防火墙分析及校园网防火墙选择
防火墙分析及校园网防火墙选择
主流防火墙分析报告
一.防火墙产品类型发展趋势
防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。
(一.)包过滤防火墙
传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。
(二.)应用代理防火墙
应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代
理过渡以方便用户的使用。
(三.)混合型防火墙(Hybrid)
由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。
(四.)全状态检测防火墙(Full State Inspection)
这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据Checkpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。
(五.)自适应代理防火墙
这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需
要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。自适应代理模块是依靠动态包过滤模块来得知通信连接的情况,当一个连接到来时,动态包过滤将通知代理并提供源和目的的信息,然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。
在自适应代理中,动态包过滤允许代理要求新连接的通知,接着代理就可以检查每个具体的连接信息,告诉动态包过滤接下去应该对该包作如何处理,如丢弃,转发还是将包提到应用层检查。动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。
虽然Network Associate的这套自适应代理技术具有一定的先进性,但据说并未完全被该公司所实现,因此该公司的技术文档中很难有关于自适应代理的详细的资料。
二.防火墙实现技术分析
(一.)性能实现
随着网络速度的不断提升,防火墙的性能越来越成为国外厂家关注的问题,他们一般主要从硬件,操作系统和检测方法方面作改进。
1.专用硬件
使用专用的硬件以NetScreen防火墙最为典型,NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。在每个NetScreen设备中,都有ASIC(Application Specific Integrated Circuit)芯片,这些专用的ASIC芯片主要用来起到加速防火墙策略检查,加
密,认证,以及PKI过程功能。例如,所有的规则都存储在一个特定的存储区里,当硬件引擎每次需要检查规则时,就去扫描存储区。因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。
另一方面,为了使硬件和软件处理达到最佳配合,NetScreen使用了高速的多总线体系结构,该体系结构中每个ASIC芯片都配有一个RSIC处理器,SDRAM和以太网接口。因此NetScreen特有的硬件体系结构的设计可以比使用公共的PC硬件的防火墙产品达到更高的性能价格比。
2.专用实时嵌入式操作系统
NetScreen使用了专门的ASIC硬件设计之后,在操作系统也采用了专用的嵌入式操作系统——ScreenOS。在NetScreen防火墙中每个RISC处理器都运行ScreenOS。ScreenOS是一个强安全,低维护费用,专门为ASIC线路设计的实时嵌入式操作系统。ScreeOS的任务主要有三。首先,ScreenOS支持从WebUI(Web界面)和CLI(用户界面)获取配置,管理和监控任务。其次,ScreenOS和高性能的TCP/IP 引擎集成并与ASIC芯片紧密合作完成包的检测和转发的功能。最后,由于ScreenOS不象其他公用的操作系统平台受到连接表和处理数目的限制,因此一般地ScreenOS每秒所能支持的TCP并发连接数可达到19,600个。
NetScreen专用ASIC硬件和专用ScreenOS操作系统如何配合做到对安全策略的处理方面达到高性能。NetScreen对包的检测主要分
如下几个步骤:首先,进来的包在网络层被拦截,ScreenOS提供包的格式和框架的检查以辨认是否是畸形包。其次,如果包是合法的,ScreenOS将检查该包是否属于存在的TCP会话。再次,如果该包所属的TCP会话的确存在,那么ScreenOS将检查TCP包的序列号和代码域来证明包真正属于给该对话。如果该包不是属于一个已存在的TCP会话,那么ASIC芯片则要检测该包是否符合安全策略,如果不符合安全策略则丢包,否则建立新的连接通信。基本原理如下图。
图.NetSceen防火墙对包的处理过程
3.多CPU和大容量RAM
除了使用专用的硬件和软件设计,大多数的硬件防火墙采用通用PC系统和通用的操作系统如linux,Solaris,Windows等。
4.检测算法改进
前面都是从硬件和操作系统方面来提高防火墙的性能,另一个提
高防火墙的方法则是从数据包的检测方法上来提高性能。以下由几种典型的包检测的改进方法。
首先,就是前面提到的全状态检测。checkpoint firewall-1的检测模块的工作都是在操作系统的内核完成,它可以检测所有七层通信协议,并且可以分析包的状态信息。因此既能保证包检测的性能,又能保证包检测的全面性。之所以Firewall-1检测模块能做到检测应用层是因为Firewall-1对IP协议包的内部结构很清楚,因此检测模块可以从包的应用内容中提取数据并将其保存下来为后面的包提供必要的状态信息。Firewall-1检测模块的原理图如下。
Firewall-1检测模块工作原理图
