2022年防火墙与入侵检测在校园网中的应用 .pdf

《2022年防火墙与入侵检测在校园网中的应用 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙与入侵检测在校园网中的应用 .pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2010-2011 学年度第一学期综合设计（网络工程方向）题目防火墙与入侵检测在校园网中的应用学号071714227 姓名Berry_net2011 年 1 月 19 日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 14 页 - - - - - - - - - 防火墙与入侵检测在校园网中的应用摘要：网络技术的发展正在改变校园内人们的学习生活，我们在享受其带来的巨大的进步与利益同时， 数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。 作为开放网络的

2、组成部分， 校园网络的安全也是不可忽视的。目前，校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等， 目前校园网所应用的很多安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护， 不能主动跟踪入侵者。 而入侵检测则属于动态安全技术，它能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为。校园网一般采用防火墙作为网络安全的第一道防线。而入侵检测系统是计算机网络安全的一个重要组成部分，它可以实现实时入侵检测的功能，主动保护网络免受攻击， 是防火墙的合理补充。 扩展了系统管理员的安全管理能力，提高了

3、信息安全基础结构的完整性。本文进一步比较了防火墙和入侵检测系统各自的区别和联系，经过探究它们的优缺点，提出了将防火墙与入侵检测结合相互取长补短，更好的发挥各自的优势功能这一结论。 结合校园网的建设和管理， 提出一种在校园网中将防火墙与入侵检测联动起来相互运行的理念，将入侵检测作为防火墙的一个有益的补充，防火墙便可以通过入侵检测及时发现其策略之外所遗漏的攻击行为。入侵检测也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。关键词：校园，防火墙，入侵检测名师资料总结 - - -精品资料欢迎下载 - - - -

4、- - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 14 页 - - - - - - - - - 目录1 需求分析 . 1 1.1 技术背景 . 1 1.2 基本需求 . 1 1.3 研究意义 . 2 2 网络设计与组网规划. 4 2.1 防火墙 . 4 2.2 入侵检测系统 . 4 2.4 网络架构图 . 6 2.5 IP 地址及 VLAN的划分 . 8 3 物理网络设计 . 8 3.1 结构化布线设计. 8 3.2 设备选型 . 8 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -

5、 - - - - 名师精心整理 - - - - - - - 第 3 页，共 14 页 - - - - - - - - - 1 1 需求分析1.1 技术背景在网络技术快速发展和互联网不断普及的今天，网络安全问题越来越引起社会各界和大众的关注。 随着网络安全技术的进一步发展，各种网络安全技术， 如防火墙技术、 防黑客技术、 加密技术以及入侵检测技术等等，这些技术从总体看来，可划分为两种：静态安全和动态安全技术。其中以防火墙为代表的静态安全技术，是一种被动的防御技术，它只能对出入网络的数据进行控制， 难以防范内部的非法访问。 其缺点是不能主动跟踪入侵者，需要人工来实旖和维护； 而以入侵检测为代表的动

6、态安全技术则是一种主动防御手段， 它能够主动检测网络的易受攻击点和安全漏洞，并且通常能够先于人工探测到危险行为 能够实时分析网络内部的通信信息，检测出入侵行为或入侵企图，在网络系统受到危害前以各种方式发出报警，并且及时对网络入侵行为采取相应的措施，最大限度的保护了网络系统的安全。校园网作为高校教育和科研的重要基础设施承担着学校教学、 科研、管理和对外交流的重要角色。 以前校园网的安全问题并不突出，随着校园网的建设规模扩大、信息点的增加，资源共享、网络教学、电子商务、学校办公等通过网络进行的活动不断深入。 校园网上的各种数据信息便不断增加，在我们享受着网络给教学带来便捷的同时， 也体会到了各种负

