校園網(wǎng)絡(luò)實施方案

PAGE4校園網(wǎng)絡(luò)實施方案TOC\o"1-3"\h\u29766一、論文概述； 223220二、如何評價網(wǎng)絡(luò)系統(tǒng)的整體安全性 316698（一）網(wǎng)絡(luò)系統(tǒng)設(shè)計原則 318146（二）主要網(wǎng)絡(luò)設(shè)備的選擇原則 313868（三）如何檢測出當(dāng)前系統(tǒng)的漏洞、以及掃描器的使用 49146三、應(yīng)用系統(tǒng)如何保證安全性 613374（一）防止黑客對網(wǎng)絡(luò)、主機、服務(wù)器等的入侵 653421、控制技術(shù) 690632、防火墻技術(shù) 6291213、入侵檢測技術(shù) 6141484、安全掃描 7147755、安全審計 719289（二）防范Windows的漏洞 821933四、在連接Internet時，如何在網(wǎng)絡(luò)層實現(xiàn)安全性 96773（一）防火墻的定義 931877（二）防火墻的作用 929202（三）如何使用防火墻 930565五、實現(xiàn)遠程訪問的安全性 1018925（一）提高遠程訪問的安全性 1011650（二）針對特定服務(wù)攻擊的防范 1110539六訪問控制如何布置 1123334（一）實現(xiàn)高效安全的網(wǎng)絡(luò)訪問控制 11199031、選擇一個網(wǎng)絡(luò)訪問控制方法和一種客戶端技術(shù) 12138292、選擇一個網(wǎng)絡(luò)架構(gòu)設(shè)備 12286573、選擇RADIUS服務(wù)器 1243824、選擇EAP方法（如果使用802.1x的話） 1228735、布置并安排網(wǎng)絡(luò)分段 12257816、集成所有的網(wǎng)絡(luò)段 1378797、考慮采用身份驅(qū)動管理 13822（二）建立證書管理中心 13111141、證書認證機構(gòu)CA 13189342、認證中心CA的主要功能 1386453、CA認證-認證、數(shù)字證書和PKI解決的幾個問題 1421807（三）加密技術(shù) 1419170七總結(jié) 15一、論文概述；隨著信息技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)信息的海量增加，校園網(wǎng)的安全形勢日益嚴峻，目前校園網(wǎng)安全防護體系還存在一些問題，但是在高校網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在"重技術(shù)、輕安全、輕管理"的傾向，主要體現(xiàn)在：網(wǎng)絡(luò)的安全防御能力較低，受到病毒、黑客的影響較大，對移動存儲介質(zhì)的上網(wǎng)監(jiān)測手段不足，缺少綜合、高效的網(wǎng)絡(luò)安全防護和監(jiān)控手段，削弱了網(wǎng)絡(luò)應(yīng)用的可靠性。校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，因此，急需建立一套多層次的安全管理體系，加強校園網(wǎng)的安全防護和監(jiān)控能力，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)安全基礎(chǔ)。目前校園網(wǎng)絡(luò)中存在的安全問題學(xué)校的上網(wǎng)場所管理較混亂由于缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，是學(xué)校的網(wǎng)絡(luò)管理各自為政，缺乏上網(wǎng)的有效監(jiān)控和日志，上網(wǎng)用戶的身份無法唯一識別，存在極大的安全隱患。電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段電子郵件既是互聯(lián)網(wǎng)必不可少的一個應(yīng)用之一，同時也是病毒和垃圾的重要傳播手段。目前絕大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費版本的郵件系統(tǒng)，不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合國家對安全郵件系統(tǒng)的要求，出現(xiàn)問題時也無法及時有效的解決3、網(wǎng)絡(luò)病毒的肆虐傳播，極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能下降，單純單機殺毒軟件已經(jīng)不能滿足用戶的需求，迫切需要集中管理、統(tǒng)一升級、統(tǒng)一監(jiān)控的針對網(wǎng)絡(luò)的防病毒體系。