网络安全技术课程设计大报告

• 项目背景

1.1网络安全时代背景

由于计算机网络技术和通信技术的飞速发展，人们对信息的要求越来越强烈，“网络就是计算机”的说法被全世界普遍接受。各级政府教育与局开始引起重视，中小学校园网的建设已经逐渐提到议事日程上来。当前由于网络、数据库及与之相关的应用技术不断发展，世界正在迈入网络中心计算时代。

Internet的发展带动了全世界的信息产业的发展，也为现代学校应用程序结构提供了一个新的计算模式，这种计算模式能真正适应学校发展的需要，使学校的计算机应用提高到一个新的水平。将Internet技术应用到学校内部，并建立基于这种开放技术的学校应用程序，使学校本身具有了Internet的特性，这种应用体系结构就是Intranet ── 学校内部网

1.2校园网的必要性

校园网建设势在必行;信息时代的热潮扑面而来,计算机变的越来越强大,而应用软件使计算机变的越来越容易使用,它们正在迅速改变着人们的生活、学习、工作方式,人们能够明显感觉到这种变化,总之整个世界正进行着一次深刻的变革;在这个变革的时代里，什么都在变,作为其它行业基础的教育当然也要变,而且应该变的更早变的更快;在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式，同时也改变了人的学习方式;这些只有校园网才能办到;社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显着的和长远的;它们正在迅速改变着人们的生活、学习、工作方式,人们能够明显感觉到这种变化，总之整个世界正进行着一次深刻的变革;在这个变革的时代里,什么都在变,作为其它行业

基础的教育当然也要变,而且应该变的更早变的更快;在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式;这些只有校园网才能办到;社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显着的和长远的;园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式，同时也改变了人的学习方式。

1.3 校园网应用特点

校园网特点就是把分布在校园不同地点的多台电脑连接,按照网络协议相互通信,以共享软件、硬件和数据资源为目标的网络系统;提供丰富的教育教学信息和资源是校园网的生命力;校园网络具有距离短、延时少、相对成本低和传输速率高等优点;它的低层协议较简单,控制选择等问题大大简化,因而又具有组网简单、易于实现的特点;校园网的功能作用主要体现在以下三个方面：

1 信息传递：

这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理;在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源,并对这些资源进行综合管理;

2资源共享：

①信息资源共享;通过接入ddn或isdn,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet 网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强;

②硬件资源共享;网络中各台电脑可以彼此互为后备机，一旦某台电脑出现故障,它的任务就由网络中其他电脑代而为之,当网络中的某台电脑负担过重时,网络又可将新的任务转交给网络中较空闲的电脑完成;

3方便教学：

网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的;校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境;

1. 1. 原有网络架构分析

①网络接入层:

组成：路由器AR1

网络接入层是校园网与互联网连接的边缘部分，提供边界安全策略和数据包过滤功能，并提供各种网络接入方式。

②核心交换层:

组成：路由器AR1、AR2、AR3、AR4

核心交换层是校园网的中枢，承载着所有流量的汇聚与转发，通常采用多层交换机群组实现，以满足大数据流量和各种网络应用的需求，以保证网络的可靠性和稳定性。

③分布交换层:

组成：交换机LSW2、LSW4

分布交换层连接了核心交换层和各个楼宇或子网的交换设备。主要实现内部网络的互联，通过VLAN技术将校园的不同的区域（教学区、宿舍区、办公行政区）划分为不同的虚拟网段，以提供更好的安全性和管理效率。

④楼宇接入层:

组成：交换机LSW1、LSW2、LSW3、LSW4、LSW5

楼宇接入层是连接具体楼宇或区域的网络接入点，通常会在每个区域设置交换设备，并通过光纤或者铜缆等物理链路与分布交换层相连。该层主要负责将校园核心网络的服务扩展到各个区域，为师生员工提供稳定、高速的网络接入。

⑤服务器层:

组成：WEB服务器

服务器层通过交换机或路由器与其他网络层连接，确保数据传输和访问控制的实现。

原有网络架构存在的安全风险：

（1）边界安全风险：网络接入层上的路由器AR1，以及校园网核心交换层的各路由器AR2、AR3、AR4上的边界安全措施还不够完备。可能导致未经授权的人员通过非法手段进入校园网，或在内部进行渗透，访问敏感信息或进行恶意活动。此外，校园网可能成为DDoS攻击的目标，攻击者利用大量的请求侵占网络资源，影响正常的网络使用。

（2）入侵检测风险：网络接入层上的路由器AR1，以及校园网核心交换层的各路由器AR2、AR3、AR4上的入侵检测系统目前可能会误报一些正常的网络活动为潜在的攻击行为，可能无法完全识别最新的、未知的攻击形式，特别是针对零日漏洞的攻击，这可能会导致攻击行为被漏过而不被检测到。

（3）安全远程办公风险：网络接入层上的路由器AR1，以及校园网核心交换层的各路由器AR2、AR3、AR4上还没有使用安全远程办公VPN隧道加密技术。数据在传输过程中未加密，有可能被攻击者窃取。

（4）网络安全技术检测风险：网络接入层上的路由器AR1，以及校园网核心交换层的各路由器AR2、AR3、AR4上的网络安全技术检测功能可能存在误报或虚假报警的情况，将正常的网络行为误认为恶意活动，导致不必要的阻断或报警。面对复杂的威胁时可能会出现误判或误封的情况，将正常的流量当作恶意流量屏蔽或阻断，导致合法用户无法正常访问网络资源。可能无法完全检测到所有的安全威胁，有些新型的攻击手法或零日漏洞可能尚未被发现或识别出来，从而造成漏报或漏检的情况。

1. 1. 边界安全分析

校园网网络边界安全是保护校园网各部分免受外部攻击和非授权访问的过程，对于该校园网的网络安全分析主要可以从防火墙，入侵检测与防御系统，身份认证和访问控制，VPN，安全策略和审计，网络流量监控和日志记录这几个方面入手。

1. 对于该校园网没有部署防火墙
2. 该校园网入侵检测(IDS)和防御系统(IPS)不够完善
3. 对于安全策略和审计没有作出明确要求

以上分析出的三点边界安全缺乏可能会导致校园网的崩溃瘫痪，也可能导致校园网被入侵，其危害分析有以下几点：

1. 对于没有部署防火墙的校园网其危害:缺乏防火墙意味着外部网络可以更容易地访问校园网，这增加了未经授权用户和潜在攻击者获取敏感数据或资源的风险。无法对入侵尝试、恶意软件或网络攻击进行过滤和阻止。攻击者可以利用漏洞和弱点进入校园网，并进行数据盗窃、拒绝服务攻击（DDoS）或其他恶意活动。没有防火墙的保护，敏感数据可能会被窃取、篡改或破坏，导致信息泄露、个人隐私问题或财务损失。
2. 入侵检测和防御系统不够完善带来的安全隐患:如果入侵检测系统不够灵敏或规则库更新不及时，可能无法及时发现攻击者的入侵行为，延迟对安全威胁的响应。可能会产生大量误报或漏报，误报可能导致团队浪费时间和资源来调查并应对虚假的安全事件，而漏报则意味着真正的攻击可能被忽略，给系统和数据安全带来风险。
3. 安全策略和审计没有作出明确要求可能带来的危害:缺乏明确的安全策略可能导致系统和网络中存在安全漏洞,没有指导和规范，可能会出现弱密码、未及时安装补丁、不安全的配置等问题，给攻击者提供了入侵的机会。缺乏访问控制和加密措施，未能建立备份和恢复机制等，使得敏感数据容易被未授权的人员获取或丢失。
   1. 入侵检测分析

