毕业设计—校园网网络安全隐患及解决方案abqo.doc

毕业设计（论文） 设计（论文）题目 重信院校园网网络安全隐患及解决方案 选题性质：设计 论文 院 系 电子工程学院 专 业 计算机网络技术 班 级 2010 级 3 班 学 号 0924030442 学生姓名 指导教师 成 绩 教务处制 年 月 日 i 摘摘 要要 本设计以网络为基础，分析了国内校园网安全的发展趋势，然后结合学校校 园网的实际情况，分析了校园网存在的安全隐患，从整体上对校园网络安全系 统进行规划设计，充分整合现行的几种关键网络安全技术，提出了一整套校园 信息网络安全防御的设计与实现，力保校园网络健康、可靠、有效地运行。在 校园网络安全解决方案中包括防火墙技术、入侵检测系统(ids)、防病毒、数据 备份等几个部分，设计对各个部分进行了详细的分析。在对全局校园网络安全 体系方案中各部分论述的基础上，还对主要的关键技术做了配置说明，并给出 了实际运行中的实例。本论文设计的校园网络安全防御方案，现正在实际校园 网环境中应用，其运行结果表明了这种校园网安全防御系统的可行性和实际应 用性，达到了实际应用效果。 关键词：关键词：校园网、安全管理、防火墙、入侵检测 ii 目目 录录 摘 要 i 目 录.ii 前 言1 第章 重庆信息技术职业学院校园网3 1.1 重庆信息技术职业学院网络背景介绍3 1.1.1 建设背景和现状.3 1.1.2 建设需求分析.3 1.2 重庆信息技术职业学院安全隐患介绍4 1.2.1 校园网网络安全的概述4 1.2.2 网络安全的含义.5 1.2.3 威胁网络安全的不安全因素分析.5 第 2 章 重庆信息技术职业学院校园网网络安全隐患分析7 2.1 校园网安全存在的缺陷7 2.1.1 网络自身的安全缺陷.7 2.1.2 网络结构、配置、物理设备不安全.7 2.1.3 内部用户的安全威胁.7 2.1.4 软件的漏洞.7 2.1.5 网络结构、配置、物理设备不安全.7 2.1.6 各种非法入侵和攻击.8 2.2 校园网安全管理和维护的措施与建议8 2.2.1 配置高性能的防火墙产品.8 2.2.2 网络设计、使用更合理化.8 2.2.3 软件漏洞修复.8 2.2.4 防杀毒软件系统.9 2.2.5 配备入侵检测系统(ids)并建立蜜罐陷阱系统9 2.2.6 系统安全风险评估.9 2.2.7 灾难恢复计划.9 2.2.8 加强管理.9 2.3 校园网的安全防范和管理9 第 3 章 重庆信息技术职业学院校园网安全隐患解决方案与实现11 3.1 防火墙的选择与设计11 3.1.1cisco pix525 防火墙介绍 11 3.1.2 cisco pix525 防火墙的安装和配置 12 3.2 校园网身份认证系统的选择与设计15 3.3 chost数据备份实现.19 3.3.1 数据智能备份.23 3.3.2 数据备份设计硬件.24 3.3.3 数据备份设计软件.23 iii 3.4 入侵检测系统的实现23 3.4.1 金诺入侵检测系统的组成.23 3.4.2 传感器的安装.24 3.4.3 控制台软件的配置.24 3.4.4 控制台软件的使用.25 总 结29 参考文献30 第 1 页 前前 言言 互联网是全球最大的网络结构，为全世界200多个国家的几亿用户提供了海 量的信息资源。但与此同时，也产生了很多的信息安全问题，各种黑客、病毒、 安全漏洞、非法入侵等都在不断的侵蚀着网络，给各国的经济及信息化发展带 来了巨大的威胁和无法挽回的损失，互联网的安全问题己经摆在各国面前，受 到了各国政府的极大关注。 据美国联邦调查局统计，美国每年因网络安全造成的损失高达75亿美元。 世界著名的商业网站，如yahoo，ebay，cnin都曾经被黑客入侵，连专门从事网 络安全的rsa网站也受到黑客的攻击。据美国金融时报报道，世界上平均每20分 钟就发生一次入侵国际互联网络的计算机安全事件，三分之一的防火墙被突破。 美国联邦调查局计算机犯罪组负责人吉姆塞特尔称：给我精选10名“黑客“， 组成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：如果给 我一台普通计算机、一条电话线和一个调制解调器，就可以令某个地区的网络 运行失常。在我国，有98的网络系统受到各种病毒、黑客及非法入侵的攻击， 许多的isp、证券公司及银行也多次被国内外黑客攻击，造成了巨大的经济损失， 针对其他行业的网络犯罪事件也无时无刻不在威胁着网络的安全。 另外，各国的专网建设己经有了长足的发展，应用到了各国社会经济建设 的各个领域，金融证券、教育科研、电信、广电、能源交通、国防和商贸企业 等各部门都加大了专网的开发和建设力度，专网在提供多种信息化服务、给人 们带来便利的同时，其安全问题也日益突出，专网的安全问题己成为各国政府 待解决的重要问题。 学校是教书育人的场所，校园网作为一种信息化的手段在其中起着非常重 要的作用。然而校园网的安全问题日益突出，己经成为威胁学校信息技术教育 的首要问题。与互联网所经受的考验一样，不健康信息、非法入侵和其它各种 不安全因素以其越来越大的危害侵蚀着学校这块净土。 面对这些严峻的现实，各国政府不得不重视网络安全问题。