需要伺服器
B. 組建區域網原則是哪些原則
如果將企業信息化比作一項建築工程的話,那麼企業網建設就好比大樓的奠基石一樣。企業網的建設包括區域網建設、廣域互聯、移動無線等方方面面。今天我們主要來說明一下有關區域網建議方面的設計方案。
一、區域網設計的原則
1、 應用為本的原則:區域網的設計應遵循「應用為本」的原則,在應用的基礎上設計區域網。
2、 適度先進原則:網路設計時,應考慮到能夠滿足未來幾年內用戶對網路帶寬的需要。
3、 可擴展原則:可擴展是指網路規模和帶寬的擴展能力,也是設計中必須加以考慮的。
二、區域網設計的步驟
1、
需求分析:需求分析是要了解區域網用戶現在想要實現什麼功能、未來需要什麼功能,為區域網的設計提供必要的條件。
2、 確定網路類型和帶寬:
(1)確定網路類型:現在區域網市場幾乎完全被性能優良、價格低廉、升級和維護方便的乙太網所佔領,所以一般區域網都選擇乙太網。
(2)確定網路帶寬和交換設備
一個大型區域網(數百台至上千台計算機構成的區域網)可以在邏輯上分為以下幾個層次:核心層、分布層和接入層。在中小規模區域網(幾十台至幾百台計算機構成的區域網)中,可以將核心層與分布層合並,稱為「折疊主幹」,簡稱「主幹」,稱「接入層」為「分支」。對於由幾十台計算機構成的小型網路,可以不必採取分層設計的方法,因為規模太小了,不必分層處理。
目前快速乙太網能夠滿足網路數據流量不是很大的中小型區域網的需要。但是在計算機數量超過數百台或網路數據流量比較大的情況下,應採用千兆乙太網技術,以滿足對網路主幹數據流量的要求。
網路主幹和分支方案確定之後,就可以選定交換機產品了。現在市場上交換機產品品牌不下幾十種。性能最高的當屬3com、avaya、ucom等國外交換機品牌,這些產品佔領了高端市場,價格也是非常昂貴的;以全向、神州數碼d-link、實達、長城、清華紫光、tcl為代表的國內交換機廠商的產品具有非常高的性能價格比,也可以選擇。交換機的數量由聯入網路的計算機數量和網路拓撲結構來決定。
3、 確定布線方案和布線產品:
現在布線系統主要是光纖和非屏蔽雙絞線的天下,小型網路多以超五類非屏蔽雙絞線為布線系統。因為布線是一次性工程,因此應考慮到未來幾年內網路擴展的最大點數。
布線方案確定之後,就可以確定布線產品了,現在的布線產品有許多,可以根據實際需要確定。
4、確定伺服器和網路操作系統:
伺服器是網路數據儲存的倉庫,其重要性可想而知。伺服器的類型和檔次應與網路的規模和數據流量以及可靠性要求相匹配。
如果是幾十台計算機以下的小型網路,而且數據流量不大,選用工作組級伺服器基本上可以滿足需要;如果是數百台左右的中型網路,至少要選用部門級伺服器;如果是上千台的大型網路,5萬元甚至10萬元以上的企業級伺服器是必不可少的。
市場上可以見到的伺服器品牌也非常多,ibm、惠普、康柏等國外品牌的伺服器享有比較高的品牌知名度,但是價格也比較高;國產品牌伺服器的地位也在不斷提升,如浪潮、聯想、長城、實達、方正等。
伺服器的數量由網路應用來決定,可以根據實際情況,配備e-mail伺服器、web伺服器、資料庫伺服器等,也可以讓一台伺服器充當多種伺服器角色。
網路操作系統基本上是三分天下:微軟的windows 2000
server、傳統的unix和新興的linux,可以根據網路規模、技術人員水平、資金等綜合因素來決定究竟使用什麼網路操作系統。
4、 其他方面的考慮:
區域網的設計還包括不間斷電源、網路安全、互聯網接入、網路應用系統等方面的設計,在建設時,應加以系統考慮,並能保證網路正常穩定運行。
C. 畢業論文<區域網內網安全設計與實現>
相關資料:
企業內網安全分析與策略
一、背景分析
提起網路信息安全,人們自然就會想到病毒破壞和黑客攻擊。其實不然,政府和企業因信息被竊取所造成的損失遠遠超過病毒破壞和黑客攻擊所造成的損失,據權威機構調查:三分之二以上的安全威脅來自泄密和內部人員犯罪,而非病毒和外來黑客引起。
目前,政府、企業等社會組織在網路安全防護建設中,普遍採用傳統的內網邊界安全防護技術,即在組織網路的邊緣設置網關型邊界防火牆、AAA認證、入侵檢測系統IDS等等網路邊界安全防護技術,對網路入侵進行監控和防護,抵禦來自組織外部攻擊、防止組織網路資源、信息資源遭受損失,保證組織業務流程的有效進行。
這種解決策略是針對外部入侵的防範,對於來自網路內部的對企業網路資源、信息資源的破壞和非法行為的安全防護卻無任何作用。對於那些需要經常移動的終端設備在安全防護薄弱的外部網路環境的安全保障,企業基於網路邊界的安全防護技術就更是鞭長莫及了,由此危及到內部網路的安全。一方面,企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網路帶來了巨大的潛在威脅;另一方面,黑客利用虛擬專用網路VPN、無線區域網、操作系統以及網路應用程序的各種漏洞就可以繞過企業的邊界防火牆侵入企業內部網路,發起攻擊使內部網路癱瘓、重要伺服器宕機以及破壞和竊取企業內部的重要數據。
二、內網安全風險分析
現代企業的網路環境是建立在當前飛速發展的開放網路環境中,顧名思義,開放的環境既為信息時代的企業提供與外界進行交互的窗口,同時也為企業外部提供了進入企業最核心地帶——企業信息系統的便捷途徑,使企業網路面臨種種威脅和風險:病毒、蠕蟲對系統的破壞;系統軟體、應用軟體自身的安全漏洞為不良企圖者所利用來竊取企業的信息資源;企業終端用戶由於安全意識、安全知識、安全技能的匱乏,導致企業安全策略不能真正的得到很好的落實,開放的網路給企業的信息安全帶來巨大的威脅。
1.病毒、蠕蟲入侵
目前,開放網路面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點,即使再先進的防病毒軟體、入侵檢測技術也不能獨立有效地完成安全防護,特別是對新類型新變種的病毒、蠕蟲,防護技術總要相對落後於新病毒新蠕蟲的入侵。
病毒、蠕蟲很容易通過各種途徑侵入企業的內部網路,除了利用企業網路安全防護措施的漏洞外,最大的威脅卻是來自於內部網路用戶的各種危險應用:不安裝殺毒軟體;安裝殺毒軟體但不及時升級;網路用戶在安裝完自己的辦公桌面系統後,未採取任何有效防護措施就連接到危險的網路環境中,特別是Internet;移動用戶計算機連接到各種情況不明網路環境,在沒有採取任何防護措施的情況下又連入企業網路;桌面用戶在終端使用各種數據介質、軟體介質等等都可能將病毒、蠕蟲在不知不覺中帶入到企業網路中,給企業信息基礎設施,企業業務帶來無法估量的損失。