4、網(wǎng)絡(luò)安全意識淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度校園網(wǎng)絡(luò)上的用戶安全意識淡薄，大量的非正常訪問導(dǎo)致網(wǎng)絡(luò)資源的浪費，同時也為網(wǎng)絡(luò)的安全帶來了極大的安全隱患。綜上所述，校園網(wǎng)絡(luò)安全的形勢非常嚴峻，為解決以上安全隱患和漏洞，結(jié)合校園網(wǎng)特點和現(xiàn)今網(wǎng)絡(luò)安全的典型解決方案和技術(shù)，提出了以下校園網(wǎng)絡(luò)安全實施方案。1如何評價網(wǎng)絡(luò)系統(tǒng)的整體安全性（如何檢測出當(dāng)前系統(tǒng)的漏洞、以及掃描器的使用）2應(yīng)用系統(tǒng)如何保證安全性(如何防止黑客對網(wǎng)絡(luò)、主機、服務(wù)器等的入侵、如何防范Windows的漏洞）3在連接Internet時，如何在網(wǎng)絡(luò)層實現(xiàn)安全性（防火墻的作用、如何使用）4如何實現(xiàn)遠程訪問的安全性（遠程控制的要求）5訪問控制如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等（簡要地講述證書的作用）/dat/*.dic--用戶名/密碼字典文件，用于檢測弱口令用戶/plugins--用于存放所有插件(后綴名為.xpn)/scripts--用于存放所有NASL腳本(后綴名為.nasl)/scripts/desc--用于存放所有NASL腳本多語言描述(后綴名為.desc)/scripts/cache--用于緩存所有NASL腳本信息，以便加快掃描速度(該目錄可刪除)檢測范圍“指定IP范圍”-可以輸入獨立IP地址或域名，也可輸入以“-”和“,”分隔的IP范圍，如“-20,0-54”，或類似“/24”的掩碼格式?！皬奈募蝎@取主機列表”-選中該復(fù)選框?qū)奈募凶x取待檢測主機地址，文件格式應(yīng)為純文本，每一行可包含獨立IP或域名，也可包含以“-”和“,”分隔的IP范圍。全局設(shè)置“掃描模塊”項-選擇本次掃描需要加載的插件。“并發(fā)掃描”項-設(shè)置并發(fā)掃描的主機和并發(fā)線程數(shù)，也可以單獨為每個主機的各個插件設(shè)置最大線程數(shù)?！熬W(wǎng)絡(luò)設(shè)置”項-設(shè)置適合的網(wǎng)絡(luò)適配器，若找不到網(wǎng)絡(luò)適配器，請重新安裝WinPCap3.1beta4以上版本驅(qū)動。“掃描報告”項-掃描結(jié)束后生成的報告文件名，保存在LOG目錄下。掃描報告目前支持TXT、HTML和XML三種格式。其他設(shè)置“跳過沒有響應(yīng)的主機”-若目標主機不響應(yīng)ICMPECHO及TCPSYN報文，X-Scan將跳過對該主機的檢測?！疤^沒有檢測到開放端口的主機”-若在用戶指定的TCP端口范圍內(nèi)沒有發(fā)現(xiàn)開放端口，將跳過對該主機的后續(xù)檢測?！笆褂肗MAP判斷遠程操作系統(tǒng)”-X-Scan使用SNMP、NETBIOS和NMAP綜合判斷遠程操作系統(tǒng)類型，若NMAP頻繁出錯，可關(guān)閉該選項?！帮@示詳細信息”-主要用于調(diào)試，平時不推薦使用該選項。“插件設(shè)置”模塊：該模塊包含針對各個插件的單獨設(shè)置，如“端口掃描”插件的端口范圍設(shè)置、各弱口令插件的用戶名/密碼字典設(shè)置等。三、應(yīng)用系統(tǒng)如何保證安全性（一）防止黑客對網(wǎng)絡(luò)、主機、服務(wù)器等的入侵網(wǎng)絡(luò)管理人員應(yīng)認真分析各種可能的入侵和攻擊形式，制定符合實際需要的網(wǎng)絡(luò)安全策略，防止可能從網(wǎng)絡(luò)和系統(tǒng)內(nèi)部或外部發(fā)起的攻擊行為，重點防止那些來自具有敵意的國家、企事業(yè)單位、個人和內(nèi)部惡意人員的攻擊。防止入侵和攻擊的主要技術(shù)措施包括訪問控制技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、安全掃描、安全審計和安全管理。1、控制技術(shù)訪問控制是網(wǎng)絡(luò)安全保護和防范的核心策略之一。訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用。訪問控制技術(shù)所涉及內(nèi)容較為廣泛，包括網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級安全控制，服務(wù)器安全控制、以及屬性安全控制等多種手段。