校园网外网安全防范措施浅谈

校园网外网安全防范措施浅谈摘要随着计算机网络的不断发展和普及，计算机网络给我们带来了无穷的资源，但随之而来的网络安全问题也显得尤为重要，为了更好的解决上述问题，确保信息网络安全，企业应建立完善的安全保障体系该体系包括网络安全技术防护和网络安全管理两方面。本文重点介绍了校园网络信息外网建设方案，并提出了一些外网安全防范措施。关键词计算机网络；安全；外网；防范措施AbstractWiththecontinuousdevelopmentandpopularizationofthecomputernetwork,computernetworkhasbroughtusendlessresources,buttheattendantissueofnetworksecurityisparticularlyimportantinordertobetteraddresstheseissues,toensurethesecurityofinformationnetworks,theenterpriseshouldestablishasoundsecuritysystemandthesystemincludestwoaspectsofnetworksecurityprotectionandnetworksecuritymanagement.Thispaperfocusesonthecampusnetworkinformationnetworkconstructionprogram,andmadeanumberofexternalnetworksecuritymeasures.KeywordsComputernetwork;security;externalnetwork;precautions中图分类号：TN711文献标识码：A文章编号：1校园网外网现状1.1网络架构目前我校每个办公室都铺设了信息外网结点，信息结点由楼层接入交换机连接到核心交换机。然后再通过外网边界处部署的防火墙，通过VPN通道统一出口访问互联网。1.2网络设备型号核心交换机：H3C3600防火墙：FW4120校园网接入路由器：H3C5060楼层交换机：cisco29501.3现有网络安全配置为了做好我校信息外网安全工作，我校统一安装部署了卡巴斯基杀毒软件并定期更新、扫描，同时在信息外网的边界处部署了防火墙、由学校统一加强互联网出口、病毒木马、网络行为分析与流量监控来抵御来自外部网络的安全威胁，在这些设备、软件的严密监控下，来自网络外部的安全威胁大大减小，而对来自网络内部的计算机客户端的安全威胁所作的安全管理措施不够，安全威胁较大。而且来自信息外网的威胁，也可能通过U盘等传播到信息内网，使信息内网同样面临安全威胁。为了抵御内部威胁防止未授权计算机的接入，最初我们只是在H3C3600核心交换机上做了IP、MAC地址绑定，这种配置方式虽然在一定程度上可以减少非法接入和ARP欺骗攻击但仍存在一定的缺陷，因为MAC地址可以伪造，非法用户可以利用绑定列表中的IP并虚拟与该IP绑定的MAC地址，通过任意一个办公室的信息结点连接外网。因此，最初所做的绑定策略是较低级别的授权认证。2校园网信息外网安全防范措施为了解决单纯在核心交换机上进行IP、MAC地址绑定存在的缺陷，严格限制非法设备接入，同时做好外网信息安全工作，制定以下防范措施：2.1核心交换机上执行端口+IP+MAC地址绑定策略在核心交换机上，对在用的每一个端口进行端口+IP+MAC地址的绑定，实现在固定端口只允许固定IP和MAC地址的访问，对于未使用的端口全部关闭。由于对每个在用的端口进行绑定并有严格限制，而未使用的端口全部关闭，所以在一个端口绑定的PC使用该IP地址和MAC地址也不可以在其他端口上网。在核心交换机上对端口、IP、MAC地址进行绑定，可以严格控制非法网络接入，但是由于只是在核心交换机上进行限制，而终端计算机不是直接接入核心交换而是通过接入交换机进行接入，该方法虽然可以限制网络访问，但同一接入交换机直接相连的终端或不同接入交换机相连的终端仍然可以通信，且会产生不必要的网络流量，对网络仍产生一定的威胁，所以我们可以采用基于核心、接入交换的两级绑定管理。2.2基于核心、接入交换机的两级绑定管理我们保留最初在核心交换机上做的IP、MAC地址绑定，同时在接入层交换机上对每个端口绑定固定的一个MAC地址，且每个端口只允许一个MAC地址通过。这样，在接入层交换机上可以实现对终端计算机的一级MAC地址过滤管理，严格控制网络接入设备，同时减少非法接入设备产生的不必要的流量；在核心交换机上实现对终端设备的二级IP管理，每个MAC地址只能使用特定的IP，防止终端私自更改IP，做好IP地址管理工作。通过此配置，可以实现基于核心、接入交换机的两级绑定管理，即从源头上，通过接入层一级管理严格控制终端计算机非法接入，同时对核心交换层进行二级管理防止私自更改IP，做好IP地址维护管理工作。2.3基于CAMS的身份认证机制针对目前越来越复杂的网络环境，CAMS身份认证服务机制从企业用户的网络接入控制入手，可以统一管理网络中用户的身份、权限信息，通过严格的身份认证、安全状态评估和终端准入控制功能，解决企业网用户接入控制的问题，可以大幅度提升企业网络的安全性和可管理性。CAMS服务器与H3C系列路由器和交换机的协同配合，可以稳定、高效地完成对网路接入用户的安全认证、授权和管理，满足企业的高安全和可管理的需求。2.3.1基于CAMS身份认证的组网结构此结构需要通过配置路由器实现Radius服务器对登录路由器的用户进行认证。Radius服务器可使用H3C的CAMS服务器，CAMS与核心交换机相互配合，以保证安全性。CAMS配置需要以系统管理员admin的权限登录CAMS配置台，以界面的形式进行接入设备信息和策略的配置，实现设备用户管理功能，这里只需在CAMS配置管理平台进行简单配置即可。2.3.2可以实现的功能（1）用户信息统一管理：利用CAMS强大的身份认证对设备管理用户信息（用户名，密码，设备服务类型和访问权限等）进行统一认证管理，提高网络的可维护性。（2）增加了绑定技术：可以将用户的帐号和IP、MAC、VLAN、设备的端口等元素绑定在一起。每次认证的时候不仅确认用户名和密码，还需认证其IP或MAC，甚至是VLAN和端口号。当用户数量很多时这时只需启动自动绑定功能，CAMS可以自动学习用户第一次上网时的IP和MAC并做相应绑定。这样一来不仅完善了对用户合法身份识别的方法，更提高了网络的安全性。（3）在线用户控制：CAMS提供具体的用户在线信息，如帐号、IP、MAC、端口、时间、流量等，并可实施强制下线，减少非法用户和中毒计算机对网络的危害。2.4加强病毒防范为了能有效地预防并清除病毒，必须建立起有效的病毒防范体系，这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施，建立病毒预警机制，以提高对病毒的反应速度，并有效加强对病毒的处理能力。我校目前安装的主要安全软件有网络版卡巴斯基和360安全卫士。2.5加强工作人员的网络安全培训，培养用户的信息安全意识要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理，加强工作人