【正文】 校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢(xún)檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問(wèn)題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問(wèn)題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問(wèn) 題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。 一般來(lái)說(shuō)，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 21 7 校園網(wǎng)安全措施 校園網(wǎng)安全介紹 校園網(wǎng)的安全威脅既有來(lái)自校內(nèi)的，也有來(lái)自校外的，只有將技術(shù) 和管理都重視起來(lái)，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。它是利用 TCP客戶機(jī)與服務(wù)器之間三次握手過(guò)程的缺陷來(lái)進(jìn)行的。刪除外部標(biāo)記之后，內(nèi)部標(biāo)記將成為分組的惟一 VLAN 標(biāo)識(shí)符。雖然網(wǎng)絡(luò)安全在某種程度上得到了一定的保障，但安全往往與危險(xiǎn)并存，目前常見(jiàn)的 VLAN 的攻擊有以下幾種 ： 攻擊者惡意發(fā)送 DTP幀：用于接收偽造 DTP 分組，那么，它將成為干道端口，并有可能接收通往任何 VLAN 的流量。 ? 經(jīng)常升級(jí)病毒庫(kù) ： 殺毒軟件對(duì) 病毒的查殺是以病毒的特征碼為依據(jù)的，而病毒每天都層出不窮，尤其是在網(wǎng)絡(luò)時(shí)代，蠕蟲(chóng)病毒的傳播速度快、變種多，所以必須隨時(shí)更新病毒庫(kù)，以便能夠查殺最新的病毒。蠕蟲(chóng)病毒是自包含的程序或是一套程序，它能傳播自身功能的拷貝或自身的某些部分到其它的計(jì)算機(jī)系統(tǒng)中。防范口令攻擊的方法雖然簡(jiǎn)單 ,但很多用戶卻不能做到 ,一些用戶的口令與用戶名相同 ,或使用電話號(hào)碼、生日 ,甚至口令為空。并一直循環(huán)下去 ,直到找到正確的口令哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 19 或字典的單詞試完為止。 口令攻擊 黑客攻擊目標(biāo)時(shí) ,常常把破譯普通用戶的口令作為攻擊的開(kāi)始 . 先用 Finger 遠(yuǎn)端主機(jī)名找出主機(jī)上的用戶帳號(hào) ,然后采用字典窮舉法進(jìn)行攻擊。 （ 5）當(dāng)用戶發(fā)現(xiàn)自己正在遭受 DDoS攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)自己的應(yīng)付策略，盡可能快地追蹤攻擊包，并且及時(shí)聯(lián)系 ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。建立邊界安全界限，確保輸出的包受到正確限制。對(duì)一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。由于它通過(guò)利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，來(lái)勢(shì)迅猛，而且往往令人難以防備，具有極大的破壞性。它不需要在接入交換機(jī)上進(jìn)行特殊的防攻擊配置，只需要客戶端通過(guò)認(rèn)證協(xié)議（ ）登錄網(wǎng)絡(luò)，認(rèn)證服務(wù)器（如 CAMS 服務(wù)器）會(huì)識(shí)別客戶端，并下發(fā)網(wǎng)關(guān)的 IP/MAC 對(duì)應(yīng)關(guān)系給客戶端，來(lái) 防御“仿冒網(wǎng)關(guān)”攻擊。 H3C 公司根據(jù) ARP 攻擊的特點(diǎn)，哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 18 提出了“全面防御，模塊定制”的 ARP 攻擊防御理念，并給出了兩種解決方案。 接下來(lái)我們認(rèn)識(shí)下目前網(wǎng)絡(luò)上常見(jiàn)的幾種攻擊方式 ： ARP 攻擊 ARP攻擊就是通過(guò)偽造 IP地址和 MAC地址實(shí)現(xiàn) ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的 ARP響應(yīng)包就能更改目標(biāo)主機(jī) ARP緩存中的 IPMAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。 趨勢(shì)六：對(duì)基礎(chǔ)設(shè)施將形成越來(lái)越大的威脅。 Inter上的安全是相互依賴(lài)的。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多 Inter系統(tǒng)上的大量已部署的攻擊工具。在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì)，使借助 Inter運(yùn)行業(yè)務(wù)的機(jī)構(gòu)面臨著前所未有的風(fēng)險(xiǎn)，本章內(nèi)容主要分析目前網(wǎng)絡(luò)攻擊的趨勢(shì)，針對(duì)目前主流的網(wǎng)絡(luò)攻擊 和網(wǎng)絡(luò)漏洞進(jìn)行分析，分析其技術(shù)特點(diǎn)和攻擊針對(duì)的類(lèi)型，使讀者能夠認(rèn)識(shí)、評(píng)估，并減小這些風(fēng)險(xiǎn)，然后輔以相應(yīng)的技術(shù)手段進(jìn)行防范。啟用了環(huán)回接口以后，不但可以負(fù)載均衡而且發(fā)揮了鏈路冗余的優(yōu)點(diǎn)。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 16 圖 BGP 命令 maximupaths 示例 如下圖 所示： AS100 中的路由器有兩條前往 AS200 中的路徑，默認(rèn)情況下只有一條路徑，如果在 R1加上一條命令 maximun paths 將發(fā)揮作用，該命令雖然不會(huì)影響 BGP選擇的最佳路徑數(shù)目，但是可以影響存儲(chǔ)在 IP 路由表中的路由數(shù)。 