網(wǎng)絡(luò)安全系統(tǒng)部署

畢業(yè)設(shè)計(jì)說(shuō)明書(shū)(論文)設(shè)計(jì)(論文)題目:網(wǎng)絡(luò)安全系統(tǒng)部署專業(yè):計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí): 學(xué)號(hào):姓名:指導(dǎo)教師:2015年10月日

摘要在計(jì)算機(jī)網(wǎng)絡(luò)化的今天，計(jì)算機(jī)網(wǎng)絡(luò)正飛速的發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。但是有利必有弊，計(jì)算機(jī)網(wǎng)絡(luò)在帶來(lái)各種利益的同時(shí)，卻也存在各種技術(shù)漏洞，所以其安全性顯得格外重要。本文將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)信息安全的概念進(jìn)行解讀，對(duì)網(wǎng)絡(luò)信息安全存在的問(wèn)題和重要性進(jìn)行探討。對(duì)于最近的出現(xiàn)的一些安全的問(wèn)題，國(guó)家漸漸的走向了安全的道路，先后棱鏡門(mén)事件、中國(guó)互聯(lián)網(wǎng)DNS解析故障等等問(wèn)題的出現(xiàn)，讓國(guó)家領(lǐng)導(dǎo)相當(dāng)重視，慢慢地國(guó)外廠商Cisco網(wǎng)絡(luò)退出中國(guó)市場(chǎng)，國(guó)內(nèi)的廠商也得到飛速的發(fā)展。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；信息安全；訪問(wèn)控制；漏洞掃描。

目錄第1章緒論 11.1項(xiàng)目背景 11.2安全加固的作用 2第2章網(wǎng)絡(luò)規(guī)劃 32.1拓?fù)湓O(shè)計(jì) 32.2IP地址規(guī)劃表 4第3章平臺(tái)搭建與配置 53.1網(wǎng)絡(luò)平臺(tái)搭建 53.1.1平臺(tái)搭建需求 53.1.2WEB_WAF接口配置信息 63.1.3DCRS接口配置信息 63.1.4DCFW接口配置信息 73.1.5DCFS接口配置信息 73.1.6DCRS的vlan信息 73.1.7DCS的VLAN信息 83.1.8DCRS靜態(tài)路由信息 93.2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù) 93.2.1DCFW增強(qiáng)防護(hù)機(jī)制 93.2.2DCFW配置SNAT 103.2.3DCFS對(duì)PC帶寬控制 113.2.4DCFS訪問(wèn)控制 133.2.5DCFS對(duì)BT流量限速 133.2.6DCFW設(shè)置訪問(wèn)管理限制 163.2.7Web_Waf安全配置 17第4章網(wǎng)絡(luò)設(shè)備管理 194.1網(wǎng)絡(luò)的監(jiān)控 194.1.1Cacti配置需求 194.1.2配置SNMP協(xié)議 194.1.3配置日志服務(wù)器 214.2漏洞分析 224.2.1系統(tǒng)漏洞掃描需求 224.2.2掃描PC的開(kāi)放端口 234.2.3掃描系統(tǒng)的危險(xiǎn)漏洞 244.2.4網(wǎng)站漏洞掃描 264.3弱口令密碼的猜解 27第5章設(shè)備清單 29總結(jié) 30參考文獻(xiàn) 31

