毕业设计重信院校园网网络安全隐患及解决方案.doc

《毕业设计重信院校园网网络安全隐患及解决方案.doc》由会员分享，可在线阅读，更多相关《毕业设计重信院校园网网络安全隐患及解决方案.doc（34页珍藏版）》请在咨信网上搜索。

重庆信息技术职业学院 毕业设计（论文） 设计（论文）题目 重信院校园网网络安全隐患及处理方案 选题性质：设计 □论文 院 系 电子工程学院 专 业 计算机网络技术 班 级 级3班 学 号 02 学生姓名 李 晨 指导教师 陈 建 国 成 绩 教务处制 年 月 日 摘 要 本设计以网络为基础，分析了国内校园网安全发展趋势，然后结合学校校园网实际状况，分析了校园网存在安全隐患，从整体上对校园网络安全系统进行规划设计，充足整合现行几种关键网络安全技术，提出了一整套校园信息网络安全防御设计与实现，力保校园网络健康、可靠、有效地运行。在校园网络安全处理方案中包括防火墙技术、入侵检测系统(IDS)、防病毒、数据备份等几种部分，设计对各个部分进行了详细分析。在对全局校园网络安全体系方案中各部分论述基础上，还对重要关键技术做了配置阐明，并给出了实际运行中实例。本论文设计校园网络安全防御方案，现正在实际校园网环境中应用，其运行成果表明了这种校园网安全防御系统可行性和实际应用性，到达了实际应用效果。 关键词：校园网、安全管理、防火墙、入侵检测 目 录 摘 要 I 目 录 II 前 言 1 第１章 重庆信息技术职业学院校园网 3 1.1 重庆信息技术职业学院网络背景简介 3 1.1.1 建设背景和现实状况 3 1.1.2 建设需求分析 3 1.2 重庆信息技术职业学院安全隐患简介 4 1.2.1校园网网络安全概述 4 1.2.2 网络安全含义 5 1.2.3 威胁网络安全不安全原因分析 5 第2章 重庆信息技术职业学院校园网网络安全隐患分析 7 2.1 校园网安全存在缺陷 7 2.1.1 网络自身安全缺陷 7 2.1.2 网络构造、配置、物理设备不安全 7 2.1.3 内部顾客安全威胁 7 2.1.4 软件漏洞 7 2.1.5 网络构造、配置、物理设备不安全 7 2.1.6 多种非法入侵和袭击 8 2.2 校园网安全管理和维护措施与提议 8 2.2.1 配置高性能防火墙产品 8 2.2.2 网络设计、使用更合理化 8 2.2.3 软件漏洞修复 8 2.2.4 防杀毒软件系统 9 2.2.5 配置入侵检测系统(IDS)并建立蜜罐陷阱系统 9 2.2.6 系统安全风险评估 9 2.2.7 劫难恢复计划 9 2.2.8 加强管理 9 2.3 校园网安全防备和管理 9 第3章 重庆信息技术职业学院校园网安全隐患处理方案与实现 11 3.1 防火墙选择与设计 11 3.1.1Cisco PIX525防火墙简介 11 3.1.2 Cisco PIX525防火墙安装和配置 12 3.2 校园网身份认证系统选择与设计 15 3.3 Chost数据备份实现 19 3.3.1 数据智能备份 23 3.3.2 数据备份设计硬件 24 3.3.3 数据备份设计软件 23 3.4 入侵检测系统实现 23 3.4.1 金诺入侵检测系统构成 23 3.4.2 传感器安装 24 3.4.3 控制台软件配置 24 3.4.4 控制台软件使用 25 总 结 29 参照文献 30 前 言　 互联网是全球最大网络构造，为全世界200多种国家几亿顾客提供了海量信息资源。但与此同步，也产生了诸多信息安全问题，多种黑客、病毒、安全漏洞、非法入侵等都在不停侵蚀着网络，给各国经济及信息化发展带来了巨大威胁和无法挽回损失，互联网安全问题己经摆在各国面前，受到了各国政府极大关注。 据美国联邦调查局记录，美国每年因网络安全导致损失高达75亿美元。世界著名商业网站，如Yahoo，EBay，CNIN都曾经被黑客入侵，连专门从事网络安全RSA网站也受到黑客袭击。据美国金融时报报道，世界上平均每20分钟就发生一次入侵国际互联网络计算机安全事件，三分之一防火墙被突破。美国联邦调查局计算机犯罪组负责人吉姆·塞特尔称：给我精选10名“黑客"，构成小组，90天内，我将使美国趴下。