Monowall构筑安全校园网

wx9901
2 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

Monowall构筑安全校园网江油市明镜中学周传金随着网络技术的发展，网络给我们带来了极大的方便的同时，也带来了极大的麻烦。病毒、木马和流氓软件充斥着整个网络。造成网络堵塞，各种网络信息（QQ密码、游戏帐号、网银帐号等）被盗。大多杀毒软件处于非常尴尬的地位，稍不留神就被病毒、木马破坏，造成杀毒软件不能正常运行。况且杀毒软件只能查杀大部分病毒、木马。一少许病毒、木马没有进入杀毒软件的病毒特征库，则杀毒软件就无法查杀。近段时间，网络流行一种arp病毒或木马，该病毒或木马利用tcp/ip通信协议的漏洞，造成局域网中断或堵塞，乘机盗取各种网络信息。为了加强网络管理，上级主管部门为各学校安装网络监控软件，此网络监控软件自动接入上级网监部门，网监部门对所有上网学校内的计算机进行监控并保存上网历史记录，以备网络安全事故发生后进行责任追究。目前大多小型校园网采用普通路由器下接普通交换机的网络模式，这无疑增大了校园网的管理人员的工作量，一方面为了保证网络通畅要对网内的计算机进行杀毒，另一方面又要督促各校园网接入用户进行上网登记。做了很多费力不讨好的事。利用Monowall进行校园网管理大致思路为：利用一台的PⅡ级的电脑（该类型电脑稳定、发热量低，可长时间工作）装双网卡做成路由器，此电脑安装Monowall（Monowall是一种基于freebsd的开放源代码的免费路由器防火墙软件，功能非常强大，毫不逊色万元级的硬件防火墙，网上有许多安装、调试教程，本文不在赘述）。在Monowall路由器上绑定上网用户的mac地址，上网用户计算机绑定Monowall路由器地址，即双绑，主要防止arp病毒，以保证网络通畅。同时在Monowall路由器上开通入网认证功能，给所有上网人员分配入网帐号和密码，进行实名制上网。另外在安装网络监控软件的计算机上安装日志接收软件，记录Monowall路由器上的入网帐号情况，代替上网登记册，作为上网登记凭证。下面就Monowall双绑防arp病毒和开通入网认证，构筑安全校园网的设置1和实施进行述说。进入Monowall的web控制界面，点出“shellcmd”进入Shellcmdversion1.06，在“arp配置表”中输入所有上网用户计算机的IP和MAC，并钩选下面的填充Arp，此步目的是为了让Monowall绑定上网用户计算机的MAC，钩选下面的填充Arp并按提示“在shellcmd命令里添加ifconfigde0-arp可使客户端不能自动注册mac地址”在shellcmd命令里添加“ifconfigde0–arp”命令，可以防止arp病毒进行网关地址欺骗。（如图一、二）因为客户端不址，那么客户端就要绑定网关才能上网，可以在客户端运行绑定批命令或绑定程序，一般来说绑定批命令仍能受arp病毒攻击更改客户端arp记录，昀好用绑定程序，可以用vb编一个绑定程序，也可从网上下载绑定程序，我从网上下载了一个飞鱼星的免费绑定程序，将里面的网页，进行适当修改，做成安装程序，放在校园网服务器上，供客户端计算机下载安装（如图三、能自动注册mac地四）2此图六程序运行后，能绑定网关地址，若中arp病毒计算机企图修改其arp记录，它能报（如“门户页面内容”中，当用户出认证，可以在打开后台隐藏的绑定程警，并自动改回正确的网关mac地址。入网认证功能的开通。图七图五）进入Monowall的web管理界面，在“服务功能”的“入网门户”按提示启用入网门户功能。在“用户”栏中添加入网帐号和密码，可做一个（如图六）的入网认证页面。上传在Monowall的“入网门户”的使用IE进行上网时，系统会自动转到该页面，要求用户输入帐号和密码进行认证。认证成功后系统自动弹出认证成功的页面（如图七），单击该页面的“断开连接”按钮可以退出认证。若用户无意间关闭了该页面而又要退序，在绑定程序中有“入网认证”的按钮，它是一个超链接，链接到“http://网关IP:8000”（一般用户记不住，也不方便在地址栏中输入）。当单击该按钮，便可打开入网认证页面（如图八），在此页面输入用户自己的帐号和密码，确认后，系统自动打开认证成功的页面。用户3就可以退出认证了。图八图九图十图十一入网认证的日志记录。由于Monowall在“诊断”下的“日志”中的“设置”。WallWatcher日志软件运行情况图记录的，有上网计算机的是基于内存工作，它启动完毕后，所有的日志内容记录在内存中，而且只记录当前的日志，可以进入Monowall的web管理界面（如图九）选项中，钩选“记录syslog到其它syslog日志记录服务器”并输入日志记录服务器的IP，这里只让日志记录服务器记录入网门户（如图十）在日志记录服务器上安装WallWatcher日志软件，并做好设置，就可以记录入网门户的情况（如图十一）分别为WallWatcher日志软件运行情况和日志记录情况。日志记录情况是以文本文件方式记录的，每天一个文件，完全按时间、IP、MAC和入网帐号，方便以后查找。4