校园网防火墙管理和维护.doc

辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 辽宁信息职业技术学院 毕毕 业业 设设 计计 论文论文 题目 校园网防火墙管理和维护 系 部 软件工程系 专 业 计算机网络技术 姓 名 周炜雯 学 号 27 指导教师 张一民 2011届 班级 网络 S081 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 毕业设计 论文 任务书 毕业设计 论文 题目 校园网防火墙管理和维护 毕业设计 论文 内容 网络安全是一个不容忽视的问题 当人们在享受网络带来的方便与快捷的同时 也要时时面对网络开放带来的数据安全方面的新挑战和新危险 为了保障网络安全 当校园网与外部网连接时 可以在中间加入一个或多个中介系统 防止非法入侵者通 过网络进行攻击 非法访问 并提供数据可靠性 完整性以及保密性等方面的安全和 审查控制 这些中间系统就是防火墙 Firewall 技术 它通过监测 限制 修改跨越 防火墙的数据流 尽可能地对外屏蔽网络内部的结构 信息和运行情况 阻止外部网 络中非法用户的攻击 访问以及阻挡病毒的入侵 以此来实现内部网络的安全运行 毕业设计 论文 专题部分 网络防火墙的技术作为校园内部网络与外部网络之间的第一道安全屏障 是最先 受到人们重视的网络安全技术 就其产品的主流趋势而言 大多数代理服务器 也称 应用网关 也集成了包滤技术 这两种技术的混合应用显然比单独使用更具有大的优 势 那么我们究竟应该在校园的哪些地方部署防火墙呢 首先 应该安装防火墙的位置 是校园内部网络与外部 Internet 的接口处 以阻挡来自外部网络的入侵 其次 如果校 园内部网络规模较大 并且设置有虚拟局域网 VLAN 则应该在各个 VLAN 之间设置防火 墙 第三 通过公网连接的总部与各分支机构之间也应该设置防火墙 如果有条件 还应 该同时将总部与各分支机构组成虚拟专用网 VPN 指导教 师 签字 年 月 日 教研室主任 签字 年 月 日 系 部 主任 签字 年 月 日 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 毕毕 业业 设设 计计 论论 文文 评评 语语 指导教师评语指导教师评语 成绩成绩 指导教师指导教师 签字签字 年年 月月 日日 评阅人评语评阅人评语 成绩成绩 评阅教师评阅教师 签字签字 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 年年 月月 日日 摘摘 要要 所谓防火墙指的是一个由软件和硬件设备组合而成 在内部网和外部网之间 专用网与公共网之间的界面上构造的保护屏障 是一种获取安全性方法的形象说 法 它是一种计算机硬件和软件的结合 使Internet 与 Intranet 之间建立起 一个安全网关 Security Gateway 从而保护内部网免受非法用户的侵入 防火墙主要由服务访问规则 验证工具 过滤包和应用网关4 个部分组成 随着信息技术的迅猛发展 网络在教育行业得到了广泛应用 也越来越重视校园 网络的安全与管理 校园网主要是以教学 管理 办公 信息交流和通信等提供综 合的网络应用环境 在校园网络的管理中 由于网络自身的局限性 以及高校研究 的保密性等方面的原因 校园网络的安全管理成为众多管理中的重中之重 因此本 文主要就校园内网络的安全与管理设计进行探讨 按照网络设计流程的顺序 需求 分析 网络安全分析 网络安全结构设计 网络管理结构设计 对校园网络分为三 个区域 教学区 办公区 生活区 进行设计 辽宁信息职业技术学院校网络不是一个封闭的网络 极大地扩展了学校的业务 提高了学校的竞争力 但同时也带来网络安全的风险 网络设计中必须制定网络安 全策略 保证内部网络的完整性和安全性 关键字关键字 网络安全 网络管理 防火墙 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 Abstract The so called firewall refers to a combination of software and hardware devices in between the internal network and external networks private networks and public networks constructed on the interface between the protective barrier Is a kind of access to safe methods of image statement It is a combination of computer hardware and software to enable Internet and Intranet established between a security gateway Security Gateway so as to protect the internal network from unauthorized users of the intrusion firewall mainly by the service access rules verification tools packet filtering and application gateway 4 