7、面因素带来的困扰，例如：病毒侵犯、保密资料外泄等等。 所以，对于校园网这个特殊而又重要的局域网来说，建立完备的校园网安全防护体系， 保护校园网内部信息资源不受侵害，确保网络教学等活动得以正常运转。 校园网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。1.2 基本需求防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入， 可有效地保证网络安全。 防火墙系统是一个静态的网络攻击防御， 同时由于其对新协议和新服务的支持不能动态的扩展，所以很难提供个性化的服务。入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集名师资料总结 - - -精品资

8、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 14 页 - - - - - - - - - 2 信息，并分析这些信息 , 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS 被公认为是防火墙之后的第二道安全闸门，从网络安全立体纵深、多层次防御的角度出发， 对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点，为网络安全提供实时的入侵检测及采取相应的防护手段。 入侵检测是对防火墙的合理补充，帮助

9、系统对付网络攻击， 扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。由些可见，它们在功能上可以形成互补关系。由于网络协议本身在设计和实现上的一些不完善因素，随之而来的Intemet入侵事件也就层出不穷。随着Intemet的发展，网络与信息安全问题日益突出。在所有的安全事故中有些涉及到了一个站点或一台计算机，有些则涉及到了成百上千的站点和计算机， 而且持续相当长的时间。 除了发生安全事故的数量急剧增长外，侵袭的方法与手段也日趋先进和复杂。特别是近年来， 通过计算机实施犯罪的案件数量急剧上升， 如果对网络安全问题掉以轻心，互联网络就可能会让用户的正当利益受到严重侵害， 还可能带来重

10、大的经济损失， 甚至对国家安全产生负面影响。具体到教学范畴，随着校园网的建设和普及，教与学不可避免的与Intemet产生越发密切的联系，师生通过网络进行网上教学、网上交流、网上专题讨论、网络检索所需信息以及收发电子邮件等活动。在享受网络给教学带来便捷的同时我们也体会到了各种负面因素带来的困扰，例如：病毒侵犯、保密资料外泄等等。所以，对于校园网这个特殊而又重要的局域网来说，建立完备的校园网安全防护体系， 保护校园网内部信息资源不受侵害，确保网络教学等活动得以正常运转，校同网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。1.3 研究意义校园网的主要服务对象是学生。 对于学生这个群

11、体来说 有着其显著的生理特征和心理特点：年轻、好动、极富想象力、充满热情并积极投入实践，但同时心智与是非观念尚不成熟， 人生观和价值观还没有完全成形。所以这个年龄段的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 14 页 - - - - - - - - - 3 年轻人恰恰是攻击者、 入侵者最多发的年龄段。 校园网的特点是面积广。 速度快，使用者人数众多并且相对集中， 相对于电子商务和政府行政、 国防军事等重要部门所使用的网络来说， 网络安全相对薄弱一些， 甚至于有些校园

12、网并不重视网络安全， 导致自身的防护能力极其有限。 防护能力的薄弱会导致入侵成功率的增大，而任何成功的入侵都有可能给校园网带来不可预测的后果，轻则破坏、恶意修改主页，重则清除数据库，删除重要文件，窃取科研和考试机密，甚至会使整个校园网络瘫痪， 给学校的公众形象、 正常教学和行政工作造成不必要的麻烦和严重的后果。所以说作为开放网络的组成部分，校园网的安全问题是不容忽视的。对于学校政治宣传和安全保密部门来说，则希望对非法的、 有害的、涉及国家机密的信息进行过滤和堵塞，保证机密的数据信息不会外泄，避免对社会产生危害，给国家造成损失。 一般来说， 校园网己经具备的网络安全技术有防火墙、代理服务器、过滤

