校园网络安全防范实例.docx

1、校园网络安全防范实例安全防范实例防火墙和入侵检测系统的安装与配置防火墙的安装和配置防火墙是设置在被保护网络与外部网络之间的一道屏障，实现网络的安全保障，以防止发生不可预测的，潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力，他是提供网络安全服务，实现网络安全的基础设施，严峻的网络安全形势，促进了防火墙技术的不断进步，防火墙的产品也有很多。本案例主要采用工具软件例如天网防火墙，搭建和配置防火墙安全策略的方法。天网防火墙个人版（简称为天网防火墙）是由天网安全实验室研发制作给个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则（Security Rules）把守网络，提供强大的访问控制、应用

2、选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，它适合于任何方式连接上网的个人用户。为了便于演示和对该技术方便掌握，我们要求在一台计算机上应该有两个及以上的操作系统，这样我们就需要在主机上安装一个虚拟机及其操作系统，并且作适当的调试和配置，只有完成这些网络环境的搭建，方可进行接下来的工作。在Windows Xp 操作系统（虚拟机）中安装天网防火墙，运行后出现天网防火墙主界面，如下图4-1所示：图4-1 天网防火墙主界面 打开天网防火墙工具栏中的IP规则管理，在这里新建一

3、条规则，用来禁止外部主机用ping来命令连接本机。确定之后，外部主机将无法ping通本机。如下图4-2所示：图4-2 在IP规则管理界面下增加IP规则完成以上操作后，用ping命令来测试主机和虚拟机能否通信。我们用外部主机ping虚拟机（192.168.1.116），此时外部主机不能ping通虚拟机。如下图4-3所示：图4-3 外部主机ping虚拟机结果入侵检测系统的搭建与配置入侵检测系统（IDS）是一种对网络传输进行及时监控，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设施。与其他网络安全设施不同，IDS是一种积极主动的安全防护措施。一个合格的入侵检测系统能够大大的简化管理员的工作

4、，保证网络的安全运行。目前，IDS发展迅速，已有人宣传IDS可以完全取代防火墙，本操作也主要介绍在Windows Xp平台上，如何部署入侵检测工具OSSEC HIDS来实现入侵检测系统的方法。 OSSEC HIDS是一款开源的入侵检测系统，包括了日志分析、全面检测等。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中，如果多台计算机都安装了OSSEC，就可以采用客户机服务器模式来运行。客户机可以通过客户端程序将数据发回到服务器端进行分析。在网站下载软件包，在Windows Xp 操作系统（虚拟机）中安装，在安装并且相关信息填写完成之后，出现窗口如图4-4所示：图4-4 OSSEC安装

5、完成后出现的界面点 view菜单中的 view logs来查看日志，看ossec是否正常工作，我们看到如下信息：如图4-5所示图4-5 查看日志由图上所显示的内容，说明已经连上服务端，而且agent 会分析系统日志包括系统、应用程序、安全日志。这也意味着我们如果想利用好ossec，需要在 windows机器上开启审核策略，这样就会有比较详细的系统日志。点 View 菜单下的 View Config 则可以看到客户端相关的配置比如监控与忽略的目录、注册表项等情况。如下图4-6所示：图4-6 View Config内容显示windows下VPN环境的搭建 利用PPTP配置VPN虚拟专用网络（VPN

6、）可以通过特殊的加密通信协议，对位于不同地理位置的两个或多个企业内部网，通过互联网建立一条专有的通信信道。VPN技术原是路由器具有的重要技术之一，目前的交换机、防火墙、及windows 2000以上系统都支持VPN功能。本方案是在windows下搭建VPN的技术方法。为了便于演示和对该技术方便掌握，我们要求在一台计算机上应该有两个及以上的操作系统，这样我们就需要在主机（Windows Xp）上安装一个虚拟机及其操作系统（Windows server 2003），并且作适当的调试和配置，只有完成这些网络环境的搭建，方可进行接下来的工作。首先，我们要利用PPTP配置VPN网络，在Windows x

7、p系统中，先选择管理工具，然后选择本地安全策略，右键单击IP安全策略，在本地计算机，选择创建IP安全策略，系统将弹出IP安全策略向导，如下图4-7所示：图4-7 本地安全设置界面单击下一步按钮，为该安全策略命名，如图4-8所示：图4-8 IP安全策略向导界面单击下一步按钮，在安全通信请求对话框中，去掉激活默认相应配置的选择。单击下一步按钮，此时完成了安全策略的向导，保留编辑属性的选择，单击完成按钮退出。完成后，将立即弹出其属性对话框。首先去掉使用添加向导的选择，然后单击，弹出一个对话框。在IP筛选器列表选项中，选择所有ICMP通讯量。单击身份验证方法选项卡，单击添加按钮，选择使用此字串，然后输

8、入共享密钥，单击确定按钮退出。如图4-8所示：图4-8 身份验证方法返回本地安全设置窗口，右键单击新建的安全策略，选择指派菜单项，此时观察主机和虚拟机的ICMP通信，将发现以下情况：如图4-9，图4-10所示。在已配置策略的一端，系统提示：negotiating IP security；而没有配置的一端，系统直接提示：request timed out图4-9 利用Ping测试VPN图4-10 利用Ping测试VPN在windows server 2003 操作系统（虚拟机）上，进行上述策略的同样设置，再次观察ping效果，此时可以发现ICMP通信恢复了正常。 利用IPSec配置VPN网络1、

9、配置VPN服务器在Windows server 2003 操作系统中首先选择管理工具，然后选择路由和远程访问，出现一新界面，然后右键单击左侧栏中的路由器名，选择配置并启用路由和远程访问，出现安装向导，按照向导，分步进行配置。如图4-11，图4-12所示：图4-11 配置路由和远程访问图4-12 配置路由和远程访问向导选中“abc”账户，在弹出的快捷菜单中，选中属性，出现如下界面，选择拨入选项卡，在远程访问权限拨入或VPN中选择允许访问，再单击确定，允许客户端以“abc”的身份拨入VPN服务器，这样就完成了VPN服务器端的设置,如图4-13所示： 图4-13 配置远程访问用户拨入属性2配置VPN客户端在Windows xp 操作系统中先选择控制面板，在选择网络连接，进入网络连接界面后，单击新建连接向导，进入兴建连接向导界面，单击下一步，进入网络连接类型选择界面，选择连接到我的工作场所的网络，此后根据提示进行配置。配置完成之后，打开这个新建连接，弹出VPN客服端连接界面。如图4-14，图 4-15，图4-16所示：图4-14 路由和远程访问服务器安装向导图4-15 网络连接类型页面图4-16 VPN客户单连接界面正常连接后，在网络连接对话框中出现一个新建的虚拟专用网络连接图标techer，如图4-17所示： 图4-17 新建虚拟专用网络连接后的对话框