校园网络安全设计方案(7篇)校园网络安全设计方案 校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,下面是小编为大家整理的校园网络安全设计方案(7篇),供大家参考。
篇一:校园网络安全设计方案
校园网络安全设计方案
一、安全需求
1.1.1网络现状
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
楼号
该楼用每层层数
途
主机
数
3
行政,办504
公,网络
中心
20
图书馆1005
每栋信息点总数
200
500
实现功能
主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护,管理,中心设有、电子、精品课程、FTP资源、办公系统以及视频点播等服务器。对图书馆各类图书进行管理,对图
1/11
7
教学楼
(1,2,
11,16)
4
宿舍
(5,6,
8,9,10
12,13,
14,
15,16,
17)
10-2700不等1807
书资料进行处理。建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。150主要是多媒体教室。能够实现多媒体教学,快速地获取网上资源
1200能够较快地获取网上资源,拥有语音布线
1.2.现有安全技术
1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
1.3.安全需求
1.构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,
通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2.建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的网安全管理体系
只有解决网络部的安全问题,才可以排除网络中最大的安全隐患,网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对性要求较高的用户建立虚拟专用网。
二.安全设计
1.1设计原则
根据防安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂
2/11
的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。2.网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。3.安全性评价与平衡原则对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和围,系统的性质和信息的重要程度。4.标准化与一致性原则系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。5.技术与管理相结合原则安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。6.统筹规划,分步实施原则由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。7.等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。9.易操作性原则首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
篇二:校园网络安全设计方案
ipsecvpnsslvpn如果只是想实现高效不同校区之间网络到网络的连接可以选择ipsecvpn如果想实现终端到站点之间的传输可以选择sslvpn网还可以访问校内图书馆资源内部教务信息vpn服务器配置在服务器上右击选择配置启用路由和远程访问进入配置向导在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择tcpip协议选下一步这一步会选择一个服务器所使用的ternet连接可以选已建立好的拨号连接或通过制定网卡进行连接按下一步这一步回答你如何对远程客户机分配ip地址除非你安装dhcp服务器否则选择指定vpn访问校园路由公共应路由计费网100计费网1000s750100办公00010100h3cs360010010010教工3928p儋州校网络中心城西校网络中心教工学生宿舍网络电信距15公里vpn海南大学应200哼3928p学生科技学院海甸主校区30万学生办公教学网h3c12508?公里00m相距15100城西校区05万学教育网防火墙00500m个ip地址的范围根据提示选择你要分配给客户机的ip地址此ip地址要和服务器的ip地址在同一个网段最后选择不我现在不想设置此服务器的radius即可完成最后的设置vpn客户端配置在开始一附件一通讯选择新疆连接向导点击下一步选择建立一个您的工作位置的网络连接选择虚拟专用网络连接单击下一步为连接输入一个名字xxx单击下一步选择不拨此初始连接单击下一步输入连接设备服务器的ip地址单击完成双击刚建立的xxx连接在连接窗口中选择属性选择安全属性页选择高级自定义设置单击设置在数据加密中选择可选加密没有加密也可以连接在允许这些协议选中质询握手身份验证协议chap单击确定选择网络属性页在vpn类型选择l2tpvpn确定internettcpip被选中单击确定保存所做的修改防病毒
校园网络安全设计方案
10网工2班组员:张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展,校园网的建设日益普遍。而在高校中,如何能够保证校园网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击,还有内部的攻击。所以,在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面,设计我校的网络安全方案。防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。防火墙的概念:通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合,是一种有效的网络安全策略。防火墙提供信息安全服务,设置在被保护内部网络的安全与不安全的外部网络之间,其作用是阻断来自外部的、针对内部网络的入侵和威胁,保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口,根据安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力。防火墙的分类:按软件与硬件的形式,防火墙分为软件防火墙、硬件防火墙和芯片防火墙;按防火墙的技术,总体分为包过滤型和应用代理型两大类;按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙;按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的安全策略:(1)所有从内到外和从外到内的数据包都必须经过防火墙(2)只有被安全策略允许的数据包才能通过防火墙(3)防火墙本身要有预防入侵的功能(4)默认禁止所有服务,除非是必须的服务才被允许防火墙的设计:(1)保障校园内部网主机的安全,屏蔽内部网络,禁止外部网用户连接到内部网(2)只向外部用户提供HTTP、SMTP和POP等有限的服务(3)向内部记账用户提供所有Internet服务,但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能,能有效记录校园网的一切活动。校园网络在设置时应从下面几个方面入手:(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自IPSourceRouting、IPSpoofing、SYNflood、IC-MPflood、UDPflood、PingofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0,防火墙对于用户来说是可视或透明的。(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、JavaAp-ple、ActiveX和恶意脚本过滤等。(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还
会达到几个G的性能。要充分进行性价比的考虑。(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式,对于内部网络的安全又多了一层保障。产品选择:CiscoPIX515防火墙产品特点:CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术,运行PIX操作系统,是一种实时的嵌入式强化系统,可以消除安全漏洞和性能降级损耗。假如拓扑图如下(图中防火墙左面为内网,右面为外网,设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1,右口为f0/0.):
要求:(1)对防火墙、路由器进行基本的命令配置,使得内网的所有机器能访问外网。(2)所有内网的主机出口使用防火墙对外的全局地址202.161.1.2(3)所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机,此主机对外公开地址为202.161.1.5,允许对此主机进行www、ftp。其中防火墙的配置:设置端口安全级别:nameife0outsidesec0nameife1insidesec100设置端口参数:interfacee0autointerfacee1auto配置内外网的IP地址:Ipaddoutside192.168.3.1Ipaddinside192.168.2.2设置指向内外网的静态路由:Nat(inside)100Global(outside)1202.161.1.2Routeoutside0.0.0.00.0.0.0192.168.3.2拓扑图如下:
儋州校区(1.0万学生)
公网
教育网200-500M路由器
SiSi
公网400-1000M
城西校区(0.5万学生)
路由器
Si
公共应用平台、数据库
计费网关
100MH3C12508100-20公里0M(相距)15
Si
计费网关
儋州校区网络中心H3C9508
0200-1
Si
00M
15(相距
0公里
)
SiSi
10000M
Si
城西校区网络中心6506R
Si
Si
S75061000M办公教学网络教工学生宿舍网络(电信LAN)
学生宿舍网络2000M
Si
办公教学网络1000M
学生宿舍网络1000M
教工区网络1000M
办公教学网络1000M
教工宿舍网络6506R(电信ADSL)
100M3928P-SI
H3CS3600
100M
3928P-SI100M100M
海甸主校区(3.0万学生)
VPN什么是VPN?虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。
VPN----海南大学应用科技学院
VPN的特点安全保障:通过一条隧道,加密技术对数据进行加密,以保证数据安全性和私有性。
服务质量保证:为不同要求用户提供不同等级质量的服务可扩充性,灵活性:支持Internet和Extrane任何类型的数据流可管理性:可以从用户和运营商角度进行管理VPN所用的技术:实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是在第二层链路层。也可以是在第三层网络层。第二层主要是PPP连接。如PPTP,L2TP第三层是IPSec。加解密技术数据通信中一项比较成熟的技术,VPN可直接利用现有技术进行数据加密解密密钥管理技术主要任务是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。降低网络搭建成本,简化管理。设计方案目前实现VPN主要有两种方式:IPSecVPN和SSLVPN如果只是想实现高效不同校区之间网络到网络的连接,可以选择IPSecVPN如果想实现终端到站点之间的传输可以选择SSLVPN各校区和主校区之间通过专线连接。而每个校区都通过路由器连接到具有VPN功能的防火墙。而路由器还有专门的VPN隧道和防火墙相连。防火墙连接到外面的Internet。同时校园网还连接至外面的教育科研网中。这样校外的老师和出差的老师都可以通过VPN访问校园网,还可以访问校内图书馆资源,内部教务信息
儋州校区(1.0万学生)
公网
教育网
公网400-1000M
防火墙200-500M
路由器
SiSi
防火墙
城西校区(0.5万学生)
路由器
Si
公共应用平台、数据库
路由器
计费网关
100M
Si
计费网关
儋州校区网络中心H3C9508
(相000M200-1
Si
0公里距15
)
Si
Si
H3C12508100-20公里0M(相距)15
Si
10000M
Si
城西校区网络中心6506R
Si
Si
S7506教工学生宿舍办公教学网络网络(电信LAN)1000M
学生宿舍网络2000M
Si
办公教学网络1000M
学生宿舍网络1000M
教工区网络1000M
办公教学网络1000M
教工宿舍网络6506R(电信ADSL)
100M3928P-SI
