智慧校園網(wǎng)絡(luò)安全等保設(shè)計(jì)方案

1、PAGE 21PAGE 1智慧校園網(wǎng)絡(luò)安全等保設(shè)計(jì)方案PAGE 21PAGE 39目 錄 TOC o 1-3 h z u HYPERLINK l _Toc39475837 1技術(shù)建設(shè)方案 PAGEREF _Toc39475837 h 3 HYPERLINK l _Toc39475838 1.1校園網(wǎng)總體架構(gòu)設(shè)計(jì) PAGEREF _Toc39475838 h 3 HYPERLINK l _Toc39475841 1.1.1建設(shè)原則 PAGEREF _Toc39475841 h 3 HYPERLINK l _Toc39475844 1.1.2校園網(wǎng)建設(shè)內(nèi)容框架 PAGEREF _Toc394758

2、44 h 4 HYPERLINK l _Toc39475861 1.1.3網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D PAGEREF _Toc39475861 h 6 HYPERLINK l _Toc39475862 1.1.4網(wǎng)絡(luò)設(shè)計(jì)概述 PAGEREF _Toc39475862 h 6 HYPERLINK l _Toc39475863 1.1.5骨干網(wǎng)絡(luò)方案先進(jìn)性與可行性 PAGEREF _Toc39475863 h 7 HYPERLINK l _Toc39475869 1.2網(wǎng)絡(luò)安全設(shè)計(jì) PAGEREF _Toc39475869 h 15 HYPERLINK l _Toc39475872 1.2.1設(shè)備級(jí)安全功能

3、PAGEREF _Toc39475872 h 15 HYPERLINK l _Toc39475873 1.2.2防ARP攻擊設(shè)計(jì) PAGEREF _Toc39475873 h 15 HYPERLINK l _Toc39475874 1.2.3交換機(jī)IP防掃描設(shè)計(jì) PAGEREF _Toc39475874 h 16 HYPERLINK l _Toc39475875 1.2.4防DOS/DDOS攻擊 PAGEREF _Toc39475875 h 16 HYPERLINK l _Toc39475876 1.2.5路由安全設(shè)計(jì) PAGEREF _Toc39475876 h 17 HYPERLINK l

4、 _Toc39475877 1.2.6設(shè)備管理安全設(shè)計(jì) PAGEREF _Toc39475877 h 18 HYPERLINK l _Toc39475878 1.2.7匯聚嵌入式安全 PAGEREF _Toc39475878 h 19 HYPERLINK l _Toc39475879 1.2.8接入安全控制 PAGEREF _Toc39475879 h 19 HYPERLINK l _Toc39475880 1.2.9IP+MAC+端口綁定 PAGEREF _Toc39475880 h 20 HYPERLINK l _Toc39475881 1.2.10防止病毒廣播泛洪 PAGEREF _To

5、c39475881 h 20 HYPERLINK l _Toc39475882 1.2.11入網(wǎng)用戶身份認(rèn)證 PAGEREF _Toc39475882 h 20 HYPERLINK l _Toc39475883 1.2.12防止對DHCP服務(wù)器攻擊 PAGEREF _Toc39475883 h 20 HYPERLINK l _Toc39475884 1.2.13多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng) PAGEREF _Toc39475884 h 21 HYPERLINK l _Toc39475885 1.2.14防止用戶私設(shè)代理服務(wù)器 PAGEREF _Toc39475885 h 22 HYPERLI

6、NK l _Toc39475886 1.2.15惡意用戶追查 PAGEREF _Toc39475886 h 22 HYPERLINK l _Toc39475887 1.3等保建設(shè)方案 PAGEREF _Toc39475887 h 22 HYPERLINK l _Toc39475888 1.3.1總體建設(shè)目標(biāo) PAGEREF _Toc39475888 h 22 HYPERLINK l _Toc39475889 1.3.2安全技術(shù)體系目標(biāo) PAGEREF _Toc39475889 h 23 HYPERLINK l _Toc39475890 1.3.3物理安全設(shè)計(jì) PAGEREF _Toc39475

7、890 h 23 HYPERLINK l _Toc39475891 1.3.4計(jì)算環(huán)境安全設(shè)計(jì) PAGEREF _Toc39475891 h 24 HYPERLINK l _Toc39475892 1.3.5系統(tǒng)安全審計(jì) PAGEREF _Toc39475892 h 26 HYPERLINK l _Toc39475893 1.3.6數(shù)據(jù)完整性與保密性 PAGEREF _Toc39475893 h 28 HYPERLINK l _Toc39475894 1.3.7備份與恢復(fù) PAGEREF _Toc39475894 h 29 HYPERLINK l _Toc39475895 1.3.8區(qū)域邊界安

8、全設(shè)計(jì) PAGEREF _Toc39475895 h 30 HYPERLINK l _Toc39475896 1.3.9安全隔離 PAGEREF _Toc39475896 h 31 HYPERLINK l _Toc39475897 1.3.10通信網(wǎng)絡(luò)安全設(shè)計(jì) PAGEREF _Toc39475897 h 35 HYPERLINK l _Toc39475898 1.3.11網(wǎng)絡(luò)設(shè)備防護(hù) PAGEREF _Toc39475898 h 35技術(shù)建設(shè)方案校園網(wǎng)總體架構(gòu)設(shè)計(jì)建設(shè)原則安全性網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護(hù)技術(shù)，靈活方便的權(quán)限設(shè)定和控制機(jī)制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)

9、絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實(shí)體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動(dòng)和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等，充分考慮安全性，針對教育行業(yè)網(wǎng)絡(luò)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分VLAN、IP/MAC地址綁定、802.1x用戶訪問控制、802.1d、802.1w、802.1s冗余鏈路保護(hù)等，另外還具有良好的防病毒能力，提高整個(gè)網(wǎng)絡(luò)的安全性，保證內(nèi)外網(wǎng)安全。先進(jìn)性系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對先進(jìn)成熟，整個(gè)系統(tǒng)的生命周

10、期應(yīng)有比較長的時(shí)間，可以在信息技術(shù)不斷發(fā)展的今天，在系統(tǒng)建成以后比較長的一段時(shí)間內(nèi)能滿足用戶需求增長的需要；不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)占主導(dǎo)地位，保證網(wǎng)絡(luò)建設(shè)的領(lǐng)先地位，采用萬/千兆以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)主干、支干線路。 開放性采用開放的軟硬件平臺(tái)和數(shù)據(jù)庫管理系統(tǒng)，遵循國際標(biāo)準(zhǔn)化組織提出的開放系統(tǒng)互聯(lián)的標(biāo)準(zhǔn)，應(yīng)用軟件必須獨(dú)立于軟硬件平臺(tái)，能集成任何第三方的應(yīng)用，具有良好的可擴(kuò)展性、可移植性和互操作性。擴(kuò)展性系統(tǒng)必須具有良好的可擴(kuò)充性，在系統(tǒng)結(jié)構(gòu)、系統(tǒng)容量與技術(shù)方案等方面必須具有升級(jí)換代的可能，核心設(shè)備必須采用模塊化的結(jié)構(gòu)，跟蹤網(wǎng)絡(luò)發(fā)展的前沿方向，符合網(wǎng)絡(luò)的發(fā)展

11、趨勢并具有充分的擴(kuò)展性。系統(tǒng)建設(shè)必須盡量保護(hù)現(xiàn)有的軟、硬件資源，保證各部門現(xiàn)有的計(jì)算機(jī)系統(tǒng)的使用，逐步過渡，有效保護(hù)用戶投資，最終形成一個(gè)統(tǒng)一的、一體化的綜合網(wǎng)絡(luò)系統(tǒng)。高性能網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量?？蛇\(yùn)營管理為了讓校園網(wǎng)能夠良性、穩(wěn)定、持續(xù)、健康的發(fā)展，對校園網(wǎng)用戶進(jìn)行嚴(yán)格的管理和控制，學(xué)校需要對校園網(wǎng)進(jìn)行用戶接入管理管理，通過對上網(wǎng)的用戶進(jìn)行認(rèn)證，記錄上網(wǎng)用戶的行為，為學(xué)校的網(wǎng)絡(luò)管理提供便利的工具。同時(shí)可進(jìn)行計(jì)費(fèi)擴(kuò)展，通過對用戶收取一定的費(fèi)用來達(dá)到“以網(wǎng)養(yǎng)網(wǎng)”的目的，并要求運(yùn)營系

