校园网安全系统的设计与实现——网络访问安全.doc

校园网安全系统的设计与实现 i 本科毕业论文(设计) 姓姓 名：名： 学学 号：号： 系系 别：别： 计算机系计算机系 专业班级：专业班级： 计算机科学与技术计算机科学与技术 题题 目：目： 校园网安全系统的设计与实现校园网安全系统的设计与实现 网络访问安全网络访问安全 校园网安全系统的设计与实现 ii 指导教师：指导教师： 校园网安全系统的设计与实现 iii 目录目录 摘要摘要i abstract ii 1.绪论绪论1 1.1 选题背景1 1.2 选题目的1 1.3 本文组织结构1 2.可行性分析可行性分析2 2.1 社会可行性.2 2.2 技术可行性.2 2.3 操作可行性.2 2.4 系统开发平台及运行环境.2 2.4.1 系统开发工具及平台2 2.4.2 运行环境2 3.校园概况和网络拓扑校园概况和网络拓扑3 3.1 校园基本构造3 3.2 校园组成机构3 3.3 网络体系结构3 3.4 网络拓扑总图.4 4.网络安全基础网络安全基础5 4.1 网络安全的定义5 4.2 网络安全的属性5 4.3 网络信息安全因素6 4.4 网络信息安全机制6 5.安全需求与安全目标安全需求与安全目标8 5.1 网络安全需求.8 5.2 网络安全策略.8 5.3 系统安全目标.8 6.网络访问安全网络访问安全9 6.1 vpn 概述 9 6.1.1 vpn 简介9 6.1.2 vpn 的特点与应用9 6.2 路由器实现 vpn9 7.cisco 安全设备安全设备.12 7.1 防火墙设计.12 8.网络攻击与防范网络攻击与防范16 8.1 黑客攻击手段16 8.2.1 “arp 攻击”的方式和原理.16 8.2. 2 利用“arp 欺骗”入侵实际操作 .17 8.2.3“arp 攻击”防范方法19 校园网安全系统的设计与实现 iv 9.结论结论21 参考文献参考文献.22 致谢致谢.23 校园网安全系统的设计与实现 i 摘要摘要 随着网络技术蓬勃发展，校园网的迅速发展和普及，对学校日常工作学习和管理而言 也起了重要的作用。但不可忽视的是，随着网络的普及，其安全问题也日益突出。如何 让校园网正常高效的运行，充分发挥其教学、管理和服务等功能，已成为不可忽视的一 个问题。 本设计着重分析了如今校园网中存在的安全隐患，提出理论性与实践性的依据，并针 对网络设备安全和网络访问安全进行了详细的描述，设计出一个安全、便捷的网络管理 方案，其中涉及到的技术有 vlan、stp、vtp、hsrp、arp 欺骗、mac 欺骗等。本设 计方案通过模拟设计环境，使用虚拟机 vmware 实现了模拟黑客进攻和被攻击者的防御手 段。希望能对校园网的安全管理有所帮助，为师生创造一个安全、高效、干净的上网环 境。 关键词：关键词：网络安全；交换机；vpn；hsrp；ospf 校园网安全系统的设计与实现 ii abstract with the vigorous development of network technology, the rapid development of the campus network and popularization, daily work to school for learning and management also play an important role. but important, along with the network popularization, the security issues are becoming increasingly prominent. how to make the campus network normal and efficient operation and make full use of its teaching, management and service, and other functions, has become a problem cannot be ignored. this design focuses on analyzing the now existing in the campus network security problems, puts forward the theoretical and practical basis, and in the light of the network equipment safety and