校园网网络安全的管理与应用论文.docx

1、校园网网络安全的管理与应用论文 课 程 设 计教 学 院计算机学院课程名称计算机网络课程设计题 目校园网络安全管理与应用专 业网络工程班 级2012网络工程1班姓 名同组人员指导教师课程设计任务书20132014学年 第 2学期学生姓名： 专业班级： 2012网工 指导教师： 工作部门： 计算机学院 一、课程设计题目校园网网络安全的管理与应用二、课程设计内容（含技术指标）1网络功能的设计2防火墙、安全策略的配置3安全性能的测试三、进度安排12014年6月16日，指导教师讲课，学生根据题目准备资料；22014年6月17日，设计小组进行总体方案设计和任务分工；3. 2014年6月18日2014年6

2、月25日，具体实施42014年6月26日2014年6月27日，验收、撰写报告，完成论文，总结并答辩四、基本要求1. 要求网络系统具有高性能，以满足我院整个网络系统运行大量关键的业务。2. 要求网络平台具有能灵活管理和可靠的安全策略功能，以满足我院网络系统实用性和安全性。3. 要求网络具有良好的服务质量和较小的延迟，以实现校园人员能通过校园网安全、高效登陆网站。目 录第1章 校园网络安全 31.1 校园网概述 31.2 校园网建设及目前面临的安全问题 31.3 校园网安全分析 4第2章 校园网络安全策略 72.1 校园网安全管理 72.2 校园网络安全措施 8第3章 校园网络安全系统设计 113

3、.1 校园网建设需求分析 113.1.1 需求分析 113.1.2 关键设备 123.1.3 校园网网络拓扑结构 133.2 技术方案 143.2.1 校园网的建设规划 143.2.2 组网技术 173.2.3 网络操作系统 183.2.4 防火墙技术 183.2.5 Internet接入技术 193.2.6 建网方案 19第4章 校园网的运行 244.1 校园网的应用 244.1.1校园网站 244.1.2校园网管理信息系统 244.1.3校园网计算机教学系统 244.2 校园网的管理 24参考文献 27摘 要网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、真实性、可控性

4、等几个方面，它通过网络信息的存储、传输和使用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击。防火墙，则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。本文从对校园网的现状分析了可能面临的威胁，从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。通过以下三个步骤来完成校园网络安全系统：1、建设规划；2、技术支持；3、组建方案。第1章 校园网络安全1.1 校园网概述信息技术已引起了全面而深刻的社会变革，为此，世界各国政府都

5、对教育的发展给予了前所未有的关注，把信息化教育放到重要的位置上，纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。 因此校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。3、我国各级教育研究部门、软件开发单位、教学

6、设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。4、现代教育改革的需要。5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。1.2 校园网建设及目前面临的安全问题20世纪80年代以来，世界上几乎所有发达国家都己相继建成了国家级的教育和科研计算机网络，并相互连成覆盖全球的国际性学术计算机网络。这种全球计算机信息网络的产生加快了信息传递速度，为广大教师及科研人员提供了一个全新的网络环境，从根本上改变并促进了他们之间的信息交

7、流、资源共享、科学计算和科研合作，成为这些国家教育和科研工作最重要的基础设施，从而促进了这些国家教育和科研事业的迅速发展。在这种情况下，1994年11月，国家计委正式批准“中国教育和科研计算机网CERNET(ChinaEducationandResearchNetwork)示范工程”项目可行性研究报告，由国家投资建设，教育部负责管理，清华大学等高等学校承担建设和管理运行，截至2004年底，CERNET主干网传输速率达到2.5-5Gbps，地区网传输速率达到155M2.5Gbps,覆盖全国31个省、市200多座城市，联网的大学、教育机构和科研单位超过1300个，用户超过1800万人，成为世界上最

8、大国家级公益性计算机互联网。校园网的建设也因CERNET的发展而得到了快速的发展。全国绝大多数的高校建成了自己的校园网络，2002年，为了解决我国西部教育信息化发展滞后，大学校园网与东部差距很大的问题，经国务院批准，国家计委批复立项，由教育部组织实施重点建设“西部大学校园计算机网络工程”项目，建设西部152所大学校园网网络基础设施;实现校园网与中国教育与科研计算机网(CERNET)的高速连接;建设一批基于校园网的教学、科研和管理的应用系统。随着大学校园网建设工程的实施，全面提高了西部大学校园网的水平和规模，扩大校园网的应用范围，为高校教师教学和科研以及大学生进入网络平台提供基本保证。校园网作为

9、学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，网络的攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行。同时，随着网络规模的不断扩大，复杂性不断增加，异构性不断提高，用户对网络性能要求的不断提高，网络安全也逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生很大的影响，成为现代信息网络中最重要的问题之一。1.3 校园网安全分析(1)网络协议的开放性和通用性计算机网络是依靠网络协议通信的，TCP/IP协议簇，是互联网使用的网络协议，也是多

