2010-2011学年度第一学期综合设计(网络工程方向)
题目防火墙与入侵检测在
校园网中的应用
学号071714227
姓名Berry_net
2011年1月19日
防火墙与入侵检测在校园网中的应用
摘要:网络技术的发展正在改变校园内人们的学习生活,我们在享受其带来的巨大的进步与利益同时,数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。作为开放网络的组成部分,校园网络的安全也是不可忽视的。目前,校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等,目前校园网所应用的很多安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪入侵者。而入侵检测则属于动态安全技术,它能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到危险行为。
校园网一般采用防火墙作为网络安全的第一道防线。而入侵检测系统是计算机网络安全的一个重要组成部分,它可以实现实时入侵检测的功能,主动保护网络免受攻击,是防火墙的合理补充。扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
本文进一步比较了防火墙和入侵检测系统各自的区别和联系,经过探究它们的优缺点,提出了将防火墙与入侵检测结合相互取长补短,更好的发挥各自的优势功能这一结论。结合校园网的建设和管理,提出一种在校园网中将防火墙与入侵检测联动起来相互运行的理念,将入侵检测作为防火墙的一个有益的补充,防火墙便可以通过入侵检测及时发现其策略之外所遗漏的攻击行为。入侵检测也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。
关键词:校园,防火墙,入侵检测
目录
1需求分析 (1)
1.1技术背景 (1)
1.2基本需求 (1)
1.3研究意义 (2)
2 网络设计与组网规划 (4)
2.1防火墙 (4)
2.2入侵检测系统 (4)
2.4网络架构图 (6)
2.5 IP地址及VLAN的划分 (8)
3物理网络设计 (8)
3.1结构化布线设计 (8)
3.2设备选型 (8)
1需求分析
1.1技术背景
在网络技术快速发展和互联网不断普及的今天,网络安全问题越来越引起社会各界和大众的关注。随着网络安全技术的进一步发展,各种网络安全技术,如防火墙技术、防黑客技术、加密技术以及入侵检测技术等等,这些技术从总体看来,可划分为两种:静态安全和动态安全技术。
其中以防火墙为代表的静态安全技术,是一种被动的防御技术,它只能对出入网络的数据进行控制,难以防范内部的非法访问。其缺点是不能主动跟踪入侵者,需要人工来实旖和维护;而以入侵检测为代表的动态安全技术.则是一种主动防御手段,它能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到危险行为.能够实时分析网络内部的通信信息,检测出入侵行为或入侵企图,在网络系统受到危害前以各种方式发出报警,并且及时对网络入侵行为采取相应的措施,最大限度的保护了网络系统的安全。
校园网作为高校教育和科研的重要基础设施.承担着学校教学、科研、管理和对外交流的重要角色。以前校园网的安全问题并不突出,随着校园网的建设规模扩大、信息点的增加,资源共享、网络教学、电子商务、学校办公等通过网络进行的活动不断深入。校园网上的各种数据信息便不断增加,在我们享受着网络给教学带来便捷的同时,也体会到了各种负面因素带来的困扰,例如:病毒侵犯、保密资料外泄等等。所以,对于校园网这个特殊而又重要的局域网来说,建立完备的校园网安全防护体系,保护校园网内部信息资源不受侵害,确保网络教学等活动得以正常运转。校园网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。
1.2基本需求
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。防火墙系统是一个静态的网络攻击防御,同时由于其对新协议和新服务的支持不能动态的扩展,所以很难提供个性化的服务。入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集
信息,并分析这些信息, 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS 被公认为是防火墙之后的第二道安全闸门,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。由些可见,它们在功能上可以形成互补关系。
由于网络协议本身在设计和实现上的一些不完善因素,随之而来的Intemet 入侵事件也就层出不穷。随着Intemet的发展,网络与信息安全问题日益突出。在所有的安全事故中有些涉及到了一个站点或一台计算机,有些则涉及到了成百上千的站点和计算机,而且持续相当长的时间。除了发生安全事故的数量急剧增长外,侵袭的方法与手段也日趋先进和复杂。特别是近年来,通过计算机实施犯罪的案件数量急剧上升,如果对网络安全问题掉以轻心,互联网络就可能会让用户的正当利益受到严重侵害,还可能带来重大的经济损失,甚至对国家安全产生负面影响。
具体到教学范畴,随着校园网的建设和普及,教与学不可避免的与Intemet 产生越发密切的联系,师生通过网络进行网上教学、网上交流、网上专题讨论、网络检索所需信息以及收发电子邮件等活动。在享受网络给教学带来便捷的同时.我们也体会到了各种负面因素带来的困扰,例如:病毒侵犯、保密资料外泄等等。所以,对于校园网这个特殊而又重要的局域网来说,建立完备的校园网安全防护体系,保护校园网内部信息资源不受侵害,确保网络教学等活动得以正常运转,校同网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。
1.3研究意义
校园网的主要服务对象是学生。对于学生这个群体来说.有着其显著的生理特征和心理特点:年轻、好动、极富想象力、充满热情并积极投入实践,但同时心智与是非观念尚不成熟,人生观和价值观还没有完全成形。所以这个年龄段的
年轻人恰恰是攻击者、入侵者最多发的年龄段。校园网的特点是面积广。速度快,使用者人数众多并且相对集中,相对于电子商务和政府行政、国防军事等重要部门所使用的网络来说,网络安全相对薄弱一些,甚至于有些校园网并不重视网络安全,导致自身的防护能力极其有限。防护能力的薄弱会导致入侵成功率的增大,而任何成功的入侵都有可能给校园网带来不可预测的后果,轻则破坏、恶意修改主页,重则清除数据库,删除重要文件,窃取科研和考试机密,甚至会使整个校园网络瘫痪,给学校的公众形象、正常教学和行政工作造成不必要的麻烦和严重的后果。所以说作为开放网络的组成部分,校园网的安全问题是不容忽视的。对于学校政治宣传和安全保密部门来说,则希望对非法的、有害的、涉及国家机密的信息进行过滤和堵塞,保证机密的数据信息不会外泄,避免对社会产生危害,给国家造成损失。一般来说,校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等。而目前学校里更多应用的安全设备都属于被动防御措施。