network access security are described, design a safe, convenient network management plan, which involves technology have vlan,stp, vtp, hsrp, the arp deception, mac cheat, etc. this design scheme through the simulation design environment, use the virtual machine vmware realize the hacker attacks and the simulation by an attacker defenses. in hopes of campus network security management help, for the teachers and students create a safe, efficient and clean the internet environment. keywords：network security;switches;vpn;hsrp;ospf 校园网安全系统的设计与实现 1 1.绪论绪论 1.1 选题背景选题背景 经过多年的信息化建设之后，我们国内大多数高等院校基本上都建成了自己的校园网。 但随着其应用的深入，校园网络的安全性和可靠性也成为院校领导共同关心的问题。校 园网络的安全直接影响着学校的日常教学、管理、科研活动的开展。网络安全是指网络 系统的硬件、软件及其系统中的数据受到保护，不会由于偶然的或者恶意的原因而遭到 破坏、更改和泄露。系统能够连续、可靠、正常地运行，使网络服务不中断。个人信息 资料和学院相关网络文件一旦遗失或被盗，学院就会因此蒙受巨大损失，甚至间接的影 响到该校教师和学生的人身安全。因此，在全面了解校园网的安全现状基础上，合理构 建安全体系结构，改善网络应用环境的工作迫在眉睫。 1.2 选题目的选题目的 目前，全国各媒体，网站对国内校园网安全系统的设计与实现进行相关调查，发现目 前国内各校园对自己校园网的系统安全设计都有着适合自己的特色以及功能。目前相关 的校园网安全系统的设计与实现的相关资料也比比皆是，由于网络技术的飞速发展，越 来越多的新的设计理念和创新的想法也逐步被人们领略到。这些都为安全系统设计和实 现提供了充足的材料和理论基础。我们的目的就是在这现有的条件，根据自己学到的知 识，以华南师范大学增城学院为研究对象去设计出一个校园网的系统安全设计方案。 1.3 本文组织结构本文组织结构 本文主要介绍校园局域网 1所遇到的网络安全问题以及针对校园的需求设计网络安全 的解决方案。 本论文的主要内容分为八章。 第二章详细的从各个方面分析了我们这个方案的可行性。 第三章以华南师范大学增城学院为研究对象，简述校园的基本构造和设计网络拓扑。 第四章和第五章主要结合参考文献，整体对网络的安全基础以及安全需求和安全目 标做出详细的说明 第六章主要对 vpn 的设计和用路由器实现 vpn。 第七章 cisco 安全设备防火墙的设计。 第八章通过用虚拟机的模拟来实现网络攻击与防范。 1局域网：是指在某一区域内由多台计算机互联成的计算机组。 校园网安全系统的设计与实现 2 2.可行性分析可行性分析 可行性分析就是在系统调查的基础上，针对新系统的开发是否具备必要性和可能性， 对新系统的开发从技术、经济、社会的方面进行分析和研究，以避免投资失误，保证新 系统的开发成功。可行性研究的目的就是用最小的代价在尽可能短的时间内确定问题是 否能够解决。该系统的可行性分析包括以下几个方面的内容。 2.1 社会可行性社会可行性 随着计算机技术的发展和网络人口的增加，网络世界也越来越广博，越来越丰富， 校园实现网络办公、网络教学已经是一股潮流了。相信要不了太长有时间，每个校园都 会有属于自己的局域网络，都会实现网络办公，网络教学。校园网络系统主要目的是进 行保护校园的网络安全，并且严格按照国家法律法规来进行研究和实践，并无法律和政 策方面的限制。 2.2 技术可行性技术可行性 本系统在 packet tracer 上设计，并在虚拟机 vmware 模拟实现，windows 200 3 server 操作系统。由于在 packettrace建立网络拓扑 ，能很方便的 设计、配置网络模拟环境 ； vmware 能为我们的设计做出类似于实际环境的模拟测试。