校园网络安全规划与设计Word下载.docx
《校园网络安全规划与设计Word下载.docx》由会员分享,可在线阅读,更多相关《校园网络安全规划与设计Word下载.docx(24页珍藏版)》请在冰豆网上搜索。
安全;
设计
校园网络安全
自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。
根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。
由于校园网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。
所以,校园网络可能存在的安全威胁来自以下方面:
1.
操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC;
2.
防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过检验;
3.
来自内部网用户的安全威胁;
4.
缺乏有效的手段监视、评估网络系统的安全性;
5.
采用的TCP/IP协议族软件,本身缺乏安全性;
6.
应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
1.1校园网络安全现状分析
随着网络技术的发展,可以说现在的大部分学校都建立了校园网络并投入使用,这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用,但在积极发展办公自动化、信息电子化、实现资源共享的同时,网络的安全问题越来越成为一个非常严惩的隐患,就好像一颗定时炸弹一样,深深的埋在教育现代化的进程中,如果这一个隐患不除,那么也许有一天,学校信息平台服务器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了,导致辛苦积累的大量教育资源被破坏。
比如2003年暴发的“震荡波、冲击波、FORM.A”等病毒,虽没有造成很大的损失,但足以使认识到网络安全的重要性。
因此,如何在现有的条件下避免这样事件发生,搞好网络的安全工作已成了一个重要课题。
1997年开始,我国校园网络建设悄然兴起。
全国各省市都把建设校园网作为现代教育的头等大事来抓。
1999年9月,教育部决定正式启动国家现代远程教育工程,清华大学、浙江大学、北京邮电大学、湖南大学等高校获准进行试点。
目前,这几所院校已初步形成了开办现代远程教育的技术手段。
各校在实践中逐渐意识到:
一所学校教育质量的好坏,学术水平层次的高低,与教学手段的先进程度有一定关系,教学手段对学校整体的发展有着直接影响。
在世界各发达国家,校园网的建设速度似乎不亚于其他如政府网的兴建速度。
现代教育的实施程度也与校园网络建设直接相关联。
如美国要求所有中小学生都能上网,都能使用电子邮件,并计划将全国122所一流大学与社会广泛连接,构筑一个教育与研究的专用网络;
英国提出要在2000年成立网上工业大学,到2002年所有中小学、图书馆、学院和大学全部介入全国的学习网;
新加坡提出八岁儿童能阅读,十二岁儿童能上网。
1996年,教育部提出要以全国1000所中小学校作为试点,建立起各自的校园网络。
截止2000年年初,教育部宣布有500多家已建立。
可以说,在国家政策扶持下,我国校园网建设取得了飞速发展。
但现实中,各地在建立学校校园网的过程中又存在这样那样的问题,如有的学校建网初期就缺乏整体规划,从而导致主干网和各子网通路不畅,或是导致后期整体效率不高;
有的学校缺乏必要的网络建设监督人员,将项目交给一些实力较弱或是责任心较差的公司全权负责,结果导致建网质量偏低,后期维护费用偏大;
还有的学校认为校园网就是"
一揽子"
计划,忽视了后期维护和配套建设工作,从而导致后期预算偏紧,校园网难以正常运作为了解决上述问题,在建网时应注意:
校园网建设没有通用方案,每个学校应根据自身实际情况(资金和技术能力),设计自身的校园网络;
校园网建设是一个周期较长,规模庞大的系统工程,不能"
一蹴而就"
,更不能只考虑局部建设,而缺乏整体规划;
重视对教师的培训,避免因教师素质原因导致网络应用效率不高,从而导致资源的浪费。
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。
校园网也同样不能幸免。
黑客入侵校园网的新闻也时有发生,非更改考试成绩;
更改英语全国四、六级统考成绩;
更改考研成绩;
非法盗取学校招生、分配机密等。
综上所述,网络必须有足够强的安全措施。
无论是公众网还是校园网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
[7]
1.2校园网络安全威胁
1计算机病毒
计算机病毒是一组通过复制自身来感染其它软件的程序。
当程序运行时,嵌入的病毒也随之运行并感染其它程序。
计算机病毒种类繁多,形形色色,但就已经发现的计算机病毒而言,其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。
破坏性是指计算机病毒可能会干扰软件的运行,或者无限制地侵占系统资源使系统无法运行,又或者毁掉部分数据或程序,使之无法恢复,甚至可以毁坏整个系统,导致系统崩溃。
传染性则是计算机病毒能通过自我复制传染到内存、硬盘甚至文件中。
