《毕业设计—校园网网络安全隐患及解决方案abqo.doc》由会员分享,可在线阅读,更多相关《毕业设计—校园网网络安全隐患及解决方案abqo.doc(34页珍藏版)》请在三一办公上搜索。
1、 毕业设计(论文) 设计(论文)题目 重信院校园网网络安全隐患及解决方案 选题性质:设计 论文 院 系 电子工程学院 专 业 计算机网络技术 班 级 2010级3班 学 号 0924030442 学生姓名 指导教师 成 绩 教务处制年 月 日摘 要 本设计以网络为基础,分析了国内校园网安全的发展趋势,然后结合学校校园网的实际情况,分析了校园网存在的安全隐患,从整体上对校园网络安全系统进行规划设计,充分整合现行的几种关键网络安全技术,提出了一整套校园信息网络安全防御的设计与实现,力保校园网络健康、可靠、有效地运行。在校园网络安全解决方案中包括防火墙技术、入侵检测系统(IDS)、防病毒、数据备份等
2、几个部分,设计对各个部分进行了详细的分析。在对全局校园网络安全体系方案中各部分论述的基础上,还对主要的关键技术做了配置说明,并给出了实际运行中的实例。本论文设计的校园网络安全防御方案,现正在实际校园网环境中应用,其运行结果表明了这种校园网安全防御系统的可行性和实际应用性,达到了实际应用效果。关键词:校园网、安全管理、防火墙、入侵检测目 录摘 要I目 录II前 言1第章 重庆信息技术职业学院校园网31.1 重庆信息技术职业学院网络背景介绍31.1.1 建设背景和现状31.1.2 建设需求分析31.2 重庆信息技术职业学院安全隐患介绍41.2.1校园网网络安全的概述41.2.2 网络安全的含义51
3、.2.3 威胁网络安全的不安全因素分析5第2章 重庆信息技术职业学院校园网网络安全隐患分析72.1 校园网安全存在的缺陷72.1.1 网络自身的安全缺陷72.1.2 网络结构、配置、物理设备不安全72.1.3 内部用户的安全威胁72.1.4 软件的漏洞72.1.5 网络结构、配置、物理设备不安全72.1.6 各种非法入侵和攻击82.2 校园网安全管理和维护的措施与建议82.2.1 配置高性能的防火墙产品82.2.2 网络设计、使用更合理化82.2.3 软件漏洞修复82.2.4 防杀毒软件系统92.2.5 配备入侵检测系统(IDS)并建立蜜罐陷阱系统92.2.6 系统安全风险评估92.2.7 灾
4、难恢复计划92.2.8 加强管理92.3 校园网的安全防范和管理9第3章 重庆信息技术职业学院校园网安全隐患解决方案与实现113.1 防火墙的选择与设计113.1.1Cisco PIX525防火墙介绍113.1.2 Cisco PIX525防火墙的安装和配置123.2 校园网身份认证系统的选择与设计153.3 Chost数据备份实现193.3.1 数据智能备份233.3.2 数据备份设计硬件243.3.3 数据备份设计软件233.4 入侵检测系统的实现233.4.1 金诺入侵检测系统的组成233.4.2 传感器的安装243.4.3 控制台软件的配置243.4.4 控制台软件的使用25总 结29
5、参考文献30前 言互联网是全球最大的网络结构,为全世界200多个国家的几亿用户提供了海量的信息资源。但与此同时,也产生了很多的信息安全问题,各种黑客、病毒、安全漏洞、非法入侵等都在不断的侵蚀着网络,给各国的经济及信息化发展带来了巨大的威胁和无法挽回的损失,互联网的安全问题己经摆在各国面前,受到了各国政府的极大关注。据美国联邦调查局统计,美国每年因网络安全造成的损失高达75亿美元。世界著名的商业网站,如Yahoo,EBay,CNIN都曾经被黑客入侵,连专门从事网络安全的RSA网站也受到黑客的攻击。据美国金融时报报道,世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,三分之一的防火墙
6、被突破。美国联邦调查局计算机犯罪组负责人吉姆塞特尔称:给我精选10名“黑客,组成小组,90天内,我将使美国趴下。一位计算机专家毫不夸张地说:如果给我一台普通计算机、一条电话线和一个调制解调器,就可以令某个地区的网络运行失常。在我国,有98的网络系统受到各种病毒、黑客及非法入侵的攻击,许多的ISP、证券公司及银行也多次被国内外黑客攻击,造成了巨大的经济损失,针对其他行业的网络犯罪事件也无时无刻不在威胁着网络的安全。另外,各国的专网建设己经有了长足的发展,应用到了各国社会经济建设的各个领域,金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等各部门都加大了专网的开发和建设力度,专网在提供多种
