毕业论文--校园网络安全系统设计与实现

毕业论文--校园网络安全系统设计与实现内容摘要：

6 拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备，导致被攻 击网络无法提供服务的一种攻击方式。 典型的拒绝服务攻击表现为攻击者向被攻击网络大陆发送数据从而消耗其资源、使得用户无法访问所需信息。 拒绝服务攻击的方法多样。 攻击者在发起攻击时，可能采取单一手段的攻击模式，也可能采取多种攻击手段联合使用的模式。 就其攻击手段来说．主要有以下几种： 1） 死亡之 Ping。 早期的网络不支持大包，攻击者通过网络发送大母的大数据包到被攻击者网络，造成网络堵塞以致瘫痪。 目前的网络已经能够支持大包，这种方式已经不再出现。 2） 泪滴攻击。 攻击者采用修改包片段字头的方式，使得包无法正确组装．导致 网络访问失败的方式。 3 ） UDP 洪水攻击。 攻击利用如 chargen 和 echo 等简单的 TCP／ IP 服务．相互发送大量数据以沾满带宽，从而瘫痪网络的方式。 4 ) SYN 洪水攻击。 攻击者通过想服务器发送连续的 SYN 握手信息来瘫痪服务器的攻击方式。 5 ) LAND 攻击 该攻击是让服务器自己向自己发送 SYN 握手信息．已达到瘫痪主机的目的。 6 ) Smurf 攻击。 攻击者将报文地址设为 Echo 地址，这样 Echo78 地址就必须不问断的响应该报文，使得网络带宽被侵占，从而达到瘫痪网络的目的。 7 ) Fraggle 攻 击。 Fraggle 攻击对 Smurf 攻击做了修改。 8 )电子邮件炸弹。 通过向一台服务器大量的不间断的发送电子邮件，起到瘫痪服务器的作用。 9 )急性消息攻击。 借助机器对某些消息为进行错误校验来攻击服务器。 10)分布式拒绝服务攻击。 它是威力最强大的拒绝服务攻击方式，其主要采用多台服务器对同一网络同时发起攻击 ， 导致该网络瞬间瘫痪。 常见的拒绝服务攻击主要有以上几种 ， 攻击者攻击目的和攻击水平不同，选用的方式不同。 无论哪种方式，都对网络安全造成很大的危害。 [5] 3 存在的安全隐患 ,以我校为例，校园网络存在的 安全隐患和漏洞有 : 1 ) 计算机与 Inter 相连，却没有安装相应的杀毒软件及防火墙。 2) 使用的操作系统存在安全漏洞，网络木马、病毒和黑客攻击影响到系统的安全。 校内大部分计算机系统或多或少都存在着各种的漏洞，校园网络又对社会开放，这样一来只要接入 INTERNET 的用户就可以对校园的网络服务器进行攻击，而流行于网络上的很多病毒如 “ 震荡波、冲击波、尼姆达”病毒都是利用系统的漏 7 洞来进行病毒传播的，加上带毒的木马程序，一感染便驻留在你的计算机当中，在以后的计算机启动后，木马就在机器中打开一个服务，通过这 个服务将你计算机的信息、资料向外传递。 3) 目录共享导致信息的外泄 , 在校园网络中，利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。 但可以说几乎所有的人都没有充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到，而是连在网络上的各台计算机都能对它进行访问。 这也成了数据资料安全的一个隐患。 我曾经搜索过外地机器的一个 C 类 IP 网段，发现共享的机器就有十几台，而且许多机器是将整个 C 盘、 D 盘进行共享，并且在共享时将属性设置为完全共享，且不进行密码保护，这样只要将其映射成 一个网络硬盘，就能对上面的资料、文档进行查看、修改、删除。 因而 对目录共享安全意识的单薄， 会 导致了信息的外泄。 4) 网络安全意识淡薄 ， 校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜，我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安全管理上也没有任何标准，这也是网络安全问题 泛滥的一个重要原因 .由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要 . 8 2. 校园网络安全 策略 校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。 国内高校校园网的安全问题有其历史原因：在以前的网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在 “ 重技术、轻安全、轻管理 “ 的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给 病毒、黑客提供了充分施展身手的空间。 而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。 作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得越来越突出了。 一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。 校园网安全管理 针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。 以下五点 是 高校的安全策略： 规范出口管理，实施校 园网的整体安全架构，必须解决多出口的问题。 对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。 为校园网的安全提供最基础的保障。 配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。 另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。 解决用户上网身份问题，建立全校统一的身份 认证系统。 校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。 9 严格规范上网场所的管理，集中进行监控和管理。 上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 根据相关部门的要求， 配备专门的安全管理人员，出台网络安全管理制度。 网络安全的技术是多样化的，现状还是 “道高一尺，魔高一丈 ”，因此管理的工作就愈发重要和艰巨，必须 要 做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。 [2] 校园网络安全措施 前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。 为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。 杀毒软件。 杀毒产品 的 部署 . 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染 、传播和发作。 为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能 .。 （ 1）在学校网络中心配置一台高效的 Windows2020 服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。 （ 2）在各办公室分别安装 杀毒软件的 客户端。 （ 3）安装完 杀毒软件 ，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀 毒。 （ 4）网络中心负责整个校园网的升级工作。 采用 VLAN 技术。 VLAN 技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。 VLAN 技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。 内容过滤器。 10 内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。 同时，可以限制外来的垃圾邮件。 防火墙。 在与 Inter 相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。 在防火墙设置上按照 以下原则配置来提高网络安全性 : (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。 总体上遵从“不被允许的服务就是被禁止”的原则 . (2）禁止访问系统级别的服务 ( 如 HTTP , FTP 等 )。 局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。 (3）如果你在局域网中使用你的机器，那么 你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而。