校园网安全解决方案终结版

《校园网安全解决方案终结版》由会员分享，可在线阅读，更多相关《校园网安全解决方案终结版（12页珍藏版）》请在装配图网上搜索。

1、目录摘要21.需求分析31.1背景分析31.2安全需求分析42.系统设计52.1网络拓扑图52.2设计原则53.功能设计63.1部署防火墙63.2部署入侵检测/保护系统73.3部署漏洞管理系统83.4部署网络防病毒系统83.5移动控制台功能93.6升级策略93.7全网远程报警93.8全网集中管理103.9部署WEB应用防护系统103.10部署内容安全管理系统113.11 部署校园网用户认证计费管理系统12总结13参考文献14某高校校园网安全整体解决方案 摘要随着21世纪这个网络时代的到来，网络的普及，网络的开放性、共享性、互联性的扩大，造成网络混乱甚至瘫痪的因素也随之越来越多。如今，校园网已经

2、成了高等院校重要的学习和生活设施，现在有很多学校都已建成了校园网，它促进了我们教育教学的改革，但同时也带来了沉重的网络安全负担。黑客和病毒的泛滥给校园网的安全带来了巨大的压力，因此校园网安全受到前所未有的重视，本次课程设计在管理、设置、软件维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义，需求分析，系统设计，系统实现，系统调 试运行，总结，及参考文献几个方块。通过此次设计来加深我们对校园网络基本的管理与维护的了解，对于校园网建设中所用的基本设备如路由器，交换机，了解它们在校园网中的使用情况，及基本的配置过程。常用的病毒防治软件要掌握其具有的功能，及如何才能在校园网

3、中起到预想的结果，还有防火墙的基本配置信息。经过课程设计使我们能把平时课程中所学知识与实际应用相结合起来，并能在此过程中发现并解决问题。 关键字：路由器、交换机、防火墙设置1.需求分析1.1背景分析随着我国经济的高速发展，国家提出本世纪末将我国建设成为经济高度发展、教育设备完备的现代化强国。近年来国家加快改革教育体系，以教育为立国之本，建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段，学校很有必要建设一个校园网络管理应用系统，这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。以顺应无纸教学，无纸办公的发展趋势，充分利用

4、现代化技术来进一步提高教学质量和办公效率，为培养二十一世纪人才提供一个优良的硬件教学环境。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。大学计算机网络的建立与应用已相当普遍，它对内综合了校园中的计算机资源，对外建立了广泛信息获取和交流渠道，为大学的教学和科研工作带来勃勃生机。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展

5、教育信息服务和远程教育服务等将成为未来建设的具体内容。建立校园网络已经成为各个大学的基础建设工作,它直接关系到学校的教学和科研工作的质量和水平。随着我国CERNET（中国教学科研示范网）主干网的建成和全国高校校园网建设的高潮，校园网已成为衡量一个高校优劣的重要标志之一。高可靠性的计算机网络为校园的计算机管理提供了稳定的平台，极大的提高了校园网络的极大优势。 现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软，硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音，图像，数据的传输，这种带宽结合设备厂商优秀网管模式，可以向用户提供面对面的通讯

6、。1.2安全需求分析 学校主地点/总部核心网络，汇聚网络的安全防护控制；校园网安全接入网络模块的安全控制；校园网数据中心，数据中心服务器与互联网间的连接，以及到验证服务器、数据库服务器、应用/中间件服务器和内部服务器系统的后端连接，关键服务器的安全防护；互联网模块，到CERNET/其他运营商网络出口的连接，使教职员工能收取电子邮件和上网，安全防护；学校远程接入/远程办公者边缘安全性包括但不限于以下模块： 远程接入和虚拟居于专用网（VPN）模块，提供缘何层用户内部网的接入，这些用户一般为员工和内部合同商。 外部网及合作伙伴连接。提供到合作伙伴和供应链厂商的连接。尽管这些连接可能通过电子商务模块提

