2689汪泽阳信息安全技术作业.docx
《2689汪泽阳信息安全技术作业.docx》由会员分享,可在线阅读,更多相关《2689汪泽阳信息安全技术作业.docx(10页珍藏版)》请在冰豆网上搜索。
2689汪泽阳信息安全技术作业
安徽财经大学
信息安全技术
关于我校校园网信息安全情况报告
汪泽阳
2015-12-30
目录
1学校校园网目前的现状2
1.1设备2
1.1.1核心交换机:
2台JuniperMx9603
1.1.2汇聚交换机:
两台juniperEX45505
1.2网络安全措施7
1.2.1企业安全网关7
2当前面临的问题8
2.1IP盗用问题8
2.2防火墙攻击8
2.3Email问题9
2.4各种服务器和网络设备的扫描和攻击9
2.5病毒防护9
3.提高校园网络安全的措施方法10
3.1设备安全措施10
3.2技术安全措施10
3.2.1系统权限设置10
3.2.2信息安全防范技术12
3.当前校园安全的需求17
1学校校园网目前的现状
布设信息点25400个,已开通建筑物80栋,三个校区共铺设光缆63.5公里;已注册用户总数9480户;提供多种网络服务;目前校园网对外出口有三条;一条100兆光纤与安徽省教育科技网互连,另外两条100兆光纤连接到Internet,使本校对外出口的带宽达到300兆,实现了与中国科技教育网,internet的高速互连。
1.1设备
校园网设备简单的把它总结为需要硬件设备和软件设备,硬件设备包括交换机,路由器,网络服务器等.软件设备包括专业网管软件. 对于中小规模的网络,设备选型时应遵循以下一些基本原则
(1) 标准化原则:
所选择的设备必须基于国际标准或行业标准。
因为只有基于标准的产品才有可能和其他厂商的产品互连互通(需要指出的是,并非只要基于标准的产品,彼此之间才能够互连互通)。
(2) 技术简单性原则:
对网络需求必须十分明确。
对于普通用户而言,在满足需求的前提下,尽可能选择简单实用的技术和设备。
否则,今后的运行管理、故障诊断等,都需要请专业人员,开销巨大,运行效果不见得好。
(3) 环境适应性原则:
不要轻信外国某些机构的评测报告,其中不乏商业因素。
而且,即使是权威机构的评测报告,也只是在特定网络环境下取得的结果,不能作为产品选型的全部依据。
1.1.1核心交换机:
2台JuniperMx960
概况:
全新的MX960平台是业界容量最大的运营商级以太网平台,提供最大可达960千兆位每秒(Gbps)的交换和路由容量-从而降低每平台的成本并增加收入,产品还能通过扩展来保护客户投资。
MX960有效支持高密度接口和大容量的交换吞吐量,适用于广泛的而色弱ser二企业和住宅应用与服务,包括高速传输和VPN服务、下一代宽带多重播放服务以及大容量的互联网数据中心网络互连等。
MX960以太网业务路由器为运营商级以太网的容量、密度和性能制订了新的业界标准。
作为第一款优化用于新兴以太网网络架构和服务的Juniper平台,MX960专门构建用于满足最苛刻的运营商应用需求。
MX960利用JUNOS操作系统,使运营商能够以经济高效地方式无缝部署以太网并加速下一代网络部署。
通过将最佳的硬件平台与JUNOS软件的可靠性及服务灵活性结合在一起,MX960提供的特性和功能都令以往的运营商级以太网部署望尘莫及。
功能描述:
MX960是经过专门优化的以太网业务路由器,能够提供交换和运营商级以太网路由功能,以确保实现最低的每端口成本,同时不降低性能、可靠性、可扩展性和功能。
基于以太网的业务为供应商提供了大量的创收新机会。
这些业务包括VPN、点到点连接、高速互联网接入和宽带汇聚。
随着技术和标准的不断发展,以太网日益成为服务供应商的首选边缘技术。
MX960为企业和住宅业务提供无可比拟的可扩展性、性能、可靠性和QoS,是Juniper网络公司致力于提供以太网核心解决方案以满足下一代网络和业务需求的一个有力证明。
MX960是一种高密度第2层和第3层以太网交换机/路由器平台,设计用于多种服务供应商边缘业务的部署。
MX960提供大量的以太网业务,包括:
用于多点连接的VPLS业务:
内置VPLS业务功能
用于点到点业务的虚拟专线(VLL):
支持点到点业务
RFC2547.bisIP/MPLSVPN(L3VPN):
全面支持整个以太网中的MPLSVPN
园区/企业网边缘的以太网汇聚:
支持密集的1GE和10GE配置并提供全面的L3支持以满足园区边缘的需求。
多业务边缘的以太网汇聚:
支持多达480个1GE端口或48个10GE端口,以最大限度提高以太网的密度,并为MSE应用提供全面的L2和L3VPN支持。
从多协议标签交换(MPLS)技术中我们可以看到,技术和标准的向前发展推动了服务供应商边缘的以太网技术的演进。
按照传统的观点,MPLS是在网络骨干网中使用,以提供流量工程,允许承载IP、帧中继和ATM等大量的L2和L3流量。
将MPLS扩展到以太网边缘为服务供应商带来多种益处,例如修复技术、OA&M诊断功能以及为对时延和时延变化敏感的业务提供QoS支持。
Juniper网络公司是MPLS技术的开发和部署领域的领导厂商,处于业界的前沿阵地,可帮助服务供应商基于MPLS提供网络架构和业务。
MX960提供大量由JUNOS操作系统支持的MPLS特性。
JUNOS的丰富特性为MX960提供了优势,而其他操作系统不是不够成熟,不能支持所需要的广泛的MPLS特性,就是采用单片电路架构,已经变得过于复杂繁琐而无法有效管理。
1.1.2汇聚交换机:
两台juniperEX4550
概述:
可扩展的EX4500系列以太网交换机提供经济、高能效、高性能的平台,适合企业园区和数据中心柜顶部署,同样适合服务提供商环境。
2UEX4500拥有40个线速双GbE/10GbE端口,以及完整的第2层和第3层支持。
可选的高速上行链路模块包含8个额外的10GbE端口。
1UEX4550有32个线速GbE/10GbE端口和2个扩展插槽,可安装可选模块,将端口密度提升到48。
