校园网网络安全方案设计.docx
《校园网网络安全方案设计.docx》由会员分享,可在线阅读,更多相关《校园网网络安全方案设计.docx(36页珍藏版)》请在冰豆网上搜索。
校园网网络安全方案设计
湖南广播电视大学
成人教育专科毕业作业
题目:
校园网网络安全方案设计
专业:
学号:
姓名:
分校:
广播电视大学
指导教师:
湖南广播电视大学教务处制
湖南广播电视大学毕业作业写作过程记录表
(此页由学生填写)
选题经过
上网查找资料、问卷调查确定选题
调研与材料准备
对调查资料进行分析讨论,选择开发工具和开发环境,准备相关的硬软件资源
初稿写作
写需求分析与概要设计,确定模块功能
第一次
修改内容
对模块功能中存在的歧义、冗余进行修改,完善模块功能
第二次
修改内容
对主要功能进行完善
第三次
修改内容
对论文进行完善,定稿
湖南广播电视大学毕业作业评审表
指导教师评语
该论文主题明确,结构较为合理。
在论文的写作过程中,能够独立的查找相关资料,与指导老师密切配合,按时完成了毕业论文。
作者思路清晰,论述过程严谨,分析有条理。
本论文结合校园网中安全布署与实施,分析了用NAT技术和IPS技术解决网络边界安全问题,保证内网免外部网络的安全威胁。
再通过AAA技术,802.1X技术解决内网端口安全问题和传统认证方式对企业园区网络中用户数据包繁琐的处理造成了网络传输瓶颈问题。
并通过网络中部署DHCP攻击防范技术和ACL部署,提出了校园网网络认证系统的整体框架,为建造一个可扩展,可管理,更稳定、安全、可靠,高效的校园网网络提供了新的思路和方法。
指导成绩
优秀
指导教师(签名):
2012年11月15日
分校初审意见
初审成绩
初审教师(签名):
年月日
省校终审意见
终审成绩
终审教师(签名):
年月日
前言
网络的飞速发展,网络安全技术的不断更新,学校需要一个安全,高效,低廉的部署方案,并且还要考虑到校园网络的可维护性和可扩展性。
在网络边界区域,网络要通过防火墙和ips等设备防范和阻止来自外部网络的攻击。
如黑客对网络进行非授权访问,冒充合法用户,破坏数据完整性,干扰网络业务正常运行,利用网络传播病毒,线路窃听等非法的行为。
本文将通过在防火墙上部署NAT,认证授权,旁挂IPS设备等等技术来实现。
对于一个大型校园网来说,除了外部网络的安全威胁外,内部网络中的安全部署也是尤为重要的。
为了防范内部网络用户的非法行为,实现网络的高安全性,部署了AAA,802.1X,DHCPSPOOPLING,IPsourceguar(ip源保护),端口安全等技术。
为了实现业务的可控访问,部署了ACL技术。
通过DHCP来解决用户不断扩展的问题,通过MSTP解决网络循环问题,通过OSPF解决路由问题。
本文就学校如何对校园网网络进行安全部署进行讨论。
本文的特点:
1、内容上力求全面,涵盖校园网中所有的安全布署实施及安全防范技术
2、分别对边界安全和内部安全进行部署,为建立一个稳定,安全可靠,高效的网络提出了解决方案。
3、在一定程度体现出校园网中安全布署的新观念,新措施
4、叙述方法上尽量做到深入浅出,注意内容的联系、连贯性及逻辑性
本文共分六章。
第一章概述了校园网网络需求分析,第二章讲述了网络总体设计方案;第三章企业关于边界安全部署;第四章关于内部网络安全技术部署。
第五章列出了网络工程设备关键配置代码;第六章提出了网络工程验收及优化。
由于本人能力有限,时间仓促,加之校园的迅速发展,及新型技术仍在不断磨合和完善之中,文章中难免存在一些缺点和错误,殷切希望大家批评指正。
摘要
网络技术的普及和应用为,各种网络的铺设极大的提高了社会生产力和生产效率。
各种信息的传播,资源共享也因为网络而变的简单方便。
但是,在网络给人们提供各种便利的同时,网络安全也在威胁着接触网络的每一个人,网络安全也因此变的尤为重要。
校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。
一个好的校园网,安全问题是至关重要的。
网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。
在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。
