成都信息工程学院校园网安全方案设计.doc

平 时报 告答 辩总 分 成成 都都 信信 息息 工工 程程 学学 院院 课课 程程 设设 计计 题目：题目：校园网的安全整体解决方案设计校园网的安全整体解决方案设计 作者姓名：作者姓名：雷雷贤银贤银 班班 级级： ：信安信安 06 级级 3 班班 学学 号：号：2006122110 指指导导教教师师： ：林宏林宏刚刚 日日 期：期： 年年 月月 日日 某小型企业人事管理系统的设计与实现某小型企业人事管理系统的设计与实现 摘摘 要要 随着计算机网络技术的飞速发展，网络技术越来越受到人们的重视，它已 逐渐渗入我们生活各个层面。现代企业具有一个现代化的人事管理系统,是企业 管理的科学化、正规化的重要条件，也在企业的高效运行中扮演了重要的角色。 现代人事管理系统应是一种基于开放式网络环境，能够保证数据输入、输出的 准确性、快捷性并且方便用户使用的网络应用系统。 本设计从现代企业管理中的人事管理现状出发，针对小型企业目前人事管 理的工作程序，开发出来的一个操作简单、方便实用的基于 B/S 结构的人事管 理系统。本文首先介绍人事管理系统的开发背景，比较国内外的研究现状；接 着介绍了 ASP 编程技术和 SQL Server 2000 等相关理论知识，并对现代小型企 业人事管理系统进行了较详细的需求分析；然后重点讨论该系统的设计与实现， 包括数据库设计和系统功能设计；最后，通过测试与分析，说明该系统运行稳 定、可靠，具有一定的实用价值。 关键词关键词：小型企业；人事管理系统；B/S 结构；数据库；ASP 目目 录录 1 引言1 1.1 课题背景 .1 1.2 国内外现状 .1 1.3 本课题研究的迫切性 .1 1.4 本课题的研究作用 .1 1.5 本文的主要工作 .1 2 人事管理系统需求分析及开发工具2 2.1 系统目标 .2 2.2 系统应具备的基本功能 .3 2.3 开发环境及工具.3 2.3.1 运行环境.3 2.3.2 ASP 技术介绍.3 2.3.3 SQL 语句介绍5 2.3.4 VBScript 介绍.5 3系统总体结构设计6 3.1 基本简介 .6 3.2 系统功能模块设计 .6 3.2.1 数据库设计.6 3.2.2 功能模块介绍.12 4 系统流程与实现14 4.1 系统设计流程.14 4.2 页面详细介绍.14 5系统测试与分析25 5.1 测试 .25 5.2 调试过程中遇到的主要问题 .27 结 论28 参考文献28 第 1 页 共 18 页 1 引言引言 1.1 课题背景课题背景 成都信息工程学院源于 1951 年中国人民解放军西南军区空军司令部在成都 建立的气象干部训练大队，1954 年改制为中央气象局成都气象干部学校，1956 年改建为全日制中等专业学校，更名为中央气象局成都气象学校。1978 年成都 气象学校升格为全日制普通本科高等学校，定名为成都气象学院。1981 年学院 成为首批学士学位授予权单位。2000 年学院划转到四川省，实行中央与地方共 建、以地方管理为主的管理体制，并更名为成都信息工程学院。2001 年原隶属 国家统计局的四川统计学校整体并入。2003 年学院成为硕士学位授予权单位。 2007 年获得教育部本科教学工作水平评估优秀。 学校举办本科教育30年来，积极适应我国气象事业发展和地方经济建设与 社会发展的需要，不断深化教育教学改革，提高人才培养质量和办学水平，已 经建设成为一所特色鲜明、优势明显、以工为主的多学科应用型高等学校。 成都信息工程学院校园网络(CUITNET)始建于1997年，经过10年来的建设 和升级改造，已经建成覆盖航空港、人南、龙泉三个校区的大规模、高速、先 进的计算机网络。为了加强校园网的建设、管理、运行和安全，学院于2003年 组建了由主管教学副院长直接领导的网络中心，专职负责全院校园网的运行管 理和 IT 服务。网络中心坚持“全天候 服务教学 急师生所需 响应快 保障 有力 让师生满意”的服务理念，为学院的本科教学提供全天候、高质量的服务。 1.2 国内外现状国内外现状 校园网网络安全现状分析校园网网络安全现状分析 经过多年的信息化建设之后,国内大多数高校基本上都建成了自己的校园网。但随着其 应用的深入，校园网络的安全问题也逐渐突出，直接影响着学校的教学、管理、科研活动。 