《內(nèi)網(wǎng)安全》報(bào)告

本文格式為Word版，下載可任意編輯——《內(nèi)網(wǎng)安全》報(bào)告

《內(nèi)網(wǎng)安全》課程論文報(bào)告

海南大學(xué)

《內(nèi)網(wǎng)安全》論文報(bào)告

題目：GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案學(xué)號(hào)：

姓名：年級(jí)：學(xué)院：信息學(xué)院

系別：

專(zhuān)業(yè)：

指導(dǎo)教師：

完成日期：2023年5月2日

《內(nèi)網(wǎng)安全》課程論文報(bào)告

目錄摘要

摘要

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)中的各種應(yīng)用越來(lái)越豐富，校園網(wǎng)作為互聯(lián)網(wǎng)的巨大分支，在學(xué)校特別是高校的辦公中，扮演著越來(lái)越重要的角色。各種網(wǎng)絡(luò)化的應(yīng)用正在日漸深入到我們的日常工作，因此對(duì)于互聯(lián)網(wǎng)的依靠也在逐漸加強(qiáng)。但是隨著用戶(hù)群的增加，網(wǎng)絡(luò)安全在互聯(lián)網(wǎng)中的重要性日趨明顯，而多校區(qū)現(xiàn)象的出現(xiàn)，給網(wǎng)絡(luò)安全帶來(lái)更大的考驗(yàn)。

此外，為了充分發(fā)揮校園網(wǎng)為學(xué)校的教學(xué)、科研、信息交流、協(xié)同工作的作用，本文對(duì)多個(gè)校區(qū)的網(wǎng)絡(luò)互連進(jìn)行了研究，綜合多方面考慮決定采用GREOverIPSecVPN技術(shù)實(shí)現(xiàn)多校區(qū)網(wǎng)絡(luò)互連，同時(shí)又能保證內(nèi)部保密數(shù)據(jù)安全地網(wǎng)絡(luò)中進(jìn)行傳輸。本文將以海南大學(xué)為基礎(chǔ)，設(shè)計(jì)一套多校區(qū)安全網(wǎng)絡(luò)解決方案，搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，模擬構(gòu)建了網(wǎng)絡(luò)試驗(yàn)平臺(tái)，配置了GREOverIPSecVPN，最終對(duì)配置的結(jié)果進(jìn)行了試驗(yàn)，并通過(guò)了測(cè)試。為多校區(qū)校園網(wǎng)互連提供了一種安全的解決方案。

《內(nèi)網(wǎng)安全》課程論文報(bào)告

目錄

1緒論(1)

1.1研究背景(1)

1.2解決的主要問(wèn)題(1)

1.3本論文的主要工作(1)

1.4論文的組織結(jié)構(gòu)(2)2校園網(wǎng)安全特點(diǎn)與安全風(fēng)險(xiǎn)分析(2)

2.1校園網(wǎng)安全特點(diǎn)(2)

2.2校園網(wǎng)安全風(fēng)險(xiǎn)分析(3)

2.2.1

2.2.2

2.2.3

2.2.4

2.2.5

2.2.6物理層安全風(fēng)險(xiǎn)分析(3)接入層安全風(fēng)險(xiǎn)分析(3)網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析(5)應(yīng)用層風(fēng)險(xiǎn)分析(5)系統(tǒng)安全風(fēng)險(xiǎn)分析(6)人員管理安全風(fēng)險(xiǎn)分析(7)3理論基礎(chǔ)(8)

3.1VPN概念(8)

3.2GRE(9)

3.3IPSEC(9)

《內(nèi)網(wǎng)安全》課程論文報(bào)告

3.4IPSEC與GRE兩種技術(shù)的綜合(10)4校園網(wǎng)安全方案的實(shí)現(xiàn)(10)

4.1物理層安全方案的實(shí)現(xiàn)(10)

4.2接入層安全方案的實(shí)現(xiàn)(11)

4.3多校區(qū)互聯(lián)安全方案的實(shí)現(xiàn)(11)

4.3.1安全拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)(11)

4.3.2GREOverIPSECVPN技術(shù)應(yīng)用及測(cè)試(13)

4.4系統(tǒng)安全方案的實(shí)現(xiàn)(23)

4.5人工管理安全方案的實(shí)現(xiàn)(25)5不足之處(25)6總結(jié)與展望(25)

6.1總結(jié)(25)

6.2展望(25)

