智慧校园网络安全等保设计方案

1、PAGE 21PAGE 1智慧校园网络安全等保设计方案PAGE 21PAGE 39目 录 TOC o 1-3 h z u HYPERLINK l _Toc39475837 1技术建设方案 PAGEREF _Toc39475837 h 3 HYPERLINK l _Toc39475838 1.1校园网总体架构设计 PAGEREF _Toc39475838 h 3 HYPERLINK l _Toc39475841 1.1.1建设原则 PAGEREF _Toc39475841 h 3 HYPERLINK l _Toc39475844 1.1.2校园网建设内容框架 PAGEREF _Toc394758

2、44 h 4 HYPERLINK l _Toc39475861 1.1.3网络架构拓扑图 PAGEREF _Toc39475861 h 6 HYPERLINK l _Toc39475862 1.1.4网络设计概述 PAGEREF _Toc39475862 h 6 HYPERLINK l _Toc39475863 1.1.5骨干网络方案先进性与可行性 PAGEREF _Toc39475863 h 7 HYPERLINK l _Toc39475869 1.2网络安全设计 PAGEREF _Toc39475869 h 15 HYPERLINK l _Toc39475872 1.2.1设备级安全功能

3、PAGEREF _Toc39475872 h 15 HYPERLINK l _Toc39475873 1.2.2防ARP攻击设计 PAGEREF _Toc39475873 h 15 HYPERLINK l _Toc39475874 1.2.3交换机IP防扫描设计 PAGEREF _Toc39475874 h 16 HYPERLINK l _Toc39475875 1.2.4防DOS/DDOS攻击 PAGEREF _Toc39475875 h 16 HYPERLINK l _Toc39475876 1.2.5路由安全设计 PAGEREF _Toc39475876 h 17 HYPERLINK l

4、 _Toc39475877 1.2.6设备管理安全设计 PAGEREF _Toc39475877 h 18 HYPERLINK l _Toc39475878 1.2.7汇聚嵌入式安全 PAGEREF _Toc39475878 h 19 HYPERLINK l _Toc39475879 1.2.8接入安全控制 PAGEREF _Toc39475879 h 19 HYPERLINK l _Toc39475880 1.2.9IP+MAC+端口绑定 PAGEREF _Toc39475880 h 20 HYPERLINK l _Toc39475881 1.2.10防止病毒广播泛洪 PAGEREF _To

5、c39475881 h 20 HYPERLINK l _Toc39475882 1.2.11入网用户身份认证 PAGEREF _Toc39475882 h 20 HYPERLINK l _Toc39475883 1.2.12防止对DHCP服务器攻击 PAGEREF _Toc39475883 h 20 HYPERLINK l _Toc39475884 1.2.13多元素绑定技术构筑高安全校园网 PAGEREF _Toc39475884 h 21 HYPERLINK l _Toc39475885 1.2.14防止用户私设代理服务器 PAGEREF _Toc39475885 h 22 HYPERLI

6、NK l _Toc39475886 1.2.15恶意用户追查 PAGEREF _Toc39475886 h 22 HYPERLINK l _Toc39475887 1.3等保建设方案 PAGEREF _Toc39475887 h 22 HYPERLINK l _Toc39475888 1.3.1总体建设目标 PAGEREF _Toc39475888 h 22 HYPERLINK l _Toc39475889 1.3.2安全技术体系目标 PAGEREF _Toc39475889 h 23 HYPERLINK l _Toc39475890 1.3.3物理安全设计 PAGEREF _Toc39475

7、890 h 23 HYPERLINK l _Toc39475891 1.3.4计算环境安全设计 PAGEREF _Toc39475891 h 24 HYPERLINK l _Toc39475892 1.3.5系统安全审计 PAGEREF _Toc39475892 h 26 HYPERLINK l _Toc39475893 1.3.6数据完整性与保密性 PAGEREF _Toc39475893 h 28 HYPERLINK l _Toc39475894 1.3.7备份与恢复 PAGEREF _Toc39475894 h 29 HYPERLINK l _Toc39475895 1.3.8区域边界安

8、全设计 PAGEREF _Toc39475895 h 30 HYPERLINK l _Toc39475896 1.3.9安全隔离 PAGEREF _Toc39475896 h 31 HYPERLINK l _Toc39475897 1.3.10通信网络安全设计 PAGEREF _Toc39475897 h 35 HYPERLINK l _Toc39475898 1.3.11网络设备防护 PAGEREF _Toc39475898 h 35技术建设方案校园网总体架构设计建设原则安全性网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网

