1、长春理工大学本科毕业37设计摘要 校园网在学校中扮演的角色越来越重要,校园网络的安全性就是一个非常重要的环节。本文对校园网络现状的分析和安全需求的分析,找到校园网络中存在的安全问题。利用IP的合理分配提高网络的合理性,通过VLAN的划分各个小的教学和办公的局域网实现区域间的独立性,通过NAT技术实现对外网的访问,用ACl技术、防火墙技术和入侵检测技术来保证校园网的安全可靠性。通过各个技术的整合来创造一个更好的校园网络环境,促进学校的发展。关键词:局域网 交换技术 TCP/IP 网络安全Abstract Campus network in the school plays an increasi
2、ngly important role, the security of campus network is a very important part. This paper analyzes the current situation and security needs of the campus network analysis, to find security problems exist in the campus network. Use a reasonable allocation of IP network to improve the rationality and a
3、chieve independence by dividing the region between each VLAN teaching and small office LAN, access to external network through NAT technology, using ACl technology, firewall technology and intrusion detection technology ensure the safety and reliability of the campus network. To create a better envi
4、ronment through the integration of the various campus network technology, promoting the development of the school.Keywords: LAN;exchange technology;TCP/IP;network security目录摘要IAbstractII第一章 绪论11.1 研究的目的和意义11.2 国内外研究现状11.3校园网络安全现状21.4 校园网的安全需求21.5校园网络面临的安全问题31.6网络安全策略4第二章 网络技术52.1 IP规划52.2 VLAN技术92.3
5、 NAT技术112.4 ACL技术122.5 防火墙技术162.6 入侵检测技术17第三章 校园网络的优化方案183.1 IP规划183.2 VLAN的应用203.3 NAT技术213.4 ACL技术223.5 动态路由技术223.6 链路聚合技术243.7 DHCP技术273.8 防火墙的设计283.9入侵检测系统的设计31第四章 结论35致谢36参考文献3737第一章 绪论1.1 研究的目的和意义随着网络的高速发展,网络渗透到了我们日常学习、生活的方方面面。比如,各种层出不穷的社交软件需要我们真实的信息注册,各种购物网站账号的注册更需要我们的银行账户信息。在给我们的生活带来了极大的方便的同
6、时,也增加了许多的网络安全问题。校园网的用户很多,网络安全问题要高度重视。本课题就是通过在校园网中配置ACL和防火墙实现对网络完全策略的应用,使校园网成为更安全的网络环境,给学生创造更好的学习生活的网络环境。随着校园网的快速发展与网络应用的日新月异,学校对网络的依赖性越来越强,这对网络安全性和可运营性提出了新的要求。在运营方面,实现灵活运营,防止非法用户,以保证学校对校园网的投资回报,安全性管理方面,能够检测、预防病毒传染以及网络攻击,实现对网络的应用监控,保证学生使用的是健康上进的网络。特别是现在加强了对学校、网吧等场所的上网控制力度,对上网的时间、浏览的内容进行严格的监控。因为网络安全与防
