校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)_第1頁
校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)_第2頁
校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)_第3頁
校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)_第4頁
校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)目錄第一章校園網(wǎng)安全隱患分析(31.1校園內(nèi)網(wǎng)安全分析(31.1.1軟件層次安全(31.1.2設(shè)備物理安全(31.1.3設(shè)備配置安全(31.1.4管理層次安全(41.1.5無線局域網(wǎng)的安全威脅(41.2校園外網(wǎng)安全分析(51.2.1黑客攻擊(51.2.2不良信息傳播(61.2.3病毒危害(6第二章設(shè)計(jì)簡介及設(shè)計(jì)方案論述(72.1校園網(wǎng)安全措施(72.1.1防火墻(72.1.2防病毒(82.1.3無線網(wǎng)絡(luò)安全措施(102.2H3C無線校園網(wǎng)的安全策略(12校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第1頁。2.2.1可靠的加密和認(rèn)證、設(shè)備管理(12校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第1頁。2.2.2用戶和組安全配置(122.2.3非法接入檢測和隔離(132.2.4監(jiān)視和告警(14第三章詳細(xì)設(shè)計(jì)(153.1ISA軟件防火墻的配置(153.1.1基本配置(163.1.2限制學(xué)校用機(jī)的上網(wǎng)(163.1.3檢測外部攻擊及入侵(163.1.4校園網(wǎng)信息過濾配置(173.1.5網(wǎng)絡(luò)流量的監(jiān)控(173.1.6無線局域網(wǎng)安全技術(shù)(173.2物理地址(MAC過濾(183.2.1服務(wù)集標(biāo)識(shí)符(SSID匹配(183.2.2端口訪問控制技術(shù)和可擴(kuò)展認(rèn)證協(xié)議(20第一章校園網(wǎng)安全隱患分析1.1.1軟件層次安全校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第2頁。目前使用的軟件尤其是操作系統(tǒng)或多或少都存在安全漏洞,對網(wǎng)絡(luò)安全構(gòu)成了威脅。現(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、WindowsNTP2000、Linux等,這些系統(tǒng)安全風(fēng)險(xiǎn)級(jí)別不同,UNIX因其技術(shù)較復(fù)雜通常會(huì)導(dǎo)致一些高級(jí)黑客對其進(jìn)行攻擊;而WindowsNTP2000操作系統(tǒng)由于得到了廣泛的普及,加上其自身安全漏洞較多,因此,導(dǎo)致它成為較不安全的操作系統(tǒng)。在一段時(shí)期、沖擊波病毒比較盛行,沖擊波這個(gè)利用微軟RPC漏洞進(jìn)行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶,使他們的計(jì)算機(jī)無法工作并反復(fù)重啟,該病毒還引發(fā)了DoS攻擊,使多個(gè)國家的互聯(lián)網(wǎng)也受到相當(dāng)影響。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第2頁。設(shè)備物理安全主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、工作站、電源等,它們分布在整個(gè)校園內(nèi),管理起來非常困難。個(gè)別人可能出于各種目的,有意或無意地?fù)p壞設(shè)備,這樣會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。設(shè)備配置安全是指在設(shè)備上要進(jìn)行必要的一些設(shè)置(如服務(wù)器、交換機(jī)、防火墻、路由器的密碼等,防止黑客取得硬件設(shè)備的控制權(quán)。許多網(wǎng)管往往由于沒有在服務(wù)器、路由器、防火墻或可網(wǎng)管的交換機(jī)上設(shè)置必要的密碼或密碼設(shè)置得過于簡單,導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過網(wǎng)絡(luò)輕易取得對服務(wù)器、交換機(jī)、路由器或防火墻等網(wǎng)絡(luò)設(shè)備的控制權(quán),然后肆意更改這些設(shè)備的配置,嚴(yán)重時(shí)甚至?xí)?dǎo)致整個(gè)校園網(wǎng)絡(luò)癱瘓。