1、校園網(wǎng)絡安全整體解決方案校園網(wǎng)絡安全整體解決方案（此文檔為 word格式，下載后您可任意修改編輯?。┠夸?TOC o 1-5 h z HYPERLINK l bookmark7 o Current Document 第1章項目概述3.1.1校園網(wǎng)網(wǎng)絡環(huán)境 2:校園網(wǎng)網(wǎng)絡安全需求 3 HYPERLINK l bookmark10 o Current Document 第2章設計原則4.2.1實用性與經(jīng)濟性4.2.2擴展性與兼容性4.2.3安全性與可維護性 5.2.4整合型好6. HYPERLINK l bookmark13 o Current Document 第3章需求分析.6

2、. HYPERLINK l bookmark16 o Current Document 第4章項目網(wǎng)絡安全解決6.4.1網(wǎng)絡架構(gòu)圖.6.4.2網(wǎng)絡病毒的防范 7.4.3防止IP、MAC地址的盜用 84.4安全事故發(fā)生時候，需要準確定位到用戶 94.5用戶上網(wǎng)時間的控制 9.4.6用戶網(wǎng)絡權(quán)限的控制.104.7各種網(wǎng)絡攻擊的有效屏蔽 104.8對DOS攻擊，掃描攻擊的屏蔽144.9網(wǎng)絡設備管理1.4第1章項目概述1.1校園網(wǎng)網(wǎng)絡環(huán)境校園網(wǎng)的內(nèi)部網(wǎng)一般由辦公網(wǎng)、機房、教室等多個網(wǎng)絡組成。采 用三層核心交換機為這些網(wǎng)段提供 VLAN劃分，該交換機級連多個工 作組級的交換機用于桌面工作站接入。同時三層

3、核心交換機提供連接 到教育網(wǎng)的 WAN (10/100M)鏈路，作為校園網(wǎng)的外網(wǎng)出口。而且 WWW、MAIL等服務器也直接連接到了三層核心交換機中。校園網(wǎng) 內(nèi)部網(wǎng)運行著辦公業(yè)務系統(tǒng)、多媒體教學等等多種業(yè)務系統(tǒng)。1.1.12:校園網(wǎng)網(wǎng)絡安全需求校園網(wǎng)網(wǎng)絡安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡系統(tǒng)， 若干重要的公文信息在網(wǎng)絡傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修 改或者刪除，那么就會嚴重的影響工作。所以校園網(wǎng)網(wǎng)絡安全系統(tǒng)安 全產(chǎn)品的選型事關(guān)重大，一旦被遭受黑客攻擊病毒的侵襲，將會給該 學校正常的教學及業(yè)務帶來嚴重的影響。 該校園網(wǎng)網(wǎng)絡安全系統(tǒng)方案 必須遵循如下原則：全局性原則：安全威脅來白最薄弱的

4、環(huán)節(jié)，必須從全局出發(fā)規(guī)劃 安全系統(tǒng)。設計時需考慮統(tǒng)一管理的原則。綜合性原則：網(wǎng)絡安全不單靠技術(shù)措施，必須結(jié)合管理，當前我 國發(fā)生的網(wǎng)絡安全問題中，管理問題占相當大的比例，因此建立網(wǎng)絡 安全設施體系的同時必須建立相應的制度和管理體系。均衡性原則：安全措施的實施必須以根據(jù)安全級別和經(jīng)費限度統(tǒng)一考慮。網(wǎng)絡中相同安全級別的保密強度要一致。節(jié)約性原則：整體方案的設計應該盡可能的不改變原來網(wǎng)絡的設 備和環(huán)境，以免資源的浪費和重復投資。第2章設計原則2.1實用性與經(jīng)濟性實用性就是能夠最大限度地滿足實際工作的要求，是每個系統(tǒng)平 臺在搭建過程中必須考慮的一種系統(tǒng)性能，它是對用戶最基本的承 諾。辦公白動化硬件平臺

5、是為實際使用而建立，應避免過度追求超前技術(shù)而浪費投資。2.2擴展性與兼容性系統(tǒng)設計除了可以適應目前的應用需要以外， 應充分考慮日后的 應用發(fā)展需要，隨著數(shù)據(jù)量的擴大，用戶數(shù)的增加以及應用范圍的拓 展，只要相應的調(diào)整硬件設備即可滿足需求。 通過采用先進的存儲平 臺，保證對海量數(shù)據(jù)的存取、查詢以及統(tǒng)計等的高性能和高效率。同 時考慮整個平臺的統(tǒng)一管理，監(jiān)控，降低管理成本2.3安全性與可維護性隨著應用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長， 并且 將涉及到各類的關(guān)鍵性應用，系統(tǒng)的穩(wěn)定性和安全性要求都相對較 高，任意時刻系統(tǒng)的安全隱患都可能給用戶帶來不可估量的損失。網(wǎng)絡安全應具有以下五個方面的特征：

