校园网网络安全方案设计.docx
- 文档编号:28510377
- 上传时间:2023-07-18
- 格式:DOCX
- 页数:16
- 大小:28.21KB
校园网网络安全方案设计.docx
《校园网网络安全方案设计.docx》由会员分享,可在线阅读,更多相关《校园网网络安全方案设计.docx(16页珍藏版)》请在冰豆网上搜索。
校园网网络安全方案设计
第一章校园网安全隐患分析(3
1.1校园内网安全分析(3
1.1.1软件层次安全(3
1.1.2设备物理安全(3
1.1.3设备配置安全(3
1.1.4管理层次安全(4
1.1.5无线局域网安全威胁(4
1.2校园外网安全分析(5
1.2.1黑客攻击(5
1.2.2不良信息传播(6
1.2.3病毒危害(6
第二章设计简介及设计方案论述(7
2.1校园网安全措施(7
2.1.1防火墙(7
2.1.2防病毒(8
2.1.3无线网络安全措施(10
2.2H3C无线校园网安全策略(12
2.2.1可靠加密和认证、设备管理(12
2.2.2用户和组安全配置(12
2.2.3非法接入检测和隔离(13
2.2.4监视和告警(14
第三章详细设计(15
3.1ISA软件防火墙配置(15
3.1.1基本配置(16
3.1.2限制学校用机上网(16
3.1.3检测外部攻击及入侵(16
3.1.4校园网信息过滤配置(17
3.1.5网络流量监控(17
3.1.6无线局域网安全技术(17
3.2物理地址(MAC过滤(18
3.2.1服务集标识符(SSID匹配(18
3.2.2端口访问控制技术和可扩展认证协议(20
第一章校园网安全隐患分析
1.1校园内网安全分析
1.1.1软件层次安全
目前使用软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。
现在网络服务器安装操作系统有UNIX、WindowsNTP2000、Linux等,这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛普及,加上其自身安全漏洞较多,因此,导致它成为较不安全操作系统。
在一段时期、冲击波病毒比较盛行,冲击波这个利用微软RPC漏洞进行传播蠕虫病毒至少攻击了全球80%Windows用户,使他们计算机无法工作并反复重启,该病毒还引发了DoS攻击,使多个国家互联网也受到相当影响。
1.1.2设备物理安全
设备物理安全主要是指对网络硬件设备破坏。
网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。
个别人可能出于各种目,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。
1.1.3设备配置安全
设备配置安全是指在设备上要进行必要一些设置(如服务器、交换机、防火墙、路由器密码等,防止黑客取得硬件设备控制权。
许多网管往往由于
没有在服务器、路由器、防火墙或可网管交换机上设置必要密码或密码设置得过于简单,导致一些略懂或精通网络设备管理技术人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备控制权,然后肆意更改这些设备配置,严重时甚至会导致整个校园网络瘫痪。
1.1.4管理层次安全
一个健全安全体系,实际上应该体现是“三分技术、七分管理”,网络整体安全不是仅仅依赖使用各种技术先进安全设备就可以实现,更重要是体现在对人、对设备安全管理以及一套行之有效安全管理制度,尤其重要是加强对内部人员管理和约束,由于内部人员对网络结构、模式都比较了解,若不加强管理,一旦有人出于某种目破坏网络,后果将不堪设想。
IP地址盗用、滥用是校园网必须加强管理方面,特别是学生区、机房等。
IP配置不当也会造成部分区域网络不通。
如在学生学习机房,有学生不甚将自己计算机IP地址设置为本网段网关地址,这会导致整个学生机房无法正常访问外网。
1.1.5无线局域网安全威胁
利用WLAN进行通信必须具有较高通信保密能力。
对于现有WLAN产品,它安全隐患主要有以下几点:
XX使用网络服务
由于无线局域网开放式访问方式,非法用户可以XX而擅自使用网络资源,不仅会占用宝贵无线信道资源,增加带宽费用,还会降低合法用户服
务质量。
地址欺骗和会话拦截
目前有很多种无线局域网安全技术,包括物理地址(MAC过滤、服务集标识符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-FiProtectedAccess、IEEE802.11i等。
面对如此多安全技术,应该选择哪些技术来解决无线局域网安全问题,才能满足用户对安全性要求。
在无线环境中,非法用户通过侦听等手段获得网络中合法站点MAC地址比有线环境中要容易得多,这些合法MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户鉴别身份信息,通过会话拦截实现网络入侵。
