论文部分内容阅读
摘要:针对校园网络安全出现的一些问题提出了几条简单易行的方法,包括设置访问控制、检查系统漏洞、设置共享的权限、加强对木马和流氓软件的防范、防备意外情况的发生以及针对IPv6网络的防护。
关键词:校园网络;安全防护;IPv6
中图分类号::F241.4 文献标识码:A文章编号:1007-9599 (2010) 11-0000-02
Network Security Protection for the CampusYu Bo
(Luohe Medical College,Luohe462002,China)
Abstract:This paper raised a few simple methods for some problems of the Campus Network Security,including setting access control,inspection system vulnerabilities,set share permissions,trojans and rogue software to strengthen the prevention,preparedness,and the occurrence of unexpected situations for IPv6 network protection.
Keywords:Campus network;Security;IPv6
一、引言
现在许多学校都建立了校园网络并投入使用,目前普遍使用的IPv4网络,但在提高了办公效率、资源得到充分共享的同时,很多网络病毒给校园网也带来了安全隐患。尤其是类似“冲击波”“震荡波”及“蠕虫”之类的病毒,因此网络安全现在变得越来越重要。那么,在现有的条件下做好网络安全,已经成为网络管理人员面临的重要挑战。
二、修补系统漏洞
大部分网络上流行的病毒都是利用系统的漏洞来破坏网络安全。作为网络管理员应该及时发现并修补系统漏洞,并对系统打上相应的补丁。同时在安装配置IIS的时候也需要注意:第一,改变IIS的默认安装路径,将IIS管理器中的主目录安装在其他的逻辑盘。第二,安装IIS成功后,管理员一定要删除由此产生的虚拟目录。第三,在使用IIS的时候,管理员在配置文件类型的时候一定要慎重,尽量做到只保留自己所需要的类型,并且在给目录可执行的权限时也要考虑周全,不要留给黑客可乘之机。
三、设置访问权限
设置访问权限是保护网络安全最基本的措施之一,它的任务就是保证只能通过合法的方式使用和访问网络。用户访问网络需要有用户名和密码,并且得到验证是合法的。并且用户进入网络后,用户只能在其权限内进行操作。什么样的级别具有什么样的权限。这样就保证了网络资源的安全。设置访问权限最简单方便的办法就是用密码保护系统和数据的安全。以此同时在密码的设置上要注意以下问题:第一,禁止空口令的账号存在,特别是网络管理人员一定要对服务器设置密码。第二,必须设置数字和字符组合的长度较长的复合密码。我们都知道在Windows系统中,存在一个SAM文件,它是操作系统的用户账户数据库,所有用户的密码和相关的登录信息都储存在它里面。一旦出现黑客通过非法手段获取到了这个文件,我们的网络安全就有可能面临极大的风险,因为黑客可以利用很多软件来破解SAM文件,并且有不少软件,对于破解5位以下的密码十几分钟就能完成,但是对于6位字符以上的密码,那就视情况而定需要花费黑客很长的时间或者精力。通过以上分析我们可以知道,不管是管理员还是用户在设置密码时最好使用字符、数字、大小写混合的长度较长的密码,这样更有利于我们的网络安全。
四、设置共享的权限
在校内局域网中,管理员和用户经常会在对等网中对计算机中的某个目录进行资源传输和共享。但在一旦设置共享后,那就所有网络上的计算机都有可能访问这个共享目录。可能绝大部分用户都习惯于设置完全共享,这样简单方便,但是网络安全隐患也就随之而来。因此,为了防止非法用户窃取共享资料,访问共享资料时一定要有授权,也就是需要输入密码。同时也可限定只针对于某些特定用户开放。只有这样,才能保证共享目录资料的安全。其次服务器的远程管理功能虽然方便了我们的使用,但是外网的用户如果也可以访问服务器,就需要格外小心,因为所有的用户都能使用,当然也包含黑客,所以要未雨绸缪,杜绝安全隐患。第一修改默认的3389端口。第二访问者必须取得合法的安全证书才能访问。第三只有取得授权的IP地址才能访问服务器终端。
五、针对IPv6网络的简单防护措施
