- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
局域网组网技术实训作业
实训目的:
1、利用网络安全设备(防火墙系统、入侵检测系统、VPN系统)独立组建具有网络安全保护屏障的网络。
2、利用所学知识对防火墙的工作原理、入侵检测系统的工作原理、VPN技术的工作原理进行分析,并根据不同的产品说明其优缺点,学会利用各种安全产品对网络进行管理。
3、了解网络不安全因素,网络黑客的攻击形式和方法。
4、根据不同层次的网络设计高效低耗的安全网络。
5、掌握网络安全产品的发展方向。
二、实训要求和内容:
1、设计一个基于屏蔽子网防火墙系统,画出其拓朴结构,要求该系统设计成为包过滤和代理两种不同机制防火墙系统,工作稳定可靠,支持多种网络服务的深层过滤,还具有一定的可扩展性。
2、设计一个基于DIDS入侵略检测系统,画出其拓扑结构,并说明其工作原理和将来的发展方向。
3、设计基于SSL VPN技术的网络安全系统,画出其拓扑结构,并说明其工作原理和将来的发展方向。
三、实训步骤:
a) (屏蔽子网的防火墙系统)这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图两个路由器一个控制Intranet 数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。屏蔽子网模型用了两个包过滤路由器和一个堡垒主机.它是最安全的防火墙系统之一,因为在定义了中立区(DMZ,Demilitarized Zone)网络后,它支持网络层和应用层安全功能.网络管理员将堡垒主机,信息服务器,Modem组,以及其它公用服务器放在DMZ网络中.如果黑客想突破该防火墙那么必须攻破以上三个单独的设备当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。摘要:随着网络技术的发展,网络环境变得越来越复杂,对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,一个有效的解决途径就是入侵检测系统IDS(——Intrusion Detection System)。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。
入侵检测技术的发展趋势智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的地思想来构建IDS也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断升级语扩展,使设计的IDS防范能力不断增强,应该具有更广泛的应用前景。采用协议分析融合模式匹配的检测方式。特征模式匹配虽然是主要技术,但存在速度慢,效率低等缺点,协议分析是新一代IDS探测攻击手法的主要技术,它利用网络协议的高度规则性快速探测攻击的存在。协议分析技术优势在于能够详细解析各种协议。探测碎片攻击和协议确认技术可以为系统在每一层上都沿着协议栈向上解码,从而使用所有当前已知协议信息,来排除所有异常协议结构的攻击,同时大大降低传统模式匹配带来的误报问题和提高了效率,同时减少了系统资源消耗。分布式和负载均衡入侵检测。分布式的第一层含义,即针对分布式网络的攻击的检测方法;第二层含义即使用分布式的方法来实现分布式的攻击的检测,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。负载均衡是一项具备智能化的技术,通常是通过并行的几台设备,将处理流量尽量平均的分配到各个设备,使得总体的处理负荷能够“分摊”到各个设备中,从而使总体性能得到很大的提高
文档评论(0)