2、防火墻技術(shù)防火墻技術(shù)最初是針對Internet網(wǎng)絡(luò)不安全因素所采取的一種保護措施。顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（SecurityGateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。3、入侵檢測技術(shù)入侵檢測技術(shù)（IDS）可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為,是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）。入侵檢測通過執(zhí)行以下任務(wù)來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知進攻的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。4、安全掃描安全掃描技術(shù)主要分為兩類：主機安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)主要針對系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進行檢查等；而主機安全掃描技術(shù)則是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。網(wǎng)絡(luò)安全掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤配置，在黑客攻擊前進行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。5、安全審計安全審計是一個新概念,它指由專業(yè)審計人員根據(jù)有關(guān)的法律法規(guī)、財產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應(yīng)評價。安全審計是一個新概念,它指由專業(yè)審計人員根據(jù)有關(guān)的法律法規(guī)、財產(chǎn)所有者的委托和管理當(dāng)局的授權(quán),對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證,并作出相應(yīng)評價。安全審計涉及四個基本要素:控制目標、安全漏洞、控制措施和控制測試。其中,控制目標是指企業(yè)根據(jù)具體的計算機應(yīng)用,結(jié)合單位實際制定出的安全控制要求。安全漏洞是指系統(tǒng)的安全薄弱環(huán)節(jié),容易被干擾或破壞的地方?？刂拼胧┦侵钙髽I(yè)為實現(xiàn)其安全控制目標所制定的安全控制技術(shù)、配置方法及各種規(guī)范制度?？刂茰y試是將企業(yè)的各種安全控制措施與預(yù)定的安全標準進行一致性比較,確定各項控制措施是否存在、是否得到執(zhí)行、對漏洞的防范是否有效,評價企業(yè)安全措施的可依賴程度。安全審計跟蹤的功能是：幫助安全人員審計系統(tǒng)的可靠性和安全性;對妨礙系統(tǒng)運行的明顯企圖及時報告給安全控制臺，及時采取措施。一般要在網(wǎng)絡(luò)系統(tǒng)中建立安全保密檢測控制中心，負責(zé)對系統(tǒng)安全的監(jiān)測、控制、處理和審計。所有的安全保密服務(wù)功能、網(wǎng)絡(luò)中的所有層次都與審計跟蹤系統(tǒng)有關(guān)。（二）防范Windows的漏洞Windows操作系統(tǒng)作為使用最廣泛的操作系統(tǒng)，其漏洞和針對它的攻擊也是最多的。根據(jù)目前的軟件設(shè)計水平(微軟的幾千名軟件設(shè)計人員應(yīng)該代表了目前最高的軟件設(shè)計水準)和開發(fā)工具，特別是操作系統(tǒng)這么一個龐大的"代碼累積，據(jù)了解，WindowsXP的代碼有4000萬行之多，能讓超級黑客攻擊的地方太多了，畢竟超復(fù)雜的軟件設(shè)計，就越代表了具有更多的功能，這么多的功能說絕對安全是不可能的，例如UPNP漏洞就可略窺冰山一角。WindowsXP作為一種具有可擴展性能的系統(tǒng)，這種設(shè)計固然有它的優(yōu)越之處，但恰恰是這種優(yōu)越也極有可能帶來巨大的安全隱患。特別是在視窗XP為防止侵權(quán)盜版的"激活"功能上爭議很多，很多人認為這為用戶信息安全帶來了潛在的威脅，反對大量安裝這一系統(tǒng)，這正是所謂"有得必有失"。（三）賬號鎖定功能漏洞

