計算機專業(yè)畢業(yè)設計（論文）-XX校園局域網組成計劃及網絡安全部署1.doc

xxx學院計算機系畢業(yè)論文題目 ：xx公司局域網組成計劃及網絡安全部署 姓 名： 學 號： 專 業(yè)： 班 級： 指導教師： 提交日期： 前言當今世界，各種先進的科學技術飛速發(fā)展，給人們的生活帶來了深遠的影響，它極大的改善我們的生活方式。在以計算機技術為代表的信息科技的發(fā)展更是日新月異，從各個方面影響和改變著我們的生活，而其中的計算機網絡技術的發(fā)展更為迅速，已經滲透到了我們生活的各個方面，人們已經離不開計算機網絡，并且隨著因特網的迅速普及，給我們的學習與生活條件帶來更大的方便，我們與外部世界的聯(lián)系將更加的緊密和快速。隨著人們對于信息資源共享以及信息交流的迫切需求，促使網絡技術的產生和快速發(fā)展，計算機網絡的產生和使用為人類信息文明的發(fā)展帶來了革命性的變化。自1995年中國教育教研網（cernet）建成后，校園網的建設已經進入到一個蓬勃發(fā)展的階段。校園網的建成和使用，對于提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程，開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種局域網的技術思想、網絡設計方案、網絡拓撲結構、布線系統(tǒng)、intranet/internet的應用、網絡安全，網絡系統(tǒng)的維護等內容。1. 計算機網絡計算機網絡是指通過傳輸媒休連接的多部計算機組成的系統(tǒng)，使登錄其上的所有用戶能夠共享軟硬件資源。計算機網絡如按網絡的組建規(guī)模和延伸范圍來劃分的話，可分為局域網(local area network,lan)、城域網(metropolitan area network,man)、廣域網(wide area network,wan)。我們經常用到的因特網(internet)屬于廣域網，校園網屬局域網。未來的網絡技術將向著使用簡單、高速快捷、多網合一、安全保密方向發(fā)展。1.1 校園網的建設思路校園網的建設是一項非常復雜的系統(tǒng)工程，校園作為一個特殊的網絡應用環(huán)境，它的建設與使用都有其自身的特點。在選擇局域網的網絡技術時要體現開放式、分布式、安全可靠，維護簡單的原則。校園網的建設主要應用局域網技術以及多媒體技術為主的各種網絡應用技術。局域網技術是一項在20世紀70年代發(fā)展起來的計算機互聯(lián)技術，經過多年的發(fā)展，技術已經成熟，并得到了廣泛的應用，局域網技術成為網絡技術的重要組成部分。計算機多媒體技術是伴隨著多媒體信息的應用而得到迅速的計算機應用技術，在網絡環(huán)境下，多媒體得到了更快更好的應用，使我們得到了更好更多的信息。校園網是使用了局域網技術以及各種多媒體應用技術，并結合internet應用等其它的技術來建設。使得校園網能滿足現代教學對信息處理的要求，使計算機的應用能對教學管理現代化起重要的促進作用，能實現信息查尋、教務管理，并與外部網絡系統(tǒng)進行交流等多種需要。1.2 校園網的建設原則校園網建設是一項綜合性非常強的系統(tǒng)工程，它包括了網絡系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應用以及人員培訓等諸多方面。因此在校園網的建設工作中必須處理好實用與發(fā)展、建設與管理、使用與培訓等關系，從而使校園網的建設工作健康穩(wěn)定地開展。首先，校園網的建設是一個為學校教育教學活動長期服務的工作，因此在校園網的規(guī)劃建設過程中，必須從學校長遠發(fā)展規(guī)劃出發(fā)，以服務于教育為基本點，結合學校當前教育教學的實際需要，做出科學的規(guī)劃部署。在校園網的規(guī)劃建設中，一般學校應遵循“統(tǒng)一規(guī)劃、整體設計、分步實施”的原則。其次在校園網的建設中必須堅持硬件建設與組織管理協(xié)調發(fā)展的原則，在重視硬件建設的同時，加強網絡的組織管理水平，不斷開發(fā)網絡的功能，從而充分發(fā)揮校園網絡的功效，提高校園網對學校教育的服務水平。1.3 局域網簡介局域網是同一建筑、同一校園、方圓幾公里遠的地域內的專用網絡。局域網通常用來連接公司辦公室或企業(yè)內部的個人計算機和工作站，以共享軟、硬件資源。美國電氣和電子工程師協(xié)會（ieee）局域網標準委員會員會曾提出局域網的一些具體特征：局域網在通信距離有一定的限制，一般在12km的地域范圍內。