校园网网络安全方案设计

校园网网络安全方案设计目录第一章校园网安全隐患分析(31.1校园内网安全分析(31.1.1软件层次安全(31.1.2设备物理安全(31.1.3设备配置安全(31.1.4管理层次安全(41.1.5无线局域网的安全威胁(41.2校园外网安全分析(51.2.1黑客攻击(51.2.2不良信息传播(61.2.3病毒危害(6第二章设计简介及设计方案论述(72.1校园网安全措施(72.1.1防火墙(72.1.2防病毒(82.1.3无线网络安全措施(102.2H3C无线校园网的安全策略(12校园网网络安全方案设计全文共17页，当前为第1页。2.2.1可靠的加密和认证、设备管理(12校园网网络安全方案设计全文共17页，当前为第1页。2.2.2用户和组安全配置(122.2.3非法接入检测和隔离(132.2.4监视和告警(14第三章详细设计(153.1ISA软件防火墙的配置(153.1.1基本配置(163.1.2限制学校用机的上网(163.1.3检测外部攻击及入侵(163.1.4校园网信息过滤配置(173.1.5网络流量的监控(173.1.6无线局域网安全技术(173.2物理地址(MAC过滤(183.2.1服务集标识符(SSID匹配(183.2.2端口访问控制技术和可扩展认证协议(20第一章校园网安全隐患分析1.1.1软件层次安全校园网网络安全方案设计全文共17页，当前为第2页。目前使用的软件尤其是操作系统或多或少都存在安全漏洞,对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这些系统安全风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身安全漏洞较多,因此,导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行,冲击波这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS攻击,使多个国家的互联网也受到相当影响。校园网网络安全方案设计全文共17页，当前为第2页。设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或部分瘫痪。设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等,防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。1.1.4管理层次安全一个健全的安全体系,实际上应该体现的是“三分技术、七分管理”,网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的,更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比较了解,若不加强管理,一旦有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成部分区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设置为本网段的网关地址,这会导致整个学生机房无法正常访问外网。校园网网络安全方案设计全文共17页，当前为第3页。1.1.5无线局域网的安全威胁校园网网络安全方案设计全文共17页，当前为第3页。利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网开放式的访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。地址欺骗和会话拦截目前有很多种无线局域网的安全技术,包括物理地址(MAC过滤、服务集标识符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-FiProtectedAccess、IEEE802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园外网,还有相当一部分来自校园网内部,由于内部用户对网络的结校园网网络安全方案设计全文共17页，当前为第4页。构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。校园网网络安全方案设计全文共17页，当前为第4页。在校园网接入Internet后,师生都可以通过校园网络进入Internet。目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行安全措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,接入校园网的节点数量日益增多,这些节点大都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。第二章设计简介及设计方案论述网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。1系统组成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1台,用于运行监控系统软件校园网网络安全方案设计全文共17页，当前为第5页。2主要功能校园网网络安全方案设计全文共17页，当前为第5页。校园网网络安全方案设计全文共17页，当前为第6页。校园网网络安全方案设计全文共17页，当前为第6页。能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒,并对本地的局域网防护的作用。3解决方案采用的防病毒产品如表2-1所示。表2-1防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectforNTServerNTServer每台NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客户机数量HTTPFTP、用浏览器下开载的程序ScanMailforExchangeServerExchangeServer按客户机数量有E-Mail的用户OfficeScancorp各部门的NT域服务器按客户机数量自动分发、更新、实时监察客户机校园网网络安全方案设计全文共17页，当前为第7页。以下是选用以上Trend公司产品的说明:校园网网络安全方案设计全文共17页，当前为第7页。在NT主域控制器和备份域上均采用ServerProtecforWindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级。另外在外接Internet和邮件服务器上,采用InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处-Internet服务器或网关(Gateway上安装此软件,它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。针对校园应用的安全解决方案,从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,H3C提出一系列不同级别的无线安全技术策略,从传统的WEP加密到IEEE802.11i,从MAC地址过滤到IEEE802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。校园网网络安全方案设计全文共17页，当前为第8页。在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚拟专用组(VertualPrivateGroup管理器功能并通过后台的Radius服务校园网网络安全方案设计全文共17页，当前为第8页。器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(VPG管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。具体安全划分及技术方案选择如表2-2所示。表2-2安全划分及技术方法选择安全级别典型场合使用技术初级安全办公室局部无线用户WPA-PSK+AP隐藏中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管理专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i,并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i标准中主要包含加密技术:TKIP(TemporalKeyIntegrityProtocol和AES(AdvancedEncryptionStandard,以及认证协议:IEEE802.1x。IEEE802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。2.2H3C无线校园网的安全策略校园网网络安全方案设计全文共17页，当前为第9页。针对目前无线校园网应用中的种种安全隐患,H3C的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施。校园网网络安全方案设计全文共17页，当前为第9页。2.2.1可靠的加密和认证、设备管理能够支持目前802.11小组所提出的全部加密方式,包括高级WPA256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPATKIP,特有的128位动态安全链路加密,动态会话密钥管理。802.1x认证使用802.1xRADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPATKIP认证采用EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更加保证用户身份的严格鉴定。