2022年校园网网络安全分析及安全解决方案 .pdf

《2022年校园网网络安全分析及安全解决方案 .pdf》由会员分享，可在线阅读，更多相关《2022年校园网网络安全分析及安全解决方案 .pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园网网络安全分析及安全解决方案摘要： 该文详细分析了校园网的安全问题并提出了相应的对策。在分析校园网原有的网络安全措施的基础上， 针对校园网在运行中所遇到的实际问题，对电子邮件过滤检测， 入侵检测， 病毒检测， 防火墙设置等多方面提出了综合性安全解决方案。关键字：网络安全，校园网，入侵检测，病毒检测，防火墙一、网络安全的现状分析我院校园网由网络中心、 主干网和各楼内的局域网组成。 主干网以千兆以太网为主， 覆盖整个校区。部门级交换机根据下连的计算机数量和网络应用的级别，与中心交换机实现千兆、 百兆连接。校园网的主干网中采用的是子网过滤结构的双路由器的结构。Linux 服务器执行堡垒主机的功能

2、，采用Red Hat Linux 7.2版作为操作系统。该系统装有单一集成的可管理的软件包，提供各种服务，包括入侵保护、性能加速、安全的VPN能力以及对外 Internet访问的全面控制等。由该主机的包过滤防火墙保护内部网络免受来自Internet的侵害。过滤范围包括内部网络和堡垒主机之间的数据包，以防堡垒主机被攻占。同时，在该堡垒主机上，运行多种服务器，如：电子邮件服务器、web服务器、 FTP服务器等等。Intel Express 550T Routing Switch实现内部路由的功能，有效地阻断内部子网间的广播包发送，最大限度地减轻了网络负担。二、校园网络中不安全的主要问题现阶段，我院

3、校园网的主题架构已经成型，然而随着对网络服务要求的进一步提高， 我们还要全面地解决在运行中所出现的问题，从而提供更加完善的服务。1. IP盗用问题校园网内部连接有几千台电脑， 一部分电脑通过正常的申请途径申请得到合法的 IP 地址，另一部分则不然。当某些没有IP 地址的用户，冒用他人的合法IP 地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。2. 防火墙攻击名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 5 页 - - - - - - - - - 防火墙

4、系统相关技术的发展已经比较成熟，防火墙系统很坚固， 但这只是对于对外的防护而已， 它对于内部的防护则几乎不起什么作用。然而不幸的是， 一般情况下有 70% 的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。3. Email问题由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的 Email用户发一些不良内容的信件， 有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email 系统也是一个待解决的问题。4. 各种服务器和网络设备的扫描和攻击有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器

5、拒绝提供服务，或造成校园网不能提供正常的服务。5. 非法 URL的访问问题对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。6. 病毒防护互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。 病毒从网络之间传递， 并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。近阶段泛滥的 尼姆达病毒 就是典型的例子。 因此，如何让校园网更安全， 防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。三、校园网安全的解决方法现阶段，由于我院校园网已有较完善的网络系统架构，因此，在保证现有网络工作顺通的同时，

6、 再进行开发和完善是解决校园网网络安全的最佳选择。现提出以下解决方法。1. 采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动， 从而达到限制这些活动， 以保护系统的安全。 在校园网中采用入侵检测技术，最好采用混合入侵检测。需要从两方面来着手- 基于网络的入侵检测和基于主机的入侵检测。（1）基于网络的入侵检测名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

7、 - - - 名师精心整理 - - - - - - - 第 2 页，共 5 页 - - - - - - - - - 该检测主要通过定期使用专用的网络监视软件分析网络数据流量、主要数据内容来完成，例如使用Intel Express 550T Routing Switch所带的专用管理用具 Intel Device View 对交换机、端口间的每秒输出包、输入包、广播包的数量进行统计，若发现网络中有某台机器的流量超过正常值，则表示该主机可能感染了某种病毒导致不停地向网络中发出各种进攻。前不久出现的红色代码II 就可以用此方法进行入侵检测。 感染了此病毒的主机将会建立300 个线程不定时随机生成 I

8、P 地址作为攻击目标发出攻击，这样的主机在网络流量监视中是显而易见的。另外，当得知某端口的主机网络流量出现异常时，也可使用专用的网络数据监视器对其发出和接受的数据进行具体监视，例如使用微软SMS(System Manager Server) 所带的网络监视器利用SNMP 协议对某端口出入数据进行详细分析，可统计出该主机具体是哪种协议、哪个端口所发的数据最多， 以及具体的数据内容。例如监视某台感染有 红色代码 II 的 NT服务器时，则会发现目标端口为 80(HTTP)的 TCP协议通讯量极高。（2）基于主机的入侵检测该项检测主要通过防火墙日志以及各种服务软件的日志统计来完成，例如在日志中统计出

