校園網(wǎng)絡(luò)安全防范體系的建立

目錄1緒論11.1課題來源11.2開展現(xiàn)狀11.3論文主要研究內(nèi)容12網(wǎng)絡(luò)平安簡介32.1網(wǎng)絡(luò)平安的定義及相關(guān)介紹32.2局域網(wǎng)平安威脅和平安攻擊42.3校園局域網(wǎng)當(dāng)前形勢及面臨的問題53網(wǎng)絡(luò)平安的防護(hù)措施73.1網(wǎng)絡(luò)體系結(jié)構(gòu)73.1.1網(wǎng)絡(luò)層次結(jié)構(gòu)73.1.2效勞、接口和協(xié)議73.1.3網(wǎng)絡(luò)參考模型83.2網(wǎng)絡(luò)平安模型103.3局域網(wǎng)平安防護(hù)措施113.3.1防火墻系統(tǒng)113.3.2入侵檢測系統(tǒng)134基于某學(xué)校網(wǎng)絡(luò)平安的研究154.1校園網(wǎng)絡(luò)平安防范體系的建立154.1.1校園網(wǎng)絡(luò)平安策略概述154.1.2網(wǎng)入對于校園網(wǎng)的解決方案154.2某校網(wǎng)絡(luò)平安設(shè)計方案174.2.1網(wǎng)絡(luò)平安設(shè)計原那么174.2.2網(wǎng)絡(luò)平安建設(shè)方案175結(jié)論19謝辭20參考文獻(xiàn)21校園網(wǎng)絡(luò)平安防范體系的建立摘要：隨著計算機(jī)網(wǎng)絡(luò)的不斷開展和普及，計算機(jī)網(wǎng)絡(luò)帶來了無窮的資源，但隨之而來的網(wǎng)絡(luò)平安問題也顯得尤為重要。平安是網(wǎng)絡(luò)運行的前提，網(wǎng)絡(luò)平安不僅僅是單點的平安，而是整個信息網(wǎng)絡(luò)的平安，需要從多方進(jìn)行立體的防護(hù)。文中就局域網(wǎng)網(wǎng)絡(luò)平安的當(dāng)前形式及面臨的各種威脅，網(wǎng)絡(luò)平安防范措施、技術(shù)，闡述了局域網(wǎng)網(wǎng)絡(luò)平安當(dāng)前在我們生活中的重要性。大多數(shù)學(xué)校都建立了自己的校園網(wǎng)，它己經(jīng)成為學(xué)校信息化的重要局部。校園網(wǎng)作為學(xué)校重要的根底設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多角色。校園網(wǎng)平安狀況直接影響著學(xué)校的教學(xué)活動。在網(wǎng)絡(luò)建設(shè)的初期，平安問題可能還不突出。隨著應(yīng)用的深入，校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和平安地運行是所有高校都面臨的問題。本文介紹了當(dāng)前主要的網(wǎng)絡(luò)平安技術(shù)，并結(jié)合當(dāng)前校園網(wǎng)開展過程中出現(xiàn)的各類實際問題，結(jié)合校園網(wǎng)平安防范體系架構(gòu)，系統(tǒng)地得出了網(wǎng)絡(luò)系統(tǒng)平安的需求，提出了新的網(wǎng)絡(luò)平安解決方案，并在學(xué)校網(wǎng)絡(luò)中進(jìn)行了初步實施。該方案的設(shè)計包含了較多網(wǎng)絡(luò)技術(shù)的綜合，其應(yīng)用適應(yīng)性較強(qiáng)。關(guān)鍵詞：局域網(wǎng)；網(wǎng)絡(luò)平安；校園網(wǎng)；防火墻；身份認(rèn)證；平安體系；入侵防御。CampusnetworksecuritysystemAbstract:WiththepopularizationofIntemetandthecontinuousgrowthofnetworkconstructioninuniversities，mostuniversitieshavebuiltuptheirownnetworkoncampus，whichhavebecomeaninseparablepartofcampusinformationization．Asanimportantinfrastuctureconstructionofuniversities，thecampusnetworkactsmanyrolesasteaching，research,managementandexternalcommunicationetc．Thesafetyofcampusnetworkimpactstheteachingactivitiesinuniversitiesdirectly．Theproblemofnetworksafetymaynotbeseriousafterasitisnewly—built．Butwiththefastdevelopmentofnetworkonscale，itbecomestheproblemalluniversitieshavetofacethathowtokeeptheinteractworksafelyandeffectively．Somemajornetworksecuritytechnologieswereintroducedatthebeginningofthispaper．Basedonthosetechnologies．Thisschemeisacomprehensiveutilizationofmanynetworktechnologiesandhasahighadaptability,whichwillprovidereferencetothebuildingofcampusnetworkforotheruniversities．Keywords：Campusnetwork;Networksecurity;Firewall;Identityauthentication;Intrusion;Prevention;Securityarchitecture1緒論1.1課題來源課題來源于個人的興趣愛好1.2開展現(xiàn)狀當(dāng)今，信息化是科技、經(jīng)濟(jì)與社會開展的重要趨勢。信息技術(shù)在經(jīng)濟(jì)和社會各領(lǐng)域的廣泛滲透，推動人類社會生產(chǎn)力到達(dá)一個嶄新的高度，不僅開創(chuàng)了經(jīng)濟(jì)開展的新時代，同時也促使人類邁向信息社會。