《校园防火墙系统构建》由会员分享,可在线阅读,更多相关《校园防火墙系统构建(24页珍藏版)》请在金锄头文库上搜索。
1、园防火墙系统构建ra一、概述一需求分析校园网面对的安全威胁四、防火墙在校园网中的配置14五、心得体会241概述学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入 到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特 网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络 地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所 带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻 击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为 国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信
2、息安全,网 络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。 因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。 对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为 害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世 界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的 机会。不断地提高自身网络的安全才是行之有效地办法。本文作者在导师的指导 下,独立完成了该防火墙系统方案的配置及安全性能的检测工作。在详细分析防 火墙工作原理基础上,针对我校防火墙的实际情况,提出了一个能够充分发挥防 火墙性能、
3、提高防火墙系统的抗攻击能力的防火墙系统配置方案,同时介绍了具 体实现过程中的关键步骤和主要方法,并针对我校的防火墙系统模拟黑客进行攻 击,检查防火墙的安全漏洞,并针对漏洞提供相应的解决方案。该防火墙在通常 的包过滤防火墙基础之上,又增加了 MAC地址绑定、端口映射等特殊功能,使之 具有鲜明的特点。通过对于具有上述特点的防火墙的研究、配置与测试工作,一 方面使得我校防火墙系统本身具有高效、安全、实用的特点,另一方面在此基础 上对今后可能出现的新问题作好了一系列比较全面的准备工作。1.1课题意义安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时, 也要时时面对网络开放带来的数据安全方
4、面的新挑战和新危险。为了保障网络安 全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法 入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等 方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术如图1-1。恶意攻击者图1-1防火墙功能图它通过监测、限制、修改跨越防火墙的数据流,尽可能地外屏蔽网络内部的 结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的 入侵,以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建 一个相对安全的计算机网络平台。使其免受外部网络的攻击。1.2网络安全技术网络安全技术指致力于解决诸
5、如如何有效进行介入控制,以及何如保证数据 传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术, 系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技 术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的 访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但 是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。防火墙枝术是
6、一种用来加强网络之间访问控制,防止外部网络用户以非法手 段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设 备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实 施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙 无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威 胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的 攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升 级、同时在防火墙、代理服务器及PC上安装Java及Act
7、iveX控制扫描软件,禁 止未经许可的控件下载和安装入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进 行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技 术。安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应 防范措施,从而降低网络的安全风险而发展起来的一种安全技术。认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的 身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可 用于通信过程中的不可抵赖要求的实现。VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行 传输数据,所以有一定的不安全性
8、。应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统 安全和操作系统安全。2需求分析2.1校园网络安全分析高校校园网一般都是采用最先进的网络技术架构的,用户较多,使用面较广, 存在的安全隐患和漏洞相对较广泛,大多有如下几个方面:校园网与Internet相连,在享受Internet方便快捷的同时,也面临着 遭遇攻击的风险。高校校园网速度比较快,我院与电脑的出口带宽达到了 1Gbps,这给网络入侵和攻击也提供了一个快速通道。校园网内部也存大很大的安全隐患。由于内部用户对网络的结构和 应用模式都比较了解,因些来自内部的安全威胁会更大一些。目前使用的操作系统存在安全漏洞,对网
9、络安全构成了威胁。例如 Windows 2000、Windows 2003、Windows 2008的普遍性和可操性使它成为 最不安全的系统:自身安全漏洞、浏览器的漏洞、病毒木马等。随着校园内计算机应用的大范围普入,接入校园网的节点数日益增 多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、 信息丢失、数据损坏、网络攻击、系统瘫痪等严重后果。内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网 站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网,内外 网恶意用户可能利用一些工具对网络入服务器发起Dos/DDoS攻击,导致网 络及服务不可用,高校学生通
10、常是最活跃的网络用户,对网络的各种技术都 充满了好奇,有强大的求知和实验的欲望,勇于尝试,不计后果,校园网内 针对如的黑客程序、ARP病毒、超级网管随处可见。鉴于上述不安全因素,有必要为校园网设计一个严密的防火墙。2.2校园网防火墙部署思路防火墙是网络安全的屏障。一个防火墙(作为阴塞点、控制点)能极大地提高 一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经对精 心选择的应用协议才能通过防火墙,所以网络环境变得更安全。在防火墙设置上 我们按照以下原则配置来提高网络安全性:根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、
11、目的地址、流向等项 目,严格禁止来自公网对校园内部网不必要的、非法的访问/。总体上遵从 “不被允许的服务就被禁止”的原则。将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可 以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。在防火墙上建立内网计算机的IP地址和MAC地址对应表,防止IP 地址被盗用。在局域网的入口架设行兆防火墙,并实现VNP的功能,在校园网络 入口建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接 入数据中心。定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置,提高
12、防火墙管理安全性。3校园网面对的安全威胁3.1物理安全保证计算机网络系统各种设备的物理安全是整个网络安全的前提。计算机网络 的物理安全是在物理介质层次上数据传输、数据存储和数据访问安全。计算机网 络的物理安全包括构成网络的相关基础设施的安全,网络的运行环境比如温度、 湿度、电源等,自然环境的影响以及人的因素等对计算机网络的物理安全和运行 的影响。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、 火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过 程。其目的是保护计算机系统、web服务器、打印机等硬件实体和网络通信设备 免受自然灾害、人为破坏和搭线攻击等。3.1.
