校园网络安全设计方案(18篇)校园网络安全设计方案 校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,下面是小编为大家整理的校园网络安全设计方案(18篇),供大家参考。
篇一:校园网络安全设计方案
校园网络安全设计方案
一、安全需求
1.1.1网络现状
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1。1.2应用和信息点
楼号
该楼用每层层数
途
主机
数
3
行政,办504
公,网络
中心
每栋信息点总数
200
实现功能
主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护,管理,中心内设有网站、电子邮箱、精品课程、FTP资源、办公系统以及视频点播等服务器.
20
图书馆1005
7(1,2,教学楼11,16)
4(5,6,8,
9,1012,13,14,15,16,17)
宿舍
10-2700不等
1807
500对图书馆内各类图书进行管理,对图书资料进行处理.建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主.
150主要是多媒体教室。能够实现多媒体教学,快速地获取网上资源
1200能够较快地获取网上资源,拥有语音布线
1.2。现有安全技术
1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
1。3.安全需求
1.构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,
通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2。建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警.3。建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题.4。建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
二.安全设计
1.1设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型”)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完
备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护.“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击.因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件.安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点”的安全性能。2.网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行.安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。4.标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网
络安全需求。9.易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
1.2.物理层设计
1.物理位置选择
机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要求;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾,易遭受雷击的地区.2.物理访问控制
有人值守机房出入口应有专人值守,鉴别进入的人员身份并登记在案;无人值守的机房门口应具备告警系统;应批准进入机房的来访人员,限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方.在自己的办工桌上安上笔记本电脑安全锁,以防止笔记本电脑的丢失。3.防盗窃和防破坏
应将相关服务器放置在物理受限的范围内;应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;应对机房设置监控报警系统。4。防雷击
机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;应设置交流电源地线.5。防火
应设置火灾自动消防系统,自动检测火情,自动报警,并自动灭火;机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级。6.防水和防潮
水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移与渗透.7.防静电
应采用必要的接地等防静电措施;应采用防静电地板.8。温湿度控制
应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制;机房中应无爆炸、导电、导磁性及腐蚀性尘埃;机房中应无腐蚀金属的气体;机房中应无破坏绝缘的气体。9。电力供应
机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以备常
用供电系统停电时启用。10.电磁防护要求
应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。
1。3.网络层设计1.防火墙技术
建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一个限制器,同时它还是一个分析器,通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动,使得只有经过精心选择的应用协议才能通过,保证了内网环境的安全,如图1所示
作为校园网安全的屏障,防火墙是连接内、外层网络之间信息的唯一出入口,根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计.同时利用防火墙的日志记录功能做好备份,提供网络使用情况的统计数据2.虚拟专网(VPN)技术
对于从专线连接的外部网络用户,采用虚拟专网(VPN)技术,它使架设于公众网络上的园区网使用信道协议及相关的安全程序进行保密,还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠.3.身份认证技术
对于拨号进入园区网的用户进行严格控制,在拨号线路上加装保密机,使无保密机的用户无法拨通;通过用户名和口令的认真检查用户身份;利用回拨技术再次确认和限制非法用户的入侵。
4.加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。为存放秘密信息的服务器加装密码机,对园区网上传输的秘密信息加密,以实现秘密数据的安全传输。
5.物理隔离
公共网络及因特网上黑客日益猖獗,加上我国使用的计算机及网络设备的软硬件产品大多数是进口的,安全上没有很好的保证,因而将外部网络中的因特网与专用网络如军用网实现物理隔离,使之没有任何连接,可以使园区网与外部专用网络连接时,园区网与Internet无物理联系在安全上较为稳妥。
6.防毒网关
防火墙无法防止病毒的传播,因而需要安装基于Internet网关的防毒软件,具体可以安装到代理服务器上,以防止Internet病毒及Java程序对系统的破坏.
7.网络地址转换技术
当园区网内部主机与外部相连时,使用同一IP地址;相反,外部网络与园区网主机连接时,必须通过网关映射到园区网主机上。它使外部看不到园区网,从而隐藏内部网络,达到保密作用,同时,它还可以解决IP地址的不足。
8。代理服务及路由器
可以根据设置地址、服务、内容等要素来控制用户的访问,代理服务器及路由器起访问的中介作用,使园区网和外部网络间不能直接访问,从而保证内部关键信息的安全.
9.安全扫描
可以通过各种安全扫描软件对系统进行检测与分析,迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描,检查它们的弱点并生成报表。
10。入侵检测
可以采用一些安全产品对网络上流动的数据包进行检查,识别非法入侵和其它可疑行为,并给予及时的响应及防护.如下图所示。
11。用户的身份认证
用户入网访问控制分为三步,即用户名的验证;用户口令的验证;用户帐号的验证.用户口令是入网的关键,必须经过加密,用户还可采用一次一密的方法,或者使用智能卡来验证用户身份.同时,可将用户与所用的计算机联系起来,使用户用固定的计算机上网,以减少用户的流动性,加强管理。
12。权限控制
这是针对网络非法操作提出的一种安全保护措施.用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源及用户可执行的操作.
13.客户端安全防护
首先,应切断病毒传播的途径,降低感染病毒的风险;其次,使用的浏览器必须确保符合安全标准,使客户端的工作站得到安全保证.
14。安全检测
使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析,查找安全漏洞并加以修复,使用防病毒软件进行病毒查找和杀毒工作。
加密,访问控制,数字签名,入侵检测,扫描,物理隔离,
安全协议
1.4.传输层安全
操作系统是整个园区网系统工作的基础,也是系统安全的基础,因而必须采取措施保证操作系统平台的安全。安全措施主要包括:采用安全性较高的系统,对系统文件加密,操作系统防病毒、系统漏洞及入侵检测等.
1.采用安全性较高的系统
美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1、B2、B3、A级,安全等级由低到高,目前主要的操作系统等级为C2级。在使用C2级系统时,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在极端重要的园区网系统中,应采用B级操作系统。
2.加密技术
对操作系统中某些重要的文件进行加密,防止非法出版的读取及修改。
3.病毒的防范
在园区网主机上安装防病毒软件,对病毒进行定时或实时的病毒扫描及检测,对防病毒软件进行及时升级以发现和杀灭新型的病毒.
4。安全扫描
通过对园区网主机进行一系列设置和扫描,对系统的各个环节提供可靠的分析结果,为系统管理员提供可靠性和安全性分析报告,对系统进行及时升级以弥补漏洞及关闭“后门”。
5.入侵检测安装基于主机的入侵检测系统,可检查操作系统日志和其它系统特征,判断入
侵事件,在非法修改主页时自动作出反应,对已入侵的访问和试图入侵的访问进行跟踪记录,并及时通知系统管理员,使管理员可对网络的各种活动进行实时监视。
1.5.应用层安全
1。蠕虫过滤
蠕虫可以利用电子邮件、文件传输等方式进行扩散,也可以利用系统的漏洞发起动态攻击.病毒防御体系可以根据蠕虫的特点实行多层次处理,在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。
2。病毒过滤
对于网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTP、POP3协议)等病毒,基于专门的病毒引擎进行查杀。对于邮件病毒,可以定义对病毒的处
理方式,决定清除病毒、删除附件、丢弃等操作,发现病毒时通知管理员、收件人、发件人等操作.
3.垃圾邮件过滤
垃圾邮件类型大致可以分为以下四种类型:邮件头部包含垃圾邮件特征的邮件;邮件内容包含垃圾邮件特征的邮件;使用OpenRelay主机发送的垃圾邮件(OpenRelay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特征的垃圾邮件.
病毒防御体系按照协议特征对数据包进行分析、重组及解码,按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理.可以限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。
4.内容过滤
支持对邮件关键字、附件文件类型进行过滤,通过定义可信或不可信的URL并进行过滤,可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤,防止敏感信息的侵扰和扩散。
1.6.管理层安全
1.制定一套严谨严格的操作守则.要求网管人员严格按照守则进行管理工作,
2.加强网络管理人员的培训.定期对网管人员进行培训,并出外考察,多增长与时俱进的网管技术
三、材料清单和工程设计
3.1材料清单
项目中心交换机防火墙
型号
RG-S6806RG—WALL100
用途中心交换机确保信息安全
数量2台2台
路由器
TP-LINK
连接外网
1台
TL-WR841N
VPN网关IDS
3。2设计方案
CyLanSME—500
虚拟专用隧道网络
入侵检测
集成于防火墙一套
四、施工
4。1病毒立体防御体系的构建与实施
包括两个方面的内容:一是在内部网络设置防病毒管理与分发服务器,各终端计算机与服务器通过网络相连,形成内部网络的病毒防御系统.二是设置网关防病毒系统,对网络的出入口数据流量进行病毒扫描和过滤。
1。设置防病毒管理与分发服务器
校园网的防病毒管理与分发服务器与上级信息管理中心的防病毒控制中心服务器网络相连,直接接受上一级服务器提供的病毒库升级、客户端防病毒软件升级、广域网病毒扫描和过滤等服务。引导校园网用户自觉把个人用计算机及单位用计算机作为防病毒客户端与防病毒管理与分发服务器进行联接;二是对防病毒管
理与分发服务器进行相关配置,使得服务器能够及时对客户端实施病毒自动更新,能够对客户端进行自动或手工方式的病毒扫描和查杀。
2。网关防病毒系统
网关防病毒系统部署在校园网的出入口处。系统能够实现:无人值守,自动操作,可实现自动发现、清除病毒,自动报警,时刻保护网络免受病毒和蠕虫侵害。
4。2入侵检测系统的构建与实施
入侵检测系统包括两个部分:一是传感器,负责采集数据(网络包、系统日志等)、分析数据并生成安全事件;二是控制台,主要承担中央管理的作用。
该系统能够根据应用需要配置若干块网卡,以同时收集若干个网段的数据,进行实时的入侵分析。该系统既可以独立使用,又可以与防火墙配合使用,作为防火墙的补充,提供入侵检测,并对现有的设置进行审计。
入侵检测系统在校园网需检测的网段处以旁路方式接入。
4。3内网安全管理体系的构建与实施
在指定服务器配置内网安全管理系统,校园网联网计算机下载客户端软件,与内网安全管理系统实现网络连接,接受内网安全管理系统提供的安全服务,形成内网安全管理体系。
4.5虚拟专用网(VPN)的构建与实施
在校园网出入口处部署SSLVPN硬件网关,广域网用户利用SSLVPN网关访问校园网资源.实现校园网和广域网的虚拟专用网连接。这种部署方式具有以下特点:一是客户端内不用安装VPN客户端软件,易部署、管理和扩展;二是无须在
防火墙上为SSLVPN设备做特定的设置。三是兼容B/S和C/S,能达到好管理、好维护、低成本、高利用率的效果.
五、售后服务
篇二:校园网络安全设计方案
校园网网络安全设计方案以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普
及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建。由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构.节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络.二、网络安全设计。1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散.计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域
网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2。网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性.
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络.从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB.这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上.第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3。计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击.
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术.这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全.形成的整体拓扑图.
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现
内部子网的安全.共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全.外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
篇三:校园网络安全设计方案
ipsecvpnsslvpn如果只是想实现高效不同校区之间网络到网络的连接可以选择ipsecvpn如果想实现终端到站点之间的传输可以选择sslvpn网还可以访问校内图书馆资源内部教务信息vpn服务器配置在服务器上右击选择配置启用路由和远程访问进入配置向导在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择tcpip协议选下一步这一步会选择一个服务器所使用的ternet连接可以选已建立好的拨号连接或通过制定网卡进行连接按下一步这一步回答你如何对远程客户机分配ip地址除非你安装dhcp服务器否则选择指定vpn访问校园路由公共应路由计费网100计费网1000s750100办公00010100h3cs360010010010教工3928p儋州校网络中心城西校网络中心教工学生宿舍网络电信距15公里vpn海南大学应200哼3928p学生科技学院海甸主校区30万学生办公教学网h3c12508?公里00m相距15100城西校区05万学教育网防火墙00500m个ip地址的范围根据提示选择你要分配给客户机的ip地址此ip地址要和服务器的ip地址在同一个网段最后选择不我现在不想设置此服务器的radius即可完成最后的设置vpn客户端配置在开始一附件一通讯选择新疆连接向导点击下一步选择建立一个您的工作位置的网络连接选择虚拟专用网络连接单击下一步为连接输入一个名字xxx单击下一步选择不拨此初始连接单击下一步输入连接设备服务器的ip地址单击完成双击刚建立的xxx连接在连接窗口中选择属性选择安全属性页选择高级自定义设置单击设置在数据加密中选择可选加密没有加密也可以连接在允许这些协议选中质询握手身份验证协议chap单击确定选择网络属性页在vpn类型选择l2tpvpn确定internettcpip被选中单击确定保存所做的修改防病毒
校园网络安全设计方案
10网工2班组员:张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展,校园网的建设日益普遍。而在高校中,如何能够保证校园网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击,还有内部的攻击。所以,在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面,设计我校的网络安全方案。防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。防火墙的概念:通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合,是一种有效的网络安全策略。防火墙提供信息安全服务,设置在被保护内部网络的安全与不安全的外部网络之间,其作用是阻断来自外部的、针对内部网络的入侵和威胁,保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口,根据安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力。防火墙的分类:按软件与硬件的形式,防火墙分为软件防火墙、硬件防火墙和芯片防火墙;按防火墙的技术,总体分为包过滤型和应用代理型两大类;按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙;按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的安全策略:(1)所有从内到外和从外到内的数据包都必须经过防火墙(2)只有被安全策略允许的数据包才能通过防火墙(3)防火墙本身要有预防入侵的功能(4)默认禁止所有服务,除非是必须的服务才被允许防火墙的设计:(1)保障校园内部网主机的安全,屏蔽内部网络,禁止外部网用户连接到内部网(2)只向外部用户提供HTTP、SMTP和POP等有限的服务(3)向内部记账用户提供所有Internet服务,但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能,能有效记录校园网的一切活动。校园网络在设置时应从下面几个方面入手:(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自IPSourceRouting、IPSpoofing、SYNflood、IC-MPflood、UDPflood、PingofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或透明的。(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、JavaAp-ple、ActiveX和恶意脚本过滤等。(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还
会达到几个G的性能。要充分进行性价比的考虑。(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式,对于内部网络的安全又多了一层保障。产品选择:CiscoPIX515防火墙产品特点:CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术,运行PIX操作系统,是一种实时的嵌入式强化系统,可以消除安全漏洞和性能降级损耗。假如拓扑图如下(图中防火墙左面为内网,右面为外网,设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1,右口为f0/0.):
要求:(1)对防火墙、路由器进行基本的命令配置,使得内网的所有机器能访问外网。(2)所有内网的主机出口使用防火墙对外的全局地址202.161.1.2(3)所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机,此主机对外公开地址为202.161.1.5,允许对此主机进行www、ftp。其中防火墙的配置:设置端口安全级别:nameife0outsidesec0nameife1insidesec100设置端口参数:interfacee0autointerfacee1auto配置内外网的IP地址:Ipaddoutside192.168.3.1Ipaddinside192.168.2.2设置指向内外网的静态路由:Nat(inside)100Global(outside)1202.161.1.2Routeoutside0.0.0.00.0.0.0192.168.3.2拓扑图如下:
儋州校区(1.0万学生)
公网
教育网200-500M路由器
SiSi
公网400-1000M
城西校区(0.5万学生)
路由器
Si
公共应用平台、数据库
计费网关
100MH3C12508100-20公里0M(相距)15
Si
计费网关
儋州校区网络中心H3C9508
0200-1
Si
00M
15(相距
0公里
)
SiSi
10000M
Si
城西校区网络中心6506R
Si
Si
S75061000M办公教学网络教工学生宿舍网络(电信LAN)
学生宿舍网络2000M
Si
办公教学网络1000M
学生宿舍网络1000M
教工区网络1000M
办公教学网络1000M
教工宿舍网络6506R(电信ADSL)
100M3928P-SI
H3CS3600
100M
3928P-SI100M100M
海甸主校区(3.0万学生)
VPN什么是VPN?虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。
VPN----海南大学应用科技学院
VPN的特点安全保障:通过一条隧道,加密技术对数据进行加密,以保证数据安全性和私有性。
服务质量保证:为不同要求用户提供不同等级质量的服务可扩充性,灵活性:支持Internet和Extrane任何类型的数据流可管理性:可以从用户和运营商角度进行管理VPN所用的技术:实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是在第二层链路层。也可以是在第三层网络层。第二层主要是PPP连接。如PPTP,L2TP第三层是IPSec。加解密技术数据通信中一项比较成熟的技术,VPN可直接利用现有技术进行数据加密解密密钥管理技术主要任务是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。降低网络搭建成本,简化管理。设计方案目前实现VPN主要有两种方式:IPSecVPN和SSLVPN如果只是想实现高效不同校区之间网络到网络的连接,可以选择IPSecVPN如果想实现终端到站点之间的传输可以选择SSLVPN各校区和主校区之间通过专线连接。而每个校区都通过路由器连接到具有VPN功能的防火墙。而路由器还有专门的VPN隧道和防火墙相连。防火墙连接到外面的Internet。同时校园网还连接至外面的教育科研网中。这样校外的老师和出差的老师都可以通过VPN访问校园网,还可以访问校内图书馆资源,内部教务信息
儋州校区(1.0万学生)
公网
教育网
公网400-1000M
防火墙200-500M
路由器
SiSi
防火墙
城西校区(0.5万学生)
路由器
Si
公共应用平台、数据库
路由器
计费网关
100M
Si
计费网关
儋州校区网络中心H3C9508
(相000M200-1
Si
0公里距15
)
Si
Si
H3C12508100-20公里0M(相距)15
Si
10000M
Si
城西校区网络中心6506R
Si
Si
S7506教工学生宿舍办公教学网络网络(电信LAN)1000M
学生宿舍网络2000M
Si
办公教学网络1000M
学生宿舍网络1000M
教工区网络1000M
办公教学网络1000M
教工宿舍网络6506R(电信ADSL)
100M3928P-SI
H3CS3600
100M
3928P-SI100M100M
海甸主校区(3.0万学生)