7、信息化服务、给人们带来便利的同时,其安全问题也日益突出,专网的安全问题己成为各国政府待解决的重要问题。学校是教书育人的场所,校园网作为一种信息化的手段在其中起着非常重要的作用。然而校园网的安全问题日益突出,己经成为威胁学校信息技术教育的首要问题。与互联网所经受的考验一样,不健康信息、非法入侵和其它各种不安全因素以其越来越大的危害侵蚀着学校这块净土。面对这些严峻的现实,各国政府不得不重视网络安全问题。他们开发了各式各样的网络安全产品,如入侵检测系统(IDS)、防火墙、防病毒软件等来有效预防和处理各种不安全因素,保证网络系统的安全性。保障网络系统的安全己经成为刻不容缓的重要课题。目前网络经济正在成
8、为推动经济持续增长的重要因素之一,但是与网络发展速度相比,网络安全问题却一直没有得到很好的解决。据统计,面向计算机的犯罪每年增长率为30,造成这种情况的原因主要为网络的开放性和复杂性。计算机犯罪已经成为普遍的国际性问题,各国都在加大对信息网络安全核心技术和产品的研发投入:美国总统布什2002年就发布了16号“国家安全总统令”,组建了美军网络黑客部队网络战联合功能构成司令部,于2007年2月份正式编入作战序列。2005年,美军投入20亿美元用于信息系统的网络安全保密建设。2007年,美军正在实施“密码现代化计划,准备用15年时间,投入十亿美元使密码系统全面升级。其他西方国家也纷纷调整科研发展计划
9、,将信息安全技术列为战略性技术予以重点投入。我国网络建设发展迅速,取得了巨大成绩。但是,由于没有解决网络安全问题的好的方案,且网络安全建设经费投入不足,网络安全问题还是相当严重。计算机系统也多采用开放式的操作系统,安全级别较低,很难抵抗黑客的攻击。有些单位甚至对网络安全没有概念,完全没有安全措施,更谈不上安全管理与安全政策的制定。国家领导及各部门对此给予高度重视,国家领导人多次发出有关信息网络安全的指示,主管部门也做了大量实质性的工作:2003年9月正式颁发了关于加强信息安全保障工作的意见,2006年1月国家网络与信息安全协调小组发布了关于开展信息安全风险评估工作的意见,2006年2月国信办关
10、于印发信息安全风险评估指南的通知,证明了国家在管理信息安全方面的态度和决心。20世纪80年代美国国防部基于军事计算机系统的保密需要,在20世纪70年代的基础理论研究成果计算机保密模型的基础上,制订了“可信计算机系统安全评价准则”,其后又制订了关于网络系统、数据库等方面的准则和系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研究出达到TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)产品数百种。迄今为止,在黑客攻击与防护的网络安全对抗中,黑客攻击仍占据了上风,我们基本上都是在被动防护。为了争取在攻击与防护的安全对抗中占据主动地位,近来,取证、陷阱、攻击定位、入侵
11、侦测、反攻击、容错、自动恢复等主动防御技术得到重视和发展。第1章 重庆信息技术职业学院校园网1.1 重庆信息技术职业学院网络背景介绍重庆信息技术职业学院校园网建设着眼于为教育教学服务,为促进学校教育现代化服务。紧密结合教育教学的需要和经济承受能力的实际,本着统一规划、分布实施的原则,有计划、有重点,分地区、分层次,积极稳妥地推进校园网建设。严格规范校园网建设及相应的软件开发标准,确保信息化校园的整体建设规划和管理要求的落实。重庆信息技术职业学院校园网建设同时,切实做好学校教师、技术与管理及行政人员的不同层次的培训,形成一支能使校园网充分发挥使用效益的应用队伍、教学软件开发队伍和能保证校园网正常
