校园网安全系统设计及实现.docVIP

校园网安全系统设计及实现【摘 要】校园网是在学校范围内，为教学、科研和管理提供资源共享、信息交流和协同工作的计算机网络。在信息化的今天，校园网已经成为各类院校重要的基础设施，其运行安全也变的日益重要。面对复杂的网络环境以及网络内外各种安全威胁，如何进行安全防范，保证校园网的安全、高效运行已经成为校园网设计和建设需要解决的主要问题。本文针对当前校园网面临的一些常见安全威胁进行了分析，并在网络规划和配置方面提出了一些解决思路和范例。 【关键词】校园网安全，防火墙，防病毒系统，认证和审计，虚拟局域网 【中图分类号】TP393.18【文献标识码】A【文章编号】1672-5158（2013）02-0166-02 一、校园网常见的安全威胁 威胁校园网安全运行的因素很多，主要包含计算机本身的系统漏洞、各类网络攻击和病毒的威胁、内部人员的非授权访问和资源滥用、不良信息泛滥等。其中，来自内、外网络的各类蓄意攻击行为最为普遍，常见的形式有： 1、拒绝服务攻击（DoS） 拒绝服务攻击就是一种发起大量访问请求使目标服务器停止工作甚至崩溃的攻击行为，其具体攻击原理大致如下：第一，通过制造大量的垃圾信息和流量冲击网络，使被攻击服务器网络阻塞从而无法及时接收用户请求并处理；第二，利用服务传输协议漏洞制造大量的非法连接请求不断消耗操作系统资源，让操作系统无法正常处理合法用户的请求；第三，反复发送巨量畸形攻击数据，让服务器的有限资源被大量占据，最终导致服务器挂起甚至不断死机。拒绝服务攻击的具体攻击方式主要包括：S Y N Foold、IP欺骗DoS、Ping of Death、UDP洪水以及电邮炸弹等。 2、利用型攻击 利用型攻击是一种以试图直接控制目标主机为目的的网络攻击行为，其主要通过对目标主机的密码猜测或破解、木马植种以及缓冲区溢出三种方法实现。密码猜测和破解就是攻击者通过猜测或破解的方式非法获取主机网络输入输出系统（NetBIOS）、Telnet以及NFS等系统账号密码，最终获取目标主机控制权。木马种植就是将木马程序安装到目标机器的系统中并激活，从而获取对方账号和密码，最终控制目标主机。缓冲区溢出是指利用目标主机系统本身的漏洞，造成对方运行失败、系统死机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，取得系统特权，进而进行各种非法操作。 3、信息收集型攻击 信息收集攻击主要是对目标计算机进行的一些信息扫描以及体系结构探测等行为。信息扫描包含对目标的地址和端口扫描、主机存在与否的反响映射以及对目标及其的操作系统结构探测等。信息收集型攻击本身并不会对目标主机造成危害，但其在运用的过程中能获取大量主机信息，能为进一步入侵主机提供很多有效信息，因此很多黑客在进行最终网络攻击前都会运用这种方式，让自身的攻击目标更准确攻击结果更有效。其具体方式有：DNS转换获取主机名及IP、Finger服务、LDAP服务以及Sniffer等。 4、信息欺骗攻击 主要通过利用网络协议中本身的缺陷以及攻击目标的配置漏洞，发送一些伪造的数据信息以达到窃取服务器信息、改变用户或让服务器拒绝服务的目的，主要包括DNS缓存污染以及伪造电邮等两种方式。DNS服务器在与其他服务器进行信息交换时不会身份校验，这种漏洞就使攻击者很容易将错误信息渗入并将用户引向自己主机。网络邮件的发送并不会进行身份认定，很多攻击者谎称用户认识的人或者单位发送邮件给用户，在邮件中附带一些木马病毒，一旦客户运行邮件机器就会中毒，很多账户以及密码信息都会处于攻击者的监控之下。 二、校园网安全解决方案 要解决校园网所面临的常见安全问题，必须在网络系统中的各个环节采取必要的防范措施，使用防范技术，完善管理体系，才能有效保障校园网的安全。 1、应用防火墙技术实现对网络的访问控制 防火墙是最基本的一种网络安全防范技术。它被设置在内部网络和外部网络之间，根据既定的安全策略对流经的数据包进行安全检查和筛选，可有效监控网络之间的通信活动，阻断非授权访问，还可以有效的避免拒绝服务攻击、非法信息刺探和收集、信息欺骗等攻击，保证内部网络的安全。 在校园网的实际应用中，可根据网络拓扑结构和校园网安全的实际需求，在以下区域部署防火墙：校园网内部与外部网络之间；校园网不同区域之间；重要主机和服务器（如WWW服务器、邮件服务器等）的接入层。为了保证网络安全策略的统一，提高网络管理效率，可选择采用分布式防火墙进行统一部署。 要使防火墙充分发挥作用，管理者应根据实际需求，制定合理的安全策略，启用各类防护功能，在允许必要网络通信类型的同时，对其他网络通信严格甄别筛选，从而尽可能保证内部网络的安全运行。 随着技术的发展，防火墙的功能也在