《校园网安全方案》由会员分享,可在线阅读,更多相关《校园网安全方案(21页珍藏版)》请在金锄头文库上搜索。
1、校园网安全方案加入时间:2008-1-11 15:53:02来自:admin 点击:3343安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用,学校网络不再是一个封闭的网络,极大地扩展了学校的业务,提高了学校的竞争力,但同时也带来网络安全的风险。网络设计中必须制定网络安全策略,保证内部网络的完整性和安全性。所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问,甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看,可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中
2、存在的漏洞进行攻击,如常见的监听、ip 地址欺骗、路由协议攻击、ICMP Smurf 攻击等;网络服务过程主要是针对TCP/UDP 以及局域其上的应用层协议进行,如常见的 UDP/TCP 欺骗、TCP 流量劫持、TCP Dos、FTP 反弹、DNS 欺骗等等;软件应用过程则针对位于服务器 /主机上的操作系统以及其上的应用程序,甚至是基于 WEB 的软件系统发起攻击。从安全威胁的手法来看,蠕虫、拒绝服务、舰艇、木马、病毒都是常见的攻击工具。宝鸡职业学院网络安全体系架构为学校提供整体的、可扩展的、高性能的、灵活的安全解决方案。采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计每个模块时
3、,都考虑到一些关键的因素,包括潜在可能的威胁或侵入及相应的对策、性能(不能因为安全控制带来不可接受的性能下降)、可扩展性、可管理性、服务质量和语音的支持等。1 路由器和交换机的安全功能博达路由器实现的网络安全技术有:VPN 技术: IPSec、GRE包过滤技术AAA 技术、Radius、Tacacs+认证日志功能NAT 网络地址转换PPP 协议 PAP、CHAP 认证 PPP 协议 Callback 技术IP 地址MAC 地址绑定技术路由信息认证技术IEEE 802.1Q VLAN 技术安全措施7610、S8506、 S6806 和 S2224 提供了丰富的安全技术和措施。较为有效的措施有:设
4、备本身的安全管理,包括设置用户管理权限,用户密码等;用户接入的认证,可以提供802.1X,Web 认证等多种用户认证方式;端口和 MAC 地址等的绑定和过滤功能,端口用户数限制等功能。其他的辅助措施还包括广播风暴抑制,端口限速等。1.1 基于包过滤的防火墙技术博达路由器支持基于包过滤的防火墙技术,防火墙访问列表根据 IP 报文的 IP 报头及所承载的上层协议(如 TCP)报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的 IP 报文的以下属性:IP 的源、目的地址及协议类型TCP 或 UDP 的源、目的端口ICMP 码、ICMP 的类型码TCP 的标志域服务类型 TOSIP 报
5、文的优先级(precedence)博达路由器的访问表还提供了基于时间的包过滤,可以规定过滤规则发生作用的时间范围,在此时间范围以外,不进行由时间定义的访问规则判断。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上提供极大的灵活性。1.2 AAA 技术、Radius 、Tacacs+认证博达路由器 AAA 技术提供了对用户的验证、授权和记帐功能。(1)验证功能各种用户(包括登录、拨号接入用户等)在获得访问网络资源(包括路由器)之前必须先经过验证。验证时可以选择是采用本地维护的用户数据库,还是采用 Radius 服务器所维护的用户数据库,或者是采用 Ta
6、cacs+服务器所维护的用户数据库。博达路由器支持与 AAA 技术相结合的 Radius、Tacacs+认证。(2)授权功能通过定义一组属性来限定用户的权限信息,来确定用户的访问权限。这些信息存放在相应的用户数据库内。(3)记帐功能该功能使得路由器可以对用户访问的网络资源进行跟踪记录,当选择了该项功能时,用户的访问信息便会存入相应的用户数据库内,根据数据库,就可以产生各类用户帐单信息。1.3 日志功能日志(log )功能用于将路由器产生的各种信息以日志形式记录到具备 Syslog 功能的主机上(如 Unix 主机或运行 Syslogd 的主机)。日志功能与访问列表功能相结合可以任意定义所要记录
7、的信息,以备查用,如跟踪记录黑客攻击报文等。1.4 NAT 网络地址转换技术网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了内部网络的结构,增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。博达路由器支持静态地址翻译(SNAT)、端口地址翻译(PAT)、动态地址翻译(DNAT)。可以支持带访问列表的地址转换,用来限定可以进行地址转换的内部主机地址,有效地控制内部主机对外部网络的访问;同时还可以根据地址池,进行多对多的地址转换,合理地利用公共的合法 IP 地址资源;利用网
8、络地址转换,可以在屏蔽内部地址的同时,确保了对外的各种网络服务的安全性。1.5 IP 地址MAC 地址绑定技术MAC 地址绑定技术是通过在路由器中静态配置 IP 地址和 MAC 地址的映射关系来完成 ARP 应答来实现的。原理如图所示:博达 ARP 代理技术可以看到,路由器不再动态的响应来自局域网的主机的 ARP 请求,当接收到一个 ARP 请求时,路由器首先检查请求报文的源 IP 地址,然后在自己的静态映射表中寻找与此相对应的 MAC 地址,如果没有寻找到相关映射,将对此报文不作任何处理,通信也就无法实现,从而保证了可能由无效 IP 地址的主机发起的攻击。如果寻找到相关映射,就回答一个 AR
