本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc
《本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc》由会员分享,可在线阅读,更多相关《本科计算机毕业设计(论文)-济宁一中网络安全设计--ARP防御.doc(41页珍藏版)》请在三一文库上搜索。
1、江 苏 大 学 学 士 学 位 论 文J I A N G S U U N I V E R S I TY本 科 毕 业 论 文 济宁一中网络安全设计 ARP防御A network security design of JiningNO.1 middle school the defense of APR专 业: 计算机科学与通信技术 班 级: 计算机科学与技术(1)班 姓 名: 指导教师姓名: 指导教师职称: 讲 师 2010年5 月30济宁一中网络安全设计 ARP防御专业班级:06计本一班 学生姓名:指导教师: 职称:讲师摘要 网络安全是指网络系统的硬件、软件及其中的数据受到保护,不会因为恶意
2、的攻击而遭受到破坏、更改、泄露,系统能够连续可靠的运行,网络不中断。 网络安全从其本质上来讲就是网络上的信息安全。 本次论文的目的是构建济宁一中校园网,并对校园网存在的ARP病毒进行防御。此次设计我采用了VLAN技术和防火墙技术等进行设计和防御ARP病毒攻击。构建网络的前我对校园网存在的问题进行了分析,在构建网络的时候我对硬件进行了分析,花出了逻辑和物理拓扑图,并进行了网络规划,网络布线,顺利的组建了济宁一中校园网,并提出了济宁一中网络安全操作系统安装。济宁一中校园网对ARP防御中提出了对ARP的分析和ARP攻击的主要三种方式,画出了ARP入侵检测功能图,并做出了网络控制中心和客户端主机防范策
3、略,对交换机进行了相应的安全配置,最后建立了DHCP服务器,提出DHCP监控模式部署的思路,使网络加强了对ARP的防御,减少了校园网内用户IP冲突和掉线现象。关键词:网络,设计 ,ARP防御A network security design of Jining NO.1middle School the defense of APRAbstract The network security means that a network system s hardware ,software and the data cant be destroyed ,changed or be revealed
4、 ,the system can be in motion reliable and continuous ,the network cant break off .The essence of network security is the information security .This paper is to construct a campus network, and to obtain the existence of ARP virus on campus network defenses. This design USES a VLAN technology and my
5、firewall technology design and defense as ARP virus attacks. The construction of campus network before my existing problems were analyzed, in the construction of hardware when I was analyzed, and take out logic and physical topology, and the network planning, the network cabling, smooth established
6、jining, and puts forward a campus network security operation system dickers jining installation. A network of jining in the defense of ARP forward ARP analysis and the main ARP against three ways, draw the ARP intrusion detection function, and made the network control center and the client to host p
7、reventive strategy, the corresponding safety switch configuration, finally established a DHCP server monitoring mode, and puts forward the ideas DHCP deployment of the network, strengthening the defense, reduce the ARP IP network users and drops in conflict.Key words:Network design, the defense of A
8、PR目 录第一章 绪论51.1选题背景51.2本课题研究意义51.3网络安全的发展趋势5第二章 济宁一中校园网安全系统总体分析与安全技术72.1 济宁一中校园规模72.2校园网的需求分析72.3济宁一中网络现状分析72.3.1校园网的连接复杂72.3.2非法网站的访问72.3.3病毒的攻击72.3.4 APR攻击82.4采用相关技术82.4.1.VLAN技术82.4.2 ARP信任端口设置82.4.3. 防火墙技术82.4.4入侵检测系统9第三章 济宁一中网络安全的设计与组建1031济宁一中网络安全设计103.1.1校园网的实现功能103.1.2校园网网络拓扑结构103.1.3网络规划113.
