中小型局域網(wǎng)設(shè)計(jì)方案rendahit_第1頁
中小型局域網(wǎng)設(shè)計(jì)方案rendahit_第2頁
中小型局域網(wǎng)設(shè)計(jì)方案rendahit_第3頁
中小型局域網(wǎng)設(shè)計(jì)方案rendahit_第4頁
中小型局域網(wǎng)設(shè)計(jì)方案rendahit_第5頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、局域網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案一.畫出本設(shè)計(jì)方案基于局域網(wǎng)的拓?fù)鋱D,并有說明。拓?fù)鋱D如下:拓?fù)浣Y(jié)構(gòu)分析:本設(shè)計(jì)的拓?fù)浣Y(jié)構(gòu)是以中間一個(gè)核心交換機(jī)為核心,外接Router0、Router2,DNS服務(wù)器(提供域名解析)、DHCP服務(wù)器(為該局域網(wǎng)分配IP地址)、Router3(做外網(wǎng)路由器用,通過它與Internet連接)、一個(gè)管理員主機(jī)(通過該主機(jī)可以對(duì)該網(wǎng)絡(luò)的設(shè)備進(jìn)行管理和配置)。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火墻、ACL、NAT等,主要是為了該網(wǎng)絡(luò)的安全和易于管理。以上只是該網(wǎng)絡(luò)的初級(jí)設(shè)計(jì)。二 在對(duì)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)

2、劃,應(yīng)遵循以下原則:需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則:對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等),并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。一致性原則:一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等,都要有安全的內(nèi)容光煥發(fā)及措施,實(shí)際上,在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策,比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施,不但容易,且花

3、費(fèi)也小得多。易操作性原則:安全措施需要人為去完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性。其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層保護(hù)被攻破時(shí),其它層保護(hù)仍可保護(hù)信息的安全。三.防病毒的方法和設(shè)計(jì)第一:病毒可能帶來哪些威脅一旦中毒,就可能對(duì)系統(tǒng)造成破壞,導(dǎo)致數(shù)據(jù)泄露或損壞,或者使服務(wù)可用性降低。防病毒解決方案關(guān)注因感染病毒、間諜軟件或廣告軟件而造成的威脅?!安《尽币辉~通常用于描述某類特定的惡意代碼。經(jīng)過正確分析和規(guī)劃的防病毒解決方案可防范廣泛的惡意或未經(jīng)授權(quán)的代碼。 第二:

4、病毒是通過哪些方式或者載體來給我們帶來威脅 病毒的載體是用于攻擊目標(biāo)的途徑。了解惡意代碼、間諜軟件和廣告軟件所利用的威脅的載體,有助于組織設(shè)計(jì)防病毒解決方案來防止被未經(jīng)授權(quán)的代碼感染,并阻止其擴(kuò)散。常見的威脅的載體有網(wǎng)絡(luò)(包括外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò))、移動(dòng)客戶端(包括連接到網(wǎng)絡(luò)的來賓客戶端和員工計(jì)算機(jī)等)、應(yīng)用程序(包括電子郵件、HTTP和應(yīng)用程序等)和可移動(dòng)媒體(包括u盤、可移動(dòng)驅(qū)動(dòng)器和閃存卡等)。第三:如何有效地防止病毒侵入防病毒軟件:用于清除、隔離并防止惡意代碼擴(kuò)散。安全機(jī)制:防火墻解決方案不足以為服務(wù)器、客戶端和網(wǎng)絡(luò)提供足夠的保護(hù),以防范病毒威脅、間諜軟件和廣告軟件。病毒不斷發(fā)展變化,惡意

5、代碼被設(shè)計(jì)為通過新的途徑,利用網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用程序中的缺陷。及時(shí)地添加補(bǔ)丁,更新軟件,對(duì)網(wǎng)絡(luò)的安全性好很大的幫助。四.防木馬的方法和設(shè)計(jì)一:建立受限的賬戶用“net user”命令添加的新帳戶,其默認(rèn)權(quán)限為“USERS組”,所以只能運(yùn)行許可的程序,而不能隨意添加刪除程序和修改系統(tǒng)設(shè)置,這樣便可避免大部分的木馬程序和惡意網(wǎng)頁的破壞。二:惡意網(wǎng)頁是系統(tǒng)感染木馬病毒及流氓插件的最主要途徑,因此很有必要對(duì)IE作一些保護(hù)設(shè)置。安裝360安全瀏覽器可以有效的做到這一點(diǎn)。三:1禁止程序啟動(dòng)很多木馬病毒都是通過注冊(cè)表加載啟動(dòng)的,因此可通過權(quán)限設(shè)置,禁止病毒和木馬對(duì)注冊(cè)表的啟動(dòng)項(xiàng)進(jìn)行修改。2禁止服務(wù)啟動(dòng)一些