他们开发了各 式各样的网络安全产品，如入侵检测系统(ids)、防火墙、防病毒软件等来有效 预防和处理各种不安全因素，保证网络系统的安全性。保障网络系统的安全己 经成为刻不容缓的重要课题。 目前网络经济正在成为推动经济持续增长的重要因素之一，但是与网络发 展速度相比，网络安全问题却一直没有得到很好的解决。据统计，面向计算机 的犯罪每年增长率为30，造成这种情况的原因主要为网络的开放性和复杂性。 计算机犯罪已经成为普遍的国际性问题，各国都在加大对信息网络安全核心技 第 2 页 术和产品的研发投入：美国总统布什2002年就发布了16号“国家安全总统令”， 组建了美军网络黑客部队网络战联合功能构成司令部，于2007年2月份正式编 入作战序列。2005年，美军投入20亿美元用于信息系统的网络安全保密建设。 2007年，美军正在实施“密码现代化计划“，准备用15年时间，投入十亿美元使 密码系统全面升级。其他西方国家也纷纷调整科研发展计划，将信息安全技术 列为战略性技术予以重点投入。我国网络建设发展迅速，取得了巨大成绩。但 是，由于没有解决网络安全问题的好的方案，且网络安全建设经费投入不足， 网络安全问题还是相当严重。计算机系统也多采用开放式的操作系统，安全级 别较低，很难抵抗黑客的攻击。有些单位甚至对网络安全没有概念，完全没有 安全措施，更谈不上安全管理与安全政策的制定。国家领导及各部门对此给予 高度重视，国家领导人多次发出有关信息网络安全的指示，主管部门也做了大 量实质性的工作：2003年9月正式颁发了关于加强信息安全保障工作的意见， 2006年1月国家网络与信息安全协调小组发布了关于开展信息安全风险评估工 作的意见，2006年2月国信办关于印发信息安全风险评估指南的通知，证 明了国家在管理信息安全方面的态度和决心。 20世纪80年代美国国防部基于军事计算机系统的保密需要，在20世纪70年 代的基础理论研究成果计算机保密模型的基础上，制订了“可信计算机系 统安全评价准则”，其后又制订了关于网络系统、数据库等方面的准则和系列 安全解释，形成了安全信息系统体系结构的最早原则。至今美国已研究出达到 tcsec要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)产品数 百种。 迄今为止，在黑客攻击与防护的网络安全对抗中，黑客攻击仍占据了上风， 我们基本上都是在被动防护。为了争取在攻击与防护的安全对抗中占据主动地 位，近来，取证、陷阱、攻击定位、入侵侦测、反攻击、容错、自动恢复等主 动防御技术得到重视和发展。 第 3 页 第第1 1章章 重庆信息技术职业学院校园网重庆信息技术职业学院校园网 1.1.1 1 重庆信息技术职业重庆信息技术职业学院网络背景介绍学院网络背景介绍 重庆信息技术职业学院校园网建设着眼于为教育教学服务，为促进学校教 育现代化服务。紧密结合教育教学的需要和经济承受能力的实际，本着统一规 划、分布实施的原则，有计划、有重点，分地区、分层次，积极稳妥地推进校 园网建设。严格规范校园网建设及相应的软件开发标准，确保信息化校园的整 体建设规划和管理要求的落实。 重庆信息技术职业学院校园网建设同时，切实做好学校教师、技术与管理 及行政人员的不同层次的培训，形成一支能使校园网充分发挥使用效益的应用 队伍、教学软件开发队伍和能保证校园网正常持续运行的软、硬件管理队伍。 积极开发和推广使用教育教学软件，建设信息资源库，充分发挥校园网的使用 效益。 1.1.1 建设背景和现状 重庆信息技术职业学院很早就展开了计算机辅助教学，并建立了大规模的 计算机实验室，学校拥有计算机上千台，但由于目前各个系都是自己组建自己 的内部网络，采用的软件平台、硬件 1.1.2 建设需求分析 重庆信息技术职业学院校园网建设着眼于为教育教学服务，为促进学校教 育现代化服务。紧密结合教育教学的需要和经济承受能力的实际，本着统一规 划、分布实施的原则，有计划、有重点，分地区、分层次，积极稳妥地推进校 园网建设。严格规范校园网建设及相应的软件开发标准，确保信息化校园的整 体建设规划和管理要求的落实。 重庆信息技术职业学院很早就展开了计算机辅助教学，并建立了大规模的 计算机实验室，学校拥有计算机上千台，但由于目前各个系都是自己组建自己 的内部网络，采用的软件平台、硬件。 重庆信息技术职业学院很早就展开了计算机辅助教学，并建立了大规模的 计算机实验室，学校拥有计算机上千台，但由于目前各个系都是自己组建自己 的内部网络，采用的软件平台、硬件。 第 4 页 1.21.2 重庆信息技术职业学院安全隐患介绍重庆信息技术职业学院安全隐患介绍 互联网起源于 1969 年的 arpanet 最初用于军事目的,1993 年开始应用于商 业。现今随着计算机技术的广泛发展,计算机应用领域不断扩大,特别是在教育 机构,校园网成为教学、办公科研、资源共享的重要工具。校园网带来方便的同 时,网络本身的开放、共享、广泛、复杂性也带来了一系列令人担心的问题,网 络安全已经被提到了重要日程。无论我们是否愿意承认,只要连接了 internet, 都是容易受攻击的。因而在网络本身的开放性、共享性的前提下,如何保证校园 网络的安全性,以抵抗入侵、防范网络攻击等,成为目前校园网络建立健全的关 键。 