校园网及校园网安全相关技术

　　第二章 校园网及校园网安全相关技术
　　
　　2.1 校园网概述
　　
　　校园网可以为学校范围内提供宽带多媒体网络服务，服务的人员为在校的师生及该校的其他工作人员。校园网具有综合信息服务的特性。其一，校园网是局域网，应具有信息共享，信息交换等功能，且具有很强的专业性。因为校园网必须为学校的教学和科研提供先进的信息化教学环境。在校园网内连接着多媒体教学平台、教师科研平台、校园服务平台等等的资料库或信息平台，校园网同时又是由多个小型局域网通过有线或无线的连接组成的一个大的局域网，这些内部小型局域网可以是一个学院、一个专业或者一个系。其二，校园网为方便学院行政人员与服务人员的工作，还应具有教务、行政和总务管理的功能，这样可以更好的进行人事管理、资产管理、后勤管理等。所以校园网应具有较大的带宽，以及较强的交互性与专业性[6].
　　
　　2.1.1 校园网的发展
　　
　　在二十世纪八十年代，为了推动了国家教育和科研事业的发展。世界上大多数发达国家相继建成了各自的国家级教育和科研计算机网络，随后通过教育和科研计算机网络的发展形成了现今的因特网。国家级的教育和科研计算机网络的发展促进了校园网的发展，反之校园网的发展又成就了 Internet 的发展。Internet 的发展加快了全球计算机信息网络信息传递的速度；校园网的发展也为广大教师学生和科研人员提供了全新的计算机网络环境，促进了学校的发展与进步。为适应世界的发展，我国在1993 年提出建设CERNET（中国教育和科研计算机网）。
　　
　　到现今结点分布于全国的 36 个城市中的 38 所大学，与多个国家和地区联网。同时随着 CERNET 的发展应用，根据教育部的“十二五”规划，众多教育网站将融入整体的教育云平台当中，为现有的 CERNET 进行信息化功能升级，新一代 CERNET 必然成为未来教育信息化的基础，通过各种功能的整合，整个 CERNET 的功能将得到进一步的实现。CNGI-CERNET2 主干网的开通运行是又一进步，该主干网是一个支持了我国下一代互联网科学研究的试验环境，使我国参与全球范围的下一代互联网及其应用的研究提供了良好的、有利的条件。
　　
　　2.1.2 校园网的特点
　　
　　相对于其他网络，校园网有着与企业网、政府网等局域网不同的特点。校园网是在校学生、教师和科研人员的专用网络，存在着一些显着特点：
　　
　　1.校园网环境复杂
　　
　　由于早期规划设计等原因，有线网络错综复杂的存在校园的网络中，本就结构复杂的有线校园网中如今又加入了流行的无线网络，使得校园网络变得更加的复杂不易于管理。校园网同时又是由一个学院、一个专业或者一个系等多个小型局域网通过有线或无线的连接组成的一个大的局域网，使得含有多个子网的校园网环境维护管理十分艰难[7].由于校园网有着一些限制，很多在校学生为了追求自由的上网时间及带宽，选择了办理校外的代理网络，并通过寝室的小局域网链接到校园网络中，这就使得校园网的接入方式变的多样，使得网络内同时存在有电信宽带、联通宽带等多种营运商提供的接入方式；上网方式也由以前单一有线连接，变成了无线连接、有线连接的两种方式。校园网本身有教育网出口和网络营运商提供的多个出口，加之上述的在校学生私自的接入方式，这就使得校园网接入口增多，网络接入口的增多使得校园网的有线网络面临大量安全威胁。新兴无线网络虽然在使用网络上给我们提供了方便，但现阶段由于网络基础设施与技术的限制一般的无线网性能还不是很稳定，并且存在一定安全隐患与安全问题。
　　
