校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計

武漢輕工大學(xué)數(shù)學(xué)與計算機學(xué)院校園網(wǎng)絡(luò)平安系統(tǒng)建設(shè)方案 專業(yè)班級學(xué)號姓名指導(dǎo)教師2014年11月8日第一章、校園網(wǎng)方案設(shè)計原那么與需求1.1設(shè)計原那么充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校效勞，又要保護(hù)學(xué)校的投資。強大的平安管理措施，四分建設(shè)、六分管理，管理維護(hù)的好壞是校園網(wǎng)正常運行的關(guān)鍵在滿足學(xué)校的需求的前提下，建出自己的特色1.2網(wǎng)絡(luò)建設(shè)需求網(wǎng)絡(luò)的穩(wěn)定性要求整個網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡(luò)訪問的不同要求網(wǎng)絡(luò)高性能需求整個網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻認(rèn)證計費效率高，對用戶的認(rèn)證和計費不會對網(wǎng)絡(luò)性能造成瓶頸網(wǎng)絡(luò)平安需求防止IP地址沖突非法站點訪問過濾非法言論的準(zhǔn)確追蹤惡意攻擊的實時處理記錄訪問日志提供完整審計網(wǎng)絡(luò)管理需求需要方便的進(jìn)行用戶管理，包括開戶、銷戶、資料修改和查詢需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理需要對網(wǎng)絡(luò)故障進(jìn)行快速高效的處理第二章、某校園網(wǎng)方案設(shè)計2.1校園網(wǎng)現(xiàn)網(wǎng)拓?fù)鋱D整個網(wǎng)絡(luò)采用二級的網(wǎng)絡(luò)架構(gòu)：核心、接入。核心采用一臺RG－S4909，負(fù)責(zé)整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時為接入交換機S1926F+、內(nèi)部效勞器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無法進(jìn)行平安防護(hù)，已經(jīng)不能滿足應(yīng)用的需求。2.2校園網(wǎng)設(shè)備更新方案方案一：不更換核心設(shè)備核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機，在中校區(qū)增加一臺SAM效勞器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中會聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關(guān)鍵機器的保護(hù)，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為會聚設(shè)備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有會聚層交換機都能進(jìn)行平安控制，重點區(qū)域在接入層進(jìn)行平安控制的網(wǎng)絡(luò)布局。方案二：更換核心設(shè)備核心采用一臺銳捷網(wǎng)絡(luò)面向10萬兆平臺設(shè)計的多業(yè)務(wù)IPV6路由交換機RG-S8606，負(fù)責(zé)整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺SAM效勞器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為會聚設(shè)備，下接三臺S2126G實現(xiàn)平安控制，其它二層交換機分別接入相應(yīng)的S2126G。西校區(qū)會聚采用一臺S2126G，剩余兩臺S2126G用于保護(hù)重點機器，其它交換機接入對應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為會聚設(shè)備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有會聚層交換機都能進(jìn)行平安控制，重點區(qū)域在接入層進(jìn)行平安控制的網(wǎng)絡(luò)布局。2.3骨干網(wǎng)絡(luò)設(shè)計骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機RG-S8606主要具有5特性：1、骨干網(wǎng)帶寬設(shè)計：千兆骨干，可平滑升級到萬兆整個骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計，二條線路通過VRRP冗余路由協(xié)議和OSPF動態(tài)路由協(xié)議實現(xiàn)負(fù)載分擔(dān)和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級到萬兆。2、骨干設(shè)備的平安設(shè)計：CSS平安體系架構(gòu)3、CSS之硬件CPP由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實現(xiàn)，不影響整機的運行效率4、CSS之SPOH技術(shù)現(xiàn)在的網(wǎng)絡(luò)需要更平安、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應(yīng)用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當(dāng)于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交換機的高性能。骨干設(shè)備的穩(wěn)定性設(shè)計：三平面別離技術(shù)數(shù)據(jù)平面、管理平面、控制平面別離的設(shè)計思想交換機中的數(shù)據(jù)類型可以分為三大類：數(shù)據(jù)平面：各種二層\三層\組播\ACL\QOS數(shù)據(jù)管理平面：通過TELNET、SNMP對設(shè)備進(jìn)行管理維護(hù)的數(shù)據(jù)流控制平面：各種協(xié)議比方STP、ARP、OSPF、RIP交互的數(shù)據(jù)流2.4網(wǎng)絡(luò)平安設(shè)計2.4.1某校園網(wǎng)網(wǎng)絡(luò)平安需求分析1、網(wǎng)絡(luò)病毒的防范病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比擬多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當(dāng)某個學(xué)生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給效勞器。