網(wǎng)絡(luò)安全畢業(yè)論文 (2)

1、<p><b>　　摘 要</b></p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展和普及，計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)了無(wú)窮的資源，但隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也顯得尤為重要。安全是網(wǎng)絡(luò)運(yùn)行的前提，網(wǎng)絡(luò)安全不僅僅是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)絡(luò)的安全，需要從多方進(jìn)行立體的防護(hù)。文中就局域網(wǎng)網(wǎng)絡(luò)安全的當(dāng)前形式及面臨的各種威脅，網(wǎng)絡(luò)安全防范措施、技術(shù)，闡述了局域網(wǎng)網(wǎng)絡(luò)安全當(dāng)前在我們生活中的重要性。&l

2、t;/p><p>　　關(guān)鍵詞：局域網(wǎng)，網(wǎng)絡(luò)，安全，網(wǎng)絡(luò)安全</p><p><b>　　目錄</b></p><p><b>　　摘要Ⅰ</b></p><p><b>　　1 網(wǎng)絡(luò)安全1</b></p><p>　　1.1網(wǎng)絡(luò)安全的定義1<

3、/p><p>　　1.2局域網(wǎng)安全威脅及安全攻擊1</p><p>　　1.3 局域網(wǎng)當(dāng)前形式及面臨的問(wèn)題4</p><p>　　2 網(wǎng)絡(luò)安全的防護(hù)措施6</p><p>　　2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)6</p><p>　　2.2 網(wǎng)絡(luò)安全模型10</p><p>　　2.3 局域

4、網(wǎng)安全防范措施11</p><p>　　3 基于學(xué)校網(wǎng)絡(luò)安全的研究15</p><p>　　3.1 校園網(wǎng)絡(luò)安全防范體系的建立15</p><p>　　3.2 學(xué)校網(wǎng)絡(luò)安全設(shè)計(jì)方案17</p><p><b>　　結(jié)束語(yǔ)20</b></p><p><b>　　謝辭21

5、</b></p><p><b>　　參考文獻(xiàn)22</b></p><p><b>　　1 網(wǎng)絡(luò)安全</b></p><p>　　隨著Internet的興起，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越引起人們的關(guān)注，采取安全技術(shù)來(lái)防止對(duì)數(shù)據(jù)的破壞已成為網(wǎng)絡(luò)應(yīng)用中的當(dāng)務(wù)之急。</p><p><b>

6、;　　網(wǎng)絡(luò)安全的定義</b></p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的行為而遭受到破壞、更改、泄露，使系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。</p><p>　　局域網(wǎng)安全威脅及安全攻擊</p><p>　　1.2.1 局域網(wǎng)安全威脅</p>

7、;<p>　　1、來(lái)自互聯(lián)網(wǎng)的安全威脅</p><p>　　局域網(wǎng)是與Internet互連的。由于Internet的開(kāi)放性、國(guó)際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防護(hù)措施，很容易遭到來(lái)自Internets上黑客的各種攻擊。他們可以通過(guò)嗅探程序來(lái)探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)I P 地址、應(yīng)用操作系統(tǒng)的類(lèi)型、開(kāi)放的T C P 端口號(hào)、系

8、統(tǒng)用來(lái)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過(guò)發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)，甚至使系統(tǒng)癱瘓。</p><p>　　2、來(lái)自局域網(wǎng)內(nèi)部的安全威脅</p><p>　　內(nèi)部管理人員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管

9、理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏；內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)，利用網(wǎng)絡(luò)開(kāi)些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等，這都將給網(wǎng)絡(luò)造成極大的安全威脅。</p><p>　　3、計(jì)算機(jī)病毒及惡意代碼的威脅</p><p>　　由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁， 或未及時(shí)更新防病毒軟件的病毒庫(kù)而

10、造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤(pán)上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（Crime Software）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。</p><p>　　1.2.2 安全攻擊</p><p>　　安全攻擊是安全威脅的具體體現(xiàn)，他主要包括以下幾種類(lèi)型：被動(dòng)攻擊、主動(dòng)攻擊、物理臨近

11、攻擊和分發(fā)攻擊[2]。</p><p><b>　　1、被動(dòng)攻擊</b></p><p>　　被動(dòng)攻擊的主要目標(biāo)是被動(dòng)檢視公共媒體上傳送的信息。抵抗這類(lèi)攻擊的對(duì)策是使用虛擬專(zhuān)用網(wǎng)(VPN)。表1.1列舉了一些特定的被動(dòng)攻擊。</p><p>　　表1.1 特定的被動(dòng)攻擊舉例</p><p><b>　　2、主

12、動(dòng)攻擊</b></p><p>　　主動(dòng)攻擊的主要目標(biāo)是企圖避開(kāi)或打破安全防護(hù)、引入惡意代碼（如計(jì)算機(jī)病毒）以及轉(zhuǎn)換數(shù)據(jù)或系統(tǒng)的完整性。典型對(duì)策包括增強(qiáng)的區(qū)域邊界保護(hù)（如防火墻和邊界護(hù)衛(wèi)）、基于身份認(rèn)證的訪問(wèn)控制、受保護(hù)的遠(yuǎn)程訪問(wèn)、質(zhì)量安全管理、自動(dòng)病毒檢測(cè)工具、審計(jì)和入侵檢測(cè)。表1.2類(lèi)聚了一些特定的主動(dòng)攻擊。</p><p>　　表1.2 主動(dòng)攻擊舉例</p>

