校园网安全配置方案设计.docx
《校园网安全配置方案设计.docx》由会员分享,可在线阅读,更多相关《校园网安全配置方案设计.docx(28页珍藏版)》请在冰豆网上搜索。
校园网安全配置方案设计
10.1校园网安全配置方案设计
10.1.1网络安全整体解决方案分析
网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。
此处重点针对一些普遍性问题和所应采用的相应安全技术,主要包括:
建立全面的网络防病毒体系;防火墙技术,控制访问权限,实现网络安全集中管理;应用入侵检测技术保护主机资源,防止内外网攻击;应用安全漏洞扫描技术主动探测网络安全漏洞,进行定期网络安全评估与安全加固;应用网站实时监控与恢复系统,实现网站安全可靠的运行;应用网络安全紧急响应体系,防范安全突发事件。
1.应用防病毒技术,建立全面的网络防病毒体系
随着Internet的不断发展,信息技术已成为促进经济发展、社会进步的巨大推动力。
不管是存储在工作站中、服务器里还是流通于Internet上的信息都已转变成为一个关系事业成败关键的策略点,这就使保证信息的安全变得格外重要。
1)采用多层的病毒防卫体系。
网络系统可能会受到来自于多方面的病毒威胁,为了免受病毒所造成的损失,建议采用多层的病毒防卫体系。
所谓的多层病毒防卫体系,是指在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。
因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个企业网不受病毒的感染。
考虑到病毒在网络中存储、传播、感染的方式各异且途径多种多样,故相应地在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施"层层设防、集中控制、以防为主、防杀结合"的策略。
具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。
2)选择合适的防病毒产品
考虑防病毒产品的性能如下:
价格:
产品功能全面,价格合理,提供Internet的全面防毒功能及提供对各邮件系统的支持。
全面:
监控所有病毒入口:
Internet、Email、光盘、软盘、网络等所有病毒入口并对宏病毒、特洛伊木马、黑客程序或有害软件全面进行实时监控。
快速:
及时更新病毒特征文件,全球每日达100种病毒,有快速的技术支持。
强大:
全面结合国内外病毒样本库,查杀能力直达黑客程序及有害软件;能够查杀多种压缩文件及多重压缩文件。
智能:
无须手工干预的全自动每日智能更新、升级,智能病毒扫描及启发式扫描能自动工作。
兼容:
支持各平台:
Win9x、Win3x、Dos、OS/2、NTWorkstation、Windows2000、MicrosoftProxyServer、Firewall、LotusNotes/DominoServers,全面支持FTP、HTTP、SMTP、POP3、NNTP及MS-Exchange、OutlookExpress、Outlook邮件系统。
紧密:
与Windows2000/XP紧密结合,深入操作系统内核,对各种文件鼠标操作方便。
方便:
完全解放网络管理员,能通过网上任一台工作站完成对整个网络的软件分发、安装。
灵活:
可以选择自动、立即、计划、Internet等多种扫描方式,可以选择智能更新、升级或手动下载升级文件或程序。
经济:
系统占用率低,对网络系统的数据实时流量没有影响。
2.黑客防范
网络安全体系的构建不但要依靠合理的安全策略和有效的管理,同样要依靠好的安全产品。
目前,市场上有许多网络安全产品,在技术性能上和售后服务等多方面都要处于明显的优势,有良好的性价比。
防火墙与网络入侵检测系统能共同构筑一个强大的黑客防范解决方案。
防火墙的强大访问控制功能与抗攻击功能的结合,共同构筑网络安全大门,保护网络免受黑客、非法访问的侵扰,以及其他无孔不入的数据安全威胁。
网络入侵检测系统则以其全面的入侵检测手法规则库和实时准确的报警/阻断功能,成为网络安全的实时监控卫士,成为网络管理人员最佳安全管理助手。
1)应用防火墙技术,控制访问权限,实现网络安全集中管理
防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。
在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。
选择防火墙应可以完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了外部网络上与业务无关的主机的越权访问;
防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限IP地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝;
由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为;
另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
2)应用入侵检测技术保护网络与主机资源,防止内外网攻击
应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。
但是,仅仅使用防火墙、网络安全还远远不够。
因为:
(1)入侵者可能寻找到防火墙背后敞开的后门;
(2)入侵者可能就在防火墙内;
(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客入侵的时间。
如在需要保护的主机网段上安装了黑盾入侵检测系统,可以实时监视各种对主机的访问请求,并及时将信息反馈给控制台,这样全网任何一台主机受到攻击时系统都可以及时发现。