13、器、加密、口令验证等等。而目前学校里更多应用的安全设备都属于被动防御措施。作为被动防御措施的代表防火墙是位于两个信任程度不同的网络之间的软件与硬件设备的组合， 它对两个网络之间的通信进行控制，通过强制实施统一的安全策略， 防止外部非法用户对重要信息资源的非法存取和访问，以达到保护系统安全的目的。 但是我们也必须看到， 作为一种周边安全机制， 防火墙无法控制内部网络中的行为， 它只能在网络层或应用层进行访问控制，无法对通信的内容数据进行监控。 防火墙只是一种基于策略的被动防御措施，是种粗粒度的防御手段，缺点是需要人J 二来实施和维护，不能主动跟踪入侵者，无法自动调整策略设置来阻隔正在进行的攻击，

14、也无法防范基于协议的攻击。 作为主动防御措施的有效补充 入侵监测系统是一种主动防御手段， 能够主动检测网络的易受攻击点和安全漏洞， 并且通常能够先于人工探测到危险行为，能够实时分析内部网络的通信信息， 检测出入侵行为或入侵企图， 在网络系统受到危害前以各种方式发出报警， 并且及时地对网络入侵行为采取相应的措施最大限度的保护网络系统的安全。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 14 页 - - - - - - - - - 4 2 网络设计与组网规划2.1 防火墙防

15、火墙 (Firewail)是一种安全有效的防范技术。 防火墙是一个或一组网络安全设备，它位于内部网络和外部网络之间某一个适当的扼制点上(chokepoint)，来限制外部非法用户访问内部网络资源和内部非法向外传递信息。防火墙具有保护和管理网络内部资源、 防止外部入侵、 对信息的访问进行记录和控制；管理和监督内部对 Intemet的访问：简化网络资源管理等特性。2.2 入侵检测系统入侵检测系统 (IDS)是近几年才出现的新型网络安全技术。入侵检测手段却是一种古老的检测访问者的有效方法。它之所以重要， 是因为它可以弥补防火墙的不足，它可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全

16、审计、监视、进攻识别和响应)，增强信息安全基础结构的完整性。为网络安全提供有效的入侵检测信息及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 如果说防火墙是网络抵御外来入侵的防盗门，那么入侵检测系统就是安装在防盗门上的监视器，两者相辅相成， 共同抵挡来自网络内外的攻击。防火墙与入侵检测是网络安全中两个强有力的技术手段，并且二者之间表现出来很大功能互补性。防火墙是位于两个信任程度不同的网络之间(即校园内部网络和 Internet之间)的软件或硬件设备的组合， 它对两个网络之间的通信进行控制，通过强制实施统一的安全策略， 防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

17、 但我们也必须看到， 作为一种周边安全机制， 防火墙无法控制内部网络中的行为， 也只能在应用层或网络层进行访问控制，无法对通信的内容数据进行监控。 有些安全威胁是防火墙无法防范的，比如很容易通过协议隧道绕过防火墙， 而且，防火墙只是一种基于策略的被动防御措施，是一种粗颗粒的防御手段， 无法自动调整策略设置来阻断正在进行的攻击，也无法防范基于协议的攻击。所以，单靠防火墙是无法实现良好的安全防护性能的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 14 页 - - - -

18、- - - - - 5 入侵检测系统是一种主动防御手段， 能够实时分析校园网外部及校园网内部的数据通信信息， 检测出入侵行为或分辨入侵企图，在校园网络系统受到危害前以各种方式发出警报， 并且及时对网络入侵采取相应措施，最大限度保护校园网系统的安全。通过多级、分布式的网络监督、管理、控制机制，全面体现了管理层对校园网关键资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞，入侵检测系统仍然可以检测到相应的攻击事件， 并调整系统状态， 对未来可能发生的侵入做出警告。如果计算机系统具备访问控制能力， 而没有入侵检测手段， 就会出现就像战争中的一方一直要等到阵地被占领时， 才能意识到遭受

