网络安全整体解决方案设计Word格式.docx

1、412 网络病毒的传播特点104. 防止 IP、MAC地址的盗用124.2.2 防范技术研究 13第章 校园网络安全管理制度 15.1总则 1352 安全保护 . 法律责任14.4 附则第1章 需求分析1.1实施背景维护校园网络的安全，防范网络病毒入侵校园网，防止I、MAC 地址的盗用，对学生用户上网时间的控制,用户网络权限的控制，有效屏蔽各种网络攻击,访问身份认证等等。12 网络安全需求所谓网络安全就是计算机系统安全概念在网络环境下的扩展和延伸，包括在网络内的访问是否充分得到授权与控制、网络内传输的数据是否得到加密性、完整性保护，网络内的数据包是否合乎安全策略的要求1.1 防范非法用户非法访

2、问非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事,而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，严格控制只有合法用户才能访问合法资源。1.2.2 防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开

3、放，而有些信息是要求保密或具有一定的隐私性。外部用户（指数字网络合法用户）被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问权限进行严格控制。123 防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的I地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而进行的非法访问。1. 应用安全需求应用安全主要涉及到应用系统信息资产的保密性和完整性保障，对应用安全的考虑主要集中两

4、个方面，一是内容审计，审计是记录用户使用计算机网络系统所访问的所有资源和访问的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能够成功的还原系统的相关协议。二是对应用系统访问的源、目的的双向鉴别与授权，针对校园网络系统而言，建立系统是满足这一要求的可行解决方案。C认证体系使用了数字签名、加密和完整性机制，使两个或多个实体之间通信时,进行“交叉认证”，可以有效的鉴别对应用系统访问来的身份，并根据确认的身份确定其能够访问的资源。此外，针对校园网重要业务系统，要规划全面的病毒防护体系，我们看到，随着网络的飞速发展，病毒的发展趋势是从面向文件型转到面向应用的，从面向单机转到面向网络的,防

5、病毒软件面临着集中管理、智能更新等多方面的问题,病毒防护也已经步入到了一个网络化、多方位防护的阶段。网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的网络级病毒防护不再困难，而且应提供病毒定义的实时自动更新功能，所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。第2章 设计原则2.1 先进性与成熟性采用当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看，系统的总体设计的先进性原则主要体现在使用Thin-Clieterer计算机体系是先进的、开放的体系结构,当系统应用量发生变化

6、时具备良好的可伸缩性，避免瓶颈的出现。 2.2实用性与经济性实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能，它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立，应避免过度追求超前技术而浪费投资。2. 扩展性与兼容性系统设计除了可以适应目前的应用需要以外，应充分考虑日后的应用发展需要,随着数据量的扩大，用户数的增加以及应用范围的拓展，只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理,监控，降低管理成本。2. 标准化与开放性系统设计应采用开放技术、开放

7、结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及外界信息的沟通。 计算机软硬件和网络技术有国际和国内的标准，但技术标准不可能详细得面面俱到，在一些技术细节上各个生产厂商按照自己的喜好设计开发，结果造成一些产品只能在较低的层面上互通,在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品，而且尽量选用市场占有率高、且发展前景好的产品,以提高系统互通性和开放性。2.5 安全性与可维护性随着应用的发展,系统需要处理的数据量将有较大的增长，并且将涉及到各类的关键性应用，系统的稳定性和安全性要求都相对较高，任意时刻系统故障都可能给用户带来不可估量的损失,建议采用负载均衡的服务器群组来

8、提高系统整体的高可用。2.6 整合型好当前采用企业级的域控制管理模式，方便对所有公司内所有终端用户的管理,同时又可以将公司里计算机的纳入管理范围,极大地降低了网络维护量,并能整体提高当前网络安全管理。第3章 网络总体设计3.1网络架构分析现代网络结构化布线工程中多采用星型结构,主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网

9、的拓补结构校园网采用星形的网络拓扑结构，骨干网为100M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用1000光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰，覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。3.2 设计思路进行校园网总体设计,首先要进行对象研

