《校园网络实施方案》由会员分享,可在线阅读,更多相关《校园网络实施方案(15页珍藏版)》请在金锄头文库上搜索。
1、 校园网络实施方案一、论文概述;2二、如何评价网络系统的整体安全性3一网络系统设计原则3二主要网络设备的选择原则3三如何检测出当前系统的漏洞、以及扫描器的使用4三、应用系统如何保证安全性6一 防止黑客对网络、主机、服务器等的入侵61、控制技术62、防火墙技术63、入侵检测技术64、安全扫描75、安全审计7二 防Windows的漏洞8四、在连接Internet时,如何在网络层实现安全性9一防火墙的定义9二防火墙的作用9三如何使用防火墙9五、实现远程访问的安全性10一提高远程访问的安全性10二针对特定服务攻击的防11六 访问控制如何布置11一实现高效安全的网络访问控制111、选择一个网络访问控制方
2、法和一种客户端技术122、选择一个网络架构设备123、选择RADIUS服务器124、选择EAP方法如果使用802.1x的话125、布置并安排网络分段126、集成所有的网络段137、考虑采用身份驱动管理13二建立证书管理中心131、证书认证机构CA132、认证中心CA的主要功能133、CA认证-认证、数字证书和PKI解决的几个问题14三加密技术14七 总结15一、论文概述;随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在重技术、轻安全、轻管理的倾向,主要体现在:网络
3、的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。目前校园网络中存在的安全问题1、 学校的上网场所管理较混乱由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,是学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。2、 电子系统极不完善,无任何安全管理
4、和监控的手段电子既是互联网必不可少的一个应用之一,同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网系统依然采用互联网上下载的免费版本的系统,不能提供自身完善的安全防护,更没有提供任何针对用户来往信件过滤、监控和管理的手段,完全不符合国家对安全系统的要求,出现问题时也无法及时有效的解决3、网络病毒的肆虐传播,极大的消耗了网络资源;造成网络性能下降,单纯单机杀毒软件已经不能满足用户的需求,迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。4、网络安全意识淡薄,没有指定完善的网络安全管理制度校园网络上的用户安全意识淡薄,大量的非正常访问导致网络资源的浪费,同时也为网络的安全带来了极大的
5、安全隐患。综上所述,校园网络安全的形势非常严峻,为解决以上安全隐患和漏洞,结合校园网特点和现今网络安全的典型解决方案和技术,提出了以下校园网络安全实施方案。1如何评价网络系统的整体安全性 如何检测出当前系统的漏洞、以及扫描器的使用2应用系统如何保证安全性 如何防止黑客对网络、主机、服务器等的入侵、 如何防Windows的漏洞3在连接Internet时,如何在网络层实现安全性 防火墙的作用、如何使用4如何实现远程访问的安全性 远程控制的要求5访问控制如何布置,包括建立证书管理中心、应用系统集成加密等 简要地讲述证书的作用二、如何评价网络系统的整体安全性一网络系统设计原则系统与软件的可靠性在校园网
6、网络系统设计中,很重要的一点就是网络的可靠性和稳定性。在外界环境或部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间恢复正常工作,是某学院校园网网络系统所必须考虑的。在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某学院校园网网络系统的可靠性。先进性与现实性随着校园网网络系统处理的信息量变的十分庞大,要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率,保证系统工作的灵活性,保证网络的可靠
7、性,也使系统的扩展和维护变得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某学院校园网网络系统的先进性。系统安全性与性随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。在网络设计时,将从部访问控制和外部防火墙两方面保证某学院校园网网络系统的安全。系统还将按照国家相关的规定进行相应的系统性建设。易管理与维护某学院校园网网络系统的节点数目大,分布围广,通信介质多种多样,采用的网络技术也较先进,尤其引入交换式网络和虚拟网之后,网络的管理任务加重了,如何有效地管理好网络关系,是否充分有效地利
8、用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式,可以提供强大的网络管理功能,使网络日常的维护和操作变得直观、简便和高效。易扩充性随着教学科研的快速发展,某学院校园网网络系统面临的任务将愈来愈艰巨,愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展,我们网络十分注重扩充性。无论是网络硬件还是系统软件,都可以方便的扩充和升级。二主要网络设备的选择原则根据已制定的网络系统设计原则,我们所选择的网络设备必须具有以下一些点:安全、稳定、可靠作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间
9、,在世界围被广泛应用的网络产品。为此,我们建议选择国际知名厂商的产品。技术先进网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品,还应该具有的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术,能够保持该设备在相当长的一段时间不会因为技术落后而被淘汰。同时,在网络规模进一步扩大,该设备不能承担繁重的负荷时,能够降级使用。便于扩展由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块
10、不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。管理和维护方便先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。所以,我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件,便于管理人员的维护。三如何检测出当前系统的漏洞、以及扫描器的使用对于检测出系统的漏洞的扫描器,一般使用的是X-ScanX-Scan是国最著名的综合扫描器之一,它完全免费,是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国著名的民间黑客组织安全焦点完成,从20XX的部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3-cn都凝聚了国
11、众多黑客的心血。最值得一提的是,X-Scan把扫描报告和安全焦点相连接,对扫描到的每个漏洞进行风险等级评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞。软件说明采用多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,CGI漏洞,IIS漏洞,RPC漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文
12、件。功能采用多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能。扫描容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。所需文件xscan_gui.exe - X-Scan图形界面主程序checkhost.dat - 插件调度主程序 update.exe - 在线升级主程序 *.dll - 主程序所需动态库 使用说明.txt - X-Scan使用说明 /dat/language.ini - 多语言配置文件,可通过设置LANGUAGESELECTED项进行语言切换 /dat/language.* - 多语言数据文件 /da
13、t/config.ini - 当前配置文件,用于保存当前使用的所有设置 /dat/*.cfg - 用户自定义配置文件 /dat/*.dic - 用户名/密码字典文件,用于检测弱口令用户 /plugins - 用于存放所有插件 /scripts - 用于存放所有NASL脚本 /scripts/desc - 用于存放所有NASL脚本多语言描述 /scripts/cache - 用于缓存所有NASL脚本信息,以便加快扫描速度检测围指定IP围 - 可以输入独立IP地址或域名,也可输入以-和,分隔的IP围,如192.168.0.1-20,192.168.1.10-192.168.1.254,或类似192
14、.168.100.1/24的掩码格式。从文件中获取主机列表 - 选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以-和,分隔的IP围。 全局设置扫描模块项 - 选择本次扫描需要加载的插件。并发扫描项 - 设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。 网络设置项 - 设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap 3.1 beta4以上版本驱动。 扫描报告项 - 扫描结束后生成的报告文件名,保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。 其他设置跳过没有响应的主机 -
15、若目标主机不响应ICMP ECHO及TCP SYN报文,X-Scan将跳过对该主机的检测。 跳过没有检测到开放端口的主机 - 若在用户指定的TCP端口围没有发现开放端口,将跳过对该主机的后续检测。 使用NMAP判断远程操作系统 - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。 显示详细信息 - 主要用于调试,平时不推荐使用该选项。 插件设置模块:该模块包含针对各个插件的单独设置,如端口扫描插件的端口围设置、各弱口令插件的用户名/密码字典设置等。三、应用系统如何保证安全性一 防止黑客对网络、主机、服务器等的入侵网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事
