《大学生毕业设计(计算机网络专业)》由会员分享,可在线阅读,更多相关《大学生毕业设计(计算机网络专业)(20页珍藏版)》请在金锄头文库上搜索。
1、初中三年是我们人生旅程的一个驿站,三年的学习生活漫长却又短暂。这三年,每个学生都在逐渐蜕变而逐步走向成熟。不同的人有不同的经历,也有着相同的回忆。为了让即将毕业的学子留下最美好的回忆和对老师的感恩之情,表达我们全校师生对他们深切留恋和最美好的祝福大学生毕业设计(计算机网络专业)题目:XX公司网络安全架构设计【摘要】随着网络技术的发展,网络已经融入每个人的生活无处不在了,但是人们在享受互联网带来的便捷的同时,往往忽略了网络安全这一非常严峻的问题。主要研究的是网络安全的架构与实现,以有限公司为例,分别从防火墙的构架与实现、入侵检测的构架与实现、信息安全管理审计系统架构与实现及内网保密安全的构架与实
2、现四个方面详细介绍了网络安全的实现过程,增强了企业网络安全方面的防范能力。前言物流是指利用现代信息技术和设备,将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现,随商品生产的发展而发展,物流是一种古老的传统的经济活动。以前的物流企业一直是单纯的靠交通工具和人力劳动来运作整个公司的。但是随着网络的出现和发展,各行各业都随之改变,物流行业当然也受到很大的影响。如今网络正在逐步步入成熟阶段,网络、数据库等相关的应用技术在不断发展,网络运营及电子商务也被广泛应用。物流行业也从传统的人力劳动行业发展为结合信息技术为消费者提供服务
3、的行业。物流是将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现,随商品生产的发展而发展,物流即意味着企业的生产、流通的全部。而随着网络在企业中的普及和发张,物流行业也在走入物流信息化,物流信息化的定义是:利用信息技术整合企业内部的业务流程,使企业向着规模经营、网络化运作的方向发展。物流信息化是物流企业相互融合的重要手段。物流信息化因此是企业间和企业内部物流过程中所产生数据的全部记录。物流配送中心建设信息系统应充分支持管理者制订物流运作计划和实际的业务操作。尽管现代物流配送中心日趋向多样化和全面化发展,但构成其核心竞争
4、能力或有助于其获取竞争优势的还是其核心业务,如汇集客户的发货信息、组织货物的入库、配货、分拣、储存、出库、配送等。物流行业正以信息技术为手段,向综合性物流企业发展,积极发展第三方物流,实现物流的社会化、专业化、规模化,大幅度提升物流产业的优势。然而许多物流公司有简单的网络平台,但是却缺乏合理的网络安全设计和管理,其企业操作人员缺乏网络安全知识,所有的计算机基本上都在互联网,不断的被黑客种下病毒、木马,然后被劫持当成肉鸡,给公司带来麻烦甚至导致整个网络的瘫痪,造成公司内部存储的信息丢失;甚至于内部人员为了利益窃取出卖公司的利益,使公司造成重大的损失。正是如此,物流公司也越来越重视网络安全,甚至重
5、新打造一个稳定的平台。第一章公司现状.1公司简介XX公司是一家以国内公路运输和航空货运代理的综合物流企业,在物流界享誉较高的知名度。公司秉承“诚信为本,速度至上”的服务理念,保持积极进取、注重服务的态度,培养自己的人才,通过不断的优化服务和信息化系统的搭建,提升运输网络和标准化体系,创造最优化的运营模式,为广大客户提供安全、快速、专业、满意的物流服务。一直以来,公司都致力于与员工共同发展和成长,打造人企双赢局面,努力创造更多的社会效益,努力将晨曦打造成为中国人信任的国内物流运营商,实现“为中国提速”的使命。公司主要经营:晨曦运物流有限公司以及江西运输子公司、浙江运输子公司.有限公司成立于XX年
