来源:蜘蛛抓取(WebSpider)
时间:2017-12-07 02:53
标签:
数据处理方式一般分为
当前位置: >>
校园网络安全管理及体系结构的研究
华东师范大学 硕士学位论文 校园网络安全管理及体系结构的研究 姓名:张超 申请学位级别:硕士 专业:软件工程 指导教师:苏兵
摘要随着互联网的迅速普及和国内各高校网络建设的不断发展,各大中专院校及中小学相继建成或正在建设校园网。校园网的建成,使学校实现了管理网络化和教学手段 现代化,这对于提高学校的管理水平和教学质量具有十分重要的意义。但随着黑客的 入侵增多及网络病毒的泛滥,校园网的安全已成为不容忽视的问题,数据的安全性和 学校自身的利益受到了严重的威胁。因此,能否保证计算机和网络系统的安全和正常 运行便成为校园网络管理所面临的一个重要的问题。 本文系统地介绍了网络安全的概念、OSI及Intemet的安全体系结构,并讨论了 计算机网络面临的各种安全威胁,研究了防火墙、入侵检测系统、虚拟专用网、数据 加密与认证等网络安全技术和策略的原理及其实现手段,并对网络安全分析与评估的 原理及相关技术进行了深入的研究。 综合应用上述研究成果,本文针对江苏省常州建设高等职业技术学校校园网的安 全系统的需求,进行了深入的研究与开发,按照“建立的网络安全应该是动态防护体 系,是动态加静态的防御,是被动加主动的防御甚至攻击,是管理加技术"的完整安 全观念,提出了一个能覆盖整个校园网络的全方位、各个层次、多种防御手段的网络 安全实现模型,构建了江苏省常州建设高等职业技术学校校园网的安全系统体系结 构,并完成了其中的全部设计。本安全系统经初步测试和试运行的结果,表明了上述 研发成果的有效性和可行性。【关键词】网络安全威胁与攻击防火墙入侵检测虚拟专用网【论文类型】应用研究�Abstract Withthe popularization of the Internet and the continuous development of network schools have builtor aleconstruction atcolleges,majorCollegesandunder constructionaonCampusonnetwork.Thebuilding of campusnetworkenables schools to achievemanagementto improveIntemet and modernization of teaching methods,which is greatly significantschoolmanagementand teaching quality.However,as more hackers’invasionandnetworkandviruses,thecampusarenetworkfacingasecurity has become heavyaserious problem.And data securityschool intereststhreat.Therefore,itandis important that whether the securityonand normal operation of computernetworksystemscampus networkmanagementareIn this paper,the concept of network securityand security structuresof OSIandInternet isintroduced,andvarious threats confronting the computernetworkale also discussed.Itastudies the principles of detection principles dug into.andthe approaches to their actualization of and data encryptfirewall,IntrusionSalTlesystem(IDS).VPN andnetworktechnology.At thetime,therelated technology ofnetworksecurityanalysis andassessment ale intensivelyComputer network system should bestatic passiveasasystem ofdynamicdefense,bothdynamic andandwellonasactive,andaevenoffensive,combined wimanmanagementtechnology.Based model ofsuchconcept,the author has developedall―round,multi-levelcoversnetworksecuritysystem谢mdifferent defense capabilities,whichathe wholecampus.Thecomputerdesign ofandconstruction of suchmodel has been completed for thecampusnetworkJiangsuChangzhou Higher Vocational School of Construction after theauthor’S thorough study of thedemandof thecampuscomputernetworksecurity system.After initial testing and operation,the model proves efficientandfeasible.[key words]network security;threats anattacks;firewall;intrusion detection system;virtual privatenetwork[Paper type]applicationstudy�学位论文独创性声明本人所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研究 成果。据我所知,除文中已经注明引用的内容外,本论文不包含其他个人已经 发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和集体,均已在 文中作了明确说明并表示谢意。作者签名:日期:竺:Z.丛:么:学位论文使用授权声明本人完全了解华东师范大学有关保留、使用学位论文的规定,学校有权保 留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版。有权 将学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆被查阅。有 权将学位论文的内容编入有关数据库进行检索。有权将学位论文的标题和摘要 汇编出版。保密的学位论文在解密后适用本规定。学位论文作者签名:多燧ElJlll:竺皿导师签名荡、易、日期:型户止�校园网络安全管理及体系结构的研究第1章绪论1.1网络安全防范技术发展历史与现状分析1.1.1互联网的发展及安全问题随着互联网技术的广泛应用,计算机网络安全问题变得日益复杂和突出。 网络的资源共享、信息交换和分布处理提供的良好的环境,使得计算机网络深 入到社会生活的各个方面,逐步成为国家和政府机构运转的命脉和社会生活的 支柱。一方面提高了工作效率,但另一方面也带来了网络的脆弱性和复杂性, 容易受到入侵者的攻击。众所周知,因特网是世界上最大的计算机网络,它连 接了全球不计其数的网络与电脑。同时因特网也是世界上最开放的系统,任何 地方的电脑,只要遵守共同的协议即可加入其中【lJ。由于因特网网络协议的开 放性,系统的通用性,无政府的管理状态,使得因特网在极大地传播信息的同 时,也面临着不可预测的威胁和攻击。网络技术越发展,对网络进攻的手段就 越巧妙,越多样性。一方面由于计算机网络的开放性和信息共享促进了网络的 飞速发展,另一方面也正是这种开放性以及计算机本身安全的脆弱性,导致了 网络安全方面的诸多漏洞【2J。因此,网络本身的开放性、跨国界、无主管、不 设防、无法律约束等特性,在给人们带来巨大便利的同时,也带来了一些不容 忽视的问题,网络安全就是其中最为显著的问题之一。1.1.2国内现状 我国的网络安全技术虽然相对滞后,但网络攻击技术却已经和国际“接 轨”。大量的网络非法入侵改变了中国网络安全犯罪“一片空白"的历史。据 公安部的资料,利用计算机网络进行的各类违法行为在中国每年以约30%的速 度递增。网络的攻击方法已超过计算机病毒的种类,总数达数千种。目前已发 现的网络攻击案件约占总数的15%,多数事件由于没有造成严重危害或商家不 愿透露而未曝光。有媒介报道,中国95%的与Intemet相连的网络管理中心都 遭到过境内外的网络攻击或侵入,其中银行、金融和证券机构是攻击的重点。1�校闶网络安全管理及体系结构的研究在中国,针对银行、证券等金融领域的网络犯罪案件,涉案金额已高达数亿元, 针对其他行业的网络犯罪案件也时有发生。1.2校园网建设现状及目前面I临的主要问题近几年,随着互联网的高速发展,全国各高校都普遍建立了自己的校园网,通过中国教育科研网(CEI矾ET)成为互联网的一员。校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。 与其它网络一样,校园网也同样面临着各种各样的网络安全问题。在高校 网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技 术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增 长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经 转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化 建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如 何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可 回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的 重视。 