12、持续运行的软、硬件管理队伍。积极开发和推广使用教育教学软件,建设信息资源库,充分发挥校园网的使用效益。1.1.1 建设背景和现状重庆信息技术职业学院很早就展开了计算机辅助教学,并建立了大规模的计算机实验室,学校拥有计算机上千台,但由于目前各个系都是自己组建自己的内部网络,采用的软件平台、硬件1.1.2 建设需求分析重庆信息技术职业学院校园网建设着眼于为教育教学服务,为促进学校教育现代化服务。紧密结合教育教学的需要和经济承受能力的实际,本着统一规划、分布实施的原则,有计划、有重点,分地区、分层次,积极稳妥地推进校园网建设。严格规范校园网建设及相应的软件开发标准,确保信息化校园的整体建设规划和管理
13、要求的落实。重庆信息技术职业学院很早就展开了计算机辅助教学,并建立了大规模的计算机实验室,学校拥有计算机上千台,但由于目前各个系都是自己组建自己的内部网络,采用的软件平台、硬件。重庆信息技术职业学院很早就展开了计算机辅助教学,并建立了大规模的计算机实验室,学校拥有计算机上千台,但由于目前各个系都是自己组建自己的内部网络,采用的软件平台、硬件。1.2 重庆信息技术职业学院安全隐患介绍互联网起源于1969年的ARPANet最初用于军事目的,1993年开始应用于商业。现今随着计算机技术的广泛发展,计算机应用领域不断扩大,特别是在教育机构,校园网成为教学、办公科研、资源共享的重要工具。校园网带来方便的
14、同时,网络本身的开放、共享、广泛、复杂性也带来了一系列令人担心的问题,网络安全已经被提到了重要日程。无论我们是否愿意承认,只要连接了Internet,都是容易受攻击的。因而在网络本身的开放性、共享性的前提下,如何保证校园网络的安全性,以抵抗入侵、防范网络攻击等,成为目前校园网络建立健全的关键。1.2.1校园网网络安全的概述 随着网络技术的发展,可以说现在大部分的学校都建立了校园网并投入了使用,这对加快信息处理、提高工作效益、实现资源共享都起到了无法估量的作用。但,在积极发展信息自动化的同时,网络安全问题成为了一个非常严重的隐患,就好像一个定时炸弹深深埋在校园现代化的进程中。2003年爆发的“震
15、荡波、冲击波”,2006年的熊猫烧香病毒等虽然没有给校园网络造成很大的伤害,但足以认识到网络安全的重要性,因此搞好网络安全已经成为一个重要的课题。要解决网络安全问题,了解网络的基本结构和功能是首要问题。重庆信息技术职业学院网络结构拓扑图如图1.1。 图1.1 校园网络结构拓扑图1.2.2 网络安全的含义网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。且在不同环境和应用中又不同的解释。(1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全
16、运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。(2)网络上系统信息的安全:包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。(3)网络上信息传输的安全:即信息传播后果的安全、包括信息过滤、不良信息过滤等。(4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。1.2.3 威胁网络安全的不安全因素分析(一)网络的开放性带来的安全问题Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安
17、全问题,各种安全机制、策略、管理和技术被研究和应用。然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:(1)安全机制在特定环境下并非万无一失。比如防火墙,它虽然是一种有效的安全工具,可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如
18、,WindowsXP在进行合理的设置后可以达到C级的安全性,但很少有人能够对WindowsXP本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。(3)系统的后门是难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程
