1、校园网络安全分析摘要:本文从 网络 安全策略的角度对校园网络管理中的安全 问题 进行了划分,主要部分是:安全概念,安全方案,安全周期。对安全方案进行分类,概括为:基础结构安全;管理安全;边界安全。着重对边界安全中防火墙技术中应具有的功能进行了探讨。关键词:安全策略,边界安全,防火墙,安全管理中心网络安全的概念包括物理安全和逻辑安全物理安全指网络系统中各通信 计算 机设备以及相关设备的物理保护,免予破坏、丢失等; 逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指系统能够防止非法防止非法独占计算机资源和数据
2、,合法用户的正常请求能及时、正确、安全的得到服务或回应。网络计算机中安全威胁主要有:身份窃取,身份假冒、数据窃取、数据篡改,操作否认、非授权访问、病毒等。校园网络都是借助主干通信网,将各地的分部门和总部连接,同时与互联。这就存在着以下几方面的网络安全问题总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏。来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。2 解决方案的分类解决网络安全问题涉及的范围广泛;不安全因素主要集中在网络传播介质及
3、网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷上,因此在安全策略方面重点考虑21 基础结构安全主要包括:操作系统选择和问题规避;帐号设置、口令强度、网络参数、文件监测保护在现实运作中,密码系统已经非常完善,标准的DES、RSA和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上,仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类 Unix操作系统是在 Internet中非常普遍的操作系统,主要用于网络服务。它的源代码是公开的,所以在很多场合下使用者可以定制自己的Uni
4、x,操作系统,使它更适合网络相关的服务要求。由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。22管理安全安全管理是网络必须考虑的,主要包括:权限管理,单点登录,安全管理中心等。管理的技术手段很多,通过采用加强身份确认的 方法 获得网上资源控制权如智能IC身份卡,提供安全的远程接入手段;采用虚拟专网技术如网络保密机解决数据在公网传输的安全性;安全邮件和安全Web服务器也是一类重要的安全产品。然而,对一个具体的网络系统,我们在安全风险评估确定合适的安全需求后,从技术上讲可以架构一个满足基本要求的安全设备平台。但是发生最频繁的安全
5、威胁实际上是非技术因素,安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来,这个网络信息系统的安全性才有保障。因此,采用集中统一的管理策略,以技术手段实现非技术的安全管理,主要由安全管理中心实现。23 边界安全校园网络与外界的边界划分是否 科学 ?IT系统与外界、内部关键部门之间是否安全隔离?这都属于边界安全范围。可以在关心的实体之间安装防火墙产品和攻击检测软件,来加强边界安全,实施攻击防御方案。关于防火墙技术的使用成功与否对网络的安全有决定性作用,对此我们进行主要讨论231防火墙的概念当一个网络,接入以后,而系统的安全性除了考虑病毒、系统的健壮性之外,更主要的
6、防止非法用户的入侵。而 目前 防制措施主要是靠防火墙技术完成。防火墙是指由一个软件和硬件设备组合而成,处于网络群体计算机与外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。实际上防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。一方面对可信赖的报文和 应用 请求允许通过,另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便,高速、逻辑漏洞少等特点。232防火墙在网络中的位置为了达到对网络数据传输进行监视的目的,防火墙一般位于局域网和广域网之间或局域网与局域网之间。防火墙位于局域网和广域网之间,如图。Intranet- F-Interant ;在
7、这种情况之下,防火墙的主要作用是允许局域网内的用户访问,如浏览WWW网站,收发E-mail,并且禁止来自于上的未知用户闯入局网进行破坏或窃取机密信息。防火墙在局网与局域网之间,如Intranet- F-Intranet在这种情况下,防火墙的作用是允许公用信息在两个网络中传输,保证每个网段的私有信息不被对方访问。可以看出无论哪一种形式,防火墙都是数据报文进出网络的必经之路,这样才能保证防火墙对网络的监视保护作用。233防火墙的分类2331按防火墙在网络中所起的作用,防火墙可以分成两种,一种是与路由设备合二为一,通常为过滤路由器或是网关主机防火墙,另一种叫做堡垒主机式防火墙,它不具有路由功能。过滤