9、络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证内外网安全。先进性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周

10、期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线路。 开放性采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。扩展性系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展

11、趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。高性能网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。可运营管理为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的行为，为学校的网络管理提供便利的工具。同时可进行计费扩展，通过对用户收取一定的费用来达到“以网养网”的目的，并要求运营系

12、统能够贴近校园用户的应用模式，方便维护和管理。规范化和标准化网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。校园网建设内容框架校园骨干网络设计本次山西工程技术学院网络改造，需要建成一个高带宽（万兆）、高冗余（设备冗余、线路冗余）达到99.999%的稳定是校园骨干网络的最终目的，建设可扩展的新一代校园网络架构，骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚。校园出口网络设计新增专用网络出口设备，承载出口NAT、链路负载均衡，智能选路功能。有线无线统一认

13、证方式：结合智慧校园统一身份认证系统，采用一体化认证方式为校园各类用户提供上网认证服务，减轻使用和维护复杂度。上网行为管理：要求实现对互联网访问行为的全面管理，包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统，通过源IP/时间，找到对应的帐号，将安全事件度应到人甚至对应到发生安全事件的地点。网络信息安全防护：通过实名认证，防火墙策略来保障校园网的网络信息安全，对来自外部的网络攻击和渗透进行有效防护，提高网络信息安全。校园无线网络设计全面建设学校的WLAN

14、无线校园网，实现校内随时随地的通过WI-FI访问校园网。WLAN信号覆盖教学、办公楼宇的室内区域，满足每个办公室、教室、实验室和门厅区域的信号接收强度-75dBm。室外覆盖区域包括广场、运动场、篮球场，室外AP覆盖区域终端连接速率最高可达到1.75Gbps，满足80%以上区域接收信号强度-75dBm，每个场所支持并发用户100个以上。无线全部采用基于802.11ac协议的室内室外高性能AP产品，所有AP均支持2.4GHz和5.8GHz频段的双路接入，要求每个AP至少支持1.167Gbps速率。无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制：包括基于不同的用户或用户群可实施不

15、同的认证方式；基于不同的用户或用户群可实施不同的资源访问权限控制；基于不同的用户或用户群可实施不同的接入上、下行带宽控制；基于不同的用户或用户群可实施基于时间的接入控制；上述多种接入控制策略实施、操作过程要方便、易用，即时生效。网络架构拓扑图网络设计概述如上图所示：山西工程技术学院网络可以分为2大部分，第一部分为学校有线办公网，包括办公网有线接入区，网络管理服务器区，核心区，互联网出口区等，主要承载的业务外全校的有线接入业务及全校的校内应用承载。另外一部分网第三方投资建设的无线运营网。该网络主要为全校师生提供校内无线的全面覆盖，包括宿舍区的无线接入，教学办公区的无线接入等。有线办公网与无线运营

16、网络互相融合，共用一套接入认证系统，师生可以方便的通过有线，无线网络访问到校园网数据中心的各种应用。在访问互联网时，认证计费系统可以智能的把老师的互联网流量导向到办公网出口链路上，学生的互联网流量导向到对应的运营网出口链路上。本网络主要以校园网的原有有线网络为基础，主要作用是为学校各职能单位提供安全稳定的有线网络接入服务，以及为校园网应用提供安全稳定的运行环境。全网分为办公网有线接入区，网络管理服务器区，核心区，互联网出口区四大区域。办公网核心区：提供全校办公网各个区域的数据安全交换，保证全校师生可以通过无线运营网访问到学校的数据中心的各种校内应用。网络管理服务器区：承载全校的各种校内应用，包

17、括教务系统，教学资源系统，学校的各种智慧化应用。为这些应用提供安全稳定的运行环境。以及运行认证系统，网管系统等。互联网出口区：主要为全校教职工提供安全稳定出口互联网上网服务。部署BRAS，与认证计费系统联动实现校园网用户准出认证。BRAS可以根据用户的账户属性选择对应的运营商链路访问互联网，同时该设备可以模拟PPPOE拨号，实现和运营商宽带网络的无缝对接。部署出口防火墙，保证校园网内网的安全运行。部署上网行为管理系统，通过与认证计费系统联动，实现互联网上网行为的实名制审计。办公网有线接入区：覆盖全校各个教学区域，办公区域，图书馆、自习室等公共区域，提供有线网络接入服务。教学区无线接入：包括全校