　　在建设校园网初期建设由于缺少全面整体的考虑，往往会在建设校园网的过程当中，发生根据实际的问题而改变设计好的原定方案，致使在工程完成后与预期的设计有差别。而且在资金投入的方面出现重视硬件轻视软件的情况，使硬件在缺少相应软件的情况下，无法发挥其应有功能和价值。
　　
　　3.用户群密集且存在上网高峰期
　　
　　校园网人员结构简单，都是在校人员，且以在校的学生为主体，其特点是人数众多，较为活跃，由于学校的作息时间的特点，使得上网的高峰期为午休、晚上和休息日。这段时间内校园网上会消耗大量的核心带宽和出口带宽，因为学生们为了提高自身终端的下载速度，在他们的终端上安装了，如迅雷等 P2P 服务的软件，在这段时间内校园网的网络流量较大，网络环境十分恶劣，严重影响了校园网络的正常使用。
　　
　　4.校园网资源丰富但存在大量安全漏洞
　　
　　由于校园网的交互性，校园网为网中的用户提供信息的资源丰富，又加之校园网中的终端数量众多，使得网络中应用系统呈现多样化，学生由于自身网络知识不同，鉴别和下载的应用软件质量参差不齐，盗版资源泛滥，使得校园网中存在大量安全漏洞，导致用户终端易感染病毒，并通过局域网进行传播，从而出现大面积的交互感染，病毒木马疯狂在网络传播，最终使得网络瘫痪影响正常的校园网络使用。现今由于教学方法的改革有“慕课”、“微课”网络视频教学系统进入到了高校，加上原有的教学、管理、科研和校园一卡通等多种应用系统，增加了校园网管理以及维护的难度系数[8].
　　
　　2.2 校园网安全关键技术
　　
　　2.2.1 防火墙技术
　　
　　防火墙是由一个高级访问控制设备或由一组高级访问控制设备组成的系统，部署于两个或几个不同网络之间，使之成为流经内、外网络信息的必经之路，并对进过的信息加以访问控制，来增强内部网络的安全性。
　　
　　1.防火墙的分类
　　
　　防火墙是在两个或者多个安全区域，利用策略对连接的多个区域之间进行流量控制。纵观防火墙的发展历史，经历了无状态过滤防火墙，应用代理防火墙，基于状态的防火墙以及应用防火墙。
　　
　　随着安全的不断发展，客户的要求也在不断的变化，从而提出了很多防火墙的新概念，例如虚拟防火墙、模块策略结构 MPF（modular policy framework）、透明防火墙。
　　
　　虚拟防火墙概念的提出是因为客户需要对不同的部门进行不同的安全策略控制，而且这些安全策略是独立的[9].PIX 7.0 提出了 context,分为 admin context 与context,首先配置 admin context 对其他 context 进行配置管理。所有这些 context的防火墙是相互独立。admin context 是用于创建新的 context 和改变系统的 context,可以看到整个防火墙的 syslog.虚拟防火墙能简化网络安全的管理，一台设备实现多台设备的功能，同时也降低了成本。PIX 虚拟防火墙虽然能带来一定的功能，但同时也限制了一些功能的使用，虚拟防火墙不支持 VPN、web VPN、动态路由协议、组播通信等。每个虚拟防火墙共享一个流量，当一个虚拟防火墙占用了过多流量，那么就会减少其他虚拟防火墙的流量。
　　
　　模块化策略采用更加灵活的策略过滤，例如 PIX 7.0 以前的版本只能针对所有的TCP连接或者某一个网段的TCP连接设置最大连接数，而模块化的策略能对具体的TCP协议类型进行更加细化灵活的控制。
　　
　　应用层防火墙提供了极强的应用层安全性，能对 Http 等应用层协议的一些具体命令进行过滤，能进行内容过滤，url 过滤，能进行状态检查、安全性检查，同时提供了 NAT/PAT 的支持，动态分配端口号。
