校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)-網(wǎng)絡(luò)訪問安全

校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)——網(wǎng)絡(luò)訪問安全目錄摘要 I Ⅱ1.緒論 11.1選題背景 1.2選題目的 1 12.可行性分析 22.1社會可行性 22.2技術(shù)可行性 22.3操作可行性 22.4系統(tǒng)開發(fā)平臺及運行環(huán)境 22.4.1系統(tǒng)開發(fā)工具及平臺 22.4.2運行環(huán)境 23.校園概況和網(wǎng)絡(luò)拓撲 3 33.2校園組成機構(gòu) 3 33.4網(wǎng)絡(luò)拓撲總圖 44.網(wǎng)絡(luò)安全基礎(chǔ) 54.1網(wǎng)絡(luò)安全的定義 54.2網(wǎng)絡(luò)安全的屬性 54.3網(wǎng)絡(luò)信息安全因素 64.4網(wǎng)絡(luò)信息安全機制 65.安全需求與安全目標 85.1網(wǎng)絡(luò)安全需求 85.2網(wǎng)絡(luò)安全策略 85.3系統(tǒng)安全目標 86.網(wǎng)絡(luò)訪問安全 9 9 96.1.2VPN的特點與應(yīng)用 9 97.CISCO安全設(shè)備 7.1防火墻設(shè)計 8.網(wǎng)絡(luò)攻擊與防范 8.1黑客攻擊手段 8.2.1“ARP攻擊”的方式和原理 8.2.2利用“ARP欺騙”入侵實際操作 8.2.3“ARP攻擊”防范方法 9.結(jié)論 21參考文獻 22致謝 23I隨著網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展，校園網(wǎng)的迅速發(fā)展和普及，對學校日常工作學習和本設(shè)計著重分析了如今校園網(wǎng)中存在的安全隱患，提出理論性與實踐性的依據(jù)，并針ⅡWiththevigorousdevelopmentofnetworktechnology,therapiddevelopmentofthecampusnetworkandpopularization,dailyworktoschoolforlearningandmanimportantrole.Butbecomingincreasinglyprominent.HowtomakethecampusnetworknormalandefficientThisdesignfocusesonanalyzingthenowexistinputsforwardthetheoreticalandpracticalbasiwhichinvolvestechnologyhaveVLAN,STP,VTP,HSRP,theARPdeception,MACcheat,etc.Thisdesignschemethroughthesimulationdesignenvironment,urealizethehackerattacksandthesimulationbyanattackerdefenses.Innetworksecuritymanagementhelp,fortheteacherscleantheInternetKeywords:Networksecurity;Switches;VPN;H11.1選題背景經(jīng)過多年的信息化建設(shè)之后，我們國內(nèi)大多數(shù)高等院校基本上都建成了自己的校園網(wǎng)。但隨著其應(yīng)用的深入，校園網(wǎng)絡(luò)的安全性和可靠性也成為院校領(lǐng)導共同關(guān)心的問題。校園網(wǎng)絡(luò)的安全直接影響著學校的日常教學、管理、科研活動的開展。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然的或者惡意的原因而遭到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠、正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。個人信息資料和學院相關(guān)網(wǎng)絡(luò)文件一旦遺失或被盜，學院就會因此蒙受巨大損失，甚至間接的影響到該校教師和學生的人身安全。因此，在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理構(gòu)建安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。目前，全國各媒體，網(wǎng)站對國內(nèi)校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)進行相關(guān)調(diào)查，發(fā)現(xiàn)目前國內(nèi)各校園對自己校園網(wǎng)的系統(tǒng)安全設(shè)計都有著適合自己的特色以及功能。目前相關(guān)的校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)的相關(guān)資料也比比皆是，由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，越來越多的新的設(shè)計理念和創(chuàng)新的想法也逐步被人們領(lǐng)略到。