网络综合课程设计
网络综合课程设计
合肥学院
计算机科学与技术系
课程设计报告
~年第二学期
姓名Xxx
学号Xxx
课程设计名称网络综合课程设计
专业班级09级网络工程(2)班
指导教师汪彩梅李正茂老师
年6 月
第一章绪论
第一节项目背景
经过“网络综合课程设计”的环节,以系统集成项目的调研、规划与实施为主线,根据专业所学,完成网络基础架构、网络系统的安装与配置、网络安全、网络管理等计算机网络技术的综合设计与应用。经过课程设计,使学生进一步巩固在计算机网络课程中学到的专业知识,深入掌握计算机网络工程的设计与施工、网络系统的安装与配置技术,了解网络系统建设各部分之间的相互关系,提高学生计算机网络技术的综合运用和实际动手能力,培养学生的分工协作的团队精神。
第二节总体目标
名称:某电器制造企业网络集成项目规划与实施
企业背景描述及需求:某电器制造企业分为制造、销售、管理、技术研发、财务等部门,拥有计算机400台,且已在ISP申请了210.46.1.1至210.46.1.7几个公网地址,要求为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇,企业要求建设对外的WWW服务,电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站,要求对用户实现域模式管理,建立严格的资源访问控制,为保证业务的正常开展,要求建立完善的网络安全体系和网络管理系统,允许外网可信任用户远程访问企业内网资源。
内容:完成该企业网络与信息化建设系统集成项目从规划到实施以及管理的全部工作。要求:
(1)项目的调研及用户需求分析工作必须细致和全面
(2)各分项设计与实施工作注重协调和关联
第三节任务和要求
1. 根据给出的背景描述做出详细的需求分析;
2. 根据需求完成该项目的整体架构设计,要求画出网络拓扑图;
3. 根据企业业务与管理的要求设计、规划并完成该企业园区网络基础架构部分的工作,深刻理解交换网络架构、部署实施要点,要求完成地址规划、vlan划分、三层交换、路由与地址转换,远程接入等环节,需有详细配置清单;
4. 根据业务和管理的安全性需求,完成该企业的网络安全体系设计,要求完成安全配置基本工作;
5. 要求采用当前主流的技术完成企业Web、Mail、dns、DHCP、数据库等基础服务的规划与建设,采用合适的技术实现企业内部门户网站以及采用何种操作系统;
6. 根据业务和管理的需求,完成该企业的网络管理体系设计,实现网络基础架构的管理、应用的监控和管理,建立和完善告警以及突发事件处理机制;
7. 详细设计及配置清单。
第二章需求分析
随着经济的飞速发展和社会信息化建设的大力推进,网络平台已经成为企业进行业务拓展、经营管理和进行形象宣传的一个独特的窗口。建立企业网络,早已不再是为了赶潮流或是博取好
听的名声,而是把网络技术同企业管理体系、工作流程和商务运作等紧密地联系在了一起,充分利用互联网不受时空限制的信息平台,建立最直接、丰富、快捷的商务沟通平台和管理平台,从而搭建高效的经营管理机制和商务运作平台。
按部门划分,方案中采用网络地址转化协议来使局域网中的计算机都经过转换地址来访问互联网,以保证公司内部的主机不被受到攻击。为全部用户提供安全的网络接入,园区网覆盖企业所有楼宇,企业建设对外的WWW服务,电子邮件,对内部用户的文件传输服务、内部域名服务和企业内部门户网站,对用户实现域模式管理,建立严格的资源访问控制,为保证业务的正常开展,建立完善的网络安全体系和网络管理系统,允许外网可信任用户远程访问企业内网资源。
对于该电器企业,采用CISCO核心交换机3560,对于二层交换机用CISCO 2960交换机,要对各部门进行vlan划分。在外网,采取了CISCO 2811路由器为网关。由于每个部门职责不同,因此需要的主机数不同。我将制造、管理和技术研发部门各配100台主机,销售和财务部门各50台,这样就满足了该企业将近400台主机的要求。还有技术部门是企业的核心,因此对其设置为能够访问外网或其它的主机,但别的主机都不能访问该部门的任何一台主机。经过ACL访问控制,能够控制网络的访问和非信任用户的控制。采取了相当多的服务器,是为了防止其它服务器宕掉之后,不会影响其它网络。
第三章系统概要设计
第一节设计原则
企业网的建设是一项非常复杂的系统工程,企业作为一个特殊的网络应用环境,它的建设与使用都有其自身的特点。FTP服务用于提供文件的上传和下载,是用于管理企业文件资源的一种非常常见的方法。
在选择局域网的网络技术时要体现开放式、分布式、安全可靠,维护简单的原则。企业网的建设主要应用局域网技术以及多媒体技术为主的各种网络技术。企业网建设是一项综合性非常强的系统工程,它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。
首先,企业网的建设是一个为企业运营活动长期服务的工作,因此在企业网的规划建设过程中,必须从企业长远发展规划出发,以服务于工业为基本点,结合企业当前办公的实际需要,做出科学的规划部署。坚持硬件建设与组织管理协调发展的原则,在重视硬件建设的同时,加强网络的组织管理水平,不断开发网络的功能,从而充分发挥企业网络的功效,提高企业网对企业的服务水平。
第二节整体架构设计
表3-1 对各个部门的划分
制造部门
10 192.168.10.1 192.168.10.2-
192.168.10.254
255.255.255.0
销售部门20 192.168.20.1 192.168.20.2-
192.168.20.254
255.255.255.0
管理部门30 192.168.30.1 192.168.30.2-
192.168.30.254
255.255.255.0
技术部门40 192.168.40.1 192.168.40.2-
192.168.40.254
255.255.255.0
财务部门50 192.168.50.1 192.168.50.2-
192.168.50.254
255.255.255.0 表3-2对DNS,FTP,DHCP等的配置:
DNS 192.168.60.254 192.168.60.1
FTP 192.168.60.254 192.168.60.2
SQL192.168.60.254 192.168.60.3
DHCP192.168.60.254 192.168.60.0
MAIL192.168.80.254 192.168.60.2
HTTP192.168.80.254 192.168.60.3
拓朴图
图3-1拓朴图
第三节主要技术介绍
1.配置VLAN:
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。虚拟网络是在整个网络中经过网络交换设备建立的虚拟工作组。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。虚拟工作组能够包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
2.配置DNS:
DNS是因特网的一项核心服务一种组织成域层次结构的计算机和网络服务命名系统。它作为能够将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,是将机器名字变成IP地址这样一种服务。在TCPIP中名字一种应用层的概念,而IP地址是一个网络层的概念,为了便于用户记录主机的位置,需要网络提供一种名字到地址的对应,也就是名字解析的问题,上下层之间的地址翻译在整个的TCPIP体系中并不只是名字—IP地址,名字到IP地址的翻译,IP地址到以太地址的翻译都是
一个地址解析的过程。
3.配置DHCP:
动态主机设置协议是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。。DHCP使IP地址的能够租用,对于许多拥有许多台计算机的大型网络来说,每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到1 不定,当租期到了的时候,服务器能够把这个IP地址分配给别的机器使用。客户也能够请求使用自己喜欢的网络地址及相应的配置参数。DHCP服务器自动为客户机指定IP地址,指定的配置参数有些和IP协议并不相关,但这必没有关系,它的配置参数使得网络上的计算机通信变得方便而容易实现了。
4.配置静态路由:
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其它的路由器。当然,网管员也能够经过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
在一个支持DDR的网络中,拨号链路只在需要时才拨通,因
此不能为动态路由信息表提供路由信息的变更情况。在这种情况下,网络也适合使用静态路由。
5.配置NAT
NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种经过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。借助于NAT,私有(保留)地址的"内部"网络经过路由器发送数据包时,私有地址被转换成合法的IP 地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
第四节设备选型
表3-3 设备选型
第四章系统详细设计4.1核心交换机配置:
Switch>en
Switch#sh run
Building configuration...
Current configuration : 2289 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec no service password-encryption
!
hostname Switch
!
!
!
ip routing
!
!
ip ssh version 1
!
!
interface FastEthernet0/1
switchport trunk allowed vlan 1,10 switchport trunk encapsulation dot1q !
interface FastEthernet0/2
switchport trunk allowed vlan 1,20
switchport trunk encapsulation dot1q !
interface FastEthernet0/3
switchport trunk allowed vlan 1,30 switchport trunk encapsulation dot1q !
switchport trunk allowed vlan 1,40
switchport trunk encapsulation dot1q
!
interface FastEthernet0/5
switchport trunk allowed vlan 1,50
switchport trunk encapsulation dot1q
!
interface FastEthernet0/6
no switchport
ip address 192.168.70.1 255.255.255.0 duplex auto
speed auto
!
interface FastEthernet0/7
no switchport
ip address 192.168.60.254 255.255.255.0 duplex auto
speed auto
!
interface FastEthernet0/8
!
Switch# en
Switch#sh run
Building configuration...
Current configuration : 2289 bytes
!
version 12.2
no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption
!
hostname Switch
!
!
ip routing
!
!
--More—
4.2二层交换机的相关配置:
以管理部门为例:
Switch>en
Switch#sh run
Building configuration...
Current configuration : 2179 bytes
!
version 12.1
no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption
!
hostname Switch
!
!
!
interface FastEthernet0/1
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/2
switchport trunk allowed vlan 1,20
switchport mode trunk
!
interface FastEthernet0/3 switchport access vlan 20 switchport mode access !
interface FastEthernet0/4 switchport access vlan 20 switchport mode access !
interface FastEthernet0/5 switchport access vlan 20 switchport mode access !
interface FastEthernet0/6 switchport access vlan 20 switchport mode access !
interface FastEthernet0/7 switchport access vlan 20 switchport mode access !
interface FastEthernet0/8 switchport access vlan 20
switchport mode access !
interface FastEthernet0/9 switchport access vlan 20 switchport mode access !
interface FastEthernet0/10 switchport access vlan 20 switchport mode access !
interface FastEthernet0/11 switchport access vlan 20 switchport mode access !
interface FastEthernet0/12 switchport access vlan 20 switchport mode access !
interface FastEthernet0/13 switchport access vlan 20 switchport mode access !
interface FastEthernet0/14 switchport access vlan 20 switchport mode access !
interface FastEthernet0/15 switchport access vlan 20 switchport mode access !
interface FastEthernet0/16 switchport access vlan 20 switchport mode access !
interface FastEthernet0/17 switchport access vlan 20 switchport mode access !
interface FastEthernet0/18 switchport access vlan 20 switchport mode access !
interface FastEthernet0/19 switchport access vlan 20
switchport mode access !
interface FastEthernet0/20 switchport access vlan 20 switchport mode access !
interface FastEthernet0/21 switchport access vlan 20 switchport mode access !
interface FastEthernet0/22 switchport access vlan 20 switchport mode access !
interface FastEthernet0/23 switchport access vlan 20 switchport mode access !
interface FastEthernet0/24 switchport access vlan 20 switchport mode access !
interface Vlan1
no ip address
shutdown
!
