校园网安全整体解决方案设计.docx

1、校园网安全整体解决方案设计校园网安全整体解决方案设计 校园网安全整体解决方案设计摘 要随着计算机网络技术的飞速发展，网络技术越来受到人们的重视，它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境，是校园网络科学化、正规化的重要条件，也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境，能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。本设计详细分析了校园网的安全问题，本文在分析校园网原有的网络安全防范措施的基础上，针对校园网在运行中所遇到的实际问题，本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设

2、计的目的与意义，需求分析，系统设计，系统实现，系统调试运行，总结，及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解，对于校园网建设中所用的基本设备如路由器，交换机，防火墙等了解它们在校园网中的使用情况，及基本的配置过程,对电子邮件过滤检测，入侵检测，病毒监测，防火墙设置等多方面做了相应的综合性安全解决方案。 关键字：校园网系统，管理，设置，软件维护，邮件过滤，入侵监测，防火墙目 录1 引言 11.1 课题背景 11.2 高校校园网的网络现状 11.3 校园网安全问题分析 21.4校园网安全问题存在的原因 32安全解决方案设计 42.1 需求分析 42.3网络设计原则

3、42.4网络拓扑图 52.5安全设计原则 53.功能设计 63.1防火墙设置 63.1.1部署防火墙 63.2建立入侵检测系统 93.3 建立漏洞管理系统 103.4建立网络防病毒系统 113.5 IP盗用问题的解决 113.6采用系统升级策略 123.7利用网络监听维护子网系统安全 133.8建立良好的管理体系 133.9部署Web,Email,BBS的安全监测系统 143.10部署内容安全管理系统 153.11 使用校园网用户认证计费管理系统 154.代码实现部分 165.参考文献 171 引言1.1 课题背景随着近年来网络安全事件不断地发生，安全问题也成为了IT业的一个热点，安全问题对于

4、学校的发展也越来越重要。安全问题已经成为影响校园网平台的稳定性和正常提供网络服务的一个严重问题，所以提升校园网络自身的安全性也成为学校增强竞争力的重要方面之一。同样，随着网络技术的迅猛发展和因特网的普及，网络概念已不再局限于某些领域，而是深入到社会的各个组成部分，形成了一个初具规模的网络社会。不过，同其他一些高科技类似，网络技术在丰富人们生活、产生实际的经济效益的同时，也给人们带来了诸多负面的影响。大家可以看到，自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出。局域网是互联网的一种主要的存在方式和组成部分，

5、局域网的安全问题在某种意义上反映了几乎所有的安全问题。学校校园网作为一个局域网，也面对这一系列的安全问题，在这里我们讲讨论一下校园网的安全措施。1.2 高校校园网的网络现状教育的信息化是当今世界教育改革的重要思潮之一，是时代的要求，也是素质教育的需要。学校近年来大力实施现代化教育技术工程：以电脑网络为基础，以图书馆、电教中心为信息源，以数字化为模式，提高学校教育教学的档次和质量。目前，学校的校园网络已经初具规模：以光纤连接校内主要建筑，所有建筑内全部布线，校园网覆盖整个校园，同时校园网向上通过光纤联入中国教育科研网，并与 Internet 互联。但是在现有的网络设备保护下校园网网络依然存在很多

6、问题，这些问题导致校园网络不能正常的提供良好的服务，经常给用户带来困扰。1.3 校园网安全问题分析经过长期的使用和观察，校园网还存在一下问题：1、 IP盗用的问题，校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。2、 防火墙攻击，防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对外的防护而已，他对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员。所以怎么防止来自内部的攻击是当前校园网建

7、设中的一个非常重要的方面。3、 Email问题，由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。4、 各种服务器和网络设备的扫描和攻击，有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。5、 非法URL的访问的问题，对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。6、 病毒防护的问题，互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速

8、传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。近阶段泛滥的“尼姆达病毒”就是典型的例子。因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。1.4校园网安全问题存在的原因1、虽然学校在网络入口部署了防火墙和入侵检测系统阻止了外部对学校内部网络的攻击，但是防火墙无法对学校内部从 Internet 上下载的通过 HTTP、FTP、SMTP 等形式的数据进行进一步的分析，可是一些病毒例如蠕虫病毒往往会隐藏在这些下载的文件中，一旦用户运行了这些文件，就会在整个校园网中爆发蠕虫病