19、敌人攻击一样的情况。显然，我们无法完全预防计算机系统受到破坏， 但是一旦计算机系统被攻击， 我们能够立即实时地检测到攻击并采取相应行动， 至少可以防范日后进一步的攻击。这正是入侵检测系统的功能，是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。 但是，单靠入侵检测系统自身， 只能及时发现攻击行为，但却无法阻止和处理。所以，如果让防火墙与入侵检测系统结合起来互动运行，入侵检测系统可以及时发现防火墙策略之外的入侵行为，防火墙可以根据入侵检测系统反馈的入侵信息来进一步调整安全策略， 从而进一步从源头上阻隔入侵行为。这样就可以大大提高整个防御系统的性能。入侵检测系统与防

20、火墙的互动原理图如下所示：2.3 网络方案名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 14 页 - - - - - - - - - 6 校园网从结构上讲，可以分成核心、汇聚和接入3 个层次；从网络类型来看可以划分为教学子网、 办公子网、宿舍子网等。其特点是底下的接入方式非常多，包括拨号上网、宽带接入、无线上网等，各种形式接入的用户类型也非常复杂，有学生、教师以及学校行政办公人员。另外，校园网通常是双出口结构，可以通过 ChinaNet，也可以通过 CERNET 达到互

21、联网。多层次、业务复杂的特点使得网络安全显得尤为重要。校园网用户访问校外的Cernet/Internet 资源都是通过Linux 系统下的 Squid代理和 socks代理进行的。对校园网的用户的收费通常按照网络流量收费。为了对校园网用户进行收费，使用squid 提供代理认证服务。校园网采用100M1000M 以太网技术，利用高端的具有第三层交换功能的中心交换机连接校园中各建筑物内的子网。子网包括西区宿舍，教一栋，东区宿舍，计科楼，明哲楼，外语楼，经法楼，文学楼，图书馆，三里宿舍等，下面将以子网1 到 n 表示。2.4 网络架构图名师资料总结 - - -精品资料欢迎下载 - - - - - -

22、 - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 14 页 - - - - - - - - - 7 在此架构中， 防火墙采用启用了路由功能的Linux 主机，并安装包过滤防火墙 IPtables软件加上应用层代理软什Squid 和 socks。 入侵检测系统有三个组成部分，数据捕捉器采用著名的开放源代码的基于网络的SnortIDS，安装 Snort 的主机(Linux 操作系统 )用于捕获校园网内部的网络数据，并将相关的警报数据保存到安装有 PostgreSQL数据库管理系统的主机 (Linux 操作系统 )中，为了对入侵检测数据进行方

23、便有效的监视和分析，同时在该主机中安装了ApacheWeb 服务器和 PHP 脚本语言，从而在入侵检测分析控制台主机(Windows 操作系统 )的 Web浏览器中就可以对检测结果进行分析和监视。入侵检测系统是接入到交换式而不是广播式的网络中，所以要把交换机配置成允许一个端口监视所有的网络流量，然后将安装有Snort 的 Linux 主机连接到那个端口上。因为交换机的核心芯片上一般有一个用于调试的端口(spanport)，任何其它端口的进出信息都可从此得到。如果交换机厂商把此端口开放山来，用户可将入侵检测系统接到此端口上.。名师资料总结 - - -精品资料欢迎下载 - - - - - - -

24、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 14 页 - - - - - - - - - 8 2.5 IP 地址及 VLAN 的划分整个网络使用 192.168.1.0/20 私有地址块， 采用静态 ip 地址录入的方案。申请 211.1.1.7(WEB) 、211.1.1.9(电信网络接入地址 ) 三个公有 ip 地址，划分10 个 vlan 区域，防火墙启用NAT做地址映射。地址分配方案如下表：子网VLAN名称IP 地址默认网关1 VLAN101 192.168.1.0/24 192.168.1.254 2 VLAN102 192

25、.168.2.0/24 192.168.2.254 3 VLAN103 192.168.3.0/24 192.168.3.254 4 VLAN104 192.168.4.0/24 192.168.4.254 5 VLAN105 192.168.5.0/24 192.168.5.254 6 VLAN106 192.168.6.0/24 192.168.6.254 7 VLAN107 192.168.7.0/24 192.168.7.254 8 VLAN108 192.168.8.0/24 192.168.8.254 9 VLAN109 192.168.9.0/24 192.168.9.254 核

