本科計(jì)算機(jī)網(wǎng)絡(luò)工程畢業(yè)論文

摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及，計(jì)算機(jī)網(wǎng)絡(luò)帶來了無窮的資源，但隨之而來的網(wǎng)絡(luò)安全問題也顯得尤為重要。安全是網(wǎng)絡(luò)運(yùn)行的前提，網(wǎng)絡(luò)安全不僅僅是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)絡(luò)的安全，需要從多方進(jìn)行立體的防護(hù)。文中就局域網(wǎng)網(wǎng)絡(luò)安全的當(dāng)前形式及面臨的各種威脅，網(wǎng)絡(luò)安全防范措施、技術(shù)，闡述了局域網(wǎng)網(wǎng)絡(luò)安全當(dāng)前在我們生活中的重要性。關(guān)鍵詞：局域網(wǎng)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全AbstractAlongwithcalculatornetworkcontinuouslydevelopmentanduniversality,thecalculatornetworkbroughtanendlessresources,butthenetworksafeproblemforfollowingalsoseemstobeisimportance.Thesafetyisanetworkmovementofpremise,thenetworksafetyisn'tonlyanonlyalittlebitsinglesafety,butthewholesafetyofinformationnetwork,needfrominmanywayscarryonastereoscopicprotection.Inthetextthecurrentformofareanetnetworksafetyinbureauandfaceofvariousthreat,thenetworksafetyguardsagainstameasure,techniqueandelaboratedthattheareanetnetworksafetyinbureauisintheimportanceinourlifeatpresent.Keyword：LANInternetSecurityNetworkSecurity目錄第一章網(wǎng)絡(luò)安全 錯(cuò)誤!未定義書簽。第一節(jié)網(wǎng)絡(luò)安全的定義 錯(cuò)誤!未定義書簽。第二節(jié)局域網(wǎng)安全威脅及安全攻擊 錯(cuò)誤!未定義書簽。一局域網(wǎng)安全威脅 錯(cuò)誤!未定義書簽。二安全攻擊 錯(cuò)誤!未定義書簽。第三節(jié)局域網(wǎng)當(dāng)前形式及面臨的問題 錯(cuò)誤!未定義書簽。第二章網(wǎng)絡(luò)安全的防護(hù)措施 錯(cuò)誤!未定義書簽。第一節(jié)網(wǎng)絡(luò)體系結(jié)構(gòu) 錯(cuò)誤!未定義書簽。一網(wǎng)絡(luò)層次結(jié)構(gòu) 錯(cuò)誤!未定義書簽。二服務(wù)、接口和協(xié)議 錯(cuò)誤!未定義書簽。三網(wǎng)絡(luò)參考模型 錯(cuò)誤!未定義書簽。第二節(jié)網(wǎng)絡(luò)安全模型 錯(cuò)誤!未定義書簽。第三節(jié)局域網(wǎng)安全防范措施 錯(cuò)誤!未定義書簽。一防火墻系統(tǒng) 錯(cuò)誤!未定義書簽。二入侵檢測(cè)系統(tǒng) 錯(cuò)誤!未定義書簽。第三章基于某學(xué)校網(wǎng)絡(luò)安全的研究 錯(cuò)誤!未定義書簽。第一節(jié)校園網(wǎng)絡(luò)安全防范體系的建立 錯(cuò)誤!未定義書簽。一校園網(wǎng)絡(luò)安全策略概述 錯(cuò)誤!未定義書簽。二對(duì)于校園網(wǎng)的解決方案 錯(cuò)誤!未定義書簽。第二節(jié)某校網(wǎng)絡(luò)安全設(shè)計(jì)方案 錯(cuò)誤!未定義書簽。一網(wǎng)絡(luò)安全設(shè)計(jì)原則 錯(cuò)誤!未定義書簽。二網(wǎng)絡(luò)安全建設(shè)方案 錯(cuò)誤!未定義書簽。結(jié)束語 錯(cuò)誤!未定義書簽。謝辭 錯(cuò)誤!未定義書簽。參考文獻(xiàn) 錯(cuò)誤!未定義書簽。第一章網(wǎng)絡(luò)安全隨著Internet的興起，網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注，采取安全技術(shù)來防止對(duì)數(shù)據(jù)的破壞已成為網(wǎng)絡(luò)應(yīng)用中的當(dāng)務(wù)之急。第一節(jié)網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的行為而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全[1]第二節(jié)局域網(wǎng)安全威脅及安全攻擊一局域網(wǎng)安全威脅（一） 來自互聯(lián)網(wǎng)的安全威脅局域網(wǎng)是與Internet互連的。