所以使用这两个软件可以说明 很好的证明该设计方案和实现的可行性。 硬件方面，科技飞速发展的今天，硬件更新的速度越来越快，容量越来越大，可靠 性越来越高，价格越来越低，其硬件平台完全能满足此系统的需要。 2.3 操作可行性操作可行性 目前，大多数计算机都能运行该系统，该安全系统的安装、调试、运行不会改变原 计算机系统的设置和布局，由相关人员指导便能够方便的操作此系统。 2.4 系统开发平台及运行环境系统开发平台及运行环境 2.4.1 系统开发工具及平台系统开发工具及平台 系统设计是在 packet tracer 上的。packet tracer 是由 cisco 公司发布的一个辅助学习 工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。 用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在 网络中行进的详细处理过程，观察网络实时运行情况。可以学习 ios 的配置、锻炼故障 排查能力。 2.4.2 运行环境运行环境 操作系统：windows 2000或 windows xp。 浏览器：internet explorer6.0及以上版本。 校园网安全系统的设计与实现 3 3.校园概况和网络拓扑校园概况和网络拓扑 本章主要以华南师范大学增城学院为研究对象，进行系统的分析校园网的具体组成 部分以及设计出网络拓扑。 3.1 校园基本构造校园基本构造 建筑规模为行政楼，教学楼，图书馆和师生宿舍。工程设计范围是行政楼，教学楼， 图书馆和师生宿舍的网络建设。 3.2 校园组成机构校园组成机构 最高层：董事长办公室、董事会办公室、院长办公室。 第二层：行政楼办公室(由第一行政楼和第二行政楼组成，主要办公室有各处长办公室、 各系系主任办公室、党委书记办公室、团委书记办公室以及各老师办公室)。 第三层：图书馆图书数据库和图书馆办公室(由图书馆馆长办公室和各老师办公室组成)。 第四层：教学楼办公室、实验室和多媒体课室。 最底层：师生宿舍 3.3 网络体系结构网络体系结构 图 3-1 网络体系结构 校园网安全系统的设计与实现 4 3.4 网络拓扑总图网络拓扑总图 图 3-2 网络拓扑图 校园网安全系统的设计与实现 5 4.网络安全基础网络安全基础 4.1 网络安全的定义网络安全的定义 网络安全是指网络系统的硬件、软件及其中数据受到保护，不受偶然的或者恶意的破 坏、更改、泄露，保证系统连续可靠地运行，确保网络服务不中断。网络安全是一门涉 及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信 息论等多种学科的综合性科学。 4.2 网络安全的属性网络安全的属性 从本质上来讲，计算机网络安全就是网络上的信息安全。凡是涉及网络上信息的保密 性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网 络安全具有以下几个基本属性。 1.可靠性 可靠性是网络信息系统能够在规定条件下、规定时间内完成规定功能的特性。可靠性 是系统安全的基本要求之一，是所有网络信息系统的基本目标。网络信息系统的可靠性 包括如下三种特性：抗毁性、生存性和有效性。 抗毁性是指系统在人为破坏下的可靠性。例如，部分线路或节点失效后，系统能否继 续提供服务。增强抗毁性可以有效地避免因各种灾害造成的大面积网络瘫痪问题。 生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系 统可靠性的影响。 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情 况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连接性故障，但是 却造成质量指标下降、平均延时增加、线路阻塞等现象1。 2.可用性 可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务被使用时， 允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权 用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统 最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要 求。可用性一般用系统正常使用时间和整个工作时间之比来度量。 