18、办公区，教学区，图书馆，报告厅，餐厅等各个公共区域的无线接入覆盖。宿舍区无线接入：包括全校所有宿舍的有线无线统一接入。网络管理服务器区：部署认证计费系统，实现全校有线无线的统一接入认证计费。部署防代理系统，防止学生无线用户共享接入互联网，保证投资商的投资收益。骨干网络方案先进性与可行性校园骨干网络本方案采用高性能数据中心交换机锐捷S8610E，采用虚拟化技术实现虚拟化管理，核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征。核心层一直被认为是所有流量的最终承受者和汇聚者，承担校园网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严

19、格，要求核心交换机拥有较高的性能及可靠性。否则随着信息化建设的进一步深化，特别是随着学校内部资源平台的不断完善和丰富，核心交换机将无法满足这些建设需求。山西工程技术学院中心机房作为园区核心层的中心，将承担学校骨干的高速数据交换，同时为未来我校构建基于云服务架构的智慧校园提供支撑，所以核心交换机一方面要满足高性能的要求，另一方面要求支持云计算特性；通过比较在此方案核心层的设计中，采用两台高性能的核心交换机作为核心设备，构成双核心结构，实现双机热备,负载均衡，设备支持OSPF协议以及虚拟化协议（将两台设备虚拟层一台设备）以达到核心任意一台设备发生故障都能保证网络正常运行的目的，这一切对用户都是透明

20、的，因此为用户网络的正常运用提供的有利的保障。同时核心交换机支持数据中心虚拟化功能的特性：FCoE、CEE、TRILL等技术。各个汇聚节点采用双线路方式连接到核心设备上，保证可靠性。核心区域架构设计改造总体来讲本方案设计的核心交换机需要满足一下几个要求：高性能高端交换机性能和端口密度的提升会受到其硬件的限制，而虚拟化技术系统的性能和端口密度是虚拟化技术内部所有设备性能和端口数量的总和。因此，虚拟化技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。 此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而虚拟化技术可以通过跨设备链路聚合等特性

21、，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。高可靠链路级：虚拟化技术设备之间的物理端口支持链路聚合，虚拟化技术系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。协议级：虚拟化技术提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠。设备级：虚拟化技术系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级

22、的备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。 高性能硬件模块采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发，不依赖交换机CPU和内存资源，适用于大规模的网络，无软件升级方式带来的弊端。超过10公里的虚拟化技术虚拟交换引擎板卡配置光接口，最远可实现超过10（可以支持到10-100公里）公里的虚拟化，实现7*24小时的不间断网络服务。为云计算数据中心提供基础支持未来山西工程技术学院如果需要建立基于云服务的校园网，核心设备支持云计算对网络设备的技术要求。实施云计算第一步是对服务器进行虚拟化，虚拟化后个虚拟机之间的数据交互管理需要VEPA

23、技术进行支持；同时存储和网络融合后需要交换机支持FCoE技术；跨区的虚拟机迁移，需要设备支持TRILL技术。核心交换机虚拟化示意图在传统网络中，为了增强网络的可靠性，在核心层部署两台交换机，所有汇聚层交换机都有两条链路分别连接到两台核心层交换机。为了消除环路，在汇聚层交换机和核心层交换机上配置MSTP协议阻塞一部分链路；为了提供冗余网关，在核心层交换机上配置VRRP协议。传统网络拓扑传统网络存在的缺陷如下所示：网络拓扑复杂，管理困难。为了增加可靠性，设计了一些冗余链路，使得网络中出现环路，不得不配置MSTP协议消除环路，实际应用中可能由于链路流量比较大导致BPDU报文丢失，MSTP拓扑振荡，影

24、响网络的正常运行。故障恢复时间一般在秒级。如VRRP协议，状态为master的交换机发生故障，处于backup状态的交换机至少要等3秒钟才会切换成master。生成树协议为了消除环路，需要把一些链路阻塞，没有利用这些链路的带宽，造成资源浪费。为了解决传统网络的这些问题，提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU，全称是Virtual Switch Unit，即虚拟交换单元。如图 1.2所示，把传统网络中两台核心层交换机用VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。VSU组网应用示意图（物理视图）VSU组网应用示意图（逻辑视图）

