近年来，网络安全问题已分布于TCP/IP模型的每一个层面上，网络透视分析、安全事件关联分析等技术成为当前校园网安全研究的重点。通过几年的研究与探索，合肥学院网络安全体系初步成形，其结构如图1所示。

图1 合肥学院网络安全系统结构

　　在整个安全架构中，网络应用分析对掌握网络应用的构成，进行安全隐患分析和预警至关重要。目前，采用网络流技术和网络探针来分析流量构成是主流的方法，网络流分析占用网络系统资源小，分析效率较高，是高校在网络边缘和核心交换设备上易于部署和采用的技术。商业化的分析软件功能强，可视化好，但价格昂贵，对校园网来说，在经费紧张的情况下可以使用开源软件，如Flowtools、Ntop等来进行流量分析。

　　我们在思科6509交换机和华为3com 6602路由器接口上启用网络流采样输出，全网数据流都利用NetFlow Analyzer软件进行数据收集与分析。在关键链路上为了更精确地监控流量而使用了开源的网络分析工具Ntop，其与学院通用网管系统相结合，为掌握网络流量细节提供了有效手段。

　　流量监控工具NetFlow

　　NetFlow可以部署在网络中的任何位置，出于统计效率的考虑通常部署在网络边缘和核心。在较高端的边缘路由器上开启NetFlow时可以考虑采用低的采样比，从而获取更准确的出口流量和应用信息。在思科核心交换机Cisco6509上，首先在二层开启NetFlow，设置老化时间、nde版本及抽样比等参数。之后，在三层接口使用NetFlow，设置启用接口、flow版本及collector目的地址和端口号等。

　　二层命令如下：
　　hfuu-cisco6509-master(config)#mls netflow
　　hfuu-cisco6509-master(config)#mls aging fast time 4 threshold 128
　　hfuu-cisco6509-master(config)#mls aging long 64
　　hfuu-cisco6509-master(config)#mls aging normal 32
　　hfuu-cisco6509-master(config)#mls flow ip interface-full
　　hfuu-cisco6509-master(config)#mls nde sender version 5
　　hfuu-cisco6509-master(config)#mls nde interface
　　hfuu-cisco6509-master(config)#mls sampling packet-based 64 4096
　　三层命令如下：
　　hfuu-cisco6509-master(config)#int vlan 101
　　hfuu-cisco6509-mas(config-if)#ip route-cache flow
　　hfuu-cisco6509-master(config)ip flow-export source Vlan101
　　hfuu-cisco6509-master(config)ip flow-export version 5
　　hfuu-cisco6509-master(config)ip flow-export destination 210.45.88.85 9996
　　配置完成后可以使用下列命令显示当前cache 中的流信息。
　　hfuu-cisco6509-master# show ip cache flow
　　该命令可以显示网内不同大小数据包的分布状况、网络协议的数据流数等信息，可初步判断网络的运行状况，show mls netflow ip命令可以查看更多的流细节，使用include、tcp、udp等参数可以控制输出指定的流信息。

NetFlow功能是基于硬件完成，并可以配置使用不同的采样比来收集数据，NetFlow功能的开启对核心设备的资源消耗影响不大，自从6509核心交换机开启NetFlow功能后，交换机CPU的月度平均负载不超过10%，对正常业务基本没有产生影响。

图2 主干链路流量及应用分布

图3 主干链路流量及应用百分比

　　使用NetFlow Analyzer软件对校园网内一条主干链路的流量和协议分布进行分析，由图2和图3可以清楚地看到不同应用所占的带宽及其所占百分比，其中没有镜像到任何应用程序的应用被归类为TCP_App，经查其目的和本地端口均为高位端口，可在明确其应用类型后通过自定义的方式确定应用类别，这也体现了NetFlow分析技术良好的适应性和扩展性。

　　利用NetFlow采集和输出网络流量的统计信息，我们可以发现单个主机发出的超过正常数量的连接请求，这种不正常的大量的数据流往往是蠕虫爆发或网络滥用的迹象。虽然NetFlow不能对数据包做出深层分析，但是已经有足够的信息来发现可疑流量。如果分析和利用得当，NetFlow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。只要了解常见蠕虫病毒的NetFlow特征，就能快速定位感染病毒的IP地址，在网络设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。

