论文部分内容阅读
摘 要:本文在分析中职校园网络安全隐患的基础上,提出了确保校园网络安全的解决方案,并重点就如何设置路由器防范拒绝服务(DoS)攻击进行了阐述,以达到硬件防火墙的效果,从而提高校园网络的安全性。
关键词:中职;校园网络;安全隐患;路由器设置
随着网络技术和internet的发展,各中职学校都建立了自己的校园网络,校园网为教师和学生的工作、学习、交流提供了许多方便,改变了传统的教学和学习方式。在中职学校,尤其是办学规模较小、经济情况较弱的学校,校园网络的构建本身存在一些缺陷,如许多学校没有购置防火墙设备。在硬件条件有限的情况下,如何搞好校园网络的安全与管理、提高校园网络运行能力是十分值得校园网管理员探讨的问题。
一、校园网的安全隐患
探讨校园网络安全首先要分析校园网络存在哪些方面的安全隐患及来源特点,笔者认为中职校园网络的安全隐患主要归于如下几种情况:
1. 病毒感染。
病毒感染是校园网中最常见、最严重的一种安全威胁,病毒防范最重要的方法是堵住它的入侵途径。而校园网病毒的主要入侵途径有以下四种:(1)浏览网页、电子邮件而感染的网络病毒,如有蠕虫类病毒、木马程序等。(2)网络共享的携带病毒文件,从而感染了使用此共享文件的系统。(3)携带病毒的盗版光盘的软件。(4)携带病毒的U盘、移动硬盘等移动存储设备。
2. 网络攻击。
随着网络技术的发展,各种网络攻击事件频频发生,黑客的恶意行为不时导致学校网络瘫痪,令校园网管理人员十分头痛。笔者分析,网络攻击主要有以下四种形式:(1)拒绝服务(DoS):DoS攻击是利用一批受控制的机器向一台机器发起攻击,具有较大的破坏性。DoS攻击通过对服务器产生大量的服务请求,使服务器忙于响应应答讯息,造成TCP/IP栈崩溃,导致与Internet的连接中断、无数的窗口被打开、系统死机,甚至重新启动等,造成服务器系统不胜负荷,丧失提供正常服务的能力。(2)木马程序:是一种能够在受害者毫不察觉的情况下渗透到系统的程序代码。受害电脑一旦被种植了木马,就意味着控制者能够通过控制主机去控制受害系统,进行秘密信息的窃取或破坏。(3)网络嗅探器:是指嗅探类程序,它们潜伏在网络中,利用互联网透明传输的弱点,悄悄地捕获网络上的数据包。(4)黑客入侵:是指某些具有顶尖网络技术的人士,通过扫描程序发现系统开放的端口和漏洞,然后通过特殊的程序或进行特定操作控制整个系统。
3. 校园网络内部的威胁。
中职校园网的用户数量很多,包括了教师、行政人员、学生和家长等。相对企业网络,校园网来自内部的威胁更加严重。主要有如下三种情况:(1)MAC地址盗用:指上网用户通过修改注册表,将自己的MAC地址改为一个未知的MAC地址或是别人的MAC地址。MAC地址的盗用对网络安全带来巨大的隐患。(2)IP地址盗用:是指用户私自更改自己的IP地址或通过各种软件进行IP的攻击。有些用户出于某种原因,手工更改自己的IP地址,使得原本IP地址的合法用户无法正常上网,导致网络管理的混乱。DoS攻击是最常见的IP攻击方式,其原理是非法用户向被攻击的主机发出大量的攻击包,同时将报文中的源IP地址进行修改以掩藏自己真实的IP,导致服务器无法正常工作。(3)账号盗用:这里更多的是指“账号的共享”。对于校园网的管理来说,如果没有对账号做好管理,一个账号可能被多个用户使用,账号的混乱使得管理员无法实现“网络管理到人”的目的。
4. 操作系统的安全漏洞。
随着技术的发展,操作系统越来越复杂,从而导致了操作系统本身的漏洞也越来越多,这样就使得操作系统不是绝对安全、万无一失的。
二、校园网络安全解决方案
校园网络安全是一个系统的、全局管理问题,网络上的任何一个漏洞,都有可能影响整个网络的安全。一个较好的安全解决方案不但要从环境、用户、产品和意识等方面来考虑,同时要进行综合分析,逐个解决存在的问题,把可能发生的危害排除在发生之前,达到安全防护的目的,并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中。
1. 选用先进的组网设备。
在校园网建设和使用过程中,设备的选用和维护至关重要。如通过三层交换机来连接电信局的服务器和校园网的各个终端用户实现宽带上网,避免以太网侦听的危险。
2. 采用虚拟局域网技术(VLAN)。
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,控制广播风暴的产生。通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同的VLAN中,从而提高交换式网络的整体性能和安全性。
3. 加固操作系统。
针对Windows、Unix安全漏洞的各种病毒、网络攻击日益增多,因此网络管理员必须加固操作系统,可采取以下方法:(1)及时安装系统补丁程序;(2)最小化系统,提高系统的安全性;(3)进行安全设置,如用户权限的分配,共享目录的开放与否、注册表的安全配置、浏览器的安全等级等。
4. 安装杀毒软件。
现在大多数用户都安装了杀毒软件,但安装了杀毒软件后还需要及时升级杀毒软件、经常使用杀毒软件检查系统并清除病毒、开启杀毒软件的监控功能。
5. 安装防火墙。
防火墙技术是控制进和出两个方向通讯的门槛,是抵御来自网络攻击最有效的手段之一。它能够最大程度地保护你的系统信息不外泄。对通过交换机直接上宽带的用户而言,防火墙至少可以抵挡来自网络常见的攻击方式。如通过拒绝服务(DoS)、监控不明程序进程、使用防火墙的端口阻塞功能关闭不需要的端口从而达到防范的目的。
