网络安全设计

《网络安全技术》课程设计。

班级： 11级网络工程1班

实践地点：校内。

姓名：张俊

学号： 1 1 5 3 9 0 0 5

一、网络安全技术课程设计的目的。

网络安全课程设计是网络工程专业重要的实践性教学环节，本课程设计的目的是：使学生通过实践环节深入理解和掌握课堂教学内容，掌握各种网络安全技术的配置，特别是防病毒体系、网络防火墙的配置，初步了解入侵检测、漏洞扫描的配置，了解各种网络安全系统的运行状况及使用效果，最后从网络安全工程的角度编写一份网络安全解决方案，提高其解决实际问题的能力。

二、要求完成的内容。

1、本年度网络安全事件调查报告一份。要求对本年度的网络安全事件进行调查统计，写一份简要的调查报告。

2、xx高校网络安全解决方案一份。具体内容包括：

（1）网络安全需求分析，网络安全产品选型，网络拓扑结构图。

（2）操作系统的安全配置、测试。

（3）应用服务器系统的漏洞扫描和安全配置，重点是www服务器（**）的安全设计、配置与测试。

（4）恶意**的防范系统设计，重点是防病毒体系的设计。

（5）防火墙设计、配置与测试。

三、课程设计的资料。

1、设计背景：

xx高校是我省省属重点大学。该校拥有已开通信息点1万多个，上网电脑一万多台，校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。

xx高校的网络结构分为核心、汇聚和接入3个层次，网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构，可以通过chinanet，也可以通过cernet进入互联网。

学校有16个c的教育网ip地址和8个chinanet的ip地址。目前提供的网络服务有：www服务、mail服务、ftp服务、vod服务，图书馆电子图书数据库服务等。

2、安全需求

（1）防止校园网外部用户对校园网内的用户进行攻击

（2）校园网外部用户只能访问www服务、mail服务，其他服务只对校园网内部用户开放。

（3）考虑到易用性，所有服务器的操作系统采用windows server，www服务使用iis。

（4）需要防病毒系统。

xx高校网络安全解决方案。

服务器的选型及参数。

戴尔poweredge r710参数。

防火墙的选型及参数。

cisco asa5580-20-b

cisco asa5580-20-b综述

网络拓扑图。

操作系统的安全配置和测试。

1）物理安全。

设备的无人监控，加锁，防潮。

2）停止guest帐号。

3）限制用户数量。

对于windows nt/2000主机，如果系统帐户超过10个。

4）多个管理员帐号。

创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有administrator权限的帐户只在需要的时候使用。

5）管理员帐号改名。

6）陷阱帐号。

创建一个名为“administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

7）更改默认权限。

共享文件的权限从“everyone”组改成“授权用户。

8）安全密码。

要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。

9屏幕保护密码。

10）ntfs分区。

把服务器的所有分区都改成ntfs格式。ntfs文件系统要比fat、fat32的文件系统安全得多。

11）防毒软件。

设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。

12）备份盘的安全。

不能把资料备份在同一台服务器上，这样的话还不如不要备份。

服务器系统的漏洞扫描和测试。

1）机器有些用户没有密码，有些用户有些简单的密码。

2）不是所有的硬盘都是用的ntfs文件系统。

3）设置匿名登录的最大数量和权限。

4）没有设置自动更新。

5）没有设置用户登录密码的过期时间。

6） lls的锁定工具没在机器上运行。

7）一些lls的实例应用程序安装在机器上了。

8）父路径在一些**或虚拟目录被启用。

9） msadc , scrits虚拟目录在一个或更多的**下面。

10）internet explorer 对用户没有安全的设置。

恶意**的防范系统设计。

1.装一款技术比较先进和成熟的查毒软件，并自动升级，系统要打最新的补丁。

2.系统是人开发的，任何系统都存在漏洞，所以要做好数据的备份，这里我们选择差分备份，一旦机器中了病毒和木马，可以在很短的时间内回复。

3.在交换机上配置acl deny一些恶意**常用的端口。

ip access-list exten 100

access-list 100 deny tcp any any eq 135

access-list 100 deny tcp any any eq 136

access-list 100 deny tcp any any eq 139

access-list 100 deny tcp any any eq 445

access-list 100 deny tcp any any eq 4444

access-list 100 deny udp any any eq 135

access-list 100 deny udp any any eq 136

access-list 100 deny udp any any eq 445

access-list 100 deny udp any any eq 4444

access-list 100 deny udp any any eq netbios-ss

access-list 100 deny udp any any eq netbios-ns

access-list 100 deny udp any any eq netbios-dgm

access-list 100 permit ip any any

inter f0/1 – 24

ip access-group 100 in

防火墙的配置。

1. access-list：用于创建访问规则

这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

1）创建标准访问列表

命令格式：access-list [ normal special ] listnumber1 source-addr [ source-mask ]

2）创建扩展访问列表

命令格式：access-list [ normal special ] listnumber2 protocol source-addr source-mask [ operator port1 [ port2 ] dest-addr dest-mask [ operator port1 [ port2 ] icmp-type [ icmp-code ] log ]

网络安全设计

网络安全设计

网络安全设计

网络安全设计

其他用户还读了