1.1.4管理層次安全一個(gè)健全的安全體系,實(shí)際上應(yīng)該體現(xiàn)的是“三分技術(shù)、七分管理”,網(wǎng)絡(luò)的整體安全不是僅僅依賴使用各種技術(shù)先進(jìn)的安全設(shè)備就可以實(shí)現(xiàn)的,更重要的是體現(xiàn)在對人、對設(shè)備的安全管理以及一套行之有效的安全管理制度,尤其重要的是加強(qiáng)對內(nèi)部人員的管理和約束,由于內(nèi)部人員對網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解,若不加強(qiáng)管理,一旦有人出于某種目的破壞網(wǎng)絡(luò),后果將不堪設(shè)想。IP地址盜用、濫用是校園網(wǎng)必須加強(qiáng)管理的方面,特別是學(xué)生區(qū)、機(jī)房等。IP配置不當(dāng)也會(huì)造成部分區(qū)域網(wǎng)絡(luò)不通。如在學(xué)生學(xué)習(xí)機(jī)房,有學(xué)生不甚將自己的計(jì)算機(jī)的IP地址設(shè)置為本網(wǎng)段的網(wǎng)關(guān)地址,這會(huì)導(dǎo)致整個(gè)學(xué)生機(jī)房無法正常訪問外網(wǎng)。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第3頁。1.1.5無線局域網(wǎng)的安全威脅校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第3頁。利用WLAN進(jìn)行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品,它的安全隱患主要有以下幾點(diǎn):未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)由于無線局域網(wǎng)開放式的訪問方式,非法用戶可以未經(jīng)授權(quán)而擅自使用網(wǎng)絡(luò)資源,不僅會(huì)占用寶貴的無線信道資源,增加帶寬費(fèi)用,還會(huì)降低合法用戶的服務(wù)質(zhì)量。地址欺騙和會(huì)話攔截目前有很多種無線局域網(wǎng)的安全技術(shù),包括物理地址(MAC過濾、服務(wù)集標(biāo)識(shí)符(SSID匹配、有線對等保密(WEP、端口訪問控制技術(shù)(IEEE802.1x、WPA(Wi-FiProtectedAccess、IEEE802.11i等。面對如此多的安全技術(shù),應(yīng)該選擇哪些技術(shù)來解決無線局域網(wǎng)的安全問題,才能滿足用戶對安全性的要求。在無線環(huán)境中,非法用戶通過偵聽等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要容易得多,這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。另外,由于IEEE802.11沒有對AP身份進(jìn)行認(rèn)證,攻擊者很容易裝扮成合法AP進(jìn)入網(wǎng)絡(luò),并進(jìn)一步獲取合法用戶的鑒別身份信息,通過會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。這些合法的MAC地址可以被用來進(jìn)行惡意攻擊。一旦攻擊者侵入無線網(wǎng)絡(luò),它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會(huì)成為整個(gè)安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡(luò),整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。有的校園網(wǎng)同時(shí)與CERNET、Internet相連,有的通過CERNET與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。黑客攻擊活動(dòng)日益猖獗,成為當(dāng)今社會(huì)關(guān)注的焦點(diǎn)。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、拒絕服務(wù)攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不僅來自校園外網(wǎng),還有相當(dāng)一部分來自校園網(wǎng)內(nèi)部,由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第4頁。構(gòu)和應(yīng)用模式都比較了解,因此來自內(nèi)部的安全威脅會(huì)更大一些。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第4頁。