网络安全实训岗位(19页).doc

《网络安全实训岗位(19页).doc》由会员分享，可在线阅读，更多相关《网络安全实训岗位(19页).doc（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-网络安全实训岗位-第 15 页山西大学商务学院信息学院网络工程专业岗位技术技能训练报告项目名称： 入侵检测及防火墙在校园网中的应用 专 业： 网络工程 班 级： 15网络G2班 学 号： 2015340216 姓 名： 刘骏达 电 话： 提交日期： 填写说明1. 所有项目必须为一个基本完整的设计。报告书旨在能够清晰准确地阐述（或图示）该项目（或方案）。2. 报告书采用A4纸撰写。除标题外，所有内容必需为宋体、小四号字、1.5倍行距。3. 报告中各部分说明文字部分仅供参考，报告书撰写完毕后，请删除所有说明文字。(本页不删除)4. 报告模板里已经列的内容仅供参考，作者也可以多加内容。目 录第一章

2、 摘要1第二章 文献综述2第三章 实现方案11第四章 创新性13第五章 总结14参考文献15第一章 项目介绍网络技术的发展正在改变校园内人们的学习生活, 我们在享受其带来的巨大的进步与利益同时, 数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。作为开放网络的组成部分, 校园网络的安全也是不可忽视的。目前, 校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等, 目前校园网所应用的很多安全设备都属于静态安全技术范畴, 如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护, 不能主动跟踪入侵者。而入侵检测则属于动态安全技术, 它

3、能够主动检测网络的易受攻击点和安全漏洞, 并且通常能够先于人工探测到危险行为。基于以上问题, 详细研究以入侵检测技术为代表的动态安全技术和以防火墙为代表的静态安全技术各自的区别和联系及它们的优缺点, 提出了将动态技术与静态技术相结合的应用能够取长补短, 弥补各自的缺点, 并结合校园网建设和管理, 在校园网络中应用IDS 与原来的防火墙共同使用, 极大地提高了校园网的安全防护水平。防火墙(Firewall )技术是抵抗黑客入侵和防止未授权访问的最有效手段之一, 也是目前网络系统实现网络安全策略应用最为广泛的工具之一。第二章 文献综述1.1 入侵检测概述入侵检测系统（IDS）可以被定义为对计算机和

4、网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。1.2 入侵检测系统组成事件产生器（Event generators），它的目的是从整个计算环境中获得事件

5、，并向系统的其他部分提供此事件。事件分析器（Event analyzers），它经过分析得到数据，并产生分析结果。响应单元（Response units ），它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库（Event databases ）事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。1.3 入侵检测分类1)基于主机一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件对网络流量不敏感

6、，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。2)基于网络通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.3)分布式这种入侵检测系统一般为分布式结构，由多个

7、部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击.1.4 入侵检测流程单个数据报的检测流程详细的分析如下:首先对收集到的数据报进行解码,然后调用预处理函数对解码后的报文进行预处理,再利用规则树对数据报进行匹配。在规则树匹配的过程中,IDS要从上到下依次对规则树进行判断,从链首、链表到规则头节点,一直到规则选项节点。基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步:第一步是规则的解析流程,包括从规则文件中读取规则和在内存中组织规则;第二步是使用这些规则进行匹配的入侵流程。1

8、.5 规则匹配流程 一个采用模式匹配技术的IDS在从网络中读取一个数据包后大致按照下面方式进行攻击检测: (一)从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对,如果两组字节相同,则视为检测到一次攻击;如果两组字节不同,则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。 (二)接着比对过程重复进行,每次后移一个字节直到数据包的每个字节都比对完毕,最后将数据包与特征库中下一个攻击特征串进行匹配。 (三)重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结果为止,然后整体模型从网络中读取下一个数据包进行另一次检测。规则匹

9、配的过程就是对从网络上捕获的每一条数据报文和上面描述的规则树进行匹配的过程。如果发现存在一条规则匹配的报文,就表示检测到一个攻击,然后按照规指定的行为进行处理(如发送警告等),如果搜索完所有的规则都没有找到匹配的规则,就表示报文是正常的报文。 所有的规则被组织成规则树,然后分类存放在规则类列表中。总体的检测过程归根结底到对规则树进行匹配扫描,并找到报文所对应的规则。对规则树的匹配过程则是先根据报文的IP地址和端口号,在规则头链表中找到相对应的规则头,找到后再接着匹配此规则头附带的规则选项链表。1.6 规则语法树的生成IDS采用链表的方式构建规则的语法树,规则语法所用到的数据结构主要都在rule

10、s.h文件中,其中最为要的数据结构形式有以下一些:规则头函数指针列表、规则选项函数指针列表、响应函数指针列表、规则选项结构体、IP地址结构体、表头、规则列表结构体、变量体等。当防火墙和入侵检测系统互动时,所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口,并且相互正确配置对方IP地址,防火墙以服务器(Server)的模式来运行,IDS以客户端(Client)的模式来运行。将防火墙与IDS结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为