8、路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能,是网络中的第一道防线。因为它具有路由的功能,所以它的安全性较差。堡垒主机式防火墙是网络中最为重要的安全设备,通常以桥接的方式安装在路由器和网络之间,它的唯一作用是保证网络的安全使用,这种防火墙在网络中的具体位置如图。Intranet -F -边界路由器 -internet2332按照所定义的网络层次,防火墙可分为网络层防火墙和应用层防火墙。包过滤型防火墙是网络层防火墙,它以用户定义的过滤规则对每一个通过它的数据报文进行过滤,一般是检查一个IP报文的五个基本元素:源地址、目的地址、协议、源端口号、目的端口号。如果规则允许报文通过,报文
9、就可以通过防火墙,反之则不能。包过滤不检查连接请求的会话状态,也不会对传输数据进行检查。代理型防火墙,属于应用层防火墙,代理的功能是对来自局域网内用户的会话求进行会话请求转发。在转发过程中对会话进行过滤。因为代理在应用层,它可以对会话的状态和传输的数据进行检查和过滤。从安全上讲,代理的安全性要比包过滤功能更强,因为一个IP报文到了代理层,它的寿命就已经截止了,也就是说代理真正地阻断了网络的传输。目前应用于网络安全的防火墙系统基本上属于上面所讲到的两种防火墙系统。但在实际应用中的防火墙经常是这两种方法的合体,即包过滤加代理行防火墙。同时,为了防范黑客的各种各样攻击行为,通常的防火墙产品还要加上其
10、他许多功能。234防火墙集中的主要功能2341支持透明连接透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙,第一不必改变网络的拓扑结构,不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于IP协议的各种信息的传输。2342带有DMZ区的连接DMZ原意为停火区,在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段,其中一个物理网段为正常的受保护网段,另一个物理网段为DMZ,用来连接要对外开放的主机,防火墙对DMZ区只作少量的保护或不做保护。2343包过滤功能包过滤功能防火墙最主要的功能之一,是防火墙必备的功能模块。包过滤指的是对IP数据
11、包的过滤。对防火墙需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口、目的端口等,然后和设定规则进行比较,根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事,不作关于 内容 的决定。有了数据过滤包,可以不让任何人从外界使用Telent 登录,或者让每个人经SMTP向我们发送 电子 邮件,或者是某个机器经由NNTP把新闻发给我,而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做,因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件,因为“文件”也不是数据
12、包过滤系统所能辨认的。防火墙包过滤功能应具有的特点:支持对进入报文、转发报文和出去的报文的分别过滤。支持非操作符;支持端口范围的控制;支持ICMP报文类型的控制。使用包过滤模块会对 网络 传输速率有 影响 ,但速率的降低不能超过25%2344 应用 层过滤应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议的协议命令的过滤和报文内容的过滤。通过应用层过滤,可以禁止非法站点的连接达到对非法信息的过滤。2345透明代理与控制功能代理的功能是对来自局域网内的用户的会话请求进行会话规划请求转发。从安全角度讲,这样做有以下几个用处完全阻断了网
13、络的传输通道。可以进行访问控制。隐藏内部网络结构,因为最终请求是由防火墙发出的,外面的主机并不知道与哪个用户通信。解决IP地址紧缺的 问题 。使用代理服务器只需防火墙有一个公网的IP地址。代理服务器优点在于:支持多种TCP上层协议,完全的透明性,对防火墙以外任何设备以及主机无需作任何修改。代理服务器不仅仅是为了接通网络,更重要的一点是为了保证网络的安全。代理层访问控制模块使代理服务器模块具有完整的安全手段。2346防止IP 地址欺骗。黑客的一种惯用手段是修改报文,使报文的源地址成为他要攻击的主机的同网段的地址。利用这种办法欺骗目标主机并取得目标主机的信任,达到为所欲为的目的。防火墙应能智能地判