其次,就是自适应代理。自从Network Associates的防火墙使用了自适应代理体系结构,由于只在防火墙检测到可疑通信量时才启用代理,因此在启用NAT后,Gaunlet防火墙的性能比NetScreen和Checkpoint甚至更好。由于在NetWork Associates(https://www.sodocs.net/doc/504599696.html,)找不到更多的关于自适应代理的资料,因此对自适应代理基本原理的描述只局限于前面提到的一部分。
再次,是MAC层状态检测。这是NetGuard公司为其防火墙提出的这种检测方法,由于包的检测是处于MAC层,因此能很明显的提高防火墙的性能,并且使得它对操作系统安全漏洞具有免疫功能。
最后,快速代理(cut-through proxy)这是由Cisco 公司对代理性能的一种改进,但是这种改进是否保证安全还需考证。Cisco认为一个代理服务器必须对包进行七层协议的检查是很浪费时间的,而PIX 防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户认证(如外部用户采用一次性口令),然后就可建立起直接的数据流,这样速度自然要快得多。Cisco在检测安全时还使用了适应性安全算法(Adaptive Security Algorithm),该算法接近于状态检测,它将防火墙所连接的网络进行安全分级,ASA算法遵守下列规则:每个包必须经过状态检查;除了被安全策略拒绝,任何从安全区域向相对不安全区域发的包放行;除了被安全策略允许,任何从相对不安全区域向安全区域发的包拒绝;所有ICMP包除了被指定允许否则都拒绝。从Cisco提出的ASA算法和cut-through proxy的方案可以看出Cisco是有点想牺牲点安全来换取性能。
(二.)功能实现
防火墙的功能比较多种多样,国外各个厂家一方面都提供了一些防火墙基本功能和常见功能,另一方面也多多少少有自己的一些特色功能。由于防火墙的基本功能和常见的功能如NAT,PAT,内容过滤,负载平衡,高可靠性,透明模式等网盾防火墙已基本实现,所以这里将不再对其叙诉。我这里只对我们未实现过的一些功能加以简单的描
述。
1.多种身份认证体系和灵活的认证方法
由于现今各种操作系统支持多种认证方案,因此许多防火墙厂商为用户提供了多种的认证体系以便用户使用,例如,checkpoint认证体系大概有六种:防火墙口令, RADIUS或TACACS/TACACS+服务器,数字证书,S/Key,SecurID Tokens,Axent Pathways Defender,OS口令。
为了使防火墙用户能灵活的控制认证对象,Checkpoint还提供了三种不同的认证方法:用户认证,IP地址认证,对话认证(基于每个对话对每个服务作认证)。
最后一个是许多公司提出的透明的用户ID和地址认证服务体系。该种透明认证的实现是通过将Windows NT的域认证方案和它的防火墙合为一体。该透明的认证服务可以自动的捕捉Windows NT系统的登录信息和本机动态分配的地址,然后这些捕捉到的信息就可以直接作为防火墙认证的信息,这样就可以做到用户透明认证。
2.防病毒检测
很多防火墙都增加了防病毒功能,他们一般是通过集成第三方的防病毒软件实现,例如,Checkpoint通过它的CVP(Content Vectoring Protocol)服务器集成第三方的防病毒产品。如果防火墙的ftp服务需要病毒检测,那么防火墙就会拦截FTP所传送的文件送往CVP服务器接受检测,然后防火墙在根据CVP服务器的检查来处理该FTP的连接。
3.入侵检测
在防火墙中绑定入侵检测也是现在国外增强防火墙安全性的一种重要方法。由于防火墙对安全的手段一般趋于静态,而入侵检测则趋于动态,对安全的防范做到动静结合我想这是很多厂家的想法。但是做到入侵检测和防火墙真正紧密配合还是要花一定的功夫。例如,入侵检测是否可以根据检测到的情况直接对防火墙进行动态控制。
4.多媒体服务支持
互联网的多媒体应用已经在企业和用户中很流行,但是多媒体应用由于要求打开许多端口也给网络安全带来相当的威胁。由于多媒体应用的一个重要特征就是数据量大而且要求速度快,因此对付防火墙的安全性检查的性能就需要一定的要求,Cisco公司的产品PIX对多媒体应用很重视,他自称可以做到性能和安全兼得。他们支持的多媒体应用包括:RealAudio,Streamworks,CU-SeeMe,Internet Phone,IRC,Vxtreme,VDO Live。
5.VPN
VPN是指在公共通信通道中使用虚拟隧道的技术,由于这种应用的客户需求很大,因此几乎所有的防火墙厂家都将它与防火墙绑定。他们都将管理简易、高速吞吐量和强有力的安全特性作为衡量VPN 好坏的标准。
CommWeb和Network Test Inc进行合作测试,最后发现有三个网关在能够提供安全性、可扩展性、使用简单和价格性能比的最佳组合。具有最高水平的设备是来自NetScreen Technologies Inc的
NetScreen-100,它没有安全问题,在我们测试的任何设备中具有最高的吞吐量,同时有一个比较公平的价格。来自Cisco Systems Inc的Cisco 7100 VPN 路由器和其他测试设备比较,提供更加强大的安全性能,具有优秀的管理特点,同时支持更多的并发连接,尽管其价格是高了一些。Lucent Technologies的VPN Firewall Brick 80在我们测试的高端设备中,提供非常好的管理性能,极佳的参数和最好的价格性能比。
由于VPN运作也是较复杂的一部分,这里不再详诉。如果有必要,可以加以更深一步的调研。
(三.)管理
防火墙的功能和性能固然重要,但是系统管理员是通过防火墙的管理界面来与控制防火墙,因此提供一个系统,灵活,简单且直观的管理也是防火墙吸引客户的一个重要方面。因此国外的厂家在管理界面方面也下了一定的功夫,成为他们宣传中的一个亮点。
1.基于客户机/服务器的管理方式
