摘 要:构建完善实用的校园网安全访问控制体系是防止黑客入侵以及网络病毒攻击,保证校园网安全、高效运行的前提和基础。该方案结合TCP/IP模型,从下向上依层次对校园网及其应用系统进行了分析研究,找出可能遇到的各种风险,通过制定身份验证、设置防火墙等有效的相应防御措施,打造出一个安全的校园网架构,有效防止与避免了由于各种原因导致的校园网数据丢失、被修改甚至系统瘫痪等事故的发生。近年来的实践证明,该方案设计合理,能有效满足校园网的安全需求。
关键词:校园网; 网络安全; 访问控制体系; TCP/IP
中图分类号:TN915-34; TP309文献标识码:A
文章编号:1004-373X(2010)17-0121-04
Construction of Security Access Control System for Campus Network
LIU Xiao-yun
(Xi’an Railway Vocational and Technical Institute, Xi’an 710014, China)
Abstract: The construction of perfect and practical campus-network security access control system is the premise and foundation to prevent the network hackers and virus attacks as well as guarantee the network safe and efficient operation. The analitical investigation on the campus network and application access control system from below to top according to level is carried out to find out all kinds of risks that may be encountered in combination with TCP/IP model. A safe and efficient operation framework was built by making the corresponding effective defensive measures of identity authentication and setting the firewall. With it, the accidents caused by the loss or the modification of the campus network"s data and the breakdown of the system were effectively prevented or avoided. The actual application in recent years proves that the scheme is reasonable and can effectively meet the safety requirement of campus networks.Keywords: campus network; network security; access control system; TCP/IP
0 引 言
校园网的安全是网络管理员面临的最为迫切的问题,由于各种因素导致的校园网数据丢失、被修改或系统瘫痪时有发生。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定高效地运转,发挥其应有的作用,成为各学校越来越重视的问题。
1 校园网拓扑图
构建一个安全的访问控制体系,需要对校园网架构有充分的认识和了解,分析各种各样存在的问题或是可能出现的问题,以便迅速找到解决问题的途径和方法。
从校园网络的典型拓扑来了解架构,如图1所示。
从拓扑图可以看出将整个网络细分为桌面应用区、交换区、服务群区、路由区、广域网区等,每个部分发挥着不同的作用,这样区分的好处就是方便管理。例如服务器区块主要针对的是各种服务器的安全性、稳定性等。当然不同的校园网略有区别,虽然网络结构看上去比较复杂,实质上都离不开网络的模型,构建一个安全的访问控制体系需要将各个部分的安全威胁降到最低。
2 网络的层次模型
现代校园网基本上是基于TCP/IP协议作为模型。TCP/IP的模型从下向上各层名称依次是:网络接口层(物理层、数据链路层)、网络互连层、传输层、应用层。
3 校园网面临的安全威胁
了解了常用的校园网攻击手段,才可有的放矢。而且随着网络技术的发展,新的攻击手段也是层出不穷,在这里介绍一些常见的校园网的安全隐患,以便管理员及时查漏补缺。
3.1 物理层
保证计算机信息系统各种设备的物理安全是整个计算机系统安全的前提。最底层安全最薄弱,一旦受到威胁和破坏,那么在此层之上的其他网络层次都将受到影响,它是网络安全的基础。
物理层主要考虑的是线路的安全、物理设备的安全、机房的安全等。
图1 某大学校园拓扑图
3.2 数据链路层
数据链路层对应的网络设备主要是交换机,而且要防范校园网内部的整体安全,最好的方式是在交换机上进行控制。
(1) MAC 地址欺骗
将合法的MAC 地址修改成不存在的MAC 地址或其他计算机的MAC 地址,从而隐藏自己真实的MAC,来达到一些不可告人的目的,这就是MAC 地址欺骗。
前段时间非常流利的ARP攻击就是基于这个原理,造成了网络内部数据包的大量拥堵,非常多的用户反映网络很慢,经常掉线,大部分原因就是它所造成。
(2) STP攻击
STP(Spanning Tree Protocle,生成树协议)是交换机的正常运转必不可少的协议,因此也成为被攻击的一个重点。
(3) 接入点缺乏管理
随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取相关的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络攻击、系统瘫痪等严重后果。
3.3 网络互连层
工作在这一层最主要的设备是路由器和三层交换机,因此大部分的攻击及防御可以在此种设备上完成。
(1) IP地址欺骗、盗用
IP欺骗:盗用合法用户的IP地址,隐藏自己的真正身份。IP欺骗和MAC欺骗相结合,伪装成其他人进行网络访问。
比如常见到的IP地址冲突就很有可能是这种攻击造成的,造成网络中其他主机不能正常上网或是占用大量的资源,影响带宽。
(2) IP扫描攻击
目前发现的扫描攻击有两种:
目的IP地址变化的扫描,称为“scan dest ip attack”。这种扫描最危害网络,消耗网络带宽,增加交换机负担;
目的IP地址不存在,却不断地发送大量报文,称为“same des tip attack”。
3.4 传输层
