校园网安全方案规划与设计论文.doc

成都学院学士学位论文（设计）校园网安全方案规划与设计专 业：网络工程 学 号：XXXXXXXXXXXX学 生：XX 指导教师：XX摘要：网络技术在近几年的时间有了非常大的发展，经历了从无到有，从有到快； 网上信息资源也是从匮乏到丰富多彩，应有尽有。但随着网络速度越来越快，资源越来越丰富，网络安全问题却也越来越严峻，网络安全防范对我们校园网的正常运行来讲也就显得十分重要。因此，如何在现有条件下，确保校园网络安全、稳定、高效的运行，就成为本文要解决的一个重要课题。网络安全是一个复杂的系统工程，涉及到系统软件、硬件、环境以及人员等各种因素。本文以网络安全为基础，详细讨论了各种网络安全技术在解决校园网络安全问题当中的应用，并提出了综合利用各种网络安全技术保障校园网络安全的具体解决办法。本文的主要研究内容有防火墙技术、入侵检测系统(IDS)、数据加密、防病毒技术等几个部分。除此之外，还讨论了环境、制度等非技术领域在校园网安全建设中的作用。最后，对校园网络安全技术做了总结和展望。关键词：校园网络；网络安全；防火墙；入侵检测Planning and Design of the Campus Network Security SolutionsSpecialty: Network Engineering Student Number: XXXXXXXXXXXX Student: XXXXXX Supervisor: XXXXXXX Abstract: The network technology has got very great development in recent years, and the online information resources have developed from deficient to rich and colorful situation too, as it is filled with everything. But with the development of the internet, the safety of network is becoming weaker and weaker . The network safe precaution seems very important for normal running of our campus network . So, under available condition, how to improve the campus network security, and ensure the stable and highly efficient operation of campus network , become an important subject which the article deals with. Security of network is a complicated system, related to many factors, like the system software, hardware, environment, users and so on. The article based on the network security, discussed that the user of a variety of network security technology in solving the campus network security. And put forward specific safeguard the campus network security solutions. The main content in thesis: Firewall Technology, Intrusion Detection System (IDS), Data Encryption, Anti-virus Technology and so on. Except that, the paper also discusses the non-area of technology like policy, environment in the campus network of safe constructional application. At last, the paper made a summary and outlook to the application in solving campus network security with the security technologies of network.Key words: Campus Network; Network Security; Firewall; Intrusion Detection目 录绪 论11 校园网络安全简介21.1 课题背景21.2 校园网络安全现状21.3 校园网络不安全因素分析22 安全解决方案设计52.1 校园网络安全需求分析52.2 网络安全防范体系设计原则62.2.1 网络信息安全的木桶原则62.2.2 网络信息安全的整体性原则62.2.3 安全性评价与平衡原则62.2.4 标准化与一致性原则62.2.5 技术与管理相结合原则72.2.6 统筹规划，分步实施原则72.2.7 等级性原则72.2.8 动态发展原则72.2.9 易操作性原则72.3 常见网络攻击的防范72.4 网络安全建设的步骤83 功能设计103.1 防火墙技术103.1.1 防火墙简介103.1.2 防火墙部署103.2 入侵检测123.3 建立漏洞管理系统133.4 数据加密133.5 网络防病毒技术143.6 IP盗用问题的解决143.7 利用网络监听维护子网系统安全153.8 部署内容安全管理系统153.9 建立良好的管理体系管理层面对策164 安全防范实例174.1 防火墙和入侵检测系统的安装与配置174.1.1 防火墙的安装和配置174.1.2 入侵检测系统的搭建与配置194.2 Windows下VPN环境的搭建214.2.1 利用PPTP配置VPN214.2.2 利用IPSec配置VPN网络25总 结30参考文献31致 谢32II绪 论互联网是全球最大的网络结构，为全世界用户提供了海量的信息资源。与此同时，也产生了很多的信息安全问题，各种黑客、病毒、安全漏洞、非法入侵等都在不断的侵蚀着网络，给各国的经济及信息化发展带来了巨大的威胁和无法挽回的损失，互联网的安全问题己经摆在各国面前，受到了极大关注。学校作为教书育人的场所，校园网作为一种信息化的手段在其中起着重要的作用。然而校园网也出现了日益严重的安全问题，己经成为威胁学校信息技术教育的首要问题。