如何維護校園網路安全
如何維護校園網路安全,隨著校園網路的普及,校園網路的安全問題直接影響著學校各項教育教學活動的開展,校園網路安全也越來越被重視,那如何維護校園網路安全呢?下面就和大家一起接著往下看吧!
網路邊緣安全區
網路邊緣安全區所處的位置在校園網路與外網的銜接處,處在整個校園網路的邊界區域,這個區域的物理設備主要的功能一是通過電信接入Internet。 二是通過學校接入中國教育網。三是聯接學校內網並實現校內資源共享上網。四是發布對外伺服器和提供遠程訪問服務。網路邊緣安全區直接面臨的就是外部高風險連接,在這個網路區域的物理設備既要保證聯接外網又要保證校園網路正常事務的運行。所以網路邊緣安全區的
網路邊緣安全區
主要需求為:
禁止外部用戶非法訪問校內網路資源。校園網路進出的流量記錄信息。將校園網路內網IP地址隱藏。有條件的提供安全的遠程訪問服務。具備檢測和抵禦入侵的能力。確保校園網路用戶身份真實可靠,這是保證校園網路安全的最基本要求,當然合法的用戶也會做出威脅校園網路安全的事情,還需詳細記錄用戶對網路資源的訪問行為和訪問信息,便於之後的審計和追溯。
確保校園網路用戶身份真實可靠
核心匯聚安全區
核心匯聚安全區域的設備是整個校園網路的關鍵節點,在校園網路中確保所連接的主幹網路高速和穩定的傳輸,並作為校園網路流量的匯聚中心,核心匯聚設備在控制數據傳輸方面起著重要作用。核心匯聚安全區主要需求為:
根據具體用途劃分VLAN網段。各網段間實施訪問控制。根據用途對設備埠進行綁定。對設備埠的最大連接數進行限制。預防病毒流量的傳輸。劃分VLAN,主要是縮小了廣播域,一方面是防止基於廣播的病毒感染整個校園網路,比如近期的勒索病毒就是一個基於廣播的病毒。另一方面可以實現某.種用途的訪問控制,這樣就能控制VLAN間的數據傳輸,比如辦公段、宿舍區段、校園卡段等。
某校園網路的拓撲圖
接入層安全區
接入層安全區主要面臨的威脅是接入主機感染的病毒利用二層協議的相關漏洞進行攻擊,如MAC地址泛洪攻擊、ARP欺騙攻擊等。接入層設備直接與用戶的主機相連,如何識別接入主機用戶身份的合法性也是接入層設備在部署和配置時要做的工作。另外校園網路提供的接入點數量龐大,而且用戶成份不同,可能人為的造成埠環路的現象。因此,接入層安全區的需求為:
配置接入主機對應的VLAN段。主機埠綁定。採用二次身份認證。設備接入主機數限制。防ARP攻擊。埠環路檢測。伺服器群安全區
校園網路的伺服器主要集中在計算機中心機房,主要有學校的門戶網站伺服器、VP N伺服器以及各種應用系統伺服器。為了確保這些伺服器的安全主要從管理、技術和防範三個方面入手。根據伺服器的用途可以分成對外服務和對校內服務兩個安全區域。對外的伺服器區放置的伺服器相對於校園內網的伺服器來說屬於高風險區域,所以必須將對外伺服器區與校園內網的通訊進行控制。另外校園內網中各種應用伺服器安全性也不相同,為了防止出現被入侵的伺服器成為「肉雞」,來進一步攻擊其它的'伺服器,所以在伺服器之間還需要實施隔離。伺服器安全區的需求為:
伺服器隔離。埠訪問控制。設置DMZ區。防病毒。漏洞掃描。補丁升級。建立日誌伺服器。目前還沒有專門收集各個網路設備日誌以備事後審計和追溯的円志伺服器。如果要查看某個網路設備的日誌,必須通過該設備提供的介面訪問查詢,相對比較麻煩,所以建立日誌伺服器,定期對日誌伺服器進行審計,可以及時發現安全風險,及時杜絕安全漏洞。
杜絕安全漏洞
主機安全區
校園網路中每一個客戶端帶來的安全威脅主要是病毒和木馬,它們可以作為一個校園網路的接入點,對校園網路造成威脅。主機安全區的需求主要為安裝網路安全軟體,如防病毒軟體、桌面防火牆軟體、漏洞掃描工具和補丁升級軟體等,盡可能的保證接入主機的安全。
確保主機安全
其它的安全需求
傳輸線路的安全。校園網路傳輸線路所經過的物理位置必須遠離具有電磁千擾、福射干擾等數據信號干擾源(如東側的移動和聯通的倍號駐站)。校園網路線路的安全傳輸。必須採取相應的檢測手段來減少傳輸線路中數據的偵聽、竊取、QoS下降及欺騙等。加強網路維護人員的管理。配置門禁系統、監控系統,增強相關設施的安全保衛,對進入機房的人員進行管理(比如刷校園卡進行管理),建立《機房出入記錄日誌》。
對校園網路目前的現狀進行調研。通過基於專家評分的網路安全評估方法對校園網路進行風險評估,得到校園網路安全處在高風險的結果,針對校園網路的安全現狀及暴露的安全問題,通過拓撲結構將校園網路劃分成網路邊緣安全區、核心匯聚安全區、接入層安全區、伺服器群安全區和主機安全區五個區域分別的進行了安全需求分析,最後補充了其它方面的安全需求,最終完善了校園網路的安全需求。