网络入侵检测系统应具备如下特点:
(1)可精确判断入侵事件
网络入侵检测系统具备黑客攻击信息库,其中存放着各种黑客攻击行为的特征数据。
每当用户在网络上操作时,网络入侵检测系统就将用户的操作与信息库中的数据进行匹配,一旦发现吻合,就认为此项操作为黑客攻击行为,阻断并报警。
由于信息库的内容会不断升级,因此可以保证新的黑客攻击方法也能被及时发现。
(2)可判断应用层的入侵事件
与防火墙不同,网络入侵检测系统是通过分析数据包的内容来识别黑客入侵行为的。
因此,网络入侵检测系统可以判断出应用层的入侵事件。
这样就极大的提高了判别黑客攻击行为的准确程度。
(3)对入侵可以立即进行反应
网络入侵检测系统以进程的方式运行在监控机上,为网络系统提供实时的黑客攻击侦测保护。
一旦发现黑客攻击行为,网络入侵检测系统可以立即做出相应。
响应的方法有多种形式,其中包括:
报警(如屏幕显示报警、声音报警)、必要时关闭服务直至切断链路。
与此同时,网络入侵检测系统会对攻击的过程进行详细记录,为以后的调查取证工作提供线索。
(4)全方位的监控与保护
防火墙只能隔离来自本网段以外的攻击行为,而网络入侵检测系统监控的是所有网络的操作,因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。
这样就有效的解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。
(5)针对不同操作系统特点
网络上运行着各种应用程序,服务器的操作系统平台也是多种多样。
网络入侵检测系统可根据系统平台的不同而进行有针对性的检验,从而提高了工作效率及侦测的准确性。
网络系统安装了网络入侵检测系统后,有效的解决了来自网络安全四个层面上的非法攻击问题。
它的使用既可以避免来自外部网络的恶意攻击,同时也可以加强内部网络的安全管理,保证主机资源不受来自内部网络的安全威胁,防范住了防火墙后面的安全漏洞。
3.应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估
安全扫描技术是又一类重要的网络安全技术。
安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。
通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。
网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。
如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
安全扫描工具源于黑客在入侵网络系统时所采用的工具,商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
选择“网络安全分析评估系统”是一套用于网络安全扫描的软件工具。
它提供了综合的审计功能,能够及时发现网络环境中的安全漏洞,保证网络安全的完整性,并能有效评估企业内部网络、服务器、防火墙、路由器中可被黑客利用的网络薄弱环节。
网络安全分析评估系统,可产生丰富的报表:
HTML、TEXT、QRP,简单易用。
它可以发现大众化的安全漏洞和非大众化的漏洞,不但可以利用系统预制的上千种方案进行网络探测,而且还允许用户用自己定制的数据包检测网络。
4.应用网站实时监控与恢复系统,实现网站安全可靠的运行
Web服务系统是个让外界了解您的窗口,它的正常运行将关系到您的形象。
由于网站服务器系统在安全检测中存在严重的安全漏洞,也是黑客入侵的极大目标,故网站监控与自动恢复系统,保护网站服务器的安全。
“网站监控与自动恢复系统”采用数字签名算法,对备份文件进行加密及排序处理,可同机监控,也可异机监控;并采用相互授权认证措施,由服务器对连接上来的客户端进行身份验证,确定其访问权限,然后再由客户端对服务器进行身份确认,使得XX的用户无法登录使用该系统;对Web静态文件和重要的系统文件进行双机备份和监控,即使web服务器瘫痪也能在数分钟内将之全面恢复;“网站监控与恢复系统”对Web网站管理员是透明的,管理员可以通过ftp客户端程序上载文件,而几乎感觉不到监控系统的存在,ftp客户端使远程用户可以在不中断实时监控的情况下进行安全的文件上传,全面保障系统的安全和正常运行。
5.应用网络安全紧急响应体系,防范安全突发事件
网络安全作为一项动态工程,意味着她的安全程度会随着时间的变化而发生改变。
在信息技术日新月异的今天,昔日固若金汤的网络安全策略,总难免会随着时间的推进和环境的变化,而变得不堪一击。
因此,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
紧急响应的目标
(1)故障定位及排除
目前依靠广域网的响应时间过长,而一般的网络系统涉及到系统、设备、应用等多个层面,因此如何将性能或故障等方面的问题准确定位在涉及到(线路、设备、服务器、操作系统、电子邮件)的具体位置,是本响应体系提供的基本功能。
(2)预防问题
通过在广域网上对网络设备和网络流量的实施监控和分析,预防问题的发生,在系统出现性能抖动时,就能及时发现,并建议系统管理员采用及时的处理。
(3)优化性能
通过对线路和其他系统进行透视化管理,利用管理系统提供的专家功能对系统的性能进行优化。
(4)提供整体网络运行的健康以及趋势分析。
对网络系统整体的运行情况作出长期的健康和趋势报告,分析系统的使用情况,对新系统的规划作出精确的基础。
10.1.2典型网络安全解决方案
1.内部网
目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。
