校园网安全与防火墙设计.doc

xxxx 大 学课程设计题目：校园网安全与防火墙设计姓名：坏坏 学号：2007xxx 学院：基础与信息工程学院 专业：计算机科学与技术班级：2007级计科班教师：杨xx 2010年6月17日校园网安全与防火墙设计 ( xx大学,2007级计算机科学与技术系，云南xx)摘要：本文讨论了日益突出的校园网安全问题，介绍了经济实用的基于包过滤和代理的复合型屏蔽子网防火墙系统的设计及其安全规则的实现。还提出了“校园网安全系统”的概念以及需要考虑的一系列问题。关键词：校园网；防火墙；安全系统引言 随着校园网的广泛应用，极大的方便了广大师生，大家可以很方便的在网上办公、网上讨论、网上答疑等，可以很好的利用网上的资源。校园网是以教育网为出口，虽然没有直接连到 Internet，但仍然存在很多威胁。比如 IP地址盗用，恶意攻击校园网主页，非法进入管理系统等等。因此，校园网的安全问题已经提到日程上来，采用防火墙技术能有效抵抗黑客及某些非法访问。 1校园网安全问题校园网的建设近年来随着因特网的迅速扩张而日益普及，从而校园网的安全问题也日益突出。校园网安全问题可以分为网络本身的安全与所传信息的安全两个方面，主要包括：(1)硬件安全问题。硬件包括网络设备及布线，硬件安全主要包括防盗窃、防破坏、防雷击、防静电、防电磁干扰、防窃听等。(2)防病毒问题。校园网给病毒的传播创造了条件，可能使病毒成为灾难。因此，既要防通过常规途径传播病毒，更要防通过FTP下载文件和电子邮件等传播病毒、特洛伊木马、蠕虫、一些恶意_的JAVA和ActiveX小程序等。(3)黑客攻击问题。黑客利用网络软件的漏洞和“后门”以及网络安全管理的失误进行攻击：一是破坏信息的有效性和完整性，造成网络工作不正常甚至瘫痪；二是进行截获、窃取、破译，以获取机密信息。(4)防止黄色、反动信息传播问题。目前因特网上各种信息良莠不齐，其中有些不良信息违反人类的道德标准和有关法律法规，对世界观和人生观正在形成中的学生危害非常大。如果不采取安全措施，会导致这些信息在校园内传播，侵蚀学生的心灵。(5)内部攻击问题。最危险的攻击往往并非来自于外部黑客，而是来自于内部。例如具有较高权限的账号被非法盗用并在权限内进行信息读取和更改，网络滥用甚至误操作等。校园网是一个比较特殊的网络环境，自律意识不强的学生也是校园网安全问题的重要来源之一。那么，怎样才能保证校园网的安全呢?首先，建立一个高效安全的防火墙是保证校园网安全的重要和必要的措施。2校园网防火墙设计(1)防火墙的安全策略：a、所有从内到外和从外到内的数据包都必须经过防火墙；b、只有被安全策略允许的数据包才能通过防火墙；c、防火墙本身要有预防入侵的功能；d、默认禁止所有服务，除非是必须的服务才被允许。(2)防火墙的构成：a、由双端口主机组成防火墙，其中一个端口连接因特网，另一个端口连接内部网；b、由被屏蔽主机(Screenedhost)组成防火墙，包括一个路由器连接一个堡垒主机，其中过滤路由器连接因特网，堡垒主机连接内部网；C、由被屏蔽子网(Screenedsubnet)组成防火墙，它由一个外部路由器连接一个包含堡垒主机的子网，再连接一个内部路由器构成，其中外部路由器连接因特网，内部路由器连接内部网；这三种结构的防火墙中，被屏蔽子网防火墙的安全性最高。(3)校园网防火墙设计要求：a、保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网；b、只向外部用户提供HTTP、SMTP和POP等有限的服务；C、向内部网一般用户提供HTTP、FTP、SMTP、BBS、News及其他Intranet服务，以及内部网的多媒体教学和音像服务；d、向内部记帐用户提供所有Internet服务，但一律通过代理服务器；e、禁止访问黄色、反动网站f、要求具备防IP地址欺骗和IP地址盗用功能；g、要求具备记帐和审计功能，能有效记录校园网的一切活动。(4)校园网防火墙的设计。本校园网及防火墙如图1所示。图1校园网防火墙结构示意图防火墙采用安全性最好的被屏蔽子网结构，由外部路由器、周边网(又叫参数网或非军事区DMZ)和内部路由器组成，由以下做法来满足设计要求：a、外部路由器起到保护周边网的作用。