12、統(tǒng)能夠貼近校園用戶的應(yīng)用模式，方便維護(hù)和管理。規(guī)范化和標(biāo)準(zhǔn)化網(wǎng)絡(luò)體系結(jié)構(gòu)、通信協(xié)議及軟件的設(shè)計(jì)和開發(fā)必須按照國家或行業(yè)標(biāo)準(zhǔn)進(jìn)行，要模塊化、結(jié)構(gòu)化、數(shù)據(jù)要代碼化，以便于信息共享和交流及將來的維護(hù)。在系統(tǒng)設(shè)計(jì)和軟件開發(fā)時(shí)，應(yīng)用程序必須規(guī)范化、模塊化和可復(fù)用。校園網(wǎng)建設(shè)內(nèi)容框架校園骨干網(wǎng)絡(luò)設(shè)計(jì)本次山西工程技術(shù)學(xué)院網(wǎng)絡(luò)改造，需要建成一個(gè)高帶寬（萬兆）、高冗余（設(shè)備冗余、線路冗余）達(dá)到99.999%的穩(wěn)定是校園骨干網(wǎng)絡(luò)的最終目的，建設(shè)可擴(kuò)展的新一代校園網(wǎng)絡(luò)架構(gòu)，骨干網(wǎng)絡(luò)采用兩臺(tái)核心組成虛擬化連接到各樓宇匯聚。校園出口網(wǎng)絡(luò)設(shè)計(jì)新增專用網(wǎng)絡(luò)出口設(shè)備，承載出口NAT、鏈路負(fù)載均衡，智能選路功能。有線無線統(tǒng)一認(rèn)

13、證方式：結(jié)合智慧校園統(tǒng)一身份認(rèn)證系統(tǒng)，采用一體化認(rèn)證方式為校園各類用戶提供上網(wǎng)認(rèn)證服務(wù)，減輕使用和維護(hù)復(fù)雜度。上網(wǎng)行為管理：要求實(shí)現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理，包括網(wǎng)頁過濾、行為控制、流量管理、防范法規(guī)風(fēng)險(xiǎn)、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個(gè)方面。分類存儲(chǔ)所有訪問的源IP、目的IP、源端口號(hào)、目的端口號(hào)、應(yīng)用類型、數(shù)據(jù)包大小、數(shù)據(jù)包數(shù)量。結(jié)合認(rèn)證統(tǒng)，通過源IP/時(shí)間，找到對應(yīng)的帳號(hào)，將安全事件度應(yīng)到人甚至對應(yīng)到發(fā)生安全事件的地點(diǎn)。網(wǎng)絡(luò)信息安全防護(hù)：通過實(shí)名認(rèn)證，防火墻策略來保障校園網(wǎng)的網(wǎng)絡(luò)信息安全，對來自外部的網(wǎng)絡(luò)攻擊和滲透進(jìn)行有效防護(hù)，提高網(wǎng)絡(luò)信息安全。校園無線網(wǎng)絡(luò)設(shè)計(jì)全面建設(shè)學(xué)校的WLAN

14、無線校園網(wǎng)，實(shí)現(xiàn)校內(nèi)隨時(shí)隨地的通過WI-FI訪問校園網(wǎng)。WLAN信號(hào)覆蓋教學(xué)、辦公樓宇的室內(nèi)區(qū)域，滿足每個(gè)辦公室、教室、實(shí)驗(yàn)室和門廳區(qū)域的信號(hào)接收強(qiáng)度-75dBm。室外覆蓋區(qū)域包括廣場、運(yùn)動(dòng)場、籃球場，室外AP覆蓋區(qū)域終端連接速率最高可達(dá)到1.75Gbps，滿足80%以上區(qū)域接收信號(hào)強(qiáng)度-75dBm，每個(gè)場所支持并發(fā)用戶100個(gè)以上。無線全部采用基于802.11ac協(xié)議的室內(nèi)室外高性能AP產(chǎn)品，所有AP均支持2.4GHz和5.8GHz頻段的雙路接入，要求每個(gè)AP至少支持1.167Gbps速率。無線用戶通過統(tǒng)一的訪問登錄系統(tǒng)可實(shí)現(xiàn)多種基于用戶或用戶群的訪問控制：包括基于不同的用戶或用戶群可實(shí)施不

15、同的認(rèn)證方式；基于不同的用戶或用戶群可實(shí)施不同的資源訪問權(quán)限控制；基于不同的用戶或用戶群可實(shí)施不同的接入上、下行帶寬控制；基于不同的用戶或用戶群可實(shí)施基于時(shí)間的接入控制；上述多種接入控制策略實(shí)施、操作過程要方便、易用，即時(shí)生效。網(wǎng)絡(luò)架構(gòu)拓?fù)鋱D網(wǎng)絡(luò)設(shè)計(jì)概述如上圖所示：山西工程技術(shù)學(xué)院網(wǎng)絡(luò)可以分為2大部分，第一部分為學(xué)校有線辦公網(wǎng)，包括辦公網(wǎng)有線接入?yún)^(qū)，網(wǎng)絡(luò)管理服務(wù)器區(qū)，核心區(qū)，互聯(lián)網(wǎng)出口區(qū)等，主要承載的業(yè)務(wù)外全校的有線接入業(yè)務(wù)及全校的校內(nèi)應(yīng)用承載。另外一部分網(wǎng)第三方投資建設(shè)的無線運(yùn)營網(wǎng)。該網(wǎng)絡(luò)主要為全校師生提供校內(nèi)無線的全面覆蓋，包括宿舍區(qū)的無線接入，教學(xué)辦公區(qū)的無線接入等。有線辦公網(wǎng)與無線運(yùn)營

16、網(wǎng)絡(luò)互相融合，共用一套接入認(rèn)證系統(tǒng)，師生可以方便的通過有線，無線網(wǎng)絡(luò)訪問到校園網(wǎng)數(shù)據(jù)中心的各種應(yīng)用。在訪問互聯(lián)網(wǎng)時(shí)，認(rèn)證計(jì)費(fèi)系統(tǒng)可以智能的把老師的互聯(lián)網(wǎng)流量導(dǎo)向到辦公網(wǎng)出口鏈路上，學(xué)生的互聯(lián)網(wǎng)流量導(dǎo)向到對應(yīng)的運(yùn)營網(wǎng)出口鏈路上。本網(wǎng)絡(luò)主要以校園網(wǎng)的原有有線網(wǎng)絡(luò)為基礎(chǔ)，主要作用是為學(xué)校各職能單位提供安全穩(wěn)定的有線網(wǎng)絡(luò)接入服務(wù)，以及為校園網(wǎng)應(yīng)用提供安全穩(wěn)定的運(yùn)行環(huán)境。全網(wǎng)分為辦公網(wǎng)有線接入?yún)^(qū)，網(wǎng)絡(luò)管理服務(wù)器區(qū)，核心區(qū)，互聯(lián)網(wǎng)出口區(qū)四大區(qū)域。辦公網(wǎng)核心區(qū)：提供全校辦公網(wǎng)各個(gè)區(qū)域的數(shù)據(jù)安全交換，保證全校師生可以通過無線運(yùn)營網(wǎng)訪問到學(xué)校的數(shù)據(jù)中心的各種校內(nèi)應(yīng)用。網(wǎng)絡(luò)管理服務(wù)器區(qū)：承載全校的各種校內(nèi)應(yīng)用，包

