1、校园网络安全分析及安全解决方案 作者:李红 发布时间:2001/10/16文章摘要:摘要:该文详细分析了东华大学校园网的安全问题。本文在分析本校园网原有的网络安全措施的基础上,针对校园网在运行中所遇到的实际问题,对电子邮件过滤检测,入侵检测,病毒检测,防火墙设置等多方面提出了相应的综合性安全解决方案。关键字:网络安全,校园网,入侵检测,病毒检测,防火墙Abstract: In this paper, we analyse the security of Network of DongHua University. We discuss the safety measure of the cam
2、pus network. Directed against the problems which have happened during the function of the campus network we present a design scheme of security of campus network.Keywords:Network Security, Campus Network,IDS,Antivirus,Firewall 正文: 校园网络安全分析及安全解决方案 引言:随着网络技术的迅猛发展和因特网的普及,网络概念已不再局限于某些领域,而是深入到社会的各个组成部分,形
3、成了一个初具规模的网络社会。不过,同其它一些高科技类似,网络技术在丰富人们生活、产生实际的经济效益的同时,也给人们带来了诸多负面的影响。大家可以看到,自 Internet 问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出。 局域网是互联网的一种主要的存在方式和组成部分,局域网的安全问题在某种意义上反映了几乎所有的网络安全问题。东华大学校园网作为一个局域网,也面对这一系列的安全问题,在这里我们将和大家一起探讨一下校园网的安全措施。1. 东华大学网络安全的现状分析东华大学校园网由网络中心、主干网和各楼内的局域网组成。整个校园网采
4、用 16 个 C 类IP 地址,可以连接 4000 多台计算机。主干网以千兆以太网为主、ATM 网络为辅,光纤覆盖整个校区,包括长宁校区。部门级交换机根据下连的计算机数量和网络应用的级别,与中心交换机实现千兆、数百兆、百兆连接。采用拨号访问服务器为某些校外用户或移动办公用户提供远程接入功能。拨号访问服务器与中心交换机相连。 校园网的主干网中采用的是子网过滤结构的的双路由器的结构,采用 cisco 路由器(Cisco7507)作为外部路由器。在该路由器的下面,分为两条路,一路接 Novell 的BordManager 服务器,另一路接交换机 CoreBuilder9000(具有路由功能,作为校园
5、网的内部路由器)。BordManager 服务器执行堡垒主机的功能,BordManager 是一个单一集成的可管理的软件包,提供各种服务,包括入侵保护、性能加速、安全的 VPN 能力以及对外 Inrernet 访问的全面控制等。同时,在该堡垒主机上,运行多种代理服务器,如:电子邮件代理服务器,web 服务器、FTP 服务器等等,这些属于 DMZ 区。CB9000 实现内部路有的功能,保护内部网部首来自 Internet 的侵害。内部路由器用来过滤数据包,包括内部网络和堡垒主机之间的数据包,以防堡垒主机被攻占。2校园网络中不安全的主要问题现阶段,我校园网的主题架构已经成型,然而随着对网络服务要求
6、的进一步提高,我们还要全面的解决在运行中所出现的问题,从而提供更加完善的服务。(21)IP 盗用问题校园内部连接有几千台电脑,一部分电脑通过正常的申请途径申请得到合法的 IP 地址,然而实际情况是并不是所有的校内电脑都申请过 IP 地址,所以当某些没有 IP 地址的用户,冒用他人的合法 IP 地址,就会造成网络内部地址的冲突,严重阻碍了合法用户的正常使用。(22)防火墙攻击防火墙系统相关技术的发展已经比较成熟,防火墙系统很坚固,但这只是对于对外的防护而已,它对于内部的防护则几乎不起什么作用。然而不幸的是,一般情况下有 70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建
7、设中的一个非常重要的方面。 (23)Email 问题由于用户的安全观念的淡薄以及网上某些人的别有用心,会给校园网的 Email 用户法一些不良内容的信件,有时还会携带各种各样的病毒。因此,怎样防止有问题的信件进入校园网的 Email 系统也是一个待解决的问题。(2.4)各种服务器和网络设备的扫描和攻击有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。(2.5)非法 UPL 的访问问题对于一些反动的或不健康的站点,应当禁止校园网用户通过校园网去访问。(2.6)病毒防护互联网迅猛发展使得网络运营成为社会时尚,但同时也