13、<p><b>　　3、物理臨近攻擊</b></p><p>　　在物理臨近攻擊中未授權(quán)者可物理上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，目的是修改、收集或拒絕訪問(wèn)信息。這種接近可以是秘密進(jìn)入或公開(kāi)接近，也可以是兩種都有。表1.3列舉了這種攻擊獨(dú)有的典型攻擊實(shí)例。</p><p>　　表1.3 臨近攻擊舉例</p><p><b>　　

14、4、分發(fā)攻擊</b></p><p>　　“分發(fā)攻擊”一詞是指在軟件和硬件開(kāi)發(fā)出來(lái)之后和安裝之前這段時(shí)間，或當(dāng)它從一個(gè)地方傳送到另一個(gè)地方，攻擊者惡意修改軟硬件。在工廠，可以通過(guò)加強(qiáng)處理配置控制將這類(lèi)威脅降到最低。通過(guò)使用受控分發(fā)，或者由最終用戶檢驗(yàn)的簽名軟件和訪問(wèn)控制可以消除分發(fā)威脅。表1.4給了這類(lèi)分發(fā)特有的典型攻擊實(shí)例</p><p>　　表1.4 分發(fā)攻擊舉例</

15、p><p>　　1.3 局域網(wǎng)當(dāng)前形式及面臨的問(wèn)題</p><p>　　隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會(huì)信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂(lè)和交往都已離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)。現(xiàn)今，全球網(wǎng)民數(shù)量已超過(guò)15億，網(wǎng)絡(luò)已經(jīng)成為生活中離不開(kāi)的工具，經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開(kāi)放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計(jì)算機(jī)網(wǎng)

16、絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會(huì)因素的各種影響，計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實(shí)施攻擊和入侵，給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的損害，網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長(zhǎng)，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國(guó)共同關(guān)注的焦點(diǎn)。</p&g

17、t;<p>　　根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心2010年初發(fā)布的統(tǒng)計(jì)報(bào)告顯示：我國(guó)互聯(lián)網(wǎng)網(wǎng)站已超過(guò)三百萬(wàn)家，上網(wǎng)用戶2億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也無(wú)處不在，各種網(wǎng)絡(luò)安全漏洞大量存在和不斷被發(fā)現(xiàn)，計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重，計(jì)算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢(shì)。面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)，我國(guó)的網(wǎng)絡(luò)安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許

18、多薄弱環(huán)節(jié)，安全防護(hù)能力不僅大大低于美國(guó)、俄羅斯和以色列等信息安全強(qiáng)國(guó)，而且排在印度、韓國(guó)之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專(zhuān)業(yè)化程度不高，行為不規(guī)范，網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。</p><p>　　面對(duì)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)，如何建設(shè)高質(zhì)量、高穩(wěn)定性、高

19、可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)乃至整個(gè)社會(huì)發(fā)展所要面臨和解決的重大課題。</p><p>　　2 網(wǎng)絡(luò)安全的防護(hù)措施</p><p>　　2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)</p><p>　　2.1.1 網(wǎng)絡(luò)層次結(jié)構(gòu)</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)就是將多臺(tái)計(jì)算機(jī)互連起來(lái)，使得用戶程序能夠交換信息和共享資源。不同系統(tǒng)中的實(shí)體進(jìn)行通信，其過(guò)程是相當(dāng)復(fù)雜

20、的，為了簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)，人們采用工程設(shè)計(jì)中常用的結(jié)構(gòu)化設(shè)計(jì)方法，即將復(fù)雜的通信問(wèn)題分解成若干個(gè)容易處理的子問(wèn)題，然后逐個(gè)加以解決。</p><p>　　網(wǎng)絡(luò)設(shè)計(jì)中采用的結(jié)構(gòu)化設(shè)計(jì)方法，就是將網(wǎng)絡(luò)按照功能分成一系列的層次，每一層次完成一個(gè)特定的功能，相鄰層中的較高層直接使用較低層提供的服務(wù)來(lái)實(shí)現(xiàn)本層的功能，同時(shí)又向它的上層提供服務(wù)，服務(wù)的提供和使用都是通過(guò)相鄰層的接口來(lái)進(jìn)行的。這也就是人們通常所說(shuō)的網(wǎng)絡(luò)層次結(jié)構(gòu)，層

21、次結(jié)構(gòu)是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)。參見(jiàn)圖2.1。這種結(jié)構(gòu)不僅使得網(wǎng)絡(luò)的設(shè)計(jì)與具體的應(yīng)用、基礎(chǔ)的媒體技術(shù)以及互聯(lián)技術(shù)等無(wú)關(guān)，具有很大的靈活性，而且每一層的功能簡(jiǎn)單、易于實(shí)現(xiàn)和維護(hù)。</p><p>　　圖2.1 網(wǎng)絡(luò)的層次結(jié)構(gòu)</p><p>　　2.1.2 服務(wù)、接口和協(xié)議</p><p>　　每一層中的活動(dòng)元素稱(chēng)為實(shí)體，實(shí)體可以是軟件實(shí)體（如進(jìn)程），也可以是硬件實(shí)體

