基于校园网的网络安全系统研究与设计

甘肃政法学院

“挑战杯”论文（设计）

题 目 基于校园网的网络安全系统研究与设计

计算机科学学院计算机科学与技术专业10级 计本 班

学 号： 201081010137 姓 名： 杨青虎 指导教师： 安德智 完成时间： 2011 年 12 月

目录

引言 ......................................................................................................................... 1 第一章 系统安全 ................................................................................................... 2

1.1 反病毒技术 ........................................................................................................ 2 1.2入情监测技术 ..................................................................................................... 2 1.3审计监控技术 ..................................................................................................... 2 第二章 网络运行安全 ........................................................................................... 3 第三章 内部网络安全 ........................................................................................... 3

3.1访问控制 ............................................................................................................. 3 3.2网络安全检测 ..................................................................................................... 3 第四章 防火墙技术与入侵检测系统的比较 ....................................................... 4 第五章 联动模型的安全策略 ............................................................................... 8 第六章 校园网络安全防御系统的实现 ............................................................... 9 6.1入侵检测系统控制信息生成模块 ..................................................................... 9 6.2入侵检测系统和防火墙通讯模块 ................................................................... 10 6.3防火墙动态规则处理模块 ............................................................................... 10 6.4校园网安全防御措施 ....................................................................................... 10 第七章 小结 ......................................................................................................... 12 参考文献 ............................................................................................................... 12

1

基于校园网的网络安全系统研究与设计

摘 要：传统模式的校园网络安全依靠单一的网络防火墙和防病毒软件构建的二

层防护体系来实现。随着网络攻击手段的提高，二层防护体系已经很难适应当前的校园网。本文在比较了防火墙和入侵检测系统各自的区别和联系的基础上，提出一种将入侵检测与防火墙结合起来互动运行的校园网络安全防御系统的解决方案，在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。

关键词：校园网;入侵检测;防火墙; 网络安全; 系统安全;网络运行安全; 内部网络

安全

Research and Design of Campus-Based Network Security System

(Computer School of Gansu Institute of Political Science and Law, Lanzhou, 730070)

Abstract:The traditional security mode of campus network is realized through the dual system of firewall and anti-virus software. However, with the development of network attack means, it has become barely useful to deal with all the problems. The article, made comparison between the firewall and intrusion detection in respect to their respective differences and connections, puts forth with a solution which combines the above ways and enables to improve the security and management of campus network without greatly increasing the cost of the operation.

Key words: Campus network; Intrusion detection; Firewall; network security

2

引言

随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。正如人们经常所说的：网络的生命在于其安全性。因此，如何在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。

互联网的迅速普及和国内各高校网络建设的不断发展，各大中专院校及中小学相继建成或正在建设校园网。校园网的建成，使学校实现了管理网络化和教学手段现代化，这对于提高学校的管理水平和教学质量具有分重要的意义。但随着黑客的入侵增多及网络病毒的泛滥，校园网的安全已成为不容忽视的问题，数据的安全性和学校自身的利益受到了严重的威胁。因此，能否保证计算机和网络系统的安全和正常运行便成为校园网络管理所面临的一个重要的问题。

校园网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一个能够一劳永逸地防范任何攻击的完美系统，这样的系统客观上是不存在的。我们力图建立的是一个网络安全的动态防护体系，是动态加静态的防御，是被动加主动的防御甚至抗击，是管理加技术的完整安全观念[1]。

网络安全主要是网络信息系统的安全性，包括系统安全、网络运行安全和内部网络安全。

1

第一章 系统安全

系统安全包括主机和服务器的运行安全，主要措施有反病毒。入侵检测、审计分析等技术。

1.1 反病毒技术

反病毒技术：计算机病毒是引起计算机故障、破坏计算机数据的程序，它能够传染其它程序，并进行自我复制，特别是要网络环境下，计算机病毒有着不可估量的威胁性和破坏力，因此对计算机病毒的防范是校园网络安全建设的一个重要环节，具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测，或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控，效果不错。

1.2入情监测技术

入侵检测：入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，以提高系统管理员的安全管理能力，及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件，主要功能有：检测并分析用户和系统的活动；检查系统的配置和操作系统的日志；发现漏洞、统计分析异常行为等等。

1.3审计监控技术

审计监控技术：审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集、积聚和分析，有选择性地对其中的某些站点或用户进行审计跟踪，可以及早发现可能产生的破坏性行为。