支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSHv2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。和传统的无线局域网安全措施一样,H3C无线网络可以依靠物理地址(MAC过滤、服务集标识符(SSID匹配、访问控制列表(ACL来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基校园网网络安全方案设计全文共17页，当前为第10页。础。例如,子网、ACL以及服务等级(CoS在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。H3C采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(VertualPrivateGroup,VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。并且,H3C无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里,网络标识基于用户而不是基于物理端口或位置。其次,H3C无线网络简化了SSID支持,不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置和识别用户身份。此外,使用H3C虚拟专用组(VertualPrivateGroup管理器功能,可以为用户和组分配特定的安全和访问策略,从而获得最大的灵活性,同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置,还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组,而不必逐个配置AP。校园网网络安全方案设计全文共17页，当前为第10页。H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。校园网网络安全方案设计全文共17页，当前为第11页。第三章详细设计校园网网络安全方案设计全文共17页，当前为第11页。网络安全系统规划是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益,需求设计成为网络规划建设中的重要内容,网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设备(主交换机、路由器、二级交换机、服务器等。校园内部网络采用共享或者交换式以太网,选择中国科研教育网接入Internet,校际之间通过国际互联网的方式互相连接。同时采取相应的措施,确保通讯数据的安全、保密。另外为了防止这个校区内病毒的传播、感染和破坏,我们在校园网内可能感染和传播病毒的地方采取相应的防毒措施,部署防毒组件,规划如下:在学校服务上安装服务器端杀毒软件;在行政、教学单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作,分发杀毒软件的升级文件(包括病毒定义码、扫描引擎、程序文件等到校内所有用机,并对杀毒软件网络版进行更新。3.1ISA软件防火墙的配置校园网内的软件防火墙采用ISAServe,之所以采用防火墙,是因为ISAServer是一种新型的应用层防火墙,避免服务的弱点及漏洞的攻击,同时支持VPN功能及充当Web代理服务器,并能提供详细的日志报告。安装示意图如图3-1所示。图3-1ISA安装示意图通过ISAServe中的ISAManagement项中的Services标签,启动集成模式中的三个服务,就可以使用ISA的所有默认功能。同时须打开IPRouting功能、访问权限功能、访问策略功能、统一管理等。校园网网络安全方案设计全文共17页，当前为第12页。首先要定义组,通过在ISAServer软件防火墙的ClientAddressSets标签中新建一个组名的标识,按照机房用机的IP地址范围进行添加,在ProtocolRules中选中协议规则后切换到Appliesto标签,选中ClientAddressSetsspecifiedbelow,加入设定的组即可。这样就可以先知学校其他用机随意上网。校园网网络安全方案设计全文共17页，当前为第12页。可以通过配置ISAServer来监测常见的校园网络攻击。在ISAServe中启用入侵检测后,ISAServer一检测到攻击,就会向Windows2000事件日志中发消息。要启用ISAServer的入侵检测功能,应在ISAServer管理窗口中选择服务器名称中的IPPacketFiltersProperties选项,勾选EnableIntrusiondetection,即打开ISAServer的入侵检查功能。校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围的信息,硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日志(加密并适时向网络中心上传数据。在软件管理终端,管理员选择“类别”和“记录日期”,点击“查看按钮”,就可以查看网络日志和操作日志,此外,安装“过滤王”软件终端程序包括核心和控制台两部分,核心程序安装在中心交换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡,进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安装完成后,控制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。STARVIEW在网络初步异常的情况下,能进一步查看网络中的详细流量,从而为网络故障的定位提供丰富数据支持。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。3.2物理地址(MAC过滤校园网网络安全方案设计全文共17页，当前为第13页。每个无线客户端网卡都由唯一的48位物理地址(MAC标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入,如图3-2所示。校园网网络安全方案设计全文共17页，当前为第13页。图3-2MAC地址的过滤图3.2.1服务集标识符(SSID匹配无线客户端必须设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务集上网。利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP及SSID的权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全,具体的服务集标识匹配如图3-3所示。图3-3服务集标识匹配在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位,加密原理如图3-4所示。图3-4WEP加密原理图WEP加密原理如下:1、AP先产生一个IV,将其同密钥串接(IV在前作为WEPSeed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;校园网网络安全方案设计全文共17页，当前为第14页。4、加密数据前面有四个字节,存放IV和KeyID,IV占前三个字节,KeyID在第四字节的高两位,其余的位置0;如果使用Key-mappingKey,则KeyID为0,如果使用DefaultKey,则KeyID为密钥索引(0-3其中之一。校园网网络安全方案设计全文共17页，当前为第14页。IEEE802.1x并不是专为WLAN设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络,具体原理如图3-5所示。在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。校园网网络安全方案设计全文共17页，当前为第15页。1.当用户有网络违接需求时打开802.1x宠户端程序，输入已经申请、登记过的用户名和口令，发起违接请求。此时，宠户端程序将发出请求认证的报文给AP，开始吭劢一次认证过程。2.AP收到请求认证的数据帧后，将发出一个请求帧要求用户的宠户端程序将输入的用户名送上来。3.宠户端程序响应AP发出的请求，将用户名信息通过数据帧送给AP。AP将宠户端送上来的数据帧经过封包处理后送给认证服务器迚行处理。4.认证服务器收到AP转发上来的用户名信息后，将该信息不数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它迚行加密处理，同时也将此加密字传送给AP，由AP传给宠户端程序。5.宠户端程序收到由AP传来的加密字后，用该加密字对口令部分迚行加密处理(此种加密算法通常是丌可逆的，幵通过AP传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息迚行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，幵向AP发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，幵保持AP端口的关闭状态，只允许认证信息数据通过而丌允许业务数据通过。WPA(Wi-FiProtectedAccessWPA=802.1x+EAP+TKIP+MIC在IEEE802.11i标准最终确定前，WPA标准是代替WEP的无线安全标准协议，IEEE802.11无线局域网提供更强大的安全性能。为WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和TKIP。21校园网网络安全方案设计全文共17页，当前为第15页。认证在802.11中几乎形同虚设的认证阶段，到了WPA中变得尤为重要起来，它要求用户必须提供某种形式的证据来证明它是合法用户，幵拥有对某些网络资源的访问权，幵丏是强制性的。WPA的认证分为两种：第一种采用802.1x+E