VPN服务器配置在服务器上右击,选择配置启用路由和远程访问进入配置向导,在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个服务器所使用的Internet连接,可以选已建立好的拨号连接或通过制定网卡进行连接,按下一步这一步回答你如何对远程客户机分配IP地址,除非你安装DHCP服务器,否则选择指定一个IP地址的范围根据提示选择你要分配给客户机的IP地址(此IP地址要和服务器的IP地址在同一个网段)最后选择“不,我现在不想设置此服务器的RADIUS”即可完成最后的设置VPN客户端配置在开始—附件—通讯,选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接”选择“虚拟专用网络连接”,单击下一步为连接输入一个名字“xxx”,单击下一步选择不拨此初始连接,单击下一步输入连接设备服务器的IP地址,单击完成
VPN----海南大学应用科技学院
双击刚建立的“xxx”连接,在连接窗口中选择属性选择安全属性页,选择高级(自定义设置),单击设置在“数据加密”中选择“可选加密”(没有加密也可以连接)在“允许这些协议”选中“质询握手身份验证协议(CHAP)”单击确定选择“网络”属性页,在VPN类型选择“L2TPVPN”确定“Internet协议TCP/IP”被选中单击确定,保存所做的修改
防病毒:
一、防病毒服务器:首先选择ServerProtect软件特点:集中式网域管理、三层式结构执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器,预装windows20XXserver,并在服务器上安装ServerProtect的信息服务器及管理控制台,作为ServerProtect的管理中心,从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置:1、配置下载源——一般把“趋势科技更新服务器”设置为下载源2、配置预设下载——将下载频率设为“每天”3、配置通知信息——配置通知类型,并发送给谁4、配置扫描设置——分为实时扫描、立即扫描、预设扫描通过ServerProtect的不熟,有效的保护校园网中的关键服务器受到病毒入侵,今儿切断了病毒通过服务器在校园网中的传播二、客户机安装网络版防毒软件:首先选择OfficeScan:针对企业网络环境设计,提供企业用户网络客户机的病毒防护工作,安装也企业中的一台防病毒服务器,可通过浏览器进行所有的设定及配置,能够通过网络为没太计算机安装客户端,无须在客户端操作,简单方便,提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端,通过“客户机打包程序”和WEB页面等方法安装校园内的客户机。具体配置:启动手动组织爆发客户机管理:设置扫面选项(实时、手动、预设扫描和例外文件设置)、设置权限服务器管理:设置密码、设置警报设置更新(服务器更新、客户机更新)另:宿舍客户机也可以自行选择网络版防毒软件,如360、瑞星、金山等等
上网行为管理、用户审计系统
上网行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控、管理网络资源使用情况,提高整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。
标准功能:上网人员管理上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的
合法性和安全性移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性、上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性上网浏览管理搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。网址URL管理:利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性.上网外发管理普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理:利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性即时通讯管理:利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其他外发管理:针对FTP、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性.上网应用管理上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问.上网流量管理上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽上网行为分析上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题
上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题.上网隐私保护日志传输加密:管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听管理三权分立:内置管理员、审核员、审计员账号。管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后才开通审计员权限;审计员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容精确日志记录:所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记录隐私设备容错管理死机保护:设备带电死机/断电后可变成透明网线,不影响网络传输。一键排障:网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间双系统冗余:提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用。风险集中告警告警中心:所有告警信息可在告警中心页面中统一的集中展示分级告警:不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息。告警通知:告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险。
数据备份系统
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的企业开始采用
网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。重要性:计算机里面重要的数据、档案或历史纪录,不论是对企业用户还是对个人用户,都是至关重要的,一时不慎丢失,都会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然。备份方式:定期磁带;数据库;网络数据;远程镜像;好用设备:备份离不开存储设备和介质。目前,可以用来备份的设备很多,除软盘、本地硬盘外,CD-R、CD-RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都可以很方便地买到。此外,Internet还给用户提供了网络备份的新途径,尤其是一些免费空间很值得我们予以关注。软盘是最常见的备份介质。不过,软盘容量很小,备份少量数据尚勉强可为,对大量数据则无能为力。再则,软盘安全性差、容易损坏,专业备份不值得考虑。光盘是不错的备份介质,它容量大、便于保管和携带,安全性也较高,是死备份的唯一选择。产品选择:Symantec作为全球领先的存储备份管理软件厂商,旗下的BackupExec和Netbackup两款备份产品解决方案可以为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障。产品特点:BackupExec软件是一种多线程、多任务的存储管理解决方案,专为在单一的或多节点的WindowsServers(包括windows2003/2008)企业环境中进行数据备份、恢复、灾难恢复而设计,适用于Windowsservers以及简单异构的企业网络;在全球数据备份软件市场的占有率高达56%,并在各种性能评测中远远领先于对手产品。NetBackup是Symantec公司的企业级备份管理软件,它致力于解决网络上大、中、小型服务器和工作站系统上的数据备份、归档及灾难恢复问题;NetBackup支持UNIX、Windows和Netware混合环境提供了完整的数据保护机制,针对Oracle、SAPR/3、Informix、Sybase、MicrosoftSQLServer和MicrosoftExchangeServer等数据库提供了备份和恢复的解决方案。具有保护企业中从工作组到企业级服务器的所有的数据的能力。产品配置:SymantecBackupExec12D产品配置架构
BackupExec12DforWindowsServers备份软件可以作为一台独立服务器保护自身的重要数据,也可以为网络上其它的远程客户端或者服务器提供全面的数据保护。备份软件系统的核心部分--BackupExecforWindowsServers能够安装到广泛的Windows各个版本的操作系统上,包括WindowsServer2000/2003、WindowsStorageServer2003以及WindowsSmallBusinessServer标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展BackupExec的功能,从而满足不同应用对增长和升级存储管理能力的需求。关于Windows服务器的系统保护,可以采用SymantecBackupExecSystemRecovery产品;BESR8.5是作为Windows系统恢复领域的金牌标准,可以在数分钟(而非数小时或数天)之内恢复系统,甚至可以将系统恢复至不同的硬件或虚拟环境。现在包含增强的MicrosoftExchange、虚拟和数据恢复功能,以及能够简化管理的集中式管理。客户备份环境分析:客户的备份网络中,主要保护的服务器为Windows平台,备份的服务器有文件服务器、AD域服务器、SQL数据库服务器等备份系统网络结构设计:在网络备份的基础上,我们建议建立一个专用的备份网络。配置很简单,因为每台服务器缺省已经配置2个以上的以太网卡。我们指定其中一个网卡作为专用的备份连接,通过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据通过备份网络直接传输到备份服务器,而不需要占用公网的网络带宽,而且备份速度更快。还有,我们建议采用基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份服务器上,然后在空闲的时候再迁移到磁带机上做为长期的数据保留。磁盘和磁带相结合的备份,既可以实现高速的存储备份,也可以实现数据长期保留的需要。主页防篡改网站被篡改的原因:客观原因:操作系统和应用的复杂性,导致系统漏洞的层出不穷。虽然有防火墙、入侵检测,但是这些产品都是基于特定端口的,无法理解协议的具体内容主观原因:网站建设与保护措施建设不同步还有些网站在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改网页防篡改技术:外挂轮巡技术:利用一个网页读取和检测程序,以轮巡方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。核心内嵌技术:篡改检测模块内嵌于WEB服务器软件,在每一个网页流出时进行完整性检查事件触发技术:使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查产品选择:鹰眼主页防篡改软件产品特点:鹰眼主页防篡改系统采用先进的核心驱动技术,其篡改检测模块运行于操作系统核心,与操作系统无缝结合。拦截对被保护的对象的非法篡改行为事件,进行阻断处理,由于鹰眼主页防篡改系统采用了先进、高校的算法,因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理服务器、管理终端三部分组成。主机监控端安装于被保护的WEB服务器之上。主机监控端与WEB服务器同步启动,保证WEB服务器能够随时得到保护。管理服务器是整个系统的中枢,所有的管理功能和数据均在管理服务器上实现,
管理服务器是管理终端和主机监控端的桥梁。管理终端安装于用户的工作用机上,为用户提供远程管理操作通过部署主页防篡改软件,有效的监控网站网页是否被恶意修改、删除,并能在最短的时间内采取恢复措施,有效保证数据的完整性和真实性。校园网络系统安全管理制度第一章总则第一条为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度。第二条本管理制度所称的校园网络系统,是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。第三条校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责,网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。第二章安全保护运行第五条除校园网负责单位,其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。第六条校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核,由单位负责人签署意见后,交办公室审核备案后,由网络与信息中心从技术上开通其对外的信息服务。第七条校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络与信息中心对用户口令保密,不得向任何单位和个人提供这些信息。第八条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。第九条校园内从事施工、建设,不得危害计算机网络系统的安全。第十条校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,校园网负责单位必须在二十四小时内向校保卫部门及公安机关报告。第十一条严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。第十二条任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。第十三条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:(1)可向Internet公开的;(2)可向校内公开的;(3)可向本单位公开的;(4)可向有关单位或个人公开的;(5)仅限于本单位内使用的;(6)仅限于个人使用的。第十四条对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的各级行政单位、教学业务单位上网计算机的使用要严格管理,部门负责人为网络安全负责人。学校公共机房一律不准对社会开放,上网人员必须出示学生证、教师证,机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址。公共机房使用网络的记录要保持
一年。第十五条校园网负责单位必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经校网络安全领导小组批准,各单位一律不得开设代理服务器、Email服务器。第十六条经学校网络安全领导小组批准开设的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。第三章违约责任与处罚第十七条违反第五条及第十二条规定的行为一经查实,将向学校国家安全领导小组及保卫部门报告,视情节给予相应的行政纪律处分;造成重大影响和损失的将向市公安部门报告,由个人依法承担相关责任。第十八条违反第八条规定的侦听、盗用行为一经查实,将提请学校给予行政处分,并在校园网上公布;对他人造成经济损失的,由本人加倍赔偿受害人损失,关闭其拥有的各类服务帐号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。第十九条故意传播或制造计算机病毒,造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
篇四:校园网络安全设计方案
校园网络安全设计方案
一、安全需求
1.1.1网络现状
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
楼号
该楼用每层层数
途
主机
数
3
行政,办504
公,网络
中心
20
图书馆1005
每栋信息点总数
200
500
实现功能
主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护,管理,中心设有、电子、精品课程、FTP资源、办公系统以及视频点播等服务器。对图书馆各类图书进行管理,对图
1/11
7
教学楼
(1,2,
11,16)
4
宿舍
(5,6,
8,9,10
12,13,
14,
15,16,
17)
10-2700不等1807
书资料进行处理。建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。150主要是多媒体教室。能够实现多媒体教学,快速地获取网上资源
1200能够较快地获取网上资源,拥有语音布线
1.2.现有安全技术
1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
1.3.安全需求
1.构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,
通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2.建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的网安全管理体系
只有解决网络部的安全问题,才可以排除网络中最大的安全隐患,网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对性要求较高的用户建立虚拟专用网。
二.安全设计
1.1设计原则
根据防安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂
2/11
的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。2.网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和围,系统的性质和信息的重要程度。4.标准化与一致性原则系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。9.易操作性原则首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
篇五:校园网络安全设计方案
校园网络安全设计方案
10网工2班组员:张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展,校园网的建设日益普遍.而在高校中,如何能够保证校园网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学及学生上网的多种需求已成为了一个难题.校园网络的安全不仅有来自外部的攻击,还有内部的攻击。所以,在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面,设计我校的网络安全方案。防火墙:防火墙是一种将内部网和公众网分开的方法.它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。防火墙的概念:通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合,是一种有效的网络安全策略。防火墙提供信息安全服务,设置在被保护内部网络的安全与不安全的外部网络之间,其作用是阻断来自外部的、针对内部网络的入侵和威胁,保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口,根据安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力。防火墙的分类:按软件与硬件的形式,防火墙分为软件防火墙、硬件防火墙和芯片防火墙;按防火墙的技术,总体分为包过滤型和应用代理型两大类;按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙;按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的安全策略:(1)所有从内到外和从外到内的数据包都必须经过防火墙(2)只有被安全策略允许的数据包才能通过防火墙(3)防火墙本身要有预防入侵的功能(4)默认禁止所有服务,除非是必须的服务才被允许防火墙的设计:(1)保障校园内部网主机的安全,屏蔽内部网络,禁止外部网用户连接到内部网(2)只向外部用户提供HTTP、SMTP和POP等有限的服务(3)向内部记账用户提供所有Internet服务,但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能,能有效记录校园网的一切活动。
校园网络在设置时应从下面几个方面入手:(1)入侵检测:具有黑客普通攻击的实时检测技术.实时防护来自IPSourceRouting、IPSpoofing、SYNflood、IC-MPflood、UDPflood、PingofDeath、拒绝服务和许多其它攻击.并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员(.2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分.此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或透明的。(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理.(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、JavaAp-ple、ActiveX和恶意脚本过滤等。(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还会
达到几个G的性能。要充分进行性价比的考虑。(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络.防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式,对于内部网络的安全又多了一层保障。产品选择:CiscoPIX515防火墙产品特点:CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术,运行PIX操作系统,是一种实时的嵌入式强化系统,可以消除安全漏洞和性能降级损耗。假如拓扑图如下(图中防火墙左面为内网,右面为外网,设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1,右口为f0/0.):要求:(1)对防火墙、路由器进行基本的命令配置,使得内网的所有机器能访问外网。(2)所有内网的主机出口使用防火墙对外的全局地址202.161。1。2(3)所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机,此主机对外公开地址为202。161.1。5,允许对此主机进行www、ftp.其中防火墙的配置:设置端口安全级别:
nameife0outsidesec0
nameife1insidesec100设置端口参数:
interfacee0auto
interfacee1auto配置内外网的IP地址:
Ipaddoutside192.168.3.1Ipaddinside192.168。2.2设置指向内外网的静态路由:Nat(inside)100Global(outside)1202.161.1。2Routeoutside0.0.0。00。0。0。0192.168.3.2拓扑图如下:
VPN什么是VPN?虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。VPN的特点安全保障:通过一条隧道,加密技术对数据进行加密,以保证数据安全性和私有性。服务质量保证:为不同要求用户提供不同等级质量的服务可扩充性,灵活性:支持Internet和Extrane任何类型的数据流可管理性:可以从用户和运营商角度进行管理VPN所用的技术:实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是在第二层链路层。也可以是在第三层网络层。第二层主要是PPP连接。如PPTP,L2TP第三层是IPSec。加解密技术数据通信中一项比较成熟的技术,VPN可直接利用现有技术进行数据加密解密
密钥管理技术主要任务是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。降低网络搭建成本,简化管理.设计方案目前实现VPN主要有两种方式:IPSecVPN和SSLVPN如果只是想实现高效不同校区之间网络到网络的连接,可以选择IPSecVPN如果想实现终端到站点之间的传输可以选择SSLVPN各校区和主校区之间通过专线连接。而每个校区都通过路由器连接到具有VPN功能的防火墙。而路由器还有专门的VPN隧道和防火墙相连。防火墙连接到外面的Internet。同时校园网还连接至外面的教育科研网中。这样校外的老师和出差的老师都可以通过VPN访问校园网,还可以访问校内图书馆资源,内部教务信息VPN服务器配置在服务器上右击,选择配置启用路由和远程访问进入配置向导,在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个服务器所使用的Internet连接,可以选已建立好的拨号连接或通过制定网卡进行连接,按下一步这一步回答你如何对远程客户机分配IP地址,除非你安装DHCP服务器,否则选择指定一个IP地址的范围根据提示选择你要分配给客户机的IP地址(此IP地址要和服务器的IP地址在同一个网段)最后选择“不,我现在不想设置此服务器的RADIUS”即可完成最后的设置VPN客户端配置在开始—附件—通讯,选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接”选择“虚拟专用网络连接”,单击下一步为连接输入一个名字“xxx”,单击下一步选择不拨此初始连接,单击下一步输入连接设备服务器的IP地址,单击完成双击刚建立的“xxx”连接,在连接窗口中选择属性选择安全属性页,选择高级(自定义设置),单击设置在“数据加密”中选择“可选加密"(没有加密也可以连接)在“允许这些协议”选中“质询握手身份验证协议(CHAP)"单击确定选择“网络"属性页,在VPN类型选择“L2TPVPN”确定“Internet协议TCP/IP”被选中单击确定,保存所做的修改
