校园计算机系统安全及维护研究

学号：1201640132学号：12345678910本 科 毕 业 论 文校园计算机系统安全及维护研究Research On Campus Computer System SecurityAnd Maintenance姓 名 ： 法如克吾买尔 专 业： 计算机科学与技术 指导教师姓名： 耿庆田 指 导 教 师 职 称 ： 副教授 2016 年 5 月长春师范大学本科毕业论文摘 要近 年 来 各 大 专 院 校 以 及 中 小 学 分 别 斥 资 构 建 了 属 于 自 己 的 校 园 网 ， 然 而 仅 就目 前 的 校 园 网 络 使 用 和 维 护 现 状 来 看 ， 由 于 很 多 院 校 的 校 园 网 以 及 构 建 校 园 网 的集 成 商 在 初 始 的 设 计 规 划 中 ， 疏 于 对 安 全 体 系 的 建 设 ， 以 及 对 校 园 网 络 安 全 认 识的 淡 漠 ， 认 为 只 要 部 署 了 防 火 墙 便 可 万 事 大 吉 ， 由 此 导 致 针 对 校 园 网 的 入 侵 行 为层 出 不 穷 。本 文 针 对 这 一 问 题 ， 作 一 简 单 的 讨 论 。 首 先 ， 介 绍 了 校 园 网 络 的 现 状 ， 论 述 了 建 设 一 个 校 园 网 络 和 构 建 一 个 安 全 的 校 园 网 络 所 需 要 的 一 切 要 素 。 从 网 络 的 构建 开 始 ， 从 内 到 外 ， 依 次 论 述 了 边 界 路 由 ， 核 心 交 换 ， 分 级 防 火 墙 ， 入 侵 检 测 系统 ， 服 务 器 的 安 全 需 要 ， 并 且 虚 拟 地 构 造 出 一 个 安 全 的 校 园 网 络 的 骨 架 ； 同 时 论述 了 校 园 网 络 中 人 这 一 要 素 ， 一 个 安 全 的 系 统 不 仅 是 一 堆 高 效 的 安 全 设 备 ， 和 完整 的 安 全 策 略 ， 它 更 需 要 一 群 精 通 入 侵 的 安 全 工 程 师 和 运 行 维 护 人 员 以 及 处 于 上层 的 一 个 英 明 的 决 策 者 组 成 。 接 着 论 述 了 校 园 网 络 的 安 全 现 状 和 面 对 的 主 要 威 胁 ，从 边 界 路 由 的 过 滤 、 防 火 墙 的 防 御 、 IDS 的 检 测 ， 以 及 IPS 的 模 型 ， 现 代 DMZ的 划 分 ， 和 新 型 的 无 线 网 络 攻 击 以 及 防 御 方 式 。 最 后 介 绍 了 由 于 配 置 失 误 可 能 造成 的 出 口 流 量 的 泄 密 ， 利 用 SINKHOLE 技 术 原 理 部 署 蜜 罐 进 行 攻 击 诱 捕 ， 从 而 避免 可 能 攻 击 的 工 作 ， 以 及 什 么 是 backscatter， 如 何 利 用 backscatter 技 术 进行 防 御 。 在 这 些 论 述 中 ， 本 人 加 入 了 这 几 年 来 见 到 的 一 些 案 例 ， 从 而 简 要 的 说 明 ，什 么 是 安 全 的 校 园 网 和 如 何 构 建 安 全 的 校 园 网 。关 键 词 ： 校 园 网 络 安 全 体 系 安 全 策 略 防 火 墙 入 侵 检 测 系 统 长春师范大学本科毕业论文IAbstractIn recent years, tertiary institutions, as well as primary and secondary schools put much money in constructing their own campus network. However, in terms of the application and maintain of current campus network, the network intrusion incidents occur again and again. This phenomenon is on count of the negligence on the security system and network security awareness when institutions and integrators initially designing and planning the construction on campus. The only thing they concern about is firewall.In view of existing situation, this article makes a brief discussion. First of all, this letter introduced the status of campus network, discussing all elements needed in the construction of a secure network on