8、为病毒感染和快速传播提?quot;安全途径“。病毒从网络之间传递,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。因此,如何让校园网更安全,防止网络遭受病毒的侵袭,成为校园网迫切需要解决的问题。3校园网安全的解决方法:现阶段,我校校园网在二期工程建设完毕后,已有较完善的网络系统架构,怎对以上所提出的问题,在保证现有网络工作顺通,再进行开发和完善,现提出以下解决方法。(3.1)采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技
9、术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。 在校园网中采用入侵检测技术,最好采用混合入侵检测,需要从两方面来着手-基于网络的入侵检测和基于主机的入侵检测。(1)我校园网分为多个网段,基于网络的入侵检测一般只针对它直接连接网段的通信,不检测在不同网段的网络包,因此,在校园网比较重要的网段中放置基于网络的入侵检测产品。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合,则入侵检测系统就会发出警报或者直接切断网络的连接。(2)在重要的主机上(例如 www 服务器,em
10、ail 服务器,文件服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日至进行只能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。基于主机入侵的系统除了可以指出入侵者试图执行一些“危险的命令“之外,还能分辨出入侵者干了什么事,例如,他们运行了什么程序,打开了哪些文件,执行了哪些系统调用等,提供较详尽的相关信息。基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御系统不全面。但是,他们的缺憾是互补的,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。现在市场上新推出的入侵检测系统有
11、单独的系统,也有与防火墙集成起来的。相关的产品有 Symantec(赛门铁克)的 Intruder AlertTM 3.5,联想的网御 2000 防火墙等。(3.2)Web,Email,BBS 的安全监测系统在校园网的 www 服务器、Email 服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获 Internet 网上传输的内容,并将其还原成完整的 www、Email、FTP、Telnet 应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。在这里可以采取如下方法:用一台 PC 机通过集掀起连接在网络的关键网段上,修改网卡的接收方
12、式,就能接收到这个网段上传输的所有信息。采用这种方式对原有网络的传输性能没有影响。系统基本上通过两部分组成。一部分为监控器,主要负责如实的记录下网络上的传输数据,并将其存成硬盘上的文件,交给第二部分后台分析其进行处理。第二部分为后台分析器,负责对前台监控器记录下的数据进行处理,将前台监控器截获的数据拼装、还原成应用层的完整内容。然后在数据库中添加相应的纪录。监控器可以采用一台装有两块仪态网卡的 PC 机,采用 Linux 操作系统。分析器可以有一台安装了 Windows NT 的 PC 机承担,运用 SQL Server 等软件共同开发。这样可以对进入站内的各种信息进行检测,这样可以过滤 em
13、ail 等非法信息。同时也可以进行设置,对邮件中的病毒进行检测。从而阻止病毒进入局域网。(3.3)在 linux 下配置防火墙防火墙是一种行之有效且应用广泛的网络安全机制。防止 Internet 上的不安全因素蔓延到局域网内部。防火墙从原理上可以分为两大类:包过滤(packet filtering)型和代理服务(Proxy service)型。根据我校的现存的具体情况,可以采用如下的防火墙配置方案:在系统中使用两个包过滤网关(也可以称为包过滤防火墙)在内部网络和外界 Internet之间隔离出一个受屏蔽的子网,可以称为“非军事区“(DMZ)。代理服务器、Email 服务器、各种信息服务器(包括
