校园网络安全系统的设计方案.docx

《校园网络安全系统的设计方案.docx》由会员分享，可在线阅读，更多相关《校园网络安全系统的设计方案.docx（25页珍藏版）》请在第一文库网上搜索。

1、目录第一章校园网安全隐患分析（31.1 校园内网安全分析（31.1.1 软件层次安全（31.1.2 设备物理安全（31.1.3 设备配置安全（311.4管理层次安全（41.1.5 无线局域网的安全威胁（41.2 校园外网安全分析（5121黑客袭击（51.2.2 不良信息传播（61.2.3 病毒危害（6第二章设计简介及设计方案论述（72.1.1防火墙（721.2防病毒（82.1.3无线网络安全措施（102.2H3C无线校园网的安全方略（122.2.1 可靠的加密和认证、设备管理（12222顾客和组安全配置（122.2.3 非法接入检测和隔离（132.2.4 监视和告警（14第三章详细设计（153

2、.1 ISA软件防火墙日勺配置（153.1.1 基本配置（163.1.2 限制学校用机的上网（163.1.3 检测外部袭击及入侵（163.1.5 网络流量日勺监控（173.1.6 无线局域网安全技术（173.2 物理地址（MAe过滤（183.2.1 服务集标识符（SSID匹配（183.2.2 端口访问控制技术和可扩展认证协议（20第一章校园网安全隐患分析1.1 校园内网安全分析1.1.1 软件层次安全目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。目前网络服务器安装的操作系统有UNIX、WindowsNTP2023s1inUX等,这些系统安全风险级别不一样,UNIX因

3、其技术较复杂一般会导致某些高级黑客对其进行袭击;而WindowsNTP2023操作系统由于得到了广泛日勺普及,加上其自身安全漏洞较多，因此,导致它成为较不安全日勺操作系统。在一段时期、冲击波病毒比较盛行,冲击波这个运用微软RPC漏洞进行传播日勺蠕虫病毒至少袭击了全球80%日勺Windows顾客,使他们日勺计算机无法工作并反复重启,该病毒还引起了DoS袭击,使多种国家的互联网也受到相称影响。1.1.2 设备物理安全设备物理安全重要是指对网络硬件设备的破坏。网络设备包括服务器、互换机、集线器、路由器、工作站、电源等,它们分布在整个校园内，管理起来非常困难。个他人也许出于多种目的,故意或无意地损坏设

4、备,这样会导致校园网络所有或部分瘫痪。1.1.3 设备配置安全设备配置安全是指在设备上要进行必要日勺某些设置（如服务器、互换机、防火墙、路由器日勺密码等，防止黑客获得硬件设备日勺控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的互换机上设置必要的密码或密码设置得过于简朴,导致某些略懂或精通网络设备管理技术的人员可以通过网络轻易获得对服务器、互换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备日勺配置,严重时甚至会导致整个校园网络瘫痪。1.1.4 管理层次安全一种健全的安全体系,实际上应当体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用多种技术先进日勺安全设备

5、就可以实现的,更重要日勺是体目前对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束，由于内部人员对网络日勺构造、模式都比较理解,若不加强管理,一旦有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,尤其是学生区、机房等。IP配置不妥也会导致部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设置为本网段的网关地址,这会导致整个学生机房无法正常访问外网。1.1.5 无线局域网的安全威胁运用W1AN进行通信必须具有较高的通信保密能力。对于既有的W1AN产品,它的安全隐患重要有如下几点：未经授权使用网络服

6、务由于无线局域网开放式的访问方式,非法顾客可以未经授权而私自使用网络资源,不仅会占用宝贵日勺无线信道资源,增长带宽费用,还会减少合法顾客的服务质量。地址欺骗和会话拦截目前有诸多种无线局域网的安全技术,包括物理地址（MAC过滤、服务集标识符（SSID匹配、有线对等保密（WEP、端口访问控制技术（IEEE802.1X、WPA（Wi-FiPrOteCtedACCess、IEEE802.1Ii等。面对如此多的安全技术,应当选择哪些技术来处理无线局域网的安全问题,才能满足顾客对安全性日勺规定。在无线环境中,非法顾客通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要轻易得多,这些合法的MAC地址可

7、以被用来进行恶意袭击。此外,由于IEEE802.i1没有对AP身份进行认证,袭击者很轻易装扮成合法AP进入网络,并深入获取合法顾客的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的）MAC地址可以被用来进行恶意袭击。一旦袭击者侵入无线网络,它将成为深入入侵其他系统的起点。多数学校布署的IW1AN都在防火墙之后,这样W1AN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络,整个网络就将暴露在非法顾客面前。1.2 校园外网安全分析1.2.1 黑客袭击有的）校园网同步与CERNETsInternet相连,有时通过CERNET与Internet相连,在享有Intemet以便快捷的同步,也面临着

