摘要隨著計算機網絡的不斷發展和普及，計算機網絡帶來了無窮的資源，但隨之而來的網絡安全問題也顯得尤為重要。安全是網絡運行的前提，網絡安全不僅僅是單點的安全，而是整個信息網絡的安全，需要從多方進行立體的防護。文中就局域網網絡安全的當前形式及面臨的各種威脅，網絡安全防范措施、技術，闡述了局域網網絡安全當前在我們生活中的重要性。關鍵詞：局域網網絡安全 網絡安全AbstractAlongwithcalculatornetworkcontinuouslydevelopmentanduniversality,thecalculatornetworkbroughtanendlessresources,butthenetworksafeproblemforfollowingalsoseemstobeisimportance.Thesafetyisanetworkmovementofpremise,thenetworksafetyisn'tonlyanonlyalittlebitsinglesafety,butthewholesafetyofinformationnetwork,needfrominmanywayscarryonastereoscopicprotection.Inthetextthecurrentformofareanetnetworksafetyinbureauandfaceofvariousthreat,thenetworksafetyguardsagainstameasure,techniqueandelaboratedthattheareanetnetworksafetyinbureauisintheimportanceinourlifeatpresent.Keyword：LANInternetSecurityNetworkSecurity目錄第一章網絡安全 錯誤!未定義書簽。第一節網絡安全的定義 錯誤!未定義書簽。第二節局域網安全威脅及安全攻擊 錯誤!未定義書簽。一局域網安全威脅 錯誤!未定義書簽。二安全攻擊 錯誤!未定義書簽。第三節局域網當前形式及面臨的問題 錯誤!未定義書簽。第二章網絡安全的防護措施 錯誤!未定義書簽。第一節網絡體系結構 錯誤!未定義書簽。一網絡層次結構 錯誤!未定義書簽。二服務、接口和協議 錯誤!未定義書簽。三網絡參考模型 錯誤!未定義書簽。第二節網絡安全模型 錯誤!未定義書簽。第三節局域網安全防范措施 錯誤!未定義書簽。一防火墻系統 錯誤!未定義書簽。二入侵檢測系統 錯誤!未定義書簽。第三章基于某學校網絡安全的研究 錯誤!未定義書簽。第一節校園網絡安全防范體系的建立 錯誤!未定義書簽。一校園網絡安全策略概述 錯誤!未定義書簽。二對于校園網的解決方案 錯誤!未定義書簽。第二節某校網絡安全設計方案 錯誤!未定義書簽。一網絡安全設計原則 錯誤!未定義書簽。二網絡安全建設方案 錯誤!未定義書簽。結束語 錯誤!未定義書簽。謝辭 錯誤!未定義書簽。參考文獻 錯誤!未定義書簽。第一章網絡安全隨著Internet的興起，網絡安全問題越來越引起人們的關注，采取安全技術來防止對數據的破壞已成為網絡應用中的當務之急。第一節網絡安全的定義網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的行為而遭受到破壞、更改、泄露，使系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全[1]第二節局域網安全威脅及安全攻擊一局域網安全威脅（一） 來自互聯網的安全威脅局域網是與Internet互連的。由于Internet的開放性、國際性與自由性，局域網將面臨更加嚴重的安全威脅。