因此，除使用一般的网管软件系统监控管理系统外，还应使用目前已较为成熟的网络监控设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

2

第二章 网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外，还要有备份与恢复等应急措施来保证网络受到攻击后，能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文件，这种备份是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件。 根据备份的存储媒介不同，有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中，只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放，具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装。其特点是便于保管，用以弥补了热备份的一些不足。进行备份的过程中，常使用备份软件，如GHOST等。

第三章 内部网络安全

为了保证局域网安全，内网和外网最好进行访问隔离，常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测，以增强机构内部网的安全性。

3.1访问控制

访问控制：在内外网隔离及访问系统中，采用防火墙技术是目前保护内部网安全的最主要的，同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。其基本功能有：过滤进、出的数据；管理进、出网络的访问行为；封堵某些禁止的业务等。应该强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。

3.2网络安全检测

网络安全检测：保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析，用实践性的方法扫描分析网络系统，检查报告系存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。

漏洞扫描系统是一种系统安全评估技术，具体包括网络模拟攻击、漏洞测

3

试、报告服务进程、以及评测风险，提供安全建议和改进措施等功能。定期或不定期对一些关键设备和系统(网络、操作系统、主干交换机、路由器、重要服务器、防火墙和应用程序)进行漏洞扫描，对这些设备和系统的安全情况进行评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。

漏洞扫描系统性能应具备：扫描项目覆盖网络层、应用层和各种网络服务；扫描对象应覆盖所有的IP设备和服务（包括路由器、NT服务器、UNIX服务器、防火墙等）；大容量的漏洞特征库；执行扫描时不会对扫描对象的系统产生影响；对网络的数据包传输不产生明显的延迟；较低的误报率等。

第四章 防火墙技术与入侵检测系统的比较

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。防火墙[2]是实施访问控制策略的系统，对流经网络的流量进行检查并拦截不符合安全策略的数据包。然而，防火墙作为目前保护网络免遭黑客袭击的有效手段，也存在着明显的不足之处：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击等。火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

数据包过滤：

数据包过滤（Packet Filtering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（Access Control Table）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应用级网关：

应用级网关（Application Level Gateways）是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运 行状态，这有利于实施非法访问和攻击。

代理服务：

4

代理服务（Proxy Service）也称链路级网关或TCP通道（Circuit Level Gateways or TCP Tunnels）， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

对于入侵检测系统（IDS,Intrusion Detection System）[2]而言，它通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。虽然它能够帮助人们确切了解问题所在，但绝大多数入侵检测系统只能在攻击发生时被动发出警报。

很多人了解安装在汽车上的防盗警报系统的功能和作用，那也就不难理解我在这里所讲的入侵检测系统了，事实上入侵检测系统就是“计算机和网络为防止网小偷安装的警报系统”。入侵检测系统根据工作的重点不同，可分为基于主机的入侵检测系统和基于网络的入侵检测系统。入侵检测系统构成一般分为，两个部分一个部分是检测的部分（Sensor），一部分是处理报警结果的控制台。不同的入侵检测的构成也不太一样大致都具有控制台和Sensor两个基本部分，基于主机的入侵检测多半在主机上安装一个代理程序来收集系统信息向Sensor汇报。下面我们看一下入侵检测系统的作用。

入侵检测系统的作用：

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测系统的检测信息来源：

入侵检测系统的检测信息来源都是通过自身的检测部分Sensor 得到的。 基于网络的入侵检测，主要是通过对网络数据包的截取分析，来查找具有攻击特性和不良企图的数据包的。在网络里基于网络的入侵检测系统的检测部分Sensor 一般被布置在一个交换机的镜象端口（或者一个普通的HUB任意端口），听取流经网络的所有数据包，查找匹配的包，来得到入侵的信息源。

基于主机的入侵检测系统的Sensor 不可能直接从系统内部获取信息的，它是要通过一个事先做好的代理程序，安装在需要检测的主机里的，这些代理程序主要收集系统和网络日志文件，目录和文件中的不期望的改变，程序执行中的不期望行为，物理形式的入侵信息。

