《入侵防火墙检测论文.doc》由会员分享,可在线阅读,更多相关《入侵防火墙检测论文.doc(12页珍藏版)》请在三一文库上搜索。
1、. . 山东农业大学防火墙入侵与检测课程设计 学 院 XXXX 专业班级 网络工程XXXX级XX班 学生姓名 XXX 学 号 2010xxxx 指导教师 张亮 二O一三年七月. . . 备注:慎重使用。后期因为考研,从来没去上过这门课。这个作为结课论文,是我花费了一下午,预习了一下老师的课件,然后又花费了一晚上自己做的,保证原创。但是,老师给这篇论文的成绩是60分,还是面子分,因为之前的演讲做的很好。有点小郁闷建议你去down一篇网上的,稍微改改交上去,好多同学都是这样做的,据统计平均得分85+1 企业网络部署方案1. 内部网络划分按照要求,我们设定公司网络接入Internet网络,这里我们设
2、置接入外网有两个接口,分别是ISP1和ISP2 ( 比如:中国联通和中国电信等网络服务提供商)。这里我们要实现内部办公网络和网络服务设备的可用性之外,也必须保证和外网的连通性以及提供良好的网络体验。之所以要采取两个出口连接外网的原因是,很多企业网采用的单链路接入有很多毁灭性的缺陷,比如当链路关键点发生故障时,整个公司和外界的沟通会直接断掉,导致对外服务中断。所以我们采用多链路接入技术来改善这一状况。除此之外,多链路的接入还可以实现提高线路总体带宽和链路备份的作用。尤其是对于一些即时性要求很强的门户网站、论坛和社交类应用等,链路备份是必要的工作之一。网络状态的不稳定性,很多时候会导致整个网络的通
3、信中断,如果有多个出口,连接多个服务提供商,可以更大程度的降低线路故障导致网络瘫痪的可能性,为企业提供更可靠的网络服务。2. 网络地址转换 NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。NAT的实现方式有三种,即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复用(OverLoad)。 该企业网络设计中,包含了私有编址功能,进行了VLAN和地址划分。私有 IP 地址是指内部网络或主机的IP 地址,对外采用公用I
4、P地址,具体功能实现由路由器提供。3. 敏感数据的访问权限控制 敏感数据的访问权限控制分为两个层面意义:一个是外部网络对内网的数据访问请求,另一个是内部网络不同权限级别互相访问或者调用服务关系的访问。 以该公司为例,公司内部的数据库,用户资料以及运营统计等数据是不允许外部网络随意访问和修改的。因此,在进行这部分的访问控制时,设置了包括传感器、防火墙以及DMZ等措施来保证内部数据的安全性。 对于公司内部区分的不同权限级别和部门,我们通过在每个部门局域网的外接口处添加过滤器和在路由器设置端口访问权限来实现,具体过程不赘述。4. 安全体系搭建总述 公司网络保证了对外网Internet正常提供服务的同
5、时,最大程度上搭建一个较为严谨的安全体系结构。 公司内网和Internet之间设置了两个路由器,分别设置在远内网端和近内网端。路由器中间设置DMZ。在远端路由器外围分别设置了防火墙以及一个具备冗余检测功能的结构拓扑网络,该设备结构的搭建可以使得在任何一个传感器或者链路发生故障,都不会中断对网络的实时监测。2 企业网络拓扑图3 安全区域划分 按照外部信息进入内网的通信链路,可分为三个级别,其不断加深访问控制和检测甄别,安全程度层层步进。1. 外网到防火墙 从外网到防火墙之间设置了第一层检测机制。首先路由器提供了最近本的简单的过滤机制和安全功能。其次,高度冗余检测的传感器可提供边界网络数据流的检测
6、。2. 防火墙 由防火墙和远端路由提供的第二层安全保护机制。根据具体的要求,设置防火墙策略,达到控制访问和过滤检测的功能。3. DMZ 在远端路由和近端路由之间设置访问内网的第三层屏障-DMZ。DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保
7、护了内部网络。DMZ的原理是将部分用于提供对外服务的服务器主机划分到一个特定的子网DMZ内,在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信,而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问,而内部网络又能避免外部网络所得知。另外,DMZ可以提供六条访问控制策略: 内网可以访问外网。 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。 外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。 外网可以访问DMZ DMZ中的服务
