校园网络安全研究

PAGEPAGE第26页共26页校园网络安全系统的研究摘要:随着校园网的普及，在提高学校工作效率的同时，也带来了安全方面的隐患。文章介绍了当前的重要的网络安全技术，并结合当前校园网发展过程中出现的各类实际问题以及校园网安全防范体系结构进行了分析与研究，并且提出了校园网安全系统设计与实现方案，该方案包含了网络技术的综合应用和实现方法。关键字：校园网；安全系统；防火墙；入侵检测 0引言随着计算机网络应用的广泛深入，网络安全问题变得日益复杂和突出，由于Internet网络协议的开发性，系统的通用性，无政府的管理状态，使得Internet在极大的传播信息的同时，也面临着不可预测的威胁和攻击。网络技术越发展，对网络攻击手段就越巧妙，越多样性。一方面由于计算机网络的开放性和信息共享性促进了网络的飞速的发展，另一方面也正是这种开发性以及计算机本身安全的脆弱性，导致了网络安全方面的诸多漏洞。可以说，网络安全问题将始终伴随着Internet的发展而存在。所以网络的安全性同网络的性能，可靠性和可用性一起，成为组建运行网络不可忽视的问题。随着校园网的普及和国内各院校网络建设的不断发展，大多数学校都建立了自己的校园网，它已经成为学校信息化的重要部分。校园网作为学校重要的基础设施，担当着学校教学，科研，管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建设的初期，安全问题可能还不突出。随着应用的深入，校园网规模的不断扩大，校园网上各种数据会急剧增加，网络攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行。同时随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求不断提高，网络安全逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大影响，成为现代化信息网络中最重要的问题之一。因此，随着校园网规模的不断扩大，如何确保校园网正常，高效和安全地运行是所有高校面临的问题。面对网络病毒以及网络内部及外部的黑客攻击与威胁，我们必须了解操作系统，各种网络协议的其自身的设计缺陷，熟知黑客攻击网络的各种手段，借助先进的技术及工具来协助完成繁重的安全防护工作，从而确保校园网络运行的安全和可靠。1校园网安全状况与分析1.1校园网网络结构和应用系统概述校园网信息系统是校园网的数字神经中枢，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育行业整体的工作效率和教育质量。校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台；图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览；办公自动化局域网是教职员工自动化办公的平台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统；校园外网的服务器群构成了校园网的服务系统，一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。1.2校园网网络特点高等教育和科研机构是互联网诞生的摇篮，也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一，中国的高校校园网一般都最先应用最先进的网络技术，网络应用普及，用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方，安全管理也更为复杂、困难。1.2.1校园网的速度快和规模大高校校园网是最早的宽带网络，普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps，目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大，少则数千人、多则数万人。中国的高校学生一般集中住宿，因而用户群比较密集。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、对网络的影响比较严重。1.2.2系统管理比较复杂校园网中的计算机系统的购置和管理情况非常复杂，比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的，有的院系是统一采购、有技术人员负责维护的，有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理，出现安全问题后通常无法分清责任。比较典型的现象是，用户的计算机接入校园网后感染病毒，反过来这台感染病毒的计算机又影响了校园网的运行，于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。1.2.3活跃的用户群体据调查，70%的安全问题来自校园网络内的攻击，高等学校的学生通常是最活跃的网络用户，对于高校而言，一种可能是因为学生的好奇心而对校园网络尝试攻击，大学生正处于身心发展成型的时期，他们渴望尝试，期望了解一下校园，证明自己的有效方式。如果没有意识到后果的严重性，有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术，可能对网络造成一定的影响和破坏，甚至对校园网危害很严重。