在校園網(wǎng)接入Internet后,師生都可以通過校園網(wǎng)絡(luò)進(jìn)入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對人生觀、世界觀正在形成中的學(xué)生危害非常大。特別是中小學(xué)生,由于年齡小,分辨是非和抵御干擾能力較差,如果不采取切實(shí)可行安全措施,勢必會(huì)導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。學(xué)校接入廣域網(wǎng)后,給大家?guī)矸奖愕耐瑫r(shí),也為病毒進(jìn)入學(xué)校之門提供了方便,下載的程序、電子郵件都可能帶有病毒。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)的節(jié)點(diǎn)數(shù)量日益增多,這些節(jié)點(diǎn)大都沒有采取安全防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、甚至系統(tǒng)癱瘓等嚴(yán)重后果。第二章設(shè)計(jì)簡介及設(shè)計(jì)方案論述網(wǎng)絡(luò)信息系統(tǒng)的安全應(yīng)該是一個(gè)動(dòng)態(tài)的發(fā)展過程,應(yīng)該是一種檢測,安全,響應(yīng)的循環(huán)過程。動(dòng)態(tài)發(fā)展是網(wǎng)絡(luò)系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全監(jiān)控和入侵檢測產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。網(wǎng)絡(luò)監(jiān)控系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)自動(dòng)違規(guī)、入侵識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上,通過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流,尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時(shí),網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實(shí)時(shí)報(bào)警、事件登錄或執(zhí)行用戶自定義的安全策略等。1系統(tǒng)組成網(wǎng)絡(luò)衛(wèi)士監(jiān)控器:一臺(tái),硬件監(jiān)控系統(tǒng)軟件:一套PC機(jī)(1臺(tái),用于運(yùn)行監(jiān)控系統(tǒng)軟件校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第5頁。2主要功能校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第5頁。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第6頁。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第6頁。能防止通過PROXYSERVER從Internet下載文件或收發(fā)的E-mail內(nèi)隱藏的病毒,并對本地的局域網(wǎng)防護(hù)的作用。3解決方案采用的防病毒產(chǎn)品如表2-1所示。表2-1防病毒產(chǎn)品清單所需軟件的名稱安裝場所數(shù)量保護(hù)對象ServerProtectforNTServerNTServer每臺(tái)NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客戶機(jī)數(shù)量HTTPFTP、用瀏覽器下開載的程序ScanMailforExchangeServerExchangeServer按客戶機(jī)數(shù)量有E-Mail的用戶OfficeScancorp各部門的NT域服務(wù)器按客戶機(jī)數(shù)量自動(dòng)分發(fā)、更新、實(shí)時(shí)監(jiān)察客戶機(jī)校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第7頁。以下是選用以上Trend公司產(chǎn)品的說明:校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第7頁。在NT主域控制器和備份域上均采用ServerProtecforWindowsNT保護(hù)NT服務(wù)器免受病毒的侵害。