校園網安全系統的設計與實現——網絡訪問安全目錄摘要 I Ⅱ1.緒論 11.1選題背景 1.2選題目的 1 12.可行性分析 22.1社會可行性 22.2技術可行性 22.3操作可行性 22.4系統開發平臺及運行環境 22.4.1系統開發工具及平臺 22.4.2運行環境 23.校園概況和網絡拓撲 3 33.2校園組成機構 3 33.4網絡拓撲總圖 44.網絡安全基礎 54.1網絡安全的定義 54.2網絡安全的屬性 54.3網絡信息安全因素 64.4網絡信息安全機制 65.安全需求與安全目標 85.1網絡安全需求 85.2網絡安全策略 85.3系統安全目標 86.網絡訪問安全 9 9 96.1.2VPN的特點與應用 9 97.CISCO安全設備 7.1防火墻設計 8.網絡攻擊與防范 8.1黑客攻擊手段 8.2.1“ARP攻擊”的方式和原理 8.2.2利用“ARP欺騙”入侵實際操作 8.2.3“ARP攻擊”防范方法 9.結論 21參考文獻 22致謝 23I隨著網絡技術蓬勃發展，校園網的迅速發展和普及，對學校日常工作學習和本設計著重分析了如今校園網中存在的安全隱患，提出理論性與實踐性的依據，并針ⅡWiththevigorousdevelopmentofnetworktechnology,therapiddevelopmentofthecampusnetworkandpopularization,dailyworktoschoolforlearningandmanimportantrole.Butbecomingincreasinglyprominent.HowtomakethecampusnetworknormalandefficientThisdesignfocusesonanalyzingthenowexistinputsforwardthetheoreticalandpracticalbasiwhichinvolvestechnologyhaveVLAN,STP,VTP,HSRP,theARPdeception,MACcheat,etc.Thisdesignschemethroughthesimulationdesignenvironment,urealizethehackerattacksandthesimulationbyanattackerdefenses.Innetworksecuritymanagementhelp,fortheteacherscleantheInternetKeywords:Networksecurity;Switches;VPN;H11.1選題背景經過多年的信息化建設之后，我們國內大多數高等院校基本上都建成了自己的校園網。但隨著其應用的深入，校園網絡的安全性和可靠性也成為院校領導共同關心的問題。校園網絡的安全直接影響著學校的日常教學、管理、科研活動的開展。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不會由于偶然的或者惡意的原因而遭到破壞、更改和泄露。系統能夠連續、可靠、正常地運行，使網絡服務不中斷。個人信息資料和學院相關網絡文件一旦遺失或被盜，學院就會因此蒙受巨大損失，甚至間接的影響到該校教師和學生的人身安全。因此，在全面了解校園網的安全現狀基礎上，合理構建安全體系結構，改善網絡應用環境的工作迫在眉睫。目前，全國各媒體，網站對國內校園網安全系統的設計與實現進行相關調查，發現目前國內各校園對自己校園網的系統安全設計都有著適合自己的特色以及功能。目前相關的校園網安全系統的設計與實現的相關資料也比比皆是，由于網絡技術的飛速發展，越來越多的新的設計理念和創新的想法也逐步被人們領略到。這些都為安全系統設計和實現提供了充足的材料和理論基礎。我們的目的就是在這現有的條件，根據自己學到的知識，以華南師范大學增城學院為研究對象去設計出一個校園網的系統安全設計方案。1.3本文組織結構本文主要介紹校園局域網1所遇到的網絡安全問題以及針對校園的需求設計網絡安全本論文的主要內容分為八章。第二章詳細的從各個方面分析了我們這個方案的可行性。第三章以華南師范大學增城學院為研究對象，簡述校園的基本構造和設計網絡拓撲。第四章和第五章主要結合參考文獻，整體對網絡的安全基礎以及安全需求和安全目標做出詳細的說明第六章主要對VPN的設計和用路由器實現VPN。第七章CISCO安全設備防火墻的設計。第八章通過用虛擬機的模擬來實現網絡攻擊與防范。2可行性分析就是在系統調查的基礎上，針對新系統的開發是否具備必要性和可能性，對新系統的開發從技術、經濟、社會的方面進行分析和研究，以避免投資失誤，保證新系統的開發成功。可行性研究的目的就是用最小的代價在盡可能短的時間內確定問題是否能夠解決。該系統的可行性分析包括以下幾個方面的內容。