防病毒:
一、防病毒服务器:首先选择ServerProtect软件特点:集中式网域管理、三层式结构执行远程管理、实施扫描、
病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器,预装windows20XXserver,并在服务器上安装ServerProtect的信息服务器及管理控制台,作为ServerProtect的管理中心,从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置:1、配置下载源——一般把“趋势科技更新服务器”设置为下载源2、配置预设下载——将下载频率设为“每天”3、配置通知信息——配置通知类型,并发送给谁4、配置扫描设置—-分为实时扫描、立即扫描、预设扫描通过ServerProtect的不熟,有效的保护校园网中的关键服务器受到病毒入侵,今儿切断了病毒通过服务器在校园网中的传播二、客户机安装网络版防毒软件:首先选择OfficeScan:针对企业网络环境设计,提供企业用户网络客户机的病毒防护工作,安装也企业中的一台防病毒服务器,可通过浏览器进行所有的设定及配置,能够通过网络为没太计算机安装客户端,无须在客户端操作,简单方便,提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端,通过“客户机打包程序"和WEB页面等方法安装校园内的客户机。具体配置:启动手动组织爆发客户机管理:设置扫面选项(实时、手动、预设扫描和例外文件设置)、设置权限服务器管理:设置密码、设置警报设置更新(服务器更新、客户机更新)另:宿舍客户机也可以自行选择网络版防毒软件,如360、瑞星、金山等等
上网行为管理、用户审计系统
上网行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控、管理网络资源使用情况,提高整体工作效率.上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。标准功能:上网人员管理上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性、上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性上网浏览管理搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。网址URL管理:利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性
文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性。上网外发管理普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理:利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性即时通讯管理:利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其他外发管理:针对FTP、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性。上网应用管理上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问。上网流量管理上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽上网行为分析上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题
.上网隐私保护日志传输加密:管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听管理三权分立:内置管理员、审核员、审计员账号。管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后才开通审计员权限;审计员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容精确日志记录:所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记
录隐私设备容错管理死机保护:设备带电死机/断电后可变成透明网线,不影响网络传输.一键排障:网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间双系统冗余:提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用.风险集中告警告警中心:所有告警信息可在告警中心页面中统一的集中展示分级告警:不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息.告警通知:告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险.
数据备份系统
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程.传统的数据备份主要是采用内置或外置的磁带机进行冷备份.但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现.重要性:
计算机里面重要的数据、档案或历史纪录,不论是对企业用户还是对个人用户,都是至关重要的,一时不慎丢失,都会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失.为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然。备份方式:定期磁带;数据库;网络数据;远程镜像;好用设备:备份离不开存储设备和介质.目前,可以用来备份的设备很多,除软盘、本地硬盘外,CD-R、CD—RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都可以很方便地买到。此外,Internet还给用户提供了网络备份的新途径,尤其是一些免费空间很值得我们予以关注。软盘是最常见的备份介质.不过,软盘容量很小,备份少量数据尚勉强可为,对大量数据则无能为力。再则,软盘安全性差、容易损坏,专业备份不值得考虑。光盘是不错的备份介质,它容量大、便于保管和携带,安全性也较高,是死备份的唯一选择。产品选择:Symantec作为全球领先的存储备份管理软件厂商,旗下的BackupExec和Netbackup两款备份产品解决方案可以为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障.产品特点:BackupExec软件是一种多线程、多任务的存储管理解决方案,专为在单一的或多节点的WindowsServers(包括windows2003/2008)企业环境中进行数据备份、恢复、灾难恢复而设计,适用于Windowsservers以及简单异构的企业网络;在全球数据备份软件市场的占有率高达56%,并在各种性能评测中远远领先于对手产品。NetBackup是Symantec公司的企业级备份管理软件,它致力于解决网络上大、中、小型服务器和工作站系统上的数据备份、归档及灾难恢复问题;NetBackup支持UNIX、Windows和Netware混合环境提供了完整的数据保护机制,针对Oracle、SAPR/3、Informix、Sybase、
MicrosoftSQLServer和MicrosoftExchangeServer等数据库提供了备份和恢复的解决方案。具有保护企业中从工作组到企业级服务器的所有的数据的能力。产品配置:SymantecBackupExec12D产品配置架构BackupExec12DforWindowsServers备份软件可以作为一台独立服务器保护自身的重要数据,也可以为网络上其它的远程客户端或者服务器提供全面的数据保护。备份软件系统的核心部分-—BackupExecforWindowsServers能够安装到广泛的Windows各个版本的操作系统上,包括WindowsServer2000/2003、WindowsStorageServer2003以及WindowsSmallBusinessServer标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展BackupExec的功能,从而满足不同应用对增长和升级存储管理能力的需求。关于Windows服务器的系统保护,可以采用SymantecBackupExecSystemRecovery产品;BESR8.5是作为Windows系统恢复领域的金牌标准,可以在数分钟(而非数小时或数天)之内恢复系统,甚至可以将系统恢复至不同的硬件或虚拟环境.现在包含增强的MicrosoftExchange、虚拟和数据恢复功能,以及能够简化管理的集中式管理。客户备份环境分析:客户的备份网络中,主要保护的服务器为Windows平台,备份的服务器有文件服务器、AD域服务器、SQL数据库服务器等备份系统网络结构设计:在网络备份的基础上,我们建议建立一个专用的备份网络。配置很简单,因为每台服务器缺省已经配置2个以上的以太网卡。我们指定其中一个网卡作为专用的备份连接,通过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据通过备份网络直接传输到备份服务器,而不需要占用公网的网络带宽,而且备份速度更快.还有,我们建议采用基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份服务器上,然后在空闲的时候再迁移到磁带机上做为长期的数据保留.磁盘和磁带相结合的备份,既可以实现高速的存储备份,也可以实现数据长期保留的需要。主页防篡改网站被篡改的原因:客观原因:操作系统和应用的复杂性,导致系统漏洞的层出不穷。虽然有防火墙、入侵检测,但是这些产品都是基于特定端口的,无法理解协议的具体内容主观原因:网站建设与保护措施建设不同步还有些网站在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改网页防篡改技术:外挂轮巡技术:利用一个网页读取和检测程序,以轮巡方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。核心内嵌技术:篡改检测模块内嵌于WEB服务器软件,在每一个网页流出时进行完整性检查事件触发技术:使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查产品选择:鹰眼主页防篡改软件产品特点:鹰眼主页防篡改系统采用先进的核心驱动技术,其篡改检测模块运行于操作系统核心,与操作系统无缝结合.拦截对被保护的对象的非法篡改行为事件,进行阻断处理,由于鹰眼主页防篡改系统采用了先进、高校的算法,因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理服务器、管理终端三部分组成。主机监控端安装于被保
护的WEB服务器之上。主机监控端与WEB服务器同步启动,保证WEB服务器能够随时得到保护。管理服务器是整个系统的中枢,所有的管理功能和数据均在管理服务器上实现,管理服务器是管理终端和主机监控端的桥梁.管理终端安装于用户的工作用机上,为用户提供远程管理操作通过部署主页防篡改软件,有效的监控网站网页是否被恶意修改、删除,并能在最短的时间内采取恢复措施,有效保证数据的完整性和真实性。校园网络系统安全管理制度第一章总则第一条为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度。第二条本管理制度所称的校园网络系统,是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统.第三条校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责,网络与信息中心可以委托相关单位指定人员代为管理子节点设备.任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站.第二章安全保护运行第五条除校园网负责单位,其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为.第六条校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核,由单位负责人签署意见后,交办公室审核备案后,由网络与信息中心从技术上开通其对外的信息服务。第七条校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络与信息中心对用户口令保密,不得向任何单位和个人提供这些信息.第八条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。第九条校园内从事施工、建设,不得危害计算机网络系统的安全.第十条校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,校园网负责单位必须在二十四小时内向校保卫部门及公安机关报告。第十一条严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒.第十二条任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料.第十三条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:(1)可向Internet公开的;(2)可向校内公开的;(3)可向本单位公开的;(4)可向有关单位或个人公开的;(5)仅限于本单位内使用的;(6)仅限于个人使用的。第十四条对所有联网计算机及上网人员要及时、准确登记备案.多人共用计算机上网的各级行政单位、教学业务单位上网计算机的使用要严格管理,部门负责人为网络安全负责人。学校公共机房一律不准对社会开放,上网人员必须出示学生证、教师证,机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址.公共机房使用网络的记录要保持一年。第十五条校园网负责单位必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器.未经校网络安全领导小组批准,各单位一律不得开设代理服务器、Email服务器。第十六条经学校网络安全领导小组批准开设的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。第三章违约责任与处罚第十七条违反第五条及第十二条规定的行为一经查实,将向学校国家安全领导小组及保卫部门报告,视情节给予相应的行政纪律处分;造成重大影响和损失的将向市公安部门报告,由个人依法承担相关责任。第十八条违反第八条规定的侦听、盗用行为一经查实,将提请学校给予行
政处分,并在校园网上公布;对他人造成经济损失的,由本人加倍赔偿受害人损失,关闭其拥有的各类服务帐号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。第十九条故意传播或制造计算机病毒,造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
篇六:校园网络安全设计方案
局域网lan内部的安全问题包括网段的划分以及vlan的实现在连接internet时如何在网络层实现安全性应用系统如何保证安全性如何防止黑客对网络主机服务器等的入侵如何实现广域网信息传输的安全保密性加密系统如何布置包括建立证书管理中心应用系统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性总结
校园网络安全实施方案
校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。
一、网络信息安全系统设计原则
·1.1满足Internet分级管理需求·1.2需求、风险、代价平衡的原则·1.3综合性、整体性原则·1.4可用性原则·1.5分步实施原则目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想,网络信息安全系统应遵循如下设计原则:
满足因特网的分级管理需求
根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。--第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。--第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。--第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
可用性原则
安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。分步实施原则:分级管理分步实施
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
二、网络信息安全系统设计步骤
网络安全需求分析确立合理的目标基线和安全策略明确准备付出的代价制定可行的技术方案工程实施方案(产品的选购与定制)制定配套的法规、条例和管理办法本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。
三、网络安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现在连接Internet时,如何在网络层实现安全性应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的安全保密性加密系统如何布置,包括建立证书管理中心、应用系统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
四、网络安全层次及安全措施
4.1链路安全
4.2网络安全
4.3信息安全
网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA)网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP安全)审计分析链路安全链路加密
4.1链路安全
链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。
一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。
4.2网络安全
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。
信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决60%-80%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。
网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。
入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
另外,使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IPAH)可以提供认证与数据完整性机制。利用IP封装净载(IPESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。
五、校园网网络安全解决方案
5.1基本防护体系(包过滤防火墙+NAT+计费)
用户需求:全部或部分满足以下各项
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
·解决内外网络边界安全,防止外部攻击,保护内部网络·解决内部网安全问题,隔离内部不同网段,建立VLAN·根据IP地址、协议类型、端口进行过滤·内外网络采用两套IP地址,需要网络地址转换NAT功能·支持安全服务器网络SSN·通过IP地址与MAC地址对应防止IP欺骗·基于IP地址计费·基于IP地址的流量统计与限制·基于IP地址的黑白名单。·防火墙运行在安全操作系统之上·防火墙为独立硬件·防火墙无IP地址
解决方案:选用宝信的eCopXSA3000
5.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)
用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项·提供应用代理服务,隔离内外网络·用户身份鉴别·权限控制·基于用户计费·基于用户的流量统计与控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保护能力,防范对防火墙的常见攻击
解决方案:
(1)选用宝信的eCopXSA3000(2)防火墙基本配置+网络加密机(IP协议加密机)
5.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控)
用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项·网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)·操作系统安全性检测·网络监控与入侵检测
解决方案:选用宝信的eCopXSA3000+网络安全分析系统+网络监控器
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
篇七:校园网络安全设计方案
校园网网络安全设计方案以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普
及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失.维护校园网网络安全需要从网络的搭建及网络安全设计方面着手.
一、基本网络的搭建。由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:1。网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。二、网络安全设计。1。物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散.计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号.正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导
辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。2。网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术.IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络.从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB.这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网.以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用.
第一,防病毒技术.病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快.计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术.这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统.例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现
内部子网的安全.共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全.外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
篇八:校园网络安全设计方案
校园网网络安全设计方案以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普
及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、基本网络的搭建.由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:1。网络拓扑结构选择:网络采用星型拓扑结构(如图1).它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。2。组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高.因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。二、网络安全设计.1。物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄.为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线
路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。2.网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802。1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络.从目前来看,根据端口来划分VLAN的方式是最常用的一种方式.许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3。计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快.计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术.这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统.例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的.安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全.形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题.
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏.通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等.通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图.
