《校园网安全方案》由会员分享,可在线阅读,更多相关《校园网安全方案(29页珍藏版)》请在金锄头文库上搜索。
1、校园网安安全方案案加入时时间:220088-1-11 15:53:02来自自:addminn点点击:333433 安安全策略略越来越越成为学学校计算算机网络络的关键键因素。特特别是随随着多协协议新业业务的发发展、电电子商务务、网上上办公、各各种中间间业务的的应用,学学校网络络不再是是一个封封闭的网网络,极极大地扩扩展了学学校的业业务,提提高了学学校的竞竞争力,但但同时也也带来网网络安全全的风险险。网络络设计中中必须制制定网络络安全策策略,保保证内部部网络的的完整性性和安全全性。所谓安全全威胁,就就是未经经授权,对对位于服服务器、网网络和桌桌面的数数据和资资源进行行访问,甚甚至破坏坏或者篡篡改这
2、些些数据/资源。从从安全威威胁的对对象来看看,可以以分为网网络传送送过程、网网络服务务过程和和软件应应用过程程三类。网网络传送送过程主主要针对对数据链链路层和和网络层层协议特特征中存存在的漏漏洞进行行攻击,如如常见的的监听、iip地址址欺骗、路路由协议议攻击、IICMPP Smmurff攻击等等;网络络服务过过程主要要是针对对TCPP/UDDP以及及局域其其上的应应用层协协议进行行,如常常见的UUDP/TCPP欺骗、TTCP流流量劫持持、TCCP DDos、FFTP反反弹、DDNS欺欺骗等等等;软件件应用过过程则针针对位于于服务器器/主机机上的操操作系统统以及其其上的应应用程序序,甚至至是基于
3、于WEBB的软件件系统发发起攻击击。从安安全威胁胁的手法法来看,蠕蠕虫、拒拒绝服务务、舰艇艇、木马马、病毒毒都都是常见见的攻击击工具。宝鸡职业业学院网网络安全全体系架架构为学学校提供供整体的的、可扩扩展的、高高性能的的、灵活活的安全全解决方方案。采采用模块块化的方方法根据据用户需需求制定定安全的的设计、实实施和管管理。在在设计每每个模块块时,都都考虑到到一些关关键的因因素,包包括潜在在可能的的威胁或或侵入及及相应的的对策、性性能(不不能因为为安全控控制带来来不可接接受的性性能下降降)、可可扩展性性、可管管理性、服服务质量量和语音音的支持持等。1路由器器和交换换机的安安全功能能博达路由由器实现现
4、的网络络安全技技术有: VPPN技术术:IPPSecc、GRRE 包过过滤技术术 AAAA技术术、Raadiuus、TTacaacs+认证 日志志功能 NAAT网络络地址转转换 PPPP协议议PAPP、CHHAP认认证 PPPP协议议Calllbaack技技术 IPP地址MACC地址绑绑定技术术 路由由信息认认证技术术 IEEEE 8022.1QQ VLLAN技技术安全措施施76100、S885066、S668066和S222244提供了了丰富的的安全技技术和措措施。较较为有效效的措施施有:设设备本身身的安全全管理,包包括设置置用户管管理权限限,用户户密码等等;用户户接入的的认证,可可以提供供
5、8022.1XX,Weeb认证证等多种种用户认认证方式式;端口口和MAAC地址址等的绑绑定和过过滤功能能,端口口用户数数限制等等功能。其他的辅辅助措施施还包括括广播风风暴抑制制,端口口限速等等。1.1基基于包过过滤的防防火墙技技术博达路由由器支持持基于包包过滤的的防火墙墙技术,防防火墙访访问列表表根据IIP报文文的IPP报头及及所承载载的上层层协议(如如TCPP)报头头中的每每一个域域包含了了可以由由路由器器进行处处理的信信息。包包过滤通通常用到到的IPP报文的的以下属属性: IPP的源、目目的地址址及协议议类型 TCCP或UUDP的的源、目目的端口口 ICCMP码码、ICCMP的的类型码码