因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取信息,这就是以太网固有的安全隐患。
(1)局域网安全
事实上,Internet上许多免费的黑客工具,如SATAN、ISS、NETCAT等等,都把以太网侦听作为其最基本的手段。
当前,局域网安全的解决办法有以下几种:
1)网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。
其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段可分为物理分段和逻辑分段两种方式。
目前,局域网大多采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制功能和三层交换功能,综合应用物理分段与逻辑分段两种方法,来实现对局域网的安全控制。
例如:
在海关系统中普遍使用的DECMultiSwitch900的入侵检测功能,其实就是一种基于MAC地址的访问控制,也就是上述的基于数据链路层的物理分段。
2)以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍然存在。
这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。
这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包UnicastPacket)还是会被同一台集线器上的其他用户所侦听。
一种很危险的情况是:
用户TELNET到一台主机上,由于TELNET程序本身缺乏加密功能,用户所键入的每一个字符(包括用户名、密码等重要信息),都将被明文发送,这就给黑客提供了机会。
因此,应该以交换式集线器代替共享式集线器,使单播包仅在两个节点之间传送,从而防止非法侦听。
当然,交换式集线器只能控制单播包而无法控制广播包(BroadcastPacket)和多播包(MulticastPacket)。
所幸的是,广播包和多播包内的关键信息,要远远少于单播包。
3)VLAN的划分
为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。
目前的VLAN技术主要有三种:
基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。
基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。
而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。
在集中式网络环境下,我们通常将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。
在分布式网络环境下,我们可以按机构或部门的设置来划分VLAN。
各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
VLAN内部的连接采用交换实现,而VLAN与VLAN之间的连接则采用路由实现。
目前,大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。
如果有特殊需要,必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS),也可以用外接的多以太网口路由器来代替交换机,实现VLAN之间的路由功能。
当然,这种情况下,路由转发的效率会有所下降。
无论是交换式集线器还是VLAN交换机,都是以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。
因此,如果局域网内存在这样的入侵监控设备或协议分析设备,就必须选用特殊的带有SPAN(SwitchPortAnalyzer)功能的交换机。
这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上,提供给接在这一端口上的入侵监控设备或协议分析设备。
笔者在厦门海关外部网设计中,就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机,既得到了交换技术的好处,又使原有的Sniffer协议分析仪“英雄有用武之地”。
(2)广域网安全
由于广域网大多采用公网来进行数据传输,信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。
如果没有专用的软件对数据进行控制,只要使用Internet上免费下载的“包检测”工具软件,就可以很容易地对通信数据进行截取和破译。
因此,必须采取手段,使得在广域网上发送和接收信息时能够保证:
①除了发送方和接收方外,其他人是无法知悉的(隐私性);
②传输过程中不被篡改(真实性);
③发送方能确知接收方不是假冒的(非伪装性);
④发送方不能否认自己的发送行为(不可抵赖性)。
为了达到以上安全目的,广域网通常采用以下安全解决办法:
1)加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但是其加密计算量相当可观,所以通常用于数据量有限的情形下使用。
计算机系统中的口令就是利用不可逆加密算法加密的。
近年来,随着计算机系统性能的不断提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5和美国国家标准局的SHS。
广泛使用的Cisco路由器,有两种口令加密方式:
EnableSecret和EnablePassword。
其中,EnableSecret就采用了MD5不可逆加密算法,因而目前尚未发现破解方法(除非使用字典攻击法)。