比如在一個辦公樓內、一個學校等。較高傳輸率的物理通信信道也是局域網的一個主要特征，在廣域網中用電話線連接的計算機一般也只有2040kpbs的速率。因為連接線路都比較短，中間幾乎不會愛任何干擾，所以局域網還具有始終一致的低誤碼率。局域網一般是一個單位或部門專用的，所以管理起很方便。另外局域網的拓撲結構比較簡單，所支持連接的計算機數量也是有限的。組網時也就相對很容易連接。1.3.1網絡的體系結構網絡通常按層或級的方式來組織，每一層都建立在它的下層之上。不同的網絡，層的名字、數量、內容和功能都不盡相同。但是每一層的目的都是向它的上一層提供服務，這一點是相同的。層和協(xié)議的集合被稱為網絡體系結構。作為具體的網絡體系結構，當前重要的和使用廣泛的網絡體結構有osi體系結構和tcp/ip體系結構。osi是開放系統(tǒng)互連基本參考模型osi/rm（open system interconnection reference model）縮寫，它被分成7層，這7個層次分別定義了不同的功能。幾乎所有的網絡都是基于這種體系結構的模型進行改進并定義的，這些層次從上到下分別是應用層、表示層、會話層、運輸層、網絡層，數據鏈路層和物理層，其中物理層是位于體系結構的最低層，它定義了osi網絡中的物理特性和電氣特性。tcp/ip（transmission control protocol/internet protocol,傳輸控制協(xié)議和互連網協(xié)議）縮寫，tcp/ip體系結構是當前應用于internet網絡中的體系結構，它是由osi結構演變來的，它沒有表示層，只有應用層、運輸層，網際層和網絡接口層。1.4網絡協(xié)議網絡協(xié)議是通信雙方共同遵守的約定和規(guī)范，網絡設備必須安裝或設置各種網絡協(xié)議之后才能完成數據的傳輸和發(fā)送，在校園局域網上用到的協(xié)議主要有，icp/ip協(xié)議、ipx/spx協(xié)議等。(1) tcp/ip協(xié)議tcp/ip協(xié)議是目前在網絡中應用得最廣泛的協(xié)議，icp/ip實際上是一個關于internet的標準，并隨著的internet廣泛應用而風靡全球，它也成為局域網的首選協(xié)議。tcp/ip是一種分層協(xié)議，它共被分為個4層次，大約包含近期100個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實現計算機系統(tǒng)之間的互連。tcp/ip協(xié)議中的核心協(xié)議有tcp（傳輸控制協(xié)議）、udp（用戶數據報協(xié)議）和ip（因特網協(xié)議）tcp協(xié)議可以在網絡用戶啟動的軟件應用進程之間建立通信會話，并實現數據流量控制和錯誤檢測，這樣就可以在不可靠的網絡上提供可靠的端到端數據傳輸。udp協(xié)議是一種無連接的協(xié)議，它在傳輸數據之前不建立連接，也不提供良好的可靠性和差錯檢查，只僅僅依賴于校驗來保證可靠性。udp不進行流量控制，沒有序列或者確認，因此它處理和傳輸數據的速度快，還被用來傳輸關鍵的網絡狀態(tài)消息。ip協(xié)議的基本功能是提供數據傳輸、數據包編址、數據包路由，分段等。通過ip編址約定，可以成功地將數據通過路由傳輸到正確的網絡或者子網。每個網絡站點具有一個32位的ip地址，它和48位mac地址一起協(xié)作，完成網絡通信，ip協(xié)議也是一種無連接的協(xié)議。（2）超文本傳輸協(xié)議(http)http(hypertext transfer protocol ),超文本傳輸協(xié)議)是www瀏覽器和www服務器之間的應用層協(xié)議，是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向對象的協(xié)議，http協(xié)議還是基于tcp/ip協(xié)議之上的應用層協(xié)。（3）文件傳輸協(xié)議(ftp)ftp(file transfer protocol ,文件傳輸協(xié)議)是由支持internet文件傳輸的各種規(guī)則所組成的集合。這些規(guī)則能使網絡用戶把文件從一個主機拷貝到另一個主機上，ftp是采客戶/服務器方式服務的。（4）遠程登錄協(xié)議（telnet）遠程登錄協(xié)議的目的是提供一個全面的、雙向的、面向8個比特字節(jié)的通信工具，其主要目標是提供終端設備與面向進程接口的標準方法，telnet是應用層的協(xié)議，采用客戶/服務器模式工作的，telnet不僅允許用戶登錄到遠端主機上，還允許用執(zhí)行遠端主機的命令，這樣用戶就能以極小的網絡資源代價完成大型的網絡應用。