19、序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。(二)网络安全的主要威胁因素(1)软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。(2)配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置
20、,否则,安全隐患始终存在。(3)安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(4)病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。第2章 重庆信息技术职业学院校园网网络安全隐患分析近几年来,随着高校规模的不断扩大,新校区或者合并校区的扩建,高校校园网普遍存在网络规模较大,上网地点较分散,网络监管困难,上网行为不够规范等现象,因而加大了
21、校园网络在使用过程中的安全隐患。2.1 校园网安全存在的缺陷2.1.1 网络自身的安全缺陷网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。2.1.2 网络结构、配置、物理设备不安全最初的互联网只是用于少数可信的用户群体,因此设计时没有充分
22、考虑安全威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。并且网络使用中由于所连接的计算机硬件多,一些厂商可能将未经严格测试的产品推向市场,留下大量安全隐患。同时,由于操作人员技术水平有限,所以在网络系统维护阶段会产生某些安全漏洞,尽管某些系统提供了一些安全机制,但由于种种原因使这些安全机制没有发挥其作用。2.1.3 内部用户的安全威胁系统内部人员存心攻击、恶作剧或无心之失等原因对网络进行破坏或攻击的行为,将会给网络信息系统带来更加难以预料的重大损失。U盘、移动硬盘等移动介质交叉使用和在联接互联网的电脑上使用,造成病毒交叉感染等等,都会给校园网络带来较大的安全威胁。特别是近年来
23、利用ARP协议漏洞进行窃听、流量分析、DNS劫持、资源非授权使用、植入木马病毒不断增加,严重影响了网络安全。2.1.4 软件的漏洞一般认为,软件中的漏洞和软件的规模成正比,软件越复杂其漏洞也就越多。在网络系统运行过程中,由于操作系统自身不够完善,针对系统漏洞本身的攻击较多,且影响也较严重。目前如办公、下载、视频播放、聊天等软件的流行,让使用率较高的程序也成为被攻击的目标。 2.1.5 病毒的传播网络的发展使资源的共享更加方便,移动设备使资源利用显著提高,但却带来病毒泛滥、网络性能急剧下降,许多重要的数据因此受到破坏或丢失,也就是说,网络在提供方便的同时,也成为了病毒传播最为便捷的途径。例如,“
24、红色代码”、“尼姆达”、“冲击波”、“震荡波”、“欢乐时光”、“熊猫烧香”的爆发无不使成千上万的用户受到影响。几年病毒的黑客化,使得病毒的感染和传播更加快速化、多样化,因而网络病毒的防范任务越来越严峻。2.1.6 各种非法入侵和攻击由于校园网接入点较多,拥有众多的公共资源,并且使用者安全意识淡薄,安全防护比较薄弱,使得校园网成为易受攻击的目标。非法入侵者有目的的破坏信息的有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。比如:漏洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系统资源导致授权的用
25、户不能获得应有的访问或操作被延迟产生了拒绝服务等。2.2 校园网安全管理和维护的措施与建议通过以上安全缺陷分析,校园网络安全的形式依然非常严峻。制定整体的安全部署解决安全隐患和漏洞,是校园网安全、健康运行的保障。2.2.1 配置高性能的防火墙产品防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。一般来说,防火墙设置在可信赖的内部网络和不可信赖的外部网络之间。防火墙相当于分析器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。所以对防火墙作好安全设置,设定恰当的访问控制策略,保障网络资源不被非法使用和访问。2.
