小议蜜罐技术的校园网络安全范文

1校园网安全模型设计

1.1模型架构

根据当前我院校园网络拓扑结构，我们具体设计了一种基于蜜罐技术的校园网安全模型。蜜网诱骗系统作为一种网络安全工具部署于校园网络的防御系统内部，与原有其他网络安全组件紧密结合，完善网络防御系统的安全防护功能。校园网安全模型主要功能部件说明如下：

（1）内外部防火墙、核心交换机。

外部防火墙直接面对互联网络，提供最外层，也是最主要的防御，同时兼作网络地址转换（NAT）功能。核心交换机汇聚校内所有的网络流量。内部防火墙执行严进宽出，主要阻隔任何蜜网被攻陷后对校园内部的威胁。

（2）Honeywall网关。

Honeywall网关是蜜网诱骗系统最重要的组件，Honeywall是一个二层网关（网桥）。由于网桥没有IP地址、路由通信量及TTL缩减等特征，对入侵者透明。Honeywall网关实现对全部出入数据进行控制和捕获，并内置入侵行为重定向模块，对流经的数据包实行阻隔或重定向。Honeywall网关有A、B、C、D4个网络接口。A口通向DMZ区和外网，对于正常的访问，网关引导至该口；B口连接日志服务器；C口和蜜罐主机相连，用于接收可疑或真正入侵的网络连接；D口连接入侵检测系统。Honeywall网关作为蜜网最前端的网络设备，兼有防火墙功能，实现连接控制，执行“宽进严出”策略。允许所有外部信息包进入蜜网，但对蜜罐主机的所有外发连接进行限制。当某台蜜罐主机外发网络连接数量或带宽达到阈值上限时，Honeywall网关便会阻塞多余信息包，防止蜜罐主机被攻陷后作为跳板攻击DMZ区的服务器和校园内网。Honeywall网关可以运行网络流量仿真软件，营造逼真的业务网络环境。

（3）蜜罐主机。

蜜罐主机可以使用物理机运行真实的操作系统，也可以使用UserModeLinux、VMware等技术构建虚拟操作系统，并根据DMZ区的业务系统部署相应的应用服务。蜜罐主机上的应用服务可采用从真实业务系统中去掉敏感数据后的数据集，以增加对攻击者的迷惑。蜜罐主机可部署双网络接口，对外接口连接Honeywall网关，提供正常的网络通讯；对内接口连接日志服务器，提供外部日志记录，防止蜜罐主机一旦被攻陷后攻击者销毁蜜罐主机系统日志。此外，蜜罐主机还可以应用IP空间欺骗技术来增加入侵者的搜索空间，运用网络流量仿真等多种网络攻击诱骗技术来提高蜜网的诱骗质量，更好地与入侵者进行交互。

（4）入侵检测系统。

入侵检测系统负责对网络行为进行监控和检测，一旦发现任何可疑的入侵行为，立即与Honeywall网关进行联动。入侵检测系统可以使用Snort进行部署。对于小型的应用，入侵检测系统可以集成到Honeywall网关，作为子模块运行，以降低部署的难度。

（5）日志服务器。

日志服务器主要记录Honeywall网关传来的防火墙日志、入侵检测日志和蜜罐主机的系统日志等，供数据分析软件和研究者对攻击行为进行研究分析。

2模型应用

2.1主动防御校园网络安全

蜜网项目组开发了一套快速和简单的工具Hon-eywall光盘来部署蜜网。本文利用该工具，完成复杂的Honeywall网关配置，并使用VMware虚拟机技术构建WWW、FTP等蜜罐，在校园网部署了一个简单的蜜网。经过实际测试使用，蜜网在引诱和迷惑攻击者方面起到较好作用，一定程度上保障了校园网的安全。蜜网收集了很多有价值的信息，为研究者提供了很好的素材。

2.2为网络安全课程提供教学环境

本文部署的蜜网应用到本校的网络安全类课程教学中。蜜网比传统的单机模拟更加贴近真实网络环境。教师应用蜜网搜集的数据到课堂教学中，教导学生如何使用工具分析攻击数据。利用蜜网技术可构建真实的攻防演练平台，为教学提供最真实的试验环境。实际教学测试效果表明，蜜网的应用提高了网络安全类课程的教学效果。

3结束语

研究和介绍了蜜罐和蜜网的相关概念和技术，并提出了基于蜜网技术的校园网络安全模型。经过实际使用测试，该模型在主动防御校园网和辅助教学方面收到较好的效果。

作者：谢盛嘉黄志成单位：广东女子职业技术学院