【正文】 ......................................................................................................... 13 BGP 路由協(xié)議 ................................................................................................................ 15 6 校園網(wǎng)絡(luò)安全的威脅 ............................................................................................................... 17 校園網(wǎng)絡(luò)攻擊概述與趨勢(shì) ........................................................................................... 17 ARP 攻擊 ....................................................................................................................... 18 DDOS 攻擊 ...................................................................................................................... 18 口令攻擊 ....................................................................................................................... 18 蠕蟲病毒 ....................................................................................................................... 19 VLAN 攻擊 ...................................................................................................................... 19 7 校園網(wǎng)安全措施 ....................................................................................................................... 21 校園網(wǎng)安全介紹 ........................................................................................................... 21 校園網(wǎng)安全管理 ........................................................................................................... 21 校園網(wǎng)安全措施 ........................................................................................................... 21 建立安全管理制度 ....................................................................................................... 23 8 結(jié)論 ........................................................................................................................................... 24 參考文獻(xiàn) ....................................................................................................................................... 25 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 1 1 緒論 隨著時(shí)代的發(fā)展，在二十一世紀(jì)信息以經(jīng)成為了重要的開發(fā)性資源。與材料、能源共同構(gòu)成了社會(huì)物質(zhì)生活的“三大資源”。信息產(chǎn)業(yè)的發(fā)展水平已成為衡量一個(gè)國(guó)家現(xiàn)代化水平與綜合國(guó)力的重要標(biāo)志。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)人類生活、工作、學(xué)習(xí)和科學(xué)研究產(chǎn)生著越來(lái)越重要的影響。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)作為計(jì)算機(jī)學(xué)科最重要的研究領(lǐng)域和最重要的社會(huì)信息基礎(chǔ)設(shè)施重要技術(shù)之一，在飛速發(fā)展的同時(shí)也存在大量急需解決的挑戰(zhàn)性問(wèn)題。一方面高等教育，以計(jì)算機(jī)為核心的信息技術(shù)已成為很多專業(yè)課教學(xué)內(nèi)容的有 機(jī)組成部分，計(jì)算機(jī)應(yīng)用能力成為衡量大學(xué)生業(yè)務(wù)素質(zhì)與能力的標(biāo)識(shí)之一；另一方面初等教育中信息技術(shù)課程的普及，使高校新生的計(jì)算機(jī)基本知識(shí)起點(diǎn)有所提高。 因此，研究網(wǎng)絡(luò)的基礎(chǔ)理論、解決網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)、培養(yǎng)適應(yīng)網(wǎng)絡(luò)時(shí)代需要的高質(zhì)量人才，是計(jì)算機(jī)科學(xué)與技術(shù)科學(xué)在新形式下的首要任務(wù)。建設(shè)先進(jìn)的網(wǎng)絡(luò)實(shí)驗(yàn)體系和實(shí)驗(yàn)教材，對(duì)于培養(yǎng)網(wǎng)絡(luò)時(shí)代高質(zhì)量人才具有著極其重要的意義 。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 2 2 校園網(wǎng)絡(luò) 校園網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全是一門涉及 計(jì)算機(jī) 科學(xué)、網(wǎng)絡(luò)技術(shù)、 通信 技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用 數(shù)學(xué) 、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在于其安全性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管 理人員的一個(gè)重要課題。 隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長(zhǎng)，網(wǎng)絡(luò)變得越來(lái)越復(fù)雜，承擔(dān)的任務(wù)越來(lái)越關(guān)鍵，給運(yùn)營(yíng)和管理網(wǎng)絡(luò)的人們帶來(lái)了新的挑。很明顯需要包括語(yǔ)音、視頻和數(shù)據(jù)（全能）服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，但是這些快速發(fā)展的技術(shù)引發(fā)了新的安全問(wèn)題。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和維護(hù)當(dāng)今高速增長(zhǎng)的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色 。