可用性还应该满足以下要求：身份识别与确认、访问控制、业务流控制、路由选择控 制、审计跟踪。审计跟踪的信息主要包括：事件类型、被管客体等级、事件时间、事件 信息、事件回答以及事件统计等方面的信息1。 3.保密性 保密性是数据信息不被泄露给非授权的用户、实体或供其利用的特性。保密性是在可 靠性和可用性基础之上，保障网络信息安全的重要手段。 常用的保密技术包括：防侦听、防辐射、信息加密、物理保密。 4.完整性 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保 持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整 性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和 传输。完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求 信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有：设备故障、误码(传 校园网安全系统的设计与实现 6 输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源 造成的误码)、人为攻击、计算机病毒等。 保障网络信息完整性的主要方法有：协议、纠错编码方法、密码校验和方法、数字签 名、公证1。 5.不可抵赖性 不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真 实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证 据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否 认已经接收的信息。 6.可控性 可控性是对网络信息的传播及内容具有控制能力的特性。可控性最重要的体现是全局 监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统， 对于新的安全漏洞和攻击方法能及时了解，针对体系内局部发生的安全入侵等事件进行 响应1。 4.3 网络信息安全因素网络信息安全因素 网络系统的安全威胁主要表现在主机可能会受到非法入侵者的攻击，网络中的敏感数 据有可能泄露或被修改，从内部网向公共网传送的信息可能被他人窃听或篡改等。典型 的网络安全威胁如表 4-1 所示。 表 4-1 典型的网络安全威胁 威胁描述 窃听网络中传输的敏感信息被窃听 重传攻击者事先获得部分信息或全部信息，以后将此信息发送给接收者 伪造攻击者将伪造的信息发送给接收者 篡改攻击者对合法用户之间的通信信息进行修改、删除、插入、再发送给接收者 非授权访问通过假冒、身份攻击、系统漏洞等手段获取系统访问权，从而使非法用户进 入网络系统读取、删除、修改、插入信息等 拒绝服务攻击攻击者通过某种方法使系统响应减慢甚至瘫痪，阻止合法用户获得服务 行为否认通信实体否认已经发生的行为 旁路控制攻击者发掘系统的缺陷或安全脆弱性 电磁/射频截获攻击者从点子或机电设备所发出的无线射频或其他电磁辐射中提取信息 人员疏忽已授权人为了利益或由于粗心将信息泄露给未授权人 影响计算机网络安全的因素有很多，如人为的疏忽、人为的恶意攻击、网络软件的漏 洞、非授权访问、信息泄露或丢失、破坏数据完整性2。 4.4 网络信息安全机制网络信息安全机制 网络信息安全机制定义了实现网络信息安全服务的技术措施，包括所使用的可能方法， 主要是利用密码算法对重要而敏感的数据进行处理。网络信息安全机制包括如下八种。 1.加密机制 校园网安全系统的设计与实现 7 加密是提供数据保密的基本方法，用加密方法和认证机制相结合，可提供数据的保密 性和完整性。 2.数字签名机制 数字签名是解决信息安全特殊问题的一种方法，适用于通信双方发生了下列情况的安 全验证。 3.访问控制机制 访问控制是指处理主体对客体访问的权限设置的合法性问题，一个主体只能访问经过 授权使用的给定客体。否则，访问控制机制的审计跟踪系统会自动拒绝访问，并给出事 件报告的跟踪审计信息。 4.数据完整性机制 数据完整性主要解决数据单元的完整性和数据单元序列的完整性。 5.鉴别交换机制 鉴别交换是在通信进程中，以双方互换约定信息方式确认实体身份机制。2 6.通信业务填充机制 目的是对抗非法攻击者在传输信道上监听以及非法进行流量和流向分析。 7.