校园网安全系统的设计与实现-网络访问安全VIP

校园网安全系统的设计与实现——网络访问安全目录摘要 I Ⅱ1.绪论 11.1选题背景 1.2选题目的 1 12.可行性分析 22.1社会可行性 22.2技术可行性 22.3操作可行性 22.4系统开发平台及运行环境 22.4.1系统开发工具及平台 22.4.2运行环境 23.校园概况和网络拓扑 3 33.2校园组成机构 3 33.4网络拓扑总图 44.网络安全基础 54.1网络安全的定义 54.2网络安全的属性 54.3网络信息安全因素 64.4网络信息安全机制 65.安全需求与安全目标 85.1网络安全需求 85.2网络安全策略 85.3系统安全目标 86.网络访问安全 9 9 96.1.2VPN的特点与应用 9 97.CISCO安全设备 7.1防火墙设计 8.网络攻击与防范 8.1黑客攻击手段 8.2.1“ARP攻击”的方式和原理 8.2.2利用“ARP欺骗”入侵实际操作 8.2.3“ARP攻击”防范方法 9.结论 21参考文献 22致谢 23I随着网络技术蓬勃发展，校园网的迅速发展和普及，对学校日常工作学习和本设计着重分析了如今校园网中存在的安全隐患，提出理论性与实践性的依据，并针ⅡWiththevigorousdevelopmentofnetworktechnology,therapiddevelopmentofthecampusnetworkandpopularization,dailyworktoschoolforlearningandmanimportantrole.Butbecomingincreasinglyprominent.HowtomakethecampusnetworknormalandefficientThisdesignfocusesonanalyzingthenowexistinputsforwardthetheoreticalandpracticalbasiwhichinvolvestechnologyhaveVLAN,STP,VTP,HSRP,theARPdeception,MACcheat,etc.Thisdesignschemethroughthesimulationdesignenvironment,urealizethehackerattacksandthesimulationbyanattackerdefenses.Innetworksecuritymanagementhelp,fortheteacherscleantheInternetKeywords:Networksecurity;Switches;VPN;H11.1选题背景经过多年的信息化建设之后，我们国内大多数高等院校基本上都建成了自己的校园网。但随着其应用的深入，校园网络的安全性和可靠性也成为院校领导共同关心的问题。校园网络的安全直接影响着学校的日常教学、管理、科研活动的开展。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然的或者恶意的原因而遭到破坏、更改和泄露。系统能够连续、可靠、正常地运行，使网络服务不中断。个人信息资料和学院相关网络文件一旦遗失或被盗，学院就会因此蒙受巨大损失，甚至间接的影响到该校教师和学生的人身安全。因此，在全面了解校园网的安全现状基础上，合理构建安全体系结构，改善网络应用环境的工作迫在眉睫。目前，全国各媒体，网站对国内校园网安全系统的设计与实现进行相关调查，发现目前国内各校园对自己校园网的系统安全设计都有着适合自己的特色以及功能。目前相关的校园网安全系统的设计与实现的相关资料也比比皆是，由于网络技术的飞速发展，越来越多的新的设计理念和创新的想法也逐步被人们领略到。这些都为安全系统设计和实现提供了充足的材料和理论基础。我们的目的就是在这现有的条件，根据自己学到的知识，以华南师范大学增城学院为研究对象去设计出一个校园网的系统安全设计方案。1.3本文组织结构本文主要介绍校园局域网1所遇到的网络安全问题以及针对校园的需求设计网络安全本论文的主要内容分为八章。第二章详细的从各个方面分析了我们这个方案的可行性。第三章以华南师范大学增城学院为研究对象，简述校园的基本构造和设计网络拓扑。第四章和第五章主要结合参考文献，整体对网络的安全基础以及安全需求和安全目标做出详细的说明第六章主要对VPN的设计和用路由器实现VPN。第七章CISCO安全设备防火墙的设计。第八章通过用虚拟机的模拟来实现网络攻击与防范。2可行性分析就是在系统调查的基础上，针对新系统的开发是否具备必要性和可能性，对新系统的开发从技术、经济、社会的方面进行分析和研究，以避免投资失误，保证新系统的开发成功。