25、极简网络核心认证设计先进性与可行性本方案通过核心采用双NS8610E，实现大二层核心认证系统。通过这样的集中认证+统一网关，改变整个无线网络部署方式。有线、无线设备在网络核心层集中认证后，部署方式更简单，更灵活，更适合持续扩展，同时用户体验到更快上网速率。统一网关部署在网络核心层，网关性能大幅提升，无线网络部署时，不再担心性能瓶颈问题。统一认证、统一安全策略后，不存在与多套认证系统对接问题，方便管理。方案部署后，最大可承载90000双栈终端同时在线，1000个/S终端快速上线，完全满足未来10年的网络演进,在网络使用的高峰期，用户上网仍不受影响，仍能获得高速认证的超快体验。原因是：交换机通过软

26、硬件处理机制，能够屏蔽非法认证报文，保护认证服务器免受攻击，保障用户上网认证体验。校园出口系统先进性与可行性校园网出口区作为校园网的边界，主要负责承担边界网络的数据转发、流量控制、安全防护、安全审计等功能。校园网出口区分层功能如下图所示：出口区功能表边界连接层处于边界网的最外端，是边界网中的数据交换基础平台，此平台主要由边界网中的路由器来。边界连接层需要考虑以下三个方面。1. 边界连接部署高性能的多功能网关来实现NAT转发。2. 智能路由选路校园网用户在访问属于不同ISP提供的信息资源时，边界连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路

27、径跨越了不同ISP网络，确保资源访问效率最大化。3. 多链路负载通过ISP线路、教育网线路分别连接至Internet、Cernet。为了提高出口带宽的整体利用率，同时提供链路冗余备份，边界连接层必须提供多链路负载均衡与备份功能。出于对网络出口的性能和可靠性考虑，向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是，对于拥有两条或两条以上的互联网链路的用户，如何既保证多条链路带宽被充分利用不被浪费，又保证对内对外访问所选择的路径是最快速的最优的，安全网关必须支持多链路负载均衡技术，对多个ISP链路的可用性和性能进行监督，对双向数据流进行智能路径选择，从而保证用户拥有最佳的互联网接入体

28、验。安全防护安全防护，是出口网络设计中必不可少的内容。针对出口网络中所部署的安全防护，主要有以下三个方面：报文过滤通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准ACL 、扩展ACL。审计系统部署一套日志审计系统，实现以下功能：Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息出口NAT日志：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端和运营计费平台无缝对接，将用户认证上网信息和出口日志结合起来，实现快速的用户上网信息统计和违规用户定位。满足公安部82号令要求。网络安全设计设备级安全功能设

29、备级可靠性主要从设备自身可靠性，网络中的核心层交换机需要具备关键的可靠性技术：可靠性指标必须达到99.99%。所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。网络核心设备无源背板，采用无源器件的背板，可靠性更高。网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。为避免因病毒、蠕虫等引起的网络泛洪对网络设备造成CPU升高等影响网络的情况出现，所有设备应具备CPU保护技术来避免异常流量和攻击流量对设备可靠性的威胁。安全策略部署透明，不影响设备和网络性能，不影响业务和用户体验基于上述要求，选择的核心交换机支持多种硬件的安全防护技术，主要包括：引擎切换数据

30、不间断转发、电源冗余、业务模块热插拔、防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR等。通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护，保证在处理安全问题的同时依然不影响网络正常数据的转发。建议选择的全系列交换机具备的硬件CPU保护功能（CPP）可实现对CPU的自动硬件防护机制，保证设备不会因为协议攻击而宕机。同时交换机上具备的SPOH技术（基于硬件的同步式处理），在线卡的每个端口上利用FFP硬件进行安全防护和智能保障，各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配（LPM）技术解决了“流精确匹配”的缺点，支持一个网段使用一个硬

31、件转发表项，杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU参与“一次路由”的效率影响，在路由转发前形成路由表项，避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率，而且保障设备在病毒和攻击环境下的稳定运行。防ARP攻击设计作为攻击源的主机伪造一个ARP数据包，此ARP包中的IP与MAC地址对同真实的IP与MAC对应关系不同，此伪造的ARP包发送出去后，网内其它主机根据收到的ARP包中的SENDERS字段，ARP缓存被更新，被欺骗主机或网络设备的ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机或网络设备访问特定IP的数据包将不能被发送

