校园网安全整体解决方案设计文档格式.docx
《校园网安全整体解决方案设计文档格式.docx》由会员分享,可在线阅读,更多相关《校园网安全整体解决方案设计文档格式.docx(24页珍藏版)》请在冰豆网上搜索。
4.本校网络拓扑图8
4.1.简化拓扑图8
4.2VLAN技术的虚拟实现8
4.3防火墙功能的实现9
4.4地址映射的实现9
5、设备选型10
5.1路由器的选择10
5.2交换机的选择11
5.3防火墙15
5.4服务器16
6.总结-1-
1.绪论
1.1课题背景
校园网作为学校信息化建设的基础设施,在教学、科研、管理和对外交流等方面都起着举足轻重的作用。
随着高校网络规模的急剧膨胀,网络用户的快速增长,网络数据的急剧增加,校园网的安全问题也不断暴露出来,如病毒侵蚀、恶意软件、黑象攻击等,校园网时刻都会受到来自内部和外部的威胁与危害,针对校园网的安全向题,构建完善的网络安全体系是越来越重要。
而且校园网与其它网络比具有以下一些特点:
(1)校园网的数据流量大、速度快、规模大
近年来,随着高校扩招和合并,校园网的用户群体一般比较大,少则数千人、多则数万人。
许多校园网已经发展为一个跨城域的网络。
校园网已发展成为了一个全面信息的化阶段。
多媒体教学和网络视频应用的推广对网络交换速度和数据量提出更高的要求,同时也要求网络安全部件要有更快的处理速度和更高的性能。
(2)校园网中的设备来源多样化、管理复杂
校园网是一个平台,面向高校的师生,校园网中的设备来源比较复杂。
容易出现计算机病毒“交叉感染”,无法分清责任。
(3)活跃的用户群体
高校的学生是最活跃的网络用户,对网络新技术充满好奇,面对精力充沛的高校学生,网络安全更为迫切。
(4)有限的投入
校园网的后期管理容易被忽视,特别是管理和维护吧人员方面的投入明显不足,无暇顾及、也没有条件管理和维护千台、万台计算机的安全。
(5)盗版资源泛滥
从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
1.2校园网的发展
网络技术的发展,尤其是Internet的出现,使我们校园生活、学习、工作和环境发生了巨大的变化。
利用学校计算机网络,采用先进的管理软件,可规范学校的管理行为,提高管理水平和工作效率;
在减轻工作量的同时,利用计算机存储量大、处理快速准确的特点,为学校的决策提供准确及时的信息。
在学校的办公、信息交流和通信方面充分发挥计算机网络的作用,在软件的支持下实现网上协同工作。
计算机网络将使教学模式上有比较大突破,原来的老师、学生和网络三者之间的关系将发生变化,教师不再是知识的惟一拥有者和权威者,把知识传授给学生。
学生应是学习的主体,校园网为学生的探索式学习提供情景和资源,老师只作为学习的指导者。
在教学过程中将采用网络技术、多媒体技术,利用网络上丰富的教学资源,激发学生的学习兴趣,提高教学质量。
多媒体技术将文本、声音、图像、动画和视频技术融为一体,使的教学活动变得生动且形式多变,从而提高学生学习的积极性、效率和效果。
高校校园网早期应用主要局限于行政办公、后勤、教学与计算中心,分离性较大,大部分采用企业网模式。
而现在大部分高校在规划校园网时已计划将网络覆盖至学生宿舍区以及教师家属区,向在校学生及教职工提供园区内部互连以及Internet接入服务。
2.校园网的发展现状与分析
2.1校园网现状
校园网网络信息十分丰富,网络用户的活动也非常活跃,校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等等,这些无论是涉及个人隐私或利益的信息,还是学校行政办公的文档信息,以及用于政治宣传和管理的信息都需要进行完整性、真实性保护和控制,这就需要对进出校园网的访问行为进行必要的、有效性的控制,封堵某些禁止的行为和业务,避免损失。
校园网络系统中接入着成百上千台计算机,这些计算机的操作系统各种各样,通常分布在不同的物理位置,由不同的用户操作,用于不同的用途,由于这些差异,使得校园网网络中计算机中的漏洞问题十分严重。
因为使用者的安全意识不强,或者采取措施不及时造成的损失在校园网网内时有发生,因此采用安全、及时的漏洞扫描技术对校园网网络中的系统漏洞进行扫描,在攻击发生之前发现网络和系统中的漏洞,并及时采取措施进行修复,可以进一步提高校园网络信息安全保障水平。
校园网接入互联网以后,用户通过校园网进入互联网。
网络上的各种信息良荞不齐,色情、暴力、邪教内容的网站泛滥,对正在形成世界观和人生观的学生来说,有可能还不能正确地对待这类内容,这些违反人类道德标准和有关法律法规的有毒信息对他们危害极大,如果信息安全措施不好,不仅会有部分学生进入这些网站,还可能在校园内传播这类不良信息。
校园网网络的方便快捷同时也为病毒的肆意传播留下可能,下载的程序和电子邮件都有可能带有病毒。
通过网络传播病毒无论在传播速度,还是破坏性和传播范围等方面都是单机病毒不能比拟的。
大量病毒传播不仅占用网络资源,而且破坏服务器或单机,最终影响整个学校网络系统的正常运作,严重的还可能造成校园网网络的瘫痪,因此邮件监控和防病毒工作也是校园网络信息安全的一个重要方面。
教育信息化、校园网络化作为网络时代的教育方式和教育环境,己经成为教育发展的方向。
随着各高校网络规模的急剧膨胀、网络用户的快速增长,校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。
随着网络技术的发展与普及,校园网早已成为现代化教育建设的基础设施,校园网建设己经不仅仅只是局限于实现网络内部资源共享和外部信息互换。
各学校为了能够实现以网养网,对网络设计提出了更高的要求,可运营、更安全、更实用成了今天对校园网络关注的焦点。
2.2校园网安全需求
第一,高校面临着严峻的网络安全形势。
越来越多的报道表明高校校园网己意识的淡薄,而另一方面,高校学生—这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。
有关数字显示,目前校园网遭受的恶意攻击,70%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
第二,网络安全一定是全方位的安全。
首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;
其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护,要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;