1.2.1 校园网网络安全的概述 随着网络技术的发展，可以说现在大部分的学校都建立了校园网并投入了 使用，这对加快信息处理、提高工作效益、实现资源共享都起到了无法估量的 作用。但，在积极发展信息自动化的同时，网络安全问题成为了一个非常严重 的隐患，就好像一个定时炸弹深深埋在校园现代化的进程中。2003 年爆发的 “震荡波、冲击波” ，2006 年的熊猫烧香病毒等虽然没有给校园网络造成很大 的伤害，但足以认识到网络安全的重要性，因此搞好网络安全已经成为一个重 要的课题。要解决网络安全问题，了解网络的基本结构和功能是首要问题。重 庆信息技术职业学院网络结构拓扑图如图 1.1。 第 5 页 图1.1 校园网络结构拓扑图 1.2.2 网络安全的含义 网络安全是指网络系统的硬件，软件及数据受到保护，不遭受偶然或恶意 的破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。且在不同 环境和应用中又不同的解释。 （1）运行系统安全：即保证信息处理和传输系统的安全，包括计算机系统机房 环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全 运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露 的防御等。 （2）网络上系统信息的安全：包括用户口令鉴别、用户存取权限控制、数据存 取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传输的安全：即信息传播后果的安全、包括信息过滤、不良信 息过滤等。 （4）网络上信息内容的安全：即我们讨论的狭义的“信息安全” ；侧重于保护 信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。 1.2.3 威胁网络安全的不安全因素分析 （一）网络的开放性带来的安全问题 第 6 页 internet 的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多 安全问题。为了解决这些安全问题，各种安全机制、策略、管理和技术被研究 和应用。然而，即使在使用了现有的安全工具和技术的情况下，网络的安全仍 然存在很大隐患，这些安全隐患主要可以包括为以下几点: (1)安全机制在特定环境下并非万无一失。比如防火墙，它虽然是一种有效 的安全工具，可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但是 对于内部网络之间的访问，防火墙往往是无能为力的。因此，对于内部网络到 内部网络之间的入侵行为和内外勾结的入侵行为，防火墙是很难发觉和防范的。 (2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的 效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不正当的设 置就会产生不安全因素。例如，windowsxp 在进行合理的设置后可以达到 c 级 的安全性，但很少有人能够对 windowsxp 本身的安全策略进行合理的设置。虽 然在这方面，可以通过静态扫描工具来检测系统是否进行了合理的设置，但是 这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较，针对具体 的应用环境和专门的应用需求就很难判断设置的正确性。 (3)系统的后门是难于考虑到的地方。防火墙很难考虑到这类安全问题，多 数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；比如说，众 所周知的 asp 源码问题，这个问题在 iis 服务器4.0以前一直存在，它是 iis 服 务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出 asp 程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入 侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程 和正常的 web 访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后 缀。 （二）网络安全的主要威胁因素 (1)软件漏洞：每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。 这就使我们的计算机处于危险的境地，一旦连接入网，将成为众矢之的。 (2)配置不当：安全配置不当造成安全漏洞，例如，防火墙软件的配置不正确， 那么它根本不起作用。对特定的网络应用程序，当它启动时，就打开了一系列 的安全缺口，许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止 该程序或对其进行正确配置，否则，安全隐患始终存在。 (3)安全意识不强：用户口令选择不慎，或将自己的帐号随意转借他人或与别人 共享等都会对网络安全带来威胁。 (4)病毒：目前数据安全的头号大敌是计算机病毒，它是编制者在计算机程序中 第 7 页 插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自 我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽 性、触发性、破坏性等特点。因此，提高对病毒的防范刻不容缓。 第第 2 2 章章 重庆信息技术职业学院校园网网络安全隐患分析重庆信息技术职业学院校园网网络安全隐患分析 近几年来,随着高校规模的不断扩大,新校区或者合并校区的扩建,高校校园 网普遍存在网络规模较大,上网地点较分散,网络监管困难,上网行为不够规范等 现象,因而加大了校园网络在使用过程中的安全隐患。 2.12.1 校园网安全存在的缺陷校园网安全存在的缺陷 2.1.1 网络自身的安全缺陷 网络是一个开放的环境,tcp/ip是一个通用的协议,即通过ip地址作为网络 节点的唯一标识,基于ip地址进行多用户的认证和授权,并根据ip包中源ip地址 判断数据的真实和安全性,但该协议的最大缺点就是缺乏对ip地址的保护,缺乏 对源ip地址真实性的认证机制,这就是tcp/ip协议不安全的根本所在。通过 tcp/ip协议缺陷进行的常见攻击有:源地址欺骗、ip欺骗、源路由选择欺骗、路 由选择信息协议攻击、syn攻击等等。 2.1.2 网络结构、配置、物理设备不安全 最初的互联网只是用于少数可信的用户群体,因此设计时没有充分考虑安全 威胁,互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。并且 网络使用中由于所连接的计算机硬件多,一些厂商可能将未经严格测试的产品推 向市场,留下大量安全隐患。同时,由于操作人员技术水平有限,所以在网络系统 维护阶段会产生某些安全漏洞,尽管某些系统提供了一些安全机制,但由于种种 原因使这些安全机制没有发挥其作用。 2.1.3 内部用户的安全威胁 系统内部人员存心攻击、恶作剧或无心之失等原因对网络进行破坏或攻击 的行为,将会给网络信息系统带来更加难以预料的重大损失。u盘、移动硬盘等 移动介质交叉使用和在联接互联网的电脑上使用,造成病毒交叉感染等等,都会 给校园网络带来较大的安全威胁。特别是近年来利用arp协议漏洞进行窃听、流 量分析、dns劫持、资源非授权使用、植入木马病毒不断增加,严重影响了网络 安全。 2.1.4 软件的漏洞 一般认为,软件中的漏洞和软件的规模成正比,软件越复杂其漏洞也就越多。 第 8 页 在网络系统运行过程中,由于操作系统自身不够完善,针对系统漏洞本身的攻击 较多,且影响也较严重。目前如办公、下载、视频播放、聊天等软件的流行,让 使用率较高的程序也成为被攻击的目标。 2.1.5 病毒的传播 网络的发展使资源的共享更加方便，移动设备使资源利用显著提高,但却带 来病毒泛滥、网络性能急剧下降,许多重要的数据因此受到破坏或丢失,也就是 说,网络在提供方便的同时，也成为了病毒传播最为便捷的途径。例如,“红色 代码” 、 “尼姆达” 、 “冲击波” 、 “震荡波” 、 “欢乐时光” 、 “熊猫烧香”的爆发无 不使成千上万的用户受到影响。几年病毒的黑客化,使得病毒的感染和传播更加 快速化、多样化,因而网络病毒的防范任务越来越严峻。 2.1.6 各种非法入侵和攻击 由于校园网接入点较多,拥有众多的公共资源,并且使用者安全意识淡薄,安 全防护比较薄弱,使得校园网成为易受攻击的目标。非法入侵者有目的的破坏信 息的有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。比如:漏 洞、薄弱点扫描,口令破解;非授权访问或在非授权和不能监测的方式下对数据 进行修改;通过网络传播病毒或恶意脚本,干扰用户正常使用或者占用过多的系 统资源导致授权的用户不能获得应有的访问或操作被延迟产生了拒绝服务等。 2.22.2 校园网安全管理和维护的措施与建议校园网安全管理和维护的措施与建议 通过以上安全缺陷分析,校园网络安全的形式依然非常严峻。制定整体的安 全部署解决安全隐患和漏洞,是校园网安全、健康运行的保障。 2.2.1 配置高性能的防火墙产品 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。一般 来说,防火墙设置在可信赖的内部网络和不可信赖的外部网络之间。防火墙相当 于分析器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输 层运行,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。所以对 防火墙作好安全设置,设定恰当的访问控制策略,保障网络资源不被非法使用和 访问。 2.2.2 网络设计、使用更合理化 在网络设计之初,需要理解终端设备安全事件对网络的影响,确定需要采取 的安全措施,通过已知身份验证的设备访问网络,防范未经授权的接触,让入侵者 难以进入。这样网络才能提供可预测、可衡量、有保证的安全服务。 2.2.3 软件漏洞修复 在校园网络系统运行过程中,一方面对用户进行分类,划分不同的用户等级, 第 9 页 规定不同的用户权限;另一方面对资源进行区分,划分不同的共享级别,例如:只 读、安全控制、备份等等。