網(wǎng)絡安全設計方案

1、網(wǎng)絡安全設計方案1、網(wǎng)絡安全設計1.1教職工宿舍網(wǎng)絡安全需求分析1.1.1網(wǎng)絡病毒的防范病毒產(chǎn)生的原因：教職工宿舍區(qū)域網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會 有很 多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候， 通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感 染上病 毒，當某個用戶的主機感染上病毒的時候他會將病毒發(fā)送到服務器。病毒對校園網(wǎng)的影響:職丄宿舍網(wǎng)絡千兆、口兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包 所消耗，用戶正常的網(wǎng)絡訪問得不到響應，日常娛樂辦公等功能不能使用；資源庫、 VOD不能點播；Internet上不了等。1. 12防止IP、MA

2、C地址的盜用IP、MAC地址的盜用的原因：教職工宿舍區(qū)域網(wǎng)采用靜態(tài)IP地址方案，如果缺 乏 有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項 中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地 址，會引起 多方?jīng)_突，如果與網(wǎng)關地址沖突，同一網(wǎng)段內的所有用戶都不能使用網(wǎng)絡;如果惡意用 戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入 惡意用戶的手中， 造成ARP欺騙攻擊。IP MAC地址的盜用對教職工宿舍區(qū)域網(wǎng)的影響:在用戶看來，教職工宿舍區(qū)網(wǎng)絡 是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致 了用

3、戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦 上會經(jīng)常彈出MAC地址沖突的對話框。山于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，用戶對教職工宿舍區(qū) 域網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱。1. 1. 3各種網(wǎng)絡攻擊的有效屏蔽教職工宿舍區(qū)域網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOODSYN FLOODDOS攻擊、掃描 攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交 換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂1網(wǎng)絡的正常運行，降低了區(qū)域網(wǎng)的效率。1. 2教職工宿舍區(qū)域網(wǎng)網(wǎng)絡安全方案設訃

4、思想PC女主性UNb；安全悝次性入網(wǎng)urns加掙Ha湖欝孔殊族網(wǎng)1.2.1安全到邊緣的設汁思想用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入 網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無疑是達到更好的效果。1.2.2全局安全的設計思想2銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全，安全不是某一個設備的事情，應 該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡，最 終從全局的角度把控網(wǎng)絡安全。1. 2. 3全程安全的設計思想用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問網(wǎng)絡的時候、訪問 網(wǎng)絡后。對著每一個階段，都應該有嚴格的安全控制措施

5、。13教職工宿舍區(qū)域網(wǎng)網(wǎng)絡 安全方案Serwr我們結合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現(xiàn)網(wǎng)絡 安全:事前的準確身份認證、事中的實時處理、事后的完整審計。1.3. 1事前的身份認 證對于每一個需要訪問網(wǎng)絡的用戶，需要對其身份進行驗證，身份驗證信息包括用戶 的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換 機的IP 地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以 上信息的綁定，可以達到如下的效果：每一個用戶的身份在整個區(qū)域網(wǎng)中是唯一，避免了個人信息被盜用。當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地

6、址，就可以準 確定位到該用戶，便于事情的處理。只有經(jīng)過網(wǎng)絡中心授權的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入,這也切斷了惡意用戶企圖向區(qū)域網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。1.3.2網(wǎng)絡 攻擊的防范(1) 常見網(wǎng)絡病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展 的ACL,能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶 不小心感染 上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了區(qū)域網(wǎng)網(wǎng)絡帶寬的合理 使用。(2) 未知網(wǎng)絡病毒的防范對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為 不同 的網(wǎng)絡應用分配不同的網(wǎng)絡帶

7、寬，保證了關鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流 有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證 了網(wǎng)絡的高可用性。(3) 防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否 和端口安全規(guī)則一致，如果不一致，視為更改了 IP地址，所有的數(shù)據(jù)包都不 能進入網(wǎng) 絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關 鍵設備的 IP(如服務器)，造成網(wǎng)絡通訊混亂。(4) 防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定(只需簡單的一個命令就可以實 現(xiàn))。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通 過假冒源 I