校園網(wǎng)絡(luò)安全課程設(shè)計(jì)

1、1 校園網(wǎng)絡(luò)安全威脅1.1校園網(wǎng)簡(jiǎn)介珠海大學(xué)的校園網(wǎng)承載著學(xué)校的教務(wù)、行政、教學(xué)、圖書資料、對(duì)外聯(lián)絡(luò)等方面事的務(wù)處理，它的安全狀況影響著學(xué)校的教學(xué)、教務(wù)、行政管理、對(duì)外交流等活動(dòng)。在珠海大學(xué)網(wǎng)絡(luò)建成的初期，安全問(wèn)題可能還不突出，隨著應(yīng)用的深入，校園網(wǎng)上各種數(shù)據(jù)會(huì)急劇增加。潛在的安全缺陷和漏洞、惡意的攻擊等造成的問(wèn)題開(kāi)始頻繁出現(xiàn)。1.2網(wǎng)絡(luò)攻擊及缺陷校園網(wǎng)受到的攻擊以及安全方面的缺陷主要有：1.有害信息的傳播校園網(wǎng)與Internet融為一體，師生都可以通過(guò)校園網(wǎng)絡(luò)在自己的機(jī)器上進(jìn)入Internet。目前Internet上充斥著各種信息。有些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對(duì)師生的危害

2、非常大。如果安全措施不好，會(huì)讓這些信息在校園內(nèi)傳播。2.病毒破壞通過(guò)網(wǎng)絡(luò)傳播的病毒無(wú)論實(shí)在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入廣域網(wǎng)后，為外界病毒進(jìn)入學(xué)校大開(kāi)方便之門，下載的程序和電子郵件都有可能帶有病毒，而且網(wǎng)絡(luò)病毒的變異速度加快，攻擊機(jī)理復(fù)雜，必須不斷更新病毒庫(kù)。3.惡意入侵學(xué)校涉及的機(jī)密不是很多，來(lái)自外部的非法訪問(wèn)的可能性要少一些，關(guān)鍵是內(nèi)部的非法訪問(wèn)。一些學(xué)生可能會(huì)通過(guò)入侵的手段破壞教務(wù)系統(tǒng)，擾亂教學(xué)工作秩序。4.惡意破壞對(duì)計(jì)算機(jī)硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，這包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、通信

3、媒體、工作站等，它們分布在整個(gè)校園內(nèi)，不可能24小時(shí)專人看管，故意的或非故意的某些破壞，會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。另一方面是利用黑客技術(shù)對(duì)校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個(gè)方面：對(duì)學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改，破壞學(xué)校的形象；向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)癱瘓；利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法信息等。5.口令入侵通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)非法得到用戶口令，或使用口令的窮舉攻擊非法獲得口令入侵，破壞網(wǎng)絡(luò)。2 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)珠海大學(xué)的校園網(wǎng)由四個(gè)物理區(qū)域組成：辦公大樓、圖書館大樓、實(shí)驗(yàn)樓、教學(xué)樓。在整個(gè)網(wǎng)絡(luò)中，各信息點(diǎn)按功能又劃分為行政辦公、實(shí)驗(yàn)教室、普通教室、中心管理機(jī)房、電子閱覽室等不同區(qū)域，各區(qū)域與

4、互聯(lián)網(wǎng)連接的目的也是不一樣的，對(duì)特定區(qū)域，與互聯(lián)網(wǎng)連接將受到一定限制。校園網(wǎng)采用千兆到樓，百兆到桌面的全交換網(wǎng)絡(luò)系統(tǒng)，覆蓋到實(shí)驗(yàn)樓、行政樓、圖書館、廣播樓、教學(xué)樓，共計(jì)光纖鏈路10余條，交換機(jī)80余臺(tái)，網(wǎng)絡(luò)信息點(diǎn)2800多個(gè)。整個(gè)系統(tǒng)包括一批高性能網(wǎng)絡(luò)交換機(jī)、路由器、防火墻、入侵檢測(cè)、存儲(chǔ)、備份和安全認(rèn)證軟件、網(wǎng)絡(luò)版殺毒軟件。當(dāng)前在各種網(wǎng)絡(luò)系統(tǒng)的建設(shè)中使用最多的是星型拓?fù)浣Y(jié)構(gòu)，雖然星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)在布線和網(wǎng)絡(luò)設(shè)備的花費(fèi)多一些，不過(guò)目前各種硬件設(shè)備已經(jīng)非常便宜了，這種花費(fèi)是可以承受的。因而它的優(yōu)點(diǎn)也是十分突出的，主要是當(dāng)網(wǎng)絡(luò)中某個(gè)節(jié)點(diǎn)出現(xiàn)故障時(shí)不會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行，這使得網(wǎng)絡(luò)從總體上可以提供