2.軟體漏洞隱患
企業網路通常由數量龐大、種類繁多的軟體系統組成,有系統軟體、資料庫系統、應用軟體等等,尤其是存在於廣大終端用戶辦公桌面上的各種應用軟體不勝繁雜,每一個軟體系統都有不可避免的、潛在的或已知的軟體漏洞。無論哪一部分的漏洞被利用,都會給企業帶來危害,輕者危及個別設備,重者成為攻擊整個企業網路媒介,危及整個企業網路安全。
3.系統安全配置薄弱
企業網路建設中應用的各種軟體系統都有各自默認的安全策略增強的安全配置設置,例如,賬號策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對於各種軟體系統自身的安全防護的增強具有重要作用,但在實際的企業網路環境中,這些安全配置卻被忽視,尤其是那些網路的終端用戶,導致軟體系統的安全配置成為「軟肋」、有時可能嚴重為配置漏洞,完全暴露給整個外部。例如某些軟體系統攻擊中採用的「口令強制攻擊」就是利用了弱口令習慣性的使用安全隱患,黑客利用各種網路應用默認安裝中向外部提供的有限信息獲取攻擊的必要信息等等。
4.脆弱的網路接入安全防護
傳統的網路訪問控制都是在企業網路邊界進行的,或在不同的企業內網不同子網邊界進行且在網路訪問用戶的身份被確認後,用戶即可以對企業內網進行各種訪問操作。在這樣一個訪問控制策略中存在無限的企業網路安全漏洞,例如,企業網路的合法移動用戶在安全防護較差的外網環境中使用VPN連接、遠程撥號、無線AP,乙太網接入等等網路接入方式,在外網和企業內網之間建立一個安全通道。
另一個傳統網路訪問控制問題來自企業網路內部,尤其對於大型企業網路擁有成千上萬的用戶終端,使用的網路應用層出不窮,目前對於企業網管很難准確的控制企業網路的應用,這樣的現實導致安全隱患的產生:員工使用未經企業允許的網路應用,如郵件伺服器收發郵件,這就可能使企業的保密數據外泄或感染郵件病毒;企業內部員工在終端上私自使用未經允許的網路應用程序,在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟體,從而感染內部網路,進而造成內部網路中敏感數據的泄密或損毀。
5.企業網路入侵
現階段黑客攻擊技術細分下來共有8類,分別為入侵系統類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務攻擊、對防火牆的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、後門攻擊。
對於採取各種傳統安全防護措施的企業內網來說,都沒有萬無一失的把握;對於從企業內網走出到安全防護薄弱的外網環境的移動用戶來說,安全保障就會嚴重惡化,當移動用戶連接到企業內網,就會將各種網路入侵帶入企業網路。
6.終端用戶計算機安全完整性缺失
隨著網路技術的普及和發展,越來越多的員工會在企業專網以外使用計算機辦公,同時這些移動員工需要連接回企業的內部網路獲取工作必須的數據。由於這些移動用戶處於專網的保護之外,很有可能被黑客攻陷或感染網路病毒。同時,企業現有的安全投資(如:防病毒軟體、各種補丁程序、安全配置等)若處於不正常運行狀態,終端員工沒有及時更新病毒特徵庫,或私自卸載安全軟體等,將成為黑客攻擊內部網路的跳板。
三、內網安全實施策略
1.多層次的病毒、蠕蟲防護
病毒、蠕蟲破壞網路安全事件一直以來在網路安全領域就沒有一個根本的解決辦法,其中的原因是多方面的,有人為的原因,如不安裝防殺病毒軟體,病毒庫未及時升級等等,也有技術上的原因,殺毒軟體、入侵防範系統等安全技術對新類型、新變異的病毒、蠕蟲的防護往往要落後一步。危害好像是無法避免的,但我們可以控制它的危害程度,只要我們針對不同的原因採取有針對性的切實有效的防護辦法,就會使病毒、蠕蟲對企業的危害減少到最低限度,甚至沒有危害。這樣,僅靠單一、簡單的防護技術是難以防護病毒、蠕蟲的威脅的。
2.終端用戶透明、自動化的補丁管理,安全配置
為了彌補和糾正運行在企業網路終端設備的系統軟體、應用軟體的安全漏洞,使整個企業網路安全不至由於個別軟體系統的漏洞而受到危害,完全必要在企業的安全管理策略中加強對補丁升級、系統安全配置的管理。
用戶可通過管理控制台集中管理企業網路終端設備的軟體系統的補丁升級、系統配置策略,定義終端補丁下載。將補丁升級策略、增強終端系統安全配置策略下發給運行於各終端設備上的安全代理,安全代理執行這些策略,以保證終端系統補丁升級、安全配置的完備有效,整個管理過程都是自動完成的,對終端用戶來說完全透明,減少了終端用戶的麻煩和企業網路的安全風險,提高企業網路整體的補丁升級、安全配置管理效率和效用,使企業網路的補丁及安全配置管理策略得到有效的落實。
3.全面的網路准入控制
為了解決傳統的外網用戶接入企業網路給企業網路帶來的安全隱患,以及企業網路安全管理人員無法控制內部員工網路行為給企業網路帶來的安全問題,除了有效的解決企業員工從企業內網、外網以各種網路接入方式接入企業網路的訪問控制問題,同時對傳統的網路邊界訪問控制沒有解決的網路接入安全防護措施,而採用邊界准入控制、接入層准入控制等技術進行全面的實現准入控制。當外網用戶接入企業網路時,檢查客戶端的安全策略狀態是否符合企業整體安全策略,對於符合的外網訪問則放行。一個全面的網路准入檢測系統。
4.終端設備安全完整性保證
主機完整性強制是確保企業網路安全的關鍵組件。主機完整性可確保連接到企業網的客戶端正運行著所需的應用程序和數據文件。信息安全業界已經開發出了多種基於主機的安全產品,以確保企業網路和信息的安全,阻止利用網路連接技術、應用程序和操作系統的弱點和漏洞所發起的攻擊。並已充分採用了在個人防火牆、入侵檢測、防病毒、文件完整性、文件加密和安全補丁程序等方面的技術進步來有效地保護企業設備。然而,只有在充分保證這些安全技術的應用狀態、更新級別和策略完整性之後,才能享受這些安全技術給企業網路安全帶來的益處。如果企業端點設備不能實施主機完整性,也就不能將該設備看成企業網路受信設備。
僅供參考,請自借鑒
希望對您有幫助
D. 如何保證網路安全
上網幾乎是天天都要做的事情,網路安全很重要,如何才能確保上網安全,與你分享幾招。
E. 計算機網路安全體系結構包括什麼
計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的。
對於一個系統而言,首先要以硬體電路等物理設備為載體,然後才能運
