校園網安全系統(tǒng)的設計與實現(xiàn)

2011.917校園網安全系統(tǒng)的設計與實現(xiàn)夏棟梁劉玉坤平頂山學院河南467000摘要:校園網的普及,在提高學校工作效率的同時,也帶來了安全方面的隱患。本文分析校園網中網絡結構、網絡協(xié)議和操作系統(tǒng)等方面缺陷,列舉了常見的攻擊手段。以某高校為例,提出了一個多層次、全方位等校園網安全系統(tǒng)的設計方案,并給出了實現(xiàn)方法。經實踐驗證,在保證網絡效率的前提下,提高了校園網的安全性。關鍵詞:校園網;安全系統(tǒng);防火墻;入侵檢測0引言隨著網絡應用的廣泛深入,以及高校數(shù)字化校園的普及,高等院校的教學、科研以及管理部門越來越多地依靠網絡傳遞信息。網絡的應用一方面提高了高校的工作效率,另一方面,由于自身的復雜性和脆弱性,使其受到威脅和攻擊的可能性大大增加。網絡安全問題變得日益復雜和突出,已成為高校廣大網絡用戶最關心的問題之一。1校園網安全問題分析1.1校園網安全分析在校園網中,存在著各種安全問題,通過分析某大學校園網的運行狀況,從五個方面分析校園網中存在的安全隱患。從網絡結構上看,大多數(shù)高校校園網內的終端用戶和服務器處在同一局域網內容,未進行安全隔離,引出很容易受到非授權訪問的網絡攻擊,造成信息泄密或網絡設備的損壞。由于資金等方面的原因,許多學校通常只是在內部網與互聯(lián)網之間設置一個防火墻,來保證校園網的安全,一部分學校,甚至沒有進行任何網絡安全方面的配置,直接接入互聯(lián)網,這就給病毒、黑客攻擊提供了可趁之機。同時,由于校園網規(guī)模一般比較大、網絡設備也比較多,而且分布在不同的樓宇,管理起來十分不便。目前,絕大多數(shù)的校園網是基于TCP/IP協(xié)議的,而TCP/IP協(xié)議本身是存在諸多缺陷的。TCP/IP協(xié)議在設計之初,并沒有充分考慮網絡安全等方面的因素。因此,目前網絡中存在很多利用TCP/IP協(xié)議的弱點的攻擊行為。例如:“拒絕服務攻擊(DoS”、比如“SYNFLOOD”攻擊、ARP欺騙等。他們就是利用了TCP/IP協(xié)議自身的缺陷,導致網絡中斷甚至癱瘓。校園網中,通常存在大量的服務器和客戶機。在這些設備中,需要使用不同的操作系統(tǒng),如:Linux、Windows、Unix等。眾所周知,每一種操作系統(tǒng)都存在一定的漏洞或缺陷,攻擊者可以利用這些漏洞,或者利用操作系統(tǒng)中某些應用程序或者是軟件自身的缺點,借助一些監(jiān)控軟件或掃描工具,對校園網內的服務器或用戶發(fā)起攻擊,如果不進行必要的防范措施,造成的后果十分嚴重。1.2常見攻擊手段目前,全球超過26萬個黑客站點提供系統(tǒng)漏洞和攻擊知識,越來越多的容易使用的攻擊軟件的出現(xiàn),使網絡進攻變得十分容易。網絡攻擊的方法多樣,主要可分為以下幾類:(1利用操作系統(tǒng)的漏洞,影響信息的傳輸或操作系統(tǒng)的正常運行。(2計算機病毒、拒絕服務攻擊等,影響用戶的使用和網絡的正常運行。(3垃圾郵件、網絡釣魚、傳播惡意信息等,通過一些非法手段,刪除、修改或重發(fā)某些信息。(4外部用戶或組織的入侵、攻擊等惡意破壞行為。(5校園網內部用戶的攻擊或對網絡資源的濫用。2011.9182校園網安全設計與實現(xiàn)由于校園網內部用戶眾多,并且基于校園網的應用也比較多,因此,校園網的安全問題顯得格外重要。我們需要從多個方面保證校園網的安全。2.1防火墻在網絡中,“防火墻”可以看作一種網絡隔離技術,通過防火墻可以實現(xiàn)內部網絡與外部網絡的隔離。當外部網絡與內部網絡進行通信時,通過制定訪問規(guī)則,使得只有允許的數(shù)據包才能進入內部網絡,阻止未被允許的數(shù)據包進入網絡中。設計防火墻的目的就是不讓那些不受保護的網絡上的未授權信息進入到內部網絡,防止網絡中的安全隱患和攻擊行為,最大限度的保護內部網絡。如圖1所示。圖1防火墻示意圖近年來,防火墻成為企業(yè)、學校、個人用戶保護計算機網絡安全的重要手段。一方面它可以阻止外部用戶非法訪問企業(yè)、學校等的內部網絡,同時還可以實現(xiàn)阻止內部網絡中的信息的非法輸出。本文以某高校校園網為例,分析防火墻的具體應用。如圖2所示。圖2某高校校園網示意圖在該方案中,采用思科公司的CiscoASA5550-K8硬件防火墻。將其部署于校園網的出口位置,它能很好的實現(xiàn)校園網與外部網絡的隔離。它支持IPS、以及IPSec和SSLVPN和IPSecVPN軟件,并且可以防止TCP、UDP等端口掃描、源路由攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、DoS/DDoS攻擊、防垃圾郵件、網絡釣魚等。同時,它可以提供時間監(jiān)控和預警功能,支持對HTTP、SMTP、POP3、NNTP等高層應用協(xié)議的代理以及URL阻攔與過濾。2.2入侵檢測系統(tǒng)入侵檢測系統(tǒng)(IDS可以彌補防火墻的不足,為網絡安全提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤、恢復、斷開網絡連接等。