校园网入侵检测分析主要需要进行收集数据，数据预处理，流量分析，事件检测，异常检测，威胁情报分析，响应和处置。校园网入侵检测分析是一个持续的过程，需要不断更新和优化。同时，为了提高检测效果和降低误报率，建议结合多种技术和理论方法，利用自动化工具和人工专家的经验进行综合分析和判断。 缺乏入侵检测的危害：

(1)个人信息泄露：入侵检测系统可以帮助发现非法访问和数据窃取行为，缺乏此类系统可能导致学生、教职工的个人信息被非法获取。

(2)系统瘫痪：入侵检测系统能够及时发现并响应网络攻击，防止系统被破坏。缺乏入侵检测系统可能导致校园网系统瘫痪，影响正常的教学和科研活动。

(3)数据丢失：入侵检测系统可以帮助保护校园网中的重要数据，防止数据被篡改或删除。缺乏入侵检测系统可能导致重要数据丢失，影响学校的教学和科研工作。

1. 1. 安全远程办公

由于该校园网没有进行对安全远程办公VPN隧道加密技术的部署，对于信息的隐私和保护机制不够完善，对与安全办公是不太友好的。建议校园网能够部署VPN技术，加强安全隐私防护。

VPN部署缺失的危害：

(1)数据泄露风险：缺乏VPN保护，敏感数据在传输过程中容易被截获，可能导致学生和教职工个人信息泄露，严重影响隐私安全。

(2)身份认证风险：没有VPN的保护，校园网用户的身份认证容易受到攻击，如密码猜测、社会工程学攻击等，增加了被非法侵入的风险。

(3)网络攻击风险：未部署VPN意味着缺少了一道重要的安全屏障，黑客可以利用校园网中的漏洞进行分布式拒绝服务攻击（DDoS）等，影响校园网的正常运行。

(4)远程访问风险：校园网经常需要为师生提供远程访问服务，缺乏VPN保护，这些服务可能会被恶意利用，成为攻击校园网的跳板。

1. 1. 网络安全技术检测分析

该校园网没有进行实时检测网络，对于网络上的攻击不能及时监测，对于用户的流量和对外来用户的限制不够明显，对于安全的处理方式太过单一。

网络安全技术检测分析缺乏的危害：

1. 未被发现的安全漏洞：缺乏网络安全技术检测和分析，组织无法及时识别和修复存在的安全漏洞。黑客可以利用这些漏洞入侵系统、获取敏感信息或对网络进行破坏。
2. 无法预测和应对新型威胁：网络安全威胁不断演变，出现新的攻击技术和方式。如果没有专业的技术检测和分析，组织将难以预测和应对这些新型威胁，增加了被攻击的风险。
3. 数据泄露和损失：缺乏适当的安全技术检测和分析意味着可能无法及时察觉到数据泄露事件。敏感信息如客户数据、公司机密等可能在未被发现的情况下被泄露，造成巨大的经济损失和声誉损害。
4. 缺乏实时监控与响应能力：网络安全技术检测和分析提供实时监控和响应能力，可以及时检测到异常活动并采取相应措施。在缺乏这种能力的情况下，恶意攻击和未经授权的访问可能持续存在并造成损害，直到被发现为止。

• 实施方案
  1. 建设后网络架构

1. 1. 边界安全建设

在校园网中，边界通常指的是校园网与互联网之间的连接点。边界安全的主要目标是建立一道可信任的防线，通过使用各种安全技术和设备，实施访问控制、流量过滤、威胁检测与防御等措施，确保只有合法用户和合法流量能够进入内部网络，同时阻止潜在的攻击者和恶意活动。在该方案中我们推荐使用防火墙设备（如防火墙FW）和边界路由器(AR1、AR2、AR3、AR4)，来达到边界安全建设的目的。

防火墙是用来监控和控制网络流量的关键设备，通常部署于校园网与互联网之间的连接处。防火墙可以设置访问策略、过滤恶意流量、检测和阻止潜在的攻击等，可以实现网络地址转换，将内部网络上的私有IP地址映射为公共IP地址，在一定程度上隐藏了内部网络结构，从而保护校园网免受未经授权的访问和恶意行为。