17、括教務(wù)系統(tǒng)，教學(xué)資源系統(tǒng)，學(xué)校的各種智慧化應(yīng)用。為這些應(yīng)用提供安全穩(wěn)定的運(yùn)行環(huán)境。以及運(yùn)行認(rèn)證系統(tǒng)，網(wǎng)管系統(tǒng)等?；ヂ?lián)網(wǎng)出口區(qū)：主要為全校教職工提供安全穩(wěn)定出口互聯(lián)網(wǎng)上網(wǎng)服務(wù)。部署B(yǎng)RAS，與認(rèn)證計(jì)費(fèi)系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)校園網(wǎng)用戶準(zhǔn)出認(rèn)證。BRAS可以根據(jù)用戶的賬戶屬性選擇對應(yīng)的運(yùn)營商鏈路訪問互聯(lián)網(wǎng)，同時(shí)該設(shè)備可以模擬PPPOE撥號(hào)，實(shí)現(xiàn)和運(yùn)營商寬帶網(wǎng)絡(luò)的無縫對接。部署出口防火墻，保證校園網(wǎng)內(nèi)網(wǎng)的安全運(yùn)行。部署上網(wǎng)行為管理系統(tǒng)，通過與認(rèn)證計(jì)費(fèi)系統(tǒng)聯(lián)動(dòng)，實(shí)現(xiàn)互聯(lián)網(wǎng)上網(wǎng)行為的實(shí)名制審計(jì)。辦公網(wǎng)有線接入?yún)^(qū)：覆蓋全校各個(gè)教學(xué)區(qū)域，辦公區(qū)域，圖書館、自習(xí)室等公共區(qū)域，提供有線網(wǎng)絡(luò)接入服務(wù)。教學(xué)區(qū)無線接入：包括全校

18、辦公區(qū)，教學(xué)區(qū)，圖書館，報(bào)告廳，餐廳等各個(gè)公共區(qū)域的無線接入覆蓋。宿舍區(qū)無線接入：包括全校所有宿舍的有線無線統(tǒng)一接入。網(wǎng)絡(luò)管理服務(wù)器區(qū)：部署認(rèn)證計(jì)費(fèi)系統(tǒng)，實(shí)現(xiàn)全校有線無線的統(tǒng)一接入認(rèn)證計(jì)費(fèi)。部署防代理系統(tǒng)，防止學(xué)生無線用戶共享接入互聯(lián)網(wǎng)，保證投資商的投資收益。骨干網(wǎng)絡(luò)方案先進(jìn)性與可行性校園骨干網(wǎng)絡(luò)本方案采用高性能數(shù)據(jù)中心交換機(jī)銳捷S8610E，采用虛擬化技術(shù)實(shí)現(xiàn)虛擬化管理，核心設(shè)備通過一體化板卡的擴(kuò)充實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)表項(xiàng)、統(tǒng)一的管理地址、統(tǒng)一的設(shè)備配置等單臺(tái)邏輯設(shè)備的對外特征。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，承擔(dān)校園網(wǎng)骨干的高速數(shù)據(jù)交換。所以對核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)

19、格，要求核心交換機(jī)擁有較高的性能及可靠性。否則隨著信息化建設(shè)的進(jìn)一步深化，特別是隨著學(xué)校內(nèi)部資源平臺(tái)的不斷完善和豐富，核心交換機(jī)將無法滿足這些建設(shè)需求。山西工程技術(shù)學(xué)院中心機(jī)房作為園區(qū)核心層的中心，將承擔(dān)學(xué)校骨干的高速數(shù)據(jù)交換，同時(shí)為未來我校構(gòu)建基于云服務(wù)架構(gòu)的智慧校園提供支撐，所以核心交換機(jī)一方面要滿足高性能的要求，另一方面要求支持云計(jì)算特性；通過比較在此方案核心層的設(shè)計(jì)中，采用兩臺(tái)高性能的核心交換機(jī)作為核心設(shè)備，構(gòu)成雙核心結(jié)構(gòu)，實(shí)現(xiàn)雙機(jī)熱備,負(fù)載均衡，設(shè)備支持OSPF協(xié)議以及虛擬化協(xié)議（將兩臺(tái)設(shè)備虛擬層一臺(tái)設(shè)備）以達(dá)到核心任意一臺(tái)設(shè)備發(fā)生故障都能保證網(wǎng)絡(luò)正常運(yùn)行的目的，這一切對用戶都是透明

20、的，因此為用戶網(wǎng)絡(luò)的正常運(yùn)用提供的有利的保障。同時(shí)核心交換機(jī)支持?jǐn)?shù)據(jù)中心虛擬化功能的特性：FCoE、CEE、TRILL等技術(shù)。各個(gè)匯聚節(jié)點(diǎn)采用雙線路方式連接到核心設(shè)備上，保證可靠性。核心區(qū)域架構(gòu)設(shè)計(jì)改造總體來講本方案設(shè)計(jì)的核心交換機(jī)需要滿足一下幾個(gè)要求：高性能高端交換機(jī)性能和端口密度的提升會(huì)受到其硬件的限制，而虛擬化技術(shù)系統(tǒng)的性能和端口密度是虛擬化技術(shù)內(nèi)部所有設(shè)備性能和端口數(shù)量的總和。因此，虛擬化技術(shù)能夠輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高單臺(tái)設(shè)備的性能。 此外傳統(tǒng)的生成樹等技術(shù)為了避免環(huán)路的發(fā)生，會(huì)采用阻斷一條鏈路的方式，而虛擬化技術(shù)可以通過跨設(shè)備鏈路聚合等特性

21、，讓原本“Active-standby”的工作模式，轉(zhuǎn)變成為負(fù)載分擔(dān)的模式，從而提高整網(wǎng)的運(yùn)行效率。高可靠鏈路級(jí)：虛擬化技術(shù)設(shè)備之間的物理端口支持鏈路聚合，虛擬化技術(shù)系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣，通過多鏈路備份提高了鏈路的可靠性。協(xié)議級(jí)：虛擬化技術(shù)提供實(shí)時(shí)的協(xié)議熱備份功能，負(fù)責(zé)將協(xié)議的配置信息備份到其他所有的成員設(shè)備，從而實(shí)現(xiàn)協(xié)議可靠。設(shè)備級(jí)：虛擬化技術(shù)系統(tǒng)由多臺(tái)成員設(shè)備組成，Master設(shè)備負(fù)責(zé)系統(tǒng)的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)。一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過系統(tǒng)的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)

22、的備份。相比傳統(tǒng)的二層生成樹技術(shù)和三層的VRRP技術(shù)，其收斂時(shí)間從N秒級(jí)縮短到毫秒級(jí)。 高性能硬件模塊采用高性能硬件模塊實(shí)現(xiàn)，進(jìn)行設(shè)備機(jī)箱見得快速檢測和設(shè)備間數(shù)據(jù)高度轉(zhuǎn)發(fā)，不依賴交換機(jī)CPU和內(nèi)存資源，適用于大規(guī)模的網(wǎng)絡(luò)，無軟件升級(jí)方式帶來的弊端。超過10公里的虛擬化技術(shù)虛擬交換引擎板卡配置光接口，最遠(yuǎn)可實(shí)現(xiàn)超過10（可以支持到10-100公里）公里的虛擬化，實(shí)現(xiàn)7*24小時(shí)的不間斷網(wǎng)絡(luò)服務(wù)。為云計(jì)算數(shù)據(jù)中心提供基礎(chǔ)支持未來山西工程技術(shù)學(xué)院如果需要建立基于云服務(wù)的校園網(wǎng)，核心設(shè)備支持云計(jì)算對網(wǎng)絡(luò)設(shè)備的技術(shù)要求。實(shí)施云計(jì)算第一步是對服務(wù)器進(jìn)行虛擬化，虛擬化后個(gè)虛擬機(jī)之間的數(shù)據(jù)交互管理需要VEPA