可行性研究的目的就是用最小的代价在尽可能短的时间内确定问题是否能够解决。该系统的可行性分析包括以下几个方面的内容。随着计算机技术的发展和网络人口的增加，网络世界也越来越广博，越来越丰富，校园实现网络办公、网络教学已经是一股潮流了。相信要不了太长有时间，每个校园都会有属于自己的局域网络，都会实现网络办公，网络教学。校园网络系统主要目的是进行保护校园的网络安全，并且严格按照国家法律法规来进行研究和实践，并无法律和政策方面的本系统在PacketTracer上设计，并在虚拟机Vmware模拟实现，Windows2003Server能为我们的设计做出类似于实际环境的模拟测试。所以使用这两个软件可以说明很好的证明该设计方案和实现的可行性。硬件方面，科技飞速发展的今天，硬件更新的速度越来越快，容量越来越大，可靠性越来越高，价格越来越低，其硬件平台完全能满足此系统的需要。目前，大多数计算机都能运行该系统，该安全系统的安装、调试、运行不会改变原计算机系统的设置和布局，由相关人员指导便能够方便的操作此系统。系统设计是在PacketTracer上的。PacketTracer是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查3本章主要以华南师范大学增城学院为研究对象，进行系统分以及设计出网络拓扑。核心层核心层汇聚层接入层用户终端GuestIP打印无线AP思科W$-C3560G思科WS-C2918思科WS-C2918图3-1网络体系结构4图3-2网络拓扑图 5网络安全是指网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破坏、更改、泄露，保证系统连续可靠地运行，确保网络服务不中计算机科学、网络技术、通信技术、密码技术、信息安全技术、从本质上来讲，计算机网络安全就是网络上的信息安全。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论可靠性是网络信息系统能够在规定条件下、规定时间内完成规定功能的特性。可靠性抗毁性是指系统在人为破坏下的可靠性。例如，部分线路或节点失效后，系统能否继生存性是在随机破坏下系统的可靠性。生存性主要反映随机有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下，满足业务性能要求的程度。比如，网络部件失效虽然造成质量指标下降、平均延时增加、线路阻塞等现象。允许授权用户或实体使用的特性，或者是网络户提供有效服务的特性。可用性是网络信息系统面向用户的安本的功能是向用户提供服务，而用户的需求是随机的、多方面可用性还应该满足以下要求：身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪。审计跟踪的信息主要包括：事件类型、被管客息、事件回答以及事件统计等方面的信息。保密性是数据信息不被泄露给非授权的用户、实体或供其利用的特性。保密性是在可完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保6存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码)、人为攻击、计算机病毒等。保障网络信息完整性的主要方法有：协议、纠错编码方法、密码校验和方法、数字签名、公证[1不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息。可控性是对网络信息的传播及内容具有控制能力的特性。可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统，对于新的安全漏洞和攻击方法能及时了解，针对体系内局部发生的安全入侵等事件进行响网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，从内部网向公共网传送的信息可能被他人窃听或篡改等。典型的网络安全威胁如表4-1所示。窃听网络中传输的敏感信息被窃听攻击者事先获得部分信息或全部信息，以后攻击者对合法用户之间的通信信息进行修改、删除、非授权访问通过假冒、身份攻击、系统漏洞等手段获取系统访问权攻击者通过某种方法使系统响应减慢甚至瘫痪，行为否认旁路控制电磁/射频截获攻击者从点子或机电设备所发出的无线射频或其他电磁辐射中提取信息人员疏忽已授权人为了利益或由于粗心将信息泄露给未授权人影响计算机网络安全的因素有很多，如人为的疏忽、人为的恶意攻击、网络软件的漏洞、非授权访问、信息泄露或丢失、破坏数据完整性2]。