22、（如智能I/O芯片）位于不同系統(tǒng)上同一層中的實(shí)體稱(chēng)為對(duì)等實(shí)體，不同系統(tǒng)間進(jìn)行通信實(shí)際上是各對(duì)等實(shí)體間在通信。在某層上進(jìn)行通信所使用的規(guī)則的集合稱(chēng)為該層的協(xié)議，各層協(xié)議按層次順序排列而成的協(xié)議序列稱(chēng)為協(xié)議棧。</p><p>　　事實(shí)上，除了在最底層的物理媒體上進(jìn)行的是實(shí)通信之外，其余各對(duì)等實(shí)體間進(jìn)行的都是虛通信，即并沒(méi)有數(shù)據(jù)流從一個(gè)系統(tǒng)的第N層直接流到另一個(gè)系統(tǒng)的第N層。每個(gè)實(shí)體只能和同一個(gè)系統(tǒng)中上下相鄰的實(shí)體進(jìn)

23、行直接的通信，不同系統(tǒng)中的對(duì)等實(shí)體是沒(méi)有直接通信能力的，它們間的通信必須通過(guò)其下各層的通信間接完成。第N層實(shí)體向第（N+1）層實(shí)體提供的在第N層上的通信能力稱(chēng)為第N層的服務(wù)。由此可見(jiàn)，第（N+1）層實(shí)體通過(guò)請(qǐng)求第N層的服務(wù)完成第（N+1）層上的通信，而第N層實(shí)體通過(guò)請(qǐng)求第（N-1）層的服務(wù)完成第N層上的通信，以此類(lèi)推直到最底層，最底層上的對(duì)等實(shí)體通過(guò)連接它們的物理媒體直接通信。在第N層協(xié)議中所傳送的每一信息被稱(chēng)作第N層協(xié)議數(shù)據(jù)單元PDU

24、(Protocol Data Unit)。</p><p>　　相鄰實(shí)體間的通信是通過(guò)它們的邊界進(jìn)行的，該邊界稱(chēng)為相鄰層間的接口。在接口處規(guī)定了下層向上層提供的服務(wù)，以及上下層實(shí)體請(qǐng)求（提供）服務(wù)所使用的形式規(guī)范語(yǔ)句，這些形式規(guī)范語(yǔ)句稱(chēng)為服務(wù)原語(yǔ)。因此可以說(shuō)，相鄰實(shí)體通過(guò)發(fā)送或接收服務(wù)原語(yǔ)進(jìn)行交互作用。而下層向上層提供的服務(wù)分為兩大類(lèi)：面向連接的服務(wù)和無(wú)連接的服務(wù)。面向連接的服務(wù)是電話系統(tǒng)服務(wù)模式的抽象，每一次完

25、整的數(shù)據(jù)傳輸都必須經(jīng)過(guò)建立連接、使用連接和終止連接三個(gè)過(guò)程。在數(shù)據(jù)傳輸過(guò)程中，各數(shù)據(jù)分組不攜帶信宿地址，而使用連接號(hào)。本質(zhì)上，服務(wù)類(lèi)型中的連接是一個(gè)管道，發(fā)送者在一端放入數(shù)據(jù)，接收者從另一端取出數(shù)據(jù)，其特點(diǎn)是：收發(fā)數(shù)據(jù)不但順序一致而且內(nèi)容相同。無(wú)連接服務(wù)是郵政系統(tǒng)服務(wù)模式的抽象，其中每個(gè)數(shù)據(jù)分組都攜帶完整的信宿地址，各數(shù)據(jù)分組在系統(tǒng)中獨(dú)立傳送。無(wú)連接服務(wù)不能保證數(shù)據(jù)分組的先后順序，由于先后發(fā)送的數(shù)據(jù)分組可能經(jīng)不同去往信宿，所以先發(fā)的未必

26、先到。</p><p>　　在對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行層次結(jié)構(gòu)的劃分時(shí)，應(yīng)做到：層次功能明確，相互獨(dú)立；層間接口清晰，穿越接口的信息量盡量少；層次適中。雖然模型系統(tǒng)在結(jié)構(gòu)上是分層的，但這并不要求現(xiàn)實(shí)系統(tǒng)在工程實(shí)現(xiàn)時(shí)也采用同樣的層次結(jié)構(gòu)。它們可以由實(shí)現(xiàn)者按其選擇的任何方式來(lái)構(gòu)造，只要這種實(shí)現(xiàn)的最終性能與模型系統(tǒng)所定義的性能相吻合即可。</p><p>　　通常人們將網(wǎng)絡(luò)的層次結(jié)構(gòu)、協(xié)議棧和相鄰層間的接

27、口以及服務(wù)統(tǒng)稱(chēng)為網(wǎng)絡(luò)體系結(jié)構(gòu)。</p><p>　　2.1.3 網(wǎng)絡(luò)參考模型</p><p>　　目前最有代表性的網(wǎng)絡(luò)參考模型是OSI參考模型和TCP/IP參考模型，但TCP/IP參考模型更流行。以下簡(jiǎn)要介紹這兩種參考模型。</p><p><b>　　1、OSI參考模型</b></p><p>　　OSI(Open S

28、ystem Interconnection，開(kāi)放系統(tǒng)互聯(lián)) OSI參考模型分為七層，由低到高依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層，參見(jiàn)圖2.2。OSI參考模型只是規(guī)定了網(wǎng)絡(luò)的層次劃分，以及每一層上所實(shí)現(xiàn)的功能，但它沒(méi)有規(guī)定每一層上所實(shí)現(xiàn)的服務(wù)和協(xié)議，因此它本身并不是一個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)。各層的主要功能如下： </p><p>　　圖2.2 OSI參考模型</p><p