9、毒，导致网络瘫痪。2、邮件系统保护不完善，电子邮件是学校老师和学生最常用到的功能，与此同时它也是病毒传播的重要途径。邮件病毒不但会对桌面级的系统造成如占用磁盘空间，修改或破坏文件中的数据，大量消耗系统资源等危害，还会使邮件系统本身瘫痪，消耗大量的网络资源使网络速度变慢，同时使邮件用户收到大量的垃圾邮件。3、学校内部对 Internet 的非法访问威胁。如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；再加上使用 BT 等 P2P 软件下载电影、游戏对整个网络的带宽产生了严重的影响，使得学校的业务无法正常的开展。4、目前使用的操作系统存在安全漏洞，对网络安全

10、构成了威胁。例如Windows NT/2000、Windows Server 的普遍性和可操作性使它成为最不安全的系统:自身系统安全漏洞、浏览器的漏洞、IIS 的漏洞等。5、缺少真正意义上的功能强大的网络版杀毒软件。因为目前的杀毒软件效果不理想，或者已经被病毒干掉或者是被老师擅自卸载，而在卸载之后计算机上有的安装了盗版的杀毒软件有的没有再安装任何杀毒软件。这样一来信息办老师无法从整体上对全网的计算机进行杀毒管理和监控。图书馆、实验楼的PC机上学生经常使用U盘拷贝游戏、文档，在上课期间聊QQ、玩游戏、上网灌水聊天，甚至登陆色情、暴力、违法网站等，不务正业。图书馆、实验楼机房也病毒泛滥。虽然大部分

11、PC都安装了还原卡，但是已经不能阻挡病毒的入侵，病毒往往能穿透还原卡和还原软件。 同时大部分机器都未能及时安装系统补丁，容易被蠕虫入侵，但是目前又没有一个很好的办法来管理所有系统的补丁。2安全解决方案设计2.1 需求分析针对校园网长期以来校园网络出现的各种问题，对校园网的需求提出了一下几点：1、防止校园网外部用户对校园网内的用户进行攻击2、校园网外部用户只能访问WWW 服务、MAIL 服务，其他服务只对校园网内部用户开放。3、考虑到易用性，所有服务器的操作系统采用Windows Server，WWW 服务使用IIS。4、需要防病毒系统2.3网络设计原则网络的先进性和实用性的原则：采用的硬软件系

12、统既有技术的先进性，又有很高的性能价格比；网络的开放性和兼容性的原则：选择符合国际标准的网络硬软件产品，有很好的互换、扩展和升级能力；网络的灵活性和可靠性的原则：网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并且要有很好的容错能力；网络的可管理性和易维护性原则：配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护；网络系统的保密性和强有力的防病毒性。2.4网络拓扑图2.5安全设计原则 1.身份识别：身份识别是对网络用户、主机、应用、服务和资源的准确、积极的识别。实现它的标准技术包括验证协议，

13、如RADIUS和TACACS、Kerberos和一次性密码工具。数字证书智能卡和目录服务等新技术正开始在身份识别解决方案中占越来越重要的作用。 2.外围安全/接入控制：它提供了控制到关键网络应用、数据和服务的接入的方法，以便只有合法用户和信息可通过网络。带接入控制列表和/或状态防火墙、以及专用防火墙设施的路由器和交换机提供了这种控制。病毒搜索器和内容过滤器等补充性工具也有助于控制网络外围。 3.数据专用性：当必须保护信息免遭窃听时，按需提供经验证的保密通信的能力是十分重要的。有时，使用隧道技术，如GRE或L2TP来进行数据分离，可提供有效的数据私密性。然而，更高私密性要求常需要使用IPSec等

14、数字加密技术和协议。在实施VPN时，这种添加的保护尤为重要。 4.安全监控：为确保网络安全，重要的是定期测试和监控安全准备状态。网络易损点搜索器可主动发现弱点领域，IDS可在发生安全事件时对其监控和响应。利用安全监控解决方案，机构可了解网络数据流和网络的安全状态。 5.策略管理。随着网络规模和复杂度的增加，对集中策略管理工具的需求也随之提高。带可分析截获、配置和监控安全策略状态的基于浏览器的用户界面的工具，提高了网络安全解决方案的可用性和有效性。除安全要求外，网络安全设计还必须具备网络弹性、性能和可扩展性。3.功能设计3.1防火墙设置3.1.1部署防火墙在需要隔离的网络区域之间部署防火墙。典型

15、地，在 Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。那么，通过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性：1、根据校园网安全策略