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 校園網(wǎng)絡(luò)基本概念 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行， 網(wǎng)絡(luò)服務(wù) 不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域 。 校園網(wǎng)絡(luò)安全的特征 網(wǎng)絡(luò)安全應(yīng)具有以下五 個(gè)方面的特征： 保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。 可用性：可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊 。 可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。 可審查性：出現(xiàn)的安全問(wèn)題時(shí)提供依據(jù)與手段 。 從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫等操作受到保護(hù)和控 制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來(lái)說(shuō)，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過(guò)濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制 。 校園網(wǎng)絡(luò)安全策略 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠 地運(yùn)行，主要涉及以下四個(gè)方面： 一、 網(wǎng)絡(luò)物理安全策略 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機(jī)、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗(yàn)證用哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 3 戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)有一個(gè)良好的工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動(dòng)。 二、 網(wǎng)絡(luò)訪問(wèn)控制策略 訪問(wèn)控制策略是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、 保護(hù)網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，所以網(wǎng)絡(luò)訪問(wèn)控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 三、 網(wǎng)絡(luò)信息加密策略 信息加密策略主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。 四、 網(wǎng)絡(luò)安全管理策略 在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對(duì)于確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，將會(huì)起到十分有效的作用。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級(jí)和 安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 4 3 校園局域網(wǎng)安全 基于 H3C 系列交換機(jī) VLAN 的應(yīng)用 VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。這種技術(shù)可以把一個(gè) LAN 劃分成多個(gè)邏輯的 LAN 即 VLAN，每個(gè) VLAN 是一個(gè)廣播域， VLAN 內(nèi)的主機(jī)間通信就和在一個(gè) LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè) VLAN 內(nèi)，從而最大程度的減少了廣播風(fēng)暴的影響。 VLAN可以增強(qiáng)局域網(wǎng)的安全性，含 有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同 VLAN 內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè) VLAN 內(nèi)的用戶不能和其它 VLAN內(nèi)的用戶直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備，如圖 所示。 圖 vlan 部署圖 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法 ： 基于端口的 VLAN 劃分 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端 口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 基于 MAC 地址的 VLAN 劃分 MAC 地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。 MAC地址由 12位 16進(jìn)制數(shù)表示，前 6 位為網(wǎng)卡的廠商標(biāo)識(shí)（ OUI），后 6位為網(wǎng)卡標(biāo)識(shí)（ NIC）。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。 基于路由的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè) VLAN 跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè) VLAN 中。就目前來(lái)說(shuō)，對(duì)于 VLAN 的劃分主要采取上述第 3 種方式，第 2 種方式為輔助性的方案。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 5 H3C 低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類型有三種： (1)Access 類型：端口只能屬于 1 個(gè) VLAN，一般用于連接計(jì)算機(jī)； (2)Trunk 類型：端口可以屬于多個(gè) VLAN，可以接收和發(fā)送多個(gè) VLAN 的報(bào)文，一般用于交換機(jī)之間的連接； (3)Hybrid 類型：端口可以屬于多個(gè) VLAN，可以接收和發(fā)送多個(gè) VLAN 的報(bào)文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計(jì)算機(jī)。 交換機(jī)與工作站之間的連接接口配置為 Access，交換 機(jī)和交換機(jī)之間的連接一般采用 Trunk 端口，協(xié)議采用 （ ISL 為 cisco 專用協(xié)議 ） 利用 GVRP 協(xié)議來(lái)管理 VLAN 通過(guò)使用 GVRP，可以使同一局域網(wǎng)內(nèi)的交換機(jī)接收來(lái)自其它交換機(jī)的 VLAN 注冊(cè)信息，并動(dòng)態(tài)更新本地的 VLAN 注冊(cè)信息，包括：當(dāng)前的 VLAN、配置版本號(hào)、這些 VLAN 可以通過(guò)哪個(gè)端口到達(dá)等。而且設(shè)備能夠?qū)⒈镜氐?VLAN 注冊(cè)信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的 VLAN 信息達(dá)成一致，減少由人工配置帶來(lái)的錯(cuò)誤的可能性。對(duì) GVRP 不熟悉的朋友，可以參考 CISCO 的 VTP 協(xié)議，兩者大同小異。 H3C 交換機(jī)設(shè)備之間的端口匯聚 端口匯聚是將多個(gè)以太網(wǎng)端口匯聚在一起形成一個(gè)邏輯上的匯聚組，使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。 將多個(gè)物理鏈路捆綁在一起后，不但提升了整個(gè)網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)