淮海工学院计算机科学系
实验报告书
课程名: 《网络规划与设计》 题目: 实验二 网络需求分析 班 级: 网络122
学 号: 2012122666 2012122664
姓 名: 李卓原 李杲 杜文康
评语: 成绩: 指导教师: 批阅时间: 年 月 日 《网络工程师 》 - 1 -
实验目的与要求
1、了解项目管理工具,学会按照不同的要求用Project工具进行任务管理方法 2、根据选定的题目,完成《网络规划设计书》中网络拓扑结构的设计,可以选择VISIO、易图之一进行绘制。 实验环境
局域网,windows 2003 实验学时
2学时,必做实验。 实验内容
1、依据先进性、实用性、开放性、灵活性、可靠性、安全性等原则进行网络规划设计
2、根据项目分析和确定当前网络通信量和未来网络容量 实验步骤
? 每个项目组选举组长1人,负责组织全面的项目实现工作;
? 项目组成员的任务分工应按照同学的性格、兴趣、特点等安排。其中任务单元包括: 1) 可行性研究报告负责人(并负责撰写相关文档) 2) 需求分析负责人(并负责撰写相关文档) 3) 系统设计文档负责人
4) 系统设计图纸负责人(并负责撰写相关文档)
5) 系统施工负责人(并负责撰写相关文档)(此处可略去) 6) 系统测试负责人(并负责撰写相关文档):1人; 7) 整理文档
? 在项目实现过程中,当进行到某个具体阶段时,由该阶段的负责人负责组织工作,
其他所有人员都是该阶段的工程成员。该阶段的负责人承担该部分的主要工作,其他同学也需要参加部分工作。这种一人负责,多人配合的分工,可以使全体同学都能经历网络工程项目实现的每一个阶段的工作,从而得到全面锻炼和提高。
1、项目背景介绍
网络系统的安全是一项系统工程,利用网络安全理论来规范、指导、设计、实施和监管网络安全建设,从安全制度建设和技术手段方面着手,加强安全意识的教育和培训,自始至终坚持安全防范意识,采取全面、可行的安全防护措施,并不断改进和完善安全管理,把网络安全风险降到最小程度,打造网络系统的安全堡垒。本实训将以企业网络系统为例,综合应用网络安全的各种技术(如加密技术、身份认证技术、防火墙技术、VPN技术、PGP、SSH安全通信技术、网络安全扫描、监听与入侵检测技术、数据备份与还原技术等)来实现公司网络系统中的各种网络安全服务。
2、网络的物理布局,用户信息点及地理分布 1.物理安全实现方案
物理安全是整体网络安全的基础,网络设备或线路出现硬件故障,网络的安全性则无从谈起,其他一切安全措施均无法发挥作用,其重要性不言而喻。根据之前对办公网
《网络工程师 》 - 2 -
物理安全的分析,下面主要从完善制度、优化核心机房供电、加强网络节点安全性等方面进行方案实现。
1.1完善机房管理制度
为了确保网络核心设备机房、网络节点、线缆的物理安全,公司应制定《办公网机房管理制度》。 1.明确进入机房的人员及条件; 2.在机房内维护、装机等工作时可进行的操作; 3.外部人员在机房内进行工作的随工要求; 4.机房内各项操作的规范要求; 5.机房出现紧急情况的通知汇报流程。
1.2 优化核心机房供电
通过布放电源电缆来优化办公网核心机房的供电问题。以确保供电万无一失,即确保了办公网核心设备的供电安全,使设备正常运行无后顾之忧。
2.网络结构安全实现方案
2.1细分网络减小广播域
将办公网的IP地址段,根据部门在S6502上划分为26位到28位不等的网段。为每台交换机配置管理IP,这样以后数据操作就可以远程进行了。另外根据节点交换机下挂的部门,分别从核心交换机透传相应部门的vlan,再在节点交换机上根据端口进行划分。
2.2加强通信访问控制