9、P 响应,当响应报文中的目的 MAC 地址域的值是用映射表中的 MAC 地址填充的,而不是依据请求报文中的源MAC 地址域的地址值。这样,只有请求报文的 MAC 和静态映射的 MAC 一致时(即没有伪装IP),通信才可以建立,否则,如图所示,通信也不可能建立,从而防止 IP 地址的欺骗。这种技术可以在 S8510、S6806 等交换机上实现。1.6 动态路由协议认证技术路由器是根据路由信息来发送报文的,而路由信息恰恰又是通过网络在不同的路由器间转发的。所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。需要对邻接路由器进行路由信息认证的有以下几种: Op
10、en Shortest Path First( OSPF) Routing Information Protocal Version 2( RIP-v2)博达路由器支持 RIP-v2、OSPF 动态路由协议 MD5 认证。1.7 访问控制也可以在核心交换机 S8510 或者汇聚交换机 S6806 上设置访问控制,比如限制不同网段之间的互访,但是允许这两个网段对中心服务器的访问。设置允许两个网段上特定的主机可以访问外网和 Internet 等。在核心交换机上可以设置 ACL 访问控制列表,端口监控等,控制和管理特定服务,如允许Http、Mail、Ftp 等服务,而禁止其他不需要的服务和端口,如禁
11、止外部发起的 ICMP 报文等;采用 NAT 地址转换技术,实现上网。可以采用静态、动态 NAT,PAT 等多种方式,对于内部某些对外的服务器,如 Web 服务器、 Mail 服务器、DNS 服务器、FTP 服务器等,可以采用静态 NAT 方式建立内外网地址和特定端口之间的静态映射。而一般用户可以采用动态地址池,端口地址转换等方式实现上网。同时,可以结合博达产品具有的 timerange 等功能,实现定时上网、定时开放服务等功能。1.8 ARP 防范博达交换机具有以下四种 ARP 防范技术:1、在接口下过滤 ARP 报文,防止冒充网关。2、在接口下对 ARP 报文进行 IP+MAC 绑定,防止
12、对网关的欺骗。3、免费发放 ARP RESPONSE 报文,纠正主机错误的网关。4、在接口下配置 Filter 功能,防 ARP 扫描攻击。通过以上的四个功能,可以完全做到对 arp 欺骗和攻击的防治,其中,将 arp 报文的 IP 与MAC 绑定这一功能可以彻底防止 arp 欺骗,但大的网络中实施起来有可能工作量比较大。因此我们一般情况下可以只启用第一个功能,防止伪造网关的 MAC 地址,通常的 ARP 病毒就这这种类型。如果有需要才将主机的 IP+MAC 绑定,对于 DHCP 环境,我们可以在 DHCP Server 上进行IP+MAC 绑定,即:给特定的 MAC 地址分配特定的 IP 地
13、址,再在交换机上做 ARP 的IP+MAC 绑定。防 arp 攻击这项功能,在统计周期和吞吐量的设定上最好使用默认配,只需要在全局和端口下开启此功能即可。免费发放 arp response 报文是一个辅助手段,它可以让已经被欺骗的主机自动纠正过来,减少了维护的工作量。可以在汇聚交换机 S6806 上实现这个功能。防御接入层用户区域的 ARP 攻击或欺骗。1.9 主机的安全主机是最可能被攻击的目标之一,同时从安全方面也有最多的困难。学校网中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机器提供服务,所以主机在网络中必须是可见的,因此主机是最可能被尝试侵入的。为保证主机的安全,
14、需要注意到系统中的每一部件。保持操作系统和防毒软件的及时的更新;安装适当的经过测试的补丁程序。2 防火墙的安全功能博达博御系列防火墙是目前在国内市场技术最为先进、产品线最为丰富的网络主动防护体系产品。博御系列防火墙不仅能够完美地处理来自协议层的安全威胁,为了能够更好地解决我们上面所提到的安全威胁基于应用层的安全问题。我们必须能够分析应用层的协议,从而根据不同的应用层协议提供相应的安全解决方案。2.1 网络面临的威胁宝鸡职业技术学院当前面临的威胁主要集中在以下几个方面:人为的无意失误:如安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人、或与别人共享信息
15、资源等都会对网络安全带来威胁。电力中心或分中心主机存在系统漏洞,主机管理员安全意识和知识较差,容易被攻击者利用后通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。人为的恶意攻击:这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。网络和系统软件的漏洞和“后门”
16、:随着各类网络和操作系统软件的不断更新和升级,由于边界处理不善和质量控制差等综合原因,网络和系统软件存在越来越多的缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件,当前世界范围内出现大量黑客攻入电力网络内部的事件,这些事件大部分就是因为安全控制措施不完善所导致的。另外,软件的“后门”有些是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。各类内外安全风险和威胁的具体表现形式主要有:UNIX 和 Windows 主机操作系统存在安全漏洞。Oracle,Sybase、MS SQL 等主要关系型数据库的自身安全漏洞。重要应用系统的安全漏洞,如: MS IIS 或 Netscape WEB 服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。利用 TCP/IP 等网络协议自身的弱点(DDOS 分布式拒绝服务攻击),导致网络瘫痪。