29、>　　應(yīng)用層是OSI參考模型的最高層，它的作用是為應(yīng)用進(jìn)程提供訪問(wèn)OSI環(huán)境的方法；</p><p>　　表示層為上層用戶提供數(shù)據(jù)或信息語(yǔ)法的表示轉(zhuǎn)換；</p><p>　　會(huì)話層是進(jìn)程-進(jìn)程層，進(jìn)程間的通信也稱(chēng)為會(huì)話，會(huì)話層組織和管理不同主機(jī)上各進(jìn)程間的對(duì)話；</p><p>　　傳輸層是第一個(gè)端-端層，也稱(chēng)為主機(jī)-主機(jī)層，它為上層用戶提供不依賴具體網(wǎng)絡(luò)的高

30、效、經(jīng)濟(jì)、透明的端-端數(shù)據(jù)傳輸服務(wù)（所謂端-端是描述網(wǎng)絡(luò)傳輸中對(duì)等實(shí)體之間關(guān)系的一個(gè)概念。在端-端系統(tǒng)中，初始信源機(jī)上某實(shí)體與最終信宿機(jī)的對(duì)等實(shí)體直接通信，彼此之間就像有一條直接線路，而不管傳輸過(guò)程中要經(jīng)過(guò)多少接口報(bào)文處理機(jī)（IMP）。與端-端對(duì)應(yīng)的另一個(gè)概念是點(diǎn)-點(diǎn)。在點(diǎn)-點(diǎn)系統(tǒng)中，對(duì)等實(shí)體間的通信由一段一段的直接相連的機(jī)器間的通信組成）；</p><p>　　網(wǎng)絡(luò)層的作用是將數(shù)據(jù)分成一定長(zhǎng)度的分組，將分組穿過(guò)

31、通信子網(wǎng)從信源送到信宿；</p><p>　　數(shù)據(jù)鏈路層的作用就是通過(guò)一定的手段，將有差錯(cuò)的物理鏈路轉(zhuǎn)化成對(duì)網(wǎng)絡(luò)層來(lái)說(shuō)是沒(méi)有傳輸錯(cuò)誤的數(shù)據(jù)鏈路；</p><p>　　物理層的作用是在物理媒介上傳輸原始的數(shù)據(jù)比特流，這一層的設(shè)計(jì)同具體的物理媒介有關(guān)，如用什么信號(hào)表示“1”，用什么信號(hào)表示“0”，信號(hào)電平多少，收發(fā)雙方如何同步。</p><p>　　由以上幾點(diǎn)可知，只有

32、最低三層涉及通過(guò)通信子網(wǎng)的數(shù)據(jù)傳輸，高三層是端到端的層次，因而通信子網(wǎng)只包括第三層的功能。</p><p>　　從實(shí)際的觀點(diǎn)出發(fā)，OSI分層可以按照以下幾點(diǎn)來(lái)考慮：</p><p><b>　　依賴于應(yīng)用的協(xié)議；</b></p><p>　　與特定媒體相關(guān)的協(xié)議；</p><p>　　在1與2之間的橋接功能。</p

33、><p>　　2、TCP/IP參考模型</p><p>　　TCP/IP參考模型沒(méi)有明確區(qū)分開(kāi)服務(wù)、接口和協(xié)議這三個(gè)概念，并且它是專(zhuān)門(mén)用來(lái)描述TCP/IP協(xié)議棧的，無(wú)法用來(lái)描述其它非TCP/IP網(wǎng)絡(luò)。因此，盡管TCP/IP模型在工業(yè)上得到了廣泛的應(yīng)用，但人們?cè)谟懻摼W(wǎng)絡(luò)時(shí)常常使用OSI參考模型，因?yàn)樗哂幸话阈?。TCP/IP草靠模型分為四層，它們是應(yīng)用層、傳輸層、網(wǎng)絡(luò)互聯(lián)層和網(wǎng)絡(luò)接口層，參見(jiàn)圖

34、2.3。各層功能如下：</p><p>　　圖2.3 TCP/IP參考模型</p><p>　　應(yīng)用層將OSI的高層-應(yīng)用層、表示層和會(huì)話層的功能結(jié)合了起來(lái)，常見(jiàn)的協(xié)議有文件傳輸協(xié)(FTP)、遠(yuǎn)程終端協(xié)議(TELNET)、簡(jiǎn)單電子郵件傳輸協(xié)議(SMTP)、域名系統(tǒng)(DNS)、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)、訪問(wèn)WWW站點(diǎn)的HTTP等；</p><p>　　傳輸層在功

35、能上等價(jià)于OSI的傳輸層。在這一層上主要定義了兩個(gè)傳輸協(xié)議，一個(gè)是可靠的面向連接的協(xié)議，稱(chēng)為傳輸控制協(xié)議(TCP)，另一個(gè)是不可靠的無(wú)連接協(xié)議，稱(chēng)為用戶數(shù)據(jù)報(bào)協(xié)議(UDP)；</p><p>　　網(wǎng)絡(luò)互聯(lián)層在功能上等價(jià)與OSI網(wǎng)絡(luò)層中與子網(wǎng)無(wú)關(guān)的部分。網(wǎng)絡(luò)互聯(lián)層是TCP/IP參考模型的核心，這一層上的協(xié)議稱(chēng)為IP。TCP和IP是非常重要的兩個(gè)協(xié)議，以至于TCP/IP參考模型和TCP/IP協(xié)議族就以這兩個(gè)的名稱(chēng)來(lái)命