行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備,用戶可以搭建自己所需要的通信網路,對於小范圍的無線區域網而言,人們可以使用這
些設備搭建用戶需要的通信網路,最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵,這種防護措施可以作為一種通信協議保護。
目前廣泛采
用WPA2加密協議實現協議加密,用戶只有通過使用密匙才能對路由器進行訪問,通常可以講驅動程序看作為操作系統的一部分,經過注冊表注冊後,相應的網路
通信驅動介面才能被通信應用程序所調用。網路安全通常是指網路系統中的硬體、軟體要受到保護,不能被更改、泄露和破壞,能夠使整個網路得到可持續的穩定運
行,信息能夠完整的傳送,並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。
F. 需求一份區域網建立調整方案的思路及設計方案、ip地址分配規劃表、網路拓撲圖,越完整越好,大神們出招吧
發給你郵件了
區域網網路安全設計方案
一.畫出本設計方案基於區域網的拓撲圖,並有說明。
拓撲圖如下:
拓撲結構分析:本設計的拓撲結構是以中間一個核心交換機為核心,外接Router0、Router2,DNS伺服器(提供域名解析)、DHCP伺服器(為該區域網分配IP地址)、Router3(做外網路由器用,通過它與Internet連接)、一個管理員主機(通過該主機可以對該網路的設備進行管理和配置)。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火牆、ACL、NAT等,主要是為了該網路的安全和易於管理。以上只是該網路的初級設計。
二在對區域網網路系統安全方案設計、規劃,應遵循以下原則:
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
三.防病毒的方法和設計
第一:病毒可能帶來哪些威脅
一旦中毒,就可能對系統造成破壞,導致數據泄露或損壞,或者使服務可用性降低。防病毒解決方案關注因感染病毒、間諜軟體或廣告軟體而造成的威脅。「病毒」一詞通常用於描述某類特定的惡意代碼。經過正確分析和規劃的防病毒解決方案可防範廣泛的惡意或未經授權的代碼。
第二:病毒是通過哪些方式或者載體來給我們帶來威脅
病毒的載體是用於攻擊目標的途徑。了解惡意代碼、間諜軟體和廣告軟體所利用的威脅的載體,有助於組織設計防病毒解決方案來防止被未經授權的代碼感染,並阻止其擴散。常見的威脅的載體有網路(包括外部網路和內部網路)、移動客戶端(包括連接到網路的來賓客戶端和員工計算機等)、應用程序(包括電子郵件、HTTP和應用程序等)和可移動媒體(包括u盤、可移動驅動器和快閃記憶體卡等)。
第三:如何有效地防止病毒侵入
防病毒軟體:用於清除、隔離並防止惡意代碼擴散。
安全機制:防火牆解決方案不足以為伺服器、客戶端和網路提供足夠的保護,以防範病毒威脅、間諜軟體和廣告軟體。病毒不斷發展變化,惡意代碼被設計為通過新的途徑,利用網路、操作系統和應用程序中的缺陷。及時地添加補丁,更新軟體,對網路的安全性好很大的幫助。
四.防木馬的方法和設計
一:建立受限的賬戶
用「netuser」命令添加的新帳戶,其默認許可權為「USERS組」,所以只能運行許可的程序,而不能隨意添加刪除程序和修改系統設置,這樣便可避免大部分的木馬程序和惡意網頁的破壞。
二:惡意網頁是系統感染木馬病毒及流氓插件的最主要途徑,因此很有必要對IE作一些保護設置。安裝360安全瀏覽器可以有效的做到這一點。
三:
1.禁止程序啟動很多木馬病毒都是通過注冊表載入啟動的,因此可通過許可權設置,禁止病毒和木馬對注冊表的啟動項進行修改。
2.禁止服務啟動
一些高級的木馬病毒會通過系統服務進行載入,對此可禁止木馬病毒啟動服務的許可權。
可依次展開「HKEY_LOCAL_」分支,將當前帳戶的「讀取」許可權設置為「允許」,同時取消其「完全控制」許可權
五.防黑客攻擊的方法和設計
1.隱藏IP地址
黑客經常利用一些網路探測技術來查看我們的主機信息,主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念,如果攻擊者知道了你的IP地址,等於為他的攻擊准備好了目標,他可以向這個IP發動各種進攻,如DoS(拒絕服務)攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使用代理伺服器。
與直接連接到Internet相比,使用代理伺服器能保護上網用戶的IP地址,從而保障上網安全。代理伺服器的原理是在客戶機(用戶上網的計算機)和遠程伺服器(如用戶想訪問遠端WWW伺服器)之間架設一個「中轉站」,當客戶機向遠程伺服器提出服務要求後,代理伺服器首先截取用戶的請求,然後代理伺服器將服務請求轉交遠程伺服器,從而實現客戶機和遠程伺服器之間的聯系。很顯然,使用代理伺服器後,其它用戶只能探測到代理伺服器的IP地址而不是用戶的IP地址,這就實現了隱藏用戶IP地址的目的,保障了用戶上網安全。提供免費代理伺服器的網站有很多,你也可以自己用代理獵手等工具來查找。
2.關閉不必要的埠
黑客在入侵時常常會掃描你的計算機埠,如果安裝了埠監視程序(比如Netwatch),該監視程序則會有警告提示。如果遇到這種入侵,可用工具軟體關閉用不到的埠,比如,用「NortonInternetSecurity」關閉用來提供網頁服務的80和443埠,其他一些不常用的埠也可關閉。
3.更換管理員帳戶
Administrator帳戶擁有最高的系統許可權,一旦該帳戶被人利用,後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator賬號。
首先是為Administrator帳戶設置一個強大復雜的密碼,然後我們重命名Administrator帳戶,再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員許可權,也就在一定程度上減少了危險性。
六.區域網防arp病毒攻擊的方法和設計
1.安裝arp防火牆或者開啟區域網ARP防護,比如360安全衛士等arp病毒專殺工具,並且實時下載安裝系統漏洞補丁,關閉不必要的服務等來減少病毒的攻擊。
2.使用多層交換機或路由器:接入層採用基於IP地址交換進行路由的第三層交換機。由於第三層交換技術用的是IP路由交換協議,以往的鏈路層的MAC地址和ARP協議失效,因而ARP欺騙攻擊在這種交換環境下起不了作用。