10、究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上,确定学校tranet服务类型，进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五，规划校园网建设的实施步骤。校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面:（）整体规划安排;（2）先进性、开放性和标准化相结合；（3）结构合理,

11、便于维护；（4）高效实用;（5）支持宽带多媒体业务；（6）能够实现快速信息交流、协同工作和形象展示。33 校园网的设计原则（）先进性原则以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。（2）开放性原则校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。（3）可管理性原则网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，将大大提高网络的运行速率,并可迅速简便地进行网络故障

12、的诊断。（4）安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。（5）灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。（6）稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外，同时还应具

13、有良好的故障诊断和故障隔离功能。3.4 网络三层结构设计校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联,核心层由个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上，每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足客户需求。.5

14、 网络拓扑图网络拓扑图物理图第4章网络安全解决方案41网络病毒的认识和防范网络病毒是一种新型病毒，它的传播媒介不再是移动式载体,而是网络通道，这种病毒的传染能力更强,破坏力更大。同时有关调查显示，通过电子邮件和网络进行病毒传播的比例正逐步攀升,它们给人们的工作和生活带来了很多麻烦。因此我们有必要了解一些网络病毒的特点,并对其采取相应的措施，以减少被网络病毒感染的机会。4.1 网络病毒的传播方式网络病毒一般会试图通过以下四种不同的方式进行传播:（1）邮件附件病毒经常会附在邮件的附件里，然后起一个吸引人的名字,诱惑人们去打开附件，一旦人们执行之后,机器就会染上附件中所附的病毒。（2）Eail有些蠕

15、虫病毒会利用在Micoft Secury uletn在S1-02中讨论过的安全漏洞将自身藏在邮件中,并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于ntretExplorer之中，但是可以通过-ma来利用。只需简单地打开邮件就会使机器感染上病毒并不需要您打开邮件附件。（3）Web服务器有些网络病毒攻击IS 4.0和5.0 Wb服务器。就拿“尼姆达病毒”来举例说明吧，它主要通过两种手段来进行攻击：第一,它检查计算机是否已经被红色代码I病毒所破坏，因为红色代码II病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果ida病毒发现了这样的机

16、器，它会简单地使用红色代码II病毒留下的后门来感染机器。第二,病毒会试图利用“WebSeer Foldr Travera”漏洞来感染机器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。（4）文件共享病毒传播的最后一种手段是通过文件共享来进行传播。Winows系统可以被配置成允许其他用户读写系统中的文件。允许所有人访问您的文件会导致很糟糕的安全性，而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然而,如果病毒发现系统被配置为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。41. 网络病毒的传播特点（1）感染速度快在单机环境下，病毒只能通过软盘从一台计算机带到

17、另一台,而在网络中则可以通过网络通讯机制迅速扩散。根据测定,针对一台典型的PC网络在正常使用情况,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台计算机全部感染。（2）扩散面广由于病毒在网络中扩散非常快,扩散范围很大，不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。（3）传播的形式复杂多样计算机病毒在网络上一般是通过“工作站 服务器工作站”的途径进行传播的，但传播的形式复杂多样。（4）难于彻底清除单机上的计算机病毒有时可通过删除带毒文件或低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除

18、工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行病毒杀除，并不能解决病毒对网络的危害。（5）破坏性大网络上病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。4.1.3网络病毒防范技巧作为个人用户，我们在防范网络病毒时,需要注意以下几点:（）留心邮件的附件对于邮件附件尽可能小心，安装一套杀毒软件,在你打开邮件之前对附件进行预扫描。因为有的病毒邮件恶毒之极,只要你将鼠标移至邮件上，哪怕并不打开附件,它也会自动执行。更不要打开陌生人来信中的附件文件，当你收到陌生人寄来的一些自称是“不可不看”的有趣东东时，千万不要不假思