另鑒于客戶有100-200臺(tái)客戶機(jī),客戶端的病毒軟件的安裝和病毒碼更新等工作,造成MIS人員管理上的超負(fù)荷,因此推薦采用OfficeScanCorporatcEdition企業(yè)授權(quán)版OfficeScanCorporateIdition能讓MIS人員通過管理程序進(jìn)行中央控管,軟件的分派(自動(dòng)安裝,自動(dòng)更新病毒碼、軟件的自動(dòng)升級(jí)。另外在外接Internet和郵件服務(wù)器上,采用InterScanWebProtect和ScanMailForExchange此兩種軟件是目前唯一能從國際互聯(lián)網(wǎng)絡(luò)攔截病毒的軟件。設(shè)計(jì)的理念是,在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的入口處-Internet服務(wù)器或網(wǎng)關(guān)(Gateway上安裝此軟件,它可以隨時(shí)監(jiān)控網(wǎng)關(guān)中的ETP、電子郵件傳輸和Web網(wǎng)頁所下載的病毒和惡性程序,并有文件到達(dá)網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行掃描偵測出來。針對校園應(yīng)用的安全解決方案,從校園用戶角度而言,隨著無線網(wǎng)絡(luò)應(yīng)用的推進(jìn),管理員需要更加注重?zé)o線網(wǎng)絡(luò)安全的問題,針對不同的用戶需求,H3C提出一系列不同級(jí)別的無線安全技術(shù)策略,從傳統(tǒng)的WEP加密到IEEE802.11i,從MAC地址過濾到IEEE802.1x安全認(rèn)證技術(shù),可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級(jí)別的安全需求。對于辦公室局部無線用戶而言,無線覆蓋范圍較小,接入用戶數(shù)量也比較少,沒有專業(yè)的管理人員,對網(wǎng)絡(luò)安全性的要求相對較低。通常情況下不會(huì)配備專用的認(rèn)證服務(wù)器,這種情況下,可直接采用AP進(jìn)行認(rèn)證,WPA-PSK+AP隱藏可以保證基本的安全級(jí)別。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第8頁。在學(xué)校園區(qū)無線網(wǎng)絡(luò)環(huán)境中,考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量,AP和無線網(wǎng)卡的數(shù)量必將大大增加,同時(shí)由于使用的用戶較多,安全隱患也相應(yīng)增加,此時(shí)簡單的WPA-PSK已經(jīng)不能滿足此類用戶的需求。如表中所示的中級(jí)安全方案使用支持IEEE802.1x認(rèn)證技術(shù)的AP作為無線網(wǎng)絡(luò)的安全核心,使用H3C虛擬專用組(VertualPrivateGroup管理器功能并通過后臺(tái)的Radius服務(wù)校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第8頁。器進(jìn)行用戶身份驗(yàn)證,有效地阻止未經(jīng)授權(quán)的用戶接入,并可對用戶權(quán)限進(jìn)行區(qū)分。如果應(yīng)用無線網(wǎng)絡(luò)構(gòu)建校園的辦公網(wǎng)絡(luò),此時(shí)無線網(wǎng)絡(luò)上承載的是工作業(yè)務(wù)信息,其安全保密性要求較高,因此用戶認(rèn)證問題就顯得更加重要。如果不能準(zhǔn)確可靠地進(jìn)行用戶認(rèn)證,就有可能造成帳號(hào)盜用、非法入侵的問題,對于無線業(yè)務(wù)網(wǎng)絡(luò)來說是不可以接受的。專業(yè)級(jí)解決方案可以較好地滿足用戶需求,通過H3C虛擬專用組(VPG管理器功能、IEEE802.11i加密、Radius的用戶認(rèn)證確保高安全性。具體安全劃分及技術(shù)方案選擇如表2-2所示。表2-2安全劃分及技術(shù)方法選擇安全級(jí)別典型場合使用技術(shù)初級(jí)安全辦公室局部無線用戶WPA-PSK+AP隱藏中級(jí)安全學(xué)校園區(qū)無線網(wǎng)IEEE802.1x認(rèn)證+TKIP加密+VPG管理專業(yè)級(jí)安全無線校園辦公網(wǎng)VPG管理+IEEE802.11i+Radius認(rèn)證為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容,IEEE802.11工作組開發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i,并且致力于從長遠(yuǎn)角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù):TKIP(TemporalKeyIntegrityProtocol和AES(AdvancedEncryptionStandard,以及認(rèn)證協(xié)議:IEEE802.1x。