网络信息安全机制定义了实现网络信息安全服务的技术措施，包括所使用的可能方法，主要是利用密码算法对重要而敏感的数据进行处理。网络信息安全机制包括如下八种。 7加密是提供数据保密的基本方法，用加密方法和认证机制相结合，可提供数据的保密数字签名是解决信息安全特殊问题的一种方法，适用于通信双方发生了下列情况的安在复杂的网络环境中，路由控制机制在于引导信息发送者选择代价小且安全的特殊路公证机制在于解决通信的矛盾双方，因事故和信用危机导致责任问题的公证仲裁3。 8通过对局域网结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。改安全策略模型包括建立安全环境的三个重要组成部分2|:1.法律规章。安全的基石是社会法律、法规、规章制度与相应的制裁手段，在这基础2.先进技术。先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风局域网络系统安全应该实现以下的目标⁵:2.将内部网络、公共服务器网络和外网进行有效隔4.对网络服务请求内容进行控制，使非法访问在到达主机前被拒绝5.加强合法用户的访问认证，同时将用户的访问权限 9列的验证和加密技术，使建立VPN连接的两端虚拟的组成一条排他的专用线路，就好像一个临时的、安全的连接，是一条稳定的隧道。虚拟专之为建立一个隧道，可以利用加密技术对经过隧道传输的数2.服务质量保证(QoS)求网络能提供良好的稳定性；对于其它应用(如视频等)则对支持多种类型的传输媒介，可以满足同时传输语音、图像和数图6-2VPN通信拓扑R2(config-if)#ipaddressR2(config-if)#tunneR2(config-if)#ipaddress255.2R2(config-if)#iproute实践效果如图6-3所示：EQ\*jc3\*hps18\o\al(\s\up1(n),E)EQ\*jc3\*hps18\o\al(\s\up1(ect),IGRI)EQ\*jc3\*hps18\o\al(\s\up1(-),X)EQ\*jc3\*hps18\o\al(\s\up1(t),E)EQ\*jc3\*hps18\o\al(\s\up1(i),I)EQ\*jc3\*hps18\o\al(\s\up1(c),G)EQ\*jc3\*hps18\o\al(\s\up1(o),PI)EQ\*jc3\*hps18\o\al(\s\up1(bil),FA,)EQ\*jc3\*hps18\o\al(\s\up1(-),S)N1Ei-ospFexternaitypei_-IS-IS,su-Is-ISsummary,L1-Is-Islevel-i,L2-Iia-IS-ISinterarea,*-.candidatedefault,u-per-EQ\*jc3\*hps18\o\al(\s\up5(e),n)EQ\*jc3\*hps18\o\al(\s\up5(s),g)EQ\*jc3\*hps18\o\al(\s\up5(u),y)EQ\*jc3\*hps18\o\al(\s\up5(e),t)EQ\*jc3\*hps18\o\al(\s\up5(n),e)Successrateissending5,100-byteIcM100percent(5/5),round-trip图6-4路由器R2ping通效果图i-Is-Is,su-Is-ISsummary,L1-Is-Isi-Is-Is,su-Is-ISsummary,L1-Is-Isia-Is-ISinterarea,candidatR3(config-if)#ipaddress20R3(config-if)#tunnelsource202.R3(config-if)#tunneldestinationEQ\*jc3\*hps17\o\al(\s\up3(R2√),ow)EQ\*jc3\*hps17\o\al(\s\up3(R),p)EQ\*jc3\*hps17\o\al(\s\up2(-),P)EQ\*jc3\*hps17\o\al(\s\up2(co),,E)EQ\*jc3\*hps17\o\al(\s\up2(n),X)EQ\*jc3\*hps17\o\al(\s\up2(te),EI)EQ\*jc3\*hps17\o\al(\s\up2(S-),R)EQ\*jc3\*hps17\o\al(\s\up2(static,),Pex)EQ\*jc3\*hps17\o\al(\s\up2(R),te)EQ\*jc3\*hps17\o\al(\s\up2(R),rn)EQ\*jc3\*hps17\o\al(\s\up2(IP),al,)EQ\*jc3\