校园网网络安全系统Word下载.docx

校园网网络安全系统Word下载.docx

《校园网网络安全系统Word下载.docx》由会员分享，可在线阅读，更多相关《校园网网络安全系统Word下载.docx（16页珍藏版）》请在冰豆网上搜索。

为保障校园网全网安全，加强各用户计算机的安全防护，安装使用企业版防病毒软件集中统一管理（如360企业版）。

3）需求分析

分析1：

分析2：

分析3：

分析4：

分析5：

7.4项目实训要求

要求1（必做）：

模拟本项目的网络安全系统组建并完成项目实施的文档，模拟实现校园网络的安全防护。

要求2（必做）：

使用防火墙或软件进行校园网出口互联网部分的内外网转换（NAT），服务器的对外发布访问和安全（SAT）。

要求3（必做）：

内网服务器上建立共享文件夹，并安装WEB、FTP、E-mail服务，然后进行服务器操作系统的安全配置和防护。

（主机安全只开放服务端口）POP3服务器端口：

110smtp端口：

25完成后使用X-Scan进行扫描。

要求4（必做）：

进行校园网的外部安全访问内部网络服务器上启用VPN服务（VPN）。

要求5（选做）：

进行校园网的网络防病毒系统配置和实施，安装360企业版。

7.5项目实施

7.5.1实施原则

1．可靠性

提供网络服务的服务器必须稳定可靠，为校园网用户和校外用户提供可靠的网络服务。

2．安全性

各项服务应考虑和保证其安全性，避免出现网络安全事故而影响校园网服务。

3．可扩充性

校园网需要提供的服务将随着信息服务的需求和发展进行增加和扩充，规划和实施的各项网络服务应具有可扩充性。

4．实用性

校园网具有用户数量多、应用环境复杂的特点，应能使用户方便实用地访问各种校园网服务。

7.5.2项目知识点

防火墙

传统意义的防火墙被设计用来防止火从大厦的一部份。

在网络上防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。

设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

防火墙是一种高级访问控制设备，置于不同安全域之间，是不同安全域之间的唯一通道，能根据企业有关的安全政策执行允许，拒绝，监视，记录进出网络的行为。

防火墙是一个或一组系统，用于管理两个网络直接的访问控制及策略，所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙；

只有在被定义的数据流才可以通过防火墙（如果通过其他方式带出信息，则无法防备），防火墙本身必须有很强的免疫力。

1）防火墙技术

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

包过滤的最大优点是对用户透明，传输性能高。

但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。

对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。

对该连接的后续数据包，只要符合状态表，就可以通过。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

然而，应用网关防火墙是通过打破客户机／服务器模式实现的。

每个客户机／服务器通信需要两个连接：

一个是从客户端到防火墙，另一个是从防火墙到服务器。

另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。

所以，应用网关防火墙具有可伸缩性差的缺点。

2）防火墙工作模式

防火墙一般位于企业内部网络出口与互联网直接相连是企业网络的第一道屏障。

根据防火墙和内外网络的结构,防火墙具有三种工作模式透明模式、路由模式和混合模式。

1.透明模式

透明模式的防火墙就好象是一台网桥，不改动其原有的网络拓扑结构。

网络设备和所有计算机的设置（包括IP地址和网关）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

透明模式的防火墙结构如下图所示。

2.路由模式

传统防火墙一般工作于路由模式，防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信并可将内部私有IP地址转换为互联网地址。

路由模式的防火墙结构如下图所示:

3.混合模式

在企业复杂的网络环境中常常需要使用透明及路由的混合模式。

混合模式防火墙结构如下图所示:

3）防火墙产品简介

1．阿姆瑞特防火墙

阿姆瑞特防火墙为"

无系统内核"

，即：

防火墙没有操作系统，因此不会存在通用操作系统的漏洞，从而在底层保证防火墙的安全性；

同时，因为操作系统需要不断地去维护、升级，无操作系统就不存在此类问题，这也排除了因为系统升级、打补丁破坏防火墙功能、性能的问题。

阿姆瑞特防火墙内核启动后，可直接管理防火墙的所有硬件（CPU、网卡、总线等），它可以在底层从硬件设备中接管进出防火墙数据并进行处理，利用了所有可能的硬件性能，同时减少了操作系统的开销，因此可以最快的处理数据，使其成为市场上现有的最快的防火墙之一。