8、器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 DMZ不能访问内网 很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。 DMZ不能访问外网 此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。4 防火墙设置 AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火
9、墙。只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一组组件集合。 1.企业网络在第二层安全机制中设置了单独的包过滤防火墙。 另外,在DMZ中还有多个防火墙。 2.防火墙类型和选用 目前的防火墙类型比较多,划分标准也不尽相同: 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。 从防火墙结构分为 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。 按防火墙的应用部署位置分
10、为 边界防火墙、个人防火墙和混合防火墙三大类。 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。 这里我们可选用的企业级硬件防火墙主要:、紫光清华UG2806E、CISCOASA5555-K8、金山KG-FVR-2000等。 综合价格、性能等各种因素,我们选用瑞星全功能N P防火墙 RFW-SME。5 典型的入侵方法及解决方案1. 木马攻击 木马攻击一般采用C/S模式,实现远程控制和窃取信息等功能。 一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着
11、容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。 防范与解决办法:屏蔽常常被利用的端口,定期扫描木马。有可疑行为时,查看进程管理器,借助“冰刃”等杀掉隐藏进程。DOS下查杀,清除客户端,并加强防火墙对感染源的针对性策略,防止再次中招。2. 病毒 编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性。计算机中毒后,可能会导致正常的程序无法运行,把计算机内
12、的文件删除或受到不同程度的损坏。通常表现为:增、删、改、移。预防和解决办法:养成良好的上网习惯,定期更新杀毒软件,定期杀毒。3. ARP攻击ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,
13、则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本
14、地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。预防和解决办法:建立静态arp表,和设置禁止arp,绑定mac地址,安装arp防火墙等。4. DNS欺骗 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。 主要的欺骗形式有:hosts文件篡改,本机DNS劫持等。 防范方法:保护内部设备,使用入侵检测系统,使用DNSSEC等。我的大学爱情观目录:4. 大学概念5. 分析爱情健康观6. 爱情观要三思7.
15、 大学需要对爱情要认识和理解8. 总结1、什么是大学爱情:大学是一个相对宽松,时间自由,自己支配的环境,也正因为这样,培植爱情之花最肥沃的土地。大学生恋爱一直是大学校园的热门话题,恋爱和学业也就自然成为了大学生在校期间面对的两个主要问题。恋爱关系处理得好、正确,健康,可以成为学习和事业的催化剂,使人学习努力、成绩上升;恋爱关系处理的不当,不健康,可能分散精力、浪费时间、情绪波动、成绩下降。因此,大学生的恋爱观必须树立在健康之上,并且树立正确的恋爱观是十分有必要的。因此我从下面几方面谈谈自己的对大学爱情观。2、什么是健康的爱情:1) 尊重对方,不显示对爱情的占有欲,不把爱情放第一位,不痴情过分;
16、2) 理解对方,互相关心,互相支持,互相鼓励,并以对方的幸福为自己的满足; 3) 是彼此独立的前提下结合;3、什么是不健康的爱情:1)盲目的约会,忽视了学业;2)过于痴情,一味地要求对方表露爱的情怀,这种爱情常有病态的夸张;3)缺乏体贴怜爱之心,只表现自己强烈的占有欲;4)偏重于外表的追求;4、大学生处理两人的在爱情观需要三思:5. 不影响学习:大学恋爱可以说是一种必要的经历,学习是大学的基本和主要任务,这两者之间有错综复杂的关系,有的学生因为爱情,过分的忽视了学习,把感情放在第一位;学习的时候就认真的去学,不要去想爱情中的事,谈恋爱的时候用心去谈,也可以交流下学习,互相鼓励,共同进步。6.