Check-point的管理非常具有它的独特性,而且它的管理方式在业界享有盛誉,因此给我留下很深的印象。Check-point总的管理模式是基于客户机/服务器方式的如下图。这种管理方式具有高性能,可扩展,集中管理等优点。在这种模式下,管理员可以通过单一的用户界面对公司中所有网络安全设备进行配置,管理和监控。这种管理模式有三个部分组成:用户界面(GUI),管理服务器,网络安全模块。其中管理服务器相当于安全数据库,它储存了
用户界面管理服务器
路由,网关,VPN,Firewall-1,入侵检测等服务器
图。分布式客户/服务器管理模式
网络对象定义,用户定义,安全策略,所有网络安全设备的日志文件等信息。然后管理服务器负责这些安全策略下载到各网络安全设备。还有各个安全设备的升级问题也可以由管理服务器统一管理,你只要更新管理服务器上的版本,那么需要更新的安全设备就会觉察到这种改变接着从管理服务器上下载更新文件自动更新自己。
2.简单的面向对象管理思想
Checkpoint对安全策略的配置是基于面向对象思想。他们把网络资源(网段,路由器,网关,服务)看作一个对象,这些对象都有一套各自的属性如姓名,IP地址或范围,NAT等。然后定义好的对象就可以在规则策略表(rule base)中方便的使用。因此为整个网络通信所定义的规则策略表显得非常的简练,清楚。该规则表的原型可以在Firewall-1的demo中看到。
3.视觉化策略编辑
为了让管理员对整个网络的结构有一个直观的理解,Check-point 的界面让网管者可以检视图形化的整体网路安全部署架构同时管理安全政策。「视觉化策略编辑」会显示进入企业网路的连线,而任何安全政策的改变都会显示在「视觉化策略编辑」的图示中,以真实反应网路安全的状况同时确保较高等级的安全。
4.多种管理方式
由于管理员控制设备的习惯各异,而且配置过程中实际情况不同,因此为管理员准备多种配置方式是很有必要的。基本的方式包括:
?自带Web 服务器:方便地通过流行的浏览器进行管理
?Windows 95/NT/2000 图形界面:可关闭远程的管理方式,只用本地的、安全的管理
?SNMP 管理方式:通过网络管理软件管理
?命令行界面:支持批处理方式及通过调制解调器的备用渠道进行控制
校园网防火墙选取
如果我是校园网管理者,我会选择AXENT Raptor。因为它的界面易读、易操作,Raptor的优势在于其代理的深度和广度。只有它提供对Microsoft NT服务器的保护。它还具有SQL*NET代理功能,可控制对Oracle数据库的访问。Raptor在SMTP方面做得很好,而且它是唯一可防止缓存溢出的防火墙,它可以代理NNTP(网络新闻传输协议)和NTP(网络时间协议)。
Raptor还提供IPsec兼容的VPN,但由于没有硬件辅助卡,所以在建立多个使用加密的连接时,CPU可能难以承受。
校园网络安全问题分析与对策
校园网络安全问题分析与对策 随着教育信息化的发展,计算机校园网络系统成为学校重要的现代化基础设施,为学校建设提供安全、可靠、快捷的网络环境,学校的学生思想教育、教学、科研、管理等对网络的依赖将越来越紧密。校园网的安全状况直接影响到这些活动的顺利进行,因此,保障校园网络信息安全已经成为当前各高校网络建设中不可忽视的首要问题。 1.校园网网络安全问题分析 校园网具有速度快、规模大,计算机系统管理复杂,随着其应用的深入,校园网络的安全问题也逐渐突出,直接影响着学校的教学、管理、科研活动。当前,校园网网络常见的安全隐患有以下几种。 1.1计算机系统漏洞。目前,校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。而且随着时间的推移,将会有更多漏洞被人发现并利用。 1.2计算机病毒的破坏。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。 1.3来自网络外部的入侵、攻击等恶意破坏行为。校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。目前在因特网上,可以自由下载很多攻击工具,这类攻击工具设
置简单、使用方便,破坏力大,这意味着攻击所需要的技术门槛大大降低。 1.4校园网用户对网络资源的滥用。实际上有相当一部分的Internet访问是与工作无关的,有人利用校园网资源进行商业的或免费的视频、软件资源下载服务,甚至有的是去访问色情、暴力、反动站点,导致大量非法内容或垃圾邮件出入,占用了大量珍贵的网络带宽,Internet资源严重被浪费,造成流量堵塞、上网速度慢等问题,而且不良信息内容也极大地危害青少年学生的身心健康。 1.5网络硬件设备受损。校园网络涉及硬件的设备分布在整个校园内,管理起来有一定的难度,暴露在外面的设施,都有可能遭到有意或无意地损坏,这样可能会造成校园网络全部或部分瘫痪的严重后果。 1.6校园网安全管理有缺陷。随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。网络系统管理员只将精力集中于IP的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上,而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。 1.9计算机病毒的破坏行为 1.攻击系统数据区,攻击部位包括:
谈校园网安全访问控制体系
中国网络大学CHINESE NETWORK UNIVERSITY 毕业设计(论文) 院系名称:百度网络学院 专业:百度 学生姓名:百度 学号:123456789 指导老师:百度 中国网络大学教务处制
2019年3月1日