IEEE802.11i標(biāo)準(zhǔn)已在2004年6月24美國新澤西的IEEE標(biāo)準(zhǔn)會(huì)議上正式獲得批準(zhǔn)。2.2H3C無線校園網(wǎng)的安全策略校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第9頁。針對目前無線校園網(wǎng)應(yīng)用中的種種安全隱患,H3C的無線局域網(wǎng)產(chǎn)品體系能夠提供強(qiáng)有力的安全特性,除了傳統(tǒng)無線局域網(wǎng)中的安全策略之外,還能夠提供更加精細(xì)的管理措施。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第9頁。2.2.1可靠的加密和認(rèn)證、設(shè)備管理能夠支持目前802.11小組所提出的全部加密方式,包括高級(jí)WPA256位加密(AES,40/64位、128位和152位WEP共享密鑰加密,WPATKIP,特有的128位動(dòng)態(tài)安全鏈路加密,動(dòng)態(tài)會(huì)話密鑰管理。802.1x認(rèn)證使用802.1xRADIUS認(rèn)證和MAC地址聯(lián)合認(rèn)證,確保只有合法用戶和客戶端設(shè)備才可訪問網(wǎng)絡(luò);WPATKIP認(rèn)證采用EAP-MD5,EAP-TLS和PEAP協(xié)議,擴(kuò)展的證書認(rèn)證功能更加保證用戶身份的嚴(yán)格鑒定。支持通過本地控制臺(tái)或通過SSL或HTTPS集中管理Web瀏覽器;通過本地控制臺(tái)或通過SSHv2或Telnet遠(yuǎn)程管理的命令行界面;并可通過無線局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。和傳統(tǒng)的無線局域網(wǎng)安全措施一樣,H3C無線網(wǎng)絡(luò)可以依靠物理地址(MAC過濾、服務(wù)集標(biāo)識(shí)符(SSID匹配、訪問控制列表(ACL來提供對無線客戶端的初始過濾,只允許指定的無線終端可以連接AP。同時(shí),傳統(tǒng)無線網(wǎng)絡(luò)也存在它的不足之處。首先,它的安全策略依賴于連接到某個(gè)網(wǎng)絡(luò)位置的設(shè)備上的特定端口,對物理端口和設(shè)備的依賴是網(wǎng)絡(luò)工程的基校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第10頁。礎(chǔ)。例如,子網(wǎng)、ACL以及服務(wù)等級(jí)(CoS在路由器和交換機(jī)的端口上定義,需要通過臺(tái)式機(jī)的MAC地址來管理用戶的連接。H3C采用基于身份的組網(wǎng)功能,可提供增強(qiáng)的用戶和組的安全策略,針對特殊要求創(chuàng)建虛擬專用組(VertualPrivateGroup,VLAN不再需要通過物理連接或端口來實(shí)施,而是根據(jù)用戶和組名來區(qū)分權(quán)限。并且,H3C無線網(wǎng)絡(luò)可以對無線局域網(wǎng)進(jìn)行前所未有的控制和觀察,監(jiān)視工具甚至可以跟蹤深入到個(gè)人的信息(無論他的位置在哪里,網(wǎng)絡(luò)標(biāo)識(shí)基于用戶而不是基于物理端口或位置。其次,H3C無線網(wǎng)絡(luò)簡化了SSID支持,不再需要多個(gè)SSID來支持漫游和授權(quán)策略;單個(gè)SSID足以支持漫游、跨子網(wǎng)漫游或包括VLAN或子網(wǎng)成員資格的授權(quán)策略。大量的可配置監(jiān)視工具用于收集用戶數(shù)據(jù)(例如位置、訪問控制和安全設(shè)置和識(shí)別用戶身份。此外,使用H3C虛擬專用組(VertualPrivateGroup管理器功能,可以為用戶和組分配特定的安全和訪問策略,從而獲得最大的靈活性,同時(shí)增強(qiáng)網(wǎng)絡(luò)安全性并顯著縮短管理時(shí)間。用戶不僅可更改單個(gè)用戶設(shè)置,還可以只通過簡單的幾次擊鍵操作即可從中央管理控制臺(tái)方便地配置相似的用戶組、AP組,而不必逐個(gè)配置AP。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第10頁。H3C無線網(wǎng)絡(luò)可自動(dòng)執(zhí)行的AP射頻掃描功能通過標(biāo)識(shí)可去除非法AP,使管理員能更好地查看網(wǎng)絡(luò)狀況,提高對網(wǎng)絡(luò)的能見度。非法AP通過引入更多的流量來降低網(wǎng)絡(luò)性能,通過嘗試獲取數(shù)據(jù)或用戶名來危及網(wǎng)絡(luò)安全或者欺騙網(wǎng)絡(luò)以生成有害的垃圾郵件、病毒或蠕蟲。任何網(wǎng)絡(luò)中都可能存在非法AP,但是網(wǎng)絡(luò)規(guī)模越大就越容易受到攻擊。