網絡安全技術設計范例6篇

前言：中文期刊網精心挑選了網絡安全技術設計范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全技術設計范文1

關鍵詞：網絡安全；蜜罐技術；蜜網技術；入侵檢測；虛擬機；VMware

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)

Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計算機及其網絡技術的應用已深入各行各業，特別是企事業單位的日常管理工作更是緊密依賴網絡資源?；诖耍ＷC網絡的正常運行就顯得尤為重要。目前，廣泛采用的安全措施是在企業局域網里布設網絡防火墻、病毒防火墻、入侵檢測系統，同時在局域網內設置服務器備份與數據備份系統等方案。而這些安全網絡防火墻、入侵檢測系統真能有效地保證系統的安全嗎？做到了這一切系統管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現實中常用的二層網絡拓撲結構圖。從圖中可以看出，網絡防火墻與入侵檢測系統（IDS）均部署在網絡入口處，即防火墻與入侵檢測系統所阻擋是外網用戶對系統的入侵，但是對于內網用戶來說，內部網絡是公開的，所有的安全依賴于操作系統本身的安全保障措施提供。對一般的用戶來講，內網通常是安全的，即是說這種設計的對于內網的用戶應該是可信賴的。然而對于諸如校園網的網絡系統，由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生，同時還要面對那些極少數有逆反心理、強烈報復心的學生，這種只有操作系統安全性作為唯一一道防線的網絡系統的可信賴程度將大打折扣。

另一方面，有經驗的網絡管理員都知道，網絡中設置了防火墻與入侵檢測系統并不能從根本上解決網絡的安全問題（最安全的方法只能是把網絡的網線撥了），只能對網絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術，這些安全設施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網絡的時間？如何在入侵雖已發生但尚未造成損失時及時發現入侵？避開現有入侵檢測系統可以偵測的入侵方式而采用新的入侵方式進行入侵時，管理者又如何發現？如何保留入侵者的證據并將其提交有關部門？這些問題都是網絡管理者在安全方面需要經常思考的問題。正是因為上述原因，蜜罐技術應運而生。

2 蜜罐技術簡介

蜜罐技術的研究起源于上世紀九十年代初。蜜罐技術專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個安全系統，其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統的人設計的。它通過模擬一個或多個有漏洞的易受攻擊的主機，給攻擊者提供十分容易受攻擊的目標。

如圖2所示，蜜罐與正常的服務器一樣接入核心交換機，并安裝相應的操作系統和數據庫管理系統，配置相應的網絡服務，故意存放“有用的”但已過時的或可以公開的數據。甚至可以將蜜罐服務器配置成接入網絡即組成一臺真正能提供應用的服務器，只是注意將蜜罐操作系統的安全性配置成低于正常的應用服務器的安全性，或者故意留出一個或幾個最新發現的漏洞，以便達到“誘騙”的目的。

正常配置的蜜罐技術一旦使用，便可發揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價值的服務，正常情況下蜜罐系統不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網絡常見掃描、入侵的反應靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。如圖二， 正常提供服務的服務器有4個，加入4個蜜罐，在攻擊者看來，服務器有8個，其掃描與攻擊的對象也增加為8個，所以大大減少了正常服務器受攻擊的可能性。同時，由于蜜罐的漏洞多于正常服務器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警，這樣可以使網絡管理員及時發現有攻擊者入侵并及時采取措施，從而使最初可能受攻擊的目標得到了保護，真正有價值的內容沒有受到侵犯。

3) 由于蜜罐服務器上安裝了入侵檢測系統，因此它可以及時記錄攻擊者對服務器的訪問，從而能準確地為追蹤攻擊者提供有用的線索，為攻擊者搜集有效的證據。從這個意義上說，蜜罐就是“誘捕”攻擊者的一個陷阱。

經過多年的發展，蜜罐技術已成為保護網絡安全的切實有效的手段之一。對企事關單位業務數據處理，均可以通過部署蜜罐來達到提高其安全性的目的。

3 蜜罐與蜜網技術

蜜罐最初應用是真正的主機與易受攻擊的系統，以獲取黑客入侵證據、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術開始吸引了一些安全研究人員的注意，并開發出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發的DTK（欺騙工具包）、Niels Provos開發的Honeyd等，同時也出現了像KFSensor、Specter等一些商業蜜罐產品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網絡服務并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統和應用程序搭建蜜罐，與之前不同的是，融入了更強大的數據捕獲、數據分析和數據控制的工具，并且將蜜罐納入到一個完整的蜜網體系中．使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客并對他們的攻擊行為進行分析。

蜜網技術的模型如圖3所示。由圖中可以看出，蜜網與蜜罐最大的差別在于系統中多布置了一個蜜網網關（honeywall）與日志服務器。其中蜜網網關僅僅作為兩個網絡的連接設備，因此沒有MAC地址，也不對任何的數據包進行路由及對TTL計數遞減。蜜網網關的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發送到蜜網內的機器的數據包都會經由Honeywall網關，從而確保管理員能捕捉和控制網絡活動。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析，并對蜜罐機上的日志進行備份以保留證據。這樣攻擊者并不會意識到網絡管理員正在監視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。