谈校园网安全访问控制体系 摘要:校园网对提高学校的教育教学质量,推进以创新精神为核心的素质教育起着至关重要的作用。在运行过程中面临各种安全威胁,本论文通过对校园网及其应用系统的访问控制体系问题进行分析,就身份认证﹑防火墙﹑文件和服务的共享访问和封锁系统漏洞四个方面提出基于访问控制的安全策略.因此合理安全的利用好校园网对一个学校的今后的生存发展显得尤为重要。 关键词:防火墙,共享,校园网,访问控制 引言 随着网络技术的不断发展和Internet的日益普及和“教育要面向现代化,面向世界”指导思想的贯彻实施,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。然而,由于各种因素导致的校园网数据丢失,被修改或系统瘫痪屡有所闻。因此,对信息网络系统的安全和服务质量也提出了更高的要求,要求信息网络系统能够提供优质服务的同时,保护网络和用户系统的安全。但目前中小学学校普遍存在着教师教学工作繁重,计算机技术水平不高,学校没有专职的网管员,一般计算机老师又要承担教学,电脑设备维护、网络管理等,各级学校由于技术人员提供的服务水平参差不齐,如何保证信息系统的正常运行和安全,如何能够以最少的投入保证系统的安全,保证信息系统的服务质量,就成为中小学学校信息化发展到一定程度时必须考虑的问题。针对校园网的安全问题,构建完善的网络安全防护体系是非常重要的。
校园网网络安全设计方案
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
防火墙技术原理及其在校园网中的应用方案设计
网络与信息管理课程论文 通信3G二班李项京 2011年11月29号
防火墙技术原理及其在校园网中的应用方案设计 摘要:详细介绍了防火墙的原理和实现方法,结合实际从校园防火墙的设计方案中论证防火墙在校园网中的应用的必要性。 关键词:防火墙,校园网防火墙设计 一、引言: 1、网络安全分析 互联网的发展已经深入到社会生活的各个方面。对个人而言,互联网改变了人们的生活方式;对企业而言,互联网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网,但是一切安全隐患也来自互联网。互联网设计之初,只考虑到相互的兼容和互通,并没有考虑到随之而来的一系列安全问题,伴随互联网的迅速发展,网络安全问题越来越严峻。 计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。1998年起,一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料,近期每年中国破获电脑黑客案件数百起,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。与计算机病毒相类似,黑客攻击方法的种类不断增加,总数已达近千种。 那么,影响网络安全的主要因素有哪些呢?从技术的角度归纳起来,主要有以下几点: 黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力”强的特点,构成了网络安全的主要威胁。 网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。
校园网络需求分析报告
校园网络需求分析 一. 网络环境需求分析 校园网的建设能促进教师和学生尽快提高应用信息技术的水平,为学生提供了一个实践的环境,为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。校园网是学校进行教学改革、推行素质教育的一种必不可少的工具,是学校现代化信息管理的基础,也提供了学校与外界交流的窗口。然而,校园网络管理应用系统支持的是一个不断多元化的网络应用系统设备组合,用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的,自觉而透明的,从而具备较强的扩展性。所以,这需要学校和我们共同设计建成一个先进的多媒体校园网络系统而努力。这方面的需求不同学校有着明显不同,大体都可以分为,教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。 二. 网络目标需求分析 2.1网络设计需求分析 学院的校园网建设目标是:实现校内数据资源共享,并能与INTERNET相连,使得校内多个信息点计算机通过校内网能访问INTERNET。在此基础上能满足教学、科研和管理工作的需要,并能开发建设各类教学资源库与应用系统,为教师、学生及住户提供充分的网路信息服务。建设好网络在能满足当前实际需求的基础上,其功能和规模还要能适应未来校园网的升级改造和后期工程的建设 2.2网络功能需求分析 1、信息交流:提供Internet连接及校内信息服务; 2、教学服务:多媒体教学资源、电子备课、电子阅览、远程教学; 3、学生学习:网上学习、班级网页、成绩反馈; 4、学校管理: 无纸化办公、成绩管理、学籍管理、财务管理、图书馆管理、后勤管理等。 2.3组网技术分析 在校园网校区网络的建设中,主干网选择何种网络技术对网络建设的成功与否
校园网安全设计与分析
校园网安全隐患分析 校园内网安全分析 1、BUG影响 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行, 冲击波”这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS (Denial of service) 攻击, 使多个国家的互联网也受到相当影响。 2、设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。 3、设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等) , 防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。 4、管理漏洞 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一但有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设成本网段的网关地址, 这会导致整个学生机房无法正常访问外网。 5、无线局域网的安全威胁 利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点: 未经授权使用网络服务 由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服
