本科畢業(yè)設(shè)計-校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)

目錄摘要 IAbstract II1.緒論 11.1選題背景 11.2選題目的 11.3本文組織結(jié)構(gòu) 12.可行性分析 22.1社會可行性 22.2技術(shù)可行性 22.3操作可行性 22.4系統(tǒng)開發(fā)平臺及運行環(huán)境 22.4.1系統(tǒng)開發(fā)工具及平臺 22.4.2運行環(huán)境 23.校園概況和網(wǎng)絡(luò)拓撲 33.1校園基本構(gòu)造 33.2校園組成機構(gòu) 33.3網(wǎng)絡(luò)體系結(jié)構(gòu) 33.4網(wǎng)絡(luò)拓撲總圖 44.網(wǎng)絡(luò)安全基礎(chǔ) 54.1網(wǎng)絡(luò)安全的定義 54.2網(wǎng)絡(luò)安全的屬性 54.3網(wǎng)絡(luò)信息安全因素 64.4網(wǎng)絡(luò)信息安全機制 65.安全需求與安全目標 85.1網(wǎng)絡(luò)安全需求 85.2網(wǎng)絡(luò)安全策略 85.3系統(tǒng)安全目標 86.網(wǎng)絡(luò)訪問安全 96.1VPN概述 96.1.1VPN簡介 96.1.2VPN的特點與應(yīng)用 96.2路由器實現(xiàn)VPN 97.Cisco安全設(shè)備 127.1防火墻設(shè)計 128.網(wǎng)絡(luò)攻擊與防范 168.1黑客攻擊手段 168.2.1“ARP攻擊”的方式和原理 168.2.2利用“ARP欺騙”入侵實際操作 178.2.3“ARP攻擊”防范方法 199.結(jié)論 21參考文獻 22致謝 23摘要隨著網(wǎng)絡(luò)技術(shù)蓬勃發(fā)展，校園網(wǎng)的迅速發(fā)展和普及，對學校日常工作學習和管理而言也起了重要的作用。但不可忽視的是，隨著網(wǎng)絡(luò)的普及，其安全問題也日益突出。如何讓校園網(wǎng)正常高效的運行，充分發(fā)揮其教學、管理和服務(wù)等功能，已成為不可忽視的一個問題。本設(shè)計著重分析了如今校園網(wǎng)中存在的安全隱患，提出理論性與實踐性的依據(jù)，并針對網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)訪問安全進行了詳細的描述，設(shè)計出一個安全、便捷的網(wǎng)絡(luò)管理方案，其中涉及到的技術(shù)有VLAN、STP、VTP、HSRP、ARP欺騙、MAC欺騙等。本設(shè)計方案通過模擬設(shè)計環(huán)境，使用虛擬機Vmware實現(xiàn)了模擬黑客進攻和被攻擊者的防御手段。希望能對校園網(wǎng)的安全管理有所幫助，為師生創(chuàng)造一個安全、高效、干凈的上網(wǎng)環(huán)境。關(guān)鍵詞：網(wǎng)絡(luò)安全；交換機；VPN；HSRP；OSPFAbstractWiththevigorousdevelopmentofnetworktechnology,therapiddevelopmentofthecampusnetworkandpopularization,dailyworktoschoolforlearningandmanagementalsoplayanimportantrole.Butimportant,alongwiththenetworkpopularization,thesecurityissuesarebecomingincreasinglyprominent.Howtomakethecampusnetworknormalandefficientoperationandmakefulluseofitsteaching,managementandservice,andotherfunctions,hasbecomeaproblemcannotbeignored.Thisdesignfocusesonanalyzingthenowexistinginthecampusnetworksecurityproblems,putsforwardthetheoreticalandpracticalbasis,andinthelightofthenetworkequipmentsafetyandnetworkaccesssecurityaredescribed,designasafe,convenientnetworkmanagementplan,whichinvolvestechnologyhaveVLAN,STP,VTP,HSRP,theARPdeception,MACcheat,etc.Thisdesignschemethroughthesimulationdesignenvironment,usethevirtualmachineVmwarerealizethehackerattacksandthesimulationbyanattackerdefenses.Inhopesofcampusnetworksecuritymanagementhelp,fortheteachersandstudentscreateasafe,efficientandcleantheInternetenvironment.Keywords：Networksecurity;Switches;VPN;HSRP;OSPF1.