　　
　　应用层防火墙防止基于 web 的攻击应用非常广泛，因为企业都不会 block 80 端口，但是很多黑客都利用 80 端口进行攻击，而且很多软件都走 80 端口进行数据传输。
　　
　　比如 http message 等，因此要过滤这些数据需要检查 Http message 的数据头是否符合标准的 RFC 标准或者扩展的方法，如果不符合可以进行阻拦。而且可以检查 http包的长度、包的 request 长度、url 长度等进行检查采取相应的动作。还可对 ftp 的21 端口进行深度检查，通过指定 ftp 的命令范围防范恶意的攻击。
　　
　　PIX 防火墙，TCP 穿越防火墙传输采用 SYN 随机化处理，防止外网黑客监听猜测SYN number 来模仿 server 建立 TCP 连接。
　　
　　透明防火墙是相对于路由模式防火墙而言的。路由防火墙的两边的 IP 地址是在不同网段的，当用户需要把防火墙加入到网络中时，不想改变两边的网络网段，因此需要个透明防火墙，把两个 VLAN 桥接在一起。内网与外网的 IP 地址不做任何变化，都用同一个网关。
　　
　　透明防火墙能让路由协议通过防火墙，同时也让 HSRP、VRRP、GLBP 等协议能穿过防火墙，还能让组播协议、 IPX、MPLS、BPDUS 等穿过防火墙。透明防火墙的 IP地址在作为内部网络的网关而是只用于对防火墙进行管理而用，内网的网关依然是原来的网关。透明防火墙能让防火墙快速的融入到网络中。
　　
　　防火墙的高可用性，当主防火墙出现问题或者连接中断时，通知备用防火墙取代主防火墙同时，把主防火墙在中断前的所有连接信息移植到备用防火墙，从而不用重新建立连接。pix 7.0 支持 active-active 模式的高可用性，是利用虚拟防火墙技术实现的。能对网络的流量进行分流的控制。
　　
　　2.防火墙的功能
　　
　　l 可以实现基本的访问控制技术。
　　
　　l 服务器的负载均衡。
　　
　　l 支持第三方的认证服务器，如支持第三方 RADIUS 服务器认证、支持 OTP 认证服务器、支持 TACAS 及 TACAS+服务器、支持 S/KEY 认证服务器。
　　
　　l 分级的带宽管理l 日志分析，如做通信日志、应用层日志、访问日志等。
　　
　　l 与其他设备联动，如与 IDS 的安全联动、病毒服务器的安全联动、URL 服务器的安全联动等，如图 2-1.
　　
　　l IP 与 MAC（用户）的绑定，解决 IP 盗用问题。
　　
　　目前防火墙融合了很多功能，例如 VPN、远程访问、IDS/IPS、反病毒、内容的深层过滤、负载均衡等。但是丰富了安全功能性，同时也带来了很多挑战性。能不能很好的利用这些功能，需要对网络进行合理的设计。
　　
　　2.2.2 VPN 技术
　　
　　VPN（Virtual Private Network,虚拟专用网络）就是在公共网络上建立一条私有、安全的信息通道，是内网用户与远程用户建立安全的连接。VPN 是现在不断扩展的网络的一个完整组成部分。它在网络元素不断扩展的同时保证了网络的安全性[10].
　　
　　VPN 通常使用加密的隧道将两个或多个私有网络连接在一起。这样，在公开网络上传输的通信对非私有网络部分是隐藏的。
　　
　　1.基于加密与不加密的 VPN 类型比较
　　
　　按照不同的构建方式及要达到的目标，可以对 VPN 进行分类。本节将介绍业界当今使用的不同类型的 VPN.
