校园网络安全技术研究与解决方案.pdf

1、校园网络安全技术研究与解决方案李立新 校 园网络安全技术研究与解决方案 李立新 ( 甘肃政法学院实验管理 中心 甘肃兰州， 7 3 0 0 7 ( ) ) 摘要： 通过研究校园网络体系结构的特点， 从网络的不同层次对校园网络面对的安全问题进行详细分析， 并列举各 层次常见的威胁与攻击形式。最后结合校园网的具体特点分析现实网络安全， 设计校园网安全方案。 关键词： 网络安全； 防火墙； 校园网； 身份认证 Ab s t r a c t ： Th i s a r t i c l e s t u d i e s t h e c a mp u s n e t wo r k s y s t e m s

2、t r u c tur e c h a r a c t e r i s t i c s F r o m t h e d i ff e r e n t l e v e l s o f n e t wo r k o f c a mp u s n e t wo r k s e c u r i t y i n t h e f a c e o f a d e t a i l e d a n a l y s i s ，i t l i s t s a l l l e v e l s o f c o mmo n t h r e a t s a n d a t t a c k s f o r m Ba s e

3、d o n t h e a n a l y s i s o f t h e c h a r a c t e r i s t i c s o f c a mp u s n e tw o r k r e a l n e tw o r k s e c u r i t y , t h e c a mp u s n e t wo r k s e c u r i ty p l a n i s d e s i g n e d Ke y wo r d s ： Ne t wo r k s e c u r i ty； fir e wa l l ； Ca mp u s n e t w o r k； I d e n

4、t i t y a u t h e n t i c a t i o n 中图分类号： T P 3 9 3 文献标识码： A 文章编号： i 0 0 1 - 9 2 2 7 ( 2 0 1 3 ) - 0 1 0 1 6 8 - 0 2 1 网络信息安全框架 网络信息安全框架反映了信息系统安全需求和体系结构的 _共性， 其构成要素是安全特性、 系统单元及T C P I P 参考模型的结 构层次 。如 图1 所 示为三维信 息。 图l 网络信息安全框架 系统安全结构框架 ， 信息安全特性包括保密性、 完整性、 可 用性 以及 认证安全 ， 系 统单元包括物 理单元 、 网络单 元、 系统单 元、

5、应 用单元 、 管理单元。 2 校园网络面对的安全问题 2 1 校 园网的网络体 系结构 校园网是局域网的种形式 。当前， 我 国校园网的建设发展 非常迅速， 绝大部分高校的校园网络基础设施建设己具备一 一 定规 模， 几乎所有的教学、 办公、 宿舍楼都接入了校园网。是为学校教 育教学提供资源共享、 信息交流和协同工作的计算机网络系统。 2 2 校 园网络 的安全风险分析 本文主要从物理层、 网络层 、 传输层、 操作系统4 个方面对 校园网面临的各种风 险进行 分类描述 。 2 2 I 物理层 的安全风 险 物理层安全风险指 的是 由于物理 设备的放置 不合适或者环 境防范措施不得力 ， 使

6、得网络设备 、 设施 包括 服务器、 工作 站、 交 收稿 日期： 2 O 1 2 - 0 9 - 2 5 作者简介： 李立新， ( 1 9 6 8 - ) ， 女， 甘肃省兰州市人； 毕业于： 兰州交通大学计算机科学技术本科； 甘肃政法学院， 实验管理中 心， 实验师。主要从事网络维护、 机房管理。 l 6 8 换机 、 路由器等网络设备 ， 光缆和双绞线等网络线路 以及 U P S 等 遭受 水灾 、 火灾 、 地震 、 雷 电等 自然灾害 、 意外事 故或 人为破 坏 ， 造成校园网不能正常运行。主要表现 如下： ( 1 ) 地 震、 水 灾、 火灾等环境事故造成通信线 路破 坏、 设备

7、损 坏 、 系统毁 灭： ( 2 ) 电源故 障造成设备 断 电， 导致服 务器硬件 损坏 、 操作 系 统文件损坏、 数据信息丢失； ( 3 ) 存储 、 传输介质损坏 导致 数据 丢失； ( 4 ) 没有采取措施针对机密程度不 同的 网络实施物理隔离； ( 5 ) 安 防措施薄弱 ， 以致 信息泄露或设 备被 盗、 被毁； ( 6 ) 电磁辐 射 可能 造成 信 号被 截 获 ， 造 成 数据 信 息 丢 失 、 泄密 。 2 2 2 网络层的安全 风险 网络层处于网络体系结构中物理链路层和传输层之 ， 该 层封 装 I P数 据报 ， 进行 路 由转发 ， 解 决机器 之 问 的通信 问