11、有效的安全防护体系,可以大大提高整体防护性能,解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。2.1 防火墙简介所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所

12、有网络通信和数据包均要经过此防火墙。2.2 防火墙种类1）网络层防火墙网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如 HTTP

13、 或是 FTP）。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。2）应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），所以大部分的防火墙都不会考虑以这种方法设计。3）XML 防火墙是一种新

14、型态的应用层防火墙。根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。4）数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。（一） 内部网络和外部网络之间的所有网络数据流都必须经过防火墙防火墙布置图这是防火墙所处网络位置特性，同时

15、也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端

16、则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。（二）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口=

17、2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。（三）防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场，

18、国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。（四）应用层防火墙具备更细致的防护能力自从Gartner提出下一代防火墙概念以来，信息安全行业越来越认识到应用层攻击成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法。从2011年开始，国内厂家

19、通过多年的技术积累，开始推出下一代防火墙，在国内从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天融信等在内的传统防火墙厂商也开始相互 3 效仿，陆续推出了下一代防火墙，下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、IPS、防毒等功能的同时，还能够对用户和内容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护。（五）数据库防火墙针对数据库恶意攻击的阻断能力虚拟补丁技术：针对CVE公布的数据库漏洞，提供漏洞特征检测技术。高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用

20、户、操作类型、对象等特征定义高危访问行为。SQL注入禁止技术：提供SQL注入特征库。返回行超标禁止技术：提供对敏感表的返回行数控制。SQL黑名单技术：提供对非法SQL的语法抽象描述。3.1院校校园网特点与中小企业、机关单位相比，高职院校校园网有以下几个特点：（1）庞大而又活跃的用户群体高职院校校园网的用户包含了学生和教师，学生年龄通常在18-23周岁，青年教师占高职院校的比率也相当大，处于青春期的学生通常是最活跃的网络用户，他们对网络新技术、新应用充满好奇心，求胜逞强欲望强烈，法律意识比较淡薄，有些学生会不顾对网络造成一定的影响和破坏的情况下尝试从网上学到的、甚至自己研究的各种网络攻击技术。（

21、2）开放的网络环境教育信息化中教学和科研的特点决定了校园网络环境开放性，开放性相对应其管理也是较为宽松的。为了让师生能够在信息的海洋中尽情的遨游，不同于企业网络管理可以限制员工的网络行为，是在校园网环境下通常是行不通的。（3）高速、多种类的网络基础设施教育骨干网的铺设让高职院校校园网成为最早的宽带网络。教育信息化和数字化校园的不断推进让高职院校校园网的速度越来越快，高速以太网技术和光纤的普及让网络基础设施的种类越来越多。 （4）网络管理缺陷高职院校校园网的管理工作通常由学校计算机教师兼职担任，计算机教师在完成本职教学工作的同时还需花更多的时间来管理、运行和维护整个校园网。虽然计算机教师普遍有网

22、络安全意识，但可能会陷于网络基础设施认识不足以及网络安全技术能力不足。 3.2校园网常见的安全威胁1） 计算机病毒肆虐庞大而又活跃的学生用户群体使得校园网网络在进行各类网络应用和使用各类移动存储设备时都有可能造成病毒的下载和传播。大量病毒传播不仅严重占用网络资源、影响网络性能，而且对共同使用校园网的教师用户的个人财产也带来很大的安全隐患。最终影响整个学校网络系统的正常运作，严重的甚至造成校园网络的瘫痪，是目前威胁校园网络安全的主要因素之一。2） 黑客类入侵行为开放的网络环境会让外部用户更容易实施对校园网络的恶意入侵，而校园网内部用户对网络的拓扑和应用模式通常比较了解，学生在掌握一定的计算机网络

23、专业知识的基础上，出于对网络的好奇和实践的欲望，会利用学习到的各类方法，非法攻击校园网络的核心设备和应用系统。 3） 终端系统漏洞一方面盗版操作系统软件、未经杀毒的应用软件在校园网中普遍使用。这些软件的使用给网络安全带来了一定的隐患。比如微软公司对盗版的XP操作系统的更新作了限制。盗版安装的计算机软件今后会留下大量的安全漏洞。另一方面为了集中、方便管理校园网网络设备，网络管理员通常会将交换机的远程登陆帐号设置成一模一样或者就干脆采用设备的出厂默认值，如果攻击者获取到设备的登陆帐号，将会给用户和网络管理带来无法想象的威胁。 3.3网络安全管理缺陷当前很多高职院校网络管理存在重硬件、轻软件及重运行

24、、轻运维的两种极端现象。网管人员对网络规范化、安全化管理严重不足，极少关注和研究网络入侵手段、防范措施等内容。校园网络在设置防火墙时应当从以下几个方面着手。（1） 入侵检测：具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式和透明模式。我们选择的是透明模式，防火墙过滤通过防火墙的封

25、包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。在透明模式下，接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。（3）策略设置：防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。（4）管理界面：管理一个防火墙的方法一般来说有两种

26、：图形化界面和命令行界面，我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。 （5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。（7）用户认证：要建立完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的