!
line con 0
!
line vty 0 4
login
line vty 5 15
login
!
!
End
4.3 DNS的配置:
学生网络安全方案设计4.doc
学生网络安全方案设计4 学生网络安全方案设计 网络安全关系到每一个人,今天小编要给大家介绍的便是学生网络安全方案设计,欢迎阅读! 学生网络安全方案设计(一) 围绕学校二一六年工作重点,坚持科学发展观,充分发挥学校网络中心的技术指导的管理职能,强化服务意识、责任意识、发展意识,巩固我校教育信息化成果,不断完善信息化建设水平,大力推进教育现代化进程,科学、规范、高效抓管理,求真、务实、优质育人才,努力争创省级教学示范学校,办优质初中教育。 1、采取切实可行的措施,加强对校园网的管理,继续完善相关规章制度,落实各项管理措施,确保学校网络安全畅通。学校要继续完善相关的网络制度,杜绝网络信息安全事故的发生,确保网络畅通,更好的服务与教育教学工作。采取积极可行的措施,在保证网络畅通的情况下,杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题,充分发挥网络的作用,提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度,使教师学会使用杀毒软件进行计算机病毒的查杀,确保学校网络畅通。基本上解决网络病毒在我校各计算机上的传播,保证网络不因病毒而导致堵塞、停网等现象的发生。 加强学校校园网网站建设和应用力度,使其服务于教学、
服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管好用好校园网,要有相当一部分学生也建有自己的学习网页。通过建设各种学习主页,广泛吸引学生、教师和家长及社会各界人士驻站,增强学校在社会上的良好形象,扩大学校知名度。管理员要不断学习相关业务知识,不断提高自己的业务能力,树立服务于教学的思想,管好用好校园网,不断更新网站内容,建设有自己独特风格的学校网站。 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班,加强培训指导,教师要将学习走在前头,自觉地学。大力提倡电子备课。 把学校微机室建“成绿色机房”,利用课余时间、休息日、节假日对学生开放,为广大学生提供健康、安全的网络学习环境。采取得力措施,杜绝师生玩电脑游戏,建设“无游戏校园”。 学生网络安全方案设计(二) 随着教育信息化建设工作的不断发展,我市部分学校建设了校园网,但由于在信息安全管理方面经验不足,措施不力,导致各室网络存在一定的信息安全隐患。为认真贯彻教育部以《教育部关于加强教育行业网络与信息安全工作的指导意见》的通知(教技发〔20xx〕4号)精神,充分利用校园网络为教育教学服务,进一步加强校园网络安全管理工作。 一、强化领导,提升校园网络安全防范意识。本着自主 防护,明确责任,按照“谁主管、谁主办、谁负责”的原则,切实落实网络与信息安全责任,加强工作领导,细化管理分工,落实责任到人,建立有效防范、及时发现、果断处置有害信息的工作机制。学校要建立健全安全管理组织机构,校长是网络安全
gijmlAAA计算机网络课程设计实验报告
计算机网络课程设计 实验报告
一、实验内容和要求 1、实验一数据包的捕获与分析 Wireshark是一种开源的网络数据包的捕获和分析软件,本实验通过Wireshark软件的安装使用,监控局域网的状态,捕获在局域网中传输的数据包,并结合在计算机网络课 程中学习到的理论知识,对常用网络协议的数据包做出分析,加深网络课程知识的理解和 掌握。具体内容及要求如下: Wireshark软件的安装; Wireshark软件的启动,并设置网卡的状态为混杂状态,使得Wireshark可以监 控局域网的状态; 启动数据包的捕获,跟踪PC之间的报文,并存入文件以备重新查; 设置过滤器过滤网络报文以检测特定数据流; 对常用协议的数据包的报文格式进行分析,利用协议分析软件的统计工具显示网 络报文的各种统计信息。 2、实验二网络层实验—Ping程序的设计与实现 实验目的 本实验目的是使学生掌握网络层协议的原理及实现方法。 实验设计内容 本实验为ICMP实验。实验内容:Ping命令实现的扩充,在给定的Ping程序的基础上做如下功能扩充: -h 显示帮助信息 -b 允许ping一个广播地址,只用于IPv4 -t 设置ttl值,只用于IPv4 -q 安静模式。不显示每个收到的包的分析结果,只在结束时,显示汇总结果 Ping命令的基本描述
二、实验环境 实验一数据包的捕获与分析 1.联网计算机 或linux 系统 3.在PC中安装协议分析软件(如:Wireshark) 4.物理基础: 标准的以太网采用的是持续 CSMA 的方式,正是由于以太网采用这种广播信道争用的方式,使得各个站点可以获得其他站点发送的数据。运用这一原理使信息捕获系统能够拦截的我们所要的信 5.工作模式: 1) 广播模式(Broad Cast Model):它的物理地址(MAC)地址是 0Xffffff 的帧为广播帧,工作在广播模式的网卡接收广播帧。 2)多播传送(MultiCast Model):多播传送地址作为目的物理地址的帧可以被组内的其它主机同时接收,而组外主机却接收不到。但是,如 果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不 论它是不是组内成员。 3)直接模式(Direct Model):工作在直接模式下的网卡只接收目地址是自己 MAC地址的帧。 4)混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。 实验二网络层实验—Ping程序的设计与实现 1.联网计算机 2.Linux系统 3.系统自带编译环境
《物联网应用综合设计及创业实践》课程设计
