計算機網絡專業(yè)畢業(yè)設計

時間：2023-04-01 03:58:21 計算機畢業(yè)論文我要投稿

相關推薦

計算機網絡專業(yè)畢業(yè)設計

　　隨著互聯網的發(fā)展，網絡已融入千家萬戶。下面是小編整理的計算機網絡專業(yè)畢業(yè)設計，歡迎參考!

計算機網絡專業(yè)畢業(yè)設計

　　計算機網絡專業(yè)畢業(yè)設計

　　題目：xx公司網絡安全架構設計

　　【摘要】隨著網絡技術的發(fā)展，網絡已經融入每個人的生活無處不在了，但是人們在享受互聯網帶來的便捷的同時，往往忽略了網絡安全這一非常嚴峻的問題。

　　文章主要研究的是網絡安全的架構與實現，以有限公司為例，分別從防火墻的構架與實現、入侵檢測的構架與實現、信息安全管理審計系統架構與實現及內網保密安全的構架與實現四個方面，

　　詳細介紹了網絡安全的實現過程，增強了企業(yè)網絡安全方面的防范能力。

　　前言

　　物流是指利用現代信息技術和設備，將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。

　　物流是隨商品生產的出現而出現，隨商品生產的發(fā)展而發(fā)展，物流是一種古老的傳統的經濟活動。

　　以前的物流企業(yè)一直是單純的靠交通工具和人力勞動來運作整個公司的。

　　但是隨著網絡的出現和發(fā)展，各行各業(yè)都隨之改變，物流行業(yè)當然也受到很大的影響。

　　如今網絡正在逐步步入成熟階段，網絡、數據庫等相關的應用技術在不斷發(fā)展，網絡運營及電子商務也被廣泛應用。

　　物流行業(yè)也從傳統的人力勞動行業(yè)發(fā)展為結合信息技術為消費者提供服務的行業(yè)。

　　物流是將物品從供應地向接收地準確的、及時的、安全的、保質保量的、門到門的合理化服務模式和先進的服務流程。

　　物流是隨商品生產的出現而出現，隨商品生產的發(fā)展而發(fā)展，物流即意味著企業(yè)的生產、流通的全部。

　　而隨著網絡在企業(yè)中的普及和發(fā)張，物流行業(yè)也在走入物流信息化，物流信息化的定義是：利用信息技術整合企業(yè)內部的業(yè)務流程，使企業(yè)向著規(guī)模經營、網絡化運作的方向發(fā)展。

　　物流信息化是物流企業(yè)相互融合的重要手段。

　　物流信息化因此是企業(yè)間和企業(yè)內部物流過程中所產生數據的全部記錄。

　　物流配送中心建設信息系統應充分支持管理者制訂物流運作計劃和實際的業(yè)務操作。

　　盡管現代物流配送中心日趨向多樣化和全面化發(fā)展，但構成其核心競爭能力或有助于其獲取競爭優(yōu)勢的還是其核心業(yè)務，如匯集客戶的發(fā)貨信息、組織貨物的入庫、配貨、分揀、儲存、出庫、配送等。

　　物流行業(yè)正以信息技術為手段，向綜合性物流企業(yè)發(fā)展，積極發(fā)展第三方物流，實現物流的社會化、專業(yè)化、規(guī)�；蠓忍嵘锪鳟a業(yè)的優(yōu)勢。

　　然而許多物流公司有簡單的網絡平臺，但是卻缺乏合理的網絡安全設計和管理，其企業(yè)操作人員缺乏網絡安全知識，所有的計算機基本上都在互聯網裸奔，

　　不斷的被黑客種下病毒、木馬，然后被劫持當成肉雞，給公司帶來麻煩甚至導致整個網絡的癱瘓，造成公司內部存儲的信息丟失;甚至于內部人員為了利益竊取出賣公司的利益，使公司造成重大的損失。

