校园网安全防御系统设计与实现.docx
《校园网安全防御系统设计与实现.docx》由会员分享,可在线阅读,更多相关《校园网安全防御系统设计与实现.docx(42页珍藏版)》请在冰点文库上搜索。
校园网安全防御系统设计与实现
毕业设计(论文)
设计(论文)题目校园网络安全防御系统的设计与实现
选题性质:
设计□论文
院系电子工程学院
专业计算机网络技术
班级
学号
学生姓名
指导教师
教务处制
年月日
毕业设计(论文)选题审批单
学生姓名
学号
选题
校园网安全防御系统设计与实现
选题性质
设计□报告□其他
选题论证:
校园网安全防御系是保证网络安全重要的辅助措施。
学校建立了一套校园网络安全系统,制定详细的安全管理制度,如上网行为管理、数据备份恢复等,并采取切实有效的措施保证制度的执行,并定期发放常见病毒解决方案等。
校园网络安全防御系统的设计与实现尤为重要。
指导教师初审意见:
签名:
年月日
毕业设计(论文)工作领导小组审批意见:
签名:
年月日
毕业设计(论文)开题报告及进度要求
学生姓名
学号
指导教师
选题性质
设计□报告□其他
选题
校园网安全系统防御系统设计与实现
选题的目的和意义:
越来越多的校园开始应用网络,他们的信息共享程度与网上业务不断增加。
与此同时,网络攻击和犯罪活动也日益猖獗。
如何防止校园网机密信息在网络中被泄露或窜改、如何有效地抵制和打击信息犯罪、保障网络与信息安全等,给人们提出了严峻的挑战,安全防御系统尤为重要。
本设计通过对校园网安全防御系统的设计与实现,加强了校园网安全保证,有助于校园网主动防御安全体系的构建。
选题研究的主要内容和技术方案:
介绍了网络安全问题的主要威胁因素和存在的隐患,并利用已有的网络安全知识对网络安全问题进行深入分析。
其次,通过对网络安全技术和校园网的应用全面研究,得出校园网也会面临着安全上的各种各样威胁。
最后,研究了入侵技术、数据备份技术、防火墙技术、上网行为管理技术与病毒防范技术为了解决校园网面临的主要威胁和隐患,本设计对各个部分进行详细论述,还进行安装与配置。
毕业设计答辩记录单
专业:
计算机网络技术班级:
班学生姓名
设计目:
校园网安全防御系统设计与实现
选题性质:
设计□报告□其他
提问及答辩记录:
答辩记录签名:
答辩成员签名:
答辩日期:
年月日
指导教师意见
评定内容
学习态度
任务完成情况
设计完成质量
总分
等级
评分标准
10%
20%
70%
得分
评语:
指导教师签字:
年月日
评审组意见:
评审成绩:
评审组长签字:
终审意见:
院系负责人签章:
终审成绩:
年月日
说明:
1、指导教师认定合格方能填写此表并提交评审,不合格指导教师继续指导。
2、指导教师及评审组成绩按“优秀、良好、合格、不合格”四个等级评阅。
摘要
本文从计算机网络面临的各种安全威胁,系统地介绍校园网安全防御和相关术语,并且主要研究了校园网络的防御问题。
在本技术研究中,分析了高校网络系统的安全隐患,并且从构建安全防御体系和加强安全管理等方面设计了校园网络的安全策略。
介绍了一般网络安全问题的主要威胁因素和存在的隐患,并利用已有的网络安全知识对网络安全问题进行深入分析。
其次,通过对网络安全技术和校园网的应用全面研究,得出校园网也会面临着安全上的各种各样威胁。
最后,研究了数据备份与数据恢复技术、防火墙技术、数据加密与数据解密技术及端口为了解决校园网面临的主要威胁和隐患,根据网络安全策略构建了一套有效的网络安全防御体系。
在这套安全防御体系中,我们重点安全管理技术,在此基础上设计的校园网络安全防御设计方案。
关键词:
校园网、安全、防火墙、策略
第1章校园网的概述
目前,越来越多的政府部门和企业机构开始应用Internet,他们的信息共享程度与网上业务不断增加。
与此同时,网络攻击和犯罪活动也日益猖獗。
如何防止机密信息在网络中被泄露或窜改、如何有效地抵制和打击信息犯罪、保障网络与信息安全等,给人们提出了严峻的挑战。
1.1校园网入侵技术
入侵检测(IntrusionDetection,ID)技术目前应用非常广泛,是安全防御的一类重要措施。
入侵检测是对入侵行为的检测,它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[1]。
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
入侵检测系统处于防火墙之后对网络活动进行实时的检测。
许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。
它们可以和防火墙及路由器配合工作。
