校园网络安全防范实例

防火墙是设置在被保护网络与外部网络之间的一道屏障，实现网络的安全保障，以防止发生不可**的，潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力，他是提供网络安全服务，实现网络安全的基础设施，严峻的网络安全形势，促进了防火墙技术的不断进步，防火墙的产品也有很多。本案例主要采用工具软件例如天网防火墙，搭建和配置防火墙安全策略的方法。

天网防火墙个人版（简称为天网防火墙）是由天网安全实验室研发制作给个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则（security rules）把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。

天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，它适合于任何方式连接上网的个人用户。

为了便于演示和对该技术方便掌握，我们要求在一台计算机上应该有两个及以上的操作系统，这样我们就需要在主机上安装一个虚拟机及其操作系统，并且作适当的调试和配置，只有完成这些网络环境的搭建，方可进行接下来的工作。

在windows xp 操作系统（虚拟机）中安装天网防火墙，运行后出现天网防火墙主界面，如下图4-1所示：

图4-1 天网防火墙主界面。

打开天网防火墙工具栏中的[ip规则管理]，在这里新建一条规则，用来禁止外部主机用ping来命令连接本机。确定之后，外部主机将无法ping通本机。如下图4-2所示：

图4-2 在ip规则管理界面下增加ip规则。

完成以上操作后，用ping命令来测试主机和虚拟机能否通信。我们用外部主机ping虚拟机（192.168.

1.116），此时外部主机不能ping通虚拟机。如下图4-3所示：

图4-3 外部主机ping虚拟机结果。

入侵检测系统（ids）是一种对网络传输进行及时监控，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设施。与其他网络安全设施不同，ids是一种积极主动的安全防护措施。一个合格的入侵检测系统能够大大的简化管理员的工作，保证网络的安全运行。

目前，ids发展迅速，已有人宣传ids可以完全取代防火墙，本操作也主要介绍在windows xp平台上，如何部署入侵检测工具ossec hids来实现入侵检测系统的方法。

ossec hids是一款开源的入侵检测系统，包括了日志分析、全面检测等。作为一款hids，ossec应该被安装在一台实施监控的系统中，如果多台计算机都安装了ossec，就可以采用客户机服务器模式来运行。客户机可以通过客户端程序将数据发回到服务器端进行分析。

在****软件包，在windows xp 操作系统（虚拟机）中安装，在安装并且相关信息填写完成之后，出现窗口如图4-4所示：

图4-4 ossec安装完成后出现的界面。

点 view菜单中的 view logs来查看日志，看ossec是否正常工作，我们看到如下信息：如图4-5所示。

图4-5 查看日志。

由图上所显示的内容，说明已经连上服务端，而且agent 会分析系统日志包括系统、应用程序、安全日志。这也意味着我们如果想利用好ossec，需要在 windows机器上开启审核策略，这样就会有比较详细的系统日志。

点 view 菜单下的 view config 则可以看到客户端相关的配置比如监控与忽略的目录、注册表项等情况。如下图4-6所示：

图4-6 view config内容显示。

虚拟专用网络（vpn）可以通过特殊的加密通信协议，对位于不同地理位置的两个或多个企业内部网，通过互联网建立一条专有的通信信道。vpn技术原是路由器具有的重要技术之一，目前的交换机、防火墙、及windows 2000以上系统都支持vpn功能。本方案是在windows下搭建vpn的技术方法。

为了便于演示和对该技术方便掌握，我们要求在一台计算机上应该有两个及以上的操作系统，这样我们就需要在主机（windows xp）上安装一个虚拟机及其操作系统（windows server 2003），并且作适当的调试和配置，只有完成这些网络环境的搭建，方可进行接下来的工作。

首先，我们要利用pptp配置vpn网络，在windows xp系统中，先选择[管理工具]，然后选择[本地安全策略]，右键单击[ip安全策略，在本地计算机]，选择[创建ip安全策略]，系统将弹出[ip安全策略向导]，如下图4-7所示：

图4-7 本地安全设置界面。

单击[下一步]按钮，为该安全策略命名，如图4-8所示：

图4-8 ip安全策略向导界面。

单击[下一步]按钮，在[安全通信请求]对话框中，去掉[激活默认相应配置]的选择。

单击[下一步]按钮，此时完成了安全策略的向导，保留[编辑属性]的选择，单击完成按钮退出。

完成后，将立即弹出其属性对话框。首先去掉[使用添加向导]的选择，然后单击，弹出一个对话框。在[ip筛选器列表]选项中，选择[所有icmp通讯量]。

单击[身份验证方法]选项卡，单击[添加]按钮，选择[使用此字串]，然后输入共享密钥，单击[确定]按钮退出。如图4-8所示：

图4-8 身份验证方法。

返回[本地安全设置]窗口，右键单击新建的安全策略，选择[指派]菜单项，此时观察主机和虚拟机的icmp通信，将发现以下情况：如图4-9，图4-10所示。在已配置策略的一端，系统提示：

negotiating ip security；而没有配置的一端，系统直接提示：request timed out

图4-9 利用ping测试vpn

图4-10 利用ping测试vpn

在windows server 2003 操作系统（虚拟机）上，进行上述策略的同样设置，再次观察ping效果，此时可以发现icmp通信恢复了正常。

1、配置vpn服务器。

在windows server 2003 操作系统中首先选择管理工具，然后选择路由和远程访问，出现一新界面，然后右键单击左侧栏中的路由器名，选择配置并启用路由和远程访问，出现安装向导，按照向导，分步进行配置。如图4-11，图4-12所示：

图4-11 配置路由和远程访问。

图4-12 配置路由和远程访问向导。

选中“abc”账户，在弹出的快捷菜单中，选中[属性]，出现如下界面，选择[拨入]选项卡，在远程访问权限拨入或vpn中选择[允许访问]，再单击[确定]，允许客户端以“abc”的身份拨入vpn服务器，这样就完成了vpn服务器端的设置，如图4-13所示：

图4-13 配置远程访问用户拨入属性。

2配置vpn客户端。

在windows xp 操作系统中先选择控制面板，在选择网络连接，进入网络连接界面后，单击新建连接向导，进入兴建连接向导界面，单击下一步，进入网络连接类型选择界面，选择连接到我的工作场所的网络，，此后根据提示进行配置。配置完成之后，打开这个新建连接，弹出vpn客服端连接界面。如图4-14，图 4-15，图4-16所示：

图4-14 路由和远程访问服务器安装向导。

校园网络安全防范实例

校园网络安全知识

校园网络安全知识

校园网络安全知识

其他用户还读了