计算机网络毕业论文完全_计算机网络毕业论文
计算机网络毕业论文完全由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“计算机网络毕业论文”。
物理电气信息学院网络工程网络安全论文
防火墙技术在高校图书馆网络中的应用
专 业:网络工程 姓 名: 学 号: 任课老师:
网络工程
摘要:随着网络的发展,图书馆网络在高校图书文献资料的检索等方面具有重要的作用,但是与此同时,图书馆网络也存在安全隐患。为了有效的提高图书馆网络的安全性,配置防火墙技术是一种很现实的选择。本文阐述了高校图书馆建设防火墙的必要性,通过具体介绍防火墙在图书馆网络中的应用实例,分析了图书馆网络的现状和问题,提出了解决方案关探讨。
关键词:高校图书馆;网络安全;防火墙技术;局域网;安全措施
随着计算机网络技术的发展,计算机安全问题日益突出,提高Internet 安全性的要求迫在眉睫。作为高校信息资源中心的图书馆,承担着校园网内绝大多数的数据传输和信息发布,如宁夏大学图书馆局域网经过结构化布线,采用先进的网络设备、服务器、小型机,与校园网、Internet 相联接,为读者提供网上浏览、信息查询、数据库检索、信息咨询等项服务,为教学和科研服务提供重要保障,因而提高网络安全成为当前高校图书馆的一个重要任务。高校图书馆防火墙建设的必要性
从目前我国高校图书馆的情况来看,图书馆多处于开放的网络环境中,所有重要的数字资源都要通过网络存储和传输。由于网络系统的多样性、复杂性、开放性、终端分布的不均匀性,这一过程极易遭到黑客、恶性软件或非法授权的入侵与攻击,导致信息泄漏、信息窃取、数据增删和计算机病毒等问题。图书馆若不能及时保障网络安全,就不能获取信息化的效率和效益,不能更好地为读者服务。要使图书馆数字资源被充分利用而不受外来侵犯,防火墙技术就是很好的解决方案之一。
图书馆防火墙是一个位于局域网与Internet之间的计算机或网络设备中的功能模块,是按照一定安全策略建立起来的硬件和软件相结合的一种技术。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。防火墙可以提供身份认证和访问控制, 通过检测、限制和更改跨越防火墙的数据流来尽可能地隔离风险区域与图书馆局域网的连接;可以按照事先规定好的配置和规则, 监测所有通向外部网和从外部网传输来的信息,只允许授权数据通过;可以记录有关的联接来源以及试图闯入者的任何企图,从而方便图书馆系统管理员的实时监测、控制,以维护内部网络的安全。
第1页
网络工程
校图书馆防火墙拓扑结构图书馆网络现状分析与解决方案
2.1 图书馆网络存在的问题
近年来,西北大学图书馆经过不断的改造和更新网络,确定了目前使用中的星型拓扑组网方式,所有网络线缆汇聚至2 层主机房,服务器、网络设备均部署2 层主机房,Internet 及教育网出口设置在网络中心。整个网络覆盖了图书馆5 层,千兆光缆上连至网络中心,百兆至桌面,图书馆信息管理系统等服务器连接至锐捷S3550-24G 千兆交换机,为内外网访问图书馆对外服务提供了充足的带宽。
从图书馆网络现状及拓扑结构可以看出,虽然该网络采用了一定的分层结构,并且通过三层交换机隔离了一定的网络广播,但是该网络在没有任何安全措施的情况下接入到校园网,同时又为互联网提供信息检索服务。这样很容易造成以下弊端:(1)非法使用图书馆数字资源,包括对计算机系统资源、网络连接服务等的滥用和盗用;(2)毁坏数据,修改页面内容或链接,对网络设备信息轰炸,造成服务中断等;(3)无限制地免费使用数据通信网络,造成网络堵塞,有的第2页
网络工程