一位计算机专家毫不夸张地说：假如给我一台一般计算机、一条电话线和一种调制解调器，就可以令某个地区网络运行失常。在我国，有98％网络系统受到多种病毒、黑客及非法入侵袭击，许多ISP、证券企业及银行也多次被国内外黑客袭击，导致了巨大经济损失，针对其他行业网络犯罪事件也无时无刻不在威胁着网络安全。 此外，各国专网建设己经有了长足发展，应用到了各国社会经济建设各个领域，金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等各部门都加大了专网开发和建设力度，专网在提供多种信息化服务、给人们带来便利同步，其安全问题也日益突出，专网安全问题己成为各国政府待处理重要问题。 学校是教书育人场所，校园网作为一种信息化手段在其中起着非常重要作用。然而校园网安全问题日益突出，己经成为威胁学校信息技术教育首要问题。与互联网所经受考验同样，不健康信息、非法入侵和其他多种不安全原因以其越来越大危害侵蚀着学校这块净土。 面对这些严峻现实，各国政府不得不重视网络安全问题。他们开发了各式各样网络安全产品，如入侵检测系统(IDS)、防火墙、防病毒软件等来有效防止和处理多种不安全原因，保证网络系统安全性。保障网络系统安全己经成为刻不容缓重要课题。 目前网络经济正在成为推进经济持续增长重要原因之一，不过与网络发展速度相比，网络安全问题却一直没有得到很好处理。据记录，面向计算机犯罪每年增长率为30％，导致这种状况原因重要为网络开放性和复杂性。计算机犯罪已经成为普遍国际性问题，各国都在加大对信息网络安全关键技术和产品研发投入：美国总统布什就公布了16号“国家安全总统令”，组建了美军网络黑客部队—网络战联合功能构成司令部，于2月份正式编入作战序列。，美军投入20亿美元用于信息系统网络安全保密建设。，美军正在实行“密码现代化计划"，准备用时间，投入十亿美元使密码系统全面升级。其他西方国家也纷纷调整科研发展计划，将信息安全技术列为战略性技术予以重点投入。我国网络建设发展迅速，获得了巨大成绩。不过，由于没有处理网络安全问题好方案，且网络安全建设经费投入局限性，网络安全问题还是相称严重。计算机系统也多采用开放式操作系统，安全级别较低，很难抵御黑客袭击。有些单位甚至对网络安全没有概念，完全没有安全措施，更谈不上安全管理与安全政策制定。国家领导及各部门对此予以高度重视，国家领导人多次发出有关信息网络安全指示，主管部门也做了大量实质性工作：9月正式颁发了《有关加强信息安全保障工作意见》，1月国家网络与信息安全协调小组公布了《有关开展信息安全风险评估工作意见》，2月国信办《有关印发信息安全风险评估指南告知》，证明了国家在管理信息安全面态度和决心。 20世纪80年代美国国防部基于军事计算机系统保密需要，在20世纪70年代基础理论研究成果——计算机保密模型基础上，制定了“可信计算机系统安全评价准则”，其后又制定了有关网络系统、数据库等方面准则和系列安全解释，形成了安全信息系统体系构造最早原则。至今美国已研究出到达TCSEC规定安全系统(包括安全操作系统、安全数据库、安全网络部件)产品数百种。 迄今为止，在黑客袭击与防护网络安全对抗中，黑客袭击仍占据了上风，我们基本上都是在被动防护。为了争取在袭击与防护安全对抗中占据积极地位，近来，取证、陷阱、袭击定位、入侵侦测、反袭击、容错、自动恢复等积极防御技术得到重视和发展。 第1章 重庆信息技术职业学院校园网 1.1 重庆信息技术职业学院网络背景简介 重庆信息技术职业学院校园网建设着眼于为教育教学服务，为增进学校教育现代化服务。紧密结合教育教学需要和经济承受能力实际，本着统一规划、分布实行原则，有计划、有重点，分地区、分层次，积极稳妥地推进校园网建设。严格规范校园网建设及对应软件开发原则，保证信息化校园整体建设规划和管理规定贯彻。 重庆信息技术职业学院校园网建设同步，切实做好学校教师、技术与管理及行政人员不一样层次培训，形成一支能使校园网充足发挥使用效益应用队伍、教学软件开发队伍和能保证校园网正常持续运行软、硬件管理队伍。