2. 常用網絡設備網絡設備主要是指硬件系統(tǒng)，各種網絡設備之間是有著相互關聯(lián)而不是相互獨立的，每一部分在網絡中有著不同的作用，缺一不可，只有把這些設備通過一定的形式連起來才能組成一個完整的網絡系統(tǒng)，網絡設備主要包括網卡、集線器、交換機、路由器、傳輸介質等。2.1 網卡網卡（簡稱nic），也網絡適配卡或網絡接口卡，網卡作為計算機與網絡連接的接口，是不可缺少的網絡設備之一。無論是雙絞線網絡、同軸電纜網絡還是光纜網絡，都必須借助于相應類型的網卡才能實現與計算機的連接，是計算機與局域網相互連接的惟一接口。每塊網卡上都有一個世界惟一的id號，也就是mac（media access control）地址，計算機在連入網絡之后，就是依靠這個id號才能實現在不同計算機之間的通信和信息交換。網卡有很多種，不同類型的網絡需要使用不同種類的網卡，不同速度的網絡需求也要使用不同的網卡。如根據帶寬來分的話，有10mbit/s網卡、10/100mit/s自適應網卡和1000mbit/s網卡；如按總線分，有isa總線、pci總線、pcmcia總線網卡等。從目前校園網建設的實際情況來看，工作站網卡選擇pci總線的10m/100mbit/s自適應網卡最適合。2.2 交換機交換機，也稱交換式集線器，是專門設計的，使各計算機能夠相互高速通信的獨享帶寬的網絡設備。作為高性能的集線設備，隨著價格的不斷降低，交換機已逐步取代了集線器而成為集線設備的首選。由交換機構建的交換式網絡系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時很小，使得信息的傳輸效率大大提高，適合于大數據量并且使用非常頻繁的網絡通信，被廣泛應用于各種類型的多媒體和數據傳輸網絡。交換機具有很強的網絡管理功能，它能自動根據網絡通信的使用情況來動態(tài)管理網絡，因為交換機采用了獨享網絡帶寬的設計。2.3 路由器路由器除了有連接不同的網絡物理分支和不同的通信媒介、過濾和隔離網絡數據流及建立路由表，還有控制和管理復雜的路徑、控制流量、分組分段、防止網絡風暴及在網絡分支之間提供安全屏障層等到功能。根據路由設備的組成可以分為軟路由和硬路由。根據路由表的設置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網絡層，因此它可以在網絡層交換和路由數據幀，訪問的是對方的網絡地址。當數據幀到達路由器后，路由器查看數據幀的目標地址，并在路由表查看到達目標地址的路徑，根據路徑的代價，選擇一條最佳的路徑，然后把數據幀沿這條路徑發(fā)送給目標地址。2.4 傳輸介質網絡要求把各個獨立的計算機連接起來的，這樣就必然要求有一種介質將計算機連接起來，這就是傳輸介質，局域網的傳輸介質可分為有線介質和無線介質兩種，一般情況下都是用有線介質的，因為它的穩(wěn)定性高，連接可靠，無線介質只是在特殊環(huán)境下才使用的傳輸方式。常用的有線介質主要有以下幾類。(1) 同軸電纜同軸電纜以硬銅線為芯，外包一層絕緣材料。這層絕緣材料用密織的網狀導體環(huán)繞，網外又覆蓋一層保護性材料。同軸電纜有許多種不同的規(guī)格，最常用是細同軸電纜和粗同軸電纜。細同軸電纜主要用于建筑物內的網絡連接，而粗同軸電纜則常用于建筑物間相連。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠的距離。同軸電纜是由中心導體、絕緣材料層、網狀織物構成的屏蔽層以及外部隔離材料層組成，其結構如圖1所示。(2) 雙絞線雙絞線是綜合布線工程中最常用的一種傳輸介質。雙絞線由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的程度，每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質相比，雙絞線在傳輸距離、信道寬度和數據傳輸速度等方面均受到一定限制，但價格較為低廉。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。 雙絞線的結構如圖2如示：雙絞線就是用rj-45的小晶頭加網線連接網卡與其它通迅設備的線覽。所謂的交叉法就是：在雙絞線接入rj-45接頭時的跳線順序，一端有eia/tia 568a標準，一端用eia/tia 568b標準下面分別對兩個標準再詳細說一下：a標準：綠白-綠， 橙白-藍，藍白-橙，棕白-棕b標準：橙白-橙，綠白-藍，藍白-綠，棕白-棕。