与互联网所经受的考验一样，不健康信息、非法入侵和其它各种不安全因素以其越来越大的危害侵蚀着学校这块净土。 面对这些严峻的现实，我们不得不重视网络的安全问题。同时也开发了各式各样的网络安全产品，如入侵检测系统(IDS)、防火墙、防病毒软件等来有效预防和处理各种不安全因素，保证网络系统的安全性。保障网络系统的安全己经成为刻不容缓的重要课题。事实上，网络安全是一个综合性的问题，需要各方面的努力，以及安全技术的不但进步，相信在今后，网络信息安全的低位会更加重要，网络信息安全必然会随着网络技术的应用发展而不断发展。1成都大学学士学位论文（设计）1 校园网络安全简介1.1 课题背景近年来，计算机网络技术不断发展，互联网的开放性、共享性和互联程度越来越高。网络已经普遍运用到社会的各个行业和部门，许多学校也建立起了自己的校园网络，成为学校信息化建设的重要组成部分。在学校校园网络内存储有很多重要的数据和信息，这些数据和数据是学校进行正常教学、科研和管理的基础，可以丰富教学资源，促进学术交流，提高教学效果和管理效率。因而网络安全问题对于学校而言显得尤为重要。近年来网络安全事件不断地发生，安全问题已经成为影响校园网平台的稳定性和正常提供网络服务的一个严重问题，校园网的安全运行面临着极大的威胁，因此，加强校园网的安全建设和管理工作刻不容缓。只有加强校园的安全建设和管理工作，才能给校园网一条生路，才能使学校进行正常的教学、科研和管理工作。同时，提升校园网络自身的安全性也成为学校增强竞争力的重要方面之一。为了推进校园数字化的建设，加快校园信息化建设的进程。人们开始积极探索和研究使得校园网络安全运行的方案和措施，希望构建一套有效的校园网络安全系统，为我国的教育事业做出贡献。1.2 校园网络安全现状互联网络已经运用到社会的各个行业和部门，学校也不例外。目前，大部分学校的校园网络已经初具规模：以光纤连接校内的主要建筑，所有建筑内全部布线，校园网覆盖整个校园并与 Internet 互联，人们有更加优越的条件来的享受网络带来的快捷和方便。与此同时，在现有的网络设备保护下校园网网络却存在很多问题，如电脑病毒的侵袭愈来愈严重，垃圾邮件日益猖獗，黑客攻击成指数增长，利用互联网传播有害信息手段日益翻新等，这些问题导致校园网络不能正常的提供良好的服务，经常给用户带来困扰，为学校的教学、科研和管理工作带来了严重的影响1。因此，人们在享受网络的优越性的同时，开始对网络安全问题越来越重视。 1.3 校园网络不安全因素分析Internet的开放性以及其他方面的因素导致了网络环境下的计算机系统存在很多安全问题2。为了解决这些安全问题，各种安全机制、策略、管理和技术被研究和应用。然而，即使在使用了现有的安全工具和技术的情况下，网络的安全仍然存在很大隐患，现将这些主要的安全隐患作简单的分析和说明: 1、IP盗用的问题校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径得到合法的IP地址，另一部分则不然，当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。2、防火墙攻击防火墙系统相关技术的发展已经比较成熟，防火墙系统也非常坚固，但这只是对外的防护而已，他对于内部的防护则几乎不起什么作用3。然而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员，所以怎么防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。3、计算机病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪，是影响校园网络安全的主要因素。计算机病毒具有以下特点：一是攻击隐蔽性强；二是繁殖能力强；三是传染途径广；四是潜伏期长；五是破坏力大。4、软件的漏洞一般认为,软件中的漏洞和软件的规模成正比,软件越复杂其漏洞也就越多。在网络系统运行过程中,由于操作系统自身不够完善,针对系统漏洞本身的攻击较多,且影响也较严重。目前如办公、下载、视频播放、聊天等软件的流行,让使用率较高的程序也成为被攻击的目标。5、安全工具的效果因人而异一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括系统管理者和普通用户，不合理的设置就会产生不安全因素。例如，Windows XP在进行合理的设置后可以达到C级的安全性，但很少有人能够对Windows XP本身的安全策略进行合理的设置。6、校园网用户对网络资源的滥用有一部分的Internet访问是与学校工作无关的，有人用校园网资源进行视频、软件资源下载服务，甚至是去访问色情、暴力、反动站点，导致大量非法内容或垃圾邮件出入，占用了大量珍贵的网络带宽，Internet资源严重被浪费，造成流量堵塞、上网速度慢等问题。7、网络硬件设备受损校园网络涉及硬件的设备分布在整个校园内，管理起来有一定的难度，暴露在外面的设施，都有可能遭到有意或无意地损坏，这样可能会造成校园网络全部或部分瘫痪的严重后果。8、校园网安全管理有缺陷校园计算机网络建设普遍存在重视硬件投入，忽视软件投资；重运行，轻管理的现象。主要表现为对网络安全的认识不足，将网络系统作为一项纯技术工程来实施，没有一套完善的安全管理方案；网络系统管理员只将精力集中于IP的申请分配和开通、账户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上，而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。33 成都学院学士学位论文（设计） 2 安全解决方案设计2.1 校园网络安全需求分析当前校园网的安全情况不容乐观。首先，校园网的应用服务大部分是基于B/S模式的，入侵者利用WEB服务器的安全漏洞，特别是在大量使用服务器脚本的系统上，可以利用这些可执行的脚本程序，很轻松的获得系统的控制权。在这样一种分布式应用的网络环境中，任何一个应用服务没有把好自己的“门户”，就会成为黑客攻击的对象，进而窃取或破坏其他系统资源4。其次，校园网络主要采用TCP/IP作为网络通信协议。TCP/IP以开放性著称，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户授权、身份验证、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，实现时还会存在一些安全漏洞。再次，校园网的应用服务器一般安装windows服务器操作系统，自身存在很多安全漏洞。如果设置不当，系统的安全性会大打折扣。同时，应用服务系统本身也可能存在安全隐患。针对校园网网络长期以来出现的各种问题，对校园网的需求提出了如下几点：1、有一套完整可行的网络安全与网络管理机制。