EX4550支持第3层动态路由协议(如RIP和OSPF)、MPLS服务(如第2层和第3层VPN)、所有端口上的MACsec以及综合全面的服务质量(QoS)特性集。
EX4500和EX4550均支持瞻博网络集群交换技术,可与EX4200交换机一同部署在相同的集群交换配置之中,支持同时包含GbE和10GbE服务器的环境。
功能:
经过实践检验的瞻博网络技术:
运营商级架构配合JunosOS,使得EX系列交换机得以为所有应用提供运营商级可靠性。
EX系列交换机融合安全风险管理与统一接入控制,能够动态提供网络保护、访客访问和基于身份的QoS。
超高1GbE、10GbE、40GbE和100GbE端口密度提供线速性能,显著简化网络拓扑结构和操作。
每个交换机端口八个QoS队列可确保正确确定语音、视频和多个数据信息流级别的优先级,并且仍可融合其他网络,如构建自动化和视频安全系统。
经济实惠的创新交换机设计支持的新架构可降低成本和减少复杂性,同时统一管理和自动化工具可整合系统监控。
集群交换技术允许多台互连的EX系列交换机作为单一逻辑设备运行,从而降低运营支出和简化管理。
1.2网络安全措施
1.2.1企业安全网关
SG-6000是Hillstone公司全新推出的新一代多核安全网关系列产品。
其基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。
处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
SG-6000-M2105处理能力高达600Mbps,广泛适用于企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防御、网页访问控制等安全服务。
目前已有的:
在校园网出口位置架设防火墙实现校园网与互联网的隔离;在校园网内部服务器与数据中心之前假设防火墙以防止校园网内部对重要设备与服务器的攻击,防火墙系统保证外部和内部核心设备都不被攻击。
外部服务器群包括WEB服务器,MAIL服务器等,内部服务器包括计费服务器,DNS服务器,视频点播服务器和其他各种应用服务器等。
2当前面临的问题
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。
来源于网内的威胁主要是病毒攻击和黑客行为攻击。
根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。
现阶段,校园网的主题架构已经成型,然而随着对网络服务要求的进一步提高,我们还要全面地解决在运行中所出现的问题,从而提供更加完善的服务。
2.1IP盗用问题
校园网内部连接有几千台电脑,一部分电脑通过正常的申请途径申请得到合法的IP地址,另一部分则不然。
当某些没有IP地址的用户,冒用他人的合法IP地址时,就会造成网络内部地址的冲突,严重阻碍了合法用户的正常使用。
2.2防火墙攻击
防火墙系统相关技术的发展已经比较成熟,防火墙系统很坚固,但这只是对于对外的防护而已,它对于内部的防护则几乎不起什么作用。
然而不幸的是,一般情况下有70%的攻击是来自局域网的内部人员。
所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。
2.3Email问题
由于用户安全观念的淡薄以及网上某些人的别有用心,会给校园网的Email用户发一些不良内容的信件,有时还会携带各种各样的病毒。
因此,怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。
2.4各种服务器和网络设备的扫描和攻击
有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。
2.5病毒防护
互联网迅猛发展使得网络运营成为社会时尚,但同时也为病毒感染和快速传播提供了途径。
病毒从网络之间传递,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。
近阶段泛滥的"尼姆达病毒"就是典型的例子。
因此,如何让校园网更安全,防止网络遭受病毒的侵袭,已成为校园网迫切需要解决的问题。
3.提高校园网络安全的措施方法
安全措施是指一个特定环境中,为保证提供一定级别的安全保护所实施的一些作法。
它包括设备安全措施、技术安全措施、网络安全管理规范。
3.1设备安全措施
保证计算机网络系统设备的物理安全是整个网络安全的前提。
物理安全是保护计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。
主要包括两个方面:
环境安全和设备安全,即确保计算机系统有一个良好运行环境和做好设备的防盗、防毁、防电等安全保护措施。
3.2技术安全措施
3.2.1系统权限设置
权限设置主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。
第一、入网访问控制。
入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。
访问控制的主要功能包括:
保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。
访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。
当用户身份和访问权限验证之后,还需要对越权操作进行监控。
因此,访问控制的内容包括认证、控制策略实现和安全审计。
(1)认证。
包括主体对客体的识别及客体对主体的检验确认。
(2)控制策略。
通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。
既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。
同时对合法用户,也不能越权行使权限以外的功能及访问范围。
(3)安全审计。