毫無疑問，在未來的信息社會里，互聯(lián)網(wǎng)作為最重要的社會資源之一，對于個人、企業(yè)、國家的重要性將日益凸現(xiàn)。但是隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入，網(wǎng)絡(luò)平安問題變得日益復(fù)雜和突出。由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性，系統(tǒng)的通用性，無政府的管理狀態(tài)，使得因特網(wǎng)在極大地傳播信息的同時，也面臨著不可預(yù)測的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越開展，對網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙，越多樣性，導(dǎo)致了網(wǎng)絡(luò)平安方面的諸多漏洞。。所以，網(wǎng)絡(luò)的平安性同網(wǎng)絡(luò)的性能、可靠性和可用性一起，成為組建、運行網(wǎng)絡(luò)不可無視的問題。校園網(wǎng)作為學(xué)校重要的根底設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多角色。校園網(wǎng)平安狀況直接影響著學(xué)校的教學(xué)活動。在網(wǎng)絡(luò)建成的初期，平安問題可能還不突出，隨著應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)會急劇增加，網(wǎng)絡(luò)的攻擊越來越多，各種各樣的平安問題開始阻礙了校園網(wǎng)的正常運行。同時，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性不斷提高，用戶對網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)平安也逐步成為網(wǎng)絡(luò)技術(shù)開展中一個極為關(guān)鍵的任務(wù)，對網(wǎng)絡(luò)的開展產(chǎn)生很大的影響，成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一。因此，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和平安地運行是所有高校都面臨的問題。1.3論文主要研究內(nèi)容論文介紹了當(dāng)前主要的網(wǎng)絡(luò)平安技術(shù)，分析了高校校園網(wǎng)的平安現(xiàn)狀及原因，提出了校園網(wǎng)平安需求，有針對性的設(shè)計了適合校園網(wǎng)平安長期需要的網(wǎng)絡(luò)平安解決方案，包括核心網(wǎng)絡(luò)的改良方案和網(wǎng)絡(luò)信息平安體系方案，通過將多種平安要素融合到網(wǎng)絡(luò)平安體系架構(gòu)中，實現(xiàn)了網(wǎng)絡(luò)平安防范從“各自為戰(zhàn)"到“全局聯(lián)動’’的轉(zhuǎn)變.具體章節(jié)安排如下：第一章：緒論。主要介紹論文選題的背景和意義，以及論文各章節(jié)的安排和主要內(nèi)容。第二章：計算機(jī)網(wǎng)絡(luò)平安技術(shù)綜述。介紹了網(wǎng)絡(luò)平安的概念和計算機(jī)網(wǎng)絡(luò)平安的關(guān)鍵技術(shù)，包括防火墻技術(shù)、入侵檢測技術(shù)、平安掃描技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、計算機(jī)病毒防治技術(shù)、虛擬專用網(wǎng)技術(shù)等，然后對網(wǎng)絡(luò)平安技術(shù)開展趨勢進(jìn)行了分析。第三章：網(wǎng)絡(luò)平安的防護(hù)措施。致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)钠桨残缘募夹g(shù)手段，主要包括物理平安分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)平安分析技術(shù)，系統(tǒng)平安分析技術(shù)，管理平安分析技術(shù)，及其它的平安效勞和平安機(jī)制策略。第四章：基于某學(xué)校網(wǎng)絡(luò)平安的研究。介紹了校園網(wǎng)平安設(shè)計原那么，在校園網(wǎng)平安設(shè)計原那么的根底上對校園核心網(wǎng)進(jìn)行改良設(shè)計，變單核結(jié)構(gòu)為雙核結(jié)構(gòu)，出口采用高性能路由器，并對相關(guān)技術(shù)和實現(xiàn)進(jìn)行了分析；然后設(shè)計了校園網(wǎng)平安信息防范體系。最后介紹了網(wǎng)絡(luò)平安管理。首先對網(wǎng)絡(luò)平安管理進(jìn)行了概述，然后介紹了網(wǎng)絡(luò)平安管理的主要方面。第五章：結(jié)論。對論文工作進(jìn)行了總結(jié)，對后續(xù)工作進(jìn)行了展望。2網(wǎng)絡(luò)平安簡介2.1網(wǎng)絡(luò)平安的定義及相關(guān)介紹網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的行為而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)效勞不中斷。網(wǎng)絡(luò)平安從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息平安。當(dāng)今，信息化是科技、經(jīng)濟(jì)與社會開展的重要趨勢。信息技術(shù)在經(jīng)濟(jì)和社會各領(lǐng)域的廣泛滲透，推動人類社會生產(chǎn)力到達(dá)一個嶄新的高度，不僅開創(chuàng)了經(jīng)濟(jì)開展的新時代，同時也促使人類邁向信息社會。毫無疑問，在未來的信息社會里，互聯(lián)網(wǎng)作為最重要的社會資源之一，對于個人、企業(yè)、國家的重要性將日益凸現(xiàn)。