如果局域網與外部網絡間沒有采取一定的安全防護措施，很容易遭到來自Internets上黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網絡及操作系統存在的安全漏洞，如網絡IP地址、應用操作系統的類型、開放的TCP端口號、系統用來保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序進行攻擊。他們還可以通過網絡監聽等手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網絡中重要信息。還能通過發送大量數據包對網絡服務器進行攻擊，使得服務器超負荷工作導致拒絕服務，甚至使系統癱瘓。（二） 來自局域網內部的安全威脅內部管理人員把內部網絡結構、管理員口令以及系統的一些重要信息傳播給外人帶來信息泄漏；內部職工有的可能熟悉服務器、小程序、腳本和系統的弱點，利用網絡開些小玩笑，甚至搞破壞。如，泄漏至關重要的信息、錯誤地進入數據庫、刪除數據等，這都將給網絡造成極大的安全威脅。（三）計算機病毒及惡意代碼的威脅由于網絡用戶不及時安裝防病毒軟件和操作系統補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（CrimeSoftware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。二安全攻擊安全攻擊是安全威脅的具體體現，他主要包括以下幾種類型：被動攻擊、主動攻擊、物理臨近攻擊和分發攻擊[2]（一）被動攻擊被動攻擊的主要目標是被動檢視公共媒體上傳送的信息。抵抗這類攻擊的對策是使用虛擬專用網（VPN）。表列舉了一些特定的被動攻擊。表特定的被動攻擊舉例攻擊描述檢視明文檢視網絡的攻擊者獲取未加保護措施的用戶信息或數據解密加密不善的通信數據公共域中已具備密碼分析能力口令嗅探這類攻擊包括使用協議分析工具捕獲用于未授權使用的口令通信量分析即使不解密下層信息，外部通信模式的觀察也能給對手提供關鍵信息。如通信模式的改變可以暗示緊急行動（二）主動攻擊主動攻擊的主要目標是企圖避開或打破安全防護、引入惡意代碼（如計算機病毒）以及轉換數據或系統的完整性。典型對策包括增強的區域邊界保護（如防火墻和邊界護衛）、基于身份認證的訪問控制、受保護的遠程訪問、質量安全管理、自動病毒檢測工具、審計和入侵檢測。表類聚了一些特定的主動攻擊。

表主動攻擊舉例攻擊描述修改傳輸中的數據在金融領域，如果能夠修改電子交易，從而改變交易的數量或將交易轉移到別的賬戶，其后果將是災難性的重放（插入數據）舊消息的重新插入將耽擱及時的行動會話劫持這種攻擊包括未授權使用一個已經建立的會話偽裝成授權的用戶或服務器這類攻擊包括攻擊者自己偽裝成他人，因而得以未授權訪問資源和信息。一個攻擊者通過實施嗅探或其它手段獲得用戶/管理員信息，然后使用該信息作為一個授權用戶登陸。這類攻擊也包括用于獲取敏感數據的欺騙服務器，通過與未產生懷疑的用戶建立信任關系來實施該攻擊獲取系統應用和操作系統軟件攻擊者探求以系統權限運動的軟件中存在的脆弱性利用主機或網絡信任攻擊者通過操縱文件使虛擬/遠方主機提供服務，從而去利用傳遞的信任利用數據執行攻擊者將惡意代碼植入看起來無害的供下載的軟件或電子郵件中，從而使用戶去執行該惡意代碼。惡意代碼可用于破壞或修改文件，特別是包含權限參數值的文件插入或利用惡意代碼攻擊者能進入用戶系統并執行命令。通過先前發現的脆弱性并使用該訪問來達到其攻擊目的利用協議或基礎設施的BUGS攻擊者利」用協議中缺限來欺騙用戶或重定向通信量。惡意代碼在VPN中可以通過更低級隧道來攫取信息拒絕服務攻擊者有很多其它的攻擊方法，包括有效地將一個路由器從網絡中脫離ICMP炸彈，在網絡中擴散垃圾包以及向郵件中心擴散垃圾郵件等（三）物理臨近攻擊在物理臨近攻擊中未授權者可物理上接近網絡、系統或設備，目的是修改、收集或拒絕訪問信息。這種接近可以是秘密進入或公開接近，也可以是兩種都有。表列舉了這種攻擊獨有的典型攻擊實例。