路由控制机制 在复杂的网络环境中，路由控制机制在于引导信息发送者选择代价小且安全的特殊路 径，保证数据能由源节点出发，经选择路由，安全到达目标节点。 8.公证机制 公证机制在于解决通信的矛盾双方，因事故和信用危机导致责任问题的公证仲裁 3。 校园网安全系统的设计与实现 8 5.安全需求与安全目标安全需求与安全目标 5.1 网络安全需求网络安全需求 通过对局域网结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器 的安全保护、防黑客和病毒、重要网段的保护及管理安全上。因此，要采用相应的安全 措施杜绝安全隐患，应该做到以下几点4。 1. 公开服务器的安全保护 2. 防止黑客从外部攻击 3. 入侵检测与监控 4. 信息审计与记录 5. 病毒防护 6. 数据安全保护 7. 数据备份与恢复 8. 网络的安全管理 5.2 网络安全策略网络安全策略 安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规 则。改安全策略模型包括建立安全环境的三个重要组成部分12： 1.法律规章。安全的基石是社会法律、法规、规章制度与相应的制裁手段，在这基础 上建立一套安全管理的办法。既通过建立与信息安全相关的法律、法规和单位的规章制 度，使不法分子摄于法律，不敢轻举妄动。 2.先进技术。先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风 险评估，决定对其需要的安全服务种类，选择相应的安全机制和先进的安全技术。 3.严格管理。各网络使用机构、校园和单位应建立相宜的信息安全管理办法，加强内部管 理，建立审计和跟踪体系，提供整体的信息安全意识。 5.3 系统安全目标系统安全目标 局域网络系统安全应该实现以下的目标5： 1建立一套完整可行的网络安全与网络管理策略 2将内部网络、公共服务器网络和外网进行有效隔离，避免与外部网络的直接通信 3建立网站各主机和服务器的安全保护措施，保证系统安全 4对网络服务请求内容进行控制，使非法访问在到达主机前被拒绝 5加强合法用户的访问认证，同时将用户的访问权限控制在最低限度 6全面监视对公共服务器的访问，及时防线和拒绝不安全的操作和黑客攻击行为 校园网安全系统的设计与实现 9 6.网络访问安全网络访问安全 6.1 vpn 概述概述 vpn 是专用网络的扩展，是一种通过公共网络把两个私有网络连接在一起的安全访 问技术，通常作为大型校园网络的补充，用于实现远程安全接入和管理。vpn 技术通过 一系列的验证和加密技术，使建立 vpn 连接的两端虚拟的组成一条排他的专用线路，就 好像是一条建立在校园两端的 intranet 专线一样，只不过这条线路是通过因特网建立的。 6.1.1 vpn 简介简介 vpn(virtual private network)，虚拟专用网络。vpn 被定义为通过一个公用网络建立 一个临时的、安全的连接，是一条稳定的隧道。虚拟专用网是对校园内部网的扩展，可 以让远程用户、校园的内部网建立可信的安全连接，并保证数据的安全传输。 6.1.2 vpn 的特点与应用的特点与应用 1安全保障 虽然实现 vpn 的技术和方式很多，但所有的 vpn 均应保证通过公用网络平台传输数 据的专用性和安全性。在非面向连接的公用 ip 网络上建立一个逻辑的、点对点的连接， 称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据 仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。 2服务质量保证(qos) vpn 网应当为校园数据提供不同等级的服务质量保证。不同的用户和业务对服务质 量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证 vpn 服务的 一个主要因素；而对于拥有众多分支机构的专线 vpn 网络，交互式的内部校园网应用则 要求网络能提供良好的稳定性；对于其它应用(如视频等)则对网络提出了更明确的要求， 如网络时延及误码率等。qos 通过流量预测与流量控制策略，可以按照优先级分配带宽 资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。 3可扩充性和灵活性 vpn 必须能够支持通过 intranet 和 extranet 的任何类型的数据流，方便增加新的节点， 支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输 以及带宽增加的需求。 