parts With the rapid development of information technology network in the teaching profession has been widely used More and more attention to the campus network security and management Campus network are mainly teaching management office information exchange and communication network to provide integrated application environment On the campus network management because of the limitations of the network itself as well as the confidentiality of research universities and other reasons the campus network security management to become the top priority of a number of management this article mainly on the campus network security and Management of design in accordance with the order of the network design process requirements analysis Analysis of Network Security Network security architecture design network management architecture design on the campus network is divided into three areas teaching areas office area living area to design Liaoning Institute of Information Technology University network is not a closed network greatly expanding the school s business and enhance the competitiveness of the school but also brings network security risks Network design network security policy must be developed to ensure the integrity and internal network security Keywords network security firewall network management 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 目目 录录 前言 1 一 总体分析 2 1 1 背景分析 2 1 2 需求分析 2 1 3 网络安全分析 2 1 3 1 安全隐患 2 二 网络规划设计 3 2 1 拓扑结构图 3 2 2 信息点分布情况 4 2 3 IP 地址的划分 5 2 4 VLAN 方案设计 5 三 网络安全概述 5 3 1 计算机网络安全 5 3 2 网络安全的目的和功能 6 3 2 1 网络安全的目的 6 3 2 2 计算机网络安全的重要性 6 3 2 3 校园网络安全的措施及解决方案 7 四 网络安全技术 7 4 1 加密技术 7 4 2 用户识别技术 7 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 4 3 漏洞扫描技术 8 4 4 虚拟局域网 VLAN 技术 8 五 网络安全与防护 9 9 5 1 双机热备 9 5 2 磁盘阵列容错 9 5 3 数据库安全 9 5 4 数据的备份与恢复 10 5 5 服务器的备份与恢复 10 5 6 网络病毒与防范 10 5 6 1 网络病毒概述 10 5 6 2 常见的网络病毒 11 5 6 3 黑客入侵与防范 12 5 6 4 端口扫描与防范 18 5 6 5 缓冲区溢出与防范 18 5 6 6 拒绝服务攻击 18 5 6 7 网络监听与防范 19 5 7 系统漏洞的攻击与防范 19 六 防火墙 23 6 1 防火墙的概述 23 6 2 防火墙的功能 23 6 3 防火墙采用的技术 23 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 6 4 防火墙选型 24 6 5 校园网防火墙系统的配置 25 6 5 DMZ 27 6 6 1 DMZ 的概述 27 6 6 2 服务器的安全 27 七 结束语 29 八 谢辞 30 九 参考文献 31 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 1 前言 随着 Internet 的迅速发展 电子商务已成为潮流 人们可以通过互联网进行网上 购物 银行转账等许多商业活动 现在商业贸易 金融财务和其他经济行为中 不少 已经以数字化信息的方式在网上流动着 在下个世纪伴随着电子商务的不断发展和普 