而EnablePassword则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算),目前至少已有两种破解软件。
因此,最好不用EnablePassword。
2)VPN技术
VPN(虚拟专网)技术的核心是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道进行传输,从而防止敏感数据的被窃。
VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。
企业通过公网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、优先性、可靠性和可管理性,而其建立周期、投入资金和维护费用却大大降低,同时还为移动计算提供了可能。
因此,VPN技术一经推出,便红遍全球。
但应该指出的是,目前VPN技术的许多核心协议,如L2TP、IPSec等,都还未形成通用标准。
这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。
因此,企业在VPN建网选型时,一定要慎重选择VPN服务提供商和VPN设备。
3)身份认证技术
对于从外部拨号访问总部内部网的用户,由于使用公共电话网进行数据传输所带来的风险,必须更加严格控制其安全性。
一种常见的做法是采用身份认证技术,对拨号用户的身份进行验证并记录完备的登录日志。
较常用的身份认证技术,有Cisco公司提出的TACACS+以及业界标准的RADIUS。
2.外部网
外部网建设,通常指与Internet的互联及与外部企业用户的互联两种。
无论哪一种外部网,都普遍采用基于TCP/IP的Internet协议族。
Internet协议族自身的开放性极大地方便了各种计算机的组网和互联,并直接推动了网络技术的迅猛发展。
但是,由于在早期网络协议设计上对安全问题的忽视,以及Internet在使用和管理上的无政府状态,逐渐使Internet自身的安全受到威胁,黑客事件频频发生。
对外部网安全的威胁主要表现在:
非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。
外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。
在实际的外部网安全设计中,往往采取上述三种技术相结合的方法。
将防火墙技术、入侵检测技术与网络防病毒技术融为一体,紧密结合,相得益彰。
10.2校园网安全配置实例
概述
1.校园网络概况
二十一世纪是信息化时代,办公自动化、网络化、信息化已成为一种必不可少必备条件,校园网已成为各学校必备的重要信息基础设施,其规模和应用水平已成为衡量学校教学与科研综合实力的一个重要标志。
目前一般的校园网络系统都具备如下的功能:
(1)建立校园内部INTRANET,具有WWW、E-MAIL,FTP、DNS、VOD、数据库和安全等功能,为校内所有上网用户提供教学、科研、招生、图书等信息服务;
(2)对外界实现资源共享和数据交换,使计算机网络成为该校对外交流的重要窗口;
(3)办公自动化,建立日常办公、公文管理、多媒体教学与管理系统。
2.校园网安全问题分析
校园网络功能比较繁杂,承担的任务众多,既要满足办公要求,又要满足教育科研的要求,还要成为信息资源的中心,学生宿舍、教职工家属等接入校园网后,网络规模急剧增大,由于大部分的最终用户是学生,他们是极具好奇心、动手能力和创造力的团体,所以来自内部网络的安全问题需要重点考虑。
校园网的出口一般是教育科研网或者是地区的教育城域网,有的学校还具有多个Internet出口,这样也增加了一些安全管理的难度。
一般来说,建设一个安全可靠的校园网络,需要注意以下几个问题:
(1)对用户无论是对内还是对外都需要进行访问控制,避免对网络设备和资源的非正常使用。
(2)内部资源的保护,防止Internet网络用户对校园网存在非法访问或恶意入侵。
(3)系统漏洞的修补,防止操作系统和应用系统的漏洞产生的安全威胁。
(4)校园网用户较多,要防止病毒在校园网的扩散。
(5)要限制用户对Internet上非法资源的访问。
(6)要建立全面的网络安全管理规范,提高广大师生的网络安全意识。
(7)注意对关键数据和资料的保护,尤其是重要的科研资料和数据的保护,有一定的容灾和备份措施。
3.安全方案和实施
针对校园网络面临的安全问题,我们应该整体考虑,分层次的解决问题,避免投入过大,或者影响网络的整体性能。
我们建议采取如下的措施解决校园网络和系统的安全问题。
(1)划分安全子网。
目前学校使用的网络交换机一般都具备第三层路由交换的功能,可以通过划分子网和VLAN的方式对局域网内不同子网的访问进行控制,例如教学网与办公网隔离,相互不能访问。
(2)对内外网的访问控制,以及内部服务器的保护,可以使用三一SecureKey3000防火墙系统,防火墙提供动态检测技术,能够对出入的数据进行分析,阻止有攻击行为的活动,保护内部网络和服务器,是重要的网络安全设备,对网络安全起着不可替代的作用。
(3)利用漏洞扫描系统,及时发现和修补系统漏洞,并密切注意各种系统安全漏洞的最新警示,及时升级操作系统。
(4)利用防火墙提供的应用代理和内容过滤等功能,限制用户对非法资源的访问。
(5)建立完善的网络防病毒系统,尤其注意对邮件病毒等网络传播病毒的查杀,对重点的机器和区域重点保护。
(6)对应用系统的安全,建立CA证书认证管理系统或其他的身份认证系统,保证用户的合法性。
(7)建立安全的网络管理系统,加大网络管理的力度,严格执行安全管理制度,是每一项规定都落实到位,只用这样才能保证整个校园网络的安全性。
一、网络信息安全系统设计原则
目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,并便于安全管
升级会员 