校园网网络的安全系统方案设计设计.docx

1、校园网网络的安全系统方案设计设计目录第一章校园网安全隐患分析 (31.1校园内网安全分析 (31.1.1 软件层次安全 (31.1.2设备物理安全 (31.1.3设备配置安全 (31.1.4 管理层次安全 (41.1.5 无线局域网的安全威胁 (41.2校园外网安全分析 (51.2.1黑客攻击 (51.2.2不良信息传播 (61.2.3病毒危害 (6第二章设计简介及设计方案论述 (72.1校园网安全措施 (72.1.1防火墙 (72.1.2防病毒 (82.1.3无线网络安全措施 (102.2 H3C无线校园网的安全策略 (122.2.1可靠的加密和认证、设备管理 (122.2.2用户和组安全配

2、置 (122.2.3非法接入检测和隔离 (132.2.4监视和告警 (14第三章详细设计 (153.1 ISA软件防火墙的配置 (153.1.1基本配置 (163.1.2限制学校用机的上网 (163.1.3检测外部攻击及入侵 (163.1.4校园网信息过滤配置 (173.1.5网络流量的监控 (173.1.6无线局域网安全技术 (173.2物理地址(MAC过滤 (183.2.1服务集标识符( SSID 匹配 (183.2.2端口访问控制技术和可扩展认证协议 (20第一章校园网安全隐患分析1.1校园内网安全分析1.1.1 软件层次安全目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安

3、全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。1.1.2设备物理安全设备物理安全主要是指对网络硬

4、件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。1.1.3设备配置安全设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至

5、会导致整个校园网络瘫痪。1.1.4 管理层次安全一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设置为本网段的网关地址, 这

6、会导致整个学生机房无法正常访问外网。1.1.5 无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN 产品,它的安全隐患主要有以下几点:XX使用网络服务由于无线局域网开放式的访问方式,非法用户可以XX而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。地址欺骗和会话拦截目前有很多种无线局域网的安全技术,包括物理地址(MAC过滤、服务集标识符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-Fi Protected Access、IEEE 802.11i等。面对如此多的安全技术,应

7、该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。1.

8、2校园外网安全分析1.2.1黑客攻击有的校园网同时与CERNET、Internet 相连, 有的通过CERNET与Internet 相连, 在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗, 成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园外网, 还有相当一部分来自校园网内部, 由于内部用户对网络的结构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。1.2.2不良信息传播在校园网接入Internet 后, 师生都可以通过校园网络进入Internet 。目前I

9、nternet 上各种信息良莠不齐, 其中有些不良信息违反人类的道德标准和有关法律法规, 对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小, 分辨是非和抵御干扰能力较差, 如果不采取切实可行安全措施, 势必会导致这些信息在校园内传播,侵蚀学生的心灵。1.2.3病毒危害学校接入广域网后, 给大家带来方便的同时, 也为病毒进入学校之门提供了方便, 下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及, 接入校园网的节点数量日益增多, 这些节点大都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。第二章设计简

10、介及设计方案论述2.1校园网安全措施2.1.1防火墙网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。1 系统组成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1台,用于运行监控系统软件2

11、 主要功能实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通讯会话轨迹。如:E-MAIL:监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。HTTP:监视和记录用户对基于Web方式提供的网络服务的访问操作过程(如用户名、口令等。FTP:监视和记录访问FTP服务器的过程(IP地址、文件名、口令等。TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需

12、要人工处理的日志数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件3 主要技术特点采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传输的效率。可采用集中管理的分布式工作方式,能够远程监控。可以对每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。2.1.2防病毒为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。1 应用状况一台专用服务器(NTSERVER、一台代理邮件服务器(NT SERVER&PROXY SERVER,Exchange S

13、erver,一台WWW SERVER,一台数据库SERVER, 100-200台客户机。2 系统要求能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒,并对本地的局域网防护的作用。3 解决方案采用的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectfor NTServer NTServer 每台NTServer一套NT SERVER本身InterScanWebPr otect ProxyServer 按客户机数量HTTPFTP、用浏览器下开载的程序ScanMailforExch angeServe

14、r ExchangeServer按客户机数量有E-Mail的用户OfficeScancorp 各部门的NT域服务器按客户机数量自动分发、更新、实时监察客户机以下是选用以上Trend公司产品的说明:在NT主域控制器和备份域上均采用Server Protec for WindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件的分派(自

15、动安装,自动更新病毒码、软件的自动升级。另外在外接Internet和邮件服务器上,采用InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处-Internet服务器或网关(Gateway上安装此软件,它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。2.1.3无线网络安全措施针对校园应用的安全解决方案,从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,

16、H3C 提出一系列不同级别的无线安全技术策略,从传统的WEP加密到IEEE 802.11i,从MAC地址过滤到IEEE 802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP 和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时简单的

17、WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚拟专用组(Vertual Private Group管理器功能并通过后台的Radius服务器进行用户身份验证,有效地阻止XX的用户接入,并可对用户权限进行区分。如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(V

18、PG管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。具体安全划分及技术方案选择如表2-2所示。表2-2安全划分及技术方法选择安全级别典型场合使用技术初级安全办公室局部无线用户WPA-PSK+AP隐藏中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管理专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE

19、802.11i 标准中主要包含加密技术:TKIP (Temporal Key Integrity Protocol 和AES(Advanced Encryption Standard,以及认证协议:IEEE802.1x 。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。2.2 H3C无线校园网的安全策略针对目前无线校园网应用中的种种安全隐患,H3C的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施。2.2.1可靠的加密和认证、设备管理能够支持目前802.11小组所提出的全部加密方式,包括高

20、级WPA 256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPA TKIP,特有的128位动态安全链路加密,动态会话密钥管理。802.1x 认证使用802.1x RADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPA TKIP认证采用EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更加保证用户身份的严格鉴定。支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。2.2.2用户和组安全配置和传统的无线局域网

21、安全措施一样,H3C无线网络可以依靠物理地址(MAC过滤、服务集标识符(SSID匹配、访问控制列表(ACL来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基础。例如,子网、ACL 以及服务等级(CoS在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。H3C采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(Vertual Private Group,VLAN不再需要通过物理连接或端口来实施,

22、而是根据用户和组名来区分权限。并且,H3C无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里,网络标识基于用户而不是基于物理端口或位置。其次,H3C无线网络简化了SSID 支持,不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置和识别用户身份。此外,使用H3C虚拟专用组(Vertual Private Group管理器功能,可以为用户和组分配特定的安全和访问策略,从而获得最大的灵活性,同时增强网络安全性并显

23、著缩短管理时间。用户不仅可更改单个用户设置,还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组,而不必逐个配置AP。2.2.3非法接入检测和隔离H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施

24、以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。2.2.4监视和告警H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的

25、自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。第三章详细设计网络安全系统规划是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益,需求设计成为网络规划建设中的重要内容,网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设备(主交换机、路由器、二级交换机、服务器等。校园内部网络采用共享或者交换式以太网,选择中国科研教育网接入Interne

26、t,校际之间通过国际互联网的方式互相连接。同时采取相应的措施,确保通讯数据的安全、保密。另外为了防止这个校区内病毒的传播、感染和破坏,我们在校园网内可能感染和传播病毒的地方采取相应的防毒措施,部署防毒组件,规划如下:在学校服务上安装服务器端杀毒软件;在行政、教学单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作,分发杀毒软件的升级文件(包括病毒定义码、扫描引擎、程序文件等到校内所有用机,并对杀毒软件网络版进行更新。3.1 ISA软件防火墙的配置校园网内的软件防火墙采用ISAServe,之所以采用防火墙,是因为ISA Server是一种新型的应用层防火墙,避免服务的弱点

27、及漏洞的攻击,同时支持VPN功能及充当Web代理服务器,并能提供详细的日志报告。安装示意图如图3-1所示。 图3-1 ISA安装示意图3.1.1基本配置通过ISA Serve中的ISA Management项中的Services标签,启动集成模式中的三个服务,就可以使用ISA的所有默认功能。同时须打开IP Routing功能、访问权限功能、访问策略功能、统一管理等。3.1.2限制学校用机的上网首先要定义组,通过在ISA Server软件防火墙的Client Address Sets标签中新建一个组名的标识,按照机房用机的IP地址范围进行添加,在Protocol Rules中选中协议规则后切换到

28、Applies to标签,选中Client Address Sets specified below,加入设定的组即可。这样就可以先知学校其他用机随意上网。3.1.3检测外部攻击及入侵可以通过配置ISA Server来监测常见的校园网络攻击。在ISA Serve中启用入侵检测后,ISA Server一检测到攻击,就会向Windows2000事件日志中发消息。要启用ISA Server的入侵检测功能,应在ISA Server管理窗口中选择服务器名称中的IP Packet Filters Properties选项,勾选Enable Intrusion detection,即打开ISA Server

29、的入侵检查功能。3.1.4校园网信息过滤配置校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围的信息,硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日志(加密并适时向网络中心上传数据。在软件管理终端,管理员选择“类别”和“记录日期”,点击“查看按钮”,就可以查看网络日志和操作日志,此外,安装“过滤王”软件终端程序包括核心和控制台两部分,核心程序安装在中心交换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡,进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安

30、装完成后,控制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。3.1.5网络流量的监控STARVIEW在网络初步异常的情况下,能进一步查看网络中的详细流量,从而为网络故障的定位提供丰富数据支持。3.1.6无线局域网安全技术通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。3.2物理地址(MAC过滤每个无线客户端网卡都由唯一的48位物理地址(MAC标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络

31、侦听就可获得合法的MAC 地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC 地址来非法接入,如图3-2所示。 图3-2 MAC地址的过滤图3.2.1服务集标识符( SSID 匹配无线客户端必须设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务集上网。利用SSID 设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP及SSID的权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全,具体的服务集标识匹配如图3-3

32、所示。 图3-3 服务集标识匹配在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位,加密原理如图3-4所示。 图3-4 WEP加密原理图WEP加密原理如下:1、AP先产生一个IV,将其同密钥串接(IV在前作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID 在第四字节的高两位,其余的位置0;如果使用Key