校园网安全方案
校园网安全方案 2020 年 5 月 29 日 1 文档仅供参考 校园网安全方案校园网安全方案 加入时间: -1-11 15:53:02来自:admin点击:3343 安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子 商务、网上办公、各种中间业务的应用,学校网络不再是一个封闭的网络,极大地扩展了学校的 业务,提高了学校的竞争力,但同时也带来网络安全的风险。网络设计中必须制定网络安全策略, 保证内部网络的完整性和安全性。 所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问,甚至破坏或者 篡改这些数据/资源。从安全威胁的对象来看,能够分为网络传送过程、网络服务过程和软件应 用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击,如常 见的监听、ip 地址欺骗、路由协议攻击、ICMP Smurf 攻击等;网络服务过程主要是针对 TCP/UDP 以及局域其上的应用层协议进行,如常见的 UDP/TCP 欺骗、TCP 流量劫持、TCP Dos、FTP 反弹、DNS 欺骗等等;软件应用过程则针对位于服务器/主机上的操作系统以及其上 的应用程序,甚至是基于 WEB 的软件系统发起攻击。从安全威胁的手法来看,蠕虫、拒绝服务、 舰艇、木马、病毒……都是常见的攻击工具。 宝鸡职业学院网络安全体系架构为学校提供整体的、可扩展的、高性能的、灵活的安全解决方 案。采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计每个模块时,都考虑 到一些关键的因素,包括潜在可能的威胁或侵入及相应的对策、性能(不能因为安全控制带来不 可接受的性能下降)、可扩展性、可管理性、服务质量和语音的支持等。 1 1 路由器和交换机的安全功能路由器和交换机的安全功能 博达路由器实现的网络安全技术有博达路由器实现的网络安全技术有: : VPN 技术:IPSec、GRE 包过滤技术 AAA 技术、Radius、Tacacs+认证 日志功能 NAT 网络地址转换 PPP 协议 PAP、CHAP 认证 PPP 协议 Callback 技术 IP 地址-MAC 地址绑定技术 路由信息认证技术 IEEE 802.1Q VLAN 技术 安全措施安全措施 2 2020 年 5 月 29 日 文档仅供参考 7610、S8506、S6806 和 S2224 提供了丰富的安全技术和措施。较为有效的措施有:设备本身 的安全管理,包括设置用户管理权限,用户密码等;用户接入的认证,能够提供 802.1X,Web 认证等 多种用户认证方式;端口和 MAC 地址等的绑定和过滤功能,端口用户数限制等功能。 其它的辅助措施还包括广播风暴抑制,端口限速等。 1.11.1 基于包过滤的防火墙技术基于包过滤的防火墙技术 博达路由器支持基于包过滤的防火墙技术,防火墙访问列表根据 IP 报文的 IP 报头及所承载的上 层协议(如 TCP)报头中的每一个域包含了能够由路由器进行处理的信息。包过滤一般见到的 IP 报文的以下属性: IP 的源、目的地址及协议类型 TCP 或 UDP 的源、目的端口 ICMP 码、ICMP 的类型码 TCP 的标志域 服务类型 TOS IP 报文的优先级(precedence) 博达路由器的访问表还提供了基于时间的包过滤,能够规定过滤规则发生作用的时间范围,在此 时间范围以外,不进行由时间定义的访问规则判断。在时间段的设置上,能够采用绝对时间段和 周期时间段以及连续时间段和离散时间段配合使用,在应用上提供极大的灵活性。 1.2 AAA1.2 AAA 技术、技术、RadiusRadius、、Tacacs+Tacacs+认证认证 博达路由器 AAA 技术提供了对用户的验证、授权和记帐功能。 (1)验证功能 各种用户(包括登录、拨号接入用户等)在获得访问网络资源(包括路由器)之前必须先经过验证。 验证时能够选择是采用本地维护的用户数据库,还是采用 Radius 服务器所维护的用户数据库,或 者是采用 Tacacs+服务器所维护的用户数据库。 博达路由器支持与 AAA 技术相结合的 Radius、Tacacs+认证。 (2)授权功能 经过定义一组属性来限定用户的权限信息,来确定用户的访问权限。这些信息存放在相应的用户 数据库内。 (3)记帐功能 该功能使得路由器能够对用户访问的网络资源进行跟踪记录,当选择了该项功能时,用户的访问 信息便会存入相应的用户数据库内,根据数据库,就能够产生各类用户帐单信息。 1.31.3 日志功能日志功能 日志(log)功能用于将路由器产生的各种信息以日志形式记录到具备 Syslog 功能的主机上(如 Unix 主机或运行 Syslogd 的主机)。日志功能与访问列表功能相结合能够任意定义所要记录的 信息,以备查用,如跟踪记录黑客攻击报文等。 1.4 NAT1.4 NAT 网络地址转换技术网络地址转换技术 3 2020 年 5 月 29 日 文档仅供参考 网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免 了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了内部网络的结构, 增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。 博达路由器支持静态地址翻译(SNAT)、端口地址翻译(PAT)、动态地址翻译(DNAT)。能够支持 带访问列表的地址转换,用来限定能够进行地址转换的内部主机地址,有效地控制内部主机对外 部网络的访问;同时还能够根据地址池,进行多对多的地址转换,合理地利用公共的合法 IP 地址资 源;利用网络地址转换,能够在屏蔽内部地址的同时,确保了对外的各种网络服务的安全性。 1.5 IP1.5 IP 地址-地址-MACMAC 地址绑定技术地址绑定技术 MAC 地址绑定技术是经过在路由器中静态配置 IP 地址和 MAC 地址的映射关系来完成 ARP 应 答来实现的。原理如图所示: 博达博达 ARPARP 代理技术代理技术 能够看到,路由器不再动态的响应来自局域网的主机的 ARP 请求,当接收到一个 ARP 请求时,路 由器首先检查请求报文的源 IP 地址,然后在自己的静态映射表中寻找与此相对应的 MAC 地址, 如果没有寻找到相关映射,将对此报文不作任何处理,通信也就无法实现,从而保证了可能由无效 IP 地址的主机发起的攻击。如果寻找到相关映射,就回答一个 ARP 响应,当响应报文中的目的 MAC 地址域的值是用映射表中的 MAC 地址填充的,而不是依据请求报文中的源 MAC 地址域的 地址值。这样,只有请求报文的 MAC 和静态映射的 MAC 一致时(即没有伪装 IP),通信才能够建 立,否则,如图所示,通信也不可能建立,从而防止 IP 地址的欺骗。 这种技术能够在 S8510、S6806 等交换机上实现。 1.61.6 动态路由协议认证技术动态路由协议认证技术 路由器是根据路由信息来发送报文的,而路由信息恰恰又是经过网络在不同的路由器间转发的。 因此,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合 法的。需要对邻接路由器进行路由信息认证的有以
蚂蚁文库