4 蜜罐部署

由前述內容可以看出，蜜罐服務器布置得越多，應用服務器被掃描與攻擊的風險則越小，但同時系統成本將大幅度提高，管理難度也加大。正因為如此，實際中蜜罐的部署是通過虛擬計算系統來完成的。

當前在Windows平臺上流行的虛擬計算機系統主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機配置兩個網卡，采用Windows2000或Windows XP操作系統，并安裝VMwar。建立一臺虛擬機作為蜜網網關，此虛擬機設置三個虛擬網卡（其虛擬網卡類型見圖4），分別連接系統工作網、虛擬服務器網與監控服務器。虛擬服務器網根據物理主機內存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統及應用軟件，以此誘惑黑客攻擊。蜜網服務器用于收集黑客攻擊信息并保留證據。系統拓撲結構如圖4所示。

系統部署基本過程如下：

4.1 主機硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統數量而定。

內存：1G以上，其中蜜網軟件Honeywall至少需要256M以上。其它視虛擬操作系統數量而定。（下轉第346頁）

（上接第341頁）

網卡：兩個，其中一個作為主網絡接入，另一個作為監控使用。

其它設備：視需要而定

4.2 所需軟件

操作系統安裝光盤：Windows 2000或Windows 2003；

虛擬機軟件：VMware Workstation for Win32；

蜜網網關軟件：Roo Honeywall CDROM v1.2，可從蜜網項目組網站（一個非贏利國際組織，研究蜜網技術，網址為）下載安裝光盤。

4.3 安裝過程

1）安裝主機操作系統。

2) 安裝虛擬機軟件。

3) 構建虛擬網絡系統。其中蜜網網關虛擬類型為Linux，內存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網卡三個，分別設為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網網關機上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網網關機上配置Sebek服務器端，以利用蜜網網關收集信息。

6) 安裝虛擬服務器組，并布設相應的應用系統。注意虛擬服務器組均配置為VMnet1，以使其接入蜜網網關機后。

7) 在虛擬服務器組上安裝并配置sebek客戶端。

8) 通過監控機的瀏覽器測試蜜網網關數據。

總之，虛擬蜜網系統旨在利用蜜網網關的數據控制、數據捕獲和數據分析等功能，通過對蜜網防火墻的日志記錄、eth1上的嗅探器記錄的網絡流和Sebek 捕獲的系統活動，達到分析網絡入侵手段與方法的目的，以利于延緩網絡攻擊、改進網絡安全性的目的。

參考文獻：

[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.

[2] 牛少彰,張 瑋. 蜜罐與蜜網技術[J].通信市場,2006(12):64-65.

[3] 殷聯甫.主動防護網絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.

[4] 葉飛.蜜罐技術淺析[J].網絡安全技術與應用.2007(5):36-37.

網絡安全技術設計范文2

1.自然存在的因素

因為計算機網絡是通過電磁波傳播信息的，所以在網絡信息傳輸的過程中，會受到一些外界因素如地磁場等的影響，這樣就會造成信息傳送出現誤差。另外，有可能是網絡在最初設計時，就存在一定的缺陷，使其安全性降低。加上網絡的復雜性不利于管理人員的管理，和網絡系統大多數是資源共享的，為黑客的入侵提供了便利，因此使網絡變得更加脆弱。

2.管理不到位造成的問題

計算機網絡是需要管理的，管理不當會給企業造成損失。

二、計算機網絡的安全技術

網絡全世界每個人都可以訪問，訪問的方式千變萬化，和網絡行為具有突發性等特點。網絡的安全必須制定各種策略，并加強管理制度。為保障網絡的安全，需要采取多個方面的技術手段和策略。對計算機網絡的危害可能隨時出現并發動攻擊，因此采取有效的措施保障網絡的安全是非常必要的。常用的防范措施有：

1.檢測非法入侵技術

為了構建計算機網絡的安全環境，要對黑客的入侵進行嚴格有效的阻止，這就需要使用檢測入侵的技術。當使用入侵檢測系統時，是監控和檢測整個網絡系統所包含的各項數據。繼而，當入侵源被檢測到后，檢測系統就會對入侵源進行相應的措施，使計算機網絡的安全性大大地提高。此外，為了徹底消除同類入侵的危害，這就需要檢測系統還要有追蹤入侵源的功能，這樣，就可以徹底銷毀入侵源。也能更好地保護我們使用計算機網絡的安全。

2.預防病毒的技術

計算機病毒是威脅計算機網絡安全的主要因素，也是危害最大之一。所以，預防計算機病毒是非常重要的，這就需要一套完善的預防計算機病毒的系統。隨著科學技術的發展，越來越多的殺毒軟件出現在我的視野中。這些殺毒軟件可以很好地防范計算機病毒的入侵，保障計算機網絡的安全。與此同時，殺毒軟件中還自帶更新和升級的功能，這就可以使殺毒軟件不斷適應新的計算機病毒，進行預防和檢測。從而更好地保護計算機網絡的安全。

3.建立防火墻

防火墻是一個建立在專用網絡和公用網絡之間，對訪問起到一個控制限制作用的系統。防火墻相當于給計算機網絡加了一個保護層。有了防火墻的保護，可以保障網絡環境的安全不被黑客和計算機病毒所入侵，從而起到保護的作用。由于，防火墻是對訪問有所限制，所以可以過濾掉非法入侵源，保護計算機網絡，使其正常的運行。每個防火墻體系之間沒有影響，所以，在計算機網絡中可以安裝多個防火墻體系，這樣可以更大地保護計算機網絡，提高安全性。