4可管理性 从用户角度和运营商角度应可方便地进行管理、维护。vpn 管理的目标为：减小网 络风险、具有高扩展性、经济性、高可靠性等优点。事实上，vpn 管理主要包括安全管 理、设备管理、配置管理、访问控制列表管理、qos 管理等内容10。 6.2 路由器实现路由器实现 vpn 在本方案中，以一个学生宿舍与学院之间实现用 vpn 通信为例，以下为拓扑图： 校园网安全系统的设计与实现 10 图 6-2 vpn 通信拓扑 其中，学院(r2)的详细配置如下，第一步：配置端口地址； r2(config)#int e0/1 r2(config-if)#ip address 第二步：配置隧道； r2(config)#int tunnel 10 r2(config-if)#ip address r2(config-if)#tunnel source r2(config-if)#tunnel destination 第三步：配置连接内部的端口地址，并设置静态路由； r2(config)#int e0/3 r2(config-if)#no shutdown r2(config-if)#ip address r2(config-if)#ip route 实践效果如图 6-3 所示： 图 6-3 路由器 r2 路由表 校园网安全系统的设计与实现 11 图 6-4 路由器 r2 ping 通效果图 宿舍 r3 的配置如下所示： r3(config)#int e0/2 r3(config-if)#ip address r3(config)#int tunnel 10 r3(config-if)#ip address r3(config-if)#tunnel source r3(config-if)#tunnel destination r3(config-if)#no shutdown 图 6-5 路由器 r3 路由表 以上可以看到，从 r2 路由器可以成功 ping 通道 r3 的路由器。证明本方案的 vpn 通道 是可以通信的。 校园网安全系统的设计与实现 12 7.cisco 安全设备安全设备 7.1 防火墙设计防火墙设计 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网 与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合，使 internet 与 intranet 之间建立起一个安全网关(security gateway)，从而保护内部网免受非法用户的 侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关 4 个部分组成。 网络防火墙的主要特点是只能通过对它的数据包进行拦截和过滤，通常需要部署在被保 护网络的边界，如局域网接入 internet 时，就应该将防火墙部署在局域网的出口处。网络 防火墙可以应用于如下四种网络环境7。 1.内部网络与 internet 的连接 这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要 保护内部网络不遭受互连网用户的攻击。这也是目前绝大多数校园采用防火墙的目的。 在这种应用环境中，一般情况下防火墙网络可划分为三个不同级别的安全区域，如图 7-1 所示。 图 7-1 防火墙三个级别安全区域 内部网络：这是防火墙要保护的对象，包括全部的校园内部网络设备及用户主机，这 个区域是防火墙的可信区域。 外部网络：这是防火墙要防护的对象，包括外部互连网主机和设备。这个区域为防火 墙的非可信网络区域。 dmz(非军事区)：它是从校园内部网络中划分的一个小区域，在其中就包括内部网络 中用于公众服务的外部服务器，如 web 服务器、邮件服务器、ftp 服务器等，他们都是 为互连网提供某种信息服务8。 2.局域网和广域网的连接 局域网和广域网之间的连接有两种方式可供选择，网络用户可以根据自己的实际需求 来选择。 如果校园原来已有边界路由器，则此可充分利用原有设备，利用边界路由器的包过滤 功能，添加相应的防火墙设置，这样原来的路由器也就具有防火墙功能了。然后再利用 校园网安全系统的设计与实现 13 防火墙和需要保护的内部网络连接5。 对于 dmz 区中的公用服务器，则可直接和边界路由器相连，只经过路由器的简单防 护，而不用经过防火墙。