campus. Started from the network construction, from inside to outside, it successively expounds border router, core switch, Hierarchical firewall, IDS, the servers security needs and constructing a virtual campus network security framework. It also discusses the human element of the campus network: It is inadequate for a security system only possesses a suite of efficient safety equipment and complete security policy; to a higher degree, it also requires a group of engineers and operation and maintenance personnel who proficient in the invasion of the security operation as well as a wise decision-maker in higher-ups. Then, this article discusses the status of the campus network security and main threats at present. It also involves the bounder router filtering, firewall defense, IDS, IPS model, division of modern DMZ, new wireless network attack and defense style. Finally, it figures out the possible leaks of export flow caused by configuration error. While, the utilization of SINKHOLE principle in the deployment of honey pot can be used to trap the attack, and thereby avoid the possibilities. Furthermore, it sets forth what is backscatter, and how to use it in the defense. Upon these discourses, the author cites some cases in the past few years to give a brief description of what is a safe campus network and how to build it.Keywords：Campus Network Security Structure Security Policy Border Router Firewall IDS 长春师范大学本科毕业论文II目 录摘 要 IAbstractII第一章 绪论 III第一章 绪 论 11.1 中国教育科研网（CERNET）概要 11.2 校园网与 CERNET11.3 构建校园网络安全体系 1第二章 安全的校园网的基础设施 32.1 校园网的基本服务 32.1.1 IP 地址分配与注册 32.1.2 自治系统号的分配与注册 42.2 校园网辅助服务 42.2.1 DNS 服务 42.2.2 E-mial 服务 42.3 校园网络的路由与交换 52.3.1 路由 52.3.2 交换 52.4 校园网络中的防火墙和入侵检测系统 52.4.1 校园网络中的防火墙 52.4.2 校园网络中的入侵检测系统 6第三章 安全的校园网中人的因素 7第四章 校园网络面对的安全问题及其现状 94.1 校园网面临的传统安全威胁 94.1.1 传统 WINDOWS 系统攻击 94.1.2 攻击式应用代码 104.1.3 拒绝服务式攻击 114.2 校园网面临的内部安全威胁 124.2.2 来自内部的攻击测试 134.3 校园网面临的外部安全威胁 144.3.1 外部的主动恶意破坏 144.3.2 外部的被动恶意破坏 144.4 校园网面临的新型安全威胁 154.4.1 Web 攻击 15长春师范大学本科毕业论文III第五章 校园网网络的保护 165.1 基于网络的入侵检测系统 165.1.1 IDS 165.1.2 IPS165.1.3 入侵检测的类型 175.2 基于主机的入侵检测 175.3 防御方案小结 19第六章 结论 206.1 本文结论 206.2 方案改进 20致 谢 21参考文献 22原创性声明 24版权使用授权书 24长春师范大学本科毕业论文0第一章 绪论1.1 中国教育科研网（CERNET）概要中 国 教 育 和 科 研 计 算 机 网 CERNET 建 于 1944 年 ， 是 由 国 家 投 资 建 设 ， 并被 被 国 务 院 确 认 为 全 国 四 大 骨 干 网 之 一 。