【正文】 致謝語(yǔ) 感謝老師給予的指導(dǎo)，在老師的精心指導(dǎo)下我一定會(huì)順利的完成畢業(yè)論文。由于自身水平的原因以及時(shí)間的關(guān)系，對(duì)校園網(wǎng)技術(shù)的研究還有不盡完善的地方，以后的工作中將對(duì)存在的問(wèn)題及有待完善的地方進(jìn)行更深入的研究和分析，本文盡管對(duì)校園網(wǎng)絡(luò)安全進(jìn)行了較深入的研究，也提出了校園網(wǎng)絡(luò)安全的解決辦法，但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問(wèn)題是一個(gè)永久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。但是我對(duì)于各種網(wǎng)絡(luò)設(shè)備的了解更進(jìn)一步，以及各種設(shè)備的命令的操作更加熟練。如利用各種方法去解決問(wèn)題，而且去尋找問(wèn)題的癥結(jié)才能對(duì)癥下藥。從而提升了自己各方面的能力使我收益非淺，雖然我開(kāi)始時(shí)遇到了很大困難，但是通過(guò)平時(shí)的學(xué)習(xí)和老師，同學(xué)的幫忙，最終都能夠解決。 結(jié)語(yǔ)通過(guò)對(duì)這次論文編寫(xiě)，把平時(shí)學(xué)習(xí)中學(xué)到的知識(shí)運(yùn)用了到其中。得到這個(gè)用戶名之后，如可以上傳木馬工具，隨意的查看重要的文件，并對(duì)進(jìn)行破壞和竊取。利用這個(gè)漏洞，可以通過(guò)這個(gè)端口得到電腦上的“主機(jī)”文件。一般情況下，135端口主要用來(lái)實(shí)現(xiàn)遠(yuǎn)程過(guò)程調(diào)用。 （3）135端口。同時(shí)，還可以利用FTP服務(wù)了解到攻擊所需要的基本信息，如用的是什么操作系統(tǒng)等等；甚至能夠獲知可用的帳號(hào)，等等。糟糕的是，這個(gè)端口，若管理不善的話，是可以用戶進(jìn)行匿名登陸的。 （2）21端口。但在一定情況下反而成為了一個(gè)黑客攻擊最常利用的一個(gè)端口。利用23端口的Telnet我們可以象訪問(wèn)本機(jī)那樣訪問(wèn)遠(yuǎn)程的計(jì)算機(jī)。若這個(gè)端口開(kāi)著非常的危險(xiǎn)，這個(gè)端口主要用做TELNET登錄。以下是一些可能被攻擊的端口，一般情況下，應(yīng)該要把這些端口屏蔽掉。VPN分為三種類型:遠(yuǎn)程訪問(wèn)虛擬網(wǎng)、企業(yè)內(nèi)部虛擬網(wǎng)和企業(yè)擴(kuò)展虛擬網(wǎng)，這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。 虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。借助網(wǎng)絡(luò)漏洞掃描，安全管理人員可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開(kāi)放的端口、提供的服務(wù)某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。漏洞掃描的基本原理是采用模擬黑客攻擊的方式對(duì)目標(biāo)可能存在的己知漏洞進(jìn)行逐項(xiàng)檢測(cè)，以便對(duì)工作站、服務(wù)器等各種對(duì)象進(jìn)行安全漏洞檢測(cè)。多種復(fù)合攻擊技術(shù)的使用已經(jīng)使安全防護(hù)不僅是針對(duì)互聯(lián)網(wǎng)早期某種病毒防護(hù)那么簡(jiǎn)單，而計(jì)算機(jī)病毒的防御是一個(gè)系統(tǒng)工程，內(nèi)容涉及防病毒軟件、補(bǔ)丁升級(jí)、以及合理的安全管理規(guī)范等方面。惡意軟件的傳染結(jié)果包括浪費(fèi)資源、破壞系統(tǒng)、破壞一致性、數(shù)據(jù)丟失和被竊并能讓客戶端的用戶失去信心。從發(fā)展的角度來(lái)看，計(jì)算機(jī)病毒屬于惡意代碼的一種，惡意代碼是一種程序，它可以表述為人為編制的，干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞數(shù)據(jù)的計(jì)算機(jī)程序或指令集合。具有破壞性，復(fù)制性和傳染性。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。但是不容否認(rèn)，各個(gè)安全產(chǎn)品的緊密結(jié)合是一種趨勢(shì)。所有通過(guò)的數(shù)據(jù)包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證，還需要經(jīng)過(guò)入侵檢測(cè)，判斷是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷。防火墻與入侵檢測(cè)這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。