（计算机应用技术专业论文）某高校校园网络中的安全方案设计.pdf

摘要 摘要 随着i n t e m e t 的迅速普及和“教育要面向现代化、面向世界”指导思想的贯 彻实施，各高校相继建成或正在建设校园网。在校园网络及其信息系统中如何设 置自己的安全措施，使它安全、稳定高效的运转，发挥其应有的作用，成为各学 校越来越重视的问题。因此，本文结合自己实际工作设计校园网安全防护方案， 使校园网在教学、科研、管理及数字化校园建设中发挥重要作用。 本文系统地介绍了校园网的业务功能、常见安全问题，从而进一步总结出当 前校园网安全需求。综合分析校园网整体结构以及新校区骨干网的设计，优良的 拓扑结构是网络稳定、可靠运行的基础，因此采用分层结构设计方式，核心层组 成网络高速互连的主干，对网络互连是至关重要的，所以采用了万兆、千兆冗余 链路下连到汇聚层，核心层主要处理高速数据流，实现数据分组交换；汇聚层是 网络核心层与接入层的分界点，较大的业务流量，提供丰富而完善的路由协议和 支持v l a n ；接入层为用户提供在局部网段访问互连网络的能力，直接与桌面计 算机接入；新老校区对v l a n 进行了整体规划，采用v l a n 技术进行虚拟网络 划分，可以保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定 性。这种网络结构不仅提高了整个网络的可靠性、可用性，而且可以滤除网络主 干上不必要的流量，并为网络管理与运行维护提供良好的基础。 针对当前校园网的网络拓扑结构和安全需求进行了深入的研究与设计，将网 络安全体系结构进行划分：外部、内部和远程等几部分。外部防御主要是通过防 火墙来完成，防火墙是第一道安全屏障，位于校园网内部与因特网之间，主要保 护内部网络不遭受因特网用户的攻击。通过虚拟专用网( v p n ) 来保证远程访问 的安全性。网络内部安全主要是通过在网络中部署入侵检测系统( i d s ) 来监测 来自网络内部的各种攻击行为，另外网络防病毒系统保证在整个数字化校园网内 防止病毒的传播、感染和破坏。 根据实际情况在校园网中采用的各种安全措施，为校园网安全发展能够起到 一定的指导作用。 关键词校园网络；网络安全；防火墙；v p n ；入侵检测系统( i d s ) a b s t r a c t a b s t r a c t w i t ht h er a p i dp o p u l a r i z a t i o no fi n t e r a c ta n dt h e ”e d u c a t i o nm u s tb eo r i e n t e d t o w a r dm o d e r n i z a t i o n , t o w a r dt h ew o r l d ”i m p l e m e n t a t i o no ft h eg u i d i n gi d e o l o g y ，t h e u n i v e r s i t i e sh a v eb e e nb u i l to ra r eb u i l d i n gac a m p u sn e t w o r k t h ec a m p u sn e t w o r k a n di t si n f o r m a t i o ns y s t e mh o wt os e tu pt h e i ro w n s e c u r i t ym e a s u r e s ，m a k i n gi ts a f e ， s t a b l ea n de f f i c i e n to p e r a t i o n ，t op l a yi t sg u i d i n gr o l ea n db e c o m em o r ea n dm o r eo f e v e r ys c h o o l sa t t e n t i o n t h e r e f o r e ，i nt h i sp a p e r ，c o m b i n e dw i t hm y s e l fj o bd e s i g n c a m p u sn e t w o r ks e c u r i t yp r o t e c t i o np r o g r a m ，s oc a m p u sn e t w o r ki n t e a c h i n g ， r e s e a r c h ，m a n a g e m e n ta n dc o n s t r u c t i o no fd i g i t a lc a m p u sp l a ya ni m p o r t a n tr o l e t h i sa r t i c l es y s t e m a t i c a l l yi n t r o d u c et h ec a m p u sn e t w o r ko fb u s i n e s sf u n c t i o n s 。 