访问控制根据各部门的职责不同来确定,此项工作需要由S6502核心路由器和Eudemon100防火墙共同配合来完成,下面逐一对其实现方法进行说明。 1)对内服务器需要与互联网隔离。 2)对内服务器应根据提供的业务与对口部门互通。 3)营业区只能访问互联网,不能访问办公网。 4)网络监控组的网络摄像头及监控终端只能彼此互通,与办公网内其他部门和互联网均隔离。
2.3利用防火墙减小外部威胁
根据分析,需要在网络边界增设硬件防火墙一台,结合经济分析和网络设备的统一性,选用华为公司的Eudemon100硬件防火墙。 增加了Eudemon100防火墙后,其承担了办公网私网地址的NAT转换工作。另外还进行了IP欺骗防范、SYN泛洪攻击防范、Ping攻击防范和DoS(DDoS)攻击防范等方面的配置。
1)IP欺骗防范 IP欺骗是一种攻击方法,即使主机系统本身没有任何漏洞,但仍然可以使用各种手段来达到攻击的目的,这种欺骗纯属技术性的,一般都是利用TCP/IP协议本身存在的一些缺陷。在Eudemon100上,我们通过滤非共有IP地址、内部网络使用的IP地址、环回地址、私有IP地址对访问内部的网络来实现或减轻危害。
2)Ping攻击防范 Ping是通过发送ICMP报文探寻网络主机是否存在的一个工具。部分主机不能很好的处理过大的ping包,从而出现Ping to Death攻击方式,即用超过TCP/IP最大限度65536 字节的Ping包搞垮目的主机。所以,对于进入办公网的ICMP流,要禁止和与Ping命令有关的ICMP类型。
3)DoS和DDoS攻击防范我们用在Eudemon100上限制DoS攻击常用端口的方法来进行防范。 4)加强网络设备自身的安全性 网络设备自身的安全性直接影响着整个网络的可用性和稳定性,对于网络安全起着至关重要的作用。对于办公网内的网络设备,我们通过(设备登录安全、SNMP安全、设备运行安全、无线AP安全)作来加强其安全性。
2.4加强办公电脑的安全
《网络工程师 》 - 3 -
加强终端电脑的安全性主要进行了以下几方面操作: 1.安装集团公司下发的正版Symantec AntiVirus杀毒软件,开启更新、监控和防护功能。
2.开启系统更新功能,及时安装漏洞补丁及软件更新。 3.关闭Guest账户。
4.为Administrator账户设置较为复杂的密码。 5.对外接移动存储设备需先杀毒后打开。
3、网络的性能要求
.安装有效的病毒防护软件,有效运行并打开实时系统监控。
2.及时从防病毒软件官方网站下载更新,并安装安全补丁程序和升级杀毒软件程序版本。
3.定期对整个系统进行病毒的检测清楚工作。
4.运用杀毒软件的清理恶意软件的功能,经常扫描计算机系统并对发现的恶意软件及时删除。
5.安装防火墙,制定适宜的防护规则。
6.提高风险意识,控制上网时间,不上网时断开网络连接。论坛及聊天软件等不要长时间挂网,以免长时间暴露自己的IP地址,招惹不必要的麻烦。 7.对实时监控发现的系统漏洞补丁,须及时进行安装。
8.新购置的计算机或新安装的系统,一定要进行系统升级,确保修补所有已知的安全漏洞。
9.关闭不必要的端口和服务。
10.使用高强度的密码,并经常进行修改。 11.不必要的软件尽量不要安装。
12.从网络上下载的资源要特别注意杀毒检测。
13.不健康网站往往携有大量病毒程序,不要轻易点击。 14.重要资料注意刻录备份或者转移备份。 15.采用安全性较好的网络浏览器。 16.要慎收来历不明的邮件,在不能确定是安全“附件”的情况下,不要打开“附件”。 17.利用命令行工具或者防火墙软件进行局域网网关的IP地址和MAC地址的绑定,防止受到ARP病毒的影响。
4、所需的网络服务 虚拟网技术 防火墙技术 包过滤型 病毒防护技术 入侵检测技术 安全扫描技术 认证和数字签名技术 VPN技术