除了采用對(duì)等體認(rèn)證外，還可以通過(guò)增加報(bào)文序列號(hào)增加安全性。 BGP4 支持 CIDR 尋址方案，該方案增加了 Inter 上的可用 IP 地址數(shù)量。 路由器 ID 在 OSPF中非常重要，而且是唯一的。 四、 DR\BDR 的選舉和路由器 ID 的標(biāo)識(shí) 在諸如以太網(wǎng)等多路訪問(wèn)廣播網(wǎng)絡(luò)中， OSPF通常要選舉 DR和 BDR，這個(gè)選舉過(guò)程類(lèi)似于生成樹(shù) STP協(xié)議中選舉跟網(wǎng)橋的過(guò)程。 三、 可靠的擴(kuò)散機(jī)制 LSA 是通過(guò)可靠的泛洪進(jìn)行通告的 , 確保了鏈路狀態(tài)數(shù)據(jù)庫(kù)在本區(qū)域的一致性 , 從而保證了計(jì)算出路由的一致性。因此一個(gè)區(qū)域受到攻擊 , 一般并不會(huì)導(dǎo)致其他區(qū)域也遭受攻擊。但人們發(fā)現(xiàn)層次化路由不僅減小了路由表的大小 ,減少了網(wǎng)絡(luò)流量 , 保證了網(wǎng)絡(luò)的快速收斂 , 而且改善了安全性。下表 1列出了協(xié)議包中所設(shè)認(rèn)證類(lèi)型，空認(rèn)證（協(xié)議包頭不包含任何認(rèn)證信息）是路由配置中缺省的配置。具有適應(yīng)范圍廣泛，收斂速度快，無(wú)自環(huán)、以組播方式發(fā)送報(bào)文等特點(diǎn)。由于該路由的優(yōu)先級(jí)最高，路由器 選擇主口路由來(lái)發(fā)送數(shù)據(jù)，上述過(guò)程是備份口到主口的自動(dòng)切換。 二、 利用靜態(tài)路由實(shí)現(xiàn)路由備份 H3C 系列路由器支持路由備份，當(dāng)各個(gè)備份線路發(fā)生變化時(shí)自動(dòng)實(shí)現(xiàn)路由之間的切換，提高用戶網(wǎng)絡(luò)的可靠性。 一、 利用靜態(tài)路由實(shí)現(xiàn)負(fù)載分擔(dān) H3C系列路由器支持多路由模式，即允許配置到同一目標(biāo) IP地址 /目標(biāo) IP地址掩碼，并且優(yōu)先級(jí)也相同的路由。 靜態(tài)路由協(xié)議 靜態(tài)路由是一種特殊的路由，它由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成。為了網(wǎng)絡(luò)安全的操作，在構(gòu)建網(wǎng)絡(luò)的路由基礎(chǔ)結(jié)構(gòu)時(shí)將安全牢記在心是根本。 （ 3）安全 :SSL VPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)摹? SSL VPN相對(duì) IPsec VPN主要有以下優(yōu)點(diǎn)： （ 1）方便：實(shí)施 SSL VPN之需要安裝配置好中心網(wǎng)關(guān)即可。與復(fù)雜的 IPSec VPN相比， SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。 L2TP 與 IPsec 的一個(gè)最大的不同在于它不對(duì)隧道傳輸中的數(shù)據(jù)進(jìn)行加密，從而沒(méi)法保證數(shù)據(jù)傳輸過(guò)程中的安全。 L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類(lèi)型的消息：控制消息和數(shù)據(jù)隧道消息。 GRE的源動(dòng)力就是任何東西都可以被封裝在其中， GRE的主要應(yīng)用就是在 IP網(wǎng)絡(luò)中承載非 IP包，這個(gè)恰恰是 IPsec所不能的。在建立 IPsec隧道的時(shí)候還需要用到一個(gè)重要的協(xié)議即 IKE協(xié)議，通過(guò)建立 IKE的兩個(gè)階段，完成數(shù)據(jù)的傳送 。 IPsec實(shí)質(zhì)上也是一種隧道傳輸技術(shù)，它將 IP分組或 IP上層載荷封裝在 IPsec報(bào)文內(nèi)，并根據(jù)需要進(jìn)行加密和完整性保護(hù)處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過(guò)程的安全。VPN 作為私有專(zhuān)網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立性，即在一般情況下，VPN 資源不會(huì)被網(wǎng)絡(luò)中的其它 VPN 或非該 VPN 用戶使用；另一方面， VPN 提供足夠安全性，能夠確保 VPN 內(nèi)部信息的完整性、保密性、不可抵賴(lài)性。需要先建立一個(gè)普通的 ACL列表，然后建立一個(gè)關(guān)于 VLAN的訪問(wèn)映射表將建立的 ACL列表包含進(jìn)去，最后把訪問(wèn)映射表映射到所需要的 VLAN。如圖 ： PC2可以針對(duì) PC3的 MAC地址進(jìn)行限制。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語(yǔ)句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如圖 服務(wù)器所在的 VLAN1可以允許客戶的 80端口訪問(wèn)。標(biāo)準(zhǔn)的 ACL使用 1 99 以及 13001999之間的數(shù)字作為表號(hào)，擴(kuò)展的 ACL使用 100 199以及哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 9 20xx2699之間的數(shù)字作為表號(hào)。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自 inter的攻擊。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。 