高校校园网建设中面临的问题有如下几个方面: 1.网络管理维护困难。课堂教学逐步走向网络化,学生在线学习、娱乐时 间增加。校园网网络大、工作多、故障问题定位复杂,网络的安全性差、管理难 度大。 2.网络业务容量及资源调配困难。如何有效合理对教育网络带宽的调度和 分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议、EPhone等等应用。3.网络安全、统计等运营问题。缺乏用户认证、授权、计费体系,安全认 证以IP地址为主,存在有意和无意的攻击。1.3论文的主要工作本论文对校园网络安全管理及体系结构进行了深入地、系统地研究与设计, 并对校园网安全体系结构进行了测试。2�校园网络安全管理及体系结构的研究全文共分六章节,具体内容如下: 第l章绪论主要介绍本课题的研究背景,网络安全防范技术发展历史与现状分析;校园 网建设现状及目前面临的主要问题。 第2章网络安全简述 本章节主要介绍了网络安全体系结构及常见的网络攻击行为。 第3章校园网络安全技术及策略 本章节主要介绍防火墙技术、入侵检测技术、虚拟专用网(VPN)、数据加 密技术、访问控制等网络安全技术;校园网安全策略及设计原则等。 第4章江苏省常州建设高等职业技术学校校园网络安全体系的研究及设计 本章节主要在前几章理论分析的基础上,从江苏省常州建设高等职业技术学 校校园网络安全实际需求出发,规划出江苏省常州建设高等职业技术学校校园网 络安全体系方案并予以实施。 第5章校园网安全体系结构的性能测试分析 本章节从网络中心、学生机房系统、办公子网系统、图书馆网络系统等四个 主要系统出发,对建立的学校校园网络安全体系进行了测试。第6章结论与展望对本文进行总结,并对网络安全技术的发展进行展望。�校园网络安全管理及体系结构的研究第2章网络安全简述2.1网络安全概述随着计算机的普及,计算机网络功能日渐强大,对社会的各行各业产生巨大 深远影响的同时,其安全问题也越来越突出。由于网络的互联共享,来自网络内 部和外部不怀好意的计算机专业人士和黑客都有可能对其实施攻击。几乎每天都 可以听到黑客对某某网络信息资源进行入侵、篡改和破坏的报道,所以分析和研 究黑客入侵技术,研究安全漏洞并修补之,增强网络和信息的安全性能,构建一 个安全的计算机网络系统是非常重要的。2.1.1网络安全的定义 国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立 和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄漏【3】。因此,可将网络安全定义为网络系统的硬件、 软件和数据受到保护,通过建立网络安全管理保护措施确保通过网络传输、存储 的数据不会发生增加、修改、丢失和泄漏等,保证系统连续可靠地运行,网络服务不被中断。总之,网络安全可以定义为通过各种计算机、网络、密码技术和信息安全技 术、网络控制技术,保护网络中传输、交换、处理和存储的信息的机密性、完整 性、可用性、真实性、抗否认性和可控性。2.1.2研究的主要内容网络安全覆盖范围较广,主要涉及到计算机科学、网络技术、通信技术、密 码技术、信息安全技术等多个学科。它不仅是技术问题更主要的是管理问题。这 意味着要制定一个有效的安全管理策略,有正确的管理委员会及相关组织机构。 网络安全管理主要涉及: 1.需要保护什么?4�校园网络安全管理及体系结构的研究2.为什么需要保护? 3.怎样保护?4.何时保护? 5.在哪里保护? 1和2体现管理者的决策,3到5则主要涉及实现技术。网络安全与使用方 便之间存在矛盾,强调安全,使用方便将受到影响,强调使用方便,安全性能会 受到减弱,这也是需要管理者权衡的事[41。 从网络安全的定义可以看出,研究网络安全所要达到的目标就是从下面六个 方面来保护信息: 机密性:即保证消息不会被非法泄露扩散,防止信息泄漏给非授权的用户、 实体或过程,或供其利用; 完整性:即保证消息的来源、去向、内容真实无误。保证网络信息在存储或 传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失;可用性:即可被授权实体访问并能按需求使用,主要涉及到信息资源服务功能和性能的可靠性;真实性:保证信息的来源、内容,实体和用户的身份是真实、可信的。实现 真实性主要采用以密码学为基础的内容鉴别、实体鉴别和身份鉴别等各种鉴别手 段; 不可否认性:即保证消息的发送和接收者无法否认自己所做过的操作行为, 通常是通过数字签名来提供抗否认的服务; 可控性:即保证对信息的传播及内容具有控制能力。 这六个方面是网络安全所研究的最核心的内容,当网络中各资源都在这六方 面提供了针对威胁的充分保护时,就可以认为网络安全的目标实现了【51。2.2网络安全体系结构2.2.1OSI安全体系结构国际标准化组织(ISO)是致力于国际标准的、自愿和非赢利的专门机构。5�校园网络安全管理及体系结构的研究ISO推出了开放系统互联模型,简称OSI模型。开放是指系统是按OSI标准建 立的,能与其他也按OSI标准建立的系统互相连接。OSI模型共有七层,其分层 原则为根据不同层次的抽象的分层,每层都可以实现一个独立的功能,每层功能 的制定都有利于明确网络协议的国际标准,层次明确避免各层的功能混乱。OSI 模型的七层每一层使用下层提供的服务,并向其上一层提供服务。OSI参考模型 如图2.1所示。图2.1 OSI开放系统参考模型OSI参考模型是按一定的原则定义和划层次的,定义和划分层次的原则如 下:(1)划分层次要根据理论上需要的不同等级划分;(2)层次的划分要便于标准化; (3)各层的功能要尽可能的具有相对独立性: (4)相类似的功能应尽可能放在同一层内; (5)各层的划分要便于层与层之间的衔接;(6)各界面的交互要尽量的少;(7)根据需要,在同一层内可以再形成若干个子层次; (8)扩充某一层次的功能或协议,不能影响整体模型的主体结构。 1.OSI安全服务 为了适应网络技术的发展,国际标准化组织ISO的计算机专业委员会根据6�校园网络安全管理及体系结构的研究开放系统互联参考模型OSI制定了一个网络安全体系结构,包括安全服务和安 全机制。该模型主要解决对网络信息系统中的安全与保密问题【6】。 针对网络系统受到的威胁,OSI安全体系结构要求的安全服务是: (1)对等实体鉴别服务。这种服务是在两个开放系统同等层中的实体建立 连接和数据传送期间,对连接实体身份进行鉴别的一种服务。这种服务防止假冒 或重放以前的连接,也即防止伪造连接初始化这种类型的攻击。这种鉴别服务可以是单向的也可以是双向的。(2)访问控制服务。这种服务可以防止未经授权的用户非法使用系统资源。 这种服务不仅可以提供给单个用户,也可以提供给封闭的用户组中的所有用户。 (3)数据保密服务。这种服务的目的是保护网络中各系统之间交换的数据, 防止因数据被截获而造成的泄密。包括以下内容:①连接保密;②无连接保密; ③选择字段保密;④信息流安全。 (4)数据完整性服务。这种服务用来防止非法实体(用户)的主动攻击(如 对正在交换的数据进行修改、插入,使数据延时以及丢失数据等),以保证信宿 收到的信息与信源发送的信息完全一致。 (5)禁止否认服务。这种服务用来防止信源发送数据后否认自己发送过数 据,或信宿接收数据后否认自己收到过数据。该服务由以下两种服务组成:①不 得否认发送;②不得否认接收。它们实际是一种数字签名服务。 2.OSI安全机制 为了实现上述各种OSI安全服务,OSI建立了以下8种安全机制:(1)加密 机制;(2)数字签名机制;(3)访问控制机制;(4)数据完整性机制;(5)交换 鉴别机制;(6)业务流量填充机制;(7)路由控制机制;(8)公证机制。2.2.2TCP/IP安全体系结构TCP/IP的核心思想是把千差万别的下两层(网络层和数据链路层)协议的 物理网络,在传输层/网络层建立一个统一的虚拟的“逻辑网络",屏蔽或隔离所 有物理网络的硬件差异。TCP/IP参考模型如图2.2所示。7�校同网络安全管理及体系结构的研究应用层 C进程) 健输层 《下cIP相UDP’分组 报文流娜璐《使用UDP蟪址)IP摊报较嗍接口C使用物理}蠹址) 图2.2TCPhP分层模型Intemet是基于TCP/IP协议,所以Intemet的安全主要由TCP/IP协议的安全 性决定。TCP/IP的层次不同提供的安全性也不同,例如,在网络层提供虚拟私 用网络,在传输层提供安全套接服务。下面将分别介绍TCP/IP不同层次的安全 性和提高各层安全性的方法[71。 1.网际层的安全性 网际层解决的是计算机到计算机间的通信问题,它包括3个方面的功能: (1)处理来自传输层的分组发送请求,收到请求后将分组装入IP数据报, 填充报头,选择路径,然后将数据发往适当的网络接口。(2)处理数据报。(3)处理网络控制报文协议,即处理路径、流量控制和阻塞等。 Intemet工程特遣组(IETF)己经特许Intemet协议安全协议(IPSEC)工作 组对IP安全协议(IPSP)和对应的Intemet密钥管理协议(IKMP)进行标准化 工作。IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。 该体制不仅能在目前通行的IP(IPV4)下工作,也能在IP的新版本IPv6下工作。 该体制应该是与算法无关的。此外,该体制必须能实行多种安全政策,但要避免 给不使用该体制的人造成不利影响。按照这些要求,IPSEC工作组制订了一个规 范:认证头(Authentication Header,AH)和封装安全有效负荷(EncapsulatingSecurityPayload,ESP)。简言之,AH提供IP包的真实性和完整性,ESP提供机要内容。网际层是非常适合提供基于主机对主机的安全服务的。相应的安全协议可以8�校园网络安全管理及体系结构的研究用来在Intemet上建立安全的IP通道和虚拟私有网。例如,利用它对IP包的加密和解密功能,可以简捷地强化防火墙系统的防卫能力。事实上,许多厂商已经 这样做了。