為了消除這種威脅,可以指定某些AP充當(dāng)射頻“衛(wèi)士”,其方法是掃描無線局域網(wǎng)來查找非法AP位置,記錄這些位置信息并采取措施以及為這些位置重新分配信道以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會(huì)檢測并調(diào)整引起射頻干擾的其他來源,例如微波爐和無繩電話。并且,射頻監(jiān)測配合基于用戶身份的組網(wǎng),不但可使用戶在漫游時(shí)具有諸如虛擬專用組成員資格、訪問控制列表(ACL、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權(quán)等內(nèi)容,還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務(wù)以及他們曾經(jīng)使用過哪些服務(wù)。H3C無線網(wǎng)絡(luò)體系提供了實(shí)時(shí)操作信息,可以快速檢測到問題,提高網(wǎng)絡(luò)的安全性并優(yōu)化網(wǎng)絡(luò),甚至還可以定位用戶。網(wǎng)絡(luò)管理應(yīng)用程序針對當(dāng)今的動(dòng)態(tài)業(yè)務(wù)而設(shè)計(jì),它提供了配置更改的自動(dòng)告警功能。向?qū)Ы缑嫣峁┝思磿r(shí)提示,從而使得管理員能夠快速針對沖突做出更改。通過使用軟件的移動(dòng)配置文件功能,管理者可以在用戶或用戶組漫游整個(gè)無線局域網(wǎng)時(shí)控制其訪問資源的位置。此外,位置策略能夠根據(jù)用戶的位置來阻止或允許對特殊應(yīng)用程序的訪問。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第11頁。第三章詳細(xì)設(shè)計(jì)校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第11頁。網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃是一個(gè)系統(tǒng)建立和優(yōu)化的過程,建設(shè)網(wǎng)絡(luò)的根本目的是在Internet上進(jìn)行資源共享與通信。要充分發(fā)揮投資網(wǎng)絡(luò)的效益,需求設(shè)計(jì)成為網(wǎng)絡(luò)規(guī)劃建設(shè)中的重要內(nèi)容,網(wǎng)絡(luò)平臺(tái)中主要有針對學(xué)校建筑群而設(shè)計(jì)出的拓?fù)鋱D,有互聯(lián)網(wǎng)設(shè)備(主交換機(jī)、路由器、二級(jí)交換機(jī)、服務(wù)器等。校園內(nèi)部網(wǎng)絡(luò)采用共享或者交換式以太網(wǎng),選擇中國科研教育網(wǎng)接入Internet,校際之間通過國際互聯(lián)網(wǎng)的方式互相連接。同時(shí)采取相應(yīng)的措施,確保通訊數(shù)據(jù)的安全、保密。另外為了防止這個(gè)校區(qū)內(nèi)病毒的傳播、感染和破壞,我們在校園網(wǎng)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防毒措施,部署防毒組件,規(guī)劃如下:在學(xué)校服務(wù)上安裝服務(wù)器端殺毒軟件;在行政、教學(xué)單位的各個(gè)分支分別安裝客戶端殺毒軟件;學(xué)校的網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作,分發(fā)殺毒軟件的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等到校內(nèi)所有用機(jī),并對殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。3.1ISA軟件防火墻的配置校園網(wǎng)內(nèi)的軟件防火墻采用ISAServe,之所以采用防火墻,是因?yàn)镮SAServer是一種新型的應(yīng)用層防火墻,避免服務(wù)的弱點(diǎn)及漏洞的攻擊,同時(shí)支持VPN功能及充當(dāng)Web代理服務(wù)器,并能提供詳細(xì)的日志報(bào)告。安裝示意圖如圖3-1所示。圖3-1ISA安裝示意圖通過ISAServe中的ISAManagement項(xiàng)中的Services標(biāo)簽,啟動(dòng)集成模式中的三個(gè)服務(wù),就可以使用ISA的所有默認(rèn)功能。同時(shí)須打開IPRouting功能、訪問權(quán)限功能、訪問策略功能、統(tǒng)一管理等。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第12頁。首先要定義組,通過在ISAServer軟件防火墻的ClientAddressSets標(biāo)簽中新建一個(gè)組名的標(biāo)識(shí),按照機(jī)房用機(jī)的IP地址范圍進(jìn)行添加,在ProtocolRules中選中協(xié)議規(guī)則后切換到Appliesto標(biāo)簽,選中ClientAddressSetsspecifiedbelow,加入設(shè)定的組即可。