【正文】 ......................................................................................................... 13 BGP 路由協(xié)議 ................................................................................................................ 15 6 校園網(wǎng)絡(luò)安全的威脅 ............................................................................................................... 17 校園網(wǎng)絡(luò)攻擊概述與趨勢 ........................................................................................... 17 ARP 攻擊 ....................................................................................................................... 18 DDOS 攻擊 ...................................................................................................................... 18 口令攻擊 ....................................................................................................................... 18 蠕蟲病毒 ....................................................................................................................... 19 VLAN 攻擊 ...................................................................................................................... 19 7 校園網(wǎng)安全措施 ....................................................................................................................... 21 校園網(wǎng)安全介紹 ........................................................................................................... 21 校園網(wǎng)安全管理 ........................................................................................................... 21 校園網(wǎng)安全措施 ........................................................................................................... 21 建立安全管理制度 ....................................................................................................... 23 8 結(jié)論 ........................................................................................................................................... 24 參考文獻(xiàn) ....................................................................................................................................... 25 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 1 1 緒論 隨著時代的發(fā)展，在二十一世紀(jì)信息以經(jīng)成為了重要的開發(fā)性資源。與材料、能源共同構(gòu)成了社會物質(zhì)生活的“三大資源”。信息產(chǎn)業(yè)的發(fā)展水平已成為衡量一個國家現(xiàn)代化水平與綜合國力的重要標(biāo)志。 隨著計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，計算機(jī)網(wǎng)絡(luò)對人類生活、工作、學(xué)習(xí)和科學(xué)研究產(chǎn)生著越來越重要的影響。計算機(jī)網(wǎng)絡(luò)技術(shù)作為計算機(jī)學(xué)科最重要的研究領(lǐng)域和最重要的社會信息基礎(chǔ)設(shè)施重要技術(shù)之一，在飛速發(fā)展的同時也存在大量急需解決的挑戰(zhàn)性問題。一方面高等教育，以計算機(jī)為核心的信息技術(shù)已成為很多專業(yè)課教學(xué)內(nèi)容的有 機(jī)組成部分，計算機(jī)應(yīng)用能力成為衡量大學(xué)生業(yè)務(wù)素質(zhì)與能力的標(biāo)識之一；另一方面初等教育中信息技術(shù)課程的普及，使高校新生的計算機(jī)基本知識起點有所提高。 因此，研究網(wǎng)絡(luò)的基礎(chǔ)理論、解決網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)、培養(yǎng)適應(yīng)網(wǎng)絡(luò)時代需要的高質(zhì)量人才，是計算機(jī)科學(xué)與技術(shù)科學(xué)在新形式下的首要任務(wù)。建設(shè)先進(jìn)的網(wǎng)絡(luò)實驗體系和實驗教材，對于培養(yǎng)網(wǎng)絡(luò)時代高質(zhì)量人才具有著極其重要的意義 。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 2 2 校園網(wǎng)絡(luò) 校園網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全是一門涉及 計算機(jī) 科學(xué)、網(wǎng)絡(luò)技術(shù)、 通信 技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用 數(shù)學(xué) 、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在于其安全性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管 理人員的一個重要課題。 隨著網(wǎng)絡(luò)規(guī)模以指數(shù)形式增長，網(wǎng)絡(luò)變得越來越復(fù)雜，承擔(dān)的任務(wù)越來越關(guān)鍵，給運營和管理網(wǎng)絡(luò)的人們帶來了新的挑。很明顯需要包括語音、視頻和數(shù)據(jù)（全能）服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，但是這些快速發(fā)展的技術(shù)引發(fā)了新的安全問題。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和維護(hù)當(dāng)今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色 。