27、活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式，对于内部网络的安全又多了一层保障。总之，要做到校园网络安全，防火墙技术是非常重要的网络安全屏障之一，但要确保网络安全仍必须要从全方位着手，重点还要从管理和安全意识上下功夫。否则即使技术上再先进，也有可能因为人为的疏忽大意而造成资料丢失、泄密等。第三章 实现方案校园网络在设置防火墙时应当从以下几个方面着手。（2） 入侵检测：具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeat

28、h、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式和透明模式。我们选择的是透明模式，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。在透明模式下，接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。（3）策略设置：防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策

29、略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。（4）管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和命令行界面，我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。 （5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bp

30、s为单位，从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。（7）用户认证：要建立完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式，对于内部网络的安全又多了一层保障。总之，要做到校园网络安全，防火墙技术是非常重要的网络安全屏障之一，但要确保网络安全仍必须要从全方位着手，重点还要从管理和安全意识上下功夫。否则即使技术上再先进，也有可能因为人为的疏忽大意而造成资料丢失、泄密等。基于高职院校校园网的特点和常见的安

31、全威胁，校园网络的第一道防线通常为防火墙，而入侵检测系统则作为防火墙之后的第二道防线，在对校园网络性能不影响的情况下对整个校园网络进行检测，提供对校园网络外部攻击、内部攻击和误操作的实时保护，极大地减少网络免受各种攻击的损害。整个入侵检测系统的架构搭建，可以从以下六个方面来考虑满足校园网的网络安全需求:1.校园网实行授权访问，禁止未经授权用户访问校园网络资源； 2. 限制校园网中移动存储设备的使用；3.及时更新云端病毒库，加强网络中的病毒、木马防范；4.加强校园网络监控，及时分析校园网中服务器受攻击行为的日志；5.加强安全管理，对校园网络内部网络访问行为进行规范化管理；6.提高网络管理人员的技

32、能水平。只有满足了上述需求的入侵检测系统的应用才能提高高职院校校园网整体网络安全防护水平。第四章 创新性随着计算机网络技术的飞速发展和网络应用的广泛深入,其安全问题变得日益复杂,愈加突出。安全问题也越来越引起各种组织机构、社会团体和大众的关注。随着信息安全技术的进一步发展,各种安全解决方案,如防火墙技术、防黑客技术、加密技术以及对整个系统不安全因素的扫描、检测、警报和防治等等相继涌现和发展,这些技术总体看来,可划分为两种:静态和动态安全技术。 其中以防火墙为代表的静态安全技术,其缺点是需要人工来实施和维护,不能主动跟踪入侵者,而以入侵检测为代表的动态安全技术,则能够主动检测网络的易受攻击点和安

33、全漏洞,并且通常能够先于人工探测到危险行为,入侵检测能够发现危险攻击的特征,进而探测出攻击行为发出警报,同时采取保护措施。在传统的加密和防火墙技术已不能完全满足安全需求的同时,入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后,新一代的安全保障技术。 本论文提出一种将入侵检测(IDS:Intrusion Detection System)与防火墙结合起来互动运行在校园网站中的理念,将入侵检测作为防火墙的一个有益的补充,防火墙便可通过入侵检测及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。最后就某高校校园网的建设问题,结合防火墙技术和入侵检测技术的

34、互补优势,提出校园网络安全防御系统的解决方案。第五章 总结随着社会的发展和技术的进步，院校学生获取信息技术的来源越来越广，院校校园网面临的网络安全问题也日益严重，在校园网内部署的入侵检测系统将面临：学生黑客能力的提高，入侵校园网络目的的多样化；多媒体技术的应用，校园网网络流量的增加；许多系统设计时没有充分考虑网络安全问题，造成针对入侵检测系统本身的攻击。入侵检测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为

35、一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。目前防火墙已经在Internet上得到了广泛的应用，而且由于防火墙不限于TCP/IP协议的特点，也使其逐步在Internet之外更具生命力。客观的讲，防火墙并不是解决网络安

36、全问题的万能药方，而只是网络安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，使网络中的服务、数据以及系统免受侵扰和破坏。相信会在新世纪的网络生活中让每一位网友都受益菲浅。网络安全是一个系统的工程，需要仔细考虑系统的安全需求，并将各种安全技术结合在一起，才能更有效地维护自己的计算机网络及信息的安全，生成一个高效、通用、安全的网络系统.参考文献1 张兴东, 胡华平, 况晓辉, 陈辉忠.防火墙与入侵检测系统联动的研究与实现J .计算机工程与科学2杨琼, 杨建华, 王习平, 马斌, 基于防火墙与入侵检测联动技术的系统设计武汉理工大学学报2005 年07 期.3 桂春梅,钟求喜,王怀民. 基于UML 的防火墙和入侵检测联动模型的研究J . 计算机工程与科学, 2004,26(11): 22- 25.5简雄,余远波,韩贵来.防火墙技术在网络安全中的应用J.长春理工大学学报(高教版).2009年07期