《网络安全整体解决方案设计》由会员分享,可在线阅读,更多相关《网络安全整体解决方案设计(13页珍藏版)》请在金锄头文库上搜索。
1、园区网络安全整体解决方案设计 目录第1章 需求分析41.1实施背景41.2 网络安全需求41.2.1 防范非法用户非法访问41.2.2 防范合法用户非授权访问41.2.3 防范假冒合法用户非法访问41.2 应用安全需求4第2章 设计原则52.1 先进性与成熟性52.2实用性与经济性52.3 扩展性与兼容性52.4 标准化与开放性52.5 安全性与可维护性62.6 整合型好6第3章 网络总体设计63.1网络架构分析63.2 设计思路63.3 校园网的设计原则73.4 网络三层结构设计73.5 网络拓扑图7第4章网络安全解决方案94.1网络病毒的认识和防范94.1.1 网络病毒的传播方式94.1.
2、2 网络病毒的传播特点104.1.3 网络病毒防范技巧104.2 防止 IP、MAC 地址的盗用124.2.1 IP地址盗用方法分析124.2.2 防范技术研究13第5章 校园网络安全管理制度135.1 总则135.2 安全保护145.3 法律责任145.4 附则14 第1章 需求分析1.1实施背景维护校园网络的安全,防范网络病毒入侵校园网,防止 IP、MAC 地址的盗用,对学生用户上网时间的控制,用户网络权限的控制,有效屏蔽各种网络攻击,访问身份认证等等。1.2 网络安全需求所谓网络安全就是计算机系统安全概念在网络环境下的扩展和延伸,包括在网络内的访问是否充分得到授权与控制、网络内传输的数据
3、是否得到加密性、完整性保护,网络内的数据包是否合乎安全策略的要求.1.2.1 防范非法用户非法访问非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只有合法用户才能访问合法资源。1.2.2 防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得
4、到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户(指数字网络合法用户)被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问权限进行严格控制。1.2.3 防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而进行的非法访问
5、。1.2 应用安全需求应用安全主要涉及到应用系统信息资产的保密性和完整性保障,对应用安全的考虑主要集中两个方面,一是内容审计,审计是记录用户使用计算机网络系统所访问的所有资源和访问的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能够成功的还原系统的相关协议。二是对应用系统访问的源、目的的双向鉴别与授权,针对校园网络系统而言,建立CA系统是满足这一要求的可行解决方案。CA认证体系使用了数字签名、加密和完整性机制,使两个或多个实体之间通信时,进行“交叉认证”,可以有效的鉴别对应用系统访问来的身份,并根据确认的身份确定其能够访问的资源。此外,针对校园网重要业务系统,要规划全面的病毒防
6、护体系,我们看到,随着网络的飞速发展,病毒的发展趋势是从面向文件型转到面向应用的,从面向单机转到面向网络的,防病毒软件面临着集中管理、智能更新等多方面的问题,病毒防护也已经步入到了一个网络化、多方位防护的阶段。网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的网络级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。第2章 设计原则2.1 先进性与成熟性采用当今国内、国际上先进和成熟的计算机应用技术,使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看,系统的总体设计
7、的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构,当系统应用量发生变化时具备良好的可伸缩性,避免瓶颈的出现。 2.2实用性与经济性实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能,它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立,应避免过度追求超前技术而浪费投资。2.3 扩展性与兼容性系统设计除了可以适应目前的应用需要以外,应充分考虑日后的应用发展需要,随着数据量的扩大,用户数的增加以及应用范围的拓展,只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台,保证对海量数据的存取、查询以及
8、统计等的高性能和高效率。同时考虑整个平台的统一管理,监控,降低管理成本。2.4 标准化与开放性系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及外界信息的沟通。 计算机软硬件和网络技术有国际和国内的标准,但技术标准不可能详细得面面俱到,在一些技术细节上各个生产厂商按照自己的喜好设计开发,结果造成一些产品只能在较低的层面上互通,在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品,而且尽量选用市场占有率高、且发展前景好的产品,以提高系统互通性和开放性。2.5 安全性与可维护性随着应用的发展,系统需要处理的数据量将有较大的增长,并且将涉及到各类的关键
9、性应用,系统的稳定性和安全性要求都相对较高,任意时刻系统故障都可能给用户带来不可估量的损失,建议采用负载均衡的服务器群组来提高系统整体的高可用。2.6 整合型好当前采用企业级的域控制管理模式,方便对所有公司内所有终端用户的管理,同时又可以将公司里计算机的纳入管理范围,极大地降低了网络维护量,并能整体提高当前网络安全管理。第3章 网络总体设计3.1网络架构分析现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,
10、然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构校园网采用星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部
11、采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。3.2 设计思路 进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划校园网建设的实施步骤。
12、校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面:(1)整体规划安排;(2)先进性、开放性和标准化相结合;(3)结构合理,便于维护;(4)高效实用;(5)支持宽带多媒体业务;(6)能够实现快速信息交流、协同工作和形象展示。3.3 校园网的设计原则(1)先进性原则以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。(2)开放性原则校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。(3)可管理性原则网络建
13、设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。(4)安全性原则信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。(5)灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。(6)稳定性和可靠性可靠性对于一个网络拓扑结构
14、是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。3.4 网络三层结构设计校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的
15、安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足客户需求。3.5 网络拓扑图网络拓扑图物理图第4章 网络安全解决方案4.1网络病毒的认识和防范网络病毒是一种新型病毒,它的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。同时有关调查显示,通过电子邮件和网络进行病毒传播的比例正逐步攀升,它们给人们的工作和生活带来了很多麻烦。因此我们有必要了解一些网络病毒的特点,并对其采取相应的措施,以减少被网络病毒感染的机会。4.1.1 网络病毒的传播方式网络病毒一般会试图通过以下四种不同的方式进行传播:(1)邮件附件病毒经常会附在邮件的附件里,然后起一个吸引人的名字,诱惑人们去打开附件,一旦人们执行之后,机器就会染上附件中所附的病毒。(2)Email有些蠕虫病毒会利用在Microsoft Security Bulletin在MS01-020中讨论过的安全漏洞将自身藏在邮件中,并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样,
