【正文】 全特殊問題的一種方法，適用于通信雙方發(fā)生了下列情況的安全驗證。加密形式可適用于OSI參考模型的不同層（會話層除外），加密機制還包括密鑰管理機制。216。網絡信息安全機制定義了實現網絡信息安全服務的技術措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數據進行處理。216。216。 非授權訪問沒有預先經過同意，就是用網絡或計算機資源被視為非授權訪問，如對網絡設備資源進行非正常使用，擅自擴大權限或越權訪問信息等。另外，軟件的隱秘通道都是軟件公司的設計編程人員為了自己方便而設置的，一般不為外人所知，但一旦隱秘通道被探知后果將不堪設想，這樣的軟件不能保證網絡的安全。 網絡軟件的漏洞網絡軟件不可能無缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。這兩種攻擊均對計算機網絡造成極大的危害，并導致機密數據的泄漏。主動攻擊是以各種方式有選擇地破壞信息的有效性和完整性。 人為的惡意攻擊這是計算算計網絡所面臨的最大威脅，敵人的攻擊和計算機犯罪就屬于這一類。例如操作員安全配置不當導致的安全漏洞，用戶安全意識不強，用戶密碼選擇不慎，用戶講自己的賬號隨意轉借給他人或其他人共享等，都會對網絡安全構成威脅。具體情況有以下幾種：216。網絡中的敏感數據有可能泄露或被修改，從內部網向公共網傳送的信息可能被其他人竊聽或篡改等。網絡安全保護的最終目的是預防各種各樣的非法入侵者、網絡訪問和網絡攻擊。216。可控性最重要的體現是全局監(jiān)控、預警能力和應急響應處理能力。216。完整性是一種面向信息安全的安全性，要求保持信息的原樣，即信息正確的生成、存儲和傳輸。216。網絡信息系統的可用性一般用系統正常使用時間和整個工作時間之比來度量?？捎眯允蔷W絡信息系統面向用戶的安全性能重要體現。216。 保密性保密性是網絡信息不被泄露給非授權用戶、實體或供其利用的特性，即當信息服務被使用，而不被泄露給非授權個人或實體。可靠性是系統安全的基本要求之一，是所有網絡信息系統的基本目標。216。凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。所以，“網絡安全系統”是從“網絡安全”發(fā)展而來的。因此也催生了以后的多代防火墻技術，同時也誕生了許多其他網絡安全技術和設備，如入侵檢測系統（Intrusion Detection System，IDS）、入侵防御系統（Intrusion Prevention System，IPS）和網絡隔離設備等。隨著計算機網絡技術的發(fā)展，“網絡安全防護”與病毒、攻擊網絡等似乎成了相輔相成的產業(yè)，因為其中都牽涉到巨大的產業(yè)鏈和經濟利益，使得網絡安全形勢更加嚴峻。但第一代防火墻技術只是基于兩臺過濾型路由器之間的堡壘主機在TCP/IP的網絡連接級提供保護?；ヂ摼W誕生后，在計算機用戶能夠從單個系統交換和訪問到大量外部網路上的共享信息的同時，也為黑客敞開了尋的攻擊機會和攻擊方式。試試的系統主要通過回撥技術來保證的。為了增加用戶訪問的靈活性，后來在串行端口上增加調制調解器（MODEM），這使得用戶和攻擊者都可以從電話線路到達任何地方進行訪問。要突破這樣的簡單系統，只需要獲得對終端或串行終端口的物理訪問權限即可。網絡安全的大戰(zhàn)與網絡技術的發(fā)展幾乎是同步的。本文的主要就是針對總體建設中涉及的安全問題進行分析與規(guī)劃設計，最后并對大部分解決方案進行模擬實現。校園局域網網建設是一項綜合性非常強的系統工程，它包括了網絡系統的總體規(guī)劃、硬件的選型配置、系統管理軟件的應用以及人員培訓等諸多方面。網絡安全保護的最終目的是預防各種各樣的非法入侵、網絡訪問和網絡攻擊。因為現在的網絡安全已經自成系統，不再是網絡的一個可有可無的附屬品，已成為計算機網絡中必不可少的一個組成部分?，F在的網絡安全問題不再僅是幾個計算機病毒那么簡單。**大學管理學學士學位論文 目錄校園局域網安全設計畢業(yè)設計目錄摘要 IAbstract II第一章 緒論 1 1 1第二章 校園網安全威脅 8 8 9第三章 設計簡介及設計方案 11 11 11第四章 物理層安全設計方案 13 13 15 16第五章 數據鏈路層安全設計方案 19 19 MAC地址綁定 21 VLAN網段劃分 23第六章 網絡層安全設計方案 25 25 網絡中的三個安全區(qū)域 26 27第七章 WLAN安全設計方案 32 32 32 32第八章 各層次設計解決方案配置 40 Packet Tracer模擬環(huán)境簡介 40 鏈路冗余與負載均衡解決方案模擬 42 MAC地址綁定解決方案模擬 44 VLAN劃分解決方案模擬 47 49 防火墻訪問控制列表解決方案模擬 52 WLAN配置解決方案模擬 56總結 59致謝 60參考文獻 61附錄 62附錄A：各解決方案源碼 62附錄B：中文原文 68附錄C：英文翻譯 71**大學管理學學士學位論文 第一章 網絡安全系統設計基礎 第一章 緒論隨著網絡的全面發(fā)展和普及，網絡安全已成為當今IT領域中最熱門的話題，同樣也是校園網管理最頭疼的一個領域。