17、有足够的精力:大学生活,说忙也会很忙,但说轻松也是相对会轻松的!大学生恋爱必须合理安排自身的精力,忙于学习的同时不能因为感情的事情分心,不能在学习期间,放弃学习而去谈感情,把握合理的精力,分配好学习和感情。6 有合理的时间;大学时间可以分为学习和生活时间,合理把握好学习时间和生活时间的“度”很重要;学习的时候,不能分配学习时间去安排两人的在一起的事情,应该以学习为第一;生活时间,两人可以相互谈谈恋爱,用心去谈,也可以交流下学习,互相鼓励,共同进步。5、大学生对爱情需要认识与理解,主要涉及到以下几个方面:5. 明确学生的主要任务“放弃时间的人,时间也会放弃他。”大学时代是吸纳知识、增长才干的时期
18、。作为当代大学生,要认识到现在的任务是学习学习做人、学习知识、学习为人民服务的本领。在校大学生要集中精力,投入到学习和社会实践中,而不是因把过多的精力、时间用于谈情说爱浪费宝贵的青春年华。因此,明确自己的目标,规划自己的学习道路,合理分配好学习和恋爱的地位。6. 树林正确的恋爱观提倡志同道合、有默契、相互喜欢的爱情:在恋人的选择上最重要的条件应该是志同道合,思想品德、事业理想和生活情趣等大体一致。摆正爱情与学习、事业的关系:大学生应该把学习、事业放在首位,摆正爱情与学习、事业的关系,不能把宝贵的大学时间,锻炼自身的时间都用于谈情说有爱而放松了学习。 相互理解、相互信任,是一份责任和奉献。爱情是
19、奉献而不时索取,是拥有而不是占有。身边的人与事时刻为我们敲响警钟,不再让悲剧重演。生命只有一次,不会重来,大学生一定要树立正确的爱情观。7. 发展健康的恋爱行为 在当今大学校园,情侣成双入对已司空见惯。抑制大学生恋爱是不实际的,大学生一定要发展健康的恋爱行为。与恋人多谈谈学习与工作,把恋爱行为限制在社会规范内,不致越轨,要使爱情沿着健康的道路发展。正如马克思所说:“在我看来,真正的爱情是表现在恋人对他的偶像采取含蓄、谦恭甚至羞涩的态度,而绝不是表现在随意流露热情和过早的亲昵。”8. 爱情不是一件跟风的事儿。很多大学生的爱情实际上是跟风的结果,是看到别人有了爱情,看到别人幸福的样子(注意,只是看
20、上去很美),产生了羊群心理,也就花了大把的时间和精力去寻找爱情9. 距离才是保持爱情之花常开不败的法宝。爱情到底需要花多少时间,这是一个很大的问题。有的大学生爱情失败,不是因为男女双方在一起的时间太少,而是因为他们在一起的时间太多。相反,很多大学生恋爱成功,不是因为男女双方在一起的时间太少,而是因为他们准确地把握了在一起的时间的多少程度。10. 爱情不是自我封闭的二人世界。很多人过分的活在两人世界,对身边的同学,身边好友渐渐的失去联系,失去了对话,生活中只有彼此两人;班级活动也不参加,社外活动也不参加,每天除了对方还是对方,这样不利于大学生健康发展,不仅影响学习,影响了自身交际和合作能力。总结:男女之间面对恋爱,首先要摆正好自己的心态,树立自尊、自爱、自强、自重应有的品格,千万不要盲目地追求爱,也不宜过急追求爱,要分清自己的条件是否成熟。要树立正确的恋爱观,明确大学的目的,以学习为第一;规划好大学计划,在不影响学习的条件下,要对恋爱认真,专一,相互鼓励,相互学习,共同进步;认真对待恋爱观,做健康的恋爱;总之,我们大学生要树立正确的恋爱观念,让大学的爱情成为青春记忆里最美的风景,而不是终身的遗憾!