《毕业设计(论文)校园网站建设.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)校园网站建设.doc(28页珍藏版)》请在三一办公上搜索。
1、 计算机系网络应用毕业论文(二九届)题 目:校园网站建设 教学院系: xxxx 专 业: 计算机网络技术 学生姓名: xxx 指导教师: xxx 评 阅 人: 二一二年五月摘 要本文以校园网络建设的原则为基础,以校园网络建设的拓展,意义为出发点,从校园网络IP地址的分配、上网方式、多服务器技术的应用、网络的安全管理几个方面对我系校园的网络进行了总体规划。利用DHCP协议对校园的所有计算机的IP进行重新划分,服务器使用静态IP地址,学生主机将自动获取动态IP地址。并且还对校园的安全管理提出意见,通过网络扫描工具了解网络中存在的漏洞,并加以填补。关键词:网站建设 IP地址 服务器 安全管理 DHC
2、P目 录摘 要2目 录3引言2第1章 校园网络的建设3第2章 IP地址分配方案42.2.1 分配原则42.2.2 具体方案5第3章 校园上网方式63.1直接通过路由器访问INTERNET资源的配置63.2通过代理服务器访问INTERNET资源的配置83.3直接访问与代理访问并存的配置10第4章 多种服务器技术104.1 FTP服务器104.2 DHCP服务器104.2.1 DHCP 的工作方式114.3 VPN服务器114.4 DNS 服务器11第5章 网络安全管理125.1服务器安全管理125.1.1物理安全策略125.1.2服务器访问控制策略125.1.3信息加密策略145.1.4服务器软
3、件的完善145.1.5数据备份制度的建立及网络安全管理制度的制定145.2路由器访问控制列表的配置155.3访问控制列表配置过程中遇到的问题215.4校园网络安全漏洞分析21第6章 结束语25致 谢25参考文献25引言大学校园的计算校园是培养学习电脑的重要教学园地,而校园建网可以为教师、学生提供一个先进的计算机网络环境,是学校提高教育、科研和管理水平的基础设施。随着计算机技术的广泛应用,我校学生上机实践的要求无论在人数上还是在上机时数上都急剧增加,这样以来对我系学生校园的要求也就越来越高。一个网络环境的好坏,将直接影响到网络的运行效率、网络的安全性等问题,特别是大学计算中心学生校园的网络环境,
4、上机人数多,情况复杂特殊,因而,网络环境的规划及网络安全与管理就显得更为重要。计算机网络系统是计算机科学技术与数据通信技术相结合的产物。它将计算机联接起来,使之达到软、硬件资源的共享,有效的解决单机使用过程中出现的一系列问题,同时使校园管理有了一个质的飞跃。现以我系校园的实际情况出发,坚持开放性和标准化的建网思想,为与校园网的连接做好充分的准备。本文将对我系校园网络环境的规划及网络安全与管理的问题提出一些看法。第1章 校园网络的建设1.1 校园网络建设的意义多媒体学生校园网是我系教学、科研、学科建设和科学管理极为重要的基础设施。它可使学校每一位学生跨越地理位置的束缚,从根本上改变并促进信息交流
5、资源共享,科学计算和科研合作,为教师、科研人员和学生提供一个全新的计算环境。再由于校园网已经成为国内先进高校最主要的基础设施之一,学生校园在与校园网紧密结合前提下能够给同学们创造更多的价值,所以要将高校学生校园建设为集教学、科研、学习、娱乐为一体的多媒体计算机中心。1.2 校园现状及未来目标目前,我系整个校园供有几百台计算机,网络采用千兆以太网,布线系统采用5类非屏蔽双绞线。由于高校的微机是批量采购,现共有5种类型的学生用机,并且均采用Windows xp操作系统。主要用于计算机语言的上机实验,各种计算机软件的教学、上机实验以及网络教学。而服务器共有N台,其中FTP服务器N台,Novell服务
6、器N台,ADSL上网代理服务器N台。未来计算机系校园将成为学院设备最齐全,技术最先进,网络最安全的计算机中心;并且能够紧跟IT行业的发展,让同学们从计算机系校园学到东西,为自己所用。1.3 校园网络建设的原则计算机系校园网络的建设应以功能应用为主线,以加强素质教育、加快创新人才培养为目标。本着效用最大化原则,充分利用有限的投资,在保证网络先进性的前提下,选用性能价格比最好的设备。同时建设应该遵循以下原则: 1.3.1先进性采用最新的技术和产品,在相应的应用领域占有较大的用户市场,在相关计算机技术及网络技术方面处于领导地位。以先进、成熟的网络通信技术进行组网,支持数据、语音、视像等多媒体应用,用