7、火墙、路由器关系密切,并且根据网络安全分析和业务需求的分析来决定全局的安全策略,所以我们要正确设置网络的安全策略,在安全和监控方面发挥最大的作用。1.2 国内外研究现状AccesConttolList,控制访问起源于20世纪60年代,是一种重要的信息安全技术。所谓访问控制,就是通过某种途径显示地准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCOIOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善
8、而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表,一种是标访问列表,另一种是扩展访问列表。随着网络技术的发展和用户需求的变化,从IOS12.0开始,CISCO路由器新增加了一种基于时间的访问控制。防火墙的功能主要包含以下几个方面:访问控制,如应用ACL进行访问控制;攻击防范,如防止SYN FLOOD等;NAT;VPN;路由;认证和加密; 日志记录; 支持网管等。此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对QoS特性的支持和对H.323、SIP 等多种应用协议的支持也必不可
9、少。 为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防火墙上也常常把其他网络技术结合进来,例如支持DHCP SERVER、DHCP RELAY;支持动态路由,如RIP 、OSPF等;支持拨号、PPPoE等特性;支持广域网口; 支持透明模式(桥模式); 支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。 1.3校园网络安全现状 校园网就是在学校的范围内,利用符合学校自身的教育思想以及理论作为指导,以为学校教学、科研、管理等提供资源和信息交流 为目的建立的计算机网络。当前,
10、大部分的学校都建立了自己的校园网。那么,实现网络之间的资源共享、协同工作以及维护良好的校园网络安全的要求也变得越来越高。多数学校在校园网的构建过程中,对于校园网络的技术和运营意识存在着不足,很多都是重技术而轻安全、轻管理。使得校园网和其他网络一样存在着各种各样的网络安全方面呢的问题。1.4 校园网的安全需求 校园网是一个计算机网络,包括个人PC、网络设备、服务器、软件、数据等。只有从系统的角度去分析这些环节在网络中的地位和作用,才能制定有效的可行的措施。也就是计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络完全体系结构。如连接Internet时,解决网络层的安全性;校园网
11、内部的安全问题,包括网段的划分以及vlan的实现;防止黑客对网络、主机、服务器等应用系统的入侵。一般来讲,网络信息系统应包括认证、访问控制、安全检测、攻击监控、加密通信、隐藏网络内部信息(如NAT)等安全机制。 根据校园网规模大、用户多的特点,对校园网的信息安全实施分级管理方案,其控制点分为三级安全管理。 第一级:中心级,主要实现内外网隔离;内外网用户的访问控制;内部网传输数据的备份和稽查。 第二级:区域级,主要实现内外网络的访问控制;区域间的访问控制;区域内部的安全审计。 第三级:终端/个人用户级,实现区域内部的访问控制;数据库及终端信息资源的安全保护。1.5校园网络面临的安全问题 由于校园
12、网属于典型园区局域网,具有具有互联性、共享性、开放性等网络特点,因此非常容易受到黑客入侵或其他的网络攻击行为的侵害,校园网面临的安全问题形势是非常严峻的。1.5.1网络硬件安全问题 1)电磁泄露问题:校园网中的网络设备拥有大量的网络端口,传输线路、终端设备等,这些设备可能会因为屏蔽不严或者为屏蔽容易造成电磁泄露。 2)线路窃听问题:网络线路上传输了大量的数据信息,黑客或者其他不法分子,为了窃取某些数据信息,就会对传输线路进行监听,这是数据信息的安全性就会造成很大威胁。 3)非法终端问题:对于网络中正常使用的终端上如果有人再安装一个终端,当正常终端停止工作时,如果使用这个非法终端接入到网络当中,
