《毕业设计答辩》由会员分享,可在线阅读,更多相关《毕业设计答辩(18页珍藏版)》请在金锄头文库上搜索。
1、中小企业网络安全设计Network security design for small and medium sized enterprises论文背景 企业信息化已经得到了迅速的发展,而且发挥着 越来越重要的作用,由于受资金、安全意识方面的 限制,信息安全建设相对严重滞后。网络管理员在 实际维护公司网络的过程中,常遇到各种网络安全 问题,例如:网络黑客攻击、网络蠕虫病毒泛滥、 各种木马程序等等。由于考虑到Internet的安全性 ,以及网络安全等一些因素,如DDoS、ARP等。需要 增加防火墙和设置相关的策略和其他一些安全策 略。1.系统漏洞、安全隐患多 2.病毒扩散速度快 3.网络使用人员
2、安全意识薄弱 4.网络管理漏洞较多 5.内部网络无法管控 6.信息保密性难以保证 7.基础网络应用成为黑客和病毒制造者的攻击目标企业网络面临的安全问题企业之前的网络拓扑为了提高安全防护,现将上述网络拓扑进行安全整改针对企业的网络现状进行整改,我们准备在汇聚层、接入层之间加入开源的防火墙和入侵检测系统。企业整改后的网络拓扑数据包防火墙是在网络层中对数据包推行有选择的通过,依据系统事 先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源 地址,目标地址,以及包所使用的端口是否允许该类数据包通过。这种 防火墙速度快而且易于维护通常作为第一道关卡。1.数据过滤防火墙应用网关防火墙是在网络应用层
3、创建协议过滤和转发功能。针对特定 的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对 数据包进行必要的分析,登记和统计,形成报告。实际中的应用网关防 火墙通常安装在专用工作站上。2.应用网关防火墙代理服务器提供了详细的日志和审计功能,大大提高了网络的安全性 ,也为改进现有软件的安全性能提供了可能。但会降低网络性能。使 用代理服务器型防火墙的好处是,它可以提供用户级的身份认证、日 志记录和帐号管理,彻底分开外部与内部网络。但是,所有内部网络 的主机均需通过代理服务器主机才能获得Internet上的资源,因此会 造成使用上的不便。3.代理型防火墙防火墙总体上分为三大类PfSense 是基
4、于物理或虚拟机上安装FreeBSD,制作专用防火 墙/路由器的网络,并以其可靠性。它可以通过基于Web的界面进行 配置和升级。可以当做防火墙配置策略,也有着路由器的功能,还 可以在其上面下载各种所需软件包。其分为WEB管理与命令行管理 两种方式,可以使用LAN口的地址浏览器访问防火墙。防火墙规则是这样的,Pfsense网关共三个网卡分别用于WAN、 LAN、DMZ,WAN只允许访问DMZ区域中服务器的80等服务端口,DMZ 只允许访问互连网,LAN允许访问anywhere。防火墙规则的高级选项中有很多实用功能,比如7层过滤、重 定向、连接数限制、速度限制等。Pfsense防火墙入侵检测系统(I
5、DS)是网络安全系统中不可缺少的部分,他对防火墙系统中的不足之处有很大的弥补作用,可以补救防火墙静态防御的不足。一个完整的入侵检测系统分为以下组件:事件产生器,事件分析器,响应单元和事件数据库。入侵检测系统通用模型如下图网络入侵检测技术Snort是一个开源的网络入侵防御软件和网络入侵检测 软件。snort 系统由数据包嗅探、包解码、包预处理、检测 和输出 5 个子模 块组成。snort的检测是基于规则库的,所有snort规则都被保存 在文本文件中,并按照攻击类型保存为不同名称的文件,这 些文件构成了规则库。snort在启动时通过配置文件来读取 规则检测数据包以发现入侵事件,并进行处理,可供选择
6、的 方式有:忽略、记录或报警。Snort入侵检测系统安全分析引擎:将snort检测到的数据包,转 换给base,显示在WEB界面上, 使数据变得更加可视化。Snort架构: 我们的snort是基于centos的 Snort+barnyard+base访问控制是网络安全防范和保护的主要策略,它的主要任务是保 证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保 护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保 护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制主要有两种类型: 网络访问控制和系统访问控制。网络访问控制限制外部对主机网络服务的访问和系统内部对外
7、部 的访问,通常由防火墙实现。系统访问控制为不同的用户赋予不同主机资源访问权限,操作系 统提供一定的功能实现系统访问控制物理安全策略的目的是保护计算机系统、网络服务器、打印机等 硬件实体和信链路免受自然灾害、人为破坏和搭线攻击;验证用户的 身份和使用权限、防用户越权操作;确保计算机系统有一个良好的电 磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控 制室和各种偷窃、破坏活动的发生。中小企业网络安全具体实施措施1.访问控制策略2.物理安全策略入侵检测系统与防火墙联动入侵检测系统与防火墙有很强的互补性,所以在 网络安全系统设计过程中,入侵检测系统疆场与防 火墙实现联动。目前实现入侵检测
8、系统与防火墙之 间的互动有两种方法;一种是入侵监测系统嵌入到防火墙中,入侵检测 系统的数据不再来源于所抓的包而是经过防火墙的 数据流。通过的数据包不仅接受防火墙规则分辨还 要检测是否具有攻击行为。第二种方式是通过开放接口实现与防火墙的互 动。在入侵检测系统与与防火墙实现联动的过程中,在防火墙中驻留一个服务端程序,在IDS中驻留一个客户端程序。驻留程序客户端在发现攻击行为后产生控制信息。信息一般包括攻击者IP地址,端口,控制类型和时间,以及被攻击者主机IP地址和端口等信息收集信息将控制信息传递给服务器端(防火墙端),服务端接受来自客户端(IDS端)的控制信息,然后在动态生成防火墙的过滤规则最终实
9、现联动。生成规则防火墙与入侵检测系统联动过程为使中小网络处于安全级别较高的环境1.禁止外部网络非法用户访问内部网络的数据 2.进行访问网络的控制,各个部门之间在未经 授权的情况下,不能相互访问。 3.加强对网络的监控,对可能面临的攻击要进 行实时监控,并且记录分析 4.加强对病毒的防范总 结随着信息技术的不断发展,网络安全问题越来越突出,中小企业要提高自身信息安全,首先要加强安全风险防范意识,建立信息安全体制。做好需求分析。安全技术不可能杜绝所有的对企业信息安全的侵扰和破坏,所以企业也要在安全策略的施行及安全教育的开展方面加以足够的重视,感 谢 大 家 的 观 看Thank you for watching