　　
　　按是否采用了加密技术，VPN 可以分为两类：加密的与非加密的。以上提到的两种类型 VPN 都提供了基于安全策略的必要安全性。但是加密 VPN 通常被认为构造安全VPN 的首选方案。其他类型的 VPN,如 MPLS VPN,其安全性依赖于对 ISP 的信任以及路由功能的安全性与完整性。尽管一个可信任的 ISP 在大多数时候可以提供安全性。
　　
　　但 VPN 设计者倾向于加密 VPN.同样，非加密 VPN 常常采用某些形式的加密方法来做补充。
　　
　　2. 基 OSI 模型分层的 VPN 类型
　　
　　VPN 也可以根据它们在 OSI 模型中所处的层次来分类。这个区分是非常重要的。
　　
　　比如对加密 VPN,加密发生的那一层决定了通信将得到多少加密保护，同样也决定了对于 VPN 的终端用户透明度的级别。
　　
　　基于 OSI 模型层次，VPN 可以分为以下三类。
　　
　　（1）数据链路层 VPN
　　
　　（2）网络层 VPN
　　
　　（3）应用层 VPN
　　
　　2.2.3 入侵检测技术
　　
　　入侵检测（Intrusion Detection）是网络边界的防护技术的核心技术之一，防火墙在保护网络安全的过程中发挥着重要的作用。一般部署在网络的关键节点上，但从目前的安全理论与技术来看，是不能避免攻击者的入侵行为的。在这种形势下，检测那些在防护过程中遗漏的入侵行为，发现新的安全问题的成因，进而逐渐地提高网络的整体安全性就显得尤为重要。入侵检测技术的发展与应用可以更好抑制上述攻击者的行为。
　　
　　1.入侵检测的作用
　　
　　随着网络安全的发展，网络安全人员在为一个网络制定安全策略和安全方案时，更多地采用了 APPDRR 的安全模型，该安全模型我们将会在后续的论文中详细阐述。
　　
　　入侵检测主要应用于 APPDRR 模型的检测环节，并为其他环节提供支持。将入侵检测置于网络安全的 APPDRR 模型当中进行考查，可以更好的利用入侵检测的安全作用。
　　
　　2.入侵检测系统模型
　　
　　FDES 入侵检测模型如图 2-2 所示。IDES 用于检测单一主机中的入侵尝试，主要根据主机系统的审计记录数据生成相关系统的若干轮廓，并监测轮廓的变化差异，发现系统中的入侵行为[11].
　　
　　目前，入侵的行为的种类不断增多和入侵的范围不断扩大，现在的攻击者一般会经过长期准备而且通过网上协作来进行入侵。面对这种情况，入侵检测系统的不同功能组件之间、不同入侵检测系统（IDS）之间共享这类攻击信息是十分重要的。为此，提出了入侵检测框架模型-CIDF[12].
　　
　　CIDF 所做的工作主要包括 4 部分：入侵检测的体系结构、通信体制、描述语言和应用编程接口（API）。如图 2-3 所示，CIDF 根据入侵检测系统通用的需求及现有的入侵检测系统的结构，将入侵检测系统划分为 4 个组件，其中事件产生器是模型中提供系统活动信息的部分。事件分析器分析所得到的数据并产生分析结果。响应单元对分析结果做出反应，采取一系列应急响应动作。事件数据库用来保存事件信息，包括正常事件和入侵事件。
　　
　　3.入侵检测系统的分类
　　
　　在安全体系防御体系中，入侵检测技术能够成为防火墙等防护技术的有利补充，并能发挥其特有的作用，以下将从不同角度对入侵检测系统进行分类。
　　
　　（1）根据原始数据的来源分类
　　
　　l 网络入侵检测系统
　　
　　l 主机入侵检测系统
　　
　　l 混合入侵检测系统
　　
　　（2）根据分析方法分类
　　
　　l 异常检测
　　
　　l 误用检测（特征）
　　
　　（3）根据体系结构分类
　　
　　l 集中式入侵检测系统
　　
　　l 等级式入侵检测系统
　　
　　l 分布式（协作式）入侵检测系统
　　
　　2.2.4 网络访问控制
　　
　　访问控制是通过特定的方法对用户的访问权限进行相应的控制的一种技术。常用的访问控制方法是访问控制列表 ACL（ Access Control List）。下面举例说明 ACL 的含义，假设可访问对象 Object,它的属性标识为 OID,访问用户 User 的属性标识为UID, User 对 Object 访问的类型为“写”（Write）的，那么由属性标识 OID 和 UID 的值以及访问类型 Write 就构成了 Object 访问列表的一个表项，假如 UID=5,OID=A,那么 ACL 中有一条表项为（A,5 Write），见表 2-1.