第1章緒論1.1項(xiàng)目背景建設(shè)銀行廣元支行根據(jù)現(xiàn)在的情況需要進(jìn)行網(wǎng)絡(luò)升級(jí)改造，重新規(guī)劃拓?fù)浜虸P地址的分配，平臺(tái)的搭建與配置，網(wǎng)絡(luò)設(shè)備調(diào)試，流量的監(jiān)控，以及后期存在的安全隱患問(wèn)題，需要進(jìn)行工作機(jī)系統(tǒng)漏洞掃描，網(wǎng)絡(luò)系統(tǒng)加固，網(wǎng)絡(luò)攻擊防護(hù)，訪問(wèn)控制策略等一系列的工作。這一次的升級(jí)中，最關(guān)鍵的是增加了監(jiān)控日志系統(tǒng)和云平臺(tái)的測(cè)試，應(yīng)對(duì)各種系統(tǒng)漏洞做出的措施，不僅如此，同時(shí)還要考慮員工安全意識(shí)的培訓(xùn)，要讓員工對(duì)信息安全的重要性有所認(rèn)識(shí)，這樣才能杜絕安全系統(tǒng)中社會(huì)工程學(xué)這樣的一個(gè)環(huán)節(jié)。信息系統(tǒng)安全的實(shí)現(xiàn)是一個(gè)過(guò)程而不是目標(biāo)，信息安全風(fēng)險(xiǎn)是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。信息系統(tǒng)的安全性可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)度量，通過(guò)科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問(wèn)題和矛盾，就能夠在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策，最大限度地控制和化解安全威脅。信息安全加固是解決如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來(lái)自何方、安全的風(fēng)險(xiǎn)有多大，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力，確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級(jí)進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問(wèn)題的重要方法和基礎(chǔ)性工作。信息安全風(fēng)險(xiǎn)加固是信息系統(tǒng)安全保障機(jī)制建立過(guò)程中的一種評(píng)價(jià)方法，其結(jié)果為信息安全管理提供依據(jù)。風(fēng)險(xiǎn)加固將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)加固為起點(diǎn)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn)。指導(dǎo)該支行信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對(duì)銀行進(jìn)行信息安全加固后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)銀行信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測(cè)與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、防洪水攻擊等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。1.2安全加固的作用隨著現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和經(jīng)濟(jì)社會(huì)的不斷發(fā)展，人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用提出了更高的要求。系統(tǒng)化、多元化及集成化是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)信息管理技術(shù)發(fā)展的基本趨勢(shì)。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展給社會(huì)帶來(lái)了很大的經(jīng)濟(jì)效益，與此同時(shí)，其自身也有一些安全隱患存在，而怎樣才能夠?qū)⑦@些安全隱患徹底清除對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全十分重要。計(jì)算機(jī)網(wǎng)絡(luò)信息安全防范技術(shù)是一門(mén)綜合性的學(xué)科，其主要是對(duì)外部非法用戶的攻擊進(jìn)行防范來(lái)確保網(wǎng)絡(luò)的安全的。明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全加固后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全加固并進(jìn)行風(fēng)險(xiǎn)分級(jí)后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。

第2章網(wǎng)絡(luò)規(guī)劃2.1拓?fù)湓O(shè)計(jì)拓?fù)淙鐖D2-1所示，用到了Linux云服務(wù)器，PC機(jī)3臺(tái)，防火墻，WAF防火墻，流量控制器，三層交換機(jī)，二層交換機(jī)。圖2-1拓?fù)鋱D由WAF做web服務(wù)器防護(hù)，防火墻做源目的NAT，流控設(shè)備做內(nèi)網(wǎng)流量監(jiān)控與部分限制策略，Linux服務(wù)器做安全測(cè)試用，DCRS-5200與DCS-3950彼此采用e1/1和e1/2互聯(lián)；采用生成樹(shù)（MSTP）起到防環(huán)和冗余機(jī)制，DCRS-5200為根橋；DCS-3950的e1/2處于block狀態(tài)；DCRS-5200、DCFS采用靜態(tài)路由的方式，全網(wǎng)絡(luò)互連。2.2IP地址規(guī)劃表本方案采用的地址分配方法利用VLSM技術(shù),有大量預(yù)留空間,本企業(yè)網(wǎng)使用靜態(tài)路由協(xié)議,在邊界防火墻上可做匯聚,提高網(wǎng)絡(luò)性能。如表所示:表2-1ip地址分配表設(shè)備名稱接口IP地址說(shuō)明DCFWE0/2/24與WAF相連E0//24與DCFS相連DCFSEth2無(wú)與DCFW相連Eth00/24與DCRS-5200相連WAFEth0/24(橋模式)與DCFW相連Eth1/24(橋模式)與Web服務(wù)器相連DCRS-5200Vlan54/24與DCFS相連E1/1Trunk模式（Vlan1,3,17）Vlan17與Cloud相連Vlan354/24DCS-3950E1/1Trunk模式（Vlan1,3,17）Vlan17與MonitorPC相連Vlan3與Cacti相連WebServer/24與WAF相連Cacti/24與DCS-3950相連MonitorPC/24與DCS-3950相連