9、2济宁一中网络的组建133.2.1硬件选取133.2.2网络布线153.2.3校园网的组建173.3 济宁一中网络安全操作系统安装17第四章 济宁一中校园网针对ARP的防御194.1 ARP的分析194.2 ARP协议漏洞194.3 ARP攻击方式194.3.1简单的欺骗攻击194.3.2中间人攻击194.3.3MAC洪泛204.4网络控制中心的防护204.5学生区的防护214.6客户端主机的防护224.7接入交换机做相应的安全配置224.7.1端口和IP绑定的配置234.7.2端口和MAC的绑定配置314.8 建立DHCP服务器334.9网络的管理36总 结37致 谢38参考文献:3940第
10、一章 绪论1.1选题背景信息技术高速发展的今天,网络技术发展迅猛,信息传输已经不仅仅局限于单纯文本数据,数字数据的传输,随之而来的是视频,音频等多媒体技术的广泛运用。随着技术的发展,网络设备性能和传输介质容量有了极大的提高,但是由于用户需求的日益提高,网络环境的日益复杂,使得网络规划成为一项越发困难的课题,作为校园园区网的规划成败与否,将直接影响到学校教育网络系统性能的高低,从而影响教学进程和教学效果。随着计算机的普及,越来越多的学校建立了自己的校园网,校园网方便了许多同学,老师之间的交流,他们可以通过网络学习到更多的知识,阅读更多的书籍,也可以通过网络来向老师请教不会的问题,同时学校也可以通
11、过校园网络来进行对学生进行管理和教学工作。校园网络安全也成为了不可被忽视的一个问题,很多的学校都存在在众多的安全隐患,这些问题给了病毒,黑客很大的利用空间,这些安全的隐患会使学校的网络瘫痪,对学校的管理造成重要的损失。1.2本课题研究意义随着计算机网络化的发展,信息全球化已经成为人类社会发展的大趋势。但由于计算机网络具有形式多样性,终端分布不均匀性和网络的开放性,互连性等特征,使得网络信息安全日益成为一个至关重要的问题。计算机校园网络系统是学校重要的现代化基础设施,应为学校的师资培训、教学科研、科室办公、现代化管理等提供先进、可靠、安全、快捷的计算机网络环境。所以,保障校园网络信息安全越来越成
12、为一个不可回避的问题。因此,设计一个安全的网络,增加网络安全的管理变的十分的重要,这才是本课题的目的和意义。1.3网络安全的发展趋势随着人们对网络安全的日益重视,校园网络的防护也已经摆脱了“重技术,轻管理”的模式,而开始实行立体化防御,管理与技术并行的安全防护模式,不过随着网络技术的日新月异,黑客的攻击手段也层出不穷,普通的安全防护模式已经显得软弱无力。因此,单一功能的防火墙远不能满足安全防护的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(统一威胁管理)技术应运而生。从概念的定义上看,UTM既提出了具体产品
13、的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。UTM的特点是:(1)建一个更高,更强,更可靠的防火墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝服务,黑客攻击等这样的一些外部的威胁起到综检测网络全协议层防御。(2)要有高检测技术来降低误报。(3)要有高可靠,高性能的硬件平台支撑。第二章 济宁一中校园网安全系统总体分析与安全技术2.1 济宁一中校园规模济宁一中现有办公
14、楼1栋、教学楼3栋、实验楼1栋、图书馆1栋。图书馆主要有电子阅览室和图书管理中心,办公楼主要有教师办公室和电子备室。2.2校园网的需求分析园网建设的原则应该是:先进性,先进的设计思想、网络结构、开发工具;实用性,建网时应考虑利用和保护现有的资源、充分发挥设备效益;开放性,系统设计应采用开放技术、开放结构、开放系统组建和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通;灵活性,采用积木式模块组合和结构化设计,使系统配置灵活,满足学校逐步到位的建网原则,使网络具有强大的可增长性;可靠性,具有容错功能,管理、维护方便。对网络的设计、选型、安装、调试等各环节进行统一规划和分析,确保系统运行可
15、靠。经济性,投资合理,有良好的性能价格比。另外利用VLAN、APR的信任端口设置和防火墙的相互结合,可以组建一个具备灵活性和安全性的校园网络。2.3济宁一中网络现状分析2.3.1校园网的连接复杂由于校园网是最新的组建过多,导致校园网的连接复杂,各个行政部门分布在不同的教学楼内,这些连接会导致网络的交叉访问增多,交叉访问使得访问权限难以有效控制。2.3.2非法网站的访问随着计算机网络的发展,网络上也出现了一切非法的色情网站,如何防止它进入到校园,来危害校园的学生,这个也是现在校园网考虑的一个比较严峻的问题。2.3.3病毒的攻击在校园网络系统中,教师职工经常使用的移动硬盘等存储的介质有很多是带有病
16、毒的,这样计算机病毒很容易的在校园网中传播。任何的一台计算机放声了病毒,都极可能在短时间内传播到学校的别的计算机上,影响了校园网的正常运行。2.3.4 APR攻击 济宁一中校园网中存在着掉线现象和IP冲突现象,很多学生在使用校园网的时候掉线,导致许多的学生减少了校园网的使用。2.4采用相关技术2.4.1.VLAN技术VLAN(Virtual Local Area Network)的中文名为虚拟局域网。在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。由于网络中的站点被束缚在所处的物理网络中,而不能根据需要将其划分至相应的逻辑子网,因此网络的机构缺乏灵活性。