緒論1.1選題背景經(jīng)過多年的信息化建設(shè)之后，我們國內(nèi)大多數(shù)高等院?；旧隙冀ǔ闪俗约旱男@網(wǎng)。但隨著其應(yīng)用的深入，校園網(wǎng)絡(luò)的安全性和可靠性也成為院校領(lǐng)導共同關(guān)心的問題。校園網(wǎng)絡(luò)的安全直接影響著學校的日常教學、管理、科研活動的開展。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會由于偶然的或者惡意的原因而遭到破壞、更改和泄露。系統(tǒng)能夠連續(xù)、可靠、正常地運行，使網(wǎng)絡(luò)服務(wù)不中斷。個人信息資料和學院相關(guān)網(wǎng)絡(luò)文件一旦遺失或被盜，學院就會因此蒙受巨大損失，甚至間接的影響到該校教師和學生的人身安全。因此，在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理構(gòu)建安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。1.2選題目的目前，全國各媒體，網(wǎng)站對國內(nèi)校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)進行相關(guān)調(diào)查，發(fā)現(xiàn)目前國內(nèi)各校園對自己校園網(wǎng)的系統(tǒng)安全設(shè)計都有著適合自己的特色以及功能。目前相關(guān)的校園網(wǎng)安全系統(tǒng)的設(shè)計與實現(xiàn)的相關(guān)資料也比比皆是，由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，越來越多的新的設(shè)計理念和創(chuàng)新的想法也逐步被人們領(lǐng)略到。這些都為安全系統(tǒng)設(shè)計和實現(xiàn)提供了充足的材料和理論基礎(chǔ)。我們的目的就是在這現(xiàn)有的條件，根據(jù)自己學到的知識，以華南師范大學增城學院為研究對象去設(shè)計出一個校園網(wǎng)的系統(tǒng)安全設(shè)計方案。1.3本文組織結(jié)構(gòu)本文主要介紹校園局域網(wǎng)局域網(wǎng)：局域網(wǎng)：是指在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。本論文的主要內(nèi)容分為八章。第二章詳細的從各個方面分析了我們這個方案的可行性。第三章以華南師范大學增城學院為研究對象，簡述校園的基本構(gòu)造和設(shè)計網(wǎng)絡(luò)拓撲。第四章和第五章主要結(jié)合參考文獻，整體對網(wǎng)絡(luò)的安全基礎(chǔ)以及安全需求和安全目標做出詳細的說明第六章主要對VPN的設(shè)計和用路由器實現(xiàn)VPN。第七章CISCO安全設(shè)備防火墻的設(shè)計。第八章通過用虛擬機的模擬來實現(xiàn)網(wǎng)絡(luò)攻擊與防范。2.可行性分析可行性分析就是在系統(tǒng)調(diào)查的基礎(chǔ)上，針對新系統(tǒng)的開發(fā)是否具備必要性和可能性，對新系統(tǒng)的開發(fā)從技術(shù)、經(jīng)濟、社會的方面進行分析和研究，以避免投資失誤，保證新系統(tǒng)的開發(fā)成功。可行性研究的目的就是用最小的代價在盡可能短的時間內(nèi)確定問題是否能夠解決。該系統(tǒng)的可行性分析包括以下幾個方面的內(nèi)容。2.1社會可行性隨著計算機技術(shù)的發(fā)展和網(wǎng)絡(luò)人口的增加，網(wǎng)絡(luò)世界也越來越廣博，越來越豐富，校園實現(xiàn)網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)教學已經(jīng)是一股潮流了。相信要不了太長有時間，每個校園都會有屬于自己的局域網(wǎng)絡(luò)，都會實現(xiàn)網(wǎng)絡(luò)辦公，網(wǎng)絡(luò)教學。校園網(wǎng)絡(luò)系統(tǒng)主要目的是進行保護校園的網(wǎng)絡(luò)安全，并且嚴格按照國家法律法規(guī)來進行研究和實踐，并無法律和政策方面的限制。2.2技術(shù)可行性本系統(tǒng)在PacketTracer上設(shè)計，并在虛擬機Vmware模擬實現(xiàn)，Windows2003Server操作系統(tǒng)。