動(dòng)態(tài)轉(zhuǎn)換 是指將內(nèi)部網(wǎng)絡(luò)的私有 IP地 址轉(zhuǎn)換為公用 IP地址時(shí)， IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問(wèn)上 Inter的私有 IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法 IP地址。 NAT不僅完美地解決了 lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 8 4 邊界網(wǎng)絡(luò)安全技術(shù) 邊界網(wǎng)絡(luò)安全技術(shù)概述 網(wǎng)絡(luò)邊界就是網(wǎng)絡(luò)的大門(mén)，大門(mén)的安全防護(hù)是網(wǎng)絡(luò)安全的基礎(chǔ)需求。 VRRP（ Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器失效時(shí)，可以及時(shí)由另一臺(tái)路由器代替，從而保持通信的連續(xù)性和可靠性。 STP不能遷移， RSTP可以快速收斂，但和 STP一樣不能按 VLAN阻塞冗余鏈路，所有 VLAN的報(bào)文都按一顆生成樹(shù)進(jìn)行轉(zhuǎn)發(fā)。哪臺(tái)交換機(jī)最適合用做根網(wǎng)橋取決于網(wǎng)絡(luò)設(shè)計(jì)，一般而言，應(yīng)選擇位于網(wǎng)絡(luò)中央的功能強(qiáng)大的交換機(jī)。 構(gòu)建安全的 STP生成樹(shù)體系 STP協(xié)議最主要的應(yīng)用是為了避免 局域網(wǎng)中的網(wǎng)絡(luò)環(huán)回，解決以太網(wǎng)網(wǎng)絡(luò)的“廣播風(fēng)暴”問(wèn)題，從某種意義上說(shuō)是一種網(wǎng)絡(luò)保護(hù)技術(shù)，可以消除由于失誤或者意外帶來(lái)的循環(huán)連接，各大交換機(jī)設(shè)備廠商默認(rèn)開(kāi)啟 STP協(xié)議。 ? 一個(gè)匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如 LACP。 H3C 交換機(jī)設(shè)備之間的端口匯聚 端口匯聚是將多個(gè)以太網(wǎng)端口匯聚在一起形成一個(gè)邏輯上的匯聚組，使用匯聚服務(wù)的上層實(shí)體把同一匯聚組內(nèi)的多條物理鏈路視為一條邏輯鏈路。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 5 H3C 低端系列以太網(wǎng)交換機(jī)支持的以太網(wǎng)端口鏈路類(lèi)型有三種： (1)Access 類(lèi)型：端口只能屬于 1 個(gè) VLAN，一般用于連接計(jì)算機(jī)； (2)Trunk 類(lèi)型：端口可以屬于多個(gè) VLAN，可以接收和發(fā)送多個(gè) VLAN 的報(bào)文，一般用于交換機(jī)之間的連接； (3)Hybrid 類(lèi)型：端口可以屬于多個(gè) VLAN，可以接收和發(fā)送多個(gè) VLAN 的報(bào)文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計(jì)算機(jī)。網(wǎng)絡(luò)管理員可按 MAC 地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。 圖 vlan 部署圖 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法 ： 基于端口的 VLAN 劃分 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)論文 4 3 校園局域網(wǎng)安全 基于 H3C 系列交換機(jī) VLAN 的應(yīng)用 VLAN技術(shù)的出現(xiàn)，主要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，所以網(wǎng)絡(luò)訪問(wèn)控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類(lèi)的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制 。 可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和丟失的特性。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。很明顯需要包括語(yǔ)音、視頻和數(shù)據(jù)（全能）服務(wù)的綜合網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，但是這些快速發(fā)展的技術(shù)引發(fā)了新的安全問(wèn)題。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 2 2 校園網(wǎng)絡(luò) 校園網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全是一門(mén)涉及 計(jì)算機(jī) 科學(xué)、網(wǎng)絡(luò)技術(shù)、 通信 技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用 數(shù)學(xué) 、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)作為計(jì)算機(jī)學(xué)科最重要的研究領(lǐng)域和最重要的社會(huì)信息基礎(chǔ)設(shè)施重要技術(shù)之一，在飛速發(fā)展的同時(shí)也存在大量急需解決的挑戰(zhàn)性問(wèn)題。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 目錄 1 緒論 ............................................................... 1 2 校園網(wǎng)絡(luò) ............................................................ 2 校園網(wǎng)絡(luò)安全概述 .............................