c o m m o ns e c u r i t yi s s u e s ，t h e r e b yf u r t h e rs u m m e du pt h ec u r r e n tc a m p u sn e t w o r k s e c u r i t yn e e d s g e n e r a la n a l y s i so ft h eo v e r a l ls t r u c t u r eo ft h ec a m p u sn e t w o r ka sw e l l a st h en e wc a m p u sb a c k b o n en e t w o r kd e s i g n ，e x c e l l e n tn e t w o r k t o p o l o g yi ss t a b l e ， r e l i a b l eo p e r a t i o no ft h ef o u n d a t i o n ，i tu s e sh i e r a r c h i c a l l ys t r u c t u r e dd e s i g na p p r o a c h ， t h ec o r e l a y e rc o m p o s e do fh i g h s p e e di n t e r c o n n e c tt h eb a c k b o n en e t w o r k sf o r n e t w o r ki n t e r c o n n e c t i o na r ee s s e n t i a l ，t h e r e f o r eh a v i n ga d o p tr e d u n d a n c yl i n ko f10 g i g a b i ta n dg i g a b i tl i n kc o n v e r g e n c el a y e r ，c o r el a y e rm a i n l yp r o c e s s e st h eh i g hs p e e d d a t as t r e a mt or e a l i z ed a t ap a c k e ts w i t c h i n g ；c o n v e r g e n c el a y e rh a v i n gg r e a t e rt r a f f i cf l o wi sa d i v i s i o np o i n tb e t w e e nc o r el a y e ra n da c c e s sl a y e r ，p r o v i d e se n r i c ha n d p e r f e c tr o u t i n g p r o t o c o l sa n ds u p p o r tv l a n ；a c c e s sl a y e rp r o v i d e sa b i l i t yv i s i t i n gt h ei n t e m e tf o ru s e r i np a r t i a ln e t w o r ks e g m e n ta n dd i r e c t l yw i t ht h ed e s k t o pc o m p u t e r ；t h eo l da n dn e w c a m p u sa r e ah a sc a r r i e do u ta ni n t e g r a t e dp l a n n i n go nv l a n ，h a sa d o p tt h ev l a n t e c h n o l o g yt oc a r r yo u tv i r t u a ln e t w o r k ，i tc a ne n s u r et om a n a g ec o n v e n i e n c ea n d s e c u r i t yo fd if f e r e n tf u n c t i o n a ld e p a r t m e n ta n ds e c u r i t yo ft h ew h o l en e t w o r k t h i s k i n d o fn e t w o r ka r c h i t e c t u r e n o t o n l yi m p r o v e s t h ew h o l en e t w o r k r e l i a b i l i t y ，a v a i l a b i l i t y ，b u ta l s om a yf i l t e ru n n e c e s s a r yf l o wo nt h en e t w o r kb r a n c h ，a n d p r o v i d e st h eg o o df o u n d a t i o nf o r t h en e t w o r km a n a g e m e n ta n dt h er u n n i n ga t t e n t i o n a c c o r d i n gt on e t w o r kt o p o l o g ys t r u c t u r ea n ds e c u r i t yr e q u i r e m e n to fc