【文章內(nèi)容簡(jiǎn)介】 因素，有必要為校園網(wǎng)設(shè)計(jì)一個(gè)嚴(yán)密的防火墻。 校園網(wǎng)防火墻 部署思路 防火墻是網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻（作為陰塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)對(duì)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。在防火墻設(shè)置上我們按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性： ? 根 據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn) /。總體上遵從“不被允許的服務(wù)就被禁止”的原則。 ? 將防火墻配置成過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的 IP 包，這樣可以防范源地址假冒和源路由類(lèi)型的攻擊，過(guò)濾掉以非法 IP 地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的 IP 包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。 ? 在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的 IP 地址和 MAC 地址對(duì)應(yīng)表，防止 IP 地址被盜用。 ? 在局域網(wǎng)的入口架設(shè)行兆防火墻，并實(shí)現(xiàn) VNP 的功能，在校園網(wǎng)絡(luò)入口建立第一層的安全屏障， VPN 保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心。 ? 定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 ? 允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。 3 校園網(wǎng)面對(duì)的安全威脅 物理安全 保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個(gè)網(wǎng)絡(luò)安全的前提。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全是在物理介質(zhì)層次上數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)訪問(wèn)安全。計(jì)算機(jī)網(wǎng)絡(luò)的物理安全包括構(gòu)成網(wǎng)絡(luò)的相關(guān)基礎(chǔ)設(shè)施的安全，網(wǎng)絡(luò)的運(yùn)行環(huán)境比如溫度、濕度、電源等，自然環(huán)境的影響以及人的因素等對(duì)計(jì)算機(jī) 網(wǎng)絡(luò)的物理安全和運(yùn)行的影響。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。其目的是保護(hù)計(jì)算機(jī)系統(tǒng)、 web 服務(wù)器、打印機(jī)等硬件實(shí)體和網(wǎng)絡(luò)通信設(shè)備免受自然災(zāi)害、人為破壞和搭線攻擊等。 自然威脅 自然威脅主要是指由于自然原因造成的對(duì)網(wǎng)絡(luò)設(shè)備硬件的損壞和網(wǎng)絡(luò)運(yùn)行的影湖南科技職業(yè)學(xué)院 電子信息工程與技術(shù)系 畢業(yè)設(shè)計(jì) 12 響。主要包括以下幾方面： ①自然災(zāi)害 自然災(zāi)害對(duì)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備或其它相關(guān)設(shè)施造成的損壞，或?qū)W(wǎng)絡(luò)運(yùn)行造成的影響。如：雷擊、火災(zāi)、水災(zāi)、地震等不可抗力造成的網(wǎng) 絡(luò)設(shè)備或網(wǎng)絡(luò)通信線路的損壞，大霧對(duì)無(wú)線傳輸?shù)挠绊憽? ②正常使用情況下的設(shè)備損壞 在網(wǎng)絡(luò)設(shè)中，所有的網(wǎng)絡(luò)設(shè)備都是電子設(shè)備，任何電子元件也都會(huì)老化，因此由電子元件構(gòu)成的網(wǎng)絡(luò)設(shè)備都一個(gè)有限的正常使用年限，即使嚴(yán)格按照設(shè)備的使用環(huán)境要求使用，在設(shè)備達(dá)到使用壽命后均可能出現(xiàn)硬件故障或不穩(wěn)定現(xiàn)象，從而威脅計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。 ③設(shè)備運(yùn)行環(huán)境 網(wǎng)絡(luò)的運(yùn)行是不間斷的。保證網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，運(yùn)行環(huán)境是一個(gè)很重要的因素。任何計(jì)算機(jī)網(wǎng)絡(luò)都需要一個(gè)可靠的運(yùn)行環(huán)境來(lái)保證其可靠地運(yùn)行，其中主要包括周邊環(huán)境和電源系統(tǒng)兩大要素。 ? 周邊 環(huán)境 我們所使用的網(wǎng)絡(luò)交換設(shè)備一般都有自己的散熱系統(tǒng)，所以環(huán)境因素往往被一些管理員所忽略。隨著使用周期的增長(zhǎng)，一些設(shè)備的散熱系統(tǒng)損壞，或在潮濕的天氣環(huán)境下積塵較多而引起設(shè)備運(yùn)行不穩(wěn)定，都是不安全因素。因此網(wǎng)絡(luò)設(shè)備的安放都需要比較良好的環(huán)境，所以校園網(wǎng)的網(wǎng)絡(luò)中心機(jī)房一般都配備調(diào)濕調(diào)溫并經(jīng)常保潔的環(huán)境，以保證設(shè)備的運(yùn)行。在分節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備，可以采取定期維 護(hù)保養(yǎng)的措施或分別設(shè)置空調(diào)設(shè)備。 ? 電源系統(tǒng) 電源系統(tǒng)的穩(wěn)定可靠直接影響到網(wǎng)絡(luò)的安全運(yùn)行。如果要保證網(wǎng)絡(luò)的不間斷，就必須保證電源系統(tǒng)的穩(wěn)定和不間斷。校園網(wǎng)的電源 系統(tǒng)可分為兩部分，一部分主要用于網(wǎng)絡(luò)設(shè)備和主機(jī)，由于這些網(wǎng)絡(luò)設(shè)備和主機(jī)對(duì)電源系統(tǒng)要求較高，且不能間斷，所以這部分的供電系統(tǒng)就采用 UPS（不間斷電源系統(tǒng)），而且最好是采用在線式的，這樣可以充分隔離電力系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備的干擾，保證網(wǎng)絡(luò)的運(yùn)行。另一部分主要用于空調(diào)設(shè)備，其特點(diǎn)是電源容量要求大，可短時(shí)間間斷，但由于我們部分學(xué)校所使用的空調(diào)系統(tǒng)在恢復(fù)供電后都不能自動(dòng)啟動(dòng)，所以必須讓管理人員掌握電源的通斷信息。以上海師大校園網(wǎng)為例，網(wǎng)絡(luò)中心通過(guò)對(duì) UPS 電源監(jiān)控系統(tǒng)的整合，使電源通斷信息的變化會(huì)及時(shí)地反映到網(wǎng)管人員的手機(jī)上 ，這樣中心工作人員就能及時(shí)了解突發(fā)情況。 人為威脅 人為威脅是指由于人為因素造成的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的物理安全威脅，包括故意人為和無(wú)意人為威脅。 人為故意威脅是指人為主觀威脅網(wǎng)絡(luò)的物理安全。最常見(jiàn)的是人為通過(guò)物理接近的方式威脅網(wǎng)絡(luò)安全，物理接近是其它攻擊行為的基礎(chǔ)。如通過(guò)搭線連接獲取網(wǎng)絡(luò)上的數(shù)據(jù)信息；或者潛入重要的安全部門(mén)竊取口令、密鑰等重要的網(wǎng)絡(luò)安全信息；或者直接破壞網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施（盜割網(wǎng)絡(luò)通信線纜、盜取或破壞網(wǎng)絡(luò)設(shè)備等）。這些人為的故意破壞行為嚴(yán)重威脅網(wǎng)絡(luò)的安全運(yùn)行。 人為無(wú)意威脅是人為因素造 成但不是故意的物理安全威脅。即使是合法的、技術(shù)過(guò)硬的操作人員，由于從時(shí)間疲勞工作或者其它身體因素的影響，或者自身安全意識(shí)不強(qiáng)都可能產(chǎn)生失誤和意外疏忽。這些意外和疏忽也可能影響網(wǎng)絡(luò)的安全運(yùn)行，有時(shí)還會(huì)造成重大的損失，如刪除了重要的網(wǎng)絡(luò)配置文件、格式化了存儲(chǔ)有重要數(shù)據(jù)或信湖南科技職業(yè)學(xué)院 電子信息工程與技術(shù)系 畢業(yè)設(shè)計(jì) 13 息的分區(qū)或整個(gè)硬盤(pán)、沒(méi)有采取防靜電措施插拔硬件等等 內(nèi)網(wǎng)攻擊分析 ARP 攻擊 ARP 攻擊就是通過(guò)偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙 ，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的 ARP 響應(yīng)包 就能更改目標(biāo)主機(jī) ARP 緩存中的 IPMAC 條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。 