一、引言
随着网络的普及和发展,越来越多的内部网和校园网连入了internet,校园计算机网络正在高校及教育系统中发挥越来越大的作用,人们可以通过网络学习新知识,讨论问题,查阅资料等。同时学校可以利用网络进行一些管理和教学工作等。但是不可忽视的安全问题也随之摆在我们面前。如何保证校园网不被攻击和破坏,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。
二、校园网络安全管理
校园网络安全指利用网络管理控制技术措施,保证网络的数据机密性、完整性和可用性。主要目标是确保经网络传输的信息在传输过程中没有任何增加、改变、丢失或非法读取。但是随着黑客攻击手法的改进,出现了许多心得攻击方法,进一步暴露了网络的脆弱性。例如针对网络服务器的拒绝服务式攻击等。现在网络安全管理范围进一步扩大,安全管理也相应地复杂了很多。不仅仅局限于网络建成后的保护措施,也涉及到了网络的设计。较好的网络设计应该保证网络有较好的弹性,能够在数据量很大的时候仍能保证较好的服务质量和稳定性。有了好的网络结构,安全措施的配置和管理便容易了很多。
故现在网络安全主要涉及到了以下几个方面:
1.数据安全:保证重要的数据和信息在传输过程中不丢失、被修改、被窃取。
2.结构安全:保障网络规划合理性,并随着使用过程中出现的问题不断调整和改进,保证网络有较好的弹性和服务质量。
3.信息过滤:阻止反动、黄色的信息在网络中传输。
4.访问安全:保护网络不被非法修改和恶意攻击。
5.软件系统安全:确保系统软件的安全,应使用防病毒技术、备份和恢复技术。
6.操作安全:建立规范管理和良好的管理制度,使各工作人员严格遵守规章制度。尽量防止内部工作人员的过失。
以上的分类只是从不同角度对网络安全作出说明,实际上它们是有交叉点的。
三、网络安全技术
网络安全技术经过多年的发展,现在已经有很多种比较成熟的技术。列举如下:
1.访问控制技术
2.密钥安全技术
3.数字签名及身份认证技术
4.病毒防范技术
5.防火墙技术
6.包过滤路由技术
7.动态口令技术
8.链路加密技术
9.数据备份及恢复技术
10.网络入侵检测技术
以上的几种技术针对不同方面的应用,在实际应用中,往往将上述技术综合使用,进一步增强网络安全。现在流行的网络安全产品也往往综合了以上技术。其中较成熟且广泛应用的有防火墙技术、VPN技术和网络入侵检测技术。但是现在的网络安全也涉及到了网段的划分,其中最重要的虚网(VLAN)划分,划分规划得越好,网络就越安全。因此,在下面将就VLAN,VPN,防火墙在校园网中的应用进行比较。
四、VLAN简介
1.VLAN
虚拟局域网(Virtual LAN)是与具体的物理网络及地理位置无关的LAN,在逻辑上等价于OSI第二层的广播域。每一个VLAN都是一个广播域,通过VLAN划分,可以将一个大的广播网段分成多个小的广播域。VLAN的实质就是广播域控制。它可以不拘泥于机器在网络中的物理位置来划分广播域。允许按照工作站或网段的逻辑归属构成广播域。划分后,原来的较大的LAN就从逻辑上形成了多个小的虚拟的LAN。
2.VLAN构建方法
(1)基于端口:
允许跨越多个交换机的多个端口划分,不同交换机的不同端口可以组成VLAN。
(2)基于MAC地址
由于和MAC地址相关,用户的机器可以在VLAN范围内不同物理地域自由移动。
(3)基于IP地址
类似于2,用户的用户的机器可以在VLAN范围内不同物理地域自由移动而不用重新配置。
(4)基于IP多播组
指以动态建立的多点广播确定VLAN,每一站点通过对标示不同VLAN的广播信息的确认来决定是否加入某一VLAN。它代表一组IP地址。VLAN由作为代理的设备对VLAN进行管理,提供服务。当IP多播帧要送达多个站点时,就动态建立VLAN代理,这个代理与多个IP共同组成这个VLAN,她提供了很高的动态性能,每个成员只是特定时间内特定IP多播组的成员。并且IP多播组可跨越路由器形成WAN连接。
IP多点广播组定义的VLAN具有灵活性和面向应用的特点,可以跨越路由在WAN 上实现,缺点是VLAN的安全性降低。
(5)基于管理策略
这是一种灵活性最好的组成VLAN的方法,在网络管理中制定某种策略,使用这种策略向VLAN分配端点设备,能够实现多种分配方法,还可以根据需要灵活选择合适的方法。分为基于协议的VLAN和基于子网的VLAN 。
3.VLAN 的优点
(1)容易对IP网络进行改动。
(2)能够阻止广播风暴。
(3)提供额外的安全性:
由于只能够在VLAN内广播,不同VALN 互相不干扰。因此如果将同一部门划分为一个VLAN内,局域网的广播信息不会泄露。如果不同VALN 互相通信,必须通过路由。