36、名；</p><p>　　網(wǎng)絡(luò)接口層在功能上等價(jià)于OSI的子網(wǎng)絡(luò)技術(shù)功能層。它包括OSI模型中的網(wǎng)絡(luò)層中與子網(wǎng)有關(guān)的下部子層、數(shù)據(jù)鏈路層和物理層。負(fù)責(zé)將IP分組封裝成適合在物理網(wǎng)絡(luò)上傳輸?shù)膸袷讲鬏?，或?qū)奈锢砭W(wǎng)絡(luò)接收到的幀解封，取出IP分組交給網(wǎng)絡(luò)互聯(lián)層。</p><p>　　2.2 網(wǎng)絡(luò)安全模型</p><p>　　消息將通過(guò)某種類(lèi)型的互聯(lián)網(wǎng)從一方傳輸?shù)搅?/p>

37、一方。這兩方都是事務(wù)的主體，必須合作以便進(jìn)行消息交換。可以通過(guò)在互聯(lián)網(wǎng)上定義一條從信息源到信息目的地之間的路由以及兩個(gè)信息主體之間使用的某種通信協(xié)議(例如，TCP/IP)，來(lái)建立一條邏輯信息通道。如圖2.4所示：</p><p>　　圖2.4 網(wǎng)絡(luò)安全模型</p><p>　　當(dāng)需要或者希望防范可能對(duì)信息機(jī)密性、真實(shí)性等產(chǎn)生威脅的攻擊者的時(shí)候，安全方面的因素便會(huì)起作用。所有用于提供安全性

38、的技術(shù)都包含以下兩個(gè)主要部分：</p><p>　　第一 對(duì)待發(fā)送信息進(jìn)行與安全相關(guān)的轉(zhuǎn)換。其示例包括：消息加密，使得對(duì)于攻擊者而言該消息不可讀；建立在消息內(nèi)容上面的附加碼，它可以用來(lái)驗(yàn)證發(fā)送者的身份。</p><p>　　第二 兩個(gè)主體共享一些不希望被攻擊者所知的秘密信息。其示例包括與消息變化一起使用的加密密鑰，它在傳輸之前用于打亂消息而在接收之后用于恢復(fù)消息。</p>&

39、lt;p>　　為了達(dá)到安全傳輸可能需要可信的第三方。例如，第三方可能需要負(fù)責(zé)分發(fā)秘密信息給兩個(gè)主體，同時(shí)對(duì)攻擊者隱藏這些信息。通用模型表明設(shè)計(jì)特定的安全服務(wù)時(shí)有四個(gè)基本的任務(wù)：</p><p>　　設(shè)計(jì)用來(lái)執(zhí)行與安全相關(guān)的轉(zhuǎn)換的算法，這種算法應(yīng)該是不會(huì)被攻擊者擊破的。</p><p>　　生成用于該算法的秘密信息。</p><p>　　開(kāi)發(fā)分發(fā)和共享秘密信息的

40、方法。</p><p>　　指定一種能被兩個(gè)主體使用的協(xié)議，這種協(xié)議使用安全算法和秘密信息以便獲得特定的安全服務(wù)。</p><p>　　另一種有害訪問(wèn)是利用計(jì)算機(jī)系統(tǒng)邏輯上的弱點(diǎn)，這不僅能夠影響應(yīng)用程序，而且還能夠影響實(shí)用程序，例如編輯器和編譯器。程序存在兩種形式的威脅：</p><p>　　信息訪問(wèn)威脅：本不該訪問(wèn)某些數(shù)據(jù)用戶截取或修改數(shù)據(jù)。</p>

41、<p>　　服務(wù)威脅：利用計(jì)算機(jī)的服務(wù)缺陷阻止合法用戶的使用。</p><p>　　病毒和蠕蟲(chóng)是軟件攻擊的兩個(gè)具體示例。由于磁盤(pán)的有用軟件可能隱藏著有害邏輯，因此可以通過(guò)這些磁盤(pán)小系統(tǒng)引入這種攻擊。他們同樣可以通過(guò)網(wǎng)絡(luò)進(jìn)入到系統(tǒng)中；后一種機(jī)制在網(wǎng)絡(luò)安全中更受關(guān)注。</p><p>　　解決有害訪問(wèn)的安全機(jī)制主要有兩大范疇。第一類(lèi)范疇是看門(mén)人功能，如圖2.5所示。它包含基于口令的

42、登錄過(guò)程，它們?cè)O(shè)計(jì)成拒絕除授權(quán)用戶外的所有訪問(wèn)，另一類(lèi)安全機(jī)制是屏蔽邏輯，它們?cè)O(shè)計(jì)用來(lái)檢測(cè)和拒絕蠕蟲(chóng)、病毒以及其他類(lèi)似的攻擊。一旦任意一個(gè)有害的用戶或者有害的軟件獲得訪問(wèn)權(quán)，第二道防線包含各種檢測(cè)活動(dòng)的內(nèi)部控制，能夠檢視和分析存儲(chǔ)的信息，以此來(lái)檢測(cè)有害入侵者的存在。</p><p>　　圖2.5 網(wǎng)絡(luò)訪問(wèn)安全模型</p><p>　　2.3 局域網(wǎng)安全防范措施</p>