7、基于交换的技术替代传统的基于路由的技术。 1.3.2实用性 计算机系校园网络建设要切实满足本系业务的需要,运行要可靠稳定,易于维护并且网络及系统各方面指标切合实际需要,系统配置设计充分满足需要。综合考虑目前的现状和未来的发展方向,从实用性和经济性出发,选用先进的设备,进行最佳性能组合,利用有限的投资构造一个性能最佳的网络系统,统筹规划,分步实施。 1.3.3可靠性 选用高可靠性的产品和技术,充分考虑系统在程序运行时的应变能力和容错能力,确保整个系统的安全与可靠。 1.3.4开放性 具有良好的开放性,在网络和主机方面可以支持符合国际标准和工业界标准的相关接口。网络协议采用符合ISO及其他标准,如
8、:IEEE、ITUT、ANSI等制定的协议,采用遵从国际和国家标准的网络设备。同时还要和校园网相连,充分发挥计算机系的专业优势。 1.3.5可扩充性 该系统具有良好的扩充能力,可以根据不断增长的业务处理需要很容易地进行系统处理能力和网络规模的扩充。网络在组建时应选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时,必须能保护现有投资。 1.3.6安全性和保密性 在接入Internet的情况下,必须保证网上信息和各种应用系统的安全。第2章 IP地址分配方案2.1 网络结构分析由于现在校园的规模日渐扩大,目前的网络结构已经不能满足需求,以对我系校园的网络结构进行重新的设计,通过一台路
9、由器将我系校园与校园网相接,同学们在上机的时候可以通过校园网连到Internet网,也可以通过ADSL代理服务器直接连到Internet网;校园的主机统一由NOVELL服务器管理,还提供数据库、FTP、VPN服务;同时增设一台DHCP服务器,改变以往的为每一台主机设置一个静态IP地址,现在由DHCP服务器为所有服务器指定静态IP地址,其它主机从DHCP服务器上自动获取动态IP地址。具体方案如下:图1 计算机系校园拓扑结构图2.2 IP地址分配 2.2.1 分配原则 给局域网中每台计算机合理地分配lP地址能够给日常的管理工作带来很大的便捷。在分配lP地址的时候,应该掌握以下几个原则:(1) 不一
10、定要将所有的lP地址分配给计算机但所有计算机必须被分配lP地址。(2) 要分配的lP地址中的“网络号”不能以“127”开头;因为lP地址127OO1通常被保留,以便做测试本机连接时用。(3) 要分配的lP地址中的“主机号”不能全部是“255”;因为“主机号”全是“255”的lP地址被定义为此lP地址所处网段的广播地址。(4) 要分配的lP地址中的“主机号”不能全部是“O”:因为“主机号”全是“O”的lP地址被用来标识此lP地址所处的网段的网络号。(5) 为每个子网分配的“网络号”必须是唯一的。(6) 要分配的lP地址中的“主机号”在此lP地址所处的网段中必须是唯一的。 (7) 分配lP地址时应
11、本着“合理规划,预留扩展,顺序分配,便于管理”的原则,尽可能地按照部门或用户集来分配lP地址,并且为每个部门或用户集预留适当的扩展空间。2.2.2 具体方案TCP/IP协议需要针对不同的网络进行不同的设置,且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过,可以通过动态主机配置协议(DHCP),给客户端自动分配一个IP地址,避免了出错,也简化了TCP/IP协议的设置。由于新的网络结构中要增设一个DHCP服务器,并且由该服务器来分配IP地址,所以每一台计算机不用设置静态IP地址,校园的每台学生机都自动从DHCP服务器获取动态IP地址,其他服务器,则由DHCP服务器指定I
12、P地址。192.168.0.0是一个C类私有网络,但在此规划中,将把它规划分成若干个子网,通过借用第三个8位地址组的前6位来创建子网,每个子网可以产生2-2=62个子网,每个子网有2- 2=1022台主机,这对我系的300多台主机来说已经是足够了。我打算采用192.168.128.0/22这个子网,其子网地址为192.168.128.0,广播地址为192.168.131.255,其它范围是192.168.128.1192.168.131.254,子网掩码为255.255.252.0。为了校园的发展考虑,用DHCP服务器给所有服务器指定静态IP地址,将192.168.128.90192.168.
