论文--防火墙技术在校园网中的应用

论文--防火墙技术在校园网中的应用内容摘要：

因素，有必要为校园网设计一个严密的防火墙。 校园网防火墙 部署思路 防火墙是网络安全的屏障。 一个防火墙（作为阴塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。 由于只有经对精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。 在防火墙设置上我们按照以下原则配置来提高网络安全性：  根 据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问 /。 总体上遵从“不被允许的服务就被禁止”的原则。  将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击，过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击。  在防火墙上建立内网计算机的 IP 地址和 MAC 地址对应表，防止 IP 地址被盗用。  在局域网的入口架设行兆防火墙，并实现 VNP 的功能，在校园网络入口建立第一层的安全屏障， VPN 保证了管理员在家里或出差时能够安全接入数据中心。  定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。  允许通过配置网卡对防火墙设置，提高防火墙管理安全性。 3 校园网面对的安全威胁 物理安全 保证计算机网络系统各种设备的物理安全是整个网络安全的前提。 计算机网络的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。 计算机网络的物理安全包括构成网络的相关基础设施的安全，网络的运行环境比如温度、湿度、电源等，自然环境的影响以及人的因素等对计算机 网络的物理安全和运行的影响。 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 其目的是保护计算机系统、 web 服务器、打印机等硬件实体和网络通信设备免受自然灾害、人为破坏和搭线攻击等。 自然威胁 自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的影湖南科技职业学院 电子信息工程与技术系 毕业设计 12 响。 主要包括以下几方面： ①自然灾害 自然灾害对计算机网络设备或其它相关设施造成的损坏，或对网络运行造成的影响。 如：雷击、火灾、水灾、地震等不可抗力造成的网 络设备或网络通信线路的损坏，大雾对无线传输的影响。 ②正常使用情况下的设备损坏 在网络设中，所有的网络设备都是电子设备，任何电子元件也都会老化，因此由电子元件构成的网络设备都一个有限的正常使用年限，即使严格按照设备的使用环境要求使用，在设备达到使用寿命后均可能出现硬件故障或不稳定现象，从而威胁计算机网络的安全运行。 ③设备运行环境 网络的运行是不间断的。 保证网络设备的安全运行，运行环境是一个很重要的因素。 任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行，其中主要包括周边环境和电源系统两大要素。  周边 环境 我们所使用的网络交换设备一般都有自己的散热系统，所以环境因素往往被一些管理员所忽略。 随着使用周期的增长，一些设备的散热系统损坏，或在潮湿的天气环境下积尘较多而引起设备运行不稳定，都是不安全因素。 因此网络设备的安放都需要比较良好的环境，所以校园网的网络中心机房一般都配备调湿调温并经常保洁的环境，以保证设备的运行。 在分节点的网络设备，可以采取定期维 护保养的措施或分别设置空调设备。  电源系统 电源系统的稳定可靠直接影响到网络的安全运行。 如果要保证网络的不间断，就必须保证电源系统的稳定和不间断。 校园网的电源 系统可分为两部分，一部分主要用于网络设备和主机，由于这些网络设备和主机对电源系统要求较高，且不能间断，所以这部分的供电系统就采用 UPS（不间断电源系统），而且最好是采用在线式的，这样可以充分隔离电力系统对网络设备的干扰，保证网络的运行。 另一部分主要用于空调设备，其特点是电源容量要求大，可短时间间断，但由于我们部分学校所使用的空调系统在恢复供电后都不能自动启动，所以必须让管理人员掌握电源的通断信息。 以上海师大校园网为例，网络中心通过对 UPS 电源监控系统的整合，使电源通断信息的变化会及时地反映到网管人员的手机上 ，这样中心工作人员就能及时了解突发情况。 人为威胁 人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁，包括故意人为和无意人为威胁。 人为故意威胁是指人为主观威胁网络的物理安全。 最常见的是人为通过物理接近的方式威胁网络安全，物理接近是其它攻击行为的基础。 如通过搭线连接获取网络上的数据信息；或者潜入重要的安全部门窃取口令、密钥等重要的网络安全信息；或者直接破坏网络的物理基础设施（盗割网络通信线缆、盗取或破坏网络设备等）。 这些人为的故意破坏行为严重威胁网络的安全运行。 人为无意威胁是人为因素造 成但不是故意的物理安全威胁。 即使是合法的、技术过硬的操作人员，由于从时间疲劳工作或者其它身体因素的影响，或者自身安全意识不强都可能产生失误和意外疏忽。 这些意外和疏忽也可能影响网络的安全运行，有时还会造成重大的损失，如删除了重要的网络配置文件、格式化了存储有重要数据或信湖南科技职业学院 电子信息工程与技术系 毕业设计 13 息的分区或整个硬盘、没有采取防静电措施插拔硬件等等 内网攻击分析 ARP 攻击 ARP 攻击就是通过伪造 IP 地址和 MAC 地址实现 ARP 欺骗 ，能够在网络中产生大量的 ARP 通信量使网络阻塞，攻击者只要持续不断的发出伪造的 ARP 响应包 就能更改目标主机 ARP 缓存中的 IPMAC 条目，造成网络中断或中间人攻击。 ARP 攻击主要是存在于局域网网络中，局域网中若有一台计算机感染 ARP木马，则感染该 ARP 木马的系统将会试图通过 “ARP 欺骗 ”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。 某机器 A 要向主机 B 发送报文，会查询本地的 ARP 缓存表，找到 B 的 IP 地址对应的 MAC 地址后，就会进行数据传输。 