它把入站的数据包路由到代理服务器(堡垒主机)，由包过滤原则，过滤黄色、反动网站信息；b、内部网采用内部IP地址并以此划分子网。外部路由器禁止源地址为内部地址的入站包，由此防止IP欺骗攻击；C、对外部网用户的服务请求，由代理服务器进行认证后转接到周边网相应的服务器上；d、内部路由器将所有内部用户到因特网的访问均路由到代理服务器，代理服务器进行地址翻译，为这些用户提供服务，以此屏蔽内部网络。另外，将内部用户的Intranet服务路由到周边网和内部网的相关服务器；e、禁止除网络管理员以外的一切内外用户Telnet到防火墙主机和其它服务器，防火墙主机和其它服务器均安装防病毒和入侵检测软件，以此保护所有服务器f、内部路由器保护内部网络不受因特网和周边网的侵害，它执行大部分的过滤工作，除了具有外部路由器的过滤原则外还过滤内部网与代理服务器之间的数据包；g、对域名服务(DNS)，从安全性考虑设立了外部和内部的DNS服务器，外部伪DNS服务器放在代理服务器上，回答因特网上的主机查询。内部的域名服务器对内部主机提供域名服务；h、所有主机均将IP地址与MAC地址绑定，以此建立校园网各路由器的ARP表并定期扫描，发现有非法的IP地址与MAC的映射则自动报警，并用正确的映射表将其覆盖；以防止IP地址的盗用i、在网管服务器上运行记帐软件，对通过代理访问因特网的用户分国内和国际流量分别记帐；在网管服务器上运行审计软件，配合各服务器上的入侵检测软件，监控校园网上的一切活动j、对内部具有敏感数据的子网，如财务、教务、人事档案等用专门的防火墙与内部网隔开；k、对分校子网与校园网的连接，有条件的最好使用光缆连接，其保密性好、带宽高，否则，我们建议租用ISP的虚拟专用网(VPN)，其保密性好、性价比高。 (5)校园网及防火墙软硬件设置：a、路由器采用Cisco2500系列，交换机采用3COM公司的4007，主干网带宽达1000M。b、视频服务器和网管服务器采用Windows2000操作系统服务器版，其它服务器采用Linux操作系统，代理服务器采用IPChains等设置，例如利用Squid软件设置WWW透明代理(6)本防火墙的使用效果。本防火墙建成后已使用近一年时间，总体情况良好。因此，不失为一种经济适用的防火墙系统。3校园网安全系统尽管防火墙有许多防范功能，它也有一些力不能及的地方，表现在：(1)防火墙不能防范不经由防火墙的攻击。例如，如果允许从内部网不受限制地向外拨号，一些用户可以形成与因特网的直接的SLIP或PPP连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。(2)防火墙不能防范因管理员疏忽造成的安全问题。(3)传统防火墙不能防止带病毒软件或文件的传输。 (4)传统防火墙不能防止数据驱动式攻击，即当有些表面看来无害的数据被邮寄或复制到内部网主机上并被执行而发起的攻击。例如，一种数据驱动的攻击可以使一台主机修改与安全有关的文件，从而使入侵者下一次更容易入侵该系统。因此，防火墙并不能解决校园网的全部安全问题。其实，校园网的安全是一个极其复杂的问题，保证校园网的安全是一个集软硬件建设、安全保卫、安全教育、安全制度建设于一体的系统工程。我们认为，应做到以下几点：(1)制定一个全面的网络安全策略并在此策略的指导下保护校园网的安全。 (2)构筑高效安全的防火墙。 (3)防止在校园网内拨号上因特网以给黑客造成攻击校园网的后门。 (4)建立安全的账号管理机制。设置账号的登录权限，对账号的操作进行审核，在服务器上及时删除不必要的账号，禁用“Guest账号等。严格口令管理。为保证口令安全，用户口令应遵循一些规则，如：不要用姓名、生日和电话号码作为口令，在口令中混合使用大小写字符和数字，定期修改口令，避免重复使用旧口令，采用一次性口令检查，对口令进行加密等。(5)给每台服务器和工作站安装防病毒软件，并及时更新；对教学用计算机安装硬盘保护卡可有效保护计算机中的信息。(6)加强教育，提高网络管理员和全体师生的网络安全防范意识和保护校园网安全的技能。引导学生特别是计算机专业的学生将所学网络技术运用到校园网的安全建设，从而既满足了学生的表现欲望，又保障了校园网的安全。(7)完善校园网安全管理规章制度，约束网络管理员和全体师生自觉保护校园网安全。参考文献1ChrisHareetcInter