七.本設計的特色
實現本設計既簡單又實用,而且操作起來十分方便,十分符合校內小型區域網的網路安全設計,完全可以符合一般學生的需要
八.心得體會
通過本次設計我認真查閱資料學到了很多知識對病毒、木馬、黑客、以及黑客攻擊都有了比較深入的了解,也提高了我對這些方面的興趣,最為重要地是我知道了怎麼去建立和保護一個安全的網路。
G. 內網管理安全
想從根本上管理好企業內網的安全,我個人覺得可以從以下幾個方面入手:
1、對所有計算機的桌面操作行為進行審計,如:網頁瀏覽行為、即時通訊聊天行為、下載行為、郵件收發、流量管控等
2、准入限制,未經登記的設備一律不準接入內網
3、移動存儲管控,移動存儲設備作嚴格管控,需要經過登記才能在內網使用,避免因為移動存儲設備帶來病毒和泄密
4、許可權分級,對重要文檔的查看、修改、刪除許可權進行分級,不同部門不同級別員工對應不同的許可權。
5、對重要文檔進行透明加密,在企業內部授權環境中可以正常使用,非授權環境中無法正常使用
以上的策略,均可通過類似IP-guard這樣的內網安全軟體來實現
IP-guard的部署包含一個控制台、客戶端、伺服器,通過控制設置客戶端的管控、審計策略,實現一對多的統一管理。
至於解決方案,先明確需要解決哪些問題,羅列出來,比如上邊我羅列的都是比較普遍的內網安全問題,如果這都是你要解決的,那你就按照這些問題來找對應的產品和解決方案就可以了。
H. 求企業區域網管理方案 ~!!!!高手進
第一章 總則
本方案為大型區域網網路安全解決方案,包括網路系統分析、安全需求分析、安全目標的確立、安全體系結構的設計等。本安全解決方案的目標是在不影響區域網當前業務的前提下,實現對區域網全面的安全管理。
1.將安全策略、硬體及軟體等方法結合起來,構成一個統一的防禦系統,有效阻止非法用戶進入網路,減少網路的安全風險。
2.定期進行漏洞掃描,審計跟蹤,及時發現問題,解決問題。
3.通過入侵檢測等方式實現實時安全監控,提供快速響應故障的手段,同時具備很好的安全取證措施。
4.使網路管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態,最大限度地減少損失。
5.在工作站、伺服器上安裝相應的防病毒軟體,由中央控制台統一控制和管理,實現全網統一防病毒。
第二章 網路系統概況
2.1 網路概況
常見大型企業區域網是一個信息點較為密集的千兆區域網絡系統,它所聯接的現有上千個信息點為在整個企業內辦公的各部門提供了一個快速、方便的信息交流平台。不僅如此,通過專線與Internet的連接,打通了一扇通向外部世界的窗戶,各個部門可以直接與互聯網用戶進行交流、查詢資料等。通過公開伺服器,企業可以直接對外發布信息或者發送電子郵件。高速交換技術的採用、靈活的網路互連方案設計為用戶提供快速、方便、靈活通信平台的同時,也為網路的安全帶來了更大的風險。因此,在原有網路上實施一套完整、可操作的安全解決方案不僅是可行的,而且是必需的。
2.1.1 網路概述
企業區域網通過千兆交換機在主幹網路上提供1000M的獨享帶寬,通過二級交換機與各部門的工作站和伺服器連接,並為之提供100M的獨享帶寬。利用與中心交換機連接的路由器,所有用戶可直接訪問Internet。
2.1.2 網路結構
常見大型企業的區域網按訪問區域可以劃分為三個主要的區域:Internet區域、內部網路、公開伺服器區域。內部網路又可按照所屬的部門、職能、安全重要程度分為許多子網,包括:財務子網、領導子網、辦公子網、市場部子網、中心伺服器子網等。在安全方案設計中,基於安全的重要程度和要保護的對象,可以在核心交換機上直接劃分四個虛擬區域網(VLAN),即:中心伺服器子網、財務子網、領導子網、其他子網。不同的區域網分屬不同的廣播域,由於財務子網、領導子網、中心伺服器子網屬於重要網段,因此在中心交換機上將這些網段各自劃分為一個獨立的廣播域,而將其他的工作站劃分在一個相同的網段。
2.2 網路應用
企業區域網一般會提供如下主要應用:
1.文件共享、辦公自動化、WWW服務、電子郵件服務;
2.文件數據的統一存儲;
3.針對特定的應用在資料庫伺服器上進行二次開發(比如財務系統);
4.提供與Internet的訪問;
5.通過公開伺服器對外發布企業信息、發送電子郵件等;
2.3 網路結構的特點
在分析企業區域網的安全風險時,應考慮到網路的如下幾個特點:
1.網路與Internet直接連接,因此在進行安全方案設計時要考慮與Internet連接的有關風險,包括可能通過Internet傳播進來病毒,黑客攻擊,來自Internet的非授權訪問等。
2.網路中存在公開伺服器,由於公開伺服器對外必須開放部分業務,因此在進行安全方案設計時應該考慮採用安全伺服器網路,避免公開伺服器的安全風險擴散到內部。
3.內部網路中存在許多不同的子網,不同的子網有不同的安全性,因此在進行安全方案設計時,應考慮將不同功能和安全級別的網路分割開,這可以通過交換機劃分VLAN來實現。
4.網路中的應用伺服器,在應用程序開發時就應考慮加強用戶登錄驗證,防止非授權的訪問。
總而言之,在進行網路方案設計時,應綜合考慮到企業區域網的特點,根據產品的性能、價格、潛在的安全風險進行綜合考慮。
第三章 網路系統安全風險分析
隨著Internet網路急劇擴大和上網用戶迅速增加,風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統,引起大范圍的癱瘓和損失;另外加上缺乏安全控制機制和對Internet安全政策的認識不足,這些風險正日益嚴重。
針對企業區域網中存在的安全隱患,在進行安全方案設計時,下述安全風險我們必須要認真考慮,並且要針對面臨的風險,採取相應的安全措施。下述風險由多種因素引起,與企業區域網結構和系統的應用、區域網內網路伺服器的可靠性等因素密切相關。下面列出部分這類風險因素:
網路安全可以從以下五個方面來理解:1 網路物理是否安全;2 網路平台是否安全;3 系統是否安全;4 應用是否安全;5 管理是否安全。針對每一類安全風險,結合企業區域網的實際情況,具體分析網路的安全風險。
3.1 物理安全風險分析
網路的物理安全的風險是多種多樣的。網路的物理安全主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提,在企業區區域網內,由於網路的物理跨度不大,,只要制定健全的安全管理制度,做好備份,並且加強網路設備和機房的管理,這些風險是可以避免的。