7、供，外部网模块应有在企业间的第1层电路和第2层VPN上保护公司间连接所需要的安全拓扑和技术。 其他机构专线接入模块，提供实现其他各办公地点间WAN连接所需的安全控制。2.系统设计2.1网络拓扑图2.2网络设计原则网络的先进性和实用性的原则：采用的硬软件系统既有技术的先进性，又有很高的性能价格比；网络的开放性和兼容性的原则：选择符合国际标准的网络硬软件产品，有很好的互换、扩展和升级能力；网络的灵活性和可靠性的原则：网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并且要有很好的容错能力；网络的可管理性和易维护性原则：配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网

8、络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护；网络系统的保密性和强有力的防病毒性。2.3安全设计原则 1.身份识别：身份识别是对网络用户、主机、应用、服务和资源的准确、积极的识别。实现它的标准技术包括验证协议，如RADIUS和TACACS、Kerberos和一次性密码工具。数字证书智能卡和目录服务等新技术正开始在身份识别解决方案中占越来越重要的作用。 2.外围安全/接入控制：它提供了控制到关键网络应用、数据和服务的接入的方法，以便只有合法用户和信息可通过网络。带接入控制列表和/或状态防火墙、以及专用防火墙设施的路由器和交换机提供了这种控制。病毒搜索器和内容过滤器等补

9、充性工具也有助于控制网络外围。 3.数据专用性：当必须保护信息免遭窃听时，按需提供经验证的保密通信的能力是十分重要的。有时，使用隧道技术，如GRE或L2TP来进行数据分离，可提供有效的数据私密性。然而，更高私密性要求常需要使用IPSec等数字加密技术和协议。在实施VPN时，这种添加的保护尤为重要。 4.安全监控：为确保网络安全，重要的是定期测试和监控安全准备状态。网络易损点搜索器可主动发现弱点领域，IDS可在发生安全事件时对其监控和响应。利用安全监控解决方案，机构可了解网络数据流和网络的安全状态。 5.策略管理。随着网络规模和复杂度的增加，对集中策略管理工具的需求也随之提高。带可分析截获、配置

10、和监控安全策略状态的基于浏览器的用户界面的工具，提高了网络安全解决方案的可用性和有效性。除安全要求外，网络安全设计还必须具备网络弹性、性能和可扩展性。3.功能设计3.1防火墙设置3.1.1部署防火墙在需要隔离的网络区域之间部署防火墙。典型地，在 Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。那么，通过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAI

11、L 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性：1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则；2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP

12、包，防止内部网络发起的对外攻击；3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用；4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 3.1.2防火墙配置 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3. 运行电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样。4. 当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防

13、火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。 1. 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例） .Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，“auto”选项为系统自适应网卡类型Interface ethernet1 auto 2. 配置防火墙内、外部网卡的IP地址： IP address inside ip_

14、address netmask # Inside代表内部网卡 IP address outside ip_address netmask # outside代表外部网卡4. 指定外部网卡的IP地址范围：global 1 ip_address-ip_address 5. 指定要进行转换的内部地址：nat 1 ip_address netmask 6. 配置某些控制选项：conduit global_ip port-port protocol foreign_ip netmask 3.2部署入侵检测/保护系统 防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工

15、具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面：防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。 入侵检测系统 IDS（ Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、

16、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。 IDS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战：IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力；蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络

17、之外。 为了弥补防火墙和IDS的缺陷，入侵保护系统 IPS（Intrusion Prevention System）作为IDS的替代产品应运而生。网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。3.3 部署漏洞管理系统部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：1.对用户网络中的资产进行自动发现

18、并按照资产重要性进行分类； 自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；4.根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；对修复完毕的漏洞进行修复确认；6.定期重复上述步骤 1-5。 通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏洞管理产品将网络资产按照重要性进行分类，自动周

19、期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。3.4部署网络防病毒系统 在高校校园网部署网络版防病毒系统，进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型

20、复杂网络的部署。其应具有如下功能：在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。 网络版客户端安装方法：网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装。3.5移动控制台功能 系统管理员在任意一台电脑（与控制中心所在的服务器联网）上安装移动控制台，管理员可通过移动控制台直接管理各种平台的服务器端/客户端。在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设