因為網絡安全事故可能隨時發(fā)生，并且其災難后果也難以預測，就像我們生活中的交通事故一樣。以前的計算機保護系統安全策略保護策略早已不能滿足現在的網絡安全需求。為此，本文主要是針對校園網絡安全當前的網絡安全現狀提出多種解決方案，創(chuàng)建一個穩(wěn)健運行的校園安全網絡。但是因為非法入侵、訪問和攻擊的方式、角度，或者途徑可能各不相同所以才會有基于各種不同角度和不同層次的安全防火技術和方案。因此在校園網的建設工作中必須處理好實用與發(fā)展、建設與管理、使用與培訓等關系，從而使校園網的建設工作健康穩(wěn)定地開展。健全的安全體系不僅為校園網今后的維護減少了不必要的麻煩，而且對因為安全問題而造成的損失也減少了不必要的開支。最早的網絡是由連接啞鈴終端到中央服務器的串行點到點線路構成的。這時的網絡安全主要體現在物理安全機制上。他們主要通過撥號式掃描方式尋找應答MODEM，從而獲得未授權訪問的機會。在計算機網絡發(fā)展的初級階段，資源的共享成為了計算機網絡的主要功能。因此隨后出現了第一代防火墻技術，用它來從入口上確保外部網絡用戶對內部網絡訪問的安全（因為防火墻的保護原理就是“防外不防內”）?！氨局鳈C”就相當于通信線路上設置的第一道關卡（在此以戰(zhàn)爭年代的“城堡”進行類比），經過這些主機的通信流都需要進行各種特定的過濾，只有符合了相應過濾條件的通信流才允許通過。在利益的驅動下，入侵與反入侵、攻擊與反攻擊技術都得到了長足的發(fā)展，攻擊技術和攻擊方式也變得越來越復雜，越來越隱蔽。這時“網絡安全系統”的概念才逐漸在人們的腦海中形成，就像當初由“計算機網絡”產生現在的“計算機網絡系統”一樣。從本質上講，計算機網絡安全就是網絡的信息安全。網絡安全具有以下幾個基本屬性。 可靠性可靠性是網絡信息系統能夠在規(guī)定條件下、規(guī)定時間內完成規(guī)定功能的特性。216。保密性是在可靠性和可用性基礎之上，保障網絡信息安全的重要手段。 可用性可用性是網絡信息可被授權實體訪問并按要求使用的特性，即當信息服務被使用時，允許授權用戶或實體使用的特性，或者是網絡部分受損需要降級使用時，仍能為授權用戶提供可用網絡服務的特性。網絡信息系統最基本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面的、有時還有時間的需求?？捎眯赃€應該滿足以下要求：身份驗證、訪問控制、業(yè)務流控制、路由選擇控制、審計跟蹤。 完整性完整性是確保信息在傳輸過程中不被刪除、修改、偽造、亂序、重放、插入等破壞和丟失。完整性與保密性不同，保密性要求信息不被泄露給未授權的人，而完整性則要求信息不致受到各種原因的破壞。 可控性可控性是對網絡信息的傳播及內容具有控制能力的特性，即網絡系統中的任何信息要在一定傳輸范圍和存放空間內可控。全局預警就是要建立全局性安全狀況收集系統，對于新的安全漏洞和攻擊方法能及時了解，針對體系內局部發(fā)生的安全入侵等事件響應。 不可抵賴性不可抵賴性也稱不可否認性，是指通信雙方在信息交互過程中，確保參與者本身以及參與者提供的信息的真實同一性，即所有參與者都不能否認或抵賴本人的真實身份，以及提供信息的原樣性和完整的操作與承諾。但因為非法入侵、訪問和攻擊的攻擊。影響計算機網絡安全的因素很多，如有意的或無意的、人為的或非人為的等，外來黑客對網絡系統資源的非法使用更是影響計算機網絡安全的重要因素。 人為的疏忽人為的疏忽包括：失誤、失職、誤操作等。216。此類攻擊有可以分為主動攻擊和被動攻擊兩種方式。被動攻擊是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要的機密信息。216。曾經出現過的黑客攻入網絡內部的時間，大多是由于安全措施不完善導致的。216。主要包括：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作，合法用戶以未授權方式進行操作等。 信息泄露或丟失信息泄露或丟失是指敏感數據被有意或無意地泄露或丟失，通常包括：在傳輸中泄露或丟失，例如黑客們利用電磁泄露或搭線竊聽等方式截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數分析，進而截獲有用的信息。 