第15卷第4期2002年10月

镇江高专学报JournalofZhenjiangCollegeV01.
15No.
4Oct.
.
2002校园网安全分析及解决方法张翼(镇江市高等专科学校,江苏镇江212003)摘要:在分析校园网的网络安全措施的基础上,针对校园网在运行中的实际问题,对电子邮件过滤检测、入侵检测、病毒检测、防火墙设置等提出了相应的安全解决方案.

关键词:网络安全;校园网;入侵检测;病毒检测;防火墙中图分类号:TP393.
08文献标识码:B文章编号:1008—8148(2002)04一0028一040引言自Intemet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着.
在计算机网络资源共享进一步加强的同时,随之而来的信息安全问题也日益突出.
加强网络安全建设已刻不容缓.

校园网作为一个局域网,也面临安全问题,本文就校园网安全问题作一探讨.

1校园网不安全的主要因素现阶段,我国相当一部分学校的校园网的基本架构已经成型,然而随着对网络服务要求的进一步提高,还要全面地解决在运行中所出现的安全问题,从而提供更加安全的服务.

1.
1共享目录问题现阶段校园网的各部门之间如果要进行数据的交换,大多采用共享目录的方式.
很多人会在Win98的"网络"属性——"配置"的"文件及打印共享"项的"允许其他用户访问我的文件"和"允许其他计算机使用我的打印机"前面打上小钩,然后在硬盘"共享"里面的"根据密码访问"设置一个只读或完全访问的密码,以为这样就可以万无一失了,其实这种方式是Win98系统的一个漏洞,其安全性极其脆弱.
图1所示的是使用破解软件对共享目录进行密码破解的过程.
密码成功的破解,就可以使你的系统共享目录不受密码的保护,完全暴露在网络上,这样,别人就可以在你的共享目录里随意阅读.
如果目录具备可写的权限,入侵者可通过很多方式获得更多的资源,你会发现你的软盘A、硬盘(或光驱)C、D、E已全部共享,在你接入网络后,别人用网络工具查找"共享"的计算机,进入你的计算机后,你的资源便可以让别人任意使用.
1.
2IP盗用问题[收稿日期]2002—06—04[作者简介】张翼(1962一),男,江苏扬中人,讲师,双学士,主要从事计算机教学工作.

·28·图1共享目录密码软件破解万方数据校园内部连接有近千台电脑,一部分电脑通过正常的申请途径申请得到合法的口地址,然而实际情况并不是所有的校内电脑都申请过IP地址,所以当某些没有IP地址的用户冒用他人的合法口地址时,就会造成网络内部地址的冲突,严重阻碍了合法用户的正常使用.
1.
3E—mail问题由于用户安全观念的淡薄以及网上某些人的别有用心,会给校园网的E.
mail用户传送一些不良内容的信件,有时还会携带各种各样的病毒.
因此,怎样防止有问题的信件进入校园网的E—mail系统也是一个待解决的问题.
1.
4对各种服务器和网络设备的扫描和攻击有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务.
如:服务器漏洞引起的入侵.

图2是对某台WindowsNT4.
0服务器系统,存在端口139开放,NE3'BIOSSessionService服务进行密码破解和入侵的结果.
Administrator(系统管理员)密码的获得使入侵者能够为所欲为.
试想一下该网站的所有数据库和源代码程序被入侵者所获得将会是怎样的结果1.
5病毒防护网络为病毒感染和快速传播提供了途径.
病毒在网络之间传递,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失.
因此,如何在校园网中防止病毒的侵袭,成为校园网迫切需要解决的问题.
2校园网安全的解决方法2.
1采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一图2服务器系统管理员密码破解种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术.
利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统安全的目的.
采用入侵检测技术,最好采用混合入侵检测,这需要从两方面来着手——基于网络的入侵检测和基于主机的入侵检测.
(A)校园网分为多个网段,基于网络的入侵检测一般只针对直接连接网段的通信,不检测在不同网段的网络包,因此,在校园网比较重要的网段中放置基于网络的入侵检测产品,不停地监视网段中的各种数据包,对每个数据包或可疑的数据包进行特征分析.
如果数据包与入侵检测系统中的某些规则吻合,则入侵检测系统就会发出警报或者直接切断网络的连接.
(B)在重要的主机上(例如WWW服务器、E—mail服务器、文件服务器等)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计13志进行分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施.
基于主机入侵的系统除了可以指出入侵者试图执行哪些"危险的命令"之外,还能分辨出入侵者干了什么事,例如,入侵者运行了什么程序,打开了哪些文件,执行了哪些系统调用等,提供较详尽的相关信息.
基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御系统不全面.

但是,它们的缺憾是互补的,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系.
2.
2Web、E—mail、BBS的安全监测系统在校园网的WWW服务器、FrP服务器、E—mail服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Intemet网上传输的内容,并将其还原成完整的WWW、E—mail、FIP应用的内容,建立保存相应记录的数据库.
及时发现在网络上传输的非法内容,及时向上级部门报告,采取措施.
在这里可以采取如下方法:用一台PC机连接在网络的关键网段上,用软件修改网卡的接收方式,就能接收到这个网·29·万方数据段上传输的所有信息.
采用这种方式对原有网络的传输性能没有影响.
系统基本上通过两部分组成:第一部分为监控器,主要负责如实地记录下网络上的传输数据,并将其保存在硬盘上的文件中,交给第二部分后台分析并进行处理;第二部分为后台分析器,负责对前台监控器记录下的数据进行处理,将前台监控器截获的数据拼装、还原成应用层的完整内容,然后在数据库中添加相应的记录.
监控器可以采用一台装有两块以太网卡的PC机,采用Linux操作系统.
分析器可以用一台安装了WindowsNT的PC机承担,运用SQLServer等软件共同开发.
这样可以对进入站内的各种信息进行检测,可以过滤E—mail等非法信息.