6、07月04日,现拥有员工150多名,是一家集运输仓储配送于一体的物流公司。现在的公司部门及职责如图1-1所示:.2公司网络状况该公司是物流业中进行企业信息化建设较早的公司,信息化建设的主要目的是用于公司信息统计等基础性工作。该公司的网络拓扑图如图1-2所示:该公司的局域网是一个信息点相对较为密集的百兆局域网系统,它所联接的现有近百个信息点为在整个公司内办公的各单位部门提供了一个信息交流平台。不仅如此,通过专线与Internet的连接,各个部门授权用户可以直接与互联网用户进行交流、查询资料等。这个公司的访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。web等服务
7、器和办公区客户机,通过内部网络的相互连接,然后与外网互联。基于基础的安全的考虑,在交换机上按地域和部门划分了五个网段。.3公司的网络安全问题公司一段时间后,基本实现了公司的办公信息化,但由于当初的投资力度及意识不够,以及公司领导未重视网络安全方面,导致公司的网络出现重大漏洞。在XX年10月份被人潜入公司内部网络,导致信息部中一项重要的招标文件泄露,被竞争公司知晓,以1万元的差距落选了该项目,导致公司的利益受到相当大的损害。为此,公司开始重视网络安全。在对公司的网络安全进行全面检查后,发现以下问题。.3.1主要安全隐患(1)病毒的入侵在之前的规划中,只提到了加大公司信息化管理的投资力度、采用计算
8、机处理数据、进行网络建设,而对于网络安全方面的建设力度较小,这样就使的黑客很容易就能在公司电脑植入病毒,从而引发重大灾情。(2)内部人员操作缺乏安全意识如今网络发展迅速,但是网络安全技术和信息的应用普及相对滞后,内部人员缺乏安全方面的的培训和学习,很容易忽略安全设备和系统,不能使其发挥相对的作用,这使的公司的网络存在较大的安全隐患。(3)设备物理安全由于网络中大部分的设备都是通过通信电缆通信的,为了布局合理性,往往核心设备都是放置在一个机房的,公司的机房只有简单的上锁没有专人巡查看守,这使得公司的网络物理设备存在较大的安全隐患。.3.2具体的网络安全问题公司网络拓扑不合理问题,没有硬件防火墙公
9、司网络中,没有做到内部网络与外部网络的安全隔离,在公司网络拓扑设计上只采用服务器经过路由器上网,而没有配置防火墙,内外网互联存在着很大的漏洞。用户身份认证问题在公司网络系统中,对具有远程访问权限的用户连接没有采用加密与身份认证手段。(3)没有入侵检测技术和网络监控技术,对于入侵的目标无迹可寻,内网安全存在严重漏洞,没有办法有效的保护公司的信息安全。第二章网络安全架构需求分析针对有限公司将再开设一个公司的情况,结合有限公司现在的网络状况和现有条件,对网络安全设计方面提出一下几点构思。2.1保证内网安全针对有限公司招标文件泄密的情况,保证内网安全是首要任务。主机防火墙的出现解决了其中比较矛盾突出的
10、问题,也是最基本的问题,就是关于基础安全;而近几年日趋完善的桌面或终端内网安全管理类产品的出现实现了集中的内网计算机安全管理,提供了对于内网两方面需求的满足即安全与管理。2.2保证广域网的接入安全Internet是一个高度开放的大环境,用户接入Internet就意味着完全将自己暴露在危机四伏的处境。通过网络防火墙可以过滤来自Internet的大部分攻击,防火墙能强化安全策略。防火墙能有效地记录Internet上的活动、限制暴露用户点、隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。防火墙是一个安全策略的检查站,所有进出的信息都必须通过防火墙,防火墙便成为安全问