13、这是非法分子就会利用这个终端收集数据信息。 4)非法入侵问题:如果黑客或者非法分子利用传输介质进行非法入侵,比如利用技术从电话线路入侵网络,就会对校园网安全造成安全隐患,而且有的校园网的系统使用口令验证机制,如果口令丢失被窃,那么安全系统就作废了。1.5.2 网络系统和软件问题 1)网络系统中使用的各种软件存在漏洞,很多软件在设计之初,并没有考虑到安全问题,也就是只注重使用性而忽视了安全性。因此这些软件漏洞也非常容易被黑客利用,造成信息泄露与安全威胁。 2)网络上的信息资源非常丰富,大量的信息资源可以轻易从网络上下载下来,但是这些资源有的己经被不法分子安装了病毒或者木马,一旦用户下载下来安装使
14、用,就会使这些病毒或木马启动,从而感染用户计算机系统。 3)缺乏身份认证机制,校园网中上网人员复杂,而且人数众多,由于没有验证机制,任何人都可以轻易进入校园内网,这对学校网的信息安全会造成严重的威胁。1.5.3网络攻击安全问题 1)网络病毒问题 网络上病毒种类多样,而且各种病毒的变种威胁更大,这其中以网络病毒危害最为广泛,对校园网中经常容易遭受网络病毒的侵害,比如ARP病毒等,这些病毒对校园网的影响很大,会造成网络中断,无法上网、感染性强、传染迅速快等特点,给正常的校园网运行造成很大的影响。 2)拒绝服务攻击问题 拒绝服务攻击或分布时拒绝服务攻击,是非常典型的网络攻击行为由于它的不易觉察性和简
15、易性,因而一直是网络安全的重大隐患。它是一种技术含量低,攻击效果明显的攻击方法,受到攻击时,服务器在长时间内不能提供服务,使得合法用户不能得到服务,特别是分布式拒绝服务DDoS,它的效果很明显,并且难以找到真正的攻击源,因此很难找到行之有效的解决方法。因此,这种攻击会对校园网的安全造成极大的危害。1.6网络安全策略 网络安全策略是指要明确定义哪些数据包允许或禁止通过并使用网络服务,以及这些服务的使用规则。而且,每一条规定都应该在实际应用时得到实现。通过组合利用防火墙和路由器的安全技术,通过设置访问控制列表、NAT、VLAN等实现安全策略,以达到构建安全体系的功能。第二章 网络技术2.1 IP规
16、划2.1.1 IP地址简介 网际协议(IP)的规范是在 1982 年由 RFC791 建立的。这些规范的部分内容规定了IP 地址的结构。这个结构为每个主机和路由器接口提供了 32 位 2 进制逻辑地址。其中包括网络部分与主机部分。为方便书写及记忆,一个 IP 地址通常采用用 0255 之内的 4 个十进制数表示,数之间用句点分开。这些十进制数中的每一个都代表 32 位地址的其中 8 位,即所谓的八位位组,称为点分表示法。图2-1 IP规划范例2.1.2 IP地址分类图2-2 IP地址分类 按照原来的定义,IP 寻址标准并没有提供地址类,为了便于管理后来加入了地址类的定义。地址类的实现将地址空间
17、分解为数量有限的特大型网络(A 类),数量较多的中等网络(B 类)和数量非常多的小型网络(C 类)。另外,还定义了特殊的地址类,包括 D 类(用于多点传送)和 E 类,通常指试验或研究类。IP 地址的类别可以通过查看地址中的前 8 位位组(最重要的)而确定。最高位的数值决定了地址类。位格式也定义了和每个地址类相关的 8 位位组的十进制的范围。A 类:A 类地址,8 位分配给网络地址,24 位分配给主机地址。如果第 1 个 8 位位组中的最高位是 0,则地址是 A 类地址。这对应于 0 127 的可能的八位位组。在这些地址中,0 和 127 具有保留功能,所以实际的范围是 1 126。A 类中仅