同时,给不同的用户分配不同的帐户、密码,规定密 码的有效期,对其进行动态的分配和修改,保证密码的有效性;配合防火墙使用的 情况下,对一些ip地址进行过滤,以防止恶意破坏者入侵;建立补丁更新服务器, 部署全局更新机制,实时、高效更新软件漏洞。 2.2.4 防杀毒软件系统 在互联网技术飞速发展的今天,病毒以每年两千种新病毒的速度递增。在校 园网中使用带防火墙的企业版杀毒软件,就能对整个校园网络的起到安全防护的 作用,使计算机免受病毒入侵。 2.2.5 配备入侵检测系统(ids)并建立蜜罐陷阱系统 入侵检测就是对入侵行为的检测,通过收集和分析计算机网络或计算机系统 中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击 的迹象,而蜜罐的目的在于吸引攻击者、然后记录下一举一动的计算机系统,攻 击者入侵后,可以随时了解其针对服务器发出的最新的攻击和漏洞,这样系统就 可以及时、有针对性的防范攻击和修复漏洞。 2.2.6 系统安全风险评估 互联网的不安全因素无时无刻的威胁着网络安全,只有在网络系统所面临的 风险进行了有效评估的基础上,才能掌握网络安全中存在的漏洞和威胁,从而采 取有效措施控制网络风险。风险评估过程是一个动态循环的,因此必须进行周期 性、长期的评估。 2.2.7 灾难恢复计划 1996年报道的网络攻击方式只有400种,1998年达到4000种。 cert/cc公布 的漏洞数据为,2000年1090个,2002年已经增加至4129个。可以想象,对管理员来 说要跟上补丁的步伐是很困难的。而且,入侵者往往能够在软件厂商修补这些漏 洞之前首先发现这些漏洞。尤其是缓冲区溢出类型的漏洞,其危害性非常大而又 无处不在,是计算机安全的最大的威胁。我们无论怎么想办法都不可能防止灾难 的发生,但为了使灾难发生造成的损失减到最小,就应该在灾难发生之前建立意 外事件计划,记录各种灾难发生所产生的影响,并为此作出相应的应对措施。 2.2.8 加强管理 随着网络技术的迅速发展、应用领域的广泛性以及用户对网络的了解程度 加深,恶意破坏者或者非法入侵者对网络安全的影响会越来越大,这就使得网络 安全管理工作任务更加艰巨而重要。因而,在网络安全管理工作中必须做到及时 进行漏洞的修补和日志的查看,保证网络的稳定性。另外,高校也应该颁布网络 行为的相关规范和处罚条例,这样才能更有效的控制和减少来自内部网络的安全 第 10 页 隐患。 2.32.3 校园网的校园网的安全防范和管理安全防范和管理 网络技术的普及,使人们对网络的依赖程度加大,对网络的破坏造成的损失 和混乱会比以往任何时候都大。这也就使得高校需要对网络安全做更高的要求, 也使得网络安全的地位将越来越重要,网络安全必然会随着网络应用的发展而不 断发展。 随着国家网络信息化建设的飞速发展，有越来越多的学校建立起自己的 校园网络进行教学和管理，同时，通过 internet 的远程教育网络，教育不 再受国家、地区、学校、学科的限制，学生能够充分享受教育的多面性、 多样性，提高学生学习的趣味性、选择性。但与此同时 随着国家网络信息化建设的飞速发展，有越来越多的学校建立起自己的校 园网络进行教学和管理，同时，通过 internet 的远程教育网络，教育不再 受国家、地区、学校、学科的限制，学生能够充分享受教育的多面性、多 样性，提高学生学习的趣味性、选择性。但与此同时，愈演愈烈的黑客攻 击事件以及非法信息的不断蔓延、网络病毒的爆发、邮件蠕虫的扩散，也 给网络蒙上了阴影。在高速发展的校园网及远程教育网络系统中也同样存 在着威胁网络安全的诸多因素。 一般来讲，重庆信息技术职业学院校园网在安全方面的隐患和威胁虽 然也主要来自于病毒和黑客入侵，但其要防护的重点则有着特定的需求。 对于校园网而言，需要加强安全防范和管理的体现在三个方面： .防范病毒入侵 目前，网络中存在的病毒已经不计其数，并且日有更新。而随着红色 代码、nimda、sql slammer 等病毒的一再出现，病毒已经成为一种集成了 蠕虫、病毒和黑客工具的大威胁，同时其利用邮件这一应用最广泛的手段， 随时准备毁坏数据、致瘫网络。 .监控网络流量 internet 的开放性使得网络信息错综复杂，学生可以轻而易举地访问 和浏览各类站点，包括色情、暴力及游戏等不良站点。各种非法、有害的 信息：色情的、暴力的，甚至邪教的歪理邪说等，都会通过 internet 肆无 忌惮地涌入校园，使中小学生这一未成年特殊群体极易受到上述信息的不 良诱导，在其幼小的心灵深处埋下灰色烙印。 .保护关键资源 教学资料、考试试题、学生档案、招生信息等重要数据是校园网中最 宝贵的关键资源，也是非法入侵者的攻击对象。2002 年一位教师为发泄自 身不满，侵入了学校服务器，修改并毁坏了许多学生成绩档案，给学校和 教育部门造成了巨大的损失。同时，一旦有病毒爆发，这些数据也将面临 毁坏或丢失的威胁。 通过以上对校园网安全问题的分析，冠群金辰认为虽然校园网络中各 第 11 页 个环节都存在着安全隐患，但要做到全面防护也是有章可循的，整体而言， 应该从网关、网络以及主机三个层面进行立体的安全防护。 网关防护，御敌门外事半功倍。网关，就像学校的大门一样，是校园 网络联通到 internet 的出入口，同时，也是大部分病毒和入侵行为的必经 之地。