局域网技术.doc

武汉学院学生学年论文（设计）题 目： 计算机网络安全中访问控制的应用分析以校园网为例 指导教师： 赵清强 职 称： 讲师 学生姓名： 付备 学号： 11071161 专 业： 网络工程 年级： 1104班 摘要随着计算机网络技术的迅速发展和广泛应用，计算机网络在各行各业建设中已占据了重要位置。随着高校信息化使所要处理的相关信息也在迅速地扩大,因此各高校都在加强网络信息平台的建设,尤其是校园网的建设,以此来管理数量庞大的信息。校园网络安全问题也因此成为各高校在信息化建设中面临的重大问题之一。针对高校网络的现状及问题提出了相应的安全评估和安全控制策略。关键词校园网 安全分析 解决方案一、引言随着计算机网络在校园网络的应用中不断普及，各高校已把网络安全放在了教学中的一个极其重要的位置上，网络安全已成为构建校园算机网络体系进程中必须首先需要考虑和解决的问题。在目前校园网络建设的过程中，访问控制是保证计算机网络安全最重要的核心策略之一，同时它也是维护网络安全、保护网络资源的一个重要手段，其主要任务是保证网络资源不被非法使用和非正常访问。因此，加强以访问控制为核心的银行计算机网络安全，保证校园网络安全以及提高防范能力已成为当前校园网络亟待解决的问题。二、校园网络安全隐患综合分析1.物理层的安全问题校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。2.系统和应用软件存在的漏洞威胁在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。3.计算机病毒入侵和黑客攻击计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解, 特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。4.内部用户滥用网络资源校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。二、采取安全控制策略1.硬件安全策略硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。（1） 防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。防火墙技术首先将网络划分为内网与外网，它通过分析每一项内网与外网通信应用的协议构成，得出主机IP地址及IP上联端口号，从而规划出业务流，对相应的业务流进行控制。防火墙技术在最大限度上限制了源IP地址、目的IP地址、源上联端口号、目的上联端口号的访问权限。 (2)入侵监测控制策略入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(Intrusion Detection Systems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 (3)服务器访问控制策略服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。3.病毒防护策略病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。4.不良信息的防护策略Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。5.建立安全评估策略校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。三、 校园网络安全体系中访问控制总体应用 根据校园网络的具体业务对网络安全的不同需求，在分支的核心交换机上按照具体业务需求划分了若干个VLAN(Virtual Local Area Network)，不同的VLAN对安全的要求不同，因而各VLAN对分行网络的访问权限也就不一样。根据此要求，在交换机上对各VLAN都定义了各自的访问控制列表，各VLAN的访问控制列表对本VLAN内的设备能够访问以及禁止访问的目标网段或者具体的目标设备都作了严格的规定，一旦访问控制列表被定义完成，它将立即生效，本VLAN内的所有设备都将受访问控制列表的约束。各VLAN的访问控制列表也不相同，这些列表之间的差异体现了各VLAN对网络安全的需求的差异。在分行内部网和与外单位相连的外部网之间，使用防火墙来对进出内外网的数据流进行筛选和过滤。在防火墙上根据不同的业务定义了不同的安全策略，主要就是根据这些安全策略来对进出的数据流进行过滤，以保证只允许认为安全的数据进出内部网，对认为不安全的数据则禁止其通过。如图1所示，校园网络拓扑结构图。 四、结束语高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。 评语：分数：阅卷人： 参考文献:1 Kurous J F,Keith W.Ross Computer NetworkingM.Higher Education Press Pearson,2003.653-657.2张武军,李雪安.高校校园网安全整体解决方式研究J.电子科技