這樣就可以先知學(xué)校其他用機(jī)隨意上網(wǎng)。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第12頁??梢酝ㄟ^配置ISAServer來監(jiān)測常見的校園網(wǎng)絡(luò)攻擊。在ISAServe中啟用入侵檢測后,ISAServer一檢測到攻擊,就會(huì)向Windows2000事件日志中發(fā)消息。要啟用ISAServer的入侵檢測功能,應(yīng)在ISAServer管理窗口中選擇服務(wù)器名稱中的IPPacketFiltersProperties選項(xiàng),勾選EnableIntrusiondetection,即打開ISAServer的入侵檢查功能。校園網(wǎng)中擬采用“過濾王”來實(shí)現(xiàn)有效的過濾反動(dòng)、色情、邪教等有害校園氛圍的信息,硬件配置包括一個(gè)讀卡器、一張軟件光盤和若干上網(wǎng)卡?!斑^濾王”主要負(fù)責(zé)監(jiān)控、過濾、記錄相應(yīng)的日志(加密并適時(shí)向網(wǎng)絡(luò)中心上傳數(shù)據(jù)。在軟件管理終端,管理員選擇“類別”和“記錄日期”,點(diǎn)擊“查看按鈕”,就可以查看網(wǎng)絡(luò)日志和操作日志,此外,安裝“過濾王”軟件終端程序包括核心和控制臺(tái)兩部分,核心程序安裝在中心交換機(jī)以及學(xué)校機(jī)房的代理服務(wù)器上,在監(jiān)控的網(wǎng)卡列表中選測內(nèi)網(wǎng)網(wǎng)卡,進(jìn)行通信的網(wǎng)卡也指定為內(nèi)網(wǎng)網(wǎng)卡即可。將控制臺(tái)程序安裝在服務(wù)器機(jī)房上的應(yīng)用服務(wù)器上,操作系統(tǒng)安裝為Win2000。安裝完成后,控制臺(tái)程序所在的服務(wù)器IP地址就是安裝核心程序的中心交換機(jī)IP。STARVIEW在網(wǎng)絡(luò)初步異常的情況下,能進(jìn)一步查看網(wǎng)絡(luò)中的詳細(xì)流量,從而為網(wǎng)絡(luò)故障的定位提供豐富數(shù)據(jù)支持。通常網(wǎng)絡(luò)的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個(gè)方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問,而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解。3.2物理地址(MAC過濾校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第13頁。每個(gè)無線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC標(biāo)識(shí),可在AP中手工維護(hù)一組允許訪問的MAC地址列表,實(shí)現(xiàn)物理地址過濾。這種方法的效率會(huì)隨著終端數(shù)目的增加而降低,而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表,而MAC地址并不難修改,因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入,如圖3-2所示。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第13頁。圖3-2MAC地址的過濾圖3.2.1服務(wù)集標(biāo)識(shí)符(SSID匹配無線客戶端必須設(shè)置與無線訪問點(diǎn)AP相同的SSID,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務(wù)集上網(wǎng)。利用SSID設(shè)置,可以很好地進(jìn)行用戶群體分組,避免任意漫游帶來的安全和訪問性能的問題??梢酝ㄟ^設(shè)置隱藏接入點(diǎn)(AP及SSID的權(quán)限控制來達(dá)到保密的目的,因此可以認(rèn)為SSID是一個(gè)簡單的口令,通過提供口令認(rèn)證機(jī)制,實(shí)現(xiàn)一定的安全,具體的服務(wù)集標(biāo)識(shí)匹配如圖3-3所示。圖3-3服務(wù)集標(biāo)識(shí)匹配在IEEE802.11中,定義了WEP來對無線傳送的數(shù)據(jù)進(jìn)行加密,WEP的核心是采用的RC4算法。在標(biāo)準(zhǔn)中,加密密鑰長度有64位和128位兩種。其中有24Bit的IV是由系統(tǒng)產(chǎn)生的,需要在AP和Station上配置的密鑰就只有40位或104位,加密原理如圖3-4所示。