则是直接入侵Web 和其他文件服务器,删除或篡改数据,造成系统瘫痪;(4)通过校园网向服务器区域的服务器发起攻击行为,导致服务器崩溃或感染病毒。一旦攻击者利用图书馆的服务器上传木马等计算机病毒,基于图书馆服务器的巨大访问量(80 万次以上/ 年),计算机病毒将会在极短的时间内感染大量的用户主机,对学校的声誉,以及校园网络的正常运行造成巨大的影响;(5)图书馆内部如果没有采取很好的隔离措施,一旦一台计算机感染了病毒,病毒将会通过网络很快感染到图书馆网络中的所有主机,造成的最大影响就是由于服务器染毒无法继续提供服务,从而使图书馆的业务遭受严重的影响。2.2 解决方案 2.2.1 方案设计原则
为了保证系统能够最大限度满足图书馆网络建设需求,同时在最大限度保护原有投资的前提下,不断利用迅速发展的计算机网络技术和产品。在设计实施方案中,我们必须充分考虑先进性、安全性、可靠性、可扩展性和易管理性等系统建设原则。(1)先进性
设计方案要充分考虑图书馆网络建设的实际使用需求,在技术选型、设备选型、高可靠性设计、安全性设计、业务实现和网络管理等方面具有一定的先进性。(2)高可靠性
对于网络设备本身的冗余均采用电信级冗余电源设计,并且提供多种冗余技术,在网络设备的不同层次提供增值的冗余设计,以提高整个网络高可靠的性能。(3)可扩展性
为适应图书馆业务的发展、需求的变化、先进技术的应用,应采用模块化设计,采用高密度端口网络设备,具备三层路由功能,使其具备平滑升级能力。
第3页
网络工程
宁夏大学图书馆计算机网络示意图
(4)安全性
在安全性方面,遵循国际通行和国家信息安全主管部门制定的各项标准。(5)可管理性
使整个网络设备具有远程管理能力,灵活、方便地进行管理控制。2.2.2 方案设计思路(1)网络安全设计
目前图书馆未部署网络安全设备,服务器直接暴露在校园网中,很容易遭受来自内外网的非法攻击,造成服务器无法正常对外提供服务。所以需要在图书馆出口处部署千兆防火墙一台,同时设置服务器DMZ 区,在保护内网的同时,防御来自内外网对服务器区的攻击。将图书馆的所有信息及网络资源按照职能的不同划分成四个安全区域:服务器区域、阅览室区域、办公区域以及其它区域。
(2)针对不同区域的特点设定相应的安全访问控制策略。例如:服务器区域不允许主动发起向其他区域的连接,其他区域不允许发起向服务器区域的除了80 端口外的其他连接。不允许任何区域主动向阅览室区域、办公区域发起主动连接。(3)在防火墙上开启防御DOS/DDOS 攻击功能。
第4页
网络工程
(4)将图书馆与网络中心升级为三层结构,图书馆到网络中心启用静态路由,减少网络设备所维护的ARP 列表,将图书馆内网的广播终结至核心交换机,增强了网络设备的转发性能。不再全部使用或限制使用原来校园网所分配的IP 地址段,改用内部私有IP 地址。通过防火墙的NAT 与反向NAT 技术将内部主机的IP 地址完全隐藏。2.2.3 整体技术方案实现
根据上述设计原则和思路,结合具体情况和信息安全工作经验,我们通过防火墙来实现一个初步的安全隔离与访问控制,从而实现整个网络的安全运行。网络升级改造后拓扑如下:
宁夏大学图书馆计算机网络示意图对解决方案的优势分析与应用
通过以上的安全设置,图书馆将会具有初步的安全防护功能,外部人员对服务器的攻击可能与成功率将会从原来的100%降低到2%。计算机病毒的传播速度将会由原来的全网快速传播变为区域内快速传播,将计算机病毒的危害性降低一个水
第5页
网络工程
准。服务器群将会有一定的抵御DOS/DDOS 攻击的能力,将业务系统的连续运营与服务可靠性提升了一个台阶。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。当网络面临入侵时,防火墙是网络的第一道屏障。防火墙是由软件和硬件设备组合而成,处于核心交换机与互联网之间,限制外界用户对内部网络未授权的访问,管理内部用户访问外界网络的权限。