因此，在全面了解校园网的安全现状基础上，合理构建安全体系结构，改善网络应用环境 的工作迫在眉睫。当前，校园网网络普遍存在的安全隐患有以下几种。 校园网安全管理有缺陷 校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度高。随着校 园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很 容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能 造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。 校园网内部的攻击 由于内部用户对网络的结构和应用模式都比较了解，很多学生，尤其是理工科的男生 对网络新技术充满好奇和实践欲望，他们经常有意无意的攻击校园网系统，干扰校园网的 安全运行。校园网与一般企业网不同的是,不仅要注意防止外部网络对校园网的攻击,还要注 意防范校园网内部的黑客攻击。 Internet 的威胁 校园网与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇攻击的风险。各 种病毒就是通过 Internet 传播的，并导致网络性能下降。而且黑客也经常利用网络攻击校 第 2 页 共 18 页 园网的服务器，以窃取一些重要信息。 1.3 本课题研究的本课题研究的迫切性迫切性 进年来随着校园网的普及，校园网在日常教学工作中的地位日益显现。一旦校园网瘫 痪，学校教学工作无法正常进行，学生无法正常提交作业，无法正常下载教师课件，无法 上网查阅资料。一旦校园网遭到入侵，可能导致大量学生隐私资料被盗甚至非法利用，可 能导致学校重要数据库的毁坏，可能导致财务系统被篡改等。 近年来 ddos 攻击流行，甚至在很多网站上出现了明码标价的肉鸡，然而学校是用户 群最集中的地方，多数学校有高性能中型计算机。然而大多数学生安全意识并不高，系统 根本就没有做过安全配置。因此在校园网内找肉鸡一般可以达到事半功倍的效果。如果校 园网被黑客入侵并利用所造成的社会经济损失和学校名誉的损失是难以估量的。 因此 急需要有一套安全方案，加强对校园网的保护。 1.4 本课题的研究本课题的研究作用作用 主要是为校园网提出一些常见的安全隐患及解决方案，以便在校园网部署 或者改造时尽量多考虑安全因素，使校园网更好、更安全为师生服务。 1.5 本文的主要工作本文的主要工作 国内校园网安全现状的分析 校园网安全需求分析 校园网的拓扑方案设计 校园网的安全解决方案 1校园网整体安全需求分析校园网整体安全需求分析 系统集成需求系统集成需求 在总体需求确定的基础上，提出的系统集成需求如下。 1、采用千兆以太网技术 千兆以太网技术已经成熟，千兆主干、百兆交换到桌面已经成为校园网技术的主流，因此采用 1000M 以太网光纤作为校园网的主干，100M 交换到各教研组、科室、学生机房的计算机，学生寝室以及各学院 实验室。 2、采用光纤和双绞线布线 千兆以太网使用光纤和双绞线作为传输介质。采用光纤到各大楼以及学生宿舍。大楼到各教室、实验室、 办公室、寝室用双绞线。 3、网络交换设备 每栋学生宿舍一台计入交换机 第 3 页 共 18 页 图书馆一台接入交换机 每栋实验大楼一台接入交换机 科教楼一台接入交换机 中心机房一台核心三层交换机（建议用锐捷 s86 系列 10 万兆 ipv6 多业务核心交换机） 每间教学实验室由于 pc 较多，可用一台交换机 每个学生寝室用五口交换机接入 在校园网出口处用一台路由器 4、服务器 服务器是校园网的数据核心，根据学校的具体情况，需要服务器具有以下几种功能。 （1）VPN 服务器：为保证校园网内网安全，所有教师在校外通过 vpn 接入方式浏览共享校园网资源。 （2）数据库服务器：存储和管理学生档案、学生成绩、教务管理档案、文书档案、教务档案、财产 档案、会计档案、团委档案等。 （3）Web 服务器：能够在校园网上发布学校的主页；所有终端机能顺利上传主页；申请域名后对外 发布各种信息 （4）课件服务器：此服务器须有磁盘阵列，以存储大量的图文声像教学信息。 （5）教学信息存储管理服务器：我们要求用流技术在校园网上实时、流畅的传播多媒体图文信息； 实现视频广播、视频点播功能。 （6）电子邮件服务器：提供局域网内部和外部邮件服务。 5、防火墙 为了保证校园网局域网的安全，保证学校学生数据信息以及财务系统的安全，因此需要防火墙。防火 墙还可以监控学生上网流量，可以通过分析制定出合理的规则，使校园网在学习办公方面发挥更大的作用。 同时，使用防火墙在各校区之间搭建 vpn，使得各校区之间实现零距离通信。 安全需求分析 1、学校网站安全 学校网站，作为一个学校的官方网站必须能够 7*24 小时为学校提供安全可信的服务，但是一个 web 服务器可能存在以下安全风险： 1)web 服务器本身存在安全漏洞 2）web 服务器配置不当（如弱口令等） ，使服务器容易遭到入侵 3）web 服务器有可能遭到 DoS、DDoS 等攻击 2、校园网物理线路安全 物理层安全是整个网络系统安全的前提，包括环境安全、设备安全和介质安全。物理安全可能导 致整个网络平台或者内部数据的损毁，主要表现在以下几个方面： 第 4 页 共 18 页 1）地震、水灾、火灾等引起物理链路损坏 2）设备或者物理线路被盗 3）物理线路被工程施工或者路面改造挖断 3、链路层安全分析 链路层的安全风险主要表现在三个方面：（1）局域网内部嗅探，可以通过工具获取在同一个广播域 内传送的所有数据，明文数据可以很容易通过工具解析还原，造成用户信息泄露； （2）ARP 攻击。由 于 ARP 协议本身的漏洞，局域网很难防止 arp 攻击。容易导致用户无法正常上网； （3）访问控制安全。 IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经 授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特 别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价 的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。 4、网络层安全分析 现在校园网系统大多是采用 TCP/IP，由于协议本身存并未对安全方面作过多考虑，使得整个网络层 存在以下安全风险。 （1）数据采用明文传输 数据采用明文传输可能导致 ftp、telnet、邮件账号密码等个人信息被截获，然而大多数人会把 信用卡、网银密码设置为和上述相同。如果这些信息被非法盗用者截获后果难以想象。 （2）ip 地址欺骗 校内有些资源是通过 ip 地址认证访问（如图书馆的某些资源） ，因此攻击者可能冒充某个合法 ip 地址 对未授权的资源进行访问。 （3）端口扫描 在 TCP/IP 网络中，所有的网络服务都通过一个端口向外提供服务，客户端在连接这些端口是， TCP/IP 在网络层和传输层都不对这些连接请求进行身份验证，而且在任何状态下都会返回应答数据报。 因此，攻击者很容易通过连接所有端口的结果获得目标主机上存在哪些服务，然后根据服务本身的漏洞进 行进一步的攻击。 5、应用层安全分析 1）邮件服务器有可能本身存在漏洞，或者配置不当，被非法入侵者利用 2）ftp 服务器，有肯被非法入侵者利用，或者被挂马后果难以预料 3）数据库服务器，各教学单位重要数据，学生重要数据信息（如成绩，基本信息等）都存放在数据 库服务器，如果数据库配置不当，如采用默认用户名空密码等，都可能造成数据库服务器被非法入侵者入 侵，修改或者盗取重要数据 网络拓扑图 第 5 页 共 18 页 图图 1 安全解决方案详细设计 1、web 服务器的安全 1）把 web 服务器放在防火墙的 DMZ 区，因为 web 服务器允许外部访问，同时也 需要允许校园网内部访问。受保护的级别较低，需要对外开放某些服务和应用。同时又和 校园内网隔离开来，防止 web 服务器被入侵，造成整个校园内网暴露在非法入侵者面前。 2）web 服务器口令安全解决方案 第 6 页 共 18 页 要求密码长度不小于 12 位，且必须是“大写字母+小写字母+特殊字符+数字”的组 合，密码要求每 30 天必须更改一次，且不能和上次密码相同。