校园网网络安全分析及安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
校园网网络安全分析及安全解决方案
摘要:该文详细分析了校园网的安全问题并提出了相应的对策。在分析校园网原有的网络安全措施的基础上,针对校园网在运行中所遇到的实际问题,对电子邮件过滤检测,入侵检测,病毒检测,防火墙设置等多方面提出了综合性安全解决方案。
关键字:网络安全,校园网,入侵检测,病毒检测,防火墙
一、网络安全的现状分析
我院校园网由网络中心、主干网和各楼内的局域网组成。主干网以千兆以太网为主,覆盖整个校区。部门级交换机根据下连的计算机数量和网络应用的级别,与中心交换机实现千兆、百兆连接。校园网的主干网中采用的是子网过滤结构的双路由器的结构。
Linux服务器执行堡垒主机的功能,采用Red Hat Linux 7.2版作为操作系统。该系统装有单一集成的可管理的软件包,提供各种服务,包括入侵保护、性能加速、安全的VPN能力以及对外Internet访问的全面控制等。由该主机的包过滤防火墙保护内部网络免受来自Internet的侵害。过滤范围包括内部网络和堡垒主机之间的数据包,以防堡垒主机被攻占。同时,在该堡垒主机上,运行多种服务器,如:电子邮件服务器、web服务器、FTP服务器等等。
Intel Express 550T Routing Switch实现内部路由的功能,有效地阻断内部子网间的广播包发送,最大限度地减轻了网络负担。
二、校园网络中不安全的主要问题
现阶段,我院校园网的主题架构已经成型,然而随着对网络服务要求的进一步提高,我们还要全面地解决在运行中所出现的问题,从而提供更加完善的服务。
1. IP盗用问题
校园网内部连接有几千台电脑,一部分电脑通过正常的申请途径申请得到合
法的IP地址,另一部分则不然。当某些没有IP地址的用户,冒用他人的合法IP地址时,就会造成网络内部地址的冲突,严重阻碍了合法用户的正常使用。
2. 防火墙攻击
防火墙系统相关技术的发展已经比较成熟,防火墙系统很坚固,但这只是对于对外的防护而已,它对于内部的防护则几乎不起什么作用。然而不幸的是,一般情况下有70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。
3. Email问题
由于用户安全观念的淡薄以及网上某些人的别有用心,会给校园网的Email 用户发一些不良内容的信件,有时还会携带各种各样的病毒。因此,怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。
4. 各种服务器和网络设备的扫描和攻击
有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。
5. 非法URL的访问问题
对于一些反动的或不健康的站点,应当禁止校园网用户通过校园网去访问。
6. 病毒防护
互联网迅猛发展使得网络运营成为社会时尚,但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。近阶段泛滥的"尼姆达病毒"就是典型的例子。因此,如何让校园网更安全,防止网络遭受病毒的侵袭,已成为校园网迫切需要解决的问题。
三、校园网安全的解决方法
现阶段,由于我院校园网已有较完善的网络系统架构,因此,在保证现有网络工作顺通的同时,再进行开发和完善是解决校园网网络安全的最佳选择。现提出以下解决方法。
1. 采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安
全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网中采用入侵检测技术,最好采用混合入侵检测。需要从两方面来着手-基于网络的入侵检测和基于主机的入侵检测。
(1)基于网络的入侵检测
该检测主要通过定期使用专用的网络监视软件分析网络数据流量、主要数据内容来完成,例如使用Intel Express 550T Routing Switch所带的专用管理用具Intel Device View对交换机、端口间的每秒输出包、输入包、广播包的数量进行统计,若发现网络中有某台机器的流量超过正常值,则表示该主机可能感染了某种病毒导致不停地向网络中发出各种进攻。前不久出现的"红色代码II"就可以用此方法进行入侵检测。感染了此病毒的主机将会建立300个线程不定时随机生成IP地址作为攻击目标发出攻击,这样的主机在网络流量监视中是显而易见的。另外,当得知某端口的主机网络流量出现异常时,也可使用专用的网络数据监视器对其发出和接受的数据进行具体监视,例如使用微软SMS(System Manager Server)所带的网络监视器利用SNMP协议对某端口出入数据进行详细分析,可统计出该主机具体是哪种协议、哪个端口所发的数据最多,以及具体的数据内容。例如监视某台感染有"红色代码II"的NT服务器时,则会发现目标端口为80(HTTP)的TCP协议通讯量极高。
(2)基于主机的入侵检测
该项检测主要通过防火墙日志以及各种服务软件的日志统计来完成,例如在日志中统计出某时间段服务器接收到来自同一地址的嗅包数量超过一定数值,那么就该考虑是否要在防火墙中加入一条拒绝规则了。又如在FTP服务器中发现某时段某用户登录失败次数超过100次以上,这就表示极可能有黑客在用穷举法试图破译某FTP用户的密码。
2. Web、Email、BBS的安全监测系统
在校园网的WWW服务器、Email服务器等各种服务器中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网络中心报告,采取措施。并利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图,可以对访问地址和流量进行分析,对于明显的攻击便可一目了然了。