23、技術(shù)進(jìn)行支持；同時(shí)存儲(chǔ)和網(wǎng)絡(luò)融合后需要交換機(jī)支持FCoE技術(shù)；跨區(qū)的虛擬機(jī)遷移，需要設(shè)備支持TRILL技術(shù)。核心交換機(jī)虛擬化示意圖在傳統(tǒng)網(wǎng)絡(luò)中，為了增強(qiáng)網(wǎng)絡(luò)的可靠性，在核心層部署兩臺(tái)交換機(jī)，所有匯聚層交換機(jī)都有兩條鏈路分別連接到兩臺(tái)核心層交換機(jī)。為了消除環(huán)路，在匯聚層交換機(jī)和核心層交換機(jī)上配置MSTP協(xié)議阻塞一部分鏈路；為了提供冗余網(wǎng)關(guān)，在核心層交換機(jī)上配置VRRP協(xié)議。傳統(tǒng)網(wǎng)絡(luò)拓?fù)鋫鹘y(tǒng)網(wǎng)絡(luò)存在的缺陷如下所示：網(wǎng)絡(luò)拓?fù)鋸?fù)雜，管理困難。為了增加可靠性，設(shè)計(jì)了一些冗余鏈路，使得網(wǎng)絡(luò)中出現(xiàn)環(huán)路，不得不配置MSTP協(xié)議消除環(huán)路，實(shí)際應(yīng)用中可能由于鏈路流量比較大導(dǎo)致BPDU報(bào)文丟失，MSTP拓?fù)湔袷?，?/p>

24、響網(wǎng)絡(luò)的正常運(yùn)行。故障恢復(fù)時(shí)間一般在秒級(jí)。如VRRP協(xié)議，狀態(tài)為master的交換機(jī)發(fā)生故障，處于backup狀態(tài)的交換機(jī)至少要等3秒鐘才會(huì)切換成master。生成樹協(xié)議為了消除環(huán)路，需要把一些鏈路阻塞，沒有利用這些鏈路的帶寬，造成資源浪費(fèi)。為了解決傳統(tǒng)網(wǎng)絡(luò)的這些問題，提出一種把兩臺(tái)物理交換機(jī)組合成一臺(tái)虛擬交換機(jī)的新技術(shù)，稱為VSU，全稱是Virtual Switch Unit，即虛擬交換單元。如圖 1.2所示，把傳統(tǒng)網(wǎng)絡(luò)中兩臺(tái)核心層交換機(jī)用VSU替換，VSU和匯聚層交換機(jī)通過聚合鏈路連接。在外圍設(shè)備看來，VSU相當(dāng)于一臺(tái)交換機(jī)。VSU組網(wǎng)應(yīng)用示意圖（物理視圖）VSU組網(wǎng)應(yīng)用示意圖（邏輯視圖）

25、極簡網(wǎng)絡(luò)核心認(rèn)證設(shè)計(jì)先進(jìn)性與可行性本方案通過核心采用雙NS8610E，實(shí)現(xiàn)大二層核心認(rèn)證系統(tǒng)。通過這樣的集中認(rèn)證+統(tǒng)一網(wǎng)關(guān)，改變整個(gè)無線網(wǎng)絡(luò)部署方式。有線、無線設(shè)備在網(wǎng)絡(luò)核心層集中認(rèn)證后，部署方式更簡單，更靈活，更適合持續(xù)擴(kuò)展，同時(shí)用戶體驗(yàn)到更快上網(wǎng)速率。統(tǒng)一網(wǎng)關(guān)部署在網(wǎng)絡(luò)核心層，網(wǎng)關(guān)性能大幅提升，無線網(wǎng)絡(luò)部署時(shí)，不再擔(dān)心性能瓶頸問題。統(tǒng)一認(rèn)證、統(tǒng)一安全策略后，不存在與多套認(rèn)證系統(tǒng)對接問題，方便管理。方案部署后，最大可承載90000雙棧終端同時(shí)在線，1000個(gè)/S終端快速上線，完全滿足未來10年的網(wǎng)絡(luò)演進(jìn),在網(wǎng)絡(luò)使用的高峰期，用戶上網(wǎng)仍不受影響，仍能獲得高速認(rèn)證的超快體驗(yàn)。原因是：交換機(jī)通過軟

26、硬件處理機(jī)制，能夠屏蔽非法認(rèn)證報(bào)文，保護(hù)認(rèn)證服務(wù)器免受攻擊，保障用戶上網(wǎng)認(rèn)證體驗(yàn)。校園出口系統(tǒng)先進(jìn)性與可行性校園網(wǎng)出口區(qū)作為校園網(wǎng)的邊界，主要負(fù)責(zé)承擔(dān)邊界網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)、流量控制、安全防護(hù)、安全審計(jì)等功能。校園網(wǎng)出口區(qū)分層功能如下圖所示：出口區(qū)功能表邊界連接層處于邊界網(wǎng)的最外端，是邊界網(wǎng)中的數(shù)據(jù)交換基礎(chǔ)平臺(tái)，此平臺(tái)主要由邊界網(wǎng)中的路由器來。邊界連接層需要考慮以下三個(gè)方面。1. 邊界連接部署高性能的多功能網(wǎng)關(guān)來實(shí)現(xiàn)NAT轉(zhuǎn)發(fā)。2. 智能路由選路校園網(wǎng)用戶在訪問屬于不同ISP提供的信息資源時(shí)，邊界連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的ISP（不同的廣域網(wǎng)鏈路）來進(jìn)行訪問。從而避免訪問路

27、徑跨越了不同ISP網(wǎng)絡(luò)，確保資源訪問效率最大化。3. 多鏈路負(fù)載通過ISP線路、教育網(wǎng)線路分別連接至Internet、Cernet。為了提高出口帶寬的整體利用率，同時(shí)提供鏈路冗余備份，邊界連接層必須提供多鏈路負(fù)載均衡與備份功能。出于對網(wǎng)絡(luò)出口的性能和可靠性考慮，向多個(gè)運(yùn)營商同時(shí)租用多條互聯(lián)網(wǎng)線路的情況在國內(nèi)是非常普遍的。但是，對于擁有兩條或兩條以上的互聯(lián)網(wǎng)鏈路的用戶，如何既保證多條鏈路帶寬被充分利用不被浪費(fèi)，又保證對內(nèi)對外訪問所選擇的路徑是最快速的最優(yōu)的，安全網(wǎng)關(guān)必須支持多鏈路負(fù)載均衡技術(shù)，對多個(gè)ISP鏈路的可用性和性能進(jìn)行監(jiān)督，對雙向數(shù)據(jù)流進(jìn)行智能路徑選擇，從而保證用戶擁有最佳的互聯(lián)網(wǎng)接入體

28、驗(yàn)。安全防護(hù)安全防護(hù)，是出口網(wǎng)絡(luò)設(shè)計(jì)中必不可少的內(nèi)容。針對出口網(wǎng)絡(luò)中所部署的安全防護(hù)，主要有以下三個(gè)方面：報(bào)文過濾通過訪問控制列表（ACL）實(shí)現(xiàn)了靈活的各種粒度的報(bào)文過濾 ,包括：標(biāo)準(zhǔn)ACL 、擴(kuò)展ACL。審計(jì)系統(tǒng)部署一套日志審計(jì)系統(tǒng)，實(shí)現(xiàn)以下功能：Flow流日志：源IP、目的IP、源端口、目的端口、流起始時(shí)間、結(jié)束時(shí)間、接受字節(jié)數(shù)，發(fā)送字節(jié)數(shù)等關(guān)鍵信息出口NAT日志：經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端和運(yùn)營計(jì)費(fèi)平臺(tái)無縫對接，將用戶認(rèn)證上網(wǎng)信息和出口日志結(jié)合起來，實(shí)現(xiàn)快速的用戶上網(wǎng)信息統(tǒng)計(jì)和違規(guī)用戶定位。滿足公安部82號(hào)令要求。網(wǎng)絡(luò)安全設(shè)計(jì)設(shè)備級(jí)安全功能設(shè)

29、備級(jí)可靠性主要從設(shè)備自身可靠性，網(wǎng)絡(luò)中的核心層交換機(jī)需要具備關(guān)鍵的可靠性技術(shù)：可靠性指標(biāo)必須達(dá)到99.99%。所有關(guān)鍵器件，如主控板、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔。網(wǎng)絡(luò)核心設(shè)備無源背板，采用無源器件的背板，可靠性更高。網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。為避免因病毒、蠕蟲等引起的網(wǎng)絡(luò)泛洪對網(wǎng)絡(luò)設(shè)備造成CPU升高等影響網(wǎng)絡(luò)的情況出現(xiàn)，所有設(shè)備應(yīng)具備CPU保護(hù)技術(shù)來避免異常流量和攻擊流量對設(shè)備可靠性的威脅。安全策略部署透明，不影響設(shè)備和網(wǎng)絡(luò)性能，不影響業(yè)務(wù)和用戶體驗(yàn)基于上述要求，選擇的核心交換機(jī)支持多種硬件的安全防護(hù)技術(shù)，主要包括：引擎切換數(shù)據(jù)

30、不間斷轉(zhuǎn)發(fā)、電源冗余、業(yè)務(wù)模塊熱插拔、防Dos攻擊、防掃描、防源IP地址欺騙、SPOH、CPP、LPM+HDR等。通過采用專門針對攻擊手段設(shè)計(jì)的ASIC芯片針對網(wǎng)絡(luò)中的各種攻擊進(jìn)行安全的防護(hù)，保證在處理安全問題的同時(shí)依然不影響網(wǎng)絡(luò)正常數(shù)據(jù)的轉(zhuǎn)發(fā)。建議選擇的全系列交換機(jī)具備的硬件CPU保護(hù)功能（CPP）可實(shí)現(xiàn)對CPU的自動(dòng)硬件防護(hù)機(jī)制，保證設(shè)備不會(huì)因?yàn)閰f(xié)議攻擊而宕機(jī)。同時(shí)交換機(jī)上具備的SPOH技術(shù)（基于硬件的同步式處理），在線卡的每個(gè)端口上利用FFP硬件進(jìn)行安全防護(hù)和智能保障，各端口可以同步地、不影響整機(jī)性能地進(jìn)行硬件處理。最長匹配（LPM）技術(shù)解決了“流精確匹配”的缺點(diǎn)，支持一個(gè)網(wǎng)段使用一個(gè)硬

31、件轉(zhuǎn)發(fā)表項(xiàng)，杜絕了攻擊和病毒對硬件存儲(chǔ)空間的危害。HDR拋棄了傳統(tǒng)方式CPU參與“一次路由”的效率影響，在路由轉(zhuǎn)發(fā)前形成路由表項(xiàng)，避免了攻擊和病毒對CPU利用率的危害。LPM+HDR技術(shù)的結(jié)合不僅極大地提升了路由效率，而且保障設(shè)備在病毒和攻擊環(huán)境下的穩(wěn)定運(yùn)行。防ARP攻擊設(shè)計(jì)作為攻擊源的主機(jī)偽造一個(gè)ARP數(shù)據(jù)包，此ARP包中的IP與MAC地址對同真實(shí)的IP與MAC對應(yīng)關(guān)系不同，此偽造的ARP包發(fā)送出去后，網(wǎng)內(nèi)其它主機(jī)根據(jù)收到的ARP包中的SENDERS字段，ARP緩存被更新，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備的ARP緩存中特定IP被關(guān)聯(lián)到錯(cuò)誤的MAC地址，被欺騙主機(jī)或網(wǎng)絡(luò)設(shè)備訪問特定IP的數(shù)據(jù)包將不能被發(fā)送

32、到真實(shí)的目的主機(jī)或網(wǎng)關(guān)，目的主機(jī)或網(wǎng)關(guān)不能被正常訪問。防ARP欺騙設(shè)計(jì)在宿舍區(qū)接入交換機(jī)上開啟ARP-CHECK功能，提取ACE中的IP+MAC資源，形成新的ACE資源（ARP報(bào)文過濾），對經(jīng)過交換機(jī)的ARP報(bào)文進(jìn)行檢驗(yàn)，對交換機(jī)綁定表中存在的ARP表項(xiàng)進(jìn)行放行，對非法的ARP報(bào)文直接丟棄，從而實(shí)現(xiàn)防ARP欺騙功能。交換機(jī)IP防掃描設(shè)計(jì)眾所周知，許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動(dòng)的主機(jī)開始的，大量的掃描報(bào)文也急劇占用了網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進(jìn)行。而且，互聯(lián)網(wǎng)上掃描的工具多如牛毛。為此，方案中的三層核心交換機(jī)提供了防掃描的功能，用以防止黑客掃描和類似“沖擊波病毒”的攻擊，以

33、減輕三層交換機(jī)的CPU負(fù)擔(dān)。目前發(fā)現(xiàn)的掃描攻擊有兩種：目的IP地址不斷變化的掃描， “scan dest ip attack”。這種掃描攻擊是最危害網(wǎng)絡(luò)的，不但消耗網(wǎng)絡(luò)帶寬，增加交換機(jī)的負(fù)擔(dān)，更是大部分黑客攻擊手段的起手工具。目的IP地址不存在的掃描， “same dest ip attack”。這種攻擊主要是通過增加交換機(jī)CPU的負(fù)擔(dān)來實(shí)現(xiàn)的。對三層交換機(jī)來說，如果目的IP地址存在，則報(bào)文的轉(zhuǎn)發(fā)會(huì)通過交換芯片直接轉(zhuǎn)發(fā)，不會(huì)占用交換機(jī)CPU的資源；而如果目的IP地址不存在，那么交換機(jī)CPU會(huì)定時(shí)去嘗試連接，如果存在大量的這種嘗試連接，也會(huì)消耗CPU資源。當(dāng)然，這種攻擊的危害比第一種小得多了。以

34、上這兩種攻擊，核心交換機(jī)都可以通過在接口上調(diào)整相應(yīng)的攻擊閥值、攻擊主機(jī)隔離時(shí)間等參數(shù)，來減輕其對網(wǎng)絡(luò)的影響。另外，還可以根據(jù)網(wǎng)絡(luò)中可監(jiān)控的主機(jī)數(shù)，在全局模式下設(shè)置可監(jiān)控攻擊主機(jī)的最大值，以達(dá)到更好地保護(hù)系統(tǒng)的要求。防DOS/DDOS攻擊近年來，各種DoS攻擊（Denial of Service，拒絕服務(wù)）報(bào)文在互聯(lián)網(wǎng)上傳播，給互聯(lián)網(wǎng)用戶帶來很大煩惱。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。攻擊報(bào)文主要采用偽裝源IP以防暴露其蹤跡。針對這種情況，RFC2827提出在網(wǎng)絡(luò)接入處設(shè)置入口過濾（IngressFiltin

35、g），來限制偽裝源IP的報(bào)文進(jìn)入網(wǎng)絡(luò)。這種方法更注重在攻擊的早期和從整體上防止DoS的發(fā)生，因而具有較好效果。使用這種過濾也能夠幫助ISP和網(wǎng)管來準(zhǔn)確定位使用真實(shí)有效的源IP的攻擊者。ISP應(yīng)該也必須采用此功能防止報(bào)文攻擊進(jìn)入Internet；企業(yè)（校園網(wǎng)）的網(wǎng)管應(yīng)該執(zhí)行過濾來確保企業(yè)網(wǎng)不會(huì)成為此類攻擊的發(fā)源地。交換機(jī)采用基于RFC2827的入口過濾規(guī)則來防止DoS攻擊，這種過濾是通過自動(dòng)生成特定的ACL來實(shí)現(xiàn)，該過濾采用硬件實(shí)現(xiàn)而不會(huì)給網(wǎng)絡(luò)轉(zhuǎn)發(fā)增加負(fù)擔(dān)。路由安全設(shè)計(jì)（1）路由認(rèn)證和保護(hù)路由認(rèn)證（RoutingAuthentication），就是運(yùn)行于不同設(shè)備的相同的動(dòng)態(tài)路由協(xié)議之間，對相互傳

36、遞的路由刷新報(bào)文進(jìn)行的確認(rèn)，以便使得設(shè)備能夠接受真正而安全的路由刷新報(bào)文。任何運(yùn)行一個(gè)不支持路由認(rèn)證的路由協(xié)議，都存在著巨大的安全隱患。某些惡意的攻擊者可以利用這些漏洞，向網(wǎng)絡(luò)發(fā)送不正確或者不一致的路由刷新，由于設(shè)備無法證實(shí)這些刷新，而使得設(shè)備被欺騙，最終導(dǎo)致網(wǎng)絡(luò)的癱瘓。目前，多數(shù)路由協(xié)議支持路由認(rèn)證，并且實(shí)現(xiàn)的方式大體相同。認(rèn)證過程有基于明文的，也有基于更安全的MD5校驗(yàn)。MD5認(rèn)證與明文認(rèn)證的過程類似，只不過密鑰不在網(wǎng)絡(luò)上以明文方式直接傳送。路由器將使用MD5算法產(chǎn)生一個(gè)密鑰的“消息摘要”。這個(gè)消息摘要將代替密鑰本身發(fā)送出去。這樣可以保證沒有人可以在密鑰傳輸?shù)倪^程中竊取到密鑰信息。為了保證

37、路由協(xié)議的安全，在路由協(xié)議配置時(shí)必須配置OSPF的認(rèn)證，建議采用MD5認(rèn)證。（2）關(guān)閉IP功能服務(wù)有些IP特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP功能的能力。IP源路由選項(xiàng)開關(guān)在IP路由技術(shù)中，通常一個(gè)IP報(bào)文總是沿著網(wǎng)絡(luò)中的每個(gè)路由器所選擇的路徑上轉(zhuǎn)發(fā)分組。IP協(xié)議中提供了源站和記錄路由選項(xiàng)，它的含義是允許源站明確指定一條到目的地的路由，覆蓋掉中間路由器的路由選擇。并且，在分組到達(dá)目的地的過程中，把該路由記錄下來。源路由選項(xiàng)通常用于指定網(wǎng)絡(luò)路徑的故障診斷和某種特殊業(yè)務(wù)的臨時(shí)傳送。因?yàn)镮P源路由選項(xiàng)忽略了報(bào)文傳輸路徑中的各個(gè)設(shè)備的中間轉(zhuǎn)發(fā)過程，而不管轉(zhuǎn)發(fā)接口的工

38、作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡(luò)結(jié)構(gòu)。因此，設(shè)備應(yīng)能關(guān)閉IP源路由選項(xiàng)功能。重定向開關(guān)網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請求主機(jī)改變路由。一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送ICMP重定向報(bào)文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。因此，設(shè)備應(yīng)能關(guān)閉ICMP重定向報(bào)文的轉(zhuǎn)發(fā)。定向廣播報(bào)文轉(zhuǎn)發(fā)開關(guān)在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀態(tài)。ICMP協(xié)議的功能開關(guān)很多常見的網(wǎng)絡(luò)攻擊利用了ICM

39、P協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)（路由器）向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào)文；主機(jī)也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。對ICMP的防護(hù)比較復(fù)雜，因?yàn)镮CMP中一些消息已經(jīng)作廢，而有一些消息在基本傳送中不使用，而另外一些則是常用的消息，因此ICMP協(xié)議處理中應(yīng)根據(jù)這三種差別對不同的ICMP消息處理，以減少ICMP對網(wǎng)絡(luò)安全的影響。設(shè)備管理安全設(shè)計(jì)（1）只開放必要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對象。為了提供網(wǎng)絡(luò)設(shè)備的安全級(jí)別，盡可能關(guān)閉不必要的服務(wù)，降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。（2）網(wǎng)絡(luò)管理認(rèn)證管理員認(rèn)證應(yīng)采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式，集

40、中認(rèn)證為主要認(rèn)證方式，本地認(rèn)證為備份認(rèn)證方式，在集中認(rèn)證服務(wù)器無法訪問的情況下使用本地認(rèn)證。集中認(rèn)證采用Radius認(rèn)證協(xié)議，同時(shí)在設(shè)備上建立本地用戶數(shù)據(jù)庫，在Radius服務(wù)器不可用的情況下，使用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證。在VTY和Console接口上啟用管理認(rèn)證，認(rèn)證方式為集中認(rèn)證和本地認(rèn)證相結(jié)合。（3）Telnet接入安全TELNET是對網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段，可以對設(shè)備進(jìn)行最為有效的操作，為了確保TELNET訪問的合法性和安全性，我們需要注意：1.設(shè)置最大會(huì)話連接數(shù)；2.設(shè)置訪問控制列表，限制TELNET的連接請求來自指定的源IP網(wǎng)段；3.盡量用SSH代替TELNET，采用SSH的好處是

41、所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。（4）SNMP安全通過SNMP可以對設(shè)備進(jìn)行全面的日常管理，為了提高SNMP管理的安全性，需要應(yīng)注意以下幾點(diǎn)：1.避免使用缺省的snmp community，設(shè)置高質(zhì)量的口令；2.不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；3.把只讀snmpcommunity和可讀寫snmpcommunity區(qū)分開來；4.配置ACL來限制能夠通過SNMP訪問網(wǎng)絡(luò)設(shè)備的IP地址。匯聚嵌入式安全面對現(xiàn)在網(wǎng)絡(luò)環(huán)境越來越多的網(wǎng)絡(luò)病毒和攻擊威脅，要求操作系統(tǒng)提供強(qiáng)大的網(wǎng)絡(luò)病毒和攻擊防護(hù)能力，網(wǎng)絡(luò)硬件不僅提供了基于SPOH技術(shù)的ACL功能，而且還支持防源IP地址欺騙（Souc

42、e IP Spoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力，從設(shè)備本身的功能即可保證網(wǎng)絡(luò)安全。因此對于局域網(wǎng)中，建議如下部署：在核心匯聚部署支持防源IP地址欺騙（Souce IP Spoofing）、防DOS/DDOS攻擊（Synflood，Smurf），防掃描（PingSweep）等能力。接入安全控制在接入部署ACL，對沖擊波、蠕蟲等病毒進(jìn)行防范已經(jīng)生成數(shù)BPDU攻擊、MAC攻擊等二層攻擊，使有害數(shù)據(jù)包在接入就被過濾。要求接入交換機(jī)具備完善的QoS以及強(qiáng)大的安全接入控制能力。具體要求如下：二至四層線速轉(zhuǎn)發(fā)，二至七層智能識(shí)別：硬件全

43、線速實(shí)現(xiàn)路由、ACL、QOS、帶寬限制，全面提升用戶體驗(yàn)；硬件實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定：不需要第三方設(shè)備或軟件，僅通過設(shè)定訪問交換機(jī)上某個(gè)端口的用戶MAC地址和IP，就可硬件實(shí)現(xiàn)嚴(yán)格控制對該端口的用戶輸入，有效防止非法用戶的接入。有效杜絕非法組播源：支持IGMP源端口檢查功能，以及支持IGMP源IP檢查功能，有效地杜絕非法的組播源播放非法的組播信息，更好地提高了網(wǎng)絡(luò)的安全性。極靈活的基于流的帶寬控制能力：具備MAC流、IP流、應(yīng)用流等多層流分類和流控制能力，實(shí)現(xiàn)靈活精細(xì)的帶寬控制、轉(zhuǎn)發(fā)優(yōu)先級(jí)等多種流策略，帶寬限制粒度達(dá)64Kbps，支持網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)、以及不同業(yè)務(wù)所需要的服