在 web 服务器上关闭不必 要的服务和端口（如 telnet、3389 端口） ，强烈建议 web 服务器和其它服务器分开（如 ftp 服务器） 3）做好 web 服务器的安全备份 进行必要的网站备份，如条件允许可采用镜像服务器，即使一台 web 服务器受到攻 击或者硬件损坏，备份 web 服务器可以立刻接替当前 web 服务器对公众提供服务，从而保 证了 web 服务器可以连续对公众提供服务。做好备份工作同时可以保证硬盘损坏，或者网 站被非法入侵者篡改等造成 web 服务器上的内容无法恢复。所以除了采用镜像服务器备份 保证服务器可以连续对公众提供服务外，还应加强物理隔离备份，即将 web 服务器的内容 定期（根据学校实际情况可以一周备份一次或者一个月备份一次）备份到硬盘上，而且使 硬盘不在网络上（如备份硬盘备份完后，从物理上与网络隔离开来） ，从而保证了备份内容 不被篡改。当校园网站网页内容被大规模篡改时，可以找出 web 服务器漏洞并弥补后用备 份（非镜像备份）内容恢复，从而将损失降到最低。备份时间应尽量选择凌晨访问用户较 少时备份。 4）在 web 服务器上安装杀毒软件 在 web 服务器上安装杀毒软件，并保持每天自动更新病毒库、以及每天凌晨自动扫 描 web 服务器是否被病毒入侵或者被挂马。以防 web 服务器被入侵并被入侵者作为跳板发 起攻击。同时 web 服务器被病毒入侵而未及时检查出来后果是非常严重。所以及时检测及 查杀 web 服务器是否被病毒感染至关重要。 5）经常检查 web 服务器有关日志记录 在防火墙 DMZ 区安装入侵检测系统，可及时检查各个服务器是否被入侵，以及记录 各个服务器的日志，放在日志服务器。供安全审查，以及被入侵后的调查取证。 6）防止 web 服务器被 DoS 或者 DDoS 攻击 DoS 攻 击 (Denial of Service，简称 DOS)即拒绝服务攻击，是指攻击者通过消耗受 害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或 DNS 信息，使 被攻击目标不能正常工作。实施 DoS 攻击的工具易得易用，而且效果明显。 DDoS 攻击手段是在传统的 DoS 攻击基础之上产生的一类攻击方式。单一的 DoS 攻击一般是采用一对一方式的，当被攻击目标CPU 速度低、内存小或者网络带 宽小等等各项性能指标不高 ,它的效果是明显的。随着计算机与网络技术的发展，计算 机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得 DoS 攻击的困难程度加大了 这两种攻击都是通过消耗大量的带宽资源或者服务器资源，而导致服务器无法 处理正常的网络服务请求。对dos 攻击可采用发现之后在防火墙上立即禁止该ip 主 机对服务器的访问。对 ddos 攻击目前还没有很好的解决办法，可通过增加带宽资源， web 服务器配置，采用服务器集群等方式，让一般攻击者发动攻击时并不能见到明显 的效果，知难而退。可以购买一些专业的硬件防火墙可以防止上述两种攻击。也可以在 服务器上装 防范 DDOS 攻击的工具软件： 如 CC v2.0。 物理层线路安全解决方案 1）地震、水灾、火灾等引起物理链路损坏 重点应加强网络中心服务器机房的建设，网络中心服务器机房应达到一定等级的抗震标准，同时 第 7 页 共 18 页 机房机架布局等也应考虑抗震因素。为了防范水灾，应做好机房周围的排水工程，以及机房屋顶不应漏水 等。较好的做法是把机房建设在较高的地方或者楼层的高层。为防止水灾，应在机房内安装自动火灾报警 系统，能做到及时发现火灾，并及时灭火以便把损失降到最低。机房内应常被灭火装置，同时机房的布线 等也应经常检查，定期更换，以免线路老化造成短路引起火灾。除了在机房内安装火灾报警系统，还应对 机房的温度随时监控，当温度达到临界值时，及时向相关负责人员发出警报或者信息。便于人工查明机房 温度异常升高的原因，并及时排除隐患。 2）设备物理线路等安全解决方案 （1）物理线路安全 物理线路安全是整个校园网安全畅通的必要保证，应防止物理线路或者物理设备被 盗。因此学校应组织保安定期对校园网骨干线路的巡逻。还应对骨干物理线路铺设冗余 线路，以防一个节点出现故障整个网络瘫痪的情况发生。在链路层可启用STP 防止 环路,启用 MSTP 实现负载均衡。 （2）硬件设备的安全 应保证核心硬件设备能够提供 7*24小时无故障，安全服务。为此可对核心硬件 进行冗余备份。对各种服务器，采用镜像服务器备份的方式提供冗余，确保在一个服务 器硬件出现故障时，备份镜像服务器自动成为主服务器为公众提供服务。 此外，此网络方案中较为核心设备有核心三层交换机、防火墙、路由器等 防火墙的冗余备份 图2 两校区之间 VPN 示意图 由于本校航空港和龙泉校区间相隔几十公里，通过铺设专线连接两个校区，不但铺 设成本高昂而且维护成本也非常庞大。所以本解决方案中的两个校区之间的链接是通过 在两个校区之间的防火墙上搭建VPN，让两个校区间的师生在教学、办公、学习像访 问内网一样对校内各种资源提供快捷的访问。 第 8 页 共 18 页 图3 主动/主动冗余备份防火墙集的应用结构 由于两个校区之间的链接是采用在公网上通过两端的防火墙搭建vpn 进行通信。 所以防火墙可靠持续工作在两个校区之间的连通性起着至关重要的作用。我们可以采用 NSRP 集群技术来保证防火墙持续高效的为校园网提供服务。该安全解决方案中采用 双主动（A/A 模式） NSRP 集群技术优势主要体现于： 1、消除防火墙及前后端设备单点故障，提供网络高可靠性。即使在骨干网络中两 类核心设备同时出现故障，也能够保证业务安全可靠运行。 2、根据客户网络环境和业务可靠性需要，提供灵活多样的可靠组网方式。 NSRP 双机集群能够提供 1、Active-Passive 模式 Layer2/3多虚拟路由器多虚拟系统 和口型/交叉型组网方式； 2、Active-Active 模式 Layer2/3多虚拟路由器多虚拟系统和 口型/Fullmesh 交叉型组网方式。为用户提供灵活的组网选择。 3、NSRP 双机结构便于网络维护管理，通过将流量在双机间的灵活切换，在防火 墙软件升级、前后端网络结构优化改造及故障排查时，双机结构均能够保证业务的不间 断运行。 4、结合 Netscreen 虚拟系统和虚拟路由器技术，部署一对NSRP 集群防火墙， 可以为企业更多的应用提供灵活可靠的安全防护，减少企业防火墙部署数量和维护成本。 双主动模式（ A/A 模式）的优点 在两台设备都没有出现故障时，可以提供负载均衡，增加带宽。当其中一台设备出现问 题时，另一台设备仍然可以正常提供服务，从而达到了冗余备份的目的。 第 9 页 共 18 页 三层交换机、路由器的冗余备份 出口路由器采用 vrrp 备份 VRRP (Virtual Router Redundancy Protocol，虚拟路由冗余协议)设计采用主 备 模式，以保证当主路由设备发生故障时，备份路由设备可以在不影响内外数据通信的前提 下进行功能切换，且不需要再修改内部网络的参数。VRRP 组内多个路由设备都映射为一 个虚拟的路由设备。VRRP 保证同时有且只有一个路由设备在代表虚拟路由设备进行包的 发送，而主机则是把数据包发向该虚拟路由设备，这个转发数据包的路由设备被选择成为 主路由设备。如果这个主路由设备在某个时候由于某种原因而无法工作的话，则处于备份 状态的路由设备将被选择来代替原来的主路由设备。VRRP 使得局域网内的主机看上去只 使用了一个路由设备，并且即使在它当前所使用的首跳路由设备失败的情况下仍能够保持 路由的连通性。 图4 VRRP 高级应用 如图4，设置了两个虚拟路由设备。对于虚拟路由设备1，路由设备 A 使用以太网 口 Fa0/0 的 IP 地址 作为虚拟路由设备的 IP 地址，这样路由设备 A 就成为主路由设备，而路由设备 B 成为备份路由设备。对于虚拟路由设备2，路 由设备 B 使用以太网口 Fa0/0 的 IP 地址 作为虚拟路由设备的 IP 地 址，这样路由设备 B 就成为主路由设备，而路由设备 A 成为备份路由设备。在局 域网内，主机1 和主机2 使用虚拟路由设备1 的 IP 地址 作为默认网 关，主机3 和主机4 使用虚拟路由设备2 的 IP 地址 作为默认网关。 在 VRRP 这个应用中，路由设备 A 和路由设备 B 实现了路由冗余，并同时分担了 来自局域网的流量即实现了负载平衡。 （3）供电安全方案 由于学校处在郊区，不排除可能临时停电，因此学校中心机房应该有蓄电池组，可保 第 10 页 共 18 页 证在停电后的短时间供电，同时还应有发电机组设备。