校园网络防御体系的构建与分析

摘要：随着信息网络的发展，网络安全问题越来越突出。特别对于校园，如何及时有效的防御不安全因素的影响尤为重要。该文从基于技术层面、安全技术管理层面、安全管理层面组建的校园网络防御体系结构及主要采用的防御技术进行了阐述。

关键词：校园网络；防御体系；安全

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)26-6379-03

Construction and Analysis of Campus Network Defense System

WU Dong-ni

(College of Computer and Information Science of Kaili University, Kaili 556000, China)

Abstract: With the development of camputer network, the security of network becomes more and more important. Especially for the campus, it is very important that How to defense the influence of unsafty. The paper discusses the the defensive sturcture of campus network that is established on the basis of technology, security technology management and security management, and also discusses its defensive technology.

Key words: campus network; defensive system; security

校园网络的飞速发展，已经成为了校园信息化建设的重要载体，承担了学校教学、科研、办公等日常工作的运行，其安全问题也成为了网络管理者最棘手的首要问题。校园网服务于全校师生，人数多、学生好奇心强、上网时间比较集中等原因，使得校园网络面临着各种各样的威胁。如何保证校园网络的安全，使全校师生拥有健康和谐的网络环境？我们需要构建一个全面的、互动的网络安全防御体系来阻止威胁的侵害。

1 校园网络防御体系的构建

为了保护校园内数据信息资源的安全，一般学校的校园网络在安全方面主要采取了路由器和防火墙进行保护。通过相应的端口设置，可以对内部数据包进行过滤从而达到安全的性能。但是这种防御比较单一，面对千变万化的黑客攻击手段，校园网络更加需要一套全面的、互动的防御管理体系。

1.1 校园网络防御体系的结构

网络信息安全的保护主要有三个基本的要素，即检测，响应和防护[1]。检测是及时发现各种入侵攻击行为。响应是在发现入侵行为之后，及时的切断入侵、抵抗攻击者的进一步破坏活动而做出的反击行为。防护是对网络信息的保护，使之免受黑客的攻击。同样，校园网络信息的安全也少不了这三个要素，可以通过采用IDS入侵检测系统进行信息数据检测，人工控制做出相应的阻断、扫描等响应，通过防火墙进行网络安全的保护。基于此思想，校园网络防御体系结构主要由3个层次组成，即：物理安全层、安全技术层和安全管理层。见图1所示。

物理安全层是网络安全的基础，主要是指防盗、防火、防静电、防雷击和防电磁泄漏等方面[2]，目的是保障网络设备的安全。安全技术层是保证网络安全的核心，涉及到的网络管理技术有防火墙、入侵检测系统、漏洞扫描及防病毒技术，通过各种技术的互动、合理的应用来保护校园网的安全。安全管理层针对的是人员的管理，主要是由管理者对网络设备、突发事件及网络运行的管理，使之最有效的保障校园网的安全。

1.2 校园网络防御体系的实现过程

校园网络防御体系结构涉及到防火墙、入侵检测、漏洞扫描、数据备份与恢复等网络安全技术。通过这些技术的相互补充和协调工作，建立一个联动的、动态的多层自防御体系，使网络安全的性能达到最优。各系统之间既能互动、又能保持相互的独立。各种安全管理技术对网络安全的具体实现方案见图2。

第一道安全防线采用防火墙来阻止来自网络外部的攻击和入侵。防火墙是不同网络或网络安全区域之间信息的惟一出入口，它可根据网络的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。防火墙的各个端口可以通过不同的配置来进行改变，可以基于不同的策略定义不同的路由，并且防火墙本身没有操作系统，消除了操作系统本身级别上的安全漏洞问题。防火墙通过相应的设置可以保证基本服务的数据包通过，对于未知的、存在隐患的数据包则可进行禁止。设置为：[3]WWW端口为80，采用TCP或UDP协议，eth1=>允许所有来自Intranet的WWW包，eth0=>仅允许目的为内部网服务器的WWW包；ftp端口为21，ftp-data端口为20，均采用TCP协议，eth1=>允许所有来自Intranet的ftp、ftp-data包，eth0=>仅允许目的为内部ftp服务器的数据包；telnet端口为21，采用TCP协议，eth1=>允许所有来自Intranet的telnet包，eth0=>仅允许目的为bbs服务器的包；Smtp端口为21，采用TCP协议，eth1=>允许所有来自Intranet的Smtp包，eth0=>仅允许目的为email服务器的smtp请求等等的相应设置。因此，防火墙作为网络安全的第一道防线，从一定程度上可以解决网络安全存在的问题，但是防火墙并不是万能的，防火墙是一种被动的访问控制设备，而且提供的是安全区域的周边防护，只能对网络出入口的数据信息进行控制，所以，单一的防火墙是无法保障网络内部的安全。

第二道防线由入侵检测系统组成。入侵检测是一种动态的安全防护技术[4]，该系统通过在网络和主机系统中主动寻找入侵行为并告警，从而提供对内部攻击、外部攻击和误操作的实时控制，它可以作为防火墙的合理补充，入侵检测技术能够帮助防火墙对付网络上存在的攻击行为，对系统管理员的安全管理能力进行扩展。入侵检测系统与防火墙进行互动，比如有一个攻击行为nmap扫描，它没有被防火墙阻断，就会扫描内部主机端口，寻找目标主机存在的漏洞，一旦发现漏洞就会进行下一步的攻击行为。与防火墙进行互动的入侵检测就能检测到跳过防火墙的nmap扫描攻击，从而自动修改防火墙的存取规则，来拒绝这个nmap扫描攻击。在互动之前，两者需要先定义设置好端口，互相配置对方的IP地址，防火墙以服务器的模式运行，IDS以客户端的模式运行。这是实现网络动态性安全的关键。