根据定义可知,入侵检测系统的基本功能应该包括以下几个方面。
1.2校园网防火墙技术
随着网络安全问题日益严重,网络安全技术和产品也被人们逐渐重视起来,防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品,受到用户和研发机构的青睐。
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它执行预先制定的访问控制策略,决定了网络外部与网络内部的访问方式[8]在网络中,防火墙实际是一种隔离技术,它所执行的隔离措施有:
(1)拒绝XX的用户访问内部网和存取敏感数据。
(2)允许合法用户不受妨碍地访问网络资源。
而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境,其目的是保护一个网络不受另一个网络的攻击,所以防火墙又有以下功能:
(1)作为网络安全的屏障。
一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险,只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
(2)可以强化网络安全策略。
通过以防火墙为中心的安全方案配置,能将所有的安全软件(如口令验证、数据加密、身份验证、事件审计等)配置在防火墙上,与将网络安全问题分散到各个主机相比,防火墙的集中安全管理更经济,更加容易实现联运机制,更能强化最终的网络安全策略。
(3)对网络存取和访问进行监控审计。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(4)防止内部信息的外泄。
通过利用防火墙对内部网络的划分,可实现内部网的重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
1.3校园网加密技术
数据加密是通过某种函数进行变换,把正常数据包文(称为明文或明码)转换为密文(密码)。
解密是指把密文还原成明文的过程[2]。
密码体制是指一个系统所采用基本工作方式以及它的两个基本构成要素,即加密/解密算法和密钥。
密钥是一个数值,它和加密算法一起生成特别的密文。
传统密码体制所用的加密密钥和解密密钥相同,称为对称密码体制。
如果加密密钥和解密密钥不相同,则称为非对称密码体制,密钥可以看作是密码算法中的可变参数。
从数学的角度来看,改变了密钥,实际上也就改变了明文与密文之间等价的数学函数关系。
密码算法是相对稳定的,在这种意义上,可以把密码算法视为常量,而密钥则是一个变量。
在设计加密系统中,加密算法是可以公开的,真正需要保密的是密钥,密钥本质是非常大的数,密钥大小用位表示。
在公开密钥加密方法中,密钥越大密文就越安全。
1.4校园网病毒防护技术
病毒历来是信息系统安全的主要问题之一。
由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1)通过FTP,电子邮件传播。
(2)通过软盘、光盘、磁带传播。
(3)通过Web游览传播,主要是恶意的Java控件网站。
(4)通过群件系统传播。
病毒防护的主要技术如下:
(1)阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。
在桌面PC安装病毒监控软件。
(2)检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3)病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
1.5校园网数据备份技术
数据的备份与恢复是保证信息系统安全可靠的基础。
对于校园内部学生管理系统来说,哪怕是几分钟的中断和数据丢失所带来的损失都是难以估量的。
因此数据备份越来越得到学校的重视。
在执行备份操作时,应当注意以下几个方面的问题:
(1)制定备份和还原策略并进行测试。
(2)对有关人员进行培训。
(3)备份系统、启动卷以及系统状态中的所有数据。
这项预防措施可以帮助防范预料不到的磁盘故障。
(4)创建自动系统故障恢复备份集。
(5)创建备份日志。
(6)保留副本,至少保留三份媒体副本。
至少有一份副本在妥善环境中保存
1.6上网行为管理技术
上网行为管理技术是帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
“随着互联网的发展,它已经到了必须控制和管理的时代,因为网上充满了错误的信息、虚假的信息,和非民主的力量。
”----蒂姆•伯纳斯•李(互联网之父)水能载舟亦能覆舟!
