校园网讲座.ppt

校园网安全浅析 盐城市现代教育技术中心王云 校园网安全浅析 网络的安全服务器的安全PC机的安全 网络的安全 网络规划设计网络设备的设置及网络安全设备网络日志 校园网规划设计中的安全分析 校园网 城域网 防火墙 路由器 汇聚层交换机 接入层交换机 服务器 案例一 原拓扑图 1 服务器连接在汇聚层交换机上 不能防止内网的攻击 2 校园网内没有划分VLAN 所有计算机在同一网段内 不能隔离广播 病毒易传播 所有用户可互访 校园网 城域网 防火墙 路由器 汇聚层交换机 接入层交换机 服务器 案例一 解决方案 划分VLAN TRUNK 规划ACL 1 服务器连接在防火墙 路由器 上 2 校园网内根据用户划分VLAN 并规划出相应的访问控制列表 ACL 3 使用防毒墙或网络版杀毒软件 网络版杀毒控制台 校园网 城域网 汇聚层交换机 接入层交换机 服务器 案例二 原拓扑图 1 校园网内所有计算机均使用城域地址 所有电脑对城域网用户完全开放 极易被攻击 病毒传播 2 服务器连接在汇聚层交换机上 易被内 外网攻击 极不安全 3 校园网内没有划分VLAN 所有计算机在同一网段内 不能隔离广播 病毒易传播 所有用户可互访 校园网 城域网 汇聚层交换机 接入层交换机 服务器 软路由软防火墙 案例二 解决方案 划分VLAN规划ACL 网络版杀毒控制台 1 用服务器 计算机 做软防火墙 软路由 2 校园网内根据用户划分VLAN 并规划出相应的访问控制列表 ACL 3 使用网络版杀毒软件 软防火墙 微软的ISA特点 功能强大 但配置要求较高 软路由 RouterOS FreeSCO等特点 性能稳定 配置要求不高 1 网络设备的安全设置 不使用默认口令 弱口令 使用认证登录 根据用户划分VLAN 虚拟隔离不同的用户群体 通过访问控制 合理有效地使用网络带宽 网络安全设备 防火墙 防毒墙入侵检测系统 入侵防御系统防水墙 安全审计系统 上网行为管理系统 网络安全设备 防火墙 防毒墙入侵检测系统 入侵防御系统防水墙 安全审计系统 上网行为管理系统 网络安全设备 防火墙 防毒墙 防火墙 用来加强网络之间访问控制 防止外部网络用户以非法手段通过外部网络进入内部网络 访问内部网络资源 保护内部网络操作环境的特殊网络互连设备 网络版杀毒软件 因为安装在操作系统之上 因此操作系统本身的稳定性以及是否存在漏洞都对网络版杀毒软件的使用产生一定的影响 其次 网络版杀毒软件虽然能够查杀病毒 但它并不能保证病毒从互联网进入局域网 防毒墙 防止病毒从互联网进入内部网络 网络安全设备 入侵检测系统 入侵防御系统 入侵检测系统 IDS IntrusionDetectionSystem 是一种对入侵行为的检测的网络安全设备 它通过收集和分析网络行为 安全日志 审计入侵检测数据 其它网络上可以获得的信息以及计算机系统中若干关键点的信息 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象 入侵防御系统 IPS IntrusionPreventionSystem 是一种能够监视网络数据传输 并能即时的中断 调整或隔离一些不正常或是具有伤害性的网络数据传输的网络安全设备 网络安全设备 防水墙 安全审计系统 上网行为管理系统 防水墙 利用透明加解密 身份认证 访问控制和审计跟踪等技术手段 对涉密信息 重要业务数据和技术专利等敏感信息的存储 传播和处理过程 实施安全保护 最大限度地防止敏感信息泄漏 被破坏和违规外传 并完整记录涉及敏感信息的操作日志 以便日后审计或追究相关的泄密责任 上网行为管理系统 对用户 组 及应用类型的带宽管理和带宽通道划分 提升带宽使用效率 管控和过滤对色情或反动网站的浏览和未知文件的下载安装 过滤和记录内网电脑的网络发帖 e mail行为 对QQ MSN等聊天内容的记录和审计 安全审计系统 为了网络信息数据不受来自用户的破坏 泄露 窃取 实时监控网络环境中的网络行为 通信内容 以便集中收集 分析 报警 处理的一种技术手段 网络安全日志 硬件访问日志出口NAT转换日志服务器访问日志 服务器的安全分析 系统安全网站安全 服务器的系统安全 安装正版系统 操作系统 数据库系统及相关软件 安装系统补丁安装防毒软件设置用户及权限 校园网站的建设 