第三道防线由漏洞扫描系统构成。目的是定期扫描系统，检查并补上系统漏洞。从而减少攻击行为成功的可能性。利用漏洞扫描技术，可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，系统管理员还可以了解网络系统中存在的不安全的网络服务等。

第四道防线是防病毒技术。网络安全的保证，需要建立一个有效的病毒预防和查杀机制。在网络中部署分布式、网络化的防病毒系统，管理人员可以从中心位置对整个网络进行实时的病毒查杀，终端用户也能自己进行查杀。具体措施是：在学校网络的中心机房服务器上全部安装杀毒软件，由管理人员负责管理各个主机网点。并且在学校的各个行政部门及教学部门分别都安装杀毒软件的客户端。要保证所有计算机都安装杀毒软件的客户端，不能漏掉一个，防止出现“木桶效应”。

第五道防线由恢复系统构成。为了确保信息的安全性，预防数据信息丢失造成的损害，建立有效的恢复机制是必须的。对服务器和重要数据进行相应的备份，如果系统或数据一旦遭到破坏，网络将会中断、数据将会丢失，此时，我们就可以启动备份的数据，使网络在最短的时间内进行恢复回到正常。因此，为了避免意外情况的发生，一定要做好备份恢复工作，除了操作系统本身提供的一些备份功能之外，还可以选择专业的备份工具，如Veritas的Backupexce和Legato的Networker等。

各个有效的网络安全管理技术之间并不是孤立的，网络的安全需要彼此之间相互的协调进行保护。但俗话说“三分技术，七分管理”，只有安全的网络管理技术是不够的，还需要人员的管理，使各种网络安全管理技术发挥最优的作用。学校需要建立一个安全的管理制度和安全策略来确保学校网络的安全，从管理体制上保证网络安全策略的切实可行。比如，学校成立网络安全管理小组、应急小组，并应有相应的管理职责等。

2 校园网络防御体系防护的模拟分析

为了测试和分析黑客入侵时，校园网络所建立的安全防范体系在防护方面所起的作用，建立了一个模拟测试环境进行分析。在该试验环境中[5]，使用防火墙、路由器作为防护工具，IDS作为侦测工具，产品响应及人工响应作为事件响应方式，备份系统作为恢复机制，通过管理平台管理这些产品，以安全政策为指导，以安全管理制度为落实手段，使学校建立的网络安全防护体系发挥作用。在分析中，分别从校园网络受到的外部攻击和内部攻击进行的。

2.1 外部攻击行为的防护性能分析

黑客攻击行为多种多样，这里采用最常见的恶意代码病毒的攻击为分析对象。以尼姆达病毒为例进行分析。

尼姆达病毒是通过电子邮件等方式传播的蠕虫病毒恶意代码。具有感染速度快、扩散面广、传播形式复杂多样等特点，通过系统漏洞、局域网共享、电子邮件和文件等四种途径传播，能感染装有各类Windows操作系统的服务器和个人电脑。

如图3所示，防范体系对尼姆达病毒攻击的防护过程如下：

Step1：如果黑客或者是被利用的用户通过尼姆达病毒来攻击被保护的校园网络中的节点A。

Step2：若该攻击行为被防病毒系统首先发现，就由防病毒系统直接杀掉，将结果报告给管理人员记录（即ⅲ），响应过程结束。若尼姆达病毒的攻击首先是被IDS检测到，则会由IDS向管理平台报告攻击警报。

Step3：管理平台受到报警信息之后，会立刻通知防病毒系统查杀节点A上的病毒。

Step4：防病毒系统会对主机A进行病毒查杀，并将处理结果报送管理平台，由管理平台进行记录存档，再将处理的结果信息反馈给IDS。

2.2内部攻击行为的防护性能分析

内部攻击以内部口令攻击为分析对象，通过内部用户或者黑客使用letmein等口令攻击内部节点A为例，防范体系对内部口令攻击的防护过程如下（如图4所示）：

Step1：内部黑客使用口令攻击软件从内部对校园中被保护的节点A进行攻击。

Step2：口令的攻击行为首先被节点A上的IDS检测到，然后由IDS向管理平台报告攻击警报信息。

Step3：管理平台在收到节点A的IDS报警信息后，由管理人员根据具体的情况通过内部管理制度的规定进行处理，或者由主机A上的IDS直接阻断该攻击，过程响应结束。

3 结束语

总之，随着学校的不断发展，校园网络务必将日趋庞大，网络环境也更加复杂，面临的网络攻击也更大，因此安全防御体系的建立尤为重要，文中提到的方案基于安全技术层面、安全技术管理层面、安全管理层面组建的防御体系并不是固定不变的，它需要在实践中不断的整合、不断的完善，为学校的教学、科研、服务、生活等活动的正常开展提供一个安全的网络保障。

参考文献：

[1] 石志国,薛为民,尹浩.计算机网络安全教程[M].北京:清华大学出版社,北京交通大学出版社,2008.

[2] 汪婧.校园网络建设及网络安全的研究[D].南昌大学,2009,12.

[3] 祁宏伟.校园网络信息安全保护研究与实现[D].内蒙古大学,2010,6.

[4] 舒杨.浅谈高校校园网络安全[J].电脑知识与技术.2009.5(19).

[5] 范晓磊.齐晓光.吴迪.计算机网络安全及其防范措施的探讨[J].中国西部科技.2009,6.