这些合法MAC地址可以被用来进行恶意攻击。
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统起点。
多数学校部署WLAN都在防火墙之后,这样WLAN安全隐患就会成为整个安全系统漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
1.2校园外网安全分析
1.2.1黑客攻击
有校园网同时及CERNET、Internet相连,有通过CERNET及Internet相连,在享受Internet方便快捷同时,也面临着遭遇攻击风险。
黑客攻击活动日益猖獗,成为当今社会关注焦点。
典型黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙攻击、木马程序攻击、后门攻击等。
黑客攻击不仅来自校园外网,还有相当一部分来自校园网内部,由于内部用户对网络结
构和应用模式都比较了解,因此来自内部安全威胁会更大一些。
1.2.2不良信息传播
在校园网接入Internet后,师生都可以通过校园网络进入Internet。
目前Internet上各种信息良莠不齐,其中有些不良信息违反人类道德标准和有关法律法规,对人生观、世界观正在形成中学生危害非常大。
特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生心灵。
1.2.3病毒危害
学校接入广域网后,给大家带来方便同时,也为病毒进入学校之门提供了方便,下载程序、电子邮件都可能带有病毒。
随着校园内计算机应用大范围普及,接入校园网节点数量日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。
第二章设计简介及设计方案论述
2.1校园网安全措施
2.1.1防火墙
网络信息系统安全应该是一个动态发展过程,应该是一种检测,安全,响应循环过程。
动态发展是网络系统安全规律。
网络安全监控和入侵检测产品正是实现这一目标必不可少环节。
网络监控系统是实时网络自动违规、入侵识别和响应系统。
它位于有敏感数据需要保护网络上,通过实时截获网络数据流,寻找网络违规模式和未授权网络访问尝试。
当发现网络违规模式和未授权网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义安全策略等。
1系统组成
网络卫士监控器:
一台,硬件
监控系统软件:
一套
PC机(1台,用于运行监控系统软件
2主要功能
实时网络数据流跟踪、采集及还原网络监控系统运行于有敏感数据需要保护网络之上,实时监视网络上数据流,分析网络通讯会话轨迹。
如:
E-MAIL:
监视特定用户或特定地址发出、收到邮件;记录邮件源及目IP地址、邮件发信人及收信人、邮件收发时间等。
HTTP:
监视和记录用户对基于Web方式提供网络服务访问操作过程(如用户名、口令等。
FTP:
监视和记录访问FTP服务器过程(IP地址、文件名、口令等。
TELNET:
监视和记录对某特定地址主机进行远程登录操作过程。
提供智能化网络安全审计方案网络监控系统能够对大量网络数据进行分析处理和过滤,生成按用户策略筛选网络日志,大大减少了需要人工处理日志数据,使系统更有效。
支持用户自定义网络安全策略和网络安全事件
3主要技术特点
采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传输效率。
可采用集中管理分布式工作方式,能够远程监控。
可以对每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。
网络监控系统能进行运行状态实时监测,远程启停管理。
2.1.2防病毒
为了有效防止病毒对系统侵入,必须在系统中安装防病毒软件,并指定严格管理制度,保护系统安全性。
1应用状况
一台专用服务器(NTSERVER、一台代理邮件服务器(NTSERVER&PROXYSERVER,ExchangeServer,一台,一台数据库SERVER,100-200台客户机。
2系统要求
能防止通过PROXYSERVER从Internet下载文件或收发E-mail内隐藏病毒,并对本地局域网防护作用。
3解决方案
采用防病毒产品如表2-1所示。
表2-1防病毒产品清单
所需软件名称安装场所数量保护对象
ServerProtectforNTServerNTServer每台NTServer一
套
NTSERVER本身
InterScanWebProtectProxyServer按客户机数量HTTPFTP、用浏览器
下开载程序
ScanMailforExchangeServerExchangeSer
ver
按客户机数量有E-Mail用户
OfficeScancorp各部门NT
域服务器按客户机数量自动分发、更新、实