5、高度的可靠性和沉佘性，這個(gè)性能十分適合校園網(wǎng)這種應(yīng)用環(huán)境，也是校園網(wǎng)的建設(shè)中必須要求做到的。根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo)，本設(shè)計(jì)方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆?shù)結(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 網(wǎng)管工作區(qū)服務(wù)器群核心交換機(jī)防火墻路由器接入交換機(jī)pcpcpcpc辦公子網(wǎng)教學(xué)子網(wǎng)宿舍子網(wǎng)接入交換機(jī)internetinternet3 安全策略及部署圖3.1安全策略1. 采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。2. 采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：（1） 防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)

6、層進(jìn)行訪問(wèn)控制。（2） NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。（3） VPN技術(shù)：虛擬專用網(wǎng)是企業(yè)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過(guò)一個(gè)私有的信道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接，它通過(guò)安全的數(shù)據(jù)信道將遠(yuǎn)程教師、企業(yè)合作的網(wǎng)絡(luò)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的校園網(wǎng)，在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。（4） 網(wǎng)絡(luò)加密技術(shù)：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)中的數(shù)據(jù)傳輸安全性問(wèn)題，也可解決遠(yuǎn)程用戶訪問(wèn)內(nèi)網(wǎng)的安全性問(wèn)題。（5） 認(rèn)證：提供基于身份的認(rèn)證，并在

7、各種認(rèn)證機(jī)制中可選擇使用。（6） 多層次多級(jí)別的企業(yè)級(jí)的防病毒的系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的保護(hù)。（7） 網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和 預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來(lái)攻擊的能力。 3實(shí)時(shí)響應(yīng)與回復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。 4. 建立分層管理和各級(jí)別安全管理中心。3.2安全部署示意圖安全網(wǎng)閘防火墻身份認(rèn)證服務(wù)器服務(wù)器工作站工作站網(wǎng)管計(jì)算機(jī)internetSwitch4 設(shè)備選型及說(shuō)明4.1美國(guó)Cisco Catalyst 6506在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó)Cisco

8、公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)?？梢酝ㄟ^(guò)千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶終端可以通過(guò)10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計(jì)算機(jī)

9、網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問(wèn)路由器，既可以滿足上級(jí)單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。 網(wǎng)絡(luò)核心層：用一臺(tái)Cisco的高端三層交換機(jī)Catalyst 6506作為整個(gè)交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst650

10、6交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用Cisco特有的Netflow技術(shù)，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。 匯聚層：在分配線間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過(guò)光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去，終端用戶可以通過(guò)超5類UTP線纜連接到各層交換機(jī)

11、中去，可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺(tái)Cisco 3660路由器作為廣域互連和外部用戶撥號(hào)訪問(wèn)網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能：1.ADSL接入方式。2. FTTX+LAN接入方式。4.2趨勢(shì)科技網(wǎng)絡(luò)防毒墻1200-S型Network VirusWall 1200提供任何其它設(shè)備廠商無(wú)法比擬的安全保護(hù)功能。它能全面準(zhǔn)確地阻止網(wǎng)絡(luò)蠕蟲及其對(duì)漏洞的利用。它通過(guò)阻止不兼容的設(shè)備進(jìn)入網(wǎng)絡(luò)以防止感染病毒。它同樣還可以在病毒爆發(fā)期間隔離受感受的網(wǎng)絡(luò)段，并自動(dòng)進(jìn)行遠(yuǎn)程清除。Network VirusWall 1200根據(jù)局域網(wǎng)（LAN）

12、或?qū)Ｓ锰摂M網(wǎng)（VPN）網(wǎng)段的網(wǎng)絡(luò)流量進(jìn)行部署，解決威脅網(wǎng)絡(luò)安全的蠕蟲問(wèn)題。采用標(biāo)準(zhǔn)的10/100 Base-T接口，可以承擔(dān)最大256位用戶的一個(gè)網(wǎng)段的保護(hù)。5 安全配置及說(shuō)明5.1操作系統(tǒng)安全配置物理安全服務(wù)器應(yīng)放置在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器應(yīng)當(dāng)保留天以內(nèi)的錄像記錄。另外，機(jī)箱、鍵盤、抽屜等要上鎖，以保證旁人即使在無(wú)人值守時(shí)也無(wú)法使用此計(jì)算機(jī)，鑰匙要放在安全的地方。停止Guest帳號(hào)將Guest帳號(hào)停止掉，任何時(shí)候不允許Guest帳號(hào)登錄系統(tǒng)并給Guest帳號(hào)加上一個(gè)復(fù)雜的密碼，修改Guest帳號(hào)屬性，設(shè)置拒絕遠(yuǎn)程訪問(wèn)。限制用戶數(shù)量去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)，等等