13、128.254保留给服务器,192.168.128.1192.168.128.89与192.168.128.255192.168.131.254留做其它主机自动获取的动态IP地址。其结构图如下:图2 计算机系校园IP地址分配图第3章 校园上网方式3.1直接通过路由器访问INTERNET资源的配置由于校园网络的建设成功并且开始运行,我系的所有机器也打算与校园网络连接起来,而不仅仅是使用两根ADSL作为代理,仅仅靠两根ADSL作为我系300多台机器的代理,带宽明显不够,加上我系同学要在互联网上考Cisco,如果100多个人同时访问国际互联网,如果本地基础设施上不去的话,那随时可能出现网带变慢或者根
14、本无法进行正常的考试。我系购买的港湾路由器的配置,其型号为NetHammer M141。该路由器只有两个接口,而且两个都是以太网口。Ethernet0接口连接我系的内部网络,而Ethernet1接口则连接校园网络。内部网络同样使用私有地址空间192.168.0.0,而内部全局地址是由校园网络中心分配的,其地址范围为218.194.114.243-218.194.114.253。为了便于对我系300多台机器的地址管理,决定配置一台DHCP服务器统一对300多台机器进行地址服务,而且将192.168.0.0这个私有地址空间利用子网掩码技术把它当成一个B类网络,借用第三个8位组的前6位来创建子网,则
15、可创建62个可用子网,而剩余的共10位留作创建主机,则每个子网可创建1022台可用主机,其相应的子网掩码为255.255.252.0。这样整个计算机系只需要使用其中的一个子网就足够了,这里打算使用192.168.128.0/22这个子网,其广播地址为192.168.131.255/22。由于系里还有很多服务器,这些服务器要配置静态的IP地址,所以得留出一部分地址空间出来服务器使用,这里将留出192.168.128.90-192.168.128.254地址空间作为服务器和路由器之用。路由器内部以太网口使用内部地址192.168.128.254/22,而外部以太网口使用学校分配的全局地址218.1
16、94.114.243。见下图图3解决方案:interface ethernet0/0ip address 192.168.128.254/22ip nat insideinterface ethernet1/0ip address 218.194.114.243/24ip nat outsideip access-list 1 permit 192.168.128.0/22ip nat pool jkx 218.194.114.244 218.194.114.249 netmask 255.255.255.0ip nat inside source list 1 pool jkx overlo
17、adip nat inside source static 192.168.128.250 218.194.114.250ip nat inside source static 192.168.128.251 218.194.114.251ip route 0.0.0.0/0 218.194.114.254在与校园网的连接中不仅仅使用了动态地址转换,也使用了静态地址转换,还使用了端口地址转换(PAT),由于与校园网连接起来,所以还配置了默认路由(218.194.114.254是校园网那头的网关)。还需要指出的是,DHCP服务器的地址为192.168.128.253/22,在配置DHCP服务时,
18、除了配置地址池,还要配置路由器内部接口地址(内部网关)和学校网络中心的域名服务器地址,主域名服务器地址为202.203.132.1,备用域名服务器为202.203.132.100。3.2通过代理服务器访问INTERNET资源的配置利用代理服务器方式访问INTERNET资源,优点是可以利用代理服务器提供的CACHE服务来提高INTERNET的访问速度和效率。比较适合工作站较多的单位使用。缺点是需要专门配备一台计算机作为代理服务器,增加了投资成本。采用这种方案来访问互联网,设备连接方法如下:代理服务器上安装两块网卡,一块连接内部网,通过DHCP服务器指定内部私有地址;另一块连接ADSL调制解调器口
19、,自动获取IP地址,这样,将设备连接好后,在代理服务器上安装代理软件,并在工作站上设置代理即可访问INTERNET。如图所示:图4打开IE浏览器,在工具栏中选择Internet 选项图5在Internet 选项中点击连接,并点击局域网设置项图6设置代理服务器地址为192.168.128.90/192.168.128.91,端口:8080最后确定就设置好了通过代理服务器连接Internet网。3.3直接访问与代理访问并存的配置通过上面介绍的两种方法进行配置,都能顺利地实现INTERNET的访问,但每种方法即有优点,又存在一定的缺点,且两种方法的优点是互补的。那能不能将两种方法的优点合二为一,方法
20、三就是一种鱼和熊掌能够兼得的方案。在我系校园中就应该将两种方式结合起来。采用这种方案来访问互联网,设备连接方法如下:代理服务器上安装两块网卡,一块网卡连接在交换机上,另一块连在ADSL猫上,在设置IP地址时,连接内部网络的网卡设置内部私有地址,比如说192.168.128.90(255.255.252.0),另外一个网卡让它自动获取IP地址;路由器的一个接口连在交换机上,设置其IP地址为区分于代理服务器上连接内部网络的那块网卡的网络地址,比如说设置为192.168.128.254(255.255.252.0),另外一个接口连在学校校园网接口上,IP地址的设置与直接连接路由器时的相同。在这种配置