但是隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用的廣泛深入，網(wǎng)絡(luò)平安問題變得日益復(fù)雜和突出。由于因特網(wǎng)網(wǎng)絡(luò)協(xié)議的開放性，系統(tǒng)的通用性，無政府的管理狀態(tài)，使得因特網(wǎng)在極大地傳播信息的同時，也面臨著不可預(yù)測的威脅和攻擊。網(wǎng)絡(luò)技術(shù)越開展，對網(wǎng)絡(luò)進(jìn)攻的手段就越巧妙，越多樣性。一方面由于計算機(jī)網(wǎng)絡(luò)的開放性和信息共享促進(jìn)了網(wǎng)絡(luò)的飛速開展，另一方面也正是這種開放性以及計算機(jī)本身平安的脆弱性，導(dǎo)致了網(wǎng)絡(luò)平安方面的諸多漏洞?？梢哉f，網(wǎng)絡(luò)平安問題將始終伴隨著因特網(wǎng)的開展而存在。所以，網(wǎng)絡(luò)的平安性同網(wǎng)絡(luò)的性能、可靠性和可用性一起，成為組建、運行網(wǎng)絡(luò)不可無視的問題。校園網(wǎng)作為學(xué)校重要的根底設(shè)施，擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對外交流等許多角色。校園網(wǎng)平安狀況直接影響著學(xué)校的教學(xué)活動。在網(wǎng)絡(luò)建成的初期，平安問題可能還不突出，隨著應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)會急劇增加，網(wǎng)絡(luò)的攻擊越來越多，各種各樣的平安問題開始阻礙了校園網(wǎng)的正常運行。同時，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性不斷提高，用戶對網(wǎng)絡(luò)性能要求的不斷提高，網(wǎng)絡(luò)平安也逐步成為網(wǎng)絡(luò)技術(shù)開展中一個極為關(guān)鍵的任務(wù)，對網(wǎng)絡(luò)的開展產(chǎn)生很大的影響，成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一。因此，隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，如何確保校園網(wǎng)正常、高效和平安地運行是所有高校都面臨的問題。與其它網(wǎng)絡(luò)一樣，校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和對網(wǎng)絡(luò)設(shè)備的危害。具體來說，危害網(wǎng)絡(luò)平安的主要威脅有：(1)非授權(quán)訪問，即對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。(2)冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以到達(dá)占用合法用戶資源的目的。(3)破壞數(shù)據(jù)的完整性，即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。(4)干擾系統(tǒng)正常運行，指改變系統(tǒng)的正常運行方法，減慢系統(tǒng)的響應(yīng)時間等手段。(5)病毒與惡意攻擊，即通過網(wǎng)絡(luò)傳播病毒等。除此之外，Interent非法內(nèi)容也形成了對網(wǎng)絡(luò)的另一大威脅。對教育網(wǎng)來說，面對形形色色、良莠不齊的網(wǎng)絡(luò)資源，如果不具有識別和過濾作用，不但會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問題，而且某些網(wǎng)站如娛樂、游戲、暴力、色情、反動等含不良網(wǎng)絡(luò)內(nèi)容，將極大地危害學(xué)生的身心健康，導(dǎo)致無法想象的后果。許多校園網(wǎng)是從局域網(wǎng)開展來的，由于意識與資金方面的原因，它們在平安方面往往沒有太多的設(shè)置，包括一些高校在內(nèi)，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就了事了，甚至什么也不放，直接面對互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息喪失、效勞被拒絕等等，這些平安隱患發(fā)生任何一次對整個網(wǎng)絡(luò)都將是致命性的。因此，校園網(wǎng)的網(wǎng)絡(luò)平安需求是全方位的。2.2局域網(wǎng)平安威脅和平安攻擊一局域網(wǎng)平安威脅來自互聯(lián)網(wǎng)的平安威脅局域網(wǎng)是與Internet互連的。由于Internet的開放性、國際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的平安威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的平安防護(hù)措施，很容易遭到來自Internets上黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的平安漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放的TCP端口號、系統(tǒng)用來保存用戶名和口令等平安信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)效勞器進(jìn)行攻擊，使得效勞器超負(fù)荷工作導(dǎo)致拒絕效勞，甚至使系統(tǒng)癱瘓。來自局域網(wǎng)內(nèi)部的平安威脅內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部職工有的可能熟悉效勞器、小程序、腳本和系統(tǒng)的弱點，利用網(wǎng)絡(luò)開些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這都將給網(wǎng)絡(luò)造成極大的平安威脅。