表臨近攻擊舉例攻擊描述修改數據或收集信息臨近的攻擊者由于獲得了對系統的物理訪問從而修改或竊取信息，如IP地址、登錄的用戶名和口令系統干預這種攻擊來自臨近的攻擊者訪問并干預系統（如竊聽、降級等）物理破壞該攻擊者來自獲得對系統的物理訪問的臨近者，導致對本地系統的物理破壞（四）分發攻擊“分發攻擊”一詞是指在軟件和硬件開發出來之后和安裝之前這段時間，或當它從一個地方傳送到另一個地方，攻擊者惡意修改軟硬件。在工廠，可以通過加強處理配置控制將這類威脅降到最低。通過使用受控分發，或者由最終用戶檢驗的簽名軟件和訪問控制可以消除分發威脅。表給了這類分發特有的典型攻擊實例表分發攻擊舉例攻擊描述在制造商的設備上修改軟/硬件當軟件和硬件在生產線上流通時，可以通過修改軟硬件配置來實施這類攻擊。這一階段威脅的對策包括嚴格的完整性控制和在測試軟件產品中的加密簽名，前者又包括高可靠配置控制在產品分發時修改軟/硬件這些攻擊可以通過在產品分發期內（如在裝船時安裝竊聽設備）修改軟件和硬件配置來實施。這一階段威脅的對策包括在包裝階段使用篡改檢測技術，使用授權和批準傳遞和使用忙買技術第三節局域網當前形式及面臨的問題隨著局域網絡技術的發展和社會信息化進程的加快，現在人們的生活、工作、學習、娛樂和交往都已離不開計算機網絡。現今，全球網民數量已超過15億，網絡已經成為生活中離不開的工具，經濟、文化、軍事和社會活動都強烈地依賴于網絡。網絡環境的復雜性、多變性以及信息系統的脆弱性、開放性和易受攻擊性，決定了網絡安全威脅的客觀存在。盡管計算機網絡為人們提供了巨大的方便，但是受技術和社會因素的各種影響，計算機網絡一直存在著多種安全缺陷。攻擊者經常利用這些缺陷，實施攻擊和入侵，給計算機網絡造成極大的損害，網絡攻擊、病毒傳播、垃圾郵件等迅速增長，利用網絡進行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴重影響了網絡的正常秩序，嚴重損害了網民的利益；網上色情、暴力等不良和有害信息的傳播，嚴重危害了青少年的身心健康。網絡系統的安全性和可靠性正在成為世界各國共同關注的焦點。根據中國互聯網信息中心2010年初發布的統計報告顯示：我國互聯網網站已超過三百萬家，上網用戶2億多，網民數和寬帶上網人數均居全球第二。同時，網絡安全風險也無處不在，各種網絡安全漏洞大量存在和不斷被發現，計算機系統遭受病毒感染和破壞的情況相當嚴重，計算機病毒呈現出異常活躍的態勢。面對網絡安全的嚴峻形勢，我國的網絡安全保障工作尚處于起步階段，基礎薄弱，水平不高，網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節，安全防護能力不僅大大低于美國、俄羅斯和以色列等信息安全強國，而且排在印度、韓國之后。在監督管理方面缺乏依據和標準，監管措施不到位，監管體系尚待完善，網絡信息安全保障制度不健全、責任不落實、管理不到位。網絡信息安全法律法規不夠完善，關鍵技術和產品受制于人，網絡信息安全服務機構專業化程度不高，行為不規范，網絡安全技術與管理人才缺乏。面對網絡安全的嚴峻形勢，如何建設高質量、高穩定性、高可靠性的安全網絡成為通信行業乃至整個社會發展所要面臨和解決的重大課題。第二章網絡安全的防護措施第一節網絡體系結構一網絡層次結構計算機網絡就是將多臺計算機互連起來，使得用戶程序能夠交換信息和共享資源。不同系統中的實體進行通信，其過程是相當復雜的，為了簡化網絡的設計，人們采用工程設計中常用的結構化設計方法，即將復雜的通信問題分解成若十個容易處理的子問題，然后逐個加以解決。網絡設計中采用的結構化設計方法，就是將網絡按照功能分成一系列的層次，每一層次完成一個特定的功能，相鄰層中的較高層直接使用較低層提供的服務來實現本層的功能，同時又向它的上層提供服務，服務的提供和使用都是通過相鄰層的接口來進行的。這也就是人們通常所說的網絡層次結構，層次結構是現代計算機網絡的基礎。參見圖。