由于Internet的開放性、國(guó)際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，很容易遭到來自Internets上黑客的各種攻擊。他們可以通過嗅探程序來探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放的TCP端口號(hào)、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)，甚至使系統(tǒng)癱瘓。（二） 來自局域網(wǎng)內(nèi)部的安全威脅內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)，利用網(wǎng)絡(luò)開些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這都將給網(wǎng)絡(luò)造成極大的安全威脅。（三）計(jì)算機(jī)病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁，或未及時(shí)更新防病毒軟件的病毒庫而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（CrimeSoftware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。二安全攻擊安全攻擊是安全威脅的具體體現(xiàn)，他主要包括以下幾種類型：被動(dòng)攻擊、主動(dòng)攻擊、物理臨近攻擊和分發(fā)攻擊[2]（一）被動(dòng)攻擊被動(dòng)攻擊的主要目標(biāo)是被動(dòng)檢視公共媒體上傳送的信息。抵抗這類攻擊的對(duì)策是使用虛擬專用網(wǎng)（VPN）。表列舉了一些特定的被動(dòng)攻擊。表特定的被動(dòng)攻擊舉例攻擊描述檢視明文檢視網(wǎng)絡(luò)的攻擊者獲取未加保護(hù)措施的用戶信息或數(shù)據(jù)解密加密不善的通信數(shù)據(jù)公共域中已具備密碼分析能力口令嗅探這類攻擊包括使用協(xié)議分析工具捕獲用于未授權(quán)使用的口令通信量分析即使不解密下層信息，外部通信模式的觀察也能給對(duì)手提供關(guān)鍵信息。如通信模式的改變可以暗示緊急行動(dòng)（二）主動(dòng)攻擊主動(dòng)攻擊的主要目標(biāo)是企圖避開或打破安全防護(hù)、引入惡意代碼（如計(jì)算機(jī)病毒）以及轉(zhuǎn)換數(shù)據(jù)或系統(tǒng)的完整性。典型對(duì)策包括增強(qiáng)的區(qū)域邊界保護(hù)（如防火墻和邊界護(hù)衛(wèi)）、基于身份認(rèn)證的訪問控制、受保護(hù)的遠(yuǎn)程訪問、質(zhì)量安全管理、自動(dòng)病毒檢測(cè)工具、審計(jì)和入侵檢測(cè)。表類聚了一些特定的主動(dòng)攻擊。

表主動(dòng)攻擊舉例攻擊描述修改傳輸中的數(shù)據(jù)在金融領(lǐng)域，如果能夠修改電子交易，從而改變交易的數(shù)量或?qū)⒔灰邹D(zhuǎn)移到別的賬戶，其后果將是災(zāi)難性的重放（插入數(shù)據(jù)）舊消息的重新插入將耽擱及時(shí)的行動(dòng)會(huì)話劫持這種攻擊包括未授權(quán)使用一個(gè)已經(jīng)建立的會(huì)話偽裝成授權(quán)的用戶或服務(wù)器這類攻擊包括攻擊者自己偽裝成他人，因而得以未授權(quán)訪問資源和信息。一個(gè)攻擊者通過實(shí)施嗅探或其它手段獲得用戶/管理員信息，然后使用該信息作為一個(gè)授權(quán)用戶登陸。這類攻擊也包括用于獲取敏感數(shù)據(jù)的欺騙服務(wù)器，通過與未產(chǎn)生懷疑的用戶建立信任關(guān)系來實(shí)施該攻擊獲取系統(tǒng)應(yīng)用和操作系統(tǒng)軟件攻擊者探求以系統(tǒng)權(quán)限運(yùn)動(dòng)的軟件中存在的脆弱性利用主機(jī)或網(wǎng)絡(luò)信任攻擊者通過操縱文件使虛擬/遠(yuǎn)方主機(jī)提供服務(wù)，從而去利用傳遞的信任利用數(shù)據(jù)執(zhí)行攻擊者將惡意代碼植入看起來無害的供下載的軟件或電子郵件中，從而使用戶去執(zhí)行該惡意代碼。惡意代碼可用于破壞或修改文件，特別是包含權(quán)限參數(shù)值的文件插入或利用惡意代碼攻擊者能進(jìn)入用戶系統(tǒng)并執(zhí)行命令。通過先前發(fā)現(xiàn)的脆弱性并使用該訪問來達(dá)到其攻擊目的利用協(xié)議或基礎(chǔ)設(shè)施的BUGS攻擊者利」用協(xié)議中缺限來欺騙用戶或重定向通信量。惡意代碼在VPN中可以通過更低級(jí)隧道來攫取信息拒絕服務(wù)攻擊者有很多其它的攻擊方法，包括有效地將一個(gè)路由器從網(wǎng)絡(luò)中脫離ICMP炸彈，在網(wǎng)絡(luò)中擴(kuò)散垃圾包以及向郵件中心擴(kuò)散垃圾郵件等（三）物理臨近攻擊在物理臨近攻擊中未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問信息。這種接近可以是秘密進(jìn)入或公開接近，也可以是兩種都有。表列舉了這種攻擊獨(dú)有的典型攻擊實(shí)例。