RSA数据安全公司已经发起了一个倡议,来推进多家防火墙和TCP/IP 软件厂商联合开发虚拟私有网。该倡议被称为S.WAN(安全广域网)倡议。其 目标是制订和推荐网际层的安全协议标准。 2.传输层的安全性 传输层解决的是计算机程序到计算机程序之间的通信问题。计算机程序到计 算机程序之间的通信就是通常所说的“端到端"的通信。传输层对信息流具有调节作用,提供可靠性传输,确保数据到达无误。在Intemet应用编程序中通常使用广义的进程间通信(IPC)机制来与不同 层次的安全协议打交道。比较流行的两个IPC编程界面是BSD Sockets和传输层 界面(TLI),在Unix系统V命令里可以找到。在Intemet中提供安全服务的首 先一个想法便是强化它的IPC界面,如BSD Sockets等,具体做法包括双端实体 的认证,数据加密密钥的交换等。Netscape通信公司遵循了这个思路,制定了建 立在可靠的传输服务(如TCP/IP所提供)基础上的安全套接层协议(SSL)。SSL 版本3(SSLv3)于1995年12月制定。它主要包含以下两个协议:SSL记录协议与SSL握手协议。Intemet层安全机制的主要优点是它的透明性,即安全服务的提供不要求应 用层做任何改变。这对传输层来说是做不到的。原则上,任何TCP/IP应用,只 要应用传输层安全协议,比如说SSL或PCT,就必定要进行若干修改以增加相 应的功能,并使用(稍微)不同的IPC界面。于是,传输层安全机制的主要缺点 就是要对传输层IPC界面和应用程序两端都进行修改。可是,比起Intemet层和 应用层的安全机制来,这里的修改还是相当小的。同网络层安全机制相比,传输 层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。3.应用层的安全性 应用层提供一组常用的应用程序给用户。在应用层,用户调节访问网络的应 用程序,应用程序与传输层协议相配合,发送或接收数据。每个应用程序都有自 己的数据形式,它可以是一系列报文或字节流,但不管采用哪种形式,都要将数9�校园网络安全管理及体系结构的研究据传送给传输层以便交换。 传输层的安全协议允许为主机(进程)之间的数据通道增加安全属性。本质 上,这意味着真正的(或许再加上机密的)数据通道还是建立在主机(或进程) 之间,但却不可能区分在同一通道上传输的一个具体文件的安全性要求。应用层 的安全服务实际上是最灵活的处理单个文件安全性的手段。例如一个电子邮件系 统可能需要对要发出的信件的个别段落实施数据签名。较低层的协议提供的安全 功能一般不会知道任何要发出的信件的段落结构,从而不可能知道该对哪一部分 进行签名。只有应用层是唯一能够提供这种安全服务的层次。2.3常见的网络攻击不断研究和发展新的信息安全机制和工程实践,为战胜计算机网络安全威胁 付出了艰巨的努力。各种攻击手段不断地涌现出新的变种,这样,与以前的攻击手段相比较更加智能化。攻击目标直指因特网基础协议和操作系统层浏引。网络攻击一般都要经历四个阶段,它们是:收集情报,实施攻击,攻击成功 后的处理和清除痕迹。在收集情报阶段一个很重要的环节就是“扫描"。通过扫 描可以在已知一个网络IP地址段的情况下,确定该网络的拓扑结构和存在哪些 设备与系统,最常用的扫描手段就是Ping扫描。在掌握了目标网络详细资料的 情况下,黑客会向目标网络或网络内的服务器或主机发起攻击。下面介绍几种目 前常见的网络攻击行为。2.3.1DOS攻击和DDOS攻击1.DOS(DenialofService)攻击拒绝服务攻击是目前为人所熟知的一种攻击,之所以称之为拒绝服务攻击是 因为其攻击造成的结果是目标系统由于资源的耗尽或遭受到某种程度的破坏而 不能继续提供某种类型的服务。拒绝服务攻击从根本上可以分为两种类型:一是 利用操作系统或协议的一些脆弱性使系统崩溃或瘫痪,使目标系统重起,以至于 不能够提供相应的服务;二是资源耗尽的攻击,通过对目标系统发送大量的无效 的数据包耗尽系统资源,以至于系统不能够响应正常的请求,从而实现拒绝服务 攻击。10�校园网络安全管理及体系结构的研究对于第一种类型,DOS攻击技术有以下几种[91: (1)超长数据包。根据RFC791可以知道,最大的口分组长度可以达到 65535个字节,其中IP头的长度在不指定IP选项的情况下一般为20个字节。 大多数操作系统都没有处理超出RFC791中指定的65535字节大小的IP分组的 能力。攻击者通过发送Pingof Death数据包,由于数据包长度超过了TCP/IP协议规定的65535个字节从而导致某些操作系统发生崩溃。 (2)数据包片段重叠。这种攻击的特点是迫使目标系统处理彼此有重叠的 TCP/IP数据包片段,从而导致一些操作系统发生崩溃。(3)“超级碎片”。TCMP协议允许信源按照他自己的想法把数据包拆分成一些片段,如果信源把每个数据包都拆分成非常多的片段,信宿将不得不进行大 量的计算才能重组数据包,从而达到耗用资源的目的。 对于第二种类型,常见的攻击手段有19】:(1)TCPSYN攻击。TCP SYN攻击是迄今为止最为成功的攻击手段之一,它利用了TCP/IPV4协议的本质缺陷实现了攻击目的。TCP连接需要三次握手如 图2.3所示。正常情况下客户机发出SYN请求后,如果收到SYN/ACK便立刻 发出ACK数据包,从而建立连接。攻击者利用这一过程伪造不存在的IP地址向 服务器发送SYN请求,服务器在收到SYN请求后发出SYN/ACK相应,但是由 于目标机不存在,因此它将收不到ACK或RST回应,由于每个系统会给一个潜 在的连接尚未完全建立时分配一定的资源,并且只有当潜在连接超过设置的定时 器时间时才会释放该资源,因此在这种情况下,攻击者发送多个SYN请求就可 以完全耗尽某个端口的资源。如今SYN是大范围DOS攻击的主要能力消耗机制。曰图2.3 TCP三次握手过程(2)UDP洪水。常见的UDP攻击有Fraggle。Fraggle是Smurf的一个变 体,Smurf利用定向广播,向放大网络的广播地址发送伪造的ICMP回应请求数 据包,看起来好像是受害者发起了请求,由于这些回应请求数据包是发送给广播 地址的,因此放大网络上的所有系统会对请求做出响应,从而产生巨大的网络流�校园网络安全管理及体系结构的研究量,而这些流量足以耗尽受害者网络的带宽。Fraggle用UDP包代替了ICMP包, 实现放大攻击。2.DDoS(Distributed Denial of Service)攻击DDOS(分布式拒绝服务)攻击是由大量的攻击机器对受害机器进行的攻击。 实际上,这此机器已经受到了安全威胁并被迫帮助发起不同类型的攻击――通常 本质是Dos攻击。 2000年2月7日的那个星期发生的DDOS攻击是DDOS攻击的一个很好的 示例。这些攻击使Internet上一些主要的商业Web站点在那个星期后来的一段时 间里仍然陷入瘫痪。 DDOS攻击的特点在于控制多台傀儡机器实现其终极目标。其模式如图2.4 所示。傀儡机一般是黑客用一些较为复杂的软件感染的,这一类软件中比较著名的有:TribeFloodNetwork,Tnnoo和Stacheldraht。Trinoo通过一个远程控制程序和主控端通讯。客户端与主控端之间通过TCP端口27665进行通讯。主控端 到服务器(安装于傀儡机上)的通信通过UDP27444号端口进行,服务器到主控 端通过UDP31335号端口进行通讯。WinTrinoo是Tfinoo的Windows版。图2.4DDOS攻击模式2.3.2特洛伊木马是根据古希腊神话中的木马来命名的,这种程序从表面上看没有什么,但是 实际上却隐含着恶意意图。一些木马程序会通过覆盖系统中已经存在的文件的方 式存在于系统之中,同时它可以携带恶意代码,还有一些木马会以一个软件的身 份出现(如:一个可供下载的游戏),但它实际上是一个窃取密码的工具【101。木12�校园网络安全管理及体系结构的研究马通常不容易被发现,因为它一般是以一个正常的应用程序的身份在系统中运行的。可分为三个模式: (1)潜伏在正常的程序应用中,附带执行单独的恶意操作; (2)潜伏在正常的程序应用中,但是会修改正常的应用进行恶意操作; (3)完全覆盖正常的程序应用,执行恶意操作。 具有较强的隐蔽性,但它也有明显的特征,首先它必须运行特定的程序,其 次它会在系统中打开一个端口,以和控制端通信。针对这一特点,相信主机在感 染了木马以后同样也会表现出不同的行为特征,因此通过建立用户行为模式的方 式,对主机行为进行监测,应该可以发现其踪迹。2.3.3蠕虫具备病毒的特征,有些资料将其归入病毒一类,但是就其自身通过网络自动 的繁殖这一特点来说,它又具有网络攻击的特点。比较典型的蠕虫有SQLSlammer、CodeRed、Nimda和Blaster。一个蠕虫通常具备三个基本功能:传播、隐藏和目标执行。传播功能使得其 可以在很短的时间内通过网络迅速繁殖,隐藏功能则使得蠕虫在侵入目标系统后 能够不被发现,例如从系统进程列表上隐藏自己,或更名为操作系统某个系统进 程的名称等等。执行功能可以使其实现对主机的恶意控制操作。 蠕虫传播过程一般有以下几个步骤: (1)扫描网络内的IP地址,收集目标主机信息,找到存在的漏洞; (2)针对漏洞发动攻击,侵入目标主机; (3)在目标主机上安置后门,并采取一些隐匿措施防止被发现。2.3.4Web欺骗是较为流行的_种网络供给手段,对电子商务产生了很大的威胁,客户担心自己的重要信息被窃取,从而带来经济上的损失。其基本原理是通过假冒人们所 信任的Web站点,使得用户访问其假冒站点,从而达到监听用户通讯,非法获 取敏感信息的目的。其工作原理可以用图2.5形象的表示出来。�校同网络安全管理及体系结构的研究图2.5 Web欺骗原理攻击重点在于切断客户机和真实服务器之间的联系,把自己插入N-者的通 讯中去。一般常用的方法有: (1)注册类似的域名,引诱用户访问这个站点,通过填写表单等手段获取用户信息。(2)URL重写,通过修改URL可以把通信导向攻击者的服务器上从而实 现信息窃取。这种方式下,用户很难察觉,攻击会在毫不防备地情况下进行。 (3)man.in.the―middle攻击。基本原理是攻击者通过攻破DNS服务器,或 采用DNS欺骗等方式把站点域名的对应的IP改为攻击者的服务器IP,这样所 有对原Web站点的请求将涌向攻击者的机器,这时攻击者可以转发所有的请求 到原站点,让原服务器处理,再把处理结果发回到发出请求的客户机。