　　正是如此，物流公司也越來越重視網絡安全，甚至重新打造一個穩(wěn)定的平臺。

　　第一章公司現狀

　　1.1 公司簡介

　　xx公司是一家以國內公路運輸和航空貨運代理的綜合物流企業(yè)，在物流界享譽較高的知名度。

　　公司秉承“誠信為本，速度至上”的服務理念，保持積極進取、注重服務的態(tài)度，培養(yǎng)自己的人才，通過不斷的優(yōu)化服務和信息化系統的搭建，

　　提升運輸網絡和標準化體系，創(chuàng)造最優(yōu)化的運營模式，為廣大客戶提供安全、快速、專業(yè)、滿意的物流服務。

　　一直以來，公司都致力于與員工共同發(fā)展和成長，打造人企雙贏局面，努力創(chuàng)造更多的社會效益，努力將晨曦打造成為中國人信任的國內物流運營商，實現“為中國提速”的使命。

　　公司主要經營：晨曦運物流有限公司以及江西運輸子公司、浙江運輸子公司.有限公司成立于XX年07月04日，現擁有員工150多名，是一家集運輸倉儲配送于一體的物流公司。

　　現在的公司部門及職責如圖1-1所示：

　　1.2 公司網絡狀況

　　該公司是物流業(yè)中進行企業(yè)信息化建設較早的公司，信息化建設的主要目的是用于公司信息統計等基礎性工作。

　　該公司的網絡拓撲圖如圖1-2所示：

　　該公司的局域網是一個信息點相對較為密集的百兆局域網系統，它所聯接的現有近百個信息點為在整個公司內辦公的各單位部門提供了一個信息交流平臺。

　　不僅如此，通過專線與internet的連接，各個部門授權用戶可以直接與互聯網用戶進行交流、查詢資料等。

　　這個公司的訪問區(qū)域可以劃分為三個主要的區(qū)域：internet區(qū)域、內部網絡、公開服務器區(qū)域。

　　web等服務器和辦公區(qū)客戶機，通過內部網絡的相互連接，然后與外網互聯。

　　基于基礎的安全的考慮，在交換機上按地域和部門劃分了五個網段。

　　1.3 公司的網絡安全問題

　　公司一段時間后，基本實現了公司的辦公信息化，但由于當初的投資力度及意識不夠，以及公司領導未重視網絡安全方面，導致公司的網絡出現重大漏洞。

　　在XX年10月份被人潛入公司內部網絡，導致信息部中一項重要的招標文件泄露，被競爭公司知曉，以1萬元的差距落選了該項目，導致公司的利益受到相當大的損害。

　　為此，公司開始重視網絡安全。

　　在對公司的網絡安全進行全面檢查后，發(fā)現以下問題。

　　1.3.1 主要安全隱患

　　(1)病毒的入侵在之前的規(guī)劃中，只提到了加大公司信息化管理的投資力度、采用計算機處理數據、進行網絡建設，

　　而對于網絡安全方面的建設力度較小，這樣就使的黑客很容易就能在公司電腦植入病毒，從而引發(fā)重大災情。

　　(2)內部人員操作缺乏安全意識如今網絡發(fā)展迅速，但是網絡安全技術和信息的應用普及相對滯后，內部人員缺乏安全方面的的培訓和學習，

　　很容易忽略安全設備和系統，不能使其發(fā)揮相對的作用，這使的公司的網絡存在較大的安全隱患。

　　(3)設備物理安全由于網絡中大部分的設備都是通過通信電纜通信的，為了布局合理性，往往核心設備都是放置在一個機房的，

　　公司的機房只有簡單的上鎖沒有專人巡查看守，這使得公司的網絡物理設備存在較大的安全隱患。

　　1.3.2 具體的網絡安全問題

　　(1)公司網絡拓撲不合理問題，沒有硬件防火墻公司網絡中，沒有做到內部網絡與外部網絡的安全隔離，在公司網絡拓撲設計上只采用服務器經過路由器上網，而沒有配置防火墻，內外網互聯存在著很大的漏洞。

　　(2)用戶身份認證問題在公司網絡系統中，對具有遠程訪問權限的用戶連接沒有采用加密與身份認證手段。

　　(3)沒有入侵檢測技術和網絡監(jiān)控技術，對于入侵的目標無跡可尋，內網安全存在嚴重漏洞，沒有辦法有效的保護公司的信息安全。

　　第二章網絡安全架構需求分析

　　針對有限公司將再開設一個公司的情況，結合有限公司現在的網絡狀況和現有條件，對網絡安全設計方面提出一下幾點構思。

　　2.1 保證內網安全

　　針對有限公司招標文件泄密的情況，保證內網安全是首要任務。

　　主機防火墻的出現解決了其中比較矛盾突出的問題，也是最基本的問題，就是關于基礎安全;

