A. 计算机网络课程设计 组建小型企业局域网
一,准备50口交换机一个
二、网线若干(根据你的实地距离来定网线)
接法:
宽带线--猫--路由器--交换机--PC,
设置:
先确定路由器的IP地址,然后在PC机里的填上IP地址(同一网段的,比如说陆游器的IP地址是192.168.18.1那么你们公司网段就要在192.168.18.2--254之间)PC的网关就是192.168.18.1
设置文件共享:
1)安装NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。
(2)开启guest账号:右击我的电脑\管理\用户有个guest,双击之去掉“账户已停用”前面的勾。
(3)右击我的电脑\属性\计算机名,查看该选项卡中出现的局域网工作组名称,如“WORKGROUP”\网络ID\下一步\选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”\下一步\选择“公司使用没有域的网络”\随后输入局域网的工作组名,如“WORKGROUP”\下一步\完成。重新启动计算机即可
(4)使用winxp防火墙的例外:winxp防火墙在默认状态下是全面启用的,这意味着运行计算机的所有网络连接,难于实现网上邻居共享。同时,由于windows防火墙默认状态下是禁止“文件与打印机共享的”,所以,启用了防火墙,往往不能共享打印,解决办法是:进入“本地连接”窗口,点“高级”\“设置”\“例外”\在程序与服务下勾选“文件和打印机共享”。
5)删除“拒绝从网络上访问这台计算机”项中的guest账户:运行组策略(gpedit.msc)\本地计算机\计算机配置\windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有guest,则将其删除。(原因是:有时xp的guest是不允许访问共享的)
6)取消“使用简单文件共享”方式:资源管理器\工具\文件夹选项\查看\去掉“使用简单文件共享(推荐)”前面的勾。
7)工作组名称一致。
8)勾选“Microsoft网络的文件和打印机共享”。
9)运行服务策略“Services.msc”。启动其中的“Clipbook Server”(文件夹服务器):这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动,然后再使用其他程序在你的网络上发布信息。
10)win98的计算机无法访问win2000/winxp的计算机,原因是:win2000/winxp的计算机中的guest用户被禁用了或者win2000/winxp采用NTFS分区格式,设置了权限控制。一般要允许win98访问的话,win2000/winxp里的安全控制里不要将everyone的账号组删除。注意:
>a、如果您没有加入域并想查看“安全”选项卡,则设置显示“安全”选项卡:资源管理器\工具\文件夹选项\查看\去掉“使用简单文件共享(推荐)”前面的勾。
b、查看文件和文件夹的有效权限:资源管理器\右击要查看有效权限该文件或文件夹\“属性”\单击“安全”选项卡\“高级”\“有效权限”\“选择”\在“名称”框中键入用户或组的名称,然后单击“确定”。选中的复选框表示用户或组对该文件或文件夹的有效权限。
c、只能在格式化为使用 NTFS 的驱动器上设置权限。
11)解决网上邻居太慢的方法:win98,假设网络中没有novell网络,可删除为了兼容novell netware网络而装的ipx/spx兼容协议即可;win2000/xp,可删除系统盘符\documents and setting\用户名\nethood文件夹下的所有文件即可。如果对方没有设置共享,你就不能访问,你看看他能不能访问你
一、首先启用guest来宾帐户
二、控制面板→管理工具→本地安全策略→本地策略→用户权利指派里,“从网络访问此计算机”中加入guest帐户,而“拒绝从网络访问这台计算机”中删除guest帐户;
三、我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享(推荐)”前的勾;
四、设置共享文件夹
五、控制面板→管理工具→本地安全策略→本地策略→安全选项里,把“网络访问:本地帐户的共享和安全模式”设为“仅来宾-本地用户以来宾的身份验证”(可选,此项设置可去除访问时要求输入密码的对话框,也可视情况设为“经典-本地用户以自己的身份验证”);
六、右击“我的电脑”→“属性”→“计算机名”,该选项卡中有没有出现你的局域网工作组名称,如“work”等。然后单击“网络 ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,如“work”,再次单击“下一步”按钮,最后单击“完成”按钮完成设置。
七、检查本地连接是否被禁用,右击“本地连接”→“启用”;
八、关闭网络防火墙;
九、检查是否启用了域,是否加入了该域并检查域设置;
十、检查是否关闭了server服务;
十一、检查本地连接IP、子网掩码、网关及DNS设置是否有误;
>十二、“本地连接”→属性→常规,检查是否安装了“Microsoft网络文件和打印机共享”、“Microsoft网络客户端”以及TCP/IP协议
打印机共享设置:
确定一台PC做为连接打印机用的,然后把打印机设置为共享,共享名自己写,然后去的别PC操作 添加打印机--网络打印机--浏览打印机或着是连接到这台打印机(输入\\IP地址\打印机共享名)
不需要服务器
B. 组建局域网原则是哪些原则
如果将企业信息化比作一项建筑工程的话,那么企业网建设就好比大楼的奠基石一样。企业网的建设包括局域网建设、广域互联、移动无线等方方面面。今天我们主要来说明一下有关局域网建议方面的设计方案。
一、局域网设计的原则
1、 应用为本的原则:局域网的设计应遵循“应用为本”的原则,在应用的基础上设计局域网。
2、 适度先进原则:网络设计时,应考虑到能够满足未来几年内用户对网络带宽的需要。