及 全球电子交易一体化将成为可能 数字化经济 Digital Economy 初具规模 电子银行及电子货币的研究 实施和标准化开始普及 然而 开放的信息系统必然存在众多潜在的安全隐患 黑客和反黑客 破坏和反 破坏的斗争仍将继续 在这样的斗争中 安全技术作为一个独特的领域越来越受到全 球网络建设者的关注 网络是信息高速发展的纽带 它不但可以带给我们信息发展的前沿 还能够帮助 我们查阅大量的信息 它所提供的信息资源几乎是无穷无尽的 网络作为一种研究工 具的出现 极大的拓展了知识的获取范围 大大地降低了我们在每一项工作上所消耗 的时间 校园网是网络技术应用于教育事业的一种体现 改善校园网不仅可以充分的提高 教学质量 更能够让学生对学习产生兴趣 而且它也是管理 办公 信息交流和通信 等现代化的标志 因此 对于一个大专来说 扩大校园网的规模 提高信息传输质量 安全 采用 最新的技术 是事在必行的 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 2 一 总体分析 1 1 背景分析 辽宁信息职业技术学院 学校主要分为三个区域 办公区 教学区 生活区 有 气势恢宏的教学大楼 造型新颖的综合办公大楼 生活便利的现代化学生公寓楼 学 校有藏书 5 万余册的图书馆 配有品牌电脑的电脑机房 有设备先进的演播室 网管 中心 语音教学实验室和具有最新现代技术的微机室 多媒体教室 以及器具齐全的 劳技实作室 科技活动室等 为莘莘学子成才创造了优越的条件 1 2 需求分析 校内有教学楼 行政楼 实训楼 男生宿舍楼 女生宿舍楼 教学楼各分四层 教学楼内有预设多媒体教室 实训楼分四层 内预设计算机房 多媒体教室 楼内还有学生活动中心 校园广播站 电子实验室 行政楼分四层 都 是老师以及领导的办公室 每栋宿舍楼分6层 校园网必须具备教学 管理和通讯三大功能 教师可以方便地浏览和查询网上资 源 进行教学和科研工作 学生可以方便地浏览和查询网上资源实现远程学习 通过 网上学习学会信息处理能力 学校的管理人员可方便地对教务 行政事务 学生学籍 财务 资产等进行综合管理 同时可以实现各级管理层之间的信息数据交换 实现网 上信息采集和处理的自动化 实现信息和设备资源的共享 因此 校园网的建设必须 有明确的建设目标 1 3 网络安全分析 1 3 1 安全隐患 校园网络存在的安全隐患和漏洞有 1 校园网通过 CHINANET 与 Internet 相连 在享受 Internet 方便快捷的同时 也面临着遭遇攻击的风险 2 校园网内部也存在很大的安全隐患 由于内部用户对网络的结构和应用模式都 比较了解 因此来自内部的安全威胁更大一些 现在 黑客攻击工具在网上泛滥成灾 而个别学生的心理特点决定了其利用这些工具进行攻击的可能性 3 目前使用的操作系统存在安全漏洞 对网络安全构成了威胁 我校的网络服务 器安装的操作系统有 Windows2000 Server 其普遍性和可操作性使得它也是最不安全 的系统 本身系统的漏洞 浏览器的漏洞 IIS 的漏洞 这些都对原有网络安全构成威 胁 4 随着校园内计算机应用的大范围普及 接入校园网节点日渐增多 而这些节点 大部分都没有采取一定的防护措施 随时有可能造成病毒泛滥 信息丢失 数据损坏 网络被攻击 系统瘫痪等严重后果 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 3 由此可见 构筑具有必要的信息安全防护体系 建立一套有效的网络安全机制显 得尤其重要 在我校的网络安全中 我们考虑到中心机房安全 我们主要用到了 web ftp mail 数据库服务器 在服务器中 用户的访问权限 数据提取速度安全 和外网的 连接安全性 服务器和客服机中安全 客服机中 ARP 攻击 账号的安全性 病毒的传 染性 系统漏洞的更新 二 网络规划设计 2 1 拓扑结构图 服务群 web ftp mail 数据库服务器 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 4 如图 2 1 所示 2 2 信息点分布情况 表2 1信息点分布 楼 楼层号 教室数目 信息点数 个 1号教学楼 1 2 3 4 6 4 6 4 2 2号教学楼 1 3 4 6 3 6 3 2 2号教学楼 2 2 2 100 实训楼 1 4 4 2 实训楼 2 2 2 100 实训楼 3 6 6 5 实训楼 4 1 1 6 行政楼 1 2 3 4 8 4 8 4 5 女生宿舍 1 2 3 4 5 6 12 6 12 6 1 男生宿舍 1 2 3 4 5 6 12 6 12 6 1 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 5 2 3 IP 地址的划分 1 号教学楼共 48 个信息点 IP 地址从 192 168 1 1 192 168 1 48 2 号教学楼共 236 个信息点 IP 地址从 192 168 2 1 192 168 2 236 实验楼共 244 个信息点 IP 地址从 192 168 3 1 192 168 3 244 行政楼共 160 个信息点 IP 地址从 192 168 4 1 192 168 4 160 女生宿舍共 72 个信息点 IP 地址从 192 168 5 1 192 168 5 89 男生宿舍共 72 个信息点 IP 地址从 192168 6 1 192 168 6 89 2 4 VLAN 方案设计 虚拟网络 