(3) 光纖光纖是一種直接為50100um的柔軟的、能傳導光波的介質，一般由玻璃制造。光纖分為：傳輸點模數類分單模光纖(single mode fiber)和多模光纖(multi mode fiber)。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。多模光纖是在給定的工作波長上，能以多個模式同時傳輸的光纖，與單模光纖相比，多模光纖的傳輸性能較差。光纖通信系統(tǒng)的基本構成如圖3所示：3. 服務器校園網中的服務器主有數據庫服務器和代理服務器，數據服務器與代理服務器主要是面向校園網內部用戶的服務，對來自internet的用戶服務也很多，主要是對校園網內部用戶進行internet代理服務。目前，絕大多數校園網都要求內部服務用戶通過代理訪問internet，這樣內部用戶就不能直接訪問internet，同時代理服務器保存著內部用戶訪問internet的日志，以作為記費的依據。由于用戶數量非常大，也非常集口中，所以在選型代理服務器時，主要考慮的是要有較大的容量、較高的處理速度和較高的穩(wěn)定性，一般來說都選用大型服務器作為代理服務器。3.1 設備選型服務器端。選擇微軟的服務器端集成軟件backoffice.backoffice包括了windowsnt.iis.frontpage.sql server.exchange server.systems management server。proxy server以及一個統(tǒng)的客戶/服務器軟件安裝程序。其中,window xp作為網絡的基礎,提供文件和打印機共享，通信internet連接和應用程序服務：:iis提供www和ftp服務;frontpage提供網頁制作工具和web管理;index server提供email時間規(guī)劃和集成的群件性能；sna server提供主機數據和應用的連接能力；systems management集中地管理這個分布式的環(huán)境;proxy server提供防火墻功能，有效地將校園網與公共internet分離，并有效地提供客戶訪問internet的通路。(2) 客戶端 選用ie5.0以上，它提供了組用戶訪問web，所有本地文件和校園網絡上所有文件的集成方法。3.2 dns服務器dns是域名系統(tǒng) (domain name system)的縮寫，是一種組織成域層次結構的計算機和網絡服務命名系統(tǒng)。dns 命名用于tcp/ip網絡，如internet，用來通過用戶友好的名稱定位計算機和服務。當用戶在應用程序中輸入dns 名稱時，dns服務可以將此名稱解析為與此名稱相關的其他信息，如ip地址。域名系統(tǒng)為一個分布式數據庫,它使本地負責控制整個分布式數據庫的部分段,每一段中的數據通過客戶，服務器模式在整個網絡上均可存取，通過采用復制技術和緩存技術使得整個數據庫可靠的同時，又擁有良好的性能。域名服務器包含數據庫的部分段的信息，并可提供被稱之為解析器的客戶來訪問。3.3 web服務器在internet時代，外部主頁的發(fā)布已經成為樹立公司形象的一個重要手段，而內部主頁也成為公司管理的主要方式。但是，要想實現這些功能，首先應該把我們的機器配置成為一臺強大的web server。iis（internetinformationserver）作為當今流行的web服務器之一，提供了強大的internet和intranet服務功能。3.4郵件服務器email(電子郵件)服務是目前internet中應用最廣泛和使用最頻繁的一項服務，而在局域網intranet中也是一項重要的應用。在局域網構建一個內部的email服務器，可以大大加快內部公文的快速傳送，而且大大降低了通信費用。4服務器配置方案4.1 dns服務器的設置1、打開dns控制臺：選“開始菜單程序管理工具dns”。2、建立域名“”映射ip地址“xxx.xxx.xxx.xxx”的主機記錄。建立“com”區(qū)域：選“dnswy（你的服務器名）正向搜索區(qū)域右鍵新建區(qū)域”，然后根據提示選“標準主要區(qū)域”、在“名稱”處輸入“com”。如下圖：建立“abc”域：選“com右鍵新建域”，在“鍵入新域名”處輸入“abc”。建立“admin”主機。選“abc右鍵新建主機”，“名稱”處為“admin”，“ip地址”處輸入“ip地址”，再按“添加主機”。