4.安全漏洞掃描技術

因為漏洞是在網絡使用中產生的，會給網絡造成危害，所以修補漏洞也是必不可少的，這就需要漏洞掃描技術，先找到漏洞，再進行修補。安全漏洞掃描技術是自動掃描遠程或本地主機在安全性上相對薄弱的地方，可使使用者在危險來臨之前將漏洞修補好，避免造成危害。隨著科技的進步，在使用計算機網絡的過程中產生的漏洞也在不斷的更新，要想更好地修補漏洞，安全掃描儀器也要不斷地更新，才能更好地防范計算機病毒的入侵，從而保護計算機網絡的安全。

5.數據加密技術

信息安全的核心和最基本的網絡安全技術是數據加密。應用此項技術時，信息在傳送中是以密文的形式存在的，非接受人不能從中得到信息的內容，使信息內容不外泄。從而可以很好地保障信息在儲存和傳送中的安全，增加保密性。不會發生因信息外泄而帶來不必要的麻煩。

6.安全隔離技術

隨著科學技術的進步，計算機網絡遭受的攻擊越來越多樣化，層出不窮的攻擊方式，迫使這新的技術誕生，就使得“安全隔離技術”應運而生。它的目的是，在使用網絡交換信息時，把有害攻擊阻擋在網絡之外，使信息交換能夠安全進行。

7.黑客誘騙技術

近期進入人們視野中一種網絡安全技術是黑客誘騙技術。這一技術是由一個網絡安全專家設計的一個特殊系統來誘惑黑客，使其進入圈套，追蹤黑客并找到他。這一系統主要是專家利用偽裝，讓黑客不知不覺地猶如蜜蜂追著花朵走，使其進入虎口還不自知。

三、更好的發展計算機網絡所采取的措施

為了能更好的把計算機網絡的安全性提高，理應采取多種技術同時對計算機網絡進行防范。只采用技術手段是遠遠不夠的，必須加上合理的管理方式，才能更好地保障計算機網絡的安全。建立合理的訪問權限政策，培養優秀的管理人才，加大對網絡安全的管理，制定相關管理政策，對于網絡的安全性、可靠性有明顯的提升作用。

四、結語

網絡安全技術設計范文3

關鍵詞：交換機 路由器 安全技術 實施

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2013）11-0185-01

目前大多數的企事業單位接入Internet網，通常都是在企業出口部署一臺路由器與ISP連接實現。這臺路由器就是溝通外部Internet和內部網絡的橋梁，如果這臺路由器能夠合理進行安全設置，那么就可以對內部的網絡提供一定安全性或對已有的安全多了一層屏障?？紤]到路由器的作用和位置，路由器配置的好壞不僅影響本身的安全也影響整個網絡的安全。交換機作為局域網信息交換的主要設備，特別是核心、匯聚交換機承載著極高的數據流量，在突發異常數據或攻擊時，極易造成負載過重或宕機現象。交換機的安全性能已經成為網絡建設必須考慮的重中之重。為了盡可能抑制攻擊帶來的影響，減輕交換機的負載，使局域網穩定運行，交換機廠商在交換機上應用了一些安全防范技術，網絡管理人員應該根據不同的設備型號，有效地啟用和配置這些技術，凈化局域網環境。

1 設置強壯的管理口令

口令是交換機用來防止非授權訪問的主要手段，是交換機本身安全的一部分。必須修改默認的口令，并避免使用普通的口令，并且使用大小寫字母+數字+特別符號混合的方式作為更強大的口令規則。盡可能使用Enable Secret特權加密密碼，而不使用Enable Password創建的密碼。

利用enable secret命令設置密碼，并選擇一個長的口令字（至少8位），該加密機制是IOS采用了MD5散列算法進行加密，這條命令用于對存儲在配置文件中的所有口令和類似數據進行加密。避免當配置文件被不懷好意者看見，從而獲得這些數據的明文。

2 控制VTY

（1）配置VTY的Telnet訪問控制安全，利用ip access-class限制訪問VTY的ip地址范圍。

（2）建議用SSH代替Telnet

Telnet是管理員們連接至交換機的主要通道，但是在Telnet會話中輸入的每個字節都將會被明文發送，這可以被類似Sniffer這樣的軟件嗅探獲取用戶名、密碼等敏感信息。因此，使用安全性能更高的SSH強加密無疑比使用Telnet更加安全。

3 防止盜用內部IP地址

攻擊者可以盜用內部IP地址進行非法訪問。利用ARP命令在局域網內將MAC地址與IP地址進行綁定來解決這個問題。

4 確保SNMP協議的安全

如果沒有用到SNMP功能，建議禁止SNMP協議服務。盡量采用Snmp V3。如果必需采用Snmp V1，必須修改默認的community，如public，private等。

5 禁用不必要的服務

由于早期版本的交換機操作系統存在多個嚴重的安全漏洞，使得攻擊者可以遠程越權獲取到交換機的完整配置文件，因此建議在路由器上使用命令：no ip http server禁止HTTP服務。