VLAN 是将局域网内广播域逻辑地划分为若干子网 在一个交换局域网 中 所有局域网段通过交换机连接在一起 路由器连在交换机上 如果是三层交换机 则不需路由器 可以按网段和站点的逻辑分组形成广播域 通过在局域网交换机内过 滤广播包 使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的 网段上 虚网之间的寻径由路由器完成 本设计方案采用的就是具有路由寻址功能的 路由交换机 虚网建立以后 能有效地控制网络的广播风暴 减少不必要的资源带宽浪费 并 能随着企业规模的发展和调整改变通信流的模式 在主流的交换机产品中提供多种虚 网组织方法 基于端口的虚网划分 基于网络安全要求 可采用 MAC 地址方法或用户自定义方法组织虚网 其它用户 即使接入到网络交换机的端口中 也无法进入该虚网 可对每个端口设置相应的安全控制策略 防止非法用户的侵入 可借助三层交换机 实现基于 IP 子网的虚网 利用 VLAN 国际标准 802 1Q 可实现跨交换机的 VLAN 通过 VLAN 生成树技术 PerVLANSpanningTree 可实现各 VLAN 之间的负载均衡 并且当网络拓扑发生变化 时 只影响到相关的 VLAN 的生成树重新计算 使网络的收敛时间最短 采用 VLANPruning 技术来优化交换网络中广播对网络性能的影响 使 VLAN 内部 的广播包不会扩散到没有该 VLAN 成员的中继和交换机上去 三 网络安全概述 3 1 计算机网络安全 计算机网络安全问题是一个错综复杂的问题 它涉及到系统故障以及有意无意的 破坏等 为了确保计算机网络安全 需要采取物理措施 管理措施和技术等多方面措 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 6 施 计算机网络安全的保护对象主要是数据 资源 硬件资源和软件资源 和声誉 用户形象 从本质上来讲 网络安全就是网络上的信息安全 是指网络系统的硬件 软件及 其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改 泄露 系 统连续可靠正常地运行 网络服务不中断 广义来说 凡是涉及到网络上信息的保密 性 完整性 可用性 真实性和可控性的相关技术及理论都是网络安全所要研究的领 域 网络安全涉及的内容既有技术方面的问题 也有管理方面的问题 两方面相互补 充 缺一不可 技术方面主要侧重于防范外部非法用户的攻击 管理方面则侧重于内 部人为因素的管理 如何更有效地保护重要的信息数据 提高计算机网络系统的安全 性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题 3 2 网络安全的目的和功能 3 2 1 网络安全的目的 保护计算机 网络系统的硬件 软件及其系统中的数据 使之不因偶然的或者恶 意的原因而遭到破坏 更改 泄露 确保系统能连续可靠正常地运行 使网络服务不 中断 3 2 2 计算机网络安全的重要性 1 计算机存储和处理的是有关国家安全的政治 经济 军事 国防的情况及一些部门 机构 组织的机密信息或是个人的敏感信息 隐私 因此成为敌对势力 不法分 子的攻击目标 2 随着计算机系统功能的日益完善和速度的不断提高 系统组成越来越复杂 系统规 模越来越大 特别是 Internet 的迅速发展 存取控制 逻辑连接数量不断增加 软件规模空前膨胀 任何隐含的缺陷 失误都能造成巨大损失 3 人们对计算机系统的需求在不断扩大 这类需求在许多方面都是不可逆转 不可替代 的 而计算机系统使用的场所正在转向工业 农业 野外 天空 海上 宇宙空 间 核辐射环境等等 这些环境都比机房恶劣 出错率和故障的增多必将导致可 靠性和安全性的降低 4 随着计算机系统的广泛应用 各类应用人员队伍迅速发展壮大 教育和培训却往往跟 不上知识更新的需要 操作人员 编程人员和系统分析人员的失误或缺乏经验都 会造成系统的安全功能不足 5 计算机网络安全问题涉及许多学科领域 既包括自然科学 又包括社会科学 就计算 机系统的应用而言 安全技术涉及计算机技术 通信技术 存取控制技术 校验 认证技术 容错技术 加密技术 防病毒技术 抗干扰技术 防泄露技术等等 因此是一个非常复杂的综合问题 并且其技术 方法和措施都要随着系统应用环 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 7 境的变化而不断变化 6 从认识论的高度看 人们往往首先关注系统功能 然后才被动的从现象注意系统应用 的安全问题 因此广泛存在着重应用 轻安全 法律意识淡薄的普遍现象 计算 机系统的安全是相对不安全而言的 许多危险 隐患和攻击都是隐蔽的 潜在的 难以明确却又广泛存在的 3 2 3 校园网络安全的措施及解决方案 在 Internet 与校园网内网之间部署一台安全代理 ISA 并具防火墙等功能 形 成内外网之间的安全屏障 其中 WWW MAIL FTP DNS 对外服务器连接在安全代理 与内 外网间进行隔离 那么 通过 Internet 进来的公众用户只能访问到对外公开的 一些服务 如 WWW MAIL FTP DNS 等 既保护内网资源不被外部非授权用户非法访 问或破坏 也可以阻止内部用户对外部不良资源的滥用 并能够对发生在网络中的安 全事件进行跟踪和审计 在安全代理设置上可以按照以下原则配置来提高网络安全性 1 据校园网安全策略和安全目标 规划设置正确的安全过滤规则 规则审核 IP 数据包的内容包括 协议 