H3C网络安全技术在校园网中的设计与实现.docx
《H3C网络安全技术在校园网中的设计与实现.docx》由会员分享,可在线阅读,更多相关《H3C网络安全技术在校园网中的设计与实现.docx(39页珍藏版)》请在冰豆网上搜索。
H3C网络安全技术在校园网中的设计与实现
哈尔滨铁道职业技术学院
毕业设计
毕业题目:
H3C网络安全技术在校园网中的设计与实现
学生:
XXX______
指导教师:
XXX_______
专业:
计算机网络技术
班级:
11计算机网络
2014年5月
哈尔滨铁道职业技术学院
毕业设计
开题报告
专业计算机网络技术专业
设计方向_网络管理
姓名______XXXXXX
指导教师审查意见:
审查合格,同意存档。
指导教师签字:
年月日
H3C网络安全技术在校园网中的设计与实现
一、选题的背景与意义
计算机网络安全已引起世界各国的关注,我国近几年才逐渐开始在高等教育中渗透计算机网络安全方面的基础知识和网络安全技术应用知识。
随着网络高新技术的不断发展,社会经济建设与发展越来越依赖于计算机网络,计算机网络安全对我们生活的重要意义也不可同日而语。
H3C设备是目前我国政府,企业,电信,教育行业的主流网络设备生产商,研究旗下路由器,交换机以及安全设备,存储设备的网络安全系统的综合部署对以后系统集成案例有很好的效仿作用。
二、毕业设计的主要内容
它主要包括以下内容:
1、很多高校在教育,办公,行政网络的安全技术投入很多,效果很明显。
但是忽略了学生上网的安全性,容易被黑客攻击,造成网络瘫痪。
2、高校在网络建设方面加大了力度,使用网络安全策略以保证网络的质量。
3、新型的攻击手段总在不断地涌现,计算机操作人员需要不断学习,不断积累经验,提高计算机网络水平,这才是提高我们计算机网络安全最重要的安全措施。
。
4、H3C设备在各个高校应用较为广泛,自己独有的局域网安全技术得到认可,VRRP+MSTP技术在核心层应用较多,构建安全的STP生成树体系。
5、H3C网络技术的应用及部分介绍。
三、参考文献
[1]赵志东.构建H3C高性能园区网络,2010.5;
[2]田海荣.H3C构建安全优化的广域网,2010.5;
[3]赵志东,田海荣.H3C大规模网络路由技术,2010.5;
[4]计算机网络.北京:
清华大学出版社,2005;
[5]思科网络公司.北京:
思科交换机、路由器技术手册,2005。
四、设计时间安排
(1)确定题目:
2014年4月至2014年5月;
(2)现场调研:
2014年4月至2014年5月;
(3)查阅文献:
组建高性能局域网、防火墙原理与技术;
(4)资料整理分析:
安全策略、规划方案、系统数据结构设计;
(5)编写设计、总结:
2014年4月至2014年5月;
(6)打印、提交、送审设计,准备答辩:
2014年5月。
哈尔滨铁道职业技术学院
毕业设计任务书
设计题目H3C网络安全技术在校园网中的设计与实现
指导教师XXXX
专业计算机网络技术专业
学生XXXXX
2014年05月1日
题目名称:
H3C网络安全技术在校园网中的设计与实现
任务内容(学校的教学、科研、学校管理、信息资源共享和远程教学。
)
校园网已成为学校教学管理工作的重要平台,教学改革的重要工具,教学信息资源的重要来源,目前高校中,用于学生使用计算机的数量,已经超过行政、教学、科研使用的计算机数量;随着高校扩招,学生数量持续增加,预计高校中,学生用计算机的需求量仍将继续攀升。
在此次的校园网实现当中学校的教学、教研、远程教学等都连入校园网,网络设备都已经上线,均大部分是H3C,其他为思科,华为;本次实施的内容:
根据要求学校的每台计算机都能连接互联网,能实现内部资源共享,局域网内采用VLAN技术限制不同办公室的访问。
分析各部门机构网络流量大小,合理选择网络连接设备,如:
核心交换机、汇聚层交换机、接入层交换机、路由器、防火墙、等设备。
选择中心机房安放位置,并按国家标准组织施工建设。
做好路由器与防火墙之间的安全通信工作,防止环路,ARP攻击。
确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标注和要求。
中国移动WLAN无线AP访问的建设在各个高校开始实施,每个学生及教师都可以方便的上网,这在校园网中产生了势不可挡的的势头。
随着校园网网络安全受关注程度的提高,高校在校园网建设中最关心的网络安全问题主要集中在防病毒攻击和管理信息安全问题上;而存储安全管理和安全认证也将成为未来所关注的因素。
从学校性质来看,各类高校都在网络安全制度的制定上给予了极高的重视,但是组织实施方面不够完善,制定与执行两者出现脱节,培训有一定差距。
因而可以看出,计划执行部门的权威性不高,需引起领导重视。
专业负责人意见
签名:
年月日
摘要
在过去的几年内,逐年增加的网络攻击事件和安全隐患提示我们,网络安全已经逐步演成为计算机业界最迅速发展的领域之一。
安全不再仅仅是一项技术或者权益一时的事物,它已经成为网络蓝图的必要组成部分。