　　
　　ACL 技术在网络安全中应用非常广泛，而且就整个技术来说也非常复杂，类型非常多。ACL 是一个按顺序应用于数据包的“允许”（Permit）和“拒绝”（Deny）条件的集合。在一个接口上接收到一个包，交换机会把包中的字段与所应用的任何 ACL 进行比较，按照 ACL 中的规定验证这个包是否可以被转发。交换机会按照“包过滤”技术，按照 ACL 中的规则项一条条地进行检查。出于安全考虑 ACL 的默认动作是拒绝，即在ACL 没有找到匹配的语句，该分组将被拒绝，也就是相当于在列表最后隐含着“access-list ACL_# deny any any”语句。ACL_#为 ACL 编号，如表 2-2.
　　
　　ACL 分为标准 ACL 和扩展 ACL,两种 ACL 过滤信息的比较如表 2-3.
　　
　　ACL 语句的处理规则：
　　
　　（1）在列表中发现匹配的语句，就不处理其他的语句
　　
　　（2）如果整个列表中没有匹配的语句，就丢弃分组
　　
　　（3）列表中的语句按顺序处理
　　
　　ACL 可以实现网络中通信信息的过滤，ACL 作用于交换机、路由器、防火墙等网络设备中，并能控制该设备的端口，“允许”或“禁止”数据包的通过；网络被用户使用，ACL 可为网络提供基本级别的保护，在配置 ACL 后，通过设备的数据包会受到ACL 规则的限制，不能随意到达网络的任何地方；ACL 还可以决定在路由器或防火墙接口上哪种类型的通信是允许的，哪种类型的通信是不允许的。例如可以允许邮件通信，而阻止 ICMP ping 通信。从而为网络中用户提供了良好的安全性。
　　
　　ACL 可以允许某台主机去访问网络的一部分，而阻止其他主机访问网络的该区域。在图 2-4 中，某公司网络为例，开发部门的 A 主机允许访问人力资源部门网络，而开发部门的 B 主机则被阻止访问公司人力资源部门网络。
　　
　　2.2.5 设备冗余
　　
　　当系统发生故障时，冗余的设备介入并承担故障设备的工作，由此减少系统的故障时间。保证网络的可靠性。冗余是任何安全系统中的重要组成部分，虽然安全技术和安全措施能够缓解网络攻击和保护系统大部分的漏洞，但是任何一种技术或措施在没有部署冗余设计时，是不能对已知或未知的潜在的威胁或攻击进行防范或抵御的，也不能保证系统的安全。在适合的位置部署冗余设计，是十分重要的。正常工作的设备，从而保证系统的可靠性和稳定性，同时也为网络管理人员建立相应的保护机制争取时间。设备冗余主要为：路由冗余与冗余协议。
　　
　　1.路由冗余
　　
　　路由冗余，以确保在一个特定路径上，一个或多个设备变得不可用时，有一个备份的路径。可以配置路由协议以允许设备间的冗余。在这种配置背后的主要机理是以这样的一种方法建立路由：当一切都正常工作时，路由协议选择一组路由放入路由表，当某些设备发生问题的时候，路由协议选择另一组路由来处理数据。有许多不同的方法完成基于路由的冗余。
　　
　　2.冗余协议
　　
　　冗余协议的作用是当网络中的两个设备，其中的一个出现故障时，另一个设备可以接替第一个设备的工作。包括热备份路由器协议（HSRP）、虚拟路由器冗余协议（VRRP）[13].