43、<p>　　2.3.1 防火墻系統(tǒng)</p><p><b>　　1、防火墻概述</b></p><p>　　防火墻是一種用來(lái)增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來(lái)說(shuō)，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺(tái)和多臺(tái)計(jì)算機(jī)構(gòu)成，它對(duì)內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測(cè)、管理和控制，通過(guò)對(duì)數(shù)據(jù)的篩選和過(guò)濾，來(lái)防止

44、未授權(quán)的訪問(wèn)進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。</p><p>　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器

45、，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。</p><p>　　2、防火墻的體系結(jié)構(gòu)</p><p>　　1) 雙重宿主主機(jī)體系結(jié)構(gòu)</p><p>　　雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器，它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP

46、數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過(guò)雙重宿主主機(jī)的過(guò)濾和控制。</p><p>　　2) 被屏蔽主機(jī)體系結(jié)構(gòu)</p><p>　　雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒(méi)有使用路由器。而

47、被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過(guò)濾提供（例如，數(shù)據(jù)包過(guò)濾用于防止人們繞過(guò)代理服務(wù)器直接相連）。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問(wèn)內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺(tái)主機(jī)。因此堡壘主機(jī)要保持更高等級(jí)的主機(jī)安全。數(shù)據(jù)包過(guò)濾容許堡壘主機(jī)開(kāi)放可允許的連接（什么是"可允許連接"將由你的

48、站點(diǎn)的特殊的安全策略決定）到外部世界。</p><p>　　3) 被屏蔽子網(wǎng)體系結(jié)構(gòu)</p><p>　　被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開(kāi)。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡(jiǎn)單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一

49、個(gè)“隔離帶”。為了侵入用這種體系結(jié)構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過(guò)兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過(guò)內(nèi)部路由器。</p><p><b>　　3、防火墻的功能</b></p><p>　　1) 數(shù)據(jù)包過(guò)濾技術(shù)</p><p>　　數(shù)據(jù)包過(guò)慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)的技術(shù)選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則后，

50、只有滿足過(guò)濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過(guò)濾技術(shù)是防火墻中最常用的技術(shù)。對(duì)于一個(gè)危險(xiǎn)的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問(wèn)。包過(guò)濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址，端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò)，只有滿足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地，其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。</p>

51、;<p>　　2) 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)</p><p>　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊(cè)的IP的地址標(biāo)準(zhǔn)，用戶必須要為網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)

52、開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問(wèn)是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。</p><p><b>　　3) 代理技術(shù)</b></p><p>　　代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能，代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)時(shí)的中轉(zhuǎn)連接作用。</p>&l

53、t;p>　　代理偵聽(tīng)網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請(qǐng)求，當(dāng)一個(gè)連接到來(lái)時(shí)，首先進(jìn)行身份驗(yàn)證，并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時(shí)，代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請(qǐng)求，服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。</p><p>　　另一種情況是，外部網(wǎng)通過(guò)代理訪問(wèn)內(nèi)部網(wǎng)，當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請(qǐng)求時(shí)，代理服務(wù)器首先對(duì)該用戶身份進(jìn)行驗(yàn)證。若為合法用戶，則把該請(qǐng)求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個(gè)服務(wù)過(guò)程

54、中，應(yīng)用代理一直監(jiān)控著用戶的操作，一旦用戶進(jìn)行非法操作，就可以進(jìn)行干涉，并對(duì)每一個(gè)操作進(jìn)行記錄。若為不合法用語(yǔ)，則拒絕訪問(wèn)。</p><p>　　2.3.2 入侵檢測(cè)系統(tǒng)</p><p>　　1、入侵檢測(cè)系統(tǒng)概述</p><p>　　入侵檢測(cè)是指通過(guò)對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。入侵檢測(cè)技術(shù)是為保證計(jì)算

55、機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)</p><p><b>　　2、入侵檢測(cè)原理</b></p><p>　　入侵檢測(cè)跟其他檢測(cè)技術(shù)有同樣的原理。從一組數(shù)據(jù)中，檢測(cè)出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時(shí)候會(huì)留下痕跡，這些痕跡和系

56、統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測(cè)系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。</p><p>　　入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。</p><p>　　第二步是信息分析，收

57、集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，檢測(cè)引擎駐留在傳感器中，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。</p><p>　　第三步是結(jié)果處理，控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的告警。</p><p

58、>　　3 基于學(xué)校網(wǎng)絡(luò)安全的研究</p><p>　　3.1 校園網(wǎng)絡(luò)安全防范體系的建立</p><p>　　3.1.1 校園網(wǎng)絡(luò)安全策略概述</p><p>　　具體的安全由以下幾個(gè)方面組成：物理安全、網(wǎng)絡(luò)安全、信息安全[7]。</p><p><b>　　1、物理安全</b></p><

59、p>　　物理安全策略主要指網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)設(shè)備的安全以及不同網(wǎng)絡(luò)之間的隔離進(jìn)行控制的策略。物理安全直接關(guān)系到網(wǎng)絡(luò)的安全，如果非法用戶有接觸網(wǎng)絡(luò)設(shè)備的可能，那么他直接對(duì)設(shè)備進(jìn)行破壞要比通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行破壞容易得多。</p><p><b>　　2、網(wǎng)絡(luò)安全</b></p><p>　　網(wǎng)絡(luò)安全是指系統(tǒng)（主機(jī)、服務(wù)器）安全、反病毒、系統(tǒng)安全檢測(cè)、審計(jì)分析網(wǎng)絡(luò)運(yùn)行安