寄生性表现为病毒程序一般不独立存在.而是寄生在磁盘系统区或文件中。
潜伏性则是指计算机病毒可以长时间地潜伏在文件中,在相应的触发机制出现前并不影响计算机,但当被触发后,则后果严重。
激发性是指病毒程序可以按照没计者的要求,例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。
计算机病毒的传染性证明其具有传播性,防止病毒传播,首先必须认识其传播途径和传播机理。
计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、携带病毒的盗版光盘的使用等传播。
这时候的病毒传播还是线下传播。
随着计算机网络的发展,计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等方式实现。
病毒还可以利用网络的薄弱环节攻击计算机网络。
在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。
因此.网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。
2网络攻击校园网面临的另一个安全威胁就是网络攻击。
广义的网络攻击包括很多方面。
这里结合校园网络安全的特点,重点介绍拒绝服务(DoS,DanielofService)攻击。
之所以介绍拒绝服务攻击,因为拒绝服务攻击在校园网发牛的更为普遍。
这是因为校园网用户集中度高、密度大.为拒绝服务攻击提供了天然条件。
加之学生的好奇心的因素,导致拒绝服务攻击发生频率较高,是危害校园网安全的重要类型之一。
拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备,导致被攻击网络无法提供服务的一种攻击方式。
典型的拒绝服务攻击表现为攻击者向被攻击网络大陆发送数据从而消耗其资源、使得用户无法访问所需信息。
拒绝服务攻击的方法多样。
攻击者在发起攻击时,可能采取单一手段的攻击模式,也可能采取多种攻击手段联合使用的模式。
就其攻击手段来说.主要有以下几种:
1)死亡之Ping。
早期的网络不支持大包,攻击者通过网络发送大母的大数据包到被攻击者网络,造成网络堵塞以致瘫痪。
目前的网络已经能够支持大包,这种方式已经不再出现。
2)泪滴攻击。
攻击者采用修改包片段字头的方式,使得包无法正确组装.导致网络访问失败的方式。
3)UDP洪水攻击。
攻击利用如chargen和echo等简单的TCP/IP服务.相互发送大量数据以沾满带宽,从而瘫痪网络的方式。
4)SYN洪水攻击。
攻击者通过想服务器发送连续的SYN握手信息来瘫痪服务器的攻击方式。
5)LAND攻击该攻击是让服务器自己向自己发送SYN握手信息.已达到瘫痪主机的目的。
6)Smurf攻击。
攻击者将报文地址设为Echo地址,这样Echo78地址就必须不问断的响应该报文,使得网络带宽被侵占,从而达到瘫痪网络的目的。
7)Fraggle攻击。
Fraggle攻击对Smurf攻击做了修改。
8)电子邮件炸弹。
通过向一台服务器大量的不间断的发送电子邮件,起到瘫痪服务器的作用。
9)急性消息攻击。
借助机器对某些消息为进行错误校验来攻击服务器。
10)分布式拒绝服务攻击。
它是威力最强大的拒绝服务攻击方式,其主要采用多台服务器对同一网络同时发起攻击,导致该网络瞬间瘫痪。
常见的拒绝服务攻击主要有以上几种,攻击者攻击目的和攻击水平不同,选用的方式不同。
无论哪种方式,都对网络安全造成很大的危害。
[5]
3存在的安全隐患,以我校为例,校园网络存在的安全隐患和漏洞有:
1)计算机与Internet相连,却没有安装相应的杀毒软件及防火墙。
2)使用的操作系统存在安全漏洞,网络木马、病毒和黑客攻击影响到系统的安全。
校内大部分计算机系统或多或少都存在着各种的漏洞,校园网络又对社会开放,这样一来只要接入INTERNET的用户就可以对校园的网络服务器进行攻击,而流行于网络上的很多病毒如“震荡波、冲击波、尼姆达”病毒都是利用系统的漏洞来进行病毒传播的,加上带毒的木马程序,一感染便驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递。
3)目录共享导致信息的外泄,在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。
但可以说几乎所有的人都没有充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。
这也成了数据资料安全的一个隐患。
我曾经搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。
因而对目录共享安全意识的单薄,会导致了信息的外泄。
4)网络安全意识淡薄,校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜,我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;
另外,没有制定完善而严格的网络安全制度,各校园网在安全管理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因.由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要.