1.2.4开放的网络环境由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如，企业网可以限制允许Web浏览和电子邮件的流量，甚至限制外部发起的连接不允许进入防火墙，但是在校园网环境下通常是行不通的，至少在校园网的主干不能实施过多的限制，否则一些新的应用、新的技术很难在校园网内部实施。1.2.5有限的投入校园网的建设和管理通常都轻视了网络安全，特别是管理和维护人员方面的投入明显不足，一个高校有上千台的计算机，而专职网络安全维护的技术人员只有寥寥几个。在中国大多数的校园网中，通常只有网络中心的少数工作人员，他们只能维护网络的正常运行，无暇顾及、也没有条件管理和维护数万台计算机的安全，院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。1.2.6盗版资源泛滥由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这些软件的传播一方面占用了大量的网络带宽，另一方面也给网络安全带来了一定的隐患。比如，Microsoft公司对盗版的XP操作系统的更新作了限制，盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面，从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。1.3校园网安全现状1.3.1网络可靠性与安全由于网络结构中没有设备，电源，线路等的冗余和负载均衡，中心核心设备或分中心设备故障等问题出现直接导致大面积的网络中断，影响网络的正常运行，每次出现问题后网管人员需要作出相应的响应，网络不具有自动愈合的功能。在没有采用负载均衡的设备上，经常会出现部分用户上网速度慢或根本无法上网的想象。目前网络上使用的TCP/IP协议有安全隐患。校园网是基于TCP/IP协议的网络，而TCP/IP协议存在两大不安全因素：(1)TCP/IP协议采用明文传输数据，无法保证信息的保密性和完整性。(2)TCP/IP协议以IP地址作为网络节点的惟一标识，并不能对节点上的用户进行有效的身份认证，无法保证信息的真实性。比较典型的例如利用ARP协议的接收和发送无需身份验证特性而进行的ARP攻击。曾经因为ARP病毒导致校园网络中多数用户无法正常使用网络功能，影响了正常的教学。由于教学，办公，学生公共机房等场所的计算机管理不善，校园网中最常见的是盗用合法用户的IP地址，造成IP地址冲突，使得用户不能正常访问网络，严重的可以造成主机瘫痪，甚至影响整个校园网的运行。计算机感染病毒造成网络拥塞，流量异常以及资料泄密等安全事故，这些事件的发生严重影响了校园网运行的安全性和可靠性。Internet迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒通过网络进行传播，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重的威胁，造成巨大的损失。1.3.2网络资源整合度低在校园网上运行的有邮件系统，办公管理系统，教务系统，网络教学平台，精品课程，学校资源平台，校内数字图书馆，学生选课系统等，但这些平台彼此之间的相互兼容性不高，需要进行资源整合，实现高效，稳定的网络资源平台。1.3.3网络管理员专业知识和技能不够、责任心不强大多数网络管理员都从大中专院校毕业，在工作之前没有受过系统的专业培训。所以，不能很好地胜任本职工作。如把在计算机中装上还原卡当作是万能管理方法；不设置系统管理员密码；在系统中不安装防火墙和杀毒软件等等。另外，有些网络管理员敷衍塞责，对出现的系统故障置之不理。防病毒、木马和黑客攻击意识不强大多数校园网用户的安全意识非常淡薄。具体表现在：密码设置过于简单；不经常用杀毒软件扫描和删除病毒；不对杀毒软件和防火墙软件进行及时更新；不经常扫描系统漏洞并打上补丁；使用移动存储介质时不事先用杀毒软件进行扫描；运行或打开不明来历的文件或邮件；经常浏览带有色情的网站或恶意网站等等。很多校园网站不注重安全防护，或限于资金匮乏，一些必要的硬件设施没有配备，导致黑客访问时如入无人之地，维护人员技术实力不够，不知道如何应付网络攻击或病毒感染，安全策略缺乏。校园网抵制病毒和木马入侵的能力不强，网络在给人们提供方便的同时，也给病毒传播和木马攻击提供了最快捷的途径。以蠕虫为代表的病毒肆虐和特洛伊木马的疯狂入侵，直接导致了用户隐私和重要数据的外泄。同时，极大地消耗了网络和主机的软硬件资源，造成了网络和主机性能的急剧下降，甚至中断网络设备和主机的正常运行。而目前校园网使用的安全防护措施的单一性、独立性和落后性使得网络病毒和木马入侵屡屡得逞。1.4校园网安全威胁分析安全威胁来自各个方面，如计算机系统脆弱性主要来自操作系统和应用程序的缺陷与后门。缺陷即是操作系统与应用程序都存在的安全漏洞。操作系统的后门是由操作系统的开发者有意设置的，这样他们就能在用户不在是进入系统。安全漏洞是指允许任意用户未经授权获得访问，或提高其访问权限的硬件或软件特征。漏洞也可以理解为某种形式的脆弱性，网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。目前，有名的安全漏洞或脆弱点就多达140处，而且随着时间的推移，将会有更多新安全漏洞被人发现和利用。