　　而近幾年日趨完善的桌面或終端內網安全管理類產品的出現實現了集中的內網計算機安全管理，提供了對于內網兩方面需求的滿足即安全與管理。

　　2.2保證廣域網的接入安全

　　internet是一個高度開放的大環(huán)境，用戶接入internet就意味著完全將自己暴露在危機四伏的處境。

　　通過網絡防火墻可以過濾來自internet的大部分攻擊，防火墻能強化安全策略。

　　防火墻能有效地記錄internet上的活動、限制暴露用戶點、隔開網絡中一個網段與另一個網段。

　　這樣，能夠防止影響一個網段的問題通過整個網絡傳播。

　　防火墻是一個安全策略的檢查站，所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　2.3 保證遠程訪問的安全

　　遠程訪問是通過公眾網來傳輸私有數據，因此保證數據安全性是遠程訪問的關鍵環(huán)節(jié)。

　　遠程訪問由于使用internet作為承載介質，vpn必須有足夠的安全保障功能，通過高強度的加密算法保證數據不被偵聽或篡改，確保接入用戶身份的唯一性。

　　另外，還可以控制用戶對內網資源的訪問權限，做的指定人訪問指定資源，訪問均在控制之中。

　　第三章網絡安全架構實現具體方案

　　3.1 設備鏈接拓撲圖與網絡劃分

　　通過對有限公司的現有網絡情況進行分析后，硬件方面決定在現有網絡上部署一臺防火墻以及nids設備，軟件方面決定采用趨勢科技的防毒墻，設備鏈接拓撲圖如圖所示：

　　1、wan口接入一臺pc作為外部主機(開啟22端口和21端口即ssh服務和ftp服務)，地址10.0.0.100/24,網關指向10.0.0.1;

　　2、dmz口接入一個web服務器提供web服務和一個文件服務器提供文件服務，web服務器地址172.16.0.2/29網關指向172.16.0.1;文件服務器地址為172.16.0.3/29網關指向172.16.0.1;

　　3、lan區(qū)域接入一個192.168.1.0/24的子網，網關指向192.168.1.1。

　　4、ip網段是連續(xù)的ip地址，為： 192.168.0.1-192.168.0.168

　　5、防火墻管理pc機的ip為：192.168.0.1

　　6、nids管理pc機的ip為：192.168.0.2

　　7、信息安全管理審計系統管理pc機的ip為：192.168.0.3

　　8、內網保密安全系統的管理終端ip為：192.168.0.4

　　9、web服務器ip地址為：172.16.0.2

　　10、文件服務器ip地址為：172.16.0.3

　　11、內網保密安全系統的總控中心服務器ip為：172.16.0.4

　　12、外網pc1ip為：10.0.0.100

　　13、內網pc1ip為：192.168.1.2

　　14、內網pc2ip為：192.168.1.6

　　15、內網pc3ip為：192.168.1.163

　　3.2 防火墻的構架與實現

　　3.2.1 連接與登錄配置

　　一、設備的選型

　　針對有限公司的網絡分析，經過研究實驗，決定采用藍盾公司型號為bdfw-m3000的防火墻。

　　二、利用瀏覽器登陸防火墻管理界面

　　1、根據拓撲圖將pc機與防火墻的admin網口連接起來，當需要連接內部子網或外線連接時也只需要將線路連接在對應網口上

　　2、客戶端設置，設置本地連接ip地址為：192.168.0.1 3、使用ping命令測試防火墻和管理pc間的連接情況。

　　打開ie瀏覽器，輸入管理地址http://192.168.0.1:81，進入歡迎界面，在防火墻的歡迎界面輸入用戶名和密碼，點擊“登錄”進入防火墻管理系統。

　　三、配置基本內容

　　1、網段、ip地址、端口配置

　　2、創(chuàng)建、編輯規(guī)則防火墻中需要對規(guī)則進行操作，以對 snat 策略進行了編輯：添加策略：在“增加設置”中，設置相應參數，單擊保存則在“設置列表”添加一個規(guī)則，保存之后的界面如圖所示：