8、遭遇袭击的风险。黑客袭击活动日益猖獗,成为当今社会关注的焦点。经典的黑客袭击有入侵系统袭击、欺骗袭击、拒绝服务袭击、对防火墙的袭击、木马程序袭击、后门袭击等。黑客袭击不仅来自校园外网,尚有相称一部分来自校园网内部,由于内部顾客对网络的结构和应用模式都比较理解,因此来自内部的安全威胁会更大某些。1.2.2 不良信息传播在校园网接入Imeme1后,师生都可以通过校园网络进入Interneto目前Internet上多种信息良莠不齐,其中有些不良信息违反人类日勺道德原则和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。尤其是中小学生,由于年龄小,辨别是非和抵御干扰能力较差,假如不采用切实可行

9、安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。1.2.3 病毒危害学校接入广域网后,给大家带来以便的同步,也为病毒进入学校之门提供了以便,下载的程序、电子邮件都也许带有病毒。伴随校园内计算机应用的大范围普及,接入校园网的节点数量日益增多,这些节点大都没有采用安全防护措施,随时有也许导致病毒泛滥、信息丢失、数据损坏、网络被袭击、甚至系统瘫痪等严重后果。第二章设计简介及设计方案论述2.1 校园网安全措施2.1.1 防火墙网络信息系统日勺安全应当是一种动态的发展过程,应当是一种检测,安全,响应的循环过程。动态发展是网络系统安全日勺规律。网络安全监控和入侵检测产品正是实现这一目的的必不可少

10、的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统可以根据系统安全方略做出反应,包括实时报警、事件登录或执行顾客自定义的安全方略等。1系统构成网络卫士监控器:一台,硬件监控系统软件:一套Pe机（1台,用于运行监控系统软件2重要功能实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通讯会话轨迹。如:E-MAI1:监视特定顾客或特定地址发出、收到日勺邮件;记录邮件的源及目的IP地址

11、、邮件的发信人与收信人、邮件的收发时间等。:监视和记录顾客对基于Web方式提供的网络服务的访问操作过程（如顾客名、口令等。FTP:监视和记录访问FTP服务器日勺过程（IP地址、文献名、口令等。TE1NET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统可以对大量的网络数据进行分析处理和过滤,生成按顾客方略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。支持顾客自定义网络安全方略和网络安全事件3重要技术特点采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传播的效率。可采用集中管理的分布式工作方式,可以远程监

12、控。可以对每个监控器进行远程配置,可以监测多种网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。2.1.2 防病毒为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1应用状况一台专用服务器（NTSERVER、一台代理邮件服务器（NTSERVER&PROXYSERVER5ExchangeSerVer,一台SERVER,一台数据库SERVER,100-200台客户机。2系统规定能防止通过PROXYSERVER从Internet下载文献或收发的E-mai1内隐藏的病毒,并对当地的局域网防护的作用。3处理方案采用的）防病毒

13、产品如表2-1所TFO表21防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER自身InterSCanWebProteCtProXySerVer按客户机数量FTP、用浏览器下开载的程序ScanMai1forExchangeServerExchangeServer按客户机数量有E-Mai1的顾客OfficeScancorp各部门的NT域服务器按客户机数量自动分发、更新、实时监察客户机如下是选用以上Trend企业产品的阐明：在NT主域控制器和备份域上均采用ServerProtecforWindows

14、NT保护NT服务器免受病毒的侵害。另鉴于客户有IOo-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,导致M1S人员管理上日勺超负荷,因此推荐采用OfficescanCorporatcEdition企业授权版OfficescanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件的分派（自动安装,自动更新病毒码、软件的自动升级。此外在外接Internet和邮件服务器上,采用InterScanWebProtect和ScanMai1ForExchange此两种软件是目前唯一能从国际互联网络拦截病毒B勺软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处-Inte

15、rnet服务器或网关（GateWay上安装此软件,它可以随时监控网关中的ETPs电子邮件传播和Web网页所下载的病毒和恶性程序,并有文献抵达网络系统之前进行扫描侦测出来。2.1.3 无线网络安全措施针对校园应用的安全处理方案,从校园顾客角度而言,伴随无线网络应用的推进,管理员需要愈加重视无线网络安全的问题,针对不一样的顾客需求,H3C提出一系列不一样级别的无线安全技术方略,从老式的WEP加密到IEEE802.1Ii,从MAC地址过滤到IEEE802.1x安全认证技术,可分别满足办公室局部顾客、园区网络、办公网络等不一样级别的安全需求。对于办公室局部无线顾客而言,无线覆盖范围较小,接入顾客数量也比较少,没有专业的管理人员,对网络安全性的规定相对较低。一般状况下不会配置专用的认证服务器,这种状况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。在学校园区无线网络环境中,考虑到网络覆盖范围以及终端顾客数量,AP和无线网卡日勺数量必将大大增长,同步由于使用的顾客较多,安全隐患也对应增长,此时简朴的WPA-PSK已经不能满足此类顾客日勺需求。如表中所示的中级安全方案使用支持IEEE802.Ix认证技术的AP作为无线网络的安全关键,使用H3C虚拟专用组(Vertua1PrivateGroup管理器功能并通过后台的Radius服务器进行顾客