計算機(jī)病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時更新防病毒軟件的病毒庫而造成計算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件〔CrimeSoftware〕洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。二平安攻擊平安攻擊是平安威脅的具體表達(dá)，他主要包括以下幾種類型：被動攻擊、主動攻擊、物理臨近攻擊和分發(fā)攻擊。1.被動攻擊被動攻擊的主要目標(biāo)是被動檢視公共媒體上傳送的信息。抵抗這類攻擊的對策是使用虛擬專用網(wǎng)。2.主動攻擊主動攻擊的主要目標(biāo)是企圖避開或打破平安防護(hù)、引入惡意代碼〔如計算機(jī)病毒〕以及轉(zhuǎn)換數(shù)據(jù)或系統(tǒng)的完整性。典型對策包括增強(qiáng)的區(qū)域邊界保護(hù)〔如防火墻和邊界護(hù)衛(wèi)〕、基于身份認(rèn)證的訪問控制、受保護(hù)的遠(yuǎn)程訪問、質(zhì)量平安管理、自動病毒檢測工具、審計和入侵檢測。3.物理臨近攻擊在物理臨近攻擊中未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問信息。這種接近可以是秘密進(jìn)入或公開接近，也可以是兩種都有。分發(fā)攻擊“分發(fā)攻擊”一詞是指在軟件和硬件開發(fā)出來之后和安裝之前這段時間，或當(dāng)它從一個地方傳送到另一個地方，攻擊者惡意修改軟硬件。在工廠，可以通過加強(qiáng)處理配置控制將這類威脅降到最低。通過使用受控分發(fā)，或者由最終用戶檢驗的簽名軟件和訪問控制可以消除分發(fā)威脅。2.3校園局域網(wǎng)當(dāng)前形勢及面臨的問題隨著局域網(wǎng)絡(luò)技術(shù)的開展和社會信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計算機(jī)網(wǎng)絡(luò)?，F(xiàn)今，全球網(wǎng)民數(shù)量已超過15億，網(wǎng)絡(luò)已經(jīng)成為生活中離不開的工具，經(jīng)濟(jì)、文化、軍事和社會活動都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)平安威脅的客觀存在。盡管計算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會因素的各種影響，計算機(jī)網(wǎng)絡(luò)一直存在著多種平安缺陷。攻擊者經(jīng)常利用這些缺陷，實施攻擊和入侵，給計算機(jī)網(wǎng)絡(luò)造成極大的損害，網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的平安性和可靠性正在成為世界各國共同關(guān)注的焦點。根據(jù)中國互聯(lián)網(wǎng)信息中心2010年初發(fā)布的統(tǒng)計報告顯示：我國互聯(lián)網(wǎng)網(wǎng)站已超過三百萬家，上網(wǎng)用戶2億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時，網(wǎng)絡(luò)平安風(fēng)險也無處不在，各種網(wǎng)絡(luò)平安漏洞大量存在和不斷被發(fā)現(xiàn)，計算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重，計算機(jī)病毒呈現(xiàn)出異?；顫姷膽B(tài)勢。面對網(wǎng)絡(luò)平安的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)平安保障工作尚處于起步階段，根底薄弱，水平不高，網(wǎng)絡(luò)平安系統(tǒng)在預(yù)測、反響、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)，平安防護(hù)能力不僅大大低于美國、俄羅斯和以色列等信息平安強(qiáng)國，而且排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息平安保障制度不健全、責(zé)任不落實、管理不到位。網(wǎng)絡(luò)信息平安法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息平安效勞機(jī)構(gòu)專業(yè)化程度不高，行為不標(biāo)準(zhǔn)，網(wǎng)絡(luò)平安技術(shù)與管理人才缺乏。面對網(wǎng)絡(luò)平安的嚴(yán)峻形勢，如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的平安網(wǎng)絡(luò)成為通信行業(yè)乃至整社個社會開展所要面臨和解決的重大課題。3網(wǎng)絡(luò)平安的防護(hù)措施3.1網(wǎng)絡(luò)體系結(jié)構(gòu)網(wǎng)絡(luò)層次結(jié)構(gòu)計算機(jī)網(wǎng)絡(luò)就是將多臺計算機(jī)互連起來，使得用戶程序能夠交換信息和共享資源。不同系統(tǒng)中的實體進(jìn)行通信，其過程是相當(dāng)復(fù)雜的，為了簡化網(wǎng)絡(luò)的設(shè)計，人們采用工程設(shè)計中常用的結(jié)構(gòu)化設(shè)計方法，即將復(fù)雜的通信問題分解成假設(shè)干個容易處理的子問題，然后逐個加以解決。網(wǎng)絡(luò)設(shè)計中采用的結(jié)構(gòu)化設(shè)計方法，就是將網(wǎng)絡(luò)按照功能分成一系列的層次，每一層次完成一個特定的功能，相鄰層中的較高層直接使用較低層提供的效勞來實現(xiàn)本層的功能，同時又向它的上層提供效勞，效勞的提供和使用都是通過相鄰層的接口來進(jìn)行的。這也就是人們通常所說的網(wǎng)絡(luò)層次結(jié)構(gòu)，層次結(jié)構(gòu)是現(xiàn)代計算機(jī)網(wǎng)絡(luò)的根底。參見圖2.1。