如何打造校园安全堡垒

1、最新资料推荐如何打造校园安全堡垒如何打造校园安全堡垒校园网接入互联网后，不可避免地受到来自病毒、黑客、恶意软件等方面的安全威胁。如何才能搭建好校园网的安全堡垒？请注意以下几个方面：ACL 访问控制策略 访问控制是安全防范和保护的主要策略， 主要任务是保证网络资源不被非法使用和非常访问。以笔者所在的淮阴师范学院校园网为例。淮阴师范学院校园网主干速率为1000M中 心交换为具有三层 路由 功能的Cisco Catalyst6509 交换机， 用Cisco3640路由器 作为边界路由上联CERNET江苏淮安主接点。为了减少安全隐患， 在Cisco3640上米取基于路由器安全策 略、公共服务器安全策略

2、和用户主机安全策略的报文过滤技术，其主要表现形式就是基于报文访问控制的路由访问控制列表ACL访问控制列表，如图1所示。公共服务器安全策略开放邮件服务器25端口：access-list 102 permit tcp any host 202. 195. x. 1 eq smtp 开放邮件服务器110端口：access-list 102 permit tcp any host 202. 195. x. 1 eq pop3 开放MAIL服务器与其他邮件服务