校园网安全论文.doc

科干学院校园网络安全方案参考教材第12章的内容，为实现科干学院校园的网络安全设计一个方案，要求网络安全范围包括学校各个部门：教学楼、实训楼、图书馆、办公楼、宿舍楼、广州校区等区域。规划出校园网络的拓扑结构，在应用到教材各个章节的内容的基础上侧重某一方面的安全配置。格式方面参考大学毕业论文。文字不少于5000字。参考文献请注明出处，如果发现直接网络下载或者雷同的视为不及格。提交时间：18周周二前交给学委，由学委统一打包发到我QQ邮箱。题 目：科干学院校园网络安全方案学生姓名：xxxxx系 别：计算机工程系专 业：网络工程 2012年6月前言网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。关键词：网络； 安全； 设计目 录1. 校园网络安全概述41.1网络安全概述41.2研究校园网络安全的意义41.3校园网络安全威胁62校园网络安全的实现61.1网络入侵61.2防火墙与入侵检测71.3.实施网络安全措施83校园网络安全的的设计方案93.1实施背景93.2网络需求分析93.3拓扑图103.4设备类型103.5综合布线113.6.Iternet接入技术123.7建网方案123.8校园网络的管理12校园网络安全概述网络安全是信息安全学科的重要组成部分。信息安全是一门交叉学科，广义上，信息安全涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。网络的发展极大地改变了人们的生活和工作方式，Internet更是给人们带来了无尽的便捷。我们的教育也正朝着信息化、网络化发展，随着“校校通”工程的深入开展，许多学校都投投资建设了校园网络并投入使用。校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色。但是，在我们惊叹于网络的强大功能时，还应当清醒地看到，网络世界并不是一方净土。“网络天空（Worm.Netsky）”、“高波（Worm.Agobot）”、“爱情后门（Worm.Lovgate）”及“熊猫烧香（Worm.WhBoy）”等病毒，使人们更加深刻的认识到了网络安全的重要性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。研究校园网络安全的意义随着网络技术的发展，可以说现在的大部分学校都建立了校园网络并投入使用，这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用，但在积极发展办公自动化、信息电子化、实现资源共享的同时，网络的安全问题越来越成为一个非常严惩的隐患，就好像一颗定时炸弹一样，深深的埋在教育现代化的进程中，如果这一个隐患不除，那么也许有一天，学校信息平台服务器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了，导致辛苦积累的大量教育资源被破坏。比如2003年暴发的“震荡波、冲击波、FORM.A”等病毒，虽没有造成很大的损失，但足以使认识到网络安全的重要性。因此，如何在现有的条件下避免这样事件发生，搞好网络的安全工作已成了一个重要课题。所以保证校园网络安全已经是刻不容缓。校园网络安全威胁1 计算机病毒 计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。计算机病毒种类繁多，形形色色，但就已经发现的计算机病毒而言，其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。破坏性是指计算机病毒可能会干扰软件的运行，或者无限制地侵占系统资源使系统无法运行，又或者毁掉部分数据或程序，使之无法恢复，甚至可以毁坏整个系统，导致系统崩溃。传染性则是计算机病毒能通过自我复制传染到内存、硬盘甚至文件中。寄生性表现为病毒程序一般不独立存在而是寄生在磁盘系统区或文件中。潜伏性则是指计算机病毒可以长时间地潜伏在文件中，在相应的触发机制出现前并不影响计算机，但当被触发后，则后果严重。激发性是指病毒程序可以按照没计者的要求，例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。2 网络攻击校园网面临的另一个安全威胁就是网络攻击。网络攻击包括很多方面。这里结合校园网络安全的特点，重点介绍拒绝服务(DoS，Daniel of Service)攻击。之所以介绍拒绝服务攻击，因为拒绝服务攻击在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大为拒绝服务攻击提供了天然条件。加之学生的好奇心的因素，导致拒绝服务攻击发生频率较高，是危害校园网安全的重要类型之一。1黑客攻击现在网站被黑可谓是家常便饭，黑客的行为有3方面的发展趋势。（1） 手段高明化（2） 活动频繁化（3） 动机复杂化黑客攻击五部曲1. 隐藏IP2. 踩点扫描3. 获得系统管理员的权限4. 种植后门5. 在网络中隐身2.还有其他的一些攻击方法1 ）UDP洪水攻击。攻击利用如chargen和echo等简单的TCPIP服务相互发送大量数据以沾满带宽，从而瘫痪网络的方式。2 ) SYN洪水攻击。攻击者通过想服务器发送连续的SYN握手信息来瘫痪服务器的攻击方式。3 ) LAND攻击 该攻击是让服务器自己向自己发送SYN握手信息已达到瘫痪主机的目的。4 ) Smurf攻击。攻击者将报文地址设为Echo地址，这样Echo78地址就必须不问断的响应该报文，使得网络带宽被侵占，从而达到瘫痪网络的目的。5 ) Fraggle攻击。Fraggle攻击对Smurf攻击做了修改。校园网络安全的实现1. 了解网络入侵的手段1） 社会工程学攻击社会工程学攻击包括两种方式：打电话请求密码和伪造E-mail。现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码，电话诈骗如以知名人士的名义去推销诈骗等，都运用到社会工程学的方法。打电话请求密码经常奏效，在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。使用Telnet，一个黑客可以截取任何一个身份证发送的E-mail的全部信息，实施他们的恶意阴谋。2） 物理攻击与防范3） 获取管理员密码4） 暴力攻击字典攻击是最常见的暴力攻击。它是通过收集好密码可能包含的字符串，然后通过各种方式组合。 