18、仅有 126 个网络可以使用。因为仅仅为网络地址保留了 8 位,第 1 位必须是 0。然而,主机数字可以有 24 位,所以每个网络可以有 16,777,214 个主机。B 类:B 类地址中,为网络地址分配了 16 位,为主机地址分配了 16 位,一个 B类地址可以用第 1 个 8 位位组的头两位为 10 来识别。这对应的值从 128191。既然头两位已经预先定义,则实际上为网络地址留下了 14 位,所以可能的组合产生了 16,384 个网络,而每个网络包含 65,534 个主机。C 类:C 类为网络地址分了 24 位,为主机地址留下了 8 位。C 类地址的前 8 位位组的头3 位为 110,这
19、对应的十进制数从 192 223。在 C 类地址中,仅仅最后的 8 位位组用于主机地址,这限制了每个网络最多仅仅能有 254 个主机。既然网络编号有21 位可以使用(3 位已经预先设置为 110),则共有 2,097,152 个可能的网络。D 类:D 类地址以 1110 开始。这代表的八位位组从 224239。这些地址并不用于标准的IP 地址。相反,D 类地址指一组主机,它们作为多点传送小组的成员而注册。多点传送小组和电子邮件分配列表类似。正如你可以使用分配列表名单来将一个消息发布给一群人一样,你可以通过多点传送地址将数据发送给一些主机。多点传送需要特殊的路由配置,在默认情况下,它不会转发。E
20、 类:如果第 1 个 8 位位组的前 4 位都设置为 1111,则地址是一个 E 类地址。这些地址的范围为 240 254,这类地址并不用于传统的 IP 地址。这个地址类有时候用于实验室或研究。 我们的大部分讨论内容的重点是 A 类、B 类和 C 类,因为它们是用于常规 I P 寻址类别。2.1.3 保留的IP地址 IP 地址用于唯一的标识一台网络设备,但并不是每一个 IP 地址都是可用的,一些特殊的 IP 地址被用于各种各样的用途,不能用于标识网络设备。对于主机部分全为“0”的 IP 地址,称为网络地址,网络地址用来标识一个网段。例如,A 类地址 1.0.0.0,私有地址 10.0.0.0
21、, 192.168.1.0 等。对于主机部分全为“1”的 IP 地址,称为网段广播地址,广播地址用于标识一个网络的所有主机。例如,10.255.255.255 , 192.168.1.255 等,路由器可以在 10.0.0.0或者 192.168.1.0 等网段转发广播包。广播地址用于向本网段的所有节点发送数据包。对于网络部分为 127 的 IP 地址,例如 127.0.0.1 往往用于环路测试目的。全“0”的 IP 地址 0.0.0.0 代表所有的主机,在路由器上用 0.0.0.0 地址指定默认路由。全“1”的 IP 地址 255.255.255.255,也是广播地址,但 255.255.2
22、55.255代表所有主机,用于向网络的所有节点发送数据包。这样的广播不能被路由器转发。2.1.4可用主机地址数量的计算图2-3 可用主机地址计算 例如 B 类网段 172.16.0.0, 有 16 个主机位,因此有 216 个 IP 地址,去掉一个网络地址 172.16.0.0,一个广播地址 172.16.255.255 不能用作标识主机,那么共有 216-2个可用地址。C 类网段 192.168.1.0,有 8 个主机位,共有 28=256 个 IP 地址,去掉一个网络地址 192.168.1.0,一个广播地址 192.168.1.255,共有 254 个可用主机地址。现在,我们可以这样计算
23、每一个网段可用主机地址:假定这个网段的主机部分位数为 n,那么可用的主机地址个数为 2n-2 个。网络层设备(例如路由器等)使用网络地址来代表本网段内的主机,大大减少了路由器的路由表条目。2.1.5 子网掩码 IP 地址在没有相关的子网掩码的情况下存在是没有意义的。子网掩码定义了构成 IP 地址的 32 位中的多少位用于网络位,或者网络及其相关子网位。子网掩码中的二进制位构成了一个过滤器,它通过标识应该解释为网络地址的 IP地址的那一部分来计算网络地址。完成这个任务的过程称为按位求与。按位求与是一个逻辑运算,它对地址中的每一位和相应的掩码位进行计算。划分子网其实就是将原来地址中的主机位借位作为