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现
内部子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
篇九:校园网络安全设计方案
校园网络安全设计方案
一、安全需求
1.1.1网络现状
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
楼号
该楼用每层层数
途
主机
数
3
行政,办504
公,网络
中心
每栋信息点总数
200
实现功能
主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护,管理,中心内设有网站、电子邮箱、精品课程、FTP资源、办公系统以及视频点播等服务器。
20
图书馆1005
7(1,2,11,16)
4(5,6,8,
9,10
12,13,14,
15,16,17)
教学楼宿舍
10-2700不等
1807
500对图书馆内各类图书进行管理,对图书资料进行处理。建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。
150主要是多媒体教室。能够实现多媒体教学,快速地获取网上资源
1200能够较快地获取网上资源,拥有语音布线
1.2.现有安全技术
1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
1.3.安全需求
1.构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,
通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2.建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
二.安全设计
1.1设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备
性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。2.网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。4.标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网
络安全需求。9.易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
1.2.物理层设计
1.物理位置选择
机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要求;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾,易遭受雷击的地区。2.物理访问控制
有人值守机房出入口应有专人值守,鉴别进入的人员身份并登记在案;无人值守的机房门口应具备告警系统;应批准进入机房的来访人员,限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。在自己的办工桌上安上笔记本电脑安全锁,以防止笔记本电脑的丢失。3.防盗窃和防破坏
应将相关服务器放置在物理受限的范围内;应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;应对机房设置监控报警系统。4.防雷击
机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;应设置交流电源地线。5.防火
应设置火灾自动消防系统,自动检测火情,自动报警,并自动灭火;机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级。6.防水和防潮
水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移与渗透。7.防静电
应采用必要的接地等防静电措施;应采用防静电地板。8.温湿度控制
应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制;机房中应无爆炸、导电、导磁性及腐蚀性尘埃;机房中应无腐蚀金属的气体;机房中应无破坏绝缘的气体。9.电力供应
机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以
备常用供电系统停电时启用。10.电磁防护要求
应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。
1.3.网络层设计1.防火墙技术
建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一个限制器,同时它还是一个分析器,通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动,使得只有经过精心选择的应用协议才能通过,保证了内网环境的安全,如图1所示
作为校园网安全的屏障,防火墙是连接内、外层网络之间信息的唯一出入口,根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计.同时利用防火墙的日志记录功能做好备份,提供网络使用情况的统计数据2.虚拟专网(VPN)技术
对于从专线连接的外部网络用户,采用虚拟专网(VPN)技术,它使架设于公众网络上的园区网使用信道协议及相关的安全程序进行保密,还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。3.身份认证技术
对于拨号进入园区网的用户进行严格控制,在拨号线路上加装保密机,使无保密机的用户无法拨通;通过用户名和口令的认真检查用户身份;利用回拨技术再次确认和限制非法用户的入侵。
4.加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。为存放秘密信息的服务器加装密码机,对园区网上传输的秘密信息加密,以实现秘密数据的安全传输。
5.物理隔离
公共网络及因特网上黑客日益猖獗,加上我国使用的计算机及网络设备的软硬件产品大多数是进口的,安全上没有很好的保证,因而将外部网络中的因特网与专用网络如军用网实现物理隔离,使之没有任何连接,可以使园区网与外部专用网络连接时,园区网与Internet无物理联系在安全上较为稳妥。
6.防毒网关
防火墙无法防止病毒的传播,因而需要安装基于Internet网关的防毒软件,具体可以安装到代理服务器上,以防止Internet病毒及Java程序对系统的破坏。
7.网络地址转换技术
当园区网内部主机与外部相连时,使用同一IP地址;相反,外部网络与园区网主机连接时,必须通过网关映射到园区网主机上。它使外部看不到园区网,从而隐藏内部网络,达到保密作用,同时,它还可以解决IP地址的不足。
8.代理服务及路由器
可以根据设置地址、服务、内容等要素来控制用户的访问,代理服务器及路由器起访问的中介作用,使园区网和外部网络间不能直接访问,从而保证内部关键信息的安全。
9.安全扫描
可以通过各种安全扫描软件对系统进行检测与分析,迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描,检查它们的弱点并生成报表。
10.入侵检测
可以采用一些安全产品对网络上流动的数据包进行检查,识别非法入侵和其它可疑行为,并给予及时的响应及防护。如下图所示。
11.用户的身份认证
用户入网访问控制分为三步,即用户名的验证;用户口令的验证;用户帐号的验证。用户口令是入网的关键,必须经过加密,用户还可采用一次一密的方法,或者使用智能卡来验证用户身份。同时,可将用户与所用的计算机联系起来,使用户用固定的计算机上网,以减少用户的流动性,加强管理。
12.权限控制
这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源及用户可执行的操作。
13.客户端安全防护
首先,应切断病毒传播的途径,降低感染病毒的风险;其次,使用的浏览器必须确保符合安全标准,使客户端的工作站得到安全保证。
14.安全检测
使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析,查找安全漏洞并加以修复,使用防病毒软件进行病毒查找和杀毒工作。
加密,访问控制,数字签名,入侵检测,扫描,物理隔
离,安全协议
1.4.传输层安全
操作系统是整个园区网系统工作的基础,也是系统安全的基础,因而必须采取措施保证操作系统平台的安全。安全措施主要包括:采用安全性较高的系统,对系统文件加密,操作系统防病毒、系统漏洞及入侵检测等。
1.采用安全性较高的系统
美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1、B2、B3、A级,安全等级由低到高,目前主要的操作系统等级为C2级。在使用C2级系统时,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在极端重要的园区网系统中,应采用B级操作系统。
2.加密技术
对操作系统中某些重要的文件进行加密,防止非法出版的读取及修改。
3.病毒的防范
在园区网主机上安装防病毒软件,对病毒进行定时或实时的病毒扫描及检测,对防病毒软件进行及时升级以发现和杀灭新型的病毒。
4.安全扫描
通过对园区网主机进行一系列设置和扫描,对系统的各个环节提供可靠的分析结果,为系统管理员提供可靠性和安全性分析报告,对系统进行及时升级以弥补漏洞及关闭“后门”。
5.入侵检测安装基于主机的入侵检测系统,可检查操作系统日志和其它系统特征,判断
入侵事件,在非法修改主页时自动作出反应,对已入侵的访问和试图入侵的访问进行跟踪记录,并及时通知系统管理员,使管理员可对网络的各种活动进行实时监视。
1.5.应用层安全
1.蠕虫过滤
蠕虫可以利用电子邮件、文件传输等方式进行扩散,也可以利用系统的漏洞发起动态攻击。病毒防御体系可以根据蠕虫的特点实行多层次处理,在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。
2.病毒过滤
对于网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTP、POP3协议)等病毒,基于专门的病毒引擎进行查杀。对于邮件病毒,可以定义对病毒的处理
方式,决定清除病毒、删除附件、丢弃等操作,发现病毒时通知管理员、收件人、发件人等操作。
3.垃圾邮件过滤
垃圾邮件类型大致可以分为以下四种类型:邮件头部包含垃圾邮件特征的邮件;邮件内容包含垃圾邮件特征的邮件;使用OpenRelay主机发送的垃圾邮件(OpenRelay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特征的垃圾邮件。
病毒防御体系按照协议特征对数据包进行分析、重组及解码,按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。可以限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。
4.内容过滤
支持对邮件关键字、附件文件类型进行过滤,通过定义可信或不可信的URL并进行过滤,可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤,防止敏感信息的侵扰和扩散。
1.6.管理层安全
1.制定一套严谨严格的操作守则。要求网管人员严格按照守则进行管理工作,
2.加强网络管理人员的培训。定期对网管人员进行培训,并出外考察,多增长与时俱进的网管技术
三、材料清单和工程设计
3.1材料清单
项目中心交换机防火墙
型号RG-S6806RG-WALL100
用途中心交换机确保信息安全
数量2台2台
路由器
TP-LINK
连接外网
1台
TL-WR841N
VPN网关IDS
3.2设计方案
CyLanSME-500
虚拟专用隧道网络
入侵检测
集成于防火墙一套
四、施工
4.1病毒立体防御体系的构建与实施
包括两个方面的内容:一是在内部网络设置防病毒管理与分发服务器,各终端计算机与服务器通过网络相连,形成内部网络的病毒防御系统。二是设置网关防病毒系统,对网络的出入口数据流量进行病毒扫描和过滤。
1.设置防病毒管理与分发服务器
校园网的防病毒管理与分发服务器与上级信息管理中心的防病毒控制中心服务器网络相连,直接接受上一级服务器提供的病毒库升级、客户端防病毒软件升级、广域网病毒扫描和过滤等服务。引导校园网用户自觉把个人用计算机及单位用计算机作为防病毒客户端与防病毒管理与分发服务器进行联接;二是对防病毒管理与分发服务器进行相关配置,使得服务器能够及时对客户端实施病毒自动更新,能够对客户端进行自动或手工方式的病毒扫描和查杀。
2.网关防病毒系统
网关防病毒系统部署在校园网的出入口处。系统能够实现:无人值守,自动操作,可实现自动发现、清除病毒,自动报警,时刻保护网络免受病毒和蠕虫侵害。
4.2入侵检测系统的构建与实施
入侵检测系统包括两个部分:一是传感器,负责采集数据(网络包、系统日志等)、分析数据并生成安全事件;二是控制台,主要承担中央管理的作用。
该系统能够根据应用需要配置若干块网卡,以同时收集若干个网段的数据,进行实时的入侵分析。该系统既可以独立使用,又可以与防火墙配合使用,作为防火墙的补充,提供入侵检测,并对现有的设置进行审计。
入侵检测系统在校园网需检测的网段处以旁路方式接入。
4.3内网安全管理体系的构建与实施
在指定服务器配置内网安全管理系统,校园网联网计算机下载客户端软件,与内网安全管理系统实现网络连接,接受内网安全管理系统提供的安全服务,形成内网安全管理体系。
4.5虚拟专用网(VPN)的构建与实施
在校园网出入口处部署SSLVPN硬件网关,广域网用户利用SSLVPN网关访问校园网资源。实现校园网和广域网的虚拟专用网连接。这种部署方式具有以下特点:一是客户端内不用安装VPN客户端软件,易部署、管理和扩展;二是无须在防火墙上为SSLVPN设备做特定的设置。三是兼容B/S和C/S,能达到好管理、好维护、低成本、高利用率的效果。
五、售后服务
篇十:校园网络安全设计方案
一、安全需求1.1.1网络现状
校园网络安全设计方案
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病蠹、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
楼号
该楼用
每层层数
途
主机
每栋实现功能信息
数
3
行政,办504
公,网络
中心
20
图书馆1005
7(1,2,
教学楼
11,16)
10-27
00不等
4
宿舍
(5,6,
8,9,10
12,13,
14,
1807
点总数
200主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络头验至为王。网络中心负责网络维护,管理,中心内设有网站、电子邮箱、精品课程、FTP资源、办公系统以及视频点播等服务器。
500对图书馆内各类图书进行管理,对图书资料进行处理。建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。
150主要是多媒体教室。能够实现多媒体教学,快速地获取网上资源
1200能够较快地获取网上资源,拥有语首布线
15,16,17)
1.2.现有安全技术
1.操作系统和应用软件自身的身份认证功能,实现访问限制。2.定期对重要数据进行备份数据备份。3.每台校园网电脑安装有防蠹杀蠹软件。
1.3.安全需求
1.构建涵盖校园网所有入网设备的病蠹立体防御体系。计算机终端防病蠹软件能及时有效地发现、抵御病蠹的攻击和彻底活除病蠹,通过计
算机终端防病蠹软件实现统一的安装、统一的管理和病蠹库的更新。2.建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
二.安全设计1.1设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的
安全服务等因素,参照SSE-CMM催统安全工程能力成熟模型")和ISO17799(信息安全
管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡
性等方面,网络安全防范体系在整体设计过程中应遵循以下
9项原
则:
1.网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决丁最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。2.网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定丁系统的用户需求和具体的应用环境,具体取决丁系统的规模和范围,系统的性质和信息的重要程度。4.标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则
由丁政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等)
从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。9.易操作性原则
首先,安全措施需要人为去完成,如果措施过丁复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
1.2.物理层设计
1.物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要
求;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾,易遭受雷击的地区。2.物理访问控制
有人值守机房出入口应有专人值守,鉴别进入的人员身份并登记在案;无人值守的机房门口应具备告警系统;应批准进入机房的来访人员,限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。在自己的办
工桌上安上笔记本电脑安全锁,以防止笔记本电脑的丢失。3.防盗窃和防破坏
应将相关服务器放置在物理受限的范围内;应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;应对机房设置监控报警系统。4.防雷击
机房建筑应设置避富装置;应设置防密保安器,防止感应应设置交流电源地线。5.防火
应设置火灾自动消防系统,自动检测火情,自动报警,并自动灭火;机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级。6.防水和防潮
水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
7.防静电
应采用必要的接地等防静电措施;应采用防静电地板。8.温湿度控制
应设置包温包湿系统,使机房温、湿度的变化在设备运行所允许的范围之内防尘和有害气体控制;机房中应无爆炸、导电、导磁性及腐蚀性尘埃;机房中应无腐蚀金届的气体;机房中应无破坏绝缘的气体。9.电力供应
机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供
短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。10.电磁防护要求
应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。
1.3.网络层设计
1.防火墙技术建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防
护技术.在逻辑上,它既是一个分离器也是一个限制器,同时它还是一个分析器,通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动,使得只有经过精心选择的应用协议才能通过,保证了内网环境
的安全,如图
1所示
内部了网
内部数据咋
作为校园网安全的屏障,防火墙是连接内、外层网络之间信息的唯一出入口,根据具
体的安全政策控制(允许、拒绝、监测)出入网络的信息流.校园网络管理员要将诸如口
令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监
控审计.同时利用防火墙的日志记录功能做好备份,提供网络使用情况的统计数据
2.虚拟专网(VPN)技术
对丁从专线连接的外部网络用户,采用虚拟专网(VPN)技术,它使架设丁公众网络上的园区网使用信道协议及相关的安全程序进行保密,还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。
3.身份认证技术
对丁拨号进入园区网的用户进行严格控制,在拨号线路上加装保密机,使无保密机的用户无法拨通;通过用户名和口令的认真检查用户身份;利用回拨技术再次确认和限制非法
用户的入侵。
4.加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。为存放秘密信息的服务器加装密码机,对园区网上传输的秘密信息加密,以实现秘密数据的安全传输。
5.物理隔离
公共网络及因特网上黑客日益猖獗,加上我国使用的计算机及网络设备的软硬件产品大多数是进口的,安全上没有很好的保证,因而将外部网络中的因特网与专用网络如军用网实现物理隔离,使之没有任何连接,可以使园区网与外部专用网络连接时,园区网与Internet无物理联系在安全上较为稳妥。
6.防蠹网关
防火墙无法防止病蠹的传播,因而需要安装基丁
Internet网关的防蠹软件,
具体可以安装到代理服务器上,以防止Internet病蠹及Java程序对系统的破坏。
7.网络地址转换技术
当园区网内部主机与外部相连时,使用同一IP地址;相反,外部网络与园区网主机连接时,必须通过网关映射到园区网主机上。它使外部看不到园区网,从而隐藏内部网络,达
到保密作用,同时,它还可以解决IP地址的不足。8.代理服务及路由器
可以根据设置地址、服务、内容等要素来控制用户的访问,代理服务器及路由器起访问的中介作用,使园区网和外部网络问不能直接访问,从而保证内部关键信息的安全。9.安全扫描
可以通过各种安全扫描软件对系统进行检测与分析,迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描,检查它们的弱点并生成报表。
10.入侵检测可以采用一些安全产品对网络上流动的数据包进行检查,识别非法入侵和其它可疑行
为,并给予及时的响应及防护。如下图所示。
11.用户的身份认证用户入网访问控制分为三步,即用户名的验证;用户口令的验证;用户帐号的验证。
用户口令是入网的关键,必须经过加密,用户还可采用一次一密的方法,或者使用智能卡来验证用户身份。同时,可将用户与所用的计算机联系起来,使用户用固定的计算机上网,以减少用户的流动性,加强管理。12.权限控制
这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源及用户可执行的操作。13.客户端安全防护
首先,应切断病蠹传播的途径,降低感染病蠹的风险;其次,使用的浏览器必须确保
符合安全标准,使客户端的工作站得到安全保证。
14.安全检测
使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析,查找安全漏洞并加以修复,使用防病蠹软件进行病蠹查找和杀蠹工作。
加密,访问控制,数字签名,入侵检测,扫描,物理隔离,安全协议1.4.传输层安全
操作系统是整个园区网系统工作的基础,也是系统安全的基础,因而必须采取措施保证操作系统平■台的安全。安全措施主要包括:采用安全性较高的系统,对系统文件加密,操作系统防病蠹、系统漏洞及入侵检测等。
1.采用安全性较高的系统
美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1、B2、B3A级,安全等级由低到高,目前主要的操作系统等级为C2级。在使用C2级系统时,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在极端重要的园区网系统中,应采用B级操作系统。
2.加密技术
对操作系统中某些重要的文件进行加密,防止非法出版的读取及修改。
3.病蠹的防范在园区网主机上安装防病蠹软件,对病蠹进行定时或实时的病蠹扫描及检测,对防病
蠹软件进行及时升级以发现和杀灭新型的病蠹。4.安全扫描
通过对园区网主机进行一系列设置和扫描,对系统的各个环节提供可靠的分析结果,为系统管理员提供可靠性和安全性分析报告,对系统进行及时升级以弥补漏洞及关闭“后门”。
5.入侵检测安装基丁主机的入侵检测系统,可检查操作系统日志和其它系统特征,判断入侵事件,
在非法修改主贞时自动作出反应,对已入侵的访问和试图入侵的访问进行跟踪记录,并及时通知系统管理员,使管理员可对网络的各种活动进行实时监视。
1.5.应用层安全
1.蠕虫过滤
蠕虫可以利用电子邮件、文件传输等方式进行扩散,也可以利用系统的漏洞发起动态
攻击。病蠹防御体系可以根据蠕虫的特点实行多层次处理,在网络层和传输层过滤蠕虫利用
漏洞的动态攻击数据,在应用层过滤利用正常协议
(SMTR
HTTRPOP3FTP)传输的静态蠕虫代码。
2.病蠹过滤
对丁网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTRPOP助、议)等病蠹,基丁专门的病蠹引擎进行查杀。对丁邮件病蠹,可以定义对病蠹的处理方式,
决定活除病蠹、删除附件、丢弃等操作,发现病蠹时通知管理员、收件人、发件人等操作。
3.垃圾邮件过滤
垃圾邮件类型大致可以分为以下四种类型:邮件头部包含垃圾邮件特征的邮
件;邮件内容包含垃圾邮件特征的邮件;使用OpenRelay主机发送的垃圾邮件(OpenRelay方式的SMT哪件服务器被利用向任何地址发送的垃圾邮件);由阳牛头
部和内容都无法提取特征的垃圾邮件。
病蠹防御体系按照协议特征对数据包进行分析、重组及解码,按照安全规则通过智能分析对SMTPS接、IP地址、邮件地址、数据内容进行处理。可以限制
IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的
邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。
4.内容过滤
支持对邮件关键字、附件文件类型进行过滤,通过定义可信或不可信的
URL