　Ntop是一种开源、高效、直观的网络流量分析软件，作者是Luca Deri。Ntop几乎可以监测网络上的所有协议，运行此软件需要Libpcap库支持。

　　Ntop主要提供以下一些功能：自动从网络中识别有用的信息；将截获的数据包转换成易于识别的格式；对网络环境中通信失败的情况进行分析；探测网络环境中的通信瓶颈；记录网络通信的时间和过程。它可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统；还可以很方便地显示出特定的网络协议、占用大量带宽的主机、通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。通过了解这些信息，网管员可以对故障做出及时的响应，对网络进行相应的优化调整，以保证网络运行的效率和安全。与网络流技术相比，它需要使用镜像端口来分析流量，由于可以采用不抽样方式工作，Ntop可以部署在网络主干的旁路来精确分析网络流量的构成，但要求的服务器配置较高，合肥学院使用了一台双路双核4G RAM的浪潮NF280D服务器来运行Ntop网络流量分析软件。

　　软件安装和应用

　　合肥学院的Ntop平台使用的操作系统为Redhat AS4。
　　下载Ntop源代码，并放到/usr/local/src目录中
　　# cd /usr/local/src
　　# wget http://surfnet.dl.sourceforge.net/sourceforge/ntop/ntop-3.2.tgz
　　解压、配置、编译、安装：
　　# tar xzvf ntop-3.2.tgz
　　# cd ntop-3.2
　　# ./configure
　　# make
　　# make install
　　启动Ntop：
　　# mkdir /var/log/ntop
　　# chown -R nobody:nobody /var/log/ntop
　　# chown -R nobody:nobody /usr/local/share/ntop
　　# ntop -A
　　//-A 设定admin密码，ntop内建admin管理者帐号于ntop中
　　ntop startup - waiting for user response!
　　Please enter the password for the admin user:
　　Please enter the password again:
　　输入两次管理员的密码（默认用户名是：admin）
　　#  ntop -P /var/log/ntop/ -u nobody &  //启动服务
　　//-P [directory]指定.db档存放路径
　　//-u [user]指定service启动user
　　然后，ntop以nobody用户在后台运行。
　　设置开机自动启动：
　　# echo "ntop -P /var/log/ntop & 2>&1 1> /dev/null" >> /rc.local
　　设置交换机镜像端口
　　在核心交换机上使用如下命令，将网络主干出口Gi1/0/19流量镜像到 Gi1/0/24端口：
　　NorthCenter(config)#monitor session 1 source interface Gi1/0/19
　　NorthCenter(config)#monitor session 1 destination interface Gi1/0/24

　　要查看网络状态，可以访问http://ntop.hfuu.edu.cn:3000，查看网络流量、应用分布、会话连接等信息，如图4记录了某一天中午12时至晚22时的全局协议分布。其中UDP协议流量超过TCP协议流量12个百分点，流媒体、BT等协议应用占用了一半以上的网络带宽。

图4 全局协议分布

　　部署效果分析

　　Ntop能够直观地将网络使用量的情况和每个节点计算机的网络带宽使用详细情况显示出来,并且通过分析网络流量来确定网络存在的各种问题,如瓶颈效应或性能下降；也可以用来判断是否有黑客正在攻击网络系统。如果怀疑网络正在遭受攻击,通过嗅探器截获的数据包可以确定正在攻击系统的是什么类型的数据包以及它们的源头,从而可以及时地做出响应或者对网络进行相应的调整，以保证网络运行的效率和安全。

　　校园网络安全系统化的建设思路给合肥学院的网络安全管理带来的好处是显而易见的，在能够满足二层攻击防护的区域部署实施相关策略的同时，基本控制了ARP攻击等问题的发生；802.1X技术的应用完善了学生用户的认证、控制、记录等安全需求；整网防病毒体系的建立、补丁分发策略的实施，基本保障了用户主机系统的安全，利用路由器会话数限制和上网行为管理系统的带宽管理功能，将BT下载、蠕虫爆发等引起的互联网出口拥塞现象基本杜绝。另外，应用分析技术的使用为网络管理人员及时了解网络流量状况、快速处理安全问题提供了准确、及时、高效的方法。