3.2 網路平台的安全風險分析
網路結構的安全涉及到網路拓撲結構、網路路由狀況及網路的環境等。
3.2.1 公開伺服器面臨的威脅
企業區域網內公開伺服器區(WWW、EMAIL等伺服器)作為公司的信息發布平台,一旦不能運行或者受到攻擊,對企業的聲譽影響巨大。同時公開伺服器本身要為外界服務,必須開放相應的服務;每天,黑客都在試圖闖入Internet節點,這些節點如果不保持警惕,可能連黑客怎麼闖入的都不知道,甚至會成為黑客入侵其他站點的跳板。因此,規模比較大網路的管理人員對Internet安全事故做出有效反應變得十分重要。我們有必要將公開伺服器、內部網路與外部網路進行隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其他的請求服務在到達主機之前就應該遭到拒絕。
3.2.2 整個網路結構和路由狀況
安全的應用往往是建立在網路系統之上的。網路系統的成熟與否直接影響安全系統成功的建設。企業區域網絡系統中,一般只有一個Internet出口,使用一台路由器,作為與Internet連接的邊界路由器,網路結構相對簡單,具體配置時可以考慮使用靜態路由,這就大大減少了因網路結構和網路路由造成的安全風險。
3.3 系統的安全風險分析
所謂系統的安全顯而易見是指整個區域網網路操作系統、網路硬體平台是否可靠且值得信任。
網路操作系統、網路硬體平台的可靠性:對於中國來說,恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統,其開發廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統。但是,我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的操作系統和硬體平台。而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。
3.4 應用的安全風險分析
應用系統的安全跟具體的應用有關,它涉及很多方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。以目前Internet上應用最為廣泛的E-mail系統來說,其解決方案有幾十種,但其系統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的,因此一套詳盡的測試軟體是相當必須的。但是應用系統是不斷發展且應用類型是不斷增加的,其結果是安全漏洞也是不斷增加且隱藏越來越深。因此,保證應用系統的安全也是一個隨網路發展不斷完善的過程。
應用的安全性涉及到信息、數據的安全性。信息的安全性涉及到:機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由於企業區域網跨度不大,絕大部分重要信息都在內部傳遞,因此信息的機密性和完整性是可以保證的。對於有些特別重要的信息需要對內部進行保密的(比如領導子網、財務系統傳遞的重要信息)可以考慮在應用級進行加密,針對具體的應用直接在應用系統開發時進行加密。
3.5 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。
當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結合。
3.6 黑客攻擊
黑客們的攻擊行動是無時無刻不在進行的,而且會利用系統和管理上的一切可能利用的漏洞。公開伺服器存在漏洞的一個典型例證,是黑客可以輕易地騙過公開伺服器軟體,得到Unix的口令文件並將之送回。黑客侵入UNIX伺服器後,有可能修改特權,從普通用戶變為高級用戶,一旦成功,黑客可以直接進入口令文件。黑客還能開發欺騙程序,將其裝入UNIX伺服器中,用以監聽登錄會話。當它發現有用戶登錄時,便開始存儲一個文件,這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客,需要設置公開伺服器,使得它不離開自己的空間而進入另外的目錄。另外,還應設置組特權,不允許任何使用公開伺服器的人訪問WWW頁面文件以外的東西。在企業的區域網內我們可以綜合採用防火牆技術、Web頁面保護技術、入侵檢測技術、安全評估技術來保護網路內的信息資源,防止黑客攻擊。
3.7 通用網關介面(CGI)漏洞
有一類風險涉及通用網關介面(CGI)腳本。許多頁面文件和指向其他頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執行的方式實現的。黑客可以修改這些CGI腳本以執行他們的非法任務。通常,這些CGI腳本只能在這些所指WWW伺服器中尋找,但如果進行一些修改,他們就可以在WWW伺服器之外進行尋找。要防止這類問題發生,應將這些CGI腳本設置為較低級用戶特權。提高系統的抗破壞能力,提高伺服器備份與恢復能力,提高站點內容的防篡改與自動修復能力。
3.8 惡意代碼
惡意代碼不限於病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經同意的軟體。應該加強對惡意代碼的檢測。
3.9 病毒的攻擊
計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒,例如通過E-Mail傳播的病毒,增加了這種威脅的程度。病毒的種類和傳染方式也在增加,國際空間的病毒總數已達上萬甚至更多。當然,查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染,然而,下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕,否則很容易使系統導致嚴重的破壞。典型的「CIH」病毒就是一可怕的例子。
3.10 不滿的內部員工
不滿的內部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經離開的員工能造成更大的損失,例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。
3.11 網路的攻擊手段
一般認為,目前對網路的攻擊手段主要表現在:
非授權訪問:沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網路設備及資源進行非正常使用,或擅自擴大許可權,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
信息泄漏或丟失:指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
破壞數據完整性:以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
拒絕服務攻擊:它不斷對網路服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網路系統或不能得到相應的服務。
利用網路傳播病毒:通過網路傳播計算機病毒,其破壞性大大高於單機系統,而且用戶很難防範。
第四章 安全需求與安全目標
4.1 安全需求分析
通過對企業區域網絡結構、應用及安全威脅分析,可以看出其安全問題主要集中在對伺服器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此,我們必須採取相應的安全措施杜絕安全隱患,其中應該做到:
Ø 公開伺服器的安全保護
Ø 防止黑客從外部攻擊
Ø 入侵檢測與監控
Ø 信息審計與記錄
Ø 病毒防護
Ø 數據安全保護
Ø 數據備份與恢復
Ø 網路的安全管理
針對企業區域網絡系統的實際情況,在系統考慮如何解決上述安全問題的設計時應滿足如下要求:
1.大幅度地提高系統的安全性(重點是可用性和可控性);
2.保持網路原有的能特點,即對網路的協議和傳輸具有很好的透明性,能透明接入,無需更改網路設置;
3.易於操作、維護,並便於自動化管理,而不增加或少增加附加操作;
4.盡量不影響原網路拓撲結構,同時便於系統及系統功能的擴展;
5.安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
6.安全產品具有合法性,及經過國家有關管理部門的認可或認證;
7.分布實施。
4.2 網路安全策略
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分,即:
威嚴的法律:安全的基石是社會法律、法規、與手段,這部分用於建立一套安全管理標准和方法。即通過建立與信息安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
先進的技術:先進的安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術。
嚴格的管理:各網路使用機構、企業和單位應建立相宜的信息安全管理辦法,加強內部管理,建立審計和跟蹤體系,提高整體信息安全意識。
4.3 系統安全目標
基於以上的分析,我們認為這個區域網網路系統安全應該實現以下目標:
Ø 建立一套完整可行的網路安全與網路管理策略
Ø 將內部網路、公開伺服器網路和外網進行有效隔離,避免與外部網路的直接通信
Ø 建立網站各主機和伺服器的安全保護措施,保證他們的系統安全
Ø 對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕
Ø 加強合法用戶的訪問認證,同時將用戶的訪問許可權控制在最低限度
Ø 全面監視對公開伺服器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為
Ø 加強對各種訪問的審計工作,詳細記錄對網路、公開伺服器的訪問行為,形成完整的系統日誌
Ø 備份與災難恢復——強化系統備份,實現系統快速恢復
Ø 加強網路安全管理,提高系統全體人員的網路安全意識和防範技術
第五章 網路安全方案總體設計
5.1 安全方案設計原則
在對這個企業區域網網路系統安全方案設計、規劃時,應遵循以下原則:
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。
5.2 安全服務、機制與技術
安全服務:主要有控制服務、對象認證服務、可靠性服務等;
安全機制:訪問控制機制、認證機制等;
安全技術:防火牆技術、鑒別技術、審計監控技術、病毒防治技術等;在安全的開放環境中,用戶可以使用各種安全應用。安全應用由一些安全服務來實現;而安全服務又是由各種安全機制或安全技術來實現的。應當指出,同一安全機制有時也可以用於實現不同的安全服務。
第六章 網路安全體系結構
通過對網路的全面了解,按照安全策略的要求、風險分析的結果及整個網路的安全目標,整個網路措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成:物理安全、網路安全、系統安全、信息安全、應用安全和安全管理
6.1 物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面:
環境安全:對系統所在環境的安全保護,如區域保護和災難保護;(參見國家標准GB50173-93《電子計算機機房設計規范》、國標GB2887-89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等;
媒體安全:包括媒體數據的安全及媒體本身的安全。
在網路的安全方面,主要考慮兩個大的層次,一是整個網路結構成熟化,主要是優化網路結構,二是整個網路系統的安全。
6.1.1 網路結構
安全系統是建立在網路系統之上的,網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面,主要考慮網路結構、系統和路由的優化。
網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性,並且應該有結構化的設計,充分利用現有資源,具有運營管理的簡便性,完善的安全保障體系。網路結構採用分層的體系結構,利於維護管理,利於更高的安全控制和業務發展。
網路結構的優化,在網路拓撲上主要考慮到冗餘鏈路;防火牆的設置和入侵檢測的實時監控等。
6.1.2 網路系統安全
6.1.2.1 訪問控制及內外網的隔離
訪問控制可以通過如下幾個方面來實現:
1.制訂嚴格的管理制度:可制定的相應:《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
2.配備相應的安全設備:在內部網與外部網之間,設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。