并进行过滤,可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤,防止敏感信
息的侵扰和扩散。
1.6.管理层安全
1.制定一套严谨严格的操作守则。
要求网管人员严格按照守则进行管理工作,
2.加强网络管理人员的培训。定期对网管人员进行培训,并出外
考察,多增长与时俱进的网管技术
三、材料清单和工程设计3.1材料清单
项目
型号
用途
中心交换机
RG-S6806
中心交换机
防火墙
RG-WALL100
确保信息安全
路由器
TP-LINKTL-WR841N连接外网
VPN3关IDS
3.2设计方案
CyLanSME-500
虚拟专用隧道网络
入侵检测
数量2台2台1台
集成丁防火墙一套
四、施工
4.1病蠹立体防御体系的构建与实施
包括两个方面的内容:一是在内部网络设置防病蠹管理与分发服务器,
各终端
计算机与服务器通过网络相连,形成内部网络的病蠹防御系统。二是设置网关防
病蠹系统,对网络的出入口数据流量进行病蠹扫描和过滤。
1.设置防病蠹管理与分发服务器
校园网的防病蠹管理与分发服务器与上级信息管理中心的防病蠹控制中心服务器网络相连,直接接受上一级服务器提供的病蠹库升级、客户端防病蠹软件升级、广域网病蠹扫描和过滤等服务。引导校园网用户自觉把个人用计算机及单位用计算机作为防病蠹客户端与防病蠹管理与分发服务器进行联接;二是对防病蠹管理与分发服务器进行相关配置,使得服务器能够及时对客户端实施病蠹自动更新,能够对客户端进行自动或手工方式的病蠹扫描和查杀。
2.网关防病蠹系统
网关防病蠹系统部署在校园网的出入口处。系统能够实现:无人值守,自动操作,可实现自动发现、活除病蠹,自动报警,时刻保护网络免受病蠹和蠕虫侵害。
4.2入侵检测系统的构建与实施
入侵检测系统包括两个部分:一是传感器,负责采集数据(网络包、系统日志等)、分析数据并生成安全事件;二是控制台,主要承担中央管理的作用。
该系统能够根据应用需要配置若干块网卡,以同时收集若干个网段的数据,进行实时的入侵分析。该系统既可以独立使用,乂可以与防火墙配合使用,作为防火墙的补充,提供入侵检测,并对现有的设置进行审计。
入侵检测系统在校园网需检测的网段处以旁路方式接入。
4.3内网安全管理体系的构建与实施
在指定服务器配置内网安全管理系统,校园网联网计算机下载客户端软件,与内网安全管理系统实现网络连接,接受内网安全管理系统提供的安全服务,形成内网安全管理体系。4.5虚拟专用网(VPN)的构建与实施
在校园网出入口处部署SSLVPN®件网关,广域网用户利用SSLVPN网关访问校园网资源。实现校园网和广域网的虚拟专用网连接。这种部署方式具有以下特点:一是客户端内不用安装VPN客户端软件,易部署、管理和扩展;二是无须在防火墙上为SSLVP叫备做特定的设置。三是兼容B/S和C/S,能达到好管理、好维护、低成本、高利用率的效果。
五、售后服务
篇十一:校园网络安全设计方案
P> 由于各个系统的应用不同不能简单地把信息系统的网络安全方案固化为一个模式用这个模子去套所有的信息系本文根据网络安全系统设计的总体规划从桌面系统安全病毒防护身份鉴别访问控制信息加密信息完整性校验抗抵赖安全审计入侵检测漏洞扫描等方面安全技术和管理措施设计出一整套解决方案目的是建立一个完整的立体的多层次的网络安全防御体系[摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
2.病毒防护系统基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。4.访问控制“防火墙”单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓
延,网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。SJW-22网络密码机系统组成网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”“外防”“内审”相结合、、的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理
规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。所以应在安全计算机安装主机单位内网中安全审计系统采集的数据来源于安全计算机,传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。7.入侵检测系统IDS入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。8.漏洞扫描系统本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程
管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。三、结束语随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
http://www.21ask.com/htmls/v410921.htmlhttp://www.docin.com/p-87334866.html论文参考
篇十二:校园网络安全设计方案
P> [摘要]计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。[关键词]网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。
这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(ChipOperatingSystem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。
1/7
2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。(1)邮件防毒。采用趋势科技的ScanMailforNotes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是NotesDominoServer使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响,另一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。
(3)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统,使管理者通过单点控制所有客户机上的防毒模块,并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式,不受Windows域管理模式的约束,除支持SMS,登录域脚本,共享安装以外,还支持纯Web的部署方式。
(4)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件,支持跨域和跨网段的管理,并能显示基于服务器的防病毒产品状态。
无论运行于何种平台和位置,TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。
3.动态口令身份认证系统
动态口令系统在国际公开的密码算法基础上,结合生成动态口令的特点,加以精心修改,通过十次以上的非线性迭代运算,完成时间参数与密钥充分的混合扩散。在此基础上,采用先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。
2/7
4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙,分别配置在高性能服务器和三个重要部门的局域网出入口,实现这些重要部门的访问控制。
通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了单位网络服务器,使其不受来自内部的攻击,也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。
5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。
SJW-22网络密码机系统组成
网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。
本地管理器(软件):是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。
中心管理器(软件):是一个安装于中心管理平台(Windows系统)上的对全网的密码机设备进行统一管理的系统软件。
6.安全审计系统
根据以上多层次安全防范的策略,安全网的安全建设可采取“加密”
、“外防”、“内审”相结合的方法,“内审”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信息是否泄密,以解决内层安全。
3/7
安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,忠实记录网络上发生的一切,提供取证手段。作为网络安全十分重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。
本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。
汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,面向企事业的网络管理人员而设计的一套网络安全产品,是一个分布在整个安全网范围内的网络安全监视监测、控制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台,网络管理员通过安全监控中心为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。
①文件保护审计:文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获HostSensorProgram用户的所有键盘输入,用户实时控制键盘截获的开始和结束。
4/7
③监测监控RAS连接:在用户指定的时间段内,记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时,系统将自动进行报警或挂断连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息(包括:TCP,UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。
单位内网中安全审计系统采集的数据来源于安全计算机,所以应在安全计算机安装主机传感器,保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台,需要安装600个传感器。
7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国际入侵检测产品市场的蓬勃发展就可以看出。
根据网络流量和保护数据的重要程度,选择IDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,分析网络通讯会话轨迹,寻找网络攻击模式和其他网络违规活动。
8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端
5/7
用户,I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描,可以实现和IDS、防火墙联动,尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙,实现分布式扫描,服务器和扫描仪都支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,大大的减轻了工作负担,极大的提高了工作效率。
联动扫描系统支持多线程扫描,有较高的扫描速度,支持定时和多IP地址的自动扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案,应建立在对网络风险分析的基础上,结合系统的实际应用而做。由于各个系统的应用不同,不能简单地把信息系统的网络安全方案固化为一个模式,用这个模子去套所有的信息系统。
本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检
6/7
测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、立体的、多层次的网络安全防御体系。
7/7
篇十三:校园网络安全设计方案
P> lan内部的安全问题包括网段的划分以及vlan的实现在连接internet时如何在网络层实现安全性应用系统如何保证安全性如何防止黑客对网络主机服务器等的入侵如何实现广域网信息传输的安全保密性加密系统如何布置包括建立证书管理中心应用系统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性精选word范本校园网络安全实施方案
校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。
一、网络信息安全系统设计原则
·1.1满足Internet分级管理需求·1.2需求、风险、代价平衡的原则·1.3综合性、整体性原则·1.4可用性原则·1.5分步实施原则目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想,网络信息安全系统应遵循如下设计原则:
满足因特网的分级管理需求
根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。--第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。--第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。--第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
可用性原则
安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。分步实施原则:分级管理分步实施
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
二、网络信息安全系统设计步骤
网络安全需求分析确立合理的目标基线和安全策略明确准备付出的代价制定可行的技术方案工程实施方案(产品的选购与定制)制定配套的法规、条例和管理办法本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。
三、网络安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现在连接Internet时,如何在网络层实现安全性应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的安全保密性加密系统如何布置,包括建立证书管理中心、应用系统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
四、网络安全层次及安全措施
4.1链路安全
4.2网络安全
4.3信息安全
网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA)网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP安全)审计分析链路安全链路加密
4.1链路安全
链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。
一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。
4.2网络安全
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。
信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决60%-80%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。
网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。
入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
另外,使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IPAH)可以提供认证与数据完整性机制。利用IP封装净载(IPESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。
五、校园网网络安全解决方案
5.1基本防护体系(包过滤防火墙+NAT+计费)
用户需求:全部或部分满足以下各项
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
·解决内外网络边界安全,防止外部攻击,保护内部网络·解决内部网安全问题,隔离内部不同网段,建立VLAN·根据IP地址、协议类型、端口进行过滤·内外网络采用两套IP地址,需要网络地址转换NAT功能·支持安全服务器网络SSN·通过IP地址与MAC地址对应防止IP欺骗·基于IP地址计费·基于IP地址的流量统计与限制·基于IP地址的黑白名单。·防火墙运行在安全操作系统之上·防火墙为独立硬件·防火墙无IP地址
解决方案:选用宝信的eCopXSA3000
5.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)
用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项·提供应用代理服务,隔离内外网络·用户身份鉴别·权限控制·基于用户计费·基于用户的流量统计与控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保护能力,防范对防火墙的常见攻击
解决方案:
(1)选用宝信的eCopXSA3000(2)防火墙基本配置+网络加密机(IP协议加密机)
5.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控)
用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项·网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)·操作系统安全性检测·网络监控与入侵检测
解决方案:选用宝信的eCopXSA3000+网络安全分析系统+网络监控器
sevralgoupnmb,thwi±=cyxfz.P-2~3dqFG
篇十四:校园网络安全设计方案
P> 目录第一章校园网安全隐患分析11校园内网安全分析111软件层次安全112设备物理安全113设备配臵安全114管理层次安全115无线局域网的安全威胁12校园外网安全分析121黑客攻击122不良信息传播123病毒危害21校园网安全措施211防火墙212防病毒213无线网络安全措施1022h3c无线校园网的安全策略12221可靠的加密和认证设备管理12222用户和组安全配臵12223非法接入检测和隔离13224监视和告警14第三章详细设计1531isa软件防火墙的配臵15311基本配臵16312限制学校用机的上网16313检测外部攻击及入侵16314校园网信息过滤配臵17315网络流量的监控17316无线局域网安全技术1732物理地址mac过滤18321服务集标识符ssid匹配18322端口访问控制技术和可扩展认证协议20第一章校园网安全隐患分析11校园内网安全分析111软件层次安全目前使用的软件尤其是操作系统或多或少都存在安全漏洞对网络安全构成了威胁目录第一章校园网安全隐患分析(31.1校园内网安全分析(31.1.1软件层次安全(31.1.2设备物理安全(31.1.3设备配置安全(31.1.4管理层次安全(41.1.5无线局域网的安全威胁(41.2校园外网安全分析(51.2.1黑客攻击(51.2.2不良信息传播(61.2.3病毒危害(6第二章设计简介及设计方案论述(72.1校园网安全措施(72.1.1防火墙(72.1.2防病毒(82.1.3无线网络安全措施(102.2H3C无线校园网的安全策略(122.2.1可靠的加密和认证、设备管理(12
2.2.2用户和组安全配置(122.2.3非法接入检测和隔离(132.2.4监视和告警(14第三章详细设计(153.1ISA软件防火墙的配置(153.1.1基本配置(163.1.2限制学校用机的上网(163.1.3检测外部攻击及入侵(163.1.4校园网信息过滤配置(173.1.5网络流量的监控(173.1.6无线局域网安全技术(173.2物理地址(MAC过滤(183.2.1服务集标识符(SSID匹配(183.2.2端口访问控制技术和可扩展认证协议(20第一章校园网安全隐患分析1.1校园内网安全分析1.1.1软件层次安全目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这
些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身安全漏洞较多,因此,导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行,冲击波这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS攻击,使多个国家的互联网也受到相当影响。
1.1.2设备物理安全
设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。
1.1.3设备配置安全
设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等,防止黑客取得硬件设备的控制权。许多网管往往由于
没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。
1.1.4管理层次安全
一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一旦有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成部分区域网
络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设置为本网段的网关地址,这会导致整个学生机房无法正常访问外网。
1.1.5无线局域网的安全威胁
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:
未经授权使用网络服务
由于无线局域网开放式的访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服
务质量。
地址欺骗和会话拦截
目前有很多种无线局域网的安全技术,包括物理地址(MAC过滤、服务集标识符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-FiProtectedAccess、IEEE802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
1.2校园外网安全分析
1.2.1黑客攻击
有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园外网,还有相当一部分来自校园网内部,由于内部用户对网络的结
构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
1.2.2不良信息传播
在校园网接入Internet后,师生都可以通过校园网络进入Internet。目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。
1.2.3病毒危害
学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,接入校园网的节点数量日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。
第二章设计简介及设计方案论述
2.1校园网安全措施
2.1.1防火墙
网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。
网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。
1系统组成
网络卫士监控器:一台,硬件
监控系统软件:一套
PC机(1台,用于运行监控系统软件
2主要功能
实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通讯会话轨迹。如:E-MAIL:监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。
HTTP:监视和记录用户对基于Web方式提供的网络服务的访问操作过程(如用户名、口令等。
FTP:监视和记录访问FTP服务器的过程(IP地址、文件名、口令等。TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件
3主要技术特点
采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传输的效率。可采用集中管理的分布式工作方式,能够远程监控。可以对
每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。
2.1.2防病毒为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1应用状况一台专用服务器(NTSERVER、一台代理邮件服务器(NTSERVER&PROXYSERVER,ExchangeServer,一台WWWSERVER,一台数据库SERVER,100-200台客户机。2系统要求能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒,并对本地的局域网防护的作用。3解决方案采用的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客户机数量HTTPFTP、用浏览器