校園網路分為內網和外網,就是說他們可以上學校的內網也可以同時上互聯網,大學的學生平時要玩游戲購物,學校本身有自己的伺服器需要維護;
在大環境下,首先在校園網之間及其互聯網接入處,需要設置防火牆設備,防止外部攻擊,並且要經常更新抵禦外來攻擊;
由於要保護校園網所有用戶的安全,我們要安全加固,除了防火牆還要增加如ips,ids等防病毒入侵檢測設備對外部數據進行分析檢測,確保校園網的安全;
外面做好防護措施,內部同樣要做好防護措施,因為有的學生電腦可能帶回家或者在外面感染,所以內部核心交換機上要設置vlan隔離,旁掛安全設備對埠進行檢測防護
內網可能有ddos攻擊或者arp病毒等傳播,所以我們要對伺服器或者電腦安裝殺毒軟體,特別是學校伺服器系統等,安全正版安全軟體,保護重要電腦的安全;
對伺服器本身我們要安全server版系統,經常修復漏洞及更新安全軟體,普通電腦一般都是撥號上網,如果有異常上層設備監測一般不影響其他電腦。做好安全防範措施,未雨綢繆。
校園網路安全及防範措施
校園網路安全及防範措施校園網建設的宗旨,是服務於教學、科研和管理,其建設原則也無外乎先進性、實用性、高性能性、開放性、可擴展性、可維護性、可操作性,但人們大多都忽略了網路的安全性,或者說在建設校園網過程中對安全性的考慮不夠。據美國FBI統計,美國每年因網路安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鍾就發生一起Internet計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心。人們在享受到網路的優越性的同時,對網路安全問題變得越來越重視。由於學校是以教學活動為中心的場所,網路的安全問題也有自己的特點。
主要表現在:
1.不良信息的傳播。在校園網接入Internet後,師生都可以通過校園網路在自己的機器上進入Internet。目前Internet上各種信息良莠不齊,有關色情、暴力、邪教內容的網站泛濫。這些有毒的信息違反人類的道德標准和有關法律法規,對世界觀和人生觀正在形成的學生來說,危害非常大。如果安全措施不好,不僅會有部分學生進入這些網站,還會把這些信息在校園內傳播。
2.病毒的危害。通過網路傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接入Internet後,為外面病毒進入學校大開方便之門,下載的程序和電子郵件都可能帶有病毒。
3.非法訪問。學校涉及到的機密不是很多,來自外部的非法訪問的可能性要少一些,關鍵是內部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案,使正常的教學練習失去意義。更有甚者,有的學生可能在考前獲得考試內容,嚴重地破壞了學校的管理秩序。
4.惡意破壞。這包括對網路設備和網路系統兩個方面的破壞。網路設備包括伺服器、交換機、集線器、通信媒體、工作站等,它們分布在整個校園內,管理起來非常困難,某些人員可能出於各種目的,有意或無意地將它們損壞,這樣會造成校園網路全部或部分癱瘓。另一方面是利用黑客技術對校園網路系統進行破壞。表現在以下幾個方面:對學校網站的主頁面進行修改,破壞學校的形象;向伺服器發送大量信息使整個網路陷於癱瘓;利用學校的BBS轉發各種非法的信息等。
2. 校園無線網存在的問題
非法用戶侵入
無線區域網具有一定的特殊性,即開放性與易獲取性,這雖然很大程度上方便了網路用戶的信息查詢,但也讓非法用戶有了可乘之機,即非法使用者未經授權便可使用到校園的網路資源,這不僅是對校園網路寶貴的無線信道資源的非法佔用,還使得無線網在校園合法用戶的服務質量方面得到了大大降低。
2.2網路監聽
無線區域網具有開放訪問的特點,這使得入侵者不需要藉助竊聽工具與技術,便可以在無線信號覆蓋范圍之內進行校園重要資訊的竊聽、篡改以及轉發,進而導致校園網路信息的泄密與丟失,嚴重威脅了校園的信息安全,對學校的建設與發展十分不利。
2.3高級入侵
非法網路攻擊者一旦侵入無線網路,則網路中的其他系統也極易被破壞,這便進一步導致整個網路暴露於非法用戶的面前,並讓無線網路的安全隱患發展成為整個校園網路安全系統的漏洞,可見高級入侵所造成的負面效應和後果是十分嚴重的。