這種結構不僅使得網絡的設計與具體的應用、基礎的媒體技術以及互聯技術等無關，具有很大的靈活性，而且每一層的功能簡單、易于實現和維護⑶。二服務、接口和協議每一層中的活動元素稱為實體，實體可以是軟件實體（如進程），也可以是硬件實體（如智能I/O芯片）位于不同系統上同一層中的實體稱為對等實體，不同系統間進行通信實際上是各對等實體間在通信。在某層上進行通信所使用的規則的集合稱為該層的協議，各層協議按層次順序排列而成的協議序列稱為協議棧⑷。事實上，除了在最底層的物理媒體上進行的是實通信之外，其余各對等實體間進行的都是虛通信，即并沒有數據流從一個系統的第N層直接流到另一個系統的第N層。每個實體只能和同一個系統中上下相鄰的實體進行直接的通信，不同系統中的對等實體是沒有直接通信能力的，它們間的通信必須通過其下各層的通信間接完成。第N層實體向第（N+1）層實體提供的在第N層上的通信能力稱為第N層的服務。由此可見，第（N+1）層實體通過請求第N層的服務完成第（N+1）層上的通信，而第N層實體通過請求第（N-1）層的服務完成第N層上的通信，以此類推直到最底層，最底層上的對等實體通過連接它們的物理媒體直接通信。在第N層協議中所傳送的每一信息被稱作第N層協議數據單元PDU（ProtocolDataUnit）。相鄰實體間的通信是通過它們的邊界進行的，該邊界稱為相鄰層間的接口。在接口處規定了下層向上層提供的服務，以及上下層實體請求（提供）服務所使用的形式規范語句，這些形式規范語句稱為服務原語。因此可以說，相鄰實體通過發送或接收服務原語進行交互作用。而下層向上層提供的服務分為兩大類：面向連接的服務和無連接的服務。面向連接的服務是電話系統服務模式的抽象，每一次完整的數據傳輸都必須經過建立連接、使用連接和終止連接三個過程。在數據傳輸過程中，各數據分組不攜帶信宿地址，而使用連接號。本質上，服務類型中的連接是一個管道，發送者在一端放入數據，接收者從另一端取出數據，其特點是：收發數據不但順序一致而且內容相同。無連接服務是郵政系統服務模式的抽象，其中每個數據分組都攜帶完整的信宿地址，各數據分組在系統中獨立傳送。無連接服務不能保證數據分組的先后順序，由于先后發送的數據分組可能經不同去往信宿，所以先發的未必先到。在對一個網絡進行層次結構的劃分時，應做到：層次功能明確，相互獨立；層間接口清晰，穿越接口的信息量盡量少；層次適中。雖然模型系統在結構上是分層的，但這并不要求現實系統在工程實現時也采用同樣的層次結構。它們可以由實現者按其選擇的任何方式來構造，只要這種實現的最終性能與模型系統所定義的性能相吻合即可。通常人們將網絡的層次結構、協議棧和相鄰層間的接口以及服務統稱為網絡體系結構。三網絡參考模型目前最有代表性的網絡參考模型是OSI參考模型和TCP/IP參考模型，但TCP/IP參考模型更流行。以下簡要介紹這兩種參考模型[5]（一）OSI參考模型OSI（OpenSystemInterconnection,開放系統互聯）OSI參考模型分為七層，由低到高依次為物理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層，參見圖。OSI參考模型只是規定了網絡的層次劃分，以及每一層上所實現的功能，但它沒有規定每一層上所實現的服務和協議，因此它本身并不是一個網絡體系結構。各層的主要功能如下：層第七層第六層層第七層第六層第五層第四層第三層第二層第一層開放系統A 開放系統B圖OSI參考模型1應用層是OSI參考模型的最高層，它的作用是為應用進程提供訪問OSI環境的方法；2表示層為上層用戶提供數據或信息語法的表示轉換；3會話層是進程-進程層，進程間的通信也稱為會話，會話層組織和管理不同主機上各進程間的對話；4傳輸層是第一個端-端層，也稱為主機-主機層，它為上層用戶提供不依賴具體網絡的高效、經濟、透明的端■端數據傳輸服務（所謂端-端是描述網絡傳輸中對等實體之間關系的一個概念。