互联网一方面能够帮助企业提高生产力、促进企业发展;另一方面也在企业管理、工作效率、信息安全、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。
第2章校园园网安全需求分析
安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。
学校建立了一套校园网络安全系统,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行,并定期对校内教师进行计算机网络安全知识培训,或发放常见病毒解决方案等。
2.1校园网的定义
校园网在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。
概括地讲,校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。
首先,校园网应为学校教学、科研提供先进的信息化教学环境。
这就要求:
校园网是一个宽带、具有交互功能和专业性很强的局域网络。
多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。
如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。
其次,校园网应具有教务、行政和总务管理功能。
在我国,近年来校园网建设发展迅速,到目前为止仅在我国中小学就有近6000所学校建设了校园网。
他们为我国中小学内部实现教育的资源共享、信息交流和协同工作提供了较好的范例。
然而,随着我国各地校园网数量的迅速增加,校园网之间如何实现教育的资源共享、信息交流和协同工作的要求越来越强烈。
2.2校园网存在的问题
与其它网络一样,校园网也会受到相应的威胁,大体可分为对网络中数据信息的危害和对网络设备的危害。
具体来说包括:
(1)非授权访问;即对网络设备及信息资源进行非正常使用或越权使用等。
(2)冒充合法用户;即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
(3)破坏数据的完整性;即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
(4)干扰系统正常运行;指改变系统的正常运行方法,减慢系统的响应时间等手段。
(5)病毒与恶意的攻击;即通过网络传播病毒或进行恶意攻击。
除此之外,校园网还面对形形色色、良莠不分的网络资源,如不进行识别和过滤,那么会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢
2.2.1校园网的安全隐患
有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
黑客攻击活动日益猖獗,成为当今社会关注的焦点。
典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。
黑客攻击不仅来自校园网外部,还有相当一部分来自校园网内部,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
(1)BUG影响
目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。
现在网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身安全漏洞较多,因此,导致它成为较不安全的操作系统。
在去年一段时期、冲击波病毒比较盛行,冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS(Denialofservice)攻击,使多个国家的互联网也受到相当影响。
(2)不良信息传播
在校园网接入Internet后,师生都可以通过校园网络进入Internet。
目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。
特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。
(3)病毒危害
学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。
随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。
(4)备物理安全
设备物理安全主要是指对网络硬件设备的破坏。
网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。
个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。
(5)设备配置安全
设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等),防止黑客取得硬件设备的控制权。
许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。
(6)管理漏洞
一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一但有人出于某种目的破坏网络,后果将不堪设想。
IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。
IP配置不当也会造成部分区域网络不通。
如在学生学习机房,有学生不甚将自己的计算机的IP地址设成本网段的网关地址,这会导致整个学生机房无法正常访问外网。
2.2.2校园网面临的威胁
网络实际上是一个脆弱的实体,不仅要面对自身系统的不安全性,例如,TCP/IP协议的不安全、网络物理链路的不安全,同时还要面对网络使用者,网络恶意程序和网络使用者操作系统不安全等威胁。
网络管理人员对网络本身存在的TCP/IP这类网络安全威胁是无能为力的。
其他方面的威胁大体上可以分为四类:
网络物理安全威胁、人为的无意失误威胁、人为的恶意攻击威胁和软件漏洞隐患威胁。
现在将各方面威胁作以下具体说明:
(1)网络物理安全威胁。
物理通道的安全性是网络安全不可缺少的组成部分。
其主要目的是:
保护学校的路由器、交换机、工作站等通信实体和通信链路不受自然灾害和人为破坏的攻击。
另外,防止静电干扰也是学校网络物理安全的一个重要问题。
(2)人为的无意失误威胁。
网络管理人员安全配置不当造成的安全漏洞,主要体现在网络设备相关端口没有屏蔽,入侵者可以通过端口扫描技术获得相应的端口信息;另一个体现是密码组成单一,没有定期更换密码,并且将自己的密码随意转借他人使用。