21、之下,工作站既可以通过设置代理上网,也可以通过路由器连接到校园网再连入INTERNET。在校园上网时,如果想通过ADSL代理,那么方法和上面介绍的一样,在IE浏览器的INTERNET选项里设置代理服务器;如果想通过校园网,那么将IE浏览器的INTERNET选项里设置为自动检测设置,使用自己的校园网帐号就可以上网了。第4章 多种服务器技术4.1 FTP服务器FTP 是File Transport Protocol 的缩写, 它是一种进行文件传输的协议。FTP 服务器是供用户下载(download)或上传(upload)文件的服务器, 通过它, 我们可以在两台不同的计算机间交换各种文件。在众多的I
22、nternet 网络应用中, FTP 是常用的一种, 因为各种各样的软件资源大多数都是存放在FTP 服务器中的。FTP 服务器根据服务对象的不同可分为匿名FTP 服务器(Anonymous Ftp Server) 和系统FTP 服务器。前者可以使连上FTP 服务器主机的任何人使用, 只要以anonymous 作登录帐号, 就可访问服务器上的资源。后者只允许在FTP 服务器上有合法账号的人才能使用。4.2 DHCP服务器DHCP是动态主机配置协议(Dynamic Host Configuriation Protocol)的英文缩写,它能够自动完成系统IP地址的管理工作。在Internet和Int
23、ranet 网络上,对每个使用TCP/IP协议的主机而言,一个独立的IP地址是必不可少的,有了IP 地址才能与网络上其他的主机进行通讯,但是,并不是每一个主机用户都能对TCP/IP进行恰当的配置。由于校园网络管理与设置的复杂性,如添加或移走网络中的一台计算机、更换网卡等硬件设备等,在这种情况下,就要对主机的IP地址重新设置。为了便于网络管理,只要我们将一台Windows NT Server计算机配置为使用DHCP,就不再需要我们手工管理文本文件中大量的网络名称及地址了。因为我们不再分配一个固定的IP地址给某个计算机,该工作站计算机会自动寻找到网络中的DHCP服务器,然后在一定的时间间隔后自动获
24、得一个IP地址。4.2.1 DHCP 的工作方式使用DHCP时,要求整个网络中至少有一台Windows NT Server计算机运行有DHCP服务,同时,要使用DHCP功能的工作站也必须配置为支持DHCP。其工作方式如下:DHCP工作站在启动时,自动与DHCP 服务器通信,向DHCP 服务器发出IP地址租用要求,然后DHCP服务器向工作站提供IP地址设置信息(其中也可以包括WINS 服务器地址)。DHCP服务器可以按下面两种方式向工作站提供IP 地址(1) 自动分配自动分配(Automatuic aollaction)是指在DHCP工作站第一次向DHCP 服务器发出请求并成功租用IP地址后,这
25、个地址就永远分配给它使用。这一种方式显然没有太大的优越性。(2) 动态分配 动态分配(Dynamic aollaction)是指在DHCP工作站第一次向DHCP服务器发出请求并成功租得IP地址后,DHCP只能暂时使用这个地址。也就是说,DHCP服务器提供的这个地址有一定的期限,这个期限称为租用期(lease)。只要租用期结束,DHCP 服务器就会把这个地址收回,并将提供给其他的DHCP工作站使用。当然,该工作站也可以在租用快到期时请求一个新的租赁来继续使用这个地址。动态分配的最大好处就是可以解决IP地址不够用的问题。因为在实际应用中我们一般将自己的局域网配置为C类,在这样的网络中,最多只能支持
26、254台主机。假定网络上有350台,那么IP地址不够用的情况就发生了。根据上面的概念,在DHCP服务中,IP地址是动态分配而不是固定给具体某台工作站使用的,那么只要有空闲的IP地址可用,DHCP 服务器就会在工作站请求时分配一个IP 地址给它,而一旦工作站不再需要该地址,DHCP服务器就将其收回,重新分配给其他需要的工作站。4.3 VPN服务器虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。它包含了类似Internet的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式
27、通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点,VPN实际上是“线路中的线路”,类型于城市大道上的“公交专用线”,所不同的是,由VPN组成的“线路”并不是物理存在的,而是通过技术手段模拟出来,即是“虚拟”的。不过,这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”,它具有良好的保密和不受干扰性,使双方能进行自由而安全的点对点连接。4.4 DNS 服务器由于信息产业的发展蓬勃发展Internet和Intranet迅速遍及全球,而DNS(域名服务器)对于Internet和Intranet的建立是必不可少的。建立DNS服务器的主要目的是利用计算机名代
28、替IP地址以寻址定位资源。每当DNS工作站提出IP地址查询请求时,就由DNS服务器的数据库提供所需数据完成域名解析的任务。DNS 服务器是一个域名解析服务器,网络上的机器通过连接该服务器实现域名到IP地址的解析过程,从而能连接到正确的目标主机。建立DNS服务器的优点在于:它无需为网络上的每一台机器动态去维护一张Hosts表或Hosts文件,而是将该项映射工作统一集中到DNS服务器上来完成,达到集约高效的目的。第5章 网络安全管理我系校园的规模不断扩大,无论是从学生的需求量还是从校园电脑的数量上,都在快速的发展。在这种情况下, 校园网络的安全管理是校园安全管理的重点,网络的安全将直接影响到整个校
