《南京信息职业技术学院安全实验室建设项目中新金盾解决-终稿》由会员分享,可在线阅读,更多相关《南京信息职业技术学院安全实验室建设项目中新金盾解决-终稿(31页珍藏版)》请在金锄头文库上搜索。
1、中新金盾南京信息职业技术学院安全实验室建设方案2012年2月 中新软件北京分公司ZHONG XIN SOFTWARE BEIJING BRANCH 版 权 所 有 2002 - 2011目录1概述31.1需求分析31.1.1现状描述41.1.2设计误区41.1.3必要性分析51.2建设目标51.3建设原则62中新金盾网络安全实验室解决方案72.1网络拓补结构72.2分区描述和部署方式82.2.1网络接入区82.2.2安全实验A区92.2.3安全实验B区92.3方案特点92.4设备清单103实验样例113.1DDOS攻击与防护113.1.1SYN Flood攻击与防护113.1.2UDP Flo
2、od攻击与防护133.1.3 CC攻击与防护153.2WEB服务器应用层攻防样例173.2.1 SQL注入攻防样例173.2.2缓冲区溢出193.2.3目录遍历攻击213.3通用防火墙样例233.3.1访问型VPN实验样例233.3.2站点到站点VPN实验样例253.3.3访问控制实验样例263.4入侵检测攻防样例283.4.1 DDOS攻击入侵预警283.4.2端口扫描291概述越来越多的高校开始关注到网络安全这个专业,并且都开始逐步的进行网络安全实验室的建设,但在网络安全实验室的建设中,各高校的建设思路都各不相同,有的高校在进行网络安全实验室建设的时候把攻防实验放在了首位,有的高校将加密技
3、术作为了网络安全实验室的建设重点,更多的高校对于网络安全实验室还在进一步的观望中。那么应该如何建设网络安全实验室,网络安全实验室的建设内容应该包括哪些方面,中新金盾作为国内领先的网络实验室解决方案提供商,针对高校用户的网络实验室需求推出了模块化全面的网络安全实验室解决方案。网络安全实验室解决方案的特点在于,在安全实验室解决方案中,并不是因为某一个安全技术才来进行网络安全实验室的搭建,整个网络安全实验室的搭建应该考虑从实际网络应用出发。结合网络的现状以及目前流行的网络安全技术来进行实验室的搭建。通过网络安全实验室,让学生和研究人员不但可以知道什么是网络安全问题,如何去应对这个网络安全问题,直观、
4、全方位地了解各种网络设备的操作及其应用环境,加深对网络原理、协议、标准的理解,同时最重要的是在整个网络安全实验室中,实验者通过学习可以很清楚的了解如何进行有效的网络安全设计从而来避免网络风险的发生以及在网络安全事件发生的第一时刻,如何去有效的解决应对安全问题。1.1需求分析伴随互联网作为的信息交流工具,在人们日常生活中起着重要作用,随着上网人数的增长,互联网上内容也海量增长。正常互联网数据通信在给人展带们来极大的方便的同时,垃圾流量、信息垃圾、入侵、篡改、病毒、虚假广告、色情、暴力、赌博等有害信息也在互联网上日益增长。随着技术的不断发展,新的攻击技术会不断涌现,新的应对技术也会随之产生。正是在
5、这样的背景下,我们在建设网络安全实验室时,应该保证学生的学习、实践内容与互联网的发展保持同步,让学生随时能接触到网络前沿攻防技术,使学生的专业实习能力得到更快的提高及激发他们学习的兴趣。同时,让学生和研究人员不但知道如何应对各种安全问题,而且能够清楚如何进行有效的网络安全设计,规避各种网络安全问题。1.1.1现状描述目前国内虽然已经有一些的高校都已经开设了网络安全专业、同时也有很多高校在准备开设网络安全专业,但我们发现在这些高校中有决大多数的学校都没有进行网络安全实验,甚至有的学校都没有网络实验室,不开设网络安全实验课,只讲授理论。同样,南京信息职业技术学院也是这种情况,虽然开设有网络安全课程