此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。
安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
组建一个好的校园网就必须有一个好的安全解决方案。
本论文结合校园网中安全布署与实施,分析了用NAT技术和IPS技术解决网络边界安全问题,保证内网免外部网络的安全威胁。
再通过AAA技术,802.1X技术解决内网端口安全问题和传统认证方式对企业园区网络中用户数据包繁琐的处理造成了网络传输瓶颈问题。
并通过网络中部署DHCP攻击防范技术和ACL部署,提出了校园网网络认证系统的整体框架,为建造一个可扩展,可管理,更稳定、安全、可靠,高效的校园网网络提供了新的思路和方法。
关键词:
NAT技术;IPS;AAA;802.1X;DHCP;ACL
校园网网络安全方案设计
第1章网络需求分析
目前,普通高校都组建了一个集教学、办公、网络图书馆、视频点播、文件服务器等多业务于一体的数据通信网络。
网络的飞速发展,网络安全技术的不断更新,学校需要一个安全,高效,低廉的部署方案,并且还要考虑到校园网络的可维护性和可扩展性。
在网络边界区域,网络要通过防火墙和ips等设备防范和阻止来自外部网络的攻击。
如黑客对网络进行非授权访问,冒充合法用户,破坏数据完整性,干扰网络业务正常运行,利用网络传播病毒,线路窃听等非法的行为。
网络安全是网络组建的重点之一,本文从边界网络安全和内部网络安全分别对需求进行分析。
1.1网络内部安全需求分析
1、使用VLAN,PVLAN技术实现不同部门和业务的信息隔离,每个部门为一个广播域,上行流量进行分流。
2、部门均采用DHCP自动获取IP地址。
3、各级成员均要求进行802.1X验证。
4、采用冗余链路防止单链路故障。
5、所有设备的Telnet,均采用AAAServer进行认证。
6、部门与部门之间不能互为访问。
7、使用DHCPSPOOPING,IPsourceguard(ip源保护),防止内部用户对网络的攻击和欺骗。
1.2网络边界安全需求分析
1、在防火墙上部署静态NAT以实现隐藏内部WEB服务器和实现外网用户对服务器的访问。
2、在防火墙上旁挂IPS设备,检测和阻止对网络进行非授权访问,冒充合法用户,破坏数据完整性,干扰网络业务正常运行,利用网络传播病毒,线路窃听等非法的行为。
第2章网络安全总体设计
2.1网络安全系统设计的原则
1、用户至上原则
结构化综合布线系统的设计原则是以企业对综合布线系统的要求为基础,以满足用户的需求为目标,最大限度满足用户提出的功能要求,并针对业务的特点,确保实用性。
2、先进性原则
在满足用户需求的前提下,充分考虑信息社会迅猛发展的趋势,采用国内外先进的技术和设备,使网络系统更先进,更现代化,更能够适应今后技术和业务发展等的需求。
3、灵活性和可扩展性原则
充分考虑楼内各部分信息的集成和共享,保证整个系统的合理性,实现分散式控制,集中同意式管理。
总体结构具有可扩展性和兼容性,可以集成不同厂商不同类型的先进产品,使整个系统可以随技术的进步和发展,不断得到充实和提高。
4、标准化原则
网络设计必须依照国际和国家的有关标准进行
5、可靠性原则
采用具有容错功能的技术;在必要的位置装备一定的冗余设备;并建立适合的备份系统;做到网络管理和规划;建立故障处理对策;严格的网络监控。
6、安全性原则
权限设置身份认证数据加密系统监控设备钥匙密码控制备份还原体系等。
7、经济性原则
权衡性能和费用,做好预算和设备的选型与比较。
在满足用户的需求和系统功能的前提下,尽可能采用高性价比的产品和技术,同时尽量利用原有可用的资源和设备,以达到节省开销的目的。
2.2网络结构拓扑图
图2.1网络拓扑结构图
2.3ip地址规划
整个网络终端用户通过DHCP服务器获得ip地址,其中学生宿舍取与科技楼机房区需要划分较多的ip地址。
具体ip地址划分如下:
防火墙和交换机接口地址段:
172.16.0.0255.255.255.0
服务器区地址段:
172.16.1.0255.255.255.0
教学办公区地址段:
172.16.2.0255.255.255.0
......