下开载的程序
ScanMailforExchangeServerExchangeSer
ver按客户机数量有E-Mail的用户
OfficeScancorp各部门的NT
域服务器按客户机数量自动分发、更新、实
时监察客户机
以下是选用以上Trend公司产品的说明:
在NT主域控制器和备份域上均采用ServerProtecforWindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级。另外在外接Internet和邮件服务器上,采用
InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处Internet服务器或网关(Gateway上安装此软件,它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。
2.1.3无线网络安全措施
针对校园应用的安全解决方案,从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,H3C提出一系列不
同级别的无线安全技术策略,从传统的WEP加密到IEEE802.11i,从MAC地址过滤到IEEE802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。
对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。
在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚拟专用组(VertualPrivateGroup管理器功能并通过后台的Radius服务
器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。
如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(VPG管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。具体安全划分及技术方案选择如表2-2所示。
表2-2安全划分及技术方法选择
安全级别典型场合使用技术
初级安全办公室局部无线用户WPA-PSK+AP隐藏
中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管
理
专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i,并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol和AES(AdvancedEncryptionStandard,以及认证协议:IEEE802.1x。IEEE802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。
2.2H3C无线校园网的安全策略
针对目前无线校园网应用中的种种安全隐患,H3C的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施。
2.2.1可靠的加密和认证、设备管理
能够支持目前802.11小组所提出的全部加密方式,包括高级WPA256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPATKIP,特有的128位动态安全链路加密,动态会话密钥管理。802.1x认证使用802.1xRADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPATKIP认证采用EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更加保证用户身份的严格鉴定。
支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSHv2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。
2.2.2用户和组安全配置
和传统的无线局域网安全措施一样,H3C无线网络可以依靠物理地址(MAC过滤、服务集标识符(SSID匹配、访问控制列表(ACL来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。
同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基
础。例如,子网、ACL以及服务等级(CoS在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。H3C采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(VertualPrivateGroup,VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。并且,H3C无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里,网络标识基于用户而不是基于物理端口或位置。其次,H3C无线网络简化了SSID支持,不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置和识别用户身份。此外,使用H3C虚拟专用组(VertualPrivateGroup管理器功能,可以为用户和组分配特定的安全和访问策略,从而获得最大的灵活性,同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置,还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组,而不必逐个配置AP。
2.2.3非法接入检测和隔离
H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。
为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
2.2.4监视和告警
H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。
通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。
第三章详细设计
网络安全系统规划是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益,需求设计成为网络规划建设中的重要内容,网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设备(主交换机、路由器、二级交换机、服务器等。校园内部网络采用共享或者交换式以太网,选择中国科研教育网接入Internet,校际之间通过国际互联网的方式互相连接。同时采取相应的措施,确保通讯数据的安全、保密。
另外为了防止这个校区内病毒的传播、感染和破坏,我们在校园网内可能感染和传播病毒的地方采取相应的防毒措施,部署防毒组件,规划如下:在学校服务上安装
服务器端杀毒软件;在行政、教学单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作,分发杀毒软件的升级文件(包括病毒定义码、扫描引擎、程序文件等到校内所有用机,并对杀毒软件网络版进行更新。
3.1ISA软件防火墙的配置校园网内的软件防火墙采用ISAServe,之所以采用防火墙,是因为ISAServer是一种新型的应用层防火墙,避免服务的弱点及漏洞的攻击,同时支持VPN功能及充当Web代理服务器,并能提供详细的日志报告。安装示意图如图3-1所示。
图3-1ISA安装示意图3.1.1基本配置通过ISAServe中的ISAManagement项中的Services标签,启动集成模式中的三个服务,就可以使用ISA的所有默认功能。同时须打开IPRouting功能、访问权限功能、访问策略功能、统一管理等。3.1.2限制学校用机的上网首先要定义组,通过在ISAServer软件防火墙的ClientAddressSets标签中新建一个组名的标识,按照机房用机的IP地址范围进行添加,在ProtocolRules中选中协议规则后切换到Appliesto标签,选中ClientAddressSetsspecifiedbelow,加入设定的组即可。这样就可以先知学校其他用机随意上网。
3.1.3检测外部攻击及入侵
可以通过配置ISAServer来监测常见的校园网络攻击。在ISAServe中启用入侵检测后,ISAServer一检测到攻击,就会向Windows2000事件日志中发消息。要启用ISAServer的入侵检测功能,应在ISAServer管理窗口中选择
服务器名称中的IPPacketFiltersProperties选项,勾选EnableIntrusiondetection,即打开ISAServer的入侵检查功能。
3.1.4校园网信息过滤配置
校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围的信息,硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日志(加密并适时向网络中心上传数据。在软件管理终端,管理员选择“类别”和“记录日期”,点击“查看按钮”,就可以查看网络日志和操作日志,此外,安装“过滤王”软件终端程序包括核心和控制台两部分,核心程序安装在中心交换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡,进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安装完成后,控制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。
3.1.5网络流量的监控
STARVIEW在网络初步异常的情况下,能进一步查看网络中的详细流量,从而为网络故障的定位提供丰富数据支持。
3.1.6无线局域网安全技术
通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。
3.2物理地址(MAC过滤
每个无线客户端网卡都由唯一的48位物理地址(MAC标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入,如图3-2所示。
图3-2MAC地址的过滤图3.2.1服务集标识符(SSID匹配无线客户端必须设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务集上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP及SSID的权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全,具体的服务集标识匹配如图3-3所示。
图3-3服务集标识匹配在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位,加密原理如图3-4所示。
图3-4WEP加密原理图WEP加密原理如下:1、AP先产生一个IV,将其同密钥串接(IV在前作为WEPSeed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;
4、加密数据前面有四个字节,存放IV和KeyID,IV占前三个字节,KeyID在第四字节的高两位,其余的位置0;如果使用Key-mappingKey,则KeyID为0,如果使用DefaultKey,则KeyID为密钥索引(0-3其中之一。
3.2.2端口访问控制技术和可扩展认证协议IEEE802.1x并不是专为WLAN设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络,具体原理如图3-5所示。
图3-5802.1x端口控制在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。1.当用户有网络违接需求时打开802.1x宠户端程序,输入已经申请、登记过的用户名和口令,发起违接请求。此时,宠户端程序将发出请求认证的报文给AP,开始吭劢一次认证过程。2.AP收到请求认证的数据帧后,将发出一个请求帧要求用户的宠户端程序将输入的用户名送上来。3.宠户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。AP将宠户端送上来的数据帧经过封包处理后送给认证服务器迚行处理。4.认证服务器收到AP转发上来的用户名信息后,
将该信息不数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它迚行加密处理,同时也将此加密字传送给AP,由AP传给宠户端程序。5.宠户端程序收到由AP传来的加密字后,用该加密字对口令部分迚行加密处理(此种加密算法通常是丌可逆的,幵通过AP传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息迚行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,幵向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,幵保持AP端口的关闭状态,只允许认证信息数据通过而丌允许业务数据通过。WPA(Wi-FiProtectedAccessWPA=802.1x+EAP+TKIP+MIC在IEEE802.11i标准最终确定前,WPA标准是代替WEP的无线安全标准协议,IEEE802.11无线局域网提供更强大的安全性能。为WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。21
认证在802.11中几乎形同虚设的认证阶段,到了WPA中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,幵拥有对某些网络资源的访问权,幵丏是强制性的。WPA的认证分为两种:第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器来实现。在大型网络中,通常采用这种方式。但是对亍一些中小型的网络戒者个别用户,架设一台与用的认证服务器未免代价过亍昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它丌需要与门的认证服务器,这种模式叫做WPA预共享密钥(WPA-PSK,仅要求在每个WLAN节点(AP、无线路由器、网卡等预先输入一个密钥即可实现。只要密钥吮合,宠户就可以获得WLAN的访问权。由亍这个密钥仅仅用亍认证过程,而丌用亍加密过程,因此丌会导致诸如使用WEP密钥来迚行802.11共享认证那样严重的安全问题。加密WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器劢态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而丏,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身仹后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和宠户端,幵建立起一个密钥构
架和管理系统,使用主密钥为用户会话劢态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其劢态密钥的特性很难被攻破。22
消息完整性校验(MIC,是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU迚行CRC校验外,WPA为802.11的每个数据分组(MSDU都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU迚行ICV校验的目的丌同。ICV的目的是为了保证数据在传输途中丌会因为噪声等物理因素导致报文出错,因此采用相对简单高敁的CRC算法,但是黑宠可以通过修改ICV值来使乊和被篡改过的报文相吮合,可以说没有仸何安全的功能。而WPA中的MIC则是为了防止黑宠的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活劢60秒等,来阻止黑宠的攻击。23
篇十五:校园网络安全设计方案
P> 2网络建设需求网络的稳定性要求?整个网络需要具有高度的稳定性能够满足不同用户对网络访问的不同要求网络高性能需求?整个网络系统需要具有很高的性能能够满足各种流媒体的无障碍传输保证校园网各种应用的畅通无阻?认证计费效率高对用户的认证和计费不会对网络性能造成瓶颈网络安全需求?防止ip地址冲突?非法站点访问过滤?非法言论的准确追踪?恶意攻击的实时处理?记录访问日志提供完整审计网络管理需求?需要方便的进行用户管理包括开户销户资料修改和查询?需要能够对网络设备进行集中的统一管理?需要对网络故障进行快速高效的处理第二章某校园网方案设计21校园网现网拓扑图整个网络采用二级的网络架构某校园网络安全方案设计
第一章、某校园网方案设计原则与需求
1.1设计原则
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键3.在满足学校的需求的前提下,建出自己的特色
1.2网络建设需求网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求
网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈
网络安全需求
防止IP地址冲突
非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计
网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
第二章、某校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西
校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP
CPP即CPUProtectPolicy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性能。
骨干设备的稳定性设计:三平面分离技术数据平面、管理平面、控制平面分离的设计思想
交换机中的数据类型可以分为三大类:
数据平面:各种二层\三层\组播\ACL\QOS数据
管理平面:通过TELNET、SNMP对设备进行管理维护的数据流
控制平面:各种协议比如STP、ARP、OSPF、RIP交互的数据流
RG-S8606通过将三个平面进行分离,可以保证在数据流量非常大、网络异常比如有回路、有大量攻击数据流、OSPF协议无法收敛的情况下,管理员仍然可以通过各种网络管理方式登陆到网络设备上,通过察看接口状态、日志纪录、协议的信息,可以发现网络中存在的问题,关闭有问题的端口、停止异常的协议,从而达到了在线排除网络故障、在不重启交换机的情况下让其恢复正常。极大的提高了网络的稳定性。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MACFLOOD、SYNFLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想
2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。
2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。
2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。
2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。
2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准
确定位到该用户,便于事情的处理。只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也
切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。
2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MACFlood\SYNFlood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。
2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理
2.5.1网络用户管理
网络用户管理见网络运营设计开户部分
2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管
理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
上不了网?
打电话、去网络中心
网管员手工登记受理
与用户预约,上门处理
网管员安排处理人员和时间
对于这种传统的网络故障解决办法,有以下的几个弊端:
1、网管员工作量大
当用户出现网络故障时,需要通过电话或者到网络中心进行报修,也就是说网管员经常会被打扰,网管员日常的工作思路会受到影响,再者,接待学生的态度很不好把握,会造成用户对网管员态度有看法,对网络中心的声誉产生负面影响。
网管需要手工登记用户故障信息,需要一定的时间,造成效率降低。需要电话与用户预约故障处理时间,效率低,浪费较多的网络故障是用户方的问题,网管上门服务价值太低
2、网络故障表单管理混乱
手工填写的故障表单容易丢失,表单丢失,意味着故障信息丢失,会严重影响网管员的工作
A管理员受理学生来故障,很有可能到时候是B管理员来处理,存在信息很难完全同步的问题,导致故障处理受到影响。
重复受理,如果学生今天来报了故障,网络中心没有解决,那第二天,他可能又会去报修,导致故障重复,干扰网管的正常工作
3、故障不能及时处理
网管员会优先处理故障信息较多的楼栋,这样的话,对于离中心较远用户或者个别用户的网络故障,一般会压后处理
上面这些用户会觉得受到了不公正的待遇,可能通过海报、校长信箱反映问题针对高校校园网的这种现状,锐捷网络在安全认证计费系统SAM中专门开发了网络故障报修功能,大大提高了网络故障处理得效率,既可以以提高校园网用户的满意度,又可以让我们的网管员能够有更多的时间对整个校园网进行优化设计,对网络应用系统的建设进行完善,让校园网更好的为学校服务。以下是网上报修的流程图:
上不了网?
通过网络提交故障信息
网管员通过网络查看受理、反馈处理意见理
到时间直接上门处理
对需要上门处理的故障,网管员通过网络事先通知用户
2.6IPv6设计
某作为豫南地区中国教育和科研计算机网的节点,接入下一代互联网以及Cernet2是很快就需要实施,因此,整个网络对IPv6的支持就显得尤为关键,IPv6网络设计的目标是:整网支持IPv6,并且要保证IPv6网络的性能和IPv4一样。常见的IPv6网络的设计方案有二种:
2.6.1方案一:隧道方式
对设备的要求:一般来说,隧道方式只有核心交换机支持IPv6,且采用NP实现IPv6优势:实现起来简单,只需要核心和教育网之间建立隧道即可。劣势:所有的IPv6数据包需要核心交换机来处理,核心交换机处理负载大,整网IPv6性能低核心交换机采用NP处理IPv6(NP的性能比ASIC芯片低很多,无法满足千兆万兆的
线速转发),性能低,无法满足IPv6数据包的千兆线速转发
核心交换机负载重,导致核心交换机稳定可靠性降低,就象司机长期疲劳驾驶,出车祸的几率大增。
用户可直接攻击核心交换机,整网的安全性、稳定可靠性极低
2.6.2方案二:双栈方式
对设备的要求:所有的三层交换机支持IPv6,且采用硬件ASIC芯片来支持IPv6优势:整网形成了分布式三层IPv6架构,所有的汇聚、核心交换机支持双栈,自动识别V4
和V6数据包,形成了高效的转发和管理系统。就好比学校分成院系,院系分成了专业以后,各种工作的开展更方便,学校的管理也更有效。所有的汇聚交换机采用硬件ASIC芯片来支持IPV6,能够实现IPV6数据包的线速转发,保证了网络的性能。对于用户来说,他能到达的只是汇聚层IPV6交换机,并不知道核心的存在,对整网的核心能起到保护作用。由于汇聚层交换机能支持IPV6,有效缓解了核心上的处理压力,这有利于提高核心的稳定可靠性劣势:一次性投入成本高些为了充分的保护用户的投资,锐捷网络采取IPv4/IPv6双协议栈方式实现IPv6,方案中的所有三层交换机均RG-S8600、RG-S5750、RG-S3760全部采用硬件ASIC芯片来支持IPv6,能够便于校园网随时启用IPv6功能。以下是www.ipv6reagy.org上显示的各个厂家的设备对IPV6支持的情况,红色部分表示锐捷交换机的情况
2.7流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网
络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。
2.7.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速
的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
2.7.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。
该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、
恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
篇十六:校园网络安全设计方案
P> .-
校园网络安全设计方案
一、安全需求
1.1.1网络现状
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
楼号该楼用每层层数每栋实现功能
-
-可修编-
-
.
