校园网络安全配置研究毕业论文.docx

《校园网络安全配置研究毕业论文.docx》由会员分享，可在线阅读，更多相关《校园网络安全配置研究毕业论文.docx（28页珍藏版）》请在第一文库网上搜索。

1、校园网络安全配置研究毕业论文目录I绪论LI校园网安全隐患2防火墙技术公I防火墙的原理和作用22防火墙的基本类型1.3 校园网防火墙的作用1.4 1CL实现对计信学院各部门上班时段的访问控制43 IXT技术在安全方面的应用nA I HT概述nX2 nT安全应用s3.3校园内部服务器通过nT访问外网方案设计S4 X攻击及防御II4.1 I ”攻击对校园网的威胁II4.2 “T协议及“T攻击简介II4.3 1MP攻击的检测144.4 “P攻击的解决思路IB4.9 校园网IMP攻击防御配置方案设计IBS端口安全21，I端口安全威胁21S.2端口安全方案设计21b总结23参考文献24致谢I绪论LI校园网

2、安全隐患校园网作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。随着应用的深入，校园网上各种数据会急剧增加，网络的攻击越来越多，各种各样的安全问题开始阻碍了校园网的正常运行。而来自校园网内部的安全隐患比来自校园网外部的各种不安全因素破坏力更强、影响更广、威胁更大。美国教育界和企业界雨数据破坏是由防火墙内的人造成的，入侵检测系统或抗病毒软件对此却无能为力。高校校园网还存在一个经常被忽视但是越来越严重的现象，就是有相当数量的学生的计算机相关技术水平非常高，甚至超乎管理人员的想象，他们往往是从内部攻击网络的主要人群。内部安全危害分为三大类

3、，操作失误、存心捣乱和用户无知。4D操作失误，包括用户不经意获得了不应该拥有的权限。新设用户账户、改动账户及进行其他日常维护任务时，管理员偶尔会把管理权限授给不合适的用户。虽然自己没有恶意，但这些新授权的用户无意中会给数据和系统带来严重破坏。正确的措施就是取消过高的权限并纠正破坏。但基于查询的分析却无法显示谁拥有引发问题的权限，也无法显示是谁授予了这些权限。0以学生和老师的蓄意破坏为例，可能存在的漏洞包括他们离开学校后设立特洛伊木马以获得访问权，而对用户和用户组权限管理不善常常会导致他们离开后很长时间内仍能访问极重要的内容。因学生的无知引起的安全漏洞会造成极为严重的代价。合理的安全政策响应机制

4、包括教育用户、删除违反政策的文件及通知管理员和管理部门。62防火墙技术XI防火墙的原理和作用防火墙是控制从网络外部访问本网络的设备，通常位于内网与的连接处（网络边界），充当访问网络的唯一入口（出口），用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源,从而保护内部网络设备。防火墙根据过滤规则来判断是否允许某个访问请求。防火墙的主要作用有以下几点：L保护易受攻击的服务。2控制对特殊站点的访问。A集中地安全管理。4.过滤非法用户，对网络访问进行记录和统计。22防火墙的基本类型根据防火墙所采用的技术可以分为包过滤型、代理型、检测型防火墙等。XX I包过滤

5、型包过滤型防火墙的原理：监视并且过滤网上流入，流出的，数据包，拒绝发送可疑的数据包。包过滤型防火墙设置在网络层，可以在路由器上实现包过滤。首先应该建立一定数量的信息过滤表。数据包中都会包含一些特定的信息，如源V地址、目的，地址、传输协议类型（”、等）、源端口号、目的端口号、连接请求方向等。当一个数据包满足过滤中的规则时，则允许数据包通过，否则便会将其丢弃。包过滤的技术优缺点如下1 .优点。简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。2 .缺点。包过滤技术是一种完全基于网络层的安全技术，无法识别基于应用层的恶意侵入。代理型防火强由代理服务器和过

6、滤路由器组成。代理服务器位于客户机与服务器之间。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机访问服务器时，首先将请求发给代理服务器，代理服务器再根据请求向服务器读取数据，然后再将读来的数据传给客户机。由于代理服务器将内网与外网隔开，从外面只能看到代理服务器，因此外部的恶意入侵很难伤害到内网系统。代理型服务器的优缺点如下L优点。安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。2.缺点。对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

7、223监测型监测型防火墙是第三代网络安全技术。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法入侵。虽然监测型防火墙在安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。校园网防火墙的作用L若校园网不加防范地连入，一，I,很容易受到入侵者的攻击，严重时会导致网络的瘫痪。防火墙分离可信任的校园内部网和不可信的公共网，是不同网络之间信息的唯一出入口。能根据学校的安全政策控制，允许、拒绝、监

8、测出入网络的信息流，具有较强的抗攻击能力。2强化校园网的安全策略。校园网的防火墙要求控制不安全的服务，它执行防火墙的安全策略，仅允许校园网授权的协议和服务才能通过防火墙。，有效地记录校园网上的活动。所有进出校园网的信息都必须经过防火墙，它记录校园网络与外部网络之间进行的所有事件信息。2.4 1CL实现对计信学院各部门上班时段的访问控制我们以作为设计方案中的路由设备，配合1CL （访问控制列表）来实现对计信学院上下班时间对工资服务器的访问控制。ML采用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目