Cisco公司的設備通過網絡操作系統默認地提供一些小的服務，如echo（回波）， chargen（字符發生器協議）和discard（拋棄協議）。這些服務，特別是它們的UDP服務，很少用于合法的目的。但是，這些服務能夠用來實施拒絕服務攻擊和其它攻擊。如禁止CDP、Finger服務、BOOTP服務、IP Source Routing、ARP-Proxy服務、IP Directed Broadcast、IP Classless、DNS查找等。

6 及時升級和修補IOS軟件

IOS（Internetwork Operating System）是Cisco交換機和路由器中的操作系統，以映象文件（.bin格式）的形式保存在交換機的閃存中。同其它的操作系統一樣，Cisco公司每年都會定期新的IOS操作系統，升級IOS的主要目的是：

6.1 修補漏洞，消除BUG

同其它的操作系統和應用軟件一樣，Cisco交換機和路由器的IOS操作系統，每年都會被發現大約幾十個漏洞，通常情況下這些漏洞會帶來嚴重的安全風險。因此，需要定期更新Cisco公司的新版IOS，來修補這些漏洞。

6.2 增加新功能

由于交換機和路由器的特殊性，新版IOS的，除了針對漏洞的修補以外，還會增加新的功能。如果交換機的功能無法滿足工作需要，也可以升級IOS來解決。比如，早期的交換機不支持SSH、HTTPS、SNMP V3等安全功能，可以通過升級為支持加密功能的K9版IOS，來實現這些功能。

6.3 解決交換機兼容性問題

一個規模較大網絡的交換機或路由器通常都是逐年分批采購的，不同批次交換機的IOS版本肯定不一樣。通過將IOS全部升級為最新修訂版，可以減少因IOS版本不同而引發交換機之間不兼容的隱患，避免配置管理上的不一致性。

在升級過程中，需要注意以下幾點：

①盡力保障電力供應，避免升級過程中斷電或重啟交換機和路由器，否則會導致升級失敗。②要從正規渠道獲取IOS文件，如Cisco的官方網站和授權的經銷商，以保證IOS的權威、干凈和完整。③要注意版權問題，不要侵犯版權。④升級完成之后，一定要進行安全性、可靠性測試，密切注視升級后的網絡運行情況，如有異常及時處理。

參考文獻

[1]解艷.淺析網絡設備安全[J].科技信息，2011，（25）.

[2]覃毅，王歡.網絡設備與網絡安全[J].計算機安全，2010，（06）.

網絡安全技術設計范文4

計算機信息管理技術被廣泛應用于社會發展的各個領域之中，尤其在網絡安全中的應用對于整個網絡系統來說是必不可少的，與計算機用戶的實際利益和社會整體的發展方面都存在著不可分割的密切聯系。因此將計算機信息管理技術應用于網絡安全時，要注重對信息管理技術進行不斷的研究與探索，將應用中的出現的安全問題控制在技術可以進行管理的范圍內。IP地址、域名等都是將計算機信息管理技術在網絡安全中應用的具體內容，除此之外還有諸多其他內容，這些內容都能對惡劣信息的攻擊進行有效的防御。計算機信息管理技術在網絡安全應用中必須要進行的工作就是每天對信息管理技術的安全性進行實時的監測。由于對網絡安全存在威脅的各種不安全因子具備多樣性和不確定性的特征，常常導致在對信息管理技術的安全性進行監測時出現難以辨別的混亂問題，所以在平時的應用中，就需要做好隨時應對突發狀況的準備，提高計算機信息管理技術在網絡安全應用中的警惕性，以便在問題發生時能夠進行采取快速的、準確的解決方法。控制信息的訪問是整個信息資源的起點，是將計算機信息管理技術應用于網絡安全中的重要組成部分，對控制信息的訪問，要求對不同用戶的具體信息和將信息公之于眾的安全性進行嚴格的控制和全面的把握。針對計算機信息管理技術在網絡安全中應用的問題，需要相關人員提高警惕，提高對計算機信息管理技術的重視程度，并制定出應對網絡安全應用問題的改善策略。

2網絡安全應用問題的改善策略

2.1加強安全風險的遏制與防范意識

提高對計算機信息管理技術在網絡應用中的安全性，首先需要加強相關人員對容易威脅網絡安全的不安全因子的惡意攻擊的遏制與防范意識，讓相關人員了解計算機信息管理技術對于網絡安全的重要性，從而引導他們對計算機信息管理技術投入足夠的重視。由于計算機信息管理技術在網絡安全中的應用關系到計算機用戶的切身利益甚至關系到社會整體的發展，致使其在網絡安全中的應用具有緊迫性和艱巨性。為了提高計算機信息管理技術在網絡應用中的安全性，很有必要做好安全風險的防范措施，加緊對計算機信息管理技術的研發和革新，使其緊跟時展的腳步，將應用中存在的安全問題控制在技術可以進行管理的范圍內。