校园网站的功能关于校园网站建设的几点建议 由单一功能向多元化服务发展由单向发布向双向互动发展由简单的图文信息向多媒体信息流发展由 以信息为本 向 以人为核心 转变 校园网站的功能 1 由单一功能向多元化服务发展 从单一的信息发布向为教育 教学各方面服务发展 例 学校管理 公文流转 教务管理 教师档案管理 学籍管理 后勤管理 财务管理等 教学方面 教学应用平台 电子备课平台 学科专题网页 课题研究等 学生学习 资源库 在线答疑 网络课堂 在线学习评价系统等 2 由单向发布向双向互动发展 由发布校园信息向师生 家长共同参与的互动平台发展 例 师生互动 班级主页 论坛 教学论坛 在线答疑等 家校互动 留言簿 家长学校等 教师参与 教师博客 教学论文 网络备课等 学生参与 各类网上活动 评比 网上作文 读书活动 网上实验室 电脑制作等 3 由简单的图文信息向多媒体信息流发展 除图文信息外增加了音 视频 动画等多媒体流 例 资源库 网络课堂等 4 由 以信息为本 向 以人为核心 转变 由发布信息为主向为师生 家长服务型平台转变 例 校领导 管理平台教师 教育 教学平台学生 学习拓展平台家长 交流平台 关于校园网站建设的几点建议 抓住优势 建一个有特色的校园网站加强沟通 师生共建校园网站以人为本 建一个服务型的高效网站加强自身专业技术学习 提高网站的安全性 网站安全 网站防火墙 防篡改系统网站的攻击防御 网站的攻击防御 可以入侵的网站一般是动态网站 比如asp php jsp aspx等形式的站点 后缀为htm的站点被入侵几率很小 入侵常见方法 1暴库2COOKIE诈骗3旁注4上传漏洞5注入漏洞 暴库 通过提交字符得到数据库文件 直接得到数据库的绝对路径 下载数据库就直接获得站点的后台的管理权限 建议 在ODBC里设置数据源 COOKIE诈骗 COOKIE是上网时由网站给访问用户发送的值 记录了用户的一些资料 比如IP 姓名等 使用工具可以修改COOKIE 这样就达到了COOKIE诈骗的目的 系统以为是管理员 建议 使用Session对象 Session对象由Web服务器创建 旁注 入侵某站时困难时 先入侵和这个站同一服务器的其它站点 然后再利用被入侵站点用提权 嗅探等方法来入侵该站点 建议 做好服务器上所有站点的安全防护或仅放一个站点 使用虚拟机 上传漏洞 是网站入侵中最为常见 成功率较高的 防护方法 1 文件上传至数据库中 对文件进行压缩 加密后存在网站数据库中 缺点 数据库庞大 适用 上传图片 文本等容量较小的文件 2 在上传页面中 检查上传文件的扩展名并指定上传后的文件名 含扩展名 缺点 不能完全防止漏洞 例 图片木马 3 在上传页面中 检查上传文件的内容 修改文件名 禁止含 exec call run active object等脚本特征码的文件 缺点 不能完全防止漏洞 例 加密后的网页木马 4 网站中大多数的文件夹和文件要给予匿名用户 读取 和 纯脚本 的执行许可 如果文件夹中没有动态网页文件的 如 存放上传文件的目录 钩选 读取 执行许可都设置为 无 即不允许任何脚本运行 这样 即使这个文件夹中被写入了恶意程序 也不能运行 注入漏洞 这个漏洞是应用较广泛 注入漏洞是因为字符过滤不严谨所造成的 可以得到管理员的帐号密码等相关资料 将木马网址写入SQL数据库中 建议 做好网站的防注入工作 1 request对象可以不通过集合来获得数据 即直接使用 request ID 按QueryString get Form post Cookie的顺序来搜索的 cookie是保存在客户端的一个文本文件 可以进行修改 利用Request cookie方式来提交变量的值 从而利用系统的漏洞进行注入攻击 ThenStopInjection Request QueryString 防范get注入IfRequest Form ThenStopInjection Request Form 防范post注入IfRequest Cookies ThenStopInjection Request Cookies 防范cookies注入FunctionStopInjection Values Endfunction 2 注意对JS文件的注入 上网PC机的安全 正版系统安装防毒软件上网的安全 PC机上网的安全 以普通用户的身份运行系统