时监察客户机
以下是选用以上Trend公司产品说明:
在NT主域控制器和备份域上均采用ServerProtecforWindowsNT保护NT服务器免受病毒侵害。
另鉴于客户有100-200台客户机,客户端病毒软件安装和病毒码更新等工作,造成MIS人员管理上超负荷,因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件分派(自动安装,自动更新病毒码、软件自动升级。
另外在外接Internet和邮件服务器上,采用
InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒软件。
设计理念是,在电脑病毒入侵企业内部网络入口处-Internet服务器或网关(Gateway上安装此软件,它可以随时监控网关中ETP、电子邮件传输和Web网页所下载病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。
2.1.3无线网络安全措施
针对校园应用安全解决方案,从校园用户角度而言,随着无线网络应用推进,管理员需要更加注重无线网络安全问题,针对不同用户需求,H3C提出一系列不同级别无线安全技术策略,从传统WEP加密到IEEE802.11i,从MAC地址过滤到IEEE802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别安全需求。
对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业管理人员,对网络安全性要求相对较低。
通常情况下不会配备专用认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本安全级别。
在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡数量必将大大增加,同时由于使用用户较多,安全隐患也相应增加,此时简单WPA-PSK已经不能满足此类用户需求。
如表中所示中级安全方案使用支持IEEE802.1x认证技术AP作为无线网络安全核心,使用H3C虚拟专用组(VertualPrivateGroup管理器功能并通过后台Radius服务
器进行用户身份验证,有效地阻止XX用户接入,并可对用户权限进行区分。
如果应用无线网络构建校园办公网络,此时无线网络上承载是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。
如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵问题,对于无线业务网络来说是不可以接受。
专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(VPG管理器功能、IEEE802.11i加密、Radius用户认证确保高安全性。
具体安全划分及技术方案选择如表2-2所示。
表2-2安全划分及技术方法选择
安全级别典型场合使用技术
初级安全办公室局部无线用户WPA-PSK+AP隐藏
中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管
理
专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络安全性和保证不同厂家之间无线安全技术兼容,IEEE802.11工作组开发了作为新安全标准IEEE802.11i,并且致力于从长远角度考虑解决IEEE802.11无线局域网安全问题。
IEEE802.11i标准中主要包含加密技术:
TKIP(TemporalKeyIntegrityProtocol和AES(AdvancedEncryptionStandard,以及认证协议:
IEEE802.1x。
IEEE802.11i标准已在2004年6月24美国新泽西IEEE标准会议上正式获得批准。
2.2H3C无线校园网安全策略
针对目前无线校园网应用中种种安全隐患,H3C无线局域网产品体系能够提供强有力安全特性,除了传统无线局域网中安全策略之外,还能够提供更加精细管理措施。
2.2.1可靠加密和认证、设备管理
能够支持目前802.11小组所提出全部加密方式,包括高级WPA256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPATKIP,特有128位动态安全链路加密,动态会话密钥管理。
802.1x认证使用802.1xRADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPATKIP认证采用EAP-MD5,EAP-TLS和PEAP协议,扩展证书认证功能更加保证用户身份严格鉴定。