《內(nèi)網(wǎng)安全》課程論文報(bào)告

1緒論

1.1研究背景

目前，好多高校的規(guī)模在不斷擴(kuò)大，導(dǎo)致網(wǎng)絡(luò)規(guī)模不斷擴(kuò)展，多校區(qū)的教學(xué)模式越來(lái)越多地出現(xiàn)在各個(gè)高校。通過(guò)建設(shè)統(tǒng)一的校園網(wǎng)絡(luò)，可以將不同校區(qū)的之間的教學(xué)管理、財(cái)務(wù)管理、后勤管理集中到一個(gè)系統(tǒng)內(nèi)，有利于降低管理成本，而且可以減少多校區(qū)之間學(xué)科設(shè)計(jì)和管理的重復(fù)，充分實(shí)現(xiàn)教學(xué)資源的共享。在這種通信要求越來(lái)越高的狀況下，如何整合各校區(qū)的網(wǎng)絡(luò)系統(tǒng)安全地、可靠地、經(jīng)濟(jì)地實(shí)現(xiàn)校區(qū)間資源共享已經(jīng)是大量高校面臨的主要問(wèn)題。

2023年8月14日，由華南熱帶農(nóng)業(yè)大學(xué)與原海南大學(xué)合并組建新的海南大學(xué)，新海南大學(xué)的歷史以原華南熱帶農(nóng)業(yè)大學(xué)的創(chuàng)立時(shí)間為起點(diǎn)（1958年），面對(duì)校區(qū)的合并，校區(qū)資源的整合尤為重要，對(duì)此，VPN安全網(wǎng)絡(luò)的的建設(shè)與應(yīng)用勢(shì)在必行。

為此，本文綜合各VPN的特點(diǎn)最終決定采用目前較為安全、使用最廣泛的IPsecVPN技術(shù)，此外，由于GRE技術(shù)支持對(duì)網(wǎng)絡(luò)中組播和廣播數(shù)據(jù)的安全封裝，可用于封裝路由報(bào)文協(xié)議，因此可以建立GREOverIPSecVPN的加密隧道，實(shí)現(xiàn)多校區(qū)的網(wǎng)絡(luò)互連。

1.2解決的主要問(wèn)題

本文以海南大學(xué)多校區(qū)網(wǎng)絡(luò)互聯(lián)為基礎(chǔ)，通過(guò)對(duì)VPN等技術(shù)進(jìn)行應(yīng)用領(lǐng)域的摸索，分析了基于VPN技術(shù)的網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?，最終將技術(shù)與海南大學(xué)多校區(qū)的實(shí)際狀況相結(jié)合，建立一個(gè)基于VPN的多校區(qū)互聯(lián)的安全網(wǎng)絡(luò)結(jié)構(gòu)模型，并進(jìn)行了模擬試驗(yàn)。此外，并對(duì)校園網(wǎng)存在的安全問(wèn)題提出了響應(yīng)的解決方案。

1.3本論文的主要工作

本文以海南大學(xué)多校區(qū)網(wǎng)絡(luò)互聯(lián)為基礎(chǔ)，搭建相應(yīng)的互聯(lián)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并在GNS3上模擬構(gòu)建了網(wǎng)絡(luò)試驗(yàn)平臺(tái)，配置了GREOverIPSecVPN技術(shù)，最終對(duì)配置的結(jié)果進(jìn)行了試驗(yàn)，并通過(guò)了測(cè)試，為多校區(qū)校園網(wǎng)互連提供了一種安全的解決方案。此外，本文還對(duì)目前校園網(wǎng)存在的安全風(fēng)險(xiǎn)進(jìn)行分析，并在后文提供響應(yīng)的解決方案，最終為多校區(qū)校園網(wǎng)絡(luò)提供了較為全面的一套安全解決方

《內(nèi)網(wǎng)安全》課程論文報(bào)告

案。

1.4論文的組織結(jié)構(gòu)

本文共分為六大部分，第一章緒論部分主要介紹了本文產(chǎn)生的背景；其次章對(duì)目前的校園網(wǎng)安全特點(diǎn)及對(duì)校園網(wǎng)存在的風(fēng)險(xiǎn)進(jìn)行詳細(xì)的分析；第三章理論基礎(chǔ)部分對(duì)本文運(yùn)用到的理論知識(shí)進(jìn)行了整理和歸納；第四章安全方案的實(shí)現(xiàn)部分，即根據(jù)校園網(wǎng)當(dāng)前存在的風(fēng)險(xiǎn)分別制定了詳細(xì)的解決方案；第五章對(duì)本文的設(shè)計(jì)方案進(jìn)行了分析，論述其不足之處；最終一章，總結(jié)與展望則對(duì)本論文中提出的安全改造方案進(jìn)行總結(jié)和展望。