9、的。以下为1CL数据包入站检测流程图：图2-1 ML数据包入站检测流程图计信学院网络通过设备 Mm实现各部门之间的互连。其它部门在上班时间（ 至）被禁止访问工资查询服务器（，地址为 W. IN. L2）,而院长办公室（，地址为 6HL L2）不受限制，可以随时访问。网络拓扑如图X所示：院长办公室129.111.1.2/16财务部门管理部门图AN计信学院简单网络拓扑具体配置如下：41定义上班时间段#定义8:00至18:00的周期时间段。Brvbel，:M IS:MO定义到工资服务器的1CL#进入高级IPv4 ACL视图,编号为3000。BeMl iirliiilMii39M#定义院长办公室到工资

10、服务器的访问规则。v-MHI I |M1M mibm W. HL L2 ,lerta.4m. IN. L2 #定义其它部门到工资服务器的访问规则。b3HM2Iwf ri| smbm0 rI”4ftAim 6. IN. L24hu|iMO）应用ICL#将ACL 3000用于Ethernet1/0出方向的包过滤。3AT技术在安全方面的应用x I ht概述X LI产生背景随着y 的发展和网络应用的增多，*1地址枯竭已成为制约网络发展的瓶颈。尽管可以从根本上解决，地址空间不足问题，但目前众多网络设备和网络应用大多是基于，的，因此在*广泛应用之前，一些过渡技术（如0、私网地址等）的使用是解决这个问题最主

11、要的技术手段。其中，使用私网地址之所以能够节省地址，主要是利用了这样一个事实：一个局域网中在一定时间内只有很少的主机需访问外部网络，而1破右的流量只局限于局域网内部。由于局域网内部的互访可通过私网地址实现，且私网地址在不同局域网内可被重复利用，因此私网地址的使用有效缓解了地址不足的问题。当局域网内的主机要访问外部网络时，只需通过nT技术将其私网地址转换为公网地址即可，这样既可保证网络互通，又节省了公网地址。X L2技术优点作为一种过渡方案，I1T通过地址重用的方法来满足，地址的需要，可以在一定程度上缓解，地址空间枯竭的压力。它具备以下优点：L对于内部通讯可以利用私网地址，如果需要与外部通讯或访

12、问外部资源，则可通过将私网地址转换成公网地址来实现。2.通过公网地址与端口的结合，可使多个私网用户共用一个公网地址。X通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实，地址，从而防止外部对内部服务器乃至内部网络的攻击行为。4.方便网络管理，如通过改变映射表就可实现私网服务器的迁移，内部网络的改变也很容易。7X3 HT安全应用nT技术的最初应用是以普通网关的形式出现的。当时功能还很简壁仅仅用于研究实验。之后少数路由器厂商推出了专用的HT路由睚在功能和设备性能上都有了很大的提高。随着HT技术的应用越来越广泛、其自

13、身的技术特点在网络安全领域也逐渐显示出其独特的应用价值。当人们考察V包过滤防火墙时.意识到其发挥的功能过于单二它仅仅是根据包中源及目的地址来判定一个包是否可以通过。而这二个地址是很容易披篡改和伪造的.一旦网络的结构暴露给外界后.就很难抵御V层的攻击行为。改进V包过滤功能的一个有效途径就是改变这种确定性的过滤规则。采用网络路由中网络地址转换技术、通过在网关上对进出口，包源与目的地址的转换.完全可以实现过滤规则的动态化.使得外部网中的主机或使用者难以了解和掌握与自己通信的对方的真实网络地址。因为外部网所接收到的数据包中的地址都已被网关改写过了,反映到外部网中就是一个虚拟的主机。这样.一方面通过在网

14、络层层）将内部网与外部网隔离开.使得内部网的拓扑结构、域名及地址信息对外成为不可见或不确定信息、从而保证了内部网中主机的隐蔽性。使绝大多数攻击性的试探失去所需的网络条件；另一方面.以此为基础能非常有效地控制各种出入数据包.不仅能大大提高V包过滤的灵活性.更重要的是为提高网关系统转发报文的效率提供了一个安全的平台。同时在很大程度上还保证了网络通信的透明性JAT技术的引入、为传统，层中的安全技术增加了新的特性、改变了只能按照地址匹配算法进行简单的过滤控制这一状况。IXT只能安装在网关系统上、而这也正是普通防火墙系统通常所处的位置。因此AT技术的应用很自然地就被集成在防火墙系统内.成为众多的安全防护

15、手段之一。X3校园内部服务器通过HT访问外网方案设计方案设计的目的在于校园网通过0系列路由器的地址转换后连接到广域网。校园内部对外提供f和so服务，而且提供两台务器。校园内部网址为0 I0,”八 校园有2，皿IM.12，皿IM. 三个合法的公网，地址。内部服务器地址为IN. N. I,使用X2肛 NI的公网地址，内部飞即务器I地址为IN. N.2；内部FK务器2的地址为IN.采用“端口，两台 F 艮务器都使用 E31的 It2的公网地址。内部ST-服务器地址IN. N.4,并希望可对外提供统一的服务器的，地址，使用2t2我 MN3的公网地址。公网地址内部IN. It.t/21网段的K机可访问X,其它网段的PC机则不能