2.校园网络安全策略
校园网的安全威胁既有来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。
国内高校校园网的安全问题有其历史原因:
在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理“的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。
而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。
作为高等院校,如何构筑相对可靠的校园网络安全体系问题,变得越来越突出了。
一般来说,构筑校园网络安全体系,要从两个方面着手:
一是采用先进的技术;
二是不断改进管理方法。
2.1校园网安全管理
针对目前高校校园网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。
以下五点是高校的安全策略:
1、规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。
对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。
为校园网的安全提供最基础的保障。
2、配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:
防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。
另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3、解决用户上网身份问题,建立全校统一的身份认证系统。
校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
4、严格规范上网场所的管理,集中进行监控和管理。
上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
5、根据相关部门的要求,配备专门的安全管理人员,出台网络安全管理制度。
网络安全的技术是多样化的,现状还是“道高一尺,魔高一丈”,因此管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。
[2]
2.2校园网络安全措施
前述各种网络安全威胁,都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。
为杜绝网络威胁,主要手段就是完善网络病毒监管能力,堵塞网络漏洞,从而达到网络安全。
1、杀毒软件。
杀毒产品的部署.在该网络防病毒方案中,要达到一个目的就是:
要在整个局域网内杜绝病毒的感染、传播和发作。
为了实现这一点,应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段;
同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。
(1)在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心,负责管理校内网点的计算机。
(2)在各办公室分别安装杀毒软件的客户端。
(3)安装完杀毒软件,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
(4)网络中心负责整个校园网的升级工作。
2、采用VLAN技术。
VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。
VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。
3、内容过滤器。
内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。
同时,可以限制外来的垃圾邮件。
4、防火墙。
在与Internet相连的每一台电脑上都装上防火墙,成为内外网之间一道牢固的安全屏障。
在防火墙设置上按照以下原则配置来提高网络安全性:
(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:
协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。
总体上遵从“不被允许的服务就是被禁止”的原则.
(2)禁止访问系统级别的服务(如HTTP,FTP等)。
局域网内部的机器只允许访问文件、打印机共享服务。
使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。
(3)如果你在局域网中使用你的机器,那么你就必须正确设置你在局域网中的IP,防火墙系统才能认识哪些数据包是从局域网来,哪些是从互联网来,从而保证你在局域网中正常使用网络服务(如文件、打印机共享)功能。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
(5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性.
5、入侵检测。
入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击。
扩展系统管理员的安全管理能力.提高信息安全基础结构的完整性。
入侵检测系统能实时捕获内外网之间传输的数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并记录有关事件。
入侵检测系统还可以发出实时报警,使网络管理员能够及时采取应对措施。
6、漏洞扫描。
随着软件规模的不断增大.系统中的安全漏洞或“后门”也不可避免地存在.因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。
7、数据加密。
数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。
8、加强网络安全管理。
加强网络管理主要是要做好两方面的工作。
首先,加强网络安全知识的培训和普及;