172.16.7.0255.255.255.0
图书馆大楼区:
172.16.8.0255.255.255.0--
172.16.15.0255.255.255.0
科技楼机房区:
172.16.16.0255.255.255.0
......
172.16.31.0255.255.255.0
学生宿舍区:
172.16.32.0255.255.255.0
......
172.16.63.0255.255.255.0
教师家属楼区172.16.64.0255.255.252.0
2.4网络设备选型
网络设备选型的原则:
1、厂商的选择。
2、扩展性考虑。
3、根据案例实际需要选型。
4、选择性能价格比高,质量过硬的产品。
全新Catalyst4503系列专用引擎SupervisorII-Plus-TS:
◆将Catalyst4503最大端口密度提升至116端口。
◆12线速10/100/1000端口(支持PoE)和8个SFP端口内置于引擎面板上。
◆两个可用插槽兼容所有Catalyst4500系列线卡。
◆基于CiscoIOS的二层交换引擎,支持三层/四层服务,专用于Catalyst4503。
◆基于Catalyst4500SupervisorII-Plus硬件及软件(只支持基本三层)。
◆引擎上的端口可灵活应用,包括连接POE设备,服务器连接,上连,千兆汇聚或普通用户连接。
图2.1CISCOCatalyst4503
Catalyst3560系列交换机是一个固定配置、企业级、IEEE802.3af和Cisco标准以太网(PoE)交换机系列,工作在快速以太网和千兆位以太网配置下。
Catalyst3560是一款理想的接入层交换机,适用于小型企业布线或分支机构环境。
结合了10/100/1000和PoE配置,实现最高生产率和投资保护,并可部署新应用,如IP电话、无线接入、视频监视、建筑物管理系统和远程视频访问。
Catalyst3560-24TS24个以太网口10/100端口,2个小型SFP千兆位以太网端口,1机架单元(RU)背板带宽:
34Gbps包转发率:
6.6Mpps。
图2.2CISCOCatalyst3560
Catalyst2950系列智能以太网交换机:
Catalyst2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。
这是一款最廉价的Cisco交换产品系列,为中型网络和城域网接入应用提供了智能服务。
作为思科最为廉价的交换产品系列,CiscoCatalyst2950系列在网络或城域网接入边缘实现了智能服务。
Catalyst2950-24tt24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口1RU(机架单元)固定配置背板带宽:
4.4Gbps包转发率:
6.5Mpps
图2.3CISCOCatalyst2950
CISCOpix-525系列防火墙
◆最高330Mbps防火墙吞吐率
◆千兆以太网支持:
最多8个10/FE或者3个快速以太口支持。
◆虚拟居于网中继(基于802.1q标签)和ospf动态路由支持。
◆最大连接数可达300000。
Pix-525E图片
Pix-525E硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。
它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。
闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟CiscoIOS相似,都是命令行(Command)式,正面看跟Cisco路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
第3章边界网络安全技术部署
3.1NAT部署
网络地址转换(NAT,NetworkAddressTranslation)被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
3.1.1NAT简介及实现方式
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文头申的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。
NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
3.1.2网络地址转换(NAT)的实现
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。
通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。
3.1.3NAT部署配置
设置默认路由:
pix(config)#routeoutside00202.103.100.100
配置inside网络访问规则:
pix(config)#nat(inside)1172.16.0.0255.255.0.0
pix(config)#global(outside)1interface
配置服务器地址访问NAT:
pix(config)#static(dmz,outside)202.103.100.101172.16.0.10
配置acl,允许外部访问服务器的流量:
pix(config)#access-list101permittcpanyhost202.103.100.101eqhttp
pix(config)#access-group101ininterfaceoutside
3.2IPS技术
IPS位于防火墙和网络的设备之间。
