论文部分内容阅读
简要论述了园区网络安全的表现形式,影响网络安全的主要因素,以及如加强网络安全管理,主要分析了ARP攻击。
一、园区网络安全的表现形式
1.不良信息的传播:在园区网接入Internet后,师生都可以通过园区网络在自己的机器上进入Internet。而Internet上各种信息良莠不齐,色情、暴力、邪教内容泛滥,如果控制不好,对学校各社会造成很大的影响。
2. 病毒的危害:病毒可以通过电子邮件、软件下载、文件服务等侵入网络内部,它们动辄删除、修改文件,导致程序运行错误、死机,网络的普及为病毒检测与消除带来很大的难度,成为园区网络安全发展的一大公害,尤其是在局域网中流行的ARP病毒,使得园区网内部防不胜防。
3.非法访问:学校来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案,更有甚者,可能在考前获得考试内容并散布,严重地破坏了学校的管理秩序。
4.恶意破坏:这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、计算机等,它们分布在整个校园内,管理起来非常困难,有些人员可能出于各种目的,有意或无意地将它们损坏,造成园区网络全部或部分瘫痪。另一方面是黑客技术对园区网络系统的破坏,主要表现在以下几个方面:对学校网站的主页进行修改;破坏学校整体形象;利用黑客软件向服务器发送大量信息垃圾使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息使邮件服务器不能正常工作等。
5. 盗用IP地址:为管理方便,每台工作站都有专用的IP地址并禁止非授权IP工作站连入互连网络,有些人员为达到访问Internet的目的,私自配置IP或盗用已有帐户的IP,造成IP管理混乱。
二、威胁园区网络安全的因素
1.技术因素:目前的园区网络大都是利用Internet技术构建的,是完全非赢利性的信息共享载体,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,众多的服务器、浏览器、一些应用软件等等都被发现过存在安全隐患。另外,园区网上没有采取正确的安全策略和安全机制,也是威胁网络安全的重要因素。
2.使用者因素:园区网络是以用户为中心的系统,管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。
三、加强园区网络安全管理的措施
1.技术保证。目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、入侵检测机制、身份验证、存取控制、数据的完整性控制和安全协议等内容,针对园区网来说,我们觉得最主要应该采取以下一些技术措施:
(1)运用包过滤器和防火墙。过滤器技术可以对网上色情、暴力和邪教等内容有强大的堵截功能,防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换IP防假冒、预警模块、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,保护园区网络不受未经授权的第三方侵入。
(2)运用VLAN技术、提高网络的私密性。对于园区网络可以运用VLAN技术来加强内部网络管理,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
(3)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在园区网上传播,这些软件应支持所有的主流平台,用户上网时加强防病毒意识,单机要加装防病毒软件、防火墙,并及时进行病毒库的更新。
(4)系统保证。网上大部分攻击是针对服务器系统的,如电子邮件、匿名FTP、WWW、Apache、oracle等服务系统,针对系统本身存在的一些漏洞,一方面,网络系统管理员可应用一些工具,把漏洞查找定位,进行防范;另一方面,及时升级安装补丁程序或采用最新版本的服务方软件。
2.网络的管理:这种管理对用户和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全,网管人员还需要建立与维护完整的网络用户数据库,严格系统日志管理,对网络用户和服务帐号进行精确的控制,定时对园区网系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。
四、ARP攻击防范分析
1. ARP原理分析:ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议对网络安全具有重要的意义。在园区网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
2. ARP攻击的防治:(1)使用静态缓存,在操作系统中,设置ARP静态映射,当然设置静态ARP缓存表只能防范ARP请求其骗,无法防范ARP应答欺骗。而且当某一个主机拥有的物理地址更换的时候,需要全部重新定义静态缓存。(2)交换机端口绑定,每个端口和一个固定的MAC地址绑定,优点基本同使用静态缓存,但是只是具有网管功能的交换机才可以,工作量大。(3)使用ARP代理服务器,在服务器上配置所有MAC地址和IP的映射表,同时将其它主机和ARP响应设置为只响应来自ARP代理服务器的应答。(4)可以通过防火墙和修改系统的IP策略,拒收ICMP重定向報文。(5)建立虚拟局域网。在交换机上设置虚拟局域网,在虚拟局域网的端口上设置广播隔离防止ARP。