6、高級(jí)的木馬病毒會(huì)通過系統(tǒng)服務(wù)進(jìn)行加載,對(duì)此可禁止木馬病毒啟動(dòng)服務(wù)的權(quán)限。可依次展開“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services”分支,將當(dāng)前帳戶的“讀取”權(quán)限設(shè)置為“允許”,同時(shí)取消其“完全控制”權(quán)限五.防黑客攻擊的方法和設(shè)計(jì)1.隱藏IP地址 黑客經(jīng)常利用一些網(wǎng)絡(luò)探測(cè)技術(shù)來查看我們的主機(jī)信息,主要目的就是得到網(wǎng)絡(luò)中主機(jī)的IP地址。IP地址在網(wǎng)絡(luò)安全上是一個(gè)很重要的概念,如果攻擊者知道了你 的IP地址,等于為他的攻擊準(zhǔn)備好了目標(biāo),他可以向這個(gè)IP發(fā)動(dòng)各種進(jìn)攻,如DoS(拒絕服務(wù))攻擊、Floop溢出攻擊等。隱藏IP地址的主要方法是使 用

7、代理服務(wù)器。與直接連接到Internet相比,使用代理服務(wù)器能保護(hù)上網(wǎng)用戶的IP地址,從而保障上網(wǎng)安全。代理服務(wù)器的原理是在客 戶機(jī)(用戶上網(wǎng)的計(jì)算機(jī))和遠(yuǎn)程服務(wù)器(如用戶想訪問遠(yuǎn)端WWW服務(wù)器)之間架設(shè)一個(gè)“中轉(zhuǎn)站”,當(dāng)客戶機(jī)向遠(yuǎn)程服務(wù)器提出服務(wù)要求后,代理服務(wù)器首先截 取用戶的請(qǐng)求,然后代理服務(wù)器將服務(wù)請(qǐng)求轉(zhuǎn)交遠(yuǎn)程服務(wù)器,從而實(shí)現(xiàn)客戶機(jī)和遠(yuǎn)程服務(wù)器之間的聯(lián)系。很顯然,使用代理服務(wù)器后,其它用戶只能探測(cè)到代理服務(wù) 器的IP地址而不是用戶的IP地址,這就實(shí)現(xiàn)了隱藏用戶IP地址的目的,保障了用戶上網(wǎng)安全。提供免費(fèi)代理服務(wù)器的網(wǎng)站有很多,你也可以自己用代理獵手等工具來查找。2.關(guān)閉不必要的端口黑客

8、在入侵時(shí)常常會(huì)掃描你的計(jì)算機(jī)端口,如果安裝了端口監(jiān)視程序 (比如Netwatch),該監(jiān)視程序則會(huì)有警告提示。如果遇到這種入侵,可用工具軟件關(guān)閉用不到的端口,比如,用“Norton Internet Security”關(guān)閉用來提供網(wǎng)頁服務(wù)的80和443端口,其他一些不常用的端口也可關(guān)閉。3.更換管理員帳戶Administrator帳戶擁有最高的系統(tǒng)權(quán)限,一旦該帳戶被人利用,后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator賬號(hào)。首先是為Administrator帳戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼,然后我們重命名Admini

9、strator帳戶,再創(chuàng)建一個(gè)沒有管理員權(quán)限的 Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個(gè)帳戶真正擁有管理員權(quán)限,也就在一定程度上減少了危險(xiǎn)性。六.局域網(wǎng)防arp病毒攻擊的方法和設(shè)計(jì)1.安裝arp防火墻或者開啟局域網(wǎng)ARP防護(hù),比如360安全衛(wèi)士等arp病毒專殺工具,并且實(shí)時(shí)下載安裝系統(tǒng)漏洞補(bǔ)丁,關(guān)閉不必要的服務(wù)等來減少病毒的攻擊。2. 使用多層交換機(jī)或路由器:接入層采用基于IP地址交換進(jìn)行路由的第三層交換機(jī)。由于第三層交換技術(shù)用的是IP路由交換協(xié)議,以往的鏈路層的MAC地址和ARP協(xié)議失效,因而ARP欺騙攻擊在這種交換環(huán)境下起不了作用。七.本設(shè)計(jì)的特色 實(shí)現(xiàn)本設(shè)計(jì)既簡(jiǎn)單又

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論