u r r e n t c a m p u sh a v ec a r r i e do u td e e p l yr e s e a r c h i n ga n dd e s i g n i n g ，w i t hn e t w o r ks e c u r i t y s y s t e ma r c h i t e c t u r ed i v i d e ds e v e r a lp a r t s ：e x t e r n a l ，i n t e r n a l ，r e m o t e e x t e r n a ld e f e n s e c o m p l e t e dp r i m a r i l yt h r o u g haf i r e w a l l ，t h ef i r e w a l ll o c a t e db e t w e e nc a m p u sn e t w o r k i n t e r n a la n di n t e r n e tt h a ti ti st h ef i s t s a f e t yb a r r i e ra n dp r i m a r i l yp r o t e c ti n t e r n a l n e t w o r kn o t s u f f e r i n gt h e i n t e r n e t a t t a c k t h r o u g hv i r t u a lp r i v a t en e t w o r k ( v p n ) 北京t 业人学丁学坝l j 学位 e n s u r e st h e s a f e t yo fr e m o t ea c c e s s i n g n e t w o r ki n t e m a ls e c u r i t yt h r o u g ht h e d e p l o y m e n to fi n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) m o n i t o r sa l lk i n d so fa g g r e s s i v e b e h a v i o rf r o mi n n e rn e t w o r k ，i na d d i t i o n ，n e t w o r ks y s t e mr e s i s t i n gv i r u sp r e v e n t sv i r u s t r a n s m i s s i o n ，i n f e c t i o na n dd e s t r u c t i o ni nt h ew h o l ed i g i t a lc a m p u sn e t w o r k a c c o r d i n gt ot h ea c t u a ls i t u a t i o na d o p t i n gv a r i o u ss a f e t ym e a s u r e sp l a yag u i d i n g r o l ef o rs a f ed e v e l o p m e n to fc a m p u sn e t w o r k k e y w o r d sc a m p u sn e t w o r k ；n e t w o r ks e c u r i t y ；f i r e w a l l ；v p n ；i n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) i v 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标泣和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公御论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：跳导师签名： 第1 章绪论 1 1 课题背景 近年来，随着计算机技术的不断发展，计算机网络的规模越来越大，网络用 户飞速增长，使得网络安全问题成为计算机网络发展的一个重要分支。在我国， 经过多年的信息化建设之后，国内大多数高校基本上都建成了自己的校园网。但 随着其应用的深入，校园网络的安全问题也逐渐突出，直接影响着学校的教学、 管理、招生、科研活动。因此，在全面了解校园网的安全现状基础上，合理构建 安全体系结构，改善网络应用环境的工作迫在眉睫。当前，校园网网络普遍存在 的安全隐患有以下几种。 l 、校园网安全管理有缺陷 校园网的用户群体一般比较大，少则数千人、多则数万人，数据量大、速度 要求较高。随着校园内计算机应用的大范围普及，接入校园网节点同渐增多，学 生通过网络在线看电影、昕音乐，很容易造成网络堵塞和病毒传播。而这些节点 如果没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、 网络被攻击、系统瘫痪等严重后果。 2 、校园网内部的攻击 由于内部用户对网络的结构和应用模式都比较了解，很多学生，尤其是理工 科的男生对网络新技术充满好奇和实践欲望，他们经常有意无意的攻击校园网系 统，干扰校园网的安全运行。