积极开发和推广使用教育教学软件，建设信息资源库，充足发挥校园网使用效益。 1.1.1 建设背景和现实状况 重庆信息技术职业学院很早就展开了计算机辅助教学，并建立了大规模计算机试验室，学校拥有计算机上千台，但由于目前各个系都是自己组建自己内部网络，采用软件平台、硬件 1.1.2 建设需求分析 重庆信息技术职业学院校园网建设着眼于为教育教学服务，为增进学校教育现代化服务。紧密结合教育教学需要和经济承受能力实际，本着统一规划、分布实行原则，有计划、有重点，分地区、分层次，积极稳妥地推进校园网建设。严格规范校园网建设及对应软件开发原则，保证信息化校园整体建设规划和管理规定贯彻。 重庆信息技术职业学院很早就展开了计算机辅助教学，并建立了大规模计算机试验室，学校拥有计算机上千台，但由于目前各个系都是自己组建自己内部网络，采用软件平台、硬件。 重庆信息技术职业学院很早就展开了计算机辅助教学，并建立了大规模计算机试验室，学校拥有计算机上千台，但由于目前各个系都是自己组建自己内部网络，采用软件平台、硬件。 1.2 重庆信息技术职业学院安全隐患简介 互联网来源于1969年ARPANet最初用于军事目,1993年开始应用于商业。现今伴随计算机技术广泛发展,计算机应用领域不停扩大,尤其是在教育机构,校园网成为教学、办公科研、资源共享重要工具。校园网带来以便同步,网络自身开放、共享、广泛、复杂性也带来了一系列令人紧张问题,网络安全已经被提到了重要日程。无论我们与否乐意承认,只要连接了Internet,都是轻易受袭击。因而在网络自身开放性、共享性前提下,怎样保证校园网络安全性,以抵御入侵、防备网络袭击等,成为目前校园网络建立健全关键。 1.2.1校园网网络安全概述 伴随网络技术发展，可以说目前大部分学校都建立了校园网并投入了使用，这对加紧信息处理、提高工作效益、实现资源共享都起到了无法估计作用。但，在积极发展信息自动化同步，网络安全问题成为了一种非常严重隐患，就仿佛一种定期炸弹深深埋在校园现代化进程中。爆发“震荡波、冲击波”，熊猫烧香病毒等虽然没有给校园网络导致很大伤害，但足以认识到网络安全重要性，因此搞好网络安全已经成为一种重要课题。要处理网络安全问题，理解网络基本构造和功能是首要问题。重庆信息技术职业学院网络构造拓扑图如图1.1。 图1.1 校园网络构造拓扑图 1.2.2 网络安全含义 网络安全是指网络系统硬件，软件及数据受到保护，不遭受偶尔或恶意破坏、更改、泄露，系统持续可靠正常地运行，网络服务不中断。且在不一样环境和应用中又不一样解释。 （1）运行系统安全：即保证信息处理和传播系统安全，包括计算机系统机房环境和传播环境法律保护、计算机构造设计安全性考虑、硬件系统安全运行、计算机操作系统和应用软件安全、数据库系统安全、电磁信息泄露防御等。 （2）网络上系统信息安全：包括顾客口令鉴别、顾客存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传播安全：即信息传播后果安全、包括信息过滤、不良信息过滤等。 （4）网络上信息内容安全：即我们讨论狭义“信息安全”；侧重于保护信息机密性、真实性和完整性。本质上是保护顾客利益和隐私。 1.2.3 威胁网络安全不安全原因分析 （一）网络开放性带来安全问题 Internet开放性以及其他方面原因导致了网络环境下计算机系统存在诸多安全问题。为了处理这些安全问题，多种安全机制、方略、管理和技术被研究和应用。然而，虽然在使用了既有安全工具和技术状况下，网络安全仍然存在很大隐患，这些安全隐患重要可以包括为如下几点: (1)安全机制在特定环境下并非万无一失。例如防火墙，它虽然是一种有效安全工具，可以隐蔽内部网络构造，限制外部网络到内部网络访问。不过对于内部网络之间访问，防火墙往往是无能为力。因此，对于内部网络到内部网络之间入侵行为和内外勾结入侵行为，防火墙是很难发现和防备。 (2)安全工具使用受到人为原因影响。一种安全工具能不能实现期望效果，在很大程度上取决于使用者，包括系统管理者和一般顾客，不合法设置就会产生不安全原因。例如，WindowsXP在进行合理设置后可以到达C级安全性，但很少有人可以对WindowsXP自身安全方略进行合理设置。虽然在这方面，可以通过静态扫描工具来检测系统与否进行了合理设置，不过这些扫描工具基本上也只是基于一种缺省系统安全方略进行比较，针对详细应用环境和专门应用需求就很难判断设置对性。 (3)系统后门是难于考虑到地方。防火墙很难考虑到此类安全问题，多数状况下，此类入侵行为可以堂而皇之通过防火墙而很难被察觉；例如说，众所周知ASP源码问题，这个问题在IIS服务器4.0此前一直存在，它是IIS服务设计者留下一种后门，任何人都可以使用浏览器从网络上以便地调出ASP程序源码，从而可以搜集系统信息，进而对系统进行袭击。对于此类入侵行为，防火墙是无法发现，由于对于防火墙来说，该入侵行为访问过程和正常WEB访问是相似，唯一区别是入侵访问在祈求链接中多加了一种后缀。 （二）网络安全重要威胁原因 (1)软件漏洞：每一种操作系统或网络软件出现都不也许是无缺陷和漏洞。这就使我们计算机处在危险境地，一旦连接入网，将成为众矢之。 (2)配置不妥：安全配置不妥导致安全漏洞，例如，防火墙软件配置不对，那么它主线不起作用。对特定网络应用程序，当它启动时，就打开了一系列安全缺口，许多与该软件捆绑在一起应用软件也会被启用。除非顾客严禁该程序或对其进行对配置，否则，安全隐患一直存在。 (3)安全意识不强：顾客口令选择不慎，或将自己帐号随意转借他人或与他人共享等都会对网络安全带来威胁。 (4)病毒：目前数据安全头号大敌是计算机病毒，它是编制者在计算机程序中插入破坏计算机功能或数据，影响计算机软件、硬件正常运行并且可以自我复制一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此，提高对病毒防备刻不容缓。 第2章 重庆信息技术职业学院校园网网络安全隐患分析 近几年来,伴随高校规模不停扩大,新校区或者合并校区扩建,高校校园网普遍存在网络规模较大,上网地点较分散,网络监管困难,上网行为不够规范等现象,因而加大了校园网络在使用过程中安全隐患。 2.1 校园网安全存在缺陷 2.1.1 网络自身安全缺陷 网络是一种开放环境,TCP/IP是一种通用协议,即通过IP地址作为网络节点唯一标识,基于IP地址进行多顾客认证和授权,并根据IP包中源IP地址判断数据真实和安全性,但该协议最大缺陷就是缺乏对IP地址保护,缺乏对源IP地址真实性认证机制,这就是TCP/IP协议不安全主线所在。通过TCP/IP协议缺陷进行常见袭击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议袭击、SYN袭击等等。 2.1.2 网络构造、配置、物理设备不安全 最初互联网只是用于少数可信顾客群体,因此设计时没有充足考虑安全威胁,互联网和所连接计算机系统在实现阶段也留下了大量安全漏洞。并且网络使用中由于所连接计算机硬件多,某些厂商也许将未经严格测试产品推向市场,留下大量安全隐患。同步,由于操作人员技术水平有限,因此在网络系统维护阶段会产生某些安全漏洞,尽管某些系统提供了某些安全机制,但由于种种原因使这些安全机制没有发挥其作用。 2.1.3 内部顾客安全威胁 系统内部人员存心袭击、恶作剧或无心之失等原因对网络进行破坏或袭击行为,将会给网络信息系统带来愈加难以预料重大损失。U盘、移动硬盘等移动介质交叉使用和在联接互联网电脑上使用,导致病毒交叉感染等等,都会给校园网络带来较大安全威胁。尤其是近年来运用ARP协议漏洞进行窃听、流量分析、DNS劫持、资源非授权使用、植入木马病毒不停增长,严重影响了网络安全。 2.1.4 软件漏洞 一般认为,软件中漏洞和软件规模成正比,软件越复杂其漏洞也就越多。在网络系统运行过程中,由于操作系统自身不够完善,针对系统漏洞自身袭击较多,且影响也较严重。目前如办公、下载、视频播放、聊天等软件流行,让使用率较高程序也成为被袭击目。 2.1.5 病毒传播 网络发展使资源共享愈加以便，移动设备使资源运用明显提高,但却带来病毒泛滥、网络性能急剧下降,许多重要数据因此受到破坏或丢失,也就是说,网络在提供以便同步，也成为了病毒传播最为便捷途径。例如,“红色代码”、“尼姆达”、“冲击波”、“震荡波”、“欢乐时光”、“熊猫烧香”爆发无不使成千上万顾客受到影响。几年病毒黑客化,使得病毒感染和传播愈加迅速化、多样化,因而网络病毒防备任务越来越严峻。 2.1.6 多种非法入侵和袭击 由于校园网接入点较多,拥有众多公共资源,并且使用者安全意识淡薄,安全防护比较微弱,使得校园网成为易受袭击目。非法入侵者有目破坏信息有效性和完整性,窃取数据,非法抢占系统控制权、占用系统资源。例如:漏洞、微弱点扫描,口令破解;非授权访问或在非授权和不能监测方式下对数据进行修改;通过网络传播病毒或恶意脚本,干扰顾客正常使用或者占用过多系统资源导致授权顾客不能获得应有访问或操作被延迟产生了拒绝服务等。 2.2 校园网安全管理和维护措施与提议 通过以上安全缺陷分析,校园网络安全形式仍然非常严峻。制定整体安全布署处理安全隐患和漏洞,是校园网安全、健康运行保障。 2.2.1 配置高性能防火墙产品 防火墙是指设置在不一样网络或网络安全域之间一系列部件组合。一般来说,防火墙设置在可信赖内部网络和不可信赖外部网络之间。防火墙相称于分析器,可用来监视或拒绝应用层通信业务,防火墙也可以在网络层和传播层运行,根据预先设计报文分组过滤规则来拒绝或容许报文分组通过。因此对防火墙作好安全设置,设定恰当访问控制方略,保障网络资源不被非法使用和访问。 2.2.2 网络设计、使用更合理化 在网络设计之初,需要理解终端设备安全事件对网络影响,确定需要采用安全措施,通过已知身份验证设备访问网络,防备未经授权接触,让入侵者难以进入。这样网络才能提供可预测、可衡量、有保证安全服务。 2.2.3 软件漏洞修复 在校园网络系统运行过程中,首先对顾客进行分类,划分不一样顾客等级,规定不一样顾客权限;另首先对资源进行辨别,划分不一样共享级别,例如:只读、安全控制、备份等等。同步,给不一样顾客分派不一样帐户、密码,规定密码有效期,对其进行动态分派和修改,保证密码有效性;配合防火墙使用状况下,对某些IP地址进行过滤,以防止恶意破坏者入侵;建立补丁更新服务器,布署全局更新机制,实时、高效更新软件漏洞。 2.2.4 防杀毒软件系统 在互联网技术飞速发展今天,病毒以每年两千种新病毒速度递增。在校园网中使用带防火墙企业版杀毒软件,就能对整个校园网络起到安全防护作用,使计算机免受病毒入侵。 2.2.5 配置入侵检测系统(IDS)并建立蜜罐陷阱系统 入侵检测就是对入侵行为检测,通过搜集和分析计算机网络或计算机系统中若干要点信息,检查网络或系统中与否存在违反安全方略行为和被袭击迹象,而蜜罐目在于吸引袭击者、然后记录下一举一动计算机系统,袭击者入侵后,可以随时理解其针对服务器发出最新袭击和漏洞,这样系统就可以及时、有针对性防备袭击和修复漏洞。 2.2.6 系统安全风险评估 互联网不安全原因无时无刻威胁着网络安全,只有在网络系统所面临风险进行了有效评估基础上,才能掌握网络安全中存在漏洞和威胁,从而采用有效措施控制网络风险。风险评估过程是一种动态循环,因此必须进行周期性、长期评估。 2.2.7 劫难恢复计划 1996年报道网络袭击方式只有400种,1998年到达4000种。 CERT/CC公布漏洞数据为,1090个,已经增长至4129个。可以想象,对管理员来说要跟上补丁步伐是很困难。并且,入侵者往往可以在软件厂商修补这些漏洞之前首先发现这些漏洞。尤其是缓冲区溢出类型漏洞,其危害性非常大而又无处不在,是计算机安全最大威胁。我们无论怎么想措施都不也许防止劫难发生,但为了使劫难发生导致损失减到最小,就应当在劫难发生之前建立意外事件计划,记录多种劫难发生所产生影响,并为此作出对应应对措施。 2.2.8 加强管理 伴随网络技术迅速发展、应用领域广泛性以及顾客对网络理解程度加深,恶意破坏者或者非法入侵者对网络安全影响会越来越大,这就使得网络安全管理工作任务愈加艰巨而重要。因而,在网络安全管理工作中必须做到及时进行漏洞修补和日志查看,保证网络稳定性。此外,高校也应当颁布网络行为有关规范和惩罚条例,这样才能更有效控制和减少来自内部网络安全隐患。 2.3 校园网安全防备和管理 　 网络技术普及,使人们对网络依赖程度加大,对网络破坏导致损失和混乱会比以往任何时候都大。这也就使得高校需要对网络安全做更高规定,也使得网络安全地位将越来越重要,网络安全必然会伴随网络应用发展而不停发展。 伴随国家网络信息化建设飞速发展，有越来越多学校建立起自己校园网络进行教学和管理，同步，通过Internet远程教育网络，教育不再受国家、地区、学校、学科限制，学生可以充足享有教育多面性、多样性，提高学生学习趣味性、选择性。但与此同步伴随国家网络信息化建设飞速发展，有越来越多学校建立起自己校园网络进行教学和管理，同步，通过Internet远程教育网络，教育不再受国家、地区、学校、学科限制，学生可以充足享有教育多面性、多样性，提高学生学习趣味性、选择性。但与此同步，愈演愈烈黑客袭击事件以及非法信息不停蔓延、网络病毒爆发、邮件蠕虫扩散，也给网络蒙上了阴影。在高速发展校园网及远程教育网络系统中也同样存在着威胁网络安全诸多原因。 　　一般来讲，重庆信息技术职业学院校园网在安全面隐患和威胁虽然也重要来自于病毒和黑客入侵，但其要防护重点则有着特定需求。对于校园网而言，需要加强安全防备和管理体目前三个方面： ⑴.防备病毒入侵 　　目前，网络中存在病毒已经不计其数，并且日有更新。而伴随红色代码、Nimda、SQL Slammer等病毒一再出现，病毒已经成为一种集成了蠕虫、病毒和黑客工具大威胁，同步其运用邮件这一应用最广泛手段，随时准备毁坏数据、致瘫网络。 ⑵.监控网络流量 　　Internet开放性使得网络信息错综复杂，学生可以轻而易举地访问和浏览各类站点，包括色情、暴力及游戏等不良站点。多种非法、有害信息：色情、暴力，甚至邪教歪理邪说等，都会通过Internet肆无忌惮地涌入校园，使中小学生这一未成年特殊群体极易受到上述信息不良诱导，在其幼小心灵深处埋下灰色烙印。 ⑶.保护关键资源 　　教学资料、考试试题、学生档案、招生信息等重要数据是校园网中最宝贵关键资源，也是非法入侵者袭击对象。一位教师为发泄自身不满，侵入了学校服务器，修改并毁坏了许多学生成绩档案，给学校和教育部门导致了巨大损失。同步，一旦有病毒爆发，这些数据也将面临毁坏或丢失威胁。 　　通过以上对校园网安全问题分析，冠群金辰认为虽然校园网络中各个环节都存在着安全隐患，但要做到全面防护也是有章可循，整体而言，应当从网关、网络以及主机三个层面进行立体安全防护。 　　网关防护，御敌门外事半功倍。网关，就像学校大门同样，是校园网络联通到Internet出入口，同步，也是大部分病毒和入侵行为必经之地。因此把好这安全第一关，可以极大地减轻校园网内部安全防备压力，起到事半功倍作用[1]。 第3章 重庆信息技术职业学院校园网安全隐患处理方案与实现 3.1 防火墙选择与设计 防火墙是网络中重要第一防线，越来越多人认识到安装防火墙重要性，因此我们对防火墙性能和管理特点加以评测。有7个厂家参与了我们评测，它们是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computing。重庆信息技术职业学院防火墙网络拓扑图如图3.1。 图3.1 重庆信息技术职业学院防火墙网络拓扑图 从防御功能、应用层高级代理功能、支持网络地址转换、认证支持、协议支持、加密支持、LAN接口等几方面进行对比。其中，CiscoPIX性能靠近线速，比较符合重庆信息技术职业学院校园网网络安全应用。 3.1.1Cisco PIX525防火墙 Cisco PIX525防火墙，是网络间墙，防止非法侵入，过滤信息等，从构造上讲，简朴地说是一种PC式电脑主机加上闪存（Flash）和防火墙操作系统。它硬件跟工控机差不多，都是属于能适合24小时工作，外观造型也是相类似。闪存基本上跟路由器同样，都是那种EEPROM，操作系统跟Cisco IOS相似,都是命令行（Command）式， Cisco Firewall PiX525，是一种机架式原则（即能安装在原则机柜里），有2U高度，正面看跟Cisco路由器同样，只有某些指示灯，从背板看，有两个以太口（RJ-45网卡）,一种配置口（console）,2个USB,一种15针Failover口，尚有三个PCI扩展口。 