当然,这些网络安全隐患是学校网络管理人员无意间造成的,应该引起学校网络管理人员的重视。
(3)人为的恶意攻击威胁。
人为的恶意攻击威胁是校园网络面临的最大的威胁。
黑客的攻击和计算机犯罪都属于这一类威胁。
人为的恶意攻击威胁主要表现在:
计算机病毒、特洛伊木马以及其他恶意程序代码。
(4)软件漏洞隐患威胁。
软件不可能百分之百无漏洞和无缺陷。
这些漏洞和缺陷恰恰是黑客进行攻击的首先目标。
大部分曾经出现过的黑客攻入网络内部的事件,就是因为网络安全措施不完善所造成的后果。
校园中常用的操作系统一般为Windows系统,在使用的时候要提醒管理员及时打上补丁程序。
2.3校园网的安全系统
单一的校园网安全技术和网络安全产品无法解决网络安全的全部问题。
应根据应用需求和安全策略,综合运用各种网络安全技术,包括数据加密和数据解密技术、防火墙技术、上网行为管理技术、黑客技术、漏洞扫描技术、入侵检测技术、端口安全管理技术、恶意代码与计算机病毒的防治、系统平台安全及应用安全等。
这些内容在下面将会作进一步的阐述
2.3.1入侵检测技术
入侵检测(IntrusionDetection,ID)技术目前应用非常广泛,是安全防御的一类重要措施。
入侵检测是对入侵行为的检测,它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[2]。
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
入侵检测系统处于防火墙之后对网络活动进行实时的检测。
许多情况下,由于可以记录和禁止网络活动,所以入侵检测系统是防火墙的延续。
它们可以和防火墙及路由器配合工作。
根据定义可知,入侵检测系统的基本功能应该包括以下几个方面:
(1)监控、分析用户和系统的行为。
(2)检查系统的配置和漏洞。
(3)评估重要的系统和数据文件的完整性。
(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。
(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。
此外,入侵检测系统要是能够正常工作通常必须包含三个必要的功能组件:
信息来源、分析引擎、响应组件[7]。
信息来源(InformationSource):
为检测可能的恶意攻击,入侵检测系统所检测的网络或系统必须能提供足够的信息给入侵检测系统,资料来源收集组件的任务就是要收集这些信息作为入侵检测分析引擎组件的资料输入。
分析引擎(AnalysisEngine):
利用统计或规则的方式找出可能的入侵行为,并将事件提供给下面的响应组件。
响应组件(ResponseComponent):
响应组件能够根据分析引擎的输出采取应有的行动。
通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。
明白了入侵检测系统的原理便能够方便的应用它来为本校校园网络安全服务。
2.3.2防火墙技术
防火墙的分类标准有多种,最常用的是按照防火墙的技术来划分,大体上分为四类:
包过滤型防火墙、应用代理型防火墙、包状态监视型防火墙、复合型防火墙。
此外,按照防火墙的体系结构分:
大体上分为三类:
单一主机防火墙、路由器集成式防火墙、分布式防火墙[3]。
尽管防火墙有多种,但在实际应用中,用户通常是根据具体应用的安全和性能需求而选择不同性能等级的防火墙产品的。
从防火墙的性能等级来说,考虑到学校信息的重要性,就本校网络环境而言,我们应该使用高端服务器防火墙。
从防火墙的作用可以看出,防火墙必须具备两个要求:
保障内部网安全和保障内部网和外部网的联通。
因此在逻辑上防火墙是一个分离器、限制器、分析器。
有效地监控了内部网和外部网的任何活动,保证了内部网络的安全,其一般逻辑位置如图2.1所示。
图2.1防火墙的逻辑示意图
防火墙根据功能实现在TCP/IP网络模型中的层次,其实现原理可以分为三类:
在网络层实现防火墙功能为分组过滤技术;在应用层实现防火墙功能为代理服务技术;在网络层,IP层,应用层三层实现防火墙为状态检测技术[4]
(1)分组过滤技术
实际上是基于路由器技术,它通常由分组过滤路由器对IP分组进行分组选择,允许或拒绝特定的IP数据包,工作于IP层[4]。
如图2.2所示。
5、应】用层
4、TCP层
3、IP层
2、数据链路层
1、物理层
图2.2分组过滤技术工作特点
过滤一般基于一个IP分组的以下各域:
第一、源/目的IP地址;第二、TCP/UDP源/目的端口。
前者的过滤,即根据制定的安全规则,过滤掉具有特定IP地址的数据分组,从而保护内部网络;后者则是为分组过滤提供了更大的灵活性。
(2)代理服务技术
以一个高层的应用网关作为代理服务器,接受外来的应用连接请求,在代理服务器上进行安全检查后,再与被保护的应用服务器连接,使外部用户可以在受控制的前提下使用内部网络的服务,如图2.3所示。
图2.3代理服务器原理示意
代理服务技术工作在应用层[4],其工作情况如图2.4所示。
5、应用层
4、TCP层
3、IP层
2、数据链路层
1、物理层
图2.4代理服务技术工作特点
由于代理服务作用于应用层,它能解释应用层上的协议,能够作复杂和更细粒度的访问控制;同时,由于所有进出服务器的客户请求必须通过代理网关的检查,可以做出精细的注册和审计记录,并且可以与认证、授权等安全手段方便地集成,为客户和服务提供更高层次的安全保护。
(3)状态检测技术
此技术工作在IP/TCP/应用层,它结合了分组过滤和代理服务技术的特点,它同分组过滤一样,在应用层上检查数据包的内容,分析高层的协议数据,查看内容是否符合网络安全策略[4]。
如图2.5所示。
5、应用层
4、TCP层
3、IP层
2、数据链路层
1、物理层
图2.5状态检测技术工作情况
2.3.3防火墙的主要缺点
在了解了防火墙的基本功能以及工作原理之后,接下来分析一下防火墙的一些主要缺点。
防火墙在安全防护中起到非常重要的作用,甚至无法取代,但是我们也应该看到它的不足,以便在使用过程中采取措施来弥补它的不足,共同确保内部网络的安全。
(1)防外不防内的策略限制。
防火墙的基本防御原则就是“防外不防内”,就是只针对来自外部网络的通信进行检测,而对受保护内部网络中的用户通信不作任何防御。
(2)不能防范不通过它的连接。
防火墙能够有效的防止通过它的传输的信息,然而却不能防范不通过它而传输的信息。
例如,如果内部网络用户有一个不经过防火墙的拨号连接,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
(3)无法
升级会员 