校園網路管理機制經驗分享.ppt

1、校園網路管理機制經驗分享,報告人：陳昱仁,報告大綱,長庚大學簡介 校園網路架構說明 線路備援機制規劃 網路管理機制說明 郵件系統架構說明 網管面對的挑戰,長庚大學簡介,沿革,本校創立於民國76年4月，原名為長庚醫學院 於82年更改校名為長庚醫學暨工程學院 於86年8月起正式改制為長庚大學 目前全校設置有醫學、工學、管理等三個學院 現有專任教師527人、兼任教師372人、學生6525人、職員164人，師生比約1:11,校訓,勤勞樸實是台塑企業的創業精神，也是台塑企業所創設三所學校的共同校訓及教育理念 由於是企業辦學，本校創辦人以他對此傳統美德身體力行和從根本作起的成功經驗，期勉三校學子勤勉奮發，

2、務實穩健,組織架構,校地與校舍建築,本校現有校地37.13公頃，現有校舍包括第一醫學大樓、工學大樓、管理大樓、第二醫學大樓、學生宿舍（五棟）、職員宿舍、學生活動中心、圖書館以及95學年度完成之第三學生宿舍（明德樓）等十三棟，每位學生平均校地面積65.1平方公尺,第一醫學大樓、工學大樓、管理大樓,學生宿舍、學生活動中心、運動場,校區平面配置圖,網路使用人數,95學年度全校之師生人數約八千人 加上長庚技術學院八千五百人 共約一萬六千五百人,頻寬分配狀況,中央研究院出口(TANet) -供國內網路存取 OC-48一條：2.5Gbps (上傳/下載) 中華電信出口(HiNet)-供國外網站存取(WWW

3、) ADSL五條：1.5Mbps*5=7.5Mbps(下載) +512Kbps*5=2.5Mbps(上傳) 中華電信出口(HiNet)-圖書館期刊特定需求服務 ADSL一條：1.5Mbps(下載)+512Kbps(上傳),節點與網段數量,節點數量現況 一萬四千多個節點 網段數量現況 包含實體與虛擬子網段以及企業網段有兩百多個子網段,符合教育部校園網路使用規範,明訂多項使用規範 教育部校園網路使用規範 校園網路使用管理辦法 WWW Server使用規則 宿舍網路使用規則 E-mail使用規則 網頁管理辦法 電腦教室使用管理辦法 .tw/ic/internet/i

4、nternet.htm,校園網路架構說明,TANET backbone Architecture,中央 RNC,中興 RNC,中正 RNC,成大RNC,中山 RNC,MOE,國家高速 電腦中心,交大 RNC,政大RNC,台北縣網,Other CityNetwork,KAO City Network,台大 RNC,固網業者之 Layer2網路,固網業者之 Layer2網路,固網業者之 Layer2網路,中央研究院,Taipei CityNetwork,桃園POI,新竹POI,嘉義POI,台南POI,LH GE*3,LH GE * 3,LH GE * 3,LH GE * 3,LH GE * 3,L

5、H GE * 3,LH GE * 1,LH GE * 1,LH GE*5,LH GE *3,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,STM-16*2,LH GE*1,TaiChungPOI,KAOPOI,TaipeiPOI,校園網路架構圖,醫學大樓,第三教學大樓,工學大樓,長庚技術學院,D 棟,6,（舊版）,宿網架構圖（舊版）,各棟大樓網路昇位圖,校園網路架構圖（新版）,宿網架構圖（新版）,重要網路設備,Cisco GSR 12000 連接中央研究院 Radware LinkProof 聯外

6、路徑備援 Foundry BigIron 15000 核心交換器 Foundry BigIron 8000 x 2 Foundry BigIron 4000 x 2 Cisco Router 6509 x 3 3com CoreBuilder 9000 Juniper NetScreen 5200 x 2 IP NAT轉換 威播XKeeper網路濾淨器 不當網頁過濾 威播Gigabit NetKeeper (GNK)入侵偵測防禦系統 x 2 Foundry ServerIron 400 HTTP流量重導 Cisco Router 7505 ADSL流量分配 ISS G2000入侵偵測防禦系統

7、x 2,機房規劃,電力 50KVA及20KVA之不斷電系統(UPS)所組成 空調 二台15T之冷氣機 消防 神龍HFC-227ea(FM-200)自動滅火系統（氣體性滅火藥劑），無污染無毒性,線路備援機制規劃,對校內各大樓,BigIron 15000,GSR 12000,ADSL ATUR,Cache Server,體育館,工學大樓,女生宿舍 BigIron 4000,男生宿舍,第一醫學大樓,長庚技術學院,Netscreen 5200,Netelligent For sflow,管理大樓,頻寬整合/負載 平衡器,對校外ISP線路,中央研究院,ADSL,BGP,網路骨幹雙備援路由架構,對外線路的

8、分流及備援機制,GSR 12000,LinkProof,ADSL ATUR,Layer 3 的路由備援機制處理,VRRP,Standby,Active,BigIron 15000,BigIron 8000,Trunk,整個核心交換器達到AA備援,VRRP,Active,Active,BigIron 15000,BigIron 8000,VRRP,Trunk,IEEE 802.1s,網路管理機制說明,校園簡易網路架構圖,工學院,管理大樓,醫學大樓,第二醫學,女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen

9、(NAT),資中機房 Link Proof,資中機房 GSR,中研院 機房,資中機房 Net Screen (NAT),第三宿舍,流量統計圖,網路使用流量表 (MRTG) 針對router及switch .tw/ic/internet/mrtg.htm 即時流量分析 (GenieNTC 2103) 統計項目包括：全校對校外流量、各子網路對校外流量、學生宿舍流量等 0,前128名IP Address使用量,每日總量分析 0 統計本校對外前128名IP Address使用量(IN/OUT)並可