在校园网络中,一般都使用IPv4的网络,也有使用IPv6的网络。如果使用IPv6网络,那么开篇时所提到的病毒想要传播将变得非常困难,因为IPv6的地址空间实在是太大了。但是,有一些病毒和互联网蠕虫是针对应用层的它还可以传播,同时一些使用电子邮件的病毒也有可能继续传播。另外,IPv6网络中关键主机的安全也需要我们特别关注。因为IPv6中定义组发地址的方式也给给黑客带来了可乘之机。举一个例子,所有DHCP服务器都是IPv6地址FFo5::3,我们在使用过程中向这个地址发布一个IPv6报文,网络中所有的DHCP服务器都可以接收到这个报文,相应的就会产生一些专门攻击这些服务器的拒绝服务攻击。另外不管是IPV4还是IPv6,DNS都是需要使用的,大部分情况下IPv6网络中的DNS服务器很容易成为被黑客看中的关键主机。也就是说,要对整个网络进行详细的侦察不太可能,但是IPv6的网络中,总有会有几台主机的网路名字是大家知道的,那么它们就成为了攻击的对象。我们都知道,IPv6的地址空间实在是太大了,很多IPv6的网络都会使用动态的DNS服务。一旦黑客攻占这台动态DNS服务器,它就可以获取大量的在线IPv6的主机地址。另外IPv6的地址是128位确实很难记忆,网络管理员就会常常使用便于记忆的IPv6地址,这些便于记忆的IPv6地址可能会被编辑成一个类似字典的东西,病毒找到IPv6主机的可能性小,但猜到IPv6主机的可能性会大一些。由于IPv6和IPv4还要同时存在很长一段时间,大部分网络管理员会习惯于在IPv6地址的后32位中存放IPv4的地址,黑客如果按照这个逻辑就可能猜测到在线IPv6的地址。所以,对于关键主机的安全需要特别重视,不然黑客就会从这里入手从而进入整个网络。
使用IPv6网络时要注意以下几点:一是对于关键主机,对IPv6地址的命名要标准规范同时不易被发现。二是对主机的访问使用只能是内部网络,IPv6地址设置要标准规范,供外部使用的主机一律使用随机的IPv6地址。三是屏蔽掉一些网络边界的私有的IPv6地址,不允许这些地址进出网络。四是对于不需要的IPv6服务一律使用防火墙过滤。与IPv4相比,IPv6具有更大的地址空间。并且使用更小的路由表。同时IPv6增加了增强的组播支持以及对流的支持,这使得网络上的多媒体应用有了长足发展的机会,为服务质量控制提供了良好的网络平台。IPv6加入了对自动配置的支持。这是对DHCP协议的改进和扩展,使得网络的管理更加方便和快捷。同时它具有更高的安全性。但是IPv6也存在着很多的不足,我们在以后的使用过程当中要不断地发现并且完善使它更好的服务于校园网络。
六、结语
本文对目前校园网络的安全隐患做了一个简单的分析,并且提出了一些切实可行的防范方法。如果可以做到我们的校园网络将会比现在更加安全。当然本文提到的方法主要是针对外部网络攻击,堡垒往往是从内部攻破的,很多时候源于内部的破坏更多造成的危害更大,所以我们在防范攻击保护系统的时候,一定要做两手准备,这样才能保证校园网安全顺畅的运行。
参考文献:
[1]杨辉.校园网安全问题分析与对策[J].中国现代教育装备,2006,1:5-8
[2]范蓓蕾,范忠礼.IPv6/IPv4灵活转换器的设计.通信世界,2002,3:l6-19
[3]TheIntemet EngiIl咖Took Force.hap://www.1eft.org
[4]罗万明,同宝平.IPv4/IPv6过渡机制的研究与应用[J].计算机工程与应用,2003,25:146—148
[5]王晓峰,吴建平,崔勇.互联网IPv6过渡技术综述[J].小型微型计算机系统,2006,3:385—395
[6]E Nordmark,R Gilligan.Basic Transition Mechanism for IPV6 HostsandRouters[C].IETF RFC 4213,October20O5
作者简介:
余波,(1982-),男,汉族,籍贯河南漯河,职称助教,研究方向:网络安全。
关键词:校园网络;安全防护;IPv6
中图分类号::F241.4 文献标识码:A文章编号:1007-9599 (2010) 11-0000-02
Network Security Protection for the CampusYu Bo
(Luohe Medical College,Luohe462002,China)
Abstract:This paper raised a few simple methods for some problems of the Campus Network Security,including setting access control,inspection system vulnerabilities,set share permissions,trojans and rogue software to strengthen the prevention,preparedness,and the occurrence of unexpected situations for IPv6 network protection.