19、索地贸然打开它，尤其对于一些“.exe”之类的可执行程序文件，更要慎之又慎!（2）注意文件扩展名因为Window允许用户在文件命名时使用多个扩展名，而许多电子邮件程序只显示第一个扩展名,有时会造成一些假像。所以我们可以在“文件夹选项”中，设置显示文件名的扩展名,这样一些有害文件，如B文件就会原形毕露。注意千万别打开扩展名为VBS、SHS和IF的邮件附件，因为一般情况下,这些扩展名的文件几乎不会在正常附件中使用,但它们经常被病毒和蠕虫使用。例如,你看到的邮件附件名称是owjpg，而它的全名实际是wow.pg.vbs,打开这个附件意味着运行一个恶意的VBSrip病毒,而不是你的JPG察看器。（）不

20、要轻易运行程序对于一般人寄来的程序，都不要运行,就算是比较熟悉、了解的朋友们寄来的信件,如果其信中夹带了程序附件，但是他却没有在信中提及或是说明,也不要轻易运行。因为有些病毒是偷偷地附着上去的也许他的电脑已经染毒，可他自己却不知道。比如“happy 99”就是这样的病毒，它会自我复制,跟着你的邮件走。当你收到邮件广告或者主动提供的电子邮件时，尽量也不要打开附件以及它提供的链接。（4）不要盲目转发信件收到自认为有趣的邮件时,不要盲目转发，因为这样会帮助病毒的传播；给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的电脑中试试，确认没有问题后再发,以免好心办了坏事。另外，应该切忌盲目转发：有的朋

21、友当收到某些自认为有趣的邮件时,还来不及细看就打开通讯簿给自己的每一位朋友都转发一份，这极有可能使病毒的制造者恶行得逞，而你的朋友对你发来的信无疑是不会产生怀疑的，结果你无意中成为病毒传播者。（5）堵住系统漏洞现在很多网络病毒都是利用了微软的IE和Outlook的漏洞进行传播的,因此大家需要特别注意微软网站提供的补丁,很多网络病毒可以通过下载和安装补丁文件或安装升级版本来消除阻止它们。同时，及时给系统打补丁也是一个良好的习惯，可以让你的系统时时保持最新、最安全。但是要注意最好从信任度高的网站下载补丁。（6）禁止Winowsciting ot对于通过脚本“工作”的病毒，可以采用在浏览器中禁止J或

22、Activ运行的方法来阻止病毒的发作。禁用Wdws Scpigost。WndowsScripting Hos（WS）运行各种类型的文本，但基本都是VBScrit或script。许多病毒/蠕虫，如ubbboy和KAK.wor使用Wndo Stig st,无需用户单击附件,就可自动打开一个被感染的附件。同时应该把浏览器的隐私设置设为“高”。 （7）注意共享权限一般情况下勿将磁盘上的目录设为共享,如果确有必要,请将权限设置为只读,读操作须指定口令，也不要用共享的软盘安装软件，或者是复制共享的软盘,这是导致病毒从一台机器传播到另一台机器的方式。（8）不要随便接受附件尽量不要从在线聊天系统的陌生人那里接

23、受附件，比如ICQ或Q中传来的东西。有些人通过在QQ聊天中取得对你的信任之后,给你发一些附有病毒的文件,所以对附件中的文件不要打开，先保存在特定目录中，然后用杀毒软件进行检查,确认无病毒后再打开。（9）从正规网站下载软件不要从任何不可靠的渠道下载任何软件,因为通常我们无法判断什么是不可靠的渠道，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。（10）多做自动病毒检查确保你的计算机对插入的软盘、光盘和其他的可插拔介质,以及对电子邮件和互联网文件都会做自动的病毒检查。（11）使用最新杀毒软件我们要养成用最新杀毒软件及时查毒的好习惯。但是千万不要以为安装了杀毒软件就可以高枕无忧了，一定要及

24、时更新病毒库,否则杀毒软件就会形同虚设；另外要正确设置杀毒软件的各项功能,充分发挥它的功效。42 防止IP、MAC地址的盗用nterne是一个开放的、互操作的通信系统，其基础协议是TP/IP。Ine协议地址（简称IP地址）是CPI网络中可寻址设施的唯一逻辑标识,它是一个3位的二进制无符号数。对于nternet上的任一主机，它都必须有一个唯一的IP地址。IP地址由InteNC及其下级授权机构分配,没有分配到自己的IP地址的主机不能够直接连接到nteret。随着ntrnet的迅速发展，IP地址的消耗非常快,据权威机构预测，现行IPv4版本的IP只够用到200年。现在，企业、机构、个人要申请到足够的