2.2進行信息管理技術上的控制

在相關人員樹立了安全風險的遏制與防范意識之后，還需要對計算機信息管理技術進行控制。在提高計算機信息管理技術在網絡應用中的安全性的相關策略中，控制處于十分重要的核心地位，和許多因素都存在著或多或少的關系，因此也容易受到這些因素的影響，只有在對眾多影響因素進行綜合分析的基礎上，建立并完善信息的安全化管理體系才能夠實現對信息管理技術控制的合理且順利的實施。另外一定要注意可以實施的實際范圍，將信息管理技術的安全化管理體系建立在這個范圍之內。除此之外，還要加強對計算機信息管理技術的研發創新力度，增強其自身實力以更好的面對突如其來的風險，同時還要對計算機信息管理技術在網絡中的應用做好明確的分工工作，以保證計算機信息管理技術在網絡中的應用可以順利的進行。

2.3加強對計算機信息管理技術的管理力度

安全化管理是計算機信息管理技術在網絡應用中需要首先解決的問題，需要相關人員投入更多的時間和精力，加強對其的重視程度。使計算機信息管理技術的管理力度得到強化將直接有利于提高計算機信息管理技術在網絡應用中的安全度。強化計算機信息管理技術的管理力度實際上就是將管理的內涵和理論進行延伸，使其延伸到關于計算機安全問題的防范以及相關的體制、機制之中。計算機信息管理系統跟隨社會現代化發展的腳步，逐漸被廣泛應用于社會的各個發展領域，諸多的信息化、現代化因素包含在計算機信息管理技術體系之中。加強對計算機信息管理技術的管理力度，主要還是從防范不良因素的入侵攻擊入手。

2.4建立健全計算機信息技術網絡安全管理的相關制度

建立健全計算機信息技術網絡安全管理的相關制度同樣是保障網絡安全的重要措施，相關的制度規范要包括對工作人員日常行為的完善，以及計算機信息技術網絡安全系統的組建等相關內容。另外還需要建立健全計算機的防病毒體系，對殺毒軟件進行及時的更新與升級，以防止病毒、黑客的入侵。還要對落伍的電腦進行及時的更換，并及時配備更新升級后的軟硬件，并在計算機的使用場所安裝防火設備，將火災隱患消滅在萌芽狀態。

2.5創建健全的、安全的計算機信息管理技術的模型

創建健全的、安全的計算機信息管理技術的模型對于安全風險的有效防范以及強化計算機信息管理技術的安全管理力度等方面都起著非常關鍵的作用。只有在進行詳細周全的規劃安排的基礎上，創建健全的、安全的計算機信息管理技術模型才能早日使計算機網絡信息的使用環境變得更加健全與安全。如今健全的、安全的計算機信息管理技術模型已經在計算機信息管理技術的安全化管理中得到了初步的建立。并且在進行了大量的研究、探討和借鑒之后，對計算機信息管理技術在網絡應用中的安全化管理的規劃安排進行了合理的豐富，實行混合模式的安全化管理方式，得到了政府以及許多專業的廠家的期望和肯定，健全的、安全的計算機信息管理技術的模型在將來一定會得到更多的認可，擁有廣闊的發展前景，將對強化計算機信息管理技術的安全管理以及促進社會各個領域的現代化發展提供強有力的動力支持。

2.6加強操作系統的安全防護

在正式使用計算機之前，需要為計算機安裝相關的掃描和病毒查殺的軟件，利用這些軟件排除計算機存在的系統漏洞，并針對具體的漏洞制定出相應對的補救措施，以提高計算機信息技術的網絡安全性。另外對于操作系統安全防護措施的強化需要對計算機使用者的真實身份進行驗證，抵制病毒和黑客的不良攻擊。同時需要完善相應的法規制度，為良好的網絡環境的營造提高制度上的保障。

3結語

網絡安全技術設計范文5

關鍵詞：虛擬化；虛擬機；資源池；網絡安全；實驗平臺

引言

目前，計算機網絡在各領域得到了廣泛的應用，網絡帶給了人們極大的便利，但是網絡安全的問題也日益突出，網絡安全問題在國際上得到了各國的高度重視[1]。在我國，2015年，網絡空間安全一級學科設立；2016年通過了《中華人民共和國網絡安全法》，這體現了國家對網絡安全的重視。我國還成立了中央網絡安全和信息化領導小組，全力打造網絡安全強國。因此，培養高素質網絡安全人才，必須引起高校相關專業的重視。在網絡安全類課程實驗中，行業熱點更新快，實驗內容相對滯后，同時實驗對網絡安全設備要求種類多，經費投入大，并且攻防實驗、病毒實驗對設備、操作系統及網絡軟件環境具有破壞力，維護恢復實驗環境工作量大，給管理帶來不便[2]。因此，目前網絡安全實驗大多只進行演示實驗和簡單驗證實驗，不能進行綜合性設計性實驗。隨著虛擬化技術和云計算的發展應用，通過研究發現，在網絡安全實驗環境建設中，科研利用虛擬化技術來解決現存在的問題[3]。通過建立硬件資源池，學生在虛擬機上實驗，能夠實現多種操作系統環境，不僅能盡量利用硬件資源，減少投入，而且管理方便，易于維護和升級。