典型应用说明

入侵检测系统和防火墙一样对于每一个网络都是非常需要的，但是根据网络的规模大小不同布置也稍有不同，以下是两个规模不同的网络的典型应用。

简单的小的OA系统入侵检测的简单应用，在这个网络里，有企业的应用服务器，文件服务器和WEB MAIL 等等，网络结构如下。

5

图4.1 网络结构图

无任何安全设施前的网络结构考虑安全，安装入侵检测系统的网络。基于网络的入侵检测系统的检测端Sensor一般被布置在网络的核心交换机，或者部门交换的交换机的镜象端口（采取把Sensor 放在核心交换机器的镜像端口还是部门交换机的镜像端口，主要由网络的流量和客户机的数量，以及入侵检测的处理能力和网络发生攻击的频繁程度来定的）在网管的机器上，安装上入侵检测系统的控制台，做报警处理，在重要的服务器或者有必要的客户端安装代理程序收集系统和网络日志等系统信息，寻找具有攻击特性的数据包。技术人员对来自主机的和网络的检测信息进行分析和监控。

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。

图4.2 入侵检测系统结构图

6

表4.1 防火墙和入侵检测

比较项目 设备类型 流量处理机制 受检报文操作 防火墙 多穴主机，数据转发 过滤 大量的读写操作，需要修改各层报文的头或内容 入侵检测准确性 只对流量作普遍检查，有漏报、误报 入侵行为处理 访问日志记录 应用层内容恢复 拒绝、报警、日志记录 只作条目式记录 不提供应用层内容恢复，但可以根据此进行过滤和替换 网络层以下各协议的支持 必须支持所有网络层以下的协议方能维持原有网络的正常运作 内置入侵知识库可提供准确的判断。识别、漏报、误报率低于防火墙 报警、日志记录和有限的反击 对访问资源、报文内容做详细记录 能完全恢复出应用层的信息，对网络流量进行全程监视和记录 无此要求 入侵检测系统 数据采集分析设备 无处理 作简单的拷贝，不修改原来报文 3、防火墙是根据策略对数据报在进入内部网络之前进行过滤，故把入侵行为排除在外；而入侵检测系统是对绕过防火墙进入内部的数据报进行分析和监视，是对进入网络内部或正在发生的入侵进行检测与阻止。

4、防火墙只对数据报的地址、协议、端口号进行检查，而入侵检测需要对数据报的内容进行检查。

综合防火墙与入侵检测系统的优势与不足可以看出，从功能分工上来看，有效抵御入侵的理想方式就是把防火墙和IDS的功能有机地组合在一起。这样，入侵检测系统能够弥补防火墙的不足，对过往流量进行入侵检测，一旦发现入侵后不仅发出报警，同时还进行实时阻断，为受保护网络提供有效的入侵检测及相应的防护手段。因此，防火墙和入侵检测系统之间十分适合建立紧密的联动关系，以将两者的能力充分发挥出来，相互弥补不足，互相提供保护。进一步地，从信息安全整体防御的角度出发，这种联动是十分必要的，极大地提高了网络安全体系的防护能力。其联动模型如图4.3所示。

图4.3 联动模型

7

第五章 联动模型的安全策略

随着Internet的迅速发展和应用的普及，计算机网络已经深入教育、政府、商业、军事等各行各业，象电话、交通、水、电一样，成为社会重要的基础设施。如果计算机网络的安全可靠运行受到威胁，将会影响人们的工作、学习和生活。然而不幸的是，近年来大规模的网络安全事件接连发生，互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致的泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致世界性的互联网瘫痪，造成的经济损失无法估计。网络安全引起世界各国的关注，政府、企业和研究机构等各领域的组织都对网络安全投入了大量的人力物力；但是目前我们面临的威胁让人不容乐观。 安全策略是指一个特定环境中，为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么，制定恰当的满足需求的策略方案，然后才考虑技术上如何实施。

防火墙是保证安全的最基本方式。防火墙可以按照需要来阻断或允许网络通信。入侵检测系统不能充当防火墙的替代品。入侵检测技术的基本功能是监视内部网络的流量，并对识别到的重要攻击特征进行警报。

一种较为容易实现的策略是在防火墙遭受攻击时让入侵检测系统重新配置防火墙。例如入侵检测系统和防火墙通信并让它自动地关掉端口或禁止主机。防火墙是减少扫描威胁的最有效的方式。入侵检测系统可以帮助探测和阻碍主机扫描。但是入侵检测系统主要是监控内部网络传输，而不能作为防火墙来保护网络。这是因为防火墙作为集中点，能够拦截或允许进出通信。有防火墙的地方，可以有效地使用一个系统去保护系统免受扫描、嗅探和拒绝服务攻击（Dos）。