這些都為安全系統(tǒng)設(shè)計和實現(xiàn)提供了充足的材料和理論基礎(chǔ)。我們的目的就是在這現(xiàn)有的條件，根據(jù)自己學到的知識，以華南師范大學增城學院為研究對象去設(shè)計出一個校園網(wǎng)的系統(tǒng)安全設(shè)計方案。1.3本文組織結(jié)構(gòu)本文主要介紹校園局域網(wǎng)1所遇到的網(wǎng)絡(luò)安全問題以及針對校園的需求設(shè)計網(wǎng)絡(luò)安全本論文的主要內(nèi)容分為八章。第二章詳細的從各個方面分析了我們這個方案的可行性。第三章以華南師范大學增城學院為研究對象，簡述校園的基本構(gòu)造和設(shè)計網(wǎng)絡(luò)拓撲。第四章和第五章主要結(jié)合參考文獻，整體對網(wǎng)絡(luò)的安全基礎(chǔ)以及安全需求和安全目標做出詳細的說明第六章主要對VPN的設(shè)計和用路由器實現(xiàn)VPN。第七章CISCO安全設(shè)備防火墻的設(shè)計。第八章通過用虛擬機的模擬來實現(xiàn)網(wǎng)絡(luò)攻擊與防范。2可行性分析就是在系統(tǒng)調(diào)查的基礎(chǔ)上，針對新系統(tǒng)的開發(fā)是否具備必要性和可能性，對新系統(tǒng)的開發(fā)從技術(shù)、經(jīng)濟、社會的方面進行分析和研究，以避免投資失誤，保證新系統(tǒng)的開發(fā)成功。可行性研究的目的就是用最小的代價在盡可能短的時間內(nèi)確定問題是否能夠解決。該系統(tǒng)的可行性分析包括以下幾個方面的內(nèi)容。隨著計算機技術(shù)的發(fā)展和網(wǎng)絡(luò)人口的增加，網(wǎng)絡(luò)世界也越來越廣博，越來越豐富，校園實現(xiàn)網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)教學已經(jīng)是一股潮流了。相信要不了太長有時間，每個校園都會有屬于自己的局域網(wǎng)絡(luò)，都會實現(xiàn)網(wǎng)絡(luò)辦公，網(wǎng)絡(luò)教學。校園網(wǎng)絡(luò)系統(tǒng)主要目的是進行保護校園的網(wǎng)絡(luò)安全，并且嚴格按照國家法律法規(guī)來進行研究和實踐，并無法律和政策方面的本系統(tǒng)在PacketTracer上設(shè)計，并在虛擬機Vmware模擬實現(xiàn)，Windows2003Server能為我們的設(shè)計做出類似于實際環(huán)境的模擬測試。所以使用這兩個軟件可以說明很好的證明該設(shè)計方案和實現(xiàn)的可行性。硬件方面，科技飛速發(fā)展的今天，硬件更新的速度越來越快，容量越來越大，可靠性越來越高，價格越來越低，其硬件平臺完全能滿足此系統(tǒng)的需要。目前，大多數(shù)計算機都能運行該系統(tǒng)，該安全系統(tǒng)的安裝、調(diào)試、運行不會改變原計算機系統(tǒng)的設(shè)置和布局，由相關(guān)人員指導便能夠方便的操作此系統(tǒng)。系統(tǒng)設(shè)計是在PacketTracer上的。PacketTracer是由Cisco公司發(fā)布的一個輔助學習工具，為學習思科網(wǎng)絡(luò)課程的初學者去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程，觀察網(wǎng)絡(luò)實時運行情況?？梢詫W習IOS的配置、鍛煉故障排查3本章主要以華南師范大學增城學院為研究對象，進行系統(tǒng)分以及設(shè)計出網(wǎng)絡(luò)拓撲。核心層核心層匯聚層接入層用戶終端GuestIP打印無線AP思科W$-C3560G思科WS-C2918思科WS-C2918圖3-1網(wǎng)絡(luò)體系結(jié)構(gòu)4圖3-2網(wǎng)絡(luò)拓撲圖 5網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其中數(shù)據(jù)受到保護，不受偶然的或者惡意的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠地運行，確保網(wǎng)絡(luò)服務(wù)不中計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、從本質(zhì)上來講，計算機網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時間內(nèi)完成規(guī)定功能的特性?？煽啃钥箽允侵赶到y(tǒng)在人為破壞下的可靠性。例如，部分線路或節(jié)點失效后，系統(tǒng)能否繼生存性是在隨機破壞下系統(tǒng)的可靠性。生存性主要反映隨機有效性是一種基于業(yè)務(wù)性能的可靠性。有效性主要反映在網(wǎng)絡(luò)信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。