一、园区网络安全的表现形式
1.不良信息的传播:在园区网接入Internet后,师生都可以通过园区网络在自己的机器上进入Internet。而Internet上各种信息良莠不齐,色情、暴力、邪教内容泛滥,如果控制不好,对学校各社会造成很大的影响。
2. 病毒的危害:病毒可以通过电子邮件、软件下载、文件服务等侵入网络内部,它们动辄删除、修改文件,导致程序运行错误、死机,网络的普及为病毒检测与消除带来很大的难度,成为园区网络安全发展的一大公害,尤其是在局域网中流行的ARP病毒,使得园区网内部防不胜防。
3.非法访问:学校来自外部的非法访问的可能性要少一些,关键是内部的非法访问。一些学生可能会通过非正常的手段获得习题的答案,更有甚者,可能在考前获得考试内容并散布,严重地破坏了学校的管理秩序。
4.恶意破坏:这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、计算机等,它们分布在整个校园内,管理起来非常困难,有些人员可能出于各种目的,有意或无意地将它们损坏,造成园区网络全部或部分瘫痪。另一方面是黑客技术对园区网络系统的破坏,主要表现在以下几个方面:对学校网站的主页进行修改;破坏学校整体形象;利用黑客软件向服务器发送大量信息垃圾使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息使邮件服务器不能正常工作等。
5. 盗用IP地址:为管理方便,每台工作站都有专用的IP地址并禁止非授权IP工作站连入互连网络,有些人员为达到访问Internet的目的,私自配置IP或盗用已有帐户的IP,造成IP管理混乱。
二、威胁园区网络安全的因素
1.技术因素:目前的园区网络大都是利用Internet技术构建的,是完全非赢利性的信息共享载体,因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免地存在,比如我们常用的操作系统,众多的服务器、浏览器、一些应用软件等等都被发现过存在安全隐患。另外,园区网上没有采取正确的安全策略和安全机制,也是威胁网络安全的重要因素。
2.使用者因素:园区网络是以用户为中心的系统,管理人员可以通过对用户的权限分配,限定用户的某些行为,以避免故意的或非故意的某些破坏。
三、加强园区网络安全管理的措施
1.技术保证。目前,网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、入侵检测机制、身份验证、存取控制、数据的完整性控制和安全协议等内容,针对园区网来说,我们觉得最主要应该采取以下一些技术措施:
(1)运用包过滤器和防火墙。过滤器技术可以对网上色情、暴力和邪教等内容有强大的堵截功能,防火墙技术包含了动态的封包过滤、应用代理服务、用户认证、网络地址转换IP防假冒、预警模块、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,保护园区网络不受未经授权的第三方侵入。
(2)运用VLAN技术、提高网络的私密性。对于园区网络可以运用VLAN技术来加强内部网络管理,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
(3)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在园区网上传播,这些软件应支持所有的主流平台,用户上网时加强防病毒意识,单机要加装防病毒软件、防火墙,并及时进行病毒库的更新。
(4)系统保证。网上大部分攻击是针对服务器系统的,如电子邮件、匿名FTP、WWW、Apache、oracle等服务系统,针对系统本身存在的一些漏洞,一方面,网络系统管理员可应用一些工具,把漏洞查找定位,进行防范;另一方面,及时升级安装补丁程序或采用最新版本的服务方软件。
2.网络的管理:这种管理对用户和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全,网管人员还需要建立与维护完整的网络用户数据库,严格系统日志管理,对网络用户和服务帐号进行精确的控制,定时对园区网系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统。
四、ARP攻击防范分析
1. ARP原理分析:ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议对网络安全具有重要的意义。在园区网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
2. ARP攻击的防治:(1)使用静态缓存,在操作系统中,设置ARP静态映射,当然设置静态ARP缓存表只能防范ARP请求其骗,无法防范ARP应答欺骗。而且当某一个主机拥有的物理地址更换的时候,需要全部重新定义静态缓存。(2)交换机端口绑定,每个端口和一个固定的MAC地址绑定,优点基本同使用静态缓存,但是只是具有网管功能的交换机才可以,工作量大。(3)使用ARP代理服务器,在服务器上配置所有MAC地址和IP的映射表,同时将其它主机和ARP响应设置为只响应来自ARP代理服务器的应答。(4)可以通过防火墙和修改系统的IP策略,拒收ICMP重定向報文。(5)建立虚拟局域网。在交换机上设置虚拟局域网,在虚拟局域网的端口上设置广播隔离防止ARP。