所以把好这安全第一关，可以极大地减轻校园网内部的安全防范压 力，起到事半功倍的作用1。 第第3 3章章 重庆信息技术职业学院校园网安全隐患解决方案与重庆信息技术职业学院校园网安全隐患解决方案与 实现实现 3.13.1 防火墙的选择与设计防火墙的选择与设计 防火墙是网络中重要的第一防线，越来越多的人认识到安装防火墙的重要 性，因此我们对防火墙的性能和管理特点加以评测。有7个厂家参加了我们的评 测，它们是axent、check point、cisco、cyber guard、netguard、netscreen和secure computing。重庆信息技术职业学院防 火墙网络拓扑图如图3.1。 图3.1 重庆信息技术职业学院防火墙网络拓扑图 第 12 页 从防御功能、应用层高级代理功能、支持网络地址转换、认证支持、协议 支持、加密支持、lan接口等几方面进行对比。其中，cisco的pix性能接近线速， 比较符合重庆信息技术职业学院校园网网络安全的应用。 3.1.1cisco pix525防火墙 cisco pix525防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结 构上讲，简单地说是一种pc式的电脑主机加上闪存（flash）和防火墙操作系统。 它的硬件跟工控机差不多，都是属于能适合24小时工作的，外观造型也是相类 似。闪存基本上跟路由器一样，都是那种eeprom，操作系统跟cisco ios相似, 都是命令行（command）式， cisco firewall pix525，是一种机架式标准（即 能安装在标准的机柜里），有2u的高度，正面看跟cisco路由器一样，只有一些 指示灯，从背板看，有两个以太口（rj-45网卡）,一个配置口（console）,2个 usb,一个15针的failover口，还有三个pci扩展口。 3.1.2 cisco pix525防火墙的安装和配置 (1)将pix安装放至机架，经检测电源系统后接上电源，并加电主机。 (2)建立用户和修改密码 用配置线从电脑的 com2 连到 pix525 的 console 口，进入 pix 操作系统采 用 windows 系统里的“超级终端”，通讯参数设置为默认。初始使用有一个初 始化过程，主要设置：date(日期)、time(时间)、hostname(主机名称)、 inside ip address(内部网卡 ip 地址)、domain(主域)等，如果以上设置正确， 就能保存以上设置，也就建立了一个初始化设置了。 进入 pix525 采用超级用 户(enable),默然密码为空，修改密码用 passwd 命令5。 (3)激活以太端口 激活以太端口必须用 enable 进入，然后 configure 模式 pix525enable password: pix525#config t pix525(config)#interface ethernet0 auto pix525(config)#interface ethernet1 auto 在默然情况下 ethernet0 是属外部网卡 outside, ethernet1 是属内部网卡 inside。 inside 在初始化配置成功的情况下已经被激活生效了，但是 outside 必须命令配置激活。 (4)命名端口与安全级别 采用命令 nameif pix525(config)#nameif ethernet0 outside security0 第 13 页 pix525(config)#nameif ethernet0 outside security100 security0 是外部端口 outside 的安全级别（100 安全级别最高） security100是内部端口inside的安全级别,如果中间还有以太口，则 security10，security20等等命名，多个网卡组成多个网络，一般情况下增加 一个以太端口作为dmz(demilitarized zones非武装区域) 2。 (5)配置以太端口ip地址 采用命令为：ip address 内部网络为： 外部网络为： pix525(config)#ip address inside pix525(config)#ip address outside (6)配置远程访问（telnet） pix的以太端口是不允许telnet的，这一点与路由器有区别。inside端口可 以做telnet就能用了,但outside端口还跟一些安全配置有关。 pix525(config)#telnet inside pix525(config)#telnet outside 测试 telnet 在开始-运行 telnet pix passwd： 输入密码：cisco (7)访问列表（access-list） 有permit和deny两个功能，网络协议一般有ip、tcp、udp、icmp等等，只 允许访问主机:54的www,端口为：80 pix525(config)#access-list 100 permit ip any host 54 eq www pix525(config)#access-list 100 deny ip any any pix525(config)#access-group 100 in interface outside (8)地址转换（nat）和端口转换（pat） 首先必须定义 ip pool，提供给内部 ip 地址转换的地址段，接着定义内部 网段。 