26、2.2 网络设计、使用更合理化在网络设计之初,需要理解终端设备安全事件对网络的影响,确定需要采取的安全措施,通过已知身份验证的设备访问网络,防范未经授权的接触,让入侵者难以进入。这样网络才能提供可预测、可衡量、有保证的安全服务。2.2.3 软件漏洞修复在校园网络系统运行过程中,一方面对用户进行分类,划分不同的用户等级,规定不同的用户权限;另一方面对资源进行区分,划分不同的共享级别,例如:只读、安全控制、备份等等。同时,给不同的用户分配不同的帐户、密码,规定密码的有效期,对其进行动态的分配和修改,保证密码的有效性;配合防火墙使用的情况下,对一些IP地址进行过滤,以防止恶意破坏者入侵;建立补丁更新
27、服务器,部署全局更新机制,实时、高效更新软件漏洞。2.2.4 防杀毒软件系统在互联网技术飞速发展的今天,病毒以每年两千种新病毒的速度递增。在校园网中使用带防火墙的企业版杀毒软件,就能对整个校园网络的起到安全防护的作用,使计算机免受病毒入侵。2.2.5 配备入侵检测系统(IDS)并建立蜜罐陷阱系统入侵检测就是对入侵行为的检测,通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象,而蜜罐的目的在于吸引攻击者、然后记录下一举一动的计算机系统,攻击者入侵后,可以随时了解其针对服务器发出的最新的攻击和漏洞,这样系统就可以及时、有针对性的防范攻击
28、和修复漏洞。2.2.6 系统安全风险评估互联网的不安全因素无时无刻的威胁着网络安全,只有在网络系统所面临的风险进行了有效评估的基础上,才能掌握网络安全中存在的漏洞和威胁,从而采取有效措施控制网络风险。风险评估过程是一个动态循环的,因此必须进行周期性、长期的评估。2.2.7 灾难恢复计划1996年报道的网络攻击方式只有400种,1998年达到4000种。 CERT/CC公布的漏洞数据为,2000年1090个,2002年已经增加至4129个。可以想象,对管理员来说要跟上补丁的步伐是很困难的。而且,入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。尤其是缓冲区溢出类型的漏洞,其危害性非常大而
29、又无处不在,是计算机安全的最大的威胁。我们无论怎么想办法都不可能防止灾难的发生,但为了使灾难发生造成的损失减到最小,就应该在灾难发生之前建立意外事件计划,记录各种灾难发生所产生的影响,并为此作出相应的应对措施。2.2.8 加强管理随着网络技术的迅速发展、应用领域的广泛性以及用户对网络的了解程度加深,恶意破坏者或者非法入侵者对网络安全的影响会越来越大,这就使得网络安全管理工作任务更加艰巨而重要。因而,在网络安全管理工作中必须做到及时进行漏洞的修补和日志的查看,保证网络的稳定性。另外,高校也应该颁布网络行为的相关规范和处罚条例,这样才能更有效的控制和减少来自内部网络的安全隐患。2.3 校园网的安全
30、防范和管理 网络技术的普及,使人们对网络的依赖程度加大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这也就使得高校需要对网络安全做更高的要求,也使得网络安全的地位将越来越重要,网络安全必然会随着网络应用的发展而不断发展。 随着国家网络信息化建设的飞速发展,有越来越多的学校建立起自己的校园网络进行教学和管理,同时,通过Internet的远程教育网络,教育不再受国家、地区、学校、学科的限制,学生能够充分享受教育的多面性、多样性,提高学生学习的趣味性、选择性。但与此同时随着国家网络信息化建设的飞速发展,有越来越多的学校建立起自己的校园网络进行教学和管理,同时,通过Internet的远程教育网络
31、,教育不再受国家、地区、学校、学科的限制,学生能够充分享受教育的多面性、多样性,提高学生学习的趣味性、选择性。但与此同时,愈演愈烈的黑客攻击事件以及非法信息的不断蔓延、网络病毒的爆发、邮件蠕虫的扩散,也给网络蒙上了阴影。在高速发展的校园网及远程教育网络系统中也同样存在着威胁网络安全的诸多因素。一般来讲,重庆信息技术职业学院校园网在安全方面的隐患和威胁虽然也主要来自于病毒和黑客入侵,但其要防护的重点则有着特定的需求。对于校园网而言,需要加强安全防范和管理的体现在三个方面:.防范病毒入侵目前,网络中存在的病毒已经不计其数,并且日有更新。而随着红色代码、Nimda、SQL Slammer等病毒的一再
32、出现,病毒已经成为一种集成了蠕虫、病毒和黑客工具的大威胁,同时其利用邮件这一应用最广泛的手段,随时准备毁坏数据、致瘫网络。.监控网络流量Internet的开放性使得网络信息错综复杂,学生可以轻而易举地访问和浏览各类站点,包括色情、暴力及游戏等不良站点。各种非法、有害的信息:色情的、暴力的,甚至邪教的歪理邪说等,都会通过Internet肆无忌惮地涌入校园,使中小学生这一未成年特殊群体极易受到上述信息的不良诱导,在其幼小的心灵深处埋下灰色烙印。.保护关键资源教学资料、考试试题、学生档案、招生信息等重要数据是校园网中最宝贵的关键资源,也是非法入侵者的攻击对象。2002年一位教师为发泄自身不满,侵入了
33、学校服务器,修改并毁坏了许多学生成绩档案,给学校和教育部门造成了巨大的损失。同时,一旦有病毒爆发,这些数据也将面临毁坏或丢失的威胁。通过以上对校园网安全问题的分析,冠群金辰认为虽然校园网络中各个环节都存在着安全隐患,但要做到全面防护也是有章可循的,整体而言,应该从网关、网络以及主机三个层面进行立体的安全防护。网关防护,御敌门外事半功倍。网关,就像学校的大门一样,是校园网络联通到Internet的出入口,同时,也是大部分病毒和入侵行为的必经之地。所以把好这安全第一关,可以极大地减轻校园网内部的安全防范压力,起到事半功倍的作用1。第3章 重庆信息技术职业学院校园网安全隐患解决方案与实现3.1 防火
34、墙的选择与设计防火墙是网络中重要的第一防线,越来越多的人认识到安装防火墙的重要性,因此我们对防火墙的性能和管理特点加以评测。有7个厂家参加了我们的评测,它们是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computing。重庆信息技术职业学院防火墙网络拓扑图如图3.1。 图3.1 重庆信息技术职业学院防火墙网络拓扑图 从防御功能、应用层高级代理功能、支持网络地址转换、认证支持、协议支持、加密支持、LAN接口等几方面进行对比。其中,Cisco的PIX性能接近线速,比较符合重庆信息技术职业学院校园网网络安全的应用。3.