24、子网位来使用,目前规定借位必须从左向右连续借位,即子网掩码中的 1 和 0 必须是连续的。2.1.6 可变长子网掩码VLSM 定义子网掩码的时候,我们作出了假设,在整个网络中将一致地使用这个掩码。在许多情况下,这导致浪费了很多主机地址。比如我们有一个子网,它通过串口连接了 2 个路由器。在这个子网上仅仅有两个主机,每个端口一个,但是我们已经将整个子网分配给了这两个接口。这将浪费很多 IP 地址。如果我们使用其中的一个子网,并进一步将其划分为第 2 级子网,将有效地“建立子网的子网”,并保留其他的子网,则可以最大限度地利用 IP 地址。建立子网的子网”的想法构成了 VLSM 的基础。为使用 VL
25、SM,我们通常定义一个基本的子网掩码,它将用于划分第 1 级子网,然后用第 2 级掩码来划分一个或多个 1 级子网。VLSM 仅仅可以由新的路由协议,如 BGP 或 OSPF 或 RIPv2 识别.为了不浪费IP地址,我们会根据规划根据计算应用VLSM技术使分配给每一台电脑特定的IP后剩余的主机位地址最少。更充分的利用IP地址并且提高了安全性。2.2 VLAN技术2.2.1 VLAN技术简介 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于 1999 年颁布了用以标
26、准化 VLAN 实现方案的 802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域(或称虚拟 LAN,即 VLAN),每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 是为解决以太网的广播问题和安全性而提出的一种
27、协议,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。VLAN 是一个广播域,其中的成员仿佛共享同一物理网段一样。不同 VLAN 成员不能直接访问。在 VLAN 中,划分在同一广播域中的成员并没有任何物理或地理上的限制,它们可以连接到一个交换网络中的不同交换机上。广播分组、未知分组及成员之间的数据分组都被限定在 VLAN 之内。对 VLAN 的另一个定义是,它能够使单一的交换结构被划分成多个小的广播域。2.2.2 VLAN
28、特点 VLAN 提供如下功能与好处:第一: 区段化:使用 VLAN 可将单一的交换架构,一个广播域分隔成多个广播域,相当于分隔出物理上分离的多个单独的网络。即将一个网络进行区段化,减少每个区段的主机数量,提高网络性能。第二:灵活性:VLAN 配置、成员的添加、移去和修改都是通过在交换机上进行配置实现的。一般情况下无须更改物理网络与增添新设备及更改布线系统,所以 VLAN 提供了极大的灵活性。第三:安全性:将一个网络划分 VLAN 后,不同 VLAN 内的主机间通讯必须通过3 层设备,而在 3 层设备上可以设置 ACL 等实现第 3 层的安全性,即 VLAN间的通讯是在受控的方式下完成的。相对于
29、没有划分 VLAN 的网络,所有主机可直接通讯而言,VLAN 提供了较高的安全性。另外用户想加入某一VLAN 必须通过网络管理员在交换机上进行配置才能加入特定 VLAN,相应的提高了安全性。2.2.3 VLAN成员划分的方式 目前最普遍的 VLAN 划分方式为基于端口的静态划分方式。网络管理员将端口划分为某个特定 VLAN 的端口,连接在这个端口的主机即属于这个特定VLAN。其优点是配置相对简单,对交换机转发性能几乎没有影响,其缺点为需要为每个交换机端口配置所属的 VLAN,一旦用户移动位置可能需要网络管理员对交换机相应端口进行重新设置。其他划分 VLAN 成员的方式有:基于 MAC 地址划分
30、、基于协议划分、基于 IP 地址子网划分、基于应用划分、基于用户名、密码划分等多种方式。2.2.4 VLAN的运作 每个 VLAN 相当于一个物理上独立的网桥,不同 VLAN 成员不能直接访问。VLAN 可以跨越交换机,不同交换机上相同 VLAN 的成员处于一个广播域,可以直接相互访问。由于 VLAN 的划分是基于交换机的物理端口,交换机从连接主机的某个端口上接收到一个数据帧,交换机知道这个数据帧是属于哪个VLAN 的。但是对于连接 2 台交换机的链路而言,此链路需要承载不同 VLAN 的数据,连接此链路的交换机的端口不属于某个特定 VLAN。如果不对数据帧做标记,交换机对从这样的链路上接收到