作为被动防御措施的代表——防火墙是位于两个信任程度不同的网络之间的软件与硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止外部非法用户对重要信息资源的非法存取和访问,以达到保护系统安全的目的。但是我们也必须看到,作为一种周边安全机制,防火墙无法控制内部网络中的行为,它只能在网络层或应用层进行访问控制,无法对通信的内容数据进行监控。防火墙只是一种基于策略的被动防御措施,是~种粗粒度的防御手段,缺点是需要人J二来实施和维护,不能主动跟踪入侵者,无法自动调整策略设置来阻隔正在进行的攻击,也无法防范基于协议的攻击。作为主动防御措施的有效补充——入侵监测系统是一种主动防御手段,能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到危险行为,能够实时分析内部网络的通信信息,检测出入侵行为或入侵企图,在网络系统受到危害前以各种方式发出报警,并且及时地对网络入侵行为采取相应的措施.最大限度的保护网络系统的安全。
2 网络设计与组网规划
2.1防火墙
防火墙(Firewail)是一种安全有效的防范技术。防火墙是一个或一组网络安全设备,它位于内部网络和外部网络之间某一个适当的扼制点上(chokepoint),来限制外部非法用户访问内部网络资源和内部非法向外传递信息。防火墙具有保护和管理网络内部资源、防止外部入侵、对信息的访问进行记录和控制;管理和监督内部对Intemet的访问:简化网络资源管理等特性。
2.2入侵检测系统
入侵检测系统(IDS)是近几年才出现的新型网络安全技术。入侵检测手段却是一种古老的检测访问者的有效方法。它之所以重要,是因为它可以弥补防火墙的不足,它可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),增强信息安全基础结构的完整性。为网络安全提供有效的入侵检测信息及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。如果说防火墙是网络抵御外来入侵的防盗门,那么入侵检测系统就是安装在防盗门上的监视器,两者相辅相成,共同抵挡来自网络内外的攻击。
防火墙与入侵检测是网络安全中两个强有力的技术手段,并且二者之间表现出来很大功能互补性。防火墙是位于两个信任程度不同的网络之间(即校园内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但我们也必须看到,作为一种周边安全机制,防火墙无法控制内部网络中的行为,也只能在应用层或网络层进行访问控制,无法对通信的内容数据进行监控。有些安全威胁是防火墙无法防范的,比如很容易通过协议隧道绕过防火墙,而且,防火墙只是一种基于策略的被动防御措施,是一种粗颗粒的防御手段,无法自动调整策略设置来阻断正在进行的攻击,也无法防范基于协议的.攻击。所以,单靠防火墙是无法实现良好的安全防护性能的。
入侵检测系统是一种主动防御手段,能够实时分析校园网外部及校园网内部的数据通信信息,检测出入侵行为或分辨入侵企图,在校园网络系统受到危害前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护校园网系统的安全。通过多级、分布式的网络监督、管理、控制机制,全面体现了管理层对校园网关键资源的全局控制、把握和调度能力。
即使一个系统中不存在某个特定的漏洞,入侵检测系统仍然可以检测到相应的攻击事件,并调整系统状态,对未来可能发生的侵入做出警告。如果计算机系统具备访问控制能力,而没有入侵检测手段,就会出现就像战争中的一方一直要等到阵地被占领时,才能意识到遭受敌人攻击一样的情况。显然,我们无法完全预防计算机系统受到破坏,但是一旦计算机系统被攻击,我们能够立即实时地检测到攻击并采取相应行动,至少可以防范日后进一步的攻击。这正是入侵检测系统的功能,是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是,单靠入侵检测系统自身,只能及时发现攻击行为,但却无法阻止和处理。
所以,如果让防火墙与入侵检测系统结合起来互动运行,入侵检测系统可以及时发现防火墙策略之外的入侵行为,防火墙可以根据入侵检测系统反馈的入侵信息来进一步调整安全策略,从而进一步从源头上阻隔入侵行为。这样就可以大大提高整个防御系统的性能。入侵检测系统与防火墙的互动原理图如下所示:
2.3网络方案
校园网从结构上讲,可以分成核心、汇聚和接入3个层次;从网络类型来看可以划分为教学子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多,包括拨号上网、宽带接入、无线上网等,各种形式接入的用户类型也非常复杂,有学生、教师以及学校行政办公人员。另外,校园网通常是双出口结构,可以通过ChinaNet,也可以通过CERNET达到互联网。多层次、业务复杂的特点使得网络安全显得尤为重要。
校园网用户访问校外的Cernet/Internet资源都是通过Linux系统下的Squid 代理和socks代理进行的。对校园网的用户的收费通常按照网络流量收费。为了对校园网用户进行收费,使用squid提供代理认证服务。校园网采用100M/1000M以太网技术,利用高端的具有第三层交换功能的中心交换机连接校园中各建筑物内的子网。子网包括西区宿舍,教一栋,东区宿舍,计科楼,明哲楼,外语楼,经法楼,文学楼,图书馆,三里宿舍等,下面将以子网1到n表示。
2.4网络架构图
在此架构中,防火墙采用启用了路由功能的Linux主机,并安装包过滤防火墙IPtables软件加上应用层代理软什Squid和socks。入侵检测系统有三个组成部分,数据捕捉器采用著名的开放源代码的基于网络的SnortIDS,安装Snort的主机(Linux操作系统)用于捕获校园网内部的网络数据,并将相关的警报数据保存到安装有PostgreSQL数据库管理系统的主机(Linux操作系统)中,为了对入侵检测数据进行方便有效的监视和分析,同时在该主机中安装了ApacheWeb服务器和PHP脚本语言,从而在入侵检测分析控制台主机(Windows操作系统)的Web 浏览器中就可以对检测结果进行分析和监视。