6、保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用 的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。 即信息在存儲或 傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。 即當需要時 能否存取所需的信息。例如網(wǎng)絡環(huán)境下拒絕服務、破壞網(wǎng)絡和有關(guān)系 統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力。可審查性：出現(xiàn)的安全問題時提供依據(jù)與手段從網(wǎng)絡運行和管理者角度說，他們希望對本地網(wǎng)絡信息的訪問、 讀寫等操作受到保護和控制，避免出現(xiàn) 陷門”、病毒、非法存取、拒 絕服務和網(wǎng)絡資源非法占用和非法控制等威脅， 制止和防御網(wǎng)絡黑客 的攻擊。對

7、安全保密部門來說，他們希望對非法的、有害的或涉及國 家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產(chǎn)生 危害，對國家造成巨大損失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡 上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展造成阻礙， 必須對其 進行控制。2.4整合型好當前采用企業(yè)級的域控制管理模式，方便對所有學校內(nèi)所有終端 用戶的管理，同時又可以將學校里計算機的納入管理范圍， 極大地降 低了網(wǎng)絡維護量，并能整體提高當前網(wǎng)絡安全管理！第3章需求分析網(wǎng)絡病毒的防范防止IP、MAC地址的盜用IP、MAC地址的盜用安全事故發(fā)生時候，需要準確定位到用戶的原因安全事故發(fā)生時候，不能準確定位到用戶的影響學生用戶

8、上網(wǎng)時間的控制用戶網(wǎng)絡權(quán)限的控制各種網(wǎng)絡攻擊的有效屏蔽身份認證完整審計第4章項目網(wǎng)絡安全解決4.1網(wǎng)絡病毒的防范病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較 多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻 繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過 U 盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上 病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給 服務器。病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被 大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平 臺不能使用；資源庫、VOD不能點播；INTERNE

9、T上不了，學生、 老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。4.2防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài) IP地址方案， 如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地 址，在網(wǎng)卡屬性的高級選項中可以隨意的更改 MAC地址。如果用戶 有意無意的更改白己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng) 關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡； 如果惡意用戶 發(fā)送虛假的IP、MAC的對應關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡 意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡 是一個很不可靠是會

10、給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，白己的電腦上會經(jīng)常彈出 MAC地址沖突的對話 框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏， 用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對校園網(wǎng)以及網(wǎng)絡中 心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務 于教學的作用，造成很大程度上的資源浪費。4.3安全事故發(fā)生時候，需要準確定位到用戶安全事故發(fā)生時候，需要準確定位到用戶原因：國家的要求：2002年，朱錯基簽署了282號令，要求各大INTERNET運營機構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記

11、錄， 以待相關(guān)部門審計。校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大 量涉及政治的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們 的時候，我們無法處理，學?；蛘哒f網(wǎng)絡中心只有替學生背這個黑鍋。安全事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳 播，上級主管部門會對學校做出處理； 同時也會大大降低學校在社會 上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也 是大有影響的。4.4用戶上網(wǎng)時間的控制無法

12、控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。學生家長會 對學校產(chǎn)生強烈的不滿，會認為學校及其的不負責任，不是在教書育 人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。4.5用戶網(wǎng)絡權(quán)限的控制在校園網(wǎng)中，不同用戶的訪問權(quán)限應該是不一樣的，比如學生 應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。 辦公網(wǎng)絡的用戶因該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權(quán)限進行嚴格的控制。4.6各種網(wǎng)絡攻擊的有效屏蔽校園網(wǎng)中常見的網(wǎng)絡攻擊比如 MAC FLOOD、SYN FLOOD、 DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、

13、非 法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大 量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行，降低了校 園網(wǎng)的效率。安全到邊緣的設計思想 用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在 用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無 疑是達到更好的效果。全局安全的設計思想銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全， 安全不是某一個設 備的事情，應該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作， 形成一個全民皆兵的網(wǎng)絡，最終從全局的角度把控網(wǎng)絡安全。全程安全的設計思想用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問 網(wǎng)絡的時候、訪問網(wǎng)

14、絡后。對著每一個階段，都應該有嚴格的安全控 制措施。某校園網(wǎng)網(wǎng)絡安全方案銳捷網(wǎng)絡結(jié)合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點， 從三個方面實現(xiàn)網(wǎng)絡安全：事前的準確身份認證、事中的實時處理、 事后的完整審計。事前的身份認證對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行驗證，身份 驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的 MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的 端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁 定，可以達到如下的效果：每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事

