xxx校园网络规划和设计 xxx班 xxx
要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
2. 配臵防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
3. 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4. 定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。
5. 允许通过配臵网卡对防火墙设臵,提高防火墙管理的安全性。
防火墙是计算机网络上一类防范措施的总称,它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访,用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的则可以用主机甚至一个子网来实现,设臵防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视Internet安全和预警的方便端点。由于网络具有天生的开放性,所以有许多防范功能的防火墙也有一些防范不到的地方,如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。因此,防火墙只能是一种整体安全防范政策的一部分。
实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在IP层实现的,它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报
40
xxx校园网络规划和设计 xxx班 xxx
文通过,因此它可以只用路由器完成。在用应用层网关实现的防火墙有多种方式,如应用代理报务器和网络地址转换器等。
如果校园网不能和Internet连接的话,就不能是一个完整的网络,也不能充分利用Internet网上的大量信息资源。因此校园网和Internet的连接技术就显得十分重要了,它关系到校园网与外部网络能能否进行可靠的连接。当前适合校园网与Internet的宽带连接方式主要有ADSL和光纤专线接入。
ADSL是一种非对称的宽带网络数据传输技术,它的一个明显优势是经济上实用。ADSL宽带线路通过ADSL Modem接入Internet代理服务器的网卡上的,不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规范,线路质量不够好,达不到高速传输的要求,目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一种技术,它是通过构建专用的Internet服务器来实现的,在服务器上运行各种网络服务软件,为校园内部的用户提供Internet的接入服务。光纤接入的优点是可提供比较高的网络带宽和稳定性,但它的连接较为复杂。
网络操作系统NOS(Network Operating System)是在计算机操作系统的基础上,加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议,是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有NetWare、Unix、Linix和Windows2003/2008。在校园网中一般情况下都用Windows 2008/XP网络操作系统,因为它是图形化的操作界面、使用简单、安全可靠,以及和普及率很高Windows系列单机操作系统的兼容性很好。 6.3.1安装漏洞扫描系统
41
xxx校园网络规划和设计 xxx班 xxx
对付破坏系统企图的理想方法当然是建立一个完全安全的没有漏洞的系统,但从实际而言,这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷。
因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果我们能够根据具体的应用环境,