其次,是健全完善管理制度和相应的考核机制,以提高网络管理的效率。
[6]
3.校园网络安全系统设计
学校建立了一套校园网络安全系统,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行,并定期对校内教师进行计算机网络安全知识培训,或发放常见病毒解决方案等。
3.1校园网建设需求分析
3.1.1需求分析
局域网最大的特点就是可以实现资源的最佳利用,如:
共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;
当然也可以借助Wingate或Sygate等软件多机共享一台Modem上网;
或者通过代理服务器连上Internet,享受非一般的速度。
网卡根据传输速率可分为:
10Mbps网卡(ISA插口或PCI插口)、100MbpsPCI插口网卡、10Mbps/100Mbps自适应网卡和千兆网卡。
目前10MbpsISA插口的网卡仍以其低廉的价格占有市场的一定份额,但由于10MbpsISA插口网卡的网络传输速率低,且占用大量的CPU资源,只适应于那些对速度要求不高的局域网,因此用100MbpsPCI插口的网卡或者10Mbps/100Mbps自适应网卡,够适应于用户比较多,网上传输的数据量大和需要进行多媒体信息传输的应用环境。
BNC口是用细同轴电缆作为传输媒介的一种网卡接口。
RJ45是采用双绞线作为传输媒介的一种网卡接口,RJ45的接口酷似电话线的接口,但网络线使用的是8芯的接头,使用RJ45的缺点是架设成本高,但安装和维护较为方便,因此我们一般使用RJ45接口。
集线器(HUB):
根据微机的数量,利用HUB构成星形结构,在工作站较多的情况下,会因HUB的处理速率远远低于通信线路的传输速度,从而造成瓶颈问题。
因此有条件的话可选用交换机。
一个Hub所组成的域称为冲突域,也就是说,网络上任何一台计算机在收发数据时,其他所有计算机都能够收到,且这些计算机不能同时进行数据的收发,否则会发生碰撞(CSMA/CD协议会阻止碰撞)。
此外每台接入Hub的计算机,都要检测接收到的数据目的地址,以确认是否是收到自己的通信信息,因此计算机CPU占用率高,全网通信效率低,只适用于小型工作组级别应用。
学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络;
是学校信息化教学环境的基础设施和实现各项管理的物质基础;
是建立远程教育体系的基本保证;
是提高全民素质的重要手段;
也是一项灵魂工程。
其设计方案应注意以下原则:
实用性校园网设计应能满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。
可靠性校园网的系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强。
统一性在系统的设计过程中,坚持"
三统一"
,即统一规划、统一标准、统一出口。
先进性在系统的开发过程中,既能满足当前院校对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;
设计的配置可以灵活变通,以便适应客户的其他要求。
3.1.2关键设备
在产品选购之前一定要经过认真的分析,这次参与组网的机构选用美国Cisco公司的Catalyst6506作为数据网络系统的内部核心交换机,Catalyst6506是大容量的具有高交换能力的第三层模块化交换机,Catalyst6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。
选择Catalyst3548作为外网交换机。
可以通过千兆的光纤链路连接到核心交换机,而所有的用户终端可以通过10/100M自适应通道接入到CiscoCatalyst3524和Catalyst3548交换机上。
选择Catalyst3524和Catalyst3548作为计算机网络系统的二级汇聚交换机,为终端用户提供10/100M到桌面。
选择Cisco3662作为计算机网络系统DDN、ISDN访问路由器,既可以满足上级单位Internet的DDN、ISDN接入的需求,又可以满足继续扩展的需求。
同时Cisco3662作为计算机网络系统的拨号服务器,提供分支机构的拨号接入。
网络核心层:
用一台Cisco的高端三层交换机Catalyst6506作为整个交换系统的核心,由网络中心网络管理员统一调度,从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。
其中配置两个电源同时供电,彼此分担负荷并互为备份。
一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏,它控制交换机的寻址、数据转发、模块控制等。
Catalyst6506交换机引擎卡上的MSFC2(MultilayerSwitchingFeatureCard)卡具有极强的三层交换能力,利用Cisco特有的Netflow技术,完全满足核心线性三层交换的能力。
另一块WS-X6408-GBIC的8端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直接连入到核心层设备上去。
汇聚层:
在分配线间分别设立CiscoCatalyst3524和Catalyst3548作为计算机网络系统汇聚层设备,汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备Catalyst6506上去,终端用户可以通过超5类UTP线缆连接到各层交换机中去,可以实现10/100M的自适应通道连接到局域网中去。
接入层;
在网络接入层中我们选用了一台Cisco3660路由器作为广域互连和外部用户拨号访问网关,其中主要采用了两种接入方式分别实现各自功能:
1. ADSL接入方式。
2.FTTX+LAN接入方式。
3.1.3校园网网络拓扑结构
根据校园网的需求分析及建设目标,本设计方案采用交换式千兆以太网作为主干,百兆交换到桌面。
网络拓扑采用星型树结构,网络中心的交换机使用堆叠方式连接。
3.2技术方案
3.2.1校园网的建设规划
校园网建设作为一项复杂的系统工程,与任何一项