H3CS3600
100M
3928P-SI100M100M
海甸主校区(3.0万学生)
VPN服务器配置在服务器上右击,选择配置启用路由和远程访问进入配置向导,在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个服务器所使用的Internet连接,可以选已建立好的拨号连接或通过制定网卡进行连接,按下一步这一步回答你如何对远程客户机分配IP地址,除非你安装DHCP服务器,否则选择指定一个IP地址的范围根据提示选择你要分配给客户机的IP地址(此IP地址要和服务器的IP地址在同一个网段)最后选择“不,我现在不想设置此服务器的RADIUS”即可完成最后的设置VPN客户端配置在开始—附件—通讯,选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接”选择“虚拟专用网络连接”,单击下一步为连接输入一个名字“xxx”,单击下一步选择不拨此初始连接,单击下一步输入连接设备服务器的IP地址,单击完成
VPN----海南大学应用科技学院
双击刚建立的“xxx”连接,在连接窗口中选择属性选择安全属性页,选择高级(自定义设置),单击设置在“数据加密”中选择“可选加密”(没有加密也可以连接)在“允许这些协议”选中“质询握手身份验证协议(CHAP)”单击确定选择“网络”属性页,在VPN类型选择“L2TPVPN”确定“Internet协议TCP/IP”被选中单击确定,保存所做的修改
防病毒:
一、防病毒服务器:首先选择ServerProtect软件特点:集中式网域管理、三层式结构执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器,预装windows20XXserver,并在服务器上安装ServerProtect的信息服务器及管理控制台,作为ServerProtect的管理中心,从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置:1、配置下载源——一般把“趋势科技更新服务器”设置为下载源2、配置预设下载——将下载频率设为“每天”3、配置通知信息——配置通知类型,并发送给谁4、配置扫描设置——分为实时扫描、立即扫描、预设扫描通过ServerProtect的不熟,有效的保护校园网中的关键服务器受到病毒入侵,今儿切断了病毒通过服务器在校园网中的传播二、客户机安装网络版防毒软件:首先选择OfficeScan:针对企业网络环境设计,提供企业用户网络客户机的病毒防护工作,安装也企业中的一台防病毒服务器,可通过浏览器进行所有的设定及配置,能够通过网络为没太计算机安装客户端,无须在客户端操作,简单方便,提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端,通过“客户机打包程序”和WEB页面等方法安装校园内的客户机。具体配置:启动手动组织爆发客户机管理:设置扫面选项(实时、手动、预设扫描和例外文件设置)、设置权限服务器管理:设置密码、设置警报设置更新(服务器更新、客户机更新)另:宿舍客户机也可以自行选择网络版防毒软件,如360、瑞星、金山等等
上网行为管理、用户审计系统
上网行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控、管理网络资源使用情况,提高整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。
标准功能:上网人员管理上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的
合法性和安全性移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性、上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性上网浏览管理搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。网址URL管理:利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性.上网外发管理普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理:利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性即时通讯管理:利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其他外发管理:针对FTP、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性.上网应用管理上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问.上网流量管理上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽上网行为分析上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题
上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题.上网隐私保护日志传输加密:管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听管理三权分立:内置管理员、审核员、审计员账号。管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后才开通审计员权限;审计员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容精确日志记录:所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记录隐私设备容错管理死机保护:设备带电死机/断电后可变成透明网线,不影响网络传输。一键排障:网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间双系统冗余:提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用。风险集中告警告警中心:所有告警信息可在告警中心页面中统一的集中展示分级告警:不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息。告警通知:告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险。
数据备份系统
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的企业开始采用
网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。重要性:计算机里面重要的数据、档案或历史纪录,不论是对企业用户还是对个人用户,都是至关重要的,一时不慎丢失,都会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然。备份方式:定期磁带;数据库;网络数据;远程镜像;好用设备:备份离不开存储设备和介质。目前,可以用来备份的设备很多,除软盘、本地硬盘外,CD-R、CD-RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都可以很方便地买到。此外,Internet还给用户提供了网络备份的新途径,尤其是一些免费空间很值得我们予以关注。软盘是最常见的备份介质。不过,软盘容量很小,备份少量数据尚勉强可为,对大量数据则无能为力。再则,软盘安全性差、容易损坏,专业备份不值得考虑。光盘是不错的备份介质,它容量大、便于保管和携带,安全性也较高,是死备份的唯一选择。产品选择:Symantec作为全球领先的存储备份管理软件厂商,旗下的BackupExec和Netbackup两款备份产品解决方案可以为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障。产品特点:BackupExec软件是一种多线程、多任务的存储管理解决方案,专为在单一的或多节点的WindowsServers(包括windows2003/2008)企业环境中进行数据备份、恢复、灾难恢复而设计,适用于Windowsservers以及简单异构的企业网络;在全球数据备份软件市场的占有率高达56%,并在各种性能评测中远远领先于对手产品。NetBackup是Symantec公司的企业级备份管理软件,它致力于解决网络上大、中、小型服务器和工作站系统上的数据备份、归档及灾难恢复问题;NetBackup支持UNIX、Windows和Netware混合环境提供了完整的数据保护机制,针对Oracle、SAPR/3、Informix、Sybase、MicrosoftSQLServer和MicrosoftExchangeServer等数据库提供了备份和恢复的解决方案。具有保护企业中从工作组到企业级服务器的所有的数据的能力。产品配置:SymantecBackupExec12D产品配置架构
BackupExec12DforWindowsServers备份软件可以作为一台独立服务器保护自身的重要数据,也可以为网络上其它的远程客户端或者服务器提供全面的数据保护。备份软件系统的核心部分--BackupExecforWindowsServers能够安装到广泛的Windows各个版本的操作系统上,包括WindowsServer2000/2003、WindowsStorageServer2003以及WindowsSmallBusinessServer标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展BackupExec的功能,从而满足不同应用对增长和升级存储管理能力的需求。关于Windows服务器的系统保护,可以采用SymantecBackupExecSystemRecovery产品;BESR8.5是作为Windows系统恢复领域的金牌标准,可以在数分钟(而非数小时或数天)之内恢复系统,甚至可以将系统恢复至不同的硬件或虚拟环境。现在包含增强的MicrosoftExchange、虚拟和数据恢复功能,以及能够简化管理的集中式管理。客户备份环境分析:客户的备份网络中,主要保护的服务器为Windows平台,备份的服务器有文件服务器、AD域服务器、SQL数据库服务器等备份系统网络结构设计:在网络备份的基础上,我们建议建立一个专用的备份网络。配置很简单,因为每台服务器缺省已经配置2个以上的以太网卡。我们指定其中一个网卡作为专用的备份连接,通过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据通过备份网络直接传输到备份服务器,而不需要占用公网的网络带宽,而且备份速度更快。还有,我们建议采用基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份服务器上,然后在空闲的时候再迁移到磁带机上做为长期的数据保留。磁盘和磁带相结合的备份,既可以实现高速的存储备份,也可以实现数据长期保留的需要。主页防篡改网站被篡改的原因:客观原因:操作系统和应用的复杂性,导致系统漏洞的层出不穷。虽然有防火墙、入侵检测,但是这些产品都是基于特定端口的,无法理解协议的具体内容主观原因:网站建设与保护措施建设不同步还有些网站在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改网页防篡改技术:外挂轮巡技术:利用一个网页读取和检测程序,以轮巡方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。核心内嵌技术:篡改检测模块内嵌于WEB服务器软件,在每一个网页流出时进行完整性检查事件触发技术:使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查产品选择:鹰眼主页防篡改软件产品特点:鹰眼主页防篡改系统采用先进的核心驱动技术,其篡改检测模块运行于操作系统核心,与操作系统无缝结合。拦截对被保护的对象的非法篡改行为事件,进行阻断处理,由于鹰眼主页防篡改系统采用了先进、高校的算法,因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理服务器、管理终端三部分组成。主机监控端安装于被保护的WEB服务器之上。主机监控端与WEB服务器同步启动,保证WEB服务器能够随时得到保护。管理服务器是整个系统的中枢,所有的管理功能和数据均在管理服务器上实现,
