校园网络安全分析及安全解决方案
引言:随着网络技术的迅猛发展和因特网的普及,网络概念已不再局限于某些领域,而是深入到社会的各个组成部分,形成了一个初具规模的网络社会。不过,同其它一些高科技类似,网络技术在丰富人们生活、产生实际的经济效益的同时,也给人们带来了诸多负面的影响。大家可以看到,自Internet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出。
局域网是互联网的一种主要的存在方式和组成部分,局域网的安全问题在某种意义上反映了几乎所有的网络安全问题。东华大学校园网作为一个局域网,也面对这一系列的安全问题,在这里我们将和大家一起探讨一下校园网的安全措施。
1. 东华大学网络安全的现状分析
东华大学校园网由网络中心、主干网和各楼内的局域网组成。整个校园网采用16个C类IP地址,可以连接4000多台计算机。主干网以千兆以太网为主、ATM网络为辅,光纤覆盖整个校区,包括长宁校区。部门级交换机根据下连的计算机数量和网络应用的级别,与中心交换机实现千兆、数百兆、百兆连接。采用拨号访问服务器为某些校外用户或移动办公用户提供远程接入功能。拨号访问服务器与中心交换机相连。
校园网的主干网中采用的是子网过滤结构的的双路由器的结构,采用cisco路由器(Cisco7507)作为外部路由器。在该路由器的下面,分为两条路,一路接Novell的BordManager服务器,另一路接交换机CoreBuilder9000(具有路由功能,作为校园网的内部路由器)。
BordManager服务器执行堡垒主机的功能,BordManager是一个单一集成的可管理的软件包,提供各种服务,包括入侵保护、性能加速、安全的VPN能力以及对外Inrernet访问的全面控制等。同时,在该堡垒主机上,运行多种代理服
1
务器,如:电子邮件代理服务器,web服务器、FTP服务器等等,这些属于DMZ区。
CB9000实现内部路有的功能,保护内部网部首来自Internet的侵害。内部路由器用来过滤数据包,包括内部网络和堡垒主机之间的数据包,以防堡垒主机被攻占。
2.校园网络中不安全的主要问题
现阶段,我校园网的主题架构已经成型,然而随着对网络服务要求的进一步提高,我们还要全面的解决在运行中所出现的问题,从而提供更加完善的服务。
(2.1)IP盗用问题
校园内部连接有几千台电脑,一部分电脑通过正常的申请途径申请得到合法的IP地址,然而实际情况是并不是所有的校内电脑都申请过IP地址,所以当某些没有IP地址的用户,冒用他人的合法IP地址,就会造成网络内部地址的冲突,严重阻碍了合法用户的正常使用。
(2.2)防火墙攻击
防火墙系统相关技术的发展已经比较成熟,防火墙系统很坚固,但这只是对于对外的防护而已,它对于内部的防护则几乎不起什么作用。然而不幸的是,一般情况下有70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。
(2.3)Email问题
由于用户的安全观念的淡薄以及网上某些人的别有用心,会给校园网的Email用户发一些不良内容的信件,有时还会携带各种各样的病毒。因此,怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。
(2.4)各种服务器和网络设备的扫描和攻击
有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。
2
(2.5)非法UPL的访问问题
对于一些反动的或不健康的站点,应当禁止校园网用户通过校园网去访问。
(2.6)病毒防护
互联网迅猛发展使得网络运营成为社会时尚,但同时也为病毒感染和快速传播提供“安全途径”。病毒从网络之间传递,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。因此,如何让校园网更安全,防止网络遭受病毒的侵袭,成为校园网迫切需要解决的问题。
3.校园网安全的解决方法:
现阶段,我校校园网在二期工程建设完毕后,已有较完善的网络系统架构,怎对以上所提出的问题,在保证现有网络工作顺通,再进行开发和完善,现提出以下解决方法。
(3.1)采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
在校园网中采用入侵检测技术,最好采用混合入侵检测,需要从两方面来着手-------基于网络的入侵检测和基于主机的入侵检测。(1)我校园网分为多个网段,基于网络的入侵检测一般只针对它直接连接网段的通信,不检测在不同网段的网络包,因此,在校园网比较重要的网段中放置基于网络的入侵检测产品。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合,则入侵检测系统就会发出警报或者直接切断网络的连接。(2)在重要的主机上(例如www服务器,email服务器,文件服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日至进行只能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。基于主机入侵的系统除了可以指出入侵者试图执行一些\危险的命令\之外,还能分辨出入侵者干了什么事,例如,他们运行了什么程序,打开
3
了哪些文件,执行了哪些系统调用等,提供较详尽的相关信息。基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御系统不全面。但是,他们的缺憾是互补的,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。 现在市场上新推出的入侵检测系统有单独的系统,也有与防火墙集成起来的。相关的产品有Symantec(赛门铁克)的Intruder AlertTM 3.5,联想的网御2000防火墙等。
(3.2)Web,Email,BBS的安全监测系统
在校园网的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。在这里可以采取如下方法:用一台PC机通过集掀起连接在网络的关键网段上,修改网卡的接收方式,就能接收到这个网段上传输的所有信息。采用这种方式对原有网络的传输性能没有影响。系统基本上通过两部分组成。一部分为监控器,主要负责如实的记录下网络上的传输数据,并将其存成硬盘上的文件,交给第二部分后台分析其进行处理。第二部分为后台分析器,负责对前台监控器记录下的数据进行处理,将前台监控器截获的数据拼装、还原成应用层的完整内容。然后在数据库中添加相应的纪录。监控器可以采用一台装有两块仪态网卡的PC机,采用Linux操作系统。分析器可以有一台安装了Windows NT的PC机承担,运用SQL Server等软件共同开发。这样可以对进入站内的各种信息进行检测,这样可以过滤email等非法信息。同时也可以进行设置,对邮件中的病毒进行检测。从而阻止病毒进入局域网。
4
相关推荐:
loading