校园网网络安全方案设计.

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

目录第一章校园网安全隐患分析(31.1校园内网安全分析(31.1.1软件层次安全(31.1.2设备物理安全(31.1.3设备配置安全(31.1.4管理层次安全(41.1.5无线局域网的安全威胁(41.2校园外网安全分析(51.2.1黑客攻击(51.2.2不良信息传播(61.2.3病毒危害(6第二章设计简介及设计方案论述(72.1校园网安全措施(72.1.1防火墙(72.1.2防病毒(82.1.3无线网络安全措施(102.2H3C无线校园网的安全策略(122.2.1可靠的加密和认证、设备管理(122.2.2用户和组安全配置(122.2.3非法接入检测和隔离(132.2.4监视和告警(14第三章详细设计(153.1ISA软件防火墙的配置(153.1.1基本配置(163.1.2限制学校用机的上网(163.1.3检测外部攻击及入侵(163.1.4校园网信息过滤配置(173.1.5网络流量的监控(173.1.6无线局域网安全技术(173.2物理地址(MAC过滤(183.2.1服务集标识符(SSID匹配(183.2.2端口访问控制技术和可扩展认证协议(20第一章校园网安全隐患分析1.1校园内网安全分析1.1.1软件层次安全目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身安全漏洞较多,因此,导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行,冲击波这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS攻击,使多个国家的互联网也受到相当影响。1.1.2设备物理安全设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。1.1.3设备配置安全设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等,防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。1.1.4管理层次安全一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一旦有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设置为本网段的网关地址,这会导致整个学生机房无法正常访问外网。1.1.5无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网开放式的访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。地址欺骗和会话拦截目前有很多种无线局域网的安全技术,包括物理地址(MAC过滤、服务集标识符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-FiProtectedAccess、IEEE802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。1.2校园外网安全分析1.2.1黑客攻击有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园外网,还有相当一部分来自校园网内部,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。1.2.2不良信息传播在校园网接入Internet后,师生都可以通过校园网络进入Internet。目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。1.2.3病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,接入校园网的节点数量日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。第二章设计简介及设计方案论述2.1校园网安全措施2.1.1防火墙网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。1系统组成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1台,用于运行监控系统软件2主要功能实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通讯会话轨迹。如:E-MAIL:监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。HTTP:监视和记录用户对基于Web方式提供的网络服务的访问操作过程(如用户名、口令等。FTP:监视和记录访问FTP服务器的过程(IP地址、文件名、口令等。TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件3主要技术特点采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传输的效率。可采用集中管理的分布式工作方式,能够远程监控。可以对每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。2.1.2防病毒为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1应用状况一台专用服务器(NTSERVER、一台代理邮件服务器(NTSERVER&PROXYSERVER,ExchangeServer,一台一台数据库SERVER,100-200台客户机。2系统要求能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒,并对本地的局域网防护的作用。3解决方案采用的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客户机数量HTTPFTP、用浏览器下开载的程序ScanMailforExchangeServerExchangeServer按客户机数量有E-Mail的用户OfficeScancorp各部门的NT域服务器按客户机数量自动分发、更新、实时监察客户机以下是选用以上Trend公司产品的说明:在NT主域控制器和备份域上均采用ServerProtecforWindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级。另外在外接Internet和邮件服务器上,采用InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处-Internet服务器或网关(Gateway上安装此软件,它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。2.1.3无线网络安全措施针对校园应用的安全解决方案,从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,H3C提出一系列不同级别的无线安全技术策略,从传统的WEP加密到IEEE802.11i,从MAC地址过滤到IEEE802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚拟专用组(VertualPrivateGroup管理器功能并通过后台的Radius服务器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(VPG管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。具体安全划分及技术方案选

1 / 19
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功