6. 加强内部管理。 对校园网络的内部威胁,只有通过制定相关的规章制度,加强内部管理,减少校园网络安全隐患。对学生的上网实施一人一个账号—密码验证身份的原则;对盗用MAC地址和IP地址的学生给予一定的处罚;同时在技术上捆绑IP地址和MAC地址,在DoS界面的提示符下输入命令:ARP-s 192.168.11.**00-50- BA-19-C3-DD,即可把MAC地址和 IP地址捆绑在一起。
三、设置路由器防范拒绝服务攻击(DoS)
上文提到的校园网络安全解决方案是一个一般性的解决方案,特别提到了防火墙在网络安全中的作用。而面对日益增多的网络攻击,特别是拒绝服务(DoS)攻击越来越严重地威胁着校园网络的安全,但许多中职学校却没有经济能力购置防火墙设备,在这种的情况下,如何解决防范拒绝服务(DoS)攻击的问题?下文笔者介绍一种利用设置路由器来防范拒绝服务(DoS)攻击的方法。设置步骤如下:
1. 使用ip verfy unicast reverse-path网络接口命令。
本命令的功能是检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。如路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单一地址反向传输路径转发在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项。不需要将输入接口配置为CEF交换。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换模式。RPF(反向传输路转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF的 Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。
2. 使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址。
配置命令如下:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3. 参照RFC 2267,使用访问控制列表(ACL)过滤进出报文。
{ISP中心}-—ISP端边界路由器—-客户端边界路由器—-{客户端网络}
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip{客户端网络} {客户端网络掩码}any
access-list 190 deny ip any any[log]
interface{内部网络接口} {网络接口号}
ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip{客户端网络} {客户端网络掩码}any
access-list 187 permit ip any any
access-list 188 permit ip{客户端网络} {客户端网络掩码)any
access-list 188 deny ip any any
interface{外部网络接口} {网络接口号}
ip access-group 187 in
ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF:打开这个功能的网络接口并不需要CEF交换接口。
4. 使用CAR(Control Access Rate)限制ICMP数据包流量速率。
配置命令如下:
interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
5. 设置SYN数据包流量速率。
配置命令如下:
interface{int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-actiOn
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在实现应用中需要进行必要的修改,替换45000000为最大连接带宽,1000000为SYN flood流量速率的30%到50%之间的数值。
burst normal(正常突变)和burst max(最大突变)两个速率为正确的数值。
注意:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差,并建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。
四、结语
校园网络安全管理是一个系统的工程,学校不但要建立一套校园网络安全管理模式,制定详细的安全管理制度,全面考虑系统的安全需求,并将各种安全技术结合在一起,才能形成一个有效、通用、安全的网络系统。同时作为校园网络技术管理人员,如果学校没有经济能力购置硬件设备,应更多地考虑用“软件”方法构建一个比较安全的校园网络系统。如本文简介的“设置路由器防范拒绝服务(DoS)攻击”就是一个典型例子,其设置不是很复杂,既能节约经费又可以达到硬件防火墙的效果。
(作者单位:广州市土地房产管理职业学校)
参考文献:
[1]汤明亮.面向DoS攻击的路由回溯技术研究[J].国防科学技术大学,2009,(1).
[2]王会林.计算机网络黑客攻击与防范技术研究探索[J].民营科技,2010,(5).
