《校园网络安全分析及安全解决方案.pdf》由会员分享,可在线阅读,更多相关《校园网络安全分析及安全解决方案.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、应用技术研究校校园园网网网网络络安安全全分分析析及及安安全全解解决决方方案案杨云杨云 姬姬欣欣 文章文章摘摘要要 该文详细分析了我院校园网的安全问题并提出了相应的对策。在分析本校校园网原有的网络安全措施的基础上,针对校园网在运行中所遇到的实际问题,对电子邮件过滤检测,入侵检测,病毒检测,防火墙设置等多方面提出了综合性安全解决方案。关关 键键 字字 网络安全,校园网,入侵检测,病毒检测,防火墙一、网一、网络安全的现状分析络安全的现状分析我院校园网由网络中 心、主干网和各楼内的局域网组成。主干网 以千兆以太网为主,光纤覆盖整个校区。部门级 交换机根据下连的计算机数量和网络应用的级别,与中心交换机实
2、现千兆、百兆连接。校园网的主干网中采 用的是子网过滤结构的双路由器的结构,采 用 Intel Express 9300 路由器作为外部路由器。该路由器直接连接 Linux 服务器,经 Linux 的包过滤防火墙后连接校园网主交换机 Intel Express 550T Routing Switch(具有路由功 能,作为 校园网的内部子网间的路由器)。Linux 服务器执行堡垒主机的功能,采用RedHat Linux 7.2 版作为操作系统。该系统装有单一集成的可管理的软件包,提供各种服务,包括入侵保护、性能加速、安全的VPN能力以及对外Internet 访问的全面控制等。由该主机的包过滤防火墙
3、保护内部网络免受来自Internet的侵害。过滤范围包括内部网络和堡垒主机之间的数据包,以防堡垒主机被攻占。同时,在该堡垒主机上,运行多种服务器,如:电子邮件服务器、web服务器、FTP 服务器等等。Intel Express 550T Routing Switch 实现内部路由的功能,有效地阻断内部子网间的广播包发送,最大限度地减轻了网络负担。二、校二、校园网络中不安全的主要问园网络中不安全的主要问题题现阶段,我院校园网 的主题架构已经成型,然而随着对网络服务 要求的进一步提高,我们还要全面地解决在运行 中所出现的问题,从而提供更加完善的服务。作者简介:杨云男信息工程系副教授1.1.IPIP
4、 盗用问盗用问题题校园网内部连接有几 千台电脑,一部分电脑通过正常的申请途径 申请得到合法的 IP 地址,另一部分则不然。当某 些没有 IP 地址的用户,冒用他人的合法 IP 地址时,就会造成网络内部 地址的冲突,严重阻碍了合法用户的正常使用。2.2.防防火墙攻击火墙攻击防火墙系统相关技术 的发展已经比较成熟,防火墙系统很坚固,但这只是对于对外的防护而已,它对于内部的防 护则几乎不起什么作用。然而不幸的是,一般情 况下有 70%的攻击是来自局域网的内部人员。所以 怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。3.3.EmailEmail 问问题题由于用户安全观念的 淡薄以及网上
5、某些人的别有用心,会给校园 网的 Email 用户发一些不良内容的信件,有时还 会携带各种各样的病毒。因此,怎样防止有问题 的信件进入校园网的 Email系统也是一个待解决的问题。4.4.各各种服务器和网络设备的扫描和攻击种服务器和网络设备的扫描和攻击有时会有一些用户对 校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。5.5.非非法法 URLURL 的的访问问题访问问题对于一些反动的或不健康的站点,应当禁止校园网用户通过校园网去访问。6.6.病病毒防护毒防护互联网迅猛发展使得网络运营成为社会时尚,但同时也为病毒感染和快速传播提供
6、了途径。病 毒从网络之间传递,并在计算机没有任何防护措姬欣男网管中心-52-应用技术研究施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。近阶段泛滥的“尼姆达病毒”就是典型的例子。因此,如何让校园网更安全,防止网络遭受病毒的侵袭,II”的 NT 服务器时,则会发现目标端口为80(HTTP)的 TCP 协议通讯量极高。(2 2)基基于主机的入侵检测于主机的入侵检测该项检测主要通过防 火墙日志以及各种服务已成为校园网迫切需要解决的问题。三、校三、校园网安全的解决方法园网安全的解决方法现阶段,由于我院校 园网已有较完善的网络系统架构,因此,在 保证现有网络工作顺通的同