入侵检测系统是接入到交换式而不是广播式的网络中,所以要把交换机配置成允许一个端口监视所有的网络流量,然后将安装有Snort的Linux主机连接到那个端口上。因为交换机的核心芯片上一般有一个用于调试的端口(spanport),任何其它端口的进出信息都可从此得到。如果交换机厂商把此端口开放山来,用
户可将入侵检测系统接到此端口上.。
2.5 IP地址及VLAN的划分
整个网络使用192.168.1.0/20 私有地址块,采用静态ip地址录入的方案。申请211.1.1.7(WEB)、211.1.1.9(电信网络接入地址)三个公有ip地址,划分10个vlan区域,防火墙启用NAT做地址映射。地址分配方案如下表:
子网VLAN名称IP地址默认网关
1 VLAN101 192.168.1.0/24 192.168.1.254
2 VLAN102 192.168.2.0/24 192.168.2.254
3 VLAN103 192.168.3.0/2
4 192.168.3.254
4 VLAN104 192.168.4.0/24 192.168.4.254
5 VLAN105 192.168.5.0/24 192.168.5.254
6 VLAN106 192.168.6.0/24 192.168.6.254
7 VLAN107 192.168.7.0/24 192.168.7.254
8 VLAN108 192.168.8.0/24 192.168.8.254
9 VLAN109 192.168.9.0/24 192.168.9.254
核心交换机出口- 192.168.10.1 -
Web服务器- 211.1.1.7 211.1.1.9
防火墙入口地址- 192.168.10.254 -
防火墙出口地址- 211.1.1.9 -
3物理网络设计
3.1结构化布线设计
将大楼结构化布线系统分为:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统。每个系统严格按照规范布线
3.2设备选型
设备选型主要考虑以下因素:产品技术指标、成本因素、兼容性、延续性、可管理性、厂商技术支持性
核心交换机:
网址链接:https://www.doczj.com/doc/9113983487.html,/118/117437/param.shtml
H3C LS-5500-28C-SI ¥14040(1台)
主要参数
交换机类型千兆以太网交换机
传输速率10Mbps/100Mbps/1000Mbps
端口数量24
传输模式支持全双工
交换方式存储-转发
背板带宽128Gbps
VLAN支持支持
MAC地址表16K
模块化插槽数 4
电源电压纠错交流:额定电压范围:100V~240V A.C.,50/60Hz、最大电压范围:90V~2 64V A.C.,47/63Hz;直流:额定电压范围:10.8V~13.2V D.C.
环境标准工作温度:0℃-45℃、工作湿度:10%-90%(非凝露) 产品尺寸(mm) 440×300×43.6
产品重量(Kg)4
接入层交换机
网址链接:https://www.doczj.com/doc/9113983487.html,/197/196598/param.shtml
H3C S1650 ¥4500
主要参数
交换机类型智能交换机
应用层级二层
传输速率10Mbps/100Mbps/1000Mbps
网络标准IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、端口结构非模块化
端口数量50
传输模式全双工/半双工自适应
交换方式存储-转发
背板带宽13.6Gbps
包转发率10.1Mpps
VLAN支持支持
QOS支持支持
网管支持支持
网管功能支持Web网管;支持通过Console口进行管理;支持Telnet远程管理;支持DH CP-client;支持SNMP v2c,支持RMON;支持iMC
MAC地址表8K
模块化插槽数 2
指示面板每端口:Link/Act;每设备:Power;SFP口:Module Active
电源电压输入电压:100V~240V AC,50/60Hz 功耗:<26W
环境标准纠错工作温度:0℃-40℃、存储温度:-10℃-70℃、工作湿度:20%-85%,非凝露;存储湿度:10%-90%,非凝露
产品尺寸(mm) 440×238×44
其他技术参数1个Console端口
防火墙
网址链接:https://www.doczj.com/doc/9113983487.html,/163/162450/param.shtml CISCO ASA5510-K8 ¥16000
主要参数
设备类型VPN防火墙
并发连接数130000
网络吞吐量
(Mbps)
最高300
安全过滤带宽170Mbps
网络端口3个快速以太网端口
用户数限制无用户数限制用户
入侵检测DoS
安全标准UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 控制端口console,2个RJ-45
管理纠错思科安全管理器 (CS-Manager) ,Web
VPN支持支持
一般参数
适用环境工作温度:0-40℃
工作湿度:5%-95% (非冷凝) 存储温度:-25-70℃
存储湿度:5%-95% (非冷凝)
电源100-240VAC,50/60Hz
防火墙尺寸174.5×200.4×44.5mm
防火墙重量 1.8kg
其他性能为企业提供全面的服务,业内领先的Anti-X服务等
网络与信息管理课程论文 通信3G二班李项京 2011年11月29号
防火墙技术原理及其在校园网中的应用方案设计 摘要:详细介绍了防火墙的原理和实现方法,结合实际从校园防火墙的设计方案中论证防火墙在校园网中的应用的必要性。 关键词:防火墙,校园网防火墙设计 一、引言: 1、网络安全分析 互联网的发展已经深入到社会生活的各个方面。对个人而言,互联网改变了人们的生活方式;对企业而言,互联网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网,但是一切安全隐患也来自互联网。互联网设计之初,只考虑到相互的兼容和互通,并没有考虑到随之而来的一系列安全问题,伴随互联网的迅速发展,网络安全问题越来越严峻。 计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。1998年起,一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料,近期每年中国破获电脑黑客案件数百起,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。与计算机病毒相类似,黑客攻击方法的种类不断增加,总数已达近千种。 那么,影响网络安全的主要因素有哪些呢?从技术的角度归纳起来,主要有以下几点: 黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力”强的特点,构成了网络安全的主要威胁。 网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。
