《校园网络安全整体项目解决方案》由会员分享,可在线阅读,更多相关《校园网络安全整体项目解决方案(93页珍藏版)》请在金锄头文库上搜索。
1、. . . .园区网络安全整体解决方案设计戴彬彬 计网0931目录第1章 项目概述31.1 校园网网络环境 31.1.1 2:校园网网络安全需求3第2章 设计原则42.1 实用性与经济性42.2 扩展性与兼容性42.3 安全性与可维护性52.4 整合型好6第3章 需求分析6第4章 项目网络安全解决64.1 网络架构图64.2 网络病毒的防范 74.3 防止IP、MAC地址的盗用 84.4 安全事故发生时候,需要准确定位到用户94.5 用户上网时间的控制 94.6 用户网络权限的控制104.7 各种网络攻击的有效屏蔽104.8 对DOS攻击,扫描攻击的屏蔽144.9 网络设备管理14第1章 项目
2、概述1.1 校园网网络环境 校园网的内部网一般由办公网、机房、教室等多个网络组成。采用三层核心交换机为这些网段提供VLAN划分,该交换机级连多个工作组级的交换机用于桌面工作站接入。同时三层核心交换机提供连接到教育网的WAN(10/100M)链路,作为校园网的外网出口。而且WWW、MAIL等服务器也直接连接到了三层核心交换机中。校园网内部网运行着办公业务系统、多媒体教学等等多种业务系统。1.1.1 2:校园网网络安全需求 校园网网络安全系统是一个要求高可靠性和安全性的网络系统,若干重要的公文信息在网络传输过程中不可泄露,如果数据被黑客修改或者删除,那么就会严重的影响工作。所以校园网网络安全系统安
3、全产品的选型事关重大,一旦被遭受黑客攻击病毒的侵袭,将会给该学校正常的教学及业务带来严重的影响。该校园网网络安全系统方案必须遵循如下原则: 全局性原则:安全威胁来自最薄弱的环节,必须从全局出发规划安全系统。设计时需考虑统一管理的原则。 综合性原则:网络安全不单靠技术措施,必须结合管理,当前我国发生的网络安全问题中,管理问题占相当大的比例,因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。 均衡性原则:安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。 节约性原则:整体方案的设计应该尽可能的不改变原来网络的设备和环境,以免资源的浪费和重复投资。第2
4、章 设计原则2.1 实用性与经济性实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能,它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立,应避免过度追求超前技术而浪费投资。2.2 扩展性与兼容性系统设计除了可以适应目前的应用需要以外,应充分考虑日后的应用发展需要,随着数据量的扩大,用户数的增加以及应用范围的拓展,只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台,保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理,监控,降低管理成本2.3 安全性与可维护性随着应用的发展,系统需要处理的数据量将有较大的增长
5、,并且将涉及到各类的关键性应用,系统的稳定性和安全性要求都相对较高,任意时刻系统的安全隐患都可能给用户带来不可估量的损失。网络安全应具有以下五个方面的特征: u 保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。 u 完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 u 可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; u 可控性:对信息的传播及内容具有控制能力。 u 可审查性:出现的安全问题时提供依据与手段 从网络运行和管理者角
6、度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。 2.4 整合型好当前采用企业级的域控制管理模式,方便对所有学校内所有终端用户的管理,同时又可以将学校里计算机的纳入管理范围,极大地降低了网络维护量,并能整体提高当前网络安全管理!第3章 需求
7、分析 网络病毒的防范 防止 IP、MAC 地址的盗用 IP、MAC 地址的盗用 安全事故发生时候,需要准确定位到用户的原因 安全事故发生时候,不能准确定位到用户的影响 学生用户上网时间的控制 用户网络权限的控制 各种网络攻击的有效屏蔽 身份认证 完整审计 第4章 项目网络安全解决4.1 网络病毒的防范 病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送
8、给服务器。 病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。4.2 防止IP、MAC地址的盗用 IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的I
9、P、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。 IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。4.3 安全事故发生时候,需要准确定位到用户安全事故
10、发生时候,需要准确定位到用户原因: 国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。 校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门
11、会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。4.4 用户上网时间的控制 无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。4.5 用户网络权限的控制 在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。4.6 各种
12、网络攻击的有效屏蔽 校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。安全到边缘的设计思想用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网
13、络,最终从全局的角度把控网络安全。全程安全的设计思想 用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。某校园网网络安全方案锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。事前的身份认证对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以
14、达到如下的效果: 每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。 只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。网络攻击的防范 1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。2、未知网
15、络病毒的防范对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命