　　然后點擊“編輯”對snat 策略進行編輯，編輯完之后保存。

　　3.2.2 透明模式(網橋模式)的安裝與部署

　　在透明模式(橋接模式)下，防火墻相當于一個網橋，通過將兩個網口橋接起來，也即將交換機和路由器直接連接起來，從而無需改動原有網絡結構，將防火墻透明的加入網絡。

　　對于連接內網的lan2口，其ip地址要設成和內網在同一個網段。

　　一、將防火墻接入當前網絡

　　1、將防火墻按照拓撲所示接入當前網絡，由路由器引入的外線接wan口，由交換機引出的內部網線接lan口

　　2、檢驗加入后網絡狀況

　　二、配置橋接

　　1、進入橋接設定界面，“網絡設置”“網口配置”“網口”，由于橋接要求網口不能是內網口，并且在該網口上沒有配置外線連接，將lan3口(lan)、lan4口(wan)上的ip全部去掉

　　2、啟用橋接進入橋接設定界面，“網絡設置”“網口配置”“橋接設定”，下面左邊的框中就出現了可供選擇的接口

　　定義一條橋接規(guī)則：選擇lan、wan，雙擊“>>>”移到右邊的框中，然后添加，添加成功，在“現有規(guī)則”中會出現一條定義好的規(guī)則，然后重啟。

　　3.2.3 內外網互訪策略編輯與管理

　　默認情況下，連接在防火墻不同網口的網絡是不能互相訪問的，為了是各個網絡間實現互通，需要建立各個網絡間的通信通道：

　　1、外網訪問內網是通過端口映射機制實現。

　　2、內網訪問外網是通過設置訪問規(guī)則控制。

　　3、它們都是通過建立通信規(guī)則，并將規(guī)則應用到不同網口、網段或ip上實現。

　　一、檢查各點網絡狀況

　　1、外部主機pc1(10.0.0.100/24)，可以ping通防火墻的wan口地址，但是沒有辦法到達dmz區(qū)的web服務器，因為對于10.0.0.100來說，web服務器的地址是一個其他網絡的內網地址：

　　外部主機與web服務器連通性測試

　　由于當前網絡被防火墻隔離了，使得內外網無法互訪，這時，我們可以通過端口映射的方式，使得外網可以訪問內部網絡，同時通過策略設置使內網可以訪問外網。

　　二、實現內網訪問外網(snat)——為內網pc提供對外網的訪問策略

　　1、配置snat映射可以讓所有內部ip做地址轉換訪問外部

　　2、配置內網lan口下的pc1(192.168.1.2/24)可以訪問外網pc1 10.0.0.100) 3、進入“防火墻”“nat策略”“snat策略”界面，點擊“添加”，做訪問規(guī)則，然后設置規(guī)則參數，填寫目標ip、目標端口，選擇“啟用”，單擊“保存”。

　　4、“防火墻”“l(fā)an->wan策略”“訪問策略”，填寫訪問策略的實施對象內網pc1“192.168.1.2”，選擇規(guī)則“全部允許”，點擊“添加”。

　　三、實現外網訪問內網(dnat)——為外網pc提供對內網的訪問策略

　　1、進入“防火墻”“nat策略”“dnat策略”界面，點擊“添加”，做訪問規(guī)則，然后設置規(guī)則參數，填寫目標ip、目標端口，選擇“啟用”，單擊“保存”。

　　把外網地址10.0.0.1的1080端口映射到172.16.0.2的80端口，當訪問10.0.0.1的1080端口時，防火墻就會把這個地址自動映射為172.16.0.2的80端口，外網訪問內網的通道被打開。

　　3.2.4 l2tp配置

　　總公司出差的員工需要訪問公司內網文件服務器上的文件夾，文件服務器的ip地址為172.16.0.3，出差的員工使用l2tp vpn連接到公司內部文件服務器。

　　vpn服務器端配置

　　一、創(chuàng)建證書

　　1、進入“vpn”“ca認證”“權威認證證書”;