2000 年 ， 中 国 下 一 代 高 速 互 联 网 交 换 中 心 DRAGONTAP 在 CERNET 网 络 中心 建 成 ， 第 一 次 实 现 了 我 国 与 国 际 下 一 代 互 联 网 的 互 联 。 2004 年 3 月 ， CERNET2 试 验 网 开 通 ， 这 是 中 国 第 一 个 IPv6 主 干 网 ， 也 是 世 界 上 规 模 最 大 的纯 IPv6 网 ， 标 志 着 中 国 下 一 代 互 联 网 建 设 拉 开 了 序 幕 。 同 年 12 月 ， 中 国 下一 代 互 联 网 核 心 工 程 示 范 网 CERNET2 骨 干 网 开 通 。 2008 年 5 月 ， 奥 组 委 首 次 在 CNGI-CERNET2 上 建 设 奥 运 官 方 网 站 ， 是 奥 运会 与 国 际 最 先 进 互 联 网 技 术 的 第 一 次 较 大 范 围 的 实 际 应 用 ， 更 是 中 国 IPv6 面向 全 球 的 一 个 重 要 示 范 应 用 ， 具 有 标 志 性 意 义 。 同 年 9 月 25 日 ， 中 国 下 一 代 互联 网 示 范 工 程 CNGI 示 范 网 络 高 校 驻 地 网 建 设 项 目 顺 利 通 过 验 收 。 在 已 经 建 成 的CNGI-CERNET2 主 干 网 基 础 上 ， 建 成 了 分 布 在 全 国 34 个 城 市 的 100 个 具 有 一 定用 户 规 模 的 IPv6 驻 地 网 ， 促 进 了 各 高 校 的 下 一 代 互 联 网 发 展 。1.2 校园网与 CERNET校 园 网 是 在 学 校 范 围 内 ， 在 一 定 的 教 育 思 想 和 理 论 指 导 下 ， 为 学 校 教 学 、 科研 和 管 理 等 教 育 提 供 资 源 共 享 、 信 息 交 流 和 协 同 工 作 的 计 算 机 网 络 。 而 多 个 校园 网 通 过 路 由 交 换 设 备 连 接 起 来 就 构 成 了 CERNET。概 括 地 讲 ， 校 园 网 是 为 学 校 师 生 提 供 教 学 、 科 研 和 综 合 信 息 服 务 的 宽 带 多 媒体 网 络 。 如 果 一 所 学 校 包 括 多 个 专 业 学 科 (或 多 个 系 )， 也 可 以 形 成 多 个 局 域 网络 ， 并 通 过 有 线 或 无 线 方 式 连 接 起 来 。 其 次 ， 校 园 网 应 具 有 教 务 、 行 政 和 总 务 管理 功 能 。 而 CERNET 就 是 提 供 这 些 多 个 校 园 网 进 行 互 联 的 平 台 和 基 础 。 CERNET就 是 满 足 这 种 需 求 的 一 个 解 决 途 径 和 办 法 。 通 过 CERNET， 不 同 学 校 的 不 同 院 系与 组 织 机 构 交 流 将 更 加 顺 畅 。1.3 构建校园网络安全体系一 个 校 园 网 它 首 先 要 满 足 科 研 和 教 学 的 要 求 ， 因 此 它 需 要 设 置 多 媒 体 教 学设 施 。 为 了 达 到 交 流 的 目 的 ， 校 园 网 内 部 还 需 要 设 置 论 坛 ， 信 箱 ， 聊 天 室 ， 甚 至语 音 、 视 频 会 议 平 台 。 由 这 些 设 备 使 得 校 园 网 在 内 部 是 本 身 就 是 一 个 完 整 的 成 熟的 网 络 ， 而 主 机 房 就 是 它 的 ISP 提 供 商 。 整 个 由 路 由 ， 交 换 以 及 网 络 传 输 设 备 、介 质 以 及 对 应 的 应 用 软 件 来 构 成 。 作 为 一 个 完 整 的 网 络 ， 校 园 网 不 可 避 免 的 会 受到 某 些 人 员 的 攻 击 测 试 ， 此 时 就 需 要 一 个 完 整 的 安 全 策 略 构 成 安 全 体 系 。 一 个 完整 的 安 全 策 略 包 括 ， 安 全 设 备 ， 诸 如 防 火 墙 ， IDS， 以 及 其 他 防 御 检 测 设 备 ； 安长春师范大学本科毕业论文1全 条 例 ， 诸 如 机 房 应 急 条 件 下 处 理 标 准 ， 设 备 管 理 、 维 护 条 例 ； 最 后 还 要 有 人员 组 成 ， 诸 如 运 行 维 护 人 员 、 安 全 工 程 师 等 。 只 有 设 置 完 整 的 安 全 策 略 ， 并 且让 这 个 策 略 真 正 高 效 率 的 工 作 起 来 ， 才 能 保 证 整 个 网 络 的 安 全 。