Keywords:Campus network;Security;IPv6
一、引言
现在许多学校都建立了校园网络并投入使用,目前普遍使用的IPv4网络,但在提高了办公效率、资源得到充分共享的同时,很多网络病毒给校园网也带来了安全隐患。尤其是类似“冲击波”“震荡波”及“蠕虫”之类的病毒,因此网络安全现在变得越来越重要。那么,在现有的条件下做好网络安全,已经成为网络管理人员面临的重要挑战。
二、修补系统漏洞
大部分网络上流行的病毒都是利用系统的漏洞来破坏网络安全。作为网络管理员应该及时发现并修补系统漏洞,并对系统打上相应的补丁。同时在安装配置IIS的时候也需要注意:第一,改变IIS的默认安装路径,将IIS管理器中的主目录安装在其他的逻辑盘。第二,安装IIS成功后,管理员一定要删除由此产生的虚拟目录。第三,在使用IIS的时候,管理员在配置文件类型的时候一定要慎重,尽量做到只保留自己所需要的类型,并且在给目录可执行的权限时也要考虑周全,不要留给黑客可乘之机。
三、设置访问权限
设置访问权限是保护网络安全最基本的措施之一,它的任务就是保证只能通过合法的方式使用和访问网络。用户访问网络需要有用户名和密码,并且得到验证是合法的。并且用户进入网络后,用户只能在其权限内进行操作。什么样的级别具有什么样的权限。这样就保证了网络资源的安全。设置访问权限最简单方便的办法就是用密码保护系统和数据的安全。以此同时在密码的设置上要注意以下问题:第一,禁止空口令的账号存在,特别是网络管理人员一定要对服务器设置密码。第二,必须设置数字和字符组合的长度较长的复合密码。我们都知道在Windows系统中,存在一个SAM文件,它是操作系统的用户账户数据库,所有用户的密码和相关的登录信息都储存在它里面。一旦出现黑客通过非法手段获取到了这个文件,我们的网络安全就有可能面临极大的风险,因为黑客可以利用很多软件来破解SAM文件,并且有不少软件,对于破解5位以下的密码十几分钟就能完成,但是对于6位字符以上的密码,那就视情况而定需要花费黑客很长的时间或者精力。通过以上分析我们可以知道,不管是管理员还是用户在设置密码时最好使用字符、数字、大小写混合的长度较长的密码,这样更有利于我们的网络安全。
四、设置共享的权限
在校内局域网中,管理员和用户经常会在对等网中对计算机中的某个目录进行资源传输和共享。但在一旦设置共享后,那就所有网络上的计算机都有可能访问这个共享目录。可能绝大部分用户都习惯于设置完全共享,这样简单方便,但是网络安全隐患也就随之而来。因此,为了防止非法用户窃取共享资料,访问共享资料时一定要有授权,也就是需要输入密码。同时也可限定只针对于某些特定用户开放。只有这样,才能保证共享目录资料的安全。其次服务器的远程管理功能虽然方便了我们的使用,但是外网的用户如果也可以访问服务器,就需要格外小心,因为所有的用户都能使用,当然也包含黑客,所以要未雨绸缪,杜绝安全隐患。第一修改默认的3389端口。第二访问者必须取得合法的安全证书才能访问。第三只有取得授权的IP地址才能访问服务器终端。
五、针对IPv6网络的简单防护措施