[3]李鹏.校园网络安全管理[J].科技创业月刊,2007,(6).
责任编辑 何丽华
关键词:中职;校园网络;安全隐患;路由器设置
随着网络技术和internet的发展,各中职学校都建立了自己的校园网络,校园网为教师和学生的工作、学习、交流提供了许多方便,改变了传统的教学和学习方式。在中职学校,尤其是办学规模较小、经济情况较弱的学校,校园网络的构建本身存在一些缺陷,如许多学校没有购置防火墙设备。在硬件条件有限的情况下,如何搞好校园网络的安全与管理、提高校园网络运行能力是十分值得校园网管理员探讨的问题。
一、校园网的安全隐患
探讨校园网络安全首先要分析校园网络存在哪些方面的安全隐患及来源特点,笔者认为中职校园网络的安全隐患主要归于如下几种情况:
1. 病毒感染。
病毒感染是校园网中最常见、最严重的一种安全威胁,病毒防范最重要的方法是堵住它的入侵途径。而校园网病毒的主要入侵途径有以下四种:(1)浏览网页、电子邮件而感染的网络病毒,如有蠕虫类病毒、木马程序等。(2)网络共享的携带病毒文件,从而感染了使用此共享文件的系统。(3)携带病毒的盗版光盘的软件。(4)携带病毒的U盘、移动硬盘等移动存储设备。
2. 网络攻击。
随着网络技术的发展,各种网络攻击事件频频发生,黑客的恶意行为不时导致学校网络瘫痪,令校园网管理人员十分头痛。笔者分析,网络攻击主要有以下四种形式:(1)拒绝服务(DoS):DoS攻击是利用一批受控制的机器向一台机器发起攻击,具有较大的破坏性。DoS攻击通过对服务器产生大量的服务请求,使服务器忙于响应应答讯息,造成TCP/IP栈崩溃,导致与Internet的连接中断、无数的窗口被打开、系统死机,甚至重新启动等,造成服务器系统不胜负荷,丧失提供正常服务的能力。(2)木马程序:是一种能够在受害者毫不察觉的情况下渗透到系统的程序代码。受害电脑一旦被种植了木马,就意味着控制者能够通过控制主机去控制受害系统,进行秘密信息的窃取或破坏。(3)网络嗅探器:是指嗅探类程序,它们潜伏在网络中,利用互联网透明传输的弱点,悄悄地捕获网络上的数据包。(4)黑客入侵:是指某些具有顶尖网络技术的人士,通过扫描程序发现系统开放的端口和漏洞,然后通过特殊的程序或进行特定操作控制整个系统。
3. 校园网络内部的威胁。
中职校园网的用户数量很多,包括了教师、行政人员、学生和家长等。相对企业网络,校园网来自内部的威胁更加严重。主要有如下三种情况:(1)MAC地址盗用:指上网用户通过修改注册表,将自己的MAC地址改为一个未知的MAC地址或是别人的MAC地址。MAC地址的盗用对网络安全带来巨大的隐患。(2)IP地址盗用:是指用户私自更改自己的IP地址或通过各种软件进行IP的攻击。有些用户出于某种原因,手工更改自己的IP地址,使得原本IP地址的合法用户无法正常上网,导致网络管理的混乱。DoS攻击是最常见的IP攻击方式,其原理是非法用户向被攻击的主机发出大量的攻击包,同时将报文中的源IP地址进行修改以掩藏自己真实的IP,导致服务器无法正常工作。(3)账号盗用:这里更多的是指“账号的共享”。对于校园网的管理来说,如果没有对账号做好管理,一个账号可能被多个用户使用,账号的混乱使得管理员无法实现“网络管理到人”的目的。
4. 操作系统的安全漏洞。
随着技术的发展,操作系统越来越复杂,从而导致了操作系统本身的漏洞也越来越多,这样就使得操作系统不是绝对安全、万无一失的。
二、校园网络安全解决方案
校园网络安全是一个系统的、全局管理问题,网络上的任何一个漏洞,都有可能影响整个网络的安全。一个较好的安全解决方案不但要从环境、用户、产品和意识等方面来考虑,同时要进行综合分析,逐个解决存在的问题,把可能发生的危害排除在发生之前,达到安全防护的目的,并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中。
1. 选用先进的组网设备。
在校园网建设和使用过程中,设备的选用和维护至关重要。如通过三层交换机来连接电信局的服务器和校园网的各个终端用户实现宽带上网,避免以太网侦听的危险。
2. 采用虚拟局域网技术(VLAN)。
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,控制广播风暴的产生。通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同的VLAN中,从而提高交换式网络的整体性能和安全性。
3. 加固操作系统。
针对Windows、Unix安全漏洞的各种病毒、网络攻击日益增多,因此网络管理员必须加固操作系统,可采取以下方法:(1)及时安装系统补丁程序;(2)最小化系统,提高系统的安全性;(3)进行安全设置,如用户权限的分配,共享目录的开放与否、注册表的安全配置、浏览器的安全等级等。
4. 安装杀毒软件。
现在大多数用户都安装了杀毒软件,但安装了杀毒软件后还需要及时升级杀毒软件、经常使用杀毒软件检查系统并清除病毒、开启杀毒软件的监控功能。
5. 安装防火墙。
防火墙技术是控制进和出两个方向通讯的门槛,是抵御来自网络攻击最有效的手段之一。它能够最大程度地保护你的系统信息不外泄。对通过交换机直接上宽带的用户而言,防火墙至少可以抵挡来自网络常见的攻击方式。如通过拒绝服务(DoS)、监控不明程序进程、使用防火墙的端口阻塞功能关闭不需要的端口从而达到防范的目的。