dns服務是許多服務的基礎，所以配置一臺linux server應該從dns開始，并要從一開始就對你的服務器配置成什么樣子有一個整體的把握，這樣才能保證配置之間能夠相互協(xié)調，避免錯誤的發(fā)生。4.2 iis的安裝在windows xp中，iis并不是默認安裝的，而是作為可選的組件，現在我們要建站，就可以選擇安裝他們，方法很簡單，放入xp光盤，然后運行光盤，在運行界面中選擇添加組件，或者打開控制面板然后打開添加或者刪除文件，選擇添加windows組件。在彈出對話框中選擇internet 信息服務(iis)。然后點擊確定安裝就可以了。(1)web網站的架設在控制面板中打開“管理工具”-“internet 信息服務”:大家可能都看到了上圖有個“默認網站”選項，你既可以修改默認的web站點為你的新站點，也可以重新命名一個新的web站點，方法是在默認網站上點擊鼠標右鍵選擇重命名然后輸入你想要的名字，大家可以自己隨意修改。(2)iis關于web服務器的配置要想網站順利運行還得配置iis,在命名后的站點上點擊鼠標右鍵選擇屬性如圖：在上圖的主目錄中定義網頁內容的來源，默認如上圖，本地路徑可以根據你的需要設置，一般從安全性角度上考慮不要設置在系統(tǒng)分區(qū)，可以在另外的分區(qū)重新建立一個路徑。如上圖在網站選項框中可以設置網站的描述，指定的ip地址，連接超時的時間，這些都可以根據愛好隨意設置，重點說一下日志紀錄，一個好的網管必須養(yǎng)成經常觀察日志的習慣，只有這樣，才能保證計算機網絡的安全性。點擊日志設置的屬性如下圖：設置日志屬性，一般新建日志時間設置為每小時，下面可以設置日志文件目錄，不建議使用默認路徑。設置“文檔”：確?！皢⒂媚J文檔”一項已選中，再增加需要的默認文檔名并相應調整搜索順序即可。此項作用是，當在瀏覽器中只輸入域名（或ip地址）后，系統(tǒng)會自動在“主目錄”中按“次序”（由上到下）尋找列表中指定的文件名，如能找到第一個則調用第一個；否則再尋找并調用第二個、第三個如果“主目錄”中沒有此列表中的任何一個文件名存在，則顯示找不到文件的出錯信息。如果需要，可再增加虛擬目錄，如下圖：3)啟動web站點上述設置后，網站就可以啟動了，在站點上點擊右鍵選擇啟動，然后在瀏覽器里輸入剛才指向的網址，就可以瀏覽自己制作的網頁了。4 、3郵件服務器一. 安裝dns服務器在windowsserver2003系統(tǒng)中沒有安裝dns服務器。二. 創(chuàng)建區(qū)域配置dns服務器向導。創(chuàng)建“區(qū)域名稱”向導頁。創(chuàng)建 “動態(tài)更新”向導頁。完成配置，結束“”區(qū)域的創(chuàng)建過程和dns服務器的安裝配置過程。三. 安裝pop3和smtp服務組件1.安裝pop3服務組件、安裝smtp服務組件安裝完成。四. 配置dns打開dns，點開正向查找，點擊,新建主機，如下圖：寫本機ip地址設置pop3服務工作端口號，保持默認值110即可（見圖3）。五、建立郵箱。zhangfan六、 客戶端配置請手動配置你的客戶端：七、 郵件發(fā)送成功（學生作品集）xxx作品xxx作品xxx作品xxx作品xxx作品舉例：小型網絡規(guī)劃組建局域網時需要進行網絡地址規(guī)劃。企業(yè)申請了一個c類ip地址：我們把這個網絡劃分為3個網絡：第一個網絡信息點為100個信息點需要7個主機位：1126可用，用于需要100個點的網絡0|0000000 給主機位 26/25 掩碼為：281|0|000000第二個網絡信息點為2個需要兩個主機位129190可用用于需要50個點的網絡給主機位 2990/26掩碼為：92第三個網絡信息點為50個需要6個主機位193和194可用，用戶需要2個點的串行鏈路9394/30給主機位1|1|0000|00掩碼為：52 vlsm：variable length subnet mask100個信息點2個信息點50個信息點。需要7個主機位只需要2個主機位需要6個主機位解：c類地址主機地址： 子網掩碼：92/2 (1) 為2個信息點 2個主機位子網地址：(00000000)主機地址：(00000001)-2 (00111110)廣播地址：3 (2) 為50個信息點 6個主機位子網地址: 4(01000000)主機地址；5 (01000001)-26 (01111110)廣播地址：27(3) 為100個信息點 7個主機位子網地址: 92(11000000)主機地址范圍；93(11000001)-54 (11111110)廣播地址: 55網絡ip地址“規(guī)劃為私有ip地址區(qū)域的部分是，還有一些特殊的如127部分、169部分、d類e類的224-255部分，主要”分為abc三類，以下是覆蓋范圍：a類： - 55，標誰的子網掩碼是(按子網掩碼的另一種標注方法是/8，就是將子網掩碼換算成二進制后，從左數起8個1)b類： - 55，標誰的子網掩碼是(按子網掩碼的另一種標注方法是/16，就是將子網掩碼換算成二進制后，從左數起16個1)c類： - 55，標誰的子網掩碼是(按子網掩碼的另一種標注方法是/24，就是將子網掩碼換算成二進制后，從左數起24個1) ，好的網絡圖應包含連接不同網段的各種網絡設備的信息，比如路由器、網橋、網關的位置、ip地址，并用相應的網絡地址標注各網段。