表臨近攻擊舉例攻擊描述修改數(shù)據(jù)或收集信息臨近的攻擊者由于獲得了對(duì)系統(tǒng)的物理訪問從而修改或竊取信息，如IP地址、登錄的用戶名和口令系統(tǒng)干預(yù)這種攻擊來自臨近的攻擊者訪問并干預(yù)系統(tǒng)（如竊聽、降級(jí)等）物理破壞該攻擊者來自獲得對(duì)系統(tǒng)的物理訪問的臨近者，導(dǎo)致對(duì)本地系統(tǒng)的物理破壞（四）分發(fā)攻擊“分發(fā)攻擊”一詞是指在軟件和硬件開發(fā)出來之后和安裝之前這段時(shí)間，或當(dāng)它從一個(gè)地方傳送到另一個(gè)地方，攻擊者惡意修改軟硬件。在工廠，可以通過加強(qiáng)處理配置控制將這類威脅降到最低。通過使用受控分發(fā)，或者由最終用戶檢驗(yàn)的簽名軟件和訪問控制可以消除分發(fā)威脅。表給了這類分發(fā)特有的典型攻擊實(shí)例表分發(fā)攻擊舉例攻擊描述在制造商的設(shè)備上修改軟/硬件當(dāng)軟件和硬件在生產(chǎn)線上流通時(shí)，可以通過修改軟硬件配置來實(shí)施這類攻擊。這一階段威脅的對(duì)策包括嚴(yán)格的完整性控制和在測(cè)試軟件產(chǎn)品中的加密簽名，前者又包括高可靠配置控制在產(chǎn)品分發(fā)時(shí)修改軟/硬件這些攻擊可以通過在產(chǎn)品分發(fā)期內(nèi)（如在裝船時(shí)安裝竊聽設(shè)備）修改軟件和硬件配置來實(shí)施。這一階段威脅的對(duì)策包括在包裝階段使用篡改檢測(cè)技術(shù)，使用授權(quán)和批準(zhǔn)傳遞和使用忙買技術(shù)第三節(jié)局域網(wǎng)當(dāng)前形式及面臨的問題隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會(huì)信息化進(jìn)程的加快，現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計(jì)算機(jī)網(wǎng)絡(luò)?，F(xiàn)今，全球網(wǎng)民數(shù)量已超過15億，網(wǎng)絡(luò)已經(jīng)成為生活中離不開的工具，經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計(jì)算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會(huì)因素的各種影響，計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實(shí)施攻擊和入侵，給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的損害，網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長(zhǎng)，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國(guó)共同關(guān)注的焦點(diǎn)。根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心2010年初發(fā)布的統(tǒng)計(jì)報(bào)告顯示：我國(guó)互聯(lián)網(wǎng)網(wǎng)站已超過三百萬家，上網(wǎng)用戶2億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也無處不在，各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn)，計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)，我國(guó)的網(wǎng)絡(luò)安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)，安全防護(hù)能力不僅大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó)，而且排在印度、韓國(guó)之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高，行為不規(guī)范，網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)，如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個(gè)社會(huì)發(fā)展所要面臨和解決的重大課題。第二章網(wǎng)絡(luò)安全的防護(hù)措施第一節(jié)網(wǎng)絡(luò)體系結(jié)構(gòu)一網(wǎng)絡(luò)層次結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)就是將多臺(tái)計(jì)算機(jī)互連起來，使得用戶程序能夠交換信息和共享資源。不同系統(tǒng)中的實(shí)體進(jìn)行通信，其過程是相當(dāng)復(fù)雜的，為了簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)，人們采用工程設(shè)計(jì)中常用的結(jié)構(gòu)化設(shè)計(jì)方法，即將復(fù)雜的通信問題分解成若十個(gè)容易處理的子問題，然后逐個(gè)加以解決。