2校園網(wǎng)安全特點(diǎn)與安全風(fēng)險(xiǎn)分析

2.1校園網(wǎng)安全特點(diǎn)

校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。

組建一個(gè)具有高帶寬、高可靠性、易擴(kuò)展性、安全性和開(kāi)放性的校園網(wǎng)絡(luò)，它應(yīng)廣泛支持網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議，提供校園內(nèi)部及面向全球的、FTP、VOD、電子郵件等服務(wù)，實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的完全接軌：同時(shí)它還應(yīng)具有支持通用大型數(shù)據(jù)庫(kù)的功能，支持多種協(xié)議，具有良好的軟件支持，采用模塊化結(jié)構(gòu)設(shè)計(jì)，簡(jiǎn)單升級(jí)；還應(yīng)針對(duì)學(xué)校的教學(xué)特點(diǎn)，具有一些基本的教學(xué)功能，以完成學(xué)校的基本教學(xué)任務(wù)。

建立校園網(wǎng)的目的就是為了實(shí)現(xiàn)以上所提到的主要功能，這就決定了校園網(wǎng)與其它企業(yè)網(wǎng)絡(luò)的不同，因此在安全方面應(yīng)具有如下特點(diǎn)：

①開(kāi)放的網(wǎng)絡(luò)環(huán)境。由于學(xué)校具有教學(xué)和科研的特點(diǎn)，所以要求校園網(wǎng)絡(luò)的環(huán)境是開(kāi)放的，而且在管理方面相比于企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)更寬松一些，這樣就會(huì)留下一些安全隱患。

②活躍的用戶(hù)群。在高等學(xué)校中，在校學(xué)生尋常是最活躍的網(wǎng)絡(luò)用戶(hù)，而且數(shù)量十分巨大，人員滾動(dòng)性大，他們對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，敢于嘗試。特別是一些學(xué)生會(huì)嘗試使用從網(wǎng)上學(xué)到的或者是自己研究的一些攻擊技術(shù)，而這些行為可能對(duì)校園網(wǎng)絡(luò)造成一定的影響和破壞。

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

③繁雜的計(jì)算機(jī)系統(tǒng)管理。高校中學(xué)塵的電腦一般是自己花錢(qián)購(gòu)買(mǎi)、自己維護(hù)的，假使統(tǒng)一的管理這些電腦很不現(xiàn)實(shí)。另外，大多數(shù)用戶(hù)基本上使用的是盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件，這些軟件存在好多的問(wèn)題，例如留有后門(mén)、攜帶病毒等，這些將會(huì)影響計(jì)算機(jī)系統(tǒng)的IF常運(yùn)行。以上這些狀況下要求實(shí)施統(tǒng)一的安全策略十分困難的，一旦發(fā)生某些不可預(yù)計(jì)的問(wèn)題，解決起來(lái)十分困難。

以上這些特點(diǎn)是造成校園網(wǎng)成為攻擊發(fā)源地的主要原因，同時(shí)也造成校園網(wǎng)成為最簡(jiǎn)單攻擊的目標(biāo)。致使學(xué)校面臨著一些安全性要挾，提出這些常見(jiàn)的安全問(wèn)題，從而進(jìn)一步得到解決刻不容緩。

2.2校園網(wǎng)安全風(fēng)險(xiǎn)分析

2.2.1物理層安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工過(guò)程中應(yīng)考慮如下本卷須知：

①必需優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；

②考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣

管道之間的距離；

③考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必需建設(shè)防雷

系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必需考慮計(jì)算機(jī)及其他弱電耐

壓設(shè)備的防雷?？傮w來(lái)說(shuō)物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等

環(huán)境事故；

④電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截

獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；

⑤機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要注意這些安全隱患，同時(shí)還

要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。

2.2.2接入層安全風(fēng)險(xiǎn)分析

針對(duì)網(wǎng)絡(luò)其次層的攻擊是最簡(jiǎn)單實(shí)施、也是最不簡(jiǎn)單被發(fā)現(xiàn)的安全要挾，它可以使網(wǎng)絡(luò)癱瘓或者通過(guò)非法獲取密碼等敏感信息的方式來(lái)危及網(wǎng)絡(luò)用戶(hù)的安全。由于任何一個(gè)合法用戶(hù)都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限，而這些用戶(hù)都