ip地址類型第一字節(jié)十進制范圍二進制固定最高位二進制網絡位二進制主機位a類012708位24位b類1281911016位16位c類19222311024位8位d類2242391110組播地址e類2402551111保留試驗使用學校網絡安全及其對策第一章 系統(tǒng)安全系統(tǒng)安全包括主機和服務器的運行安全，主要措施有反病毒。入侵檢測、審計分析等技術。1 反病毒技術： 計算機病毒是引起計算機故障、破壞計算機數據的程序，它能夠傳染其它程序，并進行自我復制，特別是要網絡環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網絡安全建設的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控，效果不錯。2 入侵檢測 ：入侵檢測指對入侵行為的發(fā)現。它通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點收集信息并對它們進行分析，從中發(fā)現是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統(tǒng)的活動；檢查系統(tǒng)的配置和操作系統(tǒng)的日志；發(fā)現漏洞、統(tǒng)計分析異常行為等等。 從目前來看系統(tǒng)漏洞的存在成為網絡安全的首要問題，發(fā)現并及時修補漏洞是每個網絡管理人員主要任務。當然，從系統(tǒng)中找到發(fā)現漏洞不是我們一般網絡管理人員所能做的，但是及早地發(fā)現有報告的漏洞，并進行升級補丁卻是我們應該做的。而發(fā)現有報告的漏洞最常用的方法，就是經常登錄各有關網絡安全網站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信息，一旦發(fā)現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠，以至于過了幾年，還能掃描到機器存在許多漏洞。在校園網中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因此從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網服務器中對公眾通常只提供web服務功能，而沒有必要向公眾提供ftp功能，這樣，在服務器的服務配置中，我們只開放web服務，而將ftp服務禁止。如果要開放ftp功能，就一定只能向可能信賴的用戶開放，因為通過ftp用戶可以上傳文件內容，如果用戶目錄又給了可執(zhí)行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻擊。所以，信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。3 審計監(jiān)控技術：審計是記錄用戶使用計算機網絡系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據。另外，通過對安全事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現可能產生的破壞性行為。 因此，除使用一般的網管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外，還應使用目前已較為成熟的網絡監(jiān)控設備，以便對進出各級局域網的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。