由于在PacketTrace建立網(wǎng)絡(luò)拓撲，能很方便的設(shè)計、配置網(wǎng)絡(luò)模擬環(huán)境；Vmware能為我們的設(shè)計做出類似于實際環(huán)境的模擬測試。所以使用這兩個軟件可以說明很好的證明該設(shè)計方案和實現(xiàn)的可行性。硬件方面，科技飛速發(fā)展的今天，硬件更新的速度越來越快，容量越來越大，可靠性越來越高，價格越來越低，其硬件平臺完全能滿足此系統(tǒng)的需要。2.3操作可行性目前，大多數(shù)計算機都能運行該系統(tǒng)，該安全系統(tǒng)的安裝、調(diào)試、運行不會改變原計算機系統(tǒng)的設(shè)置和布局，由相關(guān)人員指導便能夠方便的操作此系統(tǒng)。2.4系統(tǒng)開發(fā)平臺及運行環(huán)境2.4.1系統(tǒng)開發(fā)工具及平臺系統(tǒng)設(shè)計是在PacketTracer上的。PacketTracer是由Cisco公司發(fā)布的一個輔助學習工具，為學習思科網(wǎng)絡(luò)課程的初學者去設(shè)計、配置、排除網(wǎng)絡(luò)故障提供了網(wǎng)絡(luò)模擬環(huán)境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓撲，并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程，觀察網(wǎng)絡(luò)實時運行情況。可以學習IOS的配置、鍛煉故障排查能力。2.4.2運行環(huán)境操作系統(tǒng)：Windows2000或WindowsXP。瀏覽器：InternetExplorer6.0及以上版本。3.校園概況和網(wǎng)絡(luò)拓撲本章主要以華南師范大學增城學院為研究對象，進行系統(tǒng)的分析校園網(wǎng)的具體組成部分以及設(shè)計出網(wǎng)絡(luò)拓撲。3.1校園基本構(gòu)造建筑規(guī)模為行政樓，教學樓，圖書館和師生宿舍。工程設(shè)計范圍是行政樓，教學樓，圖書館和師生宿舍的網(wǎng)絡(luò)建設(shè)。3.2校園組成機構(gòu)最高層：董事長辦公室、董事會辦公室、院長辦公室。第二層：行政樓辦公室(由第一行政樓和第二行政樓組成，主要辦公室有各處長辦公室、各系系主任辦公室、黨委書記辦公室、團委書記辦公室以及各老師辦公室)。第三層：圖書館圖書數(shù)據(jù)庫和圖書館辦公室(由圖書館館長辦公室和各老師辦公室組成)。第四層：教學樓辦公室、實驗室和多媒體課室。最底層：師生宿舍3.3網(wǎng)絡(luò)體系結(jié)構(gòu)圖3-1網(wǎng)絡(luò)體系結(jié)構(gòu)3.4網(wǎng)絡(luò)拓撲總圖圖3-2網(wǎng)絡(luò)拓撲圖4.網(wǎng)絡(luò)安全基礎(chǔ)4.1網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其中數(shù)據(jù)受到保護，不受偶然的或者惡意的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠地運行，確保網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全是一門涉及計算機科學、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學、數(shù)論、信息論等多種學科的綜合性科學。4.2網(wǎng)絡(luò)安全的屬性從本質(zhì)上來講，計算機網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全具有以下幾個基本屬性。1.可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時間內(nèi)完成規(guī)定功能的特性。可靠性是系統(tǒng)安全的基本要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的基本目標。網(wǎng)絡(luò)信息系統(tǒng)的可靠性包括如下三種特性：抗毀性、生存性和有效性?？箽允侵赶到y(tǒng)在人為破壞下的可靠性。例如，部分線路或節(jié)點失效后，系統(tǒng)能否繼續(xù)提供服務(wù)。增強抗毀性可以有效地避免因各種災害造成的大面積網(wǎng)絡(luò)癱瘓問題。生存性是在隨機破壞下系統(tǒng)的可靠性。生存性主要反映隨機性破壞和網(wǎng)絡(luò)拓撲結(jié)構(gòu)對系統(tǒng)可靠性的影響。有效性是一種基于業(yè)務(wù)性能的可靠性。有效性主要反映在網(wǎng)絡(luò)信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。比如，網(wǎng)絡(luò)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標下降、平均延時增加、線路阻塞等現(xiàn)象[1]。2.