3、 可扩展原则:可扩展是指网络规模和带宽的扩展能力,也是设计中必须加以考虑的。
二、局域网设计的步骤
1、
需求分析:需求分析是要了解局域网用户现在想要实现什么功能、未来需要什么功能,为局域网的设计提供必要的条件。
2、 确定网络类型和带宽:
(1)确定网络类型:现在局域网市场几乎完全被性能优良、价格低廉、升级和维护方便的以太网所占领,所以一般局域网都选择以太网。
(2)确定网络带宽和交换设备
一个大型局域网(数百台至上千台计算机构成的局域网)可以在逻辑上分为以下几个层次:核心层、分布层和接入层。在中小规模局域网(几十台至几百台计算机构成的局域网)中,可以将核心层与分布层合并,称为“折叠主干”,简称“主干”,称“接入层”为“分支”。对于由几十台计算机构成的小型网络,可以不必采取分层设计的方法,因为规模太小了,不必分层处理。
目前快速以太网能够满足网络数据流量不是很大的中小型局域网的需要。但是在计算机数量超过数百台或网络数据流量比较大的情况下,应采用千兆以太网技术,以满足对网络主干数据流量的要求。
网络主干和分支方案确定之后,就可以选定交换机产品了。现在市场上交换机产品品牌不下几十种。性能最高的当属3com、avaya、ucom等国外交换机品牌,这些产品占领了高端市场,价格也是非常昂贵的;以全向、神州数码d-link、实达、长城、清华紫光、tcl为代表的国内交换机厂商的产品具有非常高的性能价格比,也可以选择。交换机的数量由联入网络的计算机数量和网络拓扑结构来决定。
3、 确定布线方案和布线产品:
现在布线系统主要是光纤和非屏蔽双绞线的天下,小型网络多以超五类非屏蔽双绞线为布线系统。因为布线是一次性工程,因此应考虑到未来几年内网络扩展的最大点数。
布线方案确定之后,就可以确定布线产品了,现在的布线产品有许多,可以根据实际需要确定。
4、确定服务器和网络操作系统:
服务器是网络数据储存的仓库,其重要性可想而知。服务器的类型和档次应与网络的规模和数据流量以及可靠性要求相匹配。
如果是几十台计算机以下的小型网络,而且数据流量不大,选用工作组级服务器基本上可以满足需要;如果是数百台左右的中型网络,至少要选用部门级服务器;如果是上千台的大型网络,5万元甚至10万元以上的企业级服务器是必不可少的。
市场上可以见到的服务器品牌也非常多,ibm、惠普、康柏等国外品牌的服务器享有比较高的品牌知名度,但是价格也比较高;国产品牌服务器的地位也在不断提升,如浪潮、联想、长城、实达、方正等。
服务器的数量由网络应用来决定,可以根据实际情况,配备e-mail服务器、web服务器、数据库服务器等,也可以让一台服务器充当多种服务器角色。
网络操作系统基本上是三分天下:微软的windows 2000
server、传统的unix和新兴的linux,可以根据网络规模、技术人员水平、资金等综合因素来决定究竟使用什么网络操作系统。
4、 其他方面的考虑:
局域网的设计还包括不间断电源、网络安全、互联网接入、网络应用系统等方面的设计,在建设时,应加以系统考虑,并能保证网络正常稳定运行。
C. 毕业论文<局域网内网安全设计与实现>
相关资料:
企业内网安全分析与策略
一、背景分析
提起网络信息安全,人们自然就会想到病毒破坏和黑客攻击。其实不然,政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失,据权威机构调查:三分之二以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。
目前,政府、企业等社会组织在网络安全防护建设中,普遍采用传统的内网边界安全防护技术,即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术,对网络入侵进行监控和防护,抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失,保证组织业务流程的有效进行。
这种解决策略是针对外部入侵的防范,对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障,企业基于网络边界的安全防护技术就更是鞭长莫及了,由此危及到内部网络的安全。一方面,企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网,而这些机器通常又置于企业内网中,这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面,黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络,发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。
二、内网安全风险分析
现代企业的网络环境是建立在当前飞速发展的开放网络环境中,顾名思义,开放的环境既为信息时代的企业提供与外界进行交互的窗口,同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径,使企业网络面临种种威胁和风险:病毒、蠕虫对系统的破坏;系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏,导致企业安全策略不能真正的得到很好的落实,开放的网络给企业的信息安全带来巨大的威胁。
1.病毒、蠕虫入侵
目前,开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点,即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护,特别是对新类型新变种的病毒、蠕虫,防护技术总要相对落后于新病毒新蠕虫的入侵。