《物联网应用综合设计及创业实践》课程设计 实验指导书 一、设计目的和意义 《物联网应用综合设计及创业实践》课程设计目的是物联网工程本科专业学生在修完物联网专业基础理论课程和专业核心课程,掌握基本软硬件实践技术的基础上,结合行业发展和社会经济需求,培养学生综合运用所学知识,发现、提出、分析和解决实际问题的能力。本课程设计是学生实际工作能力和创新创业能力提升的重要实践环节,对于学生今后就业和创业具有一定的指导意义。 二、选题要求 1.自主选题,原则上一人一题;对于工作量大,难度高的选题,至多2人一组; 2.选题要符合现实需求,有一定创新性,具有创业可能性; 3.选题要求围绕物联网的应用展开,将物联网感知层、网络层与应用层有机结合起来,具有一定的先进性; 4.技术实现手段不限,推荐使用现有主流技术:传感器技术、传感网技术(Zigbee 技术、Wifi技术等)、智能网关开发技术、串口通信技术、上位机开发技术、移动互联技术、视频多媒体技术、计算机控制技术等。 5. 选题应有相关调查分析,不允许随意虚构应用需求,; 6.选题方向为软硬件结合类和仿真开发类。 三、设计要求 1.符合软件工程规范,有需求分析、系统设计、功能模块设计、测试等环节; 2.尽量用规范的图来表达(用例图、时间图、数据流图、流程图等); 3.应有具体的场景和需求,尽可能采用嵌入式开发板或智能移动端开发形式,系统功能丰富,实用性较强;在公司实习的,可以参考在实习中接触到的具体项目需求进行规划。 4. 仿真开发类的课设,要求系统功能完善,演示效果好;代码量大于10000行; 5.符合文档及格式要求; 6.抄袭零容忍。 7.第12周周五15点提交选题,第18周周五提交实物、设计报告,并现场答辩。每人答辩时间15分钟,每人汇报自己设计情况8分钟,演示系统2分钟,回答老师和同学们问题4分钟,评分1分钟。
网络安全课程设计
上海应用技术学院课程设计任务书 指导教师(签名):舒明磊教研室主任(签名):荣祺2014年7 月1 日2014年7 月1 日
1. 课程设计目的和要求 1.1目的 本课程设计是计算机科学与技术专业、网络工程专业重要的实践性环节之一,是在学生学习完《密码学与网络安全技术》课程后进行的一次全面的综合练习。通过课程设计,使学生熟练掌握计算机网络安全知识的基本概念和原理,熟悉了解网络安全的基本技术和攻防方法,培养学生将专业理论知识和工程技术应用有机结合的高级应用能力,使学生具备从事网络管理维护和信息安全管理方向的职业的基本素质和技能,提高设计文档的撰写能力。 1.2要求 (1) 分析课程设计题目的要求; (2) 要求在设计的过程中,完成清晰的功能设计; (3) 要求系统架构合理,模块划分清晰; (4) 对于程序设计课题,应编写程序代码,调试程序使其能正确运行;对于操作应用课 题,应有清楚明确的执行步骤和过程; (5) 设计完成后提交课程设计报告(按学校要求装订)、报告的电子文档和程序源代码 文件。 2、课程设计任务内容 设计主要内容如下 (1)根据任务要求,选择了T1、T2、T3、T4、T5和T6题目。其中T1要求完成敏感信 息搜集;T2要求完成加解密编程;T3要求完成SQL Server安全设置;T4要求完成 FTP密码与OE账户嗅探;T5要求完成批处理脚本编写与验证蠕虫病毒;T6要求 完成FAT32文件恢复。 (2)最终提供的主操作界面应该为便于操作和使用,文档结构清晰简洁,内容完整准确。 (3)最后提交的课程设计成果包括: a)课程设计报告打印稿; b)课程设计报告电子稿; c)源程序文件; d)可执行文件。 3、详细设计 3.1敏感信息搜集 3.2加解密编程 3.2.1、利用Bouncy Castle API对数据进行Encoding and Decoding 1.首先编写DESEncrypto.java文件 在D盘根目录下建立一个DESEncrypto.txt文本文件,接下来把后缀名改成DESEncrypto.java 如下图所示:
大型(双核心)网络综合实验
实验三大型(双核心)网络综合实验 【实验名称】 大型(双核心)网络综合实验 【实验原型】 某大型校园全网建设(采用设备:RG-W ALL1500千兆防火墙、RG-S6810E、RG-S6806E多业务万兆核心路由交换机、RG-S3550-24千兆三层路由交换机、RG-S2126G/50G千兆安全智能堆叠交换机) 【实验目的】 在实验室环境根据具体真实网络建设搭建模拟环境进行综合应用实验,指导学员如何规划实施大型企业、校园双核心网络建设规划 【预备知识】 交换路由基础,OSPF动态路由、OSPF路由重分布、静态路由、生成树协议、端口镜像、802.1QVlan、Vlan三层路由、防火墙、SNMP、ACL访问控制、安全控制等 【背景描述】 某高校随着学校教学和学生网上应用的增长,校园网以光纤连接了全校近70栋楼宇,覆盖了90%的教学办公场所和75%的学生宿舍。共布有2万多个网络端口,其中约1.2万多个布线端口连通了网络设备,共接入计算机6千多台,有固定注册用户约6000人。原有网络设备已经无法满足新环境下的网络应用,因此该校决定重新规划建设校园网,并提出了如下的需求: 要适应学校的网络特点要求:用户数量庞大,网络应用复杂,不能在终端上限制网络用户行为,只能在网络设备上解决网络问题; 要能够达到轻载要求:低负载,高带宽,最简单,最有效; 要具有先进的技术性:支持线速转发,具备高密度的万兆端口,核心设备支持T级以上的背板设计,硬件实现ACL、QoS、组播等功能; 要稳定、可靠:确保物理层、链路层、网络层、病毒环境下的稳定、可靠; 要有健壮的安全:不以牺牲网络性能为代价,实现病毒和攻击的防护、用户接入控制、路由协议安全; 要易于管理:具备网络拓朴发现、网络设备集中统一管理、性能监视和预警、分类查看管理事件的能力; 要能实现弹性扩展:包括背板带宽、交换容量、转发能力、端口密度、业务能力的可扩展。
校园网络安全课程设计
