基于校园网的网络安全系统研究与设计.docx

1、基于校园网的网络安全系统研究与设计甘肃政法学院“挑战杯”论文（设计）题 目 基于校园网的网络安全系统研究与设计计算机科学学院计算机科学与技术专业10级 计本 班学 号： 201081010137 姓 名： 杨青虎 指导教师： 安德智 完成时间： 2011 年 12 月目录引言 1第一章 系统安全 21.1 反病毒技术 21.2入情监测技术 21.3审计监控技术 2第二章 网络运行安全 3第三章 内部网络安全 33.1访问控制 33.2网络安全检测 3第四章 防火墙技术与入侵检测系统的比较 4第五章 联动模型的安全策略 8第六章 校园网络安全防御系统的实现 96.1入侵检测系统控制信息生成模块

2、96.2入侵检测系统和防火墙通讯模块 106.3防火墙动态规则处理模块 106.4校园网安全防御措施 10第七章 小结 12参考文献 12基于校园网的网络安全系统研究与设计摘 要：传统模式的校园网络安全依靠单一的网络防火墙和防病毒软件构建的二层防护体系来实现。随着网络攻击手段的提高，二层防护体系已经很难适应当前的校园网。本文在比较了防火墙和入侵检测系统各自的区别和联系的基础上，提出一种将入侵检测与防火墙结合起来互动运行的校园网络安全防御系统的解决方案，在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。关键词：校园网;入侵检测;防火墙; 网络安全; 系统安全;网络运

3、行安全; 内部网络安全 Research and Design of Campus-Based Network Security System (Computer School of Gansu Institute of Political Science and Law, Lanzhou, 730070)Abstract:The traditional security mode of campus network is realized through the dual system of firewall and anti-virus software. However, with th

4、e development of network attack means, it has become barely useful to deal with all the problems. The article, made comparison between the firewall and intrusion detection in respect to their respective differences and connections, puts forth with a solution which combines the above ways and enables

5、 to improve the security and management of campus network without greatly increasing the cost of the operation.Key words: Campus network; Intrusion detection; Firewall; network security引言随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题

6、，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。互联网的迅速普及和国内各高校网络建设的不断发展，各大中专院校及中小学相继建成或正在建设校园网。校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有分重要的意义。但随着黑客的入侵增多及网络病毒的泛滥，校园网的安全已

7、成为不容忽视的问题，数据的安全性和学校自身的利益受到了严重的威胁。因此，能否保证计算机和网络系统的安全和正常运行便成为校园网络管理所面临的一个重要的问题。校园网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一个能够一劳永逸地防范任何攻击的完美系统，这样的系统客观上是不存在的。我们力图建立的是一个网络安全的动态防护体系，是动态加静态的防御，是被动加主动的防御甚至抗击，是管理加技术的完整安全观念1。网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。 第一章 系统安全 系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析

8、等技术。 1.1 反病毒技术反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。 1.2入情监测技术入侵检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象

9、，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。 1.3审计监控技术审计监控技术：审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进

10、行审计跟踪，可以及早发现可能产生的破坏性行为。因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。 第二章 网络运行安全 网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。 一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。

11、 根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。 第三章 内部网络安全 为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。

12、3.1访问控制访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整

13、体安全策略中，才能实现真正的安全。 3.2网络安全检测网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。漏洞扫描系统是一种系统安全评估技术，具体包括网络模拟攻击、漏洞测试、报告服务进程、以及评测风险，提供安全建议和改进措施等功能。定期或不定期对一些关键设备和系统(网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序)进行漏洞扫描，对这些设备和系统的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。漏洞扫描系统性能应具备

14、：扫描项目覆盖网络层、应用层和各种网络服务；扫描对象应覆盖所有的IP设备和服务（包括路由器、NT服务器、UNIX服务器、防火墙等）；大容量的漏洞特征库；执行扫描时不会对扫描对象的系统产生影响；对网络的数据包传输不产生明显的延迟；较低的误报率等。第四章 防火墙技术与入侵检测系统的比较防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之

15、间的任何活动， 保证了内部网络的安全。防火墙2是实施访问控制策略的系统，对流经网络的流量进行检查并拦截不符合安全策略的数据包。然而，防火墙作为目前保护网络免遭黑客袭击的有效手段，也存在着明显的不足之处：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击等。火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。数据包过滤：数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）。通过检查

16、数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。应用级网关：应用级网关（Application Level Gateways）是在网络应用层上建立协议

17、过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。代理服务：代理服务（Proxy Service）也称链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels）， 也有人将它归于应用级网