14、 Web 服务器、FTP 服务器等)、以及其它需要进行访问控制的系统都放在 DMZ 中。大概示意图如下图:在外部路由器上设置一个包过滤网关,它只让与 DMZ 中的代理服务器、Email 服务器、信息服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界 Internet 对DMZ 的访问限制在特定的服务器的范围内。内部路由器上的抱过滤网关也一样。通过配置,做到只有 DMZ 中的代理服务器,Email 服务器和信息服务器是外界可以看到的,外界无法知道其它系统的存在,无法通过他们的名字直接访问它们。这类型的防火墙在市场上都有销售。然而利用 linux 操作系统下的软件防火墙,他们都可以免
15、费得到。采用 Linux 作为我们的系统平台。Linux 作为一种完全公开源代码的操作系统,世界各地有几十万自愿者为这个充满魅力的操作系统的发展贡献自己的才能。由于其代码的公开性,使得该系统 BUG 较少、更新容易,对网络传输和加密方面提供了广阔的应用前景。为保证系统运行的可靠性和可维护性 Linux 内核中内置了包过滤功能,包过滤软件通过命令行对内核中的包过滤功能进行操作。Linux 下得包过滤软件有很多,平常应用较广的是 Ipchain、Iptables 系列。数据在网上传输时,被分成大小不一的数据包,在每个包的首部(即报头)中包含了源地址、目的地址、端口号以及其他一些相关信息。根据这些信
16、息对经过的 IP 包进行检查,蒋安全策略不允许的数据包清除,以保证网络的安全。包过滤防火墙对用户是完全透明的,用户一般不会擦决到它的存在。运行在 Linux 上的 Ipchains 软件包将规则分为四类:Input(输入),Output(输出),Forward(转发)、User-defined(用户自定义)。每个类称作为一个链,在链中包含管理员制定的一些列规则,指明了包的类型以及Target(目标)。当经过的包与规则相匹配时,根据目标决定对包作何种处理,否则就转到下一条规则,直至最后。在注重安全的系统中,如果没有规则与数据包匹配,则数据包会被拒绝。Ipchains 还提供地址的伪装的功能,可以
17、在内部网用户访问外界时,将数据包中得源 IP 地址改为防火墙的地址,然后在发至因特网上。当接收到回包时,再根据记录,将地址改回原先机器的地址,发给相应的机器。通过伪装功能,外部无法根据IP 地址进行攻击,即使防火墙被攻破了,外界也无法攻击内部主机,从而保证了内部主机的安全;其次是内部网机器在通过防火墙时都进行了地址伪装,抵制被更换为防火墙的地址,从而整个局域网中只有防火墙需要使用真实地址,而内部机器的地址都可改为内部地址,这样就可以大大减少真实 IP 地址的消耗。(3.4)漏洞扫描系统解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网
18、络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。(3.5)IP 盗用问题的解决在路由器上捆绑 IP 和 MAC 地址。当某个 IP 通过路由器访问 Internet 时,路由器要检查发出这个 IP 广播包的工作站的 MAC 是否与路由器上的 MAC 地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个 IP 广播包的工作站返回
19、一个警告信息。现在这个问题已经得到一定程度的解决。接下来希望能够在 Linux 操作系统下,解决这个问题。(36)利用网络监听维护子网系统安全对于校园网外部的入侵可以通过安装防火墙来解决,但是对于校园网内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。在子网内若干计算机或服务器上安装该监听软件,这样可以防止某些较高水平?quot;黑客“会觉察到他所在的服务器正在被监听,将检测计算机也破坏掉。简
20、历几个监听程序相互间的联系。如果在一段时间内听不到其中一台或几台计算机发出的信息,其它服务器也会发出警报,另外,不允许任何账号的远程登陆。结束语:通过以上所采取的一系列方法,以及原本校园网中的原有网络安全措施,基本上可以建立一套相对完整的网络安全系统。网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等,结合在一起,才能生成一个高效、通用、安全的网络系统。 参考文献:费晶,陈元,王丽娜。信息系统的安全与保密M.北京:清华大学出版社,1999。Lars Klander,挑战黑客-网络安全的最终解决方案M.陈永剑,等。北京:电子工业出版社,2000,6。李亚恒,唐毅。网络安全监测系统。计算机工程,2001,4:127-129