比如，網(wǎng)絡(luò)部件失效雖然造成質(zhì)量指標下降、平均延時增加、線路阻塞等現(xiàn)象。允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)戶提供有效服務(wù)的特性。可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安本的功能是向用戶提供服務(wù)，而用戶的需求是隨機的、多方面可用性還應(yīng)該滿足以下要求：身份識別與確認、訪問控制、業(yè)務(wù)流控制、路由選擇控制、審計跟蹤。審計跟蹤的信息主要包括：事件類型、被管客息、事件回答以及事件統(tǒng)計等方面的信息。保密性是數(shù)據(jù)信息不被泄露給非授權(quán)的用戶、實體或供其利用的特性。保密性是在可完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保6存儲過程中產(chǎn)生的誤碼，定時的穩(wěn)定度和精度降低造成的誤碼，各種干擾源造成的誤碼)、人為攻擊、計算機病毒等。保障網(wǎng)絡(luò)信息完整性的主要方法有：協(xié)議、糾錯編碼方法、密碼校驗和方法、數(shù)字簽名、公證[1不可抵賴性也稱作不可否認性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實地否認已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認已經(jīng)接收的信息?？煽匦允菍W(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性?？煽匦宰钪匾捏w現(xiàn)是全局監(jiān)控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。全局預(yù)警就是要建立全局性的安全狀況收集系統(tǒng)，對于新的安全漏洞和攻擊方法能及時了解，針對體系內(nèi)局部發(fā)生的安全入侵等事件進行響網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等。典型的網(wǎng)絡(luò)安全威脅如表4-1所示。竊聽網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽攻擊者事先獲得部分信息或全部信息，以后攻擊者對合法用戶之間的通信信息進行修改、刪除、非授權(quán)訪問通過假冒、身份攻擊、系統(tǒng)漏洞等手段獲取系統(tǒng)訪問權(quán)攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，行為否認旁路控制電磁/射頻截獲攻擊者從點子或機電設(shè)備所發(fā)出的無線射頻或其他電磁輻射中提取信息人員疏忽已授權(quán)人為了利益或由于粗心將信息泄露給未授權(quán)人影響計算機網(wǎng)絡(luò)安全的因素有很多，如人為的疏忽、人為的惡意攻擊、網(wǎng)絡(luò)軟件的漏洞、非授權(quán)訪問、信息泄露或丟失、破壞數(shù)據(jù)完整性2]。網(wǎng)絡(luò)信息安全機制定義了實現(xiàn)網(wǎng)絡(luò)信息安全服務(wù)的技術(shù)措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數(shù)據(jù)進行處理。網(wǎng)絡(luò)信息安全機制包括如下八種。 7加密是提供數(shù)據(jù)保密的基本方法，用加密方法和認證機制相結(jié)合，可提供數(shù)據(jù)的保密數(shù)字簽名是解決信息安全特殊問題的一種方法，適用于通信雙方發(fā)生了下列情況的安在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，路由控制機制在于引導信息發(fā)送者選擇代價小且安全的特殊路公證機制在于解決通信的矛盾雙方，因事故和信用危機導致責任問題的公證仲裁3。 8通過對局域網(wǎng)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。改安全策略模型包括建立安全環(huán)境的三個重要組成部分2|:1.法律規(guī)章。安全的基石是社會法律、法規(guī)、規(guī)章制度與相應(yīng)的制裁手段，在這基礎(chǔ)2.先進技術(shù)。先進的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進行風局域網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實現(xiàn)以下的目標?:2.將內(nèi)部網(wǎng)絡(luò)、公共服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔4.對網(wǎng)絡(luò)服務(wù)請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕5.