在网络环境下基于通信协议的不安全性，来自网络的威胁主要是局域网一般是广播式的，所以在网络上存在电子窃听。系统与协议的漏洞导致入侵与破坏。校园网络是一个复杂的系统，它包括软件系统，硬件系统，各类信息系统和使用以及管理这些信息资源的人。网络本身的开发性使得计算机网络面临各种各样的威胁，如系统安全漏洞，应用程序错误，搭线窃听，数据泄漏与边用，故意对数据或程序进行破坏，病毒感染，网络攻击，自然灾害以及管理不善等。这些威胁对网络带来不同程度的影响，妨碍网络用户的正常使用。根据各种网络威胁产生的原因，我们把网络威胁归纳如下：1.4.1网络协议的缺陷目前，绝大多数的校园网是基于TCP/IP协议的，而TCP/IP协议本身是有诸多缺陷的。TCP/IP协议在设计之初，并没有充分考虑网络安全等方面的问题。因此，目前网络中存在很多利用TCP/IP协议的弱点的攻击行为。例如；拒绝服务攻击(DOS)，SYNFLOOD攻击，ARP欺骗等。他们利用了TCP/IP协议的自身的缺陷，导致网络中断甚至瘫痪。1.4.2操作系统的缺陷校园网中，通常存在大量的服务器和客户机。在这些设备中，需要使用不同的操作系统，如：Linux，Windows，UINXS等。众所周知，每一种操作系统都存在一定的漏洞和缺陷，攻击者可以利用这些漏洞，或者利用操作系统中某些应用程序或者软件自身的缺点，借助一些监控软件扫描工具，对校园网内的服务器或用户发起攻击，如果不进行必要的防范措施，造成的后果十分严重。1.4.3网络病毒利用网络传播病毒，其破坏性远大于单机系统，而且用户很难防范。目前，网络病毒一般利用internet的开放性，操作系统以及各种应用程序的漏洞进行传播，或对计算机系统进行攻击。近些年来网络病毒发作迅猛，除宏病毒外，基本上都属于网络病毒。网络病毒具有利用网络中软件系统的缺陷，进行自我复制和主动传播的特点。例如蠕虫病毒就是利用软件系统漏洞，通过分布式网络来扩散，传播的。它传播速度快，涉及范围广，危害十分巨大。网络蠕虫病毒的危害日益严重，种类和数量日益增多，发作日益频繁。现在，蠕虫病毒往往与黑客技术结合，计算机中毒发作后，常导致拒绝服务攻击(DoS)，连累全网服务中断。过去，病毒最大的“本事”是复制自身到其他程序。现在，它具有了蠕虫的特点，通过网络到处乱窜。还有些病毒具有黑客程序的功能，一旦侵入计算机系统后，病毒控制者可以从入侵的系统中窃取信息，远程控制这些系统，非法使用资源等。1.4.4网络外部的入侵(1)对邮件服务器的攻击由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个亟待解决的问题。恶意用户利用校园网内邮件服务系统的缺陷，例如缺乏有效的邮件过滤机制和邮件转发限制机制，对邮件服务器进行攻击。目前常见的攻击有两类：一类是中继利用，即远程主机通过被攻击邮件服务器向外发送邮件。另一类是垃圾邮件，也称邮件炸弹，通过大量发送垃圾邮件，造成邮件服务器阻塞，增大校园网流量，甚至系统崩溃，同时还会校园网带来经济上和名誉上的损失。(2)各种服务器和网络设备的扫描和攻击有些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。由于作为网络基础的TCP/IP本身就具有安全性方面的缺陷，加上具体设计上的各种因素，校园网各主机和各终端设备所使用的操作系统和应用软件均不可避免地存在各种漏洞，加上系统管理员以及终端用户在系统设置时可能存在各种不合理的操作，因此恶意用户可以利用一些专业软件程序对系统进行扫描，利用发现的安全缺陷侵入系统，获得各种用户权限，从事危害系统安全的活动。(3)非法地址的访问对一些反动的或不健康的站点，应当禁止校园网用户通过校园网访问，可以通过路由器或防火墙过滤部分非法地址的访问。为了方便教师在家办公，校园网开通了VPN(VirtualPrivateNetwork虚拟专用网络)连接的功能，对VPN用户的管理也十分重要，为了防止非法用户通过VPN通道进入校园网，管理员应该严格管理VPN用户的很多信息。(4)针对应用服务器的攻击校园网较易受攻击的应用服务器主要是DNS服务器和Web服务器，是目前校园网管理员最关注的问题。目前针对DNS服务器的攻击主要有两类：一类是缓存区中毒，主要是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者可以使发向合法站点的传输流改变方向，使其转向攻击者指定的站点。另一类域劫持，攻击者利用用户自己的域注册信息时所使用的不安全机制接管域注册过程以控制合法的域。Web应用服务器自身有很多脆弱性，如Web服务软件自身存在安全问题，Web应用程序安全性较差，如常见的ASP(ActiveServerPage动态服务器页面),PHP(HypertextPreprocessor超级文本预处理语言)脚本等都具有严重的安全漏洞，而系管理员很难做出全面的处理，因此，极易受到恶意用户的攻击。如何让校园网更安全，防止网络遭受病毒的侵袭，已成为迫切需要解决的问题。有些计算机被攻破后，成为黑客的工具，进行再次攻击。例如，系统代理攻击：攻击针对单个主机，并通过RealSecure系统代理对它进行监视；拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。拒绝服务攻击的典型方法有SYNFlood、PingFlood等。目前在互联网上，人们可以自由下载很多攻击工具。这类攻击工具设置简单、使用方便，这意味着攻击所需要的技术门槛大大降低。