系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。
主要的访问控制类型有3种模式:
自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)
第二、网络的权限控制。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。
用户和用户组被赋予一定的权限。
网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录、设备能够执行哪些操作。
第三、目录级安全控制。
网络应允许控制用户对目录、文件、设备的访问。
用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。
第四、属性安全控制。
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。
属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。
属性安全在权限安全的基础上提供更进一步的安全性。
基于属性的访问控制是以决策过程中涉及的相关实体的属性(而不仅仅是标识)为基础
进行授权的一种访问控制机制。
它能够根据相关实体属性的动态变化,适时更新访问控制决
策,从而提供了一种细粒度,更加灵活的访问控制方法。
第五、网络服务器安全控制。
网络允许在服务器控制台上执行一系列操作。
用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。
网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3.2.2信息安全防范技术
第一、防火墙控制。
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。
它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上,而集中在防火墙一身上。
监控网络存取和访问
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
第二、网络杀毒系统
对于校园网络,必须采用一套完整的网络杀毒、防黑相结合的系统,实现对校园内电脑访问互联网进行有害信息过滤管理,从而防止一些色情、暴力和反动信息危害学生的身心健康,电脑杀毒利用杀毒软件:
杀毒软件的任务是实时监控和扫描磁盘。
杀毒软件的实时监控方式因软件而异。
有的杀毒软件,是通过在内存里划分一部分空间,将电脑里流过内存的数据与杀毒软件自身所带的病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒。
另一些杀毒软件则在所划分到的内存空间里面,虚拟执行系统或用户提交的程序,根据其行为或结果作出判断。
而扫描磁盘的方式,则和上面提到的实时监控的第一种工作方式一样,只是在这里,杀毒软件将会将磁盘上所有的文件(或者用户自定义的扫描范围内的文件)做一次检查。
第三、系统数据灾难恢复
对于校园网络,数据维护一个难点,因此我们必须掌握备份和镜像技术。
备份技术是最常用的提高数据完整性的措施,它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。
镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
第四漏洞扫描设备:
定期的网络安全自我检测、评估
配备漏洞扫描系统,网络管理人员可以定期的进行网络安全检测服务,安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,优化资源,提高网络的运行效率。
安装新软件、启动新服务后的检查
由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。
网络建设和网络改造前后的安全规划评估和成效检验
网络建设者必须建立整体安全规划,以统领全局,高屋建瓴。
在可以容忍的风险级别和可以接受的成本之间,取得恰当的平衡,在多种多样的安全产品和技术之间做出取舍。
配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全规划评估和成效检验网络的安全系统建设方案和建设成效评估
网络承担重要任务前的安全性测试
网络承担重要任务前应该多采取主动防止出现事故的安全措施,从技术上和管理上加强对网络安全和信息安全的重视,形成立体防护,由被动修补变成主动的防范,最终把出现事故的概率降到最低。
配备网络漏洞扫描/网络评估系统可以让您很方便的进行安全性测试。
网络安全事故后的分析调查
网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。
重大网络安全事件前的准备
重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。
公安、保密部门组织的安全性检查
3.当前校园安全的需求
1)要适应高校的网络特点要求:
用户数量庞大,网络应用复杂,不能在终端上限制网络用户行为,只能在网络设备上解决网络问题;2)要能够达到轻载要求:
低负载,高带宽,最简单,最有效;3)要具有先进的技术性:
支持线速转发,具备高密度的万兆端口,核心设备支持T级以上的背板设计,硬件实现ACL、QoS、组播等功能;
4)要稳定、可靠:
确保物理层、链路层、网络层、病毒环境下的稳定、可靠;
5)要有健壮的安全:
不以牺牲网络性能为代价,实现病毒和攻击的防护、用户接入控制、路由协议安全;
6)要易于管理:
具备网络拓朴发现、网络设备集中统一管理、性能监视和预警、分类查看管理事件的能力;
7)要能实现弹性扩展:
包括背板带宽、交换容量、转发能力、端口密度、业务能力的可扩展。
升级会员 