這種結(jié)構(gòu)不僅使得網(wǎng)絡(luò)的設(shè)計與具體的應(yīng)用、根底的媒體技術(shù)以及互聯(lián)技術(shù)等無關(guān)，具有很大的靈活性，而且每一層的功能簡單、易于實現(xiàn)和維護(hù)。圖2.1網(wǎng)絡(luò)的層次結(jié)構(gòu)效勞、接口和協(xié)議每一層中的活動元素稱為實體，實體可以是軟件實體〔如進(jìn)程〕，也可以是硬件實體〔如智能I/O芯片〕位于不同系統(tǒng)上同一層中的實體稱為對等實體，不同系統(tǒng)間進(jìn)行通信實際上是各對等實體間在通信。在某層上進(jìn)行通信所使用的規(guī)那么的集合稱為該層的協(xié)議，各層協(xié)議按層次順序排列而成的協(xié)議序列稱為協(xié)議棧。事實上，除了在最底層的物理媒體上進(jìn)行的是實通信之外，其余各對等實體間進(jìn)行的都是虛通信，即并沒有數(shù)據(jù)流從一個系統(tǒng)的第N層直接流到另一個系統(tǒng)的第N層。每個實體只能和同一個系統(tǒng)中上下相鄰的實體進(jìn)行直接的通信，不同系統(tǒng)中的對等實體是沒有直接通信能力的，它們間的通信必須通過其下各層的通信間接完成。第N層實體向第〔N+1〕層實體提供的在第N層上的通信能力稱為第N層的效勞。由此可見，第〔N+1〕層實體通過請求第N層的效勞完成第〔N+1〕層上的通信，而第N層實體通過請求第〔N-1〕層的效勞完成第N層上的通信，以此類推直到最底層，最底層上的對等實體通過連接它們的物理媒體直接通信。在第N層協(xié)議中所傳送的每一信息被稱作第N層協(xié)議數(shù)據(jù)單元PDU(ProtocolDataUnit)。相鄰實體間的通信是通過它們的邊界進(jìn)行的，該邊界稱為相鄰層間的接口。在接口處規(guī)定了下層向上層提供的效勞，以及上下層實體請求〔提供〕效勞所使用的形式標(biāo)準(zhǔn)語句，這些形式標(biāo)準(zhǔn)語句稱為效勞原語。因此可以說，相鄰實體通過發(fā)送或接收效勞原語進(jìn)行交互作用。而下層向上層提供的效勞分為兩大類：面向連接的效勞和無連接的效勞。面向連接的效勞是系統(tǒng)效勞模式的抽象，每一次完整的數(shù)據(jù)傳輸都必須經(jīng)過建立連接、使用連接和終止連接三個過程。在數(shù)據(jù)傳輸過程中，各數(shù)據(jù)分組不攜帶信宿地址，而使用連接號。本質(zhì)上，效勞類型中的連接是一個管道，發(fā)送者在一端放入數(shù)據(jù)，接收者從另一端取出數(shù)據(jù)，其特點是：收發(fā)數(shù)據(jù)不但順序一致而且內(nèi)容相同。無連接效勞是郵政系統(tǒng)效勞模式的抽象，其中每個數(shù)據(jù)分組都攜帶完整的信宿地址，各數(shù)據(jù)分組在系統(tǒng)中獨立傳送。無連接效勞不能保證數(shù)據(jù)分組的先后順序，由于先后發(fā)送的數(shù)據(jù)分組可能經(jīng)不同去往信宿，所以先發(fā)的未必先到。在對一個網(wǎng)絡(luò)進(jìn)行層次結(jié)構(gòu)的劃分時，應(yīng)做到：層次功能明確，相互獨立；層間接口清晰，穿越接口的信息量盡量少；層次適中。雖然模型系統(tǒng)在結(jié)構(gòu)上是分層的，但這并不要求現(xiàn)實系統(tǒng)在工程實現(xiàn)時也采用同樣的層次結(jié)構(gòu)。它們可以由實現(xiàn)者按其選擇的任何方式來構(gòu)造，只要這種實現(xiàn)的最終性能與模型系統(tǒng)所定義的性能相吻合即可。通常人們將網(wǎng)絡(luò)的層次結(jié)構(gòu)、協(xié)議棧和相鄰層間的接口以及效勞統(tǒng)稱為網(wǎng)絡(luò)體系結(jié)構(gòu)。網(wǎng)絡(luò)參考模型目前最有代表性的網(wǎng)絡(luò)參考模型是OSI參考模型和TCP/IP參考模型，但TCP/IP參考模型更流行。以下簡要介紹這兩種參考模型。OSI參考模型OSI(OpenSystemInterconnection，開放系統(tǒng)互聯(lián))OSI參考模型分為七層，由低到高依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層，參見圖2.2。OSI參考模型只是規(guī)定了網(wǎng)絡(luò)的層次劃分，以及每一層上所實現(xiàn)的功能，但它沒有規(guī)定每一層上所實現(xiàn)的效勞和協(xié)議，因此它本身并不是一個網(wǎng)絡(luò)體系結(jié)構(gòu)。各層的主要功能如下：1應(yīng)用層是OSI參考模型的最高層，它的作用是為應(yīng)用進(jìn)程提供訪問OSI環(huán)境的方法；2表示層為上層用戶提供數(shù)據(jù)或信息語法的表示轉(zhuǎn)換；3會話層是進(jìn)程-進(jìn)程層，進(jìn)程間的通信也稱為會話，會話層組織和管理不同主機(jī)上各進(jìn)程間的對話；4傳輸層是第一個端-端層，也稱為主機(jī)-主機(jī)層，它為上層用戶提供不依賴具體網(wǎng)絡(luò)的高效、經(jīng)濟(jì)、透明的端-端數(shù)據(jù)傳輸效勞〔所謂端-端是描述網(wǎng)絡(luò)傳輸中對等實體之間關(guān)系的一個概念。在端-端系統(tǒng)中，初始信源機(jī)上某實體與最終信宿機(jī)的對等實體直接通信，彼此之間就像有一條直接線路，而不管傳輸過程中要經(jīng)過多少接口報文處理機(jī)〔IMP〕。與端-端對應(yīng)的另一個概念是點-點。在點-點系統(tǒng)中，對等實體間的通信由一段一段的直接相連的機(jī)器間的通信組成〕；5網(wǎng)絡(luò)層的作用是將數(shù)據(jù)分成一定長度的分組，將分組穿過通信子網(wǎng)從信源送到信宿；6數(shù)據(jù)鏈路層的作用就是通過一定的手段，將有過失的物理鏈路轉(zhuǎn)化成對網(wǎng)絡(luò)層來說是沒有傳輸錯誤的數(shù)據(jù)鏈路；7物理層的作用是在物理媒介上傳輸原始的數(shù)據(jù)比特流，這一層的設(shè)計同具體的物理媒介有關(guān)，如用什么信號表示“1”，用什么信號表示“0由以上幾點可知，只有最低三層涉及通過通信子網(wǎng)的數(shù)據(jù)傳輸，高三層是端到端的層次，因而通信子網(wǎng)只包括第三層的功能。