32、到真实的目的主机或网关，目的主机或网关不能被正常访问。防ARP欺骗设计在宿舍区接入交换机上开启ARP-CHECK功能，提取ACE中的IP+MAC资源，形成新的ACE资源（ARP报文过滤），对经过交换机的ARP报文进行检验，对交换机绑定表中存在的ARP表项进行放行，对非法的ARP报文直接丢弃，从而实现防ARP欺骗功能。交换机IP防扫描设计众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的网络通讯无法进行。而且，互联网上扫描的工具多如牛毛。为此，方案中的三层核心交换机提供了防扫描的功能，用以防止黑客扫描和类似“冲击波病毒”的攻击，以

33、减轻三层交换机的CPU负担。目前发现的扫描攻击有两种：目的IP地址不断变化的扫描， “scan dest ip attack”。这种扫描攻击是最危害网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起手工具。目的IP地址不存在的扫描， “same dest ip attack”。这种攻击主要是通过增加交换机CPU的负担来实现的。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源；而如果目的IP地址不存在，那么交换机CPU会定时去尝试连接，如果存在大量的这种尝试连接，也会消耗CPU资源。当然，这种攻击的危害比第一种小得多了。以

34、上这两种攻击，核心交换机都可以通过在接口上调整相应的攻击阀值、攻击主机隔离时间等参数，来减轻其对网络的影响。另外，还可以根据网络中可监控的主机数，在全局模式下设置可监控攻击主机的最大值，以达到更好地保护系统的要求。防DOS/DDOS攻击近年来，各种DoS攻击（Denial of Service，拒绝服务）报文在互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。针对这种情况，RFC2827提出在网络接入处设置入口过滤（IngressFiltin

35、g），来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生，因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet；企业（校园网）的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。交换机采用基于RFC2827的入口过滤规则来防止DoS攻击，这种过滤是通过自动生成特定的ACL来实现，该过滤采用硬件实现而不会给网络转发增加负担。路由安全设计（1）路由认证和保护路由认证（RoutingAuthentication），就是运行于不同设备的相同的动态路由协议之间，对相互传

36、递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5校验。MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。为了保证

37、路由协议的安全，在路由协议配置时必须配置OSPF的认证，建议采用MD5认证。（2）关闭IP功能服务有些IP特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关闭这些IP功能的能力。IP源路由选项开关在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项，它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。并且，在分组到达目的地的过程中，把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工

38、作状态，可能被恶意攻击者利用，刺探网络结构。因此，设备应能关闭IP源路由选项功能。重定向开关网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。因此，设备应能关闭ICMP重定向报文的转发。定向广播报文转发开关在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。ICMP协议的功能开关很多常见的网络攻击利用了ICM

39、P协议功能。ICMP协议允许网络设备中间节点（路由器）向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息，因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理，以减少ICMP对网络安全的影响。设备管理安全设计（1）只开放必要的网络服务网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。（2）网络管理认证管理员认证应采用集中认证和本地认证相结合的方式，集

40、中认证为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议，同时在设备上建立本地用户数据库，在Radius服务器不可用的情况下，使用本地数据库进行验证。在VTY和Console接口上启用管理认证，认证方式为集中认证和本地认证相结合。（3）Telnet接入安全TELNET是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保TELNET访问的合法性和安全性，我们需要注意：1.设置最大会话连接数；2.设置访问控制列表，限制TELNET的连接请求来自指定的源IP网段；3.尽量用SSH代替TELNET，采用SSH的好处是

41、所有信息以加密的形式在网络中传输。（4）SNMP安全通过SNMP可以对设备进行全面的日常管理，为了提高SNMP管理的安全性，需要应注意以下几点：1.避免使用缺省的snmp community，设置高质量的口令；2.不同区域的网络设备采用不同的snmpcommunity；3.把只读snmpcommunity和可读写snmpcommunity区分开来；4.配置ACL来限制能够通过SNMP访问网络设备的IP地址。汇聚嵌入式安全面对现在网络环境越来越多的网络病毒和攻击威胁，要求操作系统提供强大的网络病毒和攻击防护能力，网络硬件不仅提供了基于SPOH技术的ACL功能，而且还支持防源IP地址欺骗（Souc