6、,却没有网络安全实验室,那么学生的实际动手能力会大大折扣,同时对于网络安全也没有一个实质性的接触,对于攻防实验,攻击技术、工具以及防御措施,甚至是如何规避网络安全问题,都很难做到清晰的认识。1.1.2设计误区国内很多高校,在开设网络安全课程时,往往容易走进一个误区。这个误区可以从两方面来分析:一是网络安全实验室的建设误区,另一个是网络安全课程设计上的误区。网络安全实验室的建设误区很多学校在建设网络安全实验室的时候都会走进一个误区,往往会把攻防、信息加密作为网络安全实验室的建设内容。这其实是一个相对局部的网络安全实验室,因为在这样的环境下锻炼出来的学生他只会很偏重于这一个方面的安全技术动手能力,
7、对于其他方面的了解和能力会大大减弱。在实际的网络环境中,一个安全事件的处理和解决,需要你全方位的了解网络中的相关信息,而不是针对某个方面的了解。所以在建设网络安全实验室的时候,我们要考虑到建设的大局观,让实验室者可以更多的了解到网络中的动态。网络安全课程设计上的误区在很多学校的网络安全课程设计中,往往我们把网络安全定义到应对的课程上去了,也就是我们花了大量的时候和精力来告诉我们的实验者,你应该如何应对这些问题,但我们没有想过我们应该如何去规避这些问题,通过网络的合理设计来实现这个目标。1.1.3必要性分析网络安全应该是一个体系化的课程,针对同一个问题我们可以有多种解决方案,同时针对同一个问题,
8、我们有多种手段来规避。通过建设网络安全实验室,让学生具备这种解决问题和规避问题的能力,是我们开设网络安全课程的目的。而目前国内很多高校的现状:l 缺乏适合网络实验教学的师资力量网络安全实验教学师资是目前网络安全实验室教学中的一个重要环节,但目前的网络安全师资由于前期缺乏相应的环境进行实验,所以需要有一个好的环境来保障网络安全教学师资的提升。l 缺乏网络实验教学的专用教材目前市面上面的网络安全教材很多,但绝大部分都是以理论为主,并没有针对性的网络安全实验,这也是网络安全实验开展困难的主要问题。 因此,要达到我们开设网络安全课程的目的,建设网络安全实验室的必要性也就不言而喻了。1.2建设目标l 人
9、才培养当前的社会需要高素质的毕业生,尤其需要具有实际动手能力和解决问题能力的应用型人才。网络安全作为目前最为热门的网络技术,如何将这些抽象的网络技术,采用实物化的网络实验教学,有效地加深学生对网络技术的理解,提高动手能力和实际环境中发现问题、解决问题的能力。同时通过中新金盾的抗DDOS流量清洗实验,让实验者不光能学习到如何进行网络安全事件的处理同时也能清楚的了解通过哪些方式可以杜绝这些安全事件的发生。l 科技创新网络安全技术作为一门发展性的技术,需要相关技术人员能及时的进行知识的更新,同时针对网络安全技术的科研人员,也可以通过网络安全实验室这个平台来进行网络安全领域的技术研究。l 贡献社会网络
10、作为一个开放的平台,它的安全状态越来越受到关注;整个网络环境越来越糟糕,需要有大量专业的网络安全技术人员来投入到信息安全的保卫战中,通过提高学生的网络安全实战经验可以很好的提高整个网络的安全水平。l 学校增辉网络安全作为时下最为热门的专业,学校通过为社会输送高素质的应用型的网络安全人才,以及开发出有价值的科研成果,可以大大提高学校的知名度和美誉度,从而扩大生源、吸引优秀师资力量加盟,为学校的品牌建设做出重大贡献。1.3建设原则l 高可靠性。网络实验系统的稳定可靠是应用系统正常运行的前提保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,
