基于校园网络安全的组网设计法案研究

基于校园网络安全的组网设计法案研究摘要：经济的不断发展对计算机网络的攻击也不断的加强，提高校园网络安全性能也是势在必得的一个基本任务，要保护校园网络信息不断的发展与进步变得越来越重要，然而由于计算机网络在连接过程中的一些基本性质，导致计算机很容易受到黑客的侵害，恶意的软件还有一些其他不当的攻击行为，这些都已经约束了网络的基本发展步伐。

关键词：校园网络；安全；设计法案；研究

中图分类号：tp393 文献标识码：a 文章编号：1007-9599 （2013） 03-0000-02

1 校园网络技术发展

目前网络技术发展迅速，网络安全问题越来越突出，随着网络安全问题向经济问题上结合的不可分割性，黑客攻击、网络病毒等层出不穷，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作，作为高等学校的教育工作者，我们有义务维护好校园网络这一片网络净土，让学生能够更好的利用网络学习知识。但是，在校园网络建设过程中，往往有些院校因为资金问题，时间问题，场地问题，技术问题等等，使校园网的建设过程不能一次性到位，还有因为人员流动性问题造成网络建设的先后顺序不一致，功能不全，重复性工作多，导致学校反复性投入加大。这就是校园网络对技术的偏好和运营意识的不足，“重技术、轻安全、轻管理”

这种现象非常普遍。

速度与安全始终是一对矛盾，这一矛盾在较大规模的校园校园网中体现得更明显：一方面，学校师生众多，网络面临的带宽挑战强烈；另一方面，随着网络应用的丰富，网络攻击日益增多，带宽越大，攻击造成的后果往往越严重。那么，如何在两者之间找到恰当的平衡点？速度与安全也是每个高等院校所需要的方向作为校

园网的治理方，网管希望省事，即便有人攻击也能安全无事，随时都可以屏蔽不老实的用户；校方希望安全运营，不会出现网络瘫痪或者计费系统故障。确保“一次路由，多次交换”、“路由等于交换”，并采用高核心设备和接入设备完成接入，才能将整个网络建设的更有生命力。这是很多高等院校所采用的方法。

2 校园网络安全系统设计

（1）internet访问控制。依据工作站名称、设备指纹等属性，使用interent访问规则，控制该工作站或工作组在指定的时间段内是否允许或禁止访问模板或网址列表中所规定的internet服务器，某个用户可否基于某工作站访问服务器务器，同时当某个工作站用户达到规定流量后确定是否断网等。（2）应用访问控制。通过对网络的数据链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网internet的应用服务请求，如sql数据库访问、ipx协议访问等。（3）网络状态监控。实时动态报告当前网络中所有的用户登陆、

interent访问、内网访问、网络入侵事件等信息。（4）黑客攻击的防御。抵御包括smurf拒绝服务攻击、arp欺骗式攻击、ping攻击、trjoan木马攻击等在内的近百种来自网络内部以及来自工nternet 的黑客攻击手段。（5）日志管理。对工作站协议规则日志、用户登陆事件日志、用户interent访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。（6）系统工具。包括系统参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。

3 入侵检测技术

3.1 入侵检测系统的基本分类

想要获得原始的数据，就需要使用入侵检测办法对其网络安全进行检测，检测的系统可以分为网络入侵检测和主机入侵检测。

基于网络的ids不能够单独的提供入侵检测的服务。事实上有很多的客户在最初选择ids的网络入侵检测，大多数是因为成本比较低、反应比较快。首先就是有较低的拥有成本，基于网络的ids 的策略配置有多个系统有几个关键点，并且可以观察多个系统的网络通信，所以很多主机在管理和装载软件时，都不要求安装它。监测点比较少的配置环境就可以理解成是成本比较低的网络环境。其次，可以检测到主机系统的漏洞攻击。攻击者不会轻易的转移证据，在对攻击进行实时监测的过程中，基于网络的ids会利用网络来进行通讯，所以攻击者并不能转移其证据。对证据的捕获有很多方法，

包括攻击的方法，这种方法可以识别黑客的身份和信息，还可以对其基本信息进行记录，对其他们的恶劣行径进行记录，不给任何掩盖作案痕迹的机会，防止利用这些信息来对基于主机系统进行入侵检测。

对于基于主机系统，实时监测不完全，只有在可疑信息在操作是能够监测并记录下来，这样才能够识别其攻击能力，作出相应的反应，此时，系统可能早被破坏，或是基于主机的ids已经被摧毁，大量的信息泄露。基于网络的实时监测，可以实时的通知，根据通知的具体情况作出快速反应，防止信息泄露，造成损失。存在检测不成功的攻击现象。基于网络的ids的数据有增加很多有价值的数据，这样就很难来区分那个是否存在不良的意图，即便是网络的防火墙能够拒绝这些尝试，那么位于防火墙之外的基于网络的ids也能够查出防火墙背后攻击的意图。但是基于主机根本无法做法这些检测。

3.2 入侵检测技术

对各种事件的分析，可以根据情况来判断入侵检测的行为和基本功能。在技术上，入侵检测可以分为两种，一种是基于行为的入侵检测，也可以理解成为基于异常情况的入侵检测。另一种是基于标志的入侵检测，也可以理解成为基于知识的检测，误用检测。然而，两种检测方法，得出的结论有很大的不同，误用检测的核心是保持一个已知的攻击可以使一个详细的检查的知识基础，并给出了

一个准确的报告类型的图片，未知的效果，不能进行预测。

（1）基于误用检测技术。基于误用的检测技术，最为基本的特点就是要违背安全策略的时间，对于一些数据包存在的头信息。误用入侵检测主要就是针对特点进行手机，看是否出具中有出现。误用入侵检测技术类似于杀毒软件的操作方法。误用检测技术的优点在于，可以从意识的入侵特点的模式库中搜集类似的特点，这样在检测中既可以将类似特点的入侵行为搜集出来，避免系统的入侵和一直系统遭受同样的入侵。但是有的入侵行为有变种的功能，也就是利用同样的功能缺陷和攻击原理进行变异，但是并不一定能够检测出来。误用入侵技术存在一定的局限性，它仅仅能够根据已知的入侵序列和特点来判断相关的可以行为，对于新型的入侵攻击行为并不能够及时检测出来，也存在一定的漏洞。一般误用入侵检测的技术主要有两种，一是，专家系统，早期的入侵检测系统主要就是采用专家的入侵行为来对系统进行检测。（2）基于异常的检测技术。基于异常入侵检测技术，主要就是定义一组正常情况下的值，内存利用率、硬盘大小、文件检验等等数值。这些数据并不是约定俗成的，可以是人们自己定义的，便于人们统计就好。然后将规定的数值与系统正在运行的数字进行比较，检验是否有被攻击的现象。这种检测方法的核心就是在于怎么去定义一个正常的数值，怎样可以看出系统被攻击过。

4 结语