　　
　　HSRP 是 Cisco 开发的第一跳冗余协议，是 Cisco 的私有协议。它与通用的 VRRP功能一样，都是设计用来允许第一跳路由器的传输切换（也就是有自动用其他主机接替第一跳网关路由器的功能），以实现网络高可用性。HSRP 路由 IP 通信不依靠任何单一路由器（因为 HSRP 主要应用于路由器，但也在一些三层交换机中得到支持）的可用性。HSRP 通过把多个路由器接口组合在一起，对外以单一虚拟路由器或者默认网关呈现。HSRP 用来在一组路由器中选举一个活动路由器和一个或多个备份路由器。
　　
　　在这个路由器组中，活动路由器用来转发路由包，备份路由器用来在活动路由器失效时接管活动路由器的工作，成为新的活动路由器。
　　
　　VRRP 定义在 RFC 2338 中。它是在 Cisco 设备中未被广泛使用的协议，但是因为不像 HSRP 一样被 Cisco 的私有专利所限制，VRRP 被业界的很多公司所支持。
　　
　　在功能上，VRRP 与 HSRP 非常相似。但是，VRRP 允许参与 VRRP 组的设备间建立认证机制。HSRP 在初始状态机中有 6 个状态和 8 个事件。而 VRRP 仅有 3 个状态和 5个事件。
　　
　　VRRP 协议有无认证、简单的明文密码和使用基于消息摘要算法（MessageDigests,MD5）的 HMAC （Hash-based message authentication code,基于哈希算法的信息认证码） 三种认证方法。
　　
　　VRRP 基本工作原理图 2-5 显示了一个基本的 VRRP 的局域网结构拓扑。在这个拓扑中 VRRP 虚拟路由器的成员为：主路由器 Router A,备份路由器 Router B 和 Router C.虚拟路由器的IP 地址 10.0.0.1,同时该地址也是 Router A 的 IP 地址。因为虚拟路由器使用了Router A 的物理接口 IP 地址，所以 Router A 就成为了虚拟路由器组的主路由器，主路由器 Router A 控制着虚拟路由器的 IP 地址，并对转发到这个虚拟 IP 地址的数据包进行响应。
　　
　　如果主路由器 Router A 因某种原因失效，那么备份路由器中的 Router B 和Router C 将以优先级高的，接替 Router A 来担当主路由器，为网路提供不间断的服务。当 Router A 恢复后，会继续担任主路由器。
　　
　　2.3 校园网安全技术发展趋势
　　
　　校园网安全技术与当今网络安全趋势的发展是一致的。云计算与虚拟化技术将会成为网络安全技术发展的趋势[14].软件定义的网络 SDN 是一种新型的网络体系结构，是网络虚拟化的一种实现方式，通过将网络控制与网络转发解耦合构建开放可编程的网络体系结构[15].SDN 目前已成为当前全球网络领域最热门的研究方向，各大厂商在SDN 领域投入了大量的科研力量，思科、华为、爱立信、IBM、HP 等 IT 厂商也正在研制 SDN 控制器和交换机。随着技术不断发展与推广，在不久的将来 SDN 也会应用到校园网络的建设上来[16].
　　
　　2.4 网络安全设计概述
　　
　　2.4.1 网络安全设计目标
　　
　　网络安全是抵御内部和外部网络各种形式的威胁与攻击，以确保网络安全的过程。一般来说，网络有以下三个目标：
　　
　　1）机密性（Confidentiality）：确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体，防止内容遭到有意或无意的非授权泄漏。
　　
　　2）完整性（Integrity）：确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。
　　
　　3）可用性（Availability）：确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。可用性中还包含了另外一项内容，即安全服务在安全管理员需要时是可用的。
　　
　　以上三个目标就是信息安全通常强调的 CIA 三元组。它也是信息安全的基本要素和安全建设所应遵循的基本原则[17].
　　
　　2.4.2 网络安全系统的设计与实施
　　
　　网络安全是一个系统。它不是防火墙，不是入侵检测，不是虚拟专用网，也不是认证、授权以及审计（AAA），更不是任何的网络设备。网络安全系统是通过相互协作的方式为信息资产提供安全保障的全体网络设备、技术以及最佳做法的集合[18].
　　
　　图 2-7 为安全系统的开发和运行的生命周期，可见，网络安全系统的设计与实施也是一个需要根据网络发展变化不断修改完善的过程，是一个动态平衡的过程。