管理服务器是管理终端和主机监控端的桥梁。管理终端安装于用户的工作用机上,为用户提供远程管理操作通过部署主页防篡改软件,有效的监控网站网页是否被恶意修改、删除,并能在最短的时间内采取恢复措施,有效保证数据的完整性和真实性。校园网络系统安全管理制度第一章总则第一条为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度。第二条本管理制度所称的校园网络系统,是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。第三条校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责,网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。第二章安全保护运行第五条除校园网负责单位,其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。第六条校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核,由单位负责人签署意见后,交办公室审核备案后,由网络与信息中心从技术上开通其对外的信息服务。第七条校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络与信息中心对用户口令保密,不得向任何单位和个人提供这些信息。第八条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯。第九条校园内从事施工、建设,不得危害计算机网络系统的安全。第十条校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,校园网负责单位必须在二十四小时内向校保卫部门及公安机关报告。第十一条严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。第十二条任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。第十三条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:(1)可向Internet公开的;(2)可向校内公开的;(3)可向本单位公开的;(4)可向有关单位或个人公开的;(5)仅限于本单位内使用的;(6)仅限于个人使用的。第十四条对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的各级行政单位、教学业务单位上网计算机的使用要严格管理,部门负责人为网络安全负责人。学校公共机房一律不准对社会开放,上网人员必须出示学生证、教师证,机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址。公共机房使用网络的记录要保持
一年。第十五条校园网负责单位必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经校网络安全领导小组批准,各单位一律不得开设代理服务器、Email服务器。第十六条经学校网络安全领导小组批准开设的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月。第三章违约责任与处罚第十七条违反第五条及第十二条规定的行为一经查实,将向学校国家安全领导小组及保卫部门报告,视情节给予相应的行政纪律处分;造成重大影响和损失的将向市公安部门报告,由个人依法承担相关责任。第十八条违反第八条规定的侦听、盗用行为一经查实,将提请学校给予行政处分,并在校园网上公布;对他人造成经济损失的,由本人加倍赔偿受害人损失,关闭其拥有的各类服务帐号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。第十九条故意传播或制造计算机病毒,造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
篇三:校园网络安全设计方案
校园网络安全设计方案
10网工2班组员:张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展,校园网的建设日益普遍。而在高校中,如何能够保证校园网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击,还有内部的攻击.所以,在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面,设计我校的网络安全方案.防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。防火墙的概念:通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合,是一种有效的网络安全策略.防火墙提供信息安全服务,设置在被保护内部网络的安全与不安全的外部网络之间,其作用是阻断来自外部的、针对内部网络的入侵和威胁,保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口,根据安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力。防火墙的分类:按软件与硬件的形式,防火墙分为软件防火墙、硬件防火墙和芯片防火墙;按防火墙的技术,总体分为包过滤型和应用代理型两大类;按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙;按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的安全策略:(1)所有从内到外和从外到内的数据包都必须经过防火墙(2)只有被安全策略允许的数据包才能通过防火墙(3)防火墙本身要有预防入侵的功能(4)默认禁止所有服务,除非是必须的服务才被允许防火墙的设计:(1)保障校园内部网主机的安全,屏蔽内部网络,禁止外部网用户连接到内部网(2)只向外部用户提供HTTP、SMTP和POP等有限的服务(3)向内部记账用户提供所有Internet服务,但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能,能有效记录校园网的一切活动。校园网络在设置时应从下面几个方面入手:(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自IPSourceRouting、IPSpoofing、SYNflood、IC—MPflood、UDPflood、PingofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分.此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0。0。0。0,防火墙对于用户来说是可视或透明的。(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点.(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、JavaAp-ple、ActiveX和恶意脚本过滤等。(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟
可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。(7)用户认证:要建立完善的用户认证机制,可以指定内部用户必须经过认证,方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式,对于内部网络的安全又多了一层保障。
产品选择:CiscoPIX515防火墙产品特点:CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术,运行PIX操作系统,是一种实时的嵌入式强化系统,可以消除安全漏洞和性能降级损耗。假如拓扑图如下(图中防火墙左面为内网,右面为外网,设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1,右口为f0/0。):要求:(1)对防火墙、路由器进行基本的命令配置,使得内网的所有机器能访问外网。(2)所有内网的主机出口使用防火墙对外的全局地址202.161.1.2(3)所有的外网的主机只能访问内网的IP地址为192.168。1.10的主机,此主机对外公开地址为202.161.1。5,允许对此主机进行www、ftp。其中防火墙的配置:设置端口安全级别:
nameife0outsidesec0
nameife1insidesec100设置端口参数:
interfacee0auto
interfacee1auto配置内外网的IP地址:Ipaddoutside192。168.3.1
Ipaddinside192.168.2.2设置指向内外网的静态路由:
Nat(inside)100Global(outside)1202.161.1.2Routeoutside0。0.0.00。0。0.0192。168。3.2拓扑图如下:
VPN什么是VPN?虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道.VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络。VPN的特点安全保障:通过一条隧道,加密技术对数据进行加密,以保证数据安全性和私有性。服务质量保证:为不同要求用户提供不同等级质量的服务可扩充性,灵活性:支持Internet和Extrane任何类型的数据流可管理性:可以从用户和运营商角度进行管理VPN所用的技术:实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是在第二层链路层。也可以是在第三层网络层.第二层主要是PPP连接。如PPTP,L2TP第三层是IPSec。
加解密技术数据通信中一项比较成熟的技术,VPN可直接利用现有技术进行数据加密解密密钥管理技术主要任务是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。降低网络搭建成本,简化管理.设计方案目前实现VPN主要有两种方式:IPSecVPN和SSLVPN如果只是想实现高效不同校区之间网络到网络的连接,可以选择IPSecVPN如果想实现终端到站点之间的传输可以选择SSLVPN各校区和主校区之间通过专线连接。而每个校区都通过路由器连接到具有VPN功能的防火墙。而路由器还有专门的VPN隧道和防火墙相连.防火墙连接到外面的Internet.同时校园网还连接至外面的教育科研网中.这样校外的老师和出差的老师都可以通过VPN访问校园网,还可以访问校内图书馆资源,内部教务信息VPN服务器配置在服务器上右击,选择配置启用路由和远程访问进入配置向导,在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个服务器所使用的Internet连接,可以选已建立好的拨号连接或通过制定网卡进行连接,按下一步这一步回答你如何对远程客户机分配IP地址,除非你安装DHCP服务器,否则选择指定一个IP地址的范围根据提示选择你要分配给客户机的IP地址(此IP地址要和服务器的IP地址在同一个网段)最后选择“不,我现在不想设置此服务器的RADIUS”即可完成最后的设置VPN客户端配置在开始-附件—通讯,选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接"选择“虚拟专用网络连接”,单击下一步为连接输入一个名字“xxx”,单击下一步选择不拨此初始连接,单击下一步输入连接设备服务器的IP地址,单击完成双击刚建立的“xxx”连接,在连接窗口中选择属性选择安全属性页,选择高级(自定义设置),单击设置在“数据加密"中选择“可选加密”(没有加密也可以连接)在“允许这些协议"选中“质询握手身份验证协议(CHAP)”单击确定选择“网络”属性页,在VPN类型选择“L2TPVPN”确定“Internet协议TCP/IP”被选中单击确定,保存所做的修改
防病毒:
一、防病毒服务器:首先选择ServerProtect软件特点:集中式网域管理、三层式结构执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器,预装windows20XXserver,并在服务器上安装ServerProtect的信息服务器及管理控制台,作为ServerProtect的管理中心,从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置:1、配置下载源—-一般把“趋势科技更新服务器”设置为下载源2、配置预设下载-—将下载频率设为“每天"3、配置通知信息——配置通知类型,并发送给谁4、配置扫描设置——分为实时扫描、立即扫描、预设扫描通过ServerProtect的不熟,有效的保护校园网中的关键服务器受到病毒入侵,今儿切断了病毒通过服务器在校园网中的传播二、客户机安装网络版防毒软件:首先选择OfficeScan:针对企业网络环境设计,提供企业用户网络客户机的病毒防护工作,安装也企业中的一台防病毒服务器,可通过浏览器进行所有的设定及配置,能够通过网络为没太计算机安装客户端,无须在客户端操作,简单方便,提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端,通过“客户机打包程序"和WEB页面等方法安装校园内的客户机.具体配置:启动手动组织爆发客户机管理:设置扫面选项(实时、手动、预设扫描和例外文件设置)、设置权限服务器管理:设置密码、设置警报设置更新(服务器更新、客户机更新)另:宿舍客户机也可以自行选择网络版防毒软件,如360、瑞星、金山等等
上网行为管理、用户审计系统
