校园网网络安全设计案例.docx
- 文档编号:24772589
- 上传时间:2023-06-01
- 格式:DOCX
- 页数:19
- 大小:418.71KB
校园网网络安全设计案例.docx
《校园网网络安全设计案例.docx》由会员分享,可在线阅读,更多相关《校园网网络安全设计案例.docx(19页珍藏版)》请在冰豆网上搜索。
校园网网络安全设计案例
第一章网络的介绍
一.网络实现的功能
1.1.1校园网应提供如下功能:
(1)连接校内所有教学楼、实验室、办公楼中的PC。
(2)同时支持约600用户浏览Internet。
(3)提供丰富的网络服务,实现广泛的软件,硬件资源共享,包括:
(A)提供基本的Internet网络服务功能:
如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。
(B)提供校内各个管理机构的办公自动化:
提供财务查询,报账服务。
提供受存取权控制的文件、档案查询服务。
提供贵重设备仪器及其它设备信息的管理服务。
提供各学科专业资料数据库服务。
提供学校自己的管理信息系统(MIS)。
(C)提供图书,文献查询与检索服务,增强校图书馆信息自动化能力。
(D)全校共享软件库服务,避免重复投资,发挥最大效益。
(E)提供CAI教学和科研的便利条件。
(F)经广域网接口,提供国内外计算机系统的互连,为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。
1.1.2校园网对主机系统的主要要求:
主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;
主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
支持通用大型数据库,如SQL、Oracle等;
具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
能与Internet互联,可提供互联网的应用,如WWW浏览服务、FTP文件传输服务、E-mail电子邮件服务、NEWS新闻组讨论等服务;
支持SNMP网络管理协议,具有良好的可管理性和可维护性;
1.1.3校园网络系统设计方案应满足如下要求:
网络方案应采用成熟的技术,并尽可能采用先进的技术;
采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品;
方案应合理分配带宽,使用户不受网上“塞车”的影响;
应充分考虑未来可能的应用,如桌面将承受大型应用软件和多媒体传输需求的压力;
该网络方案要具有高扩展性。
能为用户未来数目的扩展具有调整、扩充的手段和方法;
该网络应是面向连接的,能够实现虚拟网(VLAN)连接;
考虑对用户现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用
价值;
1.1.4校园网对网络设备的要求:
高性能;所有网络设备都应足够的吞吐量;
高可靠性和高可用性;应考虑多种容错技术;
可管理性;所有网络设备均可用适当的网管软件进行监控、管理和设置;
采用国际统一的标准;
1.1.5系统集成所共同遵循的设计原则:
本着实用的原则,尽量使用成熟先进的平台软件,以缩短教学课件的开发周期;
采用分布式的结构,以便于开发和维护;
采用集群解决方案,以保证连续工作;
为保证网络速度而采用高的带宽;
追求最高的性能价格比。
1.1.6系统集成所共同追求的设计目标:
建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP等网络管理协议;
采用Internet上的标准协议--TCP/IP协议,提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务,实现与国际互联网的完全接轨;
同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;
采用模块化结构设计,容易升级;
最后,它还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。
二.网络规划
2.1目前各主流网络结构概述
2.1.1以太网和快速以太网:
快速以太网实际上是10Mbps以太网的100Mbps版本,所以它的运行速度要比10Mbps以太网快十倍。
在用户已经很熟悉传统以太网的情况下,快速以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供高带宽的共享式网络或主干连接,同时也可以应用在交换式环境下,提供优异的服务质量(QoS)。
快速以太网与传统的以太网技术相似,毋庸赘言,此外它还具备以下优点:
①快速以太网和普通以太网同样遵循CSMA/CD协议,现有的10BaseT网络设备可以相当简便地升级到快速以太网,保护用户原有的投资,与其它新型网络技术相比,更方便地使现有的10MbpsLAN无缝连接到100MbpsLAN上。
②100BaseT集线器和网络接口卡,只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。
因此,100BaseT具备较高的性能价格比。
③快速以太网(100BaseT)已得到IEEE任命标准为802.3u,并得到了所有的主流网络厂商的支持。
2.1.3千兆以太网技术