在校园网络中,一般都使用IPv4的网络,也有使用IPv6的网络。如果使用IPv6网络,那么开篇时所提到的病毒想要传播将变得非常困难,因为IPv6的地址空间实在是太大了。但是,有一些病毒和互联网蠕虫是针对应用层的它还可以传播,同时一些使用电子邮件的病毒也有可能继续传播。另外,IPv6网络中关键主机的安全也需要我们特别关注。因为IPv6中定义组发地址的方式也给给黑客带来了可乘之机。举一个例子,所有DHCP服务器都是IPv6地址FFo5::3,我们在使用过程中向这个地址发布一个IPv6报文,网络中所有的DHCP服务器都可以接收到这个报文,相应的就会产生一些专门攻击这些服务器的拒绝服务攻击。另外不管是IPV4还是IPv6,DNS都是需要使用的,大部分情况下IPv6网络中的DNS服务器很容易成为被黑客看中的关键主机。也就是说,要对整个网络进行详细的侦察不太可能,但是IPv6的网络中,总有会有几台主机的网路名字是大家知道的,那么它们就成为了攻击的对象。我们都知道,IPv6的地址空间实在是太大了,很多IPv6的网络都会使用动态的DNS服务。一旦黑客攻占这台动态DNS服务器,它就可以获取大量的在线IPv6的主机地址。另外IPv6的地址是128位确实很难记忆,网络管理员就会常常使用便于记忆的IPv6地址,这些便于记忆的IPv6地址可能会被编辑成一个类似字典的东西,病毒找到IPv6主机的可能性小,但猜到IPv6主机的可能性会大一些。由于IPv6和IPv4还要同时存在很长一段时间,大部分网络管理员会习惯于在IPv6地址的后32位中存放IPv4的地址,黑客如果按照这个逻辑就可能猜测到在线IPv6的地址。所以,对于关键主机的安全需要特别重视,不然黑客就会从这里入手从而进入整个网络。
使用IPv6网络时要注意以下几点:一是对于关键主机,对IPv6地址的命名要标准规范同时不易被发现。二是对主机的访问使用只能是内部网络,IPv6地址设置要标准规范,供外部使用的主机一律使用随机的IPv6地址。三是屏蔽掉一些网络边界的私有的IPv6地址,不允许这些地址进出网络。四是对于不需要的IPv6服务一律使用防火墙过滤。与IPv4相比,IPv6具有更大的地址空间。并且使用更小的路由表。同时IPv6增加了增强的组播支持以及对流的支持,这使得网络上的多媒体应用有了长足发展的机会,为服务质量控制提供了良好的网络平台。IPv6加入了对自动配置的支持。这是对DHCP协议的改进和扩展,使得网络的管理更加方便和快捷。同时它具有更高的安全性。但是IPv6也存在着很多的不足,我们在以后的使用过程当中要不断地发现并且完善使它更好的服务于校园网络。
六、结语
本文对目前校园网络的安全隐患做了一个简单的分析,并且提出了一些切实可行的防范方法。如果可以做到我们的校园网络将会比现在更加安全。当然本文提到的方法主要是针对外部网络攻击,堡垒往往是从内部攻破的,很多时候源于内部的破坏更多造成的危害更大,所以我们在防范攻击保护系统的时候,一定要做两手准备,这样才能保证校园网安全顺畅的运行。
参考文献:
[1]杨辉.校园网安全问题分析与对策[J].中国现代教育装备,2006,1:5-8
[2]范蓓蕾,范忠礼.IPv6/IPv4灵活转换器的设计.通信世界,2002,3:l6-19
[3]TheIntemet EngiIl咖Took Force.hap://www.1eft.org
[4]罗万明,同宝平.IPv4/IPv6过渡机制的研究与应用[J].计算机工程与应用,2003,25:146—148
[5]王晓峰,吴建平,崔勇.互联网IPv6过渡技术综述[J].小型微型计算机系统,2006,3:385—395
[6]E Nordmark,R Gilligan.Basic Transition Mechanism for IPV6 HostsandRouters[C].IETF RFC 4213,October20O5
作者简介:
余波,(1982-),男,汉族,籍贯河南漯河,职称助教,研究方向:网络安全。