校園網(wǎng)網(wǎng)絡安全分析及安全解決方案

1、校園網(wǎng)網(wǎng)絡安全分析及安全解決方案文章摘要 該文詳細分析了我院校園網(wǎng)的安全問題并提出了相應的對策。在分析本校校園網(wǎng)原有的網(wǎng)絡安全措施的基礎上，針對校園網(wǎng)在運行中所遇到的實際問題，對電子郵件過濾檢測，入侵檢測，病毒檢測，防火墻設置等多方面提出了綜合性安全解決方案。關 鍵 字 網(wǎng)絡安全，校園網(wǎng)，入侵檢測，病毒檢測，防火墻一、網(wǎng)絡安全的現(xiàn)狀分析我院校園網(wǎng)由網(wǎng)絡中心、主干網(wǎng)和各樓內(nèi)的局域網(wǎng)組成。主干網(wǎng)以千兆以太網(wǎng)為主，光纖覆蓋整個校區(qū)。部門級交換機根據(jù)下連的計算機數(shù)量和網(wǎng)絡應用的級別，與中心交換機實現(xiàn)千兆、百兆連接。校園網(wǎng)的主干網(wǎng)中采用的是子網(wǎng)過濾結(jié)構的雙路由器的結(jié)構，采用intel express 9

2、300路由器作為外部路由器。該路由器直接連接linux服務器，經(jīng)linux的包過濾防火墻后連接校園網(wǎng)主交換機intel express 550t routing switch（具有路由功能，作為校園網(wǎng)的內(nèi)部子網(wǎng)間的路由器）。linux服務器執(zhí)行堡壘主機的功能，采用red hat linux 7.2版作為操作系統(tǒng)。該系統(tǒng)裝有單一集成的可管理的軟件包，提供各種服務，包括入侵保護、性能加速、安全的vpn能力以及對外internet訪問的全面控制等。由該主機的包過濾防火墻保護內(nèi)部網(wǎng)絡免受來自internet的侵害。過濾范圍包括內(nèi)部網(wǎng)絡和堡壘主機之間的數(shù)據(jù)包，以防堡壘主機被攻占。同時，在該堡壘主機上，運

3、行多種服務器，如：電子郵件服務器、web服務器、ftp服務器等等。intel express 550t routing switch實現(xiàn)內(nèi)部路由的功能，有效地阻斷內(nèi)部子網(wǎng)間的廣播包發(fā)送，最大限度地減輕了網(wǎng)絡負擔。二、校園網(wǎng)絡中不安全的主要問題現(xiàn)階段，我院校園網(wǎng)的主題架構已經(jīng)成型，然而隨著對網(wǎng)絡服務要求的進一步提高，我們還要全面地解決在運行中所出現(xiàn)的問題，從而提供更加完善的服務。1. ip盜用問題校園網(wǎng)內(nèi)部連接有幾千臺電腦，一部分電腦通過正常的申請途徑申請得到合法的ip地址，另一部分則不然。當某些沒有ip地址的用戶，冒用他人的合法ip地址時，就會造成網(wǎng)絡內(nèi)部地址的沖突，嚴重阻礙了合法用戶的正常使

4、用。2. 防火墻攻擊防火墻系統(tǒng)相關技術的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅固，但這只是對于對外的防護而已，它對于內(nèi)部的防護則幾乎不起什么作用。然而不幸的是，一般情況下有70%的攻擊是來自局域網(wǎng)的內(nèi)部人員。所以怎樣防止來自內(nèi)部的攻擊是當前校園網(wǎng)建設中的一個非常重要的方面。3. email問題由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會給校園網(wǎng)的email用戶發(fā)一些不良內(nèi)容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網(wǎng)的email系統(tǒng)也是一個待解決的問題。4. 各種服務器和網(wǎng)絡設備的掃描和攻擊有時會有一些用戶對校園網(wǎng)的服務器和網(wǎng)絡設備進行掃描和攻擊，造成網(wǎng)絡負載過重，

5、致使服務器拒絕提供服務，或造成校園網(wǎng)不能提供正常的服務。5. 非法url的訪問問題對于一些反動的或不健康的站點，應當禁止校園網(wǎng)用戶通過校園網(wǎng)去訪問。6. 病毒防護互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒從網(wǎng)絡之間傳遞，并在計算機沒有任何防護措施的情況下運行，從而導致系統(tǒng)崩潰，網(wǎng)絡癱瘓，對網(wǎng)絡服務構成嚴重威脅，造成巨大損失。近階段泛濫的“尼姆達病毒”就是典型的例子。因此，如何讓校園網(wǎng)更安全，防止網(wǎng)絡遭受病毒的侵襲，已成為校園網(wǎng)迫切需要解決的問題。三、校園網(wǎng)安全的解決方法現(xiàn)階段，由于我院校園網(wǎng)已有較完善的網(wǎng)絡系統(tǒng)架構，因此，在保證現(xiàn)有網(wǎng)絡工作順通的同時，