42、e IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力，从设备本身的功能即可保证网络安全。因此对于局域网中，建议如下部署：在核心汇聚部署支持防源IP地址欺骗（Souce IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。接入安全控制在接入部署ACL，对冲击波、蠕虫等病毒进行防范已经生成数BPDU攻击、MAC攻击等二层攻击，使有害数据包在接入就被过滤。要求接入交换机具备完善的QoS以及强大的安全接入控制能力。具体要求如下：二至四层线速转发，二至七层智能识别：硬件全

43、线速实现路由、ACL、QOS、带宽限制，全面提升用户体验；硬件实现端口与MAC地址和用户IP地址的绑定：不需要第三方设备或软件，仅通过设定访问交换机上某个端口的用户MAC地址和IP，就可硬件实现严格控制对该端口的用户输入，有效防止非法用户的接入。有效杜绝非法组播源：支持IGMP源端口检查功能，以及支持IGMP源IP检查功能，有效地杜绝非法的组播源播放非法的组播信息，更好地提高了网络的安全性。极灵活的基于流的带宽控制能力：具备MAC流、IP流、应用流等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络根据不同的业务、以及不同业务所需要的服

44、务质量特性，提供差异化服务完善的QoS：RG-S29E支持完善的QOS，以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；强大的安全接入控制能力：硬件本身即可实现端口与MAC地址和用户IP地址的绑定，另外和配合宽带认证计费管理系统可实现用户帐号与IP、MAC、交换机IP、端口、Vlan ID多元素的复合绑定。保证用户身份的合法性和唯一性，可以有效的避免IP地址冲突、帐号盗用等问题发生。通过PVLAN即可隔离用户信息互通：采用保护端口（即将该端口设为保护端口）实现端口之间相互隔离，不必

45、占用VLAN资源。采用保护端口即保证用户信息安全，又节约VLAN资源，同时不必再修改VLAN配置，大大提高维护效率。多端口同步监控MSPAN：通过一个端口可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，有效提高监测效率。IP+MAC+端口绑定学生宿舍区的用户上网的安全性非常重要，要求接入交换机可以实现端口IP+MAC地址的绑定关系，可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。防止病毒广播泛洪要求接入交换机可实现广播报文的计数累计功能，往往一台主机受病毒时会发出大量的广播报文，交换机可实现对与进

46、入报文的计数累计，广播病毒一般会在短时间内产生大量的广播包，通过可设置广播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭，确保网络的安全、稳定。入网用户身份认证基于802.1X的扩展的认证计费系统在用户第一次上网就必须认证，保证了用户上网的安全和合法性。防止对DHCP服务器攻击使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会分发非法地址给终端用户，造成用户无法使用网络，；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。对于第一种情况，

47、使用接入交换机的访问列表就可以实现防范：在安全接入交换机上定义一个访问列表，该访问列表允许目的IP地址为合法DHCP 服务器（或这个网段的网关地址，部分三层交换机在DHCP relay之后，DHCP sever的地址会替换成三层SVI的地址）、source port为67而destination port为68的UDP报文通过。而其它source port为67而destination port为68的UDP报文拒绝，之后把这个访问列表应用到上联物理端口上。同时再定义一个访问列表，拒绝source port为67而destination port为68的UDP报文通过，并运用在下联端口。对于第

48、二种情况，开启接入交换机的端口安全功能就可以实现防范。在接入交换机设置端口安全，可以根据网络的实际情况设置，设置某个端口下学习源MAC的个数，一旦学习到的源MAC地址大于设置值，那么数据帧就会在端口丢弃，同时发送警告信息通知网管员，或是逻辑上关闭该端口。如下图：而对于用户手工设置静态IP地址，造成和已分发的动态IP地址冲突，可以通过认证系统指定用户只能采用DHCP获取IP。多元素绑定技术构筑高安全校园网IP地址、MAC地址、接入交换机端口、以及接入交换机IP、身份信息、是标识网络用户的基本元素，而单一的元素无法为管理员来标识一个用户，而网络安全被利用最多还是MAC、IP地址等。MAC地址欺骗将

