校园计算机网络安全研究.docx

1、校园计算机网络安全研究校园计算机网络安全研究目 录摘要 1第1章 引言 3第2章 校园网络面对的安全问题 42.1 物理层的安全风险 42.2 数据链路层的风险 42.3 网络层的安全风险 52.4 传输层的安全风险 62.5 操作系统的安全风险 6第3章 校园计算机网络的安全防护 83.1 防火墙 83.2 入侵检测 83.3 身份认证 93.4 虚拟专用网技术 93.5 数据备份技术 10第4章 总结 12谢辞 13参考文献 14摘要：高校校园网是互联网络的重要组成部分，担负着高校办公、教学、科研和学术交流等各方面的用途，是推进我国高校现代化建设的重要手段。由于校园网络的特殊性，校园网络的

2、安全威胁不仅来自于互联网，还来自于校园网络体系的各个层面，使得校园网络的安全问题尤为突出。本文结合校园网络体系特征，从网络安全技术方面入手，首先分析网络中常见的安全问题，然后从校园网络架构的建设分析网络安全，把网络中常用到的技术进行分析，选择最适合网络技术进行应用，提高校园网络安全性。关键字：防火墙；入侵检测；校园网络；安全 The research on campus computer network securityAbstract: The campus network is an important part of the Internet, charged with the coll

3、ege office, teaching, scientific research and academic exchanges and other aspects of the use of colleges and universities in our country, is to promote the modernization of. Due to the particularity of the campus network, campus network security threats come from not only the Internet, but also fro

4、m the campus network system at all levels, making the campus network safe problem is highlighted particularly. In this paper, combined with the characteristics of the campus network system, from the network safety technique aspects, firstly analysis the network common security problems, and then fro

5、m the campus network and the construction of network security, the network is often used in technical analysis, the selection of the most suitable network technology application, improve the campus network safety.Key words: Firewall；Intrusion detection；Campus network；Safety第1章 引言21 世纪是信息化的世纪，网络化、信息化

6、、办公自动化已经成为各高校发展的趋势，高校校园网的建设迅速的进行。随着教育信息化的迅速发展，目前绝大多数的高校校园网都已经和 INTERNET 互联网相连。根据 IEEE 的描述，局域网 (Local Area Network，LAN)技术是“把一个建筑物或者相邻建筑物中分散的计算机、终端、带大容量存储器的外围设备、控制器、显示器以及为连接其他网络而使用的网络连接器等网络设备相互连接起来，实现很高速度通信的手段”。显而易见，从物理意义上说，校园网络就是一种局域网。校园网作为一种在学校应用的局域网，除了具有基本广域网自己的特点和功能外，有着自己独特的特点。高校校园网作为 CERNET 的重要组成

7、部分，在我国高校的现代化建设中有着非常重要的作用，已经成为高校信息化的重要部分。对于高校而言，随着网上办公系统、远程教学系统的使用，高校校园网络在办公、教学、科研和学术交流承担着越来越多的用途，人们的各项工作和生活都越来越依赖于网络。评价一所高校的整体办学水平的重要指标之一就是高校校园网络的建设水平。不过，随着应用的深入，校园网络问题日渐突出，各种网络攻击越来越多，如病毒入侵、网络阻塞、黑客入侵、系统瘫痪、数据丢失等，这些问题对高校校园网络的建设带来了极大的制约，严重影响了校园网的信息安全，甚至对学校的正常教学和科研工作造成极大的损失，影响校园网络的正常使用。因此，如何采取正当的措施，使用有效

8、的技术，建立一个坚固有效的校园网络模式，已经成为高校网络建设的管理工作中必须面对的重要问题。第2章 校园网络面对的安全问题2.1 物理层的安全风险物理层安全风险是指网络设备、设施包括服务器、工作站、交换机、路由器等网络设备，光缆和双绞线等网络线路以及 UPS 等由于放置位置的不合适或者环境防范措施不得力而遭受水灾、火灾、地震、雷电等自然灾害、意外事故或者人为破坏，造成校园网络不能正常的运行。因此物理层的安全风险主要包括地震、火灾、水灾、雷击等环境事故造成的线路、设备的损坏；电源故障造成的设备软硬件损坏；硬件故障造成的数据丢失；电磁辐射造成的数据丢失或泄密；人为操作错误造成的信息泄露或设备盗毁等

9、，如目前网络连接中由双绞线和同轴电缆的辐射所造成的信息泄漏或信息丢失。网络的物理安全是整个网络系统安全的基础，如果攻击者通过对物理层实施攻击，破坏网络设备的运行，或者获取到网络设备的控制权，那么其它一切防御手段都形同虚设。2.2 数据链路层的风险2.2.1 内容寻址存储器表格淹没MAC 源地址和指定物理端口所提供的 VLAN 参数等信息存储与交换机的 CAM 表格中。网络入侵者根据 CAM表格有大小限制的特点，向交换机提供大量的无效 MAC 源地址，使其填满后无法再建立与其他 MAC 源地址的对应关系，让交换机处于失效开放状态1，便于入侵者获取其他用户的信息。2.2.2 地址解析协议攻击ARP