支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSHv2或Telnet远程管理命令行界面;并可通过无线局域网管理系统进行集中管理。
2.2.2用户和组安全配置
和传统无线局域网安全措施一样,H3C无线网络可以依靠物理地址(MAC过滤、服务集标识符(SSID匹配、访问控制列表(ACL来提供对无线客户端初始过滤,只允许指定无线终端可以连接AP。
同时,传统无线网络也存在它不足之处。
首先,它安全策略依赖于连接到某个网络位置设备上特定端口,对物理端口和设备依赖是网络工程基
础。
例如,子网、ACL以及服务等级(CoS在路由器和交换机端口上定义,需要通过台式机MAC地址来管理用户连接。
H3C采用基于身份组网功能,可提供增强用户和组安全策略,针对特殊要求创建虚拟专用组(VertualPrivateGroup,VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。
并且,H3C无线网络可以对无线局域网进行前所未有控制和观察,监视工具甚至可以跟踪深入到个人信息(无论他位置在哪里,网络标识基于用户而不是基于物理端口或位置。
其次,H3C无线网络简化了SSID支持,不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格授权策略。
大量可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置和识别用户身份。
此外,使用H3C虚拟专用组(VertualPrivateGroup管理器功能,可以为用户和组分配特定安全和访问策略,从而获得最大灵活性,同时增强网络安全性并显著缩短管理时间。
用户不仅可更改单个用户设置,还可以只通过简单几次击键操作即可从中央管理控制台方便地配置相似用户组、AP组,而不必逐个配置AP。
2.2.3非法接入检测和隔离
H3C无线网络可自动执行AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络能见度。
非法AP通过引入更多流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害垃圾邮件、病毒或蠕虫。
任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。
为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。
AP射频扫描程序还会检测并调整引起射频干扰其他来源,例如微波炉和无绳电话。
并且,射频监测配合基于用户身份组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
2.2.4监视和告警
H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络安全性并优化网络,甚至还可以定位用户。
网络管理应用程序针对当今动态业务而设计,它提供了配置更改自动告警功能。
向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。
通过使用软件移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源位置。
此外,位置策略能够根据用户位置来阻止或允许对特殊应用程序访问。
第三章详细设计
网络安全系统规划是一个系统建立和优化过程,建设网络根本目是在Internet上进行资源共享及通信。
要充分发挥投资网络效益,需求设计成为网络规划建设中重要内容,网络平台中主要有针对学校建筑群而设计出拓扑图,有互联网设备(主交换机、路由器、二级交换机、服务器等。
校园内部网络采用共享或者交换式以太网,选择中国科研教育网接入Internet,校际之间通过国际互联网方式互相连接。
同时采取相应措施,确保通讯数据安全、保密。
另外为了防止这个校区内病毒传播、感染和破坏,我们在校园网内可能感染和传播病毒地方采取相应防毒措施,部署防毒组件,规划如下:
在学校服务上安装服务器端杀毒软件;在行政、教学单位各个分支分别安装客户端杀毒软件;学校网络中心负责整个校园网升级工作,分发杀毒软件升级文件(包括病毒定义码、扫描引擎、程序文件等到校内所有用机,并对杀毒软件网络版进行更新。
3.1ISA软件防火墙配置
校园网内软件防火墙采用ISAServe,之所以采用防火墙,是因为ISAServer是一种新型应用层防火墙,避免服务弱点及漏洞攻击,同时支持VPN功能及充当Web代理服务器,并能提供详细日志报告。
安装示意图如图3-1所示。
图3-1ISA安装示意图
3.1.1基本配置
通过ISAServe中ISAManagement项中Services标签,启动集成模式中三个服务,就可以使用ISA所有默认功能。
同时须打开IPRouting功能、访问权限功能、访问策略功能、统一管理等。
3.1.2限制学校用机上网
首先要定义组,通过在ISAServer软件防火墙ClientAddressSets标签中新建一个组名标识,按照机房用机IP地址范围进行添加,在ProtocolRules中选中协议规则后切换到Appliesto标签,选中ClientAddressSetsspecifiedbelow,加入设定组即可。
这样就可以先知学校其他用机随意上网。
3.1.3检测外部攻击及入侵
可以通过配置ISAServer来监测常见校园网络攻击。
在ISAServe中启用入侵检测后,ISAServer一检测到攻击,就会向Windows2000事件日志中发消息。
要启用ISAServer入侵检测功能,应在ISAServer管理窗口中选择
服务器名称中IPPacketFiltersProperties选项,勾选EnableIntrusiondetection,即打开ISAServer入侵检查功能。
3.1.4校园网信息过滤配置
校园网中拟采用“过滤王”来实现有效过滤反动、色情、邪教等有害校园氛围信息,硬件配置包括一个读卡器、一张软件光盘和若干上网卡。
“过滤王”主要负责监控、过滤、记录相应日志(加密并适时向网络中心上传数据。
在软件管理终端,管理员选择“类别”和“记录日期”,点击“查看按钮”,就可以查看网络日志和操作日志,此外,安装“过滤王”软件终端程序包括核心和控制台两部分,核心程序安装在中心交换机以及学校机房代理服务器上,在监控网卡列表中选测内网网卡,进行通信网卡也指定为内网网卡即可。
将控制台程序安装在服务器机房上应用服务器上,操作系统安装为Win2000。
安装完成后,控制台程序所在服务器IP地址就是安装核心程序中心交换机IP。
3.1.5网络流量监控
STARVIEW在网络初步异常情况下,能进一步查看网络中详细流量,从而为网络故障定位提供丰富数据支持。
3.1.6无线局域网安全技术
通常网络安全性主要体现在访问控制和数据加密两个方面。
访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送数据只能被所期望用户所接收和理解。
3.2物理地址(MAC过滤
每个无线客户端网卡都由唯一48位物理地址(MAC标识,可在AP中手工维护一组允许访问MAC地址列表,实现物理地址过滤。
这种方法效率会随着终端数目增加而降低,而且非法用户通过网络侦听就可获得合法MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户MAC地址来非法接入,如图3-2所示。
图3-2MAC地址过滤图
3.2.1服务集标识符(SSID匹配
无线客户端必须设置及无线访问点AP相同SSID,才能访问AP;如果出示SSID及APSSID不同,那么AP将拒绝它通过本服务集上网。
利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来安全和访问性能问题。
可以通过设置隐藏接入点(AP及SSID权限控制来达到保密目,因此可以认为SSID是一个简单口令,通过提供口令认证机制,实现一定安全,具体服务集标识匹配如图3-3所示。
图3-3服务集标识匹配
在IEEE802.11中,定义了WEP来对无线传送数据进行加密,WEP核心是采用RC4算法。
在标准中,加密密钥长度有64位和128位两种。
其中有24BitIV是由系统产生,需要在AP和Station上配置密钥就只有40位或104位,加密原理如图3-4所示。
图3-4WEP加密原理图
WEP加密原理如下:
1、AP先产生一个IV,将其同密钥串接(IV在前作为WEPSeed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV长度密钥序列;
2、计算待加密MPDU数据校验值ICV,将其串接在MPDU之后;
3、将上述两步结果按位异或生成加密数据;
4、加密数据前面有四个字节,存放IV和KeyID,IV占前三个字节,KeyID在第四字节高两位,其余位置0;如果使用Key-mappingKey,则KeyID为0,如果使用DefaultKey,则KeyID为密钥索引(0-3其中之一。
3.2.2端口访问控制技术和可扩展认证协议
IEEE802.1x并不是专为WLAN设计。
它是一种基于端口访问控制技术。
该技术也是用于无线局域网一种增强网络安全解决方案。
当无线工作站STA及无线访问点AP关联后,是否可以使用AP服务要取决于802.1x认证结果。
如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络,具体原理如图3-5所示。
图3-5802.1x端口控制
在具有802.1x认证功能无线网络系统中,当一个WLAN用户需要对网络资源
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 网络安全 方案设计