29、园的安全。 5.1服务器安全管理服务器的安全是网络安全的重点,保护好服务器工作至关重要,下面就对服务器的安全管理进行分析。5.1.1物理安全策略 毫无疑问,物理安全是第一位的,没有物理安全的系统谈不上有什么安全。简言之,物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 抑制和防止电磁泄漏(即TEMPEST技术)也是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对
30、传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对校园的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用于扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。5.1.2服务器访问控制策略建立完整的访问控制策略是非常必要的,它包括用户登录管理、服务器硬盘访问的权限控制、服务器属性安全控制、网络端口和节点的安全控制、防火墙控制等。 服务器的安全是整个网络安
31、全的核心,访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。在实施访问控制策略的时候,要特别提防Windows 2000服务器操作系统默认设置的影响,尽量避免人为的错误,下面我们分述服务器访问控制策略里包含的几个方面的策略。(1) 用户登录管理用户的登录管理控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的登录控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关末过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防
32、线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒于网络之外。用户的口令是用户人网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其它字符的混合。特别提出要注意的是用户往往出于惰性将自己的密码设成123456之类或者自己生日等等容易记的东西,要知道容易记的东西别人也容易猜,作为系统管理员,可以在Windows 2000的组策略中仔细拟定密码的复杂程度。同时一定提醒用户不要把密码放在显眼的地方(例如用便条纸写下之后贴在电脑旁等等)。 网络管理员应该可以控制
33、和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户所必需有的、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许人网的宽限次数以及用户多次尝试登录失败之后的处理等等。(2) 服务器硬盘访问的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受
34、托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。将用户进行分组,之后再对该组别赋予必要的权限是非常好的一种做法,理想的情况下每个用户都会属于一个以上的组。(3) 服务器属性安全控制 网络应允许控制用户对目录、文件、设备的访问。用户在目
35、录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效
36、地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。 当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保
37、护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。 网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。(4) 网络端口和节点的安全控制 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证
38、实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进人用户端。然后,用户端和服务器端再进行相互验证。关于这一层次的安全控制,请参考微软公司在其网站上发布的安全服务详细信息。(5) 防火墙控制 防火墙是保护网络和服务器不受外界攻击的一种极有效的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有以下三种类型: 包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器上实现包过滤。这种防火墙可以用于禁止外部不
39、合法用户对内部的访问,也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包,无法实施对应用级协议的处理,也无法处理UDP、RPC或动态的协议。 代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务(如多媒体)。现在较为流行的代理服务器软件是WinGate和Proxy Server。 双穴主机