3.1.2 Cisco PIX525防火墙安装和配置 (1)将PIX安装放至机架，经检测电源系统后接上电源，并加电主机。 (2)建立顾客和修改密码 用配置线从电脑COM2连到PIX525console口，进入PIX操作系统采用windows系统里“超级终端”，通讯参数设置为默认。初始使用有一种初始化过程，重要设置：Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等，假如以上设置对，就能保留以上设置，也就建立了一种初始化设置了。 进入Pix525采用超级顾客(enable),默然密码为空，修改密码用passwd命令[5]。 (3)激活以太端口 激活以太端口必须用enable进入，然后configure模式 PIX525>enable Password: PIX525#config t PIX525(config)#interface ethernet0 auto PIX525(config)#interface ethernet1 auto 　　在默然状况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside。 inside在初始化配置成功状况下已经被激活生效了，不过outside必须命令配置激活。 (4)命名端口与安全级别 采用命令nameif PIX525(config)#nameif ethernet0 outside security0 PIX525(config)#nameif ethernet0 outside security100 security0是外部端口outside安全级别（100安全级别最高） security100是内部端口inside安全级别,假如中间尚有以太口，则security10，security20等等命名，多种网卡构成多种网络，一般状况下增长一种以太端口作为DMZ(Demilitarized Zones非武装区域) [2]。 (5)配置以太端口IP地址 采用命令为：ip address 内部网络为：192.168.1.0 255.255.255.0 外部网络为：222.20.16.0 255.255.255.0 PIX525(config)#ip address inside 192.168.1.1 255.255.255.0 PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 (6)配置远程访问（telnet） PIX以太端口是不容许telnet，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟某些安全配置有关。 PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside 测试telnet 在[开始]->[运行] telnet 192.168.1.1 PIX passwd： 输入密码：cisco (7)访问列表（access-list） 有permit和deny两个功能，网络协议一般有IP、TCP、UDP、ICMP等等，只容许访问主机:222.20.16.254www,端口为：80 PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www PIX525(config)#access-list 100 deny ip any any PIX525(config)#access-group 100 in interface outside (8)地址转换（NAT）和端口转换（PAT） 首先必须定义IP Pool，提供应内部IP地址转换地址段，接着定义内部网段。 PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0 　　假如是内部所有地址都可以转换出去则： PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 外部地址是很有限，有些主机必须单独占用一种IP地址，必须处理是公用一种外部IP(222.20.16.201),则必须多配置一条命令，这种称为（PAT），这样就能处理更多顾客同步共享一种IP,有点像代理服务器同样功能。配置如下： PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0 PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0 PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0 (9)DHCP Server 在内部网络，为了维护集中管理和充足运用有限IP地址，都会启用动态主机分派IP地址服务器，下面简朴配置。 地址段为192.168.1.100—192.168.168.1.200 DNS: 主202.96.128.68 备202.96.144.47 主域名称： DHCP Client 通过PIX Firewall PIX525(config)#ip address dhcp 　 DHCP Server配置： PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47 PIX525(config)#dhcp domain (10)静态端口重定向 PIX525增长了端口重定向功能，容许外部顾客通过一种特殊IP地址端口通过Firewall PIX525 传播到内部指定内部服务器。这种功能也就是可以公布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全[1]。 　　命令格式： static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip [netmask mask][max_cons[max_cons[emb_limit[norandomseq]]] ü 外部顾客直接访问地址222.20.16.99 telnet端口，通过PIX重定向到内部主机192.168.1.99telnet端口（23）。 PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.0 ü 外部顾客直接访问地址222.20.16.99 FTP，通过PIX重定向到内部192.168.1.3FTP Server。 PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.0 ü 外部顾客直接访问地址222.20.16.208 www(80端口)，通过PIX重定向到内部192.168.123主机www(80端口)。 PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0 ü 外部顾客直接访问地址222.20.16.201 HTTP(8080端口)，通过PIX重定向到内部192.168.1.4主机www(即80端口)。 PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.0 ü 外部顾客直接访问地址222.20.16.5 　　smtp(25端口)，通过PIX重定向到内部192.168.1.5邮件主机smtp(即25端口) PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.0 (11)显示与保留成果 采用命令show config 保留采用write memory[2] 3.2 校园网身份认证系统选择与设计 在网站建设过程中，多种应用系统一般是在不一样时期开发完毕。各应用系统由于功能侧重、设计措施和开发技术有所不一样，也就形成了各自独立顾客库和顾客认证体系。伴随网站发展，会出现这样顾