隨著計算機技術的發展和網絡人口的增加，網絡世界也越來越廣博，越來越豐富，校園實現網絡辦公、網絡教學已經是一股潮流了。相信要不了太長有時間，每個校園都會有屬于自己的局域網絡，都會實現網絡辦公，網絡教學。校園網絡系統主要目的是進行保護校園的網絡安全，并且嚴格按照國家法律法規來進行研究和實踐，并無法律和政策方面的本系統在PacketTracer上設計，并在虛擬機Vmware模擬實現，Windows2003Server能為我們的設計做出類似于實際環境的模擬測試。所以使用這兩個軟件可以說明很好的證明該設計方案和實現的可行性。硬件方面，科技飛速發展的今天，硬件更新的速度越來越快，容量越來越大，可靠性越來越高，價格越來越低，其硬件平臺完全能滿足此系統的需要。目前，大多數計算機都能運行該系統，該安全系統的安裝、調試、運行不會改變原計算機系統的設置和布局，由相關人員指導便能夠方便的操作此系統。系統設計是在PacketTracer上的。PacketTracer是由Cisco公司發布的一個輔助學習工具，為學習思科網絡課程的初學者去設計、配置、排除網絡故障提供了網絡模擬環境。用戶可以在軟件的圖形用戶界面上直接使用拖曳方法建立網絡拓撲，并可提供數據包在網絡中行進的詳細處理過程，觀察網絡實時運行情況。可以學習IOS的配置、鍛煉故障排查3本章主要以華南師范大學增城學院為研究對象，進行系統分以及設計出網絡拓撲。核心層核心層匯聚層接入層用戶終端GuestIP打印無線AP思科W$-C3560G思科WS-C2918思科WS-C2918圖3-1網絡體系結構4圖3-2網絡拓撲圖 5網絡安全是指網絡系統的硬件、軟件及其中數據受到保護，不受偶然的或者惡意的破壞、更改、泄露，保證系統連續可靠地運行，確保網絡服務不中計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、從本質上來講，計算機網絡安全就是網絡上的信息安全。凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論可靠性是網絡信息系統能夠在規定條件下、規定時間內完成規定功能的特性。可靠性抗毀性是指系統在人為破壞下的可靠性。例如，部分線路或節點失效后，系統能否繼生存性是在隨機破壞下系統的可靠性。生存性主要反映隨機有效性是一種基于業務性能的可靠性。有效性主要反映在網絡信息系統的部件失效情況下，滿足業務性能要求的程度。比如，網絡部件失效雖然造成質量指標下降、平均延時增加、線路阻塞等現象。允許授權用戶或實體使用的特性，或者是網絡戶提供有效服務的特性。可用性是網絡信息系統面向用戶的安本的功能是向用戶提供服務，而用戶的需求是隨機的、多方面可用性還應該滿足以下要求：身份識別與確認、訪問控制、業務流控制、路由選擇控制、審計跟蹤。審計跟蹤的信息主要包括：事件類型、被管客息、事件回答以及事件統計等方面的信息。保密性是數據信息不被泄露給非授權的用戶、實體或供其利用的特性。保密性是在可完整性是網絡信息未經授權不能進行改變的特性。即網絡信息在存儲或傳輸過程中保6存儲過程中產生的誤碼，定時的穩定度和精度降低造成的誤碼，各種干擾源造成的誤碼)、人為攻擊、計算機病毒等。保障網絡信息完整性的主要方法有：協議、糾錯編碼方法、密碼校驗和方法、數字簽名、公證[1不可抵賴性也稱作不可否認性，在網絡信息系統的信息交互過程中，確信參與者的真實同一性。即，所有參與者都不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據可以防止發信方不真實地否認已發送信息，利用遞交接收證據可以防止收信方事后否認已經接收的信息。可控性是對網絡信息的傳播及內容具有控制能力的特性。可控性最重要的體現是全局監控、預警能力和應急響應處理能力。全局預警就是要建立全局性的安全狀況收集系統，對于新的安全漏洞和攻擊方法能及時了解，針對體系內局部發生的安全入侵等事件進行響網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊，網絡中的敏感數據有可能泄露或被修改，從內部網向公共網傳送的信息可能被他人竊聽或篡改等。典型的網絡安全威脅如表4-1所示。竊聽網絡中傳輸的敏感信息被竊聽攻擊者事先獲得部分信息或全部信息，以后攻擊者對合法用戶之間的通信信息進行修改、刪除、非授權訪問通過假冒、身份攻擊、系統漏洞等手段獲取系統訪問權攻擊者通過某種方法使系統響應減慢甚至癱瘓，行為否認旁路控制電磁/射頻截獲攻擊者從點子或機電設備所發出的無線射頻或其他電磁輻射中提取信息人員疏忽已授權人為了利益或由于粗心將信息泄露給未授權人影響計算機網絡安全的因素有很多，如人為的疏忽、人為的惡意攻擊、網絡軟件的漏洞、非授權訪問、信息泄露或丟失、破壞數據完整性2]。