病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络安全防护措施的漏洞外,最大的威胁却是来自于内部网络用户的各种危险应用:不安装杀毒软件;安装杀毒软件但不及时升级;网络用户在安装完自己的办公桌面系统后,未采取任何有效防护措施就连接到危险的网络环境中,特别是Internet;移动用户计算机连接到各种情况不明网络环境,在没有采取任何防护措施的情况下又连入企业网络;桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基础设施,企业业务带来无法估量的损失。
2.软件漏洞隐患
企业网络通常由数量庞大、种类繁多的软件系统组成,有系统软件、数据库系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂,每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者成为攻击整个企业网络媒介,危及整个企业网络安全。
3.系统安全配置薄弱
企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置,例如,账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的企业网络环境中,这些安全配置却被忽视,尤其是那些网络的终端用户,导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞,完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患,黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。
4.脆弱的网络接入安全防护
传统的网络访问控制都是在企业网络边界进行的,或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后,用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞,例如,企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP,以太网接入等等网络接入方式,在外网和企业内网之间建立一个安全通道。
另一个传统网络访问控制问题来自企业网络内部,尤其对于大型企业网络拥有成千上万的用户终端,使用的网络应用层出不穷,目前对于企业网管很难准确的控制企业网络的应用,这样的现实导致安全隐患的产生:员工使用未经企业允许的网络应用,如邮件服务器收发邮件,这就可能使企业的保密数据外泄或感染邮件病毒;企业内部员工在终端上私自使用未经允许的网络应用程序,在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件,从而感染内部网络,进而造成内部网络中敏感数据的泄密或损毁。
5.企业网络入侵
现阶段黑客攻击技术细分下来共有8类,分别为入侵系统类攻击、缓冲区溢出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。
对于采取各种传统安全防护措施的企业内网来说,都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说,安全保障就会严重恶化,当移动用户连接到企业内网,就会将各种网络入侵带入企业网络。
6.终端用户计算机安全完整性缺失
随着网络技术的普及和发展,越来越多的员工会在企业专网以外使用计算机办公,同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外,很有可能被黑客攻陷或感染网络病毒。同时,企业现有的安全投资(如:防病毒软件、各种补丁程序、安全配置等)若处于不正常运行状态,终端员工没有及时更新病毒特征库,或私自卸载安全软件等,将成为黑客攻击内部网络的跳板。
三、内网安全实施策略
1.多层次的病毒、蠕虫防护
病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的,但我们可以控制它的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害减少到最低限度,甚至没有危害。这样,仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。
2.终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略,定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理,安全代理执行这些策略,以保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
3.全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患,以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题,除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题,同时对传统的网络边界访问控制没有解决的网络接入安全防护措施,而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时,检查客户端的安全策略状态是否符合企业整体安全策略,对于符合的外网访问则放行。一个全面的网络准入检测系统。
4.终端设备安全完整性保证
主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全,阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而,只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性,也就不能将该设备看成企业网络受信设备。