從實際的觀點出發(fā)，OSI分層可以按照以下幾點來考慮：1依賴于應(yīng)用的協(xié)議；2與特定媒體相關(guān)的協(xié)議；3在1與2之間的橋接功能。TCP/IP參考模型TCP/IP參考模型沒有明確區(qū)分開效勞、接口和協(xié)議這三個概念，并且它是專門用來描述TCP/IP協(xié)議棧的，無法用來描述其它非TCP/IP網(wǎng)絡(luò)。因此，盡管TCP/IP模型在工業(yè)上得到了廣泛的應(yīng)用，但人們在討論網(wǎng)絡(luò)時常常使用OSI參考模型，因為它更具有一般性。TCP/IP草靠模型分為四層，它們是應(yīng)用層、傳輸層、網(wǎng)絡(luò)互聯(lián)層和網(wǎng)絡(luò)接口層。各功能如下：1應(yīng)用層將OSI的高層-應(yīng)用層、表示層和會話層的功能結(jié)合了起來，常見的協(xié)議有文件傳輸協(xié)(FTP)、遠(yuǎn)程終端協(xié)議(TELNET)、簡單電子郵件傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)、訪問WWW站點的HTTP等；2傳輸層在功能上等價于OSI的傳輸層。在這一層上主要定義了兩個傳輸協(xié)議，一個是可靠的面向連接的協(xié)議，稱為傳輸控制協(xié)議(TCP)，另一個是不可靠的無連接協(xié)議，稱為用戶數(shù)據(jù)報協(xié)議(UDP)；3網(wǎng)絡(luò)互聯(lián)層在功能上等價與OSI網(wǎng)絡(luò)層中與子網(wǎng)無關(guān)的局部。網(wǎng)絡(luò)互聯(lián)層是TCP/IP參考模型的核心，這一層上的協(xié)議稱為IP。TCP和IP是非常重要的兩個協(xié)議，以至于TCP/IP參考模型和TCP/IP協(xié)議族就以這兩個的名稱來命名；4網(wǎng)絡(luò)接口層在功能上等價于OSI的子網(wǎng)絡(luò)技術(shù)功能層。它包括OSI模型中的網(wǎng)絡(luò)層中與子網(wǎng)有關(guān)的下部子層、數(shù)據(jù)鏈路層和物理層。負(fù)責(zé)將IP分組封裝成適合在物理網(wǎng)絡(luò)上傳輸?shù)膸袷讲鬏敚驅(qū)奈锢砭W(wǎng)絡(luò)接收到的幀解封，取出IP分組交給網(wǎng)絡(luò)互聯(lián)層。3.2網(wǎng)絡(luò)平安模型消息將通過某種類型的互聯(lián)網(wǎng)從一方傳輸?shù)搅硪环?。這兩方都是事務(wù)的主體，必須合作以便進(jìn)行消息交換。可以通過在互聯(lián)網(wǎng)上定義一條從信息源到信息目的地之間的路由以及兩個信息主體之間使用的某種通信協(xié)議(例如，TCP/IP)，來建立一條邏輯信息通道。如圖2.4所示[6]：當(dāng)需要或者希望防范可能對信息機(jī)密性、真實性等產(chǎn)生威脅的攻擊者的時候，平安方面的因素便會起作用。所有用于提供平安性的技術(shù)都包含以下兩個主要局部：第一對待發(fā)送信息進(jìn)行與平安相關(guān)的轉(zhuǎn)換。其例如包括：消息加密，使得對于攻擊者而言該消息不可讀；建立在消息內(nèi)容上面的附加碼，它可以用來驗證發(fā)送者的身份。第二兩個主體共享一些不希望被攻擊者所知的秘密信息。其例如包括與消息變化一起使用的加密密鑰，它在傳輸之前用于打亂消息而在接收之后用于恢復(fù)消息。為了到達(dá)平安傳輸可能需要可信的第三方。例如，第三方可能需要負(fù)責(zé)分發(fā)秘密信息給兩個主體，同時對攻擊者隱藏這些信息。通用模型說明設(shè)計特定的平安效勞時有四個根本的任務(wù)：第一設(shè)計用來執(zhí)行與平安相關(guān)的轉(zhuǎn)換的算法，這種算法應(yīng)該是不會被攻擊者擊破的。第二生成用于該算法的秘密信息。第三開發(fā)分發(fā)和共享秘密信息的方法。第四指定一種能被兩個主體使用的協(xié)議，這種協(xié)議使用平安算法和秘密信息以便獲得特定的平安效勞。另一種有害訪問是利用計算機(jī)系統(tǒng)邏輯上的弱點，這不僅能夠影響應(yīng)用程序，而且還能夠影響實用程序，例如編輯器和編譯器。程序存在兩種形式的威脅：第一，信息訪問威脅：本不該訪問某些數(shù)據(jù)用戶截取或修改數(shù)據(jù)。第二，效勞威脅：利用計算機(jī)的效勞缺陷阻止合法用戶的使用。病毒和蠕蟲是軟件攻擊的兩個具體例如。由于磁盤的有用軟件可能隱藏著有害邏輯，因此可以通過這些磁盤小系統(tǒng)引入這種攻擊。他們同樣可以通過網(wǎng)絡(luò)進(jìn)入到系統(tǒng)中；后一種機(jī)制在網(wǎng)絡(luò)平安中更受關(guān)注。解決有害訪問的平安機(jī)制主要有兩大范疇。第一類范疇是看門人功能，如圖2.5所示。它包含基于口令的登錄過程，它們設(shè)計成拒絕除授權(quán)用戶外的所有訪問，另一類平安機(jī)制是屏蔽邏輯，它們設(shè)計用來檢測和拒絕蠕蟲、病毒以及其他類似的攻擊。一旦任意一個有害的用戶或者有害的軟件獲得訪問權(quán)，第二道防線包含各種檢測活動的內(nèi)部控制，能夠檢視和分析存儲的信息，以此來檢測有害入侵者的存在。3.3局域網(wǎng)平安防范措施一防火墻系統(tǒng)防火墻概述防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)平安性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機(jī)構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計算機(jī)網(wǎng)，從而到達(dá)保護(hù)內(nèi)部網(wǎng)資源和信息的目的。防火墻是指設(shè)置在不同網(wǎng)絡(luò)〔如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)〕或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的平安。