10、数高校校园网采用的网络协议。TCP/IP协议簇具有开放性和通用性等特点，任何组织或个人都可以研究、分析及使用，TGP/IP协议的任何安全漏洞都可能被利用。存在的安全问题有:数据窃听(PacketSniff):TCP/IP协议数据流采用明文传输，因此数据信息很容易被窃听、篡改和伪造。特别是在使用含有用户账号、口令的数据包进行通信时，使用Sniff,Snoop或网络分析仪等可以对以上信息进行截取，达到攻击的目的。源地址欺骗(Sourceaddressspoofing):TCP/IP协议使用IP地址作为网络节点的唯一标识，但是节点的IP地址又不是固定不变的，因此攻击者可以直接修改该节点的IP地址，冒

11、充某个可信任节点进行攻击。源路由选择欺骗(SourceRoutingspoofing):TCP/IP协议中，IP数据包为了测试的目的设置了一个选项一IPSourceRouting，该选项可以直接指明到达节点的路由，攻击者可以利用这个选项进行欺骗，进行非法连接。攻击者通过冒充某个可信任节点的IP地址，构造一个通往某个服务器的直接路径和返回路径，利用可信任用户作为通往服务器的路由中的最后一站，就可以向服务器发送请求，对其进行攻击。在TCP/IP协议的两个传输层协议TCP和UDP中，由于UDP是面向非连接的，因而没有初始化的连接建立过程，所以UDP更容易被欺骗。鉴别攻击(Authentication

12、Attacks):TCP/IP协议只能以IP地址进行鉴别，而不能对节点上的用户进行有效的身份认证，因此服务器无法鉴别登陆用户的身份的真实性和有效性。目前主要依靠服务器软件平台提供的用户控制机制，比如用户名、口令等。虽然口令是以密文存放在服务器上，但是由于口令是静态的、明文传输的，所以无法抵御重传、窃听。而且在很多系统中常常将加密后的口令文件存放在一个普通用户就可以读到的文件里，攻击者也可以运行准备好的口令破译程序来破译口令，对系统进行攻击。TCP序列号欺骗(TCPSequencenumberspoofing):由于TCP序列号可以预测，因此攻击者可以构造一个TCP序列号，对网络中的某个可信节点

13、进行攻击。.ICMP攻击(工CMPAttacks):ICMP是关于IP差错与控制的协议，但ICMP中的许多功能可被攻击者利用来实施攻击，如攻击者可利用:ICMI重定向消息(ICMPredirectmessage)来破坏路由机制和提高侦听业务流能力;工CMP回应请求/应答消息(ICMPechorequest/replymessage)实行拒绝服务攻击;ICMP目的不可达消息(Destinationunreachablemessage)实现点对点应用的拒绝服务;ICMP的ping命令获得关于一个网络的设置和可达性等信息。 拒绝服务(DOS)攻击:这是一种最古老也是最有效的攻击方法。它可以针对任何加

14、密系统进行攻击，因为加密并不是没有代价的，加密和验证运算都需要消耗大量的资源(包括占用CPU的时问)。如果组织大量数据同时访问某主机，使得该主机在验证数据合法性的同时，做大量不相干的事，完全可能使该主机陷入瘫痪，而无法响应正常的数据访问。 .IP栈攻击(IPStackAttack):利用大多数操作系统不能处理有着相同源、目的IP地址(主机名、端口)IP包的缺陷，把伪造的此种类型的IP包发往目标主机，就能导致目标主机系统崩溃。(2)操作系统及应用软件都有不安全因素。网络安全漏洞大量存在，根据国际权威应急组织CERT/CC统计0,2004年公布漏洞数3780个，自1995年以来各年来漏洞公布总数1

15、6726个，从近两年统计情况看，发现漏洞数量处于较高水平，漏洞的大量存在是网络安全问题的严峻的主要原因。(3)攻击工具易用性在互联网上，有很多的攻击工具可自由下载，此类攻击工具设置简单、使用简便，即使对网络不太精通的人都可以利用攻击工具进行网络攻击。大量的廉价却很好用的攻击工具充斥于网络中，自动化攻击工具大量泛滥，几年前仅仅适用于高智能范围的工具己经能够从商业途径购买并使用。而使用这些工具并不需要很高的技术水平，这使得一个普通的攻击者也可以对系统造成巨大的危害。攻击技术的普及使得高水平的攻击者越来越多，反而言之，安全管理员面临着巨大的挑战，我们的系统面临的安全威胁也越来越大。(4)校园网用户的

16、安全意识不强由于计算机及网络应用水平有限，校园网用户网络安全尚未能充分认识，基本上没有或很少对所使用计算机作安全防范。目前关于网络安全的法律法规都已出台，学校网管中心也都制定了各自的管理制度，但宣传教育的力度不够。许多师生法律意识淡薄，出于好奇或卖弄编程技巧的心理，破坏了网络的安全。网上活跃的黑客交流活动，也为他们的破坏活动奠定了技术基础。第2章 校园网络安全策略校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。国内高校校园网的安全问题有其历史原因：在以前的网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都