26、心交换机出口- 192.168.10.1 - Web 服务器- 211.1.1.7 211.1.1.9 防火墙入口地址- 192.168.10.254 - 防火墙出口地址- 211.1.1.9 - 3 物理网络设计3.1 结构化布线设计将大楼结构化布线系统分为： 工作区子系统、水平布线子系统、 干线子系统、设备间子系统、管理子系统和建筑群子系统。每个系统严格按照规范布线3.2 设备选型设备选型主要考虑以下因素：产品技术指标、成本因素、兼容性、延续性、可管理性、厂商技术支持性核心交换机：网址链接：http:/ 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - -

27、- - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 14 页 - - - - - - - - - 9 H3C LS-5500-28C-SI ￥14040（1 台）主要参数交换机类型千兆以太网交换机传输速率10Mbps/100Mbps/1000Mbps端口数量24 传输模式支持全双工交换方式存储 - 转发背板带宽128Gbps VLAN支持支持MAC 地址表16K 模块化插槽数4 电源电压纠错交流 : 额定电压范围 :100V240V A.C. ，50/60Hz 、最大电压范围:90V 264V A.C. ，47/63Hz; 直流 : 额定电压范围 :10.8

28、V 13.2V D.C. 环境标准工作温度 :0 - 45、工作湿度 :10%-90%(非凝露 ) 产品尺寸 (mm) 44030043.6产品重量 (Kg)接入层交换机网址链接： http:/ H3C S1650 ￥4500主要参数交换机类型智能交换机应用层级二层名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 14 页 - - - - - - - - - 10 传输速率10Mbps/100Mbps/1000Mbps网络标准IEEE 802.3 、IEEE 802.3u

29、 、IEEE 802.3ab 、IEEE 802.3z 、端口结构非模块化端口数量50 传输模式全双工 / 半双工自适应交换方式存储 - 转发背板带宽13.6Gbps 包转发率10.1Mpps VLAN支持支持QOS 支持支持网管支持支持网管功能支持 Web网管 ; 支持通过Console 口进行管理 ; 支持 Telnet远程管理 ; 支持 DHCP-client;支持 SNMP v2c，支持 RMON; 支持 iMC MAC 地址表8K 模块化插槽数2 指示面板每端口 :Link/Act;每设备 :Power;SFP 口:Module Active 电源电压输入电压 :100V240V A

30、C,50/60Hz 功耗 :26W 环境标准纠错工作温度 :0 - 40、存储温度 :- 10 -70、工作湿度 :20%-85%,非凝露 ;存储湿度 :10%-90%,非凝露产品尺寸 (mm) 44023844其他技术参数1个 Console 端口防火墙网址链接： http:/ ASA5510-K8 ￥16000主要参数设备类型VPN防火墙并发连接数130000 网 络 吞吐 量(Mbps)最高 300 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 14 页 - -

31、 - - - - - - - 11 安全过滤带宽170Mbps 网络端口3个快速以太网端口用户数限制无用户数限制用户入侵检测DoS 安全标准UL 1950，CSA C22.2 No. 950，EN 60950 IEC 60950 ，AS/NZS3260 ，TS001 控制端口console ，2个 RJ-45 管理纠错思科安全管理器 (CS-Manager) ，Web VPN支持支持一般参数适用环境工作温度： 0- 40工作湿度： 5%-95% (非冷凝 ) 存储温度： -25- 70存储湿度： 5%-95% (非冷凝 ) 电源100-240VAC,50/60Hz 防火墙尺寸174.5200.444.5mm防火墙重量1.8kg 其他性能为企业提供全面的服务，业内领先的Anti-X服务等名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 14 页 - - - - - - - - -