網管愛好者 2012-03-30

發給你郵件了

區域網網路安全設計方案

一。畫出本設計方案基於區域網的拓撲圖，並有說明。

拓撲圖如下：

拓撲結構分析：本設計的拓撲結構是以中間一個核心交換機為核心，外接Router0、Router2，DNS伺服器（提供域名解析）、DHCP伺服器（為該區域網分配IP地址）、Router3（做外網路由器用，透過它與Internet連線）、一個管理員主機（透過該主機可以對該網路的裝置進行管理和配置）。另外Router2的作用是為了讓它下面分配的不同Vlan之間能夠相互訪問。在Router3上還需配置防火牆、ACL、NAT等，主要是為了該網路的安全和易於管理。以上只是該網路的初級設計。

二 在對區域網網路系統安全方案設計、規劃，應遵循以下原則：

需求、風險、代價平衡的原則：對任一網路，絕對安全難以達到，也不一定是必要的。對一個網路進行實際額研究（包括任務、效能、結構、可靠性、可維護性等），並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規範和措施，確定本系統的安全策略。

一致性原則：一致性原則主要是指網路安全問題應與整個網路的工作週期（或生命週期）同時存在，制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計（包括初步或詳細設計）及實施計劃、網路驗證、驗收、執行等，都要有安全的內容光煥發及措施，實際上，在網路建設的開始就考慮網路安全對策，比在網路建設好後再考慮安全措施，不但容易，且花費也小得多。

易操作性原則：安全措施需要人為去完成，如果措施過於複雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常執行。

多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護資訊的安全。

三。防病毒的方法和設計

第一：病毒可能帶來哪些威脅

第二：病毒是透過哪些方式或者載體來給我們帶來威脅

第三：如何有效地防止病毒侵入

防病毒軟體：用於清除、隔離並防止惡意程式碼擴散。

安全機制：防火牆解決方案不足以為伺服器、客戶端和網路提供足夠的保護，以防範病毒威脅、間諜軟體和廣告軟體。病毒不斷髮展變化，惡意程式碼被設計為透過新的途徑，利用網路、作業系統和應用程式中的缺陷。及時地新增補丁，更新軟體，對網路的安全性好很大的幫助。

四。防木馬的方法和設計

一：建立受限的賬戶

用“net user”命令新增的新帳戶，其預設許可權為“USERS組”，所以只能執行許可的程式，而不能隨意新增刪除程式和修改系統設定，這樣便可避免大部分的木馬程式和惡意網頁的破壞。

二：惡意網頁是系統感染木馬病毒及流氓外掛的最主要途徑，因此很有必要對IE作一些保護設定。安裝360安全瀏覽器可以有效的做到這一點。

三：

1．禁止程式啟動很多木馬病毒都是透過登錄檔載入啟動的，因此可透過許可權設定，禁止病毒和木馬對登錄檔的啟動項進行修改。

2．禁止服務啟動

一些高階的木馬病毒會透過系統服務進行載入，對此可禁止木馬病毒啟動服務的許可權。

可依次展開“HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\ Services”分支，將當前帳戶的“讀取”許可權設定為“允許”，同時取消其“完全控制”許可權

五。防駭客攻擊的方法和設計

1。隱藏IP地址

駭客經常利用一些網路探測技術來檢視我們的主機資訊，主要目的就是得到網路中主機的IP地址。IP地址在網路安全上是一個很重要的概念，如果攻擊者知道了你 的IP地址，等於為他的攻擊準備好了目標，他可以向這個IP發動各種進攻，如DoS（拒絕服務）攻擊、Floop溢位攻擊等。隱藏IP地址的主要方法是使 用代理伺服器。

與直接連線到Internet相比，使用代理伺服器能保護上網使用者的IP地址，從而保障上網安全。代理伺服器的原理是在客 戶機（使用者上網的計算機）和遠端伺服器（如使用者想訪問遠端WWW伺服器）之間架設一個“中轉站”，當客戶機向遠端伺服器提出服務要求後，代理伺服器首先截 取使用者的請求，然後代理伺服器將服務請求轉交遠端伺服器，從而實現客戶機和遠端伺服器之間的聯絡。很顯然，使用代理伺服器後，其它使用者只能探測到代理服務 器的IP地址而不是使用者的IP地址，這就實現了隱藏使用者IP地址的目的，保障了使用者上網安全。提供免費代理伺服器的網站有很多，你也可以自己用代理獵手等工具來查詢。

2。關閉不必要的埠

駭客在入侵時常常會掃描你的計算機埠，如果安裝了埠監視程式 （比如Netwatch），該監視程式則會有警告提示。如果遇到這種入侵，可用工具軟體關閉用不到的埠，比如，用“Norton Internet Security”關閉用來提供網頁服務的80和443埠，其他一些不常用的埠也可關閉。

3。更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。駭客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator賬號。

首先是為Administrator帳戶設定一個強大複雜的密碼，然後我們重新命名Administrator帳戶，再建立一個沒有管理員許可權的 Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性。

六。區域網防arp病毒攻擊的方法和設計

1。安裝arp防火牆或者開啟區域網ARP防護，比如360安全衛士等arp病毒專殺工具，並且實時下載安裝系統漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

2。 使用多層交換機或路由器：接入層採用基於IP地址交換進行路由的第三層交換機。由於第三層交換技術用的是IP路由交換協議，以往的鏈路層的MAC地址和ARP協議失效，因而ARP欺騙攻擊在這種交換環境下起不了作用。

七。本設計的特色

實現本設計既簡單又實用，而且操作起來十分方便，十分符合校內小型區域網的網路安全設計，完全可以符合一般學生的需要

八。心得體會

透過本次設計 我認真查閱資料 學到了很多知識 對病毒、木馬、駭客、以及駭客攻擊都有了比較深入的瞭解，也提高了我對這些方面的興趣，最為重要地是我知道了怎麼去建立和保護一個安全的網路。