網絡信息安全機制定義了實現網絡信息安全服務的技術措施，包括所使用的可能方法，主要是利用密碼算法對重要而敏感的數據進行處理。網絡信息安全機制包括如下八種。 7加密是提供數據保密的基本方法，用加密方法和認證機制相結合，可提供數據的保密數字簽名是解決信息安全特殊問題的一種方法，適用于通信雙方發生了下列情況的安在復雜的網絡環境中，路由控制機制在于引導信息發送者選擇代價小且安全的特殊路公證機制在于解決通信的矛盾雙方，因事故和信用危機導致責任問題的公證仲裁3。 8通過對局域網結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器安全策略是指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。改安全策略模型包括建立安全環境的三個重要組成部分2|:1.法律規章。安全的基石是社會法律、法規、規章制度與相應的制裁手段，在這基礎2.先進技術。先進的安全技術是信息安全的根本保障，用戶對自身面臨的威脅進行風局域網絡系統安全應該實現以下的目標?:2.將內部網絡、公共服務器網絡和外網進行有效隔4.對網絡服務請求內容進行控制，使非法訪問在到達主機前被拒絕5.加強合法用戶的訪問認證，同時將用戶的訪問權限 9列的驗證和加密技術，使建立VPN連接的兩端虛擬的組成一條排他的專用線路，就好像一個臨時的、安全的連接，是一條穩定的隧道。虛擬專之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數2.服務質量保證(QoS)求網絡能提供良好的穩定性；對于其它應用(如視頻等)則對支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數圖6-2VPN通信拓撲R2(config-if)#ipaddressR2(config-if)#tunneR2(config-if)#ipaddress255.2R2(config-if)#iproute實踐效果如圖6-3所示：EQ\*jc3\*hps18\o\al(\s\up1(n),E)EQ\*jc3\*hps18\o\al(\s\up1(ect),IGRI)EQ\*jc3\*hps18\o\al(\s\up1(-),X)EQ\*jc3\*hps18\o\al(\s\up1(t),E)EQ\*jc3\*hps18\o\al(\s\up1(i),I)EQ\*jc3\*hps18\o\al(\s\up1(c),G)EQ\*jc3\*hps18\o\al(\s\up1(o),PI)EQ\*jc3\*hps18\o\al(\s\up1(bil),FA,)EQ\*jc3\*hps18\o\al(\s\up1(-),S)N1Ei-ospFexternaitypei_-IS-IS,su-Is-ISsummary,L1-Is-Islevel-i,L2-Iia-IS-ISinterarea,*-.candidatedefault,u-per-EQ\*jc3\*hps18\o\al(\s\up5(e),n)EQ\*jc3\*hps18\o\al(\s\up5(s),g)EQ\*jc3\*hps18\o\al(\s\up5(u),y)EQ\*jc3\*hps18\o\al(\s\up5(e),t)EQ\*jc3\*hps18\o\al(\s\up5(n),e)Successrateissending5,100-byteIcM100percent(5/5),round-trip圖6-4路由器R2ping通效果圖i-Is-Is,su-Is-ISsummary,L1-Is-Isi-Is-Is,su-Is-ISsummary,L1-Is-Isia-Is-ISinterarea,candidatR3(config-if)#ipaddress20R3(config-if)#tunnelsource202.R3(config-if)#tunneldestinationEQ\*jc3\*hps17\o\al(\s\up3(R2√),ow)EQ\*jc3\*hps17\o\al(\s\up3(R),p)EQ\*jc3\*hps17\o\al(\s\up2(-),P)EQ\*jc3\*hps17\o\al(\s\up2(co),,E)EQ\*jc3\*hps17\o\al(\s\up2(n),X)EQ\*jc3\*hps17\o\al(\s\up2(te),EI)EQ\*jc3\*hps17\o\al(\s\up2(S-),R)EQ\*jc3\*hps17\o\al(\s\up2(static,),Pex)EQ\*jc3\*hps17\o\al(\s\up2(R),te)EQ\*jc3\*hps17\o\al(\s\up2(R),rn)EQ\*jc3\*hps17\o\al(\s\up2(IP),al,)EQ\*jc3\*hps17\o\al(\s\up2(o),O)EQ\*jc3\*hps17\o\al(\s\up2(bi),S)EQ\*jc3\*hps17\o\al(\s\up2(le),P)EQ\*jc3\*hps17\o\al(\s\up2(B),,I)EQ\*jc3\*hps17\o\al(\s\up2(B),i)EQ\*jc3\*hps17\o\al(\s\up2(GP),nte)CSEQ\*jc3\*hps17\o\al(\s\up2(is),s)EQ\*jc3\*hps17\o\al(\s\up2(n),c)EQ\*jc3\*hps17\o\al(\s\up2(tt),y)EQ\*jc3\*hps17\o\al(\s\up2(,1),co)EQ\*jc3\*hps17\o\al(\s\up2(n),e)EQ\*jc3\*hps17\o\al(\s\up2(ett),ec)EQ\*jc3\*hps17\o\al(\s\up2(d),y)EQ\*jc3\*hps17\o\al(\s\up2(s),o)EQ\*jc3\*hps17\o\al(\s\up2(u),n)EQ\*jc3\*hps17\o\al(\s\up2(n),e)以上可以看到，從R2路由器可以成功ping通道R3的路由器。證明本方案的VPN通道是所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關(SecurityGateway),從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。網絡防火墻的主要特點是只能通過對它的數據包進行攔截和過濾，通常需要部署在被保護網絡的邊界，如局域網接入Internet時，就應該將防火墻部署在局域網的出口處。網絡防火墻可以應用于如下四種網絡環境?|。這是一種應用最廣，也是最重要的防火墻應用環境。在這種應用環境下，防火墻主要保護內部網絡不遭受互連網用戶的攻擊。這也是目前絕大多數校園采用防火墻的目的。在這種應用環境中，一般情況下防火墻網絡可劃分為三個不同級別的安全區域，如圖7-1外部區域內部區域內部網絡：這是防火墻要保護的對象，包括全部的校園內部網絡設備及用戶主機，這個區域是防火墻的可信區域。外部網絡：這是防火墻要防護的對象，包括外部互連網主機和設備。這個區域為防火墻的非可信網絡區域。DMZ(非軍事區):它是從校園內部網絡中劃分的一個小區域，在其中就包括內部網絡中用于公眾服務的外部服務器，如Web服務器、郵件服務器、FTP服務器等，他們都是為互連網提供某種信息服務8)。2.局域網和廣域網的連接局域網和廣域網之間的連接有兩種方式可供選擇，網絡用戶可以根據自己的實際需求如果校園原來已有邊界路由器，則此可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻設置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻和需要保護的內部網絡連接5。對于DMZ區中的公用服務器，則可直接和邊界路由器相連，只經過路由器的簡單防護，而不用經過防火墻。網絡拓撲結構如圖7-2所示。外部網絡內部網絡在此拓撲結構中，邊界路由器和防火墻就一起組成了兩道安全防線，并且在這兩者之間能設置一個DMZ區，用來放置那些允許外部用戶訪問的公用服務器設施。如果校園原來沒有邊界路由器，此時僅由防火墻來保護內部網絡。此時DMZ區域和需要保護的內部網絡分別連接防火墻的不同LAN網絡接口。因此需要對這兩部分網絡設置不同的安全策略。這種網絡雖然只有一道安全防線，但對于大多數中、小校園來說是可以滿足的。這種應用環境的網絡拓撲結構如圖7-3所示。外部網絡內部網絡3.內部網絡不同部門之間的連接這種應用環境就是在一個校園內部網絡之間，對一些安全敏感的部門進行隔離保護，比如人事部門、財務部門和市場部門等。通過防火墻保護內部網絡中敏感部門的資源不被非法訪問。這些部門網絡主機中的數據對于校園來說是非常重要，他的工作不能完全離開校園網絡，但其中的數據又不能隨便給網絡用戶訪問4]。這時有幾種解決方案，一種是采用VLAN設置，但這種方法設置方法較為復雜。另一種有效的方法就是采用防火墻進行隔離，在防火墻上進行相關的設置。通過防火墻隔離后，盡管同屬于一個內部局域網，不過其他用戶的訪問都需要經過防火墻的過濾，符合條件的用戶才能訪問。網絡拓撲結構如圖7-4所示。4.用戶與中心服務器之間的連接對于一個服務器中心而言，比如主機托管中心，大多數服務器需要對第三方開放，不過所有這些服務器分別屬于不同用戶所有，其安全策略也各不相同。