上网行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控、管理网络资源使用情况,提高整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门.标准功能:上网人员管理上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性、上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性上网浏览管理搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。网址URL管理:利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上
网访问的网址的合法性。网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性。上网外发管理普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理:利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性即时通讯管理:利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其他外发管理:针对FTP、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性。上网应用管理上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问
.上网流量管理上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽上网行为分析上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题。上网隐私保护日志传输加密:管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心,防止黑客窃听管理三权分立:内置管理员、审核员、审计员账号。管理员无日志查看权限,但可设置审计员账号;审核员无日志查看权限,但可审核审计员权限的合法性后才开通审计员权限;审计
员无法设置自己的日志查看范围,但可在审核员通过权限审核后查看规定的日志内容精确日志记录:所有上网行为可根据过滤条件进行选择性记录,不违规不记录,最小程度记录隐私设备容错管理死机保护:设备带电死机/断电后可变成透明网线,不影响网络传输。一键排障:网络出现故障后,按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起,缩短网络故障定位时间双系统冗余:提供硬盘+Flash卡双系统,互为备份,单个系统故障后依旧可以保持设备正常使用。风险集中告警告警中心:所有告警信息可在告警中心页面中统一的集中展示分级告警:不同等级的告警进行区分排列,防止低等级告警淹没关键的高等级告警信息。告警通知:告警可通过邮件、语音提示方式通知管理员,便于快速发现告警风险。
数据备份系统
数据备份是容灾的基础,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。但是这种方式只能防止操作失误等人为故障,而且其恢复时间也很长。随着技术的不断发展,数据的海量增加,不少的企业开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。重要性:
计算机里面重要的数据、档案或历史纪录,不论是对企业用户还是对个人用户,都是至关重要的,一时不慎丢失,都会造成不可估量的损失,轻则辛苦积累起来的心血付之东流,严重的会影响企业的正常运作,给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行,企业用户应当采取先进、有效的措施,对数据进行备份、防范于未然.备份方式:定期磁带;数据库;网络数据;远程镜像;好用设备:备份离不开存储设备和介质。目前,可以用来备份的设备很多,除软盘、本地硬盘外,CD—R、CD—RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都可以很方便地买到.此外,Internet还给用户提供了网络备份的新途径,尤其是一些免费空间很值得我们予以关注。软盘是最常见的备份介质。不过,软盘容量很小,备份少量数据尚勉强可为,对大量数据则无能为力。再则,软盘安全性差、容易损坏,专业备份不值得考虑.光盘是不错的备份介质,它容量大、便于保管和携带,安全性也较高,是死备份的唯一选择。产品选择:Symantec作为全球领先的存储备份管理软件厂商,旗下的BackupExec和Netbackup两款备份产品解决方案可以为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障。产品特点:BackupExec软件是一种多线程、多任务的存储管理解决方案,专为在单一的或多节点的WindowsServers(包括windows2003/2008)企业环境中进行数据备份、恢复、灾难恢复而设计,适用于Windowsservers以及简单异构的企业网络;在全球数据备份软件市场的占有率高达56%,并在各种性能评测中远远领先于对手产品。NetBackup是Symantec公司的企业级备份管理软件,它致力于解决网络上大、中、小型服
务器和工作站系统上的数据备份、归档及灾难恢复问题;NetBackup支持UNIX、Windows和Netware混合环境提供了完整的数据保护机制,针对Oracle、SAPR/3、Informix、Sybase、MicrosoftSQLServer和MicrosoftExchangeServer等数据库提供了备份和恢复的解决方案。具有保护企业中从工作组到企业级服务器的所有的数据的能力.产品配置:SymantecBackupExec12D产品配置架构BackupExec12DforWindowsServers备份软件可以作为一台独立服务器保护自身的重要数据,也可以为网络上其它的远程客户端或者服务器提供全面的数据保护。备份软件系统的核心部分—-BackupExecforWindowsServers能够安装到广泛的Windows各个版本的操作系统上,包括WindowsServer2000/2003、WindowsStorageServer2003以及WindowsSmallBusinessServer标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展BackupExec的功能,从而满足不同应用对增长和升级存储管理能力的需求。关于Windows服务器的系统保护,可以采用SymantecBackupExecSystemRecovery产品;BESR8.5是作为Windows系统恢复领域的金牌标准,可以在数分钟(而非数小时或数天)之内恢复系统,甚至可以将系统恢复至不同的硬件或虚拟环境。现在包含增强的MicrosoftExchange、虚拟和数据恢复功能,以及能够简化管理的集中式管理。客户备份环境分析:客户的备份网络中,主要保护的服务器为Windows平台,备份的服务器有文件服务器、AD域服务器、SQL数据库服务器等备份系统网络结构设计:在网络备份的基础上,我们建议建立一个专用的备份网络.配置很简单,因为每台服务器缺省已经配置2个以上的以太网卡.我们指定其中一个网卡作为专用的备份连接,通过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据通过备份网络直接传输到备份服务器,而不需要占用公网的网络带宽,而且备份速度更快。还有,我们建议采用基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份服务器上,然后在空闲的时候再迁移到磁带机上做为长期的数据保留.磁盘和磁带相结合的备份,既可以实现高速的存储备份,也可以实现数据长期保留的需要。主页防篡改网站被篡改的原因:客观原因:操作系统和应用的复杂性,导致系统漏洞的层出不穷。
虽然有防火墙、入侵检测,但是这些产品都是基于特定端口的,无法理解协议的具体内容主观原因:网站建设与保护措施建设不同步还有些网站在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改网页防篡改技术:外挂轮巡技术:利用一个网页读取和检测程序,以轮巡方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。核心内嵌技术:篡改检测模块内嵌于WEB服务器软件,在每一个网页流出时进行完整性检查事件触发技术:使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查产品选择:鹰眼主页防篡改软件产品特点:鹰眼主页防篡改系统采用先进的核心驱动技术,其篡改检测模块运行于操作系统核心,与操作系统无缝结合.拦截对被保护的对象的非法篡改行为事件,进行阻断处理,由于
鹰眼主页防篡改系统采用了先进、高校的算法,因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理服务器、管理终端三部分组成。主机监控端安装于被保护的WEB服务器之上.主机监控端与WEB服务器同步启动,保证WEB服务器能够随时得到保护.管理服务器是整个系统的中枢,所有的管理功能和数据均在管理服务器上实现,管理服务器是管理终端和主机监控端的桥梁。管理终端安装于用户的工作用机上,为用户提供远程管理操作通过部署主页防篡改软件,有效的监控网站网页是否被恶意修改、删除,并能在最短的时间内采取恢复措施,有效保证数据的完整性和真实性.校园网络系统安全管理制度
第一章总则第一条为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校
园网络的正常运行和网络用户的使用权益,制定本安全管理制度.第二条本管理制度所称的校园网络系统,是指由学校投资购买、由网络与信息中心负责维护
和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。
第三条校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责,网络与信息中心可以委托相关单位指定人员代为管理子节点设备。任何单位和个人,未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备.
第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。
第二章安全保护运行第五条除校园网负责单位,其他单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作;任何单位和个人不得以任何借口盗窃、破坏网络设施,这些行为被视为对校园网安全运行的破坏行为。第六条校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核,由单位负责人签署意见后,交办公室审核备案后,由网络与信息中心从技术上开通其对外的信息服务。第七条校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络与信息中心对用户口令保密,不得向任何单位和个人提供这些信息。第八条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动,该活动被认为是对网络用户权益的侵犯.第九条校园内从事施工、建设,不得危害计算机网络系统的安全。第十条校园网主、辅节点设备及服务器等发生案件、以及遭到黑客攻击后,校园网负责单位必须在二十四小时内向校保卫部门及公安机关报告。第十一条严禁在校园网上使用来历不明、引发病毒传染的软件;对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒.第十二条任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。第十三条校园网及子网的系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为:(1)可向Internet公开的;(2)可向校内公开的;(3)可向本单位公开的;(4)可向有关单位或个人公开的;(5)仅限于本单位内使用的;(6)仅限于个人使用的。
第十四条对所有联网计算机及上网人员要及时、准确登记备案。多人共用计算机上网的各级行政单位、教学业务单位上网计算机的使用要严格管理,部门负责人为网络安全负责人。学校公共机房一律不准对社会开放,上网人员必须出示学生证、教师证,机房工作人员记录上网人员身份和上下网时间、机号、机器IP地址.公共机房使用网络的记录要保持一年。
第十五条校园网负责单位必须落实各项管理制度和技术规范,监控、封堵、清除网上有害信息.为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用校园网负责单位设立的代理服务器、Email服务器。未经校网络安全领导小组批准,各单位一律不得开设代理服务器、Email服务器。
第十六条经学校网络安全领导小组批准开设的服务器必须保持日志记录功能,历史记录保持时间不得低于6个月.