21、置、查毒、杀毒、通知升级、启动/关闭实时监控等。3.6升级策略 首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控制中心每日自动升级。在客户端普通操作台可以手动升级，也可以通过设置让客户端自动升级。 通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提

22、高管理效率。3.7全网远程报警 当网络中任意一台计算机上扫描程序发现病毒时，都能够自动及时准确地把病毒信息记录并传递给网络管理员。3.8全网集中管理 网络中客户端安装和杀毒确保有效完成，客户端未经授权不能任意停止全网统一的杀毒行动，客户端未经授权不能任意卸载。 针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护，可以适应高校校园网复杂的应用环境，满足校园网对于全网防病毒的需求，有效解决整个校园网面临的病毒威胁。 防病毒系统由服务器端和客户端组

23、成。防病毒服务器部署在核心交换机处，需要杀毒的每个终端安装一个客户端。3.9部署WEB应用防护系统 高校网络安全体系中，需要新型的技术和设备来应对WEB攻击，保证网站安全，维护高校声誉；为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。 传统的边界安全设备，如防火墙，局限于自身的产品定位和防护深度，不能有效地提供针对 Web 应用攻击完善的防御能力。防火墙的不足主要体现在：1、传统的防火墙作为访问控制设备，主要工作在 OSI 模型三、四层，基于 IP报文进行检测。设计之初，它就无需理解 Web 应用程序语言如 HTML及 XML，也无需理解 HTTP 会话。因此，它也不可能对

24、HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。恶意的攻击流量将封装为 HTTP 请求，从 80或 443端口顺利通过防火墙检测。2、有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够，只能提供非常有限的 Web应用防护，难以应对当前最大的安全威胁，如 SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题，更是无能为力。 IPS（入侵检测系统）弥补了防火墙的某些缺陷，但随着网络技术和 Web应用的发展复杂化，IPS 在 WEB 专用防护领域已经开始力不从心。具体体现为

25、：1、安全威胁的技术根源在于安全漏洞的存在。防护仅能一定程度缓解针对 Web应用的攻击。彻底消除安全隐患，需要借助 Web应用漏洞扫描工具，用以诊断 Web应用程序脆弱性。传统 IPS 设备更多从防护着手，不具备事前预防的能力。2、针对当前泛滥的 DDoS 攻击，传统 IPS 设备仅具备基本防护功能，很难满足应用层细粒度防护的需求。3、如果攻击者已经成功实施攻击、引发安全事件发生时，局限于攻击防护的产品定位，传统 IPS 设备不能提供补偿措施、为客户降低安全风险。 Web 应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防

26、火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同，WAF 工作在应用层，因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解，WAF 对来自 Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。 3.10部署内容安全管理系统 传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导

27、致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。因此，我们还需要细粒度的应用层和内容层策略控制。实现这个目标的新技术就是内容安全管理。 内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制，实现对网站访问、邮件收发、P2P 下载、论坛、在线视频等事件的全面有效管理。 通过内容安全管理，高校可以营造健康的网络环境，屏蔽色情、暴力等不良网站；对学生的上网行为有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散；加强对P2P等应用的流量管理，保障网络资源合理使用。 3.11 部署校园网用户认证计费管理系统 部署校园网用户认证计费管理

28、系统，对提供了INTERNET接入服务的学生和家属进行身份认证和计费管理。通过计费网关和智能交换机802.1X协议的配合，完成合法用户的认证，防止代理私接；MAC、IP地址假冒。 在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。 对于动态分配IP地址的网络系统，由于非法用户无法预先获知其他用户将会分配到的IP地址，因此他即使假冒合法用户的MAC地址也无法伪造IP地址，也就无法冒充合法用户访问网络资源。 对于静态分配地址的方案，由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方法也是不可行的。 当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网络系统。 对于假冒IP地址的情况由于802.1X采用了基于二层的认证方式，因此，当采用动态地址分配方案时，只有用户认证通过后，才能够分配到IP网络地址。 对于静态地址分配策略，如果假冒了IP地址，而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。 认证计费网关串联在INTERNET出口处，在需要认证的PC上安装身份认证客户端。总结参考文献