千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。
IEEE已批准千兆位以太网工程IEEE802.3z。
千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。
最初的以太网规范由帧格式定义,且支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目,千兆位以太网将使用所有这些规范。
总之,千兆位以太网和管理员以前使用和了解的以太网相同,所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性,而且和日益增强的服务器和台式计算机的功能相匹配。
我们可以看到主干和各网段及桌面已实现了无缝结合,网络管理变得不再让用户望而生畏。
2.2网络总体规划:
综上所述,我建议采用千兆位以太网网络方案,理由如下:
对于主干应用程序,ATM仍有吸引力,特别是对于那些和未来ATMWAN服务匹配的应用程序和WAN的访问集成。
ATM使用定长的信元交换,按不同的速率传输数据、图像、语音,在广域网领域,ATM都具有极强的优越性。
对于需要专有服务质量(QoS)特征,如:
医学图象的高速传递,ATM是适合的。
由于千兆位以太网为带宽的需求而包括了一个改进措施:
在链路层中采用快速光纤连接方式。
使得它对电视会议、复杂图象和其它高数据密度的应用程序的数据传递速率为100M以太网的十倍。
同时千兆位以太网是最为普及的网络体系结构,由于以太网在80年代初出现,并迅速地得到发展,使其它的网络连接如TokenRing(令牌环)和ATM都黯然失色。
千兆位以太网在利用用户熟悉性的同时,由于其与以太网的匹配性,使之能保留在管理员专业技能方面和支持培训方面的投资,而没有必要购买新的协议或投资新的中继设备。
正如100M提供的低价位、逐步从10M以太网升级一样,千兆位以太网将使网络自然地升级到1000M的带宽。
千兆以太网宽的带宽还帮助改善了QoS,规范化迟滞时间来把视频抖动和音频迟滞降到最低。
以前,ATM是唯一一种能实现任何种类QoS的可靠途径。
但是现在,千兆位以太网迅速根除了这个差距,并且具有多得多的经济性、向上兼容性和与其它技术的协调性。
由于以上这些原因,英特尔公司认为在不久的将来,ATM仍会在WAN等级的互连网上应用。
ATM不会大规模的在台式计算机或工作组级应用,这是因为ATM要求对网络端口硬件、软件以及管理协议的彻底更换。
而且ATM也比以太网要贵。
我司认为使用ATM可能会给学校网络管理人员带来以下的障碍:
费用——远高于千兆位以太网解决方案风险——标准,产品和管理策略仍在变动复杂性——新的技术,培训费用昂贵维护费用——需要软件来作为一个路径运行于以太网LAN和ATM网络之间我们想通过下面的二组表格对两种技术就目前的现况做出全面的比较。
以上的比较表明——千兆以太网以许多方式发送最初期望ATM实现的优点,而且可以容易的、经济的多地执行。
三.网络设计方案
3.1校园网拓朴结构的总体描述
我们对本校园网的主干网络设备的选择初步确定如下(见附图一):
网络建设将采用新型的背板堆叠技术,根据功能区划分由IntelExpress510T交换机组成4-6个交换机组。
适当的分配堆叠数量,提供600个100M交换端口,所有工作站都通过100M网卡连接到交换机组上,使100M交换到桌面。
交换机组采用GB2模块与IntelExpressGigabitSwitch千兆交换机相连。
这样,在交换机组之间可达到1000M的带宽,而同一交换机组内部可达到最高15Gbps的带宽。
中心计算机房的Web服务器、E-mail服务器、文件服务器、影视服务器等设备直接与1000M交换机上的100M以太网模块连接。
与Internet的连接采用一台IntelExpress9100Routers路由器,通过DDN线路与Internet相连。
在不改变网络技术情况下的扩展方式:
随着网络流量的增加,主干网上1000M交换机的带宽压力不断提高。
这时我们可以采用IntelExpressGigabitSwitch交换机特有的冗余连接特性,增加一台1000M交换机。
并在这两个1000M交换机之间建立多条连接。
这样不仅提供了更大的带宽(最高可达32Gbps),同时又增强了主干网段的连接刚性,还增加了更多的1000M交换端口,为以后增加更多的服务设备提供了良好的扩充余地。
考虑未来ATM应用的增加,以及ATM网与现有以太网的无缝连接,分期分批的进行ATM技术的应用:
1.ATM向桌面扩展—若干需要基于ATM应用—如视频会议—的PC,以ATM工作组交换机互连,如:
FORERUNNERLE25。
利用其155M上联端口,与Intel500系列交换机OC-3ATM上联模块连接,利用局域网仿真技术,ATM网与原有以太网平滑连接
2.建立ATM主干网—未来随着网络中多媒体应用的大量增加,以及考虑到与第二代Internet(以ATM交换设备作为通信主干)的连接,将网络主干升级为双主干,现有网络设备可通过OC-3ATM上联模块与主干ATM中心交换机—如FOREESX-3000交换机—连接。
原有Intel千兆交换机与ATM主干交换机上的以太网模块连接,建立主干交换机之间的冗余通道。
大量多种类型的数据通信以FOREESX-3000交换机与Intel千兆交换机的强大背板作为支持,并且将多媒体的应用扩展到所有桌面PC建立ATM主干网.