2．ISA（InternetSecurityandAccelerationServer）

ISAServer是微软公司出品的企业级别的路由软件防火墙，它可以让企业内部网络安全、快速的连接到Internet，性能可以和硬件防火墙媲美，并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的，可以在网络的任何地方，如两个或多个网络的边缘层（Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等）、单个主机上配置ISAServer来对网络或主机进行防护。

ISAServer的主要特性：

（1）多层防火墙安全

防火墙可以通过各种方法增强安全性，包括数据包筛选、电路层筛选和应用程序筛选。

高级的企业防火墙，如ISAServer所提供的那一种，综合了所有这三种方法，在多个网络层提供保护，为企业提供最低的投入的基础上最高的回报。

（2）状态检测

状态检查检查通过防火墙的协议环境中的数据以及连接的状态。

在数据包层，ISAServer检查在IP消息头中指明的通信来源和目标，以及在标识所采用的网络服务或应用程序的TCP或UDP消息头中的端口。

动态数据包筛选器能够使窗口的打开只响应用户的请求，并且打开端口的持续时间恰好满足该请求的需要，从而减少与打开端口相关的攻击。

ISAServer可以动态地确定，哪些数据包可以传送到内部网络的电路层和应用程序层服务。

管理员可以配置访问策略规则，以便只在允许的情况下自动打开端口，然后当通信结束时关闭端口。

这一过程称为动态数据包筛选，它使两个方向上暴露的端口数量减到最少，并为网络提供更高的安全性，使问题较少发生。

（3）集成的入侵检测

ISAServer利用一家名为InternetSecuritySystems的公司所提供的技术，提供帮助管理员识别诸如端口扫描、WinNuke和PingofDeath之类的常见网络攻击的这种服务。

并且ISA能够自动对其作出响应。

这项技术给ISAServer提供了能识别此类攻击的集成入侵检测机制。

当识别出这种攻击时，警报还能同时指出ISAServer应采取什么行动，这些行动可包括向系统管理员发送电子邮件或寻呼，停止Firewall服务，写入到系统事件日志，或运行任何程序或脚本。

（4）高性能Web缓存

ISAServer对Web缓存进行了彻底的重新设计，使它可以将缓存放入RAM中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。

这种高性能的Web缓存可提供更强的后端可伸缩性，并提供了更快的Web客户机总体响应时间。

这对于企业内部来说尤其重要，因为员工需要快速访问Web内容，而企业也需要适当的节省网络带宽。

这种高速的Web缓存正能够满足您的这种需要。

（5）缓存阵列路由协议

ISAServer使用了缓存阵列路由协议（CacheArrayRoutingProtocol，CARP）。

因此您可以通过多台ISAServer计算机组成的阵列来提供无缝缩放和更高的效率。

（6）活动缓存

通过一个叫做活动缓存的功能，可配置ISAServer使其自动更新缓存中的对象。

使用这种功能，ISAServer可通过主动刷新内容来优化带宽的使用。

通过活动缓存，经常被访问的对象在它们到期之前，在低网络流量时段自动更新。

（7）统一管理

ISAServer利用基于WindowsServer的安全性，ActiveDirectory服务、VPN和Microsoft管理控制台（MMC，MicrosoftManagementConsole）。