40、防火墙:该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡,分别连接不同的网络。双穴主机从一个网络收集数据,并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据,从而保护了内部网络不被非法访问。5.1.3信息加密策略 我们在这里讲的信息加密,主要是指将硬盘上的数据进行加密,系统管理员可以根据需要选择合适的加密软件,可以将整个硬盘进行加密;也可以选择其它软件对单个文件或者文件夹进行加密,总之密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和人网,而且也是对付恶意软件的有效方法之
41、一。5.1.4服务器软件的完善 计算机技术是不断向前发展的,这也意味着服务器软件也将不断完善。例如微软的Windows 2000操作系统,不定期都会有新的补丁程序出来,因此,留意微软的安全公告以及补丁程序的出台,是系统管理员的一项非常重要的工作,系统管理员应该依据需要及时给系统打上补丁。5.1.5数据备份制度的建立及网络安全管理制度的制定 一套完整的、切实可行的、安全的数据备份制度都是相当必要的,有关数据备份制度的细节我们不在这里讨论,请参考有关文档,毋庸置疑的是一份可靠的数据备份是非常重要的,而另一个容易忽略的事实是:由于对备份的数据存放不妥当或者权限控制丢失导致数据泄密的情况时有发生。 在
42、服务器(或者网络)安全管理中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,也将起到十分有效的作用。5.2路由器访问控制列表的配置访问控制列表是网络防御外来攻击的第一关。另外,访问控制列表还是一种控制信息流通过路由器接口的机制。网络管理员可以使用访问控制列表设计网络操作和控制网络数据流。反过来,通过使用路由器的访问控制列表,网络管理员也可以建立特定的网站建设策略。访问控制列表(access control list)是一个有序的语句集合,它通过匹配数据包中信息与访问控制列表参数,来允许数据包通过或拒绝数据包通过某个接口。这样的定义并不意味着安全
43、中任何问题都能够用访问控制列表解决,也不意味着使用访问控制列表根据数据包中特定参数建立一种安全策略或者实现一个数据流。对于我系校园来说,在与校园网相连的路由器上配置访问控制列表,有利于校园网络的安全,下面就对我系校园与校园网相连的路由器进行配置:图7图8图9图10图11图12图13图14图15图16图17以上为路由器访问控制列表配置的全过程,整个配置了3条列表信息,第1条配置在路由器与校园网络的接口上(图7,图9),其作用是允许192.168.128.0/22子网通过路由器访问校园网;第2条配置在路由器与校园网的接口上(图8,图10),其作用是禁止192.168.0.0/16子网通过路由器访问
44、我系校园的网络;本身校园网与Internet之间就有比较安全的防火墙了,但是考虑到要让我系校园更安全,所以配置了拒绝某些不安全的端口的列表,第3条就是针对这些不安全端口配置的列表信息,将它配置在路由器与校园网的接口上(图12、图13、图14、图16),其作用是禁止端口为135的信息的进入,还有一些不安全的端口,如136、137、138、139等,其配置方法都与135的一样。图11,图17是配置结果的显示。5.3访问控制列表配置过程中遇到的问题在配置访问控制列表的过程中遇到一个不理解的问题:理论上在任何一个接口上可以配置很多条列表信息,但是在对路由器与校园网的接口上配置列表信息时,在第2条列表信
45、息配置完成后,又对此接口配置了第3条列表信息,当第3条列表信息配置完成后,我查看配置结果时,发现在此接口上,原来配置的第2条信息不见了,只有第3条信息。针对此问题,我重复配置过很多次,其结果都是一样的。5.4校园网络安全漏洞分析在我系校园DHCP服务器对其他服务器进行IP地址指定之后,我用扫描工具XScan对校园的服务器进行了扫描,发现有很多漏洞需要我们完善。下面就将所扫描出的结果进行分析:XScan扫描参数设置:图18扫描的范围:正在检测192.168.128.91 .192.168.128.91: 正在检测存活主机 .192.168.128.91: 正在检测开放服务 .192.168.12
46、8.91: 正在检测NT-Server弱口令 .192.168.128.91: NT-Server弱口令扫描完成.192.168.128.91: 正在检测NetBios信息 .192.168.128.91: 正在检测Snmp信息 .192.168.128.91: Snmp信息扫描完成.192.168.128.91: 正在检测远程操作系统 .192.168.128.91: 远程操作系统扫描完成.192.168.128.91: 正在检测FTP弱口令 .192.168.128.91: 正在检测Anonymous pub .192.168.128.91: Anonymous pub扫描完成.192.168.128.91: 正在检测POP3弱口令 .192.168.128.91: POP3弱口令扫描完成.192.168.128.91: 正在检测SMTP弱口令 .192.168.128.91: SMTP弱口令扫描完成.192.168.128.91: 正在检测SQL-Server弱口令 .192.168.128.91:
