欧美精品一二区,性欧美一级,国产免费一区成人漫画,草久久久久,欧美性猛交ⅹxxx乱大交免费,欧美精品另类,香蕉视频免费播放

基于學(xué)校網(wǎng)絡(luò)安全的研究網(wǎng)絡(luò)工程畢業(yè)論文

上傳人:無(wú)*** 文檔編號(hào):44525384 上傳時(shí)間:2021-12-05 格式:DOC 頁(yè)數(shù):24 大?。?.17MB
收藏 版權(quán)申訴 舉報(bào) 下載
基于學(xué)校網(wǎng)絡(luò)安全的研究網(wǎng)絡(luò)工程畢業(yè)論文_第1頁(yè)
第1頁(yè) / 共24頁(yè)
基于學(xué)校網(wǎng)絡(luò)安全的研究網(wǎng)絡(luò)工程畢業(yè)論文_第2頁(yè)
第2頁(yè) / 共24頁(yè)
基于學(xué)校網(wǎng)絡(luò)安全的研究網(wǎng)絡(luò)工程畢業(yè)論文_第3頁(yè)
第3頁(yè) / 共24頁(yè)

下載文檔到電腦,查找使用更方便

10 積分

下載資源

還剩頁(yè)未讀,繼續(xù)閱讀

資源描述:

《基于學(xué)校網(wǎng)絡(luò)安全的研究網(wǎng)絡(luò)工程畢業(yè)論文》由會(huì)員分享,可在線閱讀,更多相關(guān)《基于學(xué)校網(wǎng)絡(luò)安全的研究網(wǎng)絡(luò)工程畢業(yè)論文(24頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 摘 要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及,計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)了無(wú)窮的資源,但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也顯得尤為重要。安全是網(wǎng)絡(luò)運(yùn)行的前提,網(wǎng)絡(luò)安全不僅僅是單點(diǎn)的安全,而是整個(gè)信息網(wǎng)絡(luò)的安全,需要從多方進(jìn)行立體的防護(hù)。文中就局域網(wǎng)網(wǎng)絡(luò)安全的當(dāng)前形式及面臨的各種威脅,網(wǎng)絡(luò)安全防范措施、技術(shù),闡述了局域網(wǎng)網(wǎng)絡(luò)安全當(dāng)前在我們生活中的重要性。 關(guān)鍵詞:局域網(wǎng),網(wǎng)絡(luò),安全,網(wǎng)絡(luò)安全 Abstract Along with calculator network continuously development and universality, the calculat

2、or network brought an endless resources, but the network safe problem for following also seems to be is importance. The safety is a network movement of premise, the network safety isnt only an only a little bit single safety, but the whole safety of information network, need from in many ways carry

3、on a stereoscopic protection. In the text the current form of area net network safety in bureau and face of various threat, the network safety guards against a measure, technique and elaborated that the area net network safety in bureau is in the importance in our life at present. Keyword:LAN,Int

4、ernet,Security,Network Security 目錄 摘要 Ⅰ 1 網(wǎng)絡(luò)安全 1 1.1 網(wǎng)絡(luò)安全的定義 1 1.2 局域網(wǎng)安全威脅及安全攻擊 1 1.3 局域網(wǎng)當(dāng)前形式及面臨的問(wèn)題 4 2 網(wǎng)絡(luò)安全的防護(hù)措施 6 2.1 網(wǎng)絡(luò)體系結(jié)構(gòu) 6 2.2 網(wǎng)絡(luò)安全模型 10 2.3 局域網(wǎng)安全防范措施 11 3 基于學(xué)校網(wǎng)絡(luò)安全的研究 15 3.1 校園網(wǎng)絡(luò)安全防范體系的建立 15 3.2 學(xué)校網(wǎng)絡(luò)安全設(shè)計(jì)方案 17 結(jié)束語(yǔ) 20 謝辭 21 參考文獻(xiàn) 22 21 1 網(wǎng)絡(luò)安全 隨著Int

5、ernet的興起,網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起人們的關(guān)注,采取安全技術(shù)來(lái)防止對(duì)數(shù)據(jù)的破壞已成為網(wǎng)絡(luò)應(yīng)用中的當(dāng)務(wù)之急。 1.1 網(wǎng)絡(luò)安全的定義 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的行為而遭受到破壞、更改、泄露,使系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全[1]。 1.2 局域網(wǎng)安全威脅及安全攻擊 1.2.1 局域網(wǎng)安全威脅 1、來(lái)自互聯(lián)網(wǎng)的安全威脅 局域網(wǎng)是與Internet互連的。由于Internet的開(kāi)放性、國(guó)際性與自由性,局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防

6、護(hù)措施,很容易遭到來(lái)自Internets上黑客的各種攻擊。他們可以通過(guò)嗅探程序來(lái)探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類型、開(kāi)放的T C P 端口號(hào)、系統(tǒng)用來(lái)保存用戶名和口令等安全信息的關(guān)鍵文件等,并通過(guò)相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過(guò)發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù),甚至使系統(tǒng)癱瘓。 2、來(lái)自局域網(wǎng)內(nèi)部的安全威脅 內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏

7、;內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn),利用網(wǎng)絡(luò)開(kāi)些小玩笑,甚至搞破壞。如,泄漏至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等,這都將給網(wǎng)絡(luò)造成極大的安全威脅。 3、計(jì)算機(jī)病毒及惡意代碼的威脅 由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁,或未及時(shí)更新防病毒軟件的病毒庫(kù)而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤(pán)上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(Crime Software)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。 1.2.2 安全攻擊 安全攻擊是安全威脅的具體體

8、現(xiàn),他主要包括以下幾種類型:被動(dòng)攻擊、主動(dòng)攻擊、物理臨近攻擊和分發(fā)攻擊[2]。 1、被動(dòng)攻擊 被動(dòng)攻擊的主要目標(biāo)是被動(dòng)檢視公共媒體上傳送的信息。抵抗這類攻擊的對(duì)策是使用虛擬專用網(wǎng)(VPN)。表1.1列舉了一些特定的被動(dòng)攻擊。 攻擊 描述 檢視明文 檢視網(wǎng)絡(luò)的攻擊者獲取未加保護(hù)措施的用戶信息或數(shù)據(jù) 解密加密不善的通信數(shù)據(jù) 公共域中已具備密碼分析能力 口令嗅探 這類攻擊包括使用協(xié)議分析工具捕獲用于未授權(quán)使用的口令 通信量分析 即使不解密下層信息,外部通信模式的觀察也能給對(duì)手提供關(guān)鍵信息。如通信模式的改變可以暗示緊急行動(dòng) 表1.1 特定的被動(dòng)攻擊舉例 2、主動(dòng)攻

9、擊 主動(dòng)攻擊的主要目標(biāo)是企圖避開(kāi)或打破安全防護(hù)、引入惡意代碼(如計(jì)算機(jī)病毒)以及轉(zhuǎn)換數(shù)據(jù)或系統(tǒng)的完整性。典型對(duì)策包括增強(qiáng)的區(qū)域邊界保護(hù)(如防火墻和邊界護(hù)衛(wèi))、基于身份認(rèn)證的訪問(wèn)控制、受保護(hù)的遠(yuǎn)程訪問(wèn)、質(zhì)量安全管理、自動(dòng)病毒檢測(cè)工具、審計(jì)和入侵檢測(cè)。表1.2類聚了一些特定的主動(dòng)攻擊。 表1.2 主動(dòng)攻擊舉例 攻擊 描述 修改傳輸中的數(shù)據(jù) 在金融領(lǐng)域,如果能夠修改電子交易,從而改變交易的數(shù)量或?qū)⒔灰邹D(zhuǎn)移到別的賬戶,其后果將是災(zāi)難性的 重放(插入數(shù)據(jù)) 舊消息的重新插入將耽擱及時(shí)的行動(dòng) 會(huì)話劫持 這種攻擊包括未授權(quán)使用一個(gè)已經(jīng)建立的會(huì)話 偽裝成授權(quán)

10、的用戶或服務(wù)器 這類攻擊包括攻擊者自己偽裝成他人,因而得以未授權(quán)訪問(wèn)資源和信息。一個(gè)攻擊者通過(guò)實(shí)施嗅探或其它手段獲得用戶/管理員信息,然后使用該信息作為一個(gè)授權(quán)用戶登陸。這類攻擊也包括用于獲取敏感數(shù)據(jù)的欺騙服務(wù)器,通過(guò)與未產(chǎn)生懷疑的用戶建立信任關(guān)系來(lái)實(shí)施該攻擊 獲取系統(tǒng)應(yīng)用和操作系統(tǒng)軟件 攻擊者探求以系統(tǒng)權(quán)限運(yùn)動(dòng)的軟件中存在的脆弱性 利用主機(jī)或網(wǎng)絡(luò)信任 攻擊者通過(guò)操縱文件使虛擬/遠(yuǎn)方主機(jī)提供服務(wù),從而去利用傳遞的信任 利用數(shù)據(jù)執(zhí)行 攻擊者將惡意代碼植入看起來(lái)無(wú)害的供下載的軟件或電子郵件中,從而使用戶去執(zhí)行該惡意代碼。惡意代碼可用于破壞或修改文件,特別是包含權(quán)限參數(shù)值的文件

11、插入或利用惡意代碼 攻擊者能進(jìn)入用戶系統(tǒng)并執(zhí)行命令。通過(guò)先前發(fā)現(xiàn)的脆弱性并使用該訪問(wèn)來(lái)達(dá)到其攻擊目的 利用協(xié)議或基礎(chǔ)設(shè)施的BUGS 攻擊者利用協(xié)議中缺限來(lái)欺騙用戶或重定向通信量。惡意代碼在VPN中可以通過(guò)更低級(jí)隧道來(lái)攫取信息 拒絕服務(wù) 攻擊者有很多其它的攻擊方法,包括有效地將一個(gè)路由器從網(wǎng)絡(luò)中脫離ICMP炸彈,在網(wǎng)絡(luò)中擴(kuò)散垃圾包以及向郵件中心擴(kuò)散垃圾郵件等 3、物理臨近攻擊 在物理臨近攻擊中未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備,目的是修改、收集或拒絕訪問(wèn)信息。這種接近可以是秘密進(jìn)入或公開(kāi)接近,也可以是兩種都有。表1.3列舉了這種攻擊獨(dú)有的典型攻擊實(shí)例。 表1.3

12、臨近攻擊舉例 攻擊 描述 修改數(shù)據(jù)或收集信息 臨近的攻擊者由于獲得了對(duì)系統(tǒng)的物理訪問(wèn)從而修改或竊取信息,如IP地址、登錄的用戶名和口令 系統(tǒng)干預(yù) 這種攻擊來(lái)自臨近的攻擊者訪問(wèn)并干預(yù)系統(tǒng)(如竊聽(tīng)、降級(jí)等) 物理破壞 該攻擊者來(lái)自獲得對(duì)系統(tǒng)的物理訪問(wèn)的臨近者,導(dǎo)致對(duì)本地系統(tǒng)的物理破壞 4、分發(fā)攻擊 “分發(fā)攻擊”一詞是指在軟件和硬件開(kāi)發(fā)出來(lái)之后和安裝之前這段時(shí)間,或當(dāng)它從一個(gè)地方傳送到另一個(gè)地方,攻擊者惡意修改軟硬件。在工廠,可以通過(guò)加強(qiáng)處理配置控制將這類威脅降到最低。通過(guò)使用受控分發(fā),或者由最終用戶檢驗(yàn)的簽名軟件和訪問(wèn)控制可以消除分發(fā)威脅。表1.4給了這類分發(fā)特有的典型攻擊

13、實(shí)例 表1.4 分發(fā)攻擊舉例 攻擊 描述 在制造商的設(shè)備上修改軟/硬件 當(dāng)軟件和硬件在生產(chǎn)線上流通時(shí),可以通過(guò)修改軟硬件配置來(lái)實(shí)施這類攻擊。這一階段威脅的對(duì)策包括嚴(yán)格的完整性控制和在測(cè)試軟件產(chǎn)品中的加密簽名,前者又包括高可靠配置控制 在產(chǎn)品分發(fā)時(shí)修改軟/硬件 這些攻擊可以通過(guò)在產(chǎn)品分發(fā)期內(nèi)(如在裝船時(shí)安裝竊聽(tīng)設(shè)備)修改軟件和硬件配置來(lái)實(shí)施。這一階段威脅的對(duì)策包括在包裝階段使用篡改檢測(cè)技術(shù),使用授權(quán)和批準(zhǔn)傳遞和使用忙買技術(shù) 1.3 局域網(wǎng)當(dāng)前形式及面臨的問(wèn)題 隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會(huì)信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂(lè)和交往都已離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)

14、?,F(xiàn)今,全球網(wǎng)民數(shù)量已超過(guò)15億,網(wǎng)絡(luò)已經(jīng)成為生活中離不開(kāi)的工具,經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開(kāi)放性和易受攻擊性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計(jì)算機(jī)網(wǎng)絡(luò)為人們提供了巨大的方便,但是受技術(shù)和社會(huì)因素的各種影響,計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷,實(shí)施攻擊和入侵,給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的損害,網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長(zhǎng),利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升,嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序,嚴(yán)重?fù)p害了網(wǎng)民的利益;網(wǎng)上色情、暴力等不良和有害信息的傳播,嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安

15、全性和可靠性正在成為世界各國(guó)共同關(guān)注的焦點(diǎn)。 根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心2010年初發(fā)布的統(tǒng)計(jì)報(bào)告顯示:我國(guó)互聯(lián)網(wǎng)網(wǎng)站已超過(guò)三百萬(wàn)家,上網(wǎng)用戶2億多,網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時(shí),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也無(wú)處不在,各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn),計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重,計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì),我國(guó)的網(wǎng)絡(luò)安全保障工作尚處于起步階段,基礎(chǔ)薄弱,水平不高,網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié),安全防護(hù)能力不僅大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó),而且排在印度、韓國(guó)之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn),監(jiān)管措施不到位,

16、監(jiān)管體系尚待完善,網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善,關(guān)鍵技術(shù)和產(chǎn)品受制于人,網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高,行為不規(guī)范,網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。 面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì),如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個(gè)社會(huì)發(fā)展所要面臨和解決的重大課題。 2 網(wǎng)絡(luò)安全的防護(hù)措施 2.1 網(wǎng)絡(luò)體系結(jié)構(gòu) 2.1.1 網(wǎng)絡(luò)層次結(jié)構(gòu) 計(jì)算機(jī)網(wǎng)絡(luò)就是將多臺(tái)計(jì)算機(jī)互連起來(lái),使得用戶程序能夠交換信息和共享資源。不同系統(tǒng)中的實(shí)體進(jìn)行通信,其過(guò)程是相當(dāng)復(fù)雜的,為了簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì),人們采用工程設(shè)計(jì)中常用的結(jié)構(gòu)化設(shè)計(jì)方法,即將

17、復(fù)雜的通信問(wèn)題分解成若干個(gè)容易處理的子問(wèn)題,然后逐個(gè)加以解決。 網(wǎng)絡(luò)設(shè)計(jì)中采用的結(jié)構(gòu)化設(shè)計(jì)方法,就是將網(wǎng)絡(luò)按照功能分成一系列的層次,每一層次完成一個(gè)特定的功能,相鄰層中的較高層直接使用較低層提供的服務(wù)來(lái)實(shí)現(xiàn)本層的功能,同時(shí)又向它的上層提供服務(wù),服務(wù)的提供和使用都是通過(guò)相鄰層的接口來(lái)進(jìn)行的。這也就是人們通常所說(shuō)的網(wǎng)絡(luò)層次結(jié)構(gòu),層次結(jié)構(gòu)是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)。參見(jiàn)圖2.1。這種結(jié)構(gòu)不僅使得網(wǎng)絡(luò)的設(shè)計(jì)與具體的應(yīng)用、基礎(chǔ)的媒體技術(shù)以及互聯(lián)技術(shù)等無(wú)關(guān),具有很大的靈活性,而且每一層的功能簡(jiǎn)單、易于實(shí)現(xiàn)和維護(hù)。 圖2.1 網(wǎng)絡(luò)的層次結(jié)構(gòu) 2.1.2 服務(wù)、接口和協(xié)議 每一層中的活動(dòng)元素

18、稱為實(shí)體,實(shí)體可以是軟件實(shí)體(如進(jìn)程),也可以是硬件實(shí)體(如智能I/O芯片)位于不同系統(tǒng)上同一層中的實(shí)體稱為對(duì)等實(shí)體,不同系統(tǒng)間進(jìn)行通信實(shí)際上是各對(duì)等實(shí)體間在通信。在某層上進(jìn)行通信所使用的規(guī)則的集合稱為該層的協(xié)議,各層協(xié)議按層次順序排列而成的協(xié)議序列稱為協(xié)議棧。 事實(shí)上,除了在最底層的物理媒體上進(jìn)行的是實(shí)通信之外,其余各對(duì)等實(shí)體間進(jìn)行的都是虛通信,即并沒(méi)有數(shù)據(jù)流從一個(gè)系統(tǒng)的第N層直接流到另一個(gè)系統(tǒng)的第N層。每個(gè)實(shí)體只能和同一個(gè)系統(tǒng)中上下相鄰的實(shí)體進(jìn)行直接的通信,不同系統(tǒng)中的對(duì)等實(shí)體是沒(méi)有直接通信能力的,它們間的通信必須通過(guò)其下各層的通信間接完成。第N層實(shí)體向第(N+1)層實(shí)體提供的在第N層上

19、的通信能力稱為第N層的服務(wù)。由此可見(jiàn),第(N+1)層實(shí)體通過(guò)請(qǐng)求第N層的服務(wù)完成第(N+1)層上的通信,而第N層實(shí)體通過(guò)請(qǐng)求第(N-1)層的服務(wù)完成第N層上的通信,以此類推直到最底層,最底層上的對(duì)等實(shí)體通過(guò)連接它們的物理媒體直接通信。在第N層協(xié)議中所傳送的每一信息被稱作第N層協(xié)議數(shù)據(jù)單元PDU(Protocol Data Unit)。 相鄰實(shí)體間的通信是通過(guò)它們的邊界進(jìn)行的,該邊界稱為相鄰層間的接口。在接口處規(guī)定了下層向上層提供的服務(wù),以及上下層實(shí)體請(qǐng)求(提供)服務(wù)所使用的形式規(guī)范語(yǔ)句,這些形式規(guī)范語(yǔ)句稱為服務(wù)原語(yǔ)。因此可以說(shuō),相鄰實(shí)體通過(guò)發(fā)送或接收服務(wù)原語(yǔ)進(jìn)行交互作用。而下層向上層提供的服

20、務(wù)分為兩大類:面向連接的服務(wù)和無(wú)連接的服務(wù)。面向連接的服務(wù)是電話系統(tǒng)服務(wù)模式的抽象,每一次完整的數(shù)據(jù)傳輸都必須經(jīng)過(guò)建立連接、使用連接和終止連接三個(gè)過(guò)程。在數(shù)據(jù)傳輸過(guò)程中,各數(shù)據(jù)分組不攜帶信宿地址,而使用連接號(hào)。本質(zhì)上,服務(wù)類型中的連接是一個(gè)管道,發(fā)送者在一端放入數(shù)據(jù),接收者從另一端取出數(shù)據(jù),其特點(diǎn)是:收發(fā)數(shù)據(jù)不但順序一致而且內(nèi)容相同。無(wú)連接服務(wù)是郵政系統(tǒng)服務(wù)模式的抽象,其中每個(gè)數(shù)據(jù)分組都攜帶完整的信宿地址,各數(shù)據(jù)分組在系統(tǒng)中獨(dú)立傳送。無(wú)連接服務(wù)不能保證數(shù)據(jù)分組的先后順序,由于先后發(fā)送的數(shù)據(jù)分組可能經(jīng)不同去往信宿,所以先發(fā)的未必先到。 在對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行層次結(jié)構(gòu)的劃分時(shí),應(yīng)做到:層次功能明確,相

21、互獨(dú)立;層間接口清晰,穿越接口的信息量盡量少;層次適中。雖然模型系統(tǒng)在結(jié)構(gòu)上是分層的,但這并不要求現(xiàn)實(shí)系統(tǒng)在工程實(shí)現(xiàn)時(shí)也采用同樣的層次結(jié)構(gòu)。它們可以由實(shí)現(xiàn)者按其選擇的任何方式來(lái)構(gòu)造,只要這種實(shí)現(xiàn)的最終性能與模型系統(tǒng)所定義的性能相吻合即可。 通常人們將網(wǎng)絡(luò)的層次結(jié)構(gòu)、協(xié)議棧和相鄰層間的接口以及服務(wù)統(tǒng)稱為網(wǎng)絡(luò)體系結(jié)構(gòu)。 2.1.3 網(wǎng)絡(luò)參考模型 目前最有代表性的網(wǎng)絡(luò)參考模型是OSI參考模型和TCP/IP參考模型,但TCP/IP參考模型更流行。以下簡(jiǎn)要介紹這兩種參考模型。 1、OSI參考模型 OSI(Open System Interconnection,開(kāi)放系統(tǒng)互聯(lián))

22、 OSI參考模型分為七層,由低到高依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層,參見(jiàn)圖2.2。OSI參考模型只是規(guī)定了網(wǎng)絡(luò)的層次劃分,以及每一層上所實(shí)現(xiàn)的功能,但它沒(méi)有規(guī)定每一層上所實(shí)現(xiàn)的服務(wù)和協(xié)議,因此它本身并不是一個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)。各層的主要功能如下: 圖2.2 OSI參考模型 1) 應(yīng)用層是OSI參考模型的最高層,它的作用是為應(yīng)用進(jìn)程提供訪問(wèn)OSI環(huán)境的方法; 2) 表示層為上層用戶提供數(shù)據(jù)或信息語(yǔ)法的表示轉(zhuǎn)換; 3) 會(huì)話層是進(jìn)程-進(jìn)程層,進(jìn)程間的通信也稱為會(huì)話,會(huì)話層組織和管理不同主機(jī)上各

23、進(jìn)程間的對(duì)話; 4) 傳輸層是第一個(gè)端-端層,也稱為主機(jī)-主機(jī)層,它為上層用戶提供不依賴具體網(wǎng)絡(luò)的高效、經(jīng)濟(jì)、透明的端-端數(shù)據(jù)傳輸服務(wù)(所謂端-端是描述網(wǎng)絡(luò)傳輸中對(duì)等實(shí)體之間關(guān)系的一個(gè)概念。在端-端系統(tǒng)中,初始信源機(jī)上某實(shí)體與最終信宿機(jī)的對(duì)等實(shí)體直接通信,彼此之間就像有一條直接線路,而不管傳輸過(guò)程中要經(jīng)過(guò)多少接口報(bào)文處理機(jī)(IMP)。與端-端對(duì)應(yīng)的另一個(gè)概念是點(diǎn)-點(diǎn)。在點(diǎn)-點(diǎn)系統(tǒng)中,對(duì)等實(shí)體間的通信由一段一段的直接相連的機(jī)器間的通信組成); 5) 網(wǎng)絡(luò)層的作用是將數(shù)據(jù)分成一定長(zhǎng)度的分組,將分組穿過(guò)通信子網(wǎng)從信源送到信宿; 6) 數(shù)據(jù)鏈路層的作用就是通過(guò)一定的手段,將有差錯(cuò)的物理鏈路轉(zhuǎn)化成

24、對(duì)網(wǎng)絡(luò)層來(lái)說(shuō)是沒(méi)有傳輸錯(cuò)誤的數(shù)據(jù)鏈路; 7) 物理層的作用是在物理媒介上傳輸原始的數(shù)據(jù)比特流,這一層的設(shè)計(jì)同具體的物理媒介有關(guān),如用什么信號(hào)表示“1”,用什么信號(hào)表示“0”,信號(hào)電平多少,收發(fā)雙方如何同步。 由以上幾點(diǎn)可知,只有最低三層涉及通過(guò)通信子網(wǎng)的數(shù)據(jù)傳輸,高三層是端到端的層次,因而通信子網(wǎng)只包括第三層的功能。 從實(shí)際的觀點(diǎn)出發(fā),OSI分層可以按照以下幾點(diǎn)來(lái)考慮: 1) 依賴于應(yīng)用的協(xié)議; 2) 與特定媒體相關(guān)的協(xié)議; 3) 在1與2之間的橋接功能。 2、TCP/IP參考模型 TCP/IP參考模型沒(méi)有明確區(qū)分開(kāi)服務(wù)、接口和協(xié)議這三個(gè)概念,并且它是專門(mén)用來(lái)描述TCP/I

25、P協(xié)議棧的,無(wú)法用來(lái)描述其它非TCP/IP網(wǎng)絡(luò)。因此,盡管TCP/IP模型在工業(yè)上得到了廣泛的應(yīng)用,但人們?cè)谟懻摼W(wǎng)絡(luò)時(shí)常常使用OSI參考模型,因?yàn)樗哂幸话阈?。TCP/IP草靠模型分為四層,它們是應(yīng)用層、傳輸層、網(wǎng)絡(luò)互聯(lián)層和網(wǎng)絡(luò)接口層,參見(jiàn)圖2.3。各層功能如下: 圖2.3 TCP/IP參考模型 1) 應(yīng)用層將OSI的高層-應(yīng)用層、表示層和會(huì)話層的功能結(jié)合了起來(lái),常見(jiàn)的協(xié)議有文件傳輸協(xié)(FTP)、遠(yuǎn)程終端協(xié)議(TELNET)、簡(jiǎn)單電子郵件傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、訪問(wèn)WWW站點(diǎn)的HTTP等; 2) 傳輸層在功能上等價(jià)于OSI的傳輸

26、層。在這一層上主要定義了兩個(gè)傳輸協(xié)議,一個(gè)是可靠的面向連接的協(xié)議,稱為傳輸控制協(xié)議(TCP),另一個(gè)是不可靠的無(wú)連接協(xié)議,稱為用戶數(shù)據(jù)報(bào)協(xié)議(UDP); 3) 網(wǎng)絡(luò)互聯(lián)層在功能上等價(jià)與OSI網(wǎng)絡(luò)層中與子網(wǎng)無(wú)關(guān)的部分。網(wǎng)絡(luò)互聯(lián)層是TCP/IP參考模型的核心,這一層上的協(xié)議稱為IP。TCP和IP是非常重要的兩個(gè)協(xié)議,以至于TCP/IP參考模型和TCP/IP協(xié)議族就以這兩個(gè)的名稱來(lái)命名; 4) 網(wǎng)絡(luò)接口層在功能上等價(jià)于OSI的子網(wǎng)絡(luò)技術(shù)功能層。它包括OSI模型中的網(wǎng)絡(luò)層中與子網(wǎng)有關(guān)的下部子層、數(shù)據(jù)鏈路層和物理層。負(fù)責(zé)將IP分組封裝成適合在物理網(wǎng)絡(luò)上傳輸?shù)膸袷讲鬏?,或?qū)奈锢砭W(wǎng)絡(luò)接收到的幀解封

27、,取出IP分組交給網(wǎng)絡(luò)互聯(lián)層。 2.2 網(wǎng)絡(luò)安全模型 消息將通過(guò)某種類型的互聯(lián)網(wǎng)從一方傳輸?shù)搅硪环健_@兩方都是事務(wù)的主體,必須合作以便進(jìn)行消息交換??梢酝ㄟ^(guò)在互聯(lián)網(wǎng)上定義一條從信息源到信息目的地之間的路由以及兩個(gè)信息主體之間使用的某種通信協(xié)議(例如,TCP/IP),來(lái)建立一條邏輯信息通道。如圖2.4所示: 圖2.4 網(wǎng)絡(luò)安全模型 當(dāng)需要或者希望防范可能對(duì)信息機(jī)密性、真實(shí)性等產(chǎn)生威脅的攻擊者的時(shí)候,安全方面的因素便會(huì)起作用。所有用于提供安全性的技術(shù)都包含以下兩個(gè)主要部分: 第一 對(duì)待發(fā)送信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換。其示例包括:消息加密,使得對(duì)于攻擊者而言該消息不可讀;建立在

28、消息內(nèi)容上面的附加碼,它可以用來(lái)驗(yàn)證發(fā)送者的身份。 第二 兩個(gè)主體共享一些不希望被攻擊者所知的秘密信息。其示例包括與消息變化一起使用的加密密鑰,它在傳輸之前用于打亂消息而在接收之后用于恢復(fù)消息。 為了達(dá)到安全傳輸可能需要可信的第三方。例如,第三方可能需要負(fù)責(zé)分發(fā)秘密信息給兩個(gè)主體,同時(shí)對(duì)攻擊者隱藏這些信息。通用模型表明設(shè)計(jì)特定的安全服務(wù)時(shí)有四個(gè)基本的任務(wù): 1) 設(shè)計(jì)用來(lái)執(zhí)行與安全相關(guān)的轉(zhuǎn)換的算法,這種算法應(yīng)該是不會(huì)被攻擊者擊破的。 2) 生成用于該算法的秘密信息。 3) 開(kāi)發(fā)分發(fā)和共享秘密信息的方法。 4) 指定一種能被兩個(gè)主體使用的協(xié)議,這種協(xié)議使用安全算法和秘密信息以便獲得特

29、定的安全服務(wù)。 另一種有害訪問(wèn)是利用計(jì)算機(jī)系統(tǒng)邏輯上的弱點(diǎn),這不僅能夠影響應(yīng)用程序,而且還能夠影響實(shí)用程序,例如編輯器和編譯器。程序存在兩種形式的威脅: 1) 信息訪問(wèn)威脅:本不該訪問(wèn)某些數(shù)據(jù)用戶截取或修改數(shù)據(jù)。 2) 服務(wù)威脅:利用計(jì)算機(jī)的服務(wù)缺陷阻止合法用戶的使用。 病毒和蠕蟲(chóng)是軟件攻擊的兩個(gè)具體示例。由于磁盤(pán)的有用軟件可能隱藏著有害邏輯,因此可以通過(guò)這些磁盤(pán)小系統(tǒng)引入這種攻擊。他們同樣可以通過(guò)網(wǎng)絡(luò)進(jìn)入到系統(tǒng)中;后一種機(jī)制在網(wǎng)絡(luò)安全中更受關(guān)注。 解決有害訪問(wèn)的安全機(jī)制主要有兩大范疇。第一類范疇是看門(mén)人功能,如圖2.5所示。它包含基于口令的登錄過(guò)程,它們?cè)O(shè)計(jì)成拒絕除授權(quán)用戶外的所有

30、訪問(wèn),另一類安全機(jī)制是屏蔽邏輯,它們?cè)O(shè)計(jì)用來(lái)檢測(cè)和拒絕蠕蟲(chóng)、病毒以及其他類似的攻擊。一旦任意一個(gè)有害的用戶或者有害的軟件獲得訪問(wèn)權(quán),第二道防線包含各種檢測(cè)活動(dòng)的內(nèi)部控制,能夠檢視和分析存儲(chǔ)的信息,以此來(lái)檢測(cè)有害入侵者的存在。 圖2.5 網(wǎng)絡(luò)訪問(wèn)安全模型 2.3 局域網(wǎng)安全防范措施 2.3.1 防火墻系統(tǒng) 1、防火墻概述 防火墻是一種用來(lái)增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng),它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng),從某種程度上來(lái)說(shuō),防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站,它一般由一臺(tái)和多臺(tái)計(jì)算機(jī)構(gòu)成,它對(duì)內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測(cè)、管理和控制,通過(guò)對(duì)數(shù)據(jù)的篩選和過(guò)濾,來(lái)防止未

31、授權(quán)的訪問(wèn)進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng),從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。 防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。 2、防火墻的體系結(jié)構(gòu) 1) 雙重宿主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)

32、至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器,它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)(如外部網(wǎng)絡(luò))直接發(fā)送到另一個(gè)網(wǎng)絡(luò)(如內(nèi)部網(wǎng)絡(luò))。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信,內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信,它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。 2) 被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)。在這種體系結(jié)構(gòu)中,主要的安全由數(shù)據(jù)包過(guò)濾提供(例如,數(shù)據(jù)包過(guò)濾用于

33、防止人們繞過(guò)代理服務(wù)器直接相連)。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。數(shù)據(jù)包過(guò)濾容許堡壘主機(jī)開(kāi)放可允許的連接(什么是"可允許連接"將由你的站點(diǎn)的特殊的安全策略決定)到外部世界。 3) 被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu),即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為,兩個(gè)屏蔽路由器,每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間,另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之

34、間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò),侵襲者必須通過(guò)兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī),他將仍然必須通過(guò)內(nèi)部路由器。 3、防火墻的功能 1) 數(shù)據(jù)包過(guò)濾技術(shù) 數(shù)據(jù)包過(guò)慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)的技術(shù)選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則后,只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口,而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過(guò)濾技術(shù)是防火墻中最常用的技術(shù)。對(duì)于一個(gè)危險(xiǎn)的網(wǎng)絡(luò),用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò),也可限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問(wèn)。包過(guò)濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)

35、包頭源地址,目的地址,端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過(guò),只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。 2) 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊(cè)的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí),系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全和

36、接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。 3) 代理技術(shù) 代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)時(shí)的中轉(zhuǎn)連接作用。 代理偵聽(tīng)網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求,當(dāng)一個(gè)連接到來(lái)時(shí),首先進(jìn)行身份驗(yàn)證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時(shí),代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請(qǐng)求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。 另一種情況是,外部網(wǎng)通過(guò)代理訪問(wèn)內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請(qǐng)求時(shí),代理服務(wù)器首先對(duì)該用戶身份進(jìn)行驗(yàn)證。若為合法用戶,則把該請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個(gè)服務(wù)過(guò)程中,應(yīng)用代理

37、一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對(duì)每一個(gè)操作進(jìn)行記錄。若為不合法用語(yǔ),則拒絕訪問(wèn)。 2.3.2 入侵檢測(cè)系統(tǒng) 1、入侵檢測(cè)系統(tǒng)概述   入侵檢測(cè)是指通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作,檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng) 2、入侵檢測(cè)原理 入侵檢測(cè)跟其他檢測(cè)技術(shù)有同樣的原理。從一組數(shù)據(jù)中,檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時(shí)候

38、會(huì)留下痕跡,這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡,并給出相關(guān)的提示和警告。   入侵檢測(cè)的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。   第二步是信息分析,收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,被送到檢測(cè)引擎,檢測(cè)引擎駐留在傳感器中,一般通過(guò)三種技術(shù)手段進(jìn)行分析:模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí),產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。

39、 第三步是結(jié)果處理,控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性,也可以只是簡(jiǎn)單的告警。 3 基于學(xué)校網(wǎng)絡(luò)安全的研究 3.1 校園網(wǎng)絡(luò)安全防范體系的建立 3.1.1 校園網(wǎng)絡(luò)安全策略概述 具體的安全由以下幾個(gè)方面組成:物理安全、網(wǎng)絡(luò)安全、信息安全[7]。 1、物理安全 物理安全策略主要指網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備的安全以及不同網(wǎng)絡(luò)之間的隔離進(jìn)行控制的策略。物理安全直接關(guān)系到網(wǎng)絡(luò)的安全,如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能,那么他直接對(duì)設(shè)備進(jìn)行破壞要比通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行破壞容易得多。 2、網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全

40、是指系統(tǒng)(主機(jī)、服務(wù)器)安全、反病毒、系統(tǒng)安全檢測(cè)、審計(jì)分析網(wǎng)絡(luò)運(yùn)行安全、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)安全、訪問(wèn)控制(防火墻)、網(wǎng)絡(luò)安全檢測(cè)、入侵檢測(cè)。 3、信息安全 主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面,具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲(chǔ)安全、數(shù)據(jù)庫(kù)安全、終端安全、信息的防泄密、信息內(nèi)容審計(jì)、用戶授權(quán)。 3.1.2 對(duì)于校園網(wǎng)的解決方案 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu),因此網(wǎng)絡(luò)的安全防護(hù)也需要采用分層次的拓?fù)浞雷o(hù)措施,即一個(gè)完整的網(wǎng)絡(luò)安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次,并且與安全管理相結(jié)合。網(wǎng)絡(luò)安全防護(hù)分層如下表3.1所示:

41、表3.1 網(wǎng)絡(luò)安全分層結(jié)構(gòu) 物理層安全 主要指網(wǎng)絡(luò)設(shè)備通訊線路的安全 網(wǎng)絡(luò)層安全 防火墻、VLAN、路由安全 系統(tǒng)層安全 操作系統(tǒng)的安全 應(yīng)用層安全 防病毒、應(yīng)用系統(tǒng)的安全 1、物理層安全 保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括三個(gè)方面:環(huán)境安全、設(shè)備安全、媒體安全。 2、網(wǎng)絡(luò)層安全 主要包括:限制非法用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)和破壞系統(tǒng)數(shù)據(jù),竊取傳輸線路中的數(shù)據(jù);確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來(lái)

42、說(shuō),首先要確保網(wǎng)絡(luò)設(shè)備的安全配置,保證非授權(quán)用戶不能訪問(wèn)任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。 1) 合理劃分VLAN VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段而實(shí)現(xiàn)虛擬工作組的技術(shù)。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含一組有著相同需要的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分,一個(gè)VLAN內(nèi)部的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性

43、。 VLAN在交換機(jī)上的實(shí)現(xiàn)方法,可以大致劃分為4類:第一是基于端口劃分的VLAN;第二是基于MAC地址劃分VLAN;第三是基于網(wǎng)絡(luò)層劃分VLAN;第四是基于IP組播劃分VLAN。 以太網(wǎng)從本質(zhì)上基于廣播機(jī)制,但應(yīng)用了交換器和VLAN技術(shù)后,實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊,以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全是好處是顯而易見(jiàn)的: a) 信息只有到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此,防止了大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵手段。 b) 通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制,使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。 2) 防火墻與IDS 安裝防火墻進(jìn)行安全保護(hù),它是一種在校園內(nèi)部網(wǎng)和Internet之間實(shí)施的信息安全防范系統(tǒng)技術(shù),

44、通過(guò)檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,可以有效地對(duì)外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息,從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。 IDS所采用的不是被動(dòng)防御的策略,而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別在進(jìn)行的或已經(jīng)成功的入侵行為,并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報(bào)告外,本身不能對(duì)入侵采取任何的防御措施。 3) 路由器訪問(wèn)控制列表 路由器是內(nèi)部網(wǎng)和Internet的連接,是信息出入的必經(jīng)之路,對(duì)網(wǎng)絡(luò)的安全具有舉足輕重的作用,路由器本身就可以對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和有效地防止外部用戶對(duì)校園網(wǎng)的安全訪問(wèn),可以限制網(wǎng)絡(luò)流量,也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問(wèn)只能通過(guò)路由器或路

45、由模塊來(lái)完成,因此路由設(shè)備可以作為控制VLAN之間訪問(wèn)的初級(jí)屏障,因此,我們可以利用路由器來(lái)提高網(wǎng)絡(luò)的安全性。 3、系統(tǒng)層安全 操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心和基礎(chǔ)工具,因此操作系統(tǒng)的漏洞往往成為危害計(jì)算機(jī)和網(wǎng)絡(luò)安全的手段和環(huán)節(jié)。保護(hù)計(jì)算機(jī)操作系統(tǒng)的安全,對(duì)于網(wǎng)絡(luò)的安全尤為重要。 4、應(yīng)用層安全 1) 網(wǎng)絡(luò)防病毒技術(shù) 網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素,如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問(wèn)題。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計(jì)算機(jī)病毒的侵害,同時(shí)也是為了建立一個(gè)集中有效的防病毒控制機(jī)制,需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)?;诰W(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的防

46、范,其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。 安裝了基于網(wǎng)絡(luò)的防病毒軟件后,不但可以做到主機(jī)可以防范病毒的感染,同時(shí)通過(guò)這些主機(jī)傳遞的文件也可以避免被病毒侵害,并且可以建立一個(gè)集中有效的防病毒控制機(jī)制,從而保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。 2) 應(yīng)用系統(tǒng)防護(hù)策略 對(duì)于應(yīng)用系統(tǒng),由于其數(shù)據(jù)包含用戶信息、各種應(yīng)用數(shù)據(jù),是非常關(guān)鍵和重要的,因此要應(yīng)用系統(tǒng)具有很強(qiáng)大的安全防護(hù)能力就必須做到以下三點(diǎn):一是建立統(tǒng)一的用戶和目錄管理機(jī)制;二是建立認(rèn)證授權(quán)機(jī)制;三是建立備份和恢復(fù)機(jī)制。 3.2 學(xué)校網(wǎng)絡(luò)安全設(shè)計(jì)方案 3.2.1 網(wǎng)絡(luò)安全設(shè)計(jì)原則 1、可用性和可靠性

47、 保證匯聚以上的網(wǎng)絡(luò)中單點(diǎn)故障不會(huì)使局域網(wǎng)失去與整個(gè)網(wǎng)絡(luò)的連接,多點(diǎn)故障不會(huì)造成整個(gè)網(wǎng)絡(luò)被分成幾個(gè)互不相連的部分。 2、網(wǎng)絡(luò)安全性 對(duì)用戶進(jìn)行合理的區(qū)域劃分,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)控制,能有效的抵御病毒的入侵和惡意攻擊,確保網(wǎng)絡(luò)的安全。 3、可擴(kuò)展性 網(wǎng)絡(luò)系統(tǒng)在體系結(jié)構(gòu)、容量、產(chǎn)品升級(jí)、處理能力等方面必須為今后的擴(kuò)充留有足夠的余地,保證滿足今后的發(fā)展,以及其它的需求。 3.2.2 網(wǎng)絡(luò)安全建設(shè)方案 1、 物理安全 物理安全包括通信線路安全,物理設(shè)備的安全,機(jī)房環(huán)境的安全。 1) 通信線路的安全 學(xué)校保衛(wèi)人員要負(fù)責(zé)對(duì)校園進(jìn)行24小時(shí)不間斷的巡邏,防止通信線路被破壞。

48、 2) 機(jī)房環(huán)境安全 供配電系統(tǒng)安全設(shè)計(jì):要求能保證對(duì)機(jī)房?jī)?nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會(huì)間斷。 防雷接地系統(tǒng)安全設(shè)計(jì):保證機(jī)房的各種設(shè)備安全,要求機(jī)房設(shè)有至少四種接地的形式。 消防報(bào)警和自動(dòng)滅火系統(tǒng)安全設(shè)計(jì)。 2、 網(wǎng)絡(luò)安全 VLAN的劃分是整個(gè)校園網(wǎng)的主體框架,此校園網(wǎng)主要是發(fā)揮三個(gè)方面的功能:教學(xué)功能、管理功能、信息功能。因此校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì),分為核心層、匯聚層、接入層。如圖3.1所示。 核心層設(shè)計(jì)為2個(gè)節(jié)點(diǎn),用2臺(tái)核心交換機(jī)實(shí)現(xiàn)雙機(jī)備份 匯聚層設(shè)計(jì)為5個(gè)節(jié)點(diǎn),用5臺(tái)交換機(jī)與核心層交換機(jī)冗余連接互為備份。其中后勤部另加一個(gè)網(wǎng)關(guān)。

49、 根據(jù)各部門(mén)對(duì)校園網(wǎng)的要求,采用基于端口的VLAN劃分方法,對(duì)網(wǎng)絡(luò)進(jìn)行合理劃分,確保校園網(wǎng)絡(luò)的安全。 3、應(yīng)用安全 1)病毒防范 隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展,網(wǎng)絡(luò)已經(jīng)逐步成為人類生活中不可缺少的一部分。但隨之而來(lái)的病毒也給我們帶來(lái)了不少的麻煩。因此必須采取措施,對(duì)防病毒軟件進(jìn)行實(shí)時(shí)監(jiān)控,保證防病毒軟件的正常運(yùn)行,在檢測(cè)到防病毒運(yùn)行不正常時(shí),通知用戶及時(shí)采取措施,避免遭受計(jì)算機(jī)病毒進(jìn)一步的破壞。 2) 數(shù)據(jù)備份 網(wǎng)絡(luò)中心服務(wù)器應(yīng)隨時(shí)為各數(shù)據(jù)庫(kù)服務(wù)器提供存儲(chǔ)空間,支持各數(shù)據(jù)庫(kù)的備份功能。 圖3.1 網(wǎng)絡(luò)拓?fù)鋱D 結(jié) 束 語(yǔ) 本文結(jié)合校園網(wǎng)的具體情況,分析現(xiàn)實(shí)網(wǎng)絡(luò)安

50、全需求,確定校園網(wǎng)的安全策略,針對(duì)校園網(wǎng)的安全問(wèn)題提出了一些解決方案,采用了先進(jìn)的安全產(chǎn)品,建立了全面主動(dòng)的網(wǎng)絡(luò)安全防御體系。運(yùn)用了靜態(tài)式防范(如:防火墻)和主動(dòng)式安全檢測(cè)(如:入侵檢測(cè)等)相結(jié)合的技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,校園網(wǎng)也將會(huì)出現(xiàn)新的安全問(wèn)題,校園網(wǎng)整體安全防范體系是一個(gè)動(dòng)態(tài)的、不斷發(fā)展變化的綜合運(yùn)行機(jī)制,這樣就對(duì)網(wǎng)絡(luò)管理者提出了更高的要求,其必須隨時(shí)掌握最新技術(shù),不斷更新完善網(wǎng)絡(luò)安全體系,使校園網(wǎng)運(yùn)行更加安全、可靠、穩(wěn)定。 參 考 文 獻(xiàn) [1]袁津生,吳硯農(nóng),計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M],北京:人民郵電出版社,2002年。 [2]張成昆,網(wǎng)絡(luò)安全原理與技術(shù),北京:人民郵電出版社,2003年。 [3]李晶名,網(wǎng)絡(luò)安全,北京:電子工業(yè)出版社,2005年。 [4]黃開(kāi)枝,孫巖,網(wǎng)絡(luò)防御與安全對(duì)策[M],北京:清華大學(xué)出版社,2004年。 [5]胡道元,網(wǎng)絡(luò)安全[M],北京:清華大學(xué)出版社,2004年。 [6]祝海寧,網(wǎng)絡(luò)安全基礎(chǔ),北京:機(jī)械工業(yè)出版社,2002年。 [7]張成現(xiàn),論校園網(wǎng)安全管理問(wèn)題[J],西北紡織工業(yè)學(xué)院學(xué)報(bào),2001年。

展開(kāi)閱讀全文
溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號(hào):ICP2024067431號(hào)-1 川公網(wǎng)安備51140202000466號(hào)


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺(tái),本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請(qǐng)立即通知裝配圖網(wǎng),我們立即給予刪除!