校园网与一般企业网不同的是，不仅要注意防止外 部网络对校园网的攻击，还要注意防范校园网内部的攻击。 3 、i n t e m e t 的威胁 校园网与i n t e m e t 相连，在享受i n t e m e t 方便快捷的同时，也面临着遭遇攻 击的风险。各种病毒就是通过i n t e m e t 传播的，并导致网络性能下降。而且黑客 也经常利用网络攻击校园网的服务器，以窃取一些重要信息。 4 、校园网内部用户对网络资源的滥用 有人利用校园网资源进行免费的视频、软件资源下载服务，占用了大量珍贵 的网络带宽。 5 、资金投入严重不足，没有系统的网络安全设施 大多数高校网络建设经费严重不足，有限的经费主要投在网络设备上，对于 网络安全建设一直没有比较系统的投入。校园网还基本处在一个开放的状态，缺 乏安全预警手段和防范措施。 事实证明在网络高速发展的同时，各高校的网络基本都受到过各种各样的威 北京t 业人学t 学坝i 学f 讧论义 胁。因此，加强校园网的安全管理是当前非常迫切、充满挑战的任务。本课题从 实践应用出发，提出的校园网络安全设计方案有很强的实用价值，对我校新校区 校园网建设乃至其它高校的校园网络建设都将有很大的借鉴意义。在网络安全只 益影响到校园网运行的情况下，我们不能够去保障校园网绝对的安全，但我们要 尽量从多个方面进行防范，把校园网不安全因素降到最少。因此，采取有效的手 段来降低因网络安全问题而造成的校园网络危害成为一个必要的研究课题。 1 2 国内外研究现状 1 2 1 国外现状 针对美国网络规模比较大的校园来说，它的信息技术服务架构不仅提供全校 师生丰富的网络资源，提供各种管理、教学、娱乐、通信的功能，而且这些服务 是建立在安全的校园网技术架构上的。它所提供的服务类型和我们国内大学差不 多，m a i l 、f t p 、d n s 、w e b 、教学资源平台及网络学习平台、b b s 等交流平台 1 2 引。他们已经完成了我们国内高校f 在作的事情：建设或者更新网络基础设施； 开展校园网络应用建设；探寻校园网的安全策略1 3 州。他们的网络建设包括应用建 设都是在一个合理的安全构架或者安全规范下进行的，因此他们保证向师生提供 安全、稳定、高效的校园网服务。他们除了有a n s i 技术标准还有如美国联邦标 准( f i p s ) 以及其他一些政府信息部门的网络安全标准和信息技术标准。这些网 络安全标准制定了一个具体的网络安全构架，建立了网络安全的技术要求和规 范。另外，最新一项调查显示，美国未来两年内将有四分之三的高校有扩大无线 网络建设的计划，虽然这样做可以使校园网络更为方便，但是也面临着成本和管 理方面的挑战。 1 2 2 国内现状 作为学校重要的基础设施，校园网担负着教学、科研、管理和对外交流的重 任，它的安全状况直接影响到这些活动的顺利进行。目前，随着网络应用的深入， 网络面临的攻击呈等比增加，各种各样的安全问题使校园网时不时呈“亚健康状 态”。同时，随着网络规模的不断扩大，用户对网络性能要求的不断提高，校园 网安全问题越来越被广泛关注【1 4 1 。 校园网具有速度快、规模大，计算机系统管理复杂，用户非常活跃，相对开 放的网络环境，有限的资金及人力投入等特点，这些特点使校园网既是大量网络 攻击的发源地，也是网络攻击者最容易攻破的目标【l 引。一个具有高安全性的校园 网通常需要从以下几个方面进行综合防范。 1 、网络病毒防范 第1 章绪论 未来网络威胁的特征是：病毒传播的速度越来越快、从发现漏洞到利用漏洞 进行攻击之间的间隔越来越短。因此，无论是手动的还是自动的应对措施的作用 都有限。唯一的方法是主动预防，即部署整体的网络安全解决方案代替简单的反 病毒解决方案。不仅要对进入校园网内部的请求进行病毒扫描和内容过滤，而且 还要在内部用户访问i n t e m e t 、进行内部应用之前，在本地网络边界进行病毒扫描 和内容过滤，从而防止用户的关键业务受到病毒、恶意代码的破坏，提高网络的 安全性和可用性。 2 、网络安全隔离防范 如设置流量过滤和防火墙：f 确配置网络设备进行流量过滤可以有效提高网 络的性能，合理使用防火墙有利于提高网络抵抗黑客攻击的能力和系统的安全 性。其他措施有：隔离内部不同网段，建立v l a n ；内外网络采用两套i p 地址， 网络地址实行转换；通过i p 地址与m a c 地址对应，防止i p 欺骗；基于用户和i p 地址的网络计费和流量统计与控制；提供应用代理服务，隔离内外网络；提供准 入控制；支持透明接入和v p n 及其管理。 3 、网络监控措施 在不影响网络j 下常运行的情况下，增加内部网络监控机制，可以最大限度地 保护网络资源。如配备入侵检测系统，w e b 、e m a i l 、b b s 的安全监测系统，网 络监听系统等。安全监控是指实时对网络和网络上的服务进行安全扫描、纪录和 检测，分析网络的工作情况和运行趋势，以此判断网络是否处于健康状态。及时 发现不安全因素，对网络的攻击报警及时反馈。通过监控手段，增强网络安全的 自我适应性和反应能力，从而保证网络服务的正常提供。通过使用网管软件、日 志分析软件、m r t g 和s n i f f e r 等工具，形成一个从实时监控到离线审计在内，功 能较完整、覆盖面较广的监控管理系统。 