31、的数据帧将无法确定所属的 VLAN。所以交换机将数据帧发送到这样的链路前必须对数据帧做标记,即为每一个数据帧都被加上了一个标记,用来确定该分组所属的 VLAN。VLAN 的标记使交换机能够将来自不同 VLAN 上的业务流复用到一条物理线路上。2.3 NAT技术2.3.1 NAT技术简介 NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。
32、装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。另外,这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。在RFC 1632中有对NAT的说明。2.3.2 NAT技术工作原理 网络地址转换(Network Access Translation,NAT)针对IP地址日益短缺的情况 产生。1个局域网内部有很多台主机,不能保证都拥有合法的公网IP地址,为了内部主机都可以连接Internet网络,我们使用NAT。
33、NAT不仅完美地解决了IP地址不足的问题,而且有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT将局域网内部主机可以任意分配的IP地址称为私有地址。私有地址的范围包括:10.0.0.0 -10.255.255.255,172.16.0.0-172.31.255.255,192.168.0.0-192.168.255.255。而连接到外部网络(例如Internet)的NAT路由器的出口接口有ISP分配公有IP地址。NAT路由器的作用就是根据路由器内部的地址转换表中的映射关系,将网络数据包中的私有地址和公有地址进行转换。NAT还可以反过来给外网的用户提供访问局域网内部的WWW、Tel
34、net、FTP等服务。2.3.3 NAT的实现方式 NAT的实现方式有三种:静态转换(一对一)、动态转换(地址池)和端口复用(PAT)。PAT增加了基于端口(Port)的转换,将内部网络的所有主机的数据包的内网IP地址和内网端口,转换成NAT出口的外网IP地址和外网端口,也就使内部网络只需要共享一个公有IP地址实现对Internet的访问。2.4 ACL技术2.4.1 ACL技术简介和作用 随着网络规模和网络中的流量不断扩大,网络管理员面临一个问题:如何在保证合法访问的同时,拒绝非法访问。这就需要对路由器转发的数据包作出区分,哪些是合法的流量,哪些是非法的流量,通过这种区分来对数据包进行过滤并
35、达到有效控制的目的。这种包过滤技术使应用在路由器上实现防火墙的一种主要形式,而实现包过滤技术最核心的内容就是使用访问控制列表。 ACL(访问控制列表)就是一种对经过路由器的数据流进行判断、分类和过滤的方法。常见的 ACL 的应用是将 ACL 应用到接口上。其主要作用是根据数据包与数据段的特征来进行判断,决定是否允许数据包通过路由器转发,其主要目的是对数据流量进行管理和控制。我们还常使用 ACL 实现策略路由和特殊流量的控制。在一个 ACL 中可以包含一条或多条特定类型的 IP 数据报的规则。ACL 可以简单到只包括一条规则,也可以是复杂到包括很多规则。通过多条规则来定义与规则中相匹配的数据分组
36、。ACL 作为一个通用的数据流量的判别标准还可以和其他技术配合,应用在不同的场合:防火墙、QOS 与队列技术、策略路由、数据速率限制、路由策略、NAT 等。2.4.2ACL的分类和对比访问控制列表分为两种类型:1 标准 ACL 只针对数据包的源地址信息作为过滤的标准而不能基于协议或应用来进行过滤。即只能根据数据包是从那里来的来进行控制,而不能基于数据包的协议类型及应用来对其进行控制。只能粗略的限制某一类协议,如 IP 协议。2 扩展 ACL 可以针对数据包的源地址、目的地址、协议类型及应用类型(端口号)等信息作为过滤的标准。即可以根据数据包是从那里来、到那里去、何种协议、什么样的应用等特征的来
