1、 一、引言 随着网络的普及和发展,越来越多的内部网和校园网连入了 internet,校园计算机网络正在高校及教育系统中发挥越来越大的作用,人们可以通过网络学习新知识,讨论问题,查阅资料等。同时学校可以利用网络进行一些管理和教学工作等。但是不可忽视的安全问题也随之摆在我们面前。如何保证校园网不被攻击和破坏,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。 二、校园网络安全管理 校园网络安全指利用网络管理控制技术措施,保证网络的数据机密性、完整性和可用性。主要目标是确保经网络传输的信息在传输过程中没有任何增加、改变、丢失或非法读取。但是随着黑客攻击手法的改进,出现了许多心得攻击方法,进
2、一步暴露了网络的脆弱性。例如针对网络服务器的拒绝服务式攻击等。现在网络安全管理范围进一步扩大,安全管理也相应地复杂了很多。不仅仅局限于网络建成后的保护措施,也涉及到了网络的设计。较好的网络设计应该保证网络有较好的弹性,能够在数据量很大的时候仍能保证较好的服务质量和稳定性。有了好的网络结构,安全措施的配置和管理便容易了很多。 故现在网络安全主要涉及到了以下几个方面: 1数据安全:保证重要的数据和信息在传输过程中不丢失、被修改、被窃取。 2结构安全:保障网络规划合理性,并随着使用过程中出现的问题不断调整和改进,保证网络有较好的弹性和服务质量。 3信息过滤:阻止反动、黄色的信息在网络中传输。 4访问
3、安全:保护网络不被非法修改和恶意攻击。 5软件系统安全:确保系统软件的安全,应使用防病毒技术、备份和恢复技术。 6操作安全:建立规范管理和良好的管理制度,使各工作人员严格遵守规章制度。尽量防止内部工作人员的过失。 以上的分类只是从不同角度对网络安全作出说明,实际上它们是有交叉点的。 三、网络安全技术 网络安全技术经过多年的发展,现在已经有很多种比较成熟的技术。列举如下: 1访问控制技术 2密钥安全技术 3数字签名及身份认证技术 4病毒防范技术 5防火墙技术 6包过滤路由技术 7动态口令技术 8链路加密技术 9数据备份及恢复技术 10网络入侵检测技术 以上的几种技术针对不同方面的应用,在实际应用
4、中,往往将上述技术综合使用,进一步增强网络安全。现在流行的网络安全产品也往往综合了以上技术。其中较成熟且广泛应用的有防火墙技术、VPN 技术和网络入侵检测技术。但是现在的网络安全也涉及到了网段的划分,其中最重要的虚网(VLAN)划分,划分规划得越好,网络就越安全。因此,在下面将就 VLAN,VPN,防火墙在校园网中的应用进行比较。 四、VLAN 简介 1VLAN 虚拟局域网(Virtual LAN)是与具体的物理网络及地理位置无关的 LAN,在逻辑上等价于 OSI 第二层的广播域。每一个 VLAN 都是一个广播域,通过 VLAN 划分,可以将一个大的广播网段分成多个小的广播域。VLAN 的实质
5、就是广播域控制。它可以不拘泥于机器在网络中的物理位置来划分广播域。允许按照工作站或网段的逻辑归属构成广播域。划分后,原来的较大的 LAN 就从逻辑上形成了多个小的虚拟的 LAN。 2VLAN 构建方法 (1)基于端口: 允许跨越多个交换机的多个端口划分,不同交换机的不同端口可以组成 VLAN。 (2)基于 MAC 地址 由于和 MAC 地址相关,用户的机器可以在 VLAN 范围内不同物理地域自由移动。 (3)基于 IP 地址 类似于 2,用户的用户的机器可以在 VLAN 范围内不同物理地域自由移动而不用重新配置。 (4)基于 IP 多播组 指以动态建立的多点广播确定 VLAN,每一站点通过对标
6、示不同 VLAN 的广播信息的确认来决定是否加入某一 VLAN。它代表一组 IP 地址。VLAN 由作为代理的设备对 VLAN进行管理,提供服务。当 IP 多播帧要送达多个站点时,就动态建立 VLAN 代理,这个代理与多个 IP 共同组成这个 VLAN,她提供了很高的动态性能,每个成员只是特定时间内特定 IP 多播组的成员。并且 IP 多播组可跨越路由器形成 WAN 连接。 IP 多点广播组定义的 VLAN 具有灵活性和面向应用的特点,可以跨越路由在 WAN 上实现,缺点是 VLAN 的安全性降低。 (5)基于管理策略 这是一种灵活性最好的组成 VLAN 的方法,在网络管理中制定某种策略,使用
7、这种策略向 VLAN 分配端点设备,能够实现多种分配方法,还可以根据需要灵活选择合适的方法。分为基于协议的 VLAN 和基于子网的 VLAN 。 3VLAN 的优点 (1)容易对 IP 网络进行改动。 (2)能够阻止广播风暴。 (3)提供额外的安全性: 由于只能够在 VLAN 内广播,不同 VALN 互相不干扰。因此如果将同一部门划分为一个 VLAN 内,局域网的广播信息不会泄露。如果不同 VALN 互相通信,必须通过路由。五、VPN 简介 虚拟专用网(VPN)可以是 VLAN 和远程工作站的集成体,是一种优秀的 Extranet 解决方鞍,应用隧道技术,通过 ISP、NSP 建立专用隧道,规