。4 、网络安全漏洞 对于非专业人员，他们无法确切了解和解决服务器系统和整个网络的安全缺 陷及安全漏洞问题，这时，需要借助第三方产品( 如：漏洞扫描系统) 的帮助， 及时发现安全隐患，提出相应的安全解决方案。 5 、数据备份和恢复 建立完整的网络数据备份系统应具备以下功能：计算机网络数据备份自动 化；使数据备份工作制度化、科学化；有效管理介质，防止读写操作错误；对数 据形成分i - j 另o 类的介质存储，使数据的保存更细致、科学；以备份服务器为中心， 对各种平台的应用系统及其他信息数据进行集中备份，系统管理员可以在任意一 台工作站上管理、监控、配置备份系统，实现分布处理、集中管理【3 5 1 。 6 、网络安全管理 北京t 业大学丁学硕i 学位论文 应制定有关规章制度，确定安全管理等级和安全管理范围；制订有关网络操 作使用规章制度；制定网络系统的维护制度和应急措施；同时可以安装集中统一 的安全管理软件，如病毒软件管理系统、网络设备管理系统以及网络安全设备统 管理软件，实现校园网的安全管理；应该经常对工作人员进行网络安全防范意识 的培训，提高他们的网络安全防范意识。 为了确保整个网络的安全有效运行，有必要对网络进行全面的安全性分析和 研究，制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方 案。 1 3 研究内容与论文安排 本文的研究目标是针对高校校园网络用户的特点，从网络安全策略和网络安 全技术等方面着手，解决校园网络中的网络安全问题【l3 1 。并结合自己的工作实际， 总结从事校园网络管理的心得体会，重点研究内容是新校区网络建设中的安全问 题：总体结构的安全部署以及v l a n 规划；防御来自i n t e r n e t 的攻击通 过防火墙来实现；虚拟专用网( v p n ) 保证远程访问的安全性；内部部署入 侵监测系统监控来自内部的攻击以及网络防病毒系统的应用。最终把校园网建设 成为一个安全、可信的教育和科研的网络环境。后续章节研究内容安排如下： 第二章校园网业务功能及安全需求。介绍了校园网应该具有的功能和安全 特点，从不同层次深入分析当前存在的各种安全问题，最后提出安全需求，为安 全方案的设计奠定基础。 第三章校园网络安全体系结构设计。首先介绍整个校园网的总体结构；主 要介绍新校区骨干网络结构，并且对各层次进行了详细的阐述及v l a n 规划； 最后根据安全体系设计原则提出网络安全体系结构。 第四章校园网络安全体系结构实施。网络安全体系结构的具体实施方案： 防火墙的部署、远程访问v p n 的设想、入侵监测系统( i d s ) 及应用防病毒系统 等方面进行了详细介绍。 结论。对全文工作进行小结，提出本论文的工作结果，并对今后的工作进行 了展望。 第2 章校园网业务功能及安全需求 校园网是在学校范围内，在一定的教育思想和理论指导下，为学校教学、科 研和管理等提供资源共享、信息交流和协同工作的计算机网络。 组建一个具有高带宽、高可靠性、易扩展性、安全性和丌放性的校园网络， 它应广泛支持网络标准协议，提供校园内部及面向全球的w w w 、f t p 、v o d 、 电子邮件等服务，实现与国际互联网的完全接轨：同时它还应具有支持通用大型 数据库的功能，支持多种协议，具有良好的软件支持，采用模块化结构设计，容 易升级；还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基 本教学任务【6 j 。 所以，目前正在建设或是正在使用的校园网络应该是一个从整体上达到高带 宽、多业务、自适应、高安全、高扩展能力的校园网络一j 。 2 1 校园网业务功能 校园网络作为一种在学校应用的局域网，有其特定含义和应用范畴，概括起 来有四个方面的典型应用： 1 、校园网是为学生学习活动服务的，是一种学习工具。校园网是学生与他 人之间的交流工具，有利于学生进行探索式学习和协作学习。 2 、校园网是为教师的教学、科研活动和培训服务的。比如提供教学资源、 辅助教师备课，参与课堂教学活动和支持教师再学习活动等。 3 、校园网是为学校教育教学管理服务的。比如辅助学校的办公自动化、教 学教务管理、学生学籍管理、人事档案管理、财务管理等。 4 、校园网是沟通学校与外界的窗口。利用校园网可以从校外获取或是向校 外发布各种信息，同时校外通过访问校园网进一步了解学校基本情况。 因此，校园网的主要业务功能可以概括为：满足教育教学、信息化管理、信 息交流和资源共享1 。 2 2 校园网安全特点 建立校园网的目的就是实现以上所提到的主要业务功能，这就决定了校园网 与其它企业网络的不同，因此在安全方面应具有如下特点： l 、开放的网络环境。由于学校具有教学和科研的特点，所以要求校园网络 的环境是开放的，而且在管理方面较企业网络来说更宽松一些，这样就会留下一 些安全隐患。 北京t 业人学t 学颀l j 学f 、) = 论文 2 、活跃的用户群。在高等学校中，在校学生通常是最活跃的网络用户，而 且数量非常庞大，人员流动性大，他们对网络新技术充满好奇，敢于尝试。尤其 是一些学生会尝试使用从网上学到的或者是自己研究的一些攻击技术，而这些行 为可能对校园网络造成一定的影响和破坏。 