ARP 攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染 ARP木馬，則感染該 ARP 木馬的系統(tǒng)將會(huì)試圖通過(guò) “ARP 欺騙 ”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其它計(jì)算機(jī)的通信故障。 某機(jī)器 A 要向主機(jī) B 發(fā)送報(bào)文，會(huì)查詢本地的 ARP 緩存表，找到 B 的 IP 地址對(duì)應(yīng)的 MAC 地址后，就會(huì)進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播 A 一個(gè) ARP 請(qǐng)求報(bào)文（攜帶主機(jī) A 的 IP 地址 IA——物理地址 PA），請(qǐng)求 IP 地址為 IB 的主機(jī) B 回答物理地址 PB。網(wǎng)上所有主機(jī)包括 B 都收到 ARP 請(qǐng)求，但只有主機(jī) B 識(shí)別自己的 IP 地址，于是向 A 主機(jī)發(fā)回一個(gè) ARP 響應(yīng)報(bào)文。其中就包含有 B 的 MAC 地址， A 接收到 B 的應(yīng)答后，就會(huì)更新本地的 ARP 緩存。接著使用這個(gè) MAC 地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加 MAC 地址）。因此，本地高速緩存的這個(gè) ARP 表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。 在網(wǎng)絡(luò)中，當(dāng)信息進(jìn)行傳播的時(shí)候，可以利用工具，將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)的模式，便可將網(wǎng)絡(luò)中正在傳播的信息截獲或者捕獲到，從而進(jìn)行攻擊。 網(wǎng)絡(luò)監(jiān)聽(tīng)在網(wǎng)絡(luò)中的任何一個(gè)位置模式下都可 實(shí)施行。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽(tīng)來(lái)截取用戶口令。比如當(dāng)有人占領(lǐng)了一臺(tái)主機(jī)之后，那么他要再想進(jìn)將戰(zhàn)果擴(kuò)大到這個(gè)主機(jī)所在的整個(gè)局域網(wǎng)話，監(jiān)聽(tīng)往往是他們選擇的捷徑。很多時(shí)候我在各類(lèi)安全論壇上看到一些初學(xué)的愛(ài)好者，在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡(jiǎn)單的。其實(shí)非也，進(jìn)入了某主機(jī)再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也都不是一件容易的事情。因?yàn)槟愠艘玫剿麄兊目诹钪膺€有就是他們共享的絕對(duì)路徑，當(dāng)然了，這個(gè)路徑的盡頭必須是有寫(xiě)的權(quán)限了。在這個(gè)時(shí)候，運(yùn)行已經(jīng)被控制的主機(jī)上的監(jiān)聽(tīng)程序就會(huì)有大收效。不 過(guò)卻是一件費(fèi)神的事情，而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。主要包括： ? 數(shù)據(jù)幀的截獲 ? 對(duì)數(shù)據(jù)幀的分析歸類(lèi) ? dos 攻擊的檢測(cè)和預(yù)防 ? IP 冒用的檢測(cè)和攻擊 ? 在網(wǎng)絡(luò)檢測(cè)上的應(yīng)用 ? 對(duì)垃圾郵件的初步過(guò)濾 ．蠕蟲(chóng)病毒 蠕蟲(chóng)病毒攻擊原理 蠕蟲(chóng)也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫(xiě)到其他程序的體內(nèi)，而被感染的文件就被稱為 ”宿主 ”，例如， windows 下可執(zhí)行文件的格式為 pe 格式 (Portable Executable)，當(dāng)需要感染 pe 文件時(shí)，在宿主程序中，建立一個(gè)新節(jié)，將病毒代碼寫(xiě)到新節(jié)中，修改的程序入口點(diǎn)等，這樣，宿主程序執(zhí)行的時(shí)候，就可以先執(zhí)行病毒程序，病毒程序湖南科技職業(yè)學(xué)院 電子信息工程與技術(shù)系 畢業(yè)設(shè)計(jì) 14 運(yùn)行完之后，在把控制權(quán)交給宿主原來(lái)的程序指令?？