病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的為難境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因為大量的IP、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔(dān)憂一些機密信息比方銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其效勞于教學(xué)的作用，造成很大程度上的資源浪費。3、平安事故發(fā)生時候，需要準(zhǔn)確定位到用戶平安事故發(fā)生時候，需要準(zhǔn)確定位到用戶原因：國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構(gòu)〔包括高?！潮仨氁４?0天的用戶上網(wǎng)記錄，以待相關(guān)部門審計。校園網(wǎng)正常運行的需求：如果說不能準(zhǔn)確的定位到用戶，學(xué)生會在網(wǎng)絡(luò)中肆無忌彈進(jìn)行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴(yán)重的是，如果當(dāng)某個學(xué)生在校外的某個站點發(fā)布了大量涉及政治的比方法輪功的言論，這時候公安部門的網(wǎng)絡(luò)信息平安監(jiān)察科找到我們的時候，我們無法處理，學(xué)?；蛘哒f網(wǎng)絡(luò)中心只有替學(xué)生背這個黑鍋。4、平安事故發(fā)生時候，不能準(zhǔn)確定位到用戶的影響：一旦發(fā)生這種涉及到政治的平安事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學(xué)校做出處理；同時也會大大降低學(xué)校在社會上的影響力，降低家長、學(xué)生對學(xué)校的滿意度，對以后學(xué)生的招生也是大有影響的。5、用戶上網(wǎng)時間的控制無法控制學(xué)生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學(xué)生可能會利用一切時機上網(wǎng)，會曠課。學(xué)生家長會對學(xué)校產(chǎn)生強烈的不滿，會認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。這對學(xué)校的聲譽以及學(xué)校的長期開展是及其不利的。6、用戶網(wǎng)絡(luò)權(quán)限的控制在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比方學(xué)生應(yīng)該只能夠訪問資源效勞器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財務(wù)網(wǎng)絡(luò)。因此，需要對用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。7、各種網(wǎng)絡(luò)攻擊的有效屏蔽校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比方MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP效勞器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的播送報文，這些攻擊的存在，會擾亂網(wǎng)絡(luò)的正常運行，降低了校園網(wǎng)的效率。2.4.2某校園網(wǎng)網(wǎng)絡(luò)平安方案設(shè)計思想平安到邊緣的設(shè)計思想用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時候，也就是在接入層交換機上部署網(wǎng)絡(luò)平安無疑是到達(dá)更好的效果。全局平安的設(shè)計思想銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)平安，平安不是某一個設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其平安功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)平安。全程平安的設(shè)計思想用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時候、訪問網(wǎng)絡(luò)后。對著每一個階段，都應(yīng)該有嚴(yán)格的平安控制措施。3、網(wǎng)絡(luò)故障的信息自動報告STARVIEW支持故障信息的自動告警，當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，會通過TRAP的方式進(jìn)行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。4、設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的觀察。5、RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進(jìn)行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進(jìn)行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。網(wǎng)絡(luò)故障管理隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡(luò)故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個流程：打、去網(wǎng)絡(luò)中心上不了網(wǎng)？網(wǎng)管員手工登記受理打、去網(wǎng)絡(luò)中心上不了網(wǎng)？網(wǎng)管員手工登記受理與用戶預(yù)約，上門處理網(wǎng)管員安排處理人員和時間與用戶預(yù)約，上門處理網(wǎng)管員安排處理人員和時間對于這種傳統(tǒng)的網(wǎng)絡(luò)故障解決方法，有以下的幾個弊端：1、網(wǎng)管員工作量大當(dāng)用戶出現(xiàn)網(wǎng)絡(luò)故障時，需要通過或者到網(wǎng)絡(luò)中心進(jìn)行報修，也就是說網(wǎng)管員經(jīng)常會被打攪，網(wǎng)管員日常的工作思路會受到影響，再者，接待學(xué)生的態(tài)度很不好把握，會造成用戶對網(wǎng)管員態(tài)度有看法，對網(wǎng)絡(luò)中心的聲譽產(chǎn)生負(fù)面影響。網(wǎng)管需要手工登記用戶故障信息，需要一定的時間，造成效率降低。需要與用戶預(yù)約故障處理時間，效率低，浪費較多的網(wǎng)絡(luò)故障是用戶方的問題，網(wǎng)管上門效勞價值太低2、網(wǎng)絡(luò)故障表單管理混亂手工填寫的故障表單容易喪失，表單喪失，意味著故障信息喪失，會嚴(yán)重影響網(wǎng)管員的工作A管理員受理學(xué)生來故障，很有可能到時候是B管理員來處理，存在信息很難完全同步的問題，導(dǎo)致故障處理受到影響。重復(fù)受理，如果學(xué)生今天來報了故障，網(wǎng)絡(luò)中心沒有解決，那第二天，他可能又會去報修，導(dǎo)致故障重復(fù)，干擾網(wǎng)管的正常