高校計(jì)算機(jī)類實(shí)驗(yàn)室網(wǎng)絡(luò)安全防范機(jī)制

李秀峰

（長(zhǎng)治學(xué)院 計(jì)算機(jī)系，山西 長(zhǎng)治 046011）

高校計(jì)算機(jī)類實(shí)驗(yàn)室網(wǎng)絡(luò)安全防范機(jī)制

李秀峰

（長(zhǎng)治學(xué)院 計(jì)算機(jī)系，山西 長(zhǎng)治 046011）

隨著高校計(jì)算機(jī)類實(shí)驗(yàn)室規(guī)模的擴(kuò)大，網(wǎng)絡(luò)安全問題也越來(lái)越突出。文章從現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)出發(fā)對(duì)此問題進(jìn)行了研究，介紹了網(wǎng)絡(luò)安全的現(xiàn)狀以及各種網(wǎng)絡(luò)安全防范機(jī)制，如：防火墻技術(shù)、ACL技術(shù)、NAT技術(shù)和網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。組合以上多種技術(shù)，設(shè)計(jì)并采用一系列網(wǎng)絡(luò)安全措施，從而有效地保證了高校計(jì)算機(jī)類實(shí)驗(yàn)室的網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全；防火墻技術(shù)；ACL技術(shù)；NAT技術(shù)；網(wǎng)絡(luò)入侵防護(hù)技術(shù)

計(jì)算機(jī)類實(shí)驗(yàn)室的實(shí)驗(yàn)室軟件安裝覆蓋面比較廣。同時(shí)，由于授課規(guī)模常在50人左右，因此要計(jì)算機(jī)類實(shí)驗(yàn)室中一個(gè)好的教學(xué)傳播軟件也是必要的，如極域2010、紅蜘蛛等，這些軟件均需要一個(gè)良好的局域網(wǎng)環(huán)境。另外，開放性實(shí)驗(yàn)以及編程類實(shí)驗(yàn)需要訪問互聯(lián)網(wǎng)以獲取更多的資源，這就要求實(shí)驗(yàn)室要提供安全、暢通和穩(wěn)定的網(wǎng)絡(luò)環(huán)境。雖然目前互聯(lián)網(wǎng)安全環(huán)境較之以前有了較好的發(fā)展，但是依舊潛在一定的威脅，如：釣魚網(wǎng)站、掛馬網(wǎng)站和捆綁病毒的軟件等，使得用戶在上網(wǎng)時(shí)不得不小心謹(jǐn)慎。實(shí)驗(yàn)室教學(xué)資源有限且學(xué)生較多，多臺(tái)電腦故障就會(huì)影響授課質(zhì)量。因此，我們必須做好網(wǎng)絡(luò)內(nèi)外的防護(hù)工作，做到防患于未然，將風(fēng)險(xiǎn)和損失降到最低。

1 網(wǎng)絡(luò)安全現(xiàn)狀

網(wǎng)絡(luò)給人們帶來(lái)便利的同時(shí)也帶來(lái)了損失。網(wǎng)絡(luò)化使人們的交流更迅捷，也正是由于這種快速的通信方式使得不法分子有機(jī)可乘。在用戶通過網(wǎng)絡(luò)交流、購(gòu)物和查賬時(shí)，木馬、病毒這類帶有威脅性的計(jì)算機(jī)程序有可能悄悄潛入用戶計(jì)算機(jī)，竅取用戶數(shù)據(jù)，甚至進(jìn)行一些破壞活動(dòng)等。比如家喻戶曉的震蕩波，熊貓燒香、沖擊波、灰鴿子等木馬病毒，都是危害度盛極一時(shí)的代表，給廣大計(jì)算機(jī)用戶造成了嚴(yán)重的經(jīng)濟(jì)損失。

計(jì)算機(jī)專業(yè)的學(xué)生作為用戶之一，在遭受攻擊之后，除了想方設(shè)法解決問題，更傾向于研究此類病毒的制作和攻擊原理。學(xué)生經(jīng)常在實(shí)驗(yàn)室瀏覽黑客網(wǎng)站，學(xué)習(xí)和研究此類危險(xiǎn)程序。這給實(shí)驗(yàn)室的網(wǎng)絡(luò)安全管理工作帶來(lái)了極大的挑戰(zhàn)，輕者重裝系統(tǒng)，重者造成硬件故障，嚴(yán)重影響教學(xué)秩序。為了避免出現(xiàn)此類問題，可以采用許多方法進(jìn)行防范。

2 常見攻擊類型

2.1 計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是最常見的帶有威脅性的計(jì)算機(jī)程序，它是一組指令或者程序代碼，捆綁于其他程序并進(jìn)行偽裝，后對(duì)計(jì)算機(jī)實(shí)施破壞。特點(diǎn)包括：破壞性大、高度傳染性和不易發(fā)現(xiàn)等[1]。其傳播方式有多種途徑，如：U盤，內(nèi)存卡，硬盤以及網(wǎng)絡(luò)傳播等。傳輸至計(jì)算機(jī)后，對(duì)計(jì)算機(jī)進(jìn)行控制、破壞，甚至使計(jì)算機(jī)癱瘓。