10、 攻击是指入侵者利用 ARP 协议的漏洞，在未获得授权的情况下伪造或更改 ARP 表格中的 MAC 或 IP 地址组合，来干扰局域网的正常通信或者破坏局域网使用的一种攻击方式，常见的攻击类型有两种：拒绝服务攻击和中间人攻击。2.2.3 DHCP 欺骗利用动态主机设置协议（Dynamic Host Configuration Protocol，DHCP）漏洞，通过伪造的 MAC 地址广播 DHCP 请求，耗尽 DHCP 服务器所提供的地址空间，或者利用非法的 DHCP 服务器，在网络中向用户提供非法 IP 地址、默认网关和 DNS 地址，造成服务器的 IP 地址冲突，引起网络混乱的一种攻击方式。

11、2.2.4 媒体存取控制地址骗媒体存取控制地址（MAC）欺骗是指攻击者利用伪造的目的主机的 MAC 地址，把带有该主机以太网源地址的单个数据帧发送给交换机。攻击成功后，交换机的 CAM 表格条目被改写2，把该主机的数据包转发给攻击者，使得该主机的信息通信中断。只有当该主机再次向外发送信息后才能重新恢复通信。2.3 网络层的安全风险2.3.1 IP 地址欺骗是指攻击者通过伪造其他受信任主机的 IP 地址，将含有伪造 IP 地址的信息发送给服务器，获得非法权限的一种攻击方式。由于校园网中用户较为密集，IP 地址欺骗问题在校园网中更为突出。2.3.2 源路由欺骗IP 源路由（IP Source Ro

12、uting）是在 IP 数据传送中用来指定达到某个通信节点的路由，攻击者通过伪造可信 IP 地址，在发送的 IP 数据包中构造一个往返服务器的路由，从而使网络中某些执行宽松源路由策略的路由器向其发送应答数据，这样就使得攻击者与服务器建立了非法的联系3。2.3.3 路由信息协议攻击路由信息协议（Routing Information Protocol）是一种内部网关协议，其实质是基于距离向量算法的分布式路由选择，适用于对校园网或区域网中的路由节点提供一致路由选择：每个 Active 网络节点周期性的发送它的路由信息到邻居 Passive 节点，用这些路由信息，每个节点计算出到其他节点的最短路由，

13、更新原有路由7。由于 RIP 没有内置的验证机制，攻击者主机可以伪造 RIP 数据包欺骗其他节点，声称其拥有最快的网络连接速度或者模仿其他主机，使网络中的数据包都发送给攻击者主机，来获得检查或修改数据包权限4。2.3.4 互联网控制报文协议攻击ICMP（Internet Control Message Protocol）是一种用于主机和路由器之间的错误侦测和报告机制，在 ICMP 也没有验证机制。攻击者通过向主机发送大量 ICMP 报文使主机放弃连接，从而导致正常计算机系统的合法服务被拒绝。2.4 传输层的安全风险2.4.1 TCP 同步攻击同步字符（Synchronize，SYN）是 TCP

14、/IP 建立连接的握手机制，网络中不同主机间的 TCP 连接的建立要经过三次握手机制，攻击者如果通过一个伪造的 IP源地址向目标主机发送 SYN 数据包，或者向目标主机发送多个 SYN 数据包，但是对主机返回的 SYN+ACK 数据包不响应，都能够导致系统运行变慢甚至拒绝其他用户的服务。2.4.2 TCP 会话劫持由于网络连接中的唯一标识是源 IP、目的 IP 以及相应端口，攻击者可以首先利用一些欺骗技术例如嗅探技术获得网络中活动的 TCP 会话报文，通过分析连接标识，然后向目标主机发送一个带有净荷的 TCP 报文来更改目标主机的确认序号值，使主机认可攻击者的访问和拒绝合法用户的访问，是一种很

15、严重的安全威胁。2.4.3 UDP 淹没攻击用户数据包协议（User Datagram Protocol，UDP）是无连接的传输层协议，是一种面向事物的，不可靠的传输协议。攻击者可以通过伪造的源 IP 向目的主机发送大量的 UDP 数据包，由于目的主机找不到相应的应用程序而消耗掉过多的资源，引起系统运行变慢甚至瘫痪。2.5 操作系统的安全风险目前网络上使用的操作系统由于本身设计的缺陷存在大量的安全漏洞，非常容易被攻击。微软开发的 Windows 操作系统作为目前校园网使用最多的操作系统，虽然具有强大的安全功能，但由于网络环境复杂，仍然显得漏洞百出，具体表现在：2.5.1 配置不当校园网的用户类

16、群复杂，很多用户的安全意识不强，没有对系统进行正确的配置，如不设置管理员口令或设置弱口令、不设置合理的访问控制或者不禁用不必要的帐号、重要文件设置权限过宽、不安装杀毒软件或者不及时下载系统补丁、不及时升级应用程序、使用盗版操作系统等。2.5.2 系统服务过多校园网的很多用户对操作系统运行时所开启的系统服务不够了解，导致在操作系统运行时开启很多不必要的系统服务。这些服务不仅会占用系统的资源，使系统的性能降低，而且很多服务会为外界提供网络服务，这些服务本身所存在的漏洞会成为网络攻击者的目标。2.5.3 病毒木马泛滥病毒、木马是一种针对于网络体系结构一些特征结构设计的可执行程序，具有隐蔽性强、传播速度快、破坏力大的特点。目前网络上的最大的威胁就来自于计算机病毒。计算机技术的高速发展的同时计算机病毒也得到了快速的