校园网络安全分析(一)

详细内容

摘要：本文从网络安全策略的角度对校园网络管理中的安全问题进行了划分，主要部分是：安全概念，安全方案，安全周期。对安全方案进行分类，概括为：基础结构安全；管理安全；边界安全。着重对边界安全中防火墙技术中应具有的功能进行了探讨。

　　关键词：安全策略，边界安全，防火墙，安全管理中心

　　网络安全的概念

　　包括物理安全和逻辑安全

　　物理安全指网络系统中各通信计算机设备以及相关设备的物理保护，免予破坏、丢失等； 逻辑安全包括信息完整性、保密性和可用性。保密性是指信息不泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改和删除数据和程序，可用性是指系统能够防止非法防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到服务或回应。

　　网络计算机中安全威胁主要有：身份窃取，身份假冒、数据窃取、数据篡改，操作否认、非授权访问、病毒等。

　　校园网络都是借助主干通信网，将各地的分部门和总部连接，同时与Ｉｎｔｅｒｎｅｔ互联。这就存在着以下几方面的网络安全问题：

　　●总部局域网和各分、子部门局域网之间，分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。

　　●总部局域网及各分、子部门局域网自身的安全，要确保这些局域网不受网内用户非法授权访问和破坏。

　　●来自外部的非授权用户非法攻击和破坏，以及内部用户对外部非法站点的访问。

　　2． 解决方案的分类

　　解决网络安全问题涉及的范围广泛；不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的缺陷、主机操作系统的缺陷上，因此在安全策略方面重点考虑：

　　2．1 基础结构安全

　　主要包括：操作系统选择和问题规避；帐号设置、口令强度、网络参数、文件监测保护在现实运作中，密码系统已经非常完善，标准的DES、RSA和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议，这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上，仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类 Unix操作系统是在 Inter中非常普遍的操作系统，主要用于网络服务。它的源代码是公开的，所以在很多场合下使用者可以定制自己的Unix,操作系统，使它更适合网络相关的服务要求。

　　由于网络协议是独立与操作系统的，它的体系结构与操作系统端是无关的，网络协议所存在的安全隐患也是独立于操作系统来修正的。

　　2．2　管理安全

　 安全管理是网络必须考虑的，主要包括：权限管理，单点登录，安全管理中心等。

　　管理的技术手段很多，通过采用加强身份确认的方法获得网上资源控制权如智能IC身份卡，提供安全的远程接入手段；采用虚拟专网技术如网络保密机解决数据在公网传输的安全性；安全邮件和安全Web服务器也是一类重要的安全产品。然而，对一个具体的网络系统，我们在安全风险评估确定合适的安全需求后，从技术上讲可以架构一个满足基本要求的安全设备平台。但是发生最频繁的安全威胁实际上是非技术因素，安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来，这个网络信息系统的安全性才有保障。因此，采用集中统一的管理策略，以技术手段实现非技术的安全管理，主要由安全管理中心实现。

　　2．3 边界安全

　　校园网络与外界的边界划分是否科学?IT系统与外界、内部关键部门之间是否安全隔离?这都属于边界安全范围。可以在关心的实体之间安装防火墙产品和攻击检测软件，来加强边界安全，实施攻击防御方案。关于防火墙技术的使用成功与否对网络的安全有决定性作用，对此我们进行主要讨论

　　2．3．1防火墙的概念

　　当一个网络，接入Ｉｎｔｅｒｎｅｔ以后，而系统的安全性除了考虑病毒、系统的健壮性之外，更主要的防止非法用户的入侵。而目前防制措施主要是靠防火墙技术完成。

　　防火墙是指由一个软件和硬件设备组合而成，处于网络群体计算机与外界通道之间，限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。

　　实际上防火墙作为一种网络监视和过滤器，它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过，另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便，高速、逻辑漏洞少等特点。

　　2．3．2防火墙在网络中的位置

　　为了达到对网络数据传输进行监视的目的，防火墙一般位于局域网和广域网之间或局域网与局域网之间。

　　防火墙位于局域网和广域网之间，如图。

　　Intra---> F---->Interant ;

　　在这种情况之下，防火墙的主要作用是允许局域网内的用户访问Ｉｎｔｅｒｎｅｔ，如浏览网站，收发E-mail，并且禁止来自于Ｉｎｔｅｒｎｅｔ上的未知用户闯入局网进行破坏或窃取机密信息。

　　防火墙在局网与局域网之间，如图：

　　Intra---> F---->Intra

　　在这种情况下，防火墙的作用是允许公用信息在两个网络中传输，保证每个网段的私有信息不被对方访问。

　　可以看出无论哪一种形式，防火墙都是数据报文进出网络的必经之路，这样才能保证防火墙对网络的监视保护作用。

　　2．3．3防火墙的分类

　　2．3．3．1按防火墙在网络中所起的作用，防火墙可以分成两种，一种是与路由设备合二为一，通常为过滤路由器或是网关主机防火墙，另一种叫做堡垒主机式防火墙，它不具有路由功能。

　　过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能，是网络中的第一道防线。因为它具有路由的功能，所以它的安全性较差。

　　堡垒主机式防火墙是网络中最为重要的安全设备，通常以桥接的方式安装在路由器和网络之间，它的唯一作用是保证网络的安全使用，这种防火墙在网络中的具体位置如图。

　　Intra ------>F ------ > 边界路由器 ------ > inter

　　2．3．3．2按照ＩＳＯ所定义的网络层次，防火墙可分为网络层防火墙和应用层防火墙。

　　包过滤型防火墙是网络层防火墙，它以用户定义的过滤规则对每一个通过它的数据报文进行过滤，一般是检查一个IP报文的五个基本元素：源地址、目的地址、协议、源端口号、目的端口号。如果规则允许报文通过，报文就可以通过防火墙，反之则不能。包过滤不检查连接请求的会话状态，也不会对传输数据进行检查。

　　代理型防火墙，属于应用层防火墙，代理的功能是对来自局域网内用户的会话求进行会话请求转发。在转发过程中对会话进行过滤。因为代理在应用层，它可以对会话的状态和传输的数据进行检查和过滤。从安全上讲，代理的安全性要比包过滤功能更强，因为一个IP报文到了代理层，它的寿命就已经截止了，也就是说代理真正地阻断了网络的传输。

　　目前应用于网络安全的防火墙系统基本上属于上面所讲到的两种防火墙系统。但在实际应用中的防火墙经常是这两种方法的合体，即包过滤加代理行防火墙。

　　同时，为了防范黑客的各种各样攻击行为，通常的防火墙产品还要加上其他许多功能。

　　2．3．4．防火墙集中的主要功能

　　2．3．4．1．支持透明连接

　　透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙，第一不必改变网络的拓扑结构，不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于IP协议的各种信息的传输。

　　2．3．4．2．带有DMZ区的连接

　　DMZ原意为停火区，在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段，其中一个物理网段为正常的受保护网段，另一个物理网段为DMZ，用来连接要对外开放的主机，防火墙对DMZ区只作少量的保护或不做保护。