【文章內(nèi)容簡介】 態(tài)，及時發(fā)現(xiàn)系統(tǒng)漏洞，阻斷黑客攻擊行為。 加強對網(wǎng)絡、公開服務器訪問行為的日志審核工作，及時發(fā)現(xiàn)可以訪問行為。 強化數(shù)據(jù)容災和備份，實現(xiàn)系統(tǒng)崩潰后數(shù)據(jù)快速回復。 強化網(wǎng)絡安全管理，提高網(wǎng)絡管理 人員的安全意識和防范技術(shù)。 成都學院學士學位論文（設計） 6 網(wǎng)絡 安全 防范體系 設計原則 根據(jù)防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照 SSECMM(系統(tǒng)安全工程能力成熟模型 )和 ISO17799(信息安全管理標準 )等國際標準，綜合 考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面 [5]。 網(wǎng)絡安全防范體系在整體設計過程中應遵循以下 幾 項原則： 網(wǎng)絡信息安全的木桶原則 網(wǎng)絡信息安全的木桶原則是指對信息均衡、全面的進行保護。 “ 木桶的最大容積取決于最短的一塊木板 ” 。網(wǎng) 絡信息系統(tǒng)是一個復雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡系統(tǒng)自身的復雜性、資源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的 “ 最易滲透原則 ” ，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的“ 安全最低點 ” 的安全性能。 網(wǎng)絡信息安全的整體性原則 要求在網(wǎng)絡發(fā)生 被攻擊、破壞事件的情況下，必須盡可能地快速恢復網(wǎng)絡信息中心的服務，減少損失。因此，信息安全系統(tǒng)應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。 安全性評價與平衡原則 對任何網(wǎng)絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性 與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。 標準化與一致性原則 系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設計必須遵循一系列的標準，這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。 成都學院學士學位論文（設計） 7 技術(shù)與管理相結(jié)合原則 安全體系是一個復雜的系統(tǒng)工程，涉及人、技術(shù) 、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓、安全規(guī)章制度建設相結(jié)合 。 統(tǒng)籌規(guī)劃，分步實施原則 由于政策規(guī)定、服務需求的不明朗，環(huán)境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡應用和復雜程度的變化，網(wǎng)絡脆弱性也會不斷增加，調(diào)整或增強安全防護力度，保證整個網(wǎng)絡最根本的安全需求。 等級性原則 等級性原則是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡安全程度分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應用層、網(wǎng)絡層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡中不同層次的各種實際需求。 動態(tài)發(fā)展原則 要根據(jù)網(wǎng)絡安全的變化不斷調(diào)整安全措施，適應新的網(wǎng)絡環(huán)境，滿足新的網(wǎng)絡安全需求。 易操作性原則 首先，安全措施需要人為去完成，如果措施過于復 雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。 常見網(wǎng)絡攻擊的防范 常見網(wǎng)絡病毒的防范 對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的 ACL，能夠?qū)@些病毒所使用的 TCP、 UDP 的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使 用 [6]。 未知網(wǎng)絡病毒的防范 對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同 成都學院學士學位論文（設計） 8 的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關(guān) 鍵應用比如 WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。 防止 IP 地址盜用和 ARP 攻擊 通過對每一個 ARP 報文進行深度的檢測，即檢測 ARP 報文中的源 IP 和源 MAC 是否和端口安全規(guī)則一致，如果不一致，視為更改了 IP 地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的 ARP 欺騙，防止非法信息點冒充網(wǎng)絡關(guān)鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。 防止假冒 IP、 MAC 發(fā)起的 MAC Flood\SYN Flood 攻擊 通過 部署 IP、 MAC、端口綁定和 IP+MAC 綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源 IP、 MAC 訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC 地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。 對 DOS 攻擊，掃描攻擊的屏蔽 通過在校園網(wǎng)中部署防止 DOS 攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。 網(wǎng)絡安全建設的步驟 網(wǎng)絡安全涉及面相當廣，同時進行建設的可行性較差，因此，需要 按照以下方式進行分階段實施 。 第一階段 技術(shù)方面： 采用防火墻、網(wǎng)絡防病毒軟件、頁面防篡改系統(tǒng)來建立一個結(jié)構(gòu)上較完善的網(wǎng)絡系統(tǒng)。 服務方面： 進行網(wǎng)絡拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份，通過這些服務，增強網(wǎng)絡的抗干擾性。 