《数据网终端安全管理专题研究》由会员分享,可在线阅读,更多相关《数据网终端安全管理专题研究(7页珍藏版)》请在金锄头文库上搜索。
1、 数据网终端安全管理专题研究数据网终端安全管理专题研究数据网终端安全管理专题研究目目 录录项目摘要:项目摘要:.2 一、项目背景.3 二、技术或业务方案详细介绍.3 (一)概述.3 (二)方案介绍.3 (三)关键技术和业务创新点.5 (四)与当前其他单位应用或研究状况比较.6 三、经济与社会效益分析三、经济与社会效益分析.6 四、应用推广情况或可推广度说明四、应用推广情况或可推广度说明.6 (一)投资评估.6 (二)应用情况说明.6 (三)可推广度说明.6 五、项目实际完成情况.7 六:附六:附 IPIP 地址管理系统截图地址管理系统截图.7数据网终端安全管理专题研究项目摘要:项目摘要:数据网
2、网络规模日益壮大,网络终端的管理成为越来越困扰网络维护人员的难题。传统的管理手段只能管理到交换机这一级别,而对终端的管理还是缺乏手段。目前终端存在的主要问题以及隐患主要有以下几点:1、 终端的接入缺乏审核;2、 地址管理混乱,缺乏 使用人IP 地址MAC 地址 的一一对应 ;3、 IP 地址的随意配置,导致 IP 地址冲突时有发生;4、 地址配置麻烦;本系统的研发有效的解决了上述问题,本系统实现的功能如下:1、 提高数据网终端安全,非审核批准的终端不得入网。2、 通过系统进行 IP 地址管理,有效提高地址管理的规范性以及效率。3、杜绝 IP 地址冲突的现象,减轻网络维护人员的工作,少了手工分配
3、的随意性以及人为错误。4、可由终端信息(IP、MAC)快速定位到使用单位、使用人,从而促使安全事件得到快速处理。5、 可作为终端资产管理的辅助手段。实现的效益:本系统有效的实现了 IP 地址的集中有效、有序管理,并限制未报批的终端入网,有效的提升数据网的安全。关键字索引:关键字索引: IP 管理系统、DHCP、IP-MAC 绑定、 DAI正文:正文:一、项目背景数据网网络规模日益壮大,目前每个南通分公司数据网内的终端网内的终端数已达5000 以上,而面对如此庞大的终端数量,传统的网管手段只能管理到交换机,在终端管理上无能无力。数据网作为公司重要业务的承载网,对信息安全有着很高的要求,一旦信息泄
4、露,后果非常严重。现数据网在终端准入以及安全事件追查方面均存在不足。目前终端存在的主要问题以及隐患主要有以下几点:1、 终端的接入缺乏审核,任意终端只要配置网段内地址即可接入,对数据网的安全存在隐患,而且一旦发生信息安全事件后责任追查难度极大。数据网终端安全管理专题研究2、 地址管理混乱,缺乏使用人IP 地址MAC 地址 的一一对应,目前依赖管理手段,但是未能从技术上保证现有的资料与实际在网终端的完全一致,也无法实时同步更新资料。3、 IP 地址的随意配置,导致 IP 地址冲突时有发生,而且在网段较大情况下很难迅速定位;4、 地址配置麻烦,随着网络规模的扩大,不可避免的会发生网段更改的情况,传
5、统的配置手段需每台终端单独手工修改,工作量大且容易出错。因此在此背景下,南通分公司研究数据网终端准入系统着力于解决上述问题。二、技术或业务方案详细介绍(一)概述数据网终端准入系统主要由两部分组成:IP 地址管理系统、网络设备准入控制。这两部分相互配合工作组成了本系统。IP 地址管理系统通过人机界面操作生成 DHCP 服务器上终端数据,将 IP 与 MAC 在 DHCP服务器绑定,并实现了与 BOSS 系统内营业厅资料同步;网络设备准入控制限制用户手动设定 IP,使得 IP 地址必须通过 DHCP 自动分配获得,而用户获得的地址必须由 IP 地址管理系统开通。这样就很好的实现了在网的终端与 IP
6、 地址管理系统内的资料完全一致,也实现了终端的准入(未在 IP 地址管理系统中开通的无法获得 IP 地址)功能,而且用户端的地址为DHCP 动态获取,网段更改或扩容时对用户完全透明。(二)方案介绍1、 系统结构示意图汇聚层交换机接入交换机终端DHCP RELAY+DAI支撑网核心DHCP 服务器DHCP 服务器IP 地址管理平台数据网终端安全管理专题研究2、 系统介绍:本系统由 IP 地址管理平台,DHCP 服务器、以及支持 DAI 以及 DHCP relay 功能的三层交换机组成,出于多平台考虑,目前研究了基于操作系统为 Windows 2003 Server 的 Dhcp 服务器,同时研究