18、关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。对于入侵检测系统（IDS,Intrusion Detection System）2而言，它通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。虽然它能够帮助人们确切了解问题所

19、在，但绝大多数入侵检测系统只能在攻击发生时被动发出警报。很多人了解安装在汽车上的防盗警报系统的功能和作用，那也就不难理解我在这里所讲的入侵检测系统了，事实上入侵检测系统就是“计算机和网络为防止网小偷安装的警报系统”。入侵检测系统根据工作的重点不同，可分为基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测系统构成一般分为，两个部分一个部分是检测的部分（Sensor），一部分是处理报警结果的控制台。不同的入侵检测的构成也不太一样大致都具有控制台和Sensor两个基本部分，基于主机的入侵检测多半在主机上安装一个代理程序来收集系统信息向Sensor汇报。下面我们看一下入侵检测系统的作用。入侵检测

20、系统的作用：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统的检测信息来源：入侵检测系统的检测信息来源都是通过自身的检测部分Sensor 得到的。基于网络的入侵检测，主要是通过对网络数据包的截取分析，来查找具有攻击特性和不良企图的数据包的。

21、在网络里基于网络的入侵检测系统的检测部分Sensor 一般被布置在一个交换机的镜象端口（或者一个普通的HUB任意端口），听取流经网络的所有数据包，查找匹配的包，来得到入侵的信息源。基于主机的入侵检测系统的Sensor 不可能直接从系统内部获取信息的，它是要通过一个事先做好的代理程序，安装在需要检测的主机里的，这些代理程序主要收集系统和网络日志文件，目录和文件中的不期望的改变，程序执行中的不期望行为，物理形式的入侵信息。典型应用说明入侵检测系统和防火墙一样对于每一个网络都是非常需要的，但是根据网络的规模大小不同布置也稍有不同，以下是两个规模不同的网络的典型应用。简单的小的OA系统入侵检测的简单应

22、用，在这个网络里，有企业的应用服务器，文件服务器和WEB MAIL 等等，网络结构如下。图4.1 网络结构图无任何安全设施前的网络结构考虑安全，安装入侵检测系统的网络。基于网络的入侵检测系统的检测端Sensor一般被布置在网络的核心交换机，或者部门交换的交换机的镜象端口（采取把Sensor 放在核心交换机器的镜像端口还是部门交换机的镜像端口，主要由网络的流量和客户机的数量，以及入侵检测的处理能力和网络发生攻击的频繁程度来定的）在网管的机器上，安装上入侵检测系统的控制台，做报警处理，在重要的服务器或者有必要的客户端安装代理程序收集系统和网络日志等系统信息，寻找具有攻击特性的数据包。技术人员对来自

23、主机的和网络的检测信息进行分析和监控。 入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。图4.2 入侵检测系统结构图表4.1 防火墙和入侵检测比较项目防火墙入侵检测系统设备类型多穴主机，数据转发数据采集分析设备流量处理机制过滤无处理受检报文操作大量的读写操作，需要修改各层报文的头或内容作简单的拷贝，不修改原来报文入侵检测准确性只对流量作普遍检查，有漏报、误报内置入侵知识库可提供准确的判断。识别、漏报、

24、误报率低于防火墙入侵行为处理拒绝、报警、日志记录报警、日志记录和有限的反击访问日志记录只作条目式记录对访问资源、报文内容做详细记录应用层内容恢复不提供应用层内容恢复，但可以根据此进行过滤和替换能完全恢复出应用层的信息，对网络流量进行全程监视和记录网络层以下各协议的支持必须支持所有网络层以下的协议方能维持原有网络的正常运作无此要求3、防火墙是根据策略对数据报在进入内部网络之前进行过滤，故把入侵行为排除在外；而入侵检测系统是对绕过防火墙进入内部的数据报进行分析和监视，是对进入网络内部或正在发生的入侵进行检测与阻止。4、防火墙只对数据报的地址、协议、端口号进行检查，而入侵检测需要对数据报的内容进行检

25、查。综合防火墙与入侵检测系统的优势与不足可以看出，从功能分工上来看，有效抵御入侵的理想方式就是把防火墙和IDS的功能有机地组合在一起。这样，入侵检测系统能够弥补防火墙的不足，对过往流量进行入侵检测，一旦发现入侵后不仅发出报警，同时还进行实时阻断，为受保护网络提供有效的入侵检测及相应的防护手段。因此，防火墙和入侵检测系统之间十分适合建立紧密的联动关系，以将两者的能力充分发挥出来，相互弥补不足，互相提供保护。进一步地，从信息安全整体防御的角度出发，这种联动是十分必要的，极大地提高了网络安全体系的防护能力。其联动模型如图4.3所示。图4.3 联动模型第五章 联动模型的安全策略随着Internet的迅