圖3-4WEP加密原理圖WEP加密原理如下:1、AP先產(chǎn)生一個(gè)IV,將其同密鑰串接(IV在前作為WEPSeed,采用RC4算法生成和待加密數(shù)據(jù)等長(長度為MPDU長度加上ICV的長度的密鑰序列;2、計(jì)算待加密的MPDU數(shù)據(jù)校驗(yàn)值ICV,將其串接在MPDU之后;3、將上述兩步的結(jié)果按位異或生成加密數(shù)據(jù);校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第14頁。4、加密數(shù)據(jù)前面有四個(gè)字節(jié),存放IV和KeyID,IV占前三個(gè)字節(jié),KeyID在第四字節(jié)的高兩位,其余的位置0;如果使用Key-mappingKey,則KeyID為0,如果使用DefaultKey,則KeyID為密鑰索引(0-3其中之一。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第14頁。IEEE802.1x并不是專為WLAN設(shè)計(jì)的。它是一種基于端口的訪問控制技術(shù)。該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過,則AP為STA打開這個(gè)邏輯端口,否則不允許用戶連接網(wǎng)絡(luò),具體原理如圖3-5所示。在具有802.1x認(rèn)證功能的無線網(wǎng)絡(luò)系統(tǒng)中,當(dāng)一個(gè)WLAN用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程。校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第15頁。1.當(dāng)用戶有網(wǎng)絡(luò)違接需求時(shí)打開802.1x寵戶端程序,輸入已經(jīng)申請、登記過的用戶名和口令,發(fā)起違接請求。此時(shí),寵戶端程序?qū)l(fā)出請求認(rèn)證的報(bào)文給AP,開始吭勱一次認(rèn)證過程。2.AP收到請求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請求幀要求用戶的寵戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?.寵戶端程序響應(yīng)AP發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀送給AP。AP將寵戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器迚行處理。4.認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來的用戶名信息后,將該信息不數(shù)據(jù)庫中的用戶名表相比對,找到該用戶名對應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對它迚行加密處理,同時(shí)也將此加密字傳送給AP,由AP傳給寵戶端程序。5.寵戶端程序收到由AP傳來的加密字后,用該加密字對口令部分迚行加密處理(此種加密算法通常是丌可逆的,幵通過AP傳給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息迚行對比,如果相同,則認(rèn)為該用戶為合法用戶,反饋認(rèn)證通過的消息,幵向AP發(fā)出打開端口的指令,允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,幵保持AP端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過而丌允許業(yè)務(wù)數(shù)據(jù)通過。WPA(Wi-FiProtectedAccessWPA=802.1x+EAP+TKIP+MIC在IEEE802.11i標(biāo)準(zhǔn)最終確定前,WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議,IEEE802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能。為WPA是IEEE802.11i的一個(gè)子集,其核心就是IEEE802.1x和TKIP。21校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計(jì)全文共17頁,當(dāng)前為第15頁。認(rèn)證在802.11中幾乎形同虛設(shè)的認(rèn)證階段,到了WPA中變得尤為重要起來,它要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶,幵擁有對某些網(wǎng)絡(luò)資源的訪問權(quán),幵丏是強(qiáng)制性的。WPA的認(rèn)證分為兩種:第一種采用802.1x+E

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論