17、为解决这一问题,从而引发了虚拟网VLAN的概念。所谓VLAN是指网络中的站点不拘泥于所处的物理位置,可以根据需要灵活地加入到不同的逻辑子网中的一种网络技术。采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。对管理网络比较方便,简单。通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网络大下,将不同用户划分不同的VLAN,提高了交换式网络的整体性能和安全性。2.4.2 ARP信任端口设置在实际组网中,交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在D
18、HCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。2.4.3 防火墙技术防火墙是病毒进入,计算机的第一层保障,防止别人能随意进入破坏,防火墙在网络安全中起着重要的作用:1可以限制他人进入内部网络,过滤到不安全的服务和非法用户;2防止入侵者接近你的防御设施;3是限定用户访问特殊站点;4是为了监视Internet安全提供方便。在防火墙的
19、设置上,我们必须按照以下原则配置来提高网络安全:(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的,非法的访问。 (2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型攻击,过滤掉以非法IP地址离开内部网络发起的对外攻击。(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。(4)定期查看2.4入侵检测系统,防火墙访问日志,及时的发现攻击行为和不良上网记录。(5)允许通过配置网卡对防火墙设置,提高防火墙管
20、理的安全性。入侵检测能力是衡量一个防御体系是否完善有效的重要因素。根据校园网的特点,我们采用基于代理的分布式入侵检测技术,将入侵检测系统的IDS中心服务器接入中心交换机上,并将其他的网络代理分布于各校区的子网中,主机代理设置在需要保护的工作站上。 入侵检测系统集中了入侵检测、网络管理和网络监控的作用,能够实时的获得内外网之间的传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能的分析的方法检测网络上发生的入侵行为和异常现象。入侵系统的实施必须保证实时性,必须匹配目前一般的网络速度,从作用的角度来看,其实现还必须易于扩充,使得新的攻击方法出现时,能够迅速的更新检测手段。第三章 济宁一中网络安
21、全的设计与组建校园网是在校学生学习和交流的一个重要的平台,因此,建设一个重要的网 络安全系统是每个学校不能忽视的一个问题。一个好的校园网可以方便学生的交流和对知识的学习,一个好的校园网可以方便教师对学生的管理。网络安全的基础是安全的管理、配合安全管理的是安全技术,一个学校想要建立一个好的校园网,必须有自己的体系,制定完善的安全管理制度,如宿舍网络管理条例、病毒防范安全制度,并配备具有计算机知识的老师进行管理,并不定期的对学校的师生进行相关的培训。31济宁一中网络安全设计3.1.1校园网的实现功能 完成组建以后可以进行视频教学、学生数据管理、邮箱公布成绩、学校论坛交流,还可以实现远程教育、学生健
22、康统计、财务管理系统、运动会管理系统,方便校园的教学、管理,构造更好的教学环境。3.1.2校园网网络拓扑结构 图3.1 济宁一中校园网络逻辑拓扑结构图远程拨号用户Switch hubSwitch hub服务器群Switch hub DDN/FR专线上连 辅楼1 主楼 Switch hubSwitch hubSwitch hub Switch hub 辅楼2 辅楼3 图3.2 济宁一中校园网络物理拓扑图3.1.3网络规划根据校园内的实际建筑情况,考虑其校内建筑分布较为复杂,所以对于多幢楼宇,可采用多设备间的方法。分为中心设备间和楼栋设备间部分,中心设备间是整个局域网的控制中心。内设有对外(Int
23、ernet)对内通信的各种网络设备(交换机、路由器、视频服务器等),中心交换机通过光缆(地下直埋)与楼栋设备间的交换设备相连,以保证数据的高速传输。在此设备间放置布线的线架和网络设备,端接楼内来自在各层的主干线缆,并连接网络中心的光纤。(1)校长办公室以学校管理室 在这2个地方要配备联想杨天T4900V,这里要加强网络安全的管理,因为这2个地方是学校的核心,应该定期的查杀病毒,更新补丁。可以通过网卡与学校的主干网想连,方便对学校成绩和信息的发布以及对学生资料的管理。(2)办公楼机房办公楼机房可以提供给老师一个完善的多媒体备课的环境。学校内应该给每个老师配备计算机,为老师配备计算机可以保证学校老
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 本科 计算机 毕业设计 论文 济宁 一中 网络安全 设计 ARP 防御
链接地址:https://www.31doc.com/p-3278296.html