中间可以实现任何想要的操作。2.3.5ARP欺骗地址解析协议(AI冲)是局域网通信的基础协议。主机通过该协议获得需要 通信方的IP.MAC对应表。ARP欺骗利用了ARP协议的存在的安全缺陷,即接 收ARP计算机不需要发出ARP请求。一个典型的局域网ARP欺骗过程可以描述如下:假设一个网络中有三台主机它们的IP和MAC的对应关系为:IPA―MAc A,IP_BI{订AC―P,IP-―C―MAC―C。正常情况下主机A中的ARP缓存如下:Interface:IP―A…0x 1 000003Intemet Address Physical Address TypeIP―B MAC―B dynamic当主机C上的一个ARP欺骗程序运行时,它向主机A发出arp响应,在这14�校园网络安全管理及体系结构的研究个响应中欺骗程序把主机B的IP―B与MAC―D相对应,主机A在收到这个arp 响应并刷新自己的arp缓存,从而完成了arp欺骗过程,以后A发往B的数据包 都会被发到主机地址为MAC―D的机器上。当主机B为该网段网关时,A机不能上网。�校园网络安全管理及体系结构的研究第3章校园网络安全技术及策略校园网络的安全是整体的、动态的,涵盖了物理安全、网络安全、系统安全、 应用安全等多方面的内容,通过采用防火墙技术、虚拟专用网技术、网络入侵检 测技术、数据加密与认证技术及访问控制技术等安全技术为手段,才能有效地实 现校园网络可靠、安全、稳定地运行。本章将对常用的校园网络安全技术进行研究和分析。3.1防火墙技术3.1.1防火墙概述在内部网与外部网之间的界面上构造一个保护层,并强制所有的连接都必须 经过此保护层,在此对外部网和内部网之间的通信进行检测。目的就是在不同网 络区域之间建立起控制数据交换的唯一通道,通过允许、拒绝或重定向防火墙的 数据流,实现对进、出内部网络的服务和访问的审计和控制,同时防火墙本身也 具有较强的抗攻击能力,从而起到加强不同网络区域之间的访问控制,阻断来自 非信任区域网络对受保护网络区域的威胁和入侵的作用,是提供信息安全服务, 实现网络和信息安全的基础设施【l¨。3.1.2防火墙的原理及体系结构 1.原理 工作原理是按照事先规定的规则,监控所有通过防火墙的数据流,只许授权 的数据通过,同时记录有关的联接来源、服务器提供的通信量和试图入侵的任何 企图,以方便网络管理员的检测和跟踪。2.体系结构【12】防火墙的体系结构主要有三种:双重宿主主机体系结构、屏蔽主机体系结构 和屏蔽子网体系结构。 (1)双重宿主主机体系结构16�校园网络安全管理及体系结构的研究双重宿主主机体系结构是围绕具有双重宿主功能的主机设计的,它能够提供 高级别的控制能力。它通过在主机中插入两块网卡实现硬件连接,是防火墙系统 使用的最基本配置。 .(2)屏蔽主机体系结构 屏蔽主机体系结构是使用一个单独的路由器来提供内部网络主机之间的服 务,利用包过滤和代理功能实现。其中,代理服务器位于包过滤网关靠近内部网 络的一侧,它只安装一个网络接口,通过代理功能将某些服务传送到内部主机; 包过滤网关提供防火墙的主要安全机制,它可以在内部网络中建立一个堡垒主 机,该主机是外部网络能够准许访问的内部唯一主机。内部网络不能直接通过路 由器和外部网络相连,所有业务都必须通过堡垒主机代理服务,而堡垒主机再通 过包过滤路由器连接外部网络,这样数据包要通过堡垒主机和路由器两道防线。 (3)屏蔽子网体系结构 屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层,它通过 添加周边网络把内部网络更进一步地与外部网络隔开。其比较简单的形式是设置 两个屏蔽路由器,一个位于周边网和内部网之间,另一个位于周边网和外部网之 间,在这两个连接层上设置不同含义的安全层,使得侵袭者必须要攻破两个路由 器构建的防火墙,籍此提高网络的安全性。3.1.3防火墙的种类防火墙总体上分为包过滤、应用级网关和代理服务器三大类型【13】。1.数据包过滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数 据包的转发或丢弃。选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Intemet 连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 2.应用级网关17�校园网络安全管理及体系结构的研究应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤 的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关 通常安装在专用工作站上。数据包过滤和应用网关防火墙有一个共同的特点,就 是它们依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外 的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的 网络结构和运行状态,以实施非法访问和攻击。 3.代理服务 代理服务(Proxy Service)也称链路级网关或TCP通道,也有人将它归于应 用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙 技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机 系统问应用层的“链接",由两个终点代理服务器上的“链接”来实现,外部计 算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的 作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,当发 现被攻击迹象时会向网络管理员发出替报,并保留攻击痕迹。3.2入侵检测技术3.2.1网络入侵检测概述 入侵检测就是通过从计算机网络或计算机系统中的若干关键点收集信息并 对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的 迹象。而进行入侵检测的软、硬件的组合就是入侵检测系统(Intrusion Detection System,简称IDS)[14】。3.2.2入侵检测系统的原理和体系结构1.入侵检测系统的原理 IDS处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶 段、报告以及响应阶段等四个阶段。数据采集阶段是数据审核阶段。入侵检测系 统收集目标系统中引擎提供的主机通讯数据包和系统使用等情况。数据处理及过18�校园网络安全管理及体系结构的研究滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段。分析及检测入侵 阶段通过分析上一阶段提供的数据来判断是否发生入侵。这一阶段是整个入侵检 测系统的核心阶段,根据系统是以检测异常使用为目的还是以检测利用系统的脆 弱点或应用程序的BUG来进行入侵为目的,可以区分为异常行为和错误使用检 测。报告及响应阶段针对上一个阶段中进行的判断做出响应。如果被判断为发生 入侵,系统将对其采取相应的响应措施,或者通知管理人员发生入侵,以便于采 取措施【151。2.体系结构入侵检测系统从拓扑结构上,可分为三类:(1)单一型这一类型的系统可能只有一台运行检测软件的主机,或由一台中央服务器以 及一些分布于其他主机行的简单日志记录程序组成。所有的记录数据必须送到中 央服务器进行统一的分析处理。大部分现有的系统都属于这一类型。(2)层次型层次型的结构克服了单一型系统的弊端,它的设计主要以大型网络为对象。 它由若干个具有层次等级的IDS构成。每个IDS负责一定范围内的日志收集, 得出分析结果,并向上一层IDS汇报结果。与单一型IDS不同的是下层IDS向 上层只传输已经分析处理后的结果,而不是所有的日志文件。这样占用的带宽较 少,高层的IDS也只需要综合分析下层IDS的报告。(3)协作型由于前两种结构的一个共同缺点都是各个检测单元之间存在不平等的关系, 中央单元的损坏将导致整个系统的失效。而协作型系统由多个具有独立检测能力 的IDS构成,它们分布于网络的每台主机上,相互之间存在一定的通信机制, 能够相互传递信息以及相互干涉并做出总体结论。因此,破坏单个甚至多个IDS 单元并不足以影响整个系统的检测能力。并且由于单元之间能够相互通信,因此 可以及时的对被破坏的单元进行修补。3.2.3入侵检测系统的类型1.根据信息源的不同,分为基于主机型、基于网络型以及基于主机和基于19�校园网络安全管理及体系结构的研究网络的入侵检测系统的集成。(1)基于主机的入侵检测系统(Host.basedIntrusion Detection System,HIDS)HIDS可监测系统、事件和Windows下的安全记录以及Unix环境下的系统 记录。当有文件被修改时,IDS将新的记录条目与己知的攻击特征相比较,看它 们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 (2)基于网络的入侵检测系统(Network.basedNIDS)Intrusion Detection System,以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时 监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技 术来识别攻击行为。一旦检测到了攻击行为,IDS的响应模块就做出适当的响应, 比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应 方式也可能不同,但通常都包括通知管理员、切断连接、记录相关的信息以提供 必要的法律依据等。 (3)基于主机和基于网络的入侵检测系统的集成 许多网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测 系统。在防火墙之外的检测器检测来自外部Intemet的攻击。DNS、Email和Web 等服务器经常是攻击的目标,但是它们又必须与外部网络交互,不可能对其进行 全部屏蔽,所以应当在各个服务器上安装基于主机的入侵检测系统,其检测结果 也要向分析员控制台报告。 