WindowsXP設(shè)計了賬號快速切換功能，可以使用戶快速地在不同的賬號之間切換，而不需要先退出再登錄。但是快速賬號切換功能目前也被證實在設(shè)計方面存在嚴重問題。當(dāng)系統(tǒng)在用戶利用賬號快速切換功能快速地重試登錄一個用戶名時，系統(tǒng)會認為是一個有暴力猜解的攻擊，從而造成全部非管埋員賬號的鎖定，從而其他用戶沒有管理員的解禁不能登錄主機。

該漏洞在進行如下測試方法后將被證實：

(1)設(shè)置最多錯誤口令嘗試為3次。

(2)以一般用戶權(quán)限創(chuàng)建10個賬戶(User1-User10).

(3)用Useri賬號登錄。

(4)使用快速賬號切換登錄到User2賬號。

(5)用快速賬號切換從User1賬號登錄User2賬號連續(xù)失敗3次。

(6)試著丟登錄User3賬號。

這時你會發(fā)現(xiàn)所有非管理員賬號均已經(jīng)鎖定。

解決方法：目前，微軟還沒有提供相應(yīng)的補了程序，用戶如果想避免上述的漏洞，必須暫時禁止賬戶快速切換功能。

（四）WindowsXP遠程桌面漏洞

WindowsXP提供了遠程桌面功能，目前也被證實存在設(shè)計缺陷，可能導(dǎo)致攻擊者得到系統(tǒng)遠程桌面的賬戶信息，有助于其進一步攻擊。當(dāng)連接建立的時候，用WindowsXP遠程桌面把賬戶名以明文發(fā)送給連接它的客戶端。發(fā)送的賬戶名不一定是遠端主機的用戶賬號，而是最常被客戶端使用的賬戶名，網(wǎng)絡(luò)上的嗅探程序可能會捕獲到這些賬戶信息。

解決方法：到微軟主頁下載相應(yīng)的補丁程序，并暫時停止遠程桌面的使用

（五）GD1拒絕服務(wù)漏洞

GraphicsDeviceInterface(GDI)是一套應(yīng)用程序接口，用于顯示圖形輸出。但是它存在一個安全問題，可能導(dǎo)致系統(tǒng)拒絕服務(wù)。這是由于GDI無法正確處理畸形或無效的參數(shù)和標志位造成的，系統(tǒng)表現(xiàn)為藍屏，只有重新啟動才能恢復(fù)正常功能。

解決方法：禁止不可信用戶登錄系統(tǒng)。四、在連接Internet時，如何在網(wǎng)絡(luò)層實現(xiàn)安全性（一）防火墻的定義所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（SecurityGateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。（二）防火墻的作用防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護選擇。防火墻最基本的功能就是控制在計算機網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務(wù)在不同信任的區(qū)域。典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個沒有信任的區(qū)域)和一個內(nèi)部網(wǎng)絡(luò)(一個高信任的區(qū)域)。最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。（三）如何使用防火墻如果是windows操作系統(tǒng)自帶的防火墻，默認狀態(tài)下都會自動開啟的（關(guān)閉的話系統(tǒng)會報警）。如果是另外安裝的其他防火墻，安裝后也會自動開啟（即在桌面右下角的任務(wù)欄中有防火墻圖標顯示）。一般情況下，防火墻最好使用一個就行了，也就是你必須關(guān)閉其中之一。

防火墻的主要目的就是保證上網(wǎng)安全，對系統(tǒng)沒有什么影響，可以放心使用。為了便于上網(wǎng)瀏覽網(wǎng)頁，最好把防火墻的安全級別設(shè)置為“中級”。

有些防火墻在開啟后，對電腦中的某些應(yīng)用程序的運行、更新、修改甚至卸載等，會彈出是否“允許或同意以及不允許或不同意”的詢問框，這時你要根據(jù)具體情況進行相應(yīng)操作，才能保證系統(tǒng)的正常運行，如果是電腦內(nèi)你所知的應(yīng)用程序運行而出現(xiàn)的詢問框，你都可以選擇“允許或同意”，并在詢問框下方的“以后都按此方法處理”前面的小方框中打上小勾，這樣當(dāng)下次再運行此程序時，詢問框?qū)⒉粫俪霈F(xiàn)。注意事項1.防火墻實現(xiàn)了你的安全政策2.一個防火墻在許多時候并不是一個單一的設(shè)備防火墻并不是現(xiàn)成的隨時獲得的產(chǎn)品4.防火墻并不會解決你所有的問題5.使用默認的策略。正常情況下你的手段是拒絕除了你知道必要和安全的服務(wù)以外的任何服務(wù)。但是新的漏洞每天都出現(xiàn)，關(guān)閉不安全的服務(wù)意味著一場持續(xù)的戰(zhàn)爭。6.有條件的妥協(xié)，而不是輕易的。7.使用分層手段。并在一個地點以來單一的設(shè)備。使用多個安全層來避免某個失誤造成對你關(guān)心的問題的侵害。8.只安裝你所需要的。作為防火墻一部分的機器必須保持最小的安裝。9.使用可以獲得的所有資源10.只相信你能確定的11.不斷的重新評價決定。更改你的防火墻，就像搬新家一樣，需要明顯的努力和仔細的計劃。12.防火墻不是萬能的,對一些新出現(xiàn)的病毒和木馬可能沒有反映,要時常的更新.機器可能會停止運行，現(xiàn)在病毒發(fā)展迅速，而且品種繁多，防為墻不可能全部都能阻攔，所以要加強自身的安全防護。五、實現(xiàn)遠程訪問的安全性隨著信息化辦公的普及，遠程訪問的需求也水漲船高。越來越多的學(xué)校，已經(jīng)不再只滿足于信息化系統(tǒng)只能夠在學(xué)校內(nèi)部使用。由于員工出差、客戶要求訪問等原因，近幾年遠程訪問的熱度不斷升高。一些遠程訪問工具，也紛紛面世。如電子郵件、FTP、遠程桌面等工具為流離在外的學(xué)校員工，提供了訪問學(xué)校內(nèi)部網(wǎng)絡(luò)資源的渠道。

但是，毋庸置疑的，對學(xué)校內(nèi)部網(wǎng)絡(luò)資源的遠程訪問增加了學(xué)校網(wǎng)絡(luò)的脆弱性，產(chǎn)生了許多安全隱患。因為大多數(shù)提供遠程訪問的應(yīng)用程序本身并不具備內(nèi)在的安全策略，也沒有提供獨立的安全鑒別機制?；蛘哒f，需要依靠其他的安全策略，如IPSec技術(shù)或者訪問控制列表來保障其安全性。所以，遠程訪問增加了學(xué)校內(nèi)部網(wǎng)絡(luò)被攻擊的風(fēng)險。筆者在這里試圖對常見的遠程入侵方式進行分析總結(jié)，跟大家一起來提高遠程訪問的安全性。（一）提高遠程訪問的安全性一是只需要知道用戶名與口令，就可以開始一個遠程控制會話。也就是說，遠程控制軟件只會根據(jù)用戶名與密碼來進行身份驗證。所以，如果在一些關(guān)鍵服務(wù)器上裝有遠程控制軟件，最好能夠采取一些額外的安全措施。如Windows服務(wù)器平臺上有一個安全策略，可以設(shè)置只允許一些特定的MAC地址的主機可以遠程連接到服務(wù)器上。通過這種策略，可以讓只有網(wǎng)絡(luò)管理人員的主機才能夠進行遠程控制。無疑這個策略可以大大提高遠程控制的安全性。二是采用一些安全性比較高的遠程控制軟件。一些比較成熟的遠程控制軟件，如PCAnyWhere，其除了遠程控制的基本功能之外，還提供了一些身份驗證方式以供管理員選擇。管理員可以根據(jù)安全性需求的不同，選擇合適的身份驗證方式。另外，其還具有加強的審計與日志功能，可以翔實的紀錄遠程控制所做的一些更改與訪問的一些數(shù)據(jù)。當(dāng)我們安全管理人員懷疑遠程控制被入侵者利用時，則可以通過這些日志來查詢是否有入侵者侵入。三是除非有特殊的必要，否則不要裝或者開啟遠程控制軟件。即使采取了一些安全措施，其安全隱患仍然存在。為此，除非特別需要，才開啟遠程控制軟件。如筆者平時的時候，都會把一些應(yīng)用服務(wù)器的遠程控制軟件關(guān)掉。而只有在筆者出差或者休假的時候，才會把他們開起來，以備不時之需。這么處理雖然有點麻煩，但是可以提高關(guān)鍵應(yīng)用服務(wù)器的安全。這點麻煩還是值得的。（二）針對特定服務(wù)攻擊的防范針對一些特定服務(wù)的攻擊，如HTTP服務(wù)、FTP服務(wù)，比較難于防范。但是，并不是一點對策都沒有。采取一些有效的防治措施，仍然可以在很大程度上避免遠程訪問的入侵。如采取如下措施，可以起到一些不錯的效果。

1、是采用一些更加安全的服務(wù)。就拿WEB服務(wù)器來說吧?，F(xiàn)在支持WEB服務(wù)器的協(xié)議主要有兩種，分別為HTTP與HTTPS。其中HTTP協(xié)議的漏洞很多，很容易被入侵者利用，成為遠程入侵學(xué)校內(nèi)部網(wǎng)絡(luò)的跳板。而HTTPS則相對來說安全的多。因為在這個協(xié)議中，加入了一些安全措施，如數(shù)據(jù)加密技術(shù)等等。在一定程度上可以提高WEB服務(wù)器的安全性。所以，網(wǎng)絡(luò)安全人員在必要的時候，可以采用一些比較安全的協(xié)議。2、是對應(yīng)用服務(wù)器進行升級。其實，很多遠程服務(wù)攻擊，往往都是因為應(yīng)用服務(wù)器的漏洞所造成的。如常見的WEB服務(wù)攻擊，就是HTTP協(xié)議與操作系統(tǒng)漏洞一起所產(chǎn)生的后果。如果能夠及時對應(yīng)用服務(wù)器操作系統(tǒng)進行升級，把操作系統(tǒng)的漏洞及時補上去，那么就可以提高這些服務(wù)的安全性，防治他們被不法之人所入侵。

