《《维信广告公司网络构建--安全》-公开DOC·毕业论文》由会员分享,可在线阅读,更多相关《《维信广告公司网络构建--安全》-公开DOC·毕业论文(34页珍藏版)》请在金锄头文库上搜索。
1、 浙江 技术学院毕业论文(2011届)维信广告公司网络构建学生姓名 学 号 分 院 指导教师 完成日期 34维信广告公司网络构建摘 要 因特网的迅猛发展给众的生活带来了极大的方便的,但同时因特网也面临着空前的威胁。因此,如何使用有效可行的方法使用网络危险降到众可接受的范围之内越来越受到人们的关注。而如何实施防范策略,首先取决于当前系统的安全性。所以对网络安全的各独立元素防火墙、VPN等进行风险评估是很有心要的。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点
2、从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。本论文主要解决了一些公司网络不安全的问题,比如FTP,WEB,电子邮件的访问控制配置,地址转换的配置,公司员工上网流量的控制。关键词 防火墙 地址转换 访问控制目 录第一章 安全设备概述41.1 什么是防火墙41.2什么是VPN41.3为什么要用防火墙41.5 防火墙的分类51.6如何选择防火墙8第二章 局域网的需求分析和设计102.1背景描述102.2安全局域网的需求分析102.3 局域网拓扑图112.4局域网功
3、能图12如图2-2 功能结构图122.5局域网功能的详细介绍12第三章 防火墙的详细配置143.1 IP地址的分配143.1.1 防火墙物理接口地址配置143.1.2 各服务器的 IP 地址分配173.2地址转换的配置183.3 访问控制的配置203.4流量的带宽设置及HTTP与POP3过滤273.4开放telnet服务303.5 服务器MAC绑定31结论32致 谢33参考文献34第一章 安全设备概述1.1 什么是防火墙防火墙原意是指阻止火势蔓延的墙避,后来引伸到网络中的意思为阻隔内网和外网的设备或者是软件。1.2什么是VPN虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个
4、临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用
5、于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。1.3为什么要用防火墙在 Internet上,黑客使用恶意代码尝试查找未受保护的计算机有些攻击仅仅是单纯的恶作剧,而有些攻击则是心怀恶意。这些更为严重的攻击可能试图从您的计算机删除信息、使系统崩溃或甚至窃取个人信息,如密码或信用卡号。幸运的是,您可以通过使用防火墙来降低感染的风险。1.5 防火墙的分类防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。因此,可以将防火墙分为包过滤防火墙、应用代理(网关)防火墙和状态(检测)防火墙三类。1. 包过滤防火墙包过滤防火墙工作在网络层,对数据包的
6、源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、Switch Router以及某些操作系统已经具有用 Packet Filter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。包过滤防火墙具有根本的缺陷:1) 不能防范黑客攻击。包过滤防火墙的工作基于一个前提,就是网管知道哪些IP是可信网络,哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源 IP包改成合法IP即可轻松通过包过滤防火墙,进入内网
7、,而任何一个初级水平的黑客都能进行IP地址欺骗。2) 不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用FTP协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。3) 不能处理新的安全威胁。它不能跟踪 TCP状态,所以对TCP层的控制有漏洞。TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他进入一样,难以履行保护内网安全的职责。2. 应用代理防火墙应用代理防火墙彻底隔断内网与外网的直接通
8、信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。应用代理防火墙的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点也非常突出,主要有:1) 难于配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。2) 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极
9、高的安全性。但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web访问不能及时得到响应。总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。在IT领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。
10、因此,在一些重要的领域和行业的核心业务应用中,代理防火墙正被逐渐疏远。但是,自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。3. 状态检测防火墙Internet上传输的数据都必须遵循 TCP/IP协议,根据 TCP协议,每个可靠连接的建立需要经过“客户端同步请求“服务器应答”、“客户端再应答”三个阶段,常用到的Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。状态检测防火墙摒弃
11、了包过滤防火墙仅考查数据包的 IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。1.6如何选择防火墙防火墙系统可以说是网络的第一道防线,因此一个企业在决定使用防火墙保
12、护内部网络的安全时,它首先需要了解一个防火墙系统应具备的基本功能,这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能:1. 防火墙的设计策略应遵循安全防范的基本原则-除非明确允许,否则就禁止。2. 防火墙本身支持安全策略,而不是添加上去的;3. 如果组织机构的安全策略发生改变,可以加入新的服务;4. 有先进的认证手段或有挂钩程序,可以安装先进的认证方法;5. 如果需要,可以运用过滤技术允许和禁止服务;6. 可以使用FTP和Telnet等服务代理,以便先进的认证手段可以被安装和运行在防火墙上;拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤,数据包
13、的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。如果用户需要NNTP(网络消息传输协议)、XWindow、HTTP和Gopher等服务。防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能,以减少SMTP服务器和外界服务器的直接连接,并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问,应把信息服务器和其他内部服务器分开。第二章 局域网的需求分析和设计2.1背景描述维信传媒有限公司是中国网络品牌策划设计行业的领头公司,曾荣获中国企业形象设计大赛金奖等国内外多项奖项!维信经过多年的洗礼,在激烈的市场竞争中脱颖而出,业绩
14、斐然,已成为全国最具专业的网络策划设计公司。 维信以国际标准严格规范自身,讲求创意的重要性,品牌价值的实效性和运作流程全面规范化。维信实施专家项目负责制,让每一环节达到更专业、更规范的综合服务深度。服务范围包括:品牌创建、品牌更新;品牌CI系统策划、视觉识别VI系统设计、发展战略规划、理念行为系统策划;品牌整合推广、包装系统设计、连锁专卖系统设计、广告创意、企业文化建设、市场策划等。 维信以高瞻的国际视野和高水准的专业素质,提供创造性的品牌实效驱动体系,一直致力于塑造高品质的品牌,培育具有国际水准的中国名牌,提升企业竞争力。2.2安全局域网的需求分析目前企业局域网的安全威胁主要来自以下几个方面
15、:一是来自网络攻击的威胁,会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁,造成我们的商业机密泄漏,内部服务器被非法访问,破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁,造成服务器或者工作站被计算机病毒感染,而使系统崩溃或陷入瘫痪,甚至造成网络瘫痪。这就需要构建一个全面的企业网络安全防护体系,以确保企业的信息网络和数据安全,避免由于安全事故给企业造成不必要的损失呢。防火墙作为公司网络实施安全防护的核心,网络管理员可以制定安全策略有选择地允许和拒绝某些网络流量,这些工作都可以由防火墙来完成。具体的需求如下:1. 内外网隔离,公司内部电脑要通过NAT转换后访问Internet。2. 有效控制各部门的访问权限。3. 屏蔽部分网址,提高员工工作效率。4. 有效控制下载流量,提高网络利用率。2.3 局域网拓扑图如图2-1 拓扑结构图2.4局域网功能图安全局域网构建访问控制内容过滤地址转换VPNFT