2.根据检测所用分析方法的不同,可分为误用检测和异常检测。 (1)误用检测(MisuseDetection)误用检测就是设定一些入侵活动的特征,通过现在的活动是否与这些特征匹 配来检测。误用检测由于依据具体特征库进行判断,所以检测准确度很高,并且 因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便,可以有 针对性的建立高效的入侵检测系统。滥用检测的主要缺陷不能检测未知的入侵, 也不能检测已知入侵的变种,因此可能发生漏报。(2)异常检测(Anomaly Detection)AnomalyDetection假设入侵者活动异常于正常的活动。为实现该类检测,需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的�校园网络安全管理及体系结构的研究实际活动进行审计,以判定用户的行为是否对系统构成威胁。异常检测的方法有 神经网络、机器学习和人工免疫等。异常检测的优点是它不需要有系统缺陷的知 识,且具有较强的适应性和通用性3.3虚拟专用网(VPN)3.3.1虚拟专用网的概述VPN是随着互联网的发展而迅速发展起来的一种技术。它提供了一种通过 公用网络安全地对企业内部专用网络进行远程访问的连接方式,可以实现不同网 络的组件和资源之间的相互连接,它能够提供与专用网络一样的安全和功能保 障。VPN采用加密和认证技术,在公共网络上建立安全专用隧道的网络,从而 实现在公网上传输私有数据、达到私有网络的安全级别。虚拟专用网是对企业内 部网的扩展【l6。。3.3.2VPN工作原理通过使用点到点协议用户级身份验证的方法进行验证,并且采用点对点加密 算法和网际协议安全机制对数据进行加密,这些身份验证和加密手段由远程 VPN服务器强制执行。对于敏感的数据,可以使用VPN连接通过VPN服务器 将高度敏感的数据服务器物理地进行分隔,只有企业Intranet上拥有适当权限的 用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源【1171。实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二 层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议 叫第三层隧道协议。VPN将企业网的数据封装在隧道中,通过公网Interact进行 传输。因此,VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。隧道 协议中最为典型的有IPSEC、L2TP、PPTP等。其中IPSEC属于第三层隧道协议, L2TP、PPTP属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用 户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN系统使分散布局的 专用网络架构在公共网络上安全通信。它采用复杂的算法来加密传输的信息,使2l�校冈网络安全管理及体系结构的研究敏感的数据不会被窃听。3.3.3VPN的分类 分为三种类型:Access VPN(远程访问虚拟网)、IntranetVPN(企业内部虚拟网)和Extranet VPN(企业扩展虚拟网),这三种类型的VPN分别与企业内部的Intranet、传统的远程访问网络以及企业网和相关合作伙伴的企业网所构成的 Extranet相对应。3.4数据加密与认证3.4.1数据加密技术 1.概述 数据加密是网络安全最有效的技术之一,一个加密网络,不但可以防止非授 权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。加密技术是 保证信息安全的最基本、最核心的技术措施和理论基础,由加密算法来具体实施 【18】。数据加密技术就是对信息进行重新编码,从而达到隐藏信息内容,使非法 用户无法获取信息真实内容的一种技术手段。 2.常用加密传输方式 (1)链路加密。链路加密是指传输数据仅在物理层的数据链路层进行加密, 不考虑信源和信宿,它用于保护通信节点间的数据安全。接收方是传送路径上的 各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目 的地。 (2)节点加密。与链路加密类似的节点加密方法,是在节点处采用一个与 节点机相连的密码装置,密文在该装置中被解密并被重新加密,明文不通过节点 机,避免了链路加密节点处易受攻击的缺点。 (3)端到端加密。端到端加密是为数据从一端到另一端提供的加密方式。 数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。端到端 加密是在应用层完成的。3.常用加密技术�校园网络安全管理及体系结构的研究按密钥方式划分,常用的加密技术有以下3类: (1)对称密钥加密 是指加密密钥和解密密钥相同,即加密与解密使用同样的密钥,加密方和解 密方都要掌握密钥才能完成加、解密过程。目前常用的对称加密算法有DES, PCR,IDEA,3DES等,其中DES使用最普遍。(2)非对称加密(也称公钥密码加密)是指加密密钥和解密密钥不同,并且不可能由一个密钥推导出另一个密钥。 对信息的加密和解密是采用一对密钥来实现的,在使用中通常将一把密钥对社会 公开(称为公钥),另一把密钥严格保密(称为私钥)。公钥、私钥要配对使用, 一段信息用公钥加密后唯一只能用私钥解开;反之,用私钥加密后唯一只能用公钥解开【191。较著名的公钥密码算法有:McEliece密码、RSA、背包密码、零知识证明的 算法、Rabin、椭园曲线等等。最有影响的公钥密码算法是RSA,它能抵抗到目 前为止已知的所有密码攻击。 (3)不可逆加密技术 主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同 样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。其优点:不 存在密钥保管和分发问题,适合在分布式网络系统上使用:特点是加密计算工作 量大,通常用于数据量有限的情形下的加密。3.4.2身份认证技术 1.概述 身份识别是用户向系统出示自己身份证明的身份证明过程,身份认证是系统 查核用户身份证明的过程。这两项工作统称为身份验证。是判明和确认通信双方 真实身份的两个重要环节。 2.身份认证的基本方法 第一种方法,通过用户所知道的某些信息对其进行验证,例如口令,这是最 常用的方法,虽然不一定是最安全的方法。 第二种方法,通过用户所拥有的某些东西对其进行验证,例如钥匙。�校园网络安全管理及体系结构的研究第三种方法,通过用户本身所具备的某些特性对其进行验证,如用户的指纹 或者视网膜,这是最安全也是最昂贵的方式。 3.常用的身份认证技术 (1)口令认证 每一个用户都有一个标识和口令,当用户想进入系统,必须先提供其标识和 口令,系统就可以检验用户的合法性。因此口令认证具有价格低廉、容易实现且 用户界面友好的特点。口令认证的安全性较低。(2)数字签名数字签名是用几个字符串来代替书写签名或印章,起到与书写签名或印章同 样的法律效用。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。 (3)认证(Certificate Authority CA)在电子商务系统中无论是数字时间戳服务,还是数字凭证的发放都需要由一 个具有权威性和公正性的第三方认证机构来承担。CA正是这样一个受信任的第 三方。CA的主要职能就是发放、管理和维护它所签发的证书,提供各种证书服 务:证书的签发、更新、回收、归档等,是整个系统的安全核心。由此可见, CA是保证电子商务安全的关键。CA中心对含有公钥的证书进行数字签名,使 证书无法伪造。每个用户可以获得CA中心的公开密钥(CA根证书)验证任何 一张数字证书的数字签名,从而确定证书是否是CA中心签发、数字证书是否合 法【201。 (4)数字凭证(DigitalID)数字凭证又称数字证书,数字证书就是网络通信中标志通信各方身份信息的 一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的, 人们可以在交往中用它来识别对方的身份。3.5其他网络安全技术3.5.1防病毒技术 计算机病毒是在所有计算机安全威胁中较为严重的,它不仅发生的频率高、�校园网络安全管理及体系结构的研究损失大,而且潜伏性强、覆盖面广。计算机病毒防护是网络安全的一个重要领域[211a病毒防护技术主要有主机防病毒和网关防病毒两种形式: (1)主机防病毒 主机防病毒的特点是通过主机防病毒代理引擎,实时监测电脑的文件访问和 网络交换,把文件与预存的病毒特征码相比对,发现病毒就通过删除病毒特征串 实现解毒,或把文件隔离成非执行文件的方式,保护电脑主机不受侵害。(2)网关防病毒网关防病毒是重要的防病毒措施,它采用御毒于网门之外的原则,在网关位 置对可能导致病毒进入的途径,进行截留查杀,对于管理规范的网络是必要的安 全措施。3.5.2访问控制 访问控制的主要任务是保证网络资源不被非法使用和非常访问,是网络安全 防范和保护的主要策略。通过对特定的网段和服务建立有效的访问控制体系,可 在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的【221。利用访 问控制技术可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客" 的入侵。所以说访问控制技术是维护网络系统安全、保护网络资源的重要手段之一。两个重要访问控制过程:(1)通过鉴别(authentication)来检验主体的合法 身份;(2)通过授权(authorization)来限制用户对资源的访问级别。 访问包括读取数据,运行程序,更改数据,发起连接等。访问控制所要控制 的行为有以下几类:(1)读取数据;(2)运行可执行文件;(3)发起网络连接等。 目前主要有三种不同类型的访问控制策略:强制访问控制(MandatoryAccess Control,简称MAC);自主访问控制(DiscretionaryAccess Control,简称DAC); 基于角色的访问控制(RoleBased AccessControl,简称RBAC)。