如果把他們都定義在同一個安全區域中，顯然不能滿足各用戶的不同需求，這時我們就得分別設置。按不同安全策略保護這些服務器，根據實施方式的不同又可以分為以下兩種網絡環境10)。1.為每個服務器獨立設置一個獨立的防火墻。這種方案是一種最容易實現的方法，但這種方案無論從經濟上、還是從使用和管理的靈活可靠性上都不是最佳的。這主要是利用三層交換機的VLAN功能，先在三層交換機上將有不同安全需求的服務器劃分至不同的VLAN。然后通過對高性能防火墻對VLAN子網的設置，將一個高性能防火墻劃分為多個虛擬防火墻。其拓撲結構如圖7-5所示。雖然這種方案配置較為復雜，但配置完成后，隨后的使用和管理將相當的方便，就像 式達500多種。大致分為以下7類：攻擊者通過向被攻擊者發送大量的數據流使被攻擊主機淹攻擊者通過對域名系統，路由器等網絡設施進行破壞，從攻擊者在進行Web訪問時，通過對數據庫的訪問查詢有關內容。此這種攻擊方式主要通過一些日常社會交往獲取有用信息，這是最早的攻擊方式，到現在為止依然廣泛被使用，目前表的欺騙，這種方法可以破壞系統的ARP緩存表，從而組成內外IP地址的混亂。另一種照一定的頻率不斷進行地址的更換，使真實的地 果路由器的所有數據只能發送給錯誤的MAC地址，從而造成計算機訪問黑客精心構建的過一個很出名的ARP攻擊工具WinArpAttac運行的機器，如圖8-1所示008-00-27-00-60-…LOLIMASTER-PCOnline08-00-27-7E-91-PC-MBM900019…Online43243232效果如圖8-2所示EQ\*jc3\*hps24\o\al(\s\up6(e),e)EQ\*jc3\*hps24\o\al(\s\up6(t),o)EQ\*jc3\*hps24\o\al(\s\up6(im),m)Packets:Sent-4.ReceivedEQ\*jc3\*hps24\o\al(\s\up4(ox),M)EQ\*jc3\*hps24\o\al(\s\up4(i),i)EQ\*jc3\*hps24\o\al(\s\up4(mate),nimu)EQ\*jc3\*hps24\o\al(\s\up4(und),Gm)EQ\*jc3\*hps24\o\al(\s\up4(trip),Max)EQ\*jc3\*hps24\o\al(\s\up4(tim),um)EQ\*jc3\*hps24\o\al(\s\up4(in),ms)EQ\*jc3\*hps24\o\al(\s\up4(milli),vera)EQ\*jc3\*hps24\o\al(\s\up4(-),g)EQ\*jc3\*hps24\o\al(\s\up4(s),e)EQ\*jc3\*hps24\o\al(\s\up4(s:),m)三、IpConflict:發送一個IP一樣但Mac地址不一樣的包至目標機，導致目標機IP沖突。(頻繁發送此包會導致機器斷網),如果被攻擊，效果很明顯，在你機器的右下角會有個IP沖突的標志。如圖8-3所示站站圖8-3Ip沖突效果截圖七、修改arp緩存表：修改局域網內某臺機器的arp緩存表，實現MAC地址欺騙，以行的機器，如圖8-1所示行的機器，如圖8-1所示nt-WihpAtate370uid206文件掃貓攻擊檢測設置查口幫助好10000004302圖8-1掃描的結果截圖InternetAddressPhysicalAddress3.在主機上使用WinArpAttacker制作arp攻擊包，并發送給虛擬機：額口000000200800277E2012-04-1020:21:13Attack_Spoof_Ban_AFrequencyconfigure-GMmberoftimeF引-DelaybetweenpackeReady4.在虛擬機上查看被修改后的arp緩存表：8.2.3“ARP攻擊”防范方法對于ARP攻擊進行有效防范是同時在客戶端和路由器上做雙向的綁定工作，這樣的話無論ARP攻擊是偽造本機的IP地址、MAC地址還是網關地址，都不會出現上網掉線或者大面積斷線等情況。可以使用以下兩種方法來防范“ARP欺騙”攻擊：1、激活防ARP攻擊的相關項目進入路由器Web管理頁面后，選擇“防火墻配置”選項中的“基本頁面”,然后激活“防止ARP病毒攻擊”即可。這樣以后就可以避免利用ARP攻擊的木馬病毒傳播了。來實現系統的綁定工作，命令格式為：arp-s[路由器IP地址][路由器MAC地址],回3、配置DHCP服務器防范arp攻擊服務器，右鍵單擊“保留”選項，這時我們選擇“新建保留”選項。彈出的對話框中，在“名稱”里輸入保留的計算機名，在“IP地址”的選項中，是需要綁定MAC地址的IP地址，這里我們輸入網關的地址,在“MAC地址”的選項當中，將之前在客戶機中看到的MAC地址添加到其中。這樣，我們就為網絡上的網關設備路由器添加了一個M