在端-端系統中，初始信源機上某實體與最終信宿機的對等實體直接通信，彼此之間就像有一條直接線路，而不管傳輸過程中要經過多少接口報文處理機（IMP）。與端-端對應的另一個概念是點-點。在點-點系統中，對等實體間的通信由一段一段的直接相連的機器間的通信組成）；5網絡層的作用是將數據分成一定長度的分組，將分組穿過通信子網從信源送到信宿；6數據鏈路層的作用就是通過一定的手段，將有差錯的物理鏈路轉化成對網絡層來說是沒有傳輸錯誤的數據鏈路；7物理層的作用是在物理媒介上傳輸原始的數據比特流，這一層的設計同具體的物理媒介有關，如用什么信號表示“1”，用什么信號表示“0”，信號電平多少，收發雙方如何同步。由以上幾點可知，只有最低三層涉及通過通信子網的數據傳輸，高三層是端到端的層次，因而通信子網只包括第三層的功能。從實際的觀點出發，OSI分層可以按照以下幾點來考慮：1依賴于應用的協議；2與特定媒體相關的協議；3在1與2之間的橋接功能。（二）TCP/IP參考模型TCP/IP參考模型沒有明確區分開服務、接口和協議這三個概念，并且它是專門用來描述TCP/IP協議棧的，無法用來描述其它非TCP/IP網絡。因此，盡管TCP/IP模型在工業上得到了廣泛的應用，但人們在討論網絡時常常使用OSI參考模型，因為它更具有一般性。TCP/IP草靠模型分為四層，它們是應用層、傳輸層、網絡互聯層和網絡接口層，參見圖。各層功能如下：應用層傳輸層網絡互聯層網絡接口層圖TCP/IP參考模型1應用層將OSI的高層-應用層、表示層和會話層的功能結合了起來，常見的協議有文件傳輸協(FTP)、遠程終端協議(TELNET)、簡單電子郵件傳輸協議(SMTP)、域名系統(DNS)、簡單網絡管理協議(SNMP)、訪問WWW站點的HTTP等；2傳輸層在功能上等價于OSI的傳輸層。在這一層上主要定義了兩個傳輸協議，一個是可靠的面向連接的協議，稱為傳輸控制協議(TCP)，另一個是不可靠的無連接協議，稱為用戶數據報協議(UDP)；3網絡互聯層在功能上等價與OSI網絡層中與子網無關的部分。網絡互聯層是TCP/IP參考模型的核心，這一層上的協議稱為IP。TCP和IP是非常重要的兩個協議，以至于TCP/IP參考模型和TCP/IP協議族就以這兩個的名稱來命名；4網絡接口層在功能上等價于OSI的子網絡技術功能層。它包括OSI模型中的網絡層中與子網有關的下部子層、數據鏈路層和物理層。負責將IP分組封裝成適合在物理網絡上傳輸的幀格式并傳輸，或將從物理網絡接收到的幀解封，取出IP分組交給網絡互聯層。第二節網絡安全模型消息將通過某種類型的互聯網從一方傳輸到另一方。這兩方都是事務的主體，必須合作以便進行消息交換。可以通過在互聯網上定義一條從信息源到信息目的地之間的路由以及兩個信息主體之間使用的某種通信協議(例如，TCP/IP)，來建立一條邏輯信息通道。如圖所示⑹當需要或者希望防范可能對信息機密性、真實性等產生威脅的攻擊者的時候，安全方面的因素便會起作用。所有用于提供安全性的技術都包含以下兩個主要部分：第一對待發送信息進行與安全相關的轉換。其示例包括：消息加密，使得對于攻擊者而言該消息不可讀；建立在消息內容上面的附加碼，它可以用來驗證發送者的身份。第二兩個主體共享一些不希望被攻擊者所知的秘密信息。其示例包括與消息變化一起使用的加密密鑰，它在傳輸之前用于打亂消息而在接收之后用于恢復消息。

可信的第三方（例如沖裁者、秘密信息的發送者）■發送者*者安全相關的轉換 秘 ，接'..r受信息誦道 安全相關者|信心、通^道 ,,4-4--Ma秘的轉換消一/ b卜密—芯 」"密——/ 消息'’消■氣1 , *消Cr*息▲ 息 J. 息 A秘密信息 攻擊者 秘密信息圖網絡安全模型為了達到安全傳輸可能需要可信的第三方。例如，第三方可能需要負責分發秘密信息給兩個主體，同時對攻擊者隱藏這些信息。通用模型表明設計特定的安全服務時有四個基本的任務：第一設計用來執行與安全相關的轉換的算法，這種算法應該是不會被攻擊者擊破的。