2.4信息重放
倘若校園無線網路安全防範工作沒有做到位的化,則極易受到利用非法AP進行的中間人欺騙和攻擊。而這種攻擊不僅僅是對授權客戶端進行欺騙,它還對AP進行了欺騙,進而對信息進行非法的竊取和篡改。
2.5拒絕服務
該類攻擊方式,是校園無線網路所有攻擊方式中,造成後果最為嚴重的一種攻擊方式。拒絕服務又可劃分為兩種不同的子攻擊方式。一種既是攻擊者泛洪式的對AP進行攻擊,以使AP拒絕提供服務。另外一種則是攻擊者對某個節點進行攻擊,以使它不停地提供服務或進行數據包的轉發,進而將其能源耗盡,導致其未能繼續進行工作。該種攻擊方式又可稱為能源消耗攻擊,其對校園區域網的攻擊後果通常來講都十分嚴重。
2.6無線加密協議破解
目前互聯網上存在的一些非法程序,能讓違法分子通過對多個WEP弱密鑰加密包的收集,來對WEP密鑰進行分析與恢復,有的甚至可以在兩小時內對WEP密鑰進行攻破。
2.7地址欺騙和會話攔截
通常來講,無線網路中的合法終端的MAC地址比有線網路中的地址要更容易獲取,因此攻擊者經常會通過非法偵聽的方式來獲取MAC地址,並利用這些MAC地址來對其他系統進行惡意攻擊。另外,由於IEEE802.11標准協議未能對AP進行身份認證,這便有利於不法之徒偽裝成AP進入網路,進而將合法用戶的身份信息進行獲取,然後通過攔截、會話實現對網路的攻擊。
3. 校園網路
分類: 教育喚姿/學業/考試 >> 遠程教育
問題描述:
我們這個樓城的校園網最近出現了一些問題:就是網路出現非常不穩定的問題,網路發送和接受大數據速度非常非常慢,(網路是連接上的,不斷,也不顯示網路沖突,有時候QQ聊天視頻是連接上的,但是打字就是發送不出去)`經常不能開網頁,只有在晚上的時候速度才比較快一點,我們3樓只有一台電腦不斷(可以一直上,其他的電腦都是我說的這種情況)這個問題我一直都不解````急~~~大家能告訴我是什麼原因嗎?
解析:
校園網路採用兩級結構:即主幹網和子網。校園網的主幹採用成熟的100M快速乙太網,由網路中心用光纖聯至各座大樓的分節點,再經分節點的交換機聯接到大樓的各個用戶。這種配置結構既保證了主幹網信息可靠、高速、無瓶頸地傳輸,又為用戶計算機接入提供了靈活、方便的手段。(附校園網路拓撲結構如圖1所示)
2、校園網路的IP路由信息和訪問范圍的控制管理
校園網路主要採用TCP/IP網路協議,網上的路由器間需要交換路由信息,IP路由信息交換有動態和靜態兩種方式。採用靜態路由協議,與上一級網路中心相連,不採用RIP主要原因是為了防止網路上不正確的路由信息對本校園網路的影響。
為了控制用訪問一些網路採用IP的限制,在路由器上加入這兩條指令:
ip access-group 100 out
access-list 100 permit ip 210.34.96.0 0.0.0.31 any
access-list 100 permit ip any 國內ip列表 ip反向mask
表示只有96網段上210.34.96.0-210.34.96.31的用戶才能訪問國外網站這樣防止其他用戶訪問國外網站,造成國外流量劇增,從而增加經費開支。此外,有些校園網路和攜絕web伺服器的內容,如校園網路辦公信息系統只能讓校園網路內用戶訪問,在Web伺服器設置定義源IP訪問范圍;利用網路的c類地址的超網掩碼技術實現這一功能。210.34.96.0 mask 210.34.240.0 表示IP地址只有210.34.96.0-210.34.111.255的用戶可以訪問web Server, 也就是校園內部用戶可以訪問校園網路辦公信息的內容。
3、校園網路設備防雷電的防範策略
由於雷電直擊,雷電及其他電磁感應,未受保護的網路負載設備將被瞬態過電壓破壞的數據傳輸、耗損元件、或者毀壞晶元,造成不穩定的性能、的硬體故障等問題。
3.1、針對建築物防雷
建築物的防雷主要通過安裝避雷針來實現,它可以有效的防止雷擊損害建築物並大大降低了雷直接擊中網路傳輸線和網路設備及電源線的可能性,一定程度上起到了網路防雷的作用。
3.2、網路設備電源防雷
電源防雷的主要作用是防止雷擊過電壓從電源供入端進入設備,保障設備以及數據傳輸暢通無阻。普通插座的接地端要接地,地線的好壞不但直接影響著電源防雷器的效能而且還影響到信號防雷器的效能。
3.3、信號埠防雷