44、務(wù)質(zhì)量特性，提供差異化服務(wù)完善的QoS：RG-S29E支持完善的QOS，以DiffServ標(biāo)準(zhǔn)為核心的QoS保障系統(tǒng)，支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略，實(shí)現(xiàn)基于全網(wǎng)系統(tǒng)多業(yè)務(wù)的QoS邏輯；強(qiáng)大的安全接入控制能力：硬件本身即可實(shí)現(xiàn)端口與MAC地址和用戶IP地址的綁定，另外和配合寬帶認(rèn)證計(jì)費(fèi)管理系統(tǒng)可實(shí)現(xiàn)用戶帳號(hào)與IP、MAC、交換機(jī)IP、端口、Vlan ID多元素的復(fù)合綁定。保證用戶身份的合法性和唯一性，可以有效的避免IP地址沖突、帳號(hào)盜用等問題發(fā)生。通過PVLAN即可隔離用戶信息互通：采用保護(hù)端口（即將該端口設(shè)為保護(hù)端口）實(shí)現(xiàn)端口之間相互隔離，不必

45、占用VLAN資源。采用保護(hù)端口即保證用戶信息安全，又節(jié)約VLAN資源，同時(shí)不必再修改VLAN配置，大大提高維護(hù)效率。多端口同步監(jiān)控MSPAN：通過一個(gè)端口可同時(shí)監(jiān)控多個(gè)端口的數(shù)據(jù)流，可以只監(jiān)控輸入幀或只監(jiān)控輸出幀或雙向幀，有效提高監(jiān)測效率。IP+MAC+端口綁定學(xué)生宿舍區(qū)的用戶上網(wǎng)的安全性非常重要，要求接入交換機(jī)可以實(shí)現(xiàn)端口IP+MAC地址的綁定關(guān)系，可以支持基于MAC地址的802.1X認(rèn)證。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。防止病毒廣播泛洪要求接入交換機(jī)可實(shí)現(xiàn)廣播報(bào)文的計(jì)數(shù)累計(jì)功能，往往一臺(tái)主機(jī)受病毒時(shí)會(huì)發(fā)出大量的廣播報(bào)文，交換機(jī)可實(shí)現(xiàn)對與進(jìn)

46、入報(bào)文的計(jì)數(shù)累計(jì)，廣播病毒一般會(huì)在短時(shí)間內(nèi)產(chǎn)生大量的廣播包，通過可設(shè)置廣播包的閥值，當(dāng)達(dá)到一定的廣播保文的數(shù)量時(shí)端口可是直接關(guān)閉，確保網(wǎng)絡(luò)的安全、穩(wěn)定。入網(wǎng)用戶身份認(rèn)證基于802.1X的擴(kuò)展的認(rèn)證計(jì)費(fèi)系統(tǒng)在用戶第一次上網(wǎng)就必須認(rèn)證，保證了用戶上網(wǎng)的安全和合法性。防止對DHCP服務(wù)器攻擊使用DHCP Server動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問題：一是DHCP Server假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCP Server后會(huì)分發(fā)非法地址給終端用戶，造成用戶無法使用網(wǎng)絡(luò)，；二是用戶DHCP Smurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。對于第一種情況，

47、使用接入交換機(jī)的訪問列表就可以實(shí)現(xiàn)防范：在安全接入交換機(jī)上定義一個(gè)訪問列表，該訪問列表允許目的IP地址為合法DHCP 服務(wù)器（或這個(gè)網(wǎng)段的網(wǎng)關(guān)地址，部分三層交換機(jī)在DHCP relay之后，DHCP sever的地址會(huì)替換成三層SVI的地址）、source port為67而destination port為68的UDP報(bào)文通過。而其它source port為67而destination port為68的UDP報(bào)文拒絕，之后把這個(gè)訪問列表應(yīng)用到上聯(lián)物理端口上。同時(shí)再定義一個(gè)訪問列表，拒絕source port為67而destination port為68的UDP報(bào)文通過，并運(yùn)用在下聯(lián)端口。對于第

48、二種情況，開啟接入交換機(jī)的端口安全功能就可以實(shí)現(xiàn)防范。在接入交換機(jī)設(shè)置端口安全，可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況設(shè)置，設(shè)置某個(gè)端口下學(xué)習(xí)源MAC的個(gè)數(shù)，一旦學(xué)習(xí)到的源MAC地址大于設(shè)置值，那么數(shù)據(jù)幀就會(huì)在端口丟棄，同時(shí)發(fā)送警告信息通知網(wǎng)管員，或是邏輯上關(guān)閉該端口。如下圖：而對于用戶手工設(shè)置靜態(tài)IP地址，造成和已分發(fā)的動(dòng)態(tài)IP地址沖突，可以通過認(rèn)證系統(tǒng)指定用戶只能采用DHCP獲取IP。多元素綁定技術(shù)構(gòu)筑高安全校園網(wǎng)IP地址、MAC地址、接入交換機(jī)端口、以及接入交換機(jī)IP、身份信息、是標(biāo)識(shí)網(wǎng)絡(luò)用戶的基本元素，而單一的元素?zé)o法為管理員來標(biāo)識(shí)一個(gè)用戶，而網(wǎng)絡(luò)安全被利用最多還是MAC、IP地址等。MAC地址欺騙將

49、合法的MAC 地址修改成不存在的MAC 地址或其他人的MAC 地址，從而達(dá)到隱藏自己真實(shí)的MAC，來達(dá)到一些不可告人的目的，這就是MAC 地址欺騙。MAC地址泛洪攻擊交換機(jī)由于交換機(jī)內(nèi)部的MAC 地址表空間是有限的，正常情況下，這些MAC 地址表是足夠用的，一般情況下，基本不會(huì)發(fā)生MAC 地址表被占滿的情況。但如果有人惡意對這臺(tái)交換機(jī)進(jìn)行MAC 地址泛洪攻擊的話，則會(huì)很快占滿交換機(jī)內(nèi)部MAC 地址表，使得本來交換機(jī)本來是按單播進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包的，但由于MAC 地址表已經(jīng)被占滿了，所有的交換機(jī)的端口都在一個(gè)廣播域里了，因此交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)包的機(jī)制變成了廣播了。因此交換機(jī)變成了一個(gè)Hub，因此別的端口

50、可以收到所有的其他端口的數(shù)據(jù)，因此用戶的信息傳輸也沒有安全保障了。IP地址隨意更改手工更改用戶自己的IP地址，這使得原本分到該IP地址的合法用戶無法正常上網(wǎng)，同時(shí)也將導(dǎo)致整個(gè)網(wǎng)絡(luò)的IP地址管理混亂。非法用戶向被攻擊的主機(jī)發(fā)出大量的攻擊包，同時(shí)將報(bào)文中的源IP地址進(jìn)行修改以掩藏自己真實(shí)的IP，這樣就可以逃避網(wǎng)管的追查，“堂而皇之”的攻擊對方了。因此根據(jù)以上安全的情況，我們建議采用認(rèn)證系統(tǒng)的綁定功能，對宿舍網(wǎng)用戶進(jìn)行管理。通過認(rèn)證系統(tǒng)(AAA)服務(wù)器綁定每一個(gè)用戶的元素信息，當(dāng)用戶認(rèn)證時(shí)，802.1X客戶端將所需要的元素信息傳送到認(rèn)證系統(tǒng)服務(wù)器，認(rèn)證系統(tǒng)會(huì)將所傳送的信息和數(shù)據(jù)庫做一一的匹配，如果有