一、防火墙和入侵检测系统的区别 1. 概念 1) 防火墙:防火墙是设置在被保护网络(本地网络)和外部网络(主要是Internet)之间的一道防御系统,以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流,尽可能的对外部屏蔽内部的信息、结构和运行状态,以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。 2) 入侵检测系统:IDS是对入侵行为的发觉,通过从计算机网络或计算机的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 3) 总结:从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜在的攻击者;防火墙相当于一个机构的门卫,收到各种限制和区域的影响,即凡是防火墙允许的行为都是合法的,而IDS则相当于巡逻兵,不受范围和限制的约束,这也造成了ISO存在误报和漏报的情况出现。 2. 功能 防火墙的主要功能: 1) 过滤不安全的服务和非法用户:所有进出内部网络的信息都是必须通过防火墙,防火墙成为一个检查点,禁止未授权的用户访问受保护的网络。 2) 控制对特殊站点的访问:防火墙可以允许受保护网络中的一部分主机被外部网访问,而另一部分则被保护起来。
3) 作为网络安全的集中监视点:防火墙可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。 入侵检测系统的主要任务: 1) 监视、分析用户及系统活动 2) 对异常行为模式进行统计分析,发行入侵行为规律 3) 检查系统配置的正确性和安全漏洞,并提示管理员修补漏洞 4) 能够实时对检测到的入侵行为进行响应 5) 评估系统关键资源和数据文件的完整性 6) 操作系统的审计跟踪管理,并识别用户违反安全策略的行为 总结:防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。 二、防火墙和入侵检测系统的联系 1. IDS是继防火墙之后的又一道防线,防火墙是防御,IDS是主动检测,两者相结合有力的保证了内部系统的安全; 2. IDS实时检测可以及时发现一些防火墙没有发现的入侵行为,发行入侵行为的规律,这样防火墙就可以将这些规律加入规则之中,提高防火墙的防护力度。
防火墙的高级检测技术IDS 更多防火墙相关文章:防火墙应用专区 多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。 新一代攻击的特点 1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email 和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。 3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。 图1 Gartner发布的漏洞与补丁时间表 传统的安全方法正在失效 如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: (1)利用端口扫描器的探测可以发现防火墙开放的端口。 (2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。 (3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 对深度检测的需求 现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括: 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。 采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。 研究有效的安全策略,并培训用户。 增加基于网络的安全 基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公
第一章绪论 1.1引言 科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。 1.2研究现状 因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。 1.3课题意义 安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术如图1-1。 图1-1防火墙(Firewall)技术图
1.3 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。 网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。 其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。 防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。 病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装 入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。 安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。 认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。 应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。 1.4 防火墙介绍 防火墙(Firewall)是一种网络边防产品,是在可信网络与不可信网络之间构筑的一道防线,是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙监控可信网络和不可信网络之间的访问渠道,防止外部网络的危险蔓延到内部网络上。 从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙的基本功能是对网络通信进行筛选和屏蔽,以防止未经授权的访问进出计算机网络,具体表现为:过滤进出网络数据;管理进出网络访问;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警等。防火墙外形如图1-2:
实验一 PIX 防火墙配置 一 实验目的 通过该实验了解PIX 防火墙的软硬件组成结构,掌握PIX 防火墙的工作模式,熟悉PIX 防火墙的 6 条基本指令,掌握PIX 防火墙的动态、静态地址映射技术,掌握PIX 防火墙的管道配置,熟悉 PIX 防火墙在小型局域网中的应用。 二、实验任务观察PIX 防火墙的硬件结构,掌握硬件连线方查看PIX 防火墙的软件信息,掌握软件的配置了解PIX 防火墙的6 条基本指令,实现内网主机访问外网主机 三、实验设备PIX501 防火墙一台,CISCO 2950 交换机两台,控制线一根,网络连接线若干,PC机若干 四、实验拓扑图及内容
实验过程: 1.将路由器的模拟成个人电脑,配置IP 地址,内网IP 地址是20.1.1.2 ,外网IP 地址10.1.1.2 ,命令配置过程截图如下: R1: R2:
2.在PIX防火墙上配置内外网端口的IP 地址,和进行静态地址翻译: 五、实验总结 检查效果: 1.内网Ping 外网: 2.外网Ping 内网:这次试验命令不多,有基本的IP 地址配置、内外网之间使用stataic 静态地址映射、再 使用访问控制列表允许ping 命令。 实验二ASA防火墙配置 一、实验目的 通过该实验了解ASA 防火墙的软硬件组成结构,掌握ASA防火墙的工作模式,熟悉ASA
防火墙的基本指令,掌握ASA 防火墙的动态、静态地址映射技术,掌握ASA 防火墙的访问 控制列表配置,熟悉ASA防火墙在小型局域网中的应用。 二、实验任务观察ASA 防火墙的硬件结构,掌握硬件连线方查看ASA 防火墙的软件信息,掌握软件的配置模了解ASA 防火墙的基本指令,实现内网主机访问外网主机,外网访问DMZ 区 三、实验设备ASA5505 防火墙一台,CISCO 2950
附件: 校园网客户端使用说明 目录 一、电脑客户端安装说明 (2) 1.选择上网方式-有线、无线:选择完成下面其中一步即可。 (2) 2.打开非校内网页:如百度(https://www.doczj.com/doc/9113983487.html,) (2) 3.在http://172.16.94.34页面点击下载对应系统的客户端 (3) 4.安装客户端 (3) 二、登陆客户端:学号/手机号/工号+@xnzf1(最后一位是数字1) (4) 三、关于充值缴费:请打开自服务系统 (5) 四、安卓手机或者安卓平板安装客户端说明: (7) 1.连接上无线网络: (7) 2.安装安卓客户端:点击安装客户端,并信任程序! (8) 3.登陆客户端: (8) 五、苹果手机或者苹果平板客户端安装说明: (8) 1.连接上无线网络: (8) 2.安装苹果客户端:点击安装客户端,并信任程序! (9) 3.登陆客户端: (9) 六、常见故障解决办法 (10) 任何问题,请先按如下步骤处理,如果不行,在按对应问题根据以下解决方法解决 10 系统未准备好,请检查网络连通性。 (10) 弹出提示:发现您正在使用以下代理软件: (10) 弹出提示:发现您修改了网卡MAC地址。 (11) 登陆后,一直处于正在登陆状态,无法成功登陆。然后提示“连接认证服务器超时”。 14 客户端页面无法自动显示,通知栏出现两个客户端图标(一个彩色一个黑白)。 15 弹出提示:https://www.doczj.com/doc/9113983487.html,运行环境初始化失败105。 (15) 能登上客户端,但是打不开网页! (15) Win客户端提示“找不到drcomfigure文件” (16) 经常掉线,但无任何提示 (16) 七、校园网使用路由器设置方法 (16) 关闭路由功能(AP模式) (16) 关闭DHCP服务器 (16) 设置路由器信号名称、连接密码 (16) 举例:设置无线路由器方法 (16)
网络系统设计之防火墙设计 防火墙——需求分析 1、首先分析网络拓扑结构和需要保护的内容 网络拓扑结构是否存在不合理 总线型拓扑结构的缺点: (1) 总线拓扑的网不是集中控制,故障检测需在网上各个站点进行,使故障诊断困难。 (2) 如果传输介质损坏整个网络将不可瘫痪。 (3) 在总线的干线基础上扩充,可采用中继器,但此时需重新配置,包括电缆长度的剪 裁,终端 器的调整等。 (4) 接在总线上的站点要有介质访问控制功能,因此站点必须具有智能,从而增加了站 点的硬件 和软件费用。 (5) 所有的工作站通信均通过一条共用的总线,导致实时性很差。 环型拓扑的缺点: (1) 扩充环的配置比较困难,同样要关掉一部分已接入网的站点也不容易。 (2) 由于信息是串行穿过多个节点环路接口,当节点过多时,影响传输效率,使网络响 应时间变长。但当网络确定时,其延时固定,实时性强。 (3) 环上每个节点接到数据后,要负责将它发送至环上,这意味着要同时考虑访问控制 协议。节点发送数据前,必须事先知道传输介质对它是可用的。 环型网结构比较适合于实时信息处理系统和工厂自动化系统。 FDDI(Fiber Distributed Data Interface)是环型结构的一种典型网络,在二十世纪九十年代中期,就已达到100Mbps 至200Mbps 的传输速率。但在近期,该种网络没有什么发展,已经很少采用。 树型网的缺点: (1) 除叶节点及其相连的链路外,任何一个工作站或链路产生故障都会影响整个网络系 统的正常运行。 (2) 对根的依赖性太大,如果根发生故障,则全网不能正常工作。因此这种结构的可靠 性问题和星型结构相似。 星型结构的缺点: (1) 一条通信线路只被该线路上的中央节点和一个站点使用,因此线路利用率不高; (2) 中央节点负荷太重,而且当中央节点产生故障时,全网不能工作,所以对中央节点 的可靠性和冗余度要求很高。 (3) 电缆长度和安装:星型拓扑中每个站点直接和中央节点相连,需要大量电缆,电缆 沟、维护、安装等一系列问题会产生,因此而增加的费用相当可观。 星型拓扑结构广泛应用于网络中智能集中于中央节点的场合。从目前的趋势看,计算机的发展已从集中的主机系统发展到大量功能很强的微型机和工作站,在这种环境下,星
防火墙分析及校园网防火墙选择 主流防火墙分析报告 一.防火墙产品类型发展趋势 防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。 (一.)包过滤防火墙 传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。 (二.)应用代理防火墙 应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代