8、题 。 T C ) l P协议族 中最 为核 心的协 议I Pf I n t e r n e t 办议) 在 网络层应 用最为广泛 。T C P ， U D P ， I C MP及 I G MP 数据 都 以I P 数 据报格 式 进行传输。这一层的常见安全问题主要有： ( 1 ) 明 文传输 面 临 的威胁 ( 2 ) I P地 址欺 骗 ( 3 ) 源路 由欺骗 ( 4 ) 路 由信 息协议( R I P ) 攻击 ( 5 ) I C MP攻击 ( 6 ) 端 口扫描 威胁 扫 描技 术有 T C P c o n n e c t 0 扫 描、 S Y N扫描 、 F I N扫描 、 I P

9、段扫 描、 反 向I d e n t 扫描 等。 ( 7 )I P碎片攻 击 2 2 3 传输层 的安全风 险 传输层 在 O S I 模 型中起着 关键 作用 ， 负责端 到端可靠 的交 换数据传输和数据抓控制。在传输层使用最广泛的有两种协 议： 传输控制协议( T C P ) )T I 用户数据报协议( U D P ) ( 1 ) T C P ” S Y N ” 攻击： T C P是一种基于字节流 的、 面 向连 接的 、 可靠的传输层通 信 协 议， 不 同主机之 间建 立 一 一 条 T C P 连 接 ， 要经过 二次握手 机制 。 二 次握 手后 ， 主机 A和主机 B 就 可 以

10、相 互进行 数据传 输 。在 第 二次握 手时 ， 主机 B接到主 机 A的 S Y N请求后 要建立 个监 听 队列保持该连接至少7 、 5 秒， 攻击者利用该机制向 标主机技 送 多个 S Y N请求 ， 但 却不响应 返 回的S Y N &A C K ， 致使 口标 主机 学兔兔 w w w .x u e t u t u .c o m 自动化与仪器仪表 2 o 1 3 年第 1 期( 总第 1 6 5 期) 的监 听队列填满， 停止接受新 的连接 ， 拒绝服务 。 ( 2 ) L a n d 攻击： 属 于拒绝 服务攻 击类型 ， 该攻击首 先构造 一个具 有相 同I P 源地 址、 目

11、标地 址的T C P S Y N数据 包， 接 收到该数据包 的主机会 向 自己发送 S Y N A C K消 息， 循环往 复， 消耗 大量 的系统资源 ， 或 者 由于创 建了过多的空连接 ， 导致超 时拒 绝服 务。 ( 3 ) T C P会话劫持： 会话劫持结合使用嗅探和欺骗等多种手段， 利用T C P的工 作原理 实施攻 击。 攻击者 以嗅探 技术获得 网络 中活动 T C P会话报 文 ， 分析通 信双方的源I P ， 目的I p 和相应端口， 并得知其中一台主机对接收 下一 个T C P报文 中s e q 值和 a c k s e q 值 的要 求 。攻击者 发送 一个 带有净荷

12、 的T C P报文给 目标主机 ， 该报文会改变 目标主机的 a c k s e q 值 ， 认 可攻 击者并 拒绝 合法 主机的通 信 。这 种攻 击能避 开 目标主机 对访 问者 的安全 身份认 证 ， 使攻击 者直接 进入授信 访 问状态 ， 构成严重 的安全危胁 。 ( 4 ) U D P 淹没攻击 ： 用户数据包l 办议U D Pf U s e r D a t a g r a mP r o t o c o 1 ) 是一种面向 事务的、 无连接的、 不可靠的传输协议， 通信过程中不需要在源 端和 终端 之间建立 连接 ， 吞 吐量只受通 信双方 应用程序 生成数 据的速度 、 传输带宽

13、和主机性能的限制； 不需要维持连接， 开销 小， 可 同时 与多个客 户机传输 信息 。攻击者 随机 向一台通信主 机的端 口发送 U D P 数据包， 受害主机接收到U D P包， 会寻找 目 的端 口等待 的应用程序 ， 应用程序 不存在 ， 就会返 回一个 目的无 法 连接 的 I C MP数据包给 伪装 的源地址 。 当端 口接 收到足够 多 的源地址不存在的U D P数据包， 就会因消耗过多的系统资源而 导致瘫痪 。 ( 5 ) 端 口扫描攻击： T C P或U D P 端 口是计算机的通信通道， 也是潜在的入侵通 道。端口扫描的实质是探测， 方法是针对一台通信主机的每个端 口发送信

14、 息， 通过分析返回的信 息类型来判断该主机是否使用了 某个端口的通信服务， 通过测试这些服务发现漏洞进而入侵。 2 2 4操作 系统的安全风险 绝大部分操作 系统存在安全脆弱 性。 目前通用 的 Wi n d o w s ， U N I X ，L i n u x 以及其他商用操作系统， 在前期设计和后期软件 代 码 的大 规模开 发过程 中不可避 免 的存 在一些缺 陷 ， 为调查 试 需要有 的开发厂 商还 留下后 门， 使得 操作系 统本身存 在很 多安 全漏 洞， 非常 容易被攻 击。 ( 1 ) U N I X操作 系统： U N I X是 一个多 用户 、 多任 务 、 分时 的操

