校園網(wǎng)安全現(xiàn)狀分析與系統(tǒng)設計

1、    校園網(wǎng)安全現(xiàn)狀分析與系統(tǒng)設計    摘要：本文根據(jù)網(wǎng)絡的特點對校園網(wǎng)中存在的安全現(xiàn)狀進行了分析，并提出了一種采用分布式防火墻和監(jiān)測系統(tǒng)構(gòu)建的校園網(wǎng)安全系統(tǒng)的設計方案。關(guān)鍵詞：系統(tǒng)安全分布式防火墻網(wǎng)絡瓶頸入侵檢測漏洞掃描監(jiān)聽隨著信息技術(shù)的飛速發(fā)展，人們對信息技術(shù)和信息系統(tǒng)的依賴性不斷增強，而網(wǎng)絡信息系統(tǒng)的安全問題也隨之而出。校園網(wǎng)安全現(xiàn)狀分析對于學校中的校園網(wǎng)，它既有網(wǎng)絡的普遍性，又有學校這個特殊環(huán)境的特殊性。一般校園網(wǎng)現(xiàn)在主要存在以下安全隱患：1ip地址盜用非法用戶盜用了合法的ip地址，造成了地址沖突等問題，影響了合法用戶的正常使用。2防火墻問題

2、在校園網(wǎng)邊界部署防火墻，能夠很好地做到對從外到內(nèi)或從內(nèi)到外的攻擊的防護，但不能提供從內(nèi)到內(nèi)部服務器群的有效防護以及防止從內(nèi)到內(nèi)的攻擊，并且容易形成單點故障，它只能在特定的網(wǎng)絡拓撲結(jié)構(gòu)下才能部署在局域網(wǎng)內(nèi)部，不適合通過交換局域網(wǎng)互連的服務器群的防護，部署在內(nèi)網(wǎng)時，還容易成為網(wǎng)絡瓶頸。3email問題一些用戶安全觀念淡薄發(fā)送了帶有病毒的信件，或一些別有用心的用戶惡意發(fā)送不良信件或帶毒信件，都會給校園網(wǎng)帶來麻煩。4對各種服務器和網(wǎng)絡設備的掃描和攻擊用戶出于好奇從網(wǎng)上下載黑客軟件，對服務器和網(wǎng)絡設備進行掃描和攻擊。5非法網(wǎng)站的訪問問題訪問法律法規(guī)禁止的一些不良網(wǎng)站，傳播不良信息。6病毒問題安全系統(tǒng)設計

3、目前對計算機網(wǎng)絡的安全防護問題有許多不同的看法。但比較一致的意見是計算機網(wǎng)絡的安全沒有一種一勞永逸的解決措施，需要將計算機系統(tǒng)的各種安全防護技術(shù)，如實體安全防護技術(shù)、防電磁輻射泄漏技術(shù)、硬軟件防護技術(shù)、防火墻技術(shù)、數(shù)據(jù)保密變換，以及安全管理與法律制裁等結(jié)合使用，對計算機系統(tǒng)進行綜合的分層防護，從而提高計算機信息的整體安全防護水平。為了保證計算機網(wǎng)絡的安全，防止非法入侵對系統(tǒng)的威脅和攻擊，正確地制定政策、策略和對策非常重要。要根據(jù)系統(tǒng)安全的需求來進行系統(tǒng)安全保密設計，在此提出一種采用分布式防火墻，結(jié)合監(jiān)測系統(tǒng)及其他技術(shù)設計校園網(wǎng)安全系統(tǒng)，分布式防火墻嵌入操作系統(tǒng)的底層，與系統(tǒng)緊密結(jié)合，部署靈活，

4、不受網(wǎng)絡拓撲結(jié)構(gòu)的限制，分布式部署集中式的管理，提高了效率，它分布于多臺主機之上，不會形成網(wǎng)絡瓶頸，對內(nèi)部網(wǎng)絡上的服務器群可以有效防護，是邊界防火墻的有效補充，能夠消除單點故障，低成本，且易實施和管理。1部署邊界防火墻和入侵檢測在網(wǎng)絡的dmz區(qū)放置提供internet服務的主機群，只開放dmz區(qū)服務器群的相應服務端口，禁止外部用戶訪問dmz區(qū)以外的區(qū)域，配置內(nèi)部用戶對dmz區(qū)的訪問控制策略，如果使用私有地址，配置 nat策略，配置ip認證策略，可與nat策略配合，配置邊界防火墻的負載均衡。部署邊界入侵檢測，檢測來自外部的攻擊并報警，檢測從內(nèi)網(wǎng)向外部的攻擊并報警，配置攻擊行為的審計策略，配置基于

5、tcp的攻擊的實時阻斷和告警，對攻擊的來源識別和及時相應，及時更新策略和更新識別庫。2部署分布式防火墻和入侵檢測分布式防火墻部署在每一個服務器成員上，為每臺服務器配置特定的安全策略，為每臺服務器配置特定的訪問控制策略，集中的策略配置管理，集中的審計日志管理，集中的告警信息管理和響應。在校園網(wǎng)中比較重要的網(wǎng)段中部署基于網(wǎng)絡的入侵檢測，對網(wǎng)段中的數(shù)據(jù)包進行分析。3安裝web、email、bbs服務器上的安全監(jiān)測系統(tǒng)使用該系統(tǒng)實時跟蹤監(jiān)視網(wǎng)絡，截獲 internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、email、ftp、telnet應用的內(nèi)容，建立保存相應記錄的數(shù)據(jù)庫，一旦發(fā)現(xiàn)違法內(nèi)容，向上級

6、報告并采取措施，對進入站內(nèi)的信息進行檢測，從而阻止病毒進入局域網(wǎng)。4漏洞掃描系統(tǒng)的設計要解決網(wǎng)絡的安全問題，首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)管員的技術(shù)和經(jīng)驗尋找安全漏洞，做出風險評估，顯然是不現(xiàn)實的，解決方法是尋找一種能查找網(wǎng)絡安全漏洞評估并提出修改建議的網(wǎng)絡掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患，在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊，從而暴露出網(wǎng)絡的漏洞。5其他安全措施在接入路由器上實施安全措施，為了防止盜用地址和地址欺騙，在路由器上把ip地址和mac地址綁定在一起，當某個ip地址通過路由器訪問internet時，路由器要檢查發(fā)出這個ip廣播包的工作站的mac是否與路由器上的mac地址表相符，如相符就放行，不符不允許通過，同時給發(fā)出這個 ip廣播包的工作站返回一個警告信息。使用訪問控制列表把無關(guān)地址過濾掉。也可把 ip地址與mac地址及交換機端口進行綁定，在網(wǎng)絡內(nèi)部實施基于vlav的安全措施，在校內(nèi)子網(wǎng)上設立網(wǎng)絡監(jiān)聽，可以為管理人員分析網(wǎng)絡運行狀態(tài)提供依據(jù)。結(jié)束語通過以上一系列方法加上校園網(wǎng)原有的安全措施，基本上可以建立一套相對完整的網(wǎng)絡安全系統(tǒng)。網(wǎng)絡安全需要仔細考慮系統(tǒng)的需求，并將各種安全技術(shù)和管理手段結(jié)合在一起，并不