7、时,再进行开发和完 善是解决校园网网络安全的最佳选择。现提出以下解决方法。1.1.采采用入侵检测系统用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网中采用入侵检测技术,最好采用混合入侵检测。需要从两方面来着手基于网络的入侵检测和基于主机的入侵检测。(1 1)基基于网络的入侵检测于网络的入侵检测该检测主要通过定期使用专用的网络监视软件分析网络数据流量、主要数据内
8、容来完成,例如使用 Intel Express 550T Routing Switch 所带的专用管理用具 Intel Device View 对交换机、端口间的每秒输出包、输入包、广播包的数量进行统计,若发现网络中有某台机器的流量超过正常值,则表示该主机可能感染了某种病毒导致不停地向网络中发出各种进攻。前不久出现的“红色代码 II”就可以用此方法进行入侵检测。感染了此病毒的主机将会建立300个线程不定时随机生成 IP 地址作为攻击目标发出攻击,这样的主机在网络流量监视中是显而易见的。另外,当得知某端口的主机网络流量出现异常时,也可使用专用的网络数据监视器对其发出和接受的数据进行具体监视,例如
9、使用微软SMS(SystemManagerServer)所带的网络监视器利用SNMP 协议对某端口出入数据进行详细分析,可统计出该主机具体是哪种协议、哪个端口所发的数据最多,以及具体的数据内容。例如监视某台感染有“红色代码软件的日志统计来完 成,例如在日志中统计出某时间段服务器接收到 来自同一地址的嗅包数量超过一定数值,那么就 该考虑是否要在防火墙中加入一条拒绝规则了。又如在 FTP 服务器中发现某时段某用户登录失败 次数超过 100 次以上,这就表示极可能有黑客在 用穷举法试图破译某 FTP 用户的密码。2.2.WebWeb、EmailEmail、BBSBBS的安全监测的安全监测系统系统在校
10、园网的 WWW 服务器、Email 服务器等各种服务器中使用网络安 全监测系统,实时跟踪、监视网络,截获 Internet 网上传输的内容,并将其还原成完整的 WWW、Email、FTP、Telnet 应用的内容,建立保存相应 记录的数据库。及时发现在网络上传输的非法内 容,及时向上级安全网络中心报告,采取措施。并利用专门的日志分析工具对保存在数据库中的 访问日志进行统计并绘制统计图,可以对访问地 址和流量进行分析,对于明显的攻击便可一目了然了。3.3.在在 LinuxLinux 下配置防下配置防火火墙墙防火墙是一种行之有效且应用广泛的网络安 全机制,能够有效防止 Internet 上的不安全
11、因素 蔓延到局域网内部。防火墙从原理上可以分为两 大类:包过滤(PacketFiltering)型和代理服务(ProxyService)型。根据我校具体情况,采 用如下防火墙配置方案:(1 1)利利用用 LinuxLinux 核心中的核心中的 IPIP 链链(IP(IPChains)Chains)规则建规则建立包过滤防火墙。立包过滤防火墙。规则具体如下:#先用-F 选项清除掉所有规则#假设服务器内网 IP 为 192.168.0.22,公有 IP 为 210.77.217.82。将服务器在内网的地址除开放DNS、POP3、Route、FTP、Telnet、Web、SMTP 外其他服务全部封死#
12、服务器对外仅提供POP3、FTP、Web、SMTP服务53应用技术研究使用 IP 链规则建立防火墙的主要原因并不 是因为它是免费软件,而是因为 IP 链规则是一套直接编译在 Linux 核心中的防火墙,其运行效率是其他外挂在操作系统 上的软件防火墙所无法比拟的,因此假若希望在 流量较大网络接口安设防火墙,而又不想购买昂 贵的硬件防火墙时,采用 IP该站点的主页以及页面中的图像从Internet下载到本机,而其它几台访问时也要重复相同的操作,即从 Internet 下载了同样的内容,这样的重复劳动自然会浪费相当多的带宽,而使用具有Web缓 存(Webcache)的代理服务器便可解决此问题。在 第
13、一台主机访问该站点时代理服务软件将此网页 的内链规则建立包过滤防火墙是一个不错的选择。(2 2)利利用用 IPIP 伪伪装装(IPIPMasquerade)Masquerade)实现实现内网内网微机透微机透明访问明访问 InternetInternet。IP 伪装是 NAT(NetworkAddressTranslation 网络地址转换)的一种方式,即当内网的机器需要访问 Internet时,具有 IP 伪装功能的服务器会将内部网络使用的非公有IP伪装成同一个公有 IP 访问 Internet,这就可以使内网用户可以透明地访问 Internet而不用安装任何客户端软件,减少了许多不必要的麻烦