銳捷RG-IDS入侵檢測系統(tǒng),它采用了新一代的入侵檢測技術,包括基于狀態(tài)的應用層協(xié)議分析技術、安全的嵌入式操作系統(tǒng)等功能,能夠最大限度地監(jiān)控和分析企業(yè)、校園網中的安全問題。以某高校新校區(qū)校園網為例,如圖2所示。采用一套銳捷RG-IDS入侵檢測系統(tǒng),部署在校園網中的核心交換機上,通過端口鏡像功能完成對進入校園網的數(shù)據和校園網內部通信數(shù)據的實時監(jiān)控和分析。同時接入一臺PC機,安裝入侵檢測系統(tǒng)的控制中心,可以集中管理探測引擎,并發(fā)出警報。2.3防止校園網內部攻擊由于校園網內部的用戶可以直接訪問內部網絡,并擁有相對較多的權限,因此需要重點考慮如何防止內部用戶的攻擊。我主要采用以下幾種方法,提高內部網絡的安全性。(1通過劃分虛擬局域網,限制工作組之間的訪問,可以考慮把服務器劃分到一個獨立的虛擬局域網中。例如,在該高校的行政樓中的匯聚層交換機上,通過劃分VLAN,實現(xiàn)各部分之間的隔離,以財務處為例,配置命令為:Switch(config#vlan100Switch(config-vlan#namecaiwuchuSwitch(config#interfacerangefastEthernet0/1-8Switch(config-if-range#switchportaccessvlan100(2應用訪問控制列表,在匯聚層交換機或路由器上應用訪問控制列表,限制用戶對一些敏感服務器的訪問。在匯聚層交換機上應用ACL。根據校園網的需求,對終端用戶的訪問行為進行控制,結合實際情況,應用合適的訪2011.919問控制列表。例如:在匯聚層交換機上配置以下命令,Switch(config-ext-nacl#permitipanyanySwitch(config#intvlan510Switch(config-if#ipaccess-groupdenystudentwwwin(3學生機房采用代理服務器或者通過NAT技術訪問外部網絡,在服務器上建立日志服務器,記錄用戶對服務器的訪問。以圖2中某高校為例,可以在實驗中心搭建一臺服務器,在Linux系統(tǒng)下建立日志服務器、代理服務器等,保證內部網絡的安全。(4對校園網中使用公有IP地址的用戶,學生公寓和教師公寓中的所有用戶MAC地址與IP地址進行綁定。例如:在接入層交換機上,實現(xiàn)IP地址與MAC地址的綁定,防止用戶私自擴展接口。在接入層交換機上配置以下命令:Switch(config-if#switchportmodeaccessSwitch(config-if#switchportport-security3結束語校園網的普及,為充分利用教育資源提供了可能。與此同時,校園網的安全問題也備受關注。本文結合校園網的特點,分析校園網中存在安全風險及隱患,提出了一個多層次、全方位的校園網安全系統(tǒng)的設計方案,通過不斷的檢驗和測試,證明該方案在不降低網絡性能的前提下,能夠有效提高校園網的安全性。參考文獻[1]張莉.高校信息化建設資源與教育資源的整合與利用[J].計算機教育.2008.[2]王穎,劉煒.校園網絡安全初探[J].今日科苑.2009.[3]周宇.校園網絡安全工程的實踐與研究[D].華東師范大學.2007.[4]劉寅東.如何解決網絡安全問題[J].科海故事博覽-科教創(chuàng)新.2008.[5]戴宗坤.信息系統(tǒng)安全[M].北京:金城出版社.2006.[6]劉偉平,張玉榮,劉青.淺議校園網絡安全[J].電腦知識與技術.2009.[7]寧蒙.網絡信息安全與防范技術[M]南京:東南大學出版社.2005.[8]楚狂,網絡安全與防火墻技術(第一版[M].人民郵電出版社.2000.[9]楊靖,劉亮編.實用網絡技術配置指南一初級篇[M].北京希望出版社.2005.[10]曹大元.入侵檢測技術[M].北京:人民郵電出版社.2007.DesignandRealizationoftheCampusNetworkSecuritySystemXiaDongliang,LiuYukunPingDingShanUniversity,Henan,467000,chinaAbstract:Whilethepopularizationofcampusnetworkimprovestheuniversityfunctioningefficiency,italsobringsaboutsomehiddendamageinsecurity.Defectsinsuchaspectsasnetworkstructure,networkprotocolandoperatingsystemofthecampusnetworkarebeinganalyzed;somecommonattackmeansisalsobeinglisted.Takeoneuniversityasanexample,wepresentonemulti-layeromni-bearingcampusnetworksecur