6、TCCP的标标志域 服务务类型TTOS IPP报文的的优先级级(prreceedennce)博达路由由器的访访问表还还提供了了基于时时间的包包过滤,可可以规定定过滤规规则发生生作用的的时间范范围,在在此时间间范围以以外,不不进行由由时间定定义的访访问规则则判断。在在时间段段的设置置上,可可以采用用绝对时时间段和和周期时时间段以以及连续续时间段段和离散散时间段段配合使使用,在在应用上上提供极极大的灵灵活性。1.2 AAAA技术、RRadiius、TTacaacs+认证博达路由由器AAAA技术术提供了了对用户户的验证证、授权权和记帐帐功能。(1)验验证功能能各种用户户(包括括登录、拨拨号接入入用户
7、等等)在获获得访问问网络资资源(包包括路由由器)之之前必须须先经过过验证。验验证时可可以选择择是采用用本地维维护的用用户数据据库,还还是采用用Raddiuss服务器器所维护护的用户户数据库库,或者者是采用用Taccacss+服务务器所维维护的用用户数据据库。博达路由由器支持持与AAAA技术术相结合合的Raadiuus、TTacaacs+认证。(2)授授权功能能通过定义义一组属属性来限限定用户户的权限限信息,来来确定用用户的访访问权限限。这些些信息存存放在相相应的用用户数据据库内。(3)记记帐功能能该功能使使得路由由器可以以对用户户访问的的网络资资源进行行跟踪记记录,当当选择了了该项功功能时,用
8、用户的访访问信息息便会存存入相应应的用户户数据库库内,根根据数据据库,就就可以产产生各类类用户帐帐单信息息。1.3日日志功能能日志(llog)功功能用于于将路由由器产生生的各种种信息以以日志形形式记录录到具备备Sysslogg功能的的主机上上(如UUnixx主机或或运行SSysllogdd的主机机)。日日志功能能与访问问列表功功能相结结合可以以任意定定义所要要记录的的信息,以以备查用用,如跟跟踪记录录黑客攻攻击报文文等。1.4 NATT网络地地址转换换技术网络地址址转换,用用来实现现内部网网络私有有地址和和外部网网络公共共地址的的相互转转换,它它的优点点在于避避免了内内部非法法地址和和外部公公
9、共地址址间的冲冲突,屏屏蔽了内内部网络络的实际际地址,隐隐藏了内内部网络络的结构构,增强强了对外外部网络络访问的的可控性性,也增增强了外外部网络络对内部部网络访访问的可可控性。博达路由由器支持持静态地地址翻译译(SNNAT)、端端口地址址翻译(PPAT)、动动态地址址翻译(DDNATT)。可可以支持持带访问问列表的的地址转转换,用用来限定定可以进进行地址址转换的的内部主主机地址址,有效效地控制制内部主主机对外外部网络络的访问问;同时时还可以以根据地地址池,进进行多对对多的地地址转换换,合理理地利用用公共的的合法IIP地址址资源;利用网网络地址址转换,可可以在屏屏蔽内部部地址的的同时,确确保了对
10、对外的各各种网络络服务的的安全性性。1.5 IP地地址MMAC地地址绑定定技术MAC地地址绑定定技术是是通过在在路由器器中静态态配置IIP地址址和MAAC地址址的映射射关系来来完成AARP应应答来实实现的。原原理如图图所示:博达ARRP代理理技术可以看到到,路由由器不再再动态的的响应来来自局域域网的主主机的AARP请请求,当当接收到到一个AARP请请求时,路路由器首首先检查查请求报报文的源源IP地地址,然然后在自自己的静静态映射射表中寻寻找与此此相对应应的MAAC地址址,如果果没有寻寻找到相相关映射射,将对对此报文文不作任任何处理理,通信信也就无无法实现现,从而而保证了了可能由由无效IIP地址