理过渡以方便用户的使用。 (三.)混合型防火墙(Hybrid) 由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。 (四.)全状态检测防火墙(Full State Inspection) 这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据Checkpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。 (五.)自适应代理防火墙 这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需
第9卷第2期浙江工贸职业技术学院学报V ol.9 No.2 2009年6月JOURNAL OF ZHEJIANG INDUSTRY&TRADE VOCATIONAL COLLEGE Jun.2009 【安全生产】入侵检测技术和防火墙结合的网络安全探讨 xxxx年xx月xx日 xxxxxxxx集团企业有限公司 Please enter your company's name and contentv
入侵检测技术和防火墙结合的网络安全探讨 陈珊陈哲* (浙江工贸职业技术学院,温州科技职业学院,浙江温州325000) 摘要:本文指出了目前校园网络安全屏障技术存在的问题,重点分析了IDS与防火墙结合互动构建校园网络安全体系的技术优势,并对IDS与防火墙的接口设计进行了分析研究。 关键词:防火墙;网络安全;入侵检测 中图文分号:TP309 文献标识码:A文章编号:1672-0105(2009)02-0061-05 The Discussion of Security Defence Based on IDS and Firewall Chen Shan, Chen Zhe (Zhejiang Industrial&Trade Polytechnic, Wenzhou Science and Technology Vocaitional College,Wenzhou Zhejiang 325000) Abstract: This essay points out the problem in current security defence technology of campus network, which focuses on the technology advantages of combine and interaction of firewall and IDS (Intrusion Detection System) to build 120 campus network security system, and it also analyses and studies the interface design of firewall and IDS. Key Words: Firewall; Network Security; IDS (Intrusion Detection Systems) 随着国际互联网技术的迅速发展,校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色,为了保护学校内部的机密信息(如人事安排、档案、在研课题、专利、纪检报告等),保证用户正常访问,不受网络黑客的攻击,病毒的传播,校园网必须加筑安全屏障,因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。 一、目前校园网络安全屏障技术存在的问题 一)防火墙技术的的缺陷 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,它越来越多被地应用于校园网的互联环境中。是位于两个信任程度不同的网络之间(如校园网与Internet之间)的软件或硬件设备的组合,它对网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但也必须看到,作为一种周边安全机制,防火墙无法监控内部网络,仅能在应用层或网络层进行访问控制,无法保证信息(即通信内容)安全,有些安全威胁是 *收稿日期:2009-3-9 作者简介:陈珊(1975- ),女,讲师,研究方向:计算机科学。
北京华夏管理学院 毕业论文 文理学院计算机专业 课题名称浅谈校园网防火墙实用技术 学生姓名梁伟 学生班级计算机 指导老师付春霞 起讫日期 2011.2-2011.4 2011年4月23日
目录 1. 防火墙的基本原理和主要类型 (4) 1.2 包过滤式防火墙 (5) 1.3 代理式防火墙 (6) 1.4 状态检测防火墙 (6) 1.5 防火墙的主流产品 (6) 2. 防火墙在校园网中的应用 (8) 2.2 防火墙的边界防护功能 (8) 2.3 防火墙的NAT功能 (9) 2.4 防火墙的防毒功能 (9) 3. 防火墙的配置方法 (9) 3.1 配置工作站的连接 (9) 3.4 测试连通性 (12) 3.5 配置备份防火墙 (14) 3.6 配置访问控制列表和嫌疑代码过滤 (17) 4. 防火墙应用中的若干问题及改进设想 (18) 4.1 木马新技术反弹端口的问题 (18) 5.结论 (19) 6. 致谢 (19) 7. 参考文献 (19)
Campus network firewall practical techniques analysed Abstract: This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help. Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology 浅谈校园网防火墙实用技术 摘要 本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。本文讨论了在校园网里使用防火墙的方法。我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。 关键词防火墙;校园网;信息安全;网络安全;拓扑;配置;实用技术