6、再進行開發(fā)和完善是解決校園網(wǎng)網(wǎng)絡安全的最佳選擇。現(xiàn)提出以下解決方法。1. 采用入侵檢測系統(tǒng)入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在校園網(wǎng)中采用入侵檢測技術，最好采用混合入侵檢測。需要從兩方面來著手基于網(wǎng)絡的入侵檢測和基于主機的入侵檢測。（1）基于網(wǎng)絡的入侵檢測該檢測主要通過定期使用專用的網(wǎng)絡監(jiān)視軟件分析網(wǎng)絡數(shù)據(jù)流量、主要數(shù)據(jù)內(nèi)容來完成，例如使用intel express

7、550t routing switch所帶的專用管理用具intel device view對交換機、端口間的每秒輸出包、輸入包、廣播包的數(shù)量進行統(tǒng)計，若發(fā)現(xiàn)網(wǎng)絡中有某臺機器的流量超過正常值，則表示該主機可能感染了某種病毒導致不停地向網(wǎng)絡中發(fā)出各種進攻。前不久出現(xiàn)的“紅色代碼ii”就可以用此方法進行入侵檢測。感染了此病毒的主機將會建立300個線程不定時隨機生成ip地址作為攻擊目標發(fā)出攻擊，這樣的主機在網(wǎng)絡流量監(jiān)視中是顯而易見的。另外，當?shù)弥扯丝诘闹鳈C網(wǎng)絡流量出現(xiàn)異常時，也可使用專用的網(wǎng)絡數(shù)據(jù)監(jiān)視器對其發(fā)出和接受的數(shù)據(jù)進行具體監(jiān)視，例如使用微軟sms(system manager server)

8、所帶的網(wǎng)絡監(jiān)視器利用snmp協(xié)議對某端口出入數(shù)據(jù)進行詳細分析，可統(tǒng)計出該主機具體是哪種協(xié)議、哪個端口所發(fā)的數(shù)據(jù)最多，以及具體的數(shù)據(jù)內(nèi)容。例如監(jiān)視某臺感染有“紅色代碼ii”的nt服務器時，則會發(fā)現(xiàn)目標端口為80(http)的tcp協(xié)議通訊量極高。（2）基于主機的入侵檢測該項檢測主要通過防火墻日志以及各種服務軟件的日志統(tǒng)計來完成，例如在日志中統(tǒng)計出某時間段服務器接收到來自同一地址的嗅包數(shù)量超過一定數(shù)值，那么就該考慮是否要在防火墻中加入一條拒絕規(guī)則了。又如在ftp服務器中發(fā)現(xiàn)某時段某用戶登錄失敗次數(shù)超過100次以上，這就表示極可能有黑客在用窮舉法試圖破譯某ftp用戶的密碼。2. web、email、

9、bbs的安全監(jiān)測系統(tǒng)在校園網(wǎng)的www服務器、email服務器等各種服務器中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡，截獲internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、email、ftp、telnet應用的內(nèi)容，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)絡中心報告，采取措施。并利用專門的日志分析工具對保存在數(shù)據(jù)庫中的訪問日志進行統(tǒng)計并繪制統(tǒng)計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然了。3. 在linux下配置防火墻防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，能夠有效防止internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部。防火墻從原理上

10、可以分為兩大類：包過濾（packet filtering）型和代理服務（proxy service）型。根據(jù)我校具體情況，采用如下防火墻配置方案：（1）利用linux核心中的ip鏈(ip chains)規(guī)則建立包過濾防火墻。規(guī)則具體如下： #先用 -f 選項清除掉所有規(guī)則 #假設服務器內(nèi)網(wǎng)ip為2，公有ip為2。將服務器在內(nèi)網(wǎng)的地址除開放dns、pop3、route、ftp、telnet、web、smtp外其他服務全部封死 #服務器對外僅提供pop3、ftp、web、smtp服務使用ip鏈規(guī)則建立防火墻的主要原因并不是因為它是免費軟件，而是因為ip