最后,要充分考虑全局统一的安全部署,需要能够从接入控制,到对网络安全事件进行深度探测,到现有安全设备有机的联动,到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全架构。
2.3校园网安全面临的威胁
校园网内的用户数量较大,局域网络数目较多,认真分析可以总结出校园网面临如下的安全威胁:
(1)各种操作系统以及应用系统自身的漏洞带来的安全威胁;
(2)Internet网络用户对校园网存在非法访问或恶意入侵的威胁;
(3)来自校园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。
内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;
(4)内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;
(5)内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;
(6)校园网内的学生群体是主要的OICQ用户,目前针对OICQ的黑客程序随处可见;
(7)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁;
3.校园网安全设计策略
校园网的安全威胁既有来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。
一般来说,构筑校园网络安全体系,要从两个方面着手:
一是采用先进的技术;
二是不断改进管理方法。
3.1校园网安全管理
针对目前高校校园网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。
以下五点是高校的安全策略:
1、规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。
对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。
为校园网的安全提供最基础的保障。
2、配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:
防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。
另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3、解决用户上网身份问题,建立全校统一的身份认证系统。
校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
4、严格规范上网场所的管理,集中进行监控和管理。
上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
3.2校园网络安全技术
前述各种网络安全威胁,都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。
为杜绝网络威胁,主要手段就是完善网络病毒监管能力,堵塞网络漏洞,从而达到网络安全。
在该网络防病毒方案中,要达到一个目的就是:
要在整个局域网内杜绝病毒的感染、传播和发作。
为了实现这一点,应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段;
同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。
VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。
内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。
同时,可以限制外来的垃圾邮件。
在与Internet相连的每一台电脑上都装上防火墙,成为内外网之间一道牢固的安全屏障。
在防火墙设置上按照以下原则配置来提高网络安全性:
(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:
协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。
总体上遵从“不被允许的服务就是被禁止”的原则.
(2)禁止访问系统级别的服务(如HTTP,FTP等)。
局域网内部的机器只允许访问文件、打印机共享服务。
使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。
(3)如果你在局域网中使用你的机器,那么你就必须正确设置你在局域网中的IP,防火墙系统才能认识哪些数据包是从局域网来,哪些是从互联网来,从而保证你在局域网中正常使用网络服务(如文件、打印机共享)功能。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
(5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性.
入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击。
扩展系统管理员的安全管理能力.提高信息安全基础结构的完整性。
入侵检测系统能实时捕获内外网之间传输的数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并记录有关事件。
入侵检测系统还可以发出实时报警,使网络管理员能够及时采取应对措施。
随着软件规模的不断增大.系统中的安全漏洞或“后门”也不可避免地存在.因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。
数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。
加强网络管理主要是要做好两方面的工作。
首先,加强网络安全知识的培训和普及;
其次,是健全完善管理制度和相应的考核机制,以提高网络管理的效率。
4.本校网络拓扑图
4.1.简化拓扑图
图4.1
4.2VLAN技术的虚拟实现
将位于不同地理位置的主机划分到同一个局域网之中,如图4.1中,pc0与pc3不在同一个物理局域网之中,可以通过配置将其逻辑划分到同一个局域网之中。
!