2、内部网络、服务器网络和外部网络存在有效隔离，避免与外部网络的直接通信，外部用户必须经过身份验证方可访问校园内部资源。3、内部各个系部、单位的网络访问进行有限制，各单位之间在未经授权的情况下，不能互相访问。4、建立基于B/S模式应用软件服务器的安全保护措施，保证系统安全、稳定运行。5、监控对外公开服务器的运行状态，及时发现系统漏洞，阻断黑客攻击行为。6、加强对网络、公开服务器访问行为的日志审核工作，及时发现可以访问行为。7、强化数据容灾和备份，实现系统崩溃后数据快速回复。8、强化网络安全管理，提高网络管理人员的安全意识和防范技术。 2.2 网络安全防范体系设计原则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面5。网络安全防范体系在整体设计过程中应遵循以下几项原则：2.2.1 网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点”的安全性能。2.2.2 网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。2.2.3 安全性评价与平衡原则对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。2.2.4 标准化与一致性原则 系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。2.2.5 技术与管理相结合原则安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。2.2.6 统筹规划，分步实施原则由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。2.2.7 等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。2.2.8 动态发展原则要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。2.2.9 易操作性原则首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。2.3 常见网络攻击的防范1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL，能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使用6。2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增强网络的安全性。5、对DOS攻击，扫描攻击的屏蔽通过在校园网中部署防止DOS攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。 2.4 网络安全建设的步骤网络安全涉及面相当广，同时进行建设的可行性较差，因此，需要按照以下方式进行分阶段实施。1、第一阶段技术方面：采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。服务方面：进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份，通过这些服务，增强网络的抗干扰性。支持方面：要求服务商提供故障排除服务，以提高网络的可靠性，降低网络故障对网络的整体影响。2、第二阶段在第一阶段安全建设的基础上，进一步增加网络安全设备，采纳新的安全服务和技术支持来增强网络的可用性。技术方面：采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要的客户端安装个人版防护软件。服务方面：对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。支持方面：要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。3、第三阶段在这一阶段，采取的措施以进一步提高网络效率为主。技术方面：采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。服务方面：采用白客渗透测试，要求服务商定期提供整体安全分析报告。支持方面：要求能够实时或者时候查找攻击源。以上针对用户网络分别从三个方面提出了安全解决方案，并按照实施的紧迫性分成三个阶段来实现，但是实际针对某个用户，对于安全的要求可能各不相同，具体网络情况也可能有很大的差异，因此建议用户根据实际情况建立网络安全建设的时间表。另外，随着新技术、新产品的不断涌现，网络技术的不断发展，对于网络安全的要求不断提高，安全建设的最基本原则：不断改进，不断增强，安全无止境。对于网络安全应该具有以下四个方面的特征：保密性：信息不泄露给非授权用户、实体。 完整性：数据未经授权不能进行改变的特性。 可用性：可被授权实体访问并按需求使用的特性即当需要时能 否存取所需的信息。可控性：对信息的传播及内容具有控制能力。在现实世界中，网络系统一旦出现安全问题，其代价往往是惊人的因此，充分认识到网络应用所带来的风险并采取必要的安全防范措施是非常关键的。3 功能设计3.1 防火墙技术3.1.1 防火墙简介防火墙是计算机网络上一类防范措施的总称，它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理7。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视Internet安全和预警的方便端点。由于网络具有天生的开放性，所以有许多防范功能的防火墙也有一些防范不到的地方，如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。因此，防火墙只能是一种整体安全防范政策的一部分。实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在IP层实现的，它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过，因此它可以只用路由器完成。在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。3.1.2 防火墙部署在防火墙设置上按照以下原则配置来提高网络安全性：1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则；2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击；3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用；4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录8。 