網(wǎng)絡(luò)設(shè)計(jì)中采用的結(jié)構(gòu)化設(shè)計(jì)方法，就是將網(wǎng)絡(luò)按照功能分成一系列的層次，每一層次完成一個(gè)特定的功能，相鄰層中的較高層直接使用較低層提供的服務(wù)來實(shí)現(xiàn)本層的功能，同時(shí)又向它的上層提供服務(wù)，服務(wù)的提供和使用都是通過相鄰層的接口來進(jìn)行的。這也就是人們通常所說的網(wǎng)絡(luò)層次結(jié)構(gòu)，層次結(jié)構(gòu)是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)。參見圖。這種結(jié)構(gòu)不僅使得網(wǎng)絡(luò)的設(shè)計(jì)與具體的應(yīng)用、基礎(chǔ)的媒體技術(shù)以及互聯(lián)技術(shù)等無關(guān)，具有很大的靈活性，而且每一層的功能簡(jiǎn)單、易于實(shí)現(xiàn)和維護(hù)⑶。二服務(wù)、接口和協(xié)議每一層中的活動(dòng)元素稱為實(shí)體，實(shí)體可以是軟件實(shí)體（如進(jìn)程），也可以是硬件實(shí)體（如智能I/O芯片）位于不同系統(tǒng)上同一層中的實(shí)體稱為對(duì)等實(shí)體，不同系統(tǒng)間進(jìn)行通信實(shí)際上是各對(duì)等實(shí)體間在通信。在某層上進(jìn)行通信所使用的規(guī)則的集合稱為該層的協(xié)議，各層協(xié)議按層次順序排列而成的協(xié)議序列稱為協(xié)議棧⑷。事實(shí)上，除了在最底層的物理媒體上進(jìn)行的是實(shí)通信之外，其余各對(duì)等實(shí)體間進(jìn)行的都是虛通信，即并沒有數(shù)據(jù)流從一個(gè)系統(tǒng)的第N層直接流到另一個(gè)系統(tǒng)的第N層。每個(gè)實(shí)體只能和同一個(gè)系統(tǒng)中上下相鄰的實(shí)體進(jìn)行直接的通信，不同系統(tǒng)中的對(duì)等實(shí)體是沒有直接通信能力的，它們間的通信必須通過其下各層的通信間接完成。第N層實(shí)體向第（N+1）層實(shí)體提供的在第N層上的通信能力稱為第N層的服務(wù)。由此可見，第（N+1）層實(shí)體通過請(qǐng)求第N層的服務(wù)完成第（N+1）層上的通信，而第N層實(shí)體通過請(qǐng)求第（N-1）層的服務(wù)完成第N層上的通信，以此類推直到最底層，最底層上的對(duì)等實(shí)體通過連接它們的物理媒體直接通信。在第N層協(xié)議中所傳送的每一信息被稱作第N層協(xié)議數(shù)據(jù)單元PDU（ProtocolDataUnit）。相鄰實(shí)體間的通信是通過它們的邊界進(jìn)行的，該邊界稱為相鄰層間的接口。在接口處規(guī)定了下層向上層提供的服務(wù)，以及上下層實(shí)體請(qǐng)求（提供）服務(wù)所使用的形式規(guī)范語句，這些形式規(guī)范語句稱為服務(wù)原語。因此可以說，相鄰實(shí)體通過發(fā)送或接收服務(wù)原語進(jìn)行交互作用。而下層向上層提供的服務(wù)分為兩大類：面向連接的服務(wù)和無連接的服務(wù)。面向連接的服務(wù)是電話系統(tǒng)服務(wù)模式的抽象，每一次完整的數(shù)據(jù)傳輸都必須經(jīng)過建立連接、使用連接和終止連接三個(gè)過程。在數(shù)據(jù)傳輸過程中，各數(shù)據(jù)分組不攜帶信宿地址，而使用連接號(hào)。本質(zhì)上，服務(wù)類型中的連接是一個(gè)管道，發(fā)送者在一端放入數(shù)據(jù)，接收者從另一端取出數(shù)據(jù)，其特點(diǎn)是：收發(fā)數(shù)據(jù)不但順序一致而且內(nèi)容相同。無連接服務(wù)是郵政系統(tǒng)服務(wù)模式的抽象，其中每個(gè)數(shù)據(jù)分組都攜帶完整的信宿地址，各數(shù)據(jù)分組在系統(tǒng)中獨(dú)立傳送。無連接服務(wù)不能保證數(shù)據(jù)分組的先后順序，由于先后發(fā)送的數(shù)據(jù)分組可能經(jīng)不同去往信宿，所以先發(fā)的未必先到。在對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行層次結(jié)構(gòu)的劃分時(shí)，應(yīng)做到：層次功能明確，相互獨(dú)立；層間接口清晰，穿越接口的信息量盡量少；層次適中。雖然模型系統(tǒng)在結(jié)構(gòu)上是分層的，但這并不要求現(xiàn)實(shí)系統(tǒng)在工程實(shí)現(xiàn)時(shí)也采用同樣的層次結(jié)構(gòu)。它們可以由實(shí)現(xiàn)者按其選擇的任何方式來構(gòu)造，只要這種實(shí)現(xiàn)的最終性能與模型系統(tǒng)所定義的性能相吻合即可。通常人們將網(wǎng)絡(luò)的層次結(jié)構(gòu)、協(xié)議棧和相鄰層間的接口以及服務(wù)統(tǒng)稱為網(wǎng)絡(luò)體系結(jié)構(gòu)。