防火墙在校园网中的应用
第一章绪论 1.1引言 科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。 1.2研究现状 因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。 1.3课题意义 安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术如图1-1。 图1-1防火墙(Firewall)技术图
1.3 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。 网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。 其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。 防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。 病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装 入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。 安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。 认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。 应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。 1.4 防火墙介绍 防火墙(Firewall)是一种网络边防产品,是在可信网络与不可信网络之间构筑的一道防线,是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙监控可信网络和不可信网络之间的访问渠道,防止外部网络的危险蔓延到内部网络上。 从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙的基本功能是对网络通信进行筛选和屏蔽,以防止未经授权的访问进出计算机网络,具体表现为:过滤进出网络数据;管理进出网络访问;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警等。防火墙外形如图1-2:
校园网客户端使用说明
附件: 校园网客户端使用说明 目录 一、电脑客户端安装说明 (2) 1.选择上网方式-有线、无线:选择完成下面其中一步即可。 (2) 2.打开非校内网页:如百度(https://www.sodocs.net/doc/504599696.html,) (2) 3.在http://172.16.94.34页面点击下载对应系统的客户端 (3) 4.安装客户端 (3) 二、登陆客户端:学号/手机号/工号+@xnzf1(最后一位是数字1) (4) 三、关于充值缴费:请打开自服务系统 (5) 四、安卓手机或者安卓平板安装客户端说明: (7) 1.连接上无线网络: (7) 2.安装安卓客户端:点击安装客户端,并信任程序! (8) 3.登陆客户端: (8) 五、苹果手机或者苹果平板客户端安装说明: (8) 1.连接上无线网络: (8) 2.安装苹果客户端:点击安装客户端,并信任程序! (9) 3.登陆客户端: (9) 六、常见故障解决办法 (10) 任何问题,请先按如下步骤处理,如果不行,在按对应问题根据以下解决方法解决 10 系统未准备好,请检查网络连通性。 (10) 弹出提示:发现您正在使用以下代理软件: (10) 弹出提示:发现您修改了网卡MAC地址。 (11) 登陆后,一直处于正在登陆状态,无法成功登陆。然后提示“连接认证服务器超时”。 14 客户端页面无法自动显示,通知栏出现两个客户端图标(一个彩色一个黑白)。 15 弹出提示:https://www.sodocs.net/doc/504599696.html,运行环境初始化失败105。 (15) 能登上客户端,但是打不开网页! (15) Win客户端提示“找不到drcomfigure文件” (16) 经常掉线,但无任何提示 (16) 七、校园网使用路由器设置方法 (16) 关闭路由功能(AP模式) (16) 关闭DHCP服务器 (16) 设置路由器信号名称、连接密码 (16) 举例:设置无线路由器方法 (16)
校园网的安全性分析
第24卷第2期2010年4月 河南财政税务高等专科学校学报Journal of Henan College of Finance &Tax a tion Vol .24.No .2Apr .2010 [收稿日期]3[作者简介]侯峰(3—),女,河南许昌人,河南财政税务高等专科学校助教。 校园网的安全性分析 侯 峰 (河南财政税务高等专科学校现代教育中心,河南郑州450002) [摘 要]高校校园网大都采用先进的网络技术,网络应用普及,用户群密集而且活跃,安全问题也十分突出。校园网的安全风险由多种因素引起,必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析校园网的安全性并制定相应的安全解决方案,力争使校园网成为一个全面、有效、系统的安全工程。 [关键词]校园网;安全性;网络技术;网络安全风险 [中图分类号]TP393.18 [文献标识码]A [文章编号]1008-5793(2010)02-0084-05 新一代数字化校园的建设,使大学成为全面创新型人文教育基地,成为整个知识经济的“核心发动机”,成为引导终身教育的网络社区。但是随着校园网的建设和网络应用的扩大,网络安全风险也变得更加严重和复杂。 校园网的安全风险由多种因素引起,必须从物理、操作、信息、网络、人员、管理、辐射、通信及计算机的安全等九个方面分析校园网的安全性并制定相应的安全解决方案。 