《校园网网络安全的管理与应用论文》由会员分享,可在线阅读,更多相关《校园网网络安全的管理与应用论文(29页珍藏版)》请在金锄头文库上搜索。
1、. . . . 编 号:学 号:0课 程 设 计教 学 院计算机学院课程名称计算机网络课程设计题 目校园网络安全管理与应用专 业网络工程班 级2012网络工程1班姓 名同组人员指导教师2014年6月27日 / 课程设计任务书20132014学年 第 2学期学生: 专业班级: 2012网工 指导教师: 工作部门: 计算机学院 一、课程设计题目校园网网络安全的管理与应用二、课程设计容(含技术指标)1网络功能的设计2防火墙、安全策略的配置3安全性能的测试三、进度安排12014年6月16日,指导教师讲课,学生根据题目准备资料;22014年6月17日,设计小组进行总体方案设计和任务分工;3. 2014年
2、6月18日2014年6月25日,具体实施42014年6月26日2014年6月27日,验收、撰写报告,完成论文,总结并答辩四、基本要求1. 要求网络系统具有高性能,以满足我院整个网络系统运行大量关键的业务。2. 要求网络平台具有能灵活管理和可靠的安全策略功能,以满足我院网络系统实用性和安全性。3. 要求网络具有良好的服务质量和较小的延迟,以实现校园人员能通过校园网安全、高效登陆。目 录第1章 校园网络安全31.1 校园网概述31.2 校园网建设与目前面临的安全问题31.3 校园网安全分析4第2章 校园网络安全策略72.1 校园网安全管理72.2 校园网络安全措施8第3章 校园网络安全系统设计11
3、3.1 校园网建设需求分析113.1.1 需求分析113.1.2 关键设备123.1.3 校园网网络拓扑结构133.2 技术方案143.2.1 校园网的建设规划143.2.2 组网技术173.2.3 网络操作系统183.2.4 防火墙技术183.2.5 Internet接入技术193.2.6 建网方案19第4章 校园网的运行244.1 校园网的应用244.1.1校园244.1.2校园网管理信息系统244.1.3校园网计算机教学系统244.2 校园网的管理24参考文献27摘 要网络安全的本质是网络信息的安全性,包括信息的性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使
4、用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击。防火墙,则是外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。本文从对校园网的现状分析了可能面临的威胁,从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。通过以下三个步骤来完成校园网络安全系统:1、建设规划;2、技术支持;3、组建方案。第1章 校园网络安全1.1 校园网概述信息技术已引起了全面而深刻的社会变革,为此,世界各国政府都对教育的发展给予了前所未有的关注,把信息化教
5、育放到重要的位置上,纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。 因此校园网信息系统的建设,是非常必要的,也是可行的。主要表现在:1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络
6、上运行的软件与多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。4、现代教育改革的需要。5、计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。1.2 校园网建设与目前面临的安全问题20世纪80年代以来,世界上几乎所有发达国家都己相继建成了国家级的教育和科研计算机网络,并相互连成覆盖全球的国际性学术计算机网络。这种全球计算机信息网络的产生加快了信息传递速度,为广大教师与科研人员提供了一个全新的网络环境,从根本上改变并促进了他们之间的信息交流、资源共享、科学计算和科研合作,成为这些国
7、家教育和科研工作最重要的基础设施,从而促进了这些国家教育和科研事业的迅速发展。在这种情况下,1994年11月,国家计委正式批准“中国教育和科研计算机网CERNET(ChinaEducationandResearchNetwork)示工程”项目可行性研究报告,由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和管理运行,截至2004年底,CERNET主干网传输速率达到2.5-5Gbps,地区网传输速率达到155M2.5Gbps,覆盖全国31个省、市200多座城市,联网的大学、教育机构和科研单位超过1300个,用户超过1800万人,成为世界上最大国家级公益性计算机互联网。校园网的建设也因C
8、ERNET的发展而得到了快速的发展。全国绝大多数的高校建成了自己的校园网络,2002年,为了解决我国西部教育信息化发展滞后,大学校园网与东部差距很大的问题,经国务院批准,国家计委批复立项,由教育部组织实施重点建设“西部大学校园计算机网络工程”项目,建设西部152所大学校园网网络基础设施;实现校园网与中国教育与科研计算机网(CERNET)的高速连接;建设一批基于校园网的教学、科研和管理的应用系统。随着大学校园网建设工程的实施,全面提高了西部大学校园网的水平和规模,扩大校园网的应用围,为高校教师教学和科研以与大学生进入网络平台提供基本保证。校园网作为学校重要的基础设施,担当着学校教学、科研、管理和
