校园网网络安全方案设计.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
第一章校园网安全隐患分析 (3
1.1校园内网安全分析 (3
1.1.1 软件层次安全 (3
1.1.2设备物理安全 (3
1.1.3设备配置安全 (3
1.1.4 管理层次安全 (4
1.1.5 无线局域网的安全威胁 (4
1.2校园外网安全分析 (5
1.2.1黑客攻击 (5
1.2.2不良信息传播 (6
1.2.3病毒危害 (6
第二章设计简介及设计方案论述 (7 2.1校园网安全措施 (7
2.1.1防火墙 (7
2.1.2防病毒 (8
2.1.3无线网络安全措施 (10
2.2 H3C无线校园网的安全策略 (12 2.2.1可靠的加密和认证、设备管理 (12
2.2.2用户和组安全配置 (12
2.2.3非法接入检测和隔离 (13
2.2.4监视和告警 (14
第三章详细设计 (15
3.1 ISA软件防火墙的配置 (15
3.1.1基本配置 (16
3.1.2限制学校用机的上网 (16
3.1.3检测外部攻击及入侵 (16
3.1.4校园网信息过滤配置 (17
3.1.5网络流量的监控 (17
3.1.6无线局域网安全技术 (17
3.2物理地址(MAC过滤 (18
3.2.1服务集标识符( SSID 匹配 (18
3.2.2端口访问控制技术和可扩展认证协议 (20
第一章校园网安全隐患分析
1.1校园内网安全分析
1.1.1 软件层次安全
目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这
些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进
行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。
1.1.2设备物理安全
设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。
1.1.3设备配置安全
设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于
没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。
1.1.4 管理层次安全
一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园
网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网
络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设置为本网段的网关地址, 这会导致整个学生机房无法正常访问外网。
1.1.5 无线局域网的安全威胁
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN 产品,它的安全隐患主要有以下几点:
未经授权使用网络服务
由于无线局域网开放式的访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服
务质量。
地址欺骗和会话拦截
目前有很多种无线局域网的安全技术,包括物理地址(MAC过滤、服务集标识
符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-Fi Protected Access、IEEE 802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
1.2校园外网安全分析
1.2.1黑客攻击
有的校园网同时与CERNET、Internet 相连, 有的通过CERNET与Internet 相连, 在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗, 成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园外网, 还有相当一部分来自校园网内部, 由于内部用户对网络的结
构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。
1.2.2不良信息传播
在校园网接入Internet 后, 师生都可以通过校园网络进入Internet 。目前Internet 上各种信息良莠不齐, 其中有些不良信息违反人类的道德标准和有关法律法规, 对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小, 分辨是非和抵御干扰能力较差, 如果不采取切实可行安全措施, 势必会导致这些信息在校园内传播,侵蚀学生的心灵。
1.2.3病毒危害
学校接入广域网后, 给大家带来方便的同时, 也为病毒进入学校之门提供了方便, 下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及, 接入校园网的节点数量日益增多, 这些节点大都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。
第二章设计简介及设计方案论述
2.1校园网安全措施
2.1.1防火墙
网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。