第3章平臺(tái)搭建與配置3.1網(wǎng)絡(luò)平臺(tái)搭建3.1.1平臺(tái)搭建需求表3-1搭建需求表序號(hào)網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)WAF的名稱、各接口IP地址進(jìn)行配置。2根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCRS的名稱、各接口IP地址進(jìn)行配置。3根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCFW的名稱、各接口IP地址進(jìn)行配置。4根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCFS的名稱、各接口IP地址進(jìn)行配置。5根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，在DCRS-5200交換機(jī)上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN。6根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，在DCRS-3950交換機(jī)上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN。7DCRS-5200、DCFS采用靜態(tài)路由的方式，全網(wǎng)絡(luò)互連。8MonitorPC、Cacti、Web服務(wù)器全網(wǎng)互通。9DCRS-5200與DCS-3950彼此采用e1/1和e1/2互聯(lián)；采用生成樹(shù)（MSTP）起到防環(huán)和冗余機(jī)制，DCRS-5200為根橋；DCS-3950的e1/2處于block狀態(tài)。3.1.2WEB_WAF接口配置信息圖3-1防火墻設(shè)置3.1.3DCRS接口配置信息InterfaceEthernet0/0/1switchportmodetrunkswitchporttrunkallowedvlan1;3;17!InterfaceEthernet0/0/2switchportmodetrunkswitchporttrunkallowedvlan1;3;17!InterfaceEthernet0/0/23vlan-translationenableswitchportaccessvlan17!InterfaceEthernet0/0/24switchportaccessvlan20!interfaceVlan1!interfaceVlan17descriptioncloud_monitor_gatewayipaddress54!interfaceVlan20descriptionto_DCFSipaddress54interfaceVlan3descriptioncacti_gatewayipaddress54!3.1.4DCFW接口配置信息圖3-2DCFW接口設(shè)置3.1.5DCFS接口配置信息圖3-3接口的配置信息3.1.6DCRS的vlan信息ipv4forwardingenable!vlan1!vlan2!vlan3namecacti!vlan17namecloud_monitor!vlan20nameto_DCFS!InterfaceEthernet0/0/1switchportmodetrunkswitchporttrunkallowedvlan1;3;17!InterfaceEthernet0/0/2switchportmodetrunkswitchporttrunkallowedvlan1;3;17!InterfaceEthernet0/0/23vlan-translationenableswitchportaccessvlan17!InterfaceEthernet0/0/24switchportaccessvlan203.1.7DCS的VLAN信息vlan1!vlan3namecacti!vlan17namemonitor!InterfaceEthernet1/1descriptionto_DCFS_5200_E1/1-2switchportmodetrunkswitchporttrunkallowedvlan1;3;17!InterfaceEthernet1/2descriptionto_DCFS_5200_E1/1-2spanning-treemst0cost200000switchportmodetrunkswitchporttrunkallowedvlan1;3;17!InterfaceEthernet1/11switchportaccessvlan3!InterfaceEthernet1/12switchportaccessvlan17!3.1.8DCRS靜態(tài)路由信息iproute/03.2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)根據(jù)建設(shè)銀行的目前需求，制定一系列的安全措施，以及一些流量的整形、上網(wǎng)行為控制，完善網(wǎng)絡(luò)部署的基本形成結(jié)構(gòu)。3.2.1DCFW增強(qiáng)防護(hù)機(jī)制需求：在DCFW的trust安全域上，開(kāi)啟DDOS攻擊防護(hù)，連接web服務(wù)器的接口屬于DMZ安全域、連接內(nèi)網(wǎng)的接口屬于trust安全域。