第二生成用于該算法的秘密信息。第三開發分發和共享秘密信息的方法。第四指定一種能被兩個主體使用的協議，這種協議使用安全算法和秘密信息以便獲得特定的安全服務。另一種有害訪問是利用計算機系統邏輯上的弱點，這不僅能夠影響應用程序，而且還能夠影響實用程序，例如編輯器和編譯器。程序存在兩種形式的威脅：第一，信息訪問威脅：本不該訪問某些數據用戶截取或修改數據。第二，服務威脅：利用計算機的服務缺陷阻止合法用戶的使用。病毒和蠕蟲是軟件攻擊的兩個具體示例。由于磁盤的有用軟件可能隱藏著有害邏輯，因此可以通過這些磁盤小系統引入這種攻擊。他們同樣可以通過網絡進入到系統中；后一種機制在網絡安全中更受關注。、、病毒以及其他二道防線包含各以此來檢測有害入侵者的存在。解決有害訪問的安全機制主要有兩大范疇。第一類范疇是它包含基于口令的登錄過程，它們設計成拒絕除授權用戶外的制、件（（如病，它們設計用來檢測和拒絕蠕蟲個有害的用戶或者有訪問通道獲得訪問權，.第能夠檢視和分析存儲的信息，I

、、病毒以及其他二道防線包含各以此來檢測有害入侵者的存在。攻擊者

人（如黑客）

軟件（如病

毒、蠕蟲）訪問通道看門人功能計算機資源（處理器、內存、I/O）數據進層軟件內部安全控制圖網絡訪問安全模型訪問通道看門人功能計算機資源（處理器、內存、I/O）數據進層軟件內部安全控制第三節局域網安全防范措施一防火墻系統（一）防火墻概述防火墻是一種用來增強內部網絡安全性的系統，它將網絡隔離為內部網和外部網，從某種程度上來說，防火墻是位于內部網和外部網之間的橋梁和檢查站，它一般由一臺和多臺計算機構成，它對內部網和外部網的數據流量進行分析、檢測、管理和控制，通過對數據的篩選和過濾，來防止未授權的訪問進出內部計算機網，從而達到保護內部網資源和信息的目的。防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。（二）防火墻的體系結構1雙重宿主主機體系結構雙重宿主主機體系結構圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口。這樣的主機可以充當與這些接口相連的網絡之間的路由器，它能夠從一個網絡到另外一個網絡發送IP數據包。然而雙重宿主主機的防火墻體系結構禁止這種發送。因此IP數據包并不是從一個網絡（如外部網絡）直接發送到另一個網絡（如內部網絡）。外部網絡能與雙重宿主主機通信，內部網絡也能與雙重宿主主機通信。但是外部網絡與內部網絡不能直接通信，它們之間的通信必須經過雙重宿主主機的過濾和控制。2被屏蔽主機體系結構雙重宿主主機體系結構防火墻沒有使用路由器。而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開。在這種體系結構中，主要的安全由數據包過濾提供（例如，數據包過濾用于防止人們繞過代理服務器直接相連）。這種體系結構涉及到堡壘主機。堡壘主機是因特網上的主機能連接到的唯一的內部網絡上的系統。任何外部的系統要訪問內部的系統或服務都必須先連接到這臺主機。因此堡壘主機要保持更高等級的主機安全。數據包過濾容許堡壘主機開放可允許的連接（什么是〃可允許連接〃將由你的站點的特殊的安全策略決定）到外部世界。3被屏蔽子網體系結構被屏蔽子網體系結構添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡隔離開。被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器（三）防火墻的功能1數據包過濾技術數據包過慮技術是在網絡中的適當位置對數據包實施有選擇的通過的技術選擇好依據系統內設置的過濾規則后，只有滿足過濾規則的數據包才被轉發至相應的網絡接口，而其余數據包則從數據流中被丟棄。數據包過濾技術是防火墻中最常用的技術。對于一個危險的網絡，用這種方法可以阻塞某些主機和網絡連入內部網絡，也可限制內部人員對一些站點的訪問。