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

有可能成為黑客；同時(shí)，由于設(shè)計(jì)OSI模型的時(shí)候，允許不同通信層處于相對(duì)獨(dú)立的工作模式，因此承載所有客戶(hù)關(guān)鍵應(yīng)用的網(wǎng)絡(luò)其次層的安全就變得至關(guān)重要。因此，來(lái)自接入層的要挾直接影響著校園網(wǎng)絡(luò)，也成為校園網(wǎng)絡(luò)管理者最重視的問(wèn)題。

根據(jù)安全要挾的特征分析，來(lái)自于網(wǎng)絡(luò)其次層的攻擊主要包括：MAC地址泛濫攻擊、DHCF服務(wù)器欺騙攻擊、ARP欺騙、IF／MAC地址欺騙。

①M(fèi)AC地址泛濫攻擊

交換機(jī)遇主動(dòng)學(xué)習(xí)客戶(hù)端的MAC地址，建立、維護(hù)端口和MAC地址的對(duì)應(yīng)表，以此建立交換路徑，這個(gè)表就是尋常我們所說(shuō)的CAM表。MAC／CAM攻

擊是指黑客利用攻擊工具發(fā)送大量帶有虛假源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機(jī)CAM學(xué)習(xí)，很快塞滿MAC地址表，這時(shí)發(fā)往新目的MAC地址的數(shù)據(jù)包就會(huì)被廣播到交換機(jī)的所有端口，交換機(jī)就會(huì)像HUB一樣工作，黑客則可以利用sniffer工具監(jiān)聽(tīng)所有端口的數(shù)據(jù)流量。此類(lèi)攻擊不僅造成安全性的破壞，同時(shí)大量的廣播包降低了交換機(jī)的性能。

②DHCP服務(wù)器欺騙攻擊

采用DHCPserver可以自動(dòng)為用戶(hù)設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶(hù)網(wǎng)絡(luò)設(shè)置。但在DHCP管理使用上也存在著一些問(wèn)題，常見(jiàn)的有：DHCPserver的冒充，DHCPserver的DoS攻擊，由于不防備配

置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂也很常見(jiàn)。黑客利用類(lèi)似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請(qǐng)求，直到DHCP服務(wù)器對(duì)應(yīng)網(wǎng)段的所有地址被占用。此類(lèi)攻擊既可以造成DoS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合，將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。

③ARP欺騙

ARP用來(lái)實(shí)現(xiàn)MAC地址和IP地址的綁定，這樣兩個(gè)工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請(qǐng)求，擁有此IP地址的工作站給予ARP應(yīng)答，送回自己的IP和MAC地址。由于ARP無(wú)任何身份真實(shí)校驗(yàn)機(jī)制，黑客程序發(fā)送誤導(dǎo)的主動(dòng)式ARP使網(wǎng)絡(luò)流量重指經(jīng)過(guò)惡意攻擊者的計(jì)算機(jī)，變成某個(gè)局域網(wǎng)段IP會(huì)話的中間人，達(dá)到竊取甚至篡改正常傳輸?shù)墓δ堋?/p>

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

④IP／MAC地址欺騙

除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。常見(jiàn)的欺騙種類(lèi)有MAC欺騙、IP欺騙、IP／MAC欺騙，其目的一般為偽造身份或者獲取針對(duì)IP／MAC的特權(quán)。此方法也被廣泛用作DoS攻擊，目前較多的攻擊是：PingOfDeath、Synflood、ICMPUnreacheableStorm。

2.2.3網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析

路由器和三層交換機(jī)是網(wǎng)絡(luò)層的網(wǎng)絡(luò)連接設(shè)備，這些設(shè)備的合理設(shè)置為網(wǎng)絡(luò)安全提供了保障。但是由于路由和三層交換設(shè)備設(shè)置的問(wèn)題，同樣會(huì)給網(wǎng)絡(luò)帶來(lái)安全問(wèn)題。VLAN隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的VLAN之間的通訊，所以不同的VLAN之問(wèn)的通訊是需要有路由來(lái)完成的。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，既可采用路由器，也可采用三層交換機(jī)來(lái)完成。

校園網(wǎng)由于管理的需要?jiǎng)澐至舜罅康腣LAN，但是在劃分VLAN、配置路由和三層交換機(jī)后，沒(méi)有對(duì)不同VLAN實(shí)施訪問(wèn)控制，使得不同VLAN之間通過(guò)路由可以進(jìn)行訪問(wèn)，從而給網(wǎng)絡(luò)層攻擊提供了可能：