途
主机
数
3
行政,办504
公,网络
中心
20
图书馆1005
7
教学楼10-27
(1,2,1
00
1,16)
不等
4
宿舍
1807
(5,6,8,
9,10
12,13,1
4,
15,16,1
-
-
信息点总数
200主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护,管理,中心设有、电子、精品课程、FTP资源、办公系统以及视频点播等服务器。
500对图书馆各类图书进行管理,对图书资料进行处理。建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。
150主要是多媒体教室。能够实现多媒体教学,快速地获取网上资源
1200能够较快地获取网上资源,拥有语音布线
-可修编-
-
.
-
7)
1.2.现有安全技术
1.操作系统和应用软件自身的身份认证功能,实现访问限制。2.定期对重要数据进行备份数据备份。3.每台校园网电脑安装有防毒杀毒软件。
1.3.安全需求
1.构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,
通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2.建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的网安全管理体系
只有解决网络部的安全问题,才可以排除网络中最大的安全隐患,网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对性要求较高的用户建立虚拟专用网。
二.安全设计1.1设计原则
根据防安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安
-
-可修编-
-
.
-
全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。2.网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需
-
-可修编-
-
.
-
求和具体的应用环境,具体取决于系统的规模和围,系统的性质和信息的重要程度。4.标准化与一致性原则系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
-
-可修编-
-
.
-
9.易操作性原则首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
篇十七:校园网络安全设计方案
P> 校园网网络安全系统方案设计.目录第一章校园网安全隐患剖析(31.1校园内网安全剖析(31.1.1软件层次安全(31.1.2设施物理安全(31.1.3设施配置安全(31.1.4管理层次安全(41.1.5无线局域网的安全威迫(41.2校园外网安全剖析(51.2.1黑客攻击(51.2.2不良信息流传(61.2.3病毒危害(6第二章设计简介及设计方案阐述(72.1校园网安全举措(72.1.1防火墙(72.1.2防病毒(82.1.3无线网络安全举措(102.2H3C无线校园网的安全策略(122.2.1靠谱的加密和认证、设施管理(12
1/19
校园网网络安全系统方案设计.
2.2.2用户和组安全配置(122.2.3非法接入检测和隔绝(132.2.4监督和告警(14第三章详尽设计(153.1ISA软件防火墙的配置(153.1.1基本配置(163.1.2限制学校用机的上网(163.1.3检测外面攻击及入侵(163.1.4校园网信息过滤配置(173.1.5网络流量的监控(173.1.6无线局域网安全技术(173.2物理地点(MAC过滤(183.2.1服务集表记符(SSID般配(183.2.2端口接见控制技术和可扩展认证协议(20第一章校园网安全隐患剖析1.1校园内网安全剖析1.1.1软件层次安全当前使用的软件特别是操作系统或多或少都存在安全破绽,对网络安全构成了威迫。此刻网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这
2/19
校园网网络安全系统方案设计.
些系统安全风险级别不一样,UNIX因其技术较复杂往常会致使一些高级黑客对其进行攻击;而WindowsNTP2000操作系统因为获取了宽泛的普及,加上其自己安全漏洞许多,所以,致使它成为较不安全的操作系统。在一段期间、冲击波病毒比较流行,冲击波这个利用微软RPC破绽进行流传的蠕虫病毒起码攻击了全世界80%的Windows用户,使他们的计算机没法工作并频频重启,该病毒还引起了DoS攻击,使多个国家的互联网也遇到相当影响。
1.1.2设施物理安全设施物理安全主假如指对网络硬件设施的破坏。网络设施包含服务器、互换机、集线器、路由器、工作站、电源等,它们散布在整个校园内,管理起来特别困难。个他人可能出于各样目的,存心或无心地破坏设施,这样会造成校园网络所有或部分瘫痪。
1.1.3设施配置安全
设施配置安所有是指在设施上要进行必需的一些设置(如服务器、互换机、防火墙、路由器的密码等,防备黑客获得硬件设施的控制权。很多网管常常因为
没有在服务器、路由器、防火墙或可网管的互换机上设置必需的密码或密码设置得过于简单,致使一些略懂或精晓网络设施管理技术的人员能够经过网络轻易获得对服务器、互换机、路由器或防火墙等网络设施的控制权,而后任意改正这些设施的配置,严重时甚至会致使整个校园网络瘫痪。
1.1.4管理层次安全一个健全的安全系统,实质上应当表现的是“三分技术、七分管理”网,络的整体安全不是只是依靠使用各样技术先进的安全设施就能够实现的,更重要的是表此刻对人、对设施的安全管理以及一套卓有成效的安全管理制度,特别重要的是增强对内部人员的管理和拘束,因为内部人员对网络的构造、模式都比较认识,若不增强管理,一旦有人出于某种目的破坏网络,结果将不行思议。IP地点盗用、滥用是校园网一定增强管理的方面,特别是学生区、机房等。IP配置不妥也会造成部分地区网
3/19
校园网网络安全系统方案设计.
络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地点设置为本网段的网关地点,这会致使整个学活力房没法正常接见外网。
1.1.5无线局域网的安全威迫
利用WLAN进行通信一定拥有较高的通信保密能力。关于现有的它的安全隐患主要有以下几点:
WLAN产品,
未经受权使用网络服务
因为无线局域网开放式的接见方式,非法用户能够未经受权而私自使用网络资源,不单会占用可贵的无线信道资源,增添带宽花费,还会降低合法用户的服
务质量。
地点欺诈和会话拦截
当前有好多种无线局域网的安全技术,包含物理地点(MAC过滤、服务集表记符(SSID般配、有线平等保密(WEP、端口接见控制技术、WPA(Wi-FiProtectedAccess、IEEE802.11i等。面对这样多的安全技术,应当选择哪些技术来解决无线局域网的安全问题,才能知足用户对安全性的要求。在无线环境中,非法用户经过侦听等手段获取网络中合法站点的MAC地点比有线环境中要简单得多,这些合法的MAC地点能够被用来进行歹意攻击。此外,因为IEEE802.11没有对AP身份进行认证,攻击者很简单装束成合法AP进入网络,并进一步获取合法用户的鉴识身份信息,经过会话拦截实现网络入侵。这些合法的MAC地点能够被用来进行歹意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其余系统的起点。多半学校部署的WLAN都在防火墙以后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只需攻破无线网络,整个网络就将裸露在非法用户眼前。
1.2校园外网安全剖析
1.2.1黑客攻击
4/19
校园网网络安全系统方案设计.
有的校园网同时与CERNET、Internet相连,有的经过CERNET与Internet相连,在享受Internet方便快捷的同时,也面对着遭受攻击的风险。黑客攻击活动日趋猖狂,成为此刻社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺诈攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不单来自校园外网,还有相当一部分来自校园网内部,因为内部用户对网络的结
构和应用模式都比较认识,所以来自内部的安全威迫会更大一些。1.2.2不良信息流传在校园网接入Internet后,师生都能够经过校园网络进入Internet。当前Internet上各样信息参差不齐,此中有些不良信息违犯人类的道德标准和相关法律法规,对人生观、世界观正在形成中的学生危害特别大。特别是中小学生,因为年纪小,分辨是非和抵抗扰乱能力较差,假如不采纳确实可行安全举措,必然会致使这些信息在校园内流传,侵害学生的心灵。1.2.3病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门供给了方便,下载的程序、电子邮件都可能带有病毒。跟着校园内计算机应用的大范围普及,接入校园网的节点数目日趋增加,这些节点多半没有采纳安全防备举措,随时有可能造成病毒泛滥、信息丢掉、数据破坏、网络被攻击、甚至系统瘫痪等严重结果。第二章设计简介及设计方案阐述2.1校园网安全举措2.1.1防火墙网络信息系统的安全应当是一个动向的发展过程,应当是一种检测,安全,响应的循环过程。动向发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不行少的环节。
5/19
校园网网络安全系统方案设计.
网络监控系统是及时网络自动违规、入侵辨别和响应系统。它位于有敏感数据需要保护的网络上,经过及时截获网络数据流,找寻网络违规模式和未受权的网络接见试试。当发现网络违规模式和未受权的网络接见时,网络监控系统能够依据系统安全策略做出反响,包含及时报警、事件登录或履行用户自定义的安全策略等。
1系统构成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1台,用于运转监控系统软件2主要功能及时网络数据流追踪、采集与复原网络监控系统运转于有敏感数据需要保护的网络之上,及时监督网络上的数据流,剖析网络通信会话轨迹。如:E-MAIL:监督特定用户或特定地点发出、收到的邮件;记录邮件的源及目的IP地点、邮件的发信人与收信人、邮件的收发时间等。HTTP:监督和记录取户对鉴于Web方式供给的网络服务的接见操作过程(如用户名、口令等。FTP:监督和记录接见FTP服务器的过程(IP地点、文件名、口令等。TELNET:监督和记录对某特定地点主机进行远程登录操作的过程。供给智能化网络安全审计方案网络监控系统能够对大批的网络数据进行剖析办理和过滤,生成按用户策略挑选的网络日记,大大减少了需要人工办理的日记数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件3主要技术特色采纳透明工作方式,它静静地监督本网段数据流,对网络通信不附带任何延时,不影响网络传输的效率。可采纳集中管理的散布式工作方式,能够远程监控。能够对
6/19
校园网网络安全系统方案设计.
每个监控器进行远程配置,能够监测多个网络出口或应用于广域网络监测。网络监控系统能进行运转状态及时监测,远程启停管理。
2.1.2防病毒为了有效的防备病毒对系统的侵入,一定在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1应用状况一台专用服务器(NTSERVER、一台代理邮件服务器(NTSERVER&PROXYSERVER,ExchangeServer,一台WWWSERVER,一台数据库SERVER,100-200台客户机。2系统要求能防备经过PROXYSERVER从Internet下载文件或收发的E-mail内隐蔽的病毒,并对当地的局域网防备的作用。3解决方案采纳的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数目保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER自己InterScanWebProtectProxyServer按客户机数目HTTPFTP、用阅读器
7/19
校园网网络安全系统方案设计.
下开载的程序ScanMailforExchangeServerExchangeServer按客户机数目有E-Mail的用户OfficeScancorp各部门的NT域服务器按客户机数目自动散发、更新、实时督查客户机以下是采纳以上Trend公司产品的说明:在NT主域控制器和备份域上均采纳ServerProtecforWindowsNT保护NT服务器免受病毒的损害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,所以介绍采纳OfficeScanCorporatcEdition公司受权版OfficeScanCorporateIdition能让MIS人员经过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级。此外在外接Internet和邮件服务器上,采纳InterScanWebProtect和ScanMailForExchange此两种软件是当前独一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵公司内部网络的进口处Internet服务器或网关(Gateway上安装此软件,它能够随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件抵达网络系统以行进行扫描侦测出来。2.1.3无线网络安全举措针对校园应用的安全解决方案,从校园用户角度而言,跟着无线网络应用的推动,管理员需要更为着重无线网络安全的问题,针对不一样的用户需求,H3C提出一系列不
8/19
校园网网络安全系统方案设计.
同级其余无线安全技术策略,从传统的WEP加密到IEEE802.11i,从MAC地点过滤到IEEE802.1x安全认证技术,可分别知足办公室局部用户、园区网络、办公网络等不一样级其余安全需求。
关于办公室局部无线用户而言,无线覆盖范围较小,接入用户数目也比较少,没有专业的管理人员,对网络安全性的要求相对较低。往常状况下不会装备专用的认证服务器,这类状况下,可直接采纳AP进行认证,WPA-PSK+AP隐蔽能够保证基本的安全级别。
在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数目,AP和无线网卡的数目势必大大增添,同时因为使用的用户许多,安全隐患也相应增添,此时简单的WPA-PSK已经不可以知足此类用户的需求。如表中所示的中级安全方案使用支持IEEE802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚构专用组(VertualPrivateGroup管理器功能并通事后台的Radius服务
器进行用户身份考证,有效地阻挡未经受权的用户接入,并可对用户权限进行区分。
假如应用无线网络建立校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,所以用户认证问题就显得更为重要。假如不可以正确靠谱地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,关于无线业务网络来说是不可以够接受的。专业级解决方案能够较好地知足用户需求,经过H3C虚构专用组(VPG管理器功能、IEEE802.11i加密、Radius的用户认证保证高安全性。详细安全区分及技术方案选择如表2-2所示。
表2-2安全区分及技术方法选择安全级别典型场合使用技术初级安全办公室局部无线用户WPA-PSK+AP隐蔽中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管
9/19
校园网网络安全系统方案设计.
理专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络的安全性和保证不一样厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i,并且致力于从长久角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol和AES(AdvancedEncryptionStandard,以及认证协议:IEEE802.1x。IEEE802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获取同意。2.2H3C无线校园网的安全策略针对当前无线校园网应用中的各种安全隐患,H3C的无线局域网产品系统能够供给强有力的安全特征,除了传统无线局域网中的安全策略以外,还可以够供给更为精美的管理举措。2.2.1靠谱的加密和认证、设施管理能够支持当前802.11小组所提出的所有加密方式,包含高级WPA256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPATKIP,独有的128位动向安全链路加密,动向会话密钥管理。802.1x认证使用802.1xRADIUS认证和MAC地点结合认证,保证只有合法用户和客户端设施才可接见网络;WPATKIP认证采纳EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更为保证用户身份的严格判定。
支持经过当地控制台或经过SSL或HTTPS集中管理Web阅读器;经过当地控制台或经过SSHv2或Telnet远程管理的命令行界面;并可经过无线局域网管理系统进行集中管理。
2.2.2用户和组安全配置
10/19
校园网网络安全系统方案设计.