包過濾型防火墻工作在OSI參考模型的網絡層和傳輸層，它根據數據包頭源地址，目的地址，端口號和協議類型等標志確定是否允許通過，只有滿足過濾條件的數據包才被轉發到相應目的地，其余數據包則被數據流中阻擋丟棄。2網絡地址轉換技術網絡地址轉換是一種用于把IP地址轉換成臨時的外部的、注冊的IP的地址標準，用戶必須要為網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時，系統將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。防火墻根據預先定義好的映射規則來判斷這個訪問是否安全和接受與否。網絡地址轉換過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規操作即可。3代理技術代理技術是在應用層實現防火墻功能，代理服務器執行內部網絡向外部網絡申請時的中轉連接作用。代理偵聽網絡內部客戶的服務請求，當一個連接到來時，首先進行身份驗證，并根據安全策略決定是否中轉連接。當決定轉發時，代理服務器上的客戶進程向真正的服務器發出請求，服務器返回代理服務器轉發客戶機的數據。另一種情況是，外部網通過代理訪問內部網，當外部網絡節點提出服務請求時，代理服務器首先對該用戶身份進行驗證。若為合法用戶，則把該請求轉發給真正的某個內部網絡的主機。而在整個服務過程中，應用代理一直監控著用戶的操作，一旦用戶進行非法操作，就可以進行干涉，并對每一個操作進行記錄。若為不合法用語，則拒絕訪問。二入侵檢測系統（一）入侵檢測系統概述入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統（二）入侵檢測原理入侵檢測跟其他檢測技術有同樣的原理。從一組數據中，檢測出符合某一特點的數據。攻擊者進行攻擊的時候會留下痕跡，這些痕跡和系統正常運行的時候產生的數據混在一起。入侵檢測系統的任務是從這些混合的數據中找出是否有入侵的痕跡，并給出相關的提示和警告。入侵檢測的第一步是信息收集，收集內容包括系統、網絡、數據及用戶活動的狀態和行為。由放置在不同網段的傳感器或不同主機的代理來收集信息，包括系統和網絡日志文件、網絡流量、非正常的目錄和文件改變、非正常的程序執行。第二步是信息分析，收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術手段進行分析：模式匹配、統計分析和完整性分析。當檢測到某種誤用模式時，產生一個告警并發送給控制臺。第三步是結果處理，控制臺按照告警產生預先定義的響應采取相應措施，可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的告警。第三章基于某學校網絡安全的研究第一節校園網絡安全防范體系的建立一校園網絡安全策略概述具體的安全由以下幾個方面組成：物理安全、網絡安全、信息安全[7]（一） 物理安全物理安全策略主要指網絡基礎設施、網絡設備的安全以及不同網絡之間的隔離進行控制的策略。物理安全直接關系到網絡的安全，如果非法用戶有接觸網絡設備的可能，那么他直接對設備進行破壞要比通過網絡遠程進行破壞容易得多。（二） 網絡安全網絡安全是指系統（主機、服務器）安全、反病毒、系統安全檢測、審計分析網絡運行安全、備份與恢復、局域網與子網安全、訪問控制（防火墻）、網絡安全檢測、入侵檢測。（三） 信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網絡傳輸信息內容的審計三方面，具體包括數據加密、數據完整性鑒別、防抵賴、信息存儲安全、數據庫安全、終端安全、信息的防泄密、信息內容審計、用戶授權。二對于校園網的解決方案計算機網絡系統是一個分層次的拓撲結構，因此網絡的安全防護也需要采用分層次的拓撲防護措施，即一個完整的網絡安全解決方案應該覆蓋網絡的各個層次，并且與安全管理相結合。