防火墻體系結(jié)構(gòu)〔1〕雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個網(wǎng)絡(luò)到另外一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個網(wǎng)絡(luò)〔如外部網(wǎng)絡(luò)〕直接發(fā)送到另一個網(wǎng)絡(luò)〔如內(nèi)部網(wǎng)絡(luò)〕。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。〔2〕被屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻那么使用一個路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。在這種體系結(jié)構(gòu)中，主要的平安由數(shù)據(jù)包過濾提供〔例如，數(shù)據(jù)包過濾用于防止人們繞過代理效勞器直接相連〕。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或效勞都必須先連接到這臺主機(jī)。因此堡壘主機(jī)要保持更高等級的主機(jī)平安。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接〔什么是"可允許連接"將由你的站點的特殊的平安策略決定〕到外部世界。〔3〕被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的平安層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。一個位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。防火墻的功能〔1〕數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對數(shù)據(jù)包實施有選擇的通過的技術(shù)選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)那么后，只有滿足過濾規(guī)那么的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包那么從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個危險的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址，端口號和協(xié)議類型等標(biāo)志確定是否允許通過，只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地，其余數(shù)據(jù)包那么被數(shù)據(jù)流中阻擋丟棄。〔2〕網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的外部的、注冊的IP的地址標(biāo)準(zhǔn)，用戶必須要為網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過平安網(wǎng)卡訪問外部網(wǎng)絡(luò)時，系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非平安網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)那么來判斷這個訪問是否平安和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。〔3〕代理技術(shù)代理技術(shù)是在應(yīng)用層實現(xiàn)防火墻功能，代理效勞器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時的中轉(zhuǎn)連接作用。代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的效勞請求，當(dāng)一個連接到來時，首先進(jìn)行身份驗證，并根據(jù)平安策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時，代理效勞器上的客戶進(jìn)程向真正的效勞器發(fā)出請求，效勞器返回代理效勞器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。另一種情況是，外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)，當(dāng)外部網(wǎng)絡(luò)節(jié)點提出效勞請求時，代理效勞器首先對該用戶身份進(jìn)行驗證。假設(shè)為合法用戶，那么把該請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個效勞過程中，應(yīng)用代理一直監(jiān)控著用戶的操作，一旦用戶進(jìn)行非法操作，就可以進(jìn)行干預(yù)，并對每一個操作進(jìn)行記錄。假設(shè)為不合法用語，那么拒絕訪問。二入侵檢測系統(tǒng)入侵檢測系統(tǒng)概述入侵檢測是指通過對行為、平安日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的平安而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反平安策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。入侵檢測原理入侵檢測跟其他檢測技術(shù)有同樣的原理。從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時候會留下痕跡，這些痕跡和系統(tǒng)正常運行的時候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。4基于某學(xué)校網(wǎng)絡(luò)平安的研究4.1校園網(wǎng)絡(luò)平安防范體系的建立1．校園網(wǎng)絡(luò)平安策略概述具體的平安由以下幾個方面組成：物理平安、網(wǎng)絡(luò)平安、信息平安?！?