15、作 系统 。由于其 稳 定性和安全性， 在服务器操作系统中被广泛应用， 但也存在很多 安全 隐患。 ( 2 ) L i n u x 操作系统 L i n u x 是 U N I X系统 的变种 ， 其 基于开 放源码 和社 区开发 的 背景 ， 促使 其得到很 快的 发展 。由于 L i n u x 的源代 码完全 公开 ， 任 何人都 可通过 阅读源代 码来寻找 系统漏 洞 ， 也可 以 自己动 手 改写内核来进行修补， 漏洞暴露得充分改进也很彻底。同样地， 它也存在着 口令问题、 S E T U I D问题 、 引导 问题 、 特洛伊木 马问题 等 ， 也面 临着安全 隐患缓 冲区溢 出、

16、 S s c a n 扫描工具 、 拒绝服务 性 攻 击等 问题 ， 很 多病 毒轻 易修改 了系统 中某 些文件 内容实施 破 坏 。这 些 安全 隐患 可 以通 过 一些 措 施 在 一 定程 度 起 到 优 化 作用。 ( 3 ) Wi n d o w s 操作系统 Wi n d o w s 操作系统作为一种优秀的操作系统， 便于部署、 管 理和应用， 安全的基础结构， 机构级可靠性、 可用性、 可伸缩性和 性能被广泛地应 用于各行各业 ， 目前服务器 大部分都在应用它 。 本身的 安全性 并不逊于 L i n u x 和 U N I X， 只是 由于其 应用范 围广 ， 所 以成为病毒

17、攻击 的主要 目标 。操作系统本身的漏洞、 应用软件 的漏洞 、 配置与 使用不合理 ， 使 Wi n d o w s 操作 系统的安全性 受到 威胁。最好的办法是下载相关补丁进行升级， 系统本身的配置不 合理也是导致安全危险产生 的原 因， 表现在： 开放多余 的服务 、 设 置完全共享的 目录、 设置弱 口令、 不合理的访 问控制、 没有安装防 病毒软件等方面。除操作系统自身设计和开发的缺陷， 导致脆弱 性的其他主要因素有： 病毒木马 、 配置不 当、 系统服务 。 3 校园网安全解决方案的提出 为 了解 决人 工安全检 测 出现 的种种 问题 ， 网络 安全 需要全 方位 的考量 ， 预

18、防 、 防御、 管理等 各个环节 都不容 忽视 。校 园网 管理部 门提 出了针对安全 问题 的方案需求 。要求新 的安全管理 解决方案能明显提高校园网的安全稳定性， 解决校园网因病毒 ( 如 A R P 及各类蠕虫等) 、 恶意攻击等造成掉线甚至断网问题， 希 望建设 一个覆 盖全 网的安全管 理系统 ， 要求 该系 统能 自动 发现 并消除 或拟制病 毒和攻 击行为对 网络造 成 的影 响 ， 能 自动 生成 各类安 全事件相 关 日志 ， 具有严 重安全事件 报警 功能 。总体来 说， 各 网络 安全 厂商的解 决方案大致可分为 3 类： 3 1 网关控制模式 该模 式是 由联 想网御

19、和 D L i n k 主推 的解决 方案 。该 技术 的特点是在全网的网关即出口位置安装流控设备、 控制管理设 备以及相应的安全策略设备。 3 2端 口控 制 模 式 该模式是 由 H 3 C 和锐捷 网络主推 的解决方案 。该技术的特 点是在全网的接入位置即所有的接入交换机上使用8 0 2 1 x 技术 认证用户的身份 。 3 3 杀毒软件控 制模 式 该模式是 由趋 势科技和瑞星 软件 提 出的解决 方案 。该技术 的特点是采用纯软件的方法在网络上设置杀毒软件服务器， 用 户端安装对应杀毒软件的客户端。 通过对三类方案对比研究后， 决定采用出口控制+ 接入设备 控制 的双重 安全解决 方

20、案 。依据 此综 合方案 ， “ 出口控 制” 方案 和“ 接入设备控制” 方案两部分的部分功能模块需要进行整合 。 新 的方 案 以“ 接入 设备控制 ” 方案为基 础 ， 把 “ 出 口控制 ” 方案 的 功能加 进来 ， 同时 利用“ 网络 出 口方案 ” 的终端安 全性管理 机制 联动“ 接入设备端控制方案” 的8 0 2 1 x 强制认证机制， 综合起来 解决整 网的安全管理 问题 。 参考文献 1 】 顾晨 浅谈 校 同 网 网络安 全及 解 决方 案 I J 】 网络 通 讯及 安全 ， 2 0 0 8 ( O 1 ) ： p 4 3 4 4 3 6 【 2 1 赵毅 高校校 园计算 机网络设计 与实现【 D 】 重庆大学， 2 0 0 6 ， 3 1 6 9 学兔兔 w w w .x u e t u t u .c o m