①一個(gè)網(wǎng)段用戶(hù)的蠕蟲(chóng)病毒攻擊可以直接波及所有網(wǎng)段，造成內(nèi)網(wǎng)擁塞或廣泛傳播；

②基于源地址欺騙的攻擊方式在網(wǎng)絡(luò)中通行無(wú)阻。大量應(yīng)用程序認(rèn)為若數(shù)據(jù)包可以使其自身沿著路由到達(dá)目的地，并且應(yīng)答包也可回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的一個(gè)重要前提。

2.2.4應(yīng)用層安全風(fēng)險(xiǎn)分析

校園網(wǎng)內(nèi)有提供公眾信息服務(wù)的服務(wù)器，如服務(wù)、FTP服務(wù)、E．MAIL、服務(wù)等。和操作系統(tǒng)提供的系統(tǒng)服務(wù)一樣，這些應(yīng)用服務(wù)假使存在漏洞也會(huì)給系統(tǒng)的安全帶來(lái)極大的隱患。

①服務(wù)

作為學(xué)校宣傳的重要窗口，服務(wù)扮演了重要的角色。假使服務(wù)器存在漏洞，可能造成的危害有：(a)攻擊者非法篡改校園網(wǎng)，把不良內(nèi)容帶入校園網(wǎng)；(b)攻擊者通過(guò)DoS技術(shù)攻擊服務(wù)器，干擾其正常運(yùn)行。

②FTP服務(wù)

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

FTP服務(wù)用于傳輸文件。假使使用了匿名FTP服務(wù)，就不需要口令，這時(shí)，匿名FTP服務(wù)的安全很大程度上決定于一個(gè)系統(tǒng)管理員的水平，一個(gè)低水平的系統(tǒng)管理員很可能會(huì)錯(cuò)誤配置權(quán)限，從而被黑客利用而破壞整個(gè)系統(tǒng)?；蛘?，假使提供FTP服務(wù)的軟件存在漏洞，則也存在安全風(fēng)險(xiǎn)。

③電子郵件服務(wù)

電子郵件服務(wù)給人們提供了一種低廉、便利和快捷的服務(wù)，假使E．MAIL服務(wù)器存在漏洞，攻擊者可以利用這些漏洞控制E．MAIL服務(wù)器，這將給使用E．MAIL服務(wù)器的用戶(hù)構(gòu)成極大的要挾。

④數(shù)據(jù)庫(kù)服務(wù)

無(wú)論在校本部網(wǎng)管中心、各教學(xué)單位或行政辦公網(wǎng)絡(luò)中，都存在數(shù)據(jù)庫(kù)管理服務(wù)器。假使數(shù)據(jù)庫(kù)服務(wù)器存在安全漏洞(如：空口令等)，攻擊者可以利用這些漏洞，控制數(shù)據(jù)庫(kù)服務(wù)器，從而獲取數(shù)據(jù)庫(kù)中保存的信息，引起信息泄露；另外有些數(shù)據(jù)庫(kù)采用的還是安全系數(shù)比較低的access數(shù)據(jù)庫(kù)，十分簡(jiǎn)單通過(guò)其自身的漏洞對(duì)服務(wù)器造成要挾。

2.2.5系統(tǒng)安全風(fēng)險(xiǎn)分析

所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的內(nèi)核與基石，是應(yīng)用軟件同系統(tǒng)硬件的接口，其目標(biāo)是高效地、最大限度地、合理地使用計(jì)算機(jī)資源。在信息系統(tǒng)安全涉及的眾多內(nèi)容中，操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫(kù)管理系統(tǒng)的安全問(wèn)題是核心，沒(méi)有系統(tǒng)的安全就沒(méi)有信息的安全。作為系統(tǒng)軟件中最基礎(chǔ)部分的操作系統(tǒng)，其安全問(wèn)題的解決又是關(guān)鍵中之關(guān)鍵。若沒(méi)有安全操作系統(tǒng)的支持，數(shù)據(jù)庫(kù)就不可能具有存取控制的安全可信性，就不可能有網(wǎng)絡(luò)系統(tǒng)的安全性，也不可能有應(yīng)用軟件信息處理的安全性。因此，安全操作系統(tǒng)是整個(gè)信息系統(tǒng)安全的基礎(chǔ)「列。操作系統(tǒng)安全風(fēng)險(xiǎn)主要有:

①操作系統(tǒng)的漏洞是無(wú)法避免的，在新版操作系統(tǒng)彌補(bǔ)舊版本中漏洞的同時(shí)，還會(huì)引入一些新的漏洞。

②端口是服務(wù)器提供網(wǎng)絡(luò)服務(wù)的主要通道，端口的擔(dān)憂全管理將會(huì)給非法者提供入侵的跳板。

③用戶(hù)賬戶(hù)是計(jì)算機(jī)安全設(shè)置的重要對(duì)象，具有高權(quán)限的賬戶(hù)是黑客主要

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

的攻擊目標(biāo)。

④資源共享是Windows系統(tǒng)的重要功能之一，共享資源權(quán)限授權(quán)管理的不足將會(huì)給系統(tǒng)及數(shù)據(jù)造成極大的安全隱患。

⑤Internet信息服務(wù)是用于配置應(yīng)用程序池或網(wǎng)絡(luò)站點(diǎn)的工具，其安全運(yùn)行是正常提供網(wǎng)絡(luò)服務(wù)的基礎(chǔ)。

2.2.6人員管理風(fēng)險(xiǎn)分析

人是一個(gè)單位最大的漏洞，無(wú)論在單位的內(nèi)外，人都是一種要挾。人的要挾分為兩種，一種是以操作失誤為代表的無(wú)意要挾(偶然失誤)，另一種是以計(jì)算機(jī)犯罪為代表的有意要挾(惡意攻擊)。人工管理是安全網(wǎng)絡(luò)中最為薄弱的環(huán)節(jié)，該環(huán)節(jié)管理的好壞對(duì)網(wǎng)絡(luò)安全起著舉足輕重的作用。

人工管理存在著如下的一些安全風(fēng)險(xiǎn):

①數(shù)據(jù)庫(kù)管理員或把握重要信息的員工在某種利益的驅(qū)使下，通過(guò)非法途徑將信息泄露。

②網(wǎng)絡(luò)管理員、系統(tǒng)管理員安全意識(shí)淡薄，為了便利省事，設(shè)置簡(jiǎn)單的口令，易遭到破解。為多個(gè)用戶(hù)提供一致的賬號(hào)，造成管理混亂、責(zé)任不清，易引起信息泄露。

③網(wǎng)絡(luò)管理員、系統(tǒng)管理員將網(wǎng)絡(luò)設(shè)備或信息系統(tǒng)管理員賬號(hào)泄露給其他人員，增大網(wǎng)絡(luò)癱瘓或信息泄露的可能性。

④重要網(wǎng)絡(luò)節(jié)點(diǎn)、服務(wù)器機(jī)房出入人員混亂，給網(wǎng)絡(luò)設(shè)備的正常運(yùn)行造成較大安全隱患。

⑤責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起安全風(fēng)險(xiǎn)。

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

圖2.1網(wǎng)絡(luò)安全中存在的要挾

3理論基礎(chǔ)

3.1VPN概念

虛擬專(zhuān)用網(wǎng)VPN（VirtualPrivateNetwork）指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專(zhuān)用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。虛擬專(zhuān)用網(wǎng)絡(luò)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶(hù)創(chuàng)立隧道，并提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。VPN有多種分類(lèi)方式，主要是按協(xié)議進(jìn)行分類(lèi)。VPN可通過(guò)服務(wù)器、硬件、軟件等多種方式實(shí)現(xiàn)。

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

圖3.1VPN的功能實(shí)現(xiàn)

3.2GRE

通用路由封裝協(xié)議（GenericRoutingEncapsulation，GRE）是VPN的第三層隧道協(xié)議，即在協(xié)議層之間采用了一種被稱(chēng)之為T(mén)unnel（隧道）的技術(shù)。GRE是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IP、IPX、AppleTalk等）的數(shù)據(jù)報(bào)進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。GRE協(xié)議棧如圖3.2所示，GRE并未對(duì)數(shù)據(jù)進(jìn)行加密，僅將IP數(shù)據(jù)包加上GRE頭后封裝在IP數(shù)據(jù)項(xiàng)內(nèi)，尋常用來(lái)構(gòu)建站點(diǎn)到站點(diǎn)的VPN隧道。GRE技術(shù)的最大優(yōu)點(diǎn)是可以對(duì)多種協(xié)議、報(bào)文進(jìn)行封裝，并封裝在隧道中安全傳輸，所以GRE尋常可用于需要在VPN隧道中傳遞路由信息的場(chǎng)合。它的缺點(diǎn)是不提供對(duì)數(shù)據(jù)的保護(hù)（如加密），只能提供簡(jiǎn)單的隧道驗(yàn)證功能。