五、VPN简介
虚拟专用网(VPN)可以是VLAN和远程工作站的集成体,是一种优秀的Extranet解决方鞍,应用隧道技术,通过ISP、NSP建立专用隧道,规范点到点连接。
它的基本原理就是:一、采用“隧道”技术在公用网络中形成企业的专用链路;二、是虚拟的网,没有固定的物理连接,网络只有在需要是在建立。
通俗一点的说:就是通过加密的IP隧道,实现私有包、其他网络协议包在internet上的传输,从而实现位于WAN上的不同LAN 的各种协议的虚拟连接,将公众网可靠的性能,丰富的功能与专用网的灵活、高效结合在一起,是介于公众网与专用网之间的一种网。它具有成本低、便于管理、开销小、灵活度高、保密性好的优点。
为了创建VPN,必须使用如下技术:
1、隧道技术
2、加解密技术
3、密钥管理技术
4、使用者与设备身份认证技术
根据隧道协议不同,可将VPN分成第二层和第三层的VPN。
第二层隧道协议:工作方式是先把各种协议数据装入PPP协议包中,再装入隧道协议中,这种封装形成的协议靠第二层传输。
1、L2F:支持信道认证。工作于帧中继和ATM。可对隧道终点进行身份认证
2、L2TP:是PPTP和L2F的结合。可支持多种协议(如:PPP协议)。在终点间进行IPSEC加密。还支持单用户多隧道。相对于其他2种隧道协议,它提供拉流量控制和差错控制。使用UDP封装和PPP传输。
3、PPTP:使用基于PPP的加密机制,既MPPE机制,可以进行加密和身份认证。不对隧道终点进行身份认证。
第三层隧道协议:工作方式是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
1、IPSEC:只支持IP协议的封装。使用IPSEC加密机制,可以进行加密和数字签名方法。比MPPE更可靠,它包括查验、加密和数据完整性。还有它的查验和安全性功能与它的密钥管理系统松散藕和。使用AH和ESP协议来提供数据流量的安全性。
2、SOCKS:运行于TCP层。
3、VTP协议
六、防火墙简介
防火墙是非常有效的网络安全模型。它防止来自internet的危险传播到内部网络,它主要实现:
? 限定人们从一个特别控制的点进入;
? 防止侵袭者接近你的其他防御措施;
? 限定人们从一个控制的点离开。
它常常被安置在受保护的内部网络连接到internet的点上,将内部网络
与internet隔离开。所有来自internet的传输信息或从内部网络发出的传输信息都要穿过防火墙,因此防火墙可以分析这些传输信息,通过检查、筛选、过滤和屏蔽信息流中的有害服务,防止对计算机系统进行蓄意破坏,以确保它们符合节点设定的安全策略。
类型:
1.包过滤防火墙
安装于路由器上,对数据包进行检查。简单、方便、速度快。但缺乏日志、审计信息和用户认证机制。
2.代理服务器防火墙
在主机上运行代理服务,对特定的应用层进行服务。其核心是运行于防火墙主机上的服务器进程。
3.电路层网关
在网络的传输层上实施访问策略,是在内、外网络主机之间建立一个虚拟电路进行通信。相当于在防火墙上直接开了个口子进行传输。不象应用层防火墙那样能严密控制应用层的信息。
4.混合型防火墙
把代理和包过滤等功能结合在一起。形成新的防火墙。所用主机称为堡垒主机,负责代理服务。
5.应用级网关
使用专用软件转发和顾虑特定的应用服务。如TELNET、FTP服务。这是一种代理服务。适合于应用层。有一个高层的应用网关做代理器。通常有专门的硬件来完成。
6.自适应代理技术
是最新的防火墙技术。在一定程度上反映了防火墙目前的发展动态。该技术可以根据用户定义的策略。动态适应传送过程的的分组流量。如果安全要求较高,则安全检查应在应用层完成,以保证代理防火墙的最大安全性。一旦代理明确了绘画的所有细节,其后的数据包就可以直接经速度快的多的网络层传送。该技术兼备了代理技术的安全性和其他技术的高效率。
7.几种防火墙得比较
防火墙得发展趋势:
1.动态包过滤
2.内核透明代理
3.用户强认证机制
4.加密技术
5.智能日志、审计跟踪和实时报警
6.内容和策略感知能力
7.内部信息隐蔽技术
七、应用和比较
以上三种技术应用于网络安全的不同方面。
VLAN侧重于网络的结构安全和网络的服务质量(QOS),它能增加网络的安全性,能够依照某种安全策略,把一些重要的成员(如数据库、学校办公服务器等)划到相应的VLAN 中,使网络的相关部分得到保护。网管人员能够以较高的精确度来确定访问网络服务的途径。在交换到桌面的结构中可以形成特别有效的限制非授权