15、者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。只有經(jīng)過網(wǎng)絡中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶 的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑 客程序的通道。網(wǎng)絡攻擊的防范1、常見網(wǎng)絡病毒的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的ACL,能夠?qū)@些病毒所使用的 TCP、UDP的端口 進行防范，一旦某個用戶不小心感染上了這種類型的病毒， 不會影響 到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。2、未知網(wǎng)絡病毒的防范對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制 功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡

16、帶寬， 保證了關(guān)鍵應用比如 WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn) 生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。3、防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP 和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了 IP 地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關(guān)鍵設備的IP （如服務器），造 成網(wǎng)絡通訊混亂。4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命 令就

17、可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源 IP、MAC訪問，追 查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊， 進一步增強網(wǎng)絡的安全性。5、非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴 格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任 何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端 口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才 是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口； 而從非路由連接口進 入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口 檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播

18、源，更好地提高了 網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病 毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是 網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更 高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模 的應用環(huán)境。4.7對DOS攻擊，掃描攻擊的屏蔽通過在校園網(wǎng)中部署防止 DOS攻擊，掃描攻擊，能夠有效的避 免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受 到此類攻擊時導致的網(wǎng)絡中斷。事后的完整審計當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄， 包括 某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換

19、 機的哪一個端口，什么時候開始訪問網(wǎng)絡，什么時候結(jié)束，產(chǎn)生了多 少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該 用戶的身份，便于了事情的處理。4.8網(wǎng)絡設備管理網(wǎng)絡設備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功 能也是我們常見的解決問題的思路：1、網(wǎng)絡現(xiàn)狀及故障的白動發(fā)現(xiàn)和了解STARVIEW 能白動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)，讓網(wǎng)絡管理員對整個校園網(wǎng)了如指掌，對于用戶私白掛接的 HUB、交換機等設備能及時地發(fā)現(xiàn)， 提前消除各種安全隱患。對于網(wǎng)絡中的異常故障，比如某臺交換機的 CPU利用率過高，某條 鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示， 方便管理

20、員及時地發(fā)現(xiàn)網(wǎng)絡中的異常情況。2、網(wǎng)絡流量的查看STARVIEW在網(wǎng)絡初步異常的情況下，能進一步的察看網(wǎng)絡中的詳細流量，從而為網(wǎng)絡故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡故障的信息白動報告STARVIEW支持故障信息的白動告警，當網(wǎng)絡設備出現(xiàn)故障時，會 通過TRAP的方式進行告警，網(wǎng)絡管理員的界面上能看到各種故障信 息，這些信息同樣為管理員的故障排除提供了豐富的信息。4、設備面板管理STARVIEW的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配 置的修改，完善以及各種信息的察看5、RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個特點就是

21、規(guī)模大，需要使用大量的接入層交換機， 如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工 作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，加大的較少能夠很方便的一次對所有的相同型號的交換機進行升級, 了網(wǎng)絡管理員的工作量。批皇Muji，段務升提 也號畫甌 三Dn 0 wiME 名麟. MSVIpublt騏4VgmnpubiicWpubltc盛LSI虹OC 13550-24 日敏哪 13550T2STMT叔知-mcsm 式12&SQ62J林酎I2.5.3網(wǎng)絡故障管理 隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡故障 的排除會成為校園網(wǎng)管理工作的重點和難點，

22、傳統(tǒng)的網(wǎng)絡故障解決方 式主要是這樣一個流程：上不了網(wǎng)？H打電話.去籍中心e ) *(.管.手通記受可 TOC o 1-5 h z -nALv河管員安排處理人員和酎間2J與翔戶殃，上門處理尸k V _-j2.6流量管理系統(tǒng)設計網(wǎng)絡中的流量情況是網(wǎng)絡是否正常的關(guān)鍵，網(wǎng)絡中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡業(yè)務的正常開展產(chǎn)生了非常嚴重的影響，有的學校甚至因為P2P軟件的泛濫，直接導致了網(wǎng)絡出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達到控制流量的目的，這有三大弊端，第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使 用這些軟件的確能快速的獲取各種有用的資源， 如果簡單的通過禁止 的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲 取。第二：各種新型的，對網(wǎng)絡帶寬消耗更大的應用軟件也在不斷的 出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處 于被動的局面，顯然不能從根本上解決這個問題。第三：我們無法獲取網(wǎng)絡中的流量信息，無法為校園網(wǎng)的優(yōu)化， 網(wǎng)絡管理，網(wǎng)絡故障預防和排除提供數(shù)據(jù)支撐。2.6.2方案二：銳捷的流量管理與控制方案銳捷網(wǎng)絡的流量管理主要通過 RG-NTD+日志處理軟件+RG-SAM系 統(tǒng)來