校园网网络安全设计方案 第4页
这些联网特性的灵活性。而Linux为用户提供了完善的、强大的网络功能。
7.可靠的系统安全:Linux采取了许多安全技术措施,包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等,这为网络多用户环境中的用户提供了必要的安全保障。
8.良好的可移植性:可移植性是指将操作系统从一个平台转移到另一个平台使它仍然能按其自身的方式运行的能力。
Linux是一种可移植的操作系统,能够在从微型计算机到大型计算机的任何环境中和任何平台上运行。可移植性为运行Linux的不同计算机平台与其他任何机器进行准确而有效的通信提供了手段,不需要另外增加特殊的和昂贵的通信接口。
第五章 校园网络安全的技术
5.1 入侵检测技术
利用防火墙技术,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅利用防火墙,对网络安全来说还远远不够,入侵者可寻找防火墙背后可能敞开的后门,也可能就在防火墙内,等等。
入侵检测的目的就是提供实时的检测及采取相应的防护手段,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为,阻止黑客的入侵。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网中采用入侵检测技术,最好采用混合入侵检测。需要从两方面来着手—基于网络的入侵检测和基于主机的入侵检测。
一、基于网络的入侵检测
该检测主要通过定期使用专用的网络监视软件分析网络数据流量、主要数据内容来完成,例如使用Intel Express 550T Routing Switch所带的专用管理用具Intel Device View对交换机、端口间的每秒输出包、输入包、广播包的数量进行统计,若发现网络中有某台机器的流量超过正常值,则表示该主机可能感染了某种病毒导致不停地向网络中发出各种进攻。另外,当得知某端口的主机网络流量出现异常时,也可使用专用的网络数据监视器对其发出和接受的数据进行具体监视,例如使用微软SMS(System Manager Server)所带的网络监视器利用SNMP协议对某端口出入数据进行详细分析,可统计出该主机具体是哪种协议、哪个端口所发的数据最多,以及具体的数据内容。
二、基于主机的入侵检测
该项检测主要通过防火墙日志以及各种服务软件的日志统计来完成,例如在FTP服务器中发现某时段某用户登录失败次数超过100次以上,这就表示极可能有黑客在用穷举法试图破译某FTP用户的密码。
5.2 防火墙技术
防火墙是一种将内部网络和外部网络分开的方法,是提供信息安全服务、实现网络和信息系统安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息传递等操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网络和外部网络之间的任何活动,保证内部网络的安全。
防火墙是一种行之有效且应用广泛的网络安全机制,能够有效防止Internet上的不安全因素蔓延到局域网内部。防火墙从原理上可以分为两大类:包过滤(Packet Filtering)型和代理服务(Proxy Service)型。
一、 利用Linux核心中的IP链(IP Chains)规则建立包过滤防火墙。
使用IP链规则建立防火墙的主要原因并不是因为它是免费软件,而是因为IP链规则是一套直接编译在Linux核心中的防火墙,其运行效率是其他外挂在操作系统上的软件防火墙所无法比拟的,因此假若希望在流量较大网络接口安设防火墙,而又不想购买昂贵的硬件防火墙时,采用IP链规则建立包过滤防火墙是一个不错的选择。
二、 利用IP伪装(IP Masquerade)实现内网微机透明访问Internet。
IP伪装是NAT(Network Address Translation网络地址转换)的一种方式,即当内网的机器需要访问Internet时,具有IP伪装功能的服务器会将内部网络使用的非公有IP伪装成同一个公有IP访问Internet,这就可以使内网用户可以透明地访问Internet而不用安装任何客户端软件,减少了许多不必要的麻烦。