加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限 9列的驗證和加密技術(shù)，使建立VPN連接的兩端虛擬的組成一條排他的專用線路，就好像一個臨時的、安全的連接，是一條穩(wěn)定的隧道。虛擬專之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)2.服務(wù)質(zhì)量保證(QoS)求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用(如視頻等)則對支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)圖6-2VPN通信拓撲R2(config-if)#ipaddressR2(config-if)#tunneR2(config-if)#ipaddress255.2R2(config-if)#iproute實踐效果如圖6-3所示：EQ\*jc3\*hps18\o\al(\s\up1(n),E)EQ\*jc3\*hps18\o\al(\s\up1(ect),IGRI)EQ\*jc3\*hps18\o\al(\s\up1(-),X)EQ\*jc3\*hps18\o\al(\s\up1(t),E)EQ\*jc3\*hps18\o\al(\s\up1(i),I)EQ\*jc3\*hps18\o\al(\s\up1(c),G)EQ\*jc3\*hps18\o\al(\s\up1(o),PI)EQ\*jc3\*hps18\o\al(\s\up1(bil),FA,)EQ\*jc3\*hps18\o\al(\s\up1(-),S)N1Ei-ospFexternaitypei_-IS-IS,su-Is-ISsummary,L1-Is-Islevel-i,L2-Iia-IS-ISinterarea,*-.candidatedefault,u-per-EQ\*jc3\*hps18\o\al(\s\up5(e),n)EQ\*jc3\*hps18\o\al(\s\up5(s),g)EQ\*jc3\*hps18\o\al(\s\up5(u),y)EQ\*jc3\*hps18\o\al(\s\up5(e),t)EQ\*jc3\*hps18\o\al(\s\up5(n),e)Successrateissending5,100-byteIcM100percent(5/5),round-trip圖6-4路由器R2ping通效果圖i-Is-Is,su-Is-ISsummary,L1-Is-Isi-Is-Is,su-Is-ISsummary,L1-Is-Isia-Is-ISinterarea,candidatR3(config-if)#ipaddress20R3(config-if)#tunnelsource202.R3(config-if)#tunneldestinationEQ\*jc3\*hps17\o\al(\s\up3(R2√),ow)EQ\*jc3\*hps17\o\al(\s\up3(R),p)EQ\*jc3\*hps17\o\al(\s\up2(-),P)EQ\*jc3\*hps17\o\al(\s\up2(co),,E)EQ\*jc3\*hps17\o\al(\s\up2(n),X)EQ\*jc3\*hps17\o\al(\s\up2(te),EI)EQ\*jc3\*hps17\o\al(\s\up2(S-),R)EQ\*jc3\*hps17\o\al(\s\up2(static,),Pex)EQ\*jc3\*hps17\o\al(\s\up2(R),te)EQ\*jc3\*hps17\o\al(\s\up2(R),rn)EQ\*jc3\*hps17\o\al(\s\up2(IP),al,)EQ\*jc3\*hps17\o\al(\s\up2(o),O)EQ\*jc3\*hps17\o\al(\s\up2(bi),S)EQ\*jc3\*hps17\o\al(\s\up2(le),P)EQ\*jc3\*hps17\o\al(\s\up2(B),,I)EQ\*jc3\*hps17\o\al(\s\up2(B),i)EQ\*jc3\*hps17\o\al(\s\up2(GP),nte)CSEQ\*jc3\*hps17\o\al(\s\up2(is),s)EQ\*jc3\*hps17\o\al(\s\up2(n),c)EQ\*jc3\*hps17\o\al(\s\up2(tt),y)EQ\*jc3\*hps17\o\al(\s\up2(,1),co)EQ\*jc3\*hps17\o\al(\s\up2(n),e)EQ\*jc3\*hps17\o\al(\s\up2(ett),ec)EQ\*jc3\*hps17\o\al(\s\up2(d),y)EQ\*jc3\*hps17\o\al(\s\up2(s),o)EQ\*jc3\*hps17\o\al(\s\up2(u),n)EQ\*jc3\*hps17\o\al(\s\up2(n),e)以上可以看到，從R2路由器可以成功ping通道R3的路由器。證明本方案的VPN通道是所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(SecurityGateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。