第三章违约责任与处罚第十七条违反第五条及第十二条规定的行为一经查实,将向学校国家安全领导小组及保卫部门报告,视情节给予相应的行政纪律处分;造成重大影响和损失的将向市公安部门报告,由个人依法承担相关责任。第十八条违反第八条规定的侦听、盗用行为一经查实,将提请学校给予行政处分,并在校园网上公布;对他人造成经济损失的,由本人加倍赔偿受害人损失,关闭其拥有的各类服务帐号;行为恶劣、影响面大、造成他人重大损失的,将向公安部门报案。第十九条故意传播或制造计算机病毒,造成危害校园网系统安全的按《中华人民共和国计算机信息系统安全保护条例》中第二十三条的规定予以处罚。
篇四:校园网络安全设计方案
学校网络安全防范的策划设计方案
按照《市教育局关于开展网络安全宣传周活动的通知》的相关要求,结合学校实际,经学校研究决定,在全校师生中开展网络安全教育宣传周活动,特制订方案如下:
一、活动时间20__年9月17日(星期一)至9月23日(星期日)。二、活动主题网络安全为人民,网络安全靠人民。三、具体内容:(一)举行“共建网络安全,共享网络文明”网络安全教育周启动仪式9月17日(星期一),按照八小关于网络安全教育周的活动安排,组织开展“共建网络安全,共享网络文明”安全教育启动仪式,常校长做动员讲话,并做具体的活动安排和要求。1、召开一次“共建网络安全,共享网络文明”为主题的班会各班要紧密结合学生不良的上网习惯,选择发生在学生身边的典型案例,组织和引导学生进行深入讨论身边存在的网络安全隐患,结合学生进入黑网吧等现象进行讨论,教育学生从自身做起,遵守网络安全准则。时时刻刻注意网络安全事项。班主任一定要在学生讨论后进行总结,教育学生提高网络安全意识和自我保护意识。各班自行组织时间开展。但必须在9月19日前完成。
2、大队部组织落实相关活动并照相及过程资料的收集。(二)、开展网络安全教育班级手抄小报及黑板报评比。每班5份手抄小报,各班出一期以“共建网络安全,共享网络文明”为主题的黑板报,学校进行评比(9月20日前)。要求:1、主题鲜明,内容丰富具教育性,无知识性错误和错别字。2、小报要充分显示本班开展的网络安全教育情况。四、开展多种形式的网络安全教育宣传活动活动周期间,学校LED屏播出网络安全教育宣传条幅,9月__日,上一节“绿色上网、文明上网、健康上网”网络安全公开课。同时充分利用黑板报、宣传栏、校园网等形式进行网络安全教育宣传,营造浓厚的网络安全教育氛围。为进一步推动我校网络安全建设,加强网络安全教育宣传,营造安全、健康、文明、和谐的网络环境,按照辽宁省委网信办《关于印发辽宁省网络安全宣传周活动实施方案的通知》(_委网办发文[20__]_号)和《辽宁省教育厅办公室关于印发辽宁省教育系统网络安全宣传活动周活动实施方案的通知》(辽教电[20__]149号)精神,我校决定开展网络安全宣传周活动,并制定以下活动方案。一、指导思想以学习宣传网络强国战略思想、国家网络安全有关法律法规
和政策标准为核心,以培育“四有好网民”为目的,以“网络安全为人民,网络安全靠人民”为活动主题,深入开展“网络安全进校园”宣传教育活动,充分发挥校园宣传教育主阵地作用,增强师生网络安全意识,提升基本防护技能,共同维护国家网络安全。
二、活动时间和主题时间:9月19日-25日主题:网络安全为人民,网络安全靠人民宣传周活动期间,开展主题日活动,9月20日为教育日,在学校开展一次“网络安全进校园”体验活动。三、活动形式本次网络安全宣传活动建议采取但不限于以下形式,单次活动安排在9月20日教育日举办。1.开办网络安全宣传专栏。各学院及相关部门要充分利用校园网或宣传报栏宣传网络安全法律法规、政策文件、网络安全常识等。2.举办网络安全宣传讲座。组织师生观看网络安全教育宣传片。现代教育技术中心将开放我校数据中心机房,由相关教师介绍校园网络的安全设备及相关技术。各学院可与现代教育技术中心直接联系。3.开展网络安全知识竞赛。各学院可组织广大师生开展各种类型的网络安全知识竞赛、技能竞赛,引导师生主动学习网络安
全知识,加强网络安全自我保护意识。竞赛内容要紧扣本次活动主题。
4.召开网络安全知识主题班会。组织学生召开一次主题班会,讨论宣传网络安全知识,提高学生网络安全意识,增强识别和应对网络危险的能力。
5.发放网络安全宣传传单。通过校园官方微信、团属新媒体制作电子版网络安全宣传传单,推送或发放给师生、学生家长,扩大宣传教育的覆盖面。
四、活动要求1.加强组织领导。各基层党委(党总支)要高度重视网络安全宣传活动,按照活动方案要求,精心谋划、周密部署,确保组织到位、责任到位。2.务求取得实效。各基层党委(党总支)要紧紧围绕活动主题,扎实开展宣传活动,确保让每一名师生都接受一次网络安全教育。
篇五:校园网络安全设计方案
校园网络安全设计方案
周军
【期刊名称】《电子科技》【年(卷),期】2012(025)010【摘要】Thispaperanalyzesthevarioussecuritythreatsfacingcampusnetwork.WithNantongShippingCollegecampusnetworkasthebackground,itproposessuchpracticalandfeasiblesuggestionsandsolutionsaslinkbackup,firewallandintrusiondetectionlinkage,virtualprivatenetwork,VLAN,portsecurityandnetworkstorage.%分析了校园网面临的各种安全威胁,并以南通航运职业技术学院校园网为背景,针对各种威胁提出了链路备份、防火墙与入侵检测联动、虚拟专用网、虚拟局域网、交换机端口安全以及网络存储等一系列切实可行的解决方案或建议。【总页数】2页(P145-146)【作者】周军【作者单位】南通航运职业技术学院管理信息系,江苏南通226000【正文语种】中文【中图分类】TP311.563.1【相关文献】1.高校校园网网络安全系统设计方案——以博文学院校园网为例[J],郭宝军2.校园网络安全防范设计方案[J],杨海亮
3.校园网网络安全设计方案探析[J],肖仁锋;徐书海4.基于等级保护的校园网络安全规划设计方案[J],周大勇5.高校校园网络安全系统的设计方案及论述[J],夏可为
因版权原因,仅展示原文概要,查看原文内容请购买
篇六:校园网络安全设计方案
校园网网络安全设计方案以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普
及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失.维护校园网网络安全需要从网络的搭建及网络安全设计方面着手.
一、基本网络的搭建。由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:1。网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。二、网络安全设计。1。物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散.计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号.正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导
辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。2。网络共享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术.IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络.从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB.这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网.以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用.
第一,防病毒技术.病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快.计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术.这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统.例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现
内部子网的安全.共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全.外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
篇七:校园网络安全设计方案
校园网网络安全系统方案设计.
目录第一章校园网安全隐患剖析(31.1校园内网安全剖析(31.1.1软件层次安全(31.1.2设施物理安全(31.1.3设施配置安全(31.1.4管理层次安全(41.1.5无线局域网的安全威迫(41.2校园外网安全剖析(51.2.1黑客攻击(51.2.2不良信息流传(61.2.3病毒危害(6第二章设计简介及设计方案阐述(72.1校园网安全举措(72.1.1防火墙(72.1.2防病毒(82.1.3无线网络安全举措(102.2H3C无线校园网的安全策略(122.2.1靠谱的加密和认证、设施管理(12
1/19
校园网网络安全系统方案设计.