3.5.3安全扫描技术安全扫描技术是网络安全领域的重要技术之一。通过对网络的扫描,网络管25�校园网络安全管理及体系结构的研究理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估 网络风险等级。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高 网络的安全性【23】。 安全扫描技术主要分为两类:主机安全扫描技术和网络安全扫描技术。网络 安全扫描技术主要针对系统中不合适的设置脆弱的口令,以及针对其它同安全规 则抵触的对象进行检查等;而主机安全扫描技术则是通过执行一些脚本文件模拟 对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞【24】。3.5.4数据备份和灾难恢复数据备份不仅在网络系统发生硬件故障或人为失误时起到保护作用,也在入 侵者进行非授权访问或对网络攻击及破坏数据完整性时起到保护作用。备份是系 统灾难恢复的前提之一,同时亦是维护网络安全的技术手段之一【251。 网络备份系统是指在分布式网络环境下,通过专业的数据存储管理软件,结 合相应的硬件和存储设备,对全网络的数据备份进行集中管理,从而实现自动化 的备份、文件归档、数据分级存储以及灾难恢复。网络备份的工作原理是在网络 上选择一台应用服务器(也可以在网络中另配一台服务器作为专用的备份服务器 作为网络数据存储管理服务器),并安装网络数据存储管理服务器端软件,作为 整个网络的备份服务器;在备份服务器上连接一台大容量存储设备(磁带库、光 盘库);在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件, 通过局域网将数据集中备份到与备份服务器连接的存储设备上【26】。3.6安全策略及设计原则3.6.1安全策略 安全策略基于风险评估分析以保护连接在网络上的资产。网络安全策略对访 问连接在网络上的不同资产定义了访问限制和访问规则。它还是用户和管理员在 建立、使用和审计网络时的信息来源【271。 考虑到网络信息系统的安全问题时,必须依据信息系统安全工程学的理论和 方法,构造一个全方位的防御机制。下面主要讨论针对校园网安全目标所使用的�校园网络安全管理及体系结构的研究 安全策略。.1.物理安全策略 目的是保护网络服务器、计算机系统、打印机等硬件实体和通信链路免受人 为破坏、自然灾害和搭线攻击;验证用户的身份和使用权限,防止用户越权操作; 确保网络设备有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止 非法进入计算机控制和各种偷窃、破坏活动的发生【2引。2.网络隔离策略可有效减小信息的传播面,从而增加信息的安全性。应根据业务划分、保密 要求等因素的差异将网络进行分段隔离,它可从最底层有效地控制信号传播途径 及传播范围,实现更为细化的安全控制体系,将攻击和入侵造成的威胁限制在较 小的子网内,提高网络整体的安全水平。当前主要的网络分段手段有:虚拟局域网(VLAN)、路由器、防火墙等。 3.选用合适软件的策略选用安全级别较高的网络操作系统及数据库系统,以安全套件加固TCP/IP 各层。如因受客观条件限制,难以对网络操作系统及数据库系统进行选择,则其 他核心软件,如入侵检测、防火墙、网络安全漏洞扫描软件等应尽可能地选用经 国家网络安全权威机构评审通过的优秀国产软件。4.遵循“最小授权”策略是指网络中、服务配置、帐号设置主机间信任关系配置等应该为网络正常运 行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配 置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险性大大降低。5.采用信息加密技术的策略 利用加密技术将数据明文变成密文,再进行传输。这样,即使在传输过程中 被截获,也无法获取真实信息,同时由于加密机制可对数据传输过程中的完整性、 真实性进行鉴别,从而保证数据的完整性和可靠性。因此,校园网上传输的涉密 数据必须经过加密后再进行传输。 6.建立并严格执行规章制度的策略 在学校网络安全中,除了技术措施之外,制定有关规章制度也是必需的,能27�校园网络安全管理及体系结构的研究有效的确保网络安全、可靠地运行。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个 细微的让步,最终导致了整个系统的崩溃。因此,严格执行安全管理制度是网络 可靠运行的重要保障。3.6.2设计原则根据学校网络安全系统所遵循的网络安全策略,设计网络安全体系时应遵循以下原则:(1)可行性:设计网络安全体系不能纯粹地从理论角度考虑,再完美的方 案,如果不考虑实际因素,也只能是一些废纸。设计网络安全体系的目的是指导 实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了 实际价值。 (2)安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安 全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和 可扩展性。 (3)可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安 全培训等各个方面的工作都要由学校来支持,要为此付出一定的代价和开销。如 果付出的代价比安全体系中获得的利益还要多,那么就不该采用这个方案。所以, 在设计网络安全体系时,必须考虑校园本身特点和实际承受能力,没有必要按电 信级、银行级标准设计。 (4)高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安 全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适 的平衡点。网络安全体系包含一些软件和硬件,它们也会占用网络系统的一些资 源。因此,在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统 本身不能妨碍网络系统的正常运转。 这四个原则可以简单的归纳为:安全第一、保障性能、投入合理、考虑发展。�校园网络安全管理及体系结构的研究第4章江苏省常州建设高等职业技术学校 校园网络安全体系的研究及设计随着学校的快速发展,学校规模的不断扩大,学校希望利用信息化手段改进 学校的管理流程,实现数据共享,提高工作效率,增强办学实力。而面对层出不 穷的各种黑客攻击与病毒泛滥,一个没有安全防护的网络是极其不可靠的。因此, 为了解决江苏省常州建设高等职业技术学校校园网的安全问题,给全校师生提供 一个安全、可靠的工作、学习环境,根据学校校园网的安全需求,进行校园网的 网络安全体系的研究与设计。4.1校园网整体安全方案设计校园网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过 程。网络安全体系不是一个能够一劳永逸地防范任何攻击的完美系统,这样的系 统客观上是不存在的。我们力图建立的是一个网络安全的动态防护体系,是动态 加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。 校园网络安全问题不是在校园网中加一个防火墙就能解决的问题‘291。4.1.1校园网安全体系的内容 一个较完整的校园网络安全体系应该包含5个安全层面,详见表4.1。表4.1校同网络安全体系的安全层面 数据保密层 应用层 用户层 系统层 网络层应用层的数据加密 网络应用中的存取控制和授权 包括用户/组的管理、单一登录、认证 包括操作系统的防病毒、入侵检测、审计分析 针对网络底层数据的通讯安全�校园网络安全管理及体系结构的研究4.1.2校园同安全体系的设计 设计校园网络安全体系的阶段分为t安全风险评估――划分不同的安全区 域――规定安全边界――技术实现――安全体系评估与测试。1.安全风险评估 通过安全风险评估技术来研究体系中存在的漏洞缺陷、面临的风险与威胁, 并根据漏洞的性质、形式、特点、危险程度分类。安全风险评估中还要考虑一段 时期系统环境可能的变化以及风险的相关性。 2.划分不同的安全区域 主要是指根据安全风险评估的数据和系统应用特点划分不同安全级别的区 域。下面以某高校校园网为例划分不俐的安全区域:最小核心系统、终端用户区、 DMZ区。(见图4.” (1)最小核心系统 主要包括整个网络中所有最关键的服务器,可以说是整个网络的命脉,它 的安全级别是最高的,涵盖所有的安全层面,是需要一定投资规模的综合防护。 该区域涉及安全防护的所有层面,特别需要注意的是安全防护在最小核心系统里 可能形成的瓶颈。图4.1某高校校园网的安全区域(2)终端用户区 终端用户区包括的所有用户终端,主要防护内容: o避免用户来自学校内部的攻击;②病毒防护;o阻止拨号上网等等。对于�校园网络安全管理及体系结构的研究该区主要考虑系统的完整性和用户完整性。(3)DMZ区DMZ区也叫停火区,是和互联网距离最近的区域,是校园网和互联网间的 接口和大门,包括WEB,E.MAIL,FTP等对外的服务器,在DMZ区既要保护 好区域内的服务器,更要保证来自互联网的黑客不能通过DMZ区渗透到校园网内部。3.规定安全边界 校园网络安全边界是独立的安全区域与外部环境的连接处,是防御外来攻击 的关口,根据学校的主要业务范围,规定安全边界上的连接情况,且进行过滤和 控制,防止非法用户的入侵和系统敏感信息的外泄。根据安全区域会产生多个安 全边界,其中最重要的安全边界是最小核心系统的边界以及Extranet(校园协作 网)、互联网与整个校园局域网之间的边界。 4.技术实现 明确了安全区域和安全边界后,再来分析采用哪些安全技术就显得较容易 了。表4.2列出某高校校园网的网络安全体系结构方案中采用的网络安全技术。