配置：1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3. 运行电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样。4. 当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。(1)防火墙上的基本配置代码如下：pixfirewall# conf tpixfirewall(config)# hostname pixpix(config)# int e0pix(config-if)# nameif insidepix(config-if)# ip add pix(config-if)# no shutpix(config-if)# exitpix(config)# int e1pix(config-if)# nameif outsidepix(config-if)# ip add pix(config-if)# no shutpix(config-if)# exitpix(config)# static (inside,outside) netmask 55pix(config)# access-list 100 permit icmp any anypix(config)# access-group 100 in interface outside(2)动态NAT配置，使内部地址通过全局地址访问Internetpix(config)# int F0/0pix (config-if)# ip nat insidepix (config-if)#ip address pix (config-if)# no shutpix (config-if)# exitpix (config)# int F1/0pix (config-if)#ip address 0 pix (config-if)#ip nat outsidepix (config-if)# no shutpix (config-if)# exitpix (config)# ip nat pool natpool 0 netmask pix (config)# ip nat inside source list 1 pool natpoolpix (config)#access-list 1 permit 。 3.2 入侵检测传统防火墙的不足主要体现在以下几个方面：防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击。入侵检测（Intrusion Detection）是对入侵行为的检测9。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为10。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。3.3 建立漏洞管理系统随着软件规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在11。因此，应采用先进的漏洞扫描系统定期对服务器等安全检查，及时地将发现的安全漏洞打上“补丁”。部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：1.对用户网络中的资产进行自动发现并按照资产重要性进行分类； 自动对网络资产的漏洞进行评估并将结果自动发送和保存；3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；4.根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；对修复完毕的漏洞进行修复确认；6.定期重复上述步骤。通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。3.4 数据加密数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一12。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。 数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是受“密钥”控制的。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为“对称密钥算法”。这样的密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信急，也可以用该密钥解密信息，DES是对称加密算法中最具代表性的算法。如果加密/解密过程各有不相干的密钥，构成加密/解密的密钥对，则称这种加密算法为“非对称加密算法”或称为“公钥加密算法”，相应的加密/解密密钥分别称为“公钥”和“私钥”。在公钥加密算法中，公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的公钥加密过的信息。典型的公钥加密算法如RSA是目前使用比较广泛的加密算法。3.5 网络防病毒技术病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。在高校校园网部署网络版防病毒系统，进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署13。其应具有如下功能：在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。这些技术包括：基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如，我们准备在主机上统一安装网络防病毒产品套间，并在计算机信息网络中设置防病毒中央控制台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。3.6 IP盗用问题的解决在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。