所有这些功能，特别是MMC，会使得管理更容易，因为操作人员熟悉它，并可从一个控制台同时管理防火墙和Web缓存。

（8）企业策略和访问控制

ISAServer还支持创建企业级和本地阵列策略，用于集中实施或本地实施。

ISAServer可作为独立服务器安装或作为阵列成员安装。

为便于管理，各个阵列成员都使用相同的配置。

对阵列配置进行修改时，阵列中的所有ISAServer计算机也都将得到修改，包括所有访问和缓存策略。

VPN（VirtualPrivateNetwork）

VPN即虚拟专用网络，是通过Internet公共网络在局域网络之间或单点之间安全地传递数据的技术。

虚拟专用网络（VPN）是专用网络的扩展。

同Internet一样，该网络包含共享网络或公用网络之间的链接。

使用VPN，可以通过共享网络或公用网络以模拟点对点专用链接的方式在两台计算机之间发送数据。

虚拟专用网络连接是一种创建和配置虚拟专用网络的操作。

使用VPN连接，在家办公或旅行的用户可以通过公用Internet网络（如Internet）提供的结构，获得到组织服务器的远程访问连接。

从用户的角度来说，VPN是计算机（VPN客户端）和组织服务器（VPN服务器）之间的点对点连接。

VPN与共享网络或公用网络的具体结构无关，因为数据就象是通过专用的链接发送的。

VPN技术的效果类似于传统的DDN专线联网方式，网络拓扑如下图所示。

1）VPN的类型

（1）AccessVPN

移动用户在任何地方、时间采用拨号、ISDN、DSL、移动IP和电缆技术通过公用网络与企业的Intranet和Extranet建立私有的网络连接。

在AccessVPN的应用中，利用了二层网络隧道技术在公用网络上建立VPN隧道连接来传输私有网络数据。

（2）IntranetVPN

IntranetVPN通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。

利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSEC、GRE等。

结合服务商提供的QOS机制，可以有效而且可靠的使用网络资源，保证了网络质量。

（3）ExtranetVPN

利用VPN将企业网伸至合作伙伴与客户。

Extranet用户对于ExtranetVPN的访问权限可以通过防火墙等手段来设置与管理。

2）VPN使用的协议

（1）链路层L2TP、PPTP协议

PPTPPPTP是PPP的扩展，它增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公共网络（如Internet）建立按需的、多协议的、虚拟专用网络。

PPTP可以建立隧道或将IP、IPX或NetBEUI协议封装在PPP数据包内，因此允许用户远程运行依赖特定网络协议的应用程序。

PPTP在基于TCP/IP协议的数据网络上创建VPN连接，实现从远程计算机到专用服务器的安全数据传输。

VPN服务器执行所有的安全检查和验证，并启用数据加密，使得在不安全的网络上发送信息变得更加安全。

尤其是使用EAP后，通过启用PPTP的VPN传输数据就象在企业的一个局域网内那样安全。

另外还可以使用PPTP建立专用LAN到LAN的网络。

L2TP是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。

L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。

与PPTP不同的是，L2TP使用新的网际协议安全（IPSec）机制来进行身份验证和数据加密。

（2）网络层IPsec协议

基于PKI技术的IPSec协议现在已经成为架构VPN的基础，它可以为路由器之间、防火墙之间或者路由器和防火墙之间提供经过加密和认证的通信。

虽然它的实现会复杂一些，但其安全性比其他协议都完善得多。

由于IPSec是IP层上的协议，因此很容易在全世界范围内形成一种规范，具有非常好的通用性，而且IPSec本身就支持面向未来的协议——IPv6。

3）传输层SSL、TLS、SOCKS协议

SSLVPN即指采用SSL（SecuritySocketLayer）协议来实现远程接入的一种新型VPN技术。

SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。

与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息远程连通。

主机安全

1）系统漏洞

系统漏洞是指网络操作系统本身所存在的技术缺陷。

系统漏洞往往会被病毒利用侵入并攻击用户计算机。

漏洞会影响到的范围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。

换而言之，在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。

在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。

Windows系统漏洞问题是与时间紧密相关的。

一个windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商微软公司发布的补丁软件修补，或在以后发布的新版系统中得以纠正。

而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。

Windows操作系统供应商将定期对已知的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，可以保证计算机不会轻易被病毒、黑客入侵。

一般情况下，在网络边界处企业都会部署硬件或软件防火墙，能根据企业的安全策略控制出入网络的信息流，，本身具有较强的抗攻击能力。

但是防火墙也存在一定的局限性：

●防火墙不能解决来自内部网络的攻击和安全问题，对于防火墙内部各主机间的攻击行为，防火墙也无法处理；

●防火墙无法解决TCP/IP等协议的漏洞，例如Dos攻击（拒绝服务攻击）。

●防火墙对于合法开发端口的攻击无法阻止。

例如利用开放的FTP、远程桌面端口漏洞提升权限问题。

●防火墙不能防止受病毒感染文件或木马文件的传输。

防火墙本身不具备查杀病毒、木马的功能。

●防火墙不能防止数据驱动式的攻击。

有些数据邮寄或传输到内部主机被执行时，可能会发生数据驱动式的攻击。

防火墙不能防止内部的泄密行为以及自身安全漏洞的问题。

2）漏洞扫描

漏洞扫描式网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。

其目标是服务器、工作站、交换机、数据库应用、WEB应用等各种应用设施，然后根据扫描结果向网络管理员提供可靠的安全性评估分析报告，以便管理员能及时进行漏洞修补和加强安全防护，从而提高网络安全整体水平。

漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞：

在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在；

通过模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。

若模拟攻击成功，则表明目标主机系统存在安全漏洞。

在网络安全体系的建设中，安全扫描是一种花费低、效果好、见效快、独立于网络运行、安装运行简单的网络工具，可以减少网络管理员大量的手工重复劳动，有利于保持全网安全的稳定和统一标准。

目前市场上有很多漏洞扫描工具，按照不同的技术（基于网络、基于主机、基于代理、Client/Server）、不同的特征、不同的报告方式和不同的监听模式，可以分为很多种。

在选择漏洞扫描工具时要充分考虑各种技术和漏洞库信息，漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。

如果漏洞库信息不全面或得不到即时的更新，不但不能发挥漏洞扫描的作用，还会给系统管理员以错误的引导，从而对系统的安全隐患不能采取有效措施并及时的消除。

目前常用的漏洞扫描工具有：

（1）微软安全扫描工具MBSA

MBSA（MicrosoftBaselineSecurityAnalyzer）是微软公司提供的免费安全扫描工具，系统管理员可以通过它来对一些常用的微软安全漏洞进行评估，包括缺少的安全更新。

MBSA将扫描基于Windows的计算机，并检查操作系统和已安装的其他组件（如：

InternetInformationServices（IIS）和SQLServer），以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。

MBSA目前可以运行在Windows2000、WindowsXP和WindowsServer2003环境中。

该软件可以检查到Windows2000、WindowsXP、WindowsServer2003、InternetInformationServer（IIS）、SQLServer、InternetExplorer和Office等软件包中的结构性错误，还可以检查出Windows2000、WindowsXP、WindowsServer2003、IIS、SQLServer、InternetExplorer、Office、ExchangeServer、WindowsMediaPlayer、MicrosoftDataAccessComponents（MDAC）、MSXML、MicrosoftVirtualMachine、CommerceServer、ContentManagementServer、BizTalkServer、HostIntegrationServer中遗漏的安全更新。

MBSA2.0.检查Windows操作系统安全内容：

●检查将确定并列出属于LocalAdministrators组的用户账户。

●检查将确定在被扫描的计算机上是否启用了审核。

●检查将确定在被扫描的计算机上是否启用了“自动登录”功能。

●检查是否有不必要的服务。

●检查将确定正在接受扫描的计算机是否为一个域控制器。

●检查将确定在每一个硬盘上使用的是哪一种文件系统，以确保它是NTFS文件系统。

●检查将确定在被扫描的计算机上是否启用了内置的来宾账户。

●检查将找出使用了空白密码或简单密码的所有本地用户账户。

●检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的IE区域安全设置。

●检查将确定在被扫描的计算机上运行的是哪一个操作系统。

●检查将确定是否有本地用户账户设置了永不过期的密码。

●检查将确定被扫描的计算机上是否使用了RestrictAnonymous注册表项来限制匿名连接ServicePack和即时修复程序。

MBSA2.0.检查IIS的安全分析：

●检查将确定MSADC（样本数据访问脚本）和脚本虚拟目录是否已安装在被扫描的IIS计算机上。

●检查将确定IISADMPWD目录是否已安装在被扫描的计算机上。

●检查将确定IIS是否在一个作为域控制器的系统上运行。

●检查将确定IIS锁定工具是否已经在被扫描的计算机上运行。

●检查将确定IIS日志记录是否已启用，以及W3C扩展日志文件格式是否已使用。

●检查将确定在被扫描的计算机上是否启用了ASPEnableParentPaths设置。

●检查将确定下列IIS示例文件目录是否安装在计算机上。

MBSA2.0的SQLServer安全分析功能：

●检查将确定Sysadmin角色的成员的数量，并将结果显示在安全报告中。

●检查将确定是否有本地SQLServer账户采用了简单密码（如空白密码）。

●检查将确定被扫描的SQLServer上使用的身份验证模式。

●检查将验证SQLServer目录是否都将访问权只限制到SQL服务账户和本地Administrators。

●检查将确定SQLServer7.0和SQLServer2000sa账户密码是否以明文形式写到%temp%\sqlstp.log和%temp%\setup.iss文件中。

●检查将确定SQLServerGuest账户是否具有访问数据库（MASTER、TEMPDB和MSDB除外）的权限。

●检查将确定SQLServer是否在一个担任域控制器的系统上运行。

●检查将确保Everyone组对"

HKLM\Software\Microsoft\MicrosoftSQLServer"

和"

HKLM\Software\Micr