11、鏈規(guī)則是一套直接編譯在linux核心中的防火墻，其運行效率是其他外掛在操作系統(tǒng)上的軟件防火墻所無法比擬的，因此假若希望在流量較大網(wǎng)絡接口安設防火墻，而又不想購買昂貴的硬件防火墻時，采用ip鏈規(guī)則建立包過濾防火墻是一個不錯的選擇。（2）利用ip偽裝(ip masquerade)實現(xiàn)內(nèi)網(wǎng)微機透明訪問internet。ip偽裝是nat(network address translation網(wǎng)絡地址轉(zhuǎn)換)的一種方式，即當內(nèi)網(wǎng)的機器需要訪問internet時，具有ip偽裝功能的服務器會將內(nèi)部網(wǎng)絡使用的非公有ip偽裝成同一個公有ip訪問internet，這就可以使內(nèi)網(wǎng)用戶可以透明地訪問internet而不

12、用安裝任何客戶端軟件，減少了許多不必要的麻煩。使用該方式可使大部分軟件直接訪問internet，例如使用smtp、imap、pop協(xié)議的郵件客戶端軟件、使用udp協(xié)議的icq、oicq、real player、windows media player軟件等，而且用戶使用內(nèi)網(wǎng)任何一臺微機都可以直接用“ping”命令測試與internet的連接，網(wǎng)絡測試十分方便。ip偽裝是linux的一項網(wǎng)絡功能，具體實現(xiàn)方法如下： #啟用 ip 轉(zhuǎn)發(fā) #建立 nat 規(guī)則，令局域網(wǎng)中地址為 192.168.*.* 且其目標地址不在 192.168.*.* 范圍內(nèi)的機器偽裝為本機 internet 有效 ip地址

13、后進行轉(zhuǎn)發(fā)。但該方式并不一定可以使所有連接internet的軟件成功使用，tcp/ip協(xié)議的天生缺陷使得極少部分軟件無法使用該方式訪問internet，例如當內(nèi)部網(wǎng)絡中某臺微機希望連接internet上的一臺ftp服務器，而對方的ftp服務器禁用了或根本不支持被動方式連接，那么連接后就無法上傳或下載任何數(shù)據(jù)，此時則需要使用其他方式連接了。例如后面提到的的socks代理。4. 利用squid代理服務與防火墻規(guī)則結(jié)合構筑透明代理使用ip鏈規(guī)則可以使內(nèi)網(wǎng)的主機不需要做任何設置就可以訪問web，但其缺點就是當內(nèi)網(wǎng)數(shù)臺主機先后訪問internet上某一站點時，第一臺將該站點的主頁以及頁面中的圖像從int

14、ernet下載到本機，而其它幾臺訪問時也要重復相同的操作，即從internet下載了同樣的內(nèi)容，這樣的重復勞動自然會浪費相當多的帶寬，而使用具有web緩存(web cache)的代理服務器便可解決此問題。在第一臺主機訪問該站點時代理服務軟件將此網(wǎng)頁的內(nèi)容緩存到本地硬盤，而后其他主機再次訪問該站時，代理服務器只是檢測該網(wǎng)頁是否有更新，若無更新便直接將本機的緩存?zhèn)魉瓦^去，這樣既可以節(jié)省帶寬又有效地提高了上網(wǎng)速度。例如linux上的squid代理服務就是一套高效快速的代理服務軟件。但麻煩的就是必須在每臺機器上設置web 代理服務器，此時可以簡單地使用ip鏈規(guī)則來省略這一操作，即在規(guī)則中加入一條轉(zhuǎn)遞規(guī)

15、則，將訪問任何地址80(http)端口的封裝包都強制轉(zhuǎn)發(fā)到linux服務器上安裝的代理服務器偵聽端口。即：#假設squid代理服務的偵聽端口為3128 /sbin/ipchains -a input -i eth0 -d 0/0 80 -p tcp -j redirect 3128 /sbin/ipchains -a input -i eth0 -d 0/0 3128 -p tcp -j redirect這樣使內(nèi)網(wǎng)任何用戶訪問internet前都令其通過代理服務器后再訪問，不僅有效地加快了上網(wǎng)速度，又可以利用squid代理服務過濾掉內(nèi)網(wǎng)無效訪問和攻擊，實現(xiàn)了透明代理。5. 對于無法使用ip偽裝

16、方式訪問internet的特殊協(xié)議與軟件采用socks代理服務。socks是一組是用客戶端/服務器端結(jié)構的proxy協(xié)議。socks的軟件組成包含socks服務器程序及socks客戶端應用程序庫。用戶的應用程序只要支持socks協(xié)議就能通過socks代理服務器連接到防火墻外的網(wǎng)絡。6. 漏洞掃描系統(tǒng)解決網(wǎng)絡層安全問題，首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。7. ip盜用問題的解決在路由器上捆綁ip和mac地址。當某個ip通過路由器訪問internet時，路由器要檢查發(fā)出這個ip廣播包的工作站的mac是否與路由器上的mac地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個ip廣播包的工作站返回一個警告信息