安全技术和解决方案需要从根本上整合到基础设施中,与网络架构融合。
本文系统介绍了网络安全的概念;深入分析目前主流的网络安全技术;在网络边界,局域网内部,路由协议,身份认证等方面部署安全技术;如何针对主流的攻击技术进行防护。
从而为企业级用户和运营商用户在部署安全技术方案时,提供一定的参考价值,从而将网络隐患降到最低。
2010年1月,国务院决定加快推进电信网、广播电视网和互联网三网融合,2010年至2012年广电和电信业务双向进入试点,2013年至2015年,全面实现三网融合。
所谓三网融合即推进电信网、广播电视网和互联网三网互联互通、资源共享,为用户提供语音、数据和广播电视等多种服务。
此政策涉及领域广泛,涉及上市公司众多。
这将导致未来几年网络规模以指数形式增长,网络也会变得越来越复杂,承担的任务越来越关键,给运营和管理网络的人们带来新的挑战,很显然这些快速发展的技术引发了新的安全问题。
网络安全对国民经济的威胁、甚至对国家和地区的威胁也日益严重。
因此网络安全扮演的角色也会越来越重要。
与此同时,加快培养网络安全方面的应用型人才、广泛普及网络安全知识和掌握网络安全技术突显重要和迫在眉睫。
关键词:
网络;安全;部署;三网融合;资源共享。
1绪论1
2校园网络2
2.1校园网络安全概述2
2.2校园网络基本概念2
2.3校园网络安全的特征2
3校园局域网安全4
3.1基于H3C系列交换机VLAN的应用4
3.2利用GVRP协议来管理VLAN5
3.3H3C交换机设备间的端口汇聚5
3.4构建安全的STP生成树体系6
3.5多层交换机体系部署VRRP6
4边界网络安全技术8
4.1概述8
4.2NAT技术的应用8
4.3ACL技术的应用8
4.4VPN技术的应用10
5路由安全13
5.1路由安全叙述13
5.2静态路由协议13
5.3OSPF路由协议13
5.4BGP路由协议15
6校园网络安全的威胁17
6.1校园网络攻击概述与趋势17
6.2ARP攻击18
6.3DDOS攻击18
6.4口令攻击18
6.5蠕虫病毒19
6.6VLAN攻击19
7校园网安全措施21
7.1校园网安全介绍21
7.2校园网安全管理21
7.3校园网安全措施21
7.4建立安全管理制度23
8结论24
参考文献25
1绪论
随着时代的发展,在二十一世纪信息以经成为了重要的开发性资源。
与材料、能源共同构成了社会物质生活的“三大资源”。
信息产业的发展水平已成为衡量一个国家现代化水平与综合国力的重要标志。
随着计算机网络的迅速发展,计算机网络对人类生活、工作、学习和科学研究产生着越来越重要的影响。
计算机网络技术作为计算机学科最重要的研究领域和最重要的社会信息基础设施重要技术之一,在飞速发展的同时也存在大量急需解决的挑战性问题。
一方面高等教育,以计算机为核心的信息技术已成为很多专业课教学内容的有机组成部分,计算机应用能力成为衡量大学生业务素质与能力的标识之一;另一方面初等教育中信息技术课程的普及,使高校新生的计算机基本知识起点有所提高。
因此,研究网络的基础理论、解决网络发展的关键技术、培养适应网络时代需要的高质量人才,是计算机科学与技术科学在新形式下的首要任务。
建设先进的网络实验体系和实验教材,对于培养网络时代高质量人才具有着极其重要的意义。
2校园网络
2.1校园网络安全概述
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络的生命在于其安全性。
因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
随着网络规模以指数形式增长,网络变得越来越复杂,承担的任务越来越关键,给运营和管理网络的人们带来了新的挑。
很明显需要包括语音、视频和数据(全能)服务的综合网络基础设施建设,但是这些快速发展的技术引发了新的安全问题。
因此网络管理员竭尽所能在网络基础设施里添加最新的技术,在构建和维护当今高速增长的网络方面,网络安全扮演了举足轻重的角色。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
2.2校园网络基本概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
2.3校园网络安全的特征
网络安全应具有以下五个方面的特征:
保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
可控性:
对信息的传播及内容具有控制能力。
可审查性:
出现的安全问题时提供依据与手段。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
2.4校园网络安全策略
计算机网络系统的安全管理主要是配合行政手段,制定有关网络安全管理的规章制度,在技术上实现网络系统的安全管理,确保网络系统的安全、可靠地运行,主要涉及以下四个方面:
一、网络物理安全策略