25、IP地址都非常困难,作为一种稀缺资源，P地址的盗用就成为很常见的问题。特别是在按IP流量计费的CERNT网络，由于费用是按I地址进行统计的,许多用户为了逃避网络计费，用I地址盗用的办法,将网络流量计费转嫁到他人身上。另外，一些用户因为一些不可告人的目的,采用P地址盗用的方式来逃避追踪，隐藏自己的身份。IP地址盗用侵害了Internt网络的正常用户的权利,并且给网络计费、网络安全和网络运行带来了巨大的负面影响,因此解决IP地址盗用问题成为当前一个迫切的课题。4.1 I地址盗用方法分析 IP地址的盗用方法多种多样,其常用方法主要有以下几种： . 静态修改IP地址对于任何一个TP/IP实现来说，I地

26、址都是其用户配置的必选项。如果用户在配置TCP/I或修改TCP/IP配置时,使用的不是授权机构分配的P地址，就形成了IP地址盗用。由于P地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配P地址,但又会带来其它管理问题。2. 成对修改P-MA地址对于静态修改IP地址的问题,现在很多单位都采用静态路由技术加以解决。针对静态路由技术,IP盗用技术又有了新的发展,即成对修改IP-MAC地址。MAC地址是设备的硬件地址,对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的,它由IEEE分配,是固

27、化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MA地址都改为另外一台合法主机的IP地址和MC地址，那静态路由技术就无能为力了。 另外，对于那些MAC地址不能直接修改的网卡来说,用户还可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。3.动态修改P地址 对于一些黑客高手来说，直接编写程序在网络上收发数据包,绕过上层网络软件,动态修改自己的IP地址（或PMC地址对）,达到IP欺骗并不是一件很困难的事。 4. 防范技术研究针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防

28、范技术主要是根据TCP/IP的层次结构,在不同的层次采用不同的方法来防止IP地址的盗用。1交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制,即在TCP/IP第二层进行控制:使用交换机提供的端口的单地址工作模式,即交换机的每一个端口只允许一台主机通过该端口访问网络,任何其它地址的主机的访问被拒绝1。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。2.路由器隔离采用路由器隔离的办法其主要依据是M地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SMP协议定期扫描校园网各路由器的ARP表,获得当前IP和MAC的对照关

29、系,和事先合法的IP和MAC地址比较，如不一致，则为非法访问2。对于非法访问,有几种办法可以制止,如:使用正确的IP与MAC地址映射覆盖非法的IPAC表项; 向非法访问的主机发送CMP不可达的欺骗包,干扰其数据发送;修改路由器的存取控制列表,禁止非法访问。路由器隔离的另外一种实现方法是使用静态ARP表,即路由器中IP与MAC地址的映射不通过AR来获得，而采用静态设置。这样,当非法访问的IP地址和MC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。路由器隔离技术能够较好地解决IP地址的盗用问题,但是如果非法用户针对其理论依据进行破坏,即成对修改IPMAC地址，对这样的IP地址盗

30、用它就无能为力了。防火墙与代理服务器 使用防火墙与代理服务器相结合,也能较好地解决I地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行3。使用这样的办法是将P防盗放到应用层来解决，变IP管理为用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是,盗用I地址只能在子网内使用,失去盗用的意义；合法用户可以选择任意一台IP主机使用,通过代理服务器访问外部网络资源,而无权用户即使盗用IP,也没有身份和密码,不能使用外部网络。使用防火墙和代理服务器的缺点也是明显的,由于使用代理服务器访问外部网络对用户不是透明的,增加了用户操作的麻烦;另外，对于大数量的用户群（如高校的学生）来说,用户管理也是一个问题。第5章 校园网络安全管理制度1 总则 第一条为了保护中学校园网络系统的安全，促进学校计算机网络系统的应