一個(gè)簡(jiǎn)單的入侵檢測(cè)系統(tǒng)，如圖32所示。計(jì)算機(jī)信息網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問(wèn)題，但是防火墻不是萬(wàn)能的，不能提供實(shí)時(shí)的入侵檢測(cè)能力。 入侵檢測(cè)(IDS)為進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全性，需應(yīng)用入侵檢測(cè)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行實(shí)時(shí)檢測(cè)，即對(duì)網(wǎng)絡(luò)活動(dòng)和系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控。 備份與恢復(fù)建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須實(shí)現(xiàn)以下內(nèi)容：計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量，使數(shù)據(jù)備份工作制度化、科學(xué)化；網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用與研究；對(duì)介質(zhì)管理的有效化，防止讀寫(xiě)操作的錯(cuò)誤；對(duì)數(shù)據(jù)形成分門(mén)別類的介質(zhì)存儲(chǔ)，使數(shù)據(jù)的保存更細(xì)致、科學(xué)；自動(dòng)介質(zhì)的清洗輪轉(zhuǎn)，提高介質(zhì)的安全性和使用壽命；以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)；維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)。其中，硬件部分一般是防火墻設(shè)備的網(wǎng)絡(luò)接口設(shè)備；數(shù)據(jù)獲取的軟件部分是負(fù)責(zé)將硬件獲取的網(wǎng)絡(luò)通訊信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進(jìn)行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作系統(tǒng)緩沖區(qū)中傳送到相應(yīng)的網(wǎng)絡(luò)接口設(shè)備并傳送出去。根據(jù)防火墻的工作原理，所有的防火墻從體系結(jié)構(gòu)上都可以分為數(shù)據(jù)獲取、應(yīng)用處理和數(shù)據(jù)傳輸三大部分。硬件防火墻指的是將防火墻軟件和特定硬件平臺(tái)集成在一起的應(yīng)用。 圖31 典型防火墻結(jié)構(gòu) 網(wǎng)絡(luò)防火墻用以保護(hù)企業(yè)網(wǎng)絡(luò)等較大的復(fù)雜網(wǎng)絡(luò)，以處理更多的用戶。它對(duì)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對(duì)外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況，并提供單一的安全和審計(jì)的安裝控制點(diǎn)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問(wèn)和過(guò)濾不良信息目的。 解決校園網(wǎng)安全問(wèn)題的主要方法解決校園網(wǎng)安全問(wèn)題的主要方法包括防火墻、備份與恢復(fù)、入侵檢測(cè)、病毒防御、虛擬專用網(wǎng)、漏洞掃描等。 校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)內(nèi)容一個(gè)完整的安全體系應(yīng)該包含五個(gè)安全層面，分別為數(shù)據(jù)保密層、應(yīng)用層、用戶層、系統(tǒng)層和網(wǎng)絡(luò)層。（4）可承擔(dān)性:網(wǎng)絡(luò)安全體系從設(shè)計(jì)到實(shí)施以及安全系統(tǒng)的后期維護(hù)、安全培訓(xùn)等各個(gè)方面的工作都要由學(xué)校來(lái)支持，要為此付出一定的代價(jià)和開(kāi)銷。（3）高效性:構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行，如果安全影響了系統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)。（2）可行性:設(shè)計(jì)網(wǎng)絡(luò)安全體系不能單純地從理論角度考慮，再完美的方案，如果不考慮實(shí)際因素，也只是一些廢紙。 