一、校园网的物理安全 第一,引入分层网络设计的方法将一个较大规模的校园网络系统划分为几个较小的部分,它们之间既相对独立又互相关联。优良的网络拓扑结构是校园网稳定可靠运行的基础。现在的移动通信网络3G (第三代移动通信)就运用了分块结构,将复杂的网络清晰地划分为功能明确的小块,再具体地完成其相应的业务。现将其应用到校园网中,可将其网络拓扑结构分为核心层、分布层及接入层(如图1所示)。 核心层的规划目标为处理高速数据流,实现数据分组交换。分布层负责聚合路由路径,收敛数据流量,将大量低速的链接(与接入层设备的链接)通过少量宽带的链接接入核心层,以实现通信量的收敛,提高网络中聚合点的效率,同时减少核心层设备路由路径的数量。接入层则将流量馈入网络,执行网络访问控制,并且提供相关边缘服务。对于复杂的高校校园网规划而言,分层拓扑结构是最有效的,它的优点在于,它把一个大问题分解成几个小问题,将局部拓扑结构改变所产生的影响降至最小,减少路由器必须存储和处理的数据量,提供良好的路由聚合数据流收敛。 第二,引入冗余设计以克服单点故障。设计冗余可以减少跳(hop )数、设置备用系统与备用线路,以绕过那些故障点,减少可用的路径数量,增加核心层可承受的故障数量。另外,冗余还能提供安全的方法以防止服务丢失。 第三,划分VA LN 。V LAN 即虚拟局域网,用路由器相连,它允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域,每一个VLA N 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性。这样就可以实现将不同层的物理设备在逻辑上相隔离,使之不能通信,以减少网络风暴以及来自系统内部的安全威胁。 2010-0-02 1984 8
校园网防火墙设计
网络系统设计之防火墙设计 防火墙——需求分析 1、首先分析网络拓扑结构和需要保护的内容 网络拓扑结构是否存在不合理 总线型拓扑结构的缺点: (1) 总线拓扑的网不是集中控制,故障检测需在网上各个站点进行,使故障诊断困难。 (2) 如果传输介质损坏整个网络将不可瘫痪。 (3) 在总线的干线基础上扩充,可采用中继器,但此时需重新配置,包括电缆长度的剪 裁,终端 器的调整等。 (4) 接在总线上的站点要有介质访问控制功能,因此站点必须具有智能,从而增加了站 点的硬件 和软件费用。 (5) 所有的工作站通信均通过一条共用的总线,导致实时性很差。 环型拓扑的缺点: (1) 扩充环的配置比较困难,同样要关掉一部分已接入网的站点也不容易。 (2) 由于信息是串行穿过多个节点环路接口,当节点过多时,影响传输效率,使网络响 应时间变长。但当网络确定时,其延时固定,实时性强。 (3) 环上每个节点接到数据后,要负责将它发送至环上,这意味着要同时考虑访问控制 协议。节点发送数据前,必须事先知道传输介质对它是可用的。 环型网结构比较适合于实时信息处理系统和工厂自动化系统。 FDDI(Fiber Distributed Data Interface)是环型结构的一种典型网络,在二十世纪九十年代中期,就已达到100Mbps 至200Mbps 的传输速率。但在近期,该种网络没有什么发展,已经很少采用。 树型网的缺点: (1) 除叶节点及其相连的链路外,任何一个工作站或链路产生故障都会影响整个网络系 统的正常运行。 (2) 对根的依赖性太大,如果根发生故障,则全网不能正常工作。因此这种结构的可靠 性问题和星型结构相似。 星型结构的缺点: (1) 一条通信线路只被该线路上的中央节点和一个站点使用,因此线路利用率不高; (2) 中央节点负荷太重,而且当中央节点产生故障时,全网不能工作,所以对中央节点 的可靠性和冗余度要求很高。 (3) 电缆长度和安装:星型拓扑中每个站点直接和中央节点相连,需要大量电缆,电缆 沟、维护、安装等一系列问题会产生,因此而增加的费用相当可观。 星型拓扑结构广泛应用于网络中智能集中于中央节点的场合。从目前的趋势看,计算机的发展已从集中的主机系统发展到大量功能很强的微型机和工作站,在这种环境下,星
浅谈校园网安全控制策略(一)
浅谈校园网安全控制策略(一) 摘要]数字化大学已成为当前各高校信息化建设发展的主要目标。校园网络作为信息化建设的主要载体,校园网络安全已经成为当前各高校网络建设中不可忽视的首要问题。文章基于当前高校网络安全的现状及特点,提出相应的控制策略。 关键词]网络;安全策略;数据;访问1引言 随着我国经济与科技的不断发展,教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。随着各高校网络规模的急剧膨胀,网络用户的快速增长,校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。 2目前高校校园网络的安全现状 2.1操作系统的安全问题 目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。 2.2病毒的破坏 计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响高校校园网络安全的主要因素。 2.3黑客 在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。 2.4口令入侵 为管理和计费的方便,一般来说,学校为每个上网的老师和学生分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成了费用管理的混乱。 2.5非正常途径访问或内部破坏 在高校中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据;一些学生通过非正常的手段获取习题的答案或在考前获得考试内容,使正常的教学练习失去意义。这些安全隐患都严重地破坏了学校的管理秩序。 2.6不良信息的传播 在校园网接入Internet后,师生都可以通过校园网络在自己的电脑上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。 2.7设备受损 设备破坏主要是指对网络硬件设备的破坏。校园网络涉及的设备分布在整个校园内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成校园网络全部或部分瘫痪的严重后果。 2.8敏感服务器使用的受限 由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与校园网络物理隔离,使得应用软件不能发挥真正的作用。 2.9技术之外的问题校园网是一个比较特殊的网络环境。随着校园网络规模的扩大,目前,大多数高校基本实现了教学科研办公上网,学生宿舍、教师家庭上网。由于上网地点的扩大,使得网络监管更是难上加难。由于高校部分学生对网络知识很感兴趣,而且具有相当高的专