網絡安全防護分層如下表所示：表網絡安全分層結構物理層安全主要指網絡設備通訊線路的安全網絡層安全防火墻、VLAN、路由安全系統層安全操作系統的安全應用層安全防病毒、應用系統的安全（一）物理層安全保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：環境安全、設備安全、媒體安全。（二）網絡層安全主要包括：限制非法用戶通過網絡遠程訪問和破壞系統數據，竊取傳輸線路中的數據；確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。1合理劃分VLANVLAN（VirtualLocalAreaNetwork）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段而實現虛擬工作組的技術。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需要的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個VLAN內部的廣播和單薄流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN在交換機上的實現方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網絡層劃分VLAN；第四是基于IP組播劃分VLAN。以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變為點到點通訊，以上運行機制帶來的網絡安全是好處是顯而易見的：第一，信息只有到達應該到達的地點。因此，防止了大部分基于網絡監聽的入侵手段。第二，通過虛擬網設置的訪問控制，使在虛擬網外的網絡節點不能直接訪問虛擬網內節點。2防火墻與IDS安裝防火墻進行安全保護，它是一種在校園內部網和Internet之間實施的信息安全防范系統技術，通過檢測、限制、更改跨越防火墻的數據流，可以有效地對外屏蔽校園內部網絡的信息，從而對系統結構及其良性運行等實現安全防護。IDS所采用的不是被動防御的策略，而是主動監視、檢測和識別在進行的或已經成功的入侵行為，并及時報告給網絡管理者。由于IDS系統除了報告外，本身不能對入侵米取任何的防御措施。3路由器訪問控制列表路由器是內部網和Internet的連接，是信息出入的必經之路，對網絡的安全具有舉足輕重的作用，路由器本身就可以對數據包進行過濾和有效地防止外部用戶對校園網的安全訪問，可以限制網絡流量，也可以限制校園網內的某些用戶或設備使用網絡資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設備可以作為控制VLAN之間訪問的初級屏障，因此，我們可以利用路由器來提高網絡的安全性。（三） 系統層安全操作系統是計算機系統的核心和基礎工具，因此操作系統的漏洞往往成為危害計算機和網絡安全的手段和環節。保護計算機操作系統的安全，對于網絡的安全尤為重要。（四） 應用層安全1網絡防病毒技術網絡病毒成為威脅網絡安全的重要因素，如何防護網絡病毒也就成為校園網安全必須考慮的重要問題。為保護服務器和網絡中的工作站免受計算機病毒的侵害，同時也是為了建立一個集中有效的防病毒控制機制，需要應用于網絡的防病毒技術。基于網絡防病毒技術可以在網絡的各個環節上實現對計算機病毒的防范，其中包括基于網關的防病毒系統、基于服務器的防病毒系統和基于桌面的防病毒系統。安裝了基于網絡的防病毒軟件后，不但可以做到主機可以防范病毒的感染，同時通過這些主機傳遞的文件也可以避免被病毒侵害，并且可以建立一個集中有效的防病毒控制機制，從而保護計算機信息網絡的安全。2應用系統防護策略對于應用系統，由于其數據包含用戶信息、各種應用數據，是非常關鍵和重要