|
校園網(wǎng)安全設(shè)計
資源天下 2019/8/17 9:57:51
(接上頁)的��。所以,在接受任何路由信息之前��,有必要對該信息的發(fā)送方進行認證,以確保收到的路由信息是合法的�����。我們學(xué)校校園網(wǎng)配置OSPF協(xié)議����。
4.2.6 訪問控制
也可以在核心交換機或者匯聚交換機上設(shè)置訪問控制�,比如限制不同網(wǎng)段之間的互訪,但是允許這兩個網(wǎng)段對中心服務(wù)器的訪問�。設(shè)置允許兩個網(wǎng)段上特定的主機可以訪問外網(wǎng)和Internet等���。
在核心交換機上可以設(shè)置ACL訪問控制列表�����,端口監(jiān)控等���,控制和管理特定服務(wù),如允許http�����、Mail、Ftp等服務(wù),而禁止其他不需要的服務(wù)和端口����,如禁止外部發(fā)起的ICMP報文等�;采用NAT地址轉(zhuǎn)換技術(shù),實現(xiàn)上網(wǎng)�����?梢圆捎渺o態(tài)、動態(tài)NAT�����,PAT等多種方式�����,對于內(nèi)部某些對外的服務(wù)器��,如Web服務(wù)器��、Mail服務(wù)器��、DNS服務(wù)器����、FTP服務(wù)器等���,可以采用靜態(tài)NAT方式建立內(nèi)外網(wǎng)地址和特定端口之間的靜態(tài)映射�。而一般用戶可以采用動態(tài)地址池,端口地址轉(zhuǎn)換等方式實現(xiàn)上網(wǎng)�����。
4.2.7 防arp攻擊
防arp攻擊這項功能��,在統(tǒng)計周期和吞吐量的設(shè)定上最好使用默認配,只需要在全局和端口下開啟此功能即可���。我們可擁有內(nèi)建的防制ARP功能���,借助自動檢視封包的機制,偵測過濾可疑的封包,做為防制ARP攻擊的第一道防線����。當(dāng)然如果網(wǎng)管人員可搭配IP /MAC雙向綁定���,在路由器端以及各個系所或是宿舍內(nèi)的PC端進行IP/MAC綁定,即可達到防堵ARP無漏洞的效果。另外一方面�����,由于網(wǎng)絡(luò)信息包羅萬象����,有許多不當(dāng)應(yīng)用或網(wǎng)站例如BT下載等,對于校園學(xué)子風(fēng)氣有不良的影響,應(yīng)透過防火墻Access Rule存取規(guī)則或網(wǎng)頁內(nèi)容管制設(shè)定,針對特定的網(wǎng)域或關(guān)鍵詞搜尋予以封鎖服務(wù)。
4.3 主機的安全
主機是最可能被攻擊的目標(biāo)之一�,同時從安全方面也有最多的困難。學(xué)校網(wǎng)中有很多不同的硬件平臺、操作系統(tǒng)、和應(yīng)用程序�����。因為主機要向網(wǎng)絡(luò)中其他機器提供服務(wù)���,所以主機在網(wǎng)絡(luò)中必須是可見的�,因此主機是最可能被嘗試侵入的。為保證主機的安全,需要注意到系統(tǒng)中的每一部件。保持操作系統(tǒng)和防毒軟件的及時的更新����;安裝適當(dāng)?shù)慕?jīng)過測試的補丁程序����。雖然強效防火墻��,可防止一般的攻擊��,但目前許多病毒與攻擊層出不窮���,校園網(wǎng)絡(luò)又如此龐大��,因此萬一不幸中毒��,也希望可以盡量縮小感染的范圍���,不致擴散到整體網(wǎng)絡(luò)�。因此��,各個系所以及學(xué)生宿舍都必須建置基礎(chǔ)的VLAN隔離�,才不會導(dǎo)致某一層宿舍里某個學(xué)員中毒�����,造成整個學(xué)生宿舍網(wǎng)絡(luò)全面感染中毒的狀況���。
VLAN的概念是讓網(wǎng)管依據(jù)不同網(wǎng)段����,劃分出不同的局域網(wǎng)����,比如宿舍區(qū)可區(qū)分為一樓、二樓、三樓等不同VLAN,再使用VLAN功能將一樓��、二樓、三樓不同局域網(wǎng)區(qū)分為VLAN1、VLAN2�、VLAN3…作為隔離����。如此一來不同VLAN的局域網(wǎng)便不能互相訪問�,便可限制病毒與無用信息流通�����。也就是說�����,當(dāng)一個VLAN中(例如:一樓)有人不幸中毒��,只會影響同一個VLAN(一樓)內(nèi)的VLAN,不會擴散到整個學(xué)生宿舍�,可有效避免廣播及病毒封包迅速擴散全網(wǎng)����,大大降低感染區(qū)域。
|