目前在防火墙上采取的安全措施主要有:(1)使用地址映射NAT技术
内网访问外网通过防火墙NAT 转换,NAT 转换将图书馆局域网内的私有IP 地址映射到一个公共的合法IP 地址上,不但节省了IP 资源,而且每个内部网络的真实IP 地址得以隐藏。只要防火墙的地址转换表不被窃取,黑客就不可能知道内网IP 及其所对应的全局IP 和他们的转换规则,因此无法向内网发送攻击数据包,他们要想对内网进行攻击的企图难以实现,有效地降低了黑客入侵的成功率。
地址映射NAT示意图
(2)设置访问策略
制定限制网络访问的策略,不同级别的人允许访问不同的资源,服务器只提供有限的、有用的服务,关闭其他所有服务。策略的设置包括允许与禁止。在防火墙上设置的策略有:允许外网访问某网站,该网站只开放80(HTTP)端口,关闭其
第6页
网络工程
它所有端口,允许网管对某服务器进行下载、远程登录等维护,相应开放该服务器的21(FTP)、23(TELNET)等端口,禁止外网访问内网等。
(3)关闭病毒常用端口
防火墙虽然不是专业的防病毒系统,但通过关闭病毒习惯攻击的端口的方法可以有效地阻止某些病毒的攻击。在防火墙上常关闭的端口有:137,138,139(共享信息窃取端口),445,5554(蠕虫病毒,震荡波病毒常攻击端口),5589(肉鸡病毒常攻击端口)等。
第7页
网络工程
(4)使用登陆认证
指定仅有一个IP 地址作为专用的网络管理计算机,对管理员进行用户身份检验和权限设定,确保只有合法的用户在合法的管理机上才能登陆网络,而且只有拥有相应权限的用户才能查看和修改交换机配置,同时每个用户登录交换机后所做的操作都有日志记载。这样就可以保护对交换机的本地和远程访问,减少出现攻击的可能。(5)使用流量控制技术
为了防止馆内用户,特别是电子阅览室用户对网络资源的滥用,进行视频、软件等资源下载,占用大量网络带宽,还可使用防火墙或者交换机的网络流量控制技术,定期查看和分析网络带宽资源的使用情况,将流经端口的异常流量限制在一定的范围内。核心交换机将不同的安全域通过划分VLAN进行逻辑隔离,隔离广播风暴,防止ARP攻击。将非法用户与敏感的网络资源相互隔离,从而防止大部分基于网络侦听的入侵。
VLAN控制流量示意图结语
在图书馆的网络设备和电子资源中运用防火墙技术,不仅可以有效防止外部网络的非法入侵和恶意攻击,保障图书馆自身的利益,以及合法用户对图书馆资源的有效访问,同时还可以控制只对授权用户赋予对授权资源访问的权限,有利于规范数字化资源在网上发布和传送,更可以对网络通信和流量进行监控,便于图书馆系统管理和维护,从而 能够有效地保证图书馆计算机网络的正常运行。作为一个复杂的系统工程,图书馆的网络安全涉及诸多方面,我们在大力研究网络安全技术的同时,还要根据数字图书馆自身的特点和需求,进行有针对性的系统设计,不断地改进和完善网络安全工作,最大限度
第8页
网络工程
地降低网络安全所带来的负面影响。
参考文献:
[1] 李文静,王福生.防火墙在图书馆网络中的安全策略[J].现代情报,2008,(6):72-73.[2] 肖荣荣.高校图书馆网络信息安全问题及解决方案[J].现代情报,2006,(2): 67-68.[3] 方明,刑远秀.防火墙技术在图书馆网络中的应用.[J]中国水运,2006,(12):70-71.[4] 张宏武.防火墙在图书馆局域网的应用[J].现代情报,2004,(10):142-145.[5] 蒋威,刘磊.校园网络的安全分析及解决方案[J].吉林师范大学学报(自然科 学版),2006,(2).[6] 王福生.图书馆网络中的入侵检测系统[J]现代情报,2007,(2).第9页
