《[2017年整理]网络安全方案分析》由会员分享,可在线阅读,更多相关《[2017年整理]网络安全方案分析(104页珍藏版)》请在金锄头文库上搜索。
1、典型网络安全方案设计,本项目主要从当前网络安全的状况做出安全需求分析,并结合网络安全的评价标准以及网络安全防御体系的一般结构来制定相关网络(如校园网、企业网、政府网等)的安全方案规划。最后,对后续的网络安全实验进行设计并建立一个虚拟的实验环境。,校园网络安全方案设计,校园网安全现状 目前,校园网在学校的办公系统中起着重要作用,合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境,还将会极大的提高教育行业整体的工作效率和教育质量,而前提就是校园网必须是稳定的、安全的和可靠的。因此,校园网安全方案的设计尤为重要。,校园网安全需求分析 校园网总体上分为校园内网和校园外网。校园内网主
2、要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。但具体还要根据不同校园网的实际情况来做简要分析。一般情况下,校园网安全主要可以从以下5个方面进行分析: (1)物理安全。是指保护校园网内计算机设备、网络设备及通信线路,使其免遭自然灾害及其它环境事故(如电磁污染)的破坏。 (2)网络安全。是指校园网安全建设的基础,完善的网络安全防御措施可以解决大多数的校园网安全问题,包括基础网络安全、边界防护、远程接入和全局安全。 (3)主机安全。校园网内,主机的安全问题最为常见,也是其他安全问题源头,主机安全涉及到统
3、一身份认证,主机安全防护体系。通过校园网统一身份认证和校园网主机安全防护体系来全面实现校园网的主机安全目标。 (4)应用安全。校园网的应用安全是最为复杂的部分,涵盖的内容涉及到了业务应用的各个层面。 (5)数据安全。数据是当前高校信息化建设中最宝贵的资源,其重要性已经得到越来越高的重视。校园网的安全建设中,数据安全是一个不可忽视的方面。数据的遗失或损坏对于学校而言,其后果不可想象。,校园网安全功能设计 1. 设计原则 为了建设全方面的、完整的校园网络安全体系结构,综合考虑可实施性、可管理性、可扩展性、综合完备性和系统均衡性等方面,网络安全防御体系在整体设计过程中应遵循以下5项原则: (1)保密
4、性:防止信息泄露给非授权用户的特性。达到保密性可选择VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性; (2)完整性:防止信息在存储或传输过程中被修改、破坏和丢失的特性。达到完整性采用VPN技术,用它的专用通道进行通信保证了信息的完整性; (3)可用性:就是易于操作、维护,并便于自动化管理。达到可用性可以利用图形化的管理界面和简洁的操作方式,合理地网络规划策略,提供强大的网络管理功能,使日常的维护和操作变得直观,便捷和高效; (4)可控性:就是对信息的传播及内容具有控制能力。达到可控性对于网络管理来说,要求采用智能化网络管理软件,并支持虚拟网络功能,对网
5、络用户具有分类控制功能,从而来实现对网络的自动监测和控制; (5)扩展性:就是便于系统及系统功能的扩展。达到扩展性对选择的网络设备最好是模块化的,便于网络的扩大和更改,其中核心交换机应具有多种模块类型,以满足各种网络类型的接入,所选择的设备都应具有良好的软件再升级能力。,。,3. 功能模块及设备需求分析 1)主要功能模块 (1)交换机安全模块主要实现的功能:IP与MAC的绑定、VLAN的划分、端口的安全和访问控制列表(ACL); (2)防火墙模块:包过滤、地址转换(NAT); (3)VPN模块:建立专用通道IPSEC VPN 和SSL VPN; (4)DMZ区域模块:IDS与防火墙的联动。,2
6、)设备需求 方案主要设备如表11-3所示。 (1)三层交换机的主要功能包括:高背板带宽为所有的端口提供非阻塞性能、灵活完备的安全控制策略、强大的多应用支持能力和完善的QoS策略等。 (2)防火墙的主要功能包括:扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。 (3)入侵检测系统主要功能包括:能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁,确保企业信息资产的安全,能够检测各种IM即时通讯软件、P2P下载等网络资源滥用行为,保证重要业务的正常运转,能够高效、全面的事件统计分析;能迅速定位网络故障,提高网络稳定
7、运行时间。 (4)VPN的主要功能包括:严格的身份认证、权限管理、细粒度控制、传输加密和终端安全检查等机制保障移动用户SSL安全接入可实现用户身份和PC硬件信息的对应;通过人机捆绑可以为远程用户分配内部IP地址;真正实现远程局域网可以为远程移动用户分配内部服务器地址;真正实现移动办公通过证书管理器为用户生成证书、私钥,可通过邮件通知用户自己到证书管理器上下载软件安装包和配置文件,用户只需在本地安装就可实现快速部署。,校园网安全模块详细设计 1. 交换模块安全设计与实施 为了更加安全,减小广播风暴,VLAN技术在网络中得到大量应用,但同时网络访问站点也不断增加,而路由器的接口数目有限,二层交换机
8、又不具备路由功能。基于这种情况,三层交换机便应运而生,三层交换机弥补了路由器和二层交换机在某些方面的不足,它可以通过VLAN划分、配置ACL、IP地址与MAC地址的绑定以及arp-check防护等功能来提升网络中数据的安全性,如图11-2所示。,(1)VLAN划分方案 VLAN划分的方案图如图11-3所示,说明如下: (1)高校的学生通过网络交换的信息量日益增大,特别是一个班的同学,但住在一个寝室的同学不一定就是一个班的,所以将一个班的同学划为同一个VLAN便于信息的传递。一个班同学的寝室划为同一个VLAN,再将一栋宿舍楼划为一个大VLAN; (2)每个老师的计算机里可能有一些重要的科研资料,