圖3.2GRE協(xié)議棧

3.3IPSEC

IPSec（IPSecurity）是目前VPN使用率很高的一種技術(shù)，同時(shí)提供VPN和信息加密兩項(xiàng)技術(shù)。IPSec的目的是保證IP數(shù)據(jù)包傳輸時(shí)的安全性，它不是一

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

個(gè)單獨(dú)的協(xié)議，而是一個(gè)框架性架構(gòu)，具體由AH、ESP和IKE三類(lèi)協(xié)議組成，其中AH、ESP協(xié)議為安全協(xié)議，IKE為密鑰管理協(xié)議。IPSec使用了多種加密算法、散列算法、密鑰交換方法等為IP數(shù)據(jù)量提供安全性，它可以提供數(shù)據(jù)的機(jī)密性、數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證和防重放等安全服務(wù)。

IPSec技術(shù)的優(yōu)點(diǎn)是是能夠保障數(shù)據(jù)的安全傳輸，缺點(diǎn)是不能夠?qū)W(wǎng)絡(luò)中的組播報(bào)文進(jìn)行封裝，所以常用的路由協(xié)議報(bào)文無(wú)法在IPSec協(xié)議封裝隧道中傳輸。

3.4IPSEC與GRE兩種技術(shù)的綜合

針對(duì)IPSec和GRE技術(shù)的優(yōu)缺點(diǎn)，這時(shí)可以綜合運(yùn)用GRE和IPSec兩種技術(shù)，利用GRE技術(shù)來(lái)對(duì)用戶(hù)數(shù)據(jù)和路由協(xié)議報(bào)文進(jìn)行隧道封裝，然后通過(guò)IPSec技術(shù)提供的安全措施保護(hù)GRE隧道中數(shù)據(jù)的安全，這兩種技術(shù)的綜合使用，即構(gòu)成了GREOverIPSecVPN技術(shù)。

4校園網(wǎng)安全方案的實(shí)現(xiàn)

4.1物理層安全方案的實(shí)現(xiàn)

物理安全是整體網(wǎng)絡(luò)安全的基礎(chǔ)，網(wǎng)絡(luò)設(shè)備或線路出現(xiàn)硬件故障，網(wǎng)絡(luò)的安全性則無(wú)從談起，其他一切安全措施均無(wú)法發(fā)揮作用，其重要性不言而喻。根據(jù)之前對(duì)辦公網(wǎng)物理安全的分析，下面主要從完善制度、優(yōu)化核心機(jī)房供電、加強(qiáng)網(wǎng)絡(luò)節(jié)點(diǎn)安全性等方面進(jìn)行方案實(shí)現(xiàn)。

4.1.1完善機(jī)房管理制度

為了確保網(wǎng)絡(luò)核心設(shè)備機(jī)房、網(wǎng)絡(luò)節(jié)點(diǎn)、線纜的物理安全，制定了《辦公網(wǎng)機(jī)房管理制度》和《辦公網(wǎng)機(jī)房施工管理制度))。

4.2.2優(yōu)化核心機(jī)房供電模式

電源室配備專(zhuān)用大功率柴油發(fā)電機(jī)組和專(zhuān)業(yè)的維護(hù)人員，可確保供電萬(wàn)無(wú)一失，即確保了核心設(shè)備的供電安全，使設(shè)備正常運(yùn)行無(wú)后顧之憂。

4.2.3加強(qiáng)網(wǎng)絡(luò)節(jié)點(diǎn)的安全性

使用機(jī)械鎖限制非維護(hù)人員對(duì)辦公網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的操作。機(jī)械鎖作為最簡(jiǎn)單的安全工具，看似不起眼，但其作用可謂不小，針對(duì)防范目標(biāo)是辦公網(wǎng)的狀況，

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

在每個(gè)節(jié)點(diǎn)設(shè)備的機(jī)箱上加一把鎖就可以達(dá)到限制非維護(hù)人員對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的操作。

4.2接入層安全方案的實(shí)現(xiàn)

接入層可由RG2126和RG2150工作組交換機(jī)構(gòu)成。其主要功能是為校園區(qū)中

的網(wǎng)絡(luò)用戶(hù)提供高性?xún)r(jià)比的100M網(wǎng)絡(luò)接口，實(shí)現(xiàn)用戶(hù)的寬帶接入。并與集聚層通過(guò)千兆鏈路互連，為接入的用戶(hù)提供高速上連。在接入層全部采用安全智能無(wú)阻塞架構(gòu)的全線速接入交換機(jī)，提供千兆上行、百兆到桌面，并提供強(qiáng)大的安全功能，從而在接入層對(duì)常見(jiàn)的病毒和攻擊進(jìn)行防護(hù)。