网络拓扑结构如图 7-2 所示。 图 7-2 存在边界路由器网络连接 在此拓扑结构中，边界路由器和防火墙就一起组成了两道安全防线，并且在这两者之 间能设置一个 dmz 区，用来放置那些允许外部用户访问的公用服务器设施。 如果校园原来没有边界路由器，此时仅由防火墙来保护内部网络。此时 dmz 区域和需要 保护的内部网络分别连接防火墙的不同 lan 网络接口。因此需要对这两部分网络设置不 同的安全策略。这种网络虽然只有一道安全防线，但对于大多数中、小校园来说是可以 满足的。这种应用环境的网络拓扑结构如图 7-3 所示。 图 7-3 无边界路由器的网络连接 3.内部网络不同部门之间的连接 校园网安全系统的设计与实现 14 这种应用环境就是在一个校园内部网络之间，对一些安全敏感的部门进行隔离保护， 比如人事部门、财务部门和市场部门等。通过防火墙保护内部网络中敏感部门的资源不 被非法访问。这些部门网络主机中的数据对于校园来说是非常重要，他的工作不能完全 离开校园网络，但其中的数据又不能随便给网络用户访问4。 这时有几种解决方案，一种是采用 vlan 设置，但这种方法设置方法较为复杂。另一种 有效的方法就是采用防火墙进行隔离，在防火墙上进行相关的设置。通过防火墙隔离后， 尽管同属于一个内部局域网，不过其他用户的访问都需要经过防火墙的过滤，符合条件 的用户才能访问。网络拓扑结构如图 7-4 所示。 图 7-4 连接内部子网络 4.用户与中心服务器之间的连接 对于一个服务器中心而言，比如主机托管中心，大多数服务器需要对第三方开放，不 过所有这些服务器分别属于不同用户所有，其安全策略也各不相同。如果把他们都定义 在同一个安全区域中，显然不能满足各用户的不同需求，这时我们就得分别设置。按不 同安全策略保护这些服务器，根据实施方式的不同又可以分为以下两种网络环境10。 1.为每个服务器独立设置一个独立的防火墙。 这种方案是一种最容易实现的方法，但这种方案无论从经济上、还是从使用和管理的 灵活可靠性上都不是最佳的。 2.采用虚拟网络防火墙。 这主要是利用三层交换机的 vlan 功能，先在三层交换机上将有不同安全需求的服 务器划分至不同的 vlan。然后通过对高性能防火墙对 vlan 子网的设置，将一个高性 能防火墙划分为多个虚拟防火墙。其拓扑结构如图 7-5 所示。 校园网安全系统的设计与实现 15 图 7-5 虚拟防火墙 虽然这种方案配置较为复杂，但配置完成后，随后的使用和管理将相当的方便，就像 用交换机管理多个 vlan 子网一样来管理每个用户服务器，而且该方案在现实中比较经 济可行。 校园网安全系统的设计与实现 16 8.网络攻击与防范网络攻击与防范 8.1 黑客攻击手段黑客攻击手段 随着 internet 的发展，对 internet 的攻击方式也层出不穷。目前为止，以报道的攻击 方式达 500 多种。大致分为以下 7 类： 1.地址欺骗 地址欺骗是基于地址的证实，即攻击者将自己的地址伪装成主机认为可信赖的地址， 如内部网地址，从而欺骗主机的信任，达到攻击的目的。 2.tcp 盗用 由于 tcp 是基于有连接的通信，这样攻击者通过监听摄取连接信息，一旦合法的连接 建立后，攻击者即可插入数据包，甚至接管客户的 tcp 连接。在这种情况下，即使经过 很强的证实后，也容易接管 telent 和 ftp 的会话操作。 3.业务否决 攻击者通过向被攻击者发送大量的数据流使被攻击主机淹没在信息处理的汪洋中，对 正常业务请求无法处理，从而否决正常业务。例如，攻击者可向网上其他主机发出请求， 使这些主机向被攻击主机发送邮件。这样被攻击主机就被大量的邮件阻塞。 4.对域名系统和基础设施的破坏 攻击者通过对域名系统，路由器等网络设施进行破坏，从而使受害主机在域名系统中 消失，或无法找到路由。这在动态路由器中可采用欺骗路由应答等方式进行攻击。 5.利用 web 破坏数据库 攻击者在进行 web 访问时，通过对数据库的访问查询有关内容。此时很可能对 web 数据库进行恶意操作，从而导致整个 web 服务器不能正常工作甚至瘫痪。 6.社会工程 这种攻击方式主要通过一些日常社会交往获取有用信息，从而利用这些有用信息进行 攻击。 7.口令猜测 这是最早的攻击方式，到现在为止依然广泛被使用，目前黑客已经收集口令并形成字 典，使得口令猜测成功率明显提高。这种攻击的危害性很大，因为它可能使黑客猜测到 系统管理员的口令而破坏整个系统。 8.2.1 “arp 攻击攻击”的方式和原理的方式和原理 从影响网络连接通畅的方式来看，arp 攻击大概可以分为两种。