14、断数据报文的真正来源,对假冒报文予以,使黑客无法进入内部网络,做到防止外部用户盗用内部网段空闲的IP 地址。2346地址绑定功能地址绑定即固定主机IP地址和网络适配器的MAC地址的一一对应关系。地址绑定的主要作用是防止非法用户盗用合法用户的IP地址,由于每块网卡的MAC地址都是固定的,经过地址绑定后,地址就与 计算 机或用户的对应关系就固定了。也就是说,只有特定的主机才能使特定的IP地址,这就可以保证IP地址不盗用。地址绑定加快了网络的速度,因为绑定之后,防火墙就不用定时地动态查询局域网内部主机的MAC地址,这就减少了网络资源的浪费,加快了网络的速度。2347地址转换功能防火墙通过地址转换技术
15、,将所有从内部发出的通过防火墙报文的源地址修改成为防火墙本身的IP地址,使得外部网络无法了解内部网络的结构使用地址转换技术,要求所有的网络连接只能从内部发起,这样更是极大的提高了网络安全性。另外除了安全性,地址转换,还有一个好处,解决IP地址缺乏的问题,如果一个园区只有少数的公网地址,利用地址转换技术,可以使所有连接到防火墙上的主机都可以与相连。局域网的用户认为在与之间通信,而上的主机以为是与防火墙通信。这样就因隐藏了网段的网络结构,因为只能见到防火墙的一个地址。2348 VPN功能VPN是指虚拟专用网络。实际上是在公共网上建立内部网络。其重点就是保证在公众网上传播的内部信息不被外人获取。一般
16、有专用的网络保密机与防火墙在此功能上有交叉。2349规则设施功能网络安全管理人员想知道一个确定的包进入入防火墙后会发生什么事情,这时可以利用规则测试的功能。安全管理员可以设计一些虚拟的报文,利用规则测试功能来验证设计的规则是否正确,是否符合设计的目标。这样可以增加工作效率并保证规则设置的正确性。23410支持远程在线状态管理、配置管理、审记管理通过安全管理中心和其他管理软件可以对防火墙进行远程在线管理。既可以在远程非常直观的观察到防火墙的运行情况,也可以远程启动关闭防火墙和重新启动防火墙。防火墙系统中运行的代理守护进程,通过守护进程管理程序,可以在远端对防火设备的各个功能模块进行设置和维护,以
17、便于安全管理人员对防火墙的管理。日志能记录完整的网络信息,包括建立的连接时间,双方地址,以及传输信息量。支持远程审记日志是保障安全的重要手段,由于网络设备的审记信息通常大得惊人,观察 分析 审记日志是让管理人员非常头痛的是工作。好的防火墙应支持远程审记管理,使得管理人员能够在远端的GUI界面下轻松地观察和分析审记信息,使得审记的分析更加直观。从安全的角度讲,日志主要是起到抗抵赖的作用的,即防火墙记录了用户的网络使用情况,如果有人对网络进行了攻击或是有窃密的行为,事后使我们有据可查,对这样的人进行 法律 上的制裁或者防止他下一次的攻击。23111支持安全管理中心集中统一管理防火墙的管理代理守护进
18、程为安全管理中心留有接口程序,能够实现安全管理中心对防火墙的安全管理。使用安全管理中心,好处在于它的安全性和集中统一管理能力。其一、安全管理中心通过安全通道与网络安全设备通信来保证对防火墙设备设置和维护管理信息的安全。其二、安全管理中心能够做到远程的统一管理,一台安全管理中心机可以管理多台防火墙以及其它网络安全设备。3安全方案实施的生命周期安全管理的方案的实施需要正确的 方法 和次序,全面的网络信息安全方案需要在正确的 企业 安全策略的指导下按部就班地进行实施。网络安全方案实施生命周期如下所示风险评估方案设计方案实施人员培训安全监控信息反馈重新评估安全管理方案的核心是制定的安全策略。任何安全产
19、品和方案都必须服从此安全策略。应由安全管理专家与领导者一同制定系统的安全管理策略。在安全方案实施的第一步,是实施方案的风险评估。即对 目前 网络环境进行综合考察, 发现安全隐患,分析可能面临的不安全因素,从而为将来的安全方案提供总体策略。 从信息安全的角度来为校园IT环境进行进行合理划分,找出边界因素,对症下药,并对指定的安全策略进行方案设计和具体实施。 在实施的过程中或实施之后,必须重视人的因素。要对用户和相关人员进行有效的培训。为网络信息安全培养安全管理人员是安全方案中非常重要的一个方面。 实施企业安全方案,对安全性进行总体监控是网络安全生命周期中的执行阶段,如果发生不安全事件,检查是否能够实施企业安全策略,能否进行正确的反应:安全防范的强度是否足够;是否有未能防止的入侵事件。定时或随时进行园区网络安全策略的检查,及时反馈安全信息,针对漏洞重新进行安全评估,网络安全方案周期重新开始。 参考 资料 1通信网的安全- 理论 与技术 王育民 刘建伟 西安电子 科技 大学出版社2 AndrewAlbert”Operating Design and implementation”3网络与信息安全
浙ICP备2021020529号-1 | 浙B2-20240490 
