校园计算机网络安全研究.docx
《校园计算机网络安全研究.docx》由会员分享,可在线阅读,更多相关《校园计算机网络安全研究.docx(8页珍藏版)》请在冰豆网上搜索。
校园计算机网络安全研究
校园计算机网络安全研究
目录
摘要1
第1章引言3
第2章校园网络面对的安全问题4
2.1物理层的安全风险4
2.2数据链路层的风险4
2.3网络层的安全风险5
2.4传输层的安全风险6
2.5操作系统的安全风险6
第3章校园计算机网络的安全防护8
3.1防火墙8
3.2入侵检测8
3.3身份认证9
3.4虚拟专用网技术9
3.5数据备份技术10
第4章总结12
谢辞13
参考文献14
摘要:
高校校园网是互联网络的重要组成部分,担负着高校办公、教学、科研和学术交流等各方面的用途,是推进我国高校现代化建设的重要手段。
由于校园网络的特殊性,校园网络的安全威胁不仅来自于互联网,还来自于校园网络体系的各个层面,使得校园网络的安全问题尤为突出。
本文结合校园网络体系特征,从网络安全技术方面入手,首先分析网络中常见的安全问题,然后从校园网络架构的建设分析网络安全,把网络中常用到的技术进行分析,选择最适合网络技术进行应用,提高校园网络安全性。
关键字:
防火墙;入侵检测;校园网络;安全
Theresearchoncampuscomputernetworksecurity
Abstract:
ThecampusnetworkisanimportantpartoftheInternet,chargedwiththecollegeoffice,teaching,scientificresearchandacademicexchangesandotheraspectsoftheuseofcollegesanduniversitiesinourcountry,istopromotethemodernizationof.Duetotheparticularityofthecampusnetwork,campusnetworksecuritythreatscomefromnotonlytheInternet,butalsofromthecampusnetworksystematalllevels,makingthecampusnetworksafeproblemishighlightedparticularly.Inthispaper,combinedwiththecharacteristicsofthecampusnetworksystem,fromthenetworksafetytechniqueaspects,firstlyanalysisthenetworkcommonsecurityproblems,andthenfromthecampusnetworkandtheconstructionofnetworksecurity,thenetworkisoftenusedintechnicalanalysis,theselectionofthemostsuitablenetworktechnologyapplication,improvethecampusnetworksafety.
Keywords:
Firewall;Intrusiondetection;Campusnetwork;Safety
第1章引言
21世纪是信息化的世纪,网络化、信息化、办公自动化已经成为各高校发展的趋势,高校校园网的建设迅速的进行。
随着教育信息化的迅速发展,目前绝大多数的高校校园网都已经和INTERNET互联网相连。
根据IEEE的描述,局域网(LocalAreaNetwork,LAN)技术是“把一个建筑物或者相邻建筑物中分散的计算机、终端、带大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等网络设备相互连接起来,实现很高速度通信的手段”。
显而易见,从物理意义上说,校园网络就是一种局域网。
校园网作为一种在学校应用的局域网,除了具有基本广域网自己的特点和功能外,有着自己独特的特点。
高校校园网作为CERNET的重要组成部分,在我国高校的现代化建设中有着非常重要的作用,已经成为高校信息化的重要部分。
对于高校而言,随着网上办公系统、远程教学系统的使用,高校校园网络在办公、教学、科研和学术交流承担着越来越多的用途,人们的各项工作和生活都越来越依赖于网络。
评价一所高校的整体办学水平的重要指标之一就是高校校园网络的建设水平。
不过,随着应用的深入,校园网络问题日渐突出,各种网络攻击越来越多,如病毒入侵、网络阻塞、黑客入侵、系统瘫痪、数据丢失等,这些问题对高校校园网络的建设带来了极大的制约,严重影响了校园网的信息安全,甚至对学校的正常教学和科研工作造成极大的损失,影响校园网络的正常使用。
因此,如何采取正当的措施,使用有效的技术,建立一个坚固有效的校园网络模式,已经成为高校网络建设的管理工作中必须面对的重要问题。
第2章校园网络面对的安全问题
2.1物理层的安全风险
物理层安全风险是指网络设备、设施包括服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS等由于放置位置的不合适或者环境防范措施不得力而遭受水灾、火灾、地震、雷电等自然灾害、意外事故或者人为破坏,造成校园网络不能正常的运行。
因此物理层的安全风险主要包括地震、火灾、水灾、雷击等环境事故造成的线路、设备的损坏;电源故障造成的设备软硬件损坏;硬件故障造成的数据丢失;电磁辐射造成的数据丢失或泄密;人为操作错误造成的信息泄露或设备盗毁等,如目前网络连接中由双绞线和同轴电缆的辐射所造成的信息泄漏或信息丢失。
