浅谈局域网安全与防火墙.docxVIP

浅谈局域网安全与防火墙(以校园网络为例)通信1204班谭合欢 学号：0909123223摘 要：随着计算机网络的发展，上网的人数不断地增大，网上的资源也不断地增加，网络的开放性、共享性、互连程度也随着扩大。网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施。防火墙实际上是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问, 也可以使用防火墙阻止保密信息从受保护网络上被非法输出。换言之，防火墙是一道门槛, 控制进出两个方向的通信。通过限制与网络或某一特定区域的通信, 以达到防止非法用户侵犯受保护网络的目的。防火墙不是一个单独的计算机程序或设备。在理论上，防火墙是由软件和硬件两部分组成，用来阻止所有网络间不受欢迎的信息交换，而允许那些可接受的通信。随着Internet/Intranet技术的飞速发展，网络安全问题必将愈来愈引起人们的重视。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权用户的访问，阻止未经授权用户存取敏感数据，同时允许合法用户不受妨碍的访问网络资源。如果使用得当，可以在很大程度上提高网络安全。局域网网的安全分析网络具有信息交流和信息共享的特点，公安部、网监处、教育部门及各级管理机构越来越重视信息的安全与健康，作为教育信息化基石和院校形象保障的校园网的信息安全问题不容乐观。 局域网主要面临以下安全隐患： （1）普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重地威胁。局域网络的使用者大多数不是计算机专业人员，对于网络能用就行，一般网络安全意识较差。现在大多数使用者的操作系统是WindowsXP、Windows7等。这些操作系统都存在不同程度的安全隐患。比如最常见的WindowsXP系统安全漏洞就多达上千处，每周都会有补丁出现，但是很少有用户主动升级Windows的补丁。 （2）内部用户的攻击行为，给局域网造成了不良的影响，网络攻击不仅仅来自于外网。根据观察，来自局域网内部的各种攻击竟高达30％，这当中大多是一些用户因好奇发起的。对于这种“祸起萧墙”的内部攻击，可以加强对用户的分级管理，限制用户的验证和账户管理，降低其使用权限。安装防火墙监控或做TCP／IP过滤，禁止用户从互联网上下载各种病毒和黑客程序。 （3）局域网的速度快和规模大。例如高校校园网是最早的宽带网络，普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps，高校学生一般集中住宿，因而用户群比较密集。 正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、对网络的影响比较严重。 （4）外来的系统入侵、攻击等恶意破坏行为。有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对重点高校的网站和服务器。对于某学院网络结构分析2004年3月，四校合并正式组建某学院。学院共分为一个主校区和两个分校区。从学院诞生之日起，就开始了校园网络的升级和改造。其中最重要的工作就是把原来四校各自的校园网整合成一个统一管理、高效运行的新校园网。 校园网使用了IBM、HP、SUN、CISCO、HUAWEI等专业厂商设备，在网络管理上采用了北塔、NetworkPerformanceMonitor等软件，同时还有趋势防病毒网络版处理病毒问题。 学院采用了CiscoPix防火墙，HUAWEI8505交换机为核心形成环状拓扑结构。校内“信息高速公路”形成了“千兆主干线、百兆到桌面”，总光纤里程近60公里，总芯数338，接入校园网的终端数达到6000多个。网络布线90％以上的建筑楼，部分区域实现了无线网络覆盖。 现在校园网为全校师生提供WWW服务、OA自动办公服务、FTP服务、DNS服务、身份认证服务、课件资源服务等等。校园网络防火墙规划 校内办公、教学用户通过电信访问Internet；学生寝室、家属区通过网通访问Internet；域名、招生就业专网使用教育网。校内用户使用私有地址，为了避免ARP等病毒的攻击，校内交换设备IP与用户IP不处于统一网段采用另外的私有地址。所以，校内用户访问外网时必须通过校园网防火墙进行地址转换。其中，学院各种开放的服务中，除学院主页、 MAIL、DNS、招生就业服务以及各类二级网站要求在外网防问外，其它服务就只能在校园网内访问。 学院通过CNNI注册申请的域名为＃＃．edu．cn，第二域名服务器＃＃．cn。两台DNS设计互为备用方式，即每个DNS对另一个域也作资源记录。 通过NAT（网络地址转换）技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这样可以对外屏蔽内部网络结构和IP地