三網(wǎng)絡(luò)參考模型目前最有代表性的網(wǎng)絡(luò)參考模型是OSI參考模型和TCP/IP參考模型，但TCP/IP參考模型更流行。以下簡(jiǎn)要介紹這兩種參考模型[5]（一）OSI參考模型OSI（OpenSystemInterconnection,開放系統(tǒng)互聯(lián)）OSI參考模型分為七層，由低到高依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層，參見圖。OSI參考模型只是規(guī)定了網(wǎng)絡(luò)的層次劃分，以及每一層上所實(shí)現(xiàn)的功能，但它沒有規(guī)定每一層上所實(shí)現(xiàn)的服務(wù)和協(xié)議，因此它本身并不是一個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)。各層的主要功能如下：層第七層第六層層第七層第六層第五層第四層第三層第二層第一層開放系統(tǒng)A 開放系統(tǒng)B圖OSI參考模型1應(yīng)用層是OSI參考模型的最高層，它的作用是為應(yīng)用進(jìn)程提供訪問OSI環(huán)境的方法；2表示層為上層用戶提供數(shù)據(jù)或信息語法的表示轉(zhuǎn)換；3會(huì)話層是進(jìn)程-進(jìn)程層，進(jìn)程間的通信也稱為會(huì)話，會(huì)話層組織和管理不同主機(jī)上各進(jìn)程間的對(duì)話；4傳輸層是第一個(gè)端-端層，也稱為主機(jī)-主機(jī)層，它為上層用戶提供不依賴具體網(wǎng)絡(luò)的高效、經(jīng)濟(jì)、透明的端■端數(shù)據(jù)傳輸服務(wù)（所謂端-端是描述網(wǎng)絡(luò)傳輸中對(duì)等實(shí)體之間關(guān)系的一個(gè)概念。在端-端系統(tǒng)中，初始信源機(jī)上某實(shí)體與最終信宿機(jī)的對(duì)等實(shí)體直接通信，彼此之間就像有一條直接線路，而不管傳輸過程中要經(jīng)過多少接口報(bào)文處理機(jī)（IMP）。與端-端對(duì)應(yīng)的另一個(gè)概念是點(diǎn)-點(diǎn)。在點(diǎn)-點(diǎn)系統(tǒng)中，對(duì)等實(shí)體間的通信由一段一段的直接相連的機(jī)器間的通信組成）；5網(wǎng)絡(luò)層的作用是將數(shù)據(jù)分成一定長(zhǎng)度的分組，將分組穿過通信子網(wǎng)從信源送到信宿；6數(shù)據(jù)鏈路層的作用就是通過一定的手段，將有差錯(cuò)的物理鏈路轉(zhuǎn)化成對(duì)網(wǎng)絡(luò)層來說是沒有傳輸錯(cuò)誤的數(shù)據(jù)鏈路；7物理層的作用是在物理媒介上傳輸原始的數(shù)據(jù)比特流，這一層的設(shè)計(jì)同具體的物理媒介有關(guān)，如用什么信號(hào)表示“1”，用什么信號(hào)表示“0”，信號(hào)電平多少，收發(fā)雙方如何同步。由以上幾點(diǎn)可知，只有最低三層涉及通過通信子網(wǎng)的數(shù)據(jù)傳輸，高三層是端到端的層次，因而通信子網(wǎng)只包括第三層的功能。從實(shí)際的觀點(diǎn)出發(fā)，OSI分層可以按照以下幾點(diǎn)來考慮：1依賴于應(yīng)用的協(xié)議；2與特定媒體相關(guān)的協(xié)議；3在1與2之間的橋接功能。（二）TCP/IP參考模型TCP/IP參考模型沒有明確區(qū)分開服務(wù)、接口和協(xié)議這三個(gè)概念，并且它是專門用來描述TCP/IP協(xié)議棧的，無法用來描述其它非TCP/IP網(wǎng)絡(luò)。因此，盡管TCP/IP模型在工業(yè)上得到了廣泛的應(yīng)用，但人們?cè)谟懻摼W(wǎng)絡(luò)時(shí)常常使用OSI參考模型，因?yàn)樗哂幸话阈?。TCP/IP草靠模型分為四層，它們是應(yīng)用層、傳輸層、網(wǎng)絡(luò)互聯(lián)層和網(wǎng)絡(luò)接口層，參見圖。各層功能如下：應(yīng)用層傳輸層網(wǎng)絡(luò)互聯(lián)層網(wǎng)絡(luò)接口層圖TCP/IP參考模型1應(yīng)用層將OSI的高層-應(yīng)用層、表示層和會(huì)話層的功能結(jié)合了起來，常見的協(xié)議有文件傳輸協(xié)(FTP)、遠(yuǎn)程終端協(xié)議(TELNET)、簡(jiǎn)單電子郵件傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、訪問WWW站點(diǎn)的HTTP等；2傳輸層在功能上等價(jià)于OSI的傳輸層。在這一層上主要定義了兩個(gè)傳輸協(xié)議，一個(gè)是可靠的面向連接的協(xié)議，稱為傳輸控制協(xié)議(TCP)，另一個(gè)是不可靠的無連接協(xié)議，稱為用戶數(shù)據(jù)報(bào)協(xié)議(UDP)；3網(wǎng)絡(luò)互聯(lián)層在功能上等價(jià)與OSI網(wǎng)絡(luò)層中與子網(wǎng)無關(guān)的部分。網(wǎng)絡(luò)互聯(lián)層是TCP/IP參考模型的核心，這一層上的協(xié)議稱為IP。