仅供参考,请自借鉴
希望对您有帮助
D. 如何保证网络安全
上网几乎是天天都要做的事情,网络安全很重要,如何才能确保上网安全,与你分享几招。
E. 计算机网络安全体系结构包括什么
计算机网络安全体系结构是由硬件网络、通信软件以及操作系统构成的。
对于一个系统而言,首先要以硬件电路等物理设备为载体,然后才能运
行载体上的功能程序。通过使用路由器、集线器、交换机、网线等网络设备,用户可以搭建自己所需要的通信网络,对于小范围的无线局域网而言,人们可以使用这
些设备搭建用户需要的通信网络,最简单的防护方式是对无线路由器设置相应的指令来防止非法用户的入侵,这种防护措施可以作为一种通信协议保护。
目前广泛采
用WPA2加密协议实现协议加密,用户只有通过使用密匙才能对路由器进行访问,通常可以讲驱动程序看作为操作系统的一部分,经过注册表注册后,相应的网络
通信驱动接口才能被通信应用程序所调用。网络安全通常是指网络系统中的硬件、软件要受到保护,不能被更改、泄露和破坏,能够使整个网络得到可持续的稳定运
行,信息能够完整的传送,并得到很好的保密。因此计算机网络安全设计到网络硬件、通信协议、加密技术等领域。
F. 需求一份局域网建立调整方案的思路及设计方案、ip地址分配规划表、网络拓扑图,越完整越好,大神们出招吧
发给你邮件了
局域网网络安全设计方案
一.画出本设计方案基于局域网的拓扑图,并有说明。
拓扑图如下:
拓扑结构分析:本设计的拓扑结构是以中间一个核心交换机为核心,外接Router0、Router2,DNS服务器(提供域名解析)、DHCP服务器(为该局域网分配IP地址)、Router3(做外网路由器用,通过它与Internet连接)、一个管理员主机(通过该主机可以对该网络的设备进行管理和配置)。另外Router2的作用是为了让它下面分配的不同Vlan之间能够相互访问。在Router3上还需配置防火墙、ACL、NAT等,主要是为了该网络的安全和易于管理。以上只是该网络的初级设计。
二在对局域网网络系统安全方案设计、规划,应遵循以下原则:
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
三.防病毒的方法和设计
第一:病毒可能带来哪些威胁
一旦中毒,就可能对系统造成破坏,导致数据泄露或损坏,或者使服务可用性降低。防病毒解决方案关注因感染病毒、间谍软件或广告软件而造成的威胁。“病毒”一词通常用于描述某类特定的恶意代码。经过正确分析和规划的防病毒解决方案可防范广泛的恶意或未经授权的代码。
第二:病毒是通过哪些方式或者载体来给我们带来威胁
病毒的载体是用于攻击目标的途径。了解恶意代码、间谍软件和广告软件所利用的威胁的载体,有助于组织设计防病毒解决方案来防止被未经授权的代码感染,并阻止其扩散。常见的威胁的载体有网络(包括外部网络和内部网络)、移动客户端(包括连接到网络的来宾客户端和员工计算机等)、应用程序(包括电子邮件、HTTP和应用程序等)和可移动媒体(包括u盘、可移动驱动器和闪存卡等)。
第三:如何有效地防止病毒侵入
防病毒软件:用于清除、隔离并防止恶意代码扩散。
安全机制:防火墙解决方案不足以为服务器、客户端和网络提供足够的保护,以防范病毒威胁、间谍软件和广告软件。病毒不断发展变化,恶意代码被设计为通过新的途径,利用网络、操作系统和应用程序中的缺陷。及时地添加补丁,更新软件,对网络的安全性好很大的帮助。
四.防木马的方法和设计
一:建立受限的账户
用“netuser”命令添加的新帐户,其默认权限为“USERS组”,所以只能运行许可的程序,而不能随意添加删除程序和修改系统设置,这样便可避免大部分的木马程序和恶意网页的破坏。
二:恶意网页是系统感染木马病毒及流氓插件的最主要途径,因此很有必要对IE作一些保护设置。安装360安全浏览器可以有效的做到这一点。
三:
1.禁止程序启动很多木马病毒都是通过注册表加载启动的,因此可通过权限设置,禁止病毒和木马对注册表的启动项进行修改。
2.禁止服务启动
一些高级的木马病毒会通过系统服务进行加载,对此可禁止木马病毒启动服务的权限。
可依次展开“HKEY_LOCAL_”分支,将当前帐户的“读取”权限设置为“允许”,同时取消其“完全控制”权限
五.防黑客攻击的方法和设计
1.隐藏IP地址
黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。
2.关闭不必要的端口
黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。
3.更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator账号。
首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
六.局域网防arp病毒攻击的方法和设计
1.安装arp防火墙或者开启局域网ARP防护,比如360安全卫士等arp病毒专杀工具,并且实时下载安装系统漏洞补丁,关闭不必要的服务等来减少病毒的攻击。
2.使用多层交换机或路由器:接入层采用基于IP地址交换进行路由的第三层交换机。由于第三层交换技术用的是IP路由交换协议,以往的链路层的MAC地址和ARP协议失效,因而ARP欺骗攻击在这种交换环境下起不了作用。
七.本设计的特色
实现本设计既简单又实用,而且操作起来十分方便,十分符合校内小型局域网的网络安全设计,完全可以符合一般学生的需要
八.心得体会
通过本次设计我认真查阅资料学到了很多知识对病毒、木马、黑客、以及黑客攻击都有了比较深入的了解,也提高了我对这些方面的兴趣,最为重要地是我知道了怎么去建立和保护一个安全的网络。
G. 内网管理安全
想从根本上管理好企业内网的安全,我个人觉得可以从以下几个方面入手:
1、对所有计算机的桌面操作行为进行审计,如:网页浏览行为、即时通讯聊天行为、下载行为、邮件收发、流量管控等
2、准入限制,未经登记的设备一律不准接入内网