第二章 網絡安全四原則1需求、風險、代價平衡的原則 對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等)，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 2 綜合性、整體性原則 應用系統(tǒng)工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環(huán)節(jié)在網絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規(guī)定的安全策略制定出合理的網絡安全體系結構。 3可用性原則 安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 4 分步實施原則：分級管理，分步實施。 由于網絡系統(tǒng)及其應用擴展范圍廣闊，隨著網絡規(guī)模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。第三章 影響網絡安全的主要因素計算機網絡安全的威脅主要來自外部網絡和內部網絡兩個方面,根據國內相關學者的研究總結,影響因素主要包括以下幾點:網絡協(xié)議存在漏洞(主要指通信協(xié)議和通信軟件系統(tǒng)不完善,給各種不安全因素的入侵留下了隱患);操作系統(tǒng)本身存在安全漏洞;網絡的開放性和廣域性設計使得數據的保密難度較大;無線系統(tǒng)中的電磁泄露(無線通信系統(tǒng)中的數據以電磁波的形式在空中進行傳播,存在電磁波泄露,且易被截獲);計算機病毒入侵(大量涌現的病毒在網上傳播極快,給全球范圍的網絡安全帶來了巨大災難);網絡黑客的惡意攻擊;網上犯罪人員對網絡的非法使用及破壞;信息安全防范技術和管理制度的不健全;自然災害以及意外事故的損害等。破壞的方法主要有:利用tcp/ip直接破壞;利用操作系統(tǒng)間接登陸入侵;對用戶計算機中的系統(tǒng)內置文件進行有目的的更改;利用路徑可選實施欺騙;使用竊聽裝置或監(jiān)視工具對所傳播的信息進行非法檢測和監(jiān)聽等,以上是保障計算機網絡安全所時常面臨的威脅性因素,及進行威脅的一般損害方法。對這些威脅性因素和方法的了解有助于我們做好相關網絡安全保障,以便于我們更好地利用網絡服務于我們的生產、生活與工作。 具體體現在：（1）信息泄密。主要表現為網絡上的信息被竊聽,這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。（2）信息被篡改。這是純粹的信息破壞,這樣的網絡侵犯被稱為積極侵犯者。積極侵犯者截取網上的信息包,并對之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。（3）傳輸非法信息流。只允許用戶同其它用戶進行特定類型的通信,但禁止其它 類型的通信,如允許電子郵件傳輸而禁止檔傳送。（4）網絡資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或故意 地破壞。（5）非法使用網絡資源。非法用戶登錄進入系統(tǒng)使用網絡資源,造成資源的消耗,損害了合法用戶的利益。（6）環(huán)境影響。自然環(huán)境和社會環(huán)境對計算機網絡都會產生極大的不良影響。如惡劣的天氣、災害、事故會對網絡造成損害和影響。（7）軟件漏洞。軟件漏洞包括以下幾個方面:操作系統(tǒng)、數據庫及應用軟 件、tcp/ip協(xié)議、網絡軟件和服務、密碼設置等的安全漏洞。這些漏洞一旦遭受計算機病毒攻擊,就會帶來災難性的后果。（8）人為安全因素。除了技術層面上的原因外,人為的因素也構成了目前較為突出的安全因素,無論系統(tǒng)的功能是多么強大或者配備了多少安全設施,如果管理人員不按規(guī)定正確地使用,甚至人為露系統(tǒng)的關鍵信息,則其造成的安全后果是難以量的。這主要表現在管理措施不完善,安全意識薄,管理人員的誤操作等。第四章 防范網絡安全的做法網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網絡服務不中斷。其中最重要的是指網絡上的信息安全。 現在有很多人認為在網絡中只要使用了一層安全就夠了,事實并不是這樣,一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網絡安全的多點做法。 第一、物理安全。除了要保證要有計算機鎖之外,更多的要注意防火,要將電線和網絡放在比較隱蔽的地方。我們還要準備ups,以確保網絡能夠以持續(xù)的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網絡癱瘓,峰值電壓最小的時候,網絡根本不能運行。