8、范点到点连接。 它的基本原理就是:一、采用“隧道”技术在公用网络中形成企业的专用链路;二、是虚拟的网,没有固定的物理连接,网络只有在需要是在建立。 通俗一点的说:就是通过加密的 IP 隧道,实现私有包、其他网络协议包在 internet 上的传输,从而实现位于 WAN 上的不同 LAN 的各种协议的虚拟连接,将公众网可靠的性能,丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网。它具有成本低、便于管理、开销小、灵活度高、保密性好的优点。 为了创建 VPN,必须使用如下技术: 1、隧道技术 2、加解密技术 3、密钥管理技术 4、使用者与设备身份认证技术 根据隧道协议不同,
9、可将 VPN 分成第二层和第三层的 VPN。 第二层隧道协议:工作方式是先把各种协议数据装入 PPP 协议包中,再装入隧道协议中,这种封装形成的协议靠第二层传输。 1、L2F:支持信道认证。工作于帧中继和 ATM。可对隧道终点进行身份认证 2、L2TP:是 PPTP 和 L2F 的结合。可支持多种协议(如:PPP 协议) 。在终点间进行IPSEC 加密。还支持单用户多隧道。相对于其他 2 种隧道协议,它提供拉流量控制和差错控制。使用 UDP 封装和 PPP 传输。 3、PPTP:使用基于 PPP 的加密机制,既 MPPE 机制,可以进行加密和身份认证。不对隧道终点进行身份认证。 第三层隧道协议
10、:工作方式是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。 1、IPSEC:只支持 IP 协议的封装。使用 IPSEC 加密机制,可以进行加密和数字签名方法。比 MPPE 更可靠,它包括查验、加密和数据完整性。还有它的查验和安全性功能与它的密钥管理系统松散藕和。使用 AH 和 ESP 协议来提供数据流量的安全性。 2、SOCKS:运行于 TCP 层。 3、VTP 协议 六、防火墙简介 防火墙是非常有效的网络安全模型。它防止来自 internet 的危险传播到内部网络,它主要实现: 限定人们从一个特别控制的点进入; 防止侵袭者接近你的其他防御措施; 限定人们从一个控制的点
11、离开。 它常常被安置在受保护的内部网络连接到 internet 的点上,将内部网络 与 internet 隔离开。所有来自 internet 的传输信息或从内部网络发出的传输信息都要穿过防火墙,因此防火墙可以分析这些传输信息,通过检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏,以确保它们符合节点设定的安全策略。 类型: 1包过滤防火墙 安装于路由器上,对数据包进行检查。简单、方便、速度快。但缺乏日志、审计信息和用户认证机制。 2代理服务器防火墙 在主机上运行代理服务,对特定的应用层进行服务。其核心是运行于防火墙主机上的服务器进程。 3电路层网关 在网络的传输层上实施访问
12、策略,是在内、外网络主机之间建立一个虚拟电路进行通信。相当于在防火墙上直接开了个口子进行传输。不象应用层防火墙那样能严密控制应用层的信息。 4混合型防火墙 把代理和包过滤等功能结合在一起。形成新的防火墙。所用主机称为堡垒主机,负责代理服务。 5应用级网关 使用专用软件转发和顾虑特定的应用服务。如 TELNET、FTP 服务。这是一种代理服务。适合于应用层。有一个高层的应用网关做代理器。通常有专门的硬件来完成。 6自适应代理技术 是最新的防火墙技术。在一定程度上反映了防火墙目前的发展动态。该技术可以根据用户定义的策略。动态适应传送过程的的分组流量。如果安全要求较高,则安全检查应在应用层完成,以保
13、证代理防火墙的最大安全性。一旦代理明确了绘画的所有细节,其后的数据包就可以直接经速度快的多的网络层传送。该技术兼备了代理技术的安全性和其他技术的高效率。 7几种防火墙得比较 防火墙得发展趋势: 1动态包过滤 2内核透明代理 3用户强认证机制 4加密技术 5智能日志、审计跟踪和实时报警 6内容和策略感知能力 7内部信息隐蔽技术 七、应用和比较 以上三种技术应用于网络安全的不同方面。 VLAN 侧重于网络的结构安全和网络的服务质量(QOS) ,它能增加网络的安全性,能够依照某种安全策略,把一些重要的成员(如数据库、学校办公服务器等)划到相应的VLAN 中,使网络的相关部分得到保护。网管人员能够以较高的精确度来确定访问网络服务的途径。在交换到桌面的结构中可以形成特别有效的限制非授权