13、1自然威胁自然威胁主要是指由于自然原因造成的对网络设备硬件的损坏和网络运行的 影响。主要包括以下几方面: 自然灾害自然灾害对计算机网络设备或其它相关设施造成的损坏,或对网络运行造成的 影响。如:雷击、火灾、水灾、地震等不可抗力造成的网络设备或网络通信线路 的损坏,大雾对无线传输的影响。 正常使用情况下的设备损坏在网络设中,所有的网络设备都是电子设备,任何电子元件也都会老化,因此 由电子元件构成的网络设备都一个有限的正常使用年限,即使严格按照设备的使 用环境要求使用,在设备达到使用寿命后均可能出现硬件故障或不稳定现象,从 而威胁计算机网络的安全运行。 设备运行环境网络的运行是不间断的。保证网络设
14、备的安全运行,运行环境是一个很重要的 因素。任何计算机网络都需要一个可靠的运行环境来保证其可靠地运行,其中主 要包括周边环境和电源系统两大要素。周边环境我们所使用的网络交换设备一般都有自己的散热系统,所以环境因素往往被一 些管理员所忽略。随着使用周期的增长,一些设备的散热系统损坏,或在潮湿的 天气环境下积尘较多而引起设备运行不稳定,都是不安全因素。因此网络设备的 安放都需要比较良好的环境,所以校园网的网络中心机房一般都配备调湿调温并 经常保洁的环境,以保证设备的运行。在分节点的网络设备,可以采取定期维护保养的措施或分别设置空调设备。电源系统电源系统的稳定可靠直接影响到网络的安全运行。如果要保证
15、网络的不间断, 就必须保证电源系统的稳定和不间断。校园网的电源系统可分为两部分,一部分 主要用于网络设备和主机,由于这些网络设备和主机对电源系统要求较高,且不 能间断,所以这部分的供电系统就采用UPS(不间断电源系统),而且最好是采 用在线式的,这样可以充分隔离电力系统对网络设备的干扰,保证网络的运行。 另一部分主要用于空调设备,其特点是电源容量要求大,可短时间间断,但由于 我们部分学校所使用的空调系统在恢复供电后都不能自动启动,所以必须让管理 人员掌握电源的通断信息。以上海师大校园网为例,网络中心通过对UPS电源 监控系统的整合,使电源通断信息的变化会及时地反映到网管人员的手机上,这 样中心工作人员就能及时了解突发情况。3.1.2人为威胁人为威胁是指由于人为因素造成的对计算机网络的物理安全威胁,包括故意人 为和无意人为威胁。人为故意威胁是指人为主观威胁网络的物理安全。最常见的是人为通过物理接 近的方式威胁网络安全,物理接近是其它攻击行为的基础。如通过搭线连接获取 网络上的数据信息;或者潜入重要的安全部门窃取口令、密钥等重要的网络安全 信息;或者直接破坏网络的物理基础设施(盗割网络通信线缆、盗取或破坏网络 设备等)。这些人为的故意破坏行为