11、址的主机机发起的的攻击。如如果寻找找到相关关映射,就就回答一一个ARRP响应应,当响响应报文文中的目目的MAAC地址址域的值值是用映映射表中中的MAAC地址址填充的的,而不不是依据据请求报报文中的的源MAAC地址址域的地地址值。这这样,只只有请求求报文的的MACC和静态态映射的的MACC一致时时(即没没有伪装装IP),通通信才可可以建立立,否则则,如图图所示,通通信也不不可能建建立,从从而防止止IP地地址的欺欺骗。这种技术术可以在在S85510、SS68006等交交换机上上实现。1.6动动态路由由协议认认证技术术路由器是是根据路路由信息息来发送送报文的的,而路路由信息息恰恰又又是通过过网络在在
12、不同的的路由器器间转发发的。所所以,在在接受任任何路由由信息之之前,有有必要对对该信息息的发送送方进行行认证,以以确保收收到的路路由信息息是合法法的。需需要对邻邻接路由由器进行行路由信信息认证证的有以以下几种种: OOpenn Shhorttestt Paath Firrst(OOSPFF) RRouttingg Innforrmattionn Prrotoocall Veersiion 2(RRIP-v2)博达路由由器支持持RIPP-v22、OSSPF动动态路由由协议MMD5认认证。1.7访访问控制制也可以在在核心交交换机SS85110或者者汇聚交交换机SS68006上设设置访问问控制,比比
13、如限制制不同网网段之间间的互访访,但是是允许这这两个网网段对中中心服务务器的访访问。设设置允许许两个网网段上特特定的主主机可以以访问外外网和IInteerneet等。在核心交交换机上上可以设设置ACCL访问问控制列列表,端端口监控控等,控控制和管管理特定定服务,如如允许HHttpp、Maail、FFtp等等服务,而而禁止其其他不需需要的服服务和端端口,如如禁止外外部发起起的ICCMP报报文等;采用NNAT地地址转换换技术,实实现上网网。可以以采用静静态、动动态NAAT,PPAT等等多种方方式,对对于内部部某些对对外的服服务器,如如Webb服务器器、Maail服服务器、DDNS服服务器、FFTP
14、服服务器等等,可以以采用静静态NAAT方式式建立内内外网地地址和特特定端口口之间的的静态映映射。而而一般用用户可以以采用动动态地址址池,端端口地址址转换等等方式实实现上网网。同时,可可以结合合博达产产品具有有的tiimerannge等等功能,实实现定时时上网、定定时开放放服务等等功能。1.8 ARPP防范博达交换换机具有有以下四四种ARRP防范范技术:1、在接接口下过过滤ARRP报文文,防止止冒充网网关。2、在接接口下对对ARPP报文进进行IPP+MAAC绑定定,防止止对网关关的欺骗骗。3、免费费发放AARP RESSPONNSE报报文,纠纠正主机机错误的的网关。4、在接接口下配配置Fiilt
15、eer功能能,防AARP扫扫描攻击击。通过以上上的四个个功能,可可以完全全做到对对arpp欺骗和和攻击的的防治,其其中,将将arpp报文的的IP与与MACC绑定这这一功能能可以彻彻底防止止arpp欺骗,但但大的网网络中实实施起来来有可能能工作量量比较大大。因此此我们一一般情况况下可以以只启用用第一个个功能,防防止伪造造网关的的MACC地址,通通常的AARP病病毒就这这这种类类型。如果有需需要才将将主机的的IP+MACC绑定,对对于DHHCP环环境,我我们可以以在DHHCP Serrverr上进行行IP+MACC绑定,即即:给特特定的MMAC地地址分配配特定的的IP地地址,再再在交换换机上做做ARPP的IPP+MAAC绑定定。防arpp攻击这这项功能能,在统统计周期期和吞吐吐量的设设定上最最好使用用默认配配,只需需要在全全局和端端口下开开启此功功能即可可。免费发放放arpp reespoonsee报文是是一个辅辅助手段段,它可可以让已已经被欺欺骗的主主机自动动纠正过过来,减减少了维维护的工工作量。