60、全、備份與恢復(fù)、局域網(wǎng)與子網(wǎng)安全、訪問(wèn)控制（防火墻）、網(wǎng)絡(luò)安全檢測(cè)、入侵檢測(cè)。</p><p><b>　　3、信息安全</b></p><p>　　主要涉及到信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)網(wǎng)絡(luò)傳輸信息內(nèi)容的審計(jì)三方面，具體包括數(shù)據(jù)加密、數(shù)據(jù)完整性鑒別、防抵賴、信息存儲(chǔ)安全、數(shù)據(jù)庫(kù)安全、終端安全、信息的防泄密、信息內(nèi)容審計(jì)、用戶授權(quán)。</p>&l

61、t;p>　　3.1.2 對(duì)于校園網(wǎng)的解決方案</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需要采用分層次的拓?fù)浞雷o(hù)措施，即一個(gè)完整的網(wǎng)絡(luò)安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。網(wǎng)絡(luò)安全防護(hù)分層如下表3.1所示：</p><p>　　表3.1 網(wǎng)絡(luò)安全分層結(jié)構(gòu)</p><p><b>　　1、物理層

62、安全</b></p><p>　　保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。</p><p><b>　　2、網(wǎng)絡(luò)層安全</b></p>

63、<p>　　主要包括：限制非法用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問(wèn)任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。</p><p>　　1) 合理劃分VLAN</p><p>　　VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)

64、備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段而實(shí)現(xiàn)虛擬工作組的技術(shù)。</p><p>　　VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需要的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個(gè)VLAN內(nèi)部的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN在交換

65、機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為4類(lèi)：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于IP組播劃分VLAN。</p><p>　　以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全是好處是顯而易見(jiàn)的：</p><p>　　信息只有到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)

66、聽(tīng)的入侵手段。</p><p>　　通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。</p><p>　　2) 防火墻與IDS</p><p>　　安裝防火墻進(jìn)行安全保護(hù)，它是一種在校園內(nèi)部網(wǎng)和Internet之間實(shí)施的信息安全防范系統(tǒng)技術(shù)，通過(guò)檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性

67、運(yùn)行等實(shí)現(xiàn)安全防護(hù)。</p><p>　　IDS所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報(bào)告外，本身不能對(duì)入侵采取任何的防御措施。</p><p>　　3) 路由器訪問(wèn)控制列表</p><p>　　路由器是內(nèi)部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對(duì)網(wǎng)絡(luò)的安全具有舉足輕重

68、的作用，路由器本身就可以對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和有效地防止外部用戶對(duì)校園網(wǎng)的安全訪問(wèn)，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問(wèn)只能通過(guò)路由器或路由模塊來(lái)完成，因此路由設(shè)備可以作為控制VLAN之間訪問(wèn)的初級(jí)屏障，因此，我們可以利用路由器來(lái)提高網(wǎng)絡(luò)的安全性。</p><p><b>　　3、系統(tǒng)層安全</b></p><p>　　

69、操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心和基礎(chǔ)工具，因此操作系統(tǒng)的漏洞往往成為危害計(jì)算機(jī)和網(wǎng)絡(luò)安全的手段和環(huán)節(jié)。保護(hù)計(jì)算機(jī)操作系統(tǒng)的安全，對(duì)于網(wǎng)絡(luò)的安全尤為重要。</p><p><b>　　4、應(yīng)用層安全</b></p><p>　　1) 網(wǎng)絡(luò)防病毒技術(shù)</p><p>　　網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重

70、要問(wèn)題。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計(jì)算機(jī)病毒的侵害，同時(shí)也是為了建立一個(gè)集中有效的防病毒控制機(jī)制，需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。</p><p>　　安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)可以防范病毒的感染，同時(shí)通過(guò)這些主機(jī)傳遞的文件也可以避免被病毒侵害，并且可以

71、建立一個(gè)集中有效的防病毒控制機(jī)制，從而保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。</p><p>　　2) 應(yīng)用系統(tǒng)防護(hù)策略</p><p>　　對(duì)于應(yīng)用系統(tǒng)，由于其數(shù)據(jù)包含用戶信息、各種應(yīng)用數(shù)據(jù)，是非常關(guān)鍵和重要的，因此要應(yīng)用系統(tǒng)具有很強(qiáng)大的安全防護(hù)能力就必須做到以下三點(diǎn)：一是建立統(tǒng)一的用戶和目錄管理機(jī)制；二是建立認(rèn)證授權(quán)機(jī)制；三是建立備份和恢復(fù)機(jī)制。</p><p>　　3.2

72、 學(xué)校網(wǎng)絡(luò)安全設(shè)計(jì)方案</p><p>　　3.2.1 網(wǎng)絡(luò)安全設(shè)計(jì)原則</p><p><b>　　1、可用性和可靠性</b></p><p>　　保證匯聚以上的網(wǎng)絡(luò)中單點(diǎn)故障不會(huì)使局域網(wǎng)失去與整個(gè)網(wǎng)絡(luò)的連接，多點(diǎn)故障不會(huì)造成整個(gè)網(wǎng)絡(luò)被分成幾個(gè)互不相連的部分。</p><p><b>　　2、網(wǎng)絡(luò)安全性&