網(wǎng)絡(luò)防火墻的主要特點是只能通過對它的數(shù)據(jù)包進行攔截和過濾，通常需要部署在被保護網(wǎng)絡(luò)的邊界，如局域網(wǎng)接入Internet時，就應(yīng)該將防火墻部署在局域網(wǎng)的出口處。網(wǎng)絡(luò)防火墻可以應(yīng)用于如下四種網(wǎng)絡(luò)環(huán)境?|。這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護內(nèi)部網(wǎng)絡(luò)不遭受互連網(wǎng)用戶的攻擊。這也是目前絕大多數(shù)校園采用防火墻的目的。在這種應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個不同級別的安全區(qū)域，如圖7-1外部區(qū)域內(nèi)部區(qū)域內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護的對象，包括全部的校園內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機，這個區(qū)域是防火墻的可信區(qū)域。外部網(wǎng)絡(luò)：這是防火墻要防護的對象，包括外部互連網(wǎng)主機和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡(luò)區(qū)域。DMZ(非軍事區(qū)):它是從校園內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等，他們都是為互連網(wǎng)提供某種信息服務(wù)8)。2.局域網(wǎng)和廣域網(wǎng)的連接局域網(wǎng)和廣域網(wǎng)之間的連接有兩種方式可供選擇，網(wǎng)絡(luò)用戶可以根據(jù)自己的實際需求如果校園原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻設(shè)置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻和需要保護的內(nèi)部網(wǎng)絡(luò)連接5。對于DMZ區(qū)中的公用服務(wù)器，則可直接和邊界路由器相連，只經(jīng)過路由器的簡單防護，而不用經(jīng)過防火墻。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7-2所示。外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)在此拓撲結(jié)構(gòu)中，邊界路由器和防火墻就一起組成了兩道安全防線，并且在這兩者之間能設(shè)置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。如果校園原來沒有邊界路由器，此時僅由防火墻來保護內(nèi)部網(wǎng)絡(luò)。此時DMZ區(qū)域和需要保護的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口。因此需要對這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種網(wǎng)絡(luò)雖然只有一道安全防線，但對于大多數(shù)中、小校園來說是可以滿足的。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7-3所示。外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)3.內(nèi)部網(wǎng)絡(luò)不同部門之間的連接這種應(yīng)用環(huán)境就是在一個校園內(nèi)部網(wǎng)絡(luò)之間，對一些安全敏感的部門進行隔離保護，比如人事部門、財務(wù)部門和市場部門等。通過防火墻保護內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問。這些部門網(wǎng)絡(luò)主機中的數(shù)據(jù)對于校園來說是非常重要，他的工作不能完全離開校園網(wǎng)絡(luò)，但其中的數(shù)據(jù)又不能隨便給網(wǎng)絡(luò)用戶訪問4]。這時有幾種解決方案，一種是采用VLAN設(shè)置，但這種方法設(shè)置方法較為復(fù)雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關(guān)的設(shè)置。通過防火墻隔離后，盡管同屬于一個內(nèi)部局域網(wǎng)，不過其他用戶的訪問都需要經(jīng)過防火墻的過濾，符合條件的用戶才能訪問。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7-4所示。4.用戶與中心服務(wù)器之間的連接對于一個服務(wù)器中心而言，比如主機托管中心，大多數(shù)服務(wù)器需要對第三方開放，不過所有這些服務(wù)器分別屬于不同用戶所有，其安全策略也各不相同。如果把他們都定義在同一個安全區(qū)域中，顯然不能滿足各用戶的不同需求，這時我們就得分別設(shè)置。按不同安全策略保護這些服務(wù)器，根據(jù)實施方式的不同又可以分為以下兩種網(wǎng)絡(luò)環(huán)境10)。