边界路由器是校园网中的关键组件之一，部署于校园网内的各网络分区之间，具有重要的网络安全功能。同时也可以把一些防火墙功能内嵌于边界路由器中，相当于在校园网内部的各分区之间也设置了防火墙。这样可以防止攻击者在校园网内部进行内网渗透攻击，为校园网的安全上多一层保险。

1. 防火墙产品设备主要有以下几种选择：

① 华为USG6620E

组成结构：

组件作用：

指示灯和按钮：

接口：

设备参数：

1. 边界路由器产品设备主要有以下几种选择：

① 华为AR611

组成结构：

指示灯和按钮：

设备参数：

1. 1. 入侵检测建设

入侵检测建设主要包括入侵检测系统IDS和入侵防御系统IPS两部分，IDS和IPS通常是组合使用，IDS负责检测入侵行为并生成报警，而IPS则负责根据需要采取相应的防御措施。

① IDS入侵检测（旁路部署）

专业上讲IDS是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是：

1.服务器区域的交换机上；

2.Internet接入路由器之后的第一台交换机上；

3.重点保护网段的局域网交换机上。

②IPS入侵防御（串行部署）

IPS系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

办公网中，需要在以下区域部署IPS：

1.办公网与外部网络的连接部位（入口/出口）；

2.重要服务器集群前端；

3.办公网内部接入层。

4.至于其它区域，可以根据实际情况与重要程度，酌情部署。

1. 入侵检测系统IDS产品设备主要有以下几种选择：

华为HiSecEngineIPS6585FF-K

产品图:

性能参数：

1. 入侵防御系统IPS产品设备主要有以下几种选择：

H3C SecPath T1000

产品图:

性能参数：

功能特性：

1. 1. 安全远程办公VPN建设

安全远程办公VPN（Virtual Private Network）是一种加密和隧道技术，用于建立安全的远程连接，使远程访问人员能够通过互联网访问内部网络资源并进行工作。安全远程办公VPN会对传输的数据进行加密，确保在互联网上传输的信息不会被他人截获或窃取。这样，即使是在公共Wi-Fi网络上，也能保护用户的数据安全。随着网络教学的发展和普及，不少课程和考试采取的是线上的形式，一些重要材料需要通过校园网获取。而VPN技术可以保障这些资料在通过网络传播时的安全性和时效性。另外，使用VPN可以隐藏用户的真实IP地址，并通过将用户的流量路由到VPN服务器来代替。这样可以保护用户的个人身份和位置信息，防止被追踪或监控。在校园网中，可以设置VPN来为远程访问人员提供安全的网络。

安全远程办公VPN的部署位置主要涉及两个方面：VPN服务器和远程工作人员的终端设备：

1.VPN服务器：VPN服务器通常位于内部网络中，可以是物理设备或虚拟机。它负责处理VPN连接请求，并提供加密和隧道功能。VPN服务器应放置在有足够安全防护措施的环境中，如数据中心或专用网络区域，以保护服务器免受未经授权访问和攻击。

2.远程工作人员的终端设备：远程访问人员需要在他们的终端设备上安装VPN客户端，并通过该客户端与公司的VPN服务器建立连接。终端设备可以是个人电脑、手机或平板电脑等。远程访问人员应确保终端设备的操作系统和应用程序都得到及时的安全更新，并采取必要的安全措施来防范恶意软件和网络攻击。

针对该校园网，我们选择了路由器作为部署的设备，在其上布置相应的策略和技术以实现安全远程办公VPN功能：

1. 带VPN功能的路由器产品设备主要有以下几种选择：

① Huawei（AR2200系列企业路由器）:

技术规格：

② Huawei NetEngine AR6100 系列企业路由器

技术规格：

路由器内配置对应的网络安全策略：

1. 使用IPSec隧道连通教学区和办公行政区，宿舍区和办公行政区。这样可以使学生和教师在宿舍以及教室访问办公行政区的服务器时，可以通过VPN隧道安全，快捷地进行。

在边界AR2和AR3建立tunnel隧道，AR2 tunnel IP地址为10.1.1.1，AR3 tunnel IP地址为10.1.1.2，数据想要从一端传到另一端需要经过封装和解封装的过程。

1. 指定sha2-256作为ESP使用的鉴别算法，指定aes-128作为ESP使用的加密算法。
   1. 网络安全技术检测建设

网络安全技术检测建设是保护网络系统和数据安全的重要措施之一，可以采取以下几个方面来进行建设：

1. 漏洞扫描工具：使用专业的漏洞扫描工具如Nessus、OpenVAS或Nexpose来对DVWA靶机进行全面的漏洞扫描。这些工具能够自动检测各种已知漏洞，并提供详细的报告和修复建议。
2. Web应用程序防火墙（WAF）：部署WAF来保护DVWA靶机免受常见的Web攻击，如SQL注入、跨站脚本等。WAF可以拦截并阻止恶意请求，从而提高网站的安全性。
3. 安全代码审计：对DVWA靶机的源代码进行仔细审查，识别潜在的漏洞和安全风险。通过进行静态代码分析，可以发现一些与输入验证、访问控制、加密和输出过滤等相关的问题，并提供相应的修复建议。
4. 入侵检测系统（IDS）：监控网络流量和系统日志，识别潜在的入侵行为或异常活动。IDS可以基于规则、签名或行为分析来检测威胁，及时发出警报并采取相应的应对措施。
5. 入侵防御系统（IPS）：在IDS的基础上能够主动采取防御措施，如阻止恶意流量、屏蔽攻击源等，以保护网络免受攻击。
6. 流量分析：对网络流量进行实时监测和分析，以识别异常流量模式、不寻常的数据包或网络行为。可以使用Wireshark、tcpdump、brupsuite等抓包工具，使用流量监测与分析系统PRTG Network Monitor、SolarWinds NetFlow等，配置DPI技术深入分析网络数据包的内容，如Snort、Suricata等。

识别DVWA靶机中的漏洞所涉及的原理和修复建议：

1. SQL注入：

1. 原理：SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
2. 修复建议：解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则，确保用户输入不会被当作可执行的代码来解析。

1. 跨站点脚本（XSS）：

1. 原理：XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中，使其在受害者浏览器中执行。
2. 修复建议：确保对用户输入和输出进行适当的转义处理，使用内容安全策略限制脚本的执行。

1. CSRF（跨站请求伪造）：

1. 原理：CSRF攻击利用应用程序未能验证HTTP请求的来源，导致攻击者能够以受信任用户的身份执行恶意操作。
2. 修复建议：为每个关键操作引入随机生成的令牌（CSRF令牌），并确保验证每个请求的令牌与会话中的匹配。

1. 文件包含：

1. 原理：简单来说，如果服务器允许客户端用户输入控制动态包含在服务器端的文件，会导致恶意代码的执行及敏感信息泄露。
2. 修复建议：严格限制文件包含时使用的参数，避免直接将用户输入拼接到文件路径中。使用白名单来限制允许包含的文件或目录。

1. 命令注入：

1. 原理：当应用需要调用一些外部程序去处理内容的情况下，就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等，当用户可以控制命令执行函数中的参数时，将可以注入恶意系统命令到正常命令中，造成命令执行攻击。 
2. 修复建议：对于用户提供的任何参数或不可信数据，在执行系统命令之前，应该进行严格的输入验证和过滤。

1. 文件上传漏洞：

1. 原理：由于程序员在对用户文件上传部分的控制不足或者处理缺陷，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件，导致潜在的远程代码执行。
2. 修复建议：对上传的文件进行严格的类型验证和内容检查。