局域网组网技术.doc

局域网组网技术.doc

ID:51538315

大小:227.00 KB

页数:7页

时间:2020-03-12

局域网组网技术.doc_第1页
局域网组网技术.doc_第2页
局域网组网技术.doc_第3页
局域网组网技术.doc_第4页
局域网组网技术.doc_第5页
资源描述:

《局域网组网技术.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、局域网组网技术实训作业一、实训目的:1、利用网络安全设备(防火墙系统、入侵检测系统、VPN系统)独立组建具有网络安全保护屏障的网络。2、利用所学知识对防火墙的工作原理、入侵检测系统的工作原理、VPN技术的工作原理进行分析,并根据不同的产品说明其优缺点,学会利用各种安全产品对网络进行管理。3、了解网络不安全因素,网络黑客的攻击形式和方法。4、根据不同层次的网络设计高效低耗的安全网络。5、掌握网络安全产品的发展方向。二、实训要求和内容:1、设计一个基于屏蔽子网防火墙系统,画出其拓朴结构,要求该系统设计成为包过滤和代理两种不同

2、机制防火墙系统,工作稳定可靠,支持多种网络服务的深层过滤,还具有一定的可扩展性。2、设计一个基于DIDS入侵略检测系统,画出其拓扑结构,并说明其工作原理和将来的发展方向。3、设计基于SSLVPN技术的网络安全系统,画出其拓扑结构,并说明其工作原理和将来的发展方向。三、实训步骤:a)(屏蔽子网的防火墙系统)这种方法是在Intranet和Internet之间建立一个被隔离的子网,用两个包过滤路由器将这一子网分别与Intranet和Internet分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图)图1基

3、于屏蔽子网防火墙系统拓扑图两个路由器一个控制Intranet数据流,另一个控制Internet数据流,Intranet和Internet均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。对于向Internet公开的服务器,像WWW、FTP、Mail等Internet服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设

4、备多,造价高。、屏蔽子网模型用了两个包过滤路由器和一个堡垒主机.它是最安全的防火墙系统之一,因为在定义了"中立区"(DMZ,DemilitarizedZone)网络后,它支持网络层和应用层安全功能.网络管理员将堡垒主机,信息服务器,Modem组,以及其它公用服务器放在DMZ网络中.如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。优点:1、内联网络实现了与外联网络的隔离,内部结构无法探测,外联网络只能知道到外部路由器和非军事区的存在,而不知道内部路由器的存在,也就无法探测到内部路由器后面的网络了,这一点对于防止入侵者

5、知道内联网络拓扑结构和主机地址分配情况及活动情况尤为重要;2、内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器之后才能进入内联网络;3、由于使用了内部路由器和外部路由器,所以降低了堡垒主机的负载量,减轻了堡垒主机的压力,增强了堡垒主机的可靠性与安全性;4、非军事区的划分将用户网络的信息流量明确地分成不同的等级,通过内部路由器的隔离作用,机密信息流受到严密保护,减少了信息泄露现象的发生。当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避

6、免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。b)(网络入侵检测系统)网络入侵检测系统的核心部分是数据的分析与检测,即通过对网络主机、状态信息的实时综合分析与检测,判断网络或系统是否受到攻击。以往的检测系统大都采用集中式数据处理,因为在早期的网络环境中,网络规模小、层次简单、网络通信量不大,因此这种集中式的方法可以完成大部分信息的实时分析和检测。但是随着网络

7、规模的不断扩大和网络构成的日益复杂化、,所以有必要将分布式检测技术应用于入侵检测分析过程。分布式入侵检测系统结构中,是在网络上多个检测点部署具有简单检测功能的检测代理和在网络较安全的地方部署一个全局检测代理。该系统的特点是将部分检测功能由中心检测器下防到局部检测代理,局部检测代理能够完成大部分的本地事件简单的检测功能,而本地检测代理无法完成检测的可疑事件才上传给全局检测代理,所以大量的入侵事件不必在网络上传输,这就降低了因局部检测代理和全局检测代理器之间相互通信而对网络带宽的大量占用,降低了因部署检测系统而对网络系统本身

8、性能造成的影响。由于全局检测器能够收集到多个检测代理报告的入侵可疑事件,所以全局检测器能够在更高层次上完成分布式、协同式的攻击检测。在系统本身安全方面,由于各检测代理能够独立地进行本地检测,任何一个检测代理遭到攻击都不会影响其他检测代理的正常工作,增加了系统的健壮性。综上所述,未来的入侵检测技术发展的方向是采用基于代

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。