一种是对路由器 arp 表的欺骗，这种方法可以破坏系统的 arp 缓存表，从而组成内外 ip 地址的混乱。 另一种是对局域网内计算机的网关欺骗，让网内计算机系统的数据报通过假网关来发送。 第一种 arp 欺骗是截获网关数据。它通知路由器一系列错误的内网 mac 地址，并 校园网安全系统的设计与实现 17 按照一定的频率不断进行地址的更换，使真实的地址信息无法通过更新保存在路由器中， 结果路由器的所有数据只能发送给错误的 mac 地址，从而造成计算机访问黑客精心构建 的网络陷阱。 第二种 arp 欺骗是伪造网关。它的原理是建立假网关，让被它欺骗的计算机向假网 关发数据，而不是通过正常的路由器途径上网。 8.2. 2 利用利用“arp 欺骗欺骗”入侵实际操作入侵实际操作 黑客要利用“arp 欺骗”入侵计算机，只需要一个前提条件，就是进行入侵的计算 机和被攻击的计算机要在同一个局域网的网段中。由于 arp 欺骗是通过数据包进行欺骗 的，所以在进行操作以前要在本地计算机安装一个驱动程序，为数据传输做准备。我们 可以通过一个很出名的 arp 攻击工具 winarpattacker 来实现入侵的过程。 1.打开虚拟机，主机运行 winarpattacker.exe，扫描局域网的机器，会发现用虚拟机 运行的机器，如图 8-1 所示 图 8-1 扫描的结果截图 2.在要攻击的机器前面打勾，然后点击攻击的按钮就可以实现攻击了。攻击的方式有 以下几种： 一、flood: 连续并且大量地发送“ip conflict”包(此功能有会导致对方 down 机)。 效果如图 8-2 所示 校园网安全系统的设计与实现 18 图 8-2 网络阻塞攻击 二、bangateway:发包欺骗网关，告诉网关错误的目标机 mac 地址，导致目标机无 法接收到网关发送的包。 三、ip conflict: 发送一个 ip 一样但 mac 地址不一样的包至目标机，导致目标机 ip 冲突。(频繁发送此包会导致机器断网)，如果被攻击，效果很明显，在你机器的右下角会 有个 ip 冲突的标志。如图 8-3 所示 图 8-3 ip 冲突效果截图 四、sniffgateway: 同时 arp 欺骗网关和目标机，使你可以监听目标机的通信。 五、sniffhosts：欺骗多个主机，使你可以监听他们之间的通信。 六、snifflan：欺骗局域网的所有机器，说是你才是网关，然后通过这个你可以监听 整个网络。 七、修改 arp 缓存表：修改局域网内某台机器的 arp 缓存表，实现 mac 地址欺骗，以 达到窃取信息的目的,具体演示如下： 1.打开虚拟机，主机运行 winarpattacker.exe，扫描局域网的机器，会发现用虚拟机 运行的机器，如图 8-1 所示 图 8-1 扫描的结果截图 2.虚拟机的 ip 地址为 2，mac 地址为 08-00-27-7e-91-9b，使用 arp a 命 校园网安全系统的设计与实现 19 令查看其 arp 缓存表： 图 8-4 虚拟机的 arp 缓存表 3.在主机上使用 winarpattacker 制作 arp 攻击包，并发送给虚拟机： 图 8-5 arp 攻击包的制作 4.在虚拟机上查看被修改后的 arp 缓存表： 图 8-6 被修改的 arp 缓存表 8.2.3“arp 攻击攻击”防范方法防范方法 对于 arp 攻击进行有效防范是同时在客户端和路由器上做双向的绑定工作，这样的 话无论 arp 攻击是伪造本机的 ip 地址、mac 地址还是网关地址，都不会出现上网掉线 或者大面积断线等情况。可以使用以下两种方法来防范 “arp 欺骗”攻击： 1、激活防 arp 攻击的相关项目 进入路由器 web 管理页面后，选择“防火墙配置”选项中的“基本页面” ，然后激活 校园网安全系统的设计与实现 20 “防止 arp 病毒攻击”即可。这样以后就可以避免利用 arp 攻击的木马病毒传播了。 2、本地绑定 ip 地址和 mac 地址 正常进入计算机系统后打开其中的命令提示符窗口，通过 arp s 命令或者批处理命 令来实现系统的绑定工作，命令格式为：arp s 路由器 ip 地址 路由器 mac 地址， 回车确定以后完成每台计算机的绑定。 3、配置 dhcp 服务器防范 arp 攻击 实现 ip 地址与 mac 地址绑定策略打开 dhcp 服务器控制台，展来已经建立好的 dhcp 服务器，右键单击“保留”选项，这时我们选择“新建保留”选项。弹出的对话框 中，在“名称”里输入保留的计算机名，在“ip 地址