3、移动存储管控,移动存储设备作严格管控,需要经过登记才能在内网使用,避免因为移动存储设备带来病毒和泄密
4、权限分级,对重要文档的查看、修改、删除权限进行分级,不同部门不同级别员工对应不同的权限。
5、对重要文档进行透明加密,在企业内部授权环境中可以正常使用,非授权环境中无法正常使用
以上的策略,均可通过类似IP-guard这样的内网安全软件来实现
IP-guard的部署包含一个控制台、客户端、服务器,通过控制设置客户端的管控、审计策略,实现一对多的统一管理。
至于解决方案,先明确需要解决哪些问题,罗列出来,比如上边我罗列的都是比较普遍的内网安全问题,如果这都是你要解决的,那你就按照这些问题来找对应的产品和解决方案就可以了。
H. 求企业局域网管理方案 ~!!!!高手进
第一章 总则
本方案为大型局域网网络安全解决方案,包括网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全解决方案的目标是在不影响局域网当前业务的前提下,实现对局域网全面的安全管理。
1.将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
3.通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
第二章 网络系统概况
2.1 网络概况
常见大型企业局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
2.1.1 网络概述
企业局域网通过千兆交换机在主干网络上提供1000M的独享带宽,通过二级交换机与各部门的工作站和服务器连接,并为之提供100M的独享带宽。利用与中心交换机连接的路由器,所有用户可直接访问Internet。
2.1.2 网络结构
常见大型企业的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,基于安全的重要程度和要保护的对象,可以在核心交换机上直接划分四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。
2.2 网络应用
企业局域网一般会提供如下主要应用:
1.文件共享、办公自动化、WWW服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统);
4.提供与Internet的访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
2.3 网络结构的特点
在分析企业局域网的安全风险时,应考虑到网络的如下几个特点:
1.网络与Internet直接连接,因此在进行安全方案设计时要考虑与Internet连接的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4.网络中的应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
总而言之,在进行网络方案设计时,应综合考虑到企业局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
第三章 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对企业局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。下述风险由多种因素引起,与企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素:
网络安全可以从以下五个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全。针对每一类安全风险,结合企业局域网的实际情况,具体分析网络的安全风险。
3.1 物理安全风险分析
网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提,在企业区局域网内,由于网络的物理跨度不大,,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2 网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
3.2.1 公开服务器面临的威胁
企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,一旦不能运行或者受到攻击,对企业的声誉影响巨大。同时公开服务器本身要为外界服务,必须开放相应的服务;每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。因此,规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
3.2.2 整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。企业局域网络系统中,一般只有一个Internet出口,使用一台路由器,作为与Internet连接的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
3.3 系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。我们可以这样讲:没有完全安全的操作系统。但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。因此,不但要选用尽可能可靠的操作系统和硬件平台。而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.4 应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面。以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到:机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于企业局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