校园网网络安全分析与解决方案
校园网网络安全分析与解决方案 计算机网络所面临的安全威胁有3种:硬件安全、软件安全和数据安全。硬件包括网络中的各种设备及其元配件、接插件及电缆;软件包括网络操作系统、各种驱动程序、通信软件及其他配件;数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感数据库及其网络上两台机器之间的通信内容等XX信息。 一、校园网网络安全的解决方法 1.网络病毒的防X。在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通信和电子的感染。所以,防止计算机病毒是计算机网络安全工作的重要环节。 2.网络安全隔离。网络和网络之间互联,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以,网络之间进行有效的安全隔离是必须的。 3.网络监控措施。在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。 4.借助软件解决网络安全漏洞。对于非专业人员来说,无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞,因此需要借助第三方软件来解决此安全隐患,并提出相应的安全解决方案。第三方软件要包含以下功能:过滤不当内容网页;IM即时通信使用管理;流媒体下载管理;阻挡P2P点对点档案分享;阻挡Spyware间谍软件封包;防X诈骗与恶意程序代码攻击;提供完整的在线的网络活动
分析报告;完整记录学生上网行为;提供各种详细的网络应用与潜在网络威胁风险分析报告等。 5.数据备份和恢复。数据一旦被破坏或丢失,其损失是灾难性的。所以,做一套完整的数据备份和恢复措施是校园网迫切需要的。 6.有害信息过滤。对于大中型校园网络,必须采用一套完整的网络管理和信息过滤相结合的系统,实现对整个校园内电脑访问互联网进行有害信息过滤处理。 7.网络安全服务。为确保整个网络的安全有效运行,有必要对整个网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理和设备配备方案。 二、网络安全保护 1.网络访问控制 访问控制是网络安全防X和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。 目前进行网络访问控制的方法主要有:MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。 2.物理隔离 首先要明确,物理隔离是网络隔离的早期描述,这里沿用物理隔离,而不用网络隔离这个概念。物理隔离的指导思想与防火墙截然不同,防火墙是在保证互联互通的前提下,尽可能安全;而物理隔离则
校园网网络安全方案设计
目录第一章校园网安全隐患分析(3 1.1校园内网安全分析(3 1.1.1软件层次安全(3 1.1.2设备物理安全(3 1.1.3设备配置安全(3 1.1.4管理层次安全(4 1.1.5无线局域网的安全威胁(4 1.2校园外网安全分析(5 1.2.1黑客攻击(5 1.2.2不良信息传播(6 1.2.3病毒危害(6 第二章设计简介及设计方案论述(7 2.1校园网安全措施(7 2.1.1防火墙(7 2.1.2防病毒(8 2.1.3无线网络安全措施(10 2.2 H3C无线校园网的安全策略(12 2.2.1可靠的加密和认证、设备管理(12
2.2.2用户和组安全配置(12 2.2.3非法接入检测和隔离(13 2.2.4监视和告警(14 第三章详细设计(15 3.1ISA软件防火墙的配置(15 3.1.1基本配置(16 3.1.2限制学校用机的上网(16 3. 1 .3检测外部攻击及入侵(16 3 . 1 .4校园网信息过滤配置(17 3.1.5网络流量的监控(17 3.1.6无线局域网安全技术(17 3.2物理地址(MAC过滤(18 3.2.1服务集标识符( SSID 匹配(18 3.2.2端口访问控制技术和可扩展认证协议(20 第一章校园网安全隐患分析 1.1校园内网安全分析 1.1.1软件层次安全 目前使用的软件尤其是操作系统或多或少都存在安全漏洞对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操
防火墙分析及校园网防火墙选择
防火墙分析及校园网防火墙选择 主流防火墙分析报告 一.防火墙产品类型发展趋势 防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。 (一.)包过滤防火墙 传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。 (二.)应用代理防火墙 应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代