1現狀及問題

相較于最早的主機+網絡安全設備模式，目前，網絡安全實驗室已經利用一些虛擬仿真軟件，做了一定的優化，主要有兩種方式組織，一種是單機虛擬PC+網絡安全設備。利用vmware，用戶可創建多個虛擬PC，模擬出windowslinux多系統環境，不需要進行系統重啟切換，能進一步減少投入，解決電腦臺套數問題和軟件環境維護問題[4]，但是由于虛擬PC與真實環境中的設備通信存在問題，故障率高，而且，網絡安全設備的投入還是很大，升級慢。另一種是單機+模擬安全設備，利用packettracer、GNS3等模擬器來模擬一些防火墻[5]，路由器等設備。但是，由于這些軟件主要用于拓撲組網，路由管理維護方面的網絡實驗，在模擬網絡安全設備方面運行不穩定，功能少，能實現的實驗類型非常有限，只能做簡單的訪問控制和等實驗。而且不能模擬服務器、linux多系統環境，實驗受到較大限制。由于實驗條件的以上限制，導致了目前網絡安全教學普遍重理論，輕實驗，這與課程的特性不符，理論知識過于枯燥抽象，導致學生沒興趣，學不好。但是，網絡安全類設備更新快，價格昂貴，實驗環境投入大，維護難，導致設備臺套數不夠，同等設備大量購置又存在經費投入大，場地占用大等問題。綜上，目前網絡安全實驗存在的問題有：實驗對網絡安全設備要求種類較多，經費投入大，并且實驗過程對設備、實驗操作系統及網絡軟件環境具有破壞力，維護恢復實驗環境工作量大，給管理帶來不便。目前，有研究者提出利用云計算虛擬機技術來解決這些問題，取得較好的效果[6]。

2實驗平臺設計與實施

2.1平臺設計原理

虛擬化技術是一種資源管理技術，將實體硬件資源（服務器、存儲、網絡等）抽象、重組，組成同一的資源池，在此基礎上虛擬出多臺邏輯上獨立的設備。多個虛擬機可以運行在一臺物理機器上，相互之間互不影響，大大提高資源利用率，減少維護成本。虛擬化技術運行原理如圖1所示。圖1虛擬化技術圖利用這一特性，本實驗平臺可以在物理資源池基礎上虛擬出多種操作系統：windows、linux，以及網絡設備和網絡安全設備，因此在網絡安全實驗平臺中應用虛擬化技術，能較好解決現存的問題。目前主流的有KVM、Xen等虛擬化技術，通過對比，Xen具有開源免費、性能高比較好的優勢，因此本文選用Xen虛擬化技術。

2.2設計思路

利用成熟的虛擬化技術，打造一個虛擬化網絡安全實驗平臺，平臺具有可擴展性，首先，是硬件資源可擴充性，根據實驗需求，可以調整/擴充資源池，資源池中有多個虛擬安全組件，如虛擬防火墻、虛擬WAF、虛擬頁防篡改等，這些安全器件是可擴充的；其次是實驗內容可擴充性，可以根據教學需要，調整、增加實驗資源包。最后，本平臺應具有遠程實驗的功能，可以不受時間、空間限制進行實驗；還應具有實驗管理的功能，對用戶、資源、實驗過程等進行管理。

2.3平臺實施

根據虛擬化技術原理，平臺構架如圖2所示。用戶層主要提供標準的web訪問，進行頁面展示，訪問入口。業務層主要是功能實現，數據處理和數據操作接口?；A服務層向業務層提供服務和接口，包括虛/實設備管理、拓撲設計與管理，以及公共服務。虛擬化層通過虛擬化技術生成虛擬機，提供基礎虛擬化功能。硬件資源層為平臺提供運行所需的硬件環境。平臺集成8個實訓模塊，包括：網絡安全、信息系統安全、云計算、密碼學、安全運、開發語言、移動安全理論等，實訓課程資源，實驗項目包括惡意代碼檢測、安全漏洞挖掘、逆向工程、密碼學、操作系統安全、web安全、安全研發、數據庫安全……平臺管理功能主要分為三塊，門戶管理、后臺管理、資源管理，如圖3所示。

3實驗設計與效果

網絡安全實驗平臺部署后，設備數量、種類以及環境約束得到較好解決，以防火墻QoS流量控制實驗為例，實驗設計如下：QoS中的流量監管就是對流量進行控制，通過監督進入網絡端口的流量速率，對超出部分的流量進行處理（這個處理可以是丟棄、也可是延遲發送），使進入端口的流量被限制在一個合理的范圍之內，解決網絡中擁塞的問題。實驗環境設計：虛擬防火墻一臺，虛擬windows靶機一臺（模擬內網主機），虛擬Linux靶機（模擬外網主機）。實驗過程：進入管理中心，分別啟動虛擬防火墻，虛擬windows靶機，虛擬Linux靶機。設置IP地址，使網絡環境符合實驗要求。windows靶機IP和防火墻的eth1處于內網段192.168.100.0，防火墻的eth2和Linux靶機IP處于外網172.22.10.0。實驗拓撲結構如圖4所示。進入windows虛擬機，選擇目標設備linux，通過win-dows向linux發送數據，這里linux連接虛擬防火墻的eth2口。在防火墻里設置下行帶寬和上行帶寬，添加服務質量規則，選擇好源主機（表示要發起操作的IP地址或者網段，這里是windows主機）和目的網絡IP（表示與源主機發生通信的目的網絡，這里是linux主機），選擇本次服務所使用的協議和端口。實驗驗證：在規則生效之前和之后，進行遠程文件拷貝，對比傳輸速度的區別，驗證流量控制效果。本次實驗涉及到兩種操作系統環境，內外網及防火墻，在傳統的實驗室環境難以滿足，利用本平臺，能夠滿足需求，并且做到人人可以單獨實驗，提高學生的積極性和動手能力。此外，學生還可以通過遠程登錄進行實驗，滿足部分學生自學需求。目前，本校利用此平臺對學生進行網絡安全方面的技能培訓，在信息安全競賽，網絡安全CTF等比賽中多次獲獎。