26、速发展和应用的普及，计算机网络已经深入教育、政府、商业、军事等各行各业，象电话、交通、水、电一样，成为社会重要的基础设施。如果计算机网络的安全可靠运行受到威胁，将会影响人们的工作、学习和生活。然而不幸的是，近年来大规模的网络安全事件接连发生，互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致的泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致世界性的互联网瘫痪，造成的经济损失无法估计。网络安全引起世界各国的关注，政府、企业和研究机构等各领域的组织都对网络安全投入了大量的人力物力；但是目前我们面临的威胁让人不容乐观。安全策略是指一个特定环境中，为保证提供一定级别的安全保护所必

27、须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么，制定恰当的满足需求的策略方案，然后才考虑技术上如何实施。防火墙是保证安全的最基本方式。防火墙可以按照需要来阻断或允许网络通信。入侵检测系统不能充当防火墙的替代品。入侵检测技术的基本功能是监视内部网络的流量，并对识别到的重要攻击特征进行警报。一种较为容易实现的策略是在防火墙遭受攻击时让入侵检测系统重新配置防火墙。例如入侵检测系统和防火墙通信并让它自动地关掉端口或禁止主机。防火墙是减少扫描威胁的最有效的方式。入侵检测系统可以帮助探测和阻碍主机扫描。但是入侵检测

28、系统主要是监控内部网络传输，而不能作为防火墙来保护网络。这是因为防火墙作为集中点，能够拦截或允许进出通信。有防火墙的地方，可以有效地使用一个系统去保护系统免受扫描、嗅探和拒绝服务攻击（Dos）。这种策略不仅可以保护校园免受外界攻击也可以对校园网内部的网络通信进行检测，并发出警报或采取相应的主动行为。互联网的自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，互联网的设计之初没有充分考虑安全威胁，因为最初的互联网只是用于少数可信的用户群体。许多的网络协议和应用没有提供必要的安全服务，比如电子邮件使用的协议SMTP没有提供认证机制，曾经是导致垃圾邮

29、件泛滥的重要原因，远程登录使用的telnet协议明文传输用户名和口令等，而且IP网络也不提供任何服务质量控制机制，导致目前在大规模拒绝服务攻击面前几乎无能为力。互联网和所连接的计算机系统在实现阶段也留下了大量安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞也越来越多。特别是由于市场竞争，一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场，留下了大量的安全隐患，如缓冲区溢出。在互联网和系统的维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素，这些

30、安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口令是大量攻击成功的原因之一。第六章 校园网络安全防御系统的实现校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色,能够安全有效的对教育网络带宽进行调度和分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用,校园网网络安全10体系结构起着至关重要的作用。因此,随着校园网规模的不断扩大,如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。众所周知，专用的入侵检测设备一般是监听网络进出口处的信息，不是串接在其中，不能保证能够切断检测出来的攻击。只有将入侵检测和防火墙结合才能够保证网络不受攻击。入

31、侵检测系统与防火墙联动实现的过程如图6.1所示。互联网上的黑客开始对受保护网络内的主机发动攻击，这时位于网络出口处监听的入侵检测系统检测到黑客对内网主机的攻击行为后，入侵检测系统通过它与防火墙之间的“公共语言”发送通知报文通知防火墙，防火墙收到并验证报文后生成动态规则实现对攻击行为的控制和阻断5。图6.1 入侵检测系统与防火墙联动实现该系统主要包括的模块有：6.1入侵检测系统控制信息生成模块控制信息生成模块的主要任务是将接受到的探测器发来的危险警报进行整理，提取出相关信息，生成特定的控制信息，然后对控制信息进行加密处理，并向防火墙端通讯模块发送事件消息。入侵检测系统用于网络和系统的实时安全监控

32、，对来自内部和外部的非法入侵行为做到及时响应、告警和记录，以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流，根据在入侵检测系统上配置的安全策略（入侵模式），识别、记录入侵和破坏性的代码流，寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络安全检测系统的预警子系统能够根据系统安全策略作出反映，并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。入侵检测系统运行于需要保护的有敏感数据的网络上，即存贮和处理重要数据的服务器或防火墙附近，以检测关键部位的数据流，防范非法访问行为，对非法网络行为的审计、监测及安全监控，并实现与防火墙的联动进行动态保护。入侵检测系统由控制中心和探测引擎（网络的、主机的）组成，控制中心作为系统的管理和配置工具，编辑、修改和分发各网络探测引擎、子控制中心的策略定义，更新各探测引擎的