interfaceFastEthernet0/1
switchportmodetrunk
interfaceFastEthernet0/2
switchportaccessvlan10
switchportaccessvlan20
interfaceFastEthernet0/3
4.3防火墙功能的实现
通过对路由器端口流量规则的设置,实现外网只能访问校园网web服务器,而不能访问内外,但校园网能够正常访问外网。
access-list1deny192.168.80.00.0.0.255
access-list1permit10.0.0.00.255.255.255
4.4地址映射的实现
内网访问外网时,由于公网地址有限,往往采用地址映射来实现内网对外网的访问。
ipnatpoolcat192.168.3.2192.168.3.30netmask255.255.255.0
ipnatinsidesourcelist1poolcat
ipclassless
5、设备选型
5.1路由器的选择
锐捷RSR-08路由器是高性能、通用的骨干汇聚路由器,具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点,并能提供全范围的光纤和铜缆接口。
RSR-08路由器具有强大的业务能力,可以满足目前所有的城域汇聚和接入需求,提供多协议标准交换(MPLS)第2或3层隧道技术、动态带宽控制和面向连接的数据收集体系。
作为多协议标记(MPLS)PE路由器,他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。
通过使用VPLS,可以利用原有网络和以太网基础设施提供VOIP、互联网接入、视频以及多点虚拟专用网(VPN)等融合业务。
锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC-48。
部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务,并提供高可用性网络所需的冗余支持。
设备性能
交换容量
32G
包处理能力
16.7MPPS
ACL
2万条
路由表
25万条
流表
最多可达2,000,000个第4层应用数据流
最多可达3,500,000个第2层MAC地址
MTBF
>
200,000小时(预测)
协议支持
路由协议
OSPF、IS-IS、BGP、RIPv2、静态路由
组播协议
IGMP、PIM-DM/SM、DVMRP、RP
地址管理
静态、DHCP中继
MPLS
MPLSLSR和LER支持、2547-bisMPLSL3VPN、MartiniMPLSL2VLL、MPLS透明局域网业务TLS、MPLS快速重路由
特色支持
NAT、Loadbalancing、VSRP、Webcacheredirection、策略路由、HPS
管理方式
线速全组RMON/RMON2、简单网络管理协议(SNMP)管理、SSH、RADIUS、TACACS+、RS-232、命令行接口(CLI)
物理指标
尺寸
高8.75英寸×
宽17.25英寸×
深12.25英寸(22.23厘米×
43.82厘米×
31.12厘米)
重量
44.5磅(20.2公斤)
环境规格
操作温度
+0°
C到+40°
(32º
到104º
F)
存储温度
-40°
C到+70°
C(-40º
到158º
相对操作湿度
10%到90%(非冷凝)
相对存储湿度
5%到95%(非冷凝)
电源规格
交流电源
输入电压:
100到240VAC
输入电流:
12~6A
频率:
50到60Hz
直流电源
-48到-60VDC
27A
标准和规范
安全性
UL60950、CAN/CSA-C22.2No.60950、EN60950、IEC950、72/73/EEC
电磁兼容性
FCCPart15、CSAC108.8、EN55022、VCCI、EN55024、89/336/EEC
ETSI
ETSIEN300-386、EN300-109、ETS300-753
NEBS
NEBSLevel3、GR-1089、GR-63
5.2交换机的选择
RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。
目前提供10竖插槽设计和6横插槽设计两种主机:
RG-S6810E和RG-S6806E。
RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽,并支持将来扩展到4.8T/2.4T的能力,高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议,并可扩展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等丰富的业务功能,满足客户环境灵活而复杂的不同应用需求。
技术参数
RG-S6810E
RG-S6806E
模块插槽
10个(2个用于管理引擎模块)
6个(2个用于管理引擎模块)
背板
1.6T(可扩展3.2T)
2.4T(可扩展4.8T)(V3.x)
800G(可扩展1.6T)
1.2T(可扩展2.4T)(V3.x)
800G
1.2T(V3.x引擎)
400G
600G(V3.x引擎)
包转发速率
L2/L3:
572Mpps
857Mpps(V3.x引擎)
286Mpps
428M(V3.x引擎)
路由表项
256K
802.1qVLAN
4K
L2协议
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、PortMirror、IgmpSnooping、JumboFrame(9Kbytes)、QinQ、GVRP
L3协议
BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SSM/SM/DM、LPMRouting、Policy-basedRouting、ECMP、WCMP、VRRP
病毒攻击防护
全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描
SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSH
其它协议
SNTP、DHCPClient、DHCPRelay、DNSClient、ARPProxy、Radius、IPV6、MPLS、LoadBalancing、EAPS、NAT、VPN、Firewall、IDS、WebCacheRedirect、Syslog
尺寸(长x宽x高)
448mmx437mmx956mm
508mmx437mmx647mm
电源
100VAC~240VAC,50Hz~60Hz,功率:
1200W
200,000hours
温度
工作温度:
0℃到40℃
存储温度:
-40℃到70℃
湿度
工作湿度:
10%到90%RH
存储湿度:
5%到95%RH
RG-S6506是锐捷网络推出的万兆骨干路由交换机,拥有6个模块扩展槽,提供管理模块冗余,支持万兆、千兆和百兆模块线速转发,可以根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。
”
RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
背板构架
分布式CROSSBAR
192G
768G(V3.x)
576G(第二代管理引擎)
143Mpps
286Mpps(第二代管理引擎)
MAC地址
64K
OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、BGP4、DVMRP、PIM-SSM/SM/DM、LPMRouting、ECMP、WCMP、VRRP
升级会员 