在路由器上绑定IP和MAC地址：R1(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 R1 (config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机能访问任意主机 R1 (config)permit any host 0009.6bc4.d4bf 定义所有主机能访问MAC地址为0009.6bc4.d4bf的主机 R1 (config)Ip access-list extended IP10 定义一个IP地址访问控制列表并且命名该列表名为IP10 R1 (config)Permit any 定义IP地址为的主机能访问任意主机 Permit any 定义所有主机能访问IP地址为的主机 R1 (config-if )interface Fa0/0 #进入设置具体端口的模式 R1 (config-if )mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略） R1 (config-if )Ip access-group IP10 in 在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略） 3.7 利用网络监听维护子网系统安全对于校园网外部的入侵可以通过安装防火墙来解决，但是对于校园网内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。3.8 部署内容安全管理系统传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。因此，我们还需要细粒度的应用层和内容层策略控制14。实现这个目标的新技术就是内容安全管理。内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制，实现对网站访问、邮件收发、P2P 下载、论坛、在线视频等事件的全面有效管理。通过内容安全管理，高校可以营造健康的网络环境，屏蔽色情、暴力等不良网站；对学生的上网行为有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散；加强对P2P等应用的流量管理，保障网络资源合理使用。3.9 建立良好的管理体系和管理层面对策计算机网络的安全管理，包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰，是十分重要的措施15。4 安全防范实例4.1 防火墙和入侵检测系统的安装与配置4.1.1 防火墙的安装和配置防火墙是设置在被保护网络与外部网络之间的一道屏障，实现网络的安全保障，以防止发生不可预测的，潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力，他是提供网络安全服务，实现网络安全的基础设施，严峻的网络安全形势，促进了防火墙技术的不断进步，防火墙的产品也有很多。本案例主要采用工具软件例如天网防火墙，搭建和配置防火墙安全策略的方法。天网防火墙个人版（简称为天网防火墙）是由天网安全实验室研发制作给个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则（Security Rules）把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，它适合于任何方式连接上网的个人用户。为了便于演示和对该技术方便掌握，我们要求在一台计算机上应该有两个及以上的操作系统，这样我们就需要在主机上安装一个虚拟机及其操作系统，并且作适当的调试和配置，只有完成这些网络环境的搭建，方可进行接下来的工作。在Windows Xp 操作系统（虚拟机）中安装天网防火墙，运行后出现天网防火墙主界面，如下图4-1所示：图4-1 天网防火墙主界面 打开天网防火墙工具栏中的IP规则管理，在这里新建一条规则，用来禁止外部主机用ping来命令连接本机。确定之后，外部主机将无法ping通本机。如下图4-2所示：图4-2 在IP规则管理界面下增加IP规则完成以上操作后，用ping命令来测试主机和虚拟机能否通信。我们用外部主机ping虚拟机（16），此时外部主机不能ping通虚拟机。如下图4-3所示：图4-3 外部主机ping虚拟机结果4.1.2 入侵检测系统的搭建与配置入侵检测系统（IDS）是一种对网络传输进行及时监控，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设施。与其他网络安全设施不同，IDS是一种积极主动的安全防护措施。一个合格的入侵检测系统能够大大的简化管理员的工作，保证网络的安全运行。目前，IDS发展迅速，已有人宣传IDS可以完全取代防火墙，本操作也主要介绍在Windows Xp平台上，如何部署入侵检测工具OSSEC HIDS来实现入侵检测系统的方法。 OSSEC HIDS是一款开源的入侵检测系统，包括了日志分析、全面检测等。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中，如果多台计算机都安装了OSSEC，就可以采用客户机服务器模式来运行。客户机可以通过客户端程序将数据发回到服务器端进行分析。在网站下载软件包，在Windows Xp 操作系统（虚拟机）中安装，在安装并且相关信息填写完成之后，出现窗口如图4-4所示：图4-4 OSSEC安装完成后出现的界面点 view菜单中的 view logs来查看日志，看ossec是否正常工作，我们看到如下信息：如图4-5所示图4-5 查看日志由图上所显示的内容，说明已经连上服务端，而且agent 会分析系统日志包括系统、应用程序、安全日志。这也意味着我们如果想利用好ossec，需要在 windows机器上开启审核策略，这样就会有比较详细的系统日志。点 View 菜单下的 View Config 则可以看到客户端相关的配置比如监控与忽略的目录、注册表项等情况。如下图4-6所示：图4-6 View Config内容显示4.2 windows下VPN环境的搭建4.2.1 利用PPTP配置VPN虚拟专用网络（VPN）可以通过特殊的加密通信协议，对位于不同地理位置的两个或多个企业内部网，通过互联网建立一条专有的通信信道。VPN技术原是路由器具有的重要技术之一，目前的交换机、防火墙、及windows 2000以上系统都支持VPN功能。本方案是在windows下搭建VPN的技术方法。为了便于演示和对该技术方便掌握，我们要求在一台计算机上应该有两个及以上的操作系统，这样我们就需要在主机（Windows Xp）上安装一个虚拟机及其操作系统（Windows server 2003），并且作适当的调试和配置，只有完成这些网络环境的搭建，方可进行接下来的工作。首先，我们要利用PPTP配置VPN网络，在Windows xp系统中，先选择管理工具，然后选择本地安全策略，右键单击IP安全策略，在本地计算机，选择创建IP安全策略，系统将弹出IP安全策略向导，如下图4-7所示：图4-7 本地安全设置界面单击下一步按