14、。使用该方式可使大部分软件直接访问Internet,例如使用SMTP、IMAP、POP 协议的邮件客户端软件、使用UDP 协议的 ICQ、OICQ、RealPlayer、WindowsMediaPlayer 软件等,而且用户使用内网任何一台微机都可以直接用“Ping”命令测试与Internet 的连接,网络测试十分方便。IP伪装是Linux 的一项网络功能,具体实现方法如下:#启用 IP 转发#建立NAT规则,令局域网中地址为192.168.*.*且其目标地址不在192.168.*.*范围内的机器伪装为本机 Internet 有效 IP 地址后进行转发。但该方式并不一定可 以使所有连接 Int
15、ernet的软件成功使用,TCP/IP 协议的天生缺陷使得极少部分软件无法使用 该方式访问 Internet,例如当内部网络中某台微 机希望连接 Internet 上的一台 FTP 服务器,而对 方的 FTP 服务器禁用了或根本不支持被动方式连 接,那么连接后就无法上传或下载任何数据,此 时则需要使用其他方式连接了。例如后面提到的的 Socks代理。4.4.利用利用 SquidSquid 代理服务与代理服务与防火墙规则结合构防火墙规则结合构筑透明筑透明代理代理使用 IP 链规则可以使内网的主机不需要做 任何设置就可以访问 Web,但其缺点就是当内网数台主机先后访问 Internet上某一站点时
16、,第一台将容缓存到本地硬盘,而后其他主机再次访问 该站时,代理服务器只是检测该网页是否有更新,若无更新便直接将本机的缓存传送过去,这样既 可以节省带宽又有效地提高了上网速度。例如 Linux 上的Squid 代理服务就是一套高效快速的代 理服务软件。但麻烦的就是必须在每台机器上设 置 Web 代理服务器,此时可以简单地使用IP 链规 则来省略这一操作,即在规则中加入一条转递规 则,将访问任何地址 80(HTTP)端口的封装包都强 制转发到 Linux服务器上安装的代理服务器侦听 端口。即:#假设 Squid 代理服务的侦听端口为3128/sbin/ipchains-A input-i eth0
17、-d 0/0 80-p TCP-j REDIRECT 3128/sbin/ipchains-A input-i eth0-d 0/0 3128-p TCP-j REDIRECT这样使内网任何用户访问Internet前都令其通过代理服务器后再访问,不仅有效地加快了上网速度,又可以利用 Squid代理服务过滤掉内网无效访问和攻击,实现了透明代理。5.5.对于对于无法使用无法使用 IPIP 伪装方伪装方式式访问访问InternetInternet的特殊的特殊协议与软件采用协议与软件采用SocksSocks 代理服代理服务务。Socks 是一组是用客户端/服务器端结构的Proxy 协议。Socks 的
18、软件组成包含 Socks 服务器程序及 Socks 客户端应用程序库。用户的应用程序只要支持 Socks 协议就能通过Socks代理服务器连接到防火墙外的网络。6.6.漏漏洞扫描系统洞扫描系统解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆 弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏 洞、做出风险评估,显然是不现实的。解决的方 案是,寻找一种能查找网络安全漏洞、评估并提 出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最54应用技术研究大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对
19、网络模拟攻击从而暴露出网络的漏洞。7.7.IPIP 盗用问盗用问题题的解的解决决在路由器上捆绑 IP 和 MAC 地址。当某个 IP 通过路由器访问 Internet 时,路由器要检查发出 这个 IP 广播包的工作站的MAC 是否与路由 器上的对于校园网外部的入侵可以通过安装防火墙 来解决,但是防火墙对于校园网内部的侵袭则无能 为力。在这种情况下,可以采 用这样的方法:为校园 网内部的各个子网做一个具有一定功能的审计 文 件,为管理人员分析 内部网络的运作状态提供依据。总之,通过以上方法,以及校园网中的原有 网络安全措施,基本上可以建立一套相对完整的 网络MAC 地址表相符,如果相符就放行。否则不 允许通过路由器,同时给发 出这个 IP 广播包的工作站返回一个警告信息。8.8.利利用网络监听维护子网系统安全用网络监听维护子网系统安全安全系统。不过,网络安全是一个系统的工 程,不能仅仅依靠防火墙等单个的系统,而需要 仔细考虑系统的安全需求,并将各种安全技术,如密码技术等,结合在一起,才能生成一个高效、通用、安全的网络系统。55