支持方面： 要求服務商提供故障排除服務，以提高網(wǎng)絡的可靠性，降低網(wǎng)絡故障對網(wǎng)絡的整體影響。 第二階段 在第一階段安全建設的基礎(chǔ)上，進一步增加網(wǎng)絡安全設備，采納新的安全服務和技術(shù)支持來增強網(wǎng)絡的可用性。 成都學院學士學位論文（設計） 9 技術(shù)方面： 采用入侵檢測、郵件防病毒軟件、動態(tài) 口令認證系統(tǒng)、并在重要 的 客戶端安裝個人版防護軟件。 服務方面： 對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統(tǒng)以及文件備份系統(tǒng)。 支持方面： 要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網(wǎng)絡監(jiān)控等技術(shù)支持。 第三階段 在這一階段，采取的措施以進一步提高網(wǎng)絡效率為主。 技術(shù)方面： 采用反垃圾郵件系統(tǒng)、網(wǎng)絡管理軟件、 QOS 流量管理軟件。 服務方面： 采用白客滲透測試，要求服務商定期提供整體安全分析報告。 支持方面： 要求能夠?qū)崟r或者時候查找攻擊源。 以上針對用戶網(wǎng)絡分別從三個方面提出了安全解決方案，并按照實施的緊迫性分成三個階段來實現(xiàn)，但是實際針對某個用戶，對于安全的要求可能各不相同，具體網(wǎng)絡情況也可能有很大的差異，因此建議用戶根據(jù)實際情況建立網(wǎng)絡安全建設的時間表。 另外，隨著新技術(shù)、新產(chǎn)品的不斷涌現(xiàn)，網(wǎng)絡技術(shù)的不斷發(fā)展，對于網(wǎng)絡安全的要求不斷提高，安全建設的最基本原則：不斷改進，不斷增強，安全無止境。 對于 網(wǎng)絡安全應 該 具有以下四個方面的特征： 保密性：信息不泄露給非授權(quán)用戶、實體 。 完整性：數(shù)據(jù) 未經(jīng)授權(quán)不能進行改變的特性。 可用性：可被授權(quán)實體訪 問并按需求使用的特性．即當需要時能 否存取所需的信息。 可控性：對信息的傳播及內(nèi)容具有控制能力。 在現(xiàn)實世界中，網(wǎng)絡系統(tǒng)一旦出現(xiàn)安全問題，其代價往往是驚人的．因此，充分認識到網(wǎng)絡應用所帶來的風險并采取必要的安全防范措施是非常關(guān)鍵的。 成都學院學士學位論文（設計） 10 3 功能設計 防火墻技術(shù) 防火墻簡介 防火墻是計算機網(wǎng)絡上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡與 Inter 之間或其它外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪，用來保護內(nèi)部網(wǎng)絡。防火墻簡單的可以只用路由器實現(xiàn)，復雜的則可以用主機甚至一個子網(wǎng)來實現(xiàn)，設置防火墻的目的 都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設立惟一的通道來自簡化網(wǎng)絡的安全管 理 [7]。防火墻的功能主要是過濾掉不安全服務和非法用戶與控制對特殊站點的訪問以及提供監(jiān)視 Inter 安全和預警的方便端點。由于網(wǎng)絡具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防 火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳 輸。因此，防火墻只能是一種整體安全防范政策的一部分。 實現(xiàn)防火墻技術(shù)從層次上大概可以分為報文過濾和應用層網(wǎng)關(guān)。報文過濾是在 IP層實現(xiàn)的，它的原理是根據(jù)報文的源 IP 地址、目的 IP 地址、源端 口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。在用應用層網(wǎng)關(guān)實現(xiàn)的防火墻有多種方式，如應用代理報務器和網(wǎng)絡地址轉(zhuǎn)換器等。 防火墻部署 在防火墻設置上按照以下原則配置來提高網(wǎng)絡安全性： 根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則； 將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的 IP 包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法 IP 地址離開內(nèi)部網(wǎng)絡的 IP 包，防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊； 在防火墻上建立內(nèi)網(wǎng)計算機的 IP 地址和 MAC 地址的對應表，防止 IP 地址被盜用； 定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng) 記錄 [8]。 配置： 成都學院學士學位論文（設計） 11 Console 端口用一條防火墻自帶的串行電纜連接到電腦的一個空余串口上。 2. 打開 PIX 防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。 3. 運行電腦 Windows 系統(tǒng)中的 超級終端（ HyperTerminal）程序（通常在“附件”程序組中）。對超級終端的配置與交換機或路由器的配置一樣。 4. 當 PIX 防火墻進入系統(tǒng)后即顯示“ pixfirewall”的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式。可以進行進一步的配置了。 5. 輸入命令： enable,進入特權(quán)用戶模式，此時系統(tǒng)提示為： pixfirewall。 6. 輸入命令： configure terminal,進入全局配置模式，對系統(tǒng)進行初始化設置。 (1)防火墻上的基本配置代碼如下： pixfirewall conf t pixfirewall(config) hostname pix pix(config) int e0 pix(configif) nameif inside pix(configif) ip add pix(configif) no shut pix(configif) exit pix(config) int e1 pix(configif) nameif outside pix(configif) ip add pix(configif) no shut pix(configif) exit pix(config) static (inside,outside) mask pix(config) accesslist 100 permit icmp any any