51、任一一元素不符合認(rèn)證系統(tǒng)所定義，那么將視此用戶為非合法用戶，認(rèn)證系統(tǒng)將不允許此用戶認(rèn)證通過，并反饋通知用戶綁定錯(cuò)誤相關(guān)信息。如果用戶認(rèn)證通過后修改地址，那么客戶端也會(huì)檢測到并發(fā)送到認(rèn)證系統(tǒng)服務(wù)器，同時(shí)認(rèn)證系統(tǒng)服務(wù)器會(huì)將此用戶剔除下線。為了管理方便，我們建議使用第一次登錄自動(dòng)時(shí)綁定信息，當(dāng)用戶第一次認(rèn)證時(shí)將相關(guān)的元素信息自動(dòng)的寫入數(shù)據(jù)庫，無需手工錄入元素信息作靜態(tài)綁定。防止用戶私設(shè)代理服務(wù)器用戶自行架設(shè)代理服務(wù)器以及用戶認(rèn)證后再自行撥號(hào)上網(wǎng)，這是網(wǎng)絡(luò)安全最大的兩個(gè)隱患。交換機(jī)提供代理服務(wù)器屏蔽和撥號(hào)屏蔽功能。實(shí)現(xiàn)該功能交換機(jī)端不需任何設(shè)置。只需在認(rèn)證系統(tǒng)服務(wù)器端配置相應(yīng)的屬性。考慮到學(xué)生的技術(shù)性

52、較強(qiáng)，在實(shí)際的應(yīng)用的過程當(dāng)中應(yīng)當(dāng)充分考慮到學(xué)生的代理服務(wù)器的使用，對于代理服務(wù)器的防止，交換機(jī)配合802.1X的客戶端以及認(rèn)證系統(tǒng)服務(wù)器，一旦檢測到用戶PC機(jī)產(chǎn)生代理流量，系統(tǒng)自動(dòng)將用戶剔除下線，并反饋信息。惡意用戶追查對每個(gè)用戶分配一個(gè)賬戶，使用認(rèn)證系統(tǒng)管理用戶。由認(rèn)證系統(tǒng)記錄用戶每次上網(wǎng)的用戶名，源IP地址，上網(wǎng)開始和結(jié)束時(shí)間。然后通過安全認(rèn)證管理系統(tǒng)認(rèn)證系統(tǒng)查找MAC地址和IP地址，就可以根據(jù)源IP或源MAC在系統(tǒng)上查到該用戶所在的交換機(jī)以及在該交換機(jī)上所接的端口，通過這種方式可以立刻定位用戶，方便對于大型網(wǎng)絡(luò)的管理，能夠方便快捷的防止惡意用戶的攻擊。同時(shí)，認(rèn)證系統(tǒng)系統(tǒng)可以隨機(jī)保存159

53、0天的用戶上網(wǎng)記錄（根據(jù)管理的需要，自行定義天數(shù)），并可以實(shí)現(xiàn)數(shù)據(jù)的備份。等保建設(shè)方案總體建設(shè)目標(biāo)為了山西工程技術(shù)學(xué)院此次建設(shè)達(dá)到安全三級(jí)等級(jí)保護(hù)的要求，最終實(shí)現(xiàn)如下總體安全目標(biāo)：（1）依據(jù)信息系統(tǒng)所包括的信息資產(chǎn)的安全性、信息系統(tǒng)主要處理的業(yè)務(wù)信息類別、信息系統(tǒng)服務(wù)范圍以及業(yè)務(wù)對信息系統(tǒng)的依賴性等指標(biāo)，來劃分信息系統(tǒng)的安全等級(jí)。（2）通過信息安全需求分析，判斷信息系統(tǒng)的安全保護(hù)現(xiàn)狀與信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求之間的差距，確定安全需求，然后根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況和安全需求等，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體安全方案，并制定出安全實(shí)施規(guī)劃，

54、以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。（3）達(dá)到公安部關(guān)于信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)要求。安全技術(shù)體系目標(biāo)按照信息系統(tǒng)安全等級(jí)保護(hù)關(guān)于信息系統(tǒng)在物理、網(wǎng)絡(luò)安全運(yùn)行、信息保密和管理等方面的總體要求，科學(xué)合理評(píng)估信息系統(tǒng)當(dāng)前存在的風(fēng)險(xiǎn)，協(xié)助其合理確定安全保護(hù)等級(jí)，在此基礎(chǔ)上科學(xué)規(guī)劃設(shè)計(jì)一整套完整的安全體系改造加固方案。該安全體系需要全面保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、邊界和外部接入、計(jì)算環(huán)境、支持性基礎(chǔ)設(shè)施、數(shù)據(jù)和系統(tǒng)等方面內(nèi)容，實(shí)現(xiàn)信息資源的機(jī)密、完整、可用、不可抵賴和可審計(jì)性，基本做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計(jì)”。具體包括：（1）保障基礎(chǔ)設(shè)施安全，保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)

55、備和線路的持續(xù)使用。（2）保障網(wǎng)絡(luò)連接安全，保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。（3）保障計(jì)算環(huán)境的安全，保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。（4）保障應(yīng)用系統(tǒng)安全，保障應(yīng)用程序?qū)訉W(wǎng)絡(luò)信息的保密性、完整性和信源的真實(shí)的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。（5）安全管理體系保障，根據(jù)國家有關(guān)信息安全等級(jí)保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，結(jié)合山西工程技術(shù)學(xué)院實(shí)際情況，建立一套切實(shí)可行的安全管理體系。物理安全設(shè)計(jì) 物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁兼容工作環(huán)境，

56、并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。（1）機(jī)房選址機(jī)房和辦公場地選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。（2）機(jī)房管理機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來訪人員須經(jīng)過申請和審批流程，并限制和監(jiān)控其活動(dòng)范圍。對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。（3）機(jī)房環(huán)境合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。房間裝修必需使用阻燃材料，耐火等級(jí)符合國家相關(guān)標(biāo)

57、準(zhǔn)規(guī)定。機(jī)房門大小應(yīng)滿足系統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。機(jī)房墻壁及天花板應(yīng)進(jìn)行表面處理，防止塵埃脫落，機(jī)房應(yīng)安裝防靜電活動(dòng)地板。機(jī)房安裝防雷和接地線，設(shè)置防雷保安器，防止感應(yīng)雷，要求防雷接地和機(jī)房接地分別安裝，且相隔一定的距離；機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。配備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境；在機(jī)房供電線路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)，滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；

58、建立備用供電系統(tǒng)。鋪設(shè)線纜要求電源線和通信線纜隔離鋪設(shè)，避免互相干擾。對關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。（4）設(shè)備與介質(zhì)管理為了防止無關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴(yán)格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)行。對介質(zhì)進(jìn)行分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫或檔案室中。利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。計(jì)算環(huán)境安全設(shè)計(jì)身份鑒別 身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：（1）主機(jī)身份鑒別

59、為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括：對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。根據(jù)基本要求配置用戶名/口令；口令必須具備采用3種以上字符、長度不少于8位并定期更換；啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。遠(yuǎn)程管理時(shí)應(yīng)啟用SSH等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。對主機(jī)管理員登錄進(jìn)行雙因素認(rèn)證方式，采用USB key+密碼進(jìn)行身份鑒別（2）應(yīng)用身份鑒別：為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括：對登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。

60、根據(jù)基本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具備采用3種以上字符、長度不少于8位并定期更換。啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。應(yīng)用系統(tǒng)如具備上述功能則需要開啟使用，若不具備則需進(jìn)行相應(yīng)的功能開發(fā)，且使用效果要達(dá)到以上要求。訪問控制三級(jí)系統(tǒng)一個(gè)重要要求是實(shí)現(xiàn)自主訪問控制和強(qiáng)制訪問控制。自主訪問控制實(shí)現(xiàn)：在安全策略控制范圍內(nèi)，使用戶對自己創(chuàng)建的客體具有各種訪問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶；自主訪問控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫表級(jí)；自主訪問操作應(yīng)包括對客體的創(chuàng)建、讀、寫、修改和刪除等。 強(qiáng)制訪問