端口 源地址 目的地址 流向等项目 严格禁止来自公 网对校园内部网不必要的 非法的访问 总体上遵从 关闭一切 只开有用 的原则 2 安全代理配置成过滤掉以内部网络地址进入 Internet 的 IP 包 这样可以防范 源地址假冒和源路由类型的攻击 过滤掉以非法 IP 地址离开内部网络的 IP 包 防止 内部网络发起的对外攻击 3 安全代理上建立内网计算机的 IP 地址和 MAC 地址的对应表 防止 IP 地址被盗 用 4 定期查看安全代理访问日志 及时发现攻击行为和不良上网记录 并保留日志 90 天 5 允许通过配置网卡对安全代理设置 提高安全代理管理安全性 四 网络安全技术 4 1 加密技术 目前已有多种实现数字签名的方法 其中采用公开密钥算法要比常规算法更容易 实现 密钥管理加密技术都依赖于密钥 所以密钥的管理是一个非常重要的问题 密 钥管理方法因所使用的密码体制的不同而不同 在使用对称密码体制加密时 要求通 信双方共享密钥 在公钥密码体制中 公钥不需要保密 所有的通信者都可以使用某 方的公钥加密信息后向该方发送信息 但是存在一个公钥的完整性问题 目前解决的 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 8 方法是采用公钥证书方式 4 2 用户识别技术 用户识别和验证也是一种基本的安全技术 其核心是识别访问者是否属于系统的 合法用户 目的是防止非法用户进入系统 目前一般采用基于对称密钥加密或公开密 钥加密的方法 采用高强度的方法 采用高强度的密码技术来进行身份认证 比较著 名的有 Keberos PGP 等方法 本校主要采用 PGP 加密方法 4 3 漏洞扫描技术 漏洞检测和安全风险评估技术 可预知主体受攻击的可能性和具体地指证将要发 生的行为和产生的后果 该技术的应用可以帮助分析资源攻击的可能指数 了解支撑 系统本身的脆弱性 评估所有存在安全风险 网络漏洞扫描技术 主要包括网络模拟 攻击 漏洞检测 报告服务进程 提取对象信息以及评测风险 提供安全建议和改进 措施等功能 帮助用户控制可能发生的安全事件 最大可能地消除安全隐患 4 4 虚拟局域网 VLAN 技术 通过 VALN 技术 可以把一个网络系统中的众多网络设备分成若干个虚拟的 工作 组 组和组之间的网络设备在二层上互相隔离 形成不同的广播域 进而将广播流量 限制在不同的广播域中 1 端口的分隔 即便在同一个交换机上 处于不同 VLAN 的端口也是不能通信的 这样一个物理的交换机可以当作多个逻辑的交换机使用 2 网络的安全 不同 VLAN 不能直接通信 杜绝了广播信息的不安全性 3 灵活的管理 更改用户所属的网络不必换端口和连线 只更改软件配置就可以 了 它是建立在交换式局域网的基础上 通过网络管理软件构建的 可以跨越不同网 段和网络 VLAN 1 VLAN VLAN 2 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 9 图 4 1 虚拟局域网 VLAN 技术可以将不同的系别逻辑的划分成不同的网段 以提高安全性 方便性 五 网络安全与防护 5 1 双机热备 群集备份技术是解决由软硬件引起可靠性降低的有效措施 群集技术是用网络将 两个以上的服务器连接起来 当一台服务器停机时 群集中的其他服务器在保证自身 业务的基础上 将停机服务器的业务接管 在群集系统中 最简单 最为典型的是双 机热备系统 双机热备份是提供计算机网络系统可靠性的有力措施 在一台服务器出 现故障时 备机主动替代主机工作 保证网络服务不间断 双机热备份系统是一种软 硬件结合的高可靠性应用模式 该系统由两台服务器系统和一个外接共享磁盘阵列柜 及相应的双机热备份软件组成 用户的数据存放在外接共享磁盘阵列中 操作系统和 应用程序安装在两台服务器的本地系统盘上 5 2 磁盘阵列容错 磁盘阵列容错 RAID 系统可保证数据的安全性和可恢复性 避免和缩减了由磁盘故 障或错误所造成的损失 RAID 的采用为存储系统 或者服务器的内置存储 带来巨大 利益 其中提高传输速率和提供容错功能是最大的优点 RAID 通过同时使用多个磁盘 提高了传输速率 RAID 通过在多个磁盘上同时存 储和读取数据来大幅提高存储系统的数据吞吐量 Throughput 在 RAID 中 可以让 很多磁盘驱动器同时传输数据 而这些磁盘驱动器在逻辑上又是一个磁盘驱动器 所 以使用 RAID 可以达到单个磁盘驱动器几倍 几十倍甚至上百倍的速率 这也是 RAID 最初想要解决的问题 因为当时 CPU 的速度增长很快 而磁盘驱动器的数据传输速率 无法大幅提高 所以需要有一种方案解决二者之间的矛盾 RAID 最后成功了 通过数据校验 RAID 可以提供容错功能 这是使用 RAID 的第二个原因 因为普 通磁盘驱动器无法提供容错功能 如果不包括写在磁盘上的 CRC 循环冗余校验 码的话 RAID 容错是建立在每个磁盘驱动器的硬件容错功能之上的 所以它提供更高的安全性 在很多 RAID 模式中都有较为完备的相互校验 恢复的措施 甚至是直接相互的镜像备 份 从而大大提高了 RAID 系统的容错度 提高了系统的稳定冗余性 5 3 数据库安全 数据库安全包含两层含义 第一层是指系统运行安全 系统运行安全通常受到 的威胁如下 一些网络不法分子通过网络 局域网等途径通过入侵电脑使系统无法 正常启动 或超负荷让机子运行大量算法 并关闭cpu 风扇 使 cpu 过热烧坏等 破坏性活动 第二层是指系统信息安全 系统安全通常受到的威胁如下 