pix525(config)#global (outside) 1 00-00 netmask pix525(config)#nat (outside) 1 第 14 页 如果是内部全部地址都可以转换出去则： pix525(config)#nat (outside) 1 外部地址是很有限的，有些主机必须单独占用一个ip地址，必须解决的是 公用一个外部ip(01),则必须多配置一条命令，这种称为（pat）， 这样就能解决更多用户同时共享一个ip,有点像代理服务器一样的功能。配置如 下： pix525(config)#global (outside) 1 00-00 netmask pix525(config)#global (outside) 1 01 netmask pix525(config)#nat (outside) 1 (9)dhcp server 在内部网络，为了维护的集中管理和充分利用有限ip地址，都会启用动态 主机分配ip地址服务器，下面简单配置。 地址段为00.200 dns: 主 8 备 7 主域名称： dhcp client 通过 pix firewall pix525(config)#ip address dhcp dhcp server 配置： pix525(config)#dhcpd address 00-00 inside pix525(config)#dhcp dns 8 7 pix525(config)#dhcp domain (10)静态端口重定向 pix525 增加了端口重定向的功能，允许外部用户通过一个特殊的 ip 地址 端口通过 firewall pix525 传输到内部指定的内部服务器。这种功能也就是可 以发布内部 www、ftp、mail 等服务器了，这种方式并不是直接连接，而是通过 端口重定向，使得内部服务器很安全1。 命令格式： static (internal_if_name,external_if_name)global_ip|interface local_ip netmask maskmax_consmax_consemb_limitnorandomseq static 第 15 页 (internal_if_name,external_if_name)tcp|udpglobal_ip|interfa ce local_ip netmask maskmax_consmax_consemb_limitnorandomseq 外部用户直接访问地址 9 telnet 端口，通过 pix 重定向到内部主机 9 的 telnet 端口（23）。 pix525(config)#static (inside,outside) tcp 9 telnet 9 telnet netmask 外部用户直接访问地址 9 ftp，通过 pix 重定向到内部 的 ftp server。 pix525(config)#static (inside,outside) tcp 9 ftp ftp netmask 外部用户直接访问地址 08 www(80 端口)，通过 pix 重定向到内部 192.168.123 的主机的 www(80 端口)。 pix525(config)#static (inside,outside) tcp 08 www www netmask 55 0 0 外部用户直接访问地址 01 http(8080 端口)，通过 pix 重定向到内部 的主机的 www(即 80 端 口)。 pix525(config)#static (inside,outside) tcp 08 8080 www netmask 外部用户直接访问地址 smtp(25 端口)，通过 pix 重定向到内部 的邮件主机的 smtp(即 25 端口) pix525(config)#static (inside,outside) tcp 08 smtp smtp netmask (11)显示与保存结果 采用命令 show config 保存采用 write memory2 3.23.2 校园网身份校园网身份认证系统认证系统的选择与设计的选择与设计 在网站建设的过程中，多个应用系统一般是在不同的时期开发完成的。各 应用系统由于功能侧重、设计方法和开发技术有所不同，也就形成了各自独立 第 16 页 的用户库和用户认证体系。随着网站的发展，会出现这样的用户群体：以其中 的一个用户为例，他（她）使用网站的多个应用系统，但在每个应用系统中有 独立的账号，没有一个整体上的网站用户账号的概念，进入每一个应用系统前 都需要以该应用系统的账号来登录。这带给用户不方便的使用感受，用户会想： 既然我使用的是同一个网站上的应用，为什么不能在一次在网站上登录之后不 必再经过应用系统认证直接进入应用系统呢？用户的要求我们称之为 “单点登 录“。 