　　2、創(chuàng)建服務器本地證書“l(fā)ocal’s bluedon”，然后進行配置，點擊“創(chuàng)建簽名證書”，就會出現一條證書

　　二、建立vpn隧道 1、選擇“vpn隧道”“l(fā)2tp移動客戶端”，創(chuàng)建l2tp移動客戶端vpn遂道：

　　設置好后并點擊添加，就會出現一個名為ttt的隧道。

　　三、啟動vpn

　　1、進入“vpn”“啟動控制”，啟動vpn服務器。

　　2、進入“全局設定”，在“默認本地證書”的“ca權威認證證書”中選擇local’s bluedon權威認證證書，選擇“保存”。

　　3、進入“防火墻”“l(fā)an->lan策略”“訪問策略”建立一條允許遠程l2tp客戶同總公司lan口對等相互訪問的策略，這樣出差員工就可以用l2tp隧道和總公司內網連通。

　　進行配置后，點擊“添加”，就會出現下面一條訪問規(guī)則，至此，總公司服務器端配置結束

　　vpn移動客戶端配置

　　1、從網絡管理員處獲得vpn客戶端軟件，并安裝，安裝過程中寫入總公司的外部ip，為新連接取名為“ttt”。

　　2、這里就填入新建證書時的用戶名ttt，密碼123456,點擊“連接”。

　　至此vpn客戶端配置完成。

　　幾秒鐘后，連接成功，電腦右下角將顯示連接上的vpn。

　　同時在“網絡連接”界面也會出現“虛擬專用網絡”——ttt(已連接)。

　　3.4 入侵檢測系統的架構與實現

　　3.4.1 ids設備部署與配置

　　基于有限公司的網絡考慮，采用鏡像口監(jiān)聽部署模式

　　ids設備部署

　　1、連接設備

　　2、登錄管理界面從管理pc登錄藍盾nids設備web管理界面前，需要確認管理pc的ip地址與設備缺省管理口ip地址設置在同一網段：192.168.0.0/24。

　　透過網線將管理pc連接到lan1口，打開ie瀏覽器，在ie地址欄輸入https://192.168.0.145 ,登錄進去。

　　ids設備配置

　　1、 “網絡設置”“網口配置”“網口”，將e2的lan2的ip配置為192.168.2.2，點擊保存，然后重啟網絡。

　　(將lan2口做為管理口，用于管理設備)

　　2、“系統”“系統工具”“ip工具”，直接ping 網關192.168.0.1檢驗與內網的連通性。

　　3、“系統”“管理設置”“管理界面訪問設定”，網口選擇lan2，其余選項缺省，點擊添加。

　　4、“現有規(guī)則”中新增一條通過lan2訪問ids界面的策略。

　　5、“系統”“管理設置”“密碼”，按下圖配置管理員用戶，不啟用usbkey。

　　就會出現一個超級管理員用戶

　　3.4.2 ids入侵檢測

　　“入侵規(guī)則”“檢測規(guī)則”，啟動如下入侵檢測規(guī)則中，要勾選user-defined(用戶自定義)，點擊保存。

　　一、基礎參數 1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“基礎參數”，參照下圖填入所要檢測的項，點擊添加。

　　選擇協議，點擊啟用。

　　就得到一條針對所有未知入侵的檢測規(guī)則intrusion _info

　　二、ip參數

　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“ip參數”，參照下圖填入所要檢測的項，在t t l項填入64作為參考值，選擇啟用，點擊添加。

　　四、阻斷動作

　　1、“入侵規(guī)則”“檢測規(guī)則”“自定義規(guī)則”“阻斷動作”，填入所要檢測的項，這里選擇斷開icmp。

　　3.5 信息安全管理審計系統架構與實現

　　3.5.1 系統的部署及系統登錄

　　信息安全管理審計系統是用來對內部用戶訪問外部網絡的各種行為進行記錄、控制、審計的一種網絡安全硬件設備，主要有l(wèi)an1、lan2、lan3、lan4四個100m快速以太網絡接口。