这种策略不仅可以保护校园免受外界攻击也可以对校园网内部的网络通信进行检测，并发出警报或采取相应的主动行为。

互联网的自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，互联网的设计之初没有充分考虑安全威胁，因为最初的互联网只是用于少数可信的用户群体。许多的网络协议和应用没有提供必要的安全服务，比如电子邮件使用的协议SMTP没有提供认证机制，曾经是导致垃圾邮件泛滥的重要原因，远程登录使用的telnet协议明文传输用户名和口令等，而且IP网络也不提供任何服务质量控制机制，导致目前在大规模拒绝服务攻击面前几乎无能为力。互联网和所连接的计算机系统在实现阶段也留下了大量安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞也越来越多。特别是由于市场竞争，一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场，留下了大量的安全隐患，如缓冲区溢出。在互联网和系统的维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口令是大量攻击成功的原因之一。

8

第六章 校园网络安全防御系统的实现

校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色,能够安全有效的对教育网络带宽进行调度和分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用,校园网网络安全

[10]

体系

结构起着至关重要的作用。因此,随着校园网规模的不断扩大,如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。

众所周知，专用的入侵检测设备一般是监听网络进出口处的信息，不是串接在其中，不能保证能够切断检测出来的攻击。只有将入侵检测和防火墙结合才能够保证网络不受攻击。入侵检测系统与防火墙联动实现的过程如图6.1所示。互联网上的黑客开始对受保护网络内的主机发动攻击，这时位于网络出口处监听的入侵检测系统检测到黑客对内网主机的攻击行为后，入侵检测系统通过它与防火墙之间的“公共语言”发送通知报文通知防火墙，防火墙收到并验证报文后生成动态规则实现对攻击行为的控制和阻断[5]。

图6.1 入侵检测系统与防火墙联动实现

该系统主要包括的模块有：

6.1入侵检测系统控制信息生成模块

控制信息生成模块的主要任务是将接受到的探测器发来的危险警报进行整理，提取出相关信息，生成特定的控制信息，然后对控制信息进行加密处理，并向防火墙端通讯模块发送事件消息。

入侵检测系统用于网络和系统的实时安全监控，对来自内部和外部的非法入侵行为做到及时响应、告警和记录，以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流，根据在入侵检测系统上配置的安全策略（入侵模式），识别、记录入侵和破坏性的代码流，寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络安全检测系统的预警子系统能够根据系统安全策略作出反映，并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。

入侵检测系统运行于需要保护的有敏感数据的网络上，即存贮和处理重要数据的服务器或防火墙附近，以检测关键部位的数据流，防范非法访问行为，对非 法网络行为的审计、监测及安全监控，并实现与防火墙的联动进行动态保护。入侵检测系统由控制中心和探测引擎（网络的、主机的）组成，控制中心作为

9

系统的管理和配置工具，编辑、修改和分发各网络探测引擎、子控制中心的策略定义，更新各探测引擎的入侵模式特证库，接收所有探测引擎的实时报警信息。控制中心与各探测引擎间的信息交换通过加密方式进行。

6.2入侵检测系统和防火墙通讯模块

我们采用了通过开放联动接口来实现防火墙与入侵检测系统的联动。通信双方可以事先约定并设定通信端口，并且相互正确配置对方IP地址，防火墙以服务端的模式来运行，入侵检测系统以客户端的模式来运行。

具体实现方式是，配置网络入侵检测系统的安全策略，选择响应对象为防火墙，同时指定防火墙的地址及认证密钥，由入侵检测系统向防火墙发起连接。建立正常连接后，当入侵检侧系统产生需要通知防火墙的安全事件时，通过发送控制信息生成模块所产生的加密的约定格式的数据包，传递必要的互动信息。

6.3防火墙动态规则处理模块

防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统（可能是软件或硬件或者是两者并用）用来限制外部非法（未经许可）。用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入，防止偷窃或起破坏作用的恶意攻击。 当防火墙接到从入侵检测系统发来的控制信息后，首先需要对控制信息报的身份进行验证，当确认此信息报是来自于信任的入侵检测系统则接受处理，否则将该信息报丢弃。对于接受处理的信息报，按照和入侵检测系统事先约定好的密钥对控制信息进行解密，按照此信息报生成动态规则。防火墙需要制定一定的安全策略，联动处理的动态规则有一定的生命周期，当时间到达后自动删除动态规则，重点要考虑到添加规则的数量和生命周期的设置。规则数量过多将导致防火墙和入侵检测系统的性能下降，产生某种程度的拒绝服务攻击。