如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。
目前有很多种IPS系统,它们使用的技术都不相同。
但是,一般来说,IPS系统都依靠对数据包的检测。
IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
IPS的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理IPS的控制台。
IPS中使用更为先进的侵入检测技术,如试探式扫描、内容检查、状态和行为分析,同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统(IDS)一样,IPS系统分为基于主机和网络两种类型。
1、基于主机的IPS
基于主机的IPS依靠在被保护的系统中所直接安装的代理。
它与操作系统内核和服务紧密地捆绑在一起,监视并截取对内核或API的系统调用,以便达到阻止并记录攻击的作用。
它也可以监视数据流和特定应用的环境(如网页服务器的文件位置和注册条目),以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
2、基于网络的IPS
基于网络的IPS综合了标准IDS的功能,IDS是IPS与防火墙的混合体,并可被称为嵌入式IDS或网关IDS(GIDS)。
基于网络的IPS设备只能阻止通过该设备的恶意信息流。
为了提高IPS设备的使用效率,必须采用强迫信息流通过该设备的方式。
更为具体的来说,受保护的信息流必须代表着向联网计算机系统或从中发出的数据,且在其中:
(1)指定的网络领域中,需要高度的安全和保护;
(2)该网络领域中存在极可能发生的内部爆发配置地址;
(3)能够有效地将网络划分成最小的保护区域,并能够提供最大范围的有效覆盖率。
第4章网络内部安全技术部署
4.1AAA技术
4.1.1AAA简介
AAA服务是在对网络和设备进行访问控制策略实施中所采用的一种集成认证,授权与记账等功能组件的模块化体系结构的安全机制。
从定义可知,它不仅提供了认证还提供了授权与审计功能。
那什么是认证,什么是授权,什么是审计呢?
◆认证(authentication)对要求访问网络或登录设备的用户进行验证,也就是对用户或管理员的一个确认。
◆授权(authorization)对经过了认证的用户和管理员进行权限的定义,确定用户和管理员可以访问哪些资源或执行哪些操作。
◆审计(accouting)对授权用户做了些什么,访问了些什么,访问了多久等事件进行记录,简而言之,审计就是跟踪了网络资源的被使用情况。
正是AAA具有如此强大的功能,因此AAA服务的应用非常广泛,在以太网接入,远程拨号连接以及Internet接入等网络环境中不仅仅对设备的管理访问进行控制,而且对这些环境中数据资源的访问都提供了系统化的,可扩展的访问控制。
4.1.2AAA体系结构
AAA服务是一个典型的C/S网络模型的安全体系结构。
它具体包含如下几个功能组件:
图4.1AAA体系结构
◆AAA客服端-----实际上就是支持AAA服务的各种网络设备。
◆AAA服务器-----典型的是安装了CiscoACS软件的Windows2000/2003
的服务器,也有Unxi版本的。
◆AAA安全协议---是AAA客服端与AAA服务器之间承载认证,授权,审
计消息的协议。
如TACACS+,RADUS,Kerberous。
TACACS+:
终端访问控制器访问控制系统,Cisco的私有安全协议,承载于TCP协议中,端口号为49,它提供了单独的和模块化的验证,授权,审计工具。
RADUS:
远程身份验证拨入用户服务,国际标准协议,承载于UDP协议中,端口号为1812,1813,它提供了模块化验证,授权功能和单独的统计功能。
CiscoACS软件支持TACACS+与RADUS两种安全协议。
4.1.3AAA服务的配置
AAA服务的配置主要分为AAA服务器的配置与AAA客服端的配置,接下来我们以下面的拓扑图简单介绍一下AAA服务的基本配置:
图4.2AAA认证拓扑图
1、客服端上的配置:
启用AAA
aaanewmode(全局模式)
指定AAA服务所用协议
aaa-server3aprotocolradius
指定认证服务器
Radius-serverhost192.168.101.88keycisco(全局模式)
指定协议key
keydiyishifan
2、服务器的配置
(1)打开CiscoACS软件。
(2)点击UserSetup输入用户名。
(3)输入AAAclient客户端IP地址,并输入密码。
(4)在服务器上通过ACL定义所需要的安全策略。
(5)将所定义的安全策略绑定到相应的组或者用户。
(6)客户端可以通过下栽ACL名字或者下载ACL全部内容获得相应的安全策略。
4.2802.1x认证的部署
4.2.1802.1x概述
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessContro1)而定义的一个标准。
4.2.2802.1x认证体系结构
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图4.1所示。
它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图4.6 802.1x认证的体系结构
1、请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
图4.7客户端认证类型
2、认证系统(认证代理)
认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
后文的认证系统、认证点和接入设备三者表达相同含义
升级会员 