9、某时间段服务器接收到来自同一地址的嗅包数量超过一定数值，那么就该考虑是否要在防火墙中加入一条拒绝规则了。又如在 FTP服务器中发现某时段某用户登录失败次数超过100 次以上，这就表示极可能有黑客在用穷举法试图破译某 FTP用户的密码。2. Web、Email、BBS的安全监测系统在校园网的 WWW服务器、 Email 服务器等各种服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的 WWW、Email、FTP 、Telnet 应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容， 及时向上级安全网络中心报告，采取措施。 并利用

10、专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图，可以对访问地址和流量进行分析，对于明显的攻击便可一目了然了。3. 在 Linux 下配置防火墙防火墙是一种行之有效且应用广泛的网络安全机制，能够有效防止 Internet上的不安全因素蔓延到局域网内部。防火墙从原理上可以分为两大类：包过滤（Packet Filtering）型和代理服务（ Proxy Service ）型。根据我校具体情况，采用如下防火墙配置方案：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，

11、共 5 页 - - - - - - - - - 利用 Linux 核心中的 IP 链(IP Chains)规则建立包过滤防火墙。规则具体如下： # 先用 -F 选项清除掉所有规则 # 假设服务器内网 IP 为 192.168.0.22 ，公有 IP 为 210.77.217.82 。将服务器在内网的地址除开放DNS 、POP3 、Route、FTP 、Telnet 、Web 、SMTP 外其他服务全部封死 # 服务器对外仅提供POP3 、FTP 、Web 、SMTP 服务使用 IP 链规则建立防火墙的主要原因并不是因为它是免费软件，而是因为 IP 链规则是一套直接编译在Linux 核心中的防火

12、墙，其运行效率是其他外挂在操作系统上的软件防火墙所无法比拟的，因此假若希望在流量较大网络接口安设防火墙，而又不想购买昂贵的硬件防火墙时，采用IP 链规则建立包过滤防火墙是一个不错的选择。4. 利用 Squid 代理服务与防火墙规则结合构筑透明代理使用 IP 链规则可以使内网的主机不需要做任何设置就可以访问Web ， 但其缺点就是当内网数台主机先后访问Internet上某一站点时，第一台将该站点的主页以及页面中的图像从Internet下载到本机，而其它几台访问时也要重复相同的操作，即从Internet下载了同样的内容，这样的重复劳动自然会浪费相当多的带宽，而使用具有Web缓存(Web cache

13、) 的代理服务器便可解决此问题。在第一台主机访问该站点时代理服务软件将此网页的内容缓存到本地硬盘，而后其他主机再次访问该站时， 代理服务器只是检测该网页是否有更新，若无更新便直接将本机的缓存传送过去， 这样既可以节省带宽又有效地提高了上网速度。例如Linux 上的 Squid 代理服务就是一套高效快速的代理服务软件。但麻烦的就是必须在每台机器上设置Web 代理服务器， 此时可以简单地使用IP 链规则来省略这一操作，即在规则中加入一条转递规则，将访问任何地址80(HTTP)端口的封装包都强制转发到 Linux 服务器上安装的代理服务器侦听端口。这样使内网任何用户访问Internet前都令其通过代

14、理服务器后再访问，不仅有效地加快了上网速度， 又可以利用 Squid 代理服务过滤掉内网无效访问和攻击，实现了透明代理。5. 对于无法使用IP 伪装方式访问Internet的特殊协议与软件采用Socks代理服务。Socks 是一组是用客户端 / 服务器端结构的 Proxy 协议。Socks 的软件组成包名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 5 页 - - - - - - - - - 含 Socks 服务器程序及Socks 客户端应用程序库。用户的应用程序只要支持

15、Socks 协议就能通过 Socks 代理服务器连接到防火墙外的网络。6. 漏洞扫描系统解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、 评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下， 可以利用各种黑客工具， 对网络模拟攻击从而暴露出网络的漏洞。7. IP盗用问题的解决在路由器上捆绑 IP 和 MAC 地址。当某个 IP 通过路由器

16、访问 Internet时，路由器要检查发出这个IP 广播包的工作站的MAC 是否与路由器上的MAC 地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP 广播包的工作站返回一个警告信息。8. 利用网络监听维护子网系统安全对于校园网外部的入侵可以通过安装防火墙来解决，但是防火墙对于校园网内部的侵袭则无能为力。 在这种情况下， 可以采用这样的方法： 为校园网内部的各个子网做一个具有一定功能的审计文件，为管理人员分析内部网络的运作状态提供依据。总之，通过以上方法，以及校园网中的原有网络安全措施，基本上可以建立一套相对完整的网络安全系统。不过，网络安全是一个系统的工程， 不能仅仅依靠防火墙等单个的系统， 而需要仔细考虑系统的安全需求， 并将各种安全技术，如密码技术等，结合在一起，才能生成一个高效、通用、安全的网络系统。【参考文献】1 梁亚声等编计算机网络安全技术教程机械工业出版社 2004. 2 计算机网络安全教程国防工业出版社 2001. 3 凌雨欣编网络安全技术与反黑客冶金工业出版社 2000. 4 计算机信息系统安全技术群众出版社 2001 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 5 页 - - - - - - - - -