步驟一：開(kāi)啟DDOS防護(hù)圖3-4防火墻安全設(shè)置步驟二：定于網(wǎng)絡(luò)的trust區(qū)域和DMZ區(qū)域圖3-5防火墻網(wǎng)絡(luò)設(shè)置3.2.2DCFW配置SNAT需求：在DCFW上做SNAT，使內(nèi)網(wǎng)用戶網(wǎng)段和服務(wù)器網(wǎng)段能訪問(wèn)web服務(wù)器。圖3-6防火墻NAT設(shè)置3.2.3DCFS對(duì)PC帶寬控制在DCFS上對(duì)MonitorPC做限速，上傳帶寬1M，下載帶寬2M，禁止周一到周五訪問(wèn)web服務(wù)器的http和https服務(wù)。步驟一：做策略對(duì)monitorPC進(jìn)行限速下載帶寬設(shè)置2M，上傳速度1M。圖3-7帶寬通道設(shè)置步驟二：帶寬通道應(yīng)用到規(guī)則。圖3-8策略基本設(shè)置步驟三：被限速的MonitorPC到WEB服務(wù)器。圖3-9策略對(duì)象設(shè)置圖3-10策略目標(biāo)設(shè)置3.2.4DCFS訪問(wèn)控制這里單位需要禁止周一到周五訪問(wèn)web服務(wù)器的http和https。圖3-11策略基本設(shè)置3.2.5DCFS對(duì)BT流量限速在建設(shè)銀行分行的DCFS上對(duì)Cacti做應(yīng)用限速，限制“bt”的速度為10M。設(shè)置對(duì)Cacti的流量為10M的帶寬。圖3-12帶寬通道列表圖3-12限速策略設(shè)置圖3-14限速策略服務(wù)圖3-15策略對(duì)象設(shè)置圖3-16策略目標(biāo)設(shè)置3.2.6DCFW設(shè)置訪問(wèn)管理限制需求：在建設(shè)銀行分行的DCFW上設(shè)置，僅允許內(nèi)網(wǎng)MonitorPC和Cacti登陸管理。圖3-17對(duì)象地址薄對(duì)Web認(rèn)證的策略的行為設(shè)置。圖3-18web認(rèn)證策略設(shè)置

防火墻放行不同安全區(qū)域的策略。圖3-19安全域放行3.2.7Web_Waf安全配置公司web應(yīng)用防火墻透明模式部署，并開(kāi)啟暴力瀏覽攻擊防護(hù)。步驟一：公司web應(yīng)用防火墻設(shè)置透明模式：圖3-20防火墻透明模式步驟二：開(kāi)啟暴力瀏覽攻擊防護(hù)：圖3-21開(kāi)啟防護(hù)策略步驟三：開(kāi)啟web服務(wù)及80端口：圖3-22端口映射

第4章網(wǎng)絡(luò)設(shè)備管理4.1網(wǎng)絡(luò)的監(jiān)控在網(wǎng)絡(luò)規(guī)劃搭建完成后，需要對(duì)網(wǎng)絡(luò)進(jìn)行記錄和管理以及系統(tǒng)安全的加固，這同樣是一位專業(yè)的網(wǎng)絡(luò)管理員該做的工作，通過(guò)網(wǎng)絡(luò)的管理平臺(tái)，一旦網(wǎng)絡(luò)流量出現(xiàn)異常，直接可以通過(guò)網(wǎng)絡(luò)監(jiān)控平臺(tái)查看問(wèn)題的出現(xiàn)，進(jìn)行分析得以解決。4.1.1Cacti配置需求需求軟件：網(wǎng)絡(luò)流量監(jiān)控軟件：Cacti日志記錄軟件：KiwiSyslogServiveManager設(shè)備需求：DCRS-5200DCS-39504.1.2配置SNMP協(xié)議步驟一：配置snmp協(xié)議配置snmp協(xié)議，在DCRS-5200上配置snmpv2，只讀團(tuán)體字符串user，讀寫(xiě)方式團(tuán)體字符串a(chǎn)dmin。配置如下：圖4-1配置命令步驟二：登錄Cacti監(jiān)控系統(tǒng)在Cacti中添加對(duì)DCRS-5200的接口的流量的監(jiān)控。創(chuàng)建一個(gè)圖像，添加主機(jī)、模板以及配置SNMP協(xié)議的端口。圖4-2SNMP設(shè)置創(chuàng)建完成的圖形。圖4-3創(chuàng)建成功通過(guò)cacti配置，將一些可監(jiān)控的接口加入圖形流量圖。圖4-4圖形流量設(shè)置根據(jù)創(chuàng)建的圖像，將創(chuàng)建一個(gè)圖像樹(shù)。圖4-5圖形樹(shù)的創(chuàng)建步驟三：在Cacti中對(duì)設(shè)備進(jìn)行監(jiān)控圖4-6流量監(jiān)控情況4.1.3配置日志服務(wù)器使用monitor的日志監(jiān)控軟件（kiwi_syslog）對(duì)DCS—3950的日志進(jìn)行監(jiān)控：在DCS-3950設(shè)備上使用命令：logging8，測(cè)試軟件效果如下：圖4-7日志生成表4.2漏洞分析在銀行網(wǎng)絡(luò)中，相對(duì)來(lái)說(shuō)，計(jì)算機(jī)是最危險(xiǎn)的，因?yàn)槎际欠胖迷谕獠?，這同樣也會(huì)造成一定的不安全。4.2.1系統(tǒng)漏洞掃描需求需求軟件kaillinux中有nmap工具kaillinux中有openvas工具kaillinux中有w3af工具使用遠(yuǎn)程桌面和ssh的方式登錄kaillinux(登錄方式見(jiàn)監(jiān)控PC附件)設(shè)備需求Kalilinux系統(tǒng)Windows7系統(tǒng)需求說(shuō)明利用掃描工具nmap掃描出的主機(jī)類型和對(duì)應(yīng)IP，通過(guò)這些數(shù)據(jù)進(jìn)行分析，以及后期的安全的加固。（地址/24）具體步驟命令如下：利用nmap工具掃描結(jié)果如下（系統(tǒng)類型）：表4-1掃描情況系統(tǒng)類型IP地址主機(jī)數(shù)量Windows04臺(tái)70Linux110臺(tái)46734504.2.2掃描PC的開(kāi)放端口利用掃描工具，可以清晰的找到系統(tǒng)的開(kāi)放的服務(wù)與端口，可將一些容易被入侵的端口139、445端口這些（地址為7）利用nmap掃描列出主機(jī)服務(wù)與對(duì)應(yīng)的端口號(hào)：圖4-8掃描主機(jī)端口4.2.3掃描系統(tǒng)的危險(xiǎn)漏洞利用掃描工具openvas，可以分析出系統(tǒng)存在的一些漏洞，同樣這也是造成電腦不安全的因素。在終端啟用openvas然后登錄并掃描在地址欄輸入：：9392默認(rèn)用戶名以及密碼admin：admin圖4-9登陸界面針對(duì)7主機(jī)作為測(cè)試，可以看出一些高危漏洞，這同樣也是黑客入侵的一種入侵點(diǎn)，降低了系統(tǒng)的安全性。圖4-10高危漏洞4.2.4網(wǎng)站漏洞掃描公司存在一個(gè)web服務(wù)器，同樣也會(huì)提供給外網(wǎng)訪問(wèn)。由于是搭建在銀行內(nèi)部，我們應(yīng)該保證此網(wǎng)站的安全性。具體步驟利用掃描工具w3af分析web掃描漏洞：在“終端”輸入w3af，啟動(dòng)該軟件，在目標(biāo)地址欄中輸入網(wǎng)站地址，進(jìn)行漏洞的掃描工作。圖4-11掃描目標(biāo)漏洞

經(jīng)過(guò)掃描目標(biāo)IP出現(xiàn)的一些高危漏洞。圖4-12目標(biāo)高危漏洞該目標(biāo)主機(jī)漏洞的詳細(xì)情況。圖4-13漏洞詳細(xì)信息4.3弱口令密碼的猜解銀行公司的計(jì)算機(jī)的密碼難度比較重要，有時(shí)員工將密碼設(shè)置的過(guò)于簡(jiǎn)短和簡(jiǎn)短，直接可以用暴力破解工具，很快就可以破解出來(lái)，這樣銀行的一些重要數(shù)據(jù)就沒(méi)有安全保障。需求軟件hydra軟件密碼字典文件設(shè)備需求Windows7系統(tǒng)Kalilinux系統(tǒng)

具體步驟1.利用系統(tǒng)目錄下的密碼字典暴力破解windows管理員用戶及密碼。圖4-14暴力破解帳戶管理員賬戶密碼：login：admini