35、1.1Cisco PIX525防火墙 Cisco PIX525防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟工控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那种EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式, Cisco Firewall PiX525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),
36、2个USB,一个15针的Failover口,还有三个PCI扩展口。3.1.2 Cisco PIX525防火墙的安装和配置(1)将PIX安装放至机架,经检测电源系统后接上电源,并加电主机。(2)建立用户和修改密码用配置线从电脑的COM2连到PIX525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默认。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。 进入
37、Pix525采用超级用户(enable),默然密码为空,修改密码用passwd命令5。(3)激活以太端口激活以太端口必须用enable进入,然后configure模式PIX525enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside。 inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
38、(4)命名端口与安全级别采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside的安全级别(100安全级别最高) security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太端口作为DMZ(Demilitarized Zones非武装区域) 2。(5)配置以太端口IP地址采
39、用命令为:ip address 内部网络为:192.168.1.0 255.255.255.0 外部网络为:222.20.16.0 255.255.255.0 PIX525(config)#ip address inside 192.168.1.1 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0(6)配置远程访问(telnet)PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。PIX525(conf
40、ig)#telnet 192.168.1.1 255.255.255.0 inside PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在开始-运行 telnet 192.168.1.1 PIX passwd:输入密码:cisco(7)访问列表(access-list)有permit和deny两个功能,网络协议一般有IP、TCP、UDP、ICMP等等,只允许访问主机:222.20.16.254的www,端口为:80PIX525(config)#access-list 100 permit ip any host
41、222.20.16.254 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside(8)地址转换(NAT)和端口转换(PAT)首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。 PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 192
42、.168.0.0 255.255.255.0 如果是内部全部地址都可以转换出去则: PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 PIX525(confi
43、g)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0(9)DHCP Server在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器,下面简单配置。地址段为192.168.1.100192.168.168.1.200DNS: 主202.96.128.68 备202.96.144.47 主域名称: DHCP Client 通过PIX Firewall PIX525(config)#ip address dh
44、cp DHCP Server配置:PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 PIX525(config)#dhcp domain (10)静态端口重定向PIX525增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址端口通过Firewall PIX525 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器
45、很安全1。命令格式: static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static (internal_if_name,external_if_name)tcp|udpglobal_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq 外部用户直接访问地址222.20.16.99 telnet端口,通过PIX重定向到内
46、部主机192.168.1.99的telnet端口(23)。 PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.0 外部用户直接访问地址222.20.16.99 FTP,通过PIX重定向到内部192.168.1.3的FTP Server。 PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.0 外部用户直接访问地址222.20.16.208 www(80端口),通过PIX重定向到内部192.168.123的主机的www(80端口)。 PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0 外部用户直接访问地址222.20.16.201