梢?jiàn)，病毒主要是感染文件，當(dāng)然也還有像 DIRII 這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤(pán)的引導(dǎo)區(qū)，如果是軟盤(pán)被感染，這張軟盤(pán)用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤(pán)等方式。 蠕蟲(chóng)病毒入侵過(guò)程 蠕蟲(chóng)病毒攻擊主要分成三步： ① 掃描：由蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。 ② 攻擊：攻擊模塊按漏洞攻擊步驟自動(dòng)攻擊步驟 1 中找到的對(duì)象，取得該主機(jī)的權(quán)限（一般為管理員權(quán)限），獲得一個(gè) shell。 ③ 復(fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)。 外網(wǎng)攻 擊分析 DOS 攻擊 DoS 攻 擊 (Denial of Service，簡(jiǎn)稱 DOS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘 編程缺陷，提供虛假路由或 DNS信息，使被攻擊目標(biāo)不能正常工作。實(shí)施 DoS 攻擊的工具易得易用，而且效果明顯。一般的 DoS 攻擊是指一臺(tái)主機(jī)向目的主機(jī)發(fā)送攻擊分組 (1:1)，它的威力對(duì)于帶寬較寬的站點(diǎn)幾乎沒(méi)有影響 。而分布式拒絕服務(wù)攻擊 (Distributed Denial of Service，簡(jiǎn)稱DDoS)同時(shí)發(fā)動(dòng)分布于全球的幾千臺(tái)主機(jī)對(duì)目的主機(jī)攻擊 (m:n ),即使對(duì)于帶寬較寬的站點(diǎn)也會(huì)產(chǎn)生致命的效果。隨著電子商業(yè)在電子經(jīng)濟(jì)中扮演越來(lái)越重要的角色，隨著信息戰(zhàn)在軍事領(lǐng)域應(yīng)用的日益廣泛，持續(xù)的 DoS 攻擊既可能使某 些機(jī)構(gòu)破產(chǎn)，也可能使我們?cè)谛畔?zhàn)中不戰(zhàn)而敗。可以毫不夸張地說(shuō)，電子恐怖活動(dòng)的時(shí)代已經(jīng)來(lái)臨。 DoS 攻 擊 中，由于攻擊者不需要接收來(lái)自受害主機(jī)或網(wǎng)絡(luò)的回應(yīng)，它的 IP 包的源地址就常常是偽造的。特別是對(duì) DDoS 攻擊，最后實(shí)施攻擊的若干攻擊器本身就是受害者。若在防火墻中對(duì)這些攻擊器地址進(jìn)行 IP 包過(guò)濾，則事實(shí)上造成了新的 DDS攻擊。為有效地打擊攻擊者，必須設(shè)法追蹤到攻擊者的真實(shí)地址和身份。 SYN Attack(SYN 攻擊 ) 每一個(gè) TCP 連接的建立都要經(jīng)過(guò)三次握手的過(guò)程： A 向 B 發(fā)送 SYN 封包： B 用SYN/ACK 封包進(jìn)行響應(yīng)；然后 A 又用 ACK 封包進(jìn)行響應(yīng)。攻擊者用偽造的 IP 地址（不存在或不可到達(dá)的地址）發(fā)送大量的 SYN 封包至防火墻的某一接口，防火墻用SYN/ACK 封包對(duì)這些地址進(jìn)行響應(yīng)，然后等待響應(yīng)的 ACK 封包。因?yàn)?SYN/ACK封包被發(fā)送到不存在或不可到達(dá)的 IP 地址，所以他們不會(huì)得到響應(yīng)并最終超時(shí)。當(dāng)網(wǎng)絡(luò)中充滿了無(wú)法完成的連接請(qǐng)求 SYN 封包，以至于網(wǎng)絡(luò)無(wú)法再處理合法的連接請(qǐng)求，從而導(dǎo)致拒絕服務(wù)（ DOS）時(shí)，就發(fā)生了 SYN 泛濫攻擊。防火墻可以對(duì)每秒種允許通過(guò)防火墻的 SYN 封包數(shù)加以限制。當(dāng)達(dá)到該臨界值 時(shí)，防火墻開(kāi)始代理進(jìn)入的 SYN 封包，為主機(jī)發(fā)送 SYN/ACK 響應(yīng)并將未完成的連接存儲(chǔ)在連接隊(duì)列中，未完成的連接保留在隊(duì)列中，直到連接完成或請(qǐng)求超時(shí)。 ICMP Flood(UDP 泛濫 ) 當(dāng) ICMP PING 產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流時(shí)，就發(fā)生了 ICMP 泛濫。當(dāng)啟用 ICMP 泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，一旦超過(guò)了此值就會(huì)調(diào)用 ICMP 泛濫攻擊保護(hù)功能。（缺省的臨界值為每秒 1000 個(gè)封包。）如果超過(guò)了該臨界值。湖南科技職業(yè)學(xué)院 電子信息工程與技術(shù)系 畢業(yè)設(shè)計(jì)