1分析 在多个拥有各自独立的用户体系的应用系统间实现单点登录，我们要考虑以下 的问题： 单点登录系统的实现在各应用系统都采用 b/s 模式这一前提下进行。 需要在各应用系统间统一用户认证标志，用户登录后可以得到用户令牌， 各应用系统认可统一的用户令牌。 用户令牌应当是安全加密的，并且要限定时效期。 由于每个应用系统都有自己的用户库，一个用户可能在不同的应用系统 中使用不同的账号，因此每个要使用多个应用系统的用户要设置一个统一的 用户账号并以此账号进行单点登录，该账号与该用户在各应用系统中的一个 账号形成映射关系。 各应用系统可能属于不同的域，因此要实现跨域的单点登录。 已经上线运行的应用系统需要进行改造来支持单点登录，正在开发的应 用系统则可以在开发阶段增加对单点登录的支持，但应用系统之间应该是松 耦合。 由于各应用系统往往都已经处于稳定运行期，单点登录系统的实现应该 对各应用系统的登录认证体系冲击最小，各应用系统原有的登录流程依然可 用。 一些应用服务器平台虽然提供对单点登录的支持，但要求应用系统用户 认证的设计符合其规范，这对已经处于运行期的应用系统来说难以实现2。 2设计 系统的整体设计结构如图3.2。 第 17 页 图 3.2 3. 单点登陆的设计流程 1.登入流程 单点登录分为登入和登出两个部分。登入的流程如下： （1）.通过 url，对子系统发起访问请求； （2）.子系统根据用户传入的 url，判断 url 中是否存在 state 参数； （3）.如果存在 state 状态值，转到4；不存在 state 参数，说明用户第一 次登录本系统，跳转到 sso 服务器对用户进行验证，并将当前页面 url 作为参 数传入 sso 系统； sso 服务器根据传进来的 url， 判断 url 中是否存在用户名和密码参数， 如果存在，则验证用户名和密码的正确性，并根据验证的结果设置 state 状态 值（合法为4，非法为1），返回子系统，转到1； 如果不存在用户名和密码参数，sso 服务器读取客户端本地的 cookie 信息， 如果不存在 cookie，说明是用户第一次系统，设置 state 的值为1，返回子系 统，转到1；如果客户端存在 cookie，读取 cookie，判断该用户是否合法登录 用户，并根据结果设置 state 状态值（有使用权限为2，没有使用权限为3）， 返回子系统，转到1； 4. 根据 state 状态值进行相应的跳转， 如果 state 为2或者4， 跳转至子 系统相应的服务页面；如果状态值为1或者3，跳转到登录页面让用户重新登录。 单点登入的流程图如图3.3所示。 第 18 页 图3.3 单点登入流程图 为了确保系统的安全，cookie 中只记录用户名和用户的 ip 地址，并且对 这些信息进行加密。sso 服务器在用户第一次登陆时，将登陆用户的用户名和 其当前的 ip 地址写入 cookie，当用户再次请求其它系统的服务时，sso 服务器 验证 cookie 信息，只需判断 cookie 中的用户名和 ip 是否与当前请求服务的用 户的用户名和 ip 地址信息一致，如果一致，说明该用户已经登陆，允许其使用 请求的服务；如果不一致或者该用户的 cookie 不存在，说明该用户没有进行合 法登录，需要其重新进行登陆。因为我们加入了 ip 信息，从而杜绝了用户的 cookie 被拷贝直其它机器使用的情况。而且，通过 sso 服务器对用户进行 cookie 操作，解决了不同站点之间跨域的问题。 2.登出流程 当用户使用系统完毕，需要登出时，需要已登录用户在 cookie 中的信息被 销毁，放置后来的用户利用前面用户的信息进行登陆。登出的流程如下： （1）.客户端发出登出请求； 第 19 页 （2）.子系统的登出系统跳转到 sso 的登出页面； （3）.sso 对客户端的 cookie 进行删除； （4）.删除客户端 cookie 后，跳转到子系统的登出页面； （5）.退出所有的系统。 3.单点登录系统的安全性 对于单点登录系统，安全性是一个必须考虑的问题。本系统采取了良好的 机制，确保子系统和 sso 系统之间通信的安全性。对于 sso 服务器和子系统传 递的信息，通过非对称加密和数字签名的方式保证数据的真实性。对应客户端 的 cookie，采用内存 cookie，加入用户的 ip 等信息并进行加密，确保 cookie 的安全性。 4.cookie 的安全性保证 从上面的登入过程可以看出，sso 服务器在验证用户是否已经登陆时，是 通过读取客户端 cookie 信息来进行判定。为了确保 cookie 的安全性，我们在 cookie 中记录的信息只有用户的用户名和 ip 地址而不对密码进行记录，并且 用户名和 ip 地址都是经过加密。同时，我们采用内存 cookie 的形式，cookie 只是保存在内存中，用户关闭浏览器后该 cookie 便失效，避免非法用户盗窃合 法用户的 cookie。 5.服务器与站点之间信息传输的安全保证 从上面的登录流程可以看出， 子系统和 sso 服务器之间需要 url 的跳转来 传递状态信息或者用户名以及口令，如何确保这些信息的安全性也是系统需要 着重考虑的问题。我们让子系统和服务器之间共享 rsa 算法的一对密钥，采用 非对称加密和数字签名的方法确保这些信息的保密性以及不被篡改。 子系统与 ss