3、是可以選擇一些有身份鑒別功能的服務(wù)。如TFTP、FTP都是用來進行文件傳輸?shù)膮f(xié)議?？梢宰寣W(xué)校內(nèi)部用戶與外部訪問者之間建立一個文件共享的橋梁。可是這兩個服務(wù)雖然功能類似，但是安全性上卻差很遠。TFTP是一個不安全的協(xié)議，他不提供身份鑒別貢呢功能。也就是說，任何人只要能夠連接到TFTP服務(wù)器上，就可以進行訪問。而FTP則提供了一定的身份驗證功能。雖然其也允許用戶匿名訪問，但是只要網(wǎng)絡(luò)安全人員限制用戶匿名訪問，那么就可以提高文件共享的安全性。六訪問控制如何布置（一）實現(xiàn)高效安全的網(wǎng)絡(luò)訪問控制一個有效的NAC（網(wǎng)絡(luò)訪問控制）方案，應(yīng)該可以提供一個可信任網(wǎng)絡(luò)架構(gòu)，這個架構(gòu)對威脅具有免疫性，以及恰當(dāng)使用的可控制性并能夠為所有用戶保護數(shù)據(jù)和完整性。NAC的一個關(guān)鍵特性是訪問的安全性，可以通過限制哪些用戶擁有對系統(tǒng)的訪問以及他們?nèi)绾瓮ㄟ^有線或無線的方法連接，來前攝性地防止安全性受到破壞。網(wǎng)絡(luò)訪問控制幫助你保證只有授權(quán)的用戶可以獲得對網(wǎng)絡(luò)的訪問權(quán)。而且，它保證用戶只能訪問被授權(quán)使用的資源。下面我們看一些實現(xiàn)有效的網(wǎng)絡(luò)訪問控制的具體措施：1、選擇一個網(wǎng)絡(luò)訪問控制方法和一種客戶端技術(shù)●IEEE802.1X●Web身份驗證●MAC身份驗證2、選擇一個網(wǎng)絡(luò)架構(gòu)設(shè)備網(wǎng)絡(luò)架構(gòu)設(shè)備，如交換機、接入點和WAN路由器可以提供對RADIUS驗證的支持，并且支持上述全部的驗證形式。這些設(shè)備可以直接控制客戶端與網(wǎng)絡(luò)的連接。考慮到不同邊緣設(shè)備的不同性能，任何增強安全策略的特定設(shè)備的能力都依賴于所用的訪問控制方法以及客戶端是否在尋求一個有線或無線的連接。3、選擇RADIUS服務(wù)器遠程身份驗證撥入用戶服務(wù)(RADIUS)是一個工業(yè)標準協(xié)議，可以提供身份驗證、授權(quán)和賬戶服務(wù);它用在提供用戶網(wǎng)絡(luò)訪問的設(shè)備與對進入的用戶進行身份驗證的設(shè)備之間。RADIUS定義了三種公共的部件：●訪問客戶●網(wǎng)絡(luò)接入（訪問）服務(wù)器●RADIUS服務(wù)器即使有多種多樣的應(yīng)用環(huán)境，也只能在網(wǎng)絡(luò)中使用一種類型的RADIUS服務(wù)器（例如，你可以使用微軟的IAS服務(wù)器或者FreeRADIUS）。在這方面，應(yīng)該根據(jù)網(wǎng)絡(luò)中的所用的應(yīng)用環(huán)境選擇自己的RADIUS服務(wù)器。這也是對一個中央用戶數(shù)據(jù)庫進行投資（LDAP或者活動目錄）的時機。4、選擇EAP方法（如果使用802.1x的話）只有在使用802.1x訪問控制方法時，可擴展身份驗證協(xié)議（EAP）的方法才具有重要意義。需要考慮兩個因素：客戶對網(wǎng)絡(luò)的驗證和網(wǎng)絡(luò)對客戶的驗證。5、布置并安排網(wǎng)絡(luò)分段要設(shè)計網(wǎng)絡(luò)分段，這些分段應(yīng)適合于網(wǎng)絡(luò)的各種各樣的應(yīng)用環(huán)境。在網(wǎng)絡(luò)中的一個有限區(qū)域內(nèi)引入訪問控制。6、集成所有的網(wǎng)絡(luò)段一旦你部署了網(wǎng)絡(luò)中各種不同的分段，就可以通過將所有的分段集成到一個統(tǒng)一的總體中來實施優(yōu)化。7、考慮采用身份驅(qū)動管理身份驅(qū)動管理（IDM）提供了基于用戶身份而不是網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問控制，它允許在網(wǎng)絡(luò)的中心設(shè)置一個網(wǎng)絡(luò)訪問策略的實施，并將它動態(tài)地運用于網(wǎng)絡(luò)的邊緣。（二）建立證書管理中心CA是證書的簽發(fā)機構(gòu),它是PKI的核心。CA是負責(zé)簽發(fā)證書、認證證書、管理已頒發(fā)證書的機關(guān)。它要制定政策和具體步驟來驗證、識別用戶身份，并對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權(quán)。1、證書認證機構(gòu)CA在PKI體系中，為了確保用戶的身份及他所持有密鑰的正確匹配，公鑰系統(tǒng)需要一個可信的第三方（TrustedThirdPart,TTP）充當(dāng)認證中心（CertificationAuthority,CA）來確認公鑰擁有者的真正身份，簽發(fā)并管理用戶的數(shù)字證書。認證中心保證了數(shù)字證書中列出的用戶名稱與證書中列出的公開密鑰一一對應(yīng)關(guān)系，解決了公鑰體系中公鑰的合法性問題。認證中心對數(shù)字證書的數(shù)字簽名操作使得攻擊者不能偽造和篡改數(shù)字證書。認證中心CA是PKI體系的核心。2、認證中心CA的主要功能接收并驗證最終用戶數(shù)字證書的申請；證書審批確定是否接受最終用戶數(shù)字證書的申請；證書簽發(fā)，向?qū)徟哳C發(fā)、拒絕頒發(fā)數(shù)字證書；證書更新，接收、處理最終用戶的數(shù)字證書更新請求；接收最終用戶數(shù)字證書的查詢、撤消；產(chǎn)生和發(fā)布證書廢止列表（CRL），驗證證書狀態(tài)；提供OCSP在線證書查詢服務(wù)，驗證證書狀態(tài)；提供目錄服務(wù)，可以查詢用戶證書的相關(guān)信息；下級認證機構(gòu)證書及賬戶管理；數(shù)字證書歸檔；認證中心CA及其下屬密鑰的管理；歷史數(shù)據(jù)歸檔。3、CA認證-認證、數(shù)字證書和PKI解決的幾個問題保密性-只有收件人才能閱讀信息。認證性-確認信息發(fā)送者的身份。完整性-信息在傳遞過程中不會被篡改。不可抵賴性-發(fā)送者不能否認已發(fā)送的信息。（三）加密技術(shù)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會的焦點中的焦點，幾乎沒有人不在談?wù)摼W(wǎng)絡(luò)上的安全問題，病毒、黑客程序、郵件炸彈、遠程偵聽等這一切都無不讓人膽戰(zhàn)心驚。病毒、黑客的猖獗使身處今日網(wǎng)絡(luò)社會的人們感覺到談網(wǎng)色變，無所適從。現(xiàn)代的電腦加密技術(shù)就是適應(yīng)了網(wǎng)絡(luò)安全的需要而應(yīng)運產(chǎn)生的，它為我們進行一般的電子商務(wù)活動提供了安全保障，如在網(wǎng)絡(luò)中進行文件傳輸、電子郵件往來和進行合同文本的簽署等。1、加密的由來