可用性可用性是網(wǎng)絡(luò)信息可被授權(quán)實體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)被使用時，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時，仍能為授權(quán)用戶提供有效服務(wù)的特性?？捎眯允蔷W(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù)，而用戶的需求是隨機的、多方面的、有時還有時間要求?？捎眯砸话阌孟到y(tǒng)正常使用時間和整個工作時間之比來度量?？捎眯赃€應(yīng)該滿足以下要求：身份識別與確認、訪問控制、業(yè)務(wù)流控制、路由選擇控制、審計跟蹤。審計跟蹤的信息主要包括：事件類型、被管客體等級、事件時間、事件信息、事件回答以及事件統(tǒng)計等方面的信息[1]。3.保密性保密性是數(shù)據(jù)信息不被泄露給非授權(quán)的用戶、實體或供其利用的特性。保密性是在可靠性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。常用的保密技術(shù)包括：防偵聽、防輻射、信息加密、物理保密。4.完整性完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性。即網(wǎng)絡(luò)信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向信息的安全性，它要求保持信息的原樣，即信息的正確生成和正確存儲和傳輸。完整性與保密性不同，保密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。影響網(wǎng)絡(luò)信息完整性的主要因素有：設(shè)備故障、誤碼(傳輸、處理和存儲過程中產(chǎn)生的誤碼，定時的穩(wěn)定度和精度降低造成的誤碼，各種干擾源造成的誤碼)、人為攻擊、計算機病毒等。保障網(wǎng)絡(luò)信息完整性的主要方法有：協(xié)議、糾錯編碼方法、密碼校驗和方法、數(shù)字簽名、公證[1]。5.不可抵賴性不可抵賴性也稱作不可否認性，在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經(jīng)完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)信方不真實地否認已發(fā)送信息，利用遞交接收證據(jù)可以防止收信方事后否認已經(jīng)接收的信息。6.可控性可控性是對網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性?？煽匦宰钪匾捏w現(xiàn)是全局監(jiān)控、預警能力和應(yīng)急響應(yīng)處理能力。全局預警就是要建立全局性的安全狀況收集系統(tǒng)，對于新的安全漏洞和攻擊方法能及時了解，針對體系內(nèi)局部發(fā)生的安全入侵等事件進行響應(yīng)[1]。4.3網(wǎng)絡(luò)信息安全因素網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等。典型的網(wǎng)絡(luò)安全威脅如表4-1所示。表4-1典型的網(wǎng)絡(luò)安全威脅威脅描述竊聽網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒈桓`聽重傳攻擊者事先獲得部分信息或全部信息，以后將此信息發(fā)送給接收者偽造攻擊者將偽造的信息發(fā)送給接收者篡改攻擊者對合法用戶之間的通信信息進行修改、刪除、插入、再發(fā)送給接收者非授權(quán)訪問通過假冒、身份攻擊、系統(tǒng)漏洞等手段獲取系統(tǒng)訪問權(quán)，從而使非法用戶進入網(wǎng)絡(luò)系統(tǒng)讀取、刪除、修改、插入信息等拒絕服務(wù)攻擊攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓，阻止合法用戶獲得服務(wù)行為否認通信實體否認已經(jīng)發(fā)生的行為旁路控制攻擊者發(fā)掘系統(tǒng)的缺陷或安全脆弱性電磁/射頻截獲攻擊者從點子或機電設(shè)備所發(fā)出的無線射頻或其他電磁輻射中提取信息人員疏忽已授權(quán)人為了利益或由于粗心將信息泄露給未授權(quán)人影響計算機網(wǎng)絡(luò)安全的因素有很多，如人為的疏忽、人為的惡意攻擊、網(wǎng)絡(luò)軟件的漏洞、非授權(quán)訪問、信息泄露或丟失、破壞數(shù)據(jù)完整性[2]。4.4網(wǎng)絡(luò)信息安全機制網(wǎng)絡(luò)信息安全機制定義了實現(xiàn)網(wǎng)絡(luò)信息安全服務(wù)的技術(shù)措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數(shù)據(jù)進行處理。網(wǎng)絡(luò)信息安全機制包括如下八種。1.加密機制加密是提供數(shù)據(jù)保密的基本方法，用加密方法和認證機制相結(jié)合，可提供數(shù)據(jù)的保密性和完整性。2.數(shù)字簽名機制數(shù)字簽名是解決信息安全特殊問題的一種方法，適用于通信雙方發(fā)生了下列情況的安全驗證。3.訪問控制機制訪問控制是指處理主體對客體訪問的權(quán)限設(shè)置的合法性問題，一個主體只能訪問經(jīng)過授權(quán)使用的給定客體。否則，訪問控制機制的審計跟蹤系統(tǒng)會自動拒絕訪問，并給出事件報告的跟蹤審計信息。4.數(shù)據(jù)完整性機制數(shù)據(jù)完整性主要解決數(shù)據(jù)單元的完整性和數(shù)據(jù)單元序列的完整性。5.鑒別交換機制鑒別交換是在通信進程中，以雙方互換約定信息方式確認實體身份機制。[2]6.通信業(yè)務(wù)填充機制目的是對抗非法攻擊者在傳輸信道上監(jiān)聽以及非法進行流量和流向分析。7.路由控制機制在復雜的網(wǎng)絡(luò)環(huán)境中，路由控制機制在于引導信息發(fā)送者選擇代價小且安全的特殊路徑，保證數(shù)據(jù)能由源節(jié)點出發(fā)，經(jīng)選擇路由，安全到達目標節(jié)點。8.公證機制公證機制在于解決通信的矛盾雙方，因事故和信用危機導致責任問題的公證仲裁[3]。5.安全需求與安全目標5.1網(wǎng)絡(luò)安全需求通過對局域網(wǎng)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護、防黑客和病毒、重要網(wǎng)段的保護及管理安全上。因此，要采用相應(yīng)的安全措施杜絕安全隱患，應(yīng)該做到以下幾點[4]。公開服務(wù)器的安全保護防止黑客從外部攻擊入侵檢測與監(jiān)控信息審計與記錄病毒防護數(shù)據(jù)安全保護數(shù)據(jù)備份與恢復網(wǎng)絡(luò)的安全管理5.2網(wǎng)絡(luò)安全策略安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。改安全策略模型包括建立安全環(huán)境的三個重要組成部分[12]：1.法律規(guī)章。安全的基石是社會法律、法規(guī)、規(guī)章制度與相應(yīng)的制裁手段，在這基礎(chǔ)上建立一套安全管理的辦法。既通過建立與信息安全相關(guān)的法律、法規(guī)和單位的規(guī)章制度，使不法分子攝于法律，不敢輕舉妄動。2.先進技術(shù)。先進的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進行風險評估，決定對其需要的安全服務(wù)種類，選擇相應(yīng)的安全機制和先進的安全技術(shù)。3.嚴格管理。各網(wǎng)絡(luò)使用機構(gòu)、校園和單位應(yīng)建立相宜的信息安全管理辦法，加強內(nèi)部管理，建立審計和跟蹤體系，提供整體的信息安全意識。5.3系統(tǒng)安全目標局域網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實現(xiàn)以下的目標[5]：建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略將內(nèi)部網(wǎng)絡(luò)、公共服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信建立網(wǎng)站各主機和服務(wù)器的安全保護措施，保證系統(tǒng)安全對網(wǎng)絡(luò)服務(wù)請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度全面監(jiān)視對公共服務(wù)器的訪問，及時防線和拒絕不安全的操作和黑客攻擊行為6.網(wǎng)絡(luò)訪問安全6.1VPN概述VPN是專用網(wǎng)絡(luò)的擴展，是一種通過公共網(wǎng)絡(luò)把兩個私有網(wǎng)絡(luò)連接在一起的安全訪問技術(shù)，通常作為大型校園網(wǎng)絡(luò)的補充，用于實現(xiàn)遠程安全接入和管理。VPN技術(shù)通過一系列的驗證和加密技術(shù)，使建立VPN連接的兩端虛擬的組成一條排他的專用線路，就好像是一條建立在校園兩端的Intranet專線一樣，只不過這條線路是通過因特網(wǎng)建立的。6.1.1VPN簡介VPN(VirtualPrivateNetwork)，虛擬專用網(wǎng)絡(luò)。VPN被定義為通過一個公用網(wǎng)絡(luò)建立一個臨時的、安全的連接，是一條穩(wěn)定的隧道。虛擬專用網(wǎng)是對校園內(nèi)部網(wǎng)的擴展，可以讓遠程用戶、校園的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。6.1.2VPN的特點與應(yīng)用1．安全保障雖然實現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。2．服務(wù)質(zhì)量保證(QoS)VPN網(wǎng)應(yīng)當為校園數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素；而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部校園網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用(如視頻等)則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。3．可擴充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。4．可管理性從用戶角度和運營商角度應(yīng)可方便地進行管理、維護。VPN管理的目標為：減小網(wǎng)絡(luò)風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容[10]。6.2路由器實現(xiàn)VPN在本方案中，以一個學生宿舍與學院之間實現(xiàn)用VPN通信為例，以下為拓撲圖：圖6-2VPN通信拓撲其中，學院(R2)的詳細配置如下，第一步：配置端口地址；R2(config)#inte0/1R2(config-if)#ipaddress第二步：配置隧道；R2(config)#inttunnel10R2(config-if)#ipaddressR2(config-if)#tunnelsourceR2(config-if)#tunneldestination第三步：配置連接內(nèi)部的端口地址，并設(shè)置靜態(tài)路由；R2(config)#inte0/3R2(config-if)#noshutdownR2(config-if)#ipaddressR2(config-if)#iproute實踐效果如圖6-3所示：圖6-3路由器R2路由表圖6-4路由器R2ping通效果圖宿舍R3的配置如下所示：R3(config)#inte0/2R3(config-if)#ipaddressR3(config)#inttunnel10R3(config-if)#ipaddressR3(config-if)#tunnelsourceR3(config-if)#tunneldestinationR3(config-if)#noshutdown圖6-5路由器R3路由表以上可以看到，從R2路由器可以成功ping通道R3的路由器。證明本方案的VPN通道是可以通信的。7.Cisco安全設(shè)備7.1防火墻設(shè)計所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)(SecurityGateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。網(wǎng)絡(luò)防火墻的主要特點是只能通過對它的數(shù)據(jù)包進行攔截和過濾，通常需要部署在被保護網(wǎng)絡(luò)的邊界，如局域網(wǎng)接入Internet時，就應(yīng)該將防火墻部署在局域網(wǎng)的出口處。網(wǎng)絡(luò)防火墻可以應(yīng)用于如下四種網(wǎng)絡(luò)環(huán)境[7]。1.內(nèi)部網(wǎng)絡(luò)與Internet的連接這是一種應(yīng)用最廣，也是最重要的防火墻應(yīng)用環(huán)境。在這種應(yīng)用環(huán)境下，防火墻主要保護內(nèi)部網(wǎng)絡(luò)不遭受互連網(wǎng)用戶的攻擊。這也是目前絕大多數(shù)校園采用防火墻的目的。在這種應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個不同級別的安全區(qū)域，如圖7-1所示。圖7-1防火墻三個級別安全區(qū)域內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護的對象，包括全部的校園內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機，這個區(qū)域是防火墻的可信區(qū)域。外部網(wǎng)絡(luò)：這是防火墻要防護的對象，包括外部互連網(wǎng)主機和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡(luò)區(qū)域。DMZ(非軍事區(qū))：它是從校園內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等，他們都是為互連網(wǎng)提供某種信息服務(wù)[8]。2.局域網(wǎng)和廣域網(wǎng)的連接局域網(wǎng)和廣域網(wǎng)之間的連接有兩種方式可供選擇，網(wǎng)絡(luò)用戶可以根據(jù)自己的實際需求來選擇。如果校園原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻設(shè)置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻和需要保護的內(nèi)部網(wǎng)絡(luò)連接[5]。對于DMZ區(qū)中的公用服務(wù)器，則可直接和邊界路由器相連，只經(jīng)過路由器的簡單防護，而不用經(jīng)過防火墻。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7-2所示。圖7-2存在邊界路由器網(wǎng)絡(luò)連接在此拓撲結(jié)構(gòu)中，邊界路由器和防火墻就一起組成了兩道安全防線，并且在這兩者之間能設(shè)置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。如果校園原來沒有邊界路由器，此時僅由防火墻來保護內(nèi)部網(wǎng)絡(luò)。此時DMZ區(qū)域和需要保護的內(nèi)部網(wǎng)絡(luò)分別連接防火墻的不同LAN網(wǎng)絡(luò)接口。因此需要對這兩部分網(wǎng)絡(luò)設(shè)置不同的安全策略。這種網(wǎng)絡(luò)雖然只有一道安全防線，但對于大多數(shù)中、小校園來說是可以滿足的。這種應(yīng)用環(huán)境的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7-3所示。圖7-3無邊界路由器的網(wǎng)絡(luò)連接3.內(nèi)部網(wǎng)絡(luò)不同部門之間的連接這種應(yīng)用環(huán)境就是在一個校園內(nèi)部網(wǎng)絡(luò)之間，對一些安全敏感的部門進行隔離保護，比如人事部門、財務(wù)部門和市場部門等。通過防火墻保護內(nèi)部網(wǎng)絡(luò)中敏感部門的資源不被非法訪問。這些部門網(wǎng)絡(luò)主機中的數(shù)據(jù)對于校園來說是非常重要，他的工作不能完全離開校園網(wǎng)絡(luò)，但其中的數(shù)據(jù)又不能隨便給網(wǎng)絡(luò)用戶訪問[4]。這時有幾種解決方案，一種是采用VLAN設(shè)置，但這種方法設(shè)置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關(guān)的設(shè)置。通過防火墻隔離后，盡管同屬于一個內(nèi)部局域網(wǎng)，不過其他用戶的訪問都需要經(jīng)過防火墻的過濾，符合條件的用戶才能訪問。網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖7-4所示。圖7-4連接內(nèi)部子網(wǎng)絡(luò)4.用戶與中心服務(wù)器之間的連接對于一個服務(wù)器中心而言，比如主機托管中心，大多數(shù)服務(wù)器需要對第三方開放，不過所有這些服務(wù)器分別屬于不同用戶所有，其安全策略也各不相同。如果把他們都定義在同一個安全區(qū)域中，顯然不能滿足各用戶的不同需求，這時我們就得分別設(shè)置。按不同安全策略保護這些服務(wù)器，根據(jù)實施方式的不同又可以分為以下兩種網(wǎng)絡(luò)環(huán)境[10]。1.為每個服務(wù)器獨立設(shè)置一個獨立的防火墻。這種方案是一種最容易實現(xiàn)的方法，但這種方案無論從經(jīng)濟上、還是從使用和管理的靈活可靠性上都不是最佳的。2.采用虛擬網(wǎng)絡(luò)防火墻。這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全需求的服務(wù)器劃分至不同的VLAN。然后通過對高性能防火墻對VLAN子網(wǎng)的設(shè)置，將一個高性能防火墻劃分為多個虛擬防火墻。其拓撲結(jié)構(gòu)如圖7-5所示。圖7-5虛擬防火墻雖然這種方案配置較為復雜，但配置完成后，隨后的使用和管理將相當?shù)姆奖?，就像用交換機管理多個VLAN子網(wǎng)一樣來管理每個用戶服務(wù)器，而且該方案在現(xiàn)實中比較經(jīng)濟可行。8.網(wǎng)絡(luò)攻擊與防范8.1黑客攻擊手段 隨著Internet的發(fā)展，對Internet的攻擊方式也層出不窮。目前為止，以報道的攻擊方式達500多種。大致分為以下7類：1.地址欺騙地址欺騙是基于地址的證實，即攻擊者將自己的地址偽裝成主機認為可信賴的地址，如內(nèi)部網(wǎng)地址，從而欺騙主機的信任，達到攻擊的目的。2.TCP盜用由于TCP是基于有連接的通信，這樣攻擊者通過監(jiān)聽攝取連接信息，一旦合法的連接建立后，攻擊者即可插入數(shù)據(jù)包，甚至接管客戶的TCP連接。在這種情況下，即使經(jīng)過很強的證實后，也容易接管Telent和FTP的會話操作。3.業(yè)務(wù)否決攻擊者通過向被攻擊者發(fā)送大量的數(shù)據(jù)流使被攻擊主機淹沒在信息處理的汪洋中，對正常業(yè)務(wù)請求無法處理，從而否決正常業(yè)務(wù)。