RG．S2126交換機(jī)的主要安全特性是：

①高安全智能ACL特性防止病毒及網(wǎng)絡(luò)攻擊；

②基于交換機(jī)的三元素綁定實(shí)現(xiàn)用戶(hù)身份唯一；

③基于802．IX認(rèn)證系統(tǒng)的六元素綁定保障網(wǎng)絡(luò)安全、運(yùn)營(yíng)、計(jì)費(fèi)；

④豐富的生成樹(shù)協(xié)議提供網(wǎng)絡(luò)高可靠性；

⑤靈活的VLAN劃分和PVLAN技術(shù)；

⑥多樣的管理方式。

4.3多校區(qū)互聯(lián)安全方案的實(shí)現(xiàn)

4.3.1安全拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

試驗(yàn)設(shè)備：Ciscoc37004臺(tái)；Cisco36003臺(tái)（模擬真實(shí)PC）

調(diào)試環(huán)境：GNS3,SecureCRT

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

圖4.1路由器構(gòu)建GREoverIPSecVPN網(wǎng)絡(luò)拓?fù)?/p>

IP地址規(guī)劃設(shè)計(jì)：

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

表一IP地址規(guī)劃圖拓?fù)湔f(shuō)明：

海南大學(xué)目前分為三個(gè)校區(qū)，海甸主校區(qū)和城西校區(qū)分別位于?？谑械拿捞m區(qū)和城西區(qū)，儋州校區(qū)位于儋州市，各網(wǎng)絡(luò)相互獨(dú)立，通過(guò)VPN將兩市三地獨(dú)立的校園網(wǎng)互連起來(lái)。

為了較為真實(shí)地模擬多校區(qū)校園網(wǎng)絡(luò)的互連，搭建了圖4.1所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，其中路由器海甸校區(qū)、城西校區(qū)和儋州校區(qū)分別模擬位于不同地區(qū)校園網(wǎng)的出口路由器，路由器ISP即運(yùn)營(yíng)商，模擬公共的Internet網(wǎng)絡(luò)，此外，由于GNS3模擬器的限制，各校區(qū)的終端PC只能使用路由器來(lái)模擬，并主要用于測(cè)試。

4.3.2GREOverIPSECVPN技術(shù)應(yīng)用及測(cè)試

（1）基本配置

對(duì)路由器ISP、haidain、chengxi、danzhou、pc_haidian、pc_chengxi、pc_danzhou進(jìn)行基本配置，具體端口IP地址配置如表1所示。

①PC機(jī)的基礎(chǔ)配置(僅以海甸校區(qū)pc為例)

Pc_haidian(config)#noiprouting//關(guān)閉路由功能，模擬PC機(jī)

Pc_haidian(config)#

Pc_haidian(config)#intfa1/0

Pc_haidian(config-if)#ipadd

Pc_haidian(config-if)#ipdefault-gatewat255.255.255.//設(shè)置默認(rèn)網(wǎng)關(guān)

Pc_haidian(config-if)#noshut

②分校區(qū)的基礎(chǔ)配置（僅以海甸校區(qū)路由為例）

haidian#conft

《內(nèi)網(wǎng)安全》課程論文報(bào)告

GREOverIPSecVPN多校區(qū)安全網(wǎng)絡(luò)設(shè)計(jì)方案

haidian(config)#intfa0/0

haidian(config-if)#ipadd52

haidian(config-if)#noshut

haidian(config-if)#intfa0/1

haidian(config-if)#ipadd

haidian(config-if)#noshut

haidian(config-if)#exit

haidian(config)#iproute//設(shè)置默認(rèn)路由指向ISP

③ISP的基礎(chǔ)配置

ISP#conft

ISP(config)#intfa0/0

ISP(config-if)#ipadd52

ISP(config-if)#noshut

ISP(config-if)#intfa0/1

ISP(config-if)#ipadd52

ISP(config-if)#noshut

ISP(config-if)#intfa1/0

ISP(config-if)#ipadd52

ISP(config-if)#noshut

（2）配置GRE隧道

①配置路由器“haidian〞

第一步：配置海甸-城西的通信隧道

haidian#conft

haidian(config)#interfacetunnel1//創(chuàng)立序號(hào)為1的通道

//為通道設(shè)置IP地址haidian(config-if)#ipaddress

haidian(config-if)#tunnelsourcefastEthernet0/0//設(shè)置隧道的源接口或源地址h