校园网络安全配置研究论文.doc

校园网络安全配置研究毕业论文 目录 1 绪论 1 1.1 校园网安全隐患 1 2 防火墙技术 2 2.1防火墙的原理和作用 2 2.2防火墙的基本类型 2 2.3 校园网防火墙的作用 3 2.4 ACL实现对计信学院各部门上班时段的访问控制 4 3 NAT技术在安全方面的应用 7 3.1 NAT概述 7 3.2 NAT安全应用 8 3.3 校园内部服务器通过NAT访问外网方案设计 8 4 ARP攻击及防御 11 4.1 ARP攻击对校园网的威胁 11 4.2 ARP协议及ARP攻击简介 11 4.3 ARP攻击的检测 14 4.4 ARP攻击的解决思路 15 4.5 校园网ARP攻击防御配置方案设计 15 5 端口安全 21 5.1 端口安全威胁 21 5.2 端口安全方案设计 21 6 总结 23 参考文献 24 致 谢 25 1 绪论 1.1 校园网安全隐患 校园网作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。随着应用的深入，校园网上各种数据会急剧增加，网络的攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行。而来自校园网内部的安全隐患比来自校园网外部的各种不安全因素破坏力更强、影响更广、威胁更大。美国教育界和企业界80%的数据破坏是由防火墙内的人造成的，入侵检测系统或抗病毒软件对此却无能为力。高校校园网还存在一个经常被忽视但是越来越严重的现象，就是有相当数量的学生的计算机相关技术水平非常高，甚至超乎管理人员的想象，他们往往是从内部攻击网络的主要人群。内部安全危害分为三大类:操作失误、存心捣乱和用户无知。 (1)操作失误，包括用户不经意获得了不应该拥有的权限。新设用户账户、改动账户及进行其他日常维护任务时，管理员偶尔会把管理权限授给不合适的用户。虽然自己没有恶意，但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限并纠正破坏。但基于查询的分析却无法显示谁拥有引发问题的权限，也无法显示是谁授予了这些权限。 (2)以学生和老师的蓄意破坏为例，可能存在的漏洞包括他们离开学校后设立特洛伊木马以获得访问权，而对用户和用户组权限管理不善常常会导致他们离开后很长时间内仍能访问极重要的内容。 (3)因学生的无知引起的安全漏洞会造成极为严重的代价。合理的安全政策响应机制包括教育用户、删除违反政策的文件及通知管理员和管理部门。 2 防火墙技术 2.1防火墙的原理和作用 防火墙是控制从网络外部访问本网络的设备，通常位于内网与Internet的连接处（网络边界），充当访问网络的唯一入口（出口），用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，从而保护内部网络设备。防火墙根据过滤规则来判断是否允许某个访问请求。防火墙的主要作用有以下几点： 保护易受攻击的服务。 控制对特殊站点的访问。 集中地安全管理。 过滤非法用户，对网络访问进行记录和统计。 2.2防火墙的基本类型 根据防火墙所采用的技术可以分为包过滤型、代理型、检测型防火墙等。 2.2.1包过滤型 包过滤型防火墙的原理：监视并且过滤网上流入/流出的IP数据包，拒绝发送可疑的数据包。包过滤型防火墙设置在网络层，可以在路由器上实现包过滤。首先应该建立一定数量的信息过滤表。数据包中都会包含一些特定的信息，如源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、源端口号、目的端口号、连接请求方向等。当一个数据包满足过滤中的规则时，则允许数据包通过，否则便会将其丢弃。包过滤的技术优缺点如下 优点。简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 缺点。包过滤技术是一种完全基于网络层的安全技术，无法识别基于应用层的恶意侵入。 2.2.2代理型 代理型防火强由代理服务器和过滤路由器组成。代理服务器位于客户机与服务器之间。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机访问服务器时，首先将请求发给代理服务器，代理服务器再根据请求向服务器读取数据，然后再将读来的数据传给客户机。由于代理服务器将内网与外网隔开，从外面只能看到代理服务器，因此外部的恶意入侵很难伤害到内网系统。代理型服务器的优缺点如下 1. 优点。安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。 2. 缺点。对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 2.2.3监测型 监测型防火墙是第三代网络安全技术。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分