TCP和IP是非常重要的兩個(gè)協(xié)議，以至于TCP/IP參考模型和TCP/IP協(xié)議族就以這兩個(gè)的名稱來命名；4網(wǎng)絡(luò)接口層在功能上等價(jià)于OSI的子網(wǎng)絡(luò)技術(shù)功能層。它包括OSI模型中的網(wǎng)絡(luò)層中與子網(wǎng)有關(guān)的下部子層、數(shù)據(jù)鏈路層和物理層。負(fù)責(zé)將IP分組封裝成適合在物理網(wǎng)絡(luò)上傳輸?shù)膸袷讲鬏?，或?qū)奈锢砭W(wǎng)絡(luò)接收到的幀解封，取出IP分組交給網(wǎng)絡(luò)互聯(lián)層。第二節(jié)網(wǎng)絡(luò)安全模型消息將通過某種類型的互聯(lián)網(wǎng)從一方傳輸?shù)搅硪环?。這兩方都是事務(wù)的主體，必須合作以便進(jìn)行消息交換?？梢酝ㄟ^在互聯(lián)網(wǎng)上定義一條從信息源到信息目的地之間的路由以及兩個(gè)信息主體之間使用的某種通信協(xié)議(例如，TCP/IP)，來建立一條邏輯信息通道。如圖所示⑹當(dāng)需要或者希望防范可能對(duì)信息機(jī)密性、真實(shí)性等產(chǎn)生威脅的攻擊者的時(shí)候，安全方面的因素便會(huì)起作用。所有用于提供安全性的技術(shù)都包含以下兩個(gè)主要部分：第一對(duì)待發(fā)送信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換。其示例包括：消息加密，使得對(duì)于攻擊者而言該消息不可讀；建立在消息內(nèi)容上面的附加碼，它可以用來驗(yàn)證發(fā)送者的身份。第二兩個(gè)主體共享一些不希望被攻擊者所知的秘密信息。其示例包括與消息變化一起使用的加密密鑰，它在傳輸之前用于打亂消息而在接收之后用于恢復(fù)消息。

可信的第三方（例如沖裁者、秘密信息的發(fā)送者）■發(fā)送者*者安全相關(guān)的轉(zhuǎn)換 秘 ，接'..r受信息誦道 安全相關(guān)者|信心、通^道 ,,4-4--Ma秘的轉(zhuǎn)換消一/ b卜密—芯 」"密——/ 消息'’消■氣1 , *消Cr*息▲ 息 J. 息 A秘密信息 攻擊者 秘密信息圖網(wǎng)絡(luò)安全模型為了達(dá)到安全傳輸可能需要可信的第三方。例如，第三方可能需要負(fù)責(zé)分發(fā)秘密信息給兩個(gè)主體，同時(shí)對(duì)攻擊者隱藏這些信息。通用模型表明設(shè)計(jì)特定的安全服務(wù)時(shí)有四個(gè)基本的任務(wù)：第一設(shè)計(jì)用來執(zhí)行與安全相關(guān)的轉(zhuǎn)換的算法，這種算法應(yīng)該是不會(huì)被攻擊者擊破的。第二生成用于該算法的秘密信息。第三開發(fā)分發(fā)和共享秘密信息的方法。第四指定一種能被兩個(gè)主體使用的協(xié)議，這種協(xié)議使用安全算法和秘密信息以便獲得特定的安全服務(wù)。另一種有害訪問是利用計(jì)算機(jī)系統(tǒng)邏輯上的弱點(diǎn)，這不僅能夠影響應(yīng)用程序，而且還能夠影響實(shí)用程序，例如編輯器和編譯器。程序存在兩種形式的威脅：第一，信息訪問威脅：本不該訪問某些數(shù)據(jù)用戶截取或修改數(shù)據(jù)。第二，服務(wù)威脅：利用計(jì)算機(jī)的服務(wù)缺陷阻止合法用戶的使用。病毒和蠕蟲是軟件攻擊的兩個(gè)具體示例。由于磁盤的有用軟件可能隱藏著有害邏輯，因此可以通過這些磁盤小系統(tǒng)引入這種攻擊。他們同樣可以通過網(wǎng)絡(luò)進(jìn)入到系統(tǒng)中；后一種機(jī)制在網(wǎng)絡(luò)安全中更受關(guān)注。、、病毒以及其他二道防線包含各以此來檢測(cè)有害入侵者的存在。解決有害訪問的安全機(jī)制主要有兩大范疇。第一類范疇是它包含基于口令的登錄過程，它們?cè)O(shè)計(jì)成拒絕除授權(quán)用戶外的制、件（（如病，它們?cè)O(shè)計(jì)用來檢測(cè)和拒絕蠕蟲個(gè)有害的用戶或者有訪問通道獲得訪問權(quán)，.第能夠檢視和分析存儲(chǔ)的信息，I

、、病毒以及其他二道防線包含各以此來檢測(cè)有害入侵者的存在。攻擊者

人（如黑客）

軟件（如病

毒、蠕蟲）訪問通道看門人功能計(jì)算機(jī)資源（處理器、內(nèi)存、I/O）數(shù)據(jù)進(jìn)層軟件內(nèi)部安全控制圖網(wǎng)絡(luò)訪問安全模型訪問通道看門人功能計(jì)算機(jī)資源（處理器、內(nèi)存、I/O）數(shù)據(jù)進(jìn)層軟件內(nèi)部安全控制第三節(jié)局域網(wǎng)安全防范措施一防火墻系統(tǒng)（一）防火墻概述防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺(tái)和多臺(tái)計(jì)算機(jī)構(gòu)成，它對(duì)內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測(cè)、管理和控制，通過對(duì)數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。（二）防火墻的體系結(jié)構(gòu)1雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。