1 校园网络安全威胁 1.1校园网简介 珠海大学的校园网承载着学校的教务、行政、教学、图书资料、对外联络等方面事的务处理,它的安全状况影响着学校的教学、教务、行政管理、对外交流等活动。在珠海大学网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加。潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。 1.2网络攻击及缺陷 校园网受到的攻击以及安全方面的缺陷主要有: 1.有害信息的传播 校园网与Internet融为一体,师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上充斥着各种信息。有些有毒的信息违反人类的道德标准和有关法律法规,对师生的危害非常大。如果安全措施不好,会让这些信息在校园内传播。 2.病毒破坏 通过网络传播的病毒无论实在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入广域网后,为外界病毒进入学校大开方便之门,下载的程序和电子邮件都有可能带有病毒,而且网络病毒的变异速度加快,攻击机理复杂,必须不断更新病毒库。 3.恶意入侵 学校涉及的机密不是很多,来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过入侵的手段破坏教务系统,扰乱教学工作秩序。 4.恶意破坏 对计算机硬件系统和软件系统的恶意破坏,这包括对网络设备和网络系统两
个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等,它们分布在整个校园内,不可能24小时专人看管,故意的或非故意的某些破坏,会造成校园网络全部或部分瘫痪。 另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象;向服务器发送大量信息使整个网络瘫痪;利用学校的邮件服务器转发各种非法信息等。 5.口令入侵 通过网络监听非法得到用户口令,或使用口令的穷举攻击非法获得口令入侵,破坏网络。 2 校园网网络拓扑结构 珠海大学的校园网由四个物理区域组成:办公大楼、图书馆大楼、实验楼、教学楼。在整个网络中,各信息点按功能又划分为行政办公、实验教室、普通教室、中心管理机房、电子阅览室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖到实验楼、行政楼、图书馆、广播楼、教学楼,共计光纤链路10余条,交换机80余台,网络信息点2800多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证软件、网络版杀毒软件。 当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉佘性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。 根据校园网的需求分析及建设目标,本设计方案采用交换式千兆以太网作为主干,百兆交换到桌面。网络拓扑采用星型树结构,网络中心的交换机使用堆叠方式连接。
网络安全设计方案87894
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
计算机网络课程设计报告
计算机网络课程设计报告 姓名:李逍逍 班级:08计11 学号:08261012
一.课程设计的题目、目的及要求 (2) 二.课程设计的内容(分析和设计) (3) 三.绘制拓扑结构图 (3) 四.详细设计步骤 (5) 五.路由器或交换机配置的代码 (6) 六.显示最终的结果 (8) 七.课程设计总结 (9)
一.课程设计的题目、目的及要求 课程设计题目:组建小区局域网 课程设计目的: 更深了解路由器,交换机,PC机之间的配置与应用,熟练掌握一些简单的的网络应用和连接,熟练掌握路由器和交换机的基本配置;掌握DHCP、ACL、VLAN、和NET协议和相应的技术;提高对实际网络问题的分析和解决能力。该设计需要划分为四个子网层面的小区性的网络通讯。采用软件cisco,可以更好的实现各种不同网络设备互相配合与联系,以达到最佳的局域网通讯效果。 课程设计要求: 要求能根据实际问题绘制拓扑结构图,拓扑结构图可以是树形、星形、网状形、环状形及混合形结构的之一,清晰的描述接口,进行路由器或交换机的代码配置实现,并且每个方案的需有以下几部分的内容: 1、需求特点描述; 2、设计原则; 3、解决方案设计,其中必须包含: (1)设备选型; (2)综合布线设计; (3)拓扑图; (4)IP地址规划; (5)子网划分; (6)路由协议的选择; (7)路由器配置。 组建小区局域网的总体要求: 运用自己对局域网组网技术的理解,设计小区组网方案,使得一个具有200个住户节点的智能化小区能够进行网络通讯,且将整个小区可划分为四个区域:1.网络中心区:以物业管理中心及监控中心为主的核心交换设备和服务器群;2.远程网络接入区:包括外部网络接入口的路由器设备和网络安全设备;3.园区网络区:包括从网络中心到社区服务设施的骨干交换设备; 4.家庭网络区:包括从网络中心到楼宇中的骨干交换设备,并为各住户单元提供网络接入端口,是整个小区网络系统的最基本单元。
综合实验(课程设计):中小型网络工程设计与实现
