综合设计(网络工程方向)
题 目防火墙与入侵检测在
校园网中的应用
学 号 071714227
姓 名 Berry_net
2011年1月19日
防火墙与入侵检测在校园网中的应用
摘要:网络技术的发展正在改变校园内人们的学习生活,我们在享受其带来的巨大的进步与利益同时,数据信息被窃取和针对网络设备的攻击等等潜伏着的巨大的安全威胁也随之而来。作为开放网络的组成部分,校园网络的安全也是不可忽视的。目前,校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等,目前校园网所应用的很多安全设备都属于静态安全技术范畴,如防火墙和系统外壳等外围保护设备。静态安全技术的缺点是需要人工来实施和维护,不能主动跟踪入侵者。而入侵检测则属于动态安全技术,它能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到危险行为。
校园网一般采用防火墙作为网络安全的第一道防线。而入侵检测系统是计算机网络安全的一个重要组成部分,它可以实现实时入侵检测的功能,主动保护网络免受攻击,是防火墙的合理补充。扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
本文进一步比较了防火墙和入侵检测系统各自的区别和联系,经过探究它们的优缺点,提出了将防火墙与入侵检测结合相互取长补短,更好的发挥各自的优势功能这一结论。结合校园网的建设和管理,提出一种在校园网中将防火墙与入侵检测联动起来相互运行的理念,将入侵检测作为防火墙的一个有益的补充,防火墙便可以通过入侵检测及时发现其策略之外所遗漏的攻击行为。入侵检测也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以在不必大幅增加运行成本的基础上大大提高校园网络系统的安全防护水平和网络管理水平。
关键词:校园,防火墙,入侵检测
目 录
1需求分析 1
1.1技术背景 1
1.2基本需求 1
1.3研究意义 2
2 网络设计与组网规划 4
2.1防火墙 4
2.2入侵检测系统 4
2.4网络架构图 6
2.5 IP地址及VLAN的划分 8
3物理网络设计 8
3.1结构化布线设计 8
3.2设备选型 8
1需求分析
1.1技术背景
在网络技术快速发展和互联网不断普及的今天,网络安全问题越来越引起社会各界和大众的关注。随着网络安全技术的进一步发展,各种网络安全技术,如防火墙技术、防黑客技术、加密技术以及入侵检测技术等等,这些技术从总体看来,可划分为两种:静态安全和动态安全技术。
其中以防火墙为代表的静态安全技术,是一种被动的防御技术,它只能对出入网络的数据进行控制,难以防范内部的非法访问。其缺点是不能主动跟踪入侵者,需要人工来实旖和维护;而以入侵检测为代表的动态安全技术.则是一种主动防御手段,它能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到危险行为.能够实时分析网络内部的通信信息,检测出入侵行为或入侵企图,在网络系统受到危害前以各种方式发出报警,并且及时对网络入侵行为采取相应的措施,最大限度的保护了网络系统的安全。
校园网作为高校教育和科研的重要基础设施.承担着学校教学、科研、管理和对外交流的重要角色。以前校园网的安全问题并不突出,随着校园网的建设规模扩大、信息点的增加,资源共享、网络教学、电子商务、学校办公等通过网络进行的活动不断深入。校园网上的各种数据信息便不断增加,在我们享受着网络给教学带来便捷的同时,也体会到了各种负面因素带来的困扰,例如:病毒侵犯、保密资料外泄等等。所以,对于校园网这个特殊而又重要的局域网来说,建立完备的校园网安全防护体系,保护校园网内部信息资源不受侵害,确保网络教学等活动得以正常运转。校园网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。
1.2基本需求
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。防火墙系统是一个静态的网络攻击防御,同时由于其对新协议和新服务的支持不能动态的扩展,所以很难提供个性化的服务。入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息, 检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS 被公认为是防火墙之后的第二道安全闸门,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。由些可见,它们在功能上可以形成互补关系。
由于网络协议本身在设计和实现上的一些不完善因素,随之而来的Intemet入侵事件也就层出不穷。随着Intemet的发展,网络与信息安全问题日益突出。在所有的安全事故中有些涉及到了一个站点或一台计算机,有些则涉及到了成百上千的站点和计算机,而且持续相当长的时间。除了发生安全事故的数量急剧增长外,侵袭的方法与手段也日趋先进和复杂。特别是近年来,通过计算机实施犯罪的案件数量急剧上升,如果对网络安全问题掉以轻心,互联网络就可能会让用户的正当利益受到严重侵害,还可能带来重大的经济损失,甚至对产生负面影响。