如果未找到，则广播 A 一个 ARP 请求报文（携带主机 A 的 IP 地址 IA——物理地址 PA），请求 IP 地址为 IB 的主机 B 回答物理地址 PB。 网上所有主机包括 B 都收到 ARP 请求，但只有主机 B 识别自己的 IP 地址，于是向 A 主机发回一个 ARP 响应报文。 其中就包含有 B 的 MAC 地址， A 接收到 B 的应答后，就会更新本地的 ARP 缓存。 接着使用这个 MAC 地址发送数据（由网卡附加 MAC 地址）。 因此，本地高速缓存的这个 ARP 表是本地网络流通的基础，而且这个缓存是动态的。 在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。 网络监听在网络中的任何一个位置模式下都可 实施行。 而黑客一般都是利用网络监听来截取用户口令。 比如当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。 很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。 其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。 因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。 在这个时候，运行已经被控制的主机上的监听程序就会有大收效。 不 过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。 主要包括：  数据帧的截获  对数据帧的分析归类  dos 攻击的检测和预防  IP 冒用的检测和攻击  在网络检测上的应用  对垃圾邮件的初步过滤 ．蠕虫病毒 蠕虫病毒攻击原理 蠕虫也是一种病毒，因此具有病毒的共同特征。 一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为 ”宿主 ”，例如， windows 下可执行文件的格式为 pe 格式 (Portable Executable)，当需要感染 pe 文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序湖南科技职业学院 电子信息工程与技术系 毕业设计 14 运行完之后，在把控制权交给宿主原来的程序指令。 可见，病毒主要是感染文件，当然也还有像 DIRII 这种链接型病毒，还有引导区病毒。 引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。 蠕虫病毒入侵过程 蠕虫病毒攻击主要分成三步： ① 扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。 当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。 ② 攻击：攻击模块按漏洞攻击步骤自动攻击步骤 1 中找到的对象，取得该主机的权限（一般为管理员权限），获得一个 shell。 ③ 复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。 外网攻 击分析 DOS 攻击 DoS 攻 击 (Denial of Service，简称 DOS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘 编程缺陷，提供虚假路由或 DNS信息，使被攻击目标不能正常工作。 实施 DoS 攻击的工具易得易用，而且效果明显。 一般的 DoS 攻击是指一台主机向目的主机发送攻击分组 (1:1)，它的威力对于带宽较宽的站点几乎没有影响。 而分布式拒绝服务攻击 (Distributed Denial of Service，简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击 (m:n ),即使对于带宽较宽的站点也会产生致命的效果。 随着电子商业在电子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续的 DoS 攻击既可能使某 些机构破产，也可能使我们在信息战中不战而败。 可以毫不夸张地说，电子恐怖活动的时代已经来临。 DoS 攻 击 中，由于攻击者不需要接收来自受害主机或网络的回应，它的 IP 包的源地址就常常是伪造的。 特别是对 DDoS 攻击，最后实施攻击的若干攻击器本身就是受害者。 若在防火墙中对这些攻击器地址进行 IP 包过滤，则事实上造成了新的 DDS攻击。 为有效地打击攻击者，必须设法追踪到攻击者的真实地址和身份。 SYN Attack(SYN 攻击 ) 每一个 TCP 连接的建立都要经过三次握手的过程： A 向 B 发送 SYN 封包： B 用SYN/ACK 封包进行响应；然后 A 又用 ACK 封包进行响应。 攻击者用伪造的 IP 地址（不存在或不可到达的地址）发送大量的 SYN 封包至防火墙的某一接口，防火墙用SYN/ACK 封包对这些地址进行响应，然后等待响应的 ACK 封包。 因为 SYN/ACK封包被发送到不存在或不可到达的 IP 地址，所以他们不会得到响应并最终超时。 当网络中充满了无法完成的连接请求 SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务（ DOS）时，就发生了 SYN 泛滥攻击。 防火墙可以对每秒种允许通过防火墙的 SYN 封包数加以限制。 当达到该临界值 时，防火墙开始代理进入的 SYN 封包，为主机发送 SYN/ACK 响应并将未完成的连接存储在连接队列中，未完成的连接保留在队列中，直到连接完成或请求超时。 ICMP Flood(UDP 泛滥 ) 当 ICMP PING 产生的大量回应请求超出了系统最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了 ICMP 泛滥。 当启用 ICMP 泛滥保护功能时，可以设置一个临界值，一旦超过了此值就会调用 ICMP 泛滥攻击保护功能。 （缺省的临界值为每秒 1000 个封包。 ）如果超过了该临界值。 湖南科技职业学院 电子信息工程与技术系 毕业设计。