2.2.2用户和组安全配置(122.2.3非法接入检测和隔绝(132.2.4监督和告警(14第三章详尽设计(153.1ISA软件防火墙的配置(153.1.1基本配置(163.1.2限制学校用机的上网(163.1.3检测外面攻击及入侵(163.1.4校园网信息过滤配置(173.1.5网络流量的监控(173.1.6无线局域网安全技术(173.2物理地点(MAC过滤(183.2.1服务集表记符(SSID般配(183.2.2端口接见控制技术和可扩展认证协议(20第一章校园网安全隐患剖析1.1校园内网安全剖析1.1.1软件层次安全当前使用的软件特别是操作系统或多或少都存在安全破绽,对网络安全构成了威迫。此刻网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这
2/19
校园网网络安全系统方案设计.
些系统安全风险级别不一样,UNIX因其技术较复杂往常会致使一些高级黑客对其进行攻击;而WindowsNTP2000操作系统因为获取了宽泛的普及,加上其自己安全漏洞许多,所以,致使它成为较不安全的操作系统。在一段期间、冲击波病毒比较流行,冲击波这个利用微软RPC破绽进行流传的蠕虫病毒起码攻击了全世界80%的Windows用户,使他们的计算机没法工作并频频重启,该病毒还引起了DoS攻击,使多个国家的互联网也遇到相当影响。
1.1.2设施物理安全设施物理安全主假如指对网络硬件设施的破坏。网络设施包含服务器、互换机、集线器、路由器、工作站、电源等,它们散布在整个校园内,管理起来特别困难。个他人可能出于各样目的,存心或无心地破坏设施,这样会造成校园网络所有或部分瘫痪。
1.1.3设施配置安全
设施配置安所有是指在设施上要进行必需的一些设置(如服务器、互换机、防火墙、路由器的密码等,防备黑客获得硬件设施的控制权。很多网管常常因为
没有在服务器、路由器、防火墙或可网管的互换机上设置必需的密码或密码设置得过于简单,致使一些略懂或精晓网络设施管理技术的人员能够经过网络轻易获得对服务器、互换机、路由器或防火墙等网络设施的控制权,而后任意改正这些设施的配置,严重时甚至会致使整个校园网络瘫痪。
1.1.4管理层次安全一个健全的安全系统,实质上应当表现的是“三分技术、七分管理”网,络的整体安全不是只是依靠使用各样技术先进的安全设施就能够实现的,更重要的是表此刻对人、对设施的安全管理以及一套卓有成效的安全管理制度,特别重要的是增强对内部人员的管理和拘束,因为内部人员对网络的构造、模式都比较认识,若不增强管理,一旦有人出于某种目的破坏网络,结果将不行思议。IP地点盗用、滥用是校园网一定增强管理的方面,特别是学生区、机房等。IP配置不妥也会造成部分地区网
3/19
校园网网络安全系统方案设计.
络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地点设置为本网段的网关地点,这会致使整个学活力房没法正常接见外网。
1.1.5无线局域网的安全威迫
利用WLAN进行通信一定拥有较高的通信保密能力。关于现有的它的安全隐患主要有以下几点:
WLAN产品,
未经受权使用网络服务
因为无线局域网开放式的接见方式,非法用户能够未经受权而私自使用网络资源,不单会占用可贵的无线信道资源,增添带宽花费,还会降低合法用户的服
务质量。
地点欺诈和会话拦截
当前有好多种无线局域网的安全技术,包含物理地点(MAC过滤、服务集表记符(SSID般配、有线平等保密(WEP、端口接见控制技术、WPA(Wi-FiProtectedAccess、IEEE802.11i等。面对这样多的安全技术,应当选择哪些技术来解决无线局域网的安全问题,才能知足用户对安全性的要求。在无线环境中,非法用户经过侦听等手段获取网络中合法站点的MAC地点比有线环境中要简单得多,这些合法的MAC地点能够被用来进行歹意攻击。此外,因为IEEE802.11没有对AP身份进行认证,攻击者很简单装束成合法AP进入网络,并进一步获取合法用户的鉴识身份信息,经过会话拦截实现网络入侵。这些合法的MAC地点能够被用来进行歹意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其余系统的起点。多半学校部署的WLAN都在防火墙以后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只需攻破无线网络,整个网络就将裸露在非法用户眼前。
1.2校园外网安全剖析
1.2.1黑客攻击
4/19
校园网网络安全系统方案设计.
有的校园网同时与CERNET、Internet相连,有的经过CERNET与Internet相连,在享受Internet方便快捷的同时,也面对着遭受攻击的风险。黑客攻击活动日趋猖狂,成为此刻社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺诈攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不单来自校园外网,还有相当一部分来自校园网内部,因为内部用户对网络的结
构和应用模式都比较认识,所以来自内部的安全威迫会更大一些。1.2.2不良信息流传在校园网接入Internet后,师生都能够经过校园网络进入Internet。当前Internet上各样信息参差不齐,此中有些不良信息违犯人类的道德标准和相关法律法规,对人生观、世界观正在形成中的学生危害特别大。特别是中小学生,因为年纪小,分辨是非和抵抗扰乱能力较差,假如不采纳确实可行安全举措,必然会致使这些信息在校园内流传,侵害学生的心灵。1.2.3病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门供给了方便,下载的程序、电子邮件都可能带有病毒。跟着校园内计算机应用的大范围普及,接入校园网的节点数目日趋增加,这些节点多半没有采纳安全防备举措,随时有可能造成病毒泛滥、信息丢掉、数据破坏、网络被攻击、甚至系统瘫痪等严重结果。第二章设计简介及设计方案阐述2.1校园网安全举措2.1.1防火墙网络信息系统的安全应当是一个动向的发展过程,应当是一种检测,安全,响应的循环过程。动向发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不行少的环节。
5/19
校园网网络安全系统方案设计.
网络监控系统是及时网络自动违规、入侵辨别和响应系统。它位于有敏感数据需要保护的网络上,经过及时截获网络数据流,找寻网络违规模式和未受权的网络接见试试。当发现网络违规模式和未受权的网络接见时,网络监控系统能够依据系统安全策略做出反响,包含及时报警、事件登录或履行用户自定义的安全策略等。
1系统构成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1台,用于运转监控系统软件2主要功能及时网络数据流追踪、采集与复原网络监控系统运转于有敏感数据需要保护的网络之上,及时监督网络上的数据流,剖析网络通信会话轨迹。如:E-MAIL:监督特定用户或特定地点发出、收到的邮件;记录邮件的源及目的IP地点、邮件的发信人与收信人、邮件的收发时间等。HTTP:监督和记录取户对鉴于Web方式供给的网络服务的接见操作过程(如用户名、口令等。FTP:监督和记录接见FTP服务器的过程(IP地点、文件名、口令等。TELNET:监督和记录对某特定地点主机进行远程登录操作的过程。供给智能化网络安全审计方案网络监控系统能够对大批的网络数据进行剖析办理和过滤,生成按用户策略挑选的网络日记,大大减少了需要人工办理的日记数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件3主要技术特色采纳透明工作方式,它静静地监督本网段数据流,对网络通信不附带任何延时,不影响网络传输的效率。可采纳集中管理的散布式工作方式,能够远程监控。能够对
6/19
校园网网络安全系统方案设计.
每个监控器进行远程配置,能够监测多个网络出口或应用于广域网络监测。网络监控系统能进行运转状态及时监测,远程启停管理。
2.1.2防病毒为了有效的防备病毒对系统的侵入,一定在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1应用状况一台专用服务器(NTSERVER、一台代理邮件服务器(NTSERVER&PROXYSERVER,ExchangeServer,一台WWWSERVER,一台数据库SERVER,100-200台客户机。2系统要求能防备经过PROXYSERVER从Internet下载文件或收发的E-mail内隐蔽的病毒,并对当地的局域网防备的作用。3解决方案采纳的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数目保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER自己InterScanWebProtectProxyServer按客户机数目HTTPFTP、用阅读器
7/19
校园网网络安全系统方案设计.
下开载的程序ScanMailforExchangeServerExchangeServer按客户机数目有E-Mail的用户OfficeScancorp各部门的NT域服务器按客户机数目自动散发、更新、实时督查客户机以下是采纳以上Trend公司产品的说明:在NT主域控制器和备份域上均采纳ServerProtecforWindowsNT保护NT服务器免受病毒的损害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,所以介绍采纳OfficeScanCorporatcEdition公司受权版OfficeScanCorporateIdition能让MIS人员经过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级。此外在外接Internet和邮件服务器上,采纳InterScanWebProtect和ScanMailForExchange此两种软件是当前独一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵公司内部网络的进口处Internet服务器或网关(Gateway上安装此软件,它能够随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件抵达网络系统以行进行扫描侦测出来。2.1.3无线网络安全举措针对校园应用的安全解决方案,从校园用户角度而言,跟着无线网络应用的推动,管理员需要更为着重无线网络安全的问题,针对不一样的用户需求,H3C提出一系列不
8/19
校园网网络安全系统方案设计.