黑客对 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 10 数据库入侵 并盗取想要的资料 对数据库系统所管理的数据和资源提供安全保护 一般包括以下几点 物理完整性 即数据能够免于物理方面破坏的问题 如掉电 火灾等 1 逻辑完整性 能够保持数据库的结构 如对一个字段的修改不至于影响其 它字段 2 元素完整性 包括在每个元素中的数据是准确的 3 数据的加密 4 用户鉴别 确保每个用户被正确识别 避免非法用户入侵 5 可获得性 指用户一般可访问数据库和所有授权访问的数据 6 可审计性 能够追踪到谁访问过数据库 5 4 数据的备份与恢复 防止校园网的数据因遭病毒侵袭或人为破坏而造成严重后果的最有效的办法就 是为数据做好完整的备份 并且准备好及时有效的恢复措施 在校园网中最值得做好 该方面的工作的就是校园中的机房 网站服务器以及其他的一些服务系统 当然校园 网中的主机在做好系统并且安装好各种软件后最好都做个备份 这样便于维护 5 5 服务器的备份与恢复 对于各种服务器 目前最通用的数据备份解决是采用将硬盘做成硬盘阵列 这种 做法的好处是当一块硬盘发生故障时 可以直接使用阵列中的另一块 因为做成阵列 后两块硬盘的数据存储与删减是保持同步的 而在这部分工作一般都是由服务器的供 应商给事先设置好的 用户可以只管使用而不用明白 RAID 卡以及硬盘阵列是怎么回事 这里就再赘述了 5 6 网络病毒与防范 5 6 1 网络病毒概述 简单地说 计算机病毒就是人为编写的 具有特定功能的程序 是一种在计算机 系统运行过程中能把自身精确或有修改地复制到其他程序中并具有破坏性的程序或代 码 世界上第一例病毒产生于 1983 年 病毒按破坏行为可分为良性病毒和恶性病毒 按病毒感染目标可分为引导型病毒 如 Monkey 病毒 和文件型病毒 如 CIH 病毒 网络病毒的特点是传播速度快 传 播方式多 清除难度大 破坏性强 要作好反病毒技术的研究 首先要认清病毒的特 点和执行机理 为防范和清除计算机病毒提供理论基础 根据对计算机病毒的产生 传染和破坏行为进行分析 计算机病毒有以下几个主要特点 1 人为编写 2 自我复制能力强 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 11 3 夺取系统的控制权 4 隐蔽性 5 潜伏性 6 不可预见性 防病毒系统设计原则 1 整个系统的实施过程应保持流畅和平稳 做到尽量不影响既有网络系统的正常 工作 2 安装在原有应用系统上的防毒产品必须保证其稳定性 不影响其它应用的功能 在安装过程中应尽量减少关闭和重新启动整个系统 3 防病毒系统的管理层次与结构应尽量符合网络自身的管理结构 4 防病毒系统的升级和部署功能应做到完全自动化 整个系统应具有每日更新的 能力 5 应做到能够对整个系统进行集中的管理和监控 并能集中生成日志报告与统计 信息 病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入 所以 校 园网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题 如果病毒在局域网内 的所有客户端传播之前就被清除 网络管理员的工作量就减少了很多网关防毒 网关防毒是对采用 HTTP FTP SMTP 协议进入内部网络的文件进行病毒扫描和恶 意代码过滤 从而实现对整个网络的病毒防范 5 6 2 常见的网络病毒 蠕虫病毒 蠕虫病毒是一种独立的 自我复制的网络程序 它能检测到网络上未被感染的机器 将自身程序复制并传播病毒 像细菌一样 蠕虫程序在一个网络中呈几何级数增长 并消耗资源 从而造成一种拒绝服务式的攻击 多态病毒 多态病毒在感染目标文件之前先用随机生成的密钥对病毒代码进行加密 并与相应的 解密程序 称为变异引擎 一起依附到目标文件上 当被感染的文件执行时 解密程 序首先执行 然后执行解密后的病毒程序 伙伴病毒 伙伴病毒只是感染程序文件 但并不把自己复制到此文件中 伙伴病毒会自动创建一 个新的文件 并使系统执行此新文件 而不是原文件 木马病毒 特洛伊木马 Trojan horse 是一种潜伏执行非授权功能的病毒 它在正常程序中存放 秘密指令 使电脑在仍能完成指定任务的情况下 执行非授权功能 典型的木马程序 有冰河 BO 等 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 12 JAVA 病毒 这类病毒依附于 JAVA 程序 在互联网上进行传播和破坏 由于 JAVA 程序广泛应用 于互联网 并被浏览器下载到本机执行 因此 此类病毒的传播特别迅速 常见的几 种病毒传播方式 一旦怀疑电脑感染病毒 首先不要惊慌 这远不是一件能够让您大惊小怪的事 但我 们需要恰当的处理病毒事件 通常 病毒会有以下几种传播方式 1 将病毒体作为附件 大量发送邮件 并利用邮件浏览器的漏洞自动执行 2 搜索网络共享驱动器 将病毒的附件留在其中 3 通过点对点软件的共享文件复制病毒文件 例如 edonkey 4 修改注册表或配置文件 当系统下次重新启动的时候 就会自动执行病毒程序 5 6 3 黑客入侵与防范 死亡之 ping ping of death 概览 由于在早期的阶段 路由器对包的最大尺寸都有限制 许多操作系统对 TCP IP 栈的实现在 ICMP 包上都是规定 64KB 并且在对包的标题头进行读取之后 要根据该 标题头里包含的信息来为有效载荷生成缓冲区 当产生畸形的 