*hps17\o\al(\s\up2(o),O)EQ\*jc3\*hps17\o\al(\s\up2(bi),S)EQ\*jc3\*hps17\o\al(\s\up2(le),P)EQ\*jc3\*hps17\o\al(\s\up2(B),,I)EQ\*jc3\*hps17\o\al(\s\up2(B),i)EQ\*jc3\*hps17\o\al(\s\up2(GP),nte)CSEQ\*jc3\*hps17\o\al(\s\up2(is),s)EQ\*jc3\*hps17\o\al(\s\up2(n),c)EQ\*jc3\*hps17\o\al(\s\up2(tt),y)EQ\*jc3\*hps17\o\al(\s\up2(,1),co)EQ\*jc3\*hps17\o\al(\s\up2(n),e)EQ\*jc3\*hps17\o\al(\s\up2(ett),ec)EQ\*jc3\*hps17\o\al(\s\up2(d),y)EQ\*jc3\*hps17\o\al(\s\up2(s),o)EQ\*jc3\*hps17\o\al(\s\up2(u),n)EQ\*jc3\*hps17\o\al(\s\up2(n),e)以上可以看到，从R2路由器可以成功ping通道R3的路由器。证明本方案的VPN通道是所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。网络防火墙的主要特点是只能通过对它的数据包进行拦截和过滤，通常需要部署在被保护网络的边界，如局域网接入Internet时，就应该将防火墙部署在局域网的出口处。网络防火墙可以应用于如下四种网络环境?|。这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受互连网用户的攻击。这也是目前绝大多数校园采用防火墙的目的。在这种应用环境中，一般情况下防火墙网络可划分为三个不同级别的安全区域，如图7-1外部区域内部区域内部网络：这是防火墙要保护的对象，包括全部的校园内部网络设备及用户主机，这个区域是防火墙的可信区域。外部网络：这是防火墙要防护的对象，包括外部互连网主机和设备。这个区域为防火墙的非可信网络区域。DMZ(非军事区):它是从校园内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器等，他们都是为互连网提供某种信息服务8)。2.局域网和广域网的连接局域网和广域网之间的连接有两种方式可供选择，网络用户可以根据自己的实际需求如果校园原来已有边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙设置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙和需要保护的内部网络连接5。对于DMZ区中的公用服务器，则可直接和边界路由器相连，只经过路由器的简单防护，而不用经过防火墙。网络拓扑结构如图7-2所示。外部网络内部网络在此拓扑结构中，边界路由器和防火墙就一起组成了两道安全防线，并且在这两者之间能设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。如果校园原来没有边界路由器，此时仅由防火墙来保护内部网络。此时DMZ区域和需要保护的内部网络分别连接防火墙的不同LAN网络接口。因此需要对这两部分网络设置不同的安全策略。这种网络虽然只有一道安全防线，但对于大多数中、小校园来说是可以满足的。这种应用环境的网络拓扑结构如图7-3所示。外部网络内部网络3.内部网络不同部门之间的连接这种应用环境就是在一个校园内部网络之间，对一些安全敏感的部门进行隔离保护，比如人事部门、财务部门和市场部门等。通过防火墙保护内部网络中敏感部门的资源不被非法访问。这些部门网络主机中的数据对于校园来说是非常重要，他的工作不能完全离开校园网络，但其中的数据又不能随便给网络用户访问4]。这时有几种解决方案，一种是采用VLAN设置，但这种方法设置方法较为复杂。另一种有效的方法就是采用防火墙进行隔离，在防火墙上进行相关的设置。通过防火墙隔离后，尽管同属于一个内部局域网，不过其他用户的访问都需要经过防火墙的过滤，符合条件的用户才能访问。网络拓扑结构如图7-4所示。4.用户与中心服务器之间的连接对于一个服务器中心而言，比如主机托管中心，大多数服务器需要对第三方开放，不过所有这些服务器分别属于不同用户所有，其安全策略也各不相同。如果把他们都定义在同一个安全区域中，显然不能满足各用户的不同需求，这时我们就得分别设置。按不同安全策略保护这些服务器，根据实施方式的不同又可以分为以下两种网络环境10)。