****校园网络安全方
案设计
第一章、****校园网方案设计原则与需求
1. 1设计原则
1. 充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2. 强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3. 在满足学校的需求的前提下,建出自己的特色
1.2网络建设需求
网络的稳定性要求
● 整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
● 整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
● 认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈
网络安全需求
● 防止IP 地址冲突
● 非法站点访问过滤
● 非法言论的准确追踪
● 恶意攻击的实时处理
● 记录访问日志提供完整审计
网络管理需求
● 需要方便的进行用户管理,包括开户、销户、资料修改和查询
● 需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
第二章、****校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG -S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM 服务器,部署SAM 系统,同时东校区和西校区各用3台S2126G 替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G ,剩余的两台S2126G 用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G 做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM 服务器,部署SAM 系统,同时东校区和西
校区各用3台S2126G 替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G 实现安全控制,其它二层交换机分别接入相应的S2126G 。西校区汇聚采用一台S2126G ,剩余两台S2126G 用于保护重点机器,其它交换机接入对应的S2126G 。中校区的网络结构也做相应的调整,采用现有的两台S2126G 做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP 冗余路由协议和OSPF 动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS 安全体系架构
3、CSS 之硬件CPP
CPP 即CPU Protect Policy ,RG-S8606采用硬件来实现,CPP 提供管理模块和线卡CPU 的保护功能,对发往CPU 的数据流进行带宽限制(总带宽、QOS 队列带宽、类型报文带宽),这样,对于ARP 攻击的数据流、针对CPU 的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS 之SPOH 技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL 和QOS 需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器) ,专门用来处理ACL 和QOS ,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性能。
骨干设备的稳定性设计:三平面分离技术
数据平面、管理平面、控制平面分离的设计思想
交换机中的数据类型可以分为三大类:
数据平面:各种二层\三层\组播\ACL\QOS数据
管理平面:通过TELNET 、SNMP 对设备进行管理维护的数据流
控制平面:各种协议比如STP 、ARP 、OSPF 、RIP 交互的数据流
RG-S8606通过将三个平面进行分离,可以保证在数据流量非常大、网络异常比如有回路、有大量攻击数据流、OSPF 协议无法收敛的情况下,管理员仍然可以通过各种网络管理方式登陆到网络设备上,通过察看接口状态、日志纪录、协议的信息,可以发现网络中存在的问题,关闭有问题的端口、停止异常的协议,从而达到了在线排除网络故障、在不重启交换机的情况下让其恢复正常。极大的提高了网络的稳定性。
2.4网络安全设计
2.4.1****校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:****校园网很重要的一个特征就是用户数比较多,会有很多的PC 机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET 的时候,通过局域网共享文件的时候,通过U 盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD 不能点播;INTERNET 上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP 、MAC 地址的盗用
IP 、MAC 地址的盗用的原因:****校园网采用静态IP 地址方案,如果缺乏有效的IP 、MAC 地址管理手段,用户可以随意的更改IP 地址,在网卡属性的高级选项中可以随意的更改MAC 地址。如果用户有意无意的更改自己的IP 、MAC 地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP 、MAC 的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP 欺骗攻击。
IP 、MAC 地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP 、MAC 冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC 地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户
安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET 运营机构(包括高
校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行
各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS 攻击、扫描攻击、ARP 欺骗攻击、流量攻击、非法组播源、非法DHCP 服务器及DHCP 攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2****校园网网络安全方案设计思想
2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。
2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。
2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。
2.4.3****校园网网络安全方案
锐捷网络结合SAM 系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。
2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC 的IP 地址、用户PC 的MAC 地址、用户PC 所在交换机的IP 地址、用户PC 所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.