声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过 64K 上限时 就会出现内存分配错误 导致 TCP IP 堆栈崩溃 致使接受方当机 防御 现在所有的标准 TCP IP 实现都已实现对付超大尺寸的包 并且大多数防火墙能 够自动过滤这些攻击 包括 从 windows98 之后的 windows NT service pack 3 之后 linux Solaris 和 Mac OS 都具有抵抗一般 ping ofdeath 攻击的能力 此外 对防火墙 进行配置 阻断 ICMP 以及任何未知协议 都讲防止此类攻击 泪滴 teardrop 概览 泪滴攻击利用那些在 TCP IP 堆栈实现中信任 IP 碎片中的包的标题头所包含的 信息来实现自己的攻击 IP 分段含有指示该分段所包含的是原包的哪一段的信息 某 些 TCP IP 包括 servicepack 4 以前的 NT 在收到含有重叠偏移的伪造分段时将崩溃 防御 服务器应用最新的服务包 或者在设置防火墙时对分段进行重组 而不是转发 它们 UDP 洪水 UDP flood 概览 各种各样的假冒攻击利用简单的 TCP IP 服务 如 Chargen 和 Echo 来传送毫无 用处的占满带宽的数据 通过伪造与某一主机的 Chargen 服务之间的一次的 UDP 连接 回复地址指向开着 Echo 服务的一台主机 这样就生成在两台主机之间的足够多的无用 数据流 如果足够多的数据流就会导致带宽的服务攻击 防御 关掉不必要的 TCP IP 服务 或者对防火墙进行配置阻断来自 Internet 的请求这 些服务的 UDP 请求 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 13 SYN 洪水 SYN flood 概览 一些 TCP IP 栈的实现只能等待从有限数量的计算机发来的 ACK 消息 因为他 们只有有限的内存缓冲区用于创建连接 如果这一缓冲区充满了虚假连接的初始信息 该服务器就会对接下来的连接停止响应 直到缓冲区里的连接企图超时 在一些创建 连接不受限制的实现里 SYN 洪水具有类似的影响 防御 在防火墙上过滤来自同一主机的后续连接 未来的 SYN 洪水令人担忧 由于释放洪水的并不寻求响应 所以无法从一个简单高容 量的传输中鉴别出来 Land 攻击 概览 在 Land 攻击中 一个特别打造的 SYN 包它的原地址和目标地址都被设置成某 一个服务器地址 此举将导致接受服务器向它自己的地址发送 SYN ACK 消息 结果 这个地址又发回 ACK 消息并创建一个空连接 每一个这样的连接都将保留直到超时掉 对 Land 攻击反应不同 许多 UNIX 实现将崩溃 NT 变的极其缓慢 大约持续五分钟 防御 打最新的补丁 或者在防火墙进行配置 将那些在外部接口上入站的含有内部 源地址滤掉 包括 10 域 127 域 192 168 域 172 16 到 172 31 域 Smurf 攻击 概览 一个简单的 smurf 攻击通过使用将回复地址设置成受害网络的广播地址的 ICMP 应答请求 ping 数据包来淹没受害主机的方式进行 最终导致该网络的所有主机都对 此 ICMP 应答请求作出答复 导致网络阻塞 比 pingof death 洪水的流量高出一或两个 数量级 更加复杂的 Smurf 将源地址改为第三方的受害者 最终导致第三方雪崩 防御 为了防止黑客利用你的网络攻击他人 关闭外部路由器或防火墙的广播地址特 性 为防止被攻击 在防火墙上设置规则 丢弃掉 ICMP 包 Fraggle 攻击 概览 Fraggle 攻击对 Smurf 攻击作了简单的修改 使用的是 UDP 应答消息而非 ICMP 防御 在防火墙上过滤掉 UDP 应答消息 电子邮件炸弹 概览 电子邮件炸弹是最古老的匿名攻击之一 通过设置一台机器不断的大量的向同 一地址发送电子邮 攻击者能够耗尽接受者网络的带宽 防御 对邮件地址进行配置 自动删除来自同一主机的过量或重复的消息 畸形消息攻击 概览 各类操作系统上的许多服务都存在此类问题 由于这些服务在处理信息之前没 有进行适当正确的错误校验 在收到畸形的信息可能会崩溃 防御 打最新的服务补丁 利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击 最常见的有三种 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 14 口令猜测 概览 一旦黑客识别了一台主机而且发现了基于 NetBIOS Telnet 或 NFS 这样的服务 的可利用的用户帐号 成功的口令猜测能提供对机器控制 防御 要选用难以猜测的口令 比如词和标点符号的组合 确保像 NFS NetBIOS 和 Telnet 这样可利用的服务不暴露在公共范围 如果该服务支持锁定策略 就进行锁定 特洛伊木马 概览 特洛伊木马是一种或是直接由一个黑客 或是通过一个不令人起疑的用户秘密 安装到目标系统的程序 一旦安装成功并取得管理员权限 安装此程序的人就可以直 接远程控制目标系统 最有效的一种叫做后门程序 恶意程序包括 NetBus BackOrifice 和 BO2k 用于控制 系统的良性程序如 netcat VNC pcAnywhere 理想的后门程序透明运行 防御 避免下载可疑程序并拒绝执行 运用网络扫描软件定期监视内部主机上的监听 TCP 服务 缓冲区溢出 概览 由于在很多的服务程序中大意的程序员使用象 