3 、复杂的计算机系统管理。高校中学尘的电脑一般是自己花钱购买、自己 维护的，如果统一的管理这些电脑很不现实。另外，大多数用户基本上使用的是 盗版软件或者是在互联网上下载的一些破解软件，这些软件存在很多的问题，例 如留有后门、携带病毒等，这些将会影响计算机系统的i f 常运行。以上这些情况 下要求实施统一的安全策略非常困难的，一旦发生某些不可预测的问题，解决起 来十分困难。 以上这些特点是造成校园网成为攻击发源地的主要原因，同时也造成校园网 成为最容易攻击的目标。致使学校面临着一些安全性威胁，提出这些常见的安全 问题，从而进一步得到解决刻不容缓。 2 3 校园网常见安全问题 2 3 1 物理层安全问题 网络的物理安全是整个网络系统安全的前提。在网络工程的设计和施工中， 必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害。从总体上讲，网络 的物理安全包括地震、火灾、水灾等环境事故，人为操作不当，设备被盗、被毁， 电磁干扰，线路截获等【3 1 。 2 3 2 接入层安全问题 针对网络第二层的攻击是最容易实施、也是最不容易被发现的安全威胁，它 可以使网络瘫痪或者通过非法获取密码等敏感信息的方式来危及网络用户的安 全。由于任何一个合法用户都能获取一个以太网端口的访问权限，而这些用户都 有可能成为黑客；同时，由于设计o s i 模型的时候，允许不同通信层处于相对独 立的工作模式，因此承载所有客户关键应用的网络第二层的安全就变得至关重 要。因此，来自接入层的威胁直接影响着校园网络，也成为校园网络管理者最重 视的问题。 根据安全威胁的特征分析，来自于网络第二层的攻击主要包括：m a c 地址 泛滥攻击、d h c f 服务器欺骗攻击、a r p 欺骗、i f m a c 地址欺骗。 1 、m a c 地址泛滥攻击 交换机会主动学习客户端的m a c 地址，建立、维护端口和m a c 地址的对 应表，以此建立交换路径，这个表就是通常我们所说的c a m 表。m a c c a m 攻 6 第2 审校同m 业务功能及安令需求 击是指黑客利用攻击工具发送大量带有虚假源m a c 地址的数据包，这些新m a c 地址被交换机c a m 学习，很快塞满m a c 地址表，这时发往新目的m a c 地址 的数据包就会被广播到交换机的所有端口，交换机就会像h u b 一样工作，黑客 则可以利用s n i f f e r 工具监听所有端口的数据流量。此类攻击不仅造成安全性的破 坏，同时大量的广播包降低了交换机的性能。 2 、d h c p 服务器欺骗攻击 采用d h c ps e r v e r 可以自动为用户设置网络i p 地址、掩码、网关、d n s 等 网络参数，简化了用户网络设置。但在d h c p 管理使用上也存在着一些问题， 常见的有：d h c ps e r v e r 的冒充，d h c ps e r v e r 的d o s 攻击，由于不小心配 置了d h c p 服务器引起的网络混乱也很常见。 黑客利用类似g o o b l e r 的工具可以发出大量带有不同源m a c 地址的d h c p 请求，直到d h c p 服务器对应网段的所有地址被占用。此类攻击既可以造成d o s 的破坏，也可和d h c p 服务器欺诈结合，将流量重指到意图进行流量截取的恶 意节点。 3 、a r p 欺骗 a r p 用来实现m a c 地址和i p 地址的绑定，这样两个工作站才可以通讯， 通讯发起方的工作站以m a c 广播方式发送a r p 请求，拥有此i p 地址的工作站 给予a r p 应答，送回自己的i p 和m a c 地址。 由于a r p 无任何身份真实校验机制，黑客程序发送误导的主动式a r p 使网 络流量重指经过恶意攻击者的计算机，变成某个局域网段i p 会话的中间人，达 到窃取甚至篡改正常传输的功效。 4 、i p m a c 地址欺骗 除了a r p 欺骗外，黑客经常使用的另一手法是i p 地址欺骗。常见的欺骗种 类有m a c 欺骗、i p 欺骗、i p m a c 欺骗，其目的一般为伪造身份或者获取针对 i p m a c 的特权。此方法也被广泛用作d o s 攻击，目前较多的攻击是：p i n go f d e a t h 、s y nf l o o d 、i c m pu n r e a c h e a b l es t o r m 。 2 3 3 网络层安全问题 路由器和三层交换机是网络层的网络连接设备，这些设备的合理设置为网络 安全提供了保障。但是由于路由和三层交换设备设置的问题，同样会给网络带来 安全问题。v l a n 隔离了广播风暴，同时也隔离了各个不同的v l a n 之间的通 讯，所以不同的v l a n 之问的通讯是需要有路由来完成的。当网络中的不同 v l a n 间进行相互通信时，需要路由的支持，既可采用路由器，也可采用三层交 换机来完成。 校园网由于管理的需要划分了大量的v l a n ，但是在划分v l a n 、配置路由 北京t 业人学t 学硕l ：学位论义 和三层交换机后，没有对不同v l a n 实施访问控制，使得不同v l a n 之间通过 路由可以进行访问，从而给网络层攻击提供了可能： 1 、一个网段用户的蠕虫病毒攻击可以直接波及所有网段，造成内网拥塞或 广泛传播； 2 、基于源地址欺骗的攻击方式在网络中通行无阻。