1.為每個服務(wù)器獨立設(shè)置一個獨立的防火墻。這種方案是一種最容易實現(xiàn)的方法，但這種方案無論從經(jīng)濟上、還是從使用和管理的靈活可靠性上都不是最佳的。這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全需求的服務(wù)器劃分至不同的VLAN。然后通過對高性能防火墻對VLAN子網(wǎng)的設(shè)置，將一個高性能防火墻劃分為多個虛擬防火墻。其拓撲結(jié)構(gòu)如圖7-5所示。雖然這種方案配置較為復(fù)雜，但配置完成后，隨后的使用和管理將相當?shù)姆奖悖拖?式達500多種。大致分為以下7類：攻擊者通過向被攻擊者發(fā)送大量的數(shù)據(jù)流使被攻擊主機淹攻擊者通過對域名系統(tǒng)，路由器等網(wǎng)絡(luò)設(shè)施進行破壞，從攻擊者在進行Web訪問時，通過對數(shù)據(jù)庫的訪問查詢有關(guān)內(nèi)容。此這種攻擊方式主要通過一些日常社會交往獲取有用信息，這是最早的攻擊方式，到現(xiàn)在為止依然廣泛被使用，目前表的欺騙，這種方法可以破壞系統(tǒng)的ARP緩存表，從而組成內(nèi)外IP地址的混亂。另一種照一定的頻率不斷進行地址的更換，使真實的地 果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，從而造成計算機訪問黑客精心構(gòu)建的過一個很出名的ARP攻擊工具WinArpAttac運行的機器，如圖8-1所示008-00-27-00-60-…LOLIMASTER-PCOnline08-00-27-7E-91-PC-MBM900019…Online43243232效果如圖8-2所示EQ\*jc3\*hps24\o\al(\s\up6(e),e)EQ\*jc3\*hps24\o\al(\s\up6(t),o)EQ\*jc3\*hps24\o\al(\s\up6(im),m)Packets:Sent-4.ReceivedEQ\*jc3\*hps24\o\al(\s\up4(ox),M)EQ\*jc3\*hps24\o\al(\s\up4(i),i)EQ\*jc3\*hps24\o\al(\s\up4(mate),nimu)EQ\*jc3\*hps24\o\al(\s\up4(und),Gm)EQ\*jc3\*hps24\o\al(\s\up4(trip),Max)EQ\*jc3\*hps24\o\al(\s\up4(tim),um)EQ\*jc3\*hps24\o\al(\s\up4(in),ms)EQ\*jc3\*hps24\o\al(\s\up4(milli),vera)EQ\*jc3\*hps24\o\al(\s\up4(-),g)EQ\*jc3\*hps24\o\al(\s\up4(s),e)EQ\*jc3\*hps24\o\al(\s\up4(s:),m)三、IpConflict:發(fā)送一個IP一樣但Mac地址不一樣的包至目標機，導致目標機IP沖突。(頻繁發(fā)送此包會導致機器斷網(wǎng)),如果被攻擊，效果很明顯，在你機器的右下角會有個IP沖突的標志。如圖8-3所示站站圖8-3Ip沖突效果截圖七、修改arp緩存表：修改局域網(wǎng)內(nèi)某臺機器的arp緩存表，實現(xiàn)MAC地址欺騙，以行的機器，如圖8-1所示行的機器，如圖8-1所示nt-WihpAtate370uid206文件掃貓攻擊檢測設(shè)置查口幫助好10000004302圖8-1掃描的結(jié)果截圖InternetAddressPhysicalAddress3.在主機上使用WinArpAttacker制作arp攻擊包，并發(fā)送給虛擬機：額口000000200800277E2012-04-1020:21:13Attack_Spoof_Ban_AFrequencyconfigure-GMmberoftimeF引-DelaybetweenpackeReady4.在虛擬機上查看被修改后的arp緩存表：8.2.3“ARP攻擊”防范方法對于ARP攻擊進行有效防范是同時在客戶端和路由器上做雙向的綁定工作，這樣的話無論ARP攻擊是偽造本機的IP地址、MAC地址還是網(wǎng)關(guān)地址，都不會出現(xiàn)上網(wǎng)掉線或者大面積斷線等情況?？梢允褂靡韵聝煞N方法來防范“ARP欺騙”攻擊：1、激活防ARP攻擊的相關(guān)項目進入路由器Web管理頁面后，選擇“防火墻配置”選項中的“基本頁面”,然后激活“防止ARP病毒攻擊”即可。這樣以后就可以避免利用ARP攻擊的木馬病毒傳播了。來實現(xiàn)系統(tǒng)的綁定工作，命令格式為：arp-s[路由器IP地址][路由器MAC地址],回3、配置DHCP服務(wù)器防范arp攻擊服務(wù)器，右鍵單擊“保留”選項，這時我們選擇“新建保留”選項。彈出的對話框中，在“名稱”里輸入保留的計算機名，在“IP地址”的選項中，是需要綁定MAC地址的IP地址，這里我們輸入網(wǎng)關(guān)的地址,在“MAC地址”的選項當中，將之前在客戶機中看到的MAC地址添加到其中。這樣，我們就為網(wǎng)絡(luò)上的網(wǎng)關(guān)設(shè)備路由器添加了一個M