13、。用戶組策略設(shè)置相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的帳號(hào)，刪除已經(jīng)不適用的帳號(hào)。更改管理員帳號(hào)名稱在Windows 2000系統(tǒng)中管理員Administrator帳號(hào)是不能被停用的，應(yīng)修改管理員帳戶并建立一個(gè)名為Administrator的普通用戶，將其權(quán)限設(shè)置為最低，并且加上一個(gè)復(fù)雜密碼。設(shè)置陷阱賬號(hào)所謂的陷阱帳號(hào)是創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。更改文件共享的默認(rèn)權(quán)限將共享文件的權(quán)限從“Everyon更改為授權(quán)用戶”，”Everyone意味著任何有權(quán)進(jìn)入網(wǎng)絡(luò)的用戶都能夠訪問(wèn)這些共享文件。安全密碼

14、好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。安全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果得到了密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，密碼策略是42天必須改密碼。屏幕保護(hù)密碼設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。NTFS分區(qū)把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。 防病毒軟件Windows操作系統(tǒng)沒(méi)有附帶殺毒軟件，一個(gè)好的殺毒軟件不僅能夠殺除一些病毒程序，還可以查殺大量的木馬和黑客工具。設(shè)置了殺毒軟件，黑客使用那些著名的木馬程序就毫無(wú)用武之地了。同時(shí)一定要注意經(jīng)常升級(jí)病毒庫(kù)。備份盤的安全一旦系

15、統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤防在安全的地方。5.2應(yīng)用服務(wù)器系統(tǒng)配置服務(wù)器系統(tǒng)配置安裝操作系統(tǒng)后，安裝裝殺毒軟件和系統(tǒng)漏洞補(bǔ)丁，并升級(jí)病毒庫(kù)對(duì)系統(tǒng)進(jìn)行全面掃描。刪除Windows Server 2003默認(rèn)共享，啟用windows連接防火墻，只開(kāi)放web服務(wù)，修改磁盤權(quán)限并設(shè)置本地安全策略。IIS配置 讓asp腳本以system權(quán)限運(yùn)行：修改asp腳本所對(duì)應(yīng)的虛擬目錄，把應(yīng)用程序保護(hù)修改為低；防止asp木馬：刪除system32scrrun.dll/e/d guests和system32shell32.dll/e/d guests文件；解決HTTP50

16、0內(nèi)部錯(cuò)誤：iis http500內(nèi)部錯(cuò)誤大部分原因主要是由于iwam賬號(hào)的密碼不同步造成的。同步iwam_myserver賬號(hào)在com+應(yīng)用程序中的密碼即可解決問(wèn)題。執(zhí)行cscript c:inetpubadminscriptssynciwam.vbs v命令；增強(qiáng)iis防御SYN Flood的能力：同時(shí)允許打開(kāi)的半連接數(shù)量使用微軟建議值，服務(wù)器設(shè)為100，高級(jí)服務(wù)器設(shè)為500；判斷是否存在攻擊的觸發(fā)點(diǎn)使用微軟建議值，服務(wù)器為80，高級(jí)服務(wù)器為400；設(shè)置等待SYN-ACK時(shí)間項(xiàng)值為2，消耗時(shí)間為21秒；設(shè)置TCP重傳單個(gè)數(shù)據(jù)段的次數(shù)。缺省項(xiàng)值為5，缺省這一過(guò)程消耗時(shí)間240秒。微軟站點(diǎn)安全

17、推薦為3。設(shè)置syn攻擊保護(hù)的臨界點(diǎn)：當(dāng)可用的backlog變?yōu)?時(shí)，此參數(shù)用于控制syn攻擊保護(hù)的開(kāi)啟，微軟站點(diǎn)安全推薦為5；禁止IP源路由。缺省項(xiàng)值為1，設(shè)置為2，表示丟棄所有接受的源路由包；限制處于TIME_WAIT狀態(tài)的最長(zhǎng)時(shí)間。缺省為240秒，最低為30秒，最高為300秒。建議設(shè)為30秒；隱藏iis版本：使用16進(jìn)制編輯器修改iis存放IIS BANNER的dll文件；其他設(shè)置：自己新建的網(wǎng)站目錄不應(yīng)在系統(tǒng)盤，刪除系統(tǒng)盤inetpub目錄；刪除不用的映射在應(yīng)用程序配置里，只給必要的腳本執(zhí)行權(quán)限：ASP、ASPX；為網(wǎng)站創(chuàng)建系統(tǒng)用戶并只提供讀取和寫入的權(quán)限；設(shè)置應(yīng)用程及子目錄的執(zhí)行權(quán)限 ：主應(yīng)用程序目錄中的屬性-應(yīng)用程序設(shè)置-執(zhí)行權(quán)限設(shè)為純腳本 ；在不需要執(zhí)行asp、的子目錄中執(zhí)行權(quán)限設(shè)為無(wú)。總結(jié)沒(méi)有安全保證的校園網(wǎng)絡(luò)就像沒(méi)有剎車的車子跑在高速公路上。互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)校園網(wǎng)絡(luò)中師生的工作和