strcpy strcat 类似的不进行有效 位检查的函数 最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然 后将该代码缀在缓冲区有效载荷末尾 这样当发生缓冲区溢出时 返回指针指向恶意 代码 这样系统的控制权就会被夺取 防御 利用 SafeLib tripwire 这样的程序保护系统 或者浏览最新的安全公告不断更 新操作系统 信息收集型攻击 信息收集型攻击并不对目标本身造成危害 如名所示这类攻击被用来为进一步入侵提 供有用的信息 主要包括 扫描技术 体系结构刺探 利用信息服务 扫描技术 地址扫描 概览 运用 ping 这样的程序探测目标地址 对此作出响应的表示其存在 防御 在防火墙上过滤掉 ICMP 应答消息 端口扫描 概览 通常使用一些软件 向大范围的主机连接一系列的 TCP 端口 扫描软件报告它 成功的建立了连接的主机所开的端口 防御 许多防火墙能检测到是否被扫描 并自动阻断扫描企图 反响映射 概览 黑客向主机发送虚假消息 然后根据返回 hostunreachable 这一消息特征判断出 哪些主机是存在的 目前由于正常的扫描活动容易被防火墙侦测到 黑客转而使用不 会触发防火墙规则的常见消息类型 这些类型包括 RESET 消息 SYN ACK 消息 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 15 DNS 响应包 防御 NAT 和非路由代理服务器能够自动抵御此类攻击 也可以在防火墙上过滤 hostunreachable ICMP 应答 慢速扫描 概览 由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接 的数目 例如每秒 10 次 来决定是否在被扫描 这样黑客可以通过使用扫描速度慢一 些的扫描软件进行扫描 防御 通过引诱服务来对慢速扫描进行侦测 体系结构探测 概览 黑客使用具有已知响应类型的数据库的自动工具 对来自目标主机的 对坏数 据包传送所作出的响应进行检查 由于每种操作系统都有其独特的响应方法 例 NT 和 Solaris 的 TCP IP 堆栈具体实现有所不同 通过将此独特的响应与数据库中的已知 响应进行对比 黑客经常能够确定出目标主机所运行的操作系统 防御 去掉或修改各种 Banner 包括操作系统和各种应用服务的 阻断用于识别的端 口扰乱对方的攻击计划 利用信息服务 DNS 域转换 概览 DNS 协议不对转换或信息性的更新进行身份认证 这使得该协议被人以一些不 同的方式加以利用 如果你维护着一台公共的 DNS 服务器 黑客只需实施一次域转换 操作就能得到你所有主机的名称以及内部 IP 地址 防御 在防火墙处过滤掉域转换请求 Finger 服务 概览 黑客使用 finger 命令来刺探一台 finger 服务器以获取关于该系统的用户的信息 防御 关闭 finger 服务并记录尝试连接该服务的对方 IP 地址 或者在防火墙上进行过 滤 LDAP 服务 概览 黑客使用 LDAP 协议窥探网络内部的系统和它们的用户的信息 防御 对于刺探内部网络的 LDAP 进行阻断并记录 如果在公共机器上提供 LDAP 服 务 那么应把 LDAP 服务器放入 DMZ 假消息攻击 用于攻击目标配置不正确的消息 主要包括 DNS 高速缓存污染 伪造电子邮件 DNS 高速缓存污染 概览 由于 DNS 服务器与其他名称服务器交换信息的时候并不进行身份验证 这就使 得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机 防御 在防火墙上过滤入站的 DNS 更新 外部 DNS 服务器不应能更改你的内部服务 器对内部机器的认识 辽宁信息职业技术学院软件工程系 2011 届毕业论文 设计 16 伪造电子邮件 概览 由于 SMTP 并不对邮件的发送者的身份进行鉴定 因此黑客可以对你的内部客 户伪造电子邮件 声称是来自某个客户认识并相信的人 并附带上可安装的特洛伊木 马程序 或者是一个引向恶意网站的连接 防御 使用 PGP 等安全工具并安装电子邮件证书 漏洞攻击 对微软 Microsoft 而言 最具讽刺的是总被黑客先发现漏洞 待 Windows 们倒下 后 微软才站出来补充两句 最新的补丁已经发布 如果客户没有及时下载补丁程序 而造成的后果 我们将不承担责任 攻击 细细盘查 漏洞攻击主要集中在系统的两个部分 1 系统的对外服务上 如 冲击波 病毒针对系统的 远程协助 服务 尼姆达 病毒由系统的 IPC 漏洞 资源共享 感染 2 集成的应用软件上 IE OutLook Express MSN Messager Media Player 这些集成 的应用程序 都可能成为漏洞攻击的桥梁 那黑客又是如何利用这些漏洞 实施攻击的呢 首先利用扫描技术 了解对方计算 机存在哪些漏洞 然后有针对性地选择攻击方式 以 IE 的 IFRAME 漏洞为例 黑客能 利用网页恶意代码 恶意代码可以采用手工编写或者工具软件来协助完成 制作带毒 网页 然后引诱对方观看该网页 未打补丁的 IE 将会帮助病毒进入计算机 感染后的 系统利用 IE 通讯簿 向外发送大量带毒邮件 最终堵塞用户网络 防范 漏洞的防御 升级自然是首选 有两种方式可以很好的升级 1 Update 系统的 开始 菜单上 会有 Windows Update 的链接 选择后 进入 Microsoft 的升 级主页 网站上的程序会自动扫描当前系统存在哪些漏洞