同级其余无线安全技术策略,从传统的WEP加密到IEEE802.11i,从MAC地点过滤到IEEE802.1x安全认证技术,可分别知足办公室局部用户、园区网络、办公网络等不一样级其余安全需求。
关于办公室局部无线用户而言,无线覆盖范围较小,接入用户数目也比较少,没有专业的管理人员,对网络安全性的要求相对较低。往常状况下不会装备专用的认证服务器,这类状况下,可直接采纳AP进行认证,WPA-PSK+AP隐蔽能够保证基本的安全级别。
在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数目,AP和无线网卡的数目势必大大增添,同时因为使用的用户许多,安全隐患也相应增添,此时简单的WPA-PSK已经不可以知足此类用户的需求。如表中所示的中级安全方案使用支持IEEE802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚构专用组(VertualPrivateGroup管理器功能并通事后台的Radius服务
器进行用户身份考证,有效地阻挡未经受权的用户接入,并可对用户权限进行区分。
假如应用无线网络建立校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,所以用户认证问题就显得更为重要。假如不可以正确靠谱地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,关于无线业务网络来说是不可以够接受的。专业级解决方案能够较好地知足用户需求,经过H3C虚构专用组(VPG管理器功能、IEEE802.11i加密、Radius的用户认证保证高安全性。详细安全区分及技术方案选择如表2-2所示。
表2-2安全区分及技术方法选择安全级别典型场合使用技术初级安全办公室局部无线用户WPA-PSK+AP隐蔽中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管
9/19
校园网网络安全系统方案设计.
理专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络的安全性和保证不一样厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i,并且致力于从长久角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol和AES(AdvancedEncryptionStandard,以及认证协议:IEEE802.1x。IEEE802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获取同意。2.2H3C无线校园网的安全策略针对当前无线校园网应用中的各种安全隐患,H3C的无线局域网产品系统能够供给强有力的安全特征,除了传统无线局域网中的安全策略以外,还可以够供给更为精美的管理举措。2.2.1靠谱的加密和认证、设施管理能够支持当前802.11小组所提出的所有加密方式,包含高级WPA256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPATKIP,独有的128位动向安全链路加密,动向会话密钥管理。802.1x认证使用802.1xRADIUS认证和MAC地点结合认证,保证只有合法用户和客户端设施才可接见网络;WPATKIP认证采纳EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更为保证用户身份的严格判定。
支持经过当地控制台或经过SSL或HTTPS集中管理Web阅读器;经过当地控制台或经过SSHv2或Telnet远程管理的命令行界面;并可经过无线局域网管理系统进行集中管理。
2.2.2用户和组安全配置
10/19
校园网网络安全系统方案设计.
和传统的无线局域网安全举措同样,H3C无线网络能够依靠物理地点(MAC过滤、服务集表记符(SSID般配、接见控制列表(ACL来供给对无线客户端的初始过滤,只同意指定的无线终端能够连结AP。
同时,传统无线网络也存在它的不足之处。第一,它的安全策略依靠于连结到某个网络地点的设施上的特定端口,对物理端口和设施的依靠是网络工程的基
础。比如,子网、ACL以及服务等级(CoS在路由器和互换机的端口上定义,需要经过台式机的MAC地点来管理用户的连结。H3C采纳鉴于身份的组网功能,可供给增强的用户和组的安全策略,针对特别要求创立虚构专用组(VertualPrivateGroup,VLAN不再需要经过物理连结或端口来实行,而是依据用户和组名来区分权限。并且,H3C无线网络能够对无线局域网进行亘古未有的控制和察看,监督工具甚至能够追踪深入到个人的信息(不论他的地点在哪里,网络表记鉴于用户而不是鉴于物理端口或地点。其次,H3C无线网络简化了SSID支持,不再需要多个SSID来支持遨游和受权策略;单个SSID足以支持遨游、跨子网遨游或包含VLAN或子网成员资格的受权策略。大批的可配置监督工具用于采集用户数据(比如地点、接见控制和安全设置和辨别用户身份。其余,使用H3C虚构专用组(VertualPrivateGroup管理器功能,能够为用户和组分派特定的安全和接见策略,进而获取最大的灵巧性,同时增强网络安全性并明显缩短管理时间。用户不单可改正单个用户设置,还可以够只通过简单的几次击键操作即可从中央管理控制台方便地配置相像的用户组、AP组,而不用逐一配置AP。
2.2.3非法接入检测和隔绝
H3C无线网络可自动履行的AP射频扫描功能经过表记可去除非法AP,使管理员能更好地查察网络状况,提升对网络的能见度。非法AP经过引入更多的流量来降低网络性能,经过试试获取数据或用户名来危及网络安全或许欺诈网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,可是网络规模越大就越简单遇到攻击。
11/19
校园网网络安全系统方案设计.
为了除去这类威迫,能够指定某些AP充任射频“卫士”,其方法是扫描无线局域网来查找非法AP地点,记录这些地点信息并采纳举措以及为这些地点从头分派信道以使网络处于连结状态并正常运转。AP射频扫描程序还会检测并调整惹起射频干扰的其余根源,比如微波炉和无绳电话。并且,射频监测配合鉴于用户身份的组网,不但可使用户在遨游时拥有诸如虚构专用构成员资格、接见控制列表(ACL、认证、遨游策略和历史、地点追踪、带宽使用以及其余受权等内容,还可见告管理人员哪些用户已连结、他们位于哪处、他们以前位于哪处、他们正在使用哪些服务以及他们以前使用过哪些服务。
2.2.4监督和告警H3C无线网络系统供给了及时操作信息,能够迅速检测到问题,提升网络的安全性并优化网络,甚至还可以够定位用户。网络管理应用程序针对此刻的动向业务而设计,它供给了配置改正的自动告警功能。导游界面供给了即时提示,进而使得管理员能够迅速针对矛盾做出改正。
经过使用软件的挪动配置文件功能,管理者能够在用户或用户组遨游整个无线局域网时控制其接见资源的地点。其余,地点策略能够依据用户的地点来阻挡或同意对特别应用程序的接见。
第三章详尽设计
网络安全系统规划是一个系统成立和优化的过程,建设网络的根本目的是在Internet长进行资源共享与通信。要充足发挥投资网络的效益,需求设计成为网络规划建设中的重要内容,网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设施(主互换机、路由器、二级互换机、服务器等。校园内部网络采纳共享或许互换式以太网,选择中国科研教育网接入Internet,校际之间经过国际互联网的方式相互连结。同时采纳相应的举措,保证通信数据的安全、保密。
此外为了防备这个校区内病毒的流传、感染和破坏,我们在校园网内可能感染和流传病毒的地方采纳相应的防毒举措,部署防毒组件,规划以下:在学校服务上安装
12/19
校园网网络安全系统方案设计.
服务器端杀毒软件;内行政、教课单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作,散发杀毒软件的升级文件(包含病毒定义码、扫描引擎、程序言件等到校内所实用机,并对杀毒软件网络版进行更新。
3.1ISA软件防火墙的配置校园网内的软件防火墙采纳ISAServe,之所以采纳防火墙,是因为ISAServer是一种新式的应用层防火墙,防止服务的短处及破绽的攻击,同时支持VPN功能及充任Web代理服务器,并能供给详尽的日记报告。安装表示图如图3-1所示。
图3-1ISA安装表示图3.1.1基本配置经过ISAServe中的ISAManagement项中的Services标签,启动集成模式中的三个服务,就能够使用ISA的所有默认功能。同时须翻开IPRouting功能、接见权限功能、接见策略功能、一致管理等。3.1.2限制学校用机的上网第一要定义组,经过在ISAServer软件防火墙的ClientAddressSets标签中新建一个组名的表记,依据机房用机的IP地点范围进行增添,在ProtocolRules中选中协议规则后切换到Appliesto标签,选中ClientAddressSetsspecifiedbelow,加入设定的组即可。这样就能够先知学校其余用机任意上网。
13/19
校园网网络安全系统方案设计.