同时也可以进行设置,对邮件中的病毒进行检测.
从而阻止病毒进入局域网.

2.
3配置防火墙防火墙是一种行之有效且应用广泛的网络安全机制.
可防止Intemet上的不安全因素蔓延到局域网内部.
防火墙从原理上可以分为两大类:包过滤(Packetfiltering)型和代理服务(Proxyservice)型.
根据具体情况,可以采用如下的防火墙配置方案:将网络划分为三个部分:Intemet(外网)、DMZ区(非军事区)、内网.
Intemet与DMZ区通过外部屏蔽路由器隔离,DMZ区与内部网络通过内部屏蔽路由器隔离.
代理服务器、E—mail服务器、各种信息服务器(包括Web服务器、FTP服务器等)以及其它需要进行访问控制的系统都放在DMZ中.
示意图如图3.

内部网均能访问DMZ区上的某些资源,但不能通过DMZ区让内部网和Internet直接进行信息传输.
外部屏蔽路由器用于防范来自Internet上的攻击,管理Interact到DMZ区的访问;内部屏蔽路由器只能接受壁垒主机发出的数据包,并管理DMZ区到内部网络的访问.
对于内部访问Intemet,内部屏蔽路由器管理区DMZ的访问,它允许内部主机访问DMZ区的壁垒主机及信息服务器;外部屏蔽路由器的过滤规则只接受来自壁垒主机的数据.
Dm区图3屏蔽子网防火墙系统结构这种类型的防火墙在市场上有销售,然而linux操作系统下的软件防火墙可以免费得到,采用Linux作为我们的系统平台.
为保证系统运行的可靠性和可维护性,Linux内核中内置了包过滤功能,包过滤软件通过命令行对内核中的包过滤功能进行操作.
Linux下的包过滤软件有很多,平常应用较广的是Ipchain、Iptables系列.
数据在网上传输时,被分成大小不一的数据包,在每个包的首部(即报头)中包含了源地址、目的地址、端口号以及其他一些相关信息.
根据这些信息对经过的口包进行检查,将安全策略不允许的数据包清除,以保证网络的安全.
包过滤防火墙对用户是完全透明的,用户一般不会感觉它的存在.

运行在Linux上的Ipchains软件包将规则分为四类:Input(输入),Output(输出),Forward(转发)、User—defined(用户自定义).
每个类称作为一个链,在链中包含管理员制定的一系列规则,指明了包的类型以及Target(目标).
当经过的包数据与规则相匹配时,根据目标决定对包作何种处理,否则就转到下一条规则,直至最后.
在注重安全的系统中,如果没有规则与数据包匹配,则数据包会被拒绝.
Ipchains还提供地址伪装的功能,可以在内部网用户访问外界时,将数据包中的源P地址改为防火墙的地址,然后发至Interact上.
当接收到返回包时,再根据记录,将地址改回原先机器的地址,发给相应的机器.
通过伪装功能,外部无法根据P地址进行攻击,即使防火墙被攻破了,外界也无法攻击内部主机,从而保证了内部主机的安全;其次是内部网机器在通过防火墙时都进行了地址伪装,地址被更换为防火墙的地址,从而整个局域网中只有防火墙需要使用真实地址,而内部机器的地址都可改为内部地址,这样就可以大大减少真实口地址的消耗.
2.
4漏洞扫描系统解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点.
面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的.
解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患.
在要求安全程度不高的情况下,可以·30·嘲,.
、摹一赢蔷罗囵二建氅鼍一乏万方数据利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞.
2.
5口盗用问题的解决在路由器上捆绑口和MAC地址.
当某个口通过路由器访问Intemet时,路由器要检查发出这个口广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行.
否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息.
2.
6网络防病毒技术由于/ntemet的开放性,校园网也成为计算机病毒极易攻击的对象.
防毒软件在系统中是必不可少的,这里所说的防病毒软件是指网络版的防病毒产品,能够基于网络运行,并能够实时检测网络的服务器、客户机是否有病毒.
图4给出了一个实际的网络中心防火墙布置.
对于Neteye防火墙的全部安全资料及功能请到h￡-tp://neteye.
neusoft.
com/index.
jsp网站上了解.
3结束语通过以上所采取的一系列方法,改善校园网中安全措施,基本上可以建立一套相对完整的网络安全系统.
网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,一个高效、通用、安全的网络系统.
图4Neteye防火墙布置图如密码技术等,结合在一起,才能生成参考文献:[1]张浩军.
计算机网络实训教程[M].
北京:高等教育出版社,2001.
[2]费晶,陈元,王丽娜.
信息系统的安全与保密[M].
北京:清华大学出版社,1999.

[3]李亚恒,唐毅.
网络安全监测系统[J].
计算机工程,2001,(4):127—129.
[4]徐国哎,杨义先,胡正名.
安全局域网的设计和实现[J].
计算机工程与应用,2001,(8):30一31.