例如，攻擊者可向網(wǎng)上其他主機發(fā)出請求，使這些主機向被攻擊主機發(fā)送郵件。這樣被攻擊主機就被大量的郵件阻塞。4.對域名系統(tǒng)和基礎(chǔ)設(shè)施的破壞攻擊者通過對域名系統(tǒng)，路由器等網(wǎng)絡(luò)設(shè)施進行破壞，從而使受害主機在域名系統(tǒng)中消失，或無法找到路由。這在動態(tài)路由器中可采用欺騙路由應(yīng)答等方式進行攻擊。5.利用Web破壞數(shù)據(jù)庫攻擊者在進行Web訪問時，通過對數(shù)據(jù)庫的訪問查詢有關(guān)內(nèi)容。此時很可能對Web數(shù)據(jù)庫進行惡意操作，從而導致整個Web服務(wù)器不能正常工作甚至癱瘓。6.社會工程這種攻擊方式主要通過一些日常社會交往獲取有用信息，從而利用這些有用信息進行攻擊。7.口令猜測這是最早的攻擊方式，到現(xiàn)在為止依然廣泛被使用，目前黑客已經(jīng)收集口令并形成字典，使得口令猜測成功率明顯提高。這種攻擊的危害性很大，因為它可能使黑客猜測到系統(tǒng)管理員的口令而破壞整個系統(tǒng)。8.2.1“ARP攻擊”的方式和原理 從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP攻擊大概可以分為兩種。一種是對路由器ARP表的欺騙，這種方法可以破壞系統(tǒng)的ARP緩存表，從而組成內(nèi)外IP地址的混亂。另一種是對局域網(wǎng)內(nèi)計算機的網(wǎng)關(guān)欺騙，讓網(wǎng)內(nèi)計算機系統(tǒng)的數(shù)據(jù)報通過假網(wǎng)關(guān)來發(fā)送。 第一種ARP欺騙是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行地址的更換，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，從而造成計算機訪問黑客精心構(gòu)建的網(wǎng)絡(luò)陷阱。 第二種ARP欺騙是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的計算機向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。8.2.2利用“ARP欺騙”入侵實際操作 黑客要利用“ARP欺騙”入侵計算機，只需要一個前提條件，就是進行入侵的計算機和被攻擊的計算機要在同一個局域網(wǎng)的網(wǎng)段中。由于ARP欺騙是通過數(shù)據(jù)包進行欺騙的，所以在進行操作以前要在本地計算機安裝一個驅(qū)動程序，為數(shù)據(jù)傳輸做準備。我們可以通過一個很出名的ARP攻擊工具WinArpAttacker來實現(xiàn)入侵的過程。 1.打開虛擬機，主機運行WinArpAttacker.EXE，掃描局域網(wǎng)的機器，會發(fā)現(xiàn)用虛擬機運行的機器，如圖8-1所示圖8-1掃描的結(jié)果截圖2.在要攻擊的機器前面打勾，然后點擊攻擊的按鈕就可以實現(xiàn)攻擊了。攻擊的方式有以下幾種：一、Flood:連續(xù)并且大量地發(fā)送“IpConflict”包(此功能有會導致對方DOWN機)。效果如圖8-2所示圖8-2網(wǎng)絡(luò)阻塞攻擊二、BanGateway:發(fā)包欺騙網(wǎng)關(guān)，告訴網(wǎng)關(guān)錯誤的目標機MAC地址，導致目標機無法接收到網(wǎng)關(guān)發(fā)送的包。三、IpConflict:發(fā)送一個IP一樣但Mac地址不一樣的包至目標機，導致目標機IP沖突。(頻繁發(fā)送此包會導致機器斷網(wǎng))，如果被攻擊，效果很明顯，在你機器的右下角會有個IP沖突的標志。如圖8-3所示圖8-3Ip沖突效果截圖四、Sniffgateway:同時ARP欺騙網(wǎng)關(guān)和目標機，使你可以監(jiān)聽目標機的通信。五、SniffHosts：欺騙多個主機，使你可以監(jiān)聽他們之間的通信。六、SniffLan：欺騙局域網(wǎng)的所有機器，說是你才是網(wǎng)關(guān)，然后通過這個你可以監(jiān)聽整個網(wǎng)絡(luò)。七、修改arp緩存表：修改局域網(wǎng)內(nèi)某臺機器的arp緩存表，實現(xiàn)MAC地址欺騙，以達到竊取信息的目的,具體演示如下：1.打開虛擬機，主機運行WinArpAttacker.EXE，掃描局域網(wǎng)的機器，會發(fā)現(xiàn)用虛擬機運行的機器，如圖8-1所示圖8-1掃描的結(jié)果截圖2.虛擬機的ip地址為2，MAC地址為08-00-27-7E-91-9B，使用arp–a命令查看其arp緩存表：圖8-4虛擬機的arp緩存表3.在主機上使用WinArpAttacker制作arp攻擊包，并發(fā)送給虛擬機：圖8-5arp攻擊包的制作4.在虛擬機上查看被修改后的arp緩存表：圖8-6被修改的arp緩存表8.2.3“ARP攻擊”防范方