防火牆主要的種類是包過濾型,包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾,能根據企業的安全政策來控制(允許、拒絕、監測)出入網路的信息流。同時可實現網路地址轉換(NAT)、審記與實時告警等功能。由於這種防火牆安裝在被保護網路與路由器之間的通道上,因此也對被保護網路和外部網路起到隔離作用。
防火牆具有以下五大基本功能:過濾進、出網路的數據;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的檢測和告警。
6.1.2.2 內部網不同網路安全域的隔離及訪問控制
在這里,主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。這樣,就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路,在某些情況下,它的一些區域網的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內,就可以限制局部網路安全問題對全局網路造成的影響。
6.1.2.3 網路安全檢測
網路系統的安全性取決於網路系統中最薄弱的環節。如何及時發現網路系統中最薄弱的環節?如何最大限度地保證網路系統的安全?最有效的方法是定期對網路系統進行安全性分析,及時發現並修正存在的弱點和漏洞。
網路安全檢測工具通常是一個網路安全性評估分析軟體,其功能是用實踐性的方法掃描分析網路系統,檢查報告系統存在的弱點和漏洞,建議補救措施和安全策略,達到增強網路安全性的目的。檢測工具應具備以下功能:
Ø 具備網路監控、分析和自動響應功能
Ø 找出經常發生問題的根源所在;
Ø 建立必要的循環過程確保隱患時刻被糾正;控制各種網路安全危險。
Ø 漏洞分析和響應
Ø 配置分析和響應
Ø 漏洞形勢分析和響應
Ø 認證和趨勢分析
具體體現在以下方面:
Ø 防火牆得到合理配置
Ø 內外WEB站點的安全漏洞減為最低
Ø 網路體系達到強壯的耐攻擊性
Ø 各種伺服器操作系統,如E_MIAL伺服器、WEB伺服器、應用伺服器、,將受黑客攻擊的可能降為最低
Ø 對網路訪問做出有效響應,保護重要應用系統(如財務系統)數據安全不受黑客攻擊和內部人 員誤操作的侵害
6.1.2.4 審計與監控
審計是記錄用戶使用計算機網路系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能看出系統正被怎樣地使用。對於確定是否有網路攻擊的情況,審計信息對於去定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,並且它是後面階段事故處理的重要依據。另外,通過對安全事件的不斷收集與積累並且加以分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,以便對發現或可能產生的破壞性行為提供有力的證據。
因此,除使用一般的網管軟體和系統監控管理系統外,還應使用目前較為成熟的網路監控設備或實時入侵檢測設備,以便對進出各級區域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網路的攻擊與犯罪行為。
6.1.2.5 網路防病毒
由於在網路環境下,計算機病毒有不可估量的威脅性和破壞力,計算機
I. 計算機網路課程設計 題目是 組建某政府辦公區域網
把各種設備連接起來,路由器和外部連,PC連在交換上,其他的就要看你那個區域網里有多少台計算機了
J. 無線區域網中的安全措施
摘要:由於在現在區域網建網的地域越來越復雜,很多地方應用了無線技術來建設區域網,但是由於 無線網路 應用電磁波作為傳輸媒介,因此安全問題就顯得尤為突出。本文通過對危害無線區域網的一些因素的敘述,給出了一些應對的安全 措施 ,以保證無線區域網能夠安全,正常的運行。
關鍵字:WLAN,WEP,SSID,DHCP,安全措施
1、 引言
WLAN是Wireless LAN的簡稱,即無線區域網。所謂無線網路,顧名思義就是利用無線電波作為傳輸媒介而構成的信息網路,由於WLAN產品不需要鋪設通信電纜,可以靈活機動地應付各種網路環境的設置變化。WIAN技術為用戶提供更好的移動性、靈活性和擴展性,在難以重新布線的區域提供快速而經濟有效的區域網接入,無線網橋可用於為遠程站點和用戶提供區域網接入。但是,當用戶對WLAN的期望日益升高時,其安全問題隨著應用的深入表露無遺,並成為制約WLAN發展的主要瓶頸。[1]
2、 威脅無線區域網的因素
首先應該被考慮的問題是,由於WLAN是以無線電波作為上網的傳輸媒介,因此無線網路存在著難以限制網路資源的物理訪問,無線網路信號可以傳播到預期的方位以外的地域,具體情況要根據建築材料和環境而定,這樣就使得在網路覆蓋范圍內都成為了WLAN的接入點,給入侵者有機可乘,可以在預期范圍以外的地方訪問WLAN,竊聽網路中的數據,有機會入侵WLAN應用各種攻擊手段對無線網路進行攻擊,當然是在入侵者擁有了網路訪問權以後。
其次,由於WLAN還是符合所有網路協議的計算機網路,所以計算機病毒一類的網路威脅因素同樣也威脅著所有WLAN內的計算機,甚至會產生比普通網路更加嚴重的後果。
因此,WLAN中存在的安全威脅因素主要是:竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等。
IEEE 802.1x認證協議發明者VipinJain接受媒體采訪時表示:「談到無線網路,企業的IT經理人最擔心兩件事:首先,市面上的標准與安全解決方案太多,使得用戶無所適從;第二,如何避免網路遭到入侵或攻擊?無線媒體是一個共享的媒介,不會受限於建築物實體界線,因此有人要入侵網路可以說十分容易。」[1]因此WLAN的安全措施還是任重而道遠。
3、無線區域網的安全措施
3.1採用無線加密協議防止未授權用戶
保護無線網路安全的最基本手段是加密,通過簡單的設置AP和無線網卡等設備,就可以啟用WEP加密。無線加密協議(WEP)是對無線網路上的流量進行加密的一種標准 方法 。許多無線設備商為了方便安裝產品,交付設備時關閉了WEP功能。但一旦採用這種做法,黑客就能利用無線嗅探器直接讀取數據。建議經常對WEP密鑰進行更換,有條件的情況下啟用獨立的認證服務為WEP自動分配密鑰。另外一個必須注意問題就是用於標識每個無線網路的服務者身份(SSID),在部署無線網路的時候一定要將出廠時的預設SSID更換為自定義的SSID。現在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網路被發現的可能。[2]