几年前仅适用于高智能范围的工具现在可以通过商业途径购买和使用。使用这些工具不需要很高的技术水平，因此，一个技术平平的普通攻击者很可能就是对系统造成巨大危害的黑客。1.4.5内部用户的攻击行为例如，授权访问尝试，它指的是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试，典型方法包括FTProot和NetBus等；预攻击探测，指在连续的非授权访问尝试过程中，攻击者为了获得网络内部和周围的信息使用这种攻击尝试，典型例子包括Satan扫描、端口扫描和IP半途扫描等。这些行为给校园网造成了不良的影响，损害了学校的声誉。1.4.6资源滥用与管理不善有人利用校园网资源进行商业的或免费的视频、软件资源下载服务，占用了大量珍贵的网络带宽。网络规划，网络系统设计不合理，系统配置策略考虑不周，设备功能不完善，缺少必要的数据备份措施等都会给网络正常运行带来威胁。网络的正常运行离不开系统管理人员和网络系统管理。各种安全措施都要经管理人员进行配置后才能有效的实施。从技术角度看，人为的失误，不如错误的指令，错误的删除修改数据，不恰当的配置都会增加系统管理，使用的复杂性，降低网络系统的安全性。另外，组织管理措施不当，也会造成设备的损坏和机密消息的泄露，给网络安全运行带来隐患。2校园网安全策略与实现2.1物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:一方面环境安全，对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。另一方面设备安全，包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。2.2访问控制策略访问控制策略防止校园网内部攻击。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。由于校园网内部的用户可以直接访问内部网络，并拥有相对较多的权限，因此需要重点考虑如何防止内部用户的攻击。主要采用以下几种方法，提高内部网络的安全性。2.2.1划分局域网通过划分虚拟局域网，限制工作组之间的访问，可以考虑把服务器划分到一个独立的虚拟局域网。例如，在该高校的行政楼中的汇聚层交换机上，通过划分VLAN，实现各部分之间的间隔，以财务处为例，配置命令为：Switch(config)#vlan100Switch(config-vlan)#namecaiwuchuSwitch(config)#interfacerangefastEthernet0/1-8Switch(config-if-range)#switchportaccessvlan1002.2.2网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录、设备能够执行哪些操作。应用访问控制列表，在汇聚层交换机或路由器上应用访问控制列表，限制用户对一些敏感服务器的访问。在汇聚层交换机上应用ACL。根据校园网的需求，对终端用户的访问行为进行控制，结合实际情况，应用合适的访问控制列表。例如：在汇聚层交换机上配置以下命令：Switch(config)ipaccess-listextendeddenystudentwwwSwitch(congig-ext-nacl)#denytcp5555eqwwwSwitch(config-ext-nacl)permitipanyanySwitch(config)#intvlan510Switch(config)#ipaccess-groupdenystudentwwwin可以实现拒绝/24网段上的终端用户访问/24网段上的Web服务。2.2.3代理服务器学生机房采用代理服务器或者通过NAT技术访问外部网络，在服务器上建立日志服务器，记录用户对服务器的访问。可以在实验中心塔建一台服务器，图1所示在实验中心搭建一台服务器，在Linux系统下建立日志服务器，代理服务器等，保证内部网络的安全。图1高校校园网示意图2.2.4对校园中使用公有IP地址的用户，学生公寓和教师家属院中的所有用户MAC地址与IP地址进行绑定。例如：在接入层交换机上，实现IP地址与MAC地址的绑定，防止用户私自扩展接口。在接入层交换机上配置命令如下：Switch(config-if)switchportmodeaccessSwitch(config-if)switchportport-securitySwitch(config-if)switchportport-securitymac-addressooeo.9823.9524ip-address50访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。2.2.5目录与属性级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。2.2.6网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该账户将被自动锁定。2.2.7网络端口和节点的安全控制端口是虚拟的“门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。2.3防火墙控制策略防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。