文档介绍:Forpersonaluseonlyinstudyandresearch;mercialuse局域网组网技术实训作业实训目的:1、利用网络安全设备(防火墙系统、入侵检测系统、VPN系统)独立组建具有网络安全保护屏障的网络。2、利用所学知识对防火墙的工作原理、入侵检测系统的工作原理、VPN技术的工作原理进行分析,并根据不同的产品说明其优缺点,学会利用各种安全产品对网络进行管理。3、了解网络不安全因素,网络黑客的攻击形式和方法。4、根据不同层次的网络设计高效低耗的安全网络。5、掌握网络安全产品的发展方向。二、实训要求和内容:1、设计一个基于屏蔽子网防火墙系统,画出其拓朴结构,要求该系统设计成为包过滤和代理两种不同机制防火墙系统,工作稳定可靠,支持多种网络服务的深层过滤,还具有一定的可扩展性。2、设计一个基于DIDS入侵略检测系统,画出其拓扑结构,并说明其工作原理和将来的发展方向。3、设计基于SSLVPN技术的网络安全系统,画出其拓扑结构,并说明其工作原理和将来的发展方向。三、实训步骤:a)(屏蔽子网的防火墙系统)之间建立一个被隔离的子网,分开。两个包过滤路由器放在子网的两端,在子网内构成一个“缓冲地带”(如图)数据流,数据流,均可访问屏蔽子网,但禁止它们穿过屏蔽子网通信。可根据需要在屏蔽子网中安装堡垒主机,为内部网络和外部网络的互相访问提供代理服务,但是来自两网络的访问都必须通过两个包过滤路由器的检查。公开的服务器,服务器也可安装在屏蔽子网内,这样无论是外部用户,还是内部用户都可访问。这种结构的防火墙安全性能高,具有很强的抗攻击能力,但需要的设备多,造价高。、,因为在定义了"中立区"(DMZ,DemilitarizedZone)网络后,,信息服务器,Modem组,。优点:1、内联网络实现了与外联网络的隔离,内部结构无法探测,外联网络只能知道到外部路由器和非军事区的存在,而不知道内部路由器的存在,也就无法探测到内部路由器后面的网络了,这一点对于防止入侵者知道内联网络拓扑结构和主机地址分配情况及活动情况尤为重要;2、内联网络安全防护严密。入侵者必须攻破外部路由器、堡垒主机和内部路由器之后才能进入内联网络;3、由于使用了内部路由器和外部路由器,所以降低了堡垒主机的负载量,减轻了堡垒主机的压力,增强了堡垒主机的可靠性与安全性;4、非军事区的划分将用户网络的信息流量明确地分成不同的等级,通过内部路由器的隔离作用,机密信息流受到严密保护,减少了信息泄露现象的发生。当然,防火墙本身也有其局限性,如不能防范绕过防火墙的入侵,像一般的防火墙不能防止受到病毒感染的软件或文件的传输;难以避免来自内部的攻击等等。总之,防火墙只是一种整体安全防范策略的一部分,仅有防火墙是不够的,安全策略还必须包括全面的安全准则,即网络访问、本地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护等有关的安全策略。b)(网络入侵检测系统)网络入侵检测系统的核心部分是数据的分析与检测,即通过对网络主机、状态信息的实时综合分析与检测,判断网络或系统是否受到攻击。以往的检测系统大都采用集中式