防火墙与入侵检测专业课程设计.docVIP

防火墙与入侵检测课程设计?

设计背景：?

随着计算机网络饿普及和发展，以及政府和公司信息化艰涩步伐加快，既有公司网络体系构造越来越复杂。复杂网络构造暴露了众多安全隐患，对网络安全需求此前所未有速度迅猛增长。如何试网络安全满足业务高速推动，成为越来越热门话题。?

安全网络系统对于当代公司来说是寻常办公和业务应用支撑体系。诸多公司曾饱尝网络系统遭受袭击痛苦，意识到网络安全重要性，实行了简朴基于防火墙技术安全解决方略，但绝大多数公司还处在观望阶段，或者出于一种调研阶段。?

尽管公司网络与个人网络所存在重要安全隐患同样们都是计算机病毒

感染、木马和恶意程序入侵和黑客袭击，但公司网络安全与个人计算机网络安全相比，安全防护重要性药高许多。一旦存在这些安全隐患。公司网络损失也许是无法预计。毕竟个人顾客最多只是个人计算机系统损坏，或者数据丢失，而对于公司网络远没有这样简朴。公司网络一旦受到威胁，就也许使整个网络无法正常工作，服务器系统瘫痪，甚至所有网络数据损坏或丢失，其损失也许是劫难性。作为网络管理员，应当依照当前安全形式认清公司网络中重要需要防范安全隐患。而不要以个人计算机网络安全来概括公司网络安全。?正是基于公司网络安全重要性，公司网络安全防护成本要远比个人网络高。在个人计算机网络安全防护中普通只是安全个人版病毒防护程序和软件防火墙，而在公司网络中。仅靠这些事远远不够。公司网络中普通布置是硬件防火墙、网络版病毒防护程序和其她诸如入侵检测系统、网络隔离设备等。同步，布置公司网络容灾系统也是非常必要要，由于它是一切安全防护办法最后防线。???

拓扑图?

拓扑图分析：?

公司按部门划分vlan?公司部门分为经理部、销售部、人力资源部、后勤部、财政部、行政部、科研部，每个部门为一种vlan?互相之间互不影响，经理部可以查看其她各部门计算机，其她部门只能查看除了经理部和财政部以外部门计算机。各部门计算机通过接入层互换机连接到汇聚层互换机，然后介入核心互换机。Web?服务器、dns服务器、dhcp服务器、email服务器等构成一种dmz?然后与核心互换机相连，核心互换机通过防火墙与路由器相连，路由器介入Internet。其中在汇聚层互换机节点核心层互换机节点和dmz节点处设立入侵检测系统。?防火墙布置方案?

设计中采用包过滤防火墙，在内部网络与Internet接点处设立了包过滤防火墙，起到保护内部网络作用。?

包过滤防火墙也称为访问控制表或屏蔽路由器，它通过查看所流经数据包，依照定义好过滤规则审查每个数据包，并依照与否与规则匹配来决定与否让该数据包通过。包过滤防火墙长处是解决速度快（由于包过滤防火墙工作在IP层和TCP层）、费用低（许多路由软件已包括）、对顾客透明（不需要顾客在客户端做任何程序改动）、价格便宜。?

包过滤防火墙将对每一种接受到包做出容许或回绝决定。详细地讲，它针对每一种数据报报头，按照包过滤规则进行鉴定，与规则相匹配包根据路由信息继续转发，否则就丢弃。包过滤是在IP层实现，包过滤依照数据包源IP地址、目IP地址、合同类型（TCP包、UDP包、ICMP

包）、源端口、目端口等报头信息及数据包传播方向等信息来判断与否容许数据包通过。?包过滤也涉及与服务有关过滤，这是指基于特定服务进行包过滤，由于绝大多数服务监听都驻留在特定TCP/UDP端口，因而，为阻断所有进入特定服务链接，防火墙只需将所有包括特定TCP/UDP目端口包丢弃即可。?

之因此采用包过滤防火墙重要出于如下几点考虑：1.对于一种小型、不太复杂站点，包过滤比较容易实现。??

??2.过滤路由器工作在IP层和TCP层，因此解决包速度比代理服务器快。??

??3.路由器为顾客提供了一种透明服务，顾客不需要变化客户端任何应用程序，也不需要顾客学习任何新东西。由于过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层问题毫不有关。因此，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是由于包过滤路由器和老式路由器不同，它涉及到了传播层。??

4滤路由器在价格上普通比代理服务器便宜。?包过滤原则：?（1）包过滤规则必要被包过滤设备端口存储起来。??

（2）当包到达端口时，对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中字段。??

（3）包过滤规则以特殊方式存储。应用于包规则顺序与包过滤器规则存储顺序必要相似。??

（4）若一条规则制止包传播或接受，则此包便不被容许。??（5）若一条规则容许包传播或接受，则此包便可以被继续解决。??（6）若包不满足任何一条规则，则此包便被阻塞。?入侵检测系统布置：?

入侵检测系统有不同布置方式和特点。依照所掌握网络检测和安全需求，选用各种类型入侵检测系统。将各种入侵检测系统按照预定筹划进行布置，保证每个入