49、合法的MAC 地址修改成不存在的MAC 地址或其他人的MAC 地址，从而达到隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC 地址欺骗。MAC地址泛洪攻击交换机由于交换机内部的MAC 地址表空间是有限的，正常情况下，这些MAC 地址表是足够用的，一般情况下，基本不会发生MAC 地址表被占满的情况。但如果有人恶意对这台交换机进行MAC 地址泛洪攻击的话，则会很快占满交换机内部MAC 地址表，使得本来交换机本来是按单播进行转发数据包的，但由于MAC 地址表已经被占满了，所有的交换机的端口都在一个广播域里了，因此交换机转发数据包的机制变成了广播了。因此交换机变成了一个Hub，因此别的端口

50、可以收到所有的其他端口的数据，因此用户的信息传输也没有安全保障了。IP地址随意更改手工更改用户自己的IP地址，这使得原本分到该IP地址的合法用户无法正常上网，同时也将导致整个网络的IP地址管理混乱。非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，这样就可以逃避网管的追查，“堂而皇之”的攻击对方了。因此根据以上安全的情况，我们建议采用认证系统的绑定功能，对宿舍网用户进行管理。通过认证系统(AAA)服务器绑定每一个用户的元素信息，当用户认证时，802.1X客户端将所需要的元素信息传送到认证系统服务器，认证系统会将所传送的信息和数据库做一一的匹配，如果有

51、任一一元素不符合认证系统所定义，那么将视此用户为非合法用户，认证系统将不允许此用户认证通过，并反馈通知用户绑定错误相关信息。如果用户认证通过后修改地址，那么客户端也会检测到并发送到认证系统服务器，同时认证系统服务器会将此用户剔除下线。为了管理方便，我们建议使用第一次登录自动时绑定信息，当用户第一次认证时将相关的元素信息自动的写入数据库，无需手工录入元素信息作静态绑定。防止用户私设代理服务器用户自行架设代理服务器以及用户认证后再自行拨号上网，这是网络安全最大的两个隐患。交换机提供代理服务器屏蔽和拨号屏蔽功能。实现该功能交换机端不需任何设置。只需在认证系统服务器端配置相应的属性。考虑到学生的技术性

52、较强，在实际的应用的过程当中应当充分考虑到学生的代理服务器的使用，对于代理服务器的防止，交换机配合802.1X的客户端以及认证系统服务器，一旦检测到用户PC机产生代理流量，系统自动将用户剔除下线，并反馈信息。恶意用户追查对每个用户分配一个账户，使用认证系统管理用户。由认证系统记录用户每次上网的用户名，源IP地址，上网开始和结束时间。然后通过安全认证管理系统认证系统查找MAC地址和IP地址，就可以根据源IP或源MAC在系统上查到该用户所在的交换机以及在该交换机上所接的端口，通过这种方式可以立刻定位用户，方便对于大型网络的管理，能够方便快捷的防止恶意用户的攻击。同时，认证系统系统可以随机保存159

53、0天的用户上网记录（根据管理的需要，自行定义天数），并可以实现数据的备份。等保建设方案总体建设目标为了山西工程技术学院此次建设达到安全三级等级保护的要求，最终实现如下总体安全目标：（1）依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。（2）通过信息安全需求分析，判断信息系统的安全保护现状与信息安全技术信息系统安全等级保护基本要求之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，

54、以指导后续的信息系统安全建设工程实施。（3）达到公安部关于信息系统安全等级保护相关要求。安全技术体系目标按照信息系统安全等级保护关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计”。具体包括：（1）保障基础设施安全，保障网络周边环境和物理特性引起的网络设

55、备和线路的持续使用。（2）保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。（3）保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。（4）保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。（5）安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合山西工程技术学院实际情况，建立一套切实可行的安全管理体系。物理安全设计 物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，

56、并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。（1）机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。（2）机房管理机房出入口安排专人值守，控制、鉴别和记录进入的人员；需进入机房的来访人员须经过申请和审批流程，并限制和监控其活动范围。对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。（3）机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标

57、准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；

58、建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰。对关键设备和磁介质实施电磁屏蔽。（4）设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。计算环境安全设计身份鉴别 身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：（1）主机身份鉴别

59、为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。对主机管理员登录进行双因素认证方式，采用USB key+密码进行身份鉴别（2）应用身份鉴别：为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：对登录用户进行身份标识和鉴别，且保证用户名的唯一性。

60、根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备采用3种以上字符、长度不少于8位并定期更换。启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。访问控制三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。 强制访问