复旦大学校园网使用简明指南 欢迎使用复旦大学校园网络! 通过这个简明指南,你将更多的了解复旦的校园网络情况,以及由此你可以享受到的相关服务。复旦的校园网是从1994年建立,经过不断的升级更新,目前已是千兆以太网主干、千兆光纤到楼宇的规模,所有的学生公寓都是交换机到桌面,其中南区和东区学生公寓更是百兆交换机到桌面。 一、基本硬件要求和网络设置 要使用校园网络,你首先需要有一台装有网卡的电脑,一根网线和一个网络端口。目前,学生公寓和办公大楼的所有房间和教学楼的部分房间,我们都已经为你准备好了网络端口。 正如每一台电话机有一个唯一的电话号码,每一台上网的电脑也需要有一个唯一的网络地址(IP 地址);除此以外,你还需要设置“子网掩码”和“网关”,这些网络配置参数是由学校的网络中心分配的,如果你不清楚你的IP地址,可以咨询你周围正在上网的朋友,也可以打电话咨询网络中心。 同时,在基本的网络设置里面,还有一项叫做“域名服务器(DNS)地址”,它是用来帮助你做网络域名和IP地址之间的转换的,我们的域名服务器地址是:202.120.224.6 ,备用域名服务器地址:61.129.42.6 。枫林校区DNS服务器地址为202.120.79.34或202.120.79.35。 二、各种主要的网络服务 1、电子邮件(E-mail)服务 复旦大学为每个正式在校学生无偿提供了一个电子邮件信箱,地址为:学号@https://www.doczj.com/doc/9113983487.html,,邮箱空间为10兆。在校教工也可以在网络中心申请电子邮件信箱,需要支付一次性的开户费100元,邮箱空间为20M。 访问我们的邮件系统有两种方式: 一种是Web (网页)方式,你只要访问https://www.doczj.com/doc/9113983487.html, 就可以很方便的登陆到我们的电子邮件系统,收发和管理你的电子邮件。当然,如果你在校外,我们为你准备了另一个地址,可以提高你的访问速度,地址是:https://www.doczj.com/doc/9113983487.html, 。 另一种方式是使用客户端软件,比如Outlook、Foxmail等。在这种方式中,你需要事先做一些基本的账户参数配置,包括POP3和SMTP地址,复旦的电子邮件POP3和SMTP地址都是:https://www.doczj.com/doc/9113983487.html,。同样对于校外访问,可以使用这个地址:https://www.doczj.com/doc/9113983487.html, 。同时需要说明的是,我们的邮件服务器需要身份认证,在客户端软件设置的时候需要特别注意。枫林校区的部分老师使用的是枫林校区的E-mail,邮箱地址为“用户名@https://www.doczj.com/doc/9113983487.html,”,使用的方法和邯郸校区的是一样的,只是地址要稍做改动。枫林校区的web mail地址在校园网内访问时为https://www.doczj.com/doc/9113983487.html,,在公众网访问时为https://www.doczj.com/doc/9113983487.html,,POP3服务器和SMTP服务器地址都是https://www.doczj.com/doc/9113983487.html, 。 2、网络代理服务 网络代理,是通过一台代理服务器,帮助你访问一些你原本无法访问网络地址。有两种情况你可能需要用到我们的网络代理服务。 一是学校除学生公寓外的教育网用户,由于教育网的限制,目前除了校园网,只能访问国内部分
入侵检测与防火墙技术 姓名: 学号: 专业班级: 学院: 指导教师: 时间:2011年12月4日
(1)题目要求: 构建企业内部网络,该企业网络基本要求 (1)具有私有编制方案; (2)接入Internet(2-3个出口点); (3)网络内部具有敏感数据; (4)同时为Internet提供多网络服务; (5)具有比较严格的安全体系。设计该企业内部网络,并设计防火墙及入侵检测系统部署方案。 (2)描述你的企业内部网络方案并画出网络拓扑图; 企业内部网络为中型网络,采用三层网络设计原则,包括接入层,汇聚层与核心层,(1)核心层主要提供节点之间的高速数据转发。 (2)汇聚层主要负责路由聚合,收敛数据流量。 (3)接入层为用户提供网络访问功能,并执行用户认证和访问控制。 采用分层设计方法可以降低网络的整体复杂性;是网络更容易的处理广播风暴,信号循环等问题;升级容易,管理方便。但是不适用于小型的网络和国家级的广域网的设计可靠性不高。 采用网络服务集中,应用服务分散的原则,正确的设置服务器,的位置。 在Internet接入点的路由器前设置防火墙,在核心层设置入侵检测系统 对于接入层的网络划分VLAN,隔离冲突域,并控制访问权限。 拓扑图:
(3)对企业内部划分不同级别的安全区域,并设置不同的安全级别的用户(说明访问控制的资源),同时对用户的权限和作用区域进行相应说明; 在企业内部网络中,将企业内部的网络分为各个部门,每个部门的权限不同,所访问的范围受到限制,例如,人力资源部门可以查看其他部门的人员信息,而其他部门的计算机无法访问该信息。该功能是基于VLAN的划分实现的。 (4)描述防火墙部署方案,简述防火墙的核心技术,并说明在你的网络中防火墙所采用何种核心技术并分析其原因: 防火墙的定义: 从广泛、宏观的意义上说,防火墙是隔离在内部网络与外部网络之间的一个防御系统。 AT&T的工程师William Cheswick 和Steven Bellovin给出了防火墙的明确定义,他们认为防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:(1)防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。 (2)只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。 (3)防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。 简而言之,防火墙是位于两个(或多个)网络间,实施访问控制策略的一个或一组组件集合。 防火墙的核心技术: (1)包括包过滤技术 包过滤技术是最早、最基本的访问控制技术,又称报文过滤技术。其作用是执行边界访问控制功能,即对网络通信数据进行过滤(filtering,亦称筛选)。 包过滤技术的工作对象是数据包。对TCP/IP协议族来说,包过滤技术主要对其数据包包头的各个字段进行操作。 安全过滤规则是包过滤技术的核心,是组织或机构的整体安全策略中网络安全策略部分的直接体现。 包过滤技术必须在操作系统协议栈处理数据包之前拦截数据包,即防火墙模块应该被设置在操作系统协议栈网络层之下,数据链路层之上的位置上。 包过滤防火墙将包头各个字段的内容与安全过滤规则进行逐条地比较判断,直至找到一条相符的规则为止。如果没有相符的规则,则执行默认的规则。 具体实现包过滤技术的设备通常分为过滤路由器和访问控制服务器两类。 (2)状态检测技术 状态检测技术根据连接的“状态”进行检查。当一个连接的初始数据报文到达执