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。 校園網(wǎng)絡(luò)基本概念 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行， 網(wǎng)絡(luò)服務(wù) 不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域 。 校園網(wǎng)絡(luò)安全的特征 網(wǎng)絡(luò)安全應(yīng)具有以下五 個方面的特征： 保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 可用性：可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊 。 可控性：對信息的傳播及內(nèi)容具有控制能力。 可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段 。 從網(wǎng)絡(luò)運行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控 制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙，必須對其進(jìn)行控制 。 校園網(wǎng)絡(luò)安全策略 計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠 地運行，主要涉及以下四個方面： 一、 網(wǎng)絡(luò)物理安全策略 計算機(jī)網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機(jī)、打印機(jī)等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗證用哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計 3 戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機(jī)網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動。 二、 網(wǎng)絡(luò)訪問控制策略 訪問控制策略是計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、 保護(hù)網(wǎng)絡(luò)資源的重要手段。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 三、 網(wǎng)絡(luò)信息加密策略 信息加密策略主要是保護(hù)計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。 四、 網(wǎng)絡(luò)安全管理策略 在計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對于確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行，將會起到十分有效的作用。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理策略包括：確定網(wǎng)絡(luò)安全管理等級和 安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)制度和應(yīng)急措施等等。哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 4 3 校園局域網(wǎng)安全 基于 H3C 系列交換機(jī) VLAN 的應(yīng)用 VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個 LAN 劃分成多個邏輯的 LAN 即 VLAN，每個 VLAN 是一個廣播域， VLAN 內(nèi)的主機(jī)間通信就和在一個 LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一個 VLAN 內(nèi)，從而最大程度的減少了廣播風(fēng)暴的影響。 VLAN可以增強(qiáng)局域網(wǎng)的安全性，含 有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同 VLAN 內(nèi)的報文在傳輸時是相互隔離的，即一個 VLAN 內(nèi)的用戶不能和其它 VLAN內(nèi)的用戶直接通信，如果不同 VLAN 要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備，如圖 所示。 圖 vlan 部署圖 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法 ： 基于端口的 VLAN 劃分 這種劃分是把一個或多個交換機(jī)上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端 口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 基于 MAC 地址的 VLAN 劃分 MAC 地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。 MAC地址由 12位 16進(jìn)制數(shù)表示，前 6 位為網(wǎng)卡的廠商標(biāo)識（ OUI），后 6位為網(wǎng)卡標(biāo)識（ NIC）。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點劃分為一個邏輯子網(wǎng)。 基于路由的 VLAN 劃分 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個 VLAN 跨越多個交換機(jī)，或一個端口位于多個 VLAN 中。就目前來說，對于 VLAN 的劃分主要采取上述第 3 種方式，第 2 種方式為輔助性的方案。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 5 H3C 低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類型有三種： (1)Access 類型：端口只能屬于 1 個 VLAN，一般用于連接計算機(jī)； (2)Trunk 類型：端口可以屬于多個 VLAN，可以接收和發(fā)送多個 VLAN 的報文，一般用于交換機(jī)之間的連接； (3)Hybrid 類型：端口可以屬于多個 VLAN，可以接收和發(fā)送多個 VLAN 的報文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計算機(jī)。 交換機(jī)與工作站之間的連接接口配置為 Access，交換 機(jī)和交換機(jī)之間的連接一般采用 Trunk 端口，協(xié)議采用 （ ISL 為 cisco 專用協(xié)議 ） 利用 GVRP 協(xié)議來管理 VLAN 通過使用 GVRP，可以使同一局域網(wǎng)內(nèi)的交換機(jī)接收來自其它交換機(jī)的 VLAN 注冊信息，并動態(tài)更新本地的 VLAN 注冊信息，包括：當(dāng)前的 VLAN、配置版本號、這些 VLAN 可以通過哪個端口到達(dá)等。而且設(shè)備能夠?qū)⒈镜氐?VLAN 注冊信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的 VLAN 信息達(dá)成一致，減少由人工配置帶來的錯誤的可能性。對 GVRP 不熟悉的朋友，可以參考 CISCO 的 VTP 協(xié)議，兩者大同小異。 H3C 交換機(jī)設(shè)備之間的端口匯聚 端口匯聚是將多個以太網(wǎng)端口匯聚在一起形成一個邏輯上的匯聚組，使用匯聚服務(wù)的上層實體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。 將多個物理鏈路捆綁在一起后，不但提升了整個網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)