37、进行精确地控制。 ACL 可被应用在数据包进入路由器的接口方向,也可被应用在数据包从路由器外出的接口方向。并且一台路由器上可以设置多个 ACL。但对于一台路由器的某个特定接口的特定方向上,针对某一个协议,如 IP 协议,只能同时应用一个 ACL。表2-1 标准的ACL与扩展的ACL的比较标准ACL扩展ACL基于源地址过滤基于源、目的地址过滤允许/拒绝整个TCP/IP协簇指定特定的IP协议和协议号范围从1到99范围从100到199 对于标准 ACL,由于它只能过滤源 IP,为了不影响源主机的通信,一般我们将标准 ACL 放在离目的端比较近的地方;扩展 ACL 可以精确的定位某一类的数据流,为了不
38、让无用的流量占据网络带宽,一般我们将扩展 ACL 放在离源端比较近的地方。2.4.3ACL的工作原理及工作流程 在网络安全中,通过防火墙对数据包进行过滤,可以有效地防止违法用户对网络的访问,其中,访问控制列表(Access Control List,ACL)可以实现该功能。ACL的原理是对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较结果对数据包进行转发或者丢弃。这些规则可以是数据包的来源和目的IP地址、端口号、协议类型等。除了防火墙外,路由器中也可以实现ACL功能。图2-4 ACL流程图 下面以应用在外出接口方向(outbound)的 ACL 为例说明 ACL 的
39、工作流程: 首先数据包进入路由器的接口,根据目的地址查找路由表,找到转发接口(如果路由表中没有相应的路由条目,路由器会直接丢弃此数据包,并给源主机发送目的不可达消息)。确定外出接口后需要检查是否在外出接口上配置了 ACL,如果没有配置 ACL,路由器将做与外出接口数据链路层协议相同的 2 层封装,并转发数据;如果在外出接口上配置了 ACL,则要根据 ACL 制定的原则对数据包进行判断,如果匹配了某一条 ACL 的判断语句并且这条语句的关键字如果是 permit,转发数据包;如果匹配了某一条 ACL 的判断语句并且这条语句的关键字如果不是 permit,而是deny 则丢弃数据包。2.4.4 A
40、CL语句内部处理流程图2-5 ACL内部处理流程图ACL 内部的具体处理过程: 每个 ACL 可以有多条语句(规则)组成,当一个数据包要通过 ACL 的检查时首先检查 ACL 中的第一条语句。如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是 permit 则转发数据包,如果关键字是deny 则直接丢弃此数据包。 如果没有匹配第一条语句的判别条件则进行下一条语句的匹配,同样如果匹配其判别条件则依据这条语句所配置的关键字对数据包操作。如果关键字是 permit 则转发数据包,如果关键字是 deny 则直接丢弃此数据包。 这样的过程一直进行,一旦数据包匹配了某条语句的判别语句
41、则根据这条语句所配置的关键字或转发或丢弃。如果一个数据包没有匹配上 ACL 中的任何一条语句则会被丢弃掉,因为缺省情况下每一个 ACL 在最后都有一条隐含的匹配所有数据包的条目,其关键字是 deny。 以上 ACL 内部的处理过程总的来说,就是自上而下,顺序执行,直到找到匹配的规则,拒绝或允许。2.4.5 ACL判断标准和规则ACL 可以使用的判别标准包括:源 IP、目的 IP、协议类型(IP、UDP、TCP、ICMP)源端口号、目的端口号。ACL 可以根据这五个要素中的一个或多个要素的组合来作为判别的标准。总之,ACL 只能根据 IP 包及 TCP 或 UDP 数据段中的信息来对数据流进行判
42、断,即根据第 3 层及第 4 层的头部信息进行判断。ACL 的规则如下:1 ACL 语句执行顺序 ACL 按照由上到下的顺序执行,找到第一个匹配后既执行相应的操作,然后跳出 ACL 而不会继续匹配下面的语句。所以 ACL 中语句的顺序很关键,如果顺序错误则有可能效果与预期完全相反。 配置 ACL 的时候应该遵循如下原则: (1) 对于扩展 ACL,具体的判别条目应放置在前面 (2) 标准 ACL 可以自动排序: 主机 网段 any2 隐含的拒绝所有的条目 末尾隐含为 deny 全部,意味着 ACL 中必须有明确的允许数据包通过的语句,否则将没有数据包能够通过。3 ACL 可应用于 IP 接口或
