《网络安全解决》由会员分享,可在线阅读,更多相关《网络安全解决(53页珍藏版)》请在金锄头文库上搜索。
1、某校园网方案某校园网方案.22网络防火墙设计中的问题网络防火墙设计中的问题.1616如何构建网络整体安全方案如何构建网络整体安全方案.2222四台四台CiscoCisco防火墙实现防火墙实现VPNVPN网络网络.2626企业级防火墙选购热点企业级防火墙选购热点.3030增强路由器安全的十个技巧增强路由器安全的十个技巧.3131启明星辰银行安全防御方案启明星辰银行安全防御方案.3232神码基金公司信息安全解决方案神码基金公司信息安全解决方案.3333安天校园网解决方案安天校园网解决方案.3535网络入侵检测解决方案网络入侵检测解决方案.3737企业需要什么样的企业需要什么样的IDSIDS测试测试
2、IDSIDS的几个性能指标的几个性能指标.3939东软安全助力武汉信用风险管理信息系统东软安全助力武汉信用风险管理信息系统.4242某校园网方案某校园网方案1.1设计原则1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键3.在满足学校的需求的前提下,建出自己的特色1.2网络建设需求网络的稳定性要求整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求网络高性能需求整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
3、认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈网络安全需求防止IP地址冲突非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求需要方便的进行用户管理,包括开户、销户、资料修改和查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理第二章、某校园网方案设计第二章、某校园网方案设计2.1校园网现网拓扑图整个网络采用二级的网络架构:核心、接入。核心采用一台RGS4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经
4、不能满足应用的需求。2.2校园网设备更新方案方案一:不更换核心设备核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。方案二:更换核心设备方案二:更换核心设备核心采用一台锐捷网络面向核心采用一台锐捷网络面向1010万兆台设计的多
5、业务万兆台设计的多业务IPV6IPV6路由交换机路由交换机RG-S8606RG-S8606,负责整个校园网的数据转发。在中校区增加一台负责整个校园网的数据转发。在中校区增加一台SAMSAM服务器,部署服务器,部署SAMSAM系统,同时系统,同时东校区和西校区各用东校区和西校区各用33台台S2126GS2126G替换原有替换原有S1926F+S1926F+。将原有的。将原有的S4909S4909放到东校区做放到东校区做为汇聚设备,下接三台为汇聚设备,下接三台S2126GS2126G实现安全控制,其它二层交换机分别接入相应的实现安全控制,其它二层交换机分别接入相应的S2126GS2126G。西校区
6、汇聚采用一台。西校区汇聚采用一台S2126GS2126G,剩余两台,剩余两台S2126GS2126G用于保护重点机器,其它用于保护重点机器,其它交换机接入对应的交换机接入对应的S2126GS2126G。中校区的网络结构也做相应的调整,采用现有的两台。中校区的网络结构也做相应的调整,采用现有的两台S2126GS2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计骨干网
7、络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:11、骨干网带宽设计:千兆骨干,可滑升级到万兆、骨干网带宽设计:千兆骨干,可滑升级到万兆整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。22、骨干设备的安全设计:、骨干设备的安全设计:CSSCSS安全体系架构安全体系架构33、CSSCSS之硬件之硬件CPPCPPCPP即CPUProtectPolicy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、
8、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率44、CSSCSS之之SPOHSPOH技术技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一立的
9、交换机,可以保证在非常复杂的网络环境中核心交换机的高性能。2.42.4网络安全设计网络安全设计2.4.12.4.1某校园网网络安全需求分析某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公
10、台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAC地址的盗用IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响:在用户看来,
11、校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天
12、的用户上网记录,以待相关部门审计。校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。5、用户上网时间的控制无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的