有自动检测装置能检测到中心机房 断电同时启动发电机组，以确保在停电后的长时间像中心机房供电，从而保证中心机房设 备及服务器无间断运行。在检测到外部供电恢复正常以后，应该能做到自动停止发电机组， 同时想蓄电池组充电。 3）防止物理线路被非有意损毁 在网络规划初期就应该做出网络物理详细布线图，并保留备案。并且应在布线初期就在线 路相关位置留下标示，以防止后续施工无意损毁。当校园施工或者改造时，涉及物理线路 相关地段，学校应向施工单位提供该地段的详细布线图纸，防止施工时伤及干线。 3、链路层安全解决方案 1）防止局域网内部嗅探解决方案 利用 IEEE 802.1Q Tunneling(隧道)功能，服务商可以用一个 VLAN(服务商 VLAN)来支持拥有多个 VLAN 的用户。用户自身的 VLAN 被保留起来，这样即使进入网络服务商的不同用户流的 VLAN 相同，也会在 服务商的内部网络中被分开传输。隧道通过双 Tag 来扩展 VLAN 的范围，一个支持 IEEE 802.1Q Tunneling(隧道)的端口称为隧道端口(Tunnel Port)。配置隧道的时候，可以给隧道端口赋一个 VLAN 作为 隧道的专用 VLAN。这样，每个用户仅需要用一个服务商的 VLAN，用户流在服务商网络中传输时被服务 商 VLAN 包装成双 Tag 帧，以服务商 VLAN 在网络中传输。 图 5 802.1Q Tunneling 要进行局域网内部的二层嗅探扫描，必须是所有被扫描设备在同一个广播域。可采用划分 vlan 的方法隔 离广播域，传统 802.1q 划分 vlan 由于协议中 VID 为 12 位，所以支持 4096 个 vlan。但是如此庞大数量的 vlan 难于管理。我们可以采用 802.1Q tunneling(隧道)的解决方案，对于学生宿舍大楼所在交换机，为每个 接入到学生宿舍的端口划分一个 vlan，可按房间顺序排序，便于管理。同时不同大楼的学生宿舍可以有相 同的 vlan id，这样每栋大楼按相同规律编号，管理方便。如果局域网内有学生想通过二层扫描获取内网传 输数据，那么他只能获取他自己所在 vlan 的信息（也就是他所在寝室） ，危害已大大减小。不至于整个局 域网都在他的掌控之中。 整个宿舍区又可以划分到一个 vlan。 对于其它区域（如教学区，办公区） ，可采用同样的方式处理。 2）防 ARP 欺骗安全解决方案 第一种 ARP 欺骗的原理是 截获网关数据。它通知路由器一系列错误的内网 MAC 地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由 器中，结果路由器的所有数据只能发送给错误的MAC 地址，造成正常 PC 无法收到 第 11 页 共 18 页 信息。第二种 ARP 欺骗的原理是 伪造网关。它的原理是建立假网关，让被它欺骗 的 PC 向假网关发数据，而不是通过正常的路由器途径上网。在PC 看来，就是上不 了网了， “网络掉线了 ”。 对于这两种都可采用 MAC 绑定的方案解决。 仅在 PC 上绑定安全网关的 IP 和 MAC 地址或者做一个批处理文件来进行绑定，当病毒机器 伪造 IP/MAC，使错误的数据包充斥与网络中会造成大面积的掉线等情况。也可在802.1X 认 证时强制做 IP+MAC+端口的绑定；仅在路由器做 MAC 绑定，没有从根本上解决 ARP 防护,当 中 ARP 病毒的机器伪造网关使其他电脑将数据发到伪造的网关同样会造成掉线等相关问题； 利用一些辅助工具软件，比如一些防 ARP 病毒攻击软件。 3)访问控制安全解决方案 IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直 接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网 的设备进入网络。随着局域网技术的广泛应用，特别是在运营网络的出现，对网 络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的基 础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。 