计算机网络系统物理安全策略的目的是保护计算机系统、网络服务器、网络用户终端机、打印机等硬件实体和通信链路免受自然灾害、人为破坏和攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机网络系统有一个良好的工作环境;建立完备的安全管理制度,防止非法进入计算机网络系统控制室和网络黑客的各种破坏活动。
二、网络访问控制策略
访问控制策略是计算机网络系统安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常规访问。
它也是维护网络系统安全、保护网络资源的重要手段。
各种网络安全策略必须相互配合才能真正起到保护作用,所以网络访问控制策略是保证网络安全最重要的核心策略之一。
三、网络信息加密策略
信息加密策略主要是保护计算机网络系统内的数据、文件、口令和控制信息等网络资源的安全。
四、网络安全管理策略
在计算机网络系统安全策略中,不仅需要采取网络技术措施保护网络安全,还必须加强网络的行政安全管理,制定有关网络使用的规章制度,对于确保计算机网络系统的安全、可靠地运行,将会起到十分有效的作用。
计算机网络系统的安全管理策略包括:
确定网络安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的管理维护制度和应急措施等等。
3校园局域网安全
3.1基于H3C系列交换机VLAN的应用
VLAN技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的LAN即VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,从而最大程度的减少了广播风暴的影响。
VLAN可以增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备,如图3.1所示。
图3.1vlan部署图
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
H3C低端系列以太网交换机支持的以太网端口链路类型有三种:
(1)Access类型:
端口只能属于1个VLAN,一般用于连接计算机;
(2)Trunk类型:
端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间的连接;
(3)Hybrid类型:
端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
交换机与工作站之间的连接接口配置为Access,交换机和交换机之间的连接一般采用Trunk端口,协议采用802.1q(ISL为cisco专用协议)
3.2利用GVRP协议来管理VLAN
通过使用GVRP,可以使同一局域网内的交换机接收来自其它交换机的VLAN注册信息,并动态更新本地的VLAN注册信息,包括:
当前的VLAN、配置版本号、这些VLAN可以通过哪个端口到达等。
而且设备能够将本地的VLAN注册信息向其它设备传播,使同一局域网内所有设备的VLAN信息达成一致,减少由人工配置带来的错误的可能性。
对GVRP不熟悉的朋友,可以参考CISCO的VTP协议,两者大同小异。
3.3H3C交换机设备之间的端口汇聚
端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组,使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑链路。
将多个物理链路捆绑在一起后,不但提升了整个网络的带宽,而且数据还可以同时经由被绑定的多个物理链路传输,具有链路冗余的作用,在网络出现故障或其他原因断开其中一条或多条链路时,剩下的链路还可以工作。
这样,同一汇聚组的各个成员端口之间彼此动态备份,提高了连接可靠性,增强了负载均衡的能力。
以太网端口汇聚配置示例图
对于H3C的交换机设备做端口汇聚时,必须注意以下几点:
⏹做端口汇聚时,H3C交换机最多可以包括8个端口,这些端口不必是连续分布的,也不必位于相同的模块中;至于有几个汇聚组则视交换机的类型而定。
⏹一个汇聚组内的所有端口必须使用相同的协议如LACP。
⏹一个汇聚组内的端口必须有相同的速度和双工模式。
⏹一个端口不能再相同时间内属于多个汇聚组。
一个汇聚组内的所有端口都必须配置到相同的接入VLAN中。
3.4构建安全的STP生成树体系
STP协议最主要的应用是为了避免局域网中的网络环回,解决以太网网络的“广播风暴”问题,从某种意义上说是一种网络保护技术,可以消除由于失误或者意外带来的循环连接,各大交换机设备厂商默认开启STP协议。
H3C交换机支持的生成树协议有三种类型,分别是STP(IEEE802.1D)、RSTP(IEEE802.1W)和MSTP(IEEE802.1S),这三种类型的生成树协议均按照标准协议的规定实现,采用标准的生成树协议报文格式。
⏹手动指定根网桥