如图2所示校园网防火墙配置的具体策略。设置了安全策略，并且决定了防火墙要遵循的规则以后，就可以按照既定的策略配置防火墙。不同的防火墙配置的特点，如图表1所示。图2防火墙示意图表1不同防火墙配置的特点名称说明屏蔽路由器位于客户计算机和internet之间的包过滤路由器双宿主主机用于internet连接的客户计算机来主控防火墙软件屏蔽式路由器专用于提供安全功能的主机来主控防火墙软件共用一个防火墙的两个路由器路由器放置在防火墙的内外部接口上，对数据包进行过滤DMZ屏蔽子网该网络与防火墙相连，具有公共服务区（DMZ）但处在受保护的内部网络的外面多重防火墙DMZDMZ附带两个防火墙，有更高的安全性反向防火墙防火墙监控出站而不是入站的通信专用防火墙防火墙用来保护特殊类型的通信，比如电子邮件表2防火墙受到的威胁及相应的抵御措施威胁防御SYNfloodingCiscoPIX防火墙配有floodDefender，可以阻断此类攻击端口扫描检查防火墙日志，并阻断有恶意的ip地址的访问病毒确保病毒防护软件已和防火墙的软硬件结合使用有害的电子邮件使用软件扫描Port25的SMTP通信，例如CiscoPIX防火墙自带的MailGuard2.3.1DMZ某校园网的防火墙系统类似于DMZ屏蔽子网的防火墙。所谓DMZ屏蔽子网的防火墙是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开，在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个“非军事区”DMZ。有的屏蔽子网还设有一个堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险带仅包含堡垒主机，子网主机及所有连接内网，外网和屏蔽子网的路由器。如果攻击者试图破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也是有可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击者变得很困难。在这种情况下，攻击者必须先侵入堡垒主机，然后进入内网主机，再反过来破坏路由器，整个过程不能引发警报。屏蔽子网防火墙能够帮助建立一个非防护区，这种类型防火墙利用堡垒主机夹在两个路由器中间，所以它是最安全的防火墙系统。对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理internet到DMZ网络的访问。它只允许外部网络系统访问堡垒主机（还可能有信息服务器）。图3DMZ屏蔽子网示意图里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。对于去往internet的数据包，里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务器（只接受来自堡垒主机的去往的internet的数据包）如图3所示。部署DMZ屏蔽子网防火墙系统有如下优点：入侵者必须突破三个不同的网络设备（夫法探测）才能侵入内部网络：外部路由器，堡垒主机，还有内部路由器。由于外部路由器只能向internet通告DMZ网络的存在，internet上的系统部需要有路由器与内部网络相连。这样管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统对internet开放（通过路由表和DNS信息交换）。由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问internet。包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。内部路由器在作为内部网络和internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。2.3（1）NAT学校的路由器或防火墙执行NAT时，可以把公共IP地址转变为专用地址，反之依然，这样可以对外部的计算机隐藏受保护网络上计算机的IP地址。使用NAT进行简单的数据传送的步骤如图4所示。图4网络地址转换示意图（2）加密信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护;节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。这里做SSL或者其他类型加密的路由器或防火墙在接收一个请求后,通过私钥将它转为杂乱数据（密文），然后通过接收者的路由器或者防火墙交换公钥。接着就可以对消息进行解密，并以一种容易理解的形式把它提供给终端用户，如图5所示。图5路由器或防火墙对消息加密（3）应用程序代理应用程序代理是一个软件，它根据主机的要求，接收请求，重建请求，把它们发送到指定的位置，就像是从它（代理）那里发出的请求一样。它可以通过双宿主主机来创建。在双宿主主机设置中，包括防火墙或者代理服务器软件的主机拥有两个接口，一个和internet相连，另一个和受保护的内部网络相连（见图6）某学校的校园网的应用程序代理，因为它是一套软件相对来讲比较容易操作和维护；同时也比较安全可靠。图6双宿主主机上的应用程序代理因为双宿主主机位于内部LAN和internet之间，位于内部网络上的主机永远不能直接访问internet。