43、某种服务,ACL 是一个通用的数据流分类与判别的工具,可以被应用到不同的场合,常见的应用为将 ACL 应用在接口上或应用到服务上。4 在引用 ACL 之前,要首先创建好 ACL,否则可能出现错误。5 对于一个协议,一个接口的一个方向上同一时间内只能设置一个 ACL,并且 ACL 配置在接口上的方向很重要,如果配置错误可能不起作用。2.5 防火墙技术2.5.1防火墙的概念 防火墙是市面上使用非常广泛的一种网络安全设备,防火墙的实质就是一个由硬件和软件共同构成一个系统,这个系统处于外网和内网之间,形成了一个安全的屏障,对于防火墙来说内网都是可信的,而外网是不可信的,它可以保护内网免遭外部的非法入侵
44、或攻击,避免外部用户随意访问内网,从而造成内部信息的泄露。防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成,无论是内部访问外部的数据还是外部访问内部的数据都要经过防火墙。 高校校园网部署防火墙是非常有必要的,在校园网中,广大教职工和学生每天都要登录校园的内网和外网,防火墙在这里实际上起到了一个隔离的作用,也就是只有认为是安全的站点或信息,才能访问学院的内部网络,才能和内网的计算机用户进行数据交换,而被认为是不安全的站点或信息,就拒绝它访问学院的内部网络,这样的好处是,可以尽最大的可能避免非授权用户攻击校园内网,也可以这么说,要是没有防火墙的话,学院的师生就不能访问因特网,而外部
45、网络也无法和内网用户进行数据通信。2.5.2 网络防火墙的目的和作用 构建网络防火墙的目的是可以限制某些访问者进入一个被严格控制的内部站点,还可以防止非授权用户或者黑客接近防御设备,进而阻止他们入侵内网。再有可以限制某些访问者离开一个被严格控制的点并且还可以检查、筛选、过滤和屏蔽信息流中的某些有害服务,防止对网络系统进行蓄意破坏。 网络防火墙的作用除了可以有效地收集和记录互联网上的各种活动以及网络误用情况以外,还能有效隔离网络中的多个网段,避免出现一个网段有了网络故障问题或是遭受网络病毒侵害后传播到其他的网段。此外防火墙作为一个安全检查站,能有效地过滤、筛选和屏蔽大部份有害的信息和服务。防火墙
46、就像一个网络警察一样可以防止不良现象的产生,可以强化和巩固网络的安全策略。2.6 入侵检测技术2.6.1 入侵检测技术的概念 随着网络技术的不断发展进步,网络安全防范手段的技术水平也在不断提高,为了更好的保护校园网的内部网络,单纯的防火墙技术己经不能满足人们对网络安全口益高涨的要求,而入侵检测技术成为了防火墙的很好的补充,在对抗外部网络攻击时,如果把防火墙对于网络好比学校门口的门卫的话,那么入侵检测技术对于网络就相当于学校内部的巡逻员。防火墙是第一次层保护,而入侵检测技术就是第二层保护,它们组成的双保险对内网安全起到了很好的保护。 入侵检测系统(Intrusion Detection Syst
47、em, IDS)就是通过收集和分析计算机网络系统当中一些关键部位的信息,进而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。简单来说,就是安全系统对入侵行为的检测技术。2.6.2入侵检测系统的功能 入侵检测技术和防火墙技术不同,防火墙技术是一种被动的防护的技术,而入侵检测技术属于一种主动防范的技术,对于网络系统来说,入侵检测可以主动对系统或者用户的出现的各种情况进行检测并分析;核查系统配置的情况以及是否出现漏洞,以提醒系统管理员及时采取措施补救;评估系统关键资源和数据文件的完整性;对系统发现各种攻击行为进行识别;对系统出现的各种异常行为进行分析;操作系统口志管理,并识别违反安全策略的用户活动。第三章 校园网络的优化方案 随着校内广大师生上网需求不断增加,对校园网提供的网络服务和功能提出了更高的要求,再加上校园网范围内易受到