理过渡以方便用户的使用。 (三.)混合型防火墙(Hybrid) 由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。 (四.)全状态检测防火墙(Full State Inspection) 这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据Checkpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。 (五.)自适应代理防火墙 这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需
校园网网络安全解决方案.doc
xx校园网网络安全解决方案1 xx校园网网络安全解决方案 校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。 一、网络信息安全系统设计原则 1.1满足Internet分级管理需求 1.2需求、风险、代价平衡的原则 1.3综合性、整体性原则 1.4可用性原则 1.5分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 --第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 --第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 --第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
浅谈防火墙的研究及其在校园网中的应用____梁伟
北京华夏管理学院 毕业论文 文理学院计算机专业 课题名称浅谈校园网防火墙实用技术 学生姓名梁伟 学生班级计算机 指导老师付春霞 起讫日期 2011.2-2011.4 2011年4月23日
目录 1. 防火墙的基本原理和主要类型 (4) 1.2 包过滤式防火墙 (5) 1.3 代理式防火墙 (6) 1.4 状态检测防火墙 (6) 1.5 防火墙的主流产品 (6) 2. 防火墙在校园网中的应用 (8) 2.2 防火墙的边界防护功能 (8) 2.3 防火墙的NAT功能 (9) 2.4 防火墙的防毒功能 (9) 3. 防火墙的配置方法 (9) 3.1 配置工作站的连接 (9) 3.4 测试连通性 (12) 3.5 配置备份防火墙 (14) 3.6 配置访问控制列表和嫌疑代码过滤 (17) 4. 防火墙应用中的若干问题及改进设想 (18) 4.1 木马新技术反弹端口的问题 (18) 5.结论 (19) 6. 致谢 (19) 7. 参考文献 (19)
Campus network firewall practical techniques analysed Abstract: This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help. Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology 浅谈校园网防火墙实用技术 摘要 本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。本文讨论了在校园网里使用防火墙的方法。我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。 关键词防火墙;校园网;信息安全;网络安全;拓扑;配置;实用技术
校园网络安全风险分析
2011--2012学年度第一学期 校园网络安全 风险分析 学生姓名: 学生学号: 所属学院: 所属班级: 指导教师: 2011年12月17日
摘要 校园网络安全是现在各类学校校园网运行过程中所面临的实际问题,更是网络管理人员的困惑所在。本文对东北农业大学校园网所面对的各种风险进行分析,并对我校针对该问题的应对策略做了相应调查。 关键词 校园网络安全;风险分析;调查 一、校园网络普遍存在的安全隐患和漏洞 1来自硬件系统的安全威胁 硬件的安全问题也可以分为两种,一种是物理安全,一种是设置安全。物理安全是指由于物理设备的放置不合适或者防范不得力,使得服务器、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受意外事故或人为破坏,造成校园网不能正常运行。设置安全是指在设备上进行必要的设置(如服务器、交换机的密码等),防止黑客取得硬件设备的远程控制权。 2来自校园网内部的威胁 校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。 3来自Internet的威胁 Internet上有各种不同内容的网站,这些形形色色、良莠不齐的网络资源不但会占用大量流量资源,造成网络堵塞、上网速度慢等问题,而且由于校园网与Internet相连,校园网也就面临着遭遇攻击的风险。 4系统或软件的漏洞 目前使用的操作系统和应用软件都存在安全漏洞,对网络安全构成了威胁。而且现在许多从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,这些软件的使用也可能被攻击者侵入和利用。 5管理方面的问题 一是校园网的用户群体一般比较大,少则数千人、多则数万人,数据量大、速度高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。二、威胁校园网安全的原因分析 网络的不安全因素很多,但是由于学校是以教学活动为中心的场所,所以,校园网的安全问题有着它自己的特殊性,目前,校园网存在的安全隐患和漏洞主要有如下几点: 1校园网中的设备多 校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。校园网是一个平台,面向全校的师生,校园网中的设备管理也比较多样化,校级设备一般有网络中心管理,院、系级设备由本部门管理,也由本部门维护,学生自用的机器,放在学生宿舍中,由学生自行维护。这样就很难对所有设备实施统一的安全策略,如安装防病毒软件等。所以当用户的计算机接入校园网后感染病毒,这台感染病毒的计算机又影响了校园网的运行,于是出现“交叉感染”。