4結束語

本文分析了傳統網絡安全課程實驗環境存在的不足，設計了基于虛擬化技術的網絡安全實驗平臺。該平臺能夠較好滿足網絡安全實驗對設備環境的特殊要求，并且能夠降低經費投入，突破實驗時間、空間限制。該平臺還支持硬件平臺和實驗內容資源的升級和擴展。在實際應用中證明，通過使用該平臺，能夠激發學生對網絡安全學習的積極性，提高他們的實踐能力，同時，能夠作為信息安全類學科競賽的訓練平臺，取得了較好的成效。

參考文獻

[1]張煥國,韓文報,來學嘉,等．網絡空間安全綜述[J].中國科學:信息科學,2016,46(2):125-164．

[2]底曉強,韓登,楊凌翔,等．基于超融合構架的網絡安全虛擬仿真實驗教學平臺探索[J].實驗室研究與探索，2017,36(10):195-198．

[3]王瑞錦，周世杰，秦志光，等．基于虛擬化技術的信息安全實驗教學體系建設[J],實驗科學與技術,2015,13(4):40-43.

網絡安全技術設計范文6

【關鍵詞】電子政務;安全;防護;設計

隨著信息化的飛速發展，電子政務在政府實際工作中已經發揮了越來越重要的作用。電子政務安全主要包括兩個方面，政務網絡安全和信息安全，

一、網絡系統威脅分析

電子政務數據中心網絡系統所面臨的威脅大體可分為兩種：一是對信息的威脅;二是對網絡中設備的威脅。這些安全威脅的主要表現形式可以概括為：

1.地址欺騙：攻擊者可通過偽裝成被信任的IP地址等方式來騙取目標的信任。

2.網絡竊聽：網絡的開放性使攻擊者可通過直接或間接竊聽獲取所需信息。

3.口令破解：攻擊者可通過獲取口令文件，然后運用口令破解工具獲得口令，也可通過猜測或竊聽等方式獲取口令。

4.惡意掃描：攻擊者可編制或使用現有掃描工具發現目標的漏洞，進而發起攻擊。

5.連接盜用：在合法的通信連接建立后，攻擊者可通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

6.數據篡改：攻擊者可通過截獲并修改數據或重放數據等方式破壞數據的完整性。

7.數據驅動攻擊：攻擊者可通過施放病毒、特洛伊木馬、數據炸彈等方式破壞或遙控目標。

8.基礎設施破壞：攻擊者可通過破壞域名服務器或路由信息等基礎設施使目標陷于孤立。

9.服務拒絕：攻擊者可直接發動攻擊，也可通過控制其它主機發起攻擊使目標癱瘓，如發送大量的數據洪流阻塞目標。

10.社會工程：攻擊者可通過各種社交渠道獲得有關目標的結構、使用情況、安全防范措施等有用信息，從而提高攻擊成功率。

11.用戶的管理操作：網絡中的設備和用戶的管理難題，如何防止信息被泄露。

二、安全體系建設目標

根據電子政務數據中心網絡面臨的安全威脅，從實際情況出發，電子政務數據中心網絡安全建設的目標主要在以下幾個方面：

（一）建立邊界防護機制

實現安全域的劃分，把網絡中的用戶和設備劃分不同的安全級別。對內網和服務器實現重點地安全防護。針對數據中心的服務器，根據業務系統類型進行細分，將具有相同屬性的服務器劃分到一個安全區域。

（二）建立入侵檢測監控機制

在局域網部署網絡入侵檢測與智能分析系統，對出入網絡的流量進行實時監控，同時對局域網內部的重要網段之間的交換流量進行實時監控。通過入侵檢測系統與防火墻進行聯動，構建局域網以入侵檢測系統為核心的動態防御體系。

（三）建立安全審計系統

在網絡中部署安全審計系統，實針對業務環境下的網絡操作行為進行細粒度審計，并通過對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管、促進核心資產（數據庫、服務器、網絡設備等）的正常運營。

（四）建立內部網絡管理監控機制

在內網部署內部網絡管理系統，進行網絡資源、設備資源、客戶端資源和應用資源方面的管理控制，如網絡隔離度檢測、入網設備監控、系統軟件檢測和違規事件發現、安全事件源定位分析等、通過其它方式訪問網絡。加強對內部網絡的管理和控制。

（五）建立全網安全監控管理平臺

融合多種信息安全產品和技術管理，充分實現組織、管理、技術三個體系的合理調配，能夠最大化的保障網絡、系統和應用的安全性。

三、設計方案

（一）安全系統整體設計思路

方案將從技術與管理兩部分對電子政務數據中心網絡系統提供安全保護，其中在技術部分主要采用防火墻、入侵檢測、入侵防御、漏洞掃描、網絡安全審計及終端管控技術，這六種技術共同配合，為電子政務數據中心信息網絡系統提供一個動態網絡防御管理體系。