使用ups可以排除這些意外。另外要做好防老鼠咬壞網線。 第二、進行訪問控制管理。訪問控制是計算機網絡保護的一種常見手段和方法,所謂訪問控制是指授予不同的主體不同的訪問權限。不同主體依據自身獲得的相關權限進行相關數據或信息的處理,從而實現數據和相關信息資源的安全?？诹钍沁M行訪問控制最簡單最常見的一種形式。只要很好地對相關口令進行保護,非授權用戶就難以越權使用相關信息資源?？诹畹脑O置一般應避免使用簡單易猜的生日、電話號碼等數字,而應應用英文字母、標點符號、漢語拼音、空格等及其組合,以增加口令的復雜性并借此提高口令的安全性,在進行不同的系統(tǒng)登陸時應設置和使用不同的登陸口令,且應對相關口令進行定期更改,以保證口令的安全性。第三、打補丁。要及時的對系統(tǒng)補丁進行更新,大多數病毒和黑客都是通過系統(tǒng)漏洞進來的,例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的sqlserver上的病毒slammer也是通過sql的漏洞進來的。所以要及時對系統(tǒng)和應用程序打上最新的補丁,例如ie、outlook、sql、office等應用程序。另外要把那些不需要的服務關閉,例如telnet,還有關閉guset賬號等。第四、安裝防病毒軟件。 病毒掃描就是對機器中的所有檔和郵件內容以及帶有.exe的可執(zhí)行文件進行掃描,掃描的結果包括清除病毒,刪除被感染文件,或將被感染文件和病毒放在一隔離文件夾里面。要對全網的機器從網站服務器到郵件服務器到檔服務器到客戶機都要安裝殺毒軟件,并保持最新的病毒庫。因為病毒一旦進入計算機,它會瘋狂的自我復制,遍布全網,造成的危害巨大,甚至可以使得系統(tǒng)崩潰,丟失所有的重要資料。所以至少每周一次對全網的計算機進行集中殺毒,并定期的清除隔離病毒的文件夾。第五、應用程序。 超過一半都是通過電子郵件進來的,所以除了在郵件服務器上安裝防病毒軟件之外,還要對pc機上的outlook防護,用戶要提高警惕性,當收到那些無標題的郵件,或是不認識的人發(fā)過來的,或是全是英語例如什么happy99,money,然后又帶有一個附件的郵件,建議用戶最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。除了不去查看這些郵件之外,用戶還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。 很多黑客都是通過用戶訪問網頁的時候進來的。用戶可能碰到過這種情況,當打開一個網頁的時候,會不斷的跳出非常多窗口,關都關不掉,這就是黑客已經進入了你的計算機,并試圖控制你的計算機。所以用戶要將ie的安全性調高一點,經常刪除一些cookies和脫機檔,還有就是禁用那些active x的控件。 第六、代理服務器。 代理服務器最先被利用的目的是可以加速訪問用戶經常看的網站,因為代理服務器都有緩沖的功能,在這里可以保留一些網站與ip地址的對應關系。 代理服務器的優(yōu)點是可以隱藏內網的機器,這樣可以防止黑客的直接攻擊,另外可以節(jié)省公網ip。缺點就是每次都要經由服務器,這樣訪問速度會變慢。另外當代理服務器被攻擊或者是損壞的時候,其余計算機將不能訪問網絡。第七、防火墻 防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信任的公共網)或網絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制及更改跨越防火墻的數據流,盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況,以此來實現網絡的安全保護。 在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內部網和internet之間的任何活動,保證了內部網絡的安全。 防火墻基本上是一個獨立的進程或一組緊密結合的進程,控制經過防火墻的網絡應用程序的通信流量。一般來說,防火墻置于公共網絡(如internet)入口處。它的作用是確保一個單位內的網絡與internet之間所有的通信均符合該單位的安全策略。防火墻能有效地防止外來的入侵,它在網絡系統(tǒng)中的作用是: （1）控制進出網絡的信息流向和信息包; （2）提供使用和流量的日志和審計; （3）隱藏內部ip地址及網絡結構的細節(jié); （4）提供虛擬專用網(vpn)功能。 防火墻技術的發(fā)展方向:目前防火墻在安全性、效率和功能方面還存在一定矛盾