动态规则链的设置规则有以下几点组成： ⑴将动态规则链插入到防火墙检测规则链中，保证防火墙检测规则模块优先检查动态规则链。

⑵当新加入动态规则时，检查是否达到了规则链的上限，在这里我们设置动态规则链的数量是8条，当新规则到来时超出了规则上限，我们替换规则链上距离超时时间最近的规则。

⑶采用多线程技术，检查动态规则链中的规则是否超时。当超时后，自动删除规则。

6.4校园网安全防御措施

网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理, 制定有关的规章制度,对于确保网络

10

安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

１．防火墙设置

防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络

[12]

之间执行访问控制策略，决定哪些内部站点允许外界访问和允许

访问外界，从而保护内部网免受外部非法用户的入侵。设计防火墙的目的就是不让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如LAN或WAN

[13]

，而仍能允许本地网络上的你以及其他用户访问因特网服务。大

多数防火墙就是一些路由器,它们根据数据报的源地址、目的地址、更高级的协议，专用标准或安全策略来过滤进入网络的数据报。 ２．采用入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术

[14]

。在入侵检测系统中利用审计记录，入侵检测系统能够识

别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。 ３．漏洞扫描系统

基于网络系统漏洞库,漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等，这些扫描通过使用插件（功能模块技术）进行模拟攻击，测试出目标主机的漏洞信息。

解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。 ４．网络病毒的防范

在网络环境下，病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网（校园网络）的全方位防病毒产品。校园网络是内部局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件,防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应

的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自

11

动升级，使校园网络免受病毒的侵袭。

操作系统、数据库管理系统、WEB服务器等应用服务软件，以及防火墙、入侵检测等安全产品的本身都具有审计功能，将这些审计功能整合到跨平台的统一的综合审计平台，实现全方位集中的网络系统安全审计，会大大地提高安全监察效率。综合审计系统支持分布式的数据审计与预警；能从各种服务器自动收集系统事件；具备完整的网络日志功能，详细记载每个用户的网络访问行为，包括用户操作的时间、用户名、操作结果以及名称和路径；完善的自我保护能力，保证审计系统和安全日志文件的完整性；具有智能化的分析能力，向管理员提供一些可能的安全隐患的警告信息，帮助系统管理员对系统的安全管理。

第七章 小结

在本文所提出来的将静态技术的代表防火墙与动态技术的代表入侵检测系统结合互动的使用，并不仅指将两个系统设定统一的标准接口后简单的物理结合，而是将两个系统各自的、特长的功能展现在新系统中，将动态安全技术的实时、快速、自适应的特点成为静态技术的有效补充，将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。

当然，我们也应当看到，防火墙与入侵检测系统互动技术的实施只是初步实现了防护、检测与响应三者之间的一种简单的协作和体系防护功能。这并不能说明这样一个安全体系就能在现实网络环境中发挥完善的防护效果。正如防火墙不可能百分之百可靠一样，入侵检测系统自身也不能具有较防火墙更高的可靠性。但可以确信的是，在这样一个互助互补的安全体系之下网络一定将更安全。

参考文献

[1]乐光学.Internet/Intranet网络安全技术及安全机制的建设[J].黑龙江省佳木斯大学学报自然科学版,2002,3:43-47.

[2][美]Chris Hare Karanjit siyan.Internet防火墙与网络安全[M].北京机械工业出版社,1998. [3]胡征兵,苏军.入侵防护技术综述[J].微型电脑应用.2005.11:30-31. [4]刘宝旭.许榕生等.黑客防范技术揭密[M].北京机械工业出版社,2001.

[5]张兴东,胡华平,况晓辉等.防火墙与入侵检测系统联动的研究与发现[J]. 山东计算机工程学,2004,26(4):23-24.

[6]局域网组建与维护[M].北京人民邮电出版社,2003.05

[7]黄伟.电脑上网从入门到精通.北京航空工业出版社,2000.08 [8]现代远程教育[J].湖南人民出版社,2005.07

[9]郭听; 王建华 基于移动Agent的校园网络安全管理模型 哈尔滨师范大学自然科学学报 2006.12

[10]杜鹏飞 校园网络安全管理探析[J] 杜鹏飞 网络安全技术与应用[M] 2007.01

[11]罗传军; 柴晟; 赵仕伟 基于802.1x认证的校园网安全管理应用赵仕 伟 四川成都航空职业技术学院学报 2007.03

[12]高良诚 基于DHCP技术的校园网安全管理 安徽省池州师专学报 2007.06

12