网络的物理安全是整个网络系统安全的基础,如果攻击者通过对物理层实施攻击,破坏网络设备的运行,或者获取到网络设备的控制权,那么其它一切防御手段都形同虚设。
2.2数据链路层的风险
2.2.1内容寻址存储器表格淹没
MAC源地址和指定物理端口所提供的VLAN参数等信息存储与交换机的CAM表格中。
网络入侵者根据CAM表格有大小限制的特点,向交换机提供大量的无效MAC源地址,使其填满后无法再建立与其他MAC源地址的对应关系,让交换机处于失效开放状态[1],便于入侵者获取其他用户的信息。
2.2.2地址解析协议攻击
ARP攻击是指入侵者利用ARP协议的漏洞,在未获得授权的情况下伪造或更改ARP表格中的MAC或IP地址组合,来干扰局域网的正常通信或者破坏局域网使用的一种攻击方式,常见的攻击类型有两种:
拒绝服务攻击和中间人攻击。
2.2.3DHCP欺骗
利用动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)漏洞,通过伪造的MAC地址广播DHCP请求,耗尽DHCP服务器所提供的地址空间,或者利用非法的DHCP服务器,在网络中向用户提供非法IP地址、默认网关和DNS地址,造成服务器的IP地址冲突,引起网络混乱的一种攻击方式。
2.2.4媒体存取控制地址骗
媒体存取控制地址(MAC)欺骗是指攻击者利用伪造的目的主机的MAC地址,把带有该主机以太网源地址的单个数据帧发送给交换机。
攻击成功后,交换机的CAM表格条目被改写[2],把该主机的数据包转发给攻击者,使得该主机的信息通信中断。
只有当该主机再次向外发送信息后才能重新恢复通信。
2.3网络层的安全风险
2.3.1IP地址欺骗
是指攻击者通过伪造其他受信任主机的IP地址,将含有伪造IP地址的信息发送给服务器,获得非法权限的一种攻击方式。
由于校园网中用户较为密集,IP地址欺骗问题在校园网中更为突出。
2.3.2源路由欺骗
IP源路由(IPSourceRouting)是在IP数据传送中用来指定达到某个通信节点的路由,攻击者通过伪造可信IP地址,在发送的IP数据包中构造一个往返服务器的路由,从而使网络中某些执行宽松源路由策略的路由器向其发送应答数据,这样就使得攻击者与服务器建立了非法的联系[3]。
2.3.3路由信息协议攻击
路由信息协议(RoutingInformationProtocol)是一种内部网关协议,其实质是基于距离向量算法的分布式路由选择,适用于对校园网或区域网中的路由节点提供一致路由选择:
每个Active网络节点周期性的发送它的路由信息到邻居Passive节点,用这些路由信息,每个节点计算出到其他节点的最短路由,更新原有路由[7]。
由于RIP没有内置的验证机制,攻击者主机可以伪造RIP数据包欺骗其他节点,声称其拥有最快的网络连接速度或者模仿其他主机,使网络中的数据包都发送给攻击者主机,来获得检查或修改数据包权限[4]。
2.3.4互联网控制报文协议攻击
ICMP(InternetControlMessageProtocol)是一种用于主机和路由器之间的错误侦测和报告机制,在ICMP也没有验证机制。
攻击者通过向主机发送大量ICMP报文使主机放弃连接,从而导致正常计算机系统的合法服务被拒绝。
2.4传输层的安全风险
2.4.1TCP同步攻击
同步字符(Synchronize,SYN)是TCP/IP建立连接的握手机制,网络中不同主机间的TCP连接的建立要经过三次握手机制,攻击者如果通过一个伪造的IP源地址向目标主机发送SYN数据包,或者向目标主机发送多个SYN数据包,但是对主机返回的SYN+ACK数据包不响应,都能够导致系统运行变慢甚至拒绝其他用户的服务。
2.4.2TCP会话劫持
由于网络连接中的唯一标识是源IP、目的IP以及相应端口,攻击者可以首先利用一些欺骗技术例如嗅探技术获得网络中活动的TCP会话报文,通过分析连接标识,然后向目标主机发送一个带有净荷的TCP报文来更改目标主机的确认序号值,使主机认可攻击者的访问和拒绝合法用户的访问,是一种很严重的安全威胁。
2.4.3UDP淹没攻击
用户数据包协议(UserDatagramProtocol,UDP)是无连接的传输层协议,是一种面向事物的,不可靠的传输协议。
攻击者可以通过伪造的源IP向目的主机发送大量的UDP数据包,由于目的主机找不到相应的应用程序而消耗掉过多的资源,引起系统运行变慢甚至瘫痪。
2.5操作系统的安全风险
目前网络上使用的操作系统由于本身设计的缺陷存在大量的安全漏洞,非常容易被攻击。
微软开发的Windows操作系统作为目前校园网使用最多的操作系统,虽然具有强大的安全功能,但由于网络环境复杂,仍然显得漏洞百出,具体表现在:
2.5.1配置不当
校园网的用户类群复杂,很多用户的安全意识不强,没有对系统进行正确的配置,如不设置管理员口令或设置弱口令、不设置合理的访问控制或者不禁用不必要的帐号、重要文件设置权限过宽、不安装杀毒软件或者不及时下载系统补丁、不及时升级应用程序、使用盗版操作系统等。
2.5.2系统服务过多
校园网的很多用户对操作系统运行时所开启的系统服务不够了解,导致在操作系统运行时开启很多不必要的系统服务。
这些服务不仅会占用系统的资源,使系统的性能降低,而且很多服务会为外界提供网络服务,这些服务本身所存在的漏洞会成为网络攻击者的目标。
2.5.3病毒木马泛滥
病毒、木马是一种针对于网络体系结构一些特征结构设计的可执行程序,具有隐蔽性强、传播速度快、破坏力大的特点。
目前网络上的最大的威胁就来自于计算机病毒。
计算机技术的高速发展的同时计算机病毒也得到了快速的
升级会员 