〕物理平安物理平安策略主要指網(wǎng)絡(luò)根底設(shè)施、網(wǎng)絡(luò)設(shè)備的平安以及不同網(wǎng)絡(luò)之間的隔離進(jìn)行控制的策略。物理平安直接關(guān)系到網(wǎng)絡(luò)的平安，如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能，那么他直接對設(shè)備進(jìn)行破壞要比通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行破壞容易得多。〔2〕網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安是指系統(tǒng)〔主機(jī)、效勞器〕平安、反病毒、系統(tǒng)平安檢測、審計分析網(wǎng)絡(luò)運行平安、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)平安、訪問控制〔防火墻〕、網(wǎng)絡(luò)平安檢測、入侵檢測?！?〕信息平安主要涉及到信息傳輸?shù)钠桨病⑿畔⒋鎯Φ钠桨惨约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計三方面，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲平安、數(shù)據(jù)庫平安、終端平安、信息的防泄密、信息內(nèi)容審計、用戶授權(quán)。對于校園網(wǎng)的解決方案計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的平安防護(hù)也需要采用分層次的拓?fù)浞雷o(hù)措施，即一個完整的網(wǎng)絡(luò)平安解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層次，并且與平安管理相結(jié)合。物理層平安保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理平安是整個計算機(jī)信息系統(tǒng)平安的前提。物理平安是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個方面：環(huán)境平安、設(shè)備平安、媒體平安?！?〕網(wǎng)絡(luò)層平安主要包括：限制非法用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對網(wǎng)絡(luò)設(shè)備的平安配置。對網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的平安配置，保證非授權(quán)用戶不能訪問任意一臺計算機(jī)、路由器和防火墻。1合理劃分VLANVLAN〔VirtualLocalAreaNetwork〕即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的播送域，每一個VLAN都包含一組有著相同需要的計算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個VLAN內(nèi)部的播送和薄弱流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的平安性。 VLAN在交換機(jī)上的實現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于IP組播劃分VLAN。以太網(wǎng)從本質(zhì)上基于播送機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，以上運行機(jī)制帶來的網(wǎng)絡(luò)平安是好處是顯而易見的：第一，信息只有到達(dá)應(yīng)該到達(dá)的地點。因此，防止了大局部基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。第二，通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。2防火墻與IDS安裝防火墻進(jìn)行平安保護(hù)，它是一種在校園內(nèi)部網(wǎng)和Internet之間實施的信息平安防范系統(tǒng)技術(shù)，通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息，從而對系統(tǒng)結(jié)構(gòu)及其良性運行等實現(xiàn)平安防護(hù)。IDS所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別在進(jìn)行的或已經(jīng)成功的入侵行為，并及時報告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報告外，本身不能對入侵采取任何的防御措施。3路由器訪問控制列表路由器是內(nèi)部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對網(wǎng)絡(luò)的平安具有舉足輕重的作用，路由器本身就可以對數(shù)據(jù)包進(jìn)行過濾和有效地防止外部用戶對校園網(wǎng)的平安訪問，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設(shè)備可以作為控制VLAN之間訪問的初級屏障，因此，我們可以利用路由器來提高網(wǎng)絡(luò)的平安性?！?〕系統(tǒng)層平安操作系統(tǒng)是計算機(jī)系統(tǒng)的核心和根底工具，因此操作系統(tǒng)的漏洞往往成為危害計算機(jī)和網(wǎng)絡(luò)平安的手段和環(huán)節(jié)。保護(hù)計算機(jī)操作系統(tǒng)的平安，對于網(wǎng)絡(luò)的平安尤為重要?！?〕應(yīng)用層平安1網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)平安的重要因素，如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)平安必須考慮的重要問題。為保護(hù)效勞器和網(wǎng)絡(luò)中的工作站免受計算機(jī)病毒的侵害，同時也是為了建立一個