6. 加强内部管理。 对校园网络的内部威胁,只有通过制定相关的规章制度,加强内部管理,减少校园网络安全隐患。对学生的上网实施一人一个账号—密码验证身份的原则;对盗用MAC地址和IP地址的学生给予一定的处罚;同时在技术上捆绑IP地址和MAC地址,在DoS界面的提示符下输入命令:ARP-s 192.168.11.**00-50- BA-19-C3-DD,即可把MAC地址和 IP地址捆绑在一起。
三、设置路由器防范拒绝服务攻击(DoS)
上文提到的校园网络安全解决方案是一个一般性的解决方案,特别提到了防火墙在网络安全中的作用。而面对日益增多的网络攻击,特别是拒绝服务(DoS)攻击越来越严重地威胁着校园网络的安全,但许多中职学校却没有经济能力购置防火墙设备,在这种的情况下,如何解决防范拒绝服务(DoS)攻击的问题?下文笔者介绍一种利用设置路由器来防范拒绝服务(DoS)攻击的方法。设置步骤如下:
1. 使用ip verfy unicast reverse-path网络接口命令。
本命令的功能是检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。如路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单一地址反向传输路径转发在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项。不需要将输入接口配置为CEF交换。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换模式。RPF(反向传输路转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF的 Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。
2. 使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址。
配置命令如下:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3. 参照RFC 2267,使用访问控制列表(ACL)过滤进出报文。
{ISP中心}-—ISP端边界路由器—-客户端边界路由器—-{客户端网络}
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip{客户端网络} {客户端网络掩码}any
access-list 190 deny ip any any[log]
interface{内部网络接口} {网络接口号}
ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip{客户端网络} {客户端网络掩码}any
access-list 187 permit ip any any
access-list 188 permit ip{客户端网络} {客户端网络掩码)any
access-list 188 deny ip any any
interface{外部网络接口} {网络接口号}
ip access-group 187 in
ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF:打开这个功能的网络接口并不需要CEF交换接口。
4. 使用CAR(Control Access Rate)限制ICMP数据包流量速率。
配置命令如下:
interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
5. 设置SYN数据包流量速率。
配置命令如下:
interface{int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-actiOn
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在实现应用中需要进行必要的修改,替换45000000为最大连接带宽,1000000为SYN flood流量速率的30%到50%之间的数值。
burst normal(正常突变)和burst max(最大突变)两个速率为正确的数值。
注意:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差,并建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。
四、结语
校园网络安全管理是一个系统的工程,学校不但要建立一套校园网络安全管理模式,制定详细的安全管理制度,全面考虑系统的安全需求,并将各种安全技术结合在一起,才能形成一个有效、通用、安全的网络系统。同时作为校园网络技术管理人员,如果学校没有经济能力购置硬件设备,应更多地考虑用“软件”方法构建一个比较安全的校园网络系统。如本文简介的“设置路由器防范拒绝服务(DoS)攻击”就是一个典型例子,其设置不是很复杂,既能节约经费又可以达到硬件防火墙的效果。
(作者单位:广州市土地房产管理职业学校)
参考文献:
[1]汤明亮.面向DoS攻击的路由回溯技术研究[J].国防科学技术大学,2009,(1).
[2]王会林.计算机网络黑客攻击与防范技术研究探索[J].民营科技,2010,(5).
[3]李鹏.校园网络安全管理[J].科技创业月刊,2007,(6).
责任编辑 何丽华