近期加密技術(shù)主要應(yīng)用于軍事領(lǐng)域，如美國獨立戰(zhàn)爭、美國內(nèi)戰(zhàn)和兩次世界大戰(zhàn)。最廣為人知的編碼機器是GermanEnigma機，在第二次世界大戰(zhàn)中德國人利用它創(chuàng)建了加密信息。此后，由于AlanTuring和Ultra計劃以及其他人的努力，終于對德國人的密碼進行了破解。隨著計算機的發(fā)展，運算能力的增強，過去的密碼都變得十分簡單了，于是人們又不斷地研究出了新的數(shù)據(jù)加密方式，如利用ROSA算法產(chǎn)生的私鑰和公鑰就是在這個基礎(chǔ)上產(chǎn)生的。2、加密的概念

數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容，通過這樣的途徑來達到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。

3、加密的理由

加密在網(wǎng)絡(luò)上的作用就是防止有用或私有化信息在網(wǎng)絡(luò)上被攔截和竊取。一個簡單的例子就是密碼的傳輸，計算機密碼極為重要，許多安全防護體系是基于密碼的，密碼的泄露在某種意義上來講意味著其安全體系的全面崩潰。

數(shù)字簽名就是基于加密技術(shù)的，它的作用就是用來確定用戶是否是真實的。在這里需要強調(diào)一點的就是，文件加密其實不只用于電子郵件或網(wǎng)絡(luò)上的文件傳輸，其實也可應(yīng)用靜態(tài)的文件保護，如PIP軟件就可以對磁盤、硬盤中的文件或文件夾進行加密，以防他人竊取其中的信息。

4、兩種加密方法

加密技術(shù)通常分為兩大類：“對稱式”和“非對稱式”。

對稱式加密就是加密和解密使用同一個密鑰，通常稱之為“SessionKey”這種加密技術(shù)目前被廣泛采用，如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法，它的SessionK