传输层主要是面向连接和非面向连接的攻击。网络需要通信,通信必须要占用某个端口,而传输层主要是进行端到端的通信。
DoS/DDoS(拒绝服务攻击/分布式拒绝服务攻击):它是指故意攻击网络协议的缺陷或直接通过野蛮手段耗尽受攻击目标的资源,目的是让目标计算机或网络无法提供正常的服务,甚至系统崩溃。
3.5 应用层
该层次的安全问题主要是由提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、FTP等,此外还包括病毒对系统的威胁。
(1) 病毒攻击
通过网络传播的计算机病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。目前最流行的蠕虫病毒,通过电子邮件、网络共享或主动扫描等方式从客户端感染校园网的Web服务器,改变网页的目录以繁衍自身,并通过发送垃圾邮件和扫描网络,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
(2) 操作系统和应用软件的漏洞
大学网络服务器安装的操作系统大多是Windows NT/Windows 2000,Unix,Linux等,这些系统安全风险级别不同。Windows NT/Windows 2000的普遍性和可操作性使得它成为最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞;Unix由于其技术的复杂性易导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自身的病毒等,这些都对原有网络安全构成威胁。
(3) 垃圾邮件
垃圾邮件虽然不像病毒感染一样是一种明显的威胁,但它可以极快地淹没用户的收件箱,这就使得用户难于查看合法的电子邮件。垃圾邮件问题已经相当严重,以至于用户会放弃某个由垃圾邮件摧毁的电子邮件账户。垃圾邮件还是钓鱼者和病毒制造者喜欢的传播媒介。
(4) 内部隐患
由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
4 校园网的安全防御
针对前面提到的安全威胁,寻找与制定好的安全手段,提升校园网的安全性。
4.1 物理层
为了最大限度降低安全风险,提高意外情况下的恢复能力,需要完善规范的网络管理制度,而且随着环境的变化做相应的整改,以适应网络发展的需要。
4.2 数据链路层
在交换机上划分VLAN,做好各种安全配置。如果可能,可将MAC地址与端口绑定,可以有效避免或是减少ARP病毒的攻击及MAC地址欺骗等。
4.3 网络互联层
在路由器配置各种安全策略,如ACL一类,现在很多网络在与外网相连的接口上启用NAT一类的技术,也可起到安全的效果。
禁PING,TRACERT之类的命令或HTTP服务等。
4.4 传输层
安全套接层(Secure Sockets Layer,SSL)及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
4.5 应用层
(1) Windows自动更新服务
下载Windows操作系统安全和稳定性补丁,在校园网上搭建一个专门的补丁服务器。Window系统补丁本地更新,不产生国际流量和相应的流量费用,校园网用户享受免费的、高质量的Window系统补丁更新服务。
(2) 网络防病毒系统
Symantec等防病毒系统是现在校园网或是企业网络中比较常见的,使用户桌面计算机安全得到保障。
(3) 邮件服务器
校园网邮件服务器安装邮件网关,可以有效抵抗邮件攻击,防垃圾邮件,过滤病毒和非法内容邮件等。
(4) 服务监控
实时了解服务器主机工作是否正常,实时了解关键服务是否运行正常,关键服务使用情况统计,监控WWW服务、FTP服务,及前面的补丁服务器、邮件服务器等。
(5) 身份验证
身份验证技术用于判断对象身份的真实性,是校园网上信息安全的第一道屏障。除校园卡外,校园网上的身份验证技术主要是口令机制:如各种开机口令、登陆口令、共享权限口令等。对这些口令的保护除建立严格的保密以外,口令的设置方法也非常重要。
尽管Internet网络上存在众多口令攻击器,可能将口令破译出来,但是一个合理的口令机制可使自己遭受黑客攻击的风险降到一定限度以内。
(6) 设置防火墙
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵。
(1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。
(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
(5) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
(6) 入侵检测系统部署IDS(Intrusion Detection System)。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据。
(7) 用户管理
结合IP网关技术,避免一部分网络攻击,对访问外网做到严格审查。
(8) 网络管理
网络流量监测系统能直观地显示网络健康状况、实施预警,实现定制的网络拓扑图,与已有的流量监控系统无缝集成,并将Top N主机/端口排名等,还有相应的在线用户统计、超大流量IP报警、用户IP日流量统计。
(9) 安全管理
“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。
5 结 语
校园网络访问控制体系策略的制定要针对网络的实际情况(被保护信息的价值,被攻击的危险性,可投入的资金等),具体地对各种安全措施进行取舍。可以说,这是在一定条件下的成本和效率的平衡,其目标是使系统的性能比达到一个合理的水平。
参考文献
[1]王湘渝,陈立.基于多层防护的校园网安全体系研究[J].计算机安全,2009(8):73-74,78.
[2]张立朝,于江,苏锦海.一种新的内部网安全传输方案设计与实现[J].现代电子技术,2010,33(5):92-94.
[3]王伟,袁胜忠.校园网安全架构解析[J].中国教育网络,2009(1):75-77.
[4]侯振兴.高校校园网安全性建设浅析[J].内江科技,2008,29(3):86.
[5]牛合利,黄娜娜.浅议校园网安全与防范[J].中国科教创新导刊,2008(5):214-215.
[6]蒋萍.浅谈校园网的建设和管理[J].科技信息,2009(18):186.
[7]吴婷.高校校园网的安全与管理维护[J].中国新技术新产品,2009(15):239.
[8]伍光喜.中小型校园网的安全解决方案[J].中国培训,2010(2):53-54.
[9]赵耀,孙晋,何晓燕.高校校园网安全问题分析及整体解决体系的研究[J].华北煤炭医学院学报2009,11(4):597-598.
[10]刘晓辉.网络安全设计、配置与管理大全[M].北京:电子工业出版社,2009.