73、lt;/b></p><p>　　對(duì)用戶進(jìn)行合理的區(qū)域劃分，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)控制，能有效的抵御病毒的入侵和惡意攻擊，確保網(wǎng)絡(luò)的安全。</p><p><b>　　3、可擴(kuò)展性</b></p><p>　　網(wǎng)絡(luò)系統(tǒng)在體系結(jié)構(gòu)、容量、產(chǎn)品升級(jí)、處理能力等方面必須為今后的擴(kuò)充留有足夠的余地，保證滿足今后的發(fā)展，以及其它的需求。</p&

74、gt;<p>　　3.2.2 網(wǎng)絡(luò)安全建設(shè)方案</p><p><b>　　1、 物理安全</b></p><p>　　物理安全包括通信線路安全，物理設(shè)備的安全，機(jī)房環(huán)境的安全。</p><p>　　1) 通信線路的安全</p><p>　　學(xué)校保衛(wèi)人員要負(fù)責(zé)對(duì)校園進(jìn)行24小時(shí)不間斷的巡邏，防止通信線路被破

75、壞。</p><p><b>　　2) 機(jī)房環(huán)境安全</b></p><p>　　供配電系統(tǒng)安全設(shè)計(jì)：要求能保證對(duì)機(jī)房?jī)?nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會(huì)間斷。</p><p>　　防雷接地系統(tǒng)安全設(shè)計(jì)：保證機(jī)房的各種設(shè)備安全，要求機(jī)房設(shè)有至少四種接地的形式。</p><p>　　消防報(bào)警和

76、自動(dòng)滅火系統(tǒng)安全設(shè)計(jì)。</p><p><b>　　2、 網(wǎng)絡(luò)安全</b></p><p>　　VLAN的劃分是整個(gè)校園網(wǎng)的主體框架，此校園網(wǎng)主要是發(fā)揮三個(gè)方面的功能：教學(xué)功能、管理功能、信息功能。因此校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，分為核心層、匯聚層、接入層。</p><p>　　核心層設(shè)計(jì)為2個(gè)節(jié)點(diǎn)，用2臺(tái)核心交換機(jī)實(shí)現(xiàn)雙機(jī)備份</p&g

77、t;<p>　　匯聚層設(shè)計(jì)為5個(gè)節(jié)點(diǎn)，用5臺(tái)交換機(jī)與核心層交換機(jī)冗余連接互為備份。其中后勤部另加一個(gè)網(wǎng)關(guān)。</p><p>　　根據(jù)各部門(mén)對(duì)校園網(wǎng)的要求，采用基于端口的VLAN劃分方法，對(duì)網(wǎng)絡(luò)進(jìn)行合理劃分，確保校園網(wǎng)絡(luò)的安全。</p><p><b>　　3、應(yīng)用安全</b></p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)

78、已經(jīng)逐步成為人類(lèi)生活中不可缺少的一部分。但隨之而來(lái)的病毒也給我們帶來(lái)了不少的麻煩。因此必須采取措施，對(duì)防病毒軟件進(jìn)行實(shí)時(shí)監(jiān)控，保證防病毒軟件的正常運(yùn)行，在檢測(cè)到防病毒運(yùn)行不正常時(shí)，通知用戶及時(shí)采取措施，避免遭受計(jì)算機(jī)病毒進(jìn)一步的破壞。</p><p><b>　　結(jié) 束 語(yǔ)</b></p><p>　　本文結(jié)合校園網(wǎng)的具體情況，分析現(xiàn)實(shí)網(wǎng)絡(luò)安全需求，確定校園網(wǎng)的安全策

79、略，針對(duì)校園網(wǎng)的安全問(wèn)題提出了一些解決方案，采用了先進(jìn)的安全產(chǎn)品，建立了全面主動(dòng)的網(wǎng)絡(luò)安全防御體系。運(yùn)用了靜態(tài)式防范(如：防火墻)和主動(dòng)式安全檢測(cè)（如：入侵檢測(cè)等）相結(jié)合的技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，校園網(wǎng)也將會(huì)出現(xiàn)新的安全問(wèn)題，校園網(wǎng)整體安全防范體系是一個(gè)動(dòng)態(tài)的、不斷發(fā)展變化的綜合運(yùn)行機(jī)制，這樣就對(duì)網(wǎng)絡(luò)管理者提出了更高的要求，其必須隨時(shí)掌握最新技術(shù)，不斷更新完善網(wǎng)絡(luò)安全體系，使校園網(wǎng)運(yùn)行更加安全、可靠、穩(wěn)定。</p>

80、<p><b>　　謝 辭</b></p><p>　　在整個(gè)畢業(yè)設(shè)計(jì)中，我得到了xx指導(dǎo)老師的熱心指導(dǎo)和幫助，在此我忠心的感李老師對(duì)我的指導(dǎo)和幫助。</p><p><b>　　參 考 文 獻(xiàn)</b></p><p>　　[1]袁津生，吳硯農(nóng)，計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M]，北京：人民郵電出版社，2002年。<

81、/p><p>　　[2]張成昆，網(wǎng)絡(luò)安全原理與技術(shù)，北京：人民郵電出版社，2003年。</p><p>　　[3]李晶名，網(wǎng)絡(luò)安全，北京：電子工業(yè)出版社，2005年。</p><p>　　[4]黃開(kāi)枝，孫巖，網(wǎng)絡(luò)防御與安全對(duì)策[M]，北京：清華大學(xué)出版社，2004年。</p><p>　　[5]胡道元，網(wǎng)絡(luò)安全[M]，北京：清華大學(xué)出版社，200