但是目前IEEE 802.11標准中的WEP安全解決方案,在15分鍾內就可被攻破,已被廣泛證實不安全。所以如果採用支持128位的WEP,解除128位的WEP的是相當困難的,同時也要定期的更改WEP,保證無線區域網的安全。如果設備提供了動態WEP功能,最好應用動態WEP,值得我們慶幸的,Windows XP本身就提供了這種支持,您可以選中WEP選項「自動為我提供這個密鑰」。同時,應該使用IPSec,,SSH或其他
WEP的替代方法。不要僅使用WEP來保護數據。
3.2 改變服務集標識符並且禁止SSID廣播
SSID是無線接人的身份標識符,用戶用它來建立與接入點之間的連接。這個身份標識符是由通信設備製造商設置的,並且每個廠商都用自己的預設值。例如,3COM 的設備都用「101」。因此,知道這些標識符的黑客可以很容易不經過授權就享受你的無線服務。你需要給你的每個無線接入點設置一個唯一並且難以推測的 SSID。如果可能的話。還應該禁止你的SSID向外廣播。這樣,你的無線網路就不能夠通過廣播的方式來吸納更多用戶.當然這並不是說你的網路不可用.只是它不會出現在可使用網路的名單中。[3]
3.3 靜態IP與MAC地址綁定
無線路由器或AP在分配IP地址時,通常是默認使用DHCP即動態IP地址分配,這對無線網路來說是有安全隱患的,「不法」分子只要找到了無線網路,很容易就可以通過DHCP而得到一個合法的IP地址,由此就進入了區域網絡中。因此,建議關閉DHCP服務,為家裡的每台電腦分配固定的靜態IP地址,然後再把這個IP地址與該電腦網卡的MAC地址進行綁定,這樣就能大大提升網路的安全性。「不法」分子不易得到合法的IP地址,即使得到了,因為還要驗證綁定的MAC地址,相當於兩重關卡。[4]設置方法如下:
首先,在無線路由器或AP的設置中關閉「DHCP伺服器」。然後激活「固定DHCP」功能,把各電腦的「名稱」(即Windows系統屬陸里的「計算機描述」),以後要固定使用的IP地址,其網卡的MAC地址都如實填寫好,最後點「執行」就可以了。
3.4 技術在無線網路中的應用
對於高安全要求或大型的無線網路,方案是一個更好的選擇。因為在大型無線網路中維護工作站和AP的WEP加密密鑰、AP的MAC地址列表都是非常艱巨的管理任務。
對於無線商用網路,基於的解決方案是當今WEP機制和MAC地址過濾機制的最佳替代者。方案已經廣泛應用於Internet遠程用戶的安全接入。在遠程用戶接入的應用中,在不可信的網路(Internet)上提供一條安全、專用的通道或者隧道。各種隧道協議,包括點對點的隧道協議和第二層隧道協議都可以與標準的、集中的認證協議一起使用。同樣,技術可以應用在無線的安全接入上,在這個應用中,不可信的網路是無線網路。AP可以被定義成無WEP機制的開放式接入(各AP仍應定義成採用SSID機制把無線網路分割成多個無線服務子網),但是無線接入網路VLAN (AP和伺服器之問的線路)從區域網已經被伺服器和內部網路隔離出來。伺服器提供網路的認征和加密,並允當區域網網路內部。與WEP機制和MAC地址過濾接入不同,方案具有較強的擴充、升級性能,可應用於大規模的無線網路。
3.5 無線入侵檢測系統
無線入侵檢測系統同傳統的入侵檢測系統類似,但無線入侵檢測系統增加了無線區域網的檢測和對破壞系統反應的特性。侵入竊密檢測軟體對於阻攔雙面惡魔攻擊來說,是必須採取的一種措施。如今入侵檢測系統已用於無線區域網。來監視分析用戶的活動,判斷入侵事件的類型,檢測非法的網路行為,對異常的網路流量進行報警。無線入侵檢測系統不但能找出入侵者,還能加強策略。通過使用強有力的策略,會使無線區域網更安全。無線入侵檢測系統還能檢測到MAC地址欺騙。他是通過一種順序分析,找出那些偽裝WAP的無線上網用戶無線入侵檢測系統可以通過提供商來購買,為了發揮無線入侵檢測系統的優良的性能,他們同時還提供無線入侵檢測系統的解決方案。[1]
3.6 採用身份驗證和授權
當攻擊者了解網路的SSID、網路的MAC地址或甚至WEP密鑰等信息時,他們可以嘗試建立與AP關聯。目前,有3種方法在用戶建立與無線網路的關聯前對他們進行身份驗證。開放身份驗證通常意味著您只需要向AP提供SSID或使用正確的WEP密鑰。開放身份驗證的問題在於,如果您沒有其他的保護或身份驗證機制,那麼您的無線網路將是完全開放的,就像其名稱所表示的。共享機密身份驗證機制類似於「口令一響應」身份驗證系統。在STA與AP共享同一個WEP密鑰時使用這一機制。STA向AP發送申請,然後AP發回口令。接著,STA利用口令和加密的響應進行回復。這種方法的漏洞在於口令是通過明文傳輸給STA的,因此如果有人能夠同時截取口令和響應,那麼他們就可能找到用於加密的密鑰。採用其他的身份驗證/授權機制。使用 802.1x,或證書對無線網路用戶進行身份驗證和授權。使用客戶端證書可以使攻擊者幾乎無法獲得訪問許可權。
[5]
3.7其他安全措施
除了以上敘述的安全措施手段以外我們還要可以採取一些其他的技術,例如設置附加的第三方數據加密方案,即使信號被盜聽也難以理解其中的內容;加強企業內部管理等等的方法來加強WLAN的安全性。
4、 結論
無線網路應用越來越廣泛,但是隨之而來的網路安全問題也越來越突出,在文中分析了WLAN的不安全因素,針對不安全因素給出了解決的安全措施,有效的防範竊聽、截取或者修改傳輸數據、置信攻擊、拒絕服務等等的攻擊手段,但是由於現在各個無線網路設備生產廠商生產的設備的功能不一樣,所以現在在本文中介紹的一些安全措施也許在不同的設備上會有些不一樣,但是安全措施的思路是正確的,能夠保證無線網路內的用戶的信息和傳輸消息的安全性和保密性,有效地維護無線區域網的安全。
參考文獻
[1]李園,王燕鴻,張鉞偉,顧偉偉.無線網路安全性威脅及應對措施[J].現代電子技術.2007, (5):91-94.
[2]王秋華,章堅武.淺析無線網路實施的安全措施[J].中國科技信息.2005, (17):18.
[3]邊鋒.不得不說無線網路安全六種簡單技巧[J].計算機與網路.2006, (20):6.
[4]冷月.無線網路保衛戰[J].計算機應用文摘.2006,(26):79-81.
[5]宋濤.無線區域網的安全措施[J]. 電信交換.2004, (1):22-27.