3.5 管理的安全风险分析
管理是网络中安全最最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.6 黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接进入口令文件。黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。这时为了防止黑客,需要设置公开服务器,使得它不离开自己的空间而进入另外的目录。另外,还应设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.7 通用网关接口(CGI)漏洞
有一类风险涉及通用网关接口(CGI)脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力,提高服务器备份与恢复能力,提高站点内容的防篡改与自动修复能力。
3.8 恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。
3.9 病毒的攻击
计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。
3.10 不满的内部员工
不满的内部员工可能在WWW站点上开些小玩笑,甚至破坏。不论如何,他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工,可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
3.11 网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
第四章 安全需求与安全目标
4.1 安全需求分析
通过对企业局域网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
Ø 公开服务器的安全保护
Ø 防止黑客从外部攻击
Ø 入侵检测与监控
Ø 信息审计与记录
Ø 病毒防护
Ø 数据安全保护
Ø 数据备份与恢复
Ø 网络的安全管理
针对企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
4.2 网络安全策略
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分,即:
威严的法律:安全的基石是社会法律、法规、与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
先进的技术:先进的安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术。
严格的管理:各网络使用机构、企业和单位应建立相宜的信息安全管理办法,加强内部管理,建立审计和跟踪体系,提高整体信息安全意识。
4.3 系统安全目标
基于以上的分析,我们认为这个局域网网络系统安全应该实现以下目标:
Ø 建立一套完整可行的网络安全与网络管理策略
Ø 将内部网络、公开服务器网络和外网进行有效隔离,避免与外部网络的直接通信
Ø 建立网站各主机和服务器的安全保护措施,保证他们的系统安全
Ø 对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝
Ø 加强合法用户的访问认证,同时将用户的访问权限控制在最低限度
Ø 全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为
Ø 加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志
Ø 备份与灾难恢复——强化系统备份,实现系统快速恢复
Ø 加强网络安全管理,提高系统全体人员的网络安全意识和防范技术
第五章 网络安全方案总体设计
5.1 安全方案设计原则
在对这个企业局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
分步实施原则:由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
5.2 安全服务、机制与技术
安全服务:主要有控制服务、对象认证服务、可靠性服务等;
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等;在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
第六章 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、网络安全、系统安全、信息安全、应用安全和安全管理
6.1 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:
环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》
设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;
媒体安全:包括媒体数据的安全及媒体本身的安全。
在网络的安全方面,主要考虑两个大的层次,一是整个网络结构成熟化,主要是优化网络结构,二是整个网络系统的安全。
6.1.1 网络结构