许多应用程序认为若数 据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源i p 地址一定是有效的，而这f 是使源i p 地址欺骗攻击成为可能的一个重要自仃提。 2 3 4 操作系统安全问题分析 计算机网络安全受到的威胁主要是：黑客的攻击、计算机病毒的入侵和拒绝 服务攻击。而现有的操作系统由于整体设计的缺陷和其软件代码的巨大开发规 模，系统本身存在安全漏洞也在所难免。这些安全漏洞都将存在重大安全隐患。 1 、非法用户或假冒用户入侵系统 黑客通过软件，针对操作系统的薄弱环节，对网络设备进行非难常或越权使 用，使系统的安全机制受到威胁。或者利用各种假冒和欺骗的手段，如i p 地址 欺骗等，非法获得合法用户的使用权，占用合法用户的资源，致使操作系统对资 源分级分权管理的失效。 2 、数据完整性被破坏或丢失 非法用户侵入系统后，绕过监控破坏或盗取数据。来自外部的威胁时刻存在， 但是现在随着校园网内部上网人数的增多，学生好奇心的增强，使得来自内部的 破坏也是防不胜防。 3 、病毒破坏 病毒是针对操作系统在体系结构的一些特点而设计的可执行程序，具有隐蔽 性、传播快、可复制、破坏力强等特点。病毒程序可以通过网上下载、电子邮件、 使用盗版光盘或软盘、人为投放等传播途径潜入内部网。病毒的危害不容忽视， 网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速 扩散，传播到网络上的所有主机，造成信息泄漏、文件丢失、机器死机等不安全 因素。 4 、配置不当 系统的安全程度与系统配置有很大关系，用户如果没有采用适当的系统配置 将产生很大的安全隐患。例如，没有设置用户口令或者口令强度不够；重要文件 的权限限制过宽；有意、无意把硬盘中重要信息目录共享，长期暴露在网络上。 2 3 5 应用层安全问题 校园网内有提供公众信息服务的服务器，如w w w 服务、f t p 服务、e m a i l 、 第2 章校同网业务功能及安伞需求 服务等。和操作系统提供的系统服务一样，这些应用服务如果存在漏洞也会给系 统的安全带来极大的隐患。 l 、w w w 服务 作为学校宣传的重要窗口，w w w 服务扮演了重要的角色。如果w w w 服 务器存在漏洞，可能造成的危害有：( a ) 攻击者非法篡改校园网，把不良内容带入 校园网；( b ) 攻击者通过d o s 技术攻击w w w 服务器，干扰其正常运行。 2 、f t p 服务 f t p 服务用于传输文件。如果使用了匿名f t p 服务，就不需要口令，这时， 匿名f t p 服务的安全很大程度上决定于一个系统管理员的水平，一个低水平的 系统管理员很可能会错误配置权限，从而被黑客利用而破坏整个系统。或者，如 果提供f t p 服务的软件存在漏洞，则也存在安全风险。 3 、电子邮件服务 电子邮件服务给人们提供了一种便宜、方便和快捷的服务，如果e m a i l 服 务器存在漏洞，攻击者可以利用这些漏洞控制e m a i l 服务器，这将给使用 e m a i l 服务器的用户构成极大的威胁。 4 、数据库服务 无论在校本部网管中心、各教学单位或行政办公网络中，都存在数据库管理 服务器。如果数据库服务器存在安全漏洞( 如：空口令等) ，攻击者可以利用这些 漏洞，控制数据库服务器，从而获取数据库中保存的信息，引起信息泄露；另外 有些数据库采用的还是安全系数比较低的a c c e s s 数据库，非常容易通过其自身的 漏洞对服务器造成威胁。 2 4 校园网共性分析及安全需求 高校校园网的发展可分为三个阶段：第一个阶段是大部分学校没有网络设备 阶段，我国已经基本渡过这个阶段，据不完全统计，我国现在大学校园网的覆盖 率已经达到1 0 0 。第二个阶段是学校网络设备和管理处于比较杂乱的阶段，我 国现有高校的大部分校园网都处在这个阶段。第三个阶段是学校的校园网可以提 供一个高效、安全的平台，为高校的教育事业发展提供良好的条件。这个阶段也 是我们校园网发展的更高目标。目前大多数高校共同存在并急待解决的网络安全 问题主要有： 1 、网络单核心、骨干网单链路，很容易造成单点故障。 2 、网络设备启用安全规则时，性能急剧下降。 3 、不可网管交换机居多，这些设备不具备病毒和攻击防范与控制能力。 4 、大多高校只配置了功能单一的防火墙，缺乏完善的安全防范体系。 5 、不注重内部网络安全，缺乏对全网的实时监控和管理。 因此，不论是改造原有网络体系结构还是构建新的校园网络结构，都必须充 分考虑以上所提到的各个方面，建立完善的安全防范体系( 如图2 - 1 所示) 。 | 芏| 2 - i 安全防范体系框图 f i g u r e2 - 】s e c u d t yd e f e n s es y s t e mf r a m ed i a g r a m 针对上面所提到的各种同益突显的校园网安全问题，如何让校园网安全高效 地运行，充分发挥其教学、管理和服务等功能已经越来越不容忽视。因此，要保 证校园网安全、健康地运行，我们必须确定校园网的整体安全需求。 