图 6 802.1X 解决方案 IEEE802.1x 标准认证体系由恳请者、认证者、认证服务器三个角色构成，在实 际应用中，三者分别对应为：工作站（Client） 、设备(network access server， NAS)、Radius-Server。 交换机接用户的端口为受控端口，接认证服务器的为非受控端口，非受控端口可以一直访 问网络 恳请者通过 802.1X 客户端，向认证者发起认证。受控端口通过认证后成为认证用户，可以 访问网络；若受控端口没有通过认证为非认证用户不能访问网络。 一般设备都提供了 AAA 认证 Authentication： 认证，用于判定用户是否可以获得访问权，限制非法用户 Authorization： 授权，授权用户可以使用哪些服务，控制合法用户的权限 Accounting： 计账，记录用户使用网络资源的情况，为收费提供依据 这样就加强了对网络的控制和安全。 4、网络层安全分析 1)网络传输安全解决方案 VPN(Virtual PrivateNetwork)虚拟专用网，是指利用公用电信网络为用户提供专用网的所有各种功能。 第 12 页 共 18 页 由于采用了“虚拟专用网”技术，即用户实际上并不存在一个独立专用的网络，用户既不需要建设或租 用专线，也不需要装备专用的设备，就能组成一个属于用户自己专用的电信网络。 虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络，通过网络内部的软件控 制就可以组建不同种类的虚拟专用网。例如：利用公用电话网可以构建“虚拟专用电话网”。 常用的 VPN 网络协议有： IPSec : IPsec(缩写 IP Security)是保护 IP 协议安全通信的标准，它主要对IP 协议分 组进行加密和认证。 IPsec 作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护 分组流的协议； (2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分： 加密分组流的封装安全载荷（ ESP）及较少使用的认证头（ AH） ，认证头提供了对分 组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE 协议是唯一已经 制定的密钥交换协议。 本方案中选择的防火墙就提供VPN 功能，方便在两校间的公网上搭建VPN 实现两 校间数据通信的保密 两校区间 vpn 连接示意图 拨号虚拟专用网 为方便学校教师及行政工作人员，在下班休息时间也可以访问学校的资源，采用拨号虚拟 专用网。给每个需要提供 vpn 服务的教师或行政工作人员提供相应的 VPN 账号和密码。教 师可在校外住所，通过公网连接上学校的 vpn 服务器，通过 vpn 服务器认证以后，vpn 服 务器会向公网的教师所在 PC 分配一个内网 IP，然后教师在校外就可以像在内网一样访问 学校的各种教学资源，和资料了。同时，教师和学校的 vpn 服务器间的传输数据是通过加 密传输的。公网非法窃听者即使截获传输数据也无关紧要。 第 13 页 共 18 页 拨号虚拟专用网示意图 对内网传输敏感信息的安全 ftp 服务器主要提供文件下载，其安全主要取决于网络管理人员的安全水平，无需做过多限制，可直接允 许内网用户匿名访问。尽量不提供 telnet 服务，而采用有安全保障的 ssh。对邮件尽量采用邮件客户端首 发邮件。即使提供 web 方式首发邮件也最好采取 https 协议，保障信息的安全。 源源 IP 欺骗的安全解决方案欺骗的安全解决方案 在内网启用 ip+mac 地址绑定机制，当学校 RADIUS 服务器检测到 ip 和 mac 不一致时将强制客户 pc 下线， 不为其提供接入服务。防止内网学生通过 ip 地址伪装越权访问校园网资源。 在防火墙处设置策略：当遇到公网来的数据包的 ip 地址是内网 ip 直接将其丢弃 当遇到内网的出口访问数据包源 ip 是外网 ip 直接丢弃 防止非法扫描的解决方案 非法攻击者要对内网某台主机或者服务器发起攻击，首先要对其进行扫描，为解决内网被扫描可在防火墙 上设置相关策略 如防止 ip 地址扫描 当一个源 IP 地址在规定的时间间隔 ( 缺省值为 5000 微秒) 内将