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并且应该有结构化的设计,充分利用现有资源,具有运营管理的简便性,完善的安全保障体系。网络结构采用分层的体系结构,利于维护管理,利于更高的安全控制和业务发展。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时监控等。
6.1.2 网络系统安全
6.1.2.1 访问控制及内外网的隔离
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据企业的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。
防火墙具有以下五大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
6.1.2.2 内部网不同网络安全域的隔离及访问控制
在这里,主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内,就可以限制局部网络安全问题对全局网络造成的影响。
6.1.2.3 网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。检测工具应具备以下功能:
Ø 具备网络监控、分析和自动响应功能
Ø 找出经常发生问题的根源所在;
Ø 建立必要的循环过程确保隐患时刻被纠正;控制各种网络安全危险。
Ø 漏洞分析和响应
Ø 配置分析和响应
Ø 漏洞形势分析和响应
Ø 认证和趋势分析
具体体现在以下方面:
Ø 防火墙得到合理配置
Ø 内外WEB站点的安全漏洞减为最低
Ø 网络体系达到强壮的耐攻击性
Ø 各种服务器操作系统,如E_MIAL服务器、WEB服务器、应用服务器、,将受黑客攻击的可能降为最低
Ø 对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全不受黑客攻击和内部人 员误操作的侵害
6.1.2.4 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于去定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
6.1.2.5 网络防病毒
由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,计算机
I. 计算机网络课程设计 题目是 组建某政府办公局域网
把各种设备连接起来,路由器和外部连,PC连在交换上,其他的就要看你那个局域网里有多少台计算机了
J. 无线局域网中的安全措施
摘要:由于在现在局域网建网的地域越来越复杂,很多地方应用了无线技术来建设局域网,但是由于 无线网络 应用电磁波作为传输媒介,因此安全问题就显得尤为突出。本文通过对危害无线局域网的一些因素的叙述,给出了一些应对的安全 措施 ,以保证无线局域网能够安全,正常的运行。
关键字:WLAN,WEP,SSID,DHCP,安全措施
1、 引言
WLAN是Wireless LAN的简称,即无线局域网。所谓无线网络,顾名思义就是利用无线电波作为传输媒介而构成的信息网络,由于WLAN产品不需要铺设通信电缆,可以灵活机动地应付各种网络环境的设置变化。WIAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。但是,当用户对WLAN的期望日益升高时,其安全问题随着应用的深入表露无遗,并成为制约WLAN发展的主要瓶颈。[1]
2、 威胁无线局域网的因素
首先应该被考虑的问题是,由于WLAN是以无线电波作为上网的传输媒介,因此无线网络存在着难以限制网络资源的物理访问,无线网络信号可以传播到预期的方位以外的地域,具体情况要根据建筑材料和环境而定,这样就使得在网络覆盖范围内都成为了WLAN的接入点,给入侵者有机可乘,可以在预期范围以外的地方访问WLAN,窃听网络中的数据,有机会入侵WLAN应用各种攻击手段对无线网络进行攻击,当然是在入侵者拥有了网络访问权以后。
其次,由于WLAN还是符合所有网络协议的计算机网络,所以计算机病毒一类的网络威胁因素同样也威胁着所有WLAN内的计算机,甚至会产生比普通网络更加严重的后果。
因此,WLAN中存在的安全威胁因素主要是:窃听、截取或者修改传输数据、置信攻击、拒绝服务等等。
IEEE 802.1x认证协议发明者VipinJain接受媒体采访时表示:“谈到无线网络,企业的IT经理人最担心两件事:首先,市面上的标准与安全解决方案太多,使得用户无所适从;第二,如何避免网络遭到入侵或攻击?无线媒体是一个共享的媒介,不会受限于建筑物实体界线,因此有人要入侵网络可以说十分容易。”[1]因此WLAN的安全措施还是任重而道远。
3、无线局域网的安全措施
3.1采用无线加密协议防止未授权用户
保护无线网络安全的最基本手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准 方法 。许多无线设备商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能利用无线嗅探器直接读取数据。建议经常对WEP密钥进行更换,有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意问题就是用于标识每个无线网络的服务者身份(SSID),在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。[2]
但是目前IEEE 802.11标准中的WEP安全解决方案,在15分钟内就可被攻破,已被广泛证实不安全。所以如果采用支持128位的WEP,解除128位的WEP的是相当困难的,同时也要定期的更改WEP,保证无线局域网的安全。如果设备提供了动态WEP功能,最好应用动态WEP,值得我们庆幸的,Windows XP本身就提供了这种支持,您可以选中WEP选项“自动为我提供这个密钥”。同时,应该使用IPSec,,SSH或其他