破壞數據完整性破壞數據完整性是指以非法手段得到對數據信息的使用權，刪除、修改、插入或重發(fā)某些重要信息，惡意添加、修改數據，以干擾用戶的正常使用。網絡信息安全機制，通常包括以下八種。 加密機制加密是提供數據保密性的基本方法，用加密方法和認證機制相結合，可提供數據的保密性和完整性。216。在網絡通信中，數字簽名的安全性必須具有可證實性、不可否認性、不可偽造性和不可重用性。 訪問控制機制訪問控制是指處理主體對客體訪問的權限設置的合法性問題，一個主體只能訪問經過授權使用的給定客體。216。①數據安全完整性：發(fā)送實體對數據單元加標記識別，以作為數據本身的信息簽名函數（如Hash函數等）。②數據單元序列完整性：要求所有發(fā)送數據單元序列編號的連續(xù)性和時間標記的正確性，以防止假冒、丟失、換包、重發(fā)、插入或修改數據序列。 鑒別交換機制鑒別交換式在通信進程中，以雙方互換約定信息方式確認實體身份機制。216。對抗手段可以通過保密裝置，在無線傳輸時連續(xù)發(fā)出偽隨機序列，混淆非法者想要得到的有用信息。 路由控制機制在復雜的網絡環(huán)境中，路由控制機制在于引導信息發(fā)送者選擇代價小且安全的特殊路徑，保證數據能由源點出發(fā)，經選擇路由，安全到達目標節(jié)點。 公證機制公正機制在于解決通信的矛盾雙方，因事故和信用危機導致責任問題的公證仲裁，公正機制要設立的公證機構是各方都信任的實體，專門提供第三方的證明手段，可以用于對信息源的發(fā)送時間、目的地、信息內容和身份依據等進行公證，提供基于可信第三方的不可抵賴服務。如果設計時不全面考慮，消極地將安全措施寄托于事后“打補丁”是相當的危險的，因為一旦出了事故，損失可能是無法彌補的。216?！澳就霸瓌t”就是為了保證網絡安全系統隊對所有方面均要求有一個適當的保護，而不是只強調某一方面的保護。“木桶原則”理論來自客觀事實，那就是木桶的最大容積取決于最短的一塊木板。攻擊者使用“最易滲原則”，必然會對系統中最薄弱的地方進行攻擊。216。網絡安全防護是需要一整套安全保護機制來保障的，這套機制就是：在沒有出現安全事故前要有預防和監(jiān)測機制，在出現了安全事故后要有補救機制。安全保護機制是根據系統存在的各種安全漏洞和安全威脅采取相應的保護措施，避免安全風險的發(fā)生；安全監(jiān)測機制是監(jiān)測系統的運行情況，以及發(fā)生和制止對系統進行的各種入侵和攻擊行為；安全恢復機制是在安全保護機制和安全監(jiān)測機制都是失效的情況下。216。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相融，使其更易執(zhí)行。當然，我們知道，要真正評價評價一耳光這么大的網絡系統的安全性，并做到一個均衡點，確實很難做到，只能從校園網用戶需求和具體網絡應用環(huán)境出發(fā)進行細致的分析。 可行性原則每個校園網在網絡安全需求方面都有它的獨特性，對網絡安全系統的部署成本也有不同的承受能力。其實這一原則與前面的“均衡性原則”類似，但側重點不同，前者側重于同一校園網角度來考慮，而后者是從整個行業(yè)的角度出發(fā)。所以，在進行網絡安全策略設計時，一定要結合實際安全等級要求和學校的經濟能力來進行綜合考慮。 等級性原則這里所說的等級是指安全層次和安全級別。針對不同級別的安全對象，提供全面、可選的安全方法和安全體制，以滿足網絡中不同層次的各種實際需求。 一致性原則一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計(包括初步或詳細設計)及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容及措施。216。其次，措施的采用不能影響系統的正常運行。實際上，保障網絡安全不但需要參考網絡安全的各項標準以形成合理的評估準則，更重要的是必須明確網絡安全的框架體系、安全防范的層級結構和系統設計的基本原則，分析網絡的各個不安全環(huán)節(jié)，找到安全漏洞，做到有的放矢。 技術與管理相結合原則安全保護體系是一個復雜的系統工程，涉及人力、技術、操作和管理等方面的因素，單靠技術和單靠管理都不可能實現。216。因此要求我們在部署安全保護策略時可以考慮先在一個比較全面的安全規(guī)劃下，根據網絡的實際需要建立基本的安全體系，保證基本的、必需的安全性，然后在隨著網絡的規(guī)模擴大及應用的增加，網絡應用的復雜程度的變化，來調整或增強安全保護力度，以保證整個網絡最根本的安全需求。 動態(tài)發(fā)展原則在制定策略時要明確根據網絡的發(fā)展變化和企業(yè)的自身實力的增加，對安全系統進行不斷地調整，以適應新的網絡環(huán)境，滿足新的網絡安全需求。 80**大學管理學