2被屏蔽主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接（什么是〃可允許連接〃將由你的站點(diǎn)的特殊的安全策略決定）到外部世界。3被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器（三）防火墻的功能1數(shù)據(jù)包過濾技術(shù)數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過的技術(shù)選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則后，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對(duì)于一個(gè)危險(xiǎn)的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址，端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過，只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地，其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。2網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊(cè)的IP的地址標(biāo)準(zhǔn)，用戶必須要為網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。3代理技術(shù)代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能，代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)時(shí)的中轉(zhuǎn)連接作用。代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求，當(dāng)一個(gè)連接到來時(shí)，首先進(jìn)行身份驗(yàn)證，并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時(shí)，代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請(qǐng)求，服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。另一種情況是，外部網(wǎng)通過代理訪問內(nèi)部網(wǎng)，當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請(qǐng)求時(shí)，代理服務(wù)器首先對(duì)該用戶身份進(jìn)行驗(yàn)證。若為合法用戶，則把該請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個(gè)服務(wù)過程中，應(yīng)用代理一直監(jiān)控著用戶的操作，一旦用戶進(jìn)行非法操作，就可以進(jìn)行干涉，并對(duì)每一個(gè)操作進(jìn)行記錄。若為不合法用語，則拒絕訪問。二入侵檢測(cè)系統(tǒng)（一）入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（二）入侵檢測(cè)原理入侵檢測(cè)跟其他檢測(cè)技術(shù)有同樣的原理。從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時(shí)候會(huì)留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，檢測(cè)引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。第三步是結(jié)果處理，控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的告警。第三章基于某學(xué)校網(wǎng)絡(luò)安全的研究第一節(jié)校園網(wǎng)絡(luò)安全防范體系的建立一校園網(wǎng)絡(luò)安全策略概述具體的安全由以下幾個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全、信息安全[7]（一） 物理安全物理安全策略主要指網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備的安全以及不同網(wǎng)絡(luò)之間的隔離進(jìn)行控制的策略。物理安全直接關(guān)系到網(wǎng)絡(luò)的安全，如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能，那么他直接對(duì)設(shè)備進(jìn)行破壞要比通過網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行破壞容易得多。