3.2校园网采用的协议标准
本校园网以TCP/IP为主要协议,因为TCP/IP协议簇是美国国防部门制定的一套计算机网络协议,是目前众多计算机网络最流行的协议,以它为基础组建的Internet网是目前国际上规模最大的计算机网间网,它虽不是国际标准,但却是一种事实上的工业标准协议,采用TCP/IP为网络主要协议,可保证与ChinaNET和Internet保持一致,还可支持IPX,DECNET等其它协议。
真正实现于国际互联网的无缝连接。
从计算机网络通讯的观点来看,TCP/IP网络实质上可称为IP网络,它是由许多IP网关(或称为IP路由器)通过若干直接连通的通信线路(点到点通信)形成一个计算机通信网络。
在IP网点上再接入主机,子网便构成一个互联的计算机网络,这些安装了TCP/IP的各类计算机间需要通信时,它就不再要求设置协议转换开关,而且主要的网络服务都可建立在TCP/IP服务器上。
3.3校园网采用的网络操作系统
本校园网的网络操作系统以MicrosoftWindowsServer2003为主,它是发展速度最快的集成了Web应用的网络操作系统。
具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。
并拥有大量的基于NT的服务端软件,是Intranet网络中最佳的网络操作系统平台。
第二章网络安全分析
一.校园网络安全
1.1校园网存在的问题
校园网络都是借助主干通信网,将各地的分部门和总部连接,同时与Internet互联。
这就存在着以下几方面的网络安全问题:
总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。
总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏。
来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
二.网络安全方案的分类
2.1基础结构安全
主要包括:
操作系统选择和问题规避;帐号设置、口令强度、网络参数、文件监测保护在现实运作中,密码系统已经非常完善,标准的DES、RSA和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议,这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上,仍然有很多可被攻击的入口。
很多网络安全中的问题集中在操作系统的缺陷上。
Unix及类Unix操作系统是在Internet中非常普遍的操作系统,主要用于网络服务。
它的源代码是公开的,所以在很多场合下使用者可以定制自己的Unix,操作系统,使它更适合网络相关的服务要求。
由于网络协议是独立与操作系统的,它的体系结构与操作系统端是无关的,网络协议所存在的安全隐患也是独立于操作系统来修正的。
2.2 管理安全
安全管理是网络必须考虑的,主要包括:
权限管理,单点登录,安全管理中心等。
管理的技术手段很多,通过采用加强身份确认的方法获得网上资源控制权如智能IC身份卡,提供安全的远程接入手段;采用虚拟专网技术如网络保密机解决数据在公网传输的安全性;安全邮件和安全Web服务器也是一类重要的安全产品。
然而,对一个具体的网络系统,我们在安全风险评估确定合适的安全需求后,从技术上讲可以架构一个满足基本要求的安全设备平台。
但是发生最频繁的安全威胁实际上是非技术因素,安全管理漏洞和疏忽才是最大的安全隐患。
只有把安全管理制度与安全管理技术手段结合起来,这个网络信息系统的安全性才有保障。
因此,采用集中统一的管理策略,以技术手段实现非技术的安全管理,主要由安全管理中心实现。
2.3边界安全
校园网络与外界的边界划分是否科学?
IT系统与外界、内部关键部门之间是否安全隔离?