11、最大限度地支持系统的正常运行。使得网络在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。l 标准性及开放性。通讯协议和接口符合国际标准,支持国际上通用标准的网络协议(如TCP/IP)、 国际标准的开放协议,有利于保证与其他网络在之间的平滑连接互通。方便接入不同厂商的设备和网络产品。在网络中,即使有多个网络和多应用并存,采用统一的标准,也能使这些网络能融合到一起,实现业务整合及数据集中。l 灵活性及可扩展性。根据未来业务的增长和变化,网络可以平滑的扩充和升级,最大程度的减少对网络架构和现有设备的调整。易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现
12、有投资利益。l 先进性。学校作为最前沿学科和技术研究场所,要求网络实验室要配备最先进的网络设备,能够开展最新技术的科研,教学和实践活动,对网络实验室的设备,网络方案的技术先进性要求非常高。l 可管理性。对网络实行集中监测,分权管理,并统一分配宽带资源。选用先进的网络管理平台,具有对设备、软件、接口等的管理,流量统计分析,及可提供故障自动报警。整个实验室平台可以进行远程控制。l 安全性。制订统一的安全策略,整体考虑实验平台的安全性。可以通过各业务子网隔离,统一规划,根据不同的业务划分子网。具有保证系统安全,防止系统被人为破坏的能力。2中新金盾网络安全实验室解决方案2.1网络拓补结构根据南京信息职
13、业技术学院安全实验室的建设目标,同时遵循网络结构合理规划、分区保护的原则,在进行南京信息职业技术学院安全实验室建设方案设计时,将网络分区规划为网络接入区、安全实验A区以及安全实验B区。其中安全实验区域又细分为安全设备区及终端控制区。总体拓扑结构如图所示:2.2分区描述和部署方式2.2.1网络接入区网络接入区具有内网数据核心交换及互联网接入两项重要功能。该区域连接网内的所有网络区域,核心交换机将主要通过路由、交换协议对各区域间的数据流量进行集中转发,为保障核心交换机对信息流的处理能力,在核心交换机上将不会进行访问控制或限速等设置网络接入区同时为实验室内终端用户提供访问互联网服务,同时在本区域内也
14、将对访问互联网的数据进行分类和制定访问策略以保障关键数据的正常传输。在核心交换区中,采用一台高可用性交换机作为核心交换机,通过千兆以太链路分别串接上网行为管理设备、外网防火墙以及互联网接入路由器。最终由互联网接入路由器上联至运营商,作为互联网出口。2.2.2安全实验A区安全实验A区是两个安全实验区域中的一个,与安全实验B区一起构成安全实验室的最主要功能区域。安全实验A区根据功能及设备的不同又被细分为安全设备区及终端控制区,下面将分别详细阐述。2.2.2.1安全设备区安全设备区是进行网络安全实验的主要功能区域,该区域中包含了常见的网络安全设备,供学员进行安全攻防演示,其中包括一台DDOS清洗设备
15、用于DDOS攻击的攻击与防护演示;一台WEB应用防火墙用于各种针对WEB服务的攻击与防护演示;一台传统型防火墙用于演示各种访问控制机制;一天入侵检测系统与防火墙联动,用于入侵检测与入侵防御的攻击与防护的演示。另外该区域还包含了各类应用服务器及一台高性能服务器汇聚交换机。该区域设备的具体部署方式为服务器汇聚交换机通过千兆以太链路上连分别串接防火墙、WAF以及DDOS清洗设备,最终连接至网络接入区中的核心交换机。同时汇聚交换机通过前兆以太链路分别与所有应用服务器相连。2.2.2.2终端控制区终端控制区由若干学员操控的PC控制终端构成,通过一台以太网交换机连接至核心区域中的核心交换机,从而对整个网络中所有的安全设备进行操作和监控。同时终端控制PC也可以作为攻击的发起者,用于模拟CC攻击中的受控主机等。2.2.3安全实验B区安全实验B区与安全实验A区在功能及部署方式上完全相同。2.3方案特点网络分区保护模块化设计是本方案设计的主要特点。网络模块化设计是指对网络进行合理划分,形成各功能模块,各模块间彼此独立,通过核心交换区进行数据转发,在结构上实现了网络区域间的松耦合,以此来降低在进行网络区域调整或增减时对