不要让STP来决定选举哪台交换机为根网桥。
对于每个VLAN,您通常可以确定哪台交换机最适合用做根网桥。
哪台交换机最适合用做根网桥取决于网络设计,一般而言,应选择位于网络中央的功能强大的交换机。
如果让根网桥位于网络中央,并直接连接到多台服务器和路由器,通常可缩短客户端到服务器和路由器的距离。
对于VLAN,静态地指定要用做根网桥和备用(辅助)根网桥的交换机。
⏹多层交换体系中部署MSTP
MSTP(MultIPleSpanningTreeProtocol)是把IEEE802.1w的快速生成树(RST)算法扩展而得到的,体现的是将多个VLAN映射到一个生成树实例的能力。
STP不能迁移,RSTP可以快速收敛,但和STP一样不能按VLAN阻塞冗余链路,所有VLAN的报文都按一颗生成树进行转发。
MSTP兼容STP和RSTP,从而弥补STP和RSTP的缺陷,不但可以快速收敛,同时还提供了数据转发的多个冗余路径,使不同VLAN的流量沿各自的路径分发,在数据转发过程中实现VLAN数据的负载均衡,使设备的利用率达到最高。
3.5多层交换体系中部署VRRP
随着Internet的发展,人们对网络可靠性,安全性的要求越来越高。
对于终端用户来说,希望时时与网络其他部分保持通信。
VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种容错协议,它保证当主机的下一跳路由器失效时,可以及时由另一台路由器代替,从而保持通信的连续性和可靠性。
Cisco系列交换机更多的采用思科厂商专用的HSRP(HotStandbyRouterProtocol,热备份路由器协议)
为了使VRRP工作,要在路由器上配置虚拟路由器号和虚拟IP地址,同时会产生一个虚拟MAC(00-00-5E-00-01-[VRID])地址,这样在这个网络中就加入了一个虚拟路由器。
一个虚拟路由器由一个主路由器和若干个备份路由器组成,主路由器实现真正的转发功能。
当主路由器出现故障时,一个备份路由器将成为新的主路由器,接替它的工作,避免备份组内的单台或多台交换机发生故障而引起的通信中断。
4边界网络安全技术
4.1边界网络安全技术概述
网络边界就是网络的大门,大门的安全防护是网络安全的基础需求。
随着网络的日益复杂,域边界的概念逐渐替代了网络边界,边界成了网络安全区域之间安全控制的基本点。
黑客攻击与厂家防护技术都会最先出现在这里,然后在对抗中逐步完善与成熟起来。
4.2NAT技术的应用
NAT(NetworkAddressTranslation,网络地址转换)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
如图4.1所示,运用NAT技术隐藏了局域网内部的17.1.1.0网段,在Internet网上显示的是1.1.1.0网段
图4.1NAT技术组网图
NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用PAT。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation)。
采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
4.3ACL技术的应用
ACL(AccessControlList,访问控制列表)在路由器中被广泛采用,它是一种基于包过滤的流控制技术。
目前有两种主要的ACL:
标准ACL和扩展ACL。
标准的ACL使用1-99以及1300-1999之间的数字作为表号,扩展的ACL使用100-199以及2000-2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
如图4.2所示,VLAN10可以拒绝VLAN11的所有访问流量。
扩展ACL比标准ACL提供了更广泛的控制范围,扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。
如图4.2所示服务器所在的VLAN1可以允许客户的80端口访问。
一个端口执行哪条ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给ACL中的下一个条件判断语句进行比较。
如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。
如果所有的ACL判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
图4.2ACL技术组网图
另外还有一些特殊情况下的ACL技术的应用:
1、基于MAC地址的ACL:
二层ACL根据源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则,对数据进行相应处理。
二层ACL的序号取值范围为4000~4999。
如图4.2所示:
PC2可以针对PC3的MAC地址进行限制
升级会员 