盡管在電源和通信線路等外接引入線路上安裝了防雷保護裝置,由於雷擊發生時網路線(如雙絞線)感應到的過電壓,會影響網路的正常運行甚至徹底破壞網路系統。在有外來線路進入的DDN或ISDN一定要在重要線路的網路介面上做相應的保護,如防火牆內外網介面。安裝RJ45防雷器等,一旦有雷擊就可以避免雷擊造成網路設備的嚴重損失。
4、校園網路安全策略
在計算機網路日益擴展和普及的今天,計算機安全的要求更高,涉及面更廣。不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。
4.1、網路病毒的防禦
在防治網路病毒方面,接受不明電子郵件,下載軟體如:.zip .exe 等文件過程隱並中應特別加以注意。都有潛伏病毒的可能性。
對於系統本身安全性,主要考慮伺服器自身穩定性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道,避免造成對系統的威脅。對重要系統,必須加上防火牆和數據加密技術加以保護。
計算機系統安全是個很大的范疇,在操作系統、應用軟體、硬體本身都可能出現的一些情況,平時應重視,加以防範。
4.2、web伺服器安全預防措施:
1)對在web伺服器上開的帳戶,在口令長度及定期更改方面作出要求,防止被盜用。
2)在web伺服器上去掉一些絕對不用的shell等之類解釋器,即當在你的 cgi的程序中沒用到perl時,就盡量把perl在系統解釋器中刪除掉。
3)設置好web伺服器上系統文件的許可權和屬性,對可讓人訪問的文檔分配一個公用的組如:,並只分配它只讀的權利。把所有的HTML文件歸屬WWW組,由WEB管理員管理WWW組。對於WEB的配置文件僅對WEB管理員有寫的權利。
4.3、在網路操作系統安全預防措施:
1)盡量使ftp, mail等伺服器與之分開,去掉ftp,sendmail,tftp,NIS, NFS,finger,stat等一些無關的應用。
2)定期查看伺服器中的日誌logs文件,分析一切可疑事件。在errorlog 中出現rm, login, /bin/perl, /bin/sh等之類記錄時,伺服器可能有受到一些非法用戶的入侵的嘗試。
3)網路管理員要及時安裝網路OS補丁程序。如windows2000有iis的漏洞,需要安裝補丁程序sp1 sp2
5.利用防火牆增強網路的安全性和可管理性
當一個網路接上Inter之後,系統的安全除了考慮計算機病毒、系統的穩定之外,更主要的是防止非法用戶的入侵。而目前防止的措施主要是靠防火牆的技術完成。防火牆(firewall)是指一個由軟體或和硬體設備組合而成,處於網路群體計算機與外界通道(Inter)之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。在構建安全網路環境的過程中,防火牆是一個系統,主要用來執行兩個網路之間的訪問控制策略, 通常應用防火牆的目的有以下幾方面:限制他人進入內部網路;過濾掉不安全的服務和非法用戶;防止入侵者接近網路系統;限定用戶訪問特殊站點;為監視區域網安全提供方便。
5.1、防火牆工作原理和防禦過程
防火牆總體安全框架為: 物理地址->IP地址->身份認證->應用層過濾,分別採用IP/MAC綁定,狀態包過濾技術,身份認證,內容過濾等安全策略。通過這樣的數據流程對內部網路進行全面的保護。
IP/MAC綁定技術方便了網路的IP地址管理,杜絕了內部網IP地址盜用,狀態包過濾技術依據連接狀態信息進行更加全面的過濾;而且在對包的網路層信息進行過濾的同時,更強調對應用層信息的過濾,因此大大提高了網路系統的安全性。在應用層實現內容過濾,主要是網頁內容過濾,SMTP電子郵件標題過濾阻止病毒郵件,做到了防止外部網路不安全或管理員不希望通過的信息流入內部網路和限制內部網路的重要信息流到外部網路(如圖2所示:)。
5.2、防火牆是構建整個網路安全體系的核心
防火牆是貫穿內部網路的整個防禦過程:防火牆能夠檢測到通過防火牆的各種入侵、攻擊和異常事件,並以相應的方式通知相關人員,安全員依據這些警報信息及時修改相應的安全策略,重新制定訪問控制規則;由安全員分析審計信息,修正策略,制定新的過濾規則。防火牆和相應的操作系統應該用補丁程序進行升級且升級必須定期進行,以對付黑客新增的入侵攻擊手段。
6. 結束語:一個網路系統的正常運行和安全防範是一項聯系范圍很廣的任務,需要網路管理員日常工作經驗不斷地積累,加強專業知識的學習和技能提高。