具体到教学范畴,随着校园网的建设和普及,教与学不可避免的与Intemet产生越发密切的联系,师生通过网络进行网上教学、网上交流、网上专题讨论、网络检索所需信息以及收发电子邮件等活动。在享受网络给教学带来便捷的同时.我们也体会到了各种负面因素带来的困扰,例如:病毒侵犯、保密资料外泄等等。所以,对于校园网这个特殊而又重要的局域网来说,建立完备的校园网安全防护体系,保护校园网内部信息资源不受侵害,确保网络教学等活动得以正常运转,校同网络安全问题就成为计算机网络管理中一个极其重要且必须要解决的问题。
1.3研究意义
校园网的主要服务对象是学生。对于学生这个群体来说.有着其显著的生理特征和心理特点:年轻、好动、极富想象力、充满热情并积极投入实践,但同时心智与是非观念尚不成熟,人生观和价值观还没有完全成形。所以这个年龄段的年轻人恰恰是攻击者、入侵者最多发的年龄段。校园网的特点是面积广。速度快,使用者人数众多并且相对集中,相对于电子商务和行政、国防军事等重要部门所使用的网络来说,网络安全相对薄弱一些,甚至于有些校园网并不重视网络安全,导致自身的防护能力极其有限。防护能力的薄弱会导致入侵成功率的增大,而任何成功的入侵都有可能给校园网带来不可预测的后果,轻则破坏、恶意修改主页,重则清除数据库,删除重要文件,窃取科研和考试机密,甚至会使整个校园网络瘫痪,给学校的公众形象、正常教学和行政工作造成不必要的麻烦和严重的后果。所以说作为开放网络的组成部分,校园网的安全问题是不容忽视的。对于学校政治宣传和安全保密部门来说,则希望对非法的、有害的、涉及的信息进行过滤和堵塞,保证机密的数据信息不会外泄,避免对社会产生危害,给国家造成损失。一般来说,校园网己经具备的网络安全技术有防火墙、代理服务器、过滤器、加密、口令验证等等。而目前学校里更多应用的安全设备都属于被动防御措施。
作为被动防御措施的代表——防火墙是位于两个信任程度不同的网络之间的软件与硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止外部非法用户对重要信息资源的非法存取和访问,以达到保护系统安全的目的。但是我们也必须看到,作为一种周边安全机制,防火墙无法控制内部网络中的行为,它只能在网络层或应用层进行访问控制,无法对通信的内容数据进行监控。防火墙只是一种基于策略的被动防御措施,是~种粗粒度的防御手段,缺点是需要人J二来实施和维护,不能主动跟踪入侵者,无法自动调整策略设置来阻隔正在进行的攻击,也无法防范基于协议的攻击。作为主动防御措施的有效补充——入侵监测系统是一种主动防御手段,能够主动检测网络的易受攻击点和安全漏洞,并且通常能够先于人工探测到危险行为,能够实时分析内部网络的通信信息,检测出入侵行为或入侵企图,在网络系统受到危害前以各种方式发出报警,并且及时地对网络入侵行为采取相应的措施.最大限度的保护网络系统的安全。
2 网络设计与组网规划
2.1防火墙
防火墙(Firewail)是一种安全有效的防范技术。防火墙是一个或一组网络安全设备,它位于内部网络和外部网络之间某一个适当的扼制点上(chokepoint),来外部非法用户访问内部网络资源和内部非法向外传递信息。防火墙具有保护和管理网络内部资源、防止外部入侵、对信息的访问进行记录和控制;管理和监督内部对Intemet的访问:简化网络资源管理等特性。
2.2入侵检测系统
入侵检测系统(IDS)是近几年才出现的新型网络安全技术。入侵检测手段却是一种古老的检测访问者的有效方法。它之所以重要,是因为它可以弥补防火墙的不足,它可以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),增强信息安全基础结构的完整性。为网络安全提供有效的入侵检测信息及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。如果说防火墙是网络抵御外来入侵的防盗门,那么入侵检测系统就是安装在防盗门上的监视器,两者相辅相成,共同抵挡来自网络内外的攻击。
防火墙与入侵检测是网络安全中两个强有力的技术手段,并且二者之间表现出来很大功能互补性。防火墙是位于两个信任程度不同的网络之间(即校园内部网络和Internet之间)的软件或硬件设备的组合,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。但我们也必须看到,作为一种周边安全机制,防火墙无法控制内部网络中的行为,也只能在应用层或网络层进行访问控制,无法对通信的内容数据进行监控。有些安全威胁是防火墙无法防范的,比如很容易通过协议隧道绕过防火墙,而且,防火墙只是一种基于策略的被动防御措施,是一种粗颗粒的防御手段,无法自动调整策略设置来阻断正在进行的攻击,也无法防范基于协议的.攻击。所以,单靠防火墙是无法实现良好的安全防护性能的。
入侵检测系统是一种主动防御手段,能够实时分析校园网外部及校园网内部的数据通信信息,检测出入侵行为或分辨入侵企图,在校园网络系统受到危害前以各种方式发出警报,并且及时对网络入侵采取相应措施,最大限度保护校园网系统的安全。通过多级、分布式的网络监督、管理、控制机制,全面体现了管理层对校园网关键资源的全局控制、把握和调度能力。
即使一个系统中不存在某个特定的漏洞,入侵检测系统仍然可以检测到相应的攻击事件,并调整系统状态,对未来可能发生的侵入做出警告。如果计算机系统具备访问控制能力,而没有入侵检测手段,就会出现就像战争中的一方一直要等到阵地被占领时,才能意识到遭受敌人攻击一样的情况。显然,我们无法完全预防计算机系统受到破坏,但是一旦计算机系统被攻击,我们能够立即实时地检测到攻击并采取相应行动,至少可以防范日后进一步的攻击。这正是入侵检测系统的功能,是我们应付破坏企图的一种方式。入侵检测技术对于保证信息系统安全的作用是不言而喻的。但是,单靠入侵检测系统自身,只能及时发现攻击行为,但却无法阻止和处理。
所以,如果让防火墙与入侵检测系统结合起来互动运行,入侵检测系统可以及时发现防火墙策略之外的入侵行为,防火墙可以根据入侵检测系统反馈的入侵信息来进一步调整安全策略,从而进一步从源头上阻隔入侵行为。这样就可以大大提高整个防御系统的性能。入侵检测系统与防火墙的互动原理图如下所示:
2.3网络方案
校园网从结构上讲,可以分成核心、汇聚和接入3个层次;从网络类型来看可以划分为教学子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多,包括拨号上网、宽带接入、无线上网等,各种形式接入的用户类型也非常复杂,有学生、教师以及学校行政办公人员。另外,校园网通常是双出口结构,可以通过ChinaNet,也可以通过CERNET达到互联网。多层次、业务复杂的特点使得网络安全显得尤为重要。
校园网用户访问校外的Cernet/Internet资源都是通过Linux系统下的Squid代理和socks代理进行的。对校园网的用户的收费通常按照网络流量收费。为了对校园网用户进行收费,使用squid提供代理认证服务。校园网采用100M/1000M以太网技术,利用高端的具有第三层交换功能的中心交换机连接校园中各建筑物内的子网。子网包括西区宿舍,教一栋,东区宿舍,计科楼,明哲楼,外语楼,经法楼,文学楼,图书馆,三里宿舍等,下面将以子网1到n表示。
2.4网络架构图
在此架构中,防火墙采用启用了路由功能的Linux主机,并安装包过滤防火墙IPtables软件加上应用层代理软什Squid和socks。入侵检测系统有三个组成部分,数据捕捉器采用著名的开放源代码的基于网络的SnortIDS,安装Snort的主机(Linux操作系统)用于捕获校园网内部的网络数据,并将相关的警报数据保存到安装有PostgreSQL数据库管理系统的主机(Linux操作系统)中,为了对入侵检测数据进行方便有效的监视和分析,同时在该主机中安装了ApacheWeb服务器和PHP脚本语言,从而在入侵检测分析控制台主机(Windows操作系统)的Web浏览器中就可以对检测结果进行分析和监视。
入侵检测系统是接入到交换式而不是广播式的网络中,所以要把交换机配置成允许一个端口监视所有的网络流量,然后将安装有Snort的Linux主机连接到那个端口上。因为交换机的核心芯片上一般有一个用于调试的端口(spanport),任何其它端口的进出信息都可从此得到。如果交换机厂商把此端口开放山来,用户可将入侵检测系统接到此端口上.。
2.5 IP地址及VLAN的划分
整个网络使用192.168.1.0/20 私有地址块,采用静态ip地址录入的方案。申请211.1.1.7(WEB)、211.1.1.9(电信网络接入地址)三个公有ip地址,划分10个vlan区域,防火墙启用NAT做地址映射。地址分配方案如下表:
| 子网 | VLAN名称 | IP地址 | 默认网关 |
| 1 | VLAN101 | 192.168.1.0/24 | 192.168.1.254 |
| 2 | VLAN102 | 192.168.2.0/24 | 192.168.2.254 |
| 3 | VLAN103 | 192.168.3.0/24 | 192.168.3.254 |
| 4 | VLAN104 | 192.168.4.0/24 | 192.168.4.254 |
| 5 | VLAN105 | 192.168.5.0/24 | 192.168.5.254 |
| 6 | VLAN106 | 192.168.6.0/24 | 192.168.6.254 |
| 7 | VLAN107 | 192.168.7.0/24 | 192.168.7.254 |
| 8 | VLAN108 | 192.168.8.0/24 | 192.168.8.254 |