综合实验:中小型网络工程设计与实现 (课程设计) 实验(设计)内容 实施目标:为某企业构建一个高性能、可靠的网络。 简要需求: (1)该企业主要包括三个建筑:行政楼、销售部、生产厂区,中心机房设在行政楼。 (2)对外提供WWW服务、对内提供文件传输服务、内外均可访问的Email服务。 (3)行政楼上的用户约120人(每人一台计算机),分成若干部门,不同部门的用户可能处在不同楼层,每一层可能有不同的部门用户。要求部门之间内部可以相互通信,不同部门之间保持一定独立性和信息隔离。【建设经过调研可知:部门为5个。其中,部门1有10人,在同一楼层;部门2有30人,在不同楼层;部门3有20人,在同一楼层;部门4有30人,在同一楼层;部门5有30人,在不同楼层】(4)销售部门约150人(每人一台计算机),分成5个团队。要求不同团队之间保持通信的独立性和隔离性。【经过调研可知:每个团队30人,每个团队的人员都在同一个楼层,不同团队可能在不同的楼层】 (5)生产厂区分成三个车间,每个车间约60个用户。 根据需求进行简要分析,可知: (1)划分VLAN,行政楼的部门需要跨交换机的VLAN划分。 (2)子网划分,不同的VLAN使用不同的子网,将子网和VLAN重叠使用。 (3)路由配置,不同子网(VLAN)之间的路由配置。 (4)WEB、DNS、DHCP、FTP、E-Mail等服务器放在中心机房的DMZ区。 设计与实现过程: (1)需求分析:详细描述企业对网络的需求。 (2)概要设计:画出网络拓扑结构图,说明报告中主要功能的实现过程。 (3)详细设计:交换机和路由器配置过程和清单。 (4)调试分析:路由、交换之间进行通信测试。 实验(设计)步骤 1、(共20分)网络拓扑设计 请根据给出的已知条件为该企业设计网络拓扑图(可以用手绘制或者请使用Cisco Packet Tracer模拟器绘制),要求按照分层结构进行设计。 要求: (1)每个VLAN/子网画出2台终端主机即可,跨交换机的VLAN需要说明或标识。将结果拍照或者截图插入到此处。(10分) 若图被遮挡,可在布局中将纸张大小调大
网络安全课程设计报告
中原工学院计算机学院《网络安全程序》课程设计报告 题目:基于des加密的聊天程序 班级:网络124班
目录 第1章绪论____________________________________________________ 3 1.1 des加密背景______________________________________________ 3 1.2 聊天程序设计背景 _________________________________________ 4第2章加密原理________________________________________________ 5 2.1 des简介__________________________________________________ 5 2.2 des加密原理______________________________________________ 5 2.3 des加密过程______________________________________________ 7第3章聊天程序设计____________________________________________ 8 3.1 TCP/IP协议_______________________________________________ 8 3.2 客户机/服务器模式 ________________________________________ 8 3.3 Socket ___________________________________________________ 9第4章系统设计_______________________________________________ 11 4.1 开发语言及环境 __________________________________________ 11 4.2 需求分析 ________________________________________________ 11 4.2.1 功能需求分析__________________________________________ 11 4.2.2 数据需求分析__________________________________________ 11 4.2.3 性能需求分析__________________________________________ 12 4.2.4 运行需求分析__________________________________________ 12 4.3 程序流程图 ______________________________________________ 13 4.4 模块设计 ________________________________________________ 14 4.4.1 服务器________________________________________________ 14 4.4.2 客户端________________________________________________ 15 第5章程序测试_______________________________________________ 17 5.1 运行结果________________________________________________ 17 第6章总结___________________________________________________ 21参考文献______________________________________________________ 21
网络安全设计方案完整版
网络安全设计方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
网络项目工程综合实验
课程设计报告 设计名称:网络工程综合实验 系(院):计算机科学学院 专业班级: 姓名:陈浩 学号: 指导教师:邱林陈中举 设计时间:2013.12.16 - 2010.12.27 设计地点:4#网络工程实验室 一、课程设计目的 网络工程综合实验是网络工程及计算机相关专业的重要实践环节之一,该内容可以培养学生理论联系实际的设计思想,训练综合运用所学的计算机网络基础理论知识,结合实际网络设备,解决在设计、安装、调试网络中所遇到的问题,从而使基础理论知识得到巩固和加深。学生通过综合实验学习掌握网络设计中的一般设计过程和方法,熟悉并掌握运用二层交换机、三层交换机、路由器和防火墙的配置技术。 另外通过实验,可以掌握组建计算机网络工程的基本技术,特别是网络规划、交换机