这都属于边界安全范围。
可以在关心的实体之间安装防火墙产品和攻击检测软件,来加强边界安全,实施攻击防御方案。
关于防火墙技术的使用成功与否对网络的安全有决定性作用,对此我们进行主要讨论
2.3.1防火墙的概念
当一个网络,接入Internet以后,而系统的安全性除了考虑病毒、系统的健壮性之外,更主要的防止非法用户的入侵。
而目前防制措施主要是靠防火墙技术完成。
防火墙是指由一个软件和硬件设备组合而成,处于网络群体计算机与外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。
实际上防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。
一方面对可信赖的报文和应用请求允许通过,另一方面对有害的或可疑的报文禁止其通过。
防火墙具有使用简便,高速、逻辑漏洞少等特点。
2.3.2防火墙在网络中的位置
为了达到对网络数据传输进行监视的目的,防火墙一般位于局域网和广域网之间或局域网与局域网之间。
防火墙位于局域网和广域网之间,如图。
在这种情况之下,防火墙的主要作用是允许局域网内的用户访问Internet,如浏览WWW网站,收发E-mail,并且禁止来自于Internet上的未知用户闯入局网进行破坏或窃取机密信息。
防火墙在局域网与局域网之间,如图:
在这种情况下,防火墙的作用是允许公用信息在两个网络中传输,保证每个网段的私有信息不被对方访问。
可以看出无论哪一种形式,防火墙都是数据报文进出网络的必经之路,这样才能保证防火墙对网络的监视保护作用。
2.3.3防火墙的分类
2.3.3.1按防火墙在网络中所起的作用,防火墙可以分成两种,一种是与路由设备合二为一,通常为过滤路由器或是网关主机防火墙,另一种叫做堡垒主机式防火墙,它不具有路由功能。
过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能,是网络中的第一道防线。
因为它具有路由的功能,所以它的安全性较差。
堡垒主机式防火墙是网络中最为重要的安全设备,通常以桥接的方式安装在路由器和网络之间,它的唯一作用是保证网络的安全使用,这种防火墙在网络中的具体位置如图。
第三章网络安全设计原则
一.网络安全设计应遵循的思想
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。
二.网络安全设计应遵循设计原则:
2.1满足Internet分级管理需求:
根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。
第一级:
中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。
第二级:
部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。
第三级:
终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。
2.2需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
2.3综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
一个计算机网络,包括个人、设备、软件、数据等。
这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。
即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2.4可用性原则
安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。
其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。
分步实施原则:
分级管理分步实施
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。
一劳永逸地解决网络安全问题是不现实的。
同时由于实施信息安全措施需相当的费用支出。
因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
第四章网络安全实施方案
一.网络安全的需求
确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。
一般来讲,校园网网络信息系统需要解决如下安全问题:
局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现在连接Internet时,如何在网络层实现安全性应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的安全保密性。
加密系统如何布置,包括建立证书管理中心、应用系统集成加密等。
如何实现远程访问的安全性。
如何评价网络系统的整体安全性。
基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:
访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。
二.网络安全层次及安全措施
3.1链路安全
链路安全保护措施主要是链路加密设备,如各种链路加密机。
它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。
加密后的数据不能进行路由交换。
因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。
一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。
异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。
3.2网络安全
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。
也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。
利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
3.3信息系统的安全
信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。
动态发展是系统安全的规律。
网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。
3.4网络安全检测
网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。
3.5入侵检测系统
入侵检测系统是实时网络违规自动识别和响应系统。
它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。
当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。
三.网络安全解决方案
3.1基本防护体系(包过滤防火墙+NAT+计费)
用户需求:
全部或部分满足以下各项·解决内外网络边界安全,防止外部攻击,保护内部网络·解决内部网安全问题,隔离内部不同网段,建立VLAN·根据IP地址、协议类型、端口进行过滤·内外网络采用两套IP地址,需要网络地址转换NAT功能·支持安全服务器网络SSN·通过IP地址与MAC地址对应防止IP欺骗·基于IP地址计费·基于IP地址的流量统计与限制·基于IP地址的黑白名单。
·防火墙运行在安全操作系统之上·防火墙为独立硬件·防火墙无IP地址解决方案:
采用网络卫士防火墙PLFW1000
3.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)
用户需求:
在基本防护体系配置的基础之上,全部或部分满足以下各项·提供应用代理服务,隔离内外网络·用户身份鉴别·权限控制·基于用户计费·基于用户的流量统计与控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保护能力,防范对防火墙的常见攻击
解决方案:
(1)选用网络卫士防火墙PLFW2000
(2)防火墙基本配置+网络加密机(IP协议加密机)
3.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控)用户需求:
在标准防护体系配置的基础之上,全部或部分满足以下各项·网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备)·操作系统安全性检测·网络监控与入侵检测
解决方案:
选用网络卫士防火墙PLFW2000+网络安全分析系统+网络监控器
第五章网络安全方案实现的功能及不足
一.实现的功能
1.1Internet分级管理
校园网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 网络安全 设计 案例