|
校園網安全設計
資源天下 2019/8/17 9:57:51
(接上頁)平臺�、AAA/RADIUS系 統(tǒng)、BRAS設備的接口。這樣既可以保證校園網與外網接口的安全可靠性�����,又可以保證 統(tǒng)一網管平臺的安全性,以及上網客戶計費及管理����。
(2)核心層采用三臺Cisco 6509交換機����,負載均衡。網絡信息中心和新老校區(qū)各放置一臺����,設備之間互聯(lián)采用千兆光纖直連��,業(yè)務流量增加后,可以平滑升級至萬兆鏈路��。新校區(qū)和老校區(qū)核心設備均連接校園媒體服務器組,便于進行多媒體及視頻教學�����。
(3)匯聚層采用四臺Cisco 4506交換機�����,南校區(qū)匯聚層采用兩臺Cisco 4506交換機��,可分別放置在新老校區(qū)的計算機學院、管理學院���、通信學院和理學院四個匯聚點。匯聚層設備全部支持光口千兆上行�����。
(4)接入層采用Cisco 2950交換機,該兩款均支持百兆/ 千兆光口上行�����,分別放置在各樓宇接入點��。
表1 IP地址劃分配表
4. 安全方案
安全策略越來越成為學校計算機網絡的關鍵因素。特別是隨著多協(xié)議新業(yè)務的發(fā)展����、電子商務、網上辦公��、各種中間業(yè)務的應用,學校網絡不再是一個封閉的網絡����,極大地擴展了學校的業(yè)務��,提高了學校的競爭力�����,但同時也帶來網絡安全的風險��。網絡設計中必須制定網絡安全策略,保證內部網絡的完整性和安全性���。
所謂安全威脅���,就是未經授權��,對位于服務器����、網絡和桌面的數(shù)據(jù)和資源進行訪問��,甚至破壞或者篡改這些數(shù)據(jù)/資源��。從安全威脅的對象來看�,可以分為網絡傳送過程�����、網絡服務過程和軟件應用過程三類��。網絡傳送過程主要針對數(shù)據(jù)鏈路層和網絡層協(xié)議特征中存在的漏洞進行攻擊���,如常見的監(jiān)聽��、IP地址欺騙��、路由協(xié)議攻擊、ICMP Smurf攻擊等�����;網絡服務過程主要是針對TCP/UDP以及局域其上的應用層協(xié)議進行�,如常見的UDP/TCP欺騙���、TCP流量劫持����、TCP Dos�、FTP反彈��、DNS欺騙等等;軟件應用過程則針對位于服務器/主機上的操作系統(tǒng)以及其上的應用程序��,甚至是基于WEB的軟件系統(tǒng)發(fā)起攻擊�����。從安全威脅的手法來看,蠕蟲�、拒絕服務、艦艇����、木馬���、病毒……都是常見的攻擊工具�����。
4.1 路由器和交換機的安全功能
路由器實現(xiàn)的網絡安全技術有: VPN技術:IPSec、GRE;包過濾技術;日志功能��;NAT網絡地址轉換;PPP協(xié)議PAP����、CHAP認證�����;PPP協(xié)議Callback技術���;IP地址-MAC地址綁定技術����;路由信息認證技術; IEEE 802.1Q VLAN技術�。
4.2 安全措施
4.2.1 基于包過濾的防火墻技術
路由器支持基于包過濾的防火墻技術�,防火墻訪問列表根據(jù)IP報文的IP報頭及所承載的上層協(xié)議(如TCP)報頭中的每一個域包含了可以由路由器進行處理的信息。包過濾通常用到的IP報文的以下屬性:
(1)IP的源���、目的地址及協(xié)議類型
(2)TCP或UDP的源、目的端口
(3)ICMP碼、ICMP的類型碼
(4)TCP的標志域
(5)服務類型TOS
(6)IP報文的優(yōu)先級(precedence)
4.2.2 日志功能
日志(log)功能用于將路由器產生的各種信息以日志形式記錄到具備Syslog功能的主機上(如Unix主機或運行Syslogd的主機)。日志功能與訪問列表功能相結合可以任意定義所要記錄的信息���,以備查用�����,如跟蹤記錄黑客攻擊報文等�。
4.2.3 NAT網絡地址轉換技術
網絡地址轉換��,用來實現(xiàn)內部網絡私有地址和外部網絡公共地址的相互轉換,它的優(yōu)點在于避免了內部非法地址和外部公共地址間的沖突�����,屏蔽了內部網絡的實際地址�����,隱藏了內部網絡的結構,增強了對外部網絡訪問的可控性��,也增強了外部網絡對內部網絡訪問的可控性。
選擇路由器支持靜態(tài)地址翻譯(SNAT)��、端口地址翻譯(PAT)��、動態(tài)地址翻譯(DNAT)����������?梢灾С謳гL問列表的地址轉換�,用來限定可以進行地址轉換的內部主機地址��,有效地控制內部主機對外部網絡的訪問����;同時還可以根據(jù)地址池,進行多對多的地址轉換�����,合理地利用公共的合法IP地址資源;利用網絡地址轉換����,可以在屏蔽內部地址的同時,確保了對外的各種網絡服務的安全性�����。
4.2.4 IP地址-MAC地址綁定技術
MAC地址綁定技術是通過在路由器中靜態(tài)配置IP地址和MAC地址的映射關系來完成ARP應答來實現(xiàn)的�。
4.2.5 動態(tài)路由協(xié)議認證技術
路由器是根據(jù)路由信息來發(fā)送報文的,而路由信息恰恰又是通過網絡在不同的路由器間轉發(fā)(未完�����,下一頁)
|
|
|