7、了基于 LINUX redhat 的 dhcp 服务器。汇聚层交换机:采用支持 DAI 功能华为 S3528 交换机,南通市区采用 cisco catalyst3750,在三层交换机上配置 DHCP relay 以及 DAI 数据,使得交换机连接的用户只能通过 DHCP 到指定 DHCP 服务器上获得地址,特别的用户需静态地址的在交换机安全列表中手工添加。在汇聚交换机的下挂二层交换机,通过隔离技术(华为 s2403 采用 isolate-port) ,使得同一二层交换机下挂的用户在各接入端口相互隔离,并通过 DHCP Snooping 技术的应用,侦探伪 DHCP 服务器。当下挂终端有地址冲突
8、(用户手工配置地址) ,交换机上会产生告警,可很容易追踪到发生冲突的端口。IP 地址管理系统采用.NET 架构,嵌于南通原有小系统“业务辅助系统”中,业务辅助系统中营业厅数据从 BOSS 同步,IP 地址管理平台中营业厅管理部分直接共享业务辅助系统内营业厅数据。 (后附界面)IP 地址管理分为地址池管理、地址管理、查询三大功能模块,地址池管理分为办公(OA) 、自建营业厅、合作营业厅三部分,地址添加支持单个地址添加以及批量导入功能。查询分为地址查询以及执行工单的查询。地址查询可基于部门、营业厅、IP 或 MAC 的查询。IP 地址管理平台通过前台的操作(导入、修改)生成工单,将工单发到 DHC
9、P 服务器上执行,linux 服务器通过 DHCP 服务器安装的 oracle 数据库读取平台的工单指令,修改 dhcpd.conf 文件;windows 平台采用 sql server 数据库读取 IP 地址管理平台的指令,通过 NETSH 的命令完成 dhcp 上数据的添加修改。两台 DHCP 服务器采用 linux 操作系统(也开发了 windows 2003 平台) ,两台DHCP 服务器互为备份,配置 DHCP relay 时分别指到主备两台 DHCP 服务器,备份服务器定时与主服务器同步数据,当任意一台 DHCP 故障时,用户会自动从另一台 DHCP服务器上获取地址,对业务不会产生
10、影响。系统提供 dhcp 工单查询功能,可以看到每条指令的执行情况。从网络上配置 ACL 限制对 dhcp 服务器的非法访问,保证 DHCP 服务器的安全。同时配置了 ip monitor 监测 DHCP 的运行状态。(三)关键技术和业务创新点数据网终端安全管理专题研究1、IP 工单技术:通过 IP 地址管理平台发送工单,在后台的 DHCP 服务器上生成数据,类似前台BOSS 生成数据发送到 MSC 中开通的过程。2、DHCPDHCP:DHCP 是指终端通过自动分配动态获得地址的技术,通过 DHCP 无需用户配置地址,杜绝了地址冲突的可能。3 3、 DAIDAI:动态 ARP 监测技术,可以有
11、效的防范用户自行手工配置 IP。4 4、 IPIP 与与 MACMAC 绑定:绑定:MAC 地址是每台终端唯一的身份证明,通过 DHCP 服务器上 IP 与 MAC 的绑定,使得每台机器只能获得唯一固定的 IP,未或批的机器即使通过 DHCP 也无法获得 IP,网内每台终端的地址都是固定的。5 5、交换机的、交换机的 SECURITYSECURITY 特性:特性:限制一些 ARP 攻击以及非法的 DHCP 信息,并许可特定静态地址的通过。6 6、dhcpdhcp 服务器数据同步保障:服务器数据同步保障:网络设备上配置两台 dhcp 服务器,两台 dhcp 服务器数据定时同步,任意一台服务器故障不会影响业务。(四)与当前其他单位应用或研究状况比较目前在 IP 地址管理上,全省还是仅仅依赖于通过文档资料进行管理,未纳入系统管理,因而也无法做到资料与实际使用情况一致,南通的 IP 地址管理平台属于首创。在