长春师范大学本科毕业论文2第二章 安全的校园网的基础设施2.1 校园网的基本服务2.1.1 IP 地址分配与注册校 园 网 要 成 为 整 个 中 国 教 育 科 研 网 的 一 部 分 ， 除 了 要 获 得 一 个 能 与 教 育 网 相连 接 的 物 理 连 连 接 外 ， 还 需 要 CERNET 分 配 的 基 于 Ipv6 标 准 的 IP 地 址 。 但 是 部分 校 园 网 连 接 到 教 育 网 时 ， 使 用 的 是 地 方 的 ISP。 那 么 整 个 校 园 网 络 中 就 需 要 在Ipv4 和 Ipv6 之 间 反 复 转 换 。 不 管 哪 种 情 况 ， 校 园 网 都 得 以 正 确 的 方 式 注 册 IP前 缀 以 保 证 数 据 不 被 篡 改 。向 ISP 申 请 和 向 中 国 教 育 科 研 网 直 接 申 请 是 一 个 常 见 的 的 做 法 。 在 申 请 过 程中 ， 校 园 网 需 要 向 CERNET 或 ISP 提 交 申 请 ， 申 请 一 些 CERNET 或 ISP 已 经 申 请到 的 地 址 的 使 用 权 ， 这 些 地 址 都 将 由 CERNET 或 ISP 统 一 管 理 ， 这 样 就 免 去 了 自己 管 理 地 址 的 投 资 ， 与 此 同 时 ， 也 制 约 了 一 些 研 究 的 开 展 和 进 行 。 因 此 很 多 高 校选 择 直 接 向 APNIC（ 亚 太 网 络 信 息 中 心 ） 申 请 ， 根 据 RFC 2142 的 规 定 ， 当 ISP或 机 构 向 注 册 管 理 机 构 提 交 IP 前 缀 的 注 册 信 息 时 ， 需 要 利 用 role account 来表 示 ， 而 一 般 情 况 下 机 构 的 技 术 人 员 会 使 用 机 构 邮 件 系 统 中 E-mail 作 为 role account。 此 为 笔 者 就 自 己 的 IP 信 息 在 APNIC 上 查 询 到 的 数 据 结 果 。inetnum: - 55netname: Changchundescr: Jilin ChangChun Co., Ltddescr: 1502, No.8 Building, Wanda Square, Chaoyang District, Changchun, Chinacountry: CNadmin-c: YW1486-APtech-c: YW1486-APstatus: ASSIGNED NON-PORTABLEchanged: 20090308mnt-by: MAINT-CNNIC-APsource: APNICperson: Yu Wangnic-hdl: YW1486-APe-mail: address: 1502, No.8 Building, Wanda Square, Chaoyang District, ChangChun, China长春师范大学本科毕业论文3phone:ax-no:ountry: CNchanged: 20090228mnt-by: MAINT-CNNIC-APsource: APNIC由上面这个例子，我们可以看到其名称为 JIFANGDE，我们可以大胆的猜测其中文意义应该是“机房的”，地址为长春市朝阳区万达广场 8 号楼，根据查询这就是长春的铁通机房的地址（笔者使用的即为铁通）。他是以一个机构的名称在进行注册，但是如果没有一个详实的监管机制，校园网的管理人员在申请时，使用的是个人的信息，那么当此人因为不满而离开学校时，又可以会发生，其冒充该机构的技术代表联系 APNIC，要求更改机构名称，联系方式，地址，等信息。此时他就可以把本来属于该学校的 IP 地址前缀，分配给别的组织和机构。如果这种事情真的发生，将带来灾难性的后果。因此在 IP 地址注册过程中需要保证信息的正确性和可控制性，从而避免此类篡改的发生。2.1.2 自治系统号的分配与注册众所周知，动态路由协议使用自治系统好作为唯一编号来识别一个独立范围内的路由设备。也就是说自治系统号是为了在网络中识别出一条到达目的的 IP 地址前缀的路径。校园网通过 APNIC 获得一个自治系统号，那么就和 IP 前缀的申请一样存在同样的风险，因此校园网应该增加监管，从而避免此类篡改的发生。2.2 校园网辅助服务2.2.1 DNS 服务全球共有 13 个根域名服务器，13 个顶级域名服务器提供服务，.cn 这样的域名服务器也有很多，在很多人眼里对于一个校园网来说，并不需要关心 DNS 服务的提供问题，DNS 似乎不是必须的。但是在实际应用中，由于涉及自身域名的注册和解析，内网 WEB 信息的发布，邮件的发送，接收等多个环节的影响。因此很多时候，一个大型的校园网都需要设置专门的 DNS 服务器或者是开启了 DNS 服务的主机，此时我们就需要对 DNS 服务器进行保护。以防止 IP 地址和 WEB 地址之间无法准确，快速的进行映射，从而带来整个网络效率的下降甚至瘫痪。2.2.2 E-mial 服务电子邮件作为网络中的信息传输机制，他使用 SMTP 和 POP3 进行发送和接收。为了保证电子邮件在整个域内的来回传送，就需要在校园网内部按照业务的需要设置一个甚至多个 MX（邮件