（二） 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指系統(tǒng)（主機(jī)、服務(wù)器）安全、反病毒、系統(tǒng)安全檢測(cè)、審計(jì)分析網(wǎng)絡(luò)運(yùn)行安全、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)安全、訪問控制（防火墻）、網(wǎng)絡(luò)安全檢測(cè)、入侵檢測(cè)。（三） 信息安全主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲(chǔ)安全、數(shù)據(jù)庫安全、終端安全、信息的防泄密、信息內(nèi)容審計(jì)、用戶授權(quán)。二對(duì)于校園網(wǎng)的解決方案計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需要采用分層次的拓?fù)浞雷o(hù)措施，即一個(gè)完整的網(wǎng)絡(luò)安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。網(wǎng)絡(luò)安全防護(hù)分層如下表所示：表網(wǎng)絡(luò)安全分層結(jié)構(gòu)物理層安全主要指網(wǎng)絡(luò)設(shè)備通訊線路的安全網(wǎng)絡(luò)層安全防火墻、VLAN、路由安全系統(tǒng)層安全操作系統(tǒng)的安全應(yīng)用層安全防病毒、應(yīng)用系統(tǒng)的安全（一）物理層安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。（二）網(wǎng)絡(luò)層安全主要包括：限制非法用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。1合理劃分VLANVLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需要的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個(gè)VLAN內(nèi)部的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于IP組播劃分VLAN。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全是好處是顯而易見的：第一，信息只有到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。第二，通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。2防火墻與IDS安裝防火墻進(jìn)行安全保護(hù)，它是一種在校園內(nèi)部網(wǎng)和Internet之間實(shí)施的信息安全防范系統(tǒng)技術(shù)，通過檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。IDS所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報(bào)告外，本身不能對(duì)入侵米取任何的防御措施。3路由器訪問控制列表路由器是內(nèi)部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對(duì)網(wǎng)絡(luò)的安全具有舉足輕重的作用，路由器本身就可以對(duì)數(shù)據(jù)包進(jìn)行過濾和有效地防止外部用戶對(duì)校園網(wǎng)的安全訪問，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設(shè)備可以作為控制VLAN之間訪問的初級(jí)屏障，因此，我們可以利用路由器來提高網(wǎng)絡(luò)的安全性。（三） 系統(tǒng)層安全操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心和基礎(chǔ)工具，因此操作系統(tǒng)的漏洞往往成為危害計(jì)算機(jī)和網(wǎng)絡(luò)安全的手段和環(huán)節(jié)。保護(hù)計(jì)算機(jī)操作系統(tǒng)的安全，對(duì)于網(wǎng)絡(luò)的安全尤為重要。（四） 應(yīng)用層安全1網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問題。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計(jì)算機(jī)病毒的侵害，同時(shí)也是為了建立一個(gè)集中有效的防病毒控制機(jī)制，需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)可以防范病毒的感染，同時(shí)通過這些主機(jī)傳遞的文件也可以避免被病毒侵害，并且可以建立一個(gè)集中有效的防病毒控制機(jī)制，從而保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。2應(yīng)用系統(tǒng)防護(hù)策略對(duì)于應(yīng)用系統(tǒng)，由于其數(shù)據(jù)包含用戶信息、各種應(yīng)用數(shù)據(jù)，是非常關(guān)鍵和重要