| 9 | VLAN109 | 192.168.9.0/24 | 192.168.9.254 |
| 核心交换机出口 | - | 192.168.10.1 | - |
| Web服务器 | - | 211.1.1.7 | 211.1.1.9 |
| 防火墙入口地址 | - | 192.168.10.254 | - |
| 防火墙出口地址 | - | 211.1.1.9 | - |
3.1结构化布线设计
将大楼结构化布线系统分为:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统和建筑群子系统。每个系统严格按照规范布线
3.2设备选型
设备选型主要考虑以下因素:产品技术指标、成本因素、兼容性、延续性、可管理性、厂商技术支持性
核心交换机:
网址链接:http://detail.zol.com.cn/118/117437/param.shtml
H3C LS-5500-28C-SI ¥14040(1台)
| 主要参数 | |
| 交换机类型 | 千兆以太网交换机 |
| 传输速率 | 10Mbps/100Mbps/1000Mbps |
| 端口数量 | 24 |
| 传输模式 | 支持全双工 |
| 交换方式 | 存储-转发 |
| 背板带宽 | 128Gbps |
| VLAN支持 | 支持 |
| MAC地址表 | 16K |
| 模块化插槽数 | 4 |
| 电源电压 | 纠错交流:额定电压范围:100V~240V A.C.,50/60Hz、最大电压范围:90V~2V A.C.,47/63Hz;直流:额定电压范围:10.8V~13.2V D.C. |
| 环境标准 | 工作温度:0℃-45℃、工作湿度:10%-90%(非凝露) |
| 产品尺寸(mm) | 440×300×43.6 |
| 产品重量(Kg) | 4 |
网址链接:http://detail.zol.com.cn/197/196598/param.shtml
H3C S1650 ¥4500
| 主要参数 | |
| 交换机类型 | 智能交换机 |
| 应用层级 | 二层 |
| 传输速率 | 10Mbps/100Mbps/1000Mbps |
| 网络标准 | IEEE 802.3、IEEE 802.3u、IEEE 802.3ab、IEEE 802.3z、 |
| 端口结构 | 非模块化 |
| 端口数量 | 50 |
| 传输模式 | 全双工/半双工自适应 |
| 交换方式 | 存储-转发 |
| 背板带宽 | 13.6Gbps |
| 包转发率 | 10.1Mpps |
| VLAN支持 | 支持 |
| QOS支持 | 支持 |
| 网管支持 | 支持 |
| 网管功能 | 支持Web网管;支持通过Console口进行管理;支持Telnet远程管理;支持DHCP-client;支持SNMP v2c,支持RMON;支持iMC |
| MAC地址表 | 8K |
| 模块化插槽数 | 2 |
| 指示面板 | 每端口:Link/Act;每设备:Power;SFP口:Module Active |
| 电源电压 | 输入电压:100V~240V AC,50/60Hz 功耗:<26W |
| 环境标准 | 纠错工作温度:0℃-40℃、存储温度:-10℃-70℃、工作湿度:20%-85%,非凝露;存储湿度:10%-90%,非凝露 |
| 产品尺寸(mm) | 440×238×44 |
| 其他技术参数 | 1个Console端口 |
网址链接:http://detail.zol.com.cn/163/162450/param.shtml
CISCO ASA5510-K8 ¥16000
| 主要参数 | |
| 设备类型 | VPN防火墙 |
| 并发连接数 | 130000 |
| 网络吞吐量(Mbps) | 最高300 |
| 安全过滤带宽 | 170Mbps |
| 网络端口 | 3个快速以太网端口 |
| 用户数 | 无用户数用户 |
| 入侵检测 | DoS |
| 安全标准 | UL 1950,CSA C22.2 No. 950,EN 60950 IEC 60950,AS/NZS3260,TS001 |
| 控制端口 | console,2个RJ-45 |
| 管理 | 纠错思科安全管理器 (CS-Manager) ,Web |
| VPN支持 | 支持 |
| 一般参数 | |
| 适用环境 | 工作温度:0-40℃ 工作湿度:5%-95% (非冷凝) 存储温度:-25-70℃ 存储湿度:5%-95% (非冷凝) |
| 电源 | 100-240VAC,50/60Hz |
| 防火墙尺寸 | 174.5×200.4×44.5mm |
| 防火墙重量 | 1.8kg |
| 其他性能 | 为企业提供全面的服务,业内领先的Anti-X服务等 |
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