根据双宿主主机的要求，代理服务器程序发出请求，并且将来自internet的包转发到主机上去。在屏蔽子网中，提供代理服务器软件的主机拥有一个独立的网络接口。除了代理服务器软件指定的数据类型，主机过滤器两端的包过滤器会过滤掉所有的通信。（4）入侵检测系统（IDS）试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。入侵检测（IntrusionDeteetion）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。监控到可能的入侵袭击并及时报警，可以有多种选择。入侵检测系统安装在处于网络边界的外部或者内部的路由器上（如图7）许多流行的软件防火墙包中内置IDSB了，包括securecomputing的sidewinder。图7路由器的IDS系统安装IDS的外部路由器负责告知来自internet的入侵攻击，而安装了IDS的内部路由器负责监控内部网络上的主机，在他们试图通过可疑端口或者不寻常的服务进入internet时通知管理员，这些动作可能是已侵入计算机的特洛伊木马病毒引起的。IDS也可以用来寻找是否有大量的TCP连接请求发送到了目标计算机的许多端口上，因此可以发现是否有人正在企图进行TCP端口的扫描。若有则发送警报通知管理员，及时阻断此类攻击。CiscoCIDS的入侵检测系统（IDS）可以有不同的工作方式，它负责监控防火墙和internet之间的区域。通过配置，能够检测到来自internet上对防火墙的攻击时间（如图8）。图8防火墙和外部路由器之间的CIDS设备2.4漏洞管理系统部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：（1）对用户网络中的资产进行自动发现并按照资产重要性进行分类。(2)自动周期对网络资产的漏洞进行评估并将结果自动发送和保存。(3)采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案。(4)根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避。(5)对修复完毕的漏洞进行修复确认。(6)定期重复上述步骤(1)-(5)。通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。示意图9如下。2.5防病毒系统在高校校园网部署网络版防病毒系统，进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。其应具有如下功能：在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。络版客户端安装方法：网络版客户端有多种安装方式，对于域用图9漏洞管理系统示意图户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装。移动控制台功能：系统管理员在任意一台电脑（与控制中心所在的服务器联网）上安装移动控制台，管理员可通过移动控制台直接管理各种平台的服务器端/客户端。在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置、查毒、杀毒、通知升级、启动/关闭实时监控等。升级策略，首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控制中心每日自动升级。

在客户端普通操作台可以手动升级，也可以通过设置让客户端自动升级。多级控制中心、自由分组，通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。全网远程报警，当网络中任意一台计算机上扫描程序发现病毒时，都能够自动及时准确地把病毒信息记录并传递给网络管理员。全网集中管理，网络中客户端安装和杀毒确保有效完成，客户端未经授权不能任意停止全网统一的杀毒行动，客户端未经授权不能任意卸载。

针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护，可以适应高校校园网复杂的应用环境，满足校园网对于全网防病毒的需求，有效解决整个校园网面临的病毒威胁。防病毒系统由服务器端和客户端组成。防病毒服务器部署在核心交换机处，需要杀毒的每个终端安装一个客户端。示意图10。图10网络防病毒系统示意图2.6备份和过滤技术用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。2.7利用网络监听维护子网系统安全对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。2.8安全审计系统与网络安全管理规范操作系统、数据库管理系统、WEB服务器等应用服务软件，以及防火墙、入侵检测等安全产品的本身都具有审计功能，将这些审计功能整合到跨平台的统一的综合审计平台，实现全方位集中的网络系统安全审计，会大大地提高安全监察效率。综合审计系统支持分布式的数据审计与预警;能从各种服务器自动收集系统事件;具备完整的网络日志功能，详细记载每个用户的网络访问行为，包括用户操作的时间、用户名、操作结果以及名称和路径;完善的自我保护能力，保证审计系统和安全日志文件的完整性;具有智能化的分析能力，向管理员提供一些可能的安全隐患的警告信息，帮助系统管理员对系统的安全管理。网络安全技术的解决方案必须依赖安全管理