和传统的无线局域网安全举措同样,H3C无线网络能够依靠物理地点(MAC过滤、服务集表记符(SSID般配、接见控制列表(ACL来供给对无线客户端的初始过滤,只同意指定的无线终端能够连结AP。
同时,传统无线网络也存在它的不足之处。第一,它的安全策略依靠于连结到某个网络地点的设施上的特定端口,对物理端口和设施的依靠是网络工程的基
础。比如,子网、ACL以及服务等级(CoS在路由器和互换机的端口上定义,需要经过台式机的MAC地点来管理用户的连结。H3C采纳鉴于身份的组网功能,可供给增强的用户和组的安全策略,针对特别要求创立虚构专用组(VertualPrivateGroup,VLAN不再需要经过物理连结或端口来实行,而是依据用户和组名来区分权限。并且,H3C无线网络能够对无线局域网进行亘古未有的控制和察看,监督工具甚至能够追踪深入到个人的信息(不论他的地点在哪里,网络表记鉴于用户而不是鉴于物理端口或地点。其次,H3C无线网络简化了SSID支持,不再需要多个SSID来支持遨游和受权策略;单个SSID足以支持遨游、跨子网遨游或包含VLAN或子网成员资格的受权策略。大批的可配置监督工具用于采集用户数据(比如地点、接见控制和安全设置和辨别用户身份。其余,使用H3C虚构专用组(VertualPrivateGroup管理器功能,能够为用户和组分派特定的安全和接见策略,进而获取最大的灵巧性,同时增强网络安全性并明显缩短管理时间。用户不单可改正单个用户设置,还可以够只通过简单的几次击键操作即可从中央管理控制台方便地配置相像的用户组、AP组,而不用逐一配置AP。
2.2.3非法接入检测和隔绝
H3C无线网络可自动履行的AP射频扫描功能经过表记可去除非法AP,使管理员能更好地查察网络状况,提升对网络的能见度。非法AP经过引入更多的流量来降低网络性能,经过试试获取数据或用户名来危及网络安全或许欺诈网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,可是网络规模越大就越简单遇到攻击。
11/19
校园网网络安全系统方案设计.
为了除去这类威迫,能够指定某些AP充任射频“卫士”,其方法是扫描无线局域网来查找非法AP地点,记录这些地点信息并采纳举措以及为这些地点从头分派信道以使网络处于连结状态并正常运转。AP射频扫描程序还会检测并调整惹起射频干扰的其余根源,比如微波炉和无绳电话。并且,射频监测配合鉴于用户身份的组网,不但可使用户在遨游时拥有诸如虚构专用构成员资格、接见控制列表(ACL、认证、遨游策略和历史、地点追踪、带宽使用以及其余受权等内容,还可见告管理人员哪些用户已连结、他们位于哪处、他们以前位于哪处、他们正在使用哪些服务以及他们以前使用过哪些服务。
2.2.4监督和告警H3C无线网络系统供给了及时操作信息,能够迅速检测到问题,提升网络的安全性并优化网络,甚至还可以够定位用户。网络管理应用程序针对此刻的动向业务而设计,它供给了配置改正的自动告警功能。导游界面供给了即时提示,进而使得管理员能够迅速针对矛盾做出改正。
经过使用软件的挪动配置文件功能,管理者能够在用户或用户组遨游整个无线局域网时控制其接见资源的地点。其余,地点策略能够依据用户的地点来阻挡或同意对特别应用程序的接见。
第三章详尽设计
网络安全系统规划是一个系统成立和优化的过程,建设网络的根本目的是在Internet长进行资源共享与通信。要充足发挥投资网络的效益,需求设计成为网络规划建设中的重要内容,网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设施(主互换机、路由器、二级互换机、服务器等。校园内部网络采纳共享或许互换式以太网,选择中国科研教育网接入Internet,校际之间经过国际互联网的方式相互连结。同时采纳相应的举措,保证通信数据的安全、保密。
此外为了防备这个校区内病毒的流传、感染和破坏,我们在校园网内可能感染和流传病毒的地方采纳相应的防毒举措,部署防毒组件,规划以下:在学校服务上安装
12/19
校园网网络安全系统方案设计.
服务器端杀毒软件;内行政、教课单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作,散发杀毒软件的升级文件(包含病毒定义码、扫描引擎、程序言件等到校内所实用机,并对杀毒软件网络版进行更新。
3.1ISA软件防火墙的配置校园网内的软件防火墙采纳ISAServe,之所以采纳防火墙,是因为ISAServer是一种新式的应用层防火墙,防止服务的短处及破绽的攻击,同时支持VPN功能及充任Web代理服务器,并能供给详尽的日记报告。安装表示图如图3-1所示。
图3-1ISA安装表示图3.1.1基本配置经过ISAServe中的ISAManagement项中的Services标签,启动集成模式中的三个服务,就能够使用ISA的所有默认功能。同时须翻开IPRouting功能、接见权限功能、接见策略功能、一致管理等。3.1.2限制学校用机的上网第一要定义组,经过在ISAServer软件防火墙的ClientAddressSets标签中新建一个组名的表记,依据机房用机的IP地点范围进行增添,在ProtocolRules中选中协议规则后切换到Appliesto标签,选中ClientAddressSetsspecifiedbelow,加入设定的组即可。这样就能够先知学校其余用机任意上网。
13/19
校园网网络安全系统方案设计.
3.1.3检测外面攻击及入侵
能够经过配置ISAServer来监测常有的校园网络攻击。在ISAServe中启用入侵检测后,ISAServer一检测到攻击,就会向Windows2000事件日记中发信息。要启用ISAServer的入侵检测功能,应在ISAServer管理窗口中选择
服务器名称中的IPPacketFiltersProperties选项,勾选EnableIntrusiondetection,即翻开ISAServer的入侵检查功能。
3.1.4校园网信息过滤配置
校园网中拟采纳“过滤王”来实现有效的过滤反动、色情、邪教等有害校园气氛的信息,硬件配置包含一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日记(加密并合时向网络中心上传数据。在软件管理终端,管理员选择“类型”和“记录日期”,点击“查察按钮”,就能够查察网络日记和操作日记,其余,安装“过滤王”软件终端程序包含核心和控制台两部分,核心程序安装在中心互换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡,进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安装达成后,控制台程序所在的服务器IP地点就是安装核心程序的中心互换机IP。
3.1.5网络流量的监控STARVIEW在网络初步异样的状况下,能进一步查察网络中的详尽流量,进而为网络故障的定位供给丰富数据支持。3.1.6无线局域网安全技术
往常网络的安全性主要表此刻接见控制和数据加密两个方面。接见控制保证敏感数据只好由受权用户进行接见,而数据加密则保证发送的数据只好被所希望的用户所接收和理解。
3.2物理地点(MAC过滤
14/19
校园网网络安全系统方案设计.
每个无线客户端网卡都由独一的48位物理地点(MAC表记,可在AP中手工保护一组同意接见的MAC地点列表,实现物理地点过滤。这类方法的效率会跟着终端数目的增添而降低,并且非法用户经过网络侦听便可获取合法的MAC地点表,而MAC地点其实不难改正,因此非法用户完好能够盗用合法用户的MAC地点来非法接入,如图3-2所示。
图3-2MAC地点的过滤图3.2.1服务集表记符(SSID般配无线客户端一定设置与无线接见点AP同样的SSID,才能接见AP;假如出示的SSID与AP的SSID不一样,那么AP将拒绝它经过本服务集上网。利用SSID设置,能够很好地进行用户集体分组,防止任意遨游带来的安全和接见性能的问题。能够通过设置隐蔽接入点(AP及SSID的权限控制来达到保密的目的,所以能够认为SSID是一个简单的口令,经过供给口令认证体制,实现必定的安全,详细的服务集表记般配如图3-3所示。
15/19
校园网网络安全系统方案设计.
图3-3服务集表记般配在IEEE802.11中,定义了WEP来对无线传递的数据进行加密,WEP的核心是采纳的RC4算法。在标准中,加密密钥长度有64位和128位两种。此中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位,加密原理如图3-4所示。
图3-4WEP加密原理图WEP加密原理以下:1、AP先产生一个IV,将其同密钥串接(IV在前作为WEPSeed,采纳RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU以后;3、将上述两步的结果按位异或生成加密数据;
16/19
校园网网络安全系统方案设计.
4、加密数据前面有四个字节,寄存IV和KeyID,IV占前三个字节,KeyID在第四字节的高两位,其余的地点0;假如使用Key-mappingKey,则KeyID为0,假如使用DefaultKey,则KeyID为密钥索引(0-3此中之一。
3.2.2端口接见控制技术和可扩展认证协议IEEE802.1x其实不是专为WLAN设计的。它是一种鉴于端口的接见控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线接见点AP关系后,能否能够使用AP的服务要取决于802.1x的认证结果。假如认证经过,则AP为STA翻开这个逻辑端口,不然不一样意用户连结网络,详细原理如图3-5所示。
图3-5802.1x端口控制在拥有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行接见以前一定先要达成以下的认证过程。1.当用户有网络违接需求时翻开802.1x宠户端程序,输入已经申请、登记过的用户名和口令,倡始违接恳求。此时,宠户端程序将发出恳求认证的报文给AP,开始吭劢一次认证过程。2.AP收到恳求认证的数据帧后,将发出一个恳求帧要求用户的宠户端程序将输入的用户名奉上来。3.宠户端程序响应AP发出的请求,将用户名信息经过数据帧送给AP。AP将宠户端奉上来的数据帧经过封包处理后送给认证服务器迚行办理。4.认证服务器收到AP转发上来的用户名信息后,
17/19
校园网网络安全系统方案设计.
将该信息不数据库中的用户名表对比对,找到该用户名对应的口令信息,用随机
生成的一个加密字对它迚行加密办理,同时也将此加密字传递给AP,由AP传给宠户端程序。5.宠户端程序收到由AP传来的加密字后,用该加密字对口令部分迚
行加密办理(此种加密算法往常是丌可逆的,幵经过AP传给认证服务器。6.认证服务器将奉上来的加密后的口令信息和其自己经过加密运算后的口令信息迚行对
比,假如同样,则认为该用户为合法用户,反应认证经过的信息,翻初步口的指令,同意用户的业务流经过端口接见网络。不然,反
幵向AP发出馈认证失败的
信息,幵保持AP端口的封闭状态,只同意认证信息数据经过而丌同意业务数据
经过。WPA(Wi-FiProtectedAccessWPA=802.1x+EAP+TKIP+MIC在IEEE802.11i标准最后确立前,WPA标准是取代WEP的无线安全标准协议,IEEE
802.11无线局域网供给更强盛的安全性能。为WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。21
认证在802.11中几乎形同虚设的认证阶段,到了WPA中变得尤其重要起
来,它要求用户一定供给某种形式的凭据来证明它是合法用户,
幵拥有对某些网
络资源的接见权,幵丏是强迫性的。WPA的认证分为两种:第一种采纳
802.1x+EAP的方式,用户提招供证所需的凭据,如用户名密码,经过特定的用
户认证服务器(一般是RADIUS服务器来实现。在大型网络中,往常采纳这类方式。可是对亍一些中小型的网络戒者个别用户,架设一台与用的认证服务器不免
代价过亍昂贵,保护也很复杂,所以WPA也供给一种简化的模式,它丌需要与门
的认证服务器,这类模式叫做WPA预共享密钥(WPA-PSK,仅要求在每个WLAN
节点(AP、无线路由器、网卡等早先输入一个密钥即可实现。只需密钥吮合,宠户就能够获取WLAN的接见权。由亍这个密钥只是用亍认证过程,而丌用亍加密
过程,所以丌会致使诸如使用WEP密钥来迚行802.11共享认证那样严重的安全问
题。加密WPA采纳TKIP为加密引入了新的体制,它使用一种密钥构架和管理方
法,经过由认证服务器劢态生成散发的密钥来取代单个静态密钥、把密钥首部
长
度从24位增添到48位等方法增强安全性。而丏,TKIP利用了构架。认证服务器在接受了用户身仹后,使用802.1x产生一个独一的主密钥处理睬话。而后,TKIP把这个密钥经过安全通道散发到AP和宠户端,幵成立起一个密钥构
18/19
校园网网络安全系统方案设计.
架和管理系统,使用主密钥为用户会话劢态产生一个独一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单调的密钥变为了500万亿可用密钥。固然WPA采纳的仍是和WEP同样的RC4加密算法,但其劢态密钥的特征很难被攻破。22
信息完好性校验(MIC,是为了防备攻击者从中间截获数据报文、窜改后重发而设置的。除了和802.11同样持续保存对每个数据分段(MPDU迚行CRC校验外,WPA为802.11的每个数据分组(MSDU都增添了一个8个字节的信息完好性校验值,这和802.11对每个数据分段(MPDU迚行ICV校验的目的丌同。ICV的目的是为了保证数据在传输途中丌会因为噪声等物理要素致使报文犯错,所以采用相对简单高敁的CRC算法,可是黑宠能够经过改正ICV值来使乊和被窜悔过的报文相吮合,能够说没有仸何安全的功能。而WPA中的MIC则是为了防备黑宠的窜改而定制的,它采纳Michael算法,拥有很高的安全特征。当MIC发生错误的时候,数据很可能已经被窜改,系统很可能正在遇到攻击。此时,WPA还会采取一系列的对策,比方马上改换组密钥、暂停活劢60秒等,来阻挡黑宠的攻击。23
19/19
篇十八:校园网络安全设计方案
P> 局域网lan内部得安全问题包括网段得划分以及vlan得实现在连接internet时如何在网络层实现安全性应用系统如何保证安全性如何防止黑客对网络主机服务器等得入侵如何实现广域网信息传输得安全保密性加密系统如何布置包括建立证书管理中心应用系统集成加密等如何实现远程访问得安全性如何评价网络系统得整体安全性基于这些安全问题得提出网络信息系统一般应包括如下安全机制校园网络安全实施方案
校园网络安全实施方案
校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。
一、网络信息安全系统设计原则
·1.1满足Internet分级管理需求·1.2需求、风险、代价平衡的原则·1.3综合性、整体性原则·1.4可用性原则·1.5分步实施原则
目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
基于上述思想,网络信息安全系统应遵循如下设计原则:
满足因特网的分级管理需求
根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。--第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。--第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。--第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、
性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
可用性原则
安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。分步实施原则:分级管理分步实施
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
二、网络信息安全系统设计步骤
网络安全需求分析
确立合理的目标基线和安全策略
明确准备付出的代价
制定可行的技术方案
工程实施方案(产品的选购与定制)
制定配套的法规、条例和管理办法
本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。
三、网络安全需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:
局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现
在连接Internet时,如何在网络层实现安全性
应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵
如何实现广域网信息传输的安全保密性
加密系统如何布置,包括建立证书管理中心、应用系统集成加密等
如何实现远程访问的安全性
如何评价网络系统的整体安全性
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
四、网络安全层次及安全措施
4.1链路安全
4.2网络安全
4.3信息安全
网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA)
网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP安全)审计分析
链路安全链路加密
4.1链路安全
链路安全保护措施主要是链路加密设备,如各种
链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。
一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。
4.2网络安全
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)
之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。
信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决60%-80%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。
网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。
入侵检测系统是实时网络违规自动识别和响应
系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
另外,使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IPAH)可以提供认证与数据完整性机制。利用IP封装净载(IPESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。
五、校园网网络安全解决方案
5.1基本防护体系(包过滤防火墙+NAT+计费)
用户需求:全部或部分满足以下各项·解决内外网络边界安全,防止外部攻击,保护内部网络·解决内部网安全问题,隔离内部不同网段,建立VLAN·根据IP地址、协议类型、端口进行过滤·内外网络采用两套IP地址,需要网络地址转换NAT功能·支持安全服务器网络SSN·通过IP地址与MAC地址对应防止IP欺骗·基于IP地址计费·基于IP地址的流量统计与限制·基于IP地址的黑白名单。·防火墙运行在安全操作系统之上·防火墙为独立硬件·防火墙无IP地址
解决方案:选用宝信的eCopXSA3000
5.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)
用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项·提供应用代理服务,隔离内外网络·用户身份鉴别·权限控制·基于用户计费·基于用户的流量统计与控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保护能力,防范对防火墙的常见攻击
解决方案:(1)选用宝信的eCopXSA3000(2)防火墙基本配置+网络加密机(IP协议加密机)
5.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控)
用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项·网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)·操作系统安全性检测·网络监控与入侵检测
解决方案:选用宝信的eCopXSA3000+网络安全分析系统+网络监控器
【校园网络安全设计方案(18篇)】相关文章:
