校园网安全方案规划与设计论文

校园网安全方案规划与设计论文内容摘要：

态，及时发现系统漏洞，阻断黑客攻击行为。 加强对网络、公开服务器访问行为的日志审核工作，及时发现可以访问行为。 强化数据容灾和备份，实现系统崩溃后数据快速回复。 强化网络安全管理，提高网络管理 人员的安全意识和防范技术。 成都学院学士学位论文（设计） 6 网络 安全 防范体系 设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照 SSECMM(系统安全工程能力成熟模型 )和 ISO17799(信息安全管理标准 )等国际标准，综合 考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面 [5]。 网络安全防范体系在整体设计过程中应遵循以下 几 项原则： 网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。 “ 木桶的最大容积取决于最短的一块木板 ”。 网 络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。 攻击者使用的 “ 最易渗透原则 ” ，必然在系统中最薄弱的地方进行攻击。 因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。 安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“ 安全最低点 ” 的安全性能。 网络信息安全的整体性原则 要求在网络发生 被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。 因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。 安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。 安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。 安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。 安全性评价与平衡原则 对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性 与用户需求评价与平衡体系。 安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。 评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。 标准化与一致性原则 系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。 成都学院学士学位论文（设计） 7 技术与管理相结合原则 安全体系是一个复杂的系统工程，涉及人、技术 、操作等要素，单靠技术或单靠管理都不可能实现。 因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 统筹规划，分步实施原则 由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。 随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。 等级性原则 等级性原则是指安全层次和安全级别。 良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。 动态发展原则 要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。 易操作性原则 首先，安全措施需要人为去完成，如果措施过于复 杂，对人的要求过高，本身就降低了安全性。 其次，措施的采用不能影响系统的正常运行。 常见网络攻击的防范 常见网络病毒的防范 对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的 ACL，能够对这些病毒所使用的 TCP、 UDP 的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使 用 [6]。 未知网络病毒的防范 对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同 成都学院学士学位论文（设计） 8 的网络应用分配不同的网络带宽，保证了关 键应用比如 WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。 防止 IP 地址盗用和 ARP 攻击 通过对每一个 ARP 报文进行深度的检测，即检测 ARP 报文中的源 IP 和源 MAC 是否和端口安全规则一致，如果不一致，视为更改了 IP 地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的 ARP 欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。 防止假冒 IP、 MAC 发起的 MAC Flood\SYN Flood 攻击 通过 部署 IP、 MAC、端口绑定和 IP+MAC 绑定（只需简单的一个命令就可以实现）。 并实现端口反查功能，追查源 IP、 MAC 访问，追查恶意用户。 有效的防止通过假冒源IP/MAC 地址进行网络的攻击，进一步增强网络的安全性。 对 DOS 攻击，扫描攻击的屏蔽 通过在校园网中部署防止 DOS 攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。 网络安全建设的步骤 网络安全涉及面相当广，同时进行建设的可行性较差，因此，需要 按照以下方式进行分阶段实施。 第一阶段 技术方面： 采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。 服务方面： 进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份，通过这些服务，增强网络的抗干扰性。 支持方面： 要求服务商提供故障排除服务，以提高网络的可靠性，降低网络故障对网络的整体影响。 第二阶段 在第一阶段安全建设的基础上，进一步增加网络安全设备，采纳新的安全服务和技术支持来增强网络的可用性。 成都学院学士学位论文（设计） 9 技术方面： 采用入侵检测、邮件防病毒软件、动态 口令认证系统、并在重要 的 客户端安装个人版防护软件。 服务方面： 对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。 支持方面： 要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。 第三阶段 在这一阶段，采取的措施以进一步提高网络效率为主。 技术方面： 采用反垃圾邮件系统、网络管理软件、 QOS 流量管理软件。 服务方面： 采用白客渗透测试，要求服务商定期提供整体安全分析报告。 支持方面： 要求能够实时或者时候查找攻击源。 以上针对用户网络分别从三个方面提出了安全解决方案，并按照实施的紧迫性分成三个阶段来实现，但是实际针对某个用户，对于安全的要求可能各不相同，具体网络情况也可能有很大的差异，因此建议用户根据实际情况建立网络安全建设的时间表。 另外，随着新技术、新产品的不断涌现，网络技术的不断发展，对于网络安全的要求不断提高，安全建设的最基本原则：不断改进，不断增强，安全无止境。 对于 网络安全应 该 具有以下四个方面的特征： 保密性：信息不泄露给非授权用户、实体。 完整性：数据 未经授权不能进行改变的特性。 可用性：可被授权实体访 问并按需求使用的特性．即当需要时能 否存取所需的信息。 可控性：对信息的传播及内容具有控制能力。 在现实世界中，网络系统一旦出现安全问题，其代价往往是惊人的．因此，充分认识到网络应用所带来的风险并采取必要的安全防范措施是非常关键的。 成都学院学士学位论文（设计） 10 3 功能设计 防火墙技术 防火墙简介 防火墙是计算机网络上一类防范措施的总称，它使得内部网络与 Inter 之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。 防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的 都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管 理 [7]。 防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视 Inter 安全和预警的方便端点。 由于网络具有天生的开放性，所以有许多防范功能的防火墙也有一些防范不到的地方，如防 火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传 输。 因此，防火墙只能是一种整体安全防范政策的一部分。 实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。 报文过滤是在 IP层实现的，它的原理是根据报文的源 IP 地址、目的 IP 地址、源端 口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。 在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。 防火墙部署 在防火墙设置上按照以下原则配置来提高网络安全性： 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。 总体上遵从“不被允许的服务就是被禁止”的原则； 将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击； 在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用； 定期查看防火墙访问日志，及时发现攻击行为和不良上网 记录 [8]。 配置： 成都学院学士学位论文（设计） 11 Console 端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。 2. 打开 PIX 防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3. 运行电脑 Windows 系统中的 超级终端（ HyperTerminal）程序（通常在“附件”程序组中）。 对超级终端的配置与交换机或路由器的配置一样。 4. 当 PIX 防火墙进入系统后即显示“ pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。 可以进行进一步的配置了。 5. 输入命令： enable,进入特权用户模式，此时系统提示为： pixfirewall。 6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。 (1)防火墙上的基本配置代码如下： pixfirewall conf t pixfirewall(config) hostname pix pix(config) int e0 pix(configif) nameif inside pix(configif) ip add pix(configif) no shut pix(configif) exit pix(config) int e1 pix(configif) nameif outside pix(configif) ip add pix(configif) no shut pix(configif) exit pix(config) static (inside,outside) mask pix(config) accesslist 100 permit icmp any any。