路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置,同时提高学生的应用能力和动手实践能力。 二、课程设计要求 (1)通过资料查阅和学习,了解园区网络规划、设计的一般方法。 (2)参考和研究一些公司和高校/企业园区网的规划和建设方案,结合《网络工程》课程中所学知识,积极完成设计任务。 (3)认真完成需求分析,并根据需求分析完成园区网络的总体方案设计,确定网络逻辑拓扑结构和所采用的网络技术、主要设备的性能指标,进而完成设备的选型,并选用相应的网络连接技术。 (4)根据设计内容与具体要求,实现园区网内的连接,并在成功测试的基础上实现Web服务器、FTP服务器、电子邮件服务器的安装配置,并能按任务书要求进行访问。 (5)认真按时完成课程设计报告,课程设计报告内容包括:课程设计目的、设计任务与要求、需求分析、网络设计、设备调试安装以及设计心得等几个部分,具体要求见设计报告模板。 三、课程设计内容 用一组实验设备(4个路由器、二台交换机、二台三层交换机、一台防火墙)构建一个园区网,通过防火墙与校园网相联,实现到Internet的访问。具体要求如下: (1)在一台两层交换机SW1上划分2个VLAN(Vlan 100和Vlan 200,用户数均为100)。 要求实现:两个Vlan均能通过路由器访问外网,但两个Vlan之间不能通信。(2)在一台三层交换机SW3上划分2个VLAN(Vlan 300和Vlan 400,Vlan300用户数100,Vlan400用户数200),两个Vlan之间能够通信。要求:两个Vlan均只能通过路由器访问校园网(10.X.X.X),而不能访问Internet。 (3)另外一台两层交换机SW2和一台三层交换机SW4之间使用冗余连接,在两台交换机上均划分两个Vlan(Vlan 500和Vlan 600,Vlan500用户数200,Vlan600用户数100),要求Vlan500可以访问内网所有VLAN,Vlan600既可以访问内网,又可以访问Internet。 (4)园区网全网通信采用OSPF动态路由协议,路由设计要求有路由汇聚。 (5)SW1 、SW3、SW4分别和三台接入级路由器DCR1700相连,三台路由器和部门级路由器DCR2600相连。然后DCR2600路由器通过防火墙实现此园区网与外网(校
计算机网络安全课程标准
计算机网络安全课程标 准 集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
《计算机网络安全》课程标准 1.课程定位与设计思路 1.1课程定位 《计算机网络安全》是计算机相关专业针对中小型网络管理岗位能力进行培养的一门核心课程。本课程构建于计算机网络技术与应用、网络设备配置与管理、网络服务架构和实现等课程基础上,通过引入游戏教学,从踩点扫描、入侵系统、种植后门、清除日志等工作过程开展教学,主要培养学生综合应用能力,能学以致用,完成一个企业网络安全的维护,同时也培养其团队合作意识、创新精神、职业素质,使之成为计算机网络安全技术方面的应用型专门技术人员。本课程在第5学期开设,54课时。 1.2设计思路 1.2.1本课程标准设计的总体思路 按照“由与网络技术领域职业相关的行动体系中的全部行动领域,按教学要求归纳形成学习领域,具体化后设计学习情境”的整体思路,进行课程开发。具体要求如下:(1)对实际工作岗位的工作任务进行分析; (2)按职业资格标准进行工作任务归纳; (3)按照从简单对复杂、单一到综合、低级到高级的认知规律进行学习性任务归纳; (4)采用资讯、决策、计划、实施、检查、评价的六步法进行工作过程系统化课程方案的构建; (5)课程方案的具体化,制定课程标准,完成学习情境和学习单元的设计。 1.2.2学习情境设计的基本依据 该课程是以计算机网络技术专业就业面向网络管理、网络应用岗位工作任务所需的相关专业知识与必要技能为依据设计的。遵循从简单对复杂、单一到综合、低级到高级的认知规律路径选
择以网络安全基础、网络攻击、木马和病毒、系统安全、防火墙和入侵检测作为学习情境,各学习情境的教学过程以行动为导向,以学生为主体,基于工作过程来完成。” 1.2.3学习子情境设计的逻辑线索 该课程先通过网络安全基础情境了解信息安全在行业中的各个标准,以及信息安全的现有社会环境基础。再通过网络攻击、木马和病毒等情境对各类的入侵手段进行学习领会,在了解完常见的入侵手段之后,对服务器操作系统安全的加固、以及通过对防火墙和入侵检测技术的应用,达到有针对的部署企业网络安全。根据这一思路主体,整个学习情境分为:网络安全基础、网络攻击、木马和病毒、系统安全、防火墙和入侵检测五个情境。 2.课程目标 2.1知识目标 (1)掌握计算机网络的基本概念以及网络的拓扑结构 (2)理解协议分析的基本原理和方法 (3)掌握网络扫描和网络监听的原理和方法 (4)掌握密码攻击的技术 (5)理解系统漏洞攻击的方法 (6)了解木马的原理,掌握木马的使用和防范措施 (7)掌握计算机及网络系统及WEB网站的安全性问题 (8)掌握邮件加密的基本技术 (9)了解计算机病毒的相关知识和相关技术 (10)熟悉防火墙和入侵检测 2.2能力目标 学生通过该门课程的学习,能对一定规模的企业网络进行网络安全的渗透检测以及网络整体运行安全的评估,会熟练使用各类扫描、防黑软件等预防工具对存在安全隐患的网络进行整改。具备一定的实施企业网络安全的软、硬件部署能力。 2.2.1专业能力 (1)能按项目需求进行中小型网络安全的规划与设计,设备选型,及资金预算 (2)能按项目需求规划和设计具有一定可行性的中小型网络安全建设方案 (3)能熟练完成网络安全设备的连接和网络配置 (4)能熟练地对该中小型网络安全项目进行测试,并对常见的故障进行排查 2.2.2社会能力: (1)具有良好的职业道德和敬业精神 (2)具有较强的团队合作的意识
计算机网络课程设计报告书.某大学校园网规划与设计
C H A N G Z H O U U N I V E R S I T Y 实验报告 课程名称:计算机网络 实验名称:某大学校园网规划与设计 学生姓名: 学号: 专业班级: 学院(系):信息学院 指导教师:
实验四某大学校园网规划与设计 设计原则: 校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要具有包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。本次设计以实用、够用、好用、安全为指导思想;以开发标准、先进性、可靠性、安全性为设计原则进行设计。 (1)开放性标准化原则: 系统要有可扩展性和可升级性,随着学院不断的扩招,业务的增长和应用水平的提高,网络中的数据和信息流将按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。 (2)先进性性原则 当前计算机网络技术发展很快,设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备,才能确保校园网络能够适应将来网络技术发展的需要,保证在未来若干年内占主导地位。(3)可靠性原则: 网络必须是可靠的,包括网络物理级的可靠性,如服务器、风扇、电源、线路等;以及网络逻辑级的可靠性,如路由、交换的汇聚,链路冗余,负载均衡等。网络必须具有足够高的性能,满足业务的需要。 (4)安全性原则: 网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求不仅能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。 分层设计理念: 对于大型网络而言一般采用三层结构设计,即“接入层-汇聚层-核心层”,如图所示:
[1]网络工程综合实验-课程设计11级任务书
网络工程综合实验计划进度表 一、课程设计目的 网络工程综合实验是网络工程及计算机相关专业的重要实践环节之一,该内容可以培养学生理论联系实际的设计思想,训练综合运用所学的计算机网络基础理论知识,结合实际网络设备,解决在设计、安装、调试网络中所遇到的问题,从而使基础理论知识得到巩固和加深。学生通过综合实验学习掌握网络设计中的一般设计过程和方法,熟悉并掌握运用二层交换机、三层交换机、路由器和防火墙的配置技术。 另外通过实验,可以掌握组建计算机网络工程的基本技术,特别是网络规划、交换机路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置,同时提高学生的应用能力和动手实践能力。 二、课程设计要求 (1)通过资料查阅和学习,了解园区网络规划、设计的一般方法。 (2)参考和研究一些公司和高校/企业园区网的规划和建设方案,结合《网络工程》课程中所学知识,积极完成设计任务。 (3)认真完成需求分析,并根据需求分析完成园区网络的总体方案设计,确定网络逻辑拓扑结构和所采用的网络技术、主要设备的性能指标,进而完成设备的选型,并选用相应的网络连接技术。 (4)根据设计内容与具体要求,实现园区网内的连接,并在成功测试的基础上实现Web服务器、FTP服务器、电子邮件服务器的安装配置,并能按任务书要求进行访问。 (5)认真按时完成课程设计报告,课程设计报告内容包括:课程设计目的、设计任务与要求、需求分析、网络设计、设备调试安装以及设计心得等几个部分,具体要求见设计报告模板。 三、课程设计内容 用一组实验设备(4个路由器、二台交换机、二台三层交换机、一台防火墙)构建一个园区网,通过防火墙与校园网相联,实现到Internet的访问。具体要求如下: (1)在一台两层交换机SW1上划分2个VLAN(Vlan 100和Vlan 200,用户数均为100)。 要求实现:两个Vlan均能通过路由器访问外网,但两个Vlan之间不能通信。
校园网络安全设计方案
校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。 经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
1.2.现有安全技术 1.操作系统和应用软件自身的身份认证功能,实现访问限制。2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。 1.3.安全需求 1.构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。 二.安全设计 1.1设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标
网络安全设计方案.doc
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来
2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性:授权实体有权访问数据 机密性:信息不暴露给未授权实体或进程 完整性:保证数据不被未授权修改 可控性:控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 安全审计:是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏 针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏 由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。 (2)搭线(网络)窃听 这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。 (3)假冒 这种威胁既可能来自企业网内部用户,也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。 (4)完整性破坏 这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/