設(shè)計(jì)校園網(wǎng)絡(luò)安全體系的原則根據(jù)網(wǎng)絡(luò)安全性設(shè)計(jì)的要求設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)應(yīng)遵循安全性、可行性、高效性、可承擔(dān)性等原則，分別闡述如下：（1）安全性:設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全，所以安全性成為首要目標(biāo)。此外，在校園網(wǎng)建設(shè)的具體實(shí)施中需要注意的設(shè)計(jì)原則包括：（1）強(qiáng)調(diào)實(shí)用性、并盡可能達(dá)到性能價(jià)格比最優(yōu)化；（2）盡量采用先進(jìn)、成熟的組網(wǎng)技術(shù)；（3）堅(jiān)持開(kāi)放型，采用國(guó)際標(biāo)準(zhǔn)和通用標(biāo)準(zhǔn)；（4）統(tǒng)一規(guī)劃、分布實(shí)施。網(wǎng)絡(luò)能夠容易得進(jìn)行擴(kuò)容、升級(jí)和管理?！? 校園網(wǎng)絡(luò)安全的設(shè)計(jì)原則校園網(wǎng)覆蓋整個(gè)校區(qū)，在網(wǎng)絡(luò)性能上應(yīng)該考慮以下幾項(xiàng)要求：數(shù)據(jù)處理、通信處理能力強(qiáng)，響應(yīng)速度快。一旦安全管理與其它管理服務(wù)存在沖突的時(shí)候，網(wǎng)絡(luò)安全往往會(huì)作出讓步，或許正是由于一個(gè)較小的讓步，最后使整個(gè)系統(tǒng)的崩潰。規(guī)章制度作為一項(xiàng)核心內(nèi)容，應(yīng)始終貫穿于系統(tǒng)的安全生命周期。如因受客觀條件限制，難以對(duì)網(wǎng)絡(luò)操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行選擇，則其他核心軟件，如防火墻、入侵檢測(cè)、網(wǎng)絡(luò)安全漏洞掃描軟件等應(yīng)盡可能地選用經(jīng)國(guó)家網(wǎng)絡(luò)安全權(quán)威機(jī)構(gòu)評(píng)審?fù)ㄟ^(guò)的優(yōu)秀國(guó)產(chǎn)軟件。路由器、虛擬局域網(wǎng)(VLAN)、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段手段。采用網(wǎng)絡(luò)隔離手段可有效減小信息的傳播面，從而增加信息的安全性。最小授權(quán)原則指網(wǎng)絡(luò)中賬號(hào)設(shè)置服務(wù)配置主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。要建設(shè)一個(gè)安全的網(wǎng)絡(luò)安全體系，必須采取相應(yīng)的對(duì)策，根據(jù)實(shí)際的需求不同，采取的策略可能有一些不同之處，但大都包括下述策略。 校園網(wǎng)絡(luò)安全對(duì)策概述隨著網(wǎng)絡(luò)應(yīng)用的開(kāi)展，要建立一個(gè)安全的網(wǎng)絡(luò)體系，首先應(yīng)花較大的精力制定周密的網(wǎng)絡(luò)安全策略。與服務(wù)攻擊相比，非服務(wù)攻擊與特定服務(wù)無(wú)關(guān)，它往往利用協(xié)議或操作系統(tǒng)實(shí)現(xiàn)協(xié)議時(shí)的漏洞來(lái)達(dá)到目的。拒絕服務(wù)攻擊將會(huì)帶來(lái)消耗帶寬、消耗計(jì)算資源、使系統(tǒng)和應(yīng)用崩潰等后果，它是阻止針對(duì)某種服務(wù)的合法使用者訪問(wèn)他有權(quán)的服務(wù)。校園網(wǎng)的網(wǎng)絡(luò)攻擊主要來(lái)自internet中,所以對(duì)網(wǎng)絡(luò)的攻擊可以分為兩種基本的類型，即服務(wù)攻擊與非服務(wù)攻擊。 校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策分析校園網(wǎng)安全問(wèn)題愈來(lái)愈突出的同時(shí)，校園網(wǎng)安全的對(duì)策也越來(lái)越引起人們的注意。要防止侵襲者通過(guò)非法途徑進(jìn)入計(jì)算機(jī)系統(tǒng), 偷盜有用的數(shù)據(jù)信息, 重點(diǎn)保護(hù)系統(tǒng)中容易被攻擊的脆弱點(diǎn)。反垃圾郵件機(jī)理：IP地址、域名、郵件地址黑白名單方式；基于垃圾郵件行為模式識(shí)別模型；基于信頭、信體、附件的內(nèi)容過(guò)濾方式；反垃圾郵件產(chǎn)品有：防垃圾郵件網(wǎng)關(guān)；防垃圾郵件防火墻。（5）反垃圾郵件及技術(shù)。它能阻止不健康、反動(dòng)信息的復(fù)制、傳播。防病毒核心技術(shù)有：特征代碼匹配、病毒特征自動(dòng)發(fā)現(xiàn)、啟發(fā)式搜索等，防病毒產(chǎn)品有：Norton、金山毒霸、瑞星殺毒軟件等。（3）防御病毒及技術(shù)。入侵檢測(cè)核心技術(shù)：模式匹配、基于統(tǒng)計(jì)方法、預(yù)測(cè)模式生成等。