16、和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则；2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击；3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用；4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 3.1.2防火墙配置 1. 将防火墙的Console

17、端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3. 运行电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样。4. 当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6. 输入命令： configure terminal,进入全局配置模式，对系统

18、进行初始化设置。 (1)防火墙上的基本配置代码如下：pixfirewall# conf tpixfirewall(config)# hostname pixpix(config)# int e0pix(config-if)# nameif insidepix(config-if)# ip add 10.2.1.3 255.255.255.0pix(config-if)# no shutpix(config-if)# exitpix(config)# int e1pix(config-if)# nameif outsidepix(config-if)# ip add 192.168.1.3 25

19、5.255.255.0pix(config-if)# no shutpix(config-if)# exitpix(config)# static (inside,outside) 192.168.1.4 10.2.1.4 netmask 255.255.255.255pix(config)# access-list 100 permit icmp any anypix(config)# access-group 100 in interface outside(2)动态NAT配置，使内部地址通过全局地址访问Internetpix(config)# int F0/0pix (config-if

20、)# ip nat insidepix (config-if)#ip address 172.16.12.2 255.255.255.0pix (config-if)# no shutpix (config-if)# exitpix (config)# int F1/0pix (config-if)#ip address 192.168.12.10 255.255.255.0pix (config-if)#ip nat outsidepix (config-if)# no shutpix (config-if)# exitpix (config)# ip nat pool natpool 19

21、2.168.12.2 192.168.12.10 netmask 255.255.255.0pix (config)# ip nat inside source list 1 pool natpoolpix (config)#access-list 1 permit 172.16.12.23.2建立入侵检测系统 防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面：防火墙作为访问控制设备，无法检测或拦截嵌入到普通

22、流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。 入侵检测系统 IDS（ Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。 IDS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适

23、合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战：IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力；蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外。为了弥补防火墙和IDS的缺陷，入侵保护系统 IPS（Intrusion Prevention System）作为IDS的替代产品应运而生。网络入侵防御系统作为一种在线部署的产品，提供主动的、实

24、时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。3.3 建立漏洞管理系统解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。部署

25、漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：1.对用户网络中的资产进行自动发现并按照资产重要性进行分类； 自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；4.根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；对修复完毕的漏洞进行修复确认；6.定期重复上述步骤 1-5。 通过漏洞管理产品，集中、及时

26、找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平

27、台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。3.4建立网络防病毒系统 在高校校园网部署网络版防病毒系统，进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。其应具有如下功能：在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。网络版客户端安装方法：网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装。3.5 I

28、P盗用问题的解决在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。在路由器上绑定IP和MAC地址：R1(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 R1 (config)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机能访问任意主机 R1 (conf

29、ig)permit any host 0009.6bc4.d4bf 定义所有主机能访问MAC地址为0009.6bc4.d4bf的主机 R1 (config)Ip access-list extended IP10 定义一个IP地址访问控制列表并且命名该列表名为IP10 R1 (config)Permit 192.168.0.1 0.0.0.0 any 定义IP地址为192.168.0.1的主机能访问任意主机 Permit any 192.168.0.1 0.0.0.0 定义所有主机能访问IP地址为192.168.0.1的主机 R1 (config-if )interface Fa0/0 #进入

30、设置具体端口的模式 R1 (config-if )mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略） R1 (config-if )Ip access-group IP10 in 在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略） 3.6采用系统升级策略 首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控制中心每日自动升级。在客户端普通操作台可以手动升级，也可以通过设置让客户端自动升级。 通过移动控制台集中管理所有客户端，实现对多个

31、子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。3.7利用网络监听维护子网系统安全对于校园网外部的入侵可以通过安装防火墙来解决，但是对于校园网内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系

32、统中各个服务器的审计文件提供备份。在子网内若干计算机或服务器上安装该监听软件，这样可以防止某些较高水平?“黑客”会觉察到他所在的服务器正在被监听，将检测计算机也破坏掉。简历几个监听程序相互间的联系。如果在一段时间内听不到其中一台或几台计算机发出的信息，其它服务器也会发出警报，另外，不允许任何账号的远程登陆。3.8建立良好的管理体系 都说三分技术七分管理，为了网络中客户端安装和杀毒确保有效完成，客户端XX不能任意停止全网统一的杀毒行动，客户端XX不能任意卸载，建立良好的管理制度是保证系统正常运行的必要条件。 针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保