还有其他的WINDOWS漏洞攻击。常见的DoS工具有：同步洪流、WinNuke、死亡之PING、Echl攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击、OOB等。防火墙与入侵检测所谓入侵检测其实就是指试图监视和尽可能阻止有害信息的入侵，或者其他能够对用户的系统和网络资源产生危害的行为入侵检测分为三种：1.基于网络的入侵检测系统2.基于主机的入侵检测系统3.基于漏洞的入侵检测系统所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙的功能 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 实施网络安全措施前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。1、杀毒软件。杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。（1）在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。（2）在各办公室分别安装杀毒软件的客户端。（3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。（4）网络中心负责整个校园网的升级工作。2、采用VLAN技术。VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。4、防火墙。在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则.(2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。(3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。(4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。(5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性.6、漏洞扫描。随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存在因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。7、数据加密。数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。3校园网络安全的的设计方案3.1实施背景了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。3.2网络需求分析1.校园网在信息服务与应用方面应满足以下几个方面的需求：(1)要求通过校园网连至Internet，达到100Mbps到桌面。(2)学校主页。学校应建立独立的WWW服务器，在网上提高学校主页等服务，包括校情简介、学校新闻、校报（电子报）、招生信息以及校内电话号码和电子邮件地址查询等。(3)文件传输服务。考虑到师生之间共享软件，校园网应提供文件传输服务（ftp）。文件传输服务器上存放各种各样自由软件和驱动程序，师生可以根据自己需要随时下载并把它们安装在本机上。(4) 校园网站建设（WWW、FTP、E-mail、DNS、PROXY代理、拨入访问、流量计费等）；(5) 多媒体辅助点播教学兼远程教学：校园网要求具有数据、图像、语音等多媒体实时通讯能力；并在主干网上提供足够的带宽和可保证的服务质量，满足大量用户对带宽的基本需要，并保留一定的余量供突发的数据传输使用，最大可能地降低网络传输的延迟。(6) 校园办公管理；(7) 学校教务管理；(8) 校园通卡应用；(9) 网络安全FIREWALL；(10) 图书管理、电子阅览室；(11) 系统应提供基本的Web开发和信息制作的平台。3.3拓扑图3.4设备类型1.防火墙2.核心交换机3.汇聚层交换机4.接入层交换机5.路由器6.服务器7.PC3.5综合布线3.3.1综合布线的设计原则 综合布线同传统的布线相比较，有着许多优越性，是传统布线所无法比及的。其特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期。而且在设计、施工和维护方面也给人们带来了许多方便。根据综合布线七大子系统（工作区，水瓶子系统，管理间子系统，垂直干线子系统，设备间子系统，进线间子系统，建筑群子系统）的设计原则，做好网络的接入层工作。3.6.Iternet接入技术如果校园网不能和Internet连接的话，就不能是一个完整的网络，也不能充分利用Internet网上的大量信息资源。因此校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。当前适合校园网与Internet的宽带连接方式主要有ADSL和光纤专线接入。ADSL是一种非对称的宽带网络数据传输技术，它的一个明显优势是经济上实用。ADSL宽带线路通过ADSL Modem接入Internet代理服务器的网卡上的，不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的Internet服务器来实现的，在服务器上运行各种网络服务软件，为校园内部的用户提供Internet的接入服务。光纤接入的优点是可提供比较高的网络带宽和稳定性，但它的连接较为复杂。3.7建网方案根据校园网络建设应遵循原则的介绍和各种网络技术的分析。总的来说，交换式快速以太网是目前成熟技术中最先进、最实用的。所以决定选择光纤交换式快速以太网作为校园网主干，系统总体上采用国际上流行的TCP/IP协议，并兼顾IPX协议，采用开放体系及在各种应用实践中得到检验的快速以太网技术和产品。为了加强对分布式多媒体交互教学的探索，校园网可分为三个层次结构：主干网、广域网和内部局域网。主干网采用1000Mbps快速以太网技术，内部局域网与主干网之间用以太网交换机进行互联，根据用户的需求，网络建设目标，采用交换式千兆以太网作为主干网，网络拓扑结构为星型，这样可有利于提高网络的高可靠性，便于维护和管理。采用交换式快速以太网做主干有以下原因：速度快，安装、维护简单。主干速度为1000Mbit/s交换，能够满足网络应用层