表4.2某高校网络安全体系结构方案主要采用的网络安全技术 技术 防火墙VPN用途 形成DMZ区 Router异地对最小核心系统的接入统一的用户桌面环境管理保护桌面环境系统与应用的安全,规范网络行为,统一身份认证与授权PROXYSERVER和CACHE对烈TEl酬ET的接入对服务器和终端用户机的病毒防护收发MAlL的内容过滤病毒防护 邮件过滤 入侵检测 漏洞扫描 桌面监控 灾难恢复与备份保护最小核心系统保护最小核心系统和终端用户区 对终端用户区网络行为的监控不存在绝对安全的安全防护体系,灾难恢复与备份是整个安全体系的重要环节3l�校园网络安全管理及体系结构的研究5.安全体系评估与测试 对质量进行评估也就是检验结构是否达到了安全性、高效性、可行性、可承 担性的要求。世界上没有一个通用的安全体系结构,某个网络系统的安全体系结 构主要是针对该系统本身而言的,它不能用于另外的某个系统。因此设计校园网 安全体系,必须在一定的理论指导下,以风险分析与评估、安全需求分析为基础, 结合具体的实际情况进行研究分析【301。由于安全体系的质量直接决定着校园的 信息安全,因此,必须对安全体系进行严格的测试分析,对发现的不妥之处及时 修正,才能保证校园网络安全体系的质量。这一部分的工作,己经进入了安全体 系试验环境的搭建阶段。有了健全的网络体系并不能高枕无忧,以目前的主要技 术只能做到对网络本身存在的脆弱性和针对网络的威胁进行最小化。4.2江苏省常州建设高等职业技术学校校园网安全现状分析4.2.1江苏省常州建设高等职业技术学校校园网概况江苏省常州建设高等职业技术学校已于1999年9月建成了千兆以太校园网 络,覆盖了校本部、湖塘校区以及建筑设计院。校园内各大楼之间的建筑物子系 统都采用多模光纤连接,楼内的垂直子系统选用25对的大对数电缆或多模光纤, 水平子系统选用超5类的双绞线。网络的主接点在综合楼三楼的网络管理中心, 次节点在图书馆的一楼,主次节点采用光纤连接,其余各大楼通过光纤连到次节 点。另外综合楼网管中心到各机房的节点采用的是六芯多模光纤。网络主交换机用的是Cisco 6509光交换机,综合楼机房的节点采用的是Cisco 2950光交换机,为了保证速度,采用了堆叠技术。图书馆一楼的网管中心的主交换机采用的是Cisco3560,其余各大楼的节点交换机用的是Cisco 2950,整个网络的终端设备达到1500多台PC机。 整个校园网采用5个公网IP地址,分别用于WEB服务器、E―mail服务器、 FTP服务器、和网络地址转换等。目前全校共有16个网段,其中192.168.10.1是防火墙的地址,也就是整个校园网的网关,其余从192.168.1.O―192.168.8.0用于机房上网,192.168.9.1用于演播室,教师办公楼使用192.168.10.0,实训中 心使用192.168.11.0,教工生活区使用192.168.12.0,图书馆使用192.168.13.0,32�校园网络安全管理及体系结构的研究学生宿舍使用192.168.14.0,食堂区使用192.168.15.0,行政楼办公区使用 192.168.16.0。校园网提供了WEB服务、FTP服务、DHCP服务、WINS服务、 DNS服务、维护和管理着鹏达教务管理系统、学生管理系统、收费系统、心理 测试系统、学生数字图书馆系统、物业管理教学系统、OA办公系统等。 1.主干网络设备配置综合楼网络中心配置了Cisco 6509光交换机,用于机房和图书馆节点连接。网络中心通过防火墙连到Internet,带宽是100M。图书馆采用Cisco 3560光交换 机用于和各大楼连接。2.网络中心的设备配置 网络管理系统的硬件平台是IBM 3650服务器二台、DELL 2950二台、DELL2650服务器一台、IBMXSERIES235一台,DELL 1900一台、HP LH3服务器一台、SONIC WALL PR03060防火墙一台。DELL2650服务器:提供WEB服务。IBM 3650服务器:一台提供鹏达教务管理系统和收费系统、EMAIL服务;一台提供心理测试系统服务。 DELL2950服务器:一台提供物业管理教学系统服务,一台作为数据库备份 服务器,为各服务器提供数据备份。IBM XSERIESDELL235:提供DHCP、DNS服务。1900:提供书生数字图书馆服务。HPLH3:提供FTP和WINS服务。 3.校内各楼和机房网络设备配置 各楼配置了Cisco 2950交换机的有:行政楼、教学楼、图书馆、实训中心、 食堂等。机房是两个教室一个节点,用的是华为Cisco 2950,并采用了堆叠技术。 4.校园网与其它网络的连接:校园网通过电信光缆专线以100M的带宽接入互联网。�@'.乏譬◇一 r一 。厂――_r―――T―――厂――。厂]◇ ◇◇校园网络安全管理殛体系结构的研究◇◇◇4.2.2校园霸安全设计的目标计算机网络系统主要包括网络交换机、叠加其上的语音、数据、视频装置以 及可变化的软、硬件应用口”。它的开放式设计意味着更好的整体化及高品质应 用的能力。提供的带宽可适合话音、图像、数据的传输,这种带宽结合设备厂商 优秀网管模式,可以向用户提供面对面的通讯。在建设校园网时,要达到以下目标:1.在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、 组织、管理与决策提供基础信息和科学手段;�校园网络安全管理及体系结构的研究2.支持教育教学改革,提高教育技术的现代水平和教育信息化程度,为学 校教师的备课、课件制作、教学演示提供网络环境; 3.通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料, 实现素材收集、电子备课功能。培养创新人才,提高学生收集处理信息的能力、 获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和 社会活动的能力,使学生能自主学习、协商学习、发现探究式学习以及自我评价, 为学生的全面发展创造相应的条件; 4.实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口, 提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平; 5.及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息,完 成与因特网的通讯和资源共享,实现社会教育、学校教育、家庭教育的有机整合。 6.实现课堂多媒体电化教学,具备适用于双向课堂语音教学及语音室功能 学习。以代替手提录音机,实现音频数字化资源共享、集中管理。电教综合平台 实现多媒体电教设备及室内电器设备电动一体化控制。 总之,校园网的建设能促进教师和学生尽快提高应用信息技术的水平,为学 生提供了一个实践的环境,为教师提供了一种先进的辅助教学工具、提供了丰富 的资源库。但是,现今在网络的法律规范发展还不是很完善的时候,网络安全应 该是放在首位的【34J。这就必然涉及到网络安全系统,除了校园网服务器、学校 各种网站、系统不受攻击等方面以外,防止内网的入侵显得尤为重要【32】。4.2.3校园网安全需求分析我校校园网是为全校师生提供教学科研、网络学习及各种信息资源,为学校 提供教学、行政管理的宽带多媒体计算机网络【33】。江苏省常州建设高等职业技 术学校校园网网络整体结构是一个通过千兆以太网链路连接的园区网络。从安全 角度来看,整个校园网络分为三大部分,第一部分为重点信息的安全保护区,即 为校园网中的重要服务器群,同时还包含校园网络中其它重要部门的网络设备与 用户;第二部分为校园网普通网络区域,即为除重点信息安全保护区外的其它网 络设备和用户;第三部分为外部网络区域,即指与学校校园网连接的互联网和教育网。�校园网络安全管理及体系结构的研究.结合湖塘校区和建筑设计院的网络安全建设情况,发现现有学校校园网的安 全等级较低,不能满足相应的安全需求。要改变这种现状,就必须结合以下几个 方面来考虑满足合并后的校园网的网络安全需求: (1)禁止外部非法用户未经许可访问内部的数据;实现内部网络和重要服务器数据的安全防护;(2)对于两个校区和建筑设计院的网络连接要在确保安全性的前提下结合经济性考虑;(3)对各个部门的网络访问进行控制,在未经授权的情况下,不能相互访 问,实现网络隔离; (4)加强网络监控,实现对涉及重要服务器数据的攻击行为的记录与分析;(5)网络中的病毒防范;(6)加强安全管理,规范化对内部网络的访问。 只有满足了上述需求才能提高江苏省常州建设高等职业技术学校校园网整 体网络安全防护水平。4.3江苏省常州建设高等职业技术学校网络安全体系设计学校的网络安全系统规划设计是一个系统建立和优化的过程,根据江苏省常 州建设高等职业技术学校校园网的结构特点及面临的安全隐患,结合上一节的安 全需求分析,提出学校网络安全防范解决方案。4.3.1网络拓扑结构的设计 校园网络由多种完成不同功能的网络设备组成,包括交换机(2层和3层)、 Intemet接入设备、防火墙等以及各种服务器,如:WEB服务器、FTP服务器、 DHCP服务器、WINS服务器、DNS服务器、以及鹏达管理系统、学生管理系统、 收费系统、心理测试系统、学生数字图书馆系统、物业管理教学系统、OA办公 系统等。校园内部网络采用交换式以太网,通过电信光缆专线以100M的带宽接 入互联网。同时采取相应的措施,确保通讯数据的安全、保密。系统运行要安全、可靠、故障小。学校网络拓扑结构设计要符合以下几点要求:36�校园网络安全管理及体系结构的研究(1)能适应未来网络的扩展和拓扑结构的变化: (2)能为特定的师生用户或用户组提供访问路径: (3)能保证网络能不间断地运行; (4)网络结构能应付带宽的增加; (5)使用频率较高的应用能够支持网上大多数的师生用户; (6)要能合理地分配用户对网内、网外的信息流量; (7)要能支持较多的网络协议,扩大网络的应用范围; (8)要能持IP的单点传送和多点广播数据流。 因此,需要达到以上这些设计要求,因采用分层的设计功能及星型、树型和 交叉型的拓扑结构,做到应地而异。 根据学校的建筑物的分布,把校园网的主节点放置在现代教育中心三楼的网 管中心,教学区(教室、学生机房)和教师办公楼的使用量很大,但食堂等生活 区的使用量相对比较小,所以目前的拓扑结构呈星形,即以网络中心为核心,向 其他大楼辐射,建筑物之间使用多模光纤连接。同时,建筑物内部也将采用星形 布局,每幢建筑只需要一个设备间,统一放置设备(校园网拓扑结构见图4.2)。 