校园网网络安全分析及安全解决专项方案.docx

1、校园网网络安全分析及安全处理方案 摘要： 该文具体分析了校园网安全问题并提出了对应对策。在分析校园网原有网络安全方法基础上，针对校园网在运行中所碰到实际问题，对电子邮件过滤检测，入侵检测，病毒检测，防火墙设置等多方面提出了综合性安全处理方案。 关键字： 网络安全，校园网，入侵检测，病毒检测，防火墙　 　 一、网络安全现实状况分析 我院校园网由网络中心、主干网和各楼内局域网组成。主干网以千兆以太网为主，覆盖整个校区。部门级交换机依据下连计算机数量和网络应用等级，和中心交换机实现千兆、百兆连接。校园网主干网中采取是子网过滤结构双路由器结构。　　 Linux服务器实施堡垒主机功效

2、采取Red Hat Linux 7.2版作为操作系统。该系统装有单一集成可管理软件包，提供多种服务，包含入侵保护、性能加速、安全VPN能力和对外Internet访问全方面控制等。由该主机包过滤防火墙保护内部网络免受来自Internet侵害。过滤范围包含内部网络和堡垒主机之间数据包，以防堡垒主机被攻占。同时，在该堡垒主机上，运行多个服务器，如：电子邮件服务器、web服务器、FTP服务器等等。 　　Intel Express 550T Routing Switch实现内部路由功效，有效地阻断内部子网间广播包发送，最大程度地减轻了网络负担。 二、校园网络中不安全关键问题 　　现阶段，我院校园

3、网专题架构已经成型，然而伴随对网络服务要求深入提升，我们还要全方面地处理在运行中所出现问题，从而提供愈加完善服务。 　　1. IP盗用问题 　　校园网内部连接有几千台电脑，一部分电脑经过正常申请路径申请得到正当IP地址，另一部分则不然。当一些没有IP地址用户，冒用她人正当IP地址时，就会造成网络内部地址冲突，严重阻碍了正当用户正常使用。 　　2. 防火墙攻击 　　防火墙系统相关技术发展已经比较成熟，防火墙系统很坚固，但这只是对于对外防护而已，它对于内部防护则几乎不起什么作用。然而不幸是，通常情况下有70%攻击是来自局域网内部人员。所以怎样预防来自内部攻击是目前校园网建设中一个很关键方面

4、 　　3. Email问题 　　因为用户安全观念淡薄和网上一些人别有用心，会给校园网Email用户发部分不良内容信件，有时还会携带多种多样病毒。所以，怎样预防有问题信件进入校园网Email系统也是一个待处理问题。 　　4. 多种服务器和网络设备扫描和攻击 　　有时会有部分用户对校园网服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常服务。 　　5. 非法URL访问问题 对于部分反动或不健康站点，应该严禁校园网用户经过校园网去访问。 6. 病毒防护 互联网迅猛发展使得网络运行成为社会时尚，但同时也为病毒感染和快速传输提供了路径。病

5、毒从网络之间传输，并在计算机没有任何防护方法情况下运行，从而造成系统瓦解，网络瘫痪，对网络服务组成严重威胁，造成巨大损失。近阶段泛滥"尼姆达病毒"就是经典例子。所以，怎样让校园网更安全，预防网络遭受病毒侵袭，已成为校园网迫切需要处理问题。 三、校园网安全处理方法 现阶段，因为我院校园网已经有较完善网络系统架构，所以，在确保现有网络工作顺通同时，再进行开发和完善是处理校园网网络安全最好选择。现提出以下处理方法。 1. 采取入侵检测系统 入侵检测技术是为确保计算机系统安全而设计和配置一个能够立即发觉并汇报系统中未授权或异常现象技术，是一个用于检测计算机网络中违反安全策略行为技术。在入侵检测

6、系统中利用审计统计，入侵检测系统能够识别出任何不期望有活动，从而达成限制这些活动，以保护系统安全。在校园网中采取入侵检测技术，最好采取混合入侵检测。需要从两方面来着手-基于网络入侵检测和基于主机入侵检测。 （1）基于网络入侵检测 该检测关键经过定时使用专用网络监视软件分析网络数据流量、关键数据内容来完成，比如使用Intel Express 550T Routing Switch所带专用管理用具Intel Device View对交换机、端口间每秒输出包、输入包、广播包数量进行统计，若发觉网络中有某台机器流量超出正常值，则表示该主机可能感染了某种病毒造成不停地向网络中发出多种进攻。前很快出现

7、"红色代码II"就能够用此方法进行入侵检测。感染了此病毒主机将会建立300个线程不定时随机生成IP地址作为攻击目标发出攻击，这么主机在网络流量监视中是显而易见。另外，当得悉某端口主机网络流量出现异常时，也可使用专用网络数据监视器对其发出和接收数据进行具体监视，比如使用微软SMS(System Manager Server)所带网络监视器利用SNMP协议对某端口出入数据进行具体分析，可统计出该主机具体是哪种协议、哪个端口所发数据最多，和具体数据内容。比如监视某台感染有"红色代码II"NT服务器时，则会发觉目标端口为80(HTTP)TCP协议通讯量极高。 （2）基于主机入侵检测 该项检测关键经