1.为每个服务器独立设置一个独立的防火墙。这种方案是一种最容易实现的方法，但这种方案无论从经济上、还是从使用和管理的灵活可靠性上都不是最佳的。这主要是利用三层交换机的VLAN功能，先在三层交换机上将有不同安全需求的服务器划分至不同的VLAN。然后通过对高性能防火墙对VLAN子网的设置，将一个高性能防火墙划分为多个虚拟防火墙。其拓扑结构如图7-5所示。虽然这种方案配置较为复杂，但配置完成后，随后的使用和管理将相当的方便，就像 式达500多种。大致分为以下7类：攻击者通过向被攻击者发送大量的数据流使被攻击主机淹攻击者通过对域名系统，路由器等网络设施进行破坏，从攻击者在进行Web访问时，通过对数据库的访问查询有关内容。此这种攻击方式主要通过一些日常社会交往获取有用信息，这是最早的攻击方式，到现在为止依然广泛被使用，目前表的欺骗，这种方法可以破坏系统的ARP缓存表，从而组成内外IP地址的混乱。另一种照一定的频率不断进行地址的更换，使真实的地 果路由器的所有数据只能发送给错误的MAC地址，从而造成计算机访问黑客精心构建的过一个很出名的ARP攻击工具WinArpAttac运行的机器，如图8-1所示008-00-27-00-60-…LOLIMASTER-PCOnline08-00-27-7E-91-PC-MBM900019…Online43243232效果如图8-2所示EQ\*jc3\*hps24\o\al(\s\up6(e),e)EQ\*jc3\*hps24\o\al(\s\up6(t),o)EQ\*jc3\*hps24\o\al(\s\up6(im),m)Packets:Sent-4.ReceivedEQ\*jc3\*hps24\o\al(\s\up4(ox),M)EQ\*jc3\*hps24\o\al(\s\up4(i),i)EQ\*jc3\*hps24\o\al(\s\up4(mate),nimu)EQ\*jc3\*hps24\o\al(\s\up4(und),Gm)EQ\*jc3\*hps24\o\al(\s\up4(trip),Max)EQ\*jc3\*hps24\o\al(\s\up4(tim),um)EQ\*jc3\*hps24\o\al(\s\up4(in),ms)EQ\*jc3\*hps24\o\al(\s\up4(milli),vera)EQ\*jc3\*hps24\o\al(\s\up4(-),g)EQ\*jc3\*hps24\o\al(\s\up4(s),e)EQ\*jc3\*hps24\o\al(\s\up4(s:),m)三、IpConflict:发送一个IP一样但Mac地址不一样的包至目标机，导致目标机IP冲突。(频繁发送此包会导致机器断网),如果被攻击，效果很明显，在你机器的右下角会有个IP冲突的标志。如图8-3所示站站图8-3Ip冲突效果截图七、修改arp缓存表：修改局域网内某台机器的arp缓存表，实现MAC地址欺骗，以行的机器，如图8-1所示行的机器，如图8-1所示nt-WihpAtate370uid206文件扫猫攻击检测设置查口帮助好10000004302图8-1扫描的结果截图InternetAddressPhysicalAddress3.在主机上使用WinArpAttacker制作arp攻击包，并发送给虚拟机：额口000000200800277E2012-04-1020:21:13Attack_Spoof_Ban_AFrequencyconfigure-GMmberoftimeF引-DelaybetweenpackeReady4.在虚拟机上查看被修改后的arp缓存表：8.2.3“ARP攻击”防范方法对于ARP攻击进行有效防范是同时在客户端和路由器上做双向的绑定工作，这样的话无论ARP攻击是伪造本机的IP地址、MAC地址还是网关地址，都不会出现上网掉线或者大面积断线等情况。可以使用以下两种方法来防范“ARP欺骗”攻击：1、激活防ARP攻击的相关项目进入路由器Web管理页面后，选择“防火墙配置”选项中的“基本页面”,然后激活“防止ARP病毒攻击”即可。这样以后就可以避免利用ARP攻击的木马病毒传播了。来实现系统的绑定工作，命令格式为：arp-s[路由器IP地址][路由器MAC地址],回3、配置DHCP服务器防范arp攻击服务器，右键单击“保留”选项，这时我们选择“新建保留”选项。弹出的对话框中，在“名称”里输入保留的计算机名，在“IP地址”的选项中，是需要绑定MAC地址的IP地址，这里我们输入网关的地址,在“MAC地址”的选项当中，将之前在客户机中看到的MAC地址添加到其中。这样，我们就为网络上的网关设备路由器添加了一个M