10、查詢歷史資料 對於流量過大者鎖卡，並通知相關系所單位提出說明,工學院,管理大樓,醫學大樓,第二醫學,女生宿舍,男生宿舍,中研院 機房,第三宿舍,入侵偵測系統,入侵偵測系統,流量管制系統,Session 鎖卡系統,資中機房 核心交換器 Cisco 6509,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen (NAT),資中機房 Link Proof,資中機房 GSR,資中機房 Net Screen (NAT),校園網路管制機制,現有管制措施 Nat 鎖卡系統 鎖卡7天 Session 1000 Port scan 100 次 IDP入侵偵測 防止病毒及阻擋P2P 流量管

11、制系統 管制每人單日流量 5G 偵測異常流量 阻擋異常過多連線 Session及主機連線數過多,校園網路管制機制,校園網路管制機制-NAT鎖IP系統,女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen (NAT),第三宿舍,傳送LOG檔至鎖IP系統,鎖IP系統 分析LOG檔,Session 1000 Port Scan 100,依照來源IP登入該棟核心交換器鎖該IP,校外IP Session 1000,資中機房 GSR,依照IP登入GSR鎖該IP,校園網路管制機制-NAT鎖IP系統,同時連線數之即時管制,處理由NetScreen 5200產生之sys

12、log（程式由本校自行開發） Src IP session limit NS-5200: NetScreen device_id=NS-5200 Rootsystem-critical-00033: Src IP session limit! From 2:3480 to 38:9739, proto TCP (zone Trust, int ethernet2/25). Occurred 4 times. (2006-05-12 12:43:10) 該IP可能因中毒或不當使用P2P軟體造成同時連線數過多 以Static ARP設定在該大樓的Cor

13、e Switch上鎖IP，七天後自動解除 Dst IP session limit NS-5200: NetScreen device_id=NS-5200 Rootsystem-critical-00430: Dst IP session limit! From 35:2487 to 7:8081, proto TCP (zone Untrust, int ethernet2/26). Occurred 1 times. (2006-05-08 10:55:37) 該IP可能遭受來自校外之DDoS攻擊 以ACL設定在出口之GSR上鎖IP，該IP

14、仍可使用校內網路，但無法連出校外，每兩小時會reset一次,校園網路管制機制-NAT鎖IP系統,校園網路管制機制-IDP入侵偵測,女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,資中機房 Net Screen (NAT),第三宿舍,Link Proof,GSR,IDP入侵偵測系統,偵測到病毒,進行阻擋,偵測到病毒,進行阻擋,IDP管理系統,IDP入侵偵測系統,通知,通知,校園網路管制機制-IDP入侵偵測,校園網路管制機制-流量管制系統,女生宿舍,男生宿舍,資中機房 核心交換器 Cisco 6509,第三宿舍,流量超過 5 G,流量統計系統,單一IP流量 5G,資中機房 行政區

15、核心交換器,單一IP流量 5G,Link Proof,GSR,校園網路管制機制-流量管制系統,廣告信及網路攻擊行為處理機制,校內公用之mail server已限制長庚所屬IP才能寄信 若有被抱怨管理不善之主機（例：open relay或中CodeRed、Nimda病毒），資訊中心會立即通知該IP所屬單位網管人員處理；若該單位未即時處理，則再次通知時將副知該單位主管，必要時由資訊中心管制該IP連接TANet 限制虛擬網段無法架設SMTP Server 使用Layer3-Layer7 switch（Foundry ServerIron 400）可將CodeRed及Nimda 攻擊導入專用收納主機作

16、隔離 目前正在建置兩台In-line IDP (ISS Proventia G2000-E),色情及不當資訊過濾機制,過濾機制 不論使用者瀏覽器是否設定Proxy，透過Layer4 Switch將所有使用者的HTTP request先行導入網路過濾器，在網路過濾器中建立教育部提供的數十萬筆不當資訊網址，並且經常更新資料庫，以保持最新最有效的過濾能力,郵件系統架構說明,郵件系統架構,垃圾信（廣告信）處理,Spam Mail：廣告或垃圾郵件 本校處理方式 Access方式Discard Dynamic IP 灰名單(Greylist)機制，過濾程式大量寄信 以MailScanner進行掃毒及過濾垃

17、圾郵件 以ClamAV針對郵件內容進行掃毒 以SpamAssassin針對郵件內容判斷垃圾郵件 郵件標題加註*SPAM*作為區分,Access Filter,/etc/mail/access 將動態IP主機所寄來的信件，採用Discard方式，無聲無息將郵件刪除丟棄，不採用Reject，以免退信造成郵件主機負擔 EX: mailserver.idv.tw DISCARD .tw DISCARD .tw DISCARD DISCARD DISCARD,灰名單(一),Greylist概念：由於SPAM業者所擁有名單均為蒐集而來，不具可靠度，因此SPAM 所用的 MTA (Mail Transfer

18、 Agent) 寄信之後就不管遠方的 mail server 有沒有收到它所寄的信，以免造成郵件主機處理退信負擔；相反的，標準的 MTA 如果它寄信之後發生錯誤，它會保留信件，隔一段時間後重新寄送這封信到遠方的 mail server,灰名單(二),Greylist方法：第一次收到郵件就先拒絕這封郵件，等一段時間之後，如果又收到同樣的郵件就接收這封郵件 本校測試的結果 grey listing 約可以攔截 70% 的 SPAM 剩餘30%的使用SpamAssassin處理,GreyList處理流程,MailScanner,MailScanner是一個郵件通訊閘(Mail Gateway)的程式，並可以外加上掃毒引擎及廣告信判斷引擎來增加其過濾功能 MTA在接收到電子郵件後會都給MailScanner處理，MailScanner