8、过防火墙日志和多种服务软件日志统计来完成，比如在日志中统计出某时间段服务器接收到来自同一地址嗅包数量超出一定数值，那么就该考虑是否要在防火墙中加入一条拒绝规则了。又如在FTP服务器中发觉某时段某用户登录失败次数超出100次以上，这就表示极可能有黑客在用穷举法试图破译某FTP用户密码。 2. Web、Email、BBS安全监测系统 在校园网WWW服务器、Email服务器等多种服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输内容，并将其还原成完整WWW、Email、FTP、Telnet应用内容，建立保留对应统计数据库。立即发觉在网络上传输非法内容，立即向上级安全网

9、络中心汇报，采取方法。并利用专门日志分析工具对保留在数据库中访问日志进行统计并绘制统计图，能够对访问地址和流量进行分析，对于显著攻击便可一目了然了。 3. 在Linux下配置防火墙 防火墙是一个行之有效且应用广泛网络安全机制，能够有效预防Internet上不安全原因蔓延到局域网内部。防火墙从原理上能够分为两大类：包过滤（Packet Filtering）型和代理服务（Proxy Service）型。依据我校具体情况，采取以下防火墙配置方案： 利用Linux关键中IP链(IP Chains)规则建立包过滤防火墙。 　规则具体以下： 　　① #先用 -F 选项清除掉全部规则 　　②

10、假设服务器内网IP为192.168.0.22，公有IP为210.77.217.82。将服务器在内网地址除开放DNS、POP3、Route、FTP、Telnet、Web、SMTP外其它服务全部封死 　　③ #服务器对外仅提供POP3、FTP、Web、SMTP服务 　　使用IP链规则建立防火墙关键原因并不是因为它是无偿软件，而是因为IP链规则是一套直接编译在Linux关键中防火墙，其运行效率是其它外挂在操作系统上软件防火墙所无法比拟，所以假若期望在流量较大网络接口安设防火墙，而又不想购置昂贵硬件防火墙时，采取IP链规则建立包过滤防火墙是一个不错选择。 4. 利用Squid代理服务和防火墙规

11、则结合构筑透明代理 　使用IP链规则能够使内网主机不需要做任何设置就能够访问Web，但其缺点就是当内网数台主机前后访问Internet上某一站点时，第一台将该站点主页和页面中图像从Internet下载到本机，而其它几台访问时也要反复相同操作，即从Internet下载了一样内容，这么反复劳动自然会浪费相当多带宽，而使用含有Web缓存(Web cache)代理服务器便可处理此问题。在第一台主机访问该站点时代理服务软件将此网页内容缓存到当地硬盘，以后其它主机再次访问该站时，代理服务器只是检测该网页是否有更新，若无更新便直接将本机缓存传送过去，这么既能够节省带宽又有效地提升了上网速度。比如Linux

12、上Squid代理服务就是一套高效快速代理服务软件。但麻烦就是必需在每台机器上设置Web 代理服务器，此时能够简单地使用IP链规则来省略这一操作，即在规则中加入一条转递规则，将访问任何地址80(HTTP)端口封装包全部强制转发到Linux服务器上安装代理服务器侦听端口。 这么使内网任何用户访问Internet前全部令其经过代理服务器后再访问，不仅有效地加紧了上网速度，又能够利用Squid代理服务过滤掉内网无效访问和攻击，实现了透明代理。 5. 对于无法使用IP伪装方法访问Internet特殊协议和软件采取Socks代理服务。 Socks是一组是用用户端/服务器端结构Proxy协议。Sock

13、s软件组成包含Socks服务器程序及Socks用户端应用程序库。用户应用程序只要支持Socks协议就能经过Socks代理服务器连接到防火墙外网络。 6. 漏洞扫描系统 　处理网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络复杂性和不停改变情况，仅仅依靠网络管理员技术和经验寻求安全漏洞、做出风险评定，显然是不现实。处理方案是，寻求一个能查找网络安全漏洞、评定并提出修改提议网络安全扫描工具，利用优化系统配置和打补丁等多种方法最大可能地填补最新安全漏洞和消除安全隐患。在要求安全程度不高情况下，能够利用多种黑客工具，对网络模拟攻击从而暴露出网络漏洞。 7. IP盗用问题处理

14、 　在路由器上捆绑IP和MAC地址。当某个IP经过路由器访问Internet时，路由器要检验发出这个IP广播包工作站MAC是否和路由器上MAC地址表相符，假如相符就放行。不然不许可经过路由器，同时给发出这个IP广播包工作站返回一个警告信息。 8. 利用网络监听维护子网系统安全 　对于校园网外部入侵能够经过安装防火墙来处理，不过防火墙对于校园网内部侵袭则无能为力。在这种情况下，能够采取这么方法：为校园网内部各个子网做一个含有一定功效审计文件，为管理人员分析内部网络运作状态提供依据。 　总而言之，经过以上方法，和校园网中原有网络安全方法，基础上能够建立一套相对完整网络安全系统。不过，网络安全是一个系统工程，不能仅仅依靠防火墙等单个系统，而需要仔细考虑系统安全需求，并将多种安全技术，如密码技术等，结合在一起，才能生成一个高效、通用、安全网络系统。 【参考文件】 [1] 梁亚声等编 《计算机网络安全技术教程》 机械工业出版社 . [2] 《计算机网络安全教程》 国防工业出版社 . [3] 凌雨欣编 《网络安全技术和反黑客》 冶金工业出版社 . [4] 《计算机信息系统安全技术》 群众出版社