通过主干三层交换机把整个校园网分为“9大块":服务器群、学生机房、行政 办公楼、教师办公楼、实训中心、教工生活区、图书馆、学生宿舍、食堂区等, 其中在服务器群与校园网之间架设了防火墙和入侵检测系统。4.3.2校园网防火墙的部署1.安全策略 制定江苏省常州建设高等职业技术学校校园网防火墙安全策略如下: 所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防 火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。 2.系统设计在互联网与校园网内网之间部署了一台硬件防火墙,在内外网之间建立一道 安全屏障。其中WEB、E―mail、FTP等服务器放置在防火墙的DMZ区(即“非 军事区",是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,37�校园网络安全管理及体系结构的研究以保证内网安全),与内网和外网间进行隔离,内网口连接校园网,外网口通过 电信网络与互联网连接。这样,通过互联网进来的外网用户只能访问到对外公开的一些服务(如WEB、E.mail、FTP等),既保护内网资源不被外部非法用户进行非法访问或破坏,也可以阻止内网用户对外网不良资源的访问,并且能够对发 生在网络中的安全事件进行跟踪和审计。设置原则:(1)根据学校网络安全策略和目标,规划正确的过滤规则,规则审核IP数 据包的内容,主要包括协议、端口、源地址、目的地址、流向等项目,严格禁止 来自外网的对学校内网的不必要的、非法的访问。遵循“不被允许的服务就是被禁止"的原则。(2)配置防火墙,过滤掉以内部网络地址进入三层交换机的IP数据包,通 过此项设计可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离 开内部网络的IP包,这样防止内部网络发起的对外的攻击。 (3)在防火墙上建立校园网内网的IP和MAC地址的对应表,可以防止m 地址被盗用。 (4)定期查看访问日志,及时发现不良的上网记录和攻击行为。 (5)允许经过配置网卡对防火墙进行设置,提高防火墙管理的安全性。 尽管防火墙有较强的防范功能,但也有力不能及的地方,主要在: 首先,防火墙不能防范不经由防火墙的攻击,比如如果允许从内部网不受限 制地向外拨号,一些用户可以形成与因特网的SLIP或PPP连接,从而绕过了防 火墙防护,形成一个潜在的后门攻击渠道。其次,防火墙不能防范因管理员疏忽 造成的安全问题,传统防火墙不能防范带病毒软件或文件的传输,传统防火墙不 能防范数据驱动式的攻击,即当有些表面看来无害的数据被邮寄或复制到内部网 主机上且被执行而发起的攻击,例如一种数据驱动的攻击可以使一台主机修改与 安全有关的文件,从而使入侵者在下一次入侵该系统更容易。可见,防火墙并不 能解决校园网的全部安全问题,因此,接下来还应采取其它一些相应的安全技术 来保证学校网络的安全。38�校园网络安全管理及体系结构的研究4.3.3VPN设计1.两校区及建筑设计院间的VPN连接 为满足江苏省常州建设高等职业技术学校各校区师生能正常使用网络和学 校网络资源,建立以各高效的、科学的、安全的虚拟专用网显得非常重要。在原 学校网络的基础上利用虚拟专用网技术对湖塘校区、建筑设计院及校本部的网络 进行互连。构成VPN系统的组件分布到防火墙系统中去,与防火墙系统进行整 合。防火墙中的路由器选用带有VPN的模块,在数据流量较大的出口,设置专用的VPN服务器。利用虚拟专用网系统将湖塘校区、建筑设计院及校本部网络连接起来。(见图4.3)图4.3江苏省常州建设高等职业技术学校校园网虚拟专业网系统模块图使用VPN方案,通过一台VPN服务器既能实现整个学校网络的连接,又可 保证重要数据的安全性。虽然路由器也可以实现网络之间的互联,但不能对流向 重要网络的数据进行限制。网络管理员通过VPN服务器,指定只用合法用户才 能连接到VPN服务器,访问敏感信息。此外,还可以通过对所有VPN数据进行 加密,从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络[351o不管采用哪种远程网络互联方案时都希望能够对访问学校资源和信息的要 求加以控制,所采用的方案应当既能够实现授权用户与校园网资源的自由连接, 各分支机构之间的资源的共享;又能够保证学校数据在互联网络或高校内部网络上传输时不受破坏。经过设计,江苏省常州建设高等职业技术学校校园网虚拟专用网系统能够满39�校园网络安全管理及体系结构的研究足以下方面的要求: (1)用户验证:能严格控制只有合法用户才能访问VPN服务器。另外,还 可以能够提供审计和记费功能。 (2)地址管理:服务器能够为用户分配专用网络上的合法地址并确保地址 的安全性。 (3)数据加密:对由互联网络传递的数据必须经过加密,确保网络其它未 授权的用户无法读取该信息。 (4)密钥管理;主要是能够生成并更新客户端和服务器的加密密钥。 (5)多协议支持:支持Intemet上普遍使用的基本协议,主要包括IP,IPX 等。以PPTP协议(点对点隧道协议)或LZTP协议(第2层隧道协议)为基础 的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的 互联网的优势。其它的一些方案,主要是安全IP协议(IPSec),即使不能满足 上述全部要求,但是仍然适用于在特定的环境。 另外,通过VPN服务器的审计及报警,可以有效地管理VPN系统。能够随 时掌握以下信息:服务器的使用者,连接的数目,异常活动,出错等情况,以及 其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对审计 和报警或其它错误提示具有很大帮助。例如,网管为了编制帐单数据需要知道何 人在使用系统以及使用了多长时间。异常的活动可能预示着对系统的不正确使 用。对设备进行实时的监测可以在系统出现问题时及时向网管发出警告。一台隧 道服务器应当能提供以上所有信息以及对数据进行正确的处理所需要的事件日 志、报告和数据存储设备。 2.远程访问服务器的设计 学校教师或领导出差在外以及网络管理人员远程管理、维护的情况,但是他 们没有使用校园网的条件而他们又有使用校园网资源的需求,可以采用建立远程 服务器的方案来解决此问题。一般采用的是拨号访问和远程访问VPN方案,对 于拨号用户由于带宽原因其应用可能会受到一些限制,学校现在采用的是远程访问VPN方案。VPN服务器必须对外网所有可能得网段都打开,因此,为了提高安全性, VPN服务器后面(面对校园网端)应先通过防火墙以后再接入校园网,甚至对�校园阿络安全管理及体系结构的研究通过远程访问服务器进入校园网的请求进行限定。对于没有条件在此配置防火墙 的用户,应该直接在远程访问服务器上做好访问过滤配置,限定到学校网络内的 路由和可用的服务。4.3.4入侵检测系统的设计和部■入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,以便能够及 时发现或识别攻击者的企图或系统资源被误用、滥用的等行为。当入侵检测系统 发现网络中的异常时,网络系统及时做出适当的响应,通知网管、通知被害主机。 在校园网网络与互联网之间设置了1台瑞星RIDS.100入侵检测系统,与防火墙 并行的接入网络中,监测来自互联网、校园网内部的攻击行为。发现入侵行为时. 及时通知防火墙阻断攻击源。 入侵检测系统RIDS.100是瑞星公司自主开发研制的新一代网络安全产品, 集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所 有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测两络上 发生的入侵行为和异常现象,并在数据库中记录有关事件,作为管理员事后分析 的依据;如果情况严重,RIDS-100可以发出实时报警,使得管理员能够及时采 取应对措施,另外RIDS.100入侵检测系统可以与防火墙联动,自动配置防火墙 策略,配合防火墙系统使用,可以全面保障网络的安全,组成完整的网络安全解 决方案。 示意图如下:图4.4瑞星入侵检测系统RIDS一100部署�校园网络安全管理及体系结构的研究4.3.5LAN交换的安全配置1.VLAN划分 校园网采用的核心交换机是Cisco 6509,虚拟局域网的划分是以端口为中心 的,与节点相连的端口将确定它所驻留的VLAN。先在VTP Server上建立VLAN, 然后将每个端口分配给相应的VLAN。(1)设置管理域(即:VTP DOMAIN)。交换VTP更新信息的所有交换机必须配置为同一管理域。所有交换机都通过中继线相连,在核心交换机上设置了 一个管理域,校园网上所有的交换机都加入了该域,这样同一管理域中的所有交 换机就能够了解彼此的VLAN列表。6509#vlandatabase进入VLAN配置模式6509(vlan)Chrtp domain ejx设置VTP管理域名称ejx 6509(vlan)#vtp server设置交换机为服务器模式设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN 及其它一些对整个VTP域的配置参数,同步本VTP域中其它交换机传递来的最 新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置, 也不能在NVRAM中存储VLAN配置,但可以同步由本VTP域中其他交换机传递来的VLAN信息。(2)配置中继 配置中继(trunk),保证管理域能够覆盖所有的分支交换机。中继是一个在 交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息 及VLAN数据流的协议,将交换机直接相连的端121配置为dotlq封装,就可跨越 交换机进行整个网络的VLAN设置。 在核心交换机端配置如下:6509(config)#interface gigabitEthemet2/1 6509(config―if)#switchport 6509(config-if)#switchporttrunk encapsulation dotlq trunk6509(config-if)#swit