3.1.3检测外面攻击及入侵
能够经过配置ISAServer来监测常有的校园网络攻击。在ISAServe中启用入侵检测后,ISAServer一检测到攻击,就会向Windows2000事件日记中发信息。要启用ISAServer的入侵检测功能,应在ISAServer管理窗口中选择
服务器名称中的IPPacketFiltersProperties选项,勾选EnableIntrusiondetection,即翻开ISAServer的入侵检查功能。
3.1.4校园网信息过滤配置
校园网中拟采纳“过滤王”来实现有效的过滤反动、色情、邪教等有害校园气氛的信息,硬件配置包含一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日记(加密并合时向网络中心上传数据。在软件管理终端,管理员选择“类型”和“记录日期”,点击“查察按钮”,就能够查察网络日记和操作日记,其余,安装“过滤王”软件终端程序包含核心和控制台两部分,核心程序安装在中心互换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡,进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安装达成后,控制台程序所在的服务器IP地点就是安装核心程序的中心互换机IP。
3.1.5网络流量的监控STARVIEW在网络初步异样的状况下,能进一步查察网络中的详尽流量,进而为网络故障的定位供给丰富数据支持。3.1.6无线局域网安全技术
往常网络的安全性主要表此刻接见控制和数据加密两个方面。接见控制保证敏感数据只好由受权用户进行接见,而数据加密则保证发送的数据只好被所希望的用户所接收和理解。
3.2物理地点(MAC过滤
14/19
校园网网络安全系统方案设计.
每个无线客户端网卡都由独一的48位物理地点(MAC表记,可在AP中手工保护一组同意接见的MAC地点列表,实现物理地点过滤。这类方法的效率会跟着终端数目的增添而降低,并且非法用户经过网络侦听便可获取合法的MAC地点表,而MAC地点其实不难改正,因此非法用户完好能够盗用合法用户的MAC地点来非法接入,如图3-2所示。
图3-2MAC地点的过滤图3.2.1服务集表记符(SSID般配无线客户端一定设置与无线接见点AP同样的SSID,才能接见AP;假如出示的SSID与AP的SSID不一样,那么AP将拒绝它经过本服务集上网。利用SSID设置,能够很好地进行用户集体分组,防止任意遨游带来的安全和接见性能的问题。能够通过设置隐蔽接入点(AP及SSID的权限控制来达到保密的目的,所以能够认为SSID是一个简单的口令,经过供给口令认证体制,实现必定的安全,详细的服务集表记般配如图3-3所示。
15/19
校园网网络安全系统方案设计.
图3-3服务集表记般配在IEEE802.11中,定义了WEP来对无线传递的数据进行加密,WEP的核心是采纳的RC4算法。在标准中,加密密钥长度有64位和128位两种。此中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位,加密原理如图3-4所示。
图3-4WEP加密原理图WEP加密原理以下:1、AP先产生一个IV,将其同密钥串接(IV在前作为WEPSeed,采纳RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU以后;3、将上述两步的结果按位异或生成加密数据;
16/19
校园网网络安全系统方案设计.
4、加密数据前面有四个字节,寄存IV和KeyID,IV占前三个字节,KeyID在第四字节的高两位,其余的地点0;假如使用Key-mappingKey,则KeyID为0,假如使用DefaultKey,则KeyID为密钥索引(0-3此中之一。
3.2.2端口接见控制技术和可扩展认证协议IEEE802.1x其实不是专为WLAN设计的。它是一种鉴于端口的接见控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线接见点AP关系后,能否能够使用AP的服务要取决于802.1x的认证结果。假如认证经过,则AP为STA翻开这个逻辑端口,不然不一样意用户连结网络,详细原理如图3-5所示。
图3-5802.1x端口控制在拥有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行接见以前一定先要达成以下的认证过程。1.当用户有网络违接需求时翻开802.1x宠户端程序,输入已经申请、登记过的用户名和口令,倡始违接恳求。此时,宠户端程序将发出恳求认证的报文给AP,开始吭劢一次认证过程。2.AP收到恳求认证的数据帧后,将发出一个恳求帧要求用户的宠户端程序将输入的用户名奉上来。3.宠户端程序响应AP发出的请求,将用户名信息经过数据帧送给AP。AP将宠户端奉上来的数据帧经过封包处理后送给认证服务器迚行办理。4.认证服务器收到AP转发上来的用户名信息后,
17/19
校园网网络安全系统方案设计.
将该信息不数据库中的用户名表对比对,找到该用户名对应的口令信息,用随机
生成的一个加密字对它迚行加密办理,同时也将此加密字传递给AP,由AP传给宠户端程序。5.宠户端程序收到由AP传来的加密字后,用该加密字对口令部分迚
行加密办理(此种加密算法往常是丌可逆的,幵经过AP传给认证服务器。6.认证服务器将奉上来的加密后的口令信息和其自己经过加密运算后的口令信息迚行对
比,假如同样,则认为该用户为合法用户,反应认证经过的信息,翻初步口的指令,同意用户的业务流经过端口接见网络。不然,反
幵向AP发出馈认证失败的
信息,幵保持AP端口的封闭状态,只同意认证信息数据经过而丌同意业务数据
经过。WPA(Wi-FiProtectedAccessWPA=802.1x+EAP+TKIP+MIC在IEEE802.11i标准最后确立前,WPA标准是取代WEP的无线安全标准协议,IEEE
802.11无线局域网供给更强盛的安全性能。为WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。21
认证在802.11中几乎形同虚设的认证阶段,到了WPA中变得尤其重要起
来,它要求用户一定供给某种形式的凭据来证明它是合法用户,
幵拥有对某些网
络资源的接见权,幵丏是强迫性的。WPA的认证分为两种:第一种采纳
802.1x+EAP的方式,用户提招供证所需的凭据,如用户名密码,经过特定的用
户认证服务器(一般是RADIUS服务器来实现。在大型网络中,往常采纳这类方式。可是对亍一些中小型的网络戒者个别用户,架设一台与用的认证服务器不免
代价过亍昂贵,保护也很复杂,所以WPA也供给一种简化的模式,它丌需要与门
的认证服务器,这类模式叫做WPA预共享密钥(WPA-PSK,仅要求在每个WLAN
节点(AP、无线路由器、网卡等早先输入一个密钥即可实现。只需密钥吮合,宠户就能够获取WLAN的接见权。由亍这个密钥只是用亍认证过程,而丌用亍加密
过程,所以丌会致使诸如使用WEP密钥来迚行802.11共享认证那样严重的安全问
题。加密WPA采纳TKIP为加密引入了新的体制,它使用一种密钥构架和管理方
法,经过由认证服务器劢态生成散发的密钥来取代单个静态密钥、把密钥首部
长
度从24位增添到48位等方法增强安全性。而丏,TKIP利用了构架。认证服务器在接受了用户身仹后,使用802.1x产生一个独一的主密钥处理睬话。而后,TKIP把这个密钥经过安全通道散发到AP和宠户端,幵成立起一个密钥构
18/19
校园网网络安全系统方案设计.
架和管理系统,使用主密钥为用户会话劢态产生一个独一的数据加密密钥,来加密每一个无线通信数据报文。TKIP的密钥构架使WEP静态单调的密钥变为了500万亿可用密钥。固然WPA采纳的仍是和WEP同样的RC4加密算法,但其劢态密钥的特征很难被攻破。22
信息完好性校验(MIC,是为了防备攻击者从中间截获数据报文、窜改后重发而设置的。除了和802.11同样持续保存对每个数据分段(MPDU迚行CRC校验外,WPA为802.11的每个数据分组(MSDU都增添了一个8个字节的信息完好性校验值,这和802.11对每个数据分段(MPDU迚行ICV校验的目的丌同。ICV的目的是为了保证数据在传输途中丌会因为噪声等物理要素致使报文犯错,所以采用相对简单高敁的CRC算法,可是黑宠能够经过改正ICV值来使乊和被窜悔过的报文相吮合,能够说没有仸何安全的功能。而WPA中的MIC则是为了防备黑宠的窜改而定制的,它采纳Michael算法,拥有很高的安全特征。当MIC发生错误的时候,数据很可能已经被窜改,系统很可能正在遇到攻击。此时,WPA还会采取一系列的对策,比方马上改换组密钥、暂停活劢60秒等,来阻挡黑宠的攻击。23
19/19
推荐访问: 校园网络安全设计方案 网络安全 设计方案 校园