2.2 木馬攻擊

計(jì)算機(jī)木馬類似于特洛伊木馬潛伏在計(jì)算機(jī)系統(tǒng)中，系統(tǒng)啟動(dòng)后隱藏于某特定的系統(tǒng)端口，當(dāng)木馬程序接收到指示或特殊的應(yīng)用啟動(dòng)后，會(huì)將目標(biāo)數(shù)據(jù)進(jìn)行復(fù)制、竊取賬戶名和密碼等隱蔽性操作[2]。

2.3 拒絕服務(wù)攻擊

拒絕服務(wù)是指占據(jù)部分網(wǎng)絡(luò)端口，使正在運(yùn)行的計(jì)算機(jī)消耗大量的連接資源，導(dǎo)致其死機(jī)或無(wú)法響應(yīng)。較為典型的為DDOS攻擊，它將一段設(shè)定好的程序代碼發(fā)送到網(wǎng)絡(luò)服務(wù)器終端，使服務(wù)器忙于回復(fù)客戶端的請(qǐng)求，并不停地等待一個(gè)不存在的客戶端回復(fù)，因此消耗掉系統(tǒng)大量的可用資源，使得系統(tǒng)不能對(duì)一些合法程序的請(qǐng)求進(jìn)行處理?？傊?，拒絕服務(wù)攻擊使服務(wù)器中止或不能提供優(yōu)質(zhì)服務(wù)，以達(dá)到擊垮競(jìng)爭(zhēng)對(duì)手或其他危害計(jì)算機(jī)用戶的目的。此類攻擊范圍較廣，凡類似于此類攻擊均屬于拒絕服務(wù)攻擊的范疇。

2.4 固有的安全漏洞

以微軟操作系統(tǒng)為例，系統(tǒng)每周或每月會(huì)不定期進(jìn)行補(bǔ)丁更新，這是由于每個(gè)新開發(fā)的應(yīng)用軟件或操作系統(tǒng)都會(huì)存在漏洞，一旦軟件發(fā)布公測(cè)或正式版本，其漏洞和缺陷在很短時(shí)間內(nèi)可能就會(huì)被發(fā)現(xiàn)。目前還不存在一個(gè)完善的系統(tǒng)或應(yīng)用軟件，而想設(shè)計(jì)一個(gè)完美無(wú)瑕的系統(tǒng)幾乎是不可能的。緩沖區(qū)溢出是系統(tǒng)最容易被攻擊的地方。這是因?yàn)榇蠖鄶?shù)系統(tǒng)對(duì)任意長(zhǎng)短的數(shù)據(jù)都能接受，但若向系統(tǒng)發(fā)送過長(zhǎng)的指令，致使長(zhǎng)度超出系統(tǒng)緩沖區(qū)的處理范圍，系統(tǒng)運(yùn)行將會(huì)失去穩(wěn)定，給系統(tǒng)造成嚴(yán)重的破壞。

3 計(jì)算機(jī)網(wǎng)絡(luò)信息安全的防護(hù)策略

3.1 防火墻技術(shù)

防火墻技術(shù)由來(lái)已久，它是由消防詞匯引申而來(lái)，寓意為防止外來(lái)攻擊的屏障，用來(lái)保護(hù)系統(tǒng)內(nèi)部信息不被惡意訪問。防火墻系統(tǒng)主要分為兩種：分組過濾和代理服務(wù)。前者使用分組過濾路由器將同一個(gè)IP地址的源代碼、目的代碼及相關(guān)協(xié)議進(jìn)行分組后，分別設(shè)定權(quán)限允許或者拒絕其通過，以達(dá)到對(duì)外界IP地址訪問權(quán)限的控制。而代理服務(wù)技術(shù)是使用相關(guān)服務(wù)器技術(shù)，當(dāng)外來(lái)用戶申請(qǐng)時(shí)，系統(tǒng)判定后允許其互聯(lián)的一種方式，這種方式不允許內(nèi)外網(wǎng)直接互聯(lián)，以達(dá)到保護(hù)內(nèi)網(wǎng)的目的。

3.2 升級(jí)操作系統(tǒng)補(bǔ)丁

由于操作系統(tǒng)本身總是存在一些不完善的地方，因此為了避免受其漏洞影響而被攻擊，工作站、服務(wù)器以及路由器等網(wǎng)絡(luò)設(shè)備需要及時(shí)更新補(bǔ)丁或系統(tǒng)版本，這樣可以對(duì)大多數(shù)的網(wǎng)絡(luò)攻擊起到很好的防御作用。

3.3ACL技術(shù)

ACL技術(shù)，即訪問控制列表，常應(yīng)用于路由器端口。分為三種：標(biāo)準(zhǔn)訪問控制列表，擴(kuò)展訪問控制列表和命名訪問控制列表。根據(jù)不同的網(wǎng)絡(luò)環(huán)境，使用不同的類型可以禁止某些IP地址的訪問或者禁止訪問某些IP地址，以保護(hù)內(nèi)網(wǎng)主機(jī)的安全，如：標(biāo)準(zhǔn)訪問控制列表可以在不同的端口定義入口和出口規(guī)則限制源IP地址的訪問權(quán)限。擴(kuò)展形式的ACL不僅可以限制源IP地址的訪問，同時(shí)可以限制其具體訪問某個(gè)目的IP地址，提高精確性和確定性，使得ACL靈活多變。命名形式的ACL是在擴(kuò)展ACL的基礎(chǔ)上將ACL的編號(hào)以名字代替，提高的了ACL的可讀性和維護(hù)性。

3.4NAT技術(shù)

NAT技術(shù)是一種IP地址轉(zhuǎn)換技術(shù)，分為靜態(tài)、動(dòng)態(tài)和端口復(fù)用三種方式，它可以采用以上三種方式將內(nèi)網(wǎng)主機(jī)的IP轉(zhuǎn)換為外網(wǎng)IP，以另外一個(gè)身份與外界交流信息，使得外部網(wǎng)絡(luò)無(wú)法獲取真正的內(nèi)網(wǎng)主機(jī)地址，避免了絕大部分的外部網(wǎng)絡(luò)攻擊。同時(shí)可以減少外網(wǎng)地址的租用量，使得多個(gè)內(nèi)網(wǎng)地址使用1個(gè)或1組外網(wǎng)IP，達(dá)到節(jié)約外網(wǎng)IP地址的作用。

3.5 入侵防護(hù)技術(shù)(IPS)

IPS是利用一個(gè)網(wǎng)絡(luò)端口對(duì)外部流量進(jìn)行檢查，若確認(rèn)了其安全性，外部流量會(huì)通過系統(tǒng)的另一個(gè)端口與內(nèi)部直接相連。IPS直接嵌入到網(wǎng)絡(luò)，不需要利用其它介質(zhì)間接進(jìn)入內(nèi)部系統(tǒng)。[3]因此，IPS一旦發(fā)現(xiàn)有攻擊者入侵網(wǎng)絡(luò)，就會(huì)根據(jù)入侵特性創(chuàng)建過濾器。若有攻擊者通過數(shù)據(jù)鏈路層到應(yīng)用層的漏洞發(fā)起對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，IPS能夠檢查數(shù)據(jù)流中的入侵行為，同時(shí)對(duì)其進(jìn)行攔截。

3.6 蜜罐技術(shù)

蜜罐是近幾年來(lái)新興的互聯(lián)網(wǎng)安全防御技術(shù)，它可以動(dòng)態(tài)識(shí)別未知攻擊信息，然后將未知的攻擊信息及時(shí)反饋給互聯(lián)網(wǎng)防護(hù)體系，動(dòng)態(tài)提高網(wǎng)絡(luò)防護(hù)能力。[4]蜜罐技術(shù)與其它防御技術(shù)有很大的不同：它允許攻擊者入侵到網(wǎng)絡(luò)，在此過程中它會(huì)主動(dòng)學(xué)習(xí)并詳盡記錄與攻擊行為相關(guān)的信息。然后經(jīng)系統(tǒng)自行分析后，動(dòng)態(tài)調(diào)整互聯(lián)網(wǎng)的安全防御策略，進(jìn)而提高網(wǎng)絡(luò)安全性能。

4 總結(jié)

文章從應(yīng)用技術(shù)的角度闡述了網(wǎng)絡(luò)安全的防御方法。此外，實(shí)驗(yàn)室的管理也應(yīng)納入安全機(jī)制設(shè)置范圍，如：建立嚴(yán)格的實(shí)驗(yàn)室使用規(guī)則，提高管理人員的安全意識(shí)和技術(shù)能力，規(guī)范使用人員的行為習(xí)慣等也是不容忽視的措施。這就需要我們?cè)诰W(wǎng)絡(luò)安全技術(shù)上不斷地探索和研究，加強(qiáng)人員管理和學(xué)生教育，進(jìn)一步完善高校計(jì)算機(jī)類實(shí)驗(yàn)室的網(wǎng)絡(luò)安全防范。

［1］錢真坤，葉小路.計(jì)算機(jī)網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全應(yīng)用研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2013.(8)：5-6.

［2］朱玲華.關(guān)于互聯(lián)網(wǎng)安全防御技術(shù)的分析［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2013.(8)：21-24.

［3］黃成兵.計(jì)算機(jī)網(wǎng)絡(luò)安全與防御分析［J］.福建電腦.2011.9(6)：84-86.

［4］石瑋.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全與防御技術(shù)［J］.計(jì)算機(jī)光盤軟件與應(yīng)用，2010.6(13)131-132.

Li Xiu-feng
（Computer Department of Changzhi University,Changzhi Shanxi 046011）

（責(zé)任編輯 張劍妹）

TP393.08

A

1673-2015（2015）05-0050-03

長(zhǎng)治學(xué)院校級(jí)科研項(xiàng)目(201520)。

2015—06—15

李秀峰（1987—）男，山西長(zhǎng)治人，碩士，主要從事計(jì)算機(jī)網(wǎng)絡(luò)研究。