　　通過將不同網口橋接并設置監(jiān)控網口，我們可以有效的監(jiān)控網絡上傳送的各種數據包。

　　信息安全管理審計系統使用web圖形界面進行管理和設置，具有方便、快捷，易于用戶理解和掌握的優(yōu)點。

　　另外一方面信息安全管理審計系統使用了https安全傳輸協議，保證在管理中傳輸的相關設置和信息不被偷聽，保護設備自身的安全。

　　1、系統前面板，結構如圖3-36：

　　2、系統后面板，結構如圖3-37：

　　二、登錄系統：

　　1、設置管理pc地址圖(拓撲圖)將管理pc與信息安全管理審計系統連接，同時將管理pc的ip地址改為：192.168.0.3/24

　　2、登錄系統，登錄后我們可以看到如圖3-38：

　　三、設置橋接模式接下來要將lan3口和lan4口橋接起來，以配置網關接入方式。

　　1、在左邊欄選擇選項“系統管理”->“系統設置”。

　　2、在右邊欄選擇選項“橋接設置”->“使用橋接”，選擇“網口3”和“網口4”，點擊“確定”就橋接成功了。

　　3.6 內網保密安全系統的架構與實現

　　3.6.1內網保密軟件的部署及登錄

　　通過安裝sqlXX數據庫軟件，用于存儲內網保密軟件控制中心的相關數據，安裝內網保密控制中心軟件，實現對安全客戶端的監(jiān)控及審計，構建完整的內網安全保密及審計系統管理控制平臺。

　　一、安裝sqlXX數據庫軟件并下載補丁進行升級;

　　二、安裝內網保密系統控制中心軟件

　　三、登錄系統

　　3.6.2 上網行為監(jiān)控

　　一、新建模塊

　　1、點擊選項“功能”“安全策略”“安全策略管理中心”“策略模板管理”，點擊“新建模塊”。

　　2、啟動上網行為監(jiān)控，再點擊添加進行配置

　　三、下發(fā)策略

　　選擇選項“本地策略管理”，點擊“應用策略模版” ，下發(fā)策略選擇好需要下發(fā)的部門和主機。

　　四、查詢審計

　　1、點擊選項“功能”“審計報表”“審計報表管理中心”，選擇“查詢統計”，雙擊“上網行為監(jiān)控”會出現一個報表，雙擊報表進行查看。

　　3.7 趨勢科技防毒墻配置

　　結合有限公司的網絡需求分析和實際情況，決定采用趨勢科技防毒墻網絡版10.0

　　一. 安裝前的準備工作 1. 確認已經將10.0 sp1安裝包osce_10_with_sp1_b1892_sc及 sp1 patch1補丁程序osce_10.0_b1895_sc_sp1_patch1下載到預安裝服務器的本地硬盤上; 2. 預安裝服務器已經成功安裝iis 3. 本地ip已經成功配置 4. 建議服務器計算機至少2ghz以上內存。

　　二. 開始安裝 1.將已下載到服務器的安裝包 osce_10_with_sp1_b1892_sc解壓縮并進行安裝。

　　安裝過程中選擇安裝到一臺電腦，掃描目標計算機，安裝集成型服務器，安裝網絡版客戶端，配置軟件安裝，安裝完畢后重啟電腦。

　　三. 2、服務器重啟完畢后，在officescan 10.0 服務器雙擊執(zhí)行sp1 patch1補丁程序安裝包再重啟電腦。

　　3、設置服務器更新頻率

　　4.全局客戶端設置：

　　依次展開“聯網計算機”-“全局客戶端設置”，設置“將手動掃描添加到客戶端計算機的windows快捷菜單中”。

　　設置病毒碼過期提醒。

　　根據需要進行相關設置，其他的一般采用默認即可

　　依次展開“聯網計算機”-“客戶端管理”; 在設置選項中選擇“實時掃描設置”，然后在“處理措施”選項中選擇開啟“檢測到病毒/惡意軟件時在客戶端計算機上顯示通知消息”，其它設置選擇默認設置。

　　6.行為監(jiān)控設置在設置選項中選擇“行為監(jiān)控設置”，進入后選擇默認設置;

　　7、設備控制設置：在設置選項中選擇“設備控制設置”，進入后選擇不啟用預設日志刪除。

　　進行日志維護設置。