9、从安全性考虑,不能将所有老师的寝室划为同一个网,即将每个老师的寝室划为一个VLAN,并且学生宿舍和教师宿舍不能互相访问; (3)将教学楼的所有教室划为一个VLAN; (4)为了方便同学和老师做一些教学实验,实验室会进行一些专项课题研究,将一个实验室划分在同一个VLAN的做法安全性更高。因此,可以将实验楼划为一个大VLAN,再将每个实验室划为一个小VLAN; (5)为了方便每个部门管理,可以根据每个的不同性质,将办公楼划为一个大VLAN,再将每个部门划为一个小VLAN; (6)划分方法采用基于端口的划分。高校学生的流动性大(如新生的入学,毕业生离校等)会导致的学生的人数和班级的变动。基于端口的划
10、分,相对来说容易设置和监控,只需要将端口配置的VLAN重新分配。,2)访问控制列表 ACL(Access Control List)是一项在路由器和三层交换机上实现的包过滤技术,通过读取第三和第四层的包头部信息(如源地址、目的地址、源端口、目的端口等),并根据预先定义好的规则来对数据包进行过滤,从而达到访问控制的目的。 本方案中,主要在S3760三层交换机上配置ACL规则,可以限制各个VLAN之间的访问,如,阻止教学楼1台IP地址为172.17.1.5的源主机通过fa 0/1,放行其他的通讯流量通过端口,并阻止172.17.1.5主机执行Telnet命令。 S3760#configure te
11、rminal Enter configuration commands, one per line. End with CNTL/Z. S3760(config)#access-list 1 deny 172.17.1.5 255.255.255.0 S3760(config)#access-list 1 permit any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 1 in S3760(config)#access-list 100 deny tcp 172.17.1.5 255.255.255.0 an
12、y eq 23 S3760(config)#access-list 100 permit ip any any S3760(config)#interface fa 0/1 S3760(config-if)#ip access-group 100 in,3)IP与MAC地址绑定 目前在使用静态IP地址的局域网管理中经常碰到IP地址被盗用或者用户自行修改地址导致IP地址管理混乱,而且ARP病毒和利用ARP协议进行欺骗的网络问题也日渐严重,在防范过程中除了通过VLAN的划分来抑制问题的扩散之外,还需要将IP地址与MAC地址进行绑定来配合达到更有效的防范。 在其核心交换机RG-S3760用addre
13、ss-bind命令手动进行一些特殊IP与MAC地址的绑定使其对应的主机不能随便地更改IP地址或者MAC地址,另外在网络中设一台DHCP服务器,所有主机都通过DHCP自动获得IP地址,在这个过程中,RG-S3760开启DHCP snooping功能以及ARP-check防护功能,交换机会自动侦听DHCP分配地址的过程,将其中有用的IP+MAC地址信息记录下来,自动绑定到相应的端口上,减少大量的手工配置。 例如在S3760上的fa0/1端口上开启DHCP snooping功能、ARP-check防护功能、端口安全功能以及动态地绑定命令如下。 S3760#configure terminal Ent
14、er configuration commands, one per line. End with CNTL/Z. S3760(config)#ip dhcp snooping S3760(config)#interface fa0/1 S3760(config-if)#switchport port-security arp-check S3760(config-if)#switchport port-security S3760(config-if)#ip dhcp snooping address-bind S3760(config-if)#exit S3760(config)#exit
15、,2. VPN模块安全设计与实施 校园网VPN可以通过公众IP网络建立私有数据传输通道,将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来,减轻校园网的远程访问费用负担,节省电话费用开支,不过对于端到端的安全数据通讯,还需要根据实际情况采取不同的架构。IPSec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术,但它们之间有很大的区别,从VPN技术架构来看,IPSec VPN是比较理想的校园网接入方案,由于它工作在网络层,可以对终端站点间所有传输数据进行保护,可以实现Internet多专用网安全连接,而不管是哪类网络应用。IPSec VPN还要求在远程接入客户端适当安
16、装和配置IPSec客户端软件和接入设备,这大大提高了网络的安全级别。 本方案采用IPSec VPN。由于IPSec VPN在IP层提供访问控制、无连接的完整性、数据来源验证、防重放保护、加密以及数据流分类加密等服务。通过对IPSec VPN的配置和VPN冗余配置,来实现远程用户的接入,提高网络的负载均衡并有效的提高了网络安全性。VPN模块的详细拓扑结构如图11-4所示。,建立安全的IP 通信隧道,是建立虚拟专用网的关键。本方案中采用锐捷VPN 进行配置。在VPN配置界面中,选择网关的目录树上的IPSec VPN,如图11-5所示。接着开始对VPN进行具体配置:,1)远程用户接入配置 远程用户接入方式多种多样,比如通过无线接入、ADSL拔号接入和专线接入等等,当需要配置远程移动用户接入,那么在上图中双击远程用户管理,打开远程用户管理界面进行配置,如图11-6所示。(1)配置允许客户端访问的子网。在远程用户管理界面下打开“允许访问子网”进行配置,如如图11-7所示,可以通过添加按钮来添加用户接入后可以访问的内网的子网数目。,(2)配置内部DNS服务器。在远程用户管理界面下打开“内部DNS服务器”进行配置,如图11-8所示,可以通过添加按钮来添加内部DNS服务器即校园内网DNS服务器的IP地址,这样当隧道建立起来之后, RG-SRA 软件自动将客户端主机的DNS 设置为内部DNS。,