防火墙在校园网中的应用 摘要:利用防火墙技术可以有效的解决校园网安全问题,防火墙是在校园网于 Internet之间实施安全防范的系统。通过在防火墙上采用一定的机制,确保校园网不被外界攻击和破坏。本文着重讨论防火墙在校园网中的应用与实现。 关键字:防火墙、网络、安全、校园网 1 引言 随着互联网技术的飞速发展,校园网在丰富教学资源、拓展教学空间、提高教学管理水平等方面发挥着十分重要的作用。但来自互联网的黑客入侵、病毒破坏、文件篡改和密码盗用等问题正侵扰着校园网的正常运行。对于网络管理者来说,非常希望有一种相应的技术能解决上述问题,这就是现在应用比较广泛的防火墙技术。 2 防火墙基础简介 2.1 网络安全问题 传统的边界安全设备——防火墙,成为整体安全策略中不可缺少的重要模块。目前的防火墙产品的用户主要是企业用户。网络的安全问题程度究竟如何?这是许多IT管理人员每天都会考虑的问题。可以想象防火墙的应用也越来越普及。 2.2 防火墙概述 防火墙是在网络之间执行安全控制策略的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部受到外部非法用户的攻击。防火墙的技术主要有:分组过滤技术、应用代理技术和网络地址转换(NAT)技术。 2.3 防火墙的作用 防火墙从本质上说是一些设备.是外部网络访问内部网络的控制设备。它是用来保护内部的数据、资源和用户信息的工具,可以防止I…上的危险(病毒、资源盗用等)传播到网络内部。这样的设备通常是单独的计算机、路由器或防火墙盒(专用硬件设备)。它们充当访问网络的惟一人口点,并且判断是否接收某个连接请求,只有来自授权主机的连接请求才会被处理,而剩于的连接请求将被丢弃。 通常,防火墙被安装在受保护的内部网络与Internet的连接点上。被保护的网络属于内部网络.所防止的网络是不可信的外部网。保护网络包括阻止非法授权用户访问敏感数据的同时,允许合法用户无障碍地访问网络资源,如肪火墙能够确保电子邮件、文件传输、远程登录或在特定系统问信息交换的安全。 总之,从网络安全的角度来考虑,防火墙是两个网络之间的成分集合,它们的合作应具有的性质是:从里向外或外向里的流量女眦I须通过防火墙;只
第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。
校园网使用指南 1.网络概况 学生宿舍由光纤接入楼栋,教育网带宽1000M,100M交换到桌面; 出口:对学生宿舍网络统一由网络中心出口接入Cernet; 学生宿舍网络通过802.1X协议提供身份认证。 2.基本网络用户服务 服务区域:湖北经济学院宿舍区和教职工公寓楼可以联入校园网络。 服务对象:湖北经济学学生公寓和教职工公寓服务对象的主体为经济学院在校学生。 联入方式:通过局域网接入。 3.校园网络为用户提供的服务 为联网用户提供合法互联网IP,提供认证帐号。 高速的教育网宽带。 免费开通国外访问服务。 4.注册 使用湖北经济学院校园网络资源的所有校园网络用户必须经过注册。校园网络用户注册须按要求认真阅读湖北经济学院相关的网络使用协议,在本人同意的情况下办理上网手续。相关的资料可以到学校网络管理科查阅或者直接从教育技术部网站下载。 校园网络开通流程 1.开通流程 1.1办公区信息点开通 ①各部门、院系、中心、所的办公及科研场所接入校园网请到网管理科领取申请表。 ②按要求填写申请表格,并说明预约时间。 ③负责人员上门服务。 1.2 家属区和学生区持本人证件到网络管理科(实验楼1南5楼)领取申请表格办理开通手续,并自行拷贝安装认证客户端软件;自申请开户后三个工作日内,为申请的用户开通网络。2.学生区网络服务收费标准 我校校园网采取包月制方式进行计费管理。 收费标准为:20元/月 校园网络服务费由校财务处委托网络管理科统一收取,其他任何单位和个人不得私自收费。 3.故障维护对象及范围 3.1办公区计算机软硬件系统故障,办公设备维修请拨打81973858。网络故障报修电话:81973804; 3.2教学区教师授课时出现不能联网及时联系各教学楼多媒体管理室技术人员; 出现大面积断网,请立即拨打故障报修电话81973804,网络管理科即时响应; 3.3家属区和学生区出现网络问题,有多种解决途径。 ①登陆自助服务系统进行报修http://218.197.87.25:8080/selfservice; 注意:登陆名和密码与认证客户端软件用户名和密码相同 ②拨打网络管理科值班电话:81973805; ③QQ咨询:550834432。
引言 随着网络技术的发展和网络产品价格不断的下调,众多高校都开始搭建网络平台,组建自己的校园网络。一个校园网络的组建并不是我们想象中用几个交换机就能实现,它是一项庞大而又复杂的工程,它需要覆盖整个校园,要将校园内的计算机、服务器和其他终端设备连接起来,实现校园内部数据的流通,实现校园网络与互联网络的信息交流,并且它还要涉及到网络的安全,涉及到网络的管理。因此,一个校园网络系统的组建需要从多方面进行考虑。 校园网组建分析 校园在经历一系列改革后,为了进一步提升自身实力,很多高校都开始改建自己的校园,大量新教学楼拔地而其,在新建设的建筑大楼中一般都布有网络线,这给校园组网带来了一定的方便。不过还有一部分老式的建筑大楼并没有布网络线,如果我们在这里也使用有线网络,不但会带来布线的麻烦,还会影响建筑大楼的美观。在一所校园内,总有一部分区域是有线网络不能涉及的范围,如果强行布置有线网,后果非常严重。所以,在上面提到的这些地方需要布置无线局域网,才能让整个校园都被网络覆盖。当然我们也不能在一所高校内全部布置无线局域网,毕竟无线局域网的数据传输速度较慢,并不适合一些高带宽业务的处理。因此,一所校园的校园网应该是一个有线、无线网络的有机结合。 校园网基本拓扑结构 由于校园网络的拓扑结构比较大,我们在这里并没有详细勾勒出每个细节,只是把校园网络的基本结构勾画出来。下图是一个校园网的基本网络拓扑:
拓扑图中的路由器、防火墙和核心交换机构成了校园网的核心,也就是我们平常说的网络中心,网络中心性能的好与坏将直接影响整个校园网的性能,因此,网络中心的组建将是整个校园网组建成败的关键。 路由器处在网络中心的最顶层,它直接与互联网连接,同时内连校园网中的防火墙,所以路由器在校园网中的作用非常重要。我们在选择适合校园使用的路由器时,要根据校园网的规模来决定。例如路由器的带机数量,路由器的性能等,这些都要根据校园网的规模来确定。至于路由器的功能,我们不用考虑太多,由于市场上的产品同质化严重,所以目前市场上的路由器大多都具有带宽控制,MAC地址绑定,Qos机制等多种功能,我们只要将这些功能应用得当,就能最大限度利用路由器。在选择路由器时,我们要考虑路由器的稳定性,对于路由器的稳定问题,是一个比较难回答的问题,我们只能了解其他用户使用路由器之后的感受,不过建议大家选用大厂所生产的路由器,大厂生产的路由器虽然价格要贵一些,但稳定性能够得到保障。最后我们要注意一点,学校采用的什么网络接入,现在很多校园都是专线