9、对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加,网络的攻击越来越多,各种各样的安全问题开始阻碍了校园网的正常运行。同时,随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络安全也逐步成为网络技术发展中一个极为关键的任务,对网络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。1.3 校园网安全分析(1)网络协议的开放性和通用性计算机网络是依靠网络协议通信的,TCP/IP协议簇,是互联网使用的网络协议,也是多数高校校园网采用的网络协议。TCP/IP协议簇具
10、有开放性和通用性等特点,任何组织或个人都可以研究、分析与使用,TGP/IP协议的任何安全漏洞都可能被利用。存在的安全问题有:数据窃听(PacketSniff):TCP/IP协议数据流采用明文传输,因此数据信息很容易被窃听、篡改和伪造。特别是在使用含有用户账号、口令的数据包进行通信时,使用Sniff,Snoop或网络分析仪等可以对以上信息进行截取,达到攻击的目的。源地址欺骗(Sourceaddressspoofing):TCP/IP协议使用IP地址作为网络节点的唯一标识,但是节点的IP地址又不是固定不变的,因此攻击者可以直接修改该节点的IP地址,冒充某个可信任节点进行攻击。源路由选择欺骗(Sou
11、rceRoutingspoofing):TCP/IP协议中,IP数据包为了测试的目的设置了一个选项一IPSourceRouting,该选项可以直接指明到达节点的路由,攻击者可以利用这个选项进行欺骗,进行非法连接。攻击者通过冒充某个可信任节点的IP地址,构造一个通往某个服务器的直接路径和返回路径,利用可信任用户作为通往服务器的路由中的最后一站,就可以向服务器发送请求,对其进行攻击。在TCP/IP协议的两个传输层协议TCP和UDP中,由于UDP是面向非连接的,因而没有初始化的连接建立过程,所以UDP更容易被欺骗。鉴别攻击(AuthenticationAttacks):TCP/IP协议只能以IP地址
12、进行鉴别,而不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登陆用户的身份的真实性和有效性。目前主要依靠服务器软件平台提供的用户控制机制,比如用户名、口令等。虽然口令是以密文存放在服务器上,但是由于口令是静态的、明文传输的,所以无法抵御重传、窃听。而且在很多系统中常常将加密后的口令文件存放在一个普通用户就可以读到的文件里,攻击者也可以运行准备好的口令破译程序来破译口令,对系统进行攻击。TCP序列号欺骗(TCPSequencenumberspoofing):由于TCP序列号可以预测,因此攻击者可以构造一个TCP序列号,对网络中的某个可信节点进行攻击。.ICMP攻击(工CMPAttacks
13、):ICMP是关于IP差错与控制的协议,但ICMP中的许多功能可被攻击者利用来实施攻击,如攻击者可利用:ICMI重定向消息(ICMPredirectmessage)来破坏路由机制和提高侦听业务流能力;工CMP回应请求/应答消息(ICMPechorequest/replymessage)实行拒绝服务攻击;ICMP目的不可达消息(Destinationunreachablemessage)实现点对点应用的拒绝服务;ICMP的ping命令获得关于一个网络的设置和可达性等信息。拒绝服务(DOS)攻击:这是一种最古老也是最有效的攻击方法。它可以针对任何加密系统进行攻击,因为加密并不是没有代价的,加密和验
14、证运算都需要消耗大量的资源(包括占用CPU的时问)。如果组织大量数据同时访问某主机,使得该主机在验证数据合法性的同时,做大量不相干的事,完全可能使该主机陷入瘫痪,而无法响应正常的数据访问。 .IP栈攻击(IPStackAttack):利用大多数操作系统不能处理有着一样源、目的IP地址(主机名、端口)IP包的缺陷,把伪造的此种类型的IP包发往目标主机,就能导致目标主机系统崩溃。(2)操作系统与应用软件都有不安全因素。网络安全漏洞大量存在,根据国际权威应急组织CERT/CC统计0,2004年公布漏洞数3780个,自1995年以来各年来漏洞公布总数16726个,从近两年统计情况看,发现漏洞数量处于较高水平,漏洞的大量存在是网络安全问题的严峻的主要原因。(3)攻击工具易用性在互联网上,有很多的攻击工具可自由下载,此类攻击工具设置简单、使用简便,即使对网络不太精通的人都可以利用攻击工具进行网络攻击。大量的廉价却很好用的攻击工具充斥于网络中,自动化攻击工具大量泛滥,几年前仅仅适用于高智能围的工具己经能够从商业途径购买并使用。而使用这些工具并不需要很高的技术水平,这使得一个普通的攻击者也可以对系统造成巨大的危害。攻击技术的普与使得高水平的攻击者越来越多,反而言之,安全管理员面临着巨大的挑战,我们的系统面临的安全威胁也越来越大。(4)校园网用户的安全意识不强由于计算机与网络应用水平有限,校园