網絡整體拓撲結構圖：

（二）邊界安全防護

1.安全域劃分

安全域劃分是實現網絡層安全的必須步驟，安全區域的劃分可以將不同的安全等級的保護對象加以分離，同時可以防止安全問題的擴散，“安全區隔”理論也是基于此。建議將電子政務數據中心整體網絡劃分為以下區域：

（1）下聯單位接入域：連接各二級單位;

（2）核心域：核心網絡設備區域;

（3）外聯接入域：上聯電子政務網的外聯區域。

（4）本地接入域：數據中心本地用戶接入區域;

（5）核心數據域：核心業務數據庫服務器;

（6）應用系統域：應用系統服務器;

（7）安全管理域：網管、安管、殺毒等服務器;

（8）日常應用域：網站、郵件等服務器。

2.安全邊界防護

在劃分了安全區并明確了安全區的邊界之后，接下來就需要對安全區的邊界進行安全防護，在這里推薦使用安全網關作為區域邊界的訪問控制產品進行安全防護。

防火墻的目的是在內部、外部兩個網絡之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，對進、出內部網絡的服務和訪問進行控制和審計。在網絡中，應用系統總部網絡與成員單位用戶網絡之間是不同的安全等級，所以通過防火墻實現兩個安全等級網絡之間的訪問控制是必須的選擇，而安全網關帶有防火墻功能，在滿足訪問控制的基本需求外，對數據流進行應用層過濾，確保各區域之間不受病毒、木馬的感染，降低區域間的影響。

（三）網絡入侵檢測系統

把網絡入侵檢測引擎部署在網絡的關鍵網段上，就能夠監測關鍵系統和應用的異常行為。在方案中，將在核心域旁路部署千兆入侵檢測系統一套，對網絡中服務器和內部用戶進行入侵檢測，及時報警，并做事后追查。建議將與骨干相連的交換機端口、重要服務器所連的交換機端口、重要網段的交換機所連的端口設為被鏡像端口，這樣可以實時監聽流經防火墻、重要服務器、重要網段的數據流量。管理控制臺接到交換機的普通端口即可，必須要保證管理控制臺與探測引擎的管理端口正常的通信。

策略設置可以說是在使用網絡入侵檢測系統過程中最關鍵的一步，我們應該根據自己網絡的情況來詳細制定對網絡事件的響應策略。為了方便使用，入侵檢測系統本身提供細致的檢測策略，分別為熱點策略集、Web事件集、Mail事件集、攻擊分析集、協議分析集、Windows事件集、Unix事件集、陳舊事件集、新增事件集等不同分類方式的系統策略集，用戶可以針對不同環境、不同應用以及不同關注目標直接選取合適的檢測策略。

（四）安全審計系統

網絡安全審計系統是針對業務環境下的網絡操作行為進行細粒度審計的合規性管理系統。它通過對被授權人員和系統的網絡行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管、促進核心資產（數據庫、服務器、網絡設備等）的正常運行。

（五）漏洞掃描系統

在漏洞被利用以及信息系統遭受危害之前，正確的識別并修復漏洞和錯誤的配置，預防安全事件的發生?？梢酝ㄟ^部署單個掃描單元實現對全網各個區域的自主掃描。這種獨立掃描的情況同時適合監察評測機構，他們可以將漏洞掃描軟件安裝在筆記本電腦上，即可實現對獨立網絡單元的移動式檢查測評。

（六）內網管理系統

采用CSC體系架構（CSC=Clients+Server+ Checkpoint，其中Checkpoint的中文名稱是準入控制檢查點，是準入控制的生效點和執行點，在實際部署中包括使應用準入和網絡準入生效的服務器或網絡設備），CSC體系架構具備完整的控制檢查點，使具備有效的執行力和卓越的安全性、可靠性、可擴展性與健壯性，確保內網合規、管理無盲點。

（七）安全運維管理平臺

由數據庫服務器，管理服務器，事件采集服務器組成;應用軟件部署在相應的上述硬件平臺上，事件采集根據被管理的數據源的類型及拓撲實際情況，在工程實施中具體部署。

各類事件采集可采用分布式部署：中心網絡部署事件集中采集服務器，各個被管網絡分布部署事件采集服務器，負責各自網絡內的事件集中采集。維護人員通過通用運維終端采用基于Http/Https協議進行遠程管理和日常維護;其他授權用戶亦可采用基于Http/Https協議從安全管理角度針對所管理的網絡范圍進行綜合風險分析監控。

在計算機信息化的不斷發展，針對網絡的新的攻擊行為也不斷涌出，針對電子政務網絡的威脅也在日趨緊張，不論是網絡中的設備還是網絡中的信息，一旦出現安全威脅，能夠快速反應，迅速隔離，并給以阻止，才能大提高網絡的安全性能。本文也只是在電子政務數據中心網絡安全防護的設計上做了些研究，還存在一些不足，需在今后的研究中進一步完善。

參考文獻

[1]劉劍.網絡安全技術[M].西安電子科技大學出版社， 2011.

[2]邵波，王其和.計算機網絡安全技術及應用[M].北京電子工業出版社，2005，11：17-18.

[3]景煒.電子政務系統網絡安全的研究與應用[D].電子科技大學，2006.