11、题的检查点,使可疑的访问被拒绝于门外。2.3保证远程访问的安全远程访问是通过公众网来传输私有数据,因此保证数据安全性是远程访问的关键环节。远程访问由于使用Internet作为承载介质,VPN必须有足够的安全保障功能,通过高强度的加密算法保证数据不被侦听或篡改,确保接入用户身份的唯一性。另外,还可以控制用户对内网资源的访问权限,做的指定人访问指定资源,访问均在控制之中。第三章网络安全架构实现具体方案3.1设备链接拓扑图与网络划分通过对有限公司的现有网络情况进行分析后,硬件方面决定在现有网络上部署一台防火墙以及NIDS设备,软件方面决定采用趋势科技的防毒墙,设备链接拓扑图如图所示:1、wAN口接入
12、一台Pc作为外部主机(开启22端口和21端口即SSH服务和FTP服务),地址10.0.0.100/24,网关指向10.0.0.1;2、DmZ口接入一个web服务器提供web服务和一个文件服务器提供文件服务,web服务器地址172.16.0.2/29网关指向172.16.0.1;文件服务器地址为172.16.0.3/29网关指向172.16.0.1;3、LAN区域接入一个192.168.1.0/24的子网,网关指向192.168.1.1。4、IP网段是连续的IP地址,为:192.168.0.1-192.168.0.1685、防火墙管理pc机的IP为:192.168.0.16、NIDS管理pc机的
13、IP为:192.168.0.27、信息安全管理审计系统管理pc机的IP为:192.168.0.38、内网保密安全系统的管理终端IP为:192.168.0.49、web服务器IP地址为:172.16.0.20、文件服务器IP地址为:172.16.0.31、内网保密安全系统的总控中心服务器IP为:172.16.0.42、外网pc1IP为:10.0.0.1003、内网pc1IP为:192.168.1.24、内网pc2IP为:192.168.1.65、内网pc3IP为:192.168.1.1633.2防火墙的构架与实现3.2.1连接与登录配置一、设备的选型针对有限公司的网络分析,经过研究实验,决定采用
14、蓝盾公司型号为BDFw-m3000的防火墙。二、利用浏览器登陆防火墙管理界面、根据拓扑图将Pc机与防火墙的ADmIN网口连接起来,当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上2、客户端设置,设置本地连接IP地址为:192.168.0.13、使用ping命令测试防火墙和管理Pc间的连接情况。打开IE浏览器,输入管理地址http:/192.168.0.1:81,进入欢迎界面,在防火墙的欢迎界面输入用户名和密码,点击“登录”进入防火墙管理系统。三、配置基本内容、网段、IP地址、端口配置2、创建、编辑规则防火墙中需要对规则进行操作,以对SNAT策略进行了编辑:添加策略:在“增加设置”中
15、,设置相应参数,单击保存则在“设置列表”添加一个规则,保存之后的界面如图所示:然后点击“编辑”对SNAT策略进行编辑,编辑完之后保存。3.2.2透明模式(网桥模式)的安装与部署在透明模式下,防火墙相当于一个网桥,通过将两个网口桥接起来,也即将交换机和路由器直接连接起来,从而无需改动原有网络结构,将防火墙透明的加入网络。对于连接内网的LAN2口,其IP地址要设成和内网在同一个网段。一、将防火墙接入当前网络、将防火墙按照拓扑所示接入当前网络,由路由器引入的外线接wAN口,由交换机引出的内部网线接LAN口2、检验加入后网络状况二、配置桥接、进入桥接设定界面,“网络设置”“网口配置”“网口”,由于桥接要求网口不能是内网口,并且在该网口上没有配置外线连接,将LAN3口(LAN)、LAN4口(wAN)上的IP全部去掉2、启用桥接进入桥接设定界面,“网络设置”“网口配置”“桥接设定”,下面左边的框中就出现了可供选择的接口定义一条桥接规则:选择LAN、wAN,双击“>>>”移到右边的框中,然后添加,添加成功,在“现有规则”中会出现一条定义好的规则,然后重启。