WEP的替代方法。不要仅使用WEP来保护数据。
3.2 改变服务集标识符并且禁止SSID广播
SSID是无线接人的身份标识符,用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的,并且每个厂商都用自己的缺省值。例如,3COM 的设备都用“101”。因此,知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的 SSID。如果可能的话。还应该禁止你的SSID向外广播。这样,你的无线网络就不能够通过广播的方式来吸纳更多用户.当然这并不是说你的网络不可用.只是它不会出现在可使用网络的名单中。[3]
3.3 静态IP与MAC地址绑定
无线路由器或AP在分配IP地址时,通常是默认使用DHCP即动态IP地址分配,这对无线网络来说是有安全隐患的,“不法”分子只要找到了无线网络,很容易就可以通过DHCP而得到一个合法的IP地址,由此就进入了局域网络中。因此,建议关闭DHCP服务,为家里的每台电脑分配固定的静态IP地址,然后再把这个IP地址与该电脑网卡的MAC地址进行绑定,这样就能大大提升网络的安全性。“不法”分子不易得到合法的IP地址,即使得到了,因为还要验证绑定的MAC地址,相当于两重关卡。[4]设置方法如下:
首先,在无线路由器或AP的设置中关闭“DHCP服务器”。然后激活“固定DHCP”功能,把各电脑的“名称”(即Windows系统属陆里的“计算机描述”),以后要固定使用的IP地址,其网卡的MAC地址都如实填写好,最后点“执行”就可以了。
3.4 技术在无线网络中的应用
对于高安全要求或大型的无线网络,方案是一个更好的选择。因为在大型无线网络中维护工作站和AP的WEP加密密钥、AP的MAC地址列表都是非常艰巨的管理任务。
对于无线商用网络,基于的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,在不可信的网络(Internet)上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的隧道协议和第二层隧道协议都可以与标准的、集中的认证协议一起使用。同样,技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络VLAN (AP和服务器之问的线路)从局域网已经被服务器和内部网络隔离出来。服务器提供网络的认征和加密,并允当局域网网络内部。与WEP机制和MAC地址过滤接入不同,方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
3.5 无线入侵检测系统
无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测系统增加了无线局域网的检测和对破坏系统反应的特性。侵入窃密检测软件对于阻拦双面恶魔攻击来说,是必须采取的一种措施。如今入侵检测系统已用于无线局域网。来监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警。无线入侵检测系统不但能找出入侵者,还能加强策略。通过使用强有力的策略,会使无线局域网更安全。无线入侵检测系统还能检测到MAC地址欺骗。他是通过一种顺序分析,找出那些伪装WAP的无线上网用户无线入侵检测系统可以通过提供商来购买,为了发挥无线入侵检测系统的优良的性能,他们同时还提供无线入侵检测系统的解决方案。[1]
3.6 采用身份验证和授权
当攻击者了解网络的SSID、网络的MAC地址或甚至WEP密钥等信息时,他们可以尝试建立与AP关联。目前,有3种方法在用户建立与无线网络的关联前对他们进行身份验证。开放身份验证通常意味着您只需要向AP提供SSID或使用正确的WEP密钥。开放身份验证的问题在于,如果您没有其他的保护或身份验证机制,那么您的无线网络将是完全开放的,就像其名称所表示的。共享机密身份验证机制类似于“口令一响应”身份验证系统。在STA与AP共享同一个WEP密钥时使用这一机制。STA向AP发送申请,然后AP发回口令。接着,STA利用口令和加密的响应进行回复。这种方法的漏洞在于口令是通过明文传输给STA的,因此如果有人能够同时截取口令和响应,那么他们就可能找到用于加密的密钥。采用其他的身份验证/授权机制。使用 802.1x,或证书对无线网络用户进行身份验证和授权。使用客户端证书可以使攻击者几乎无法获得访问权限。
[5]
3.7其他安全措施
除了以上叙述的安全措施手段以外我们还要可以采取一些其他的技术,例如设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容;加强企业内部管理等等的方法来加强WLAN的安全性。
4、 结论
无线网络应用越来越广泛,但是随之而来的网络安全问题也越来越突出,在文中分析了WLAN的不安全因素,针对不安全因素给出了解决的安全措施,有效的防范窃听、截取或者修改传输数据、置信攻击、拒绝服务等等的攻击手段,但是由于现在各个无线网络设备生产厂商生产的设备的功能不一样,所以现在在本文中介绍的一些安全措施也许在不同的设备上会有些不一样,但是安全措施的思路是正确的,能够保证无线网络内的用户的信息和传输消息的安全性和保密性,有效地维护无线局域网的安全。
参考文献
[1]李园,王燕鸿,张钺伟,顾伟伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007, (5):91-94.
[2]王秋华,章坚武.浅析无线网络实施的安全措施[J].中国科技信息.2005, (17):18.
[3]边锋.不得不说无线网络安全六种简单技巧[J].计算机与网络.2006, (20):6.
[4]冷月.无线网络保卫战[J].计算机应用文摘.2006,(26):79-81.
[5]宋涛.无线局域网的安全措施[J]. 电信交换.2004, (1):22-27.