17、存在“重技术、轻安全、轻管理“的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得越来越突出了。一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。2.1 校园网安全管理针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略：1

18、、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校

19、园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度 。 网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞

20、修补和定期询检，保证对网络的监控和管理。2.2 校园网络安全措施前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。1、采用VLAN技术。VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。 2、杀毒软件。杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络

21、内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。3、防火墙。在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则.(2）禁止访问系统级别的服务( 如HTTP , FTP

22、等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。(3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。(4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。(5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。4、内容过滤器。内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。5、入侵检测。入侵检测系统

23、是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。6、漏洞扫描。随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存在因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。7、数据加密。数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。

24、8、加强网络安全管理。 加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。9、服务器与网关安全控制。网络服务器的安全控制是以设置 口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破 坏数据。可以设定服务器甓录时间限制、非法访问者检测和关闭的 时间间隔。而网关安全控制是整体防毒的首要防线，可以消除外 来病毒的威胁。使得病毒不能再从外网传播进来，对内部网络资源 和系统资源造成消耗，如果出现新病毒。只需更新防病毒网关而不 用更新每个终端软件。防病毒网关主要有两部分，一是如何对进 出网关的数据进行查杀，二是

25、对要查杀的数据进行检测与清除。 综上所述，高校校园网络的安全问题是一个较为复杂的系统 工程，随着计算机技术的飞速发展，维护校园网络的安全不应仅仅 停留于追堵和拦截，而应该积极主动的运用各种手段应对不断发 展的各种安全威胁。高校校园网络的安全问题。不仅是设备、技术 的问题，还必须培养一支具有安全管理意识的网管队伍，网络管理人员一定要加强网络安全技术的掌握，通过对所有用户设置资源 使用权限与口令，对用户名和口令进行加密存储、传输，提供完整 的用户使用记录和分析等方式可以有效地保证系统的安全。第3章 校园网络安全系统设计安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校

26、园网络安全系统，制定详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络安全知识培训，或发放常见病毒解决方案等。3.1 校园网建设需求分析3.1.1 需求分析局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也可以借助Wingate或Sygate等软件多机共享一台Modem上网；或者通过代理服务器连上Internet，享受非一般的速度。网卡根据传输速率可分为：10Mbps网卡（ISA 插口或PCI插口）、100Mbps PCI插

27、口网卡、10Mbps/100Mbps自适应网卡和千兆网卡。目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额，但由于10Mbps ISA插口网卡的网络传输速率低，且占用大量的CPU资源，只适应于那些对速度要求不高的局域网，因此用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。BNC口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45是采用双绞线作为传输媒介的一种网卡接口，RJ45的接口酷似电话线的接口，但网络线使用的是8芯的接头，使用RJ45的缺点是架设成本高，但安装和维护较

28、为方便，因此我们一般使用RJ45接口。集线器 (HUB):根据微机的数量,利用 HUB构成星形结构 ,在工作站较多的情况下 ,会因 HUB的处理速率远远低于通信线路的传输速度 ,从而造成瓶颈问题。因此有条件的话可选用交换机。一个 Hub所组成的域称为冲突域 ,也就是说 ,网络上任何一台计算机在收发数据时 ,其他所有计算机都能够收到 ,且这些计算机不能同时进行数据的收发 ,否则会发生碰撞(CSMA/ CD协议会阻止碰撞 )。此外每台接入 Hub的计算机 ,都要检测接收到的数据目的地址 ,以确认是否是收到自己的通信信息 ,因此计算机 CPU占用率高 ,全网通信效率低 ,只适用于小型工作组级别应用。

29、学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方案应注意以下原则：实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率)，提高容错设计，支持故障检测

30、和恢复，可管理性强。统一性在系统的设计过程中，坚持三统一，即统一规划、统一标准、统一出口。先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。3.1.2 关键设备在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网络系统的内部核心交换机，Catalyst 6506是大容量的具有高交换能力的第三层模块化交换机，Catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。选择Catalyst 354

31、8作为外网交换机。可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。选择Catalyst 3524和Catalyst 3548作为计算机网络系统的二级汇聚交换机，为终端用户提供10/100M到桌面。选择Cisco 3662作为计算机网络系统DDN、ISDN访问路由器，既可以满足上级单位Internet的DDN、ISDN接入的需求，又可以满足继续扩展的需求。同时Cisco 3662作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。 网络核心层：用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电，彼此分担负荷并互为备份。一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏，它控制交换机的寻址、数据转发、模块控制等。 Catalyst6506交换机引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力，利用Cisco特有的Netflow技术，完全满足核心线性三层交换的能力。另一块WS-X6408-GBIC 的8端