当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP 地址,就可以准
确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也
切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。
2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL ,能够对这些病毒所使用的TCP 、UDP 的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB 、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP 地址盗用和ARP 攻击
通过对每一个ARP 报文进行深度的检测,即检测ARP 报文中的源IP 和源MAC 是否和端口安全规则一致,如果不一致,视为更改了IP 地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP 欺骗,防止非法信息点冒充网络关键设备的IP (如服务器),造成网络通讯混乱。
4、防止假冒IP 、MAC 发起的MAC Flood\SYN Flood攻击
通过部署IP 、MAC 、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP 、MAC 访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP 源端口检查,实现全网杜绝非法组播源,指严格限定IGMP 组播流的进入端口。当IGMP 源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP 源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP 源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒. 在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP 源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS 攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS 攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP 地址,MAC 地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。
2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理
2.5.1网络用户管理
网络用户管理见网络运营设计开户部分
2.5.2网络设备管理
网络设备的管理通过STARVIEW 实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW 能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB 、交换机等设备能及时地发现,提前消除各种安全隐患。
对于网络中的异常故障,比如某台交换机的CPU 利用率过高,某条链路上的流量负载过大,STARVIEW 都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW 在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
****校园网络安全方
案设计
第一章、****校园网方案设计原则与需求
1. 1设计原则
1. 充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2. 强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3. 在满足学校的需求的前提下,建出自己的特色
1.2网络建设需求
网络的稳定性要求
● 整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
● 整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
● 认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈
网络安全需求
● 防止IP 地址冲突
● 非法站点访问过滤
● 非法言论的准确追踪
● 恶意攻击的实时处理
● 记录访问日志提供完整审计
网络管理需求
● 需要方便的进行用户管理,包括开户、销户、资料修改和查询
● 需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
第二章、****校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG -S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM 服务器,部署SAM 系统,同时东校区和西校区各用3台S2126G 替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G ,剩余的两台S2126G 用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G 做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM 服务器,部署SAM 系统,同时东校区和西
校区各用3台S2126G 替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G 实现安全控制,其它二层交换机分别接入相应的S2126G 。西校区汇聚采用一台S2126G ,剩余两台S2126G 用于保护重点机器,其它交换机接入对应的S2126G 。中校区的网络结构也做相应的调整,采用现有的两台S2126G 做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP 冗余路由协议和OSPF 动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS 安全体系架构
3、CSS 之硬件CPP
CPP 即CPU Protect Policy ,RG-S8606采用硬件来实现,CPP 提供管理模块和线卡CPU 的保护功能,对发往CPU 的数据流进行带宽限制(总带宽、QOS 队列带宽、类型报文带宽),这样,对于ARP 攻击的数据流、针对CPU 的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS 之SPOH 技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL 和QOS 需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器) ,专门用来处理ACL 和QOS ,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性能。
骨干设备的稳定性设计:三平面分离技术
数据平面、管理平面、控制平面分离的设计思想
交换机中的数据类型可以分为三大类:
数据平面:各种二层\三层\组播\ACL\QOS数据
管理平面:通过TELNET 、SNMP 对设备进行管理维护的数据流
控制平面:各种协议比如STP 、ARP 、OSPF 、RIP 交互的数据流
RG-S8606通过将三个平面进行分离,可以保证在数据流量非常大、网络异常比如有回路、有大量攻击数据流、OSPF 协议无法收敛的情况下,管理员仍然可以通过各种网络管理方式登陆到网络设备上,通过察看接口状态、日志纪录、协议的信息,可以发现网络中存在的问题,关闭有问题的端口、停止异常的协议,从而达到了在线排除网络故障、在不重启交换机的情况下让其恢复正常。极大的提高了网络的稳定性。
2.4网络安全设计
2.4.1****校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:****校园网很重要的一个特征就是用户数比较多,会有很多的PC 机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET 的时候,通过局域网共享文件的时候,通过U 盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD 不能点播;INTERNET 上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP 、MAC 地址的盗用
IP 、MAC 地址的盗用的原因:****校园网采用静态IP 地址方案,如果缺乏有效的IP 、MAC 地址管理手段,用户可以随意的更改IP 地址,在网卡属性的高级选项中可以随意的更改MAC 地址。如果用户有意无意的更改自己的IP 、MAC 地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP 、MAC 的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP 欺骗攻击。
IP 、MAC 地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP 、MAC 冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC 地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户
安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET 运营机构(包括高
校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行
各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS 攻击、扫描攻击、ARP 欺骗攻击、流量攻击、非法组播源、非法DHCP 服务器及DHCP 攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2****校园网网络安全方案设计思想
2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。
2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。
2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。
2.4.3****校园网网络安全方案
锐捷网络结合SAM 系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。
2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC 的IP 地址、用户PC 的MAC 地址、用户PC 所在交换机的IP 地址、用户PC 所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.
当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP 地址,就可以准
确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也
切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。
2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL ,能够对这些病毒所使用的TCP 、UDP 的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB 、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP 地址盗用和ARP 攻击
通过对每一个ARP 报文进行深度的检测,即检测ARP 报文中的源IP 和源MAC 是否和端口安全规则一致,如果不一致,视为更改了IP 地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP 欺骗,防止非法信息点冒充网络关键设备的IP (如服务器),造成网络通讯混乱。
4、防止假冒IP 、MAC 发起的MAC Flood\SYN Flood攻击
通过部署IP 、MAC 、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP 、MAC 访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP 源端口检查,实现全网杜绝非法组播源,指严格限定IGMP 组播流的进入端口。当IGMP 源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP 源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP 源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒. 在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP 源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS 攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS 攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP 地址,MAC 地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。
2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理
2.5.1网络用户管理
网络用户管理见网络运营设计开户部分
2.5.2网络设备管理
网络设备的管理通过STARVIEW 实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW 能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB 、交换机等设备能及时地发现,提前消除各种安全隐患。
对于网络中的异常故障,比如某台交换机的CPU 利用率过高,某条链路上的流量负载过大,STARVIEW 都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW 在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。