1 、校园网与i n t c m e t 连接安全需求 校园网与i n t e m e t 连接，在享受i n t e m g t 方便快捷的同时，也面临着遭遇攻 击的风险。高校校园网速度比较快，我校与网通的出e l 带宽达到了3 0 0 m t 这给 网络入侵和攻击也提供了一个快速通道。因此，在校园网内部和外部出口处部署 防火墙设备，使它成为网络安全的一道屏障，通过过滤不安全的服务而降低风险， 实现内部网络和重要服务器数据的安全防护。 2 、校园9 b 4 内部安全需求 随着校园网内计算机应用范围的扩大，接八校园刚的节点数日益增多，而这 些节点大部分没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数 据破坏、网络被攻击、系统瘫痪等严重后果。网络版杀毒软件自动为每个终端用 户提供升级服务，同时部署网络监控设备对校园网关键区域的信息流动进行动 态监铡。能够把网络上流过的所有数据包，通过实时检测和分析，及时发现非法 或异常行为；对校园网紧急事件( 网页篡改、试题盗窃) 以最快的速度阻止：能够 按要求存储校园网访问日志记录，提供进行关键词查找和离线分析功能；对校园 网特殊安全事件进行回放。 3 、校园网服务器安全需求 第2 章校闶嘲业务功能及安伞需求 校园网服务器存储大量信息。其安全需求有：对服务器访问要进行安全身份 认证，非认证用户无法进行访问；服务器提供的资源受控制，防止非授权人员拷 贝、修改、发送；支持远程安全管理，校园网管理员能够从远程进行安全登录， 为其传输的信息加密；服务器的操作行为有严格审计，能够防止黑客有意删除； 采用i d s 入侵监测系统能够实时显示服务的安全状态，各种安全组件的工作状态 也能够被监测到；服务器在受到损害时，能做到数据恢复可用。 4 、远程访问安全需求 随着学校的发展和规模的扩大，不管是师生在校外访问内部资源还是实现不 同校区之间的远程访问都成了一个现实性的问题，其中在信息传递过程中的安全 性问题更是不能忽视的。因此，采用v p n 技术，它可以从三个方面保证通信的 安全性：通道协议、身份验证和数据加密。 5 、网络设备安全需求 校园网规划设计中，各层次网络设备的部署是保证整个网络的安全稳定的基 础。核心层：采用双核心、多核心，核心节点成环，核心设备本身具有强大的安 全防护能力，且在启用这些安全策略时，不影响整机性能：汇聚层：汇聚双链路 上联核心；接入层：采用智能可网管交换机，同时具有防范病毒、抵御网络攻击、 故障隔离等功能。 通过对校园网整体安全需求进行分析，可以看出解决校园网的安全问题是非 常复杂、繁琐的工作，作为校园网络维护和管理者应认真分析现有网络环境，力 求把安全风险降低到最小。 2 5 本章小结 从分析校园网主要业务功能入手，分析校园网安全特点，进一步从网络的多 个层面入手提出校园网络当l j i 所面临的主要安全问题，通过这些问题的提出得出 校园网整体安全需求，为设计一套能有效发现和判断网络中安全事件并快速控制 的安全运行架构奠定基础。最终达到缓解因网络安全事件带来的损失，全面提高 校园网的可控性和可用性，保障校园网络的安全运行及师生健康的网络环境，实 现数字化校园对网络安全的目标。 茎i ：譬星詈耋耋：垂錾翟兰生 第3 章校园网络安全体系结构设计 3 1 网络总体结构 随着国内校园信息化建设的深入和发展，校园网已经成为校园信息化建设的 基础。可以说今日的校园网建设有着比传统校园网建设更高的要求，采用整体的 网络解决方案构建一个安全可靠、性能卓越、易于管理的校园网络也就成为必然 4 1 ，总体网络拓扑结构如图3 - 1 所示。 8 岑、”趟0 ”鼍”“弋麓 芦j “爹j 笋j 爹j ”二爹j 爹jijiii j 土j e ；m r li1i | 芏| 3 - l 总体网络拓扑结构 f i g u r e3 一lo v e r a l ln e t w o r k t o p o l o g 。v 校园网出口部署计费系统、防火墙和多链路负载均衡设各。 新校区网络建设以性能高效并有效保留原有网络资源，提高校园网整体性能 为出发点口l 。在新校区核心层部署两台万兆核心交换机，汇聚层采用高性能的万 兆交换机，不仅要提供高密度的用户接入，还要提供万兆主干传输和干兆冗余线 路与核心设备对接，通过权值路由达到负载均衡的目的，并且一旦其中一条链路 出现问题，另一条链路会立刻自动启用。在万兆+ 千兆的链路设计上，既充分保 北京t 业人学丁学硕i ：学位论史 障了关键区域网络的稳定可靠，又减少了学校的投资，从而进一步提升了校园网 的组网效益。 为提高校园网的可靠性和安全性，整体网络采用分粕式三层架构( 核心层一 汇聚层接八层) ，在骨干层采用纯路由转发数据( 使用o s p f 动态路由协议) ， 有效隔离广播流量。接入层实现千兆或双干兆直接上行到汇聚层，同时百兆接入 桌面采用提供完善校园网接八控制和网络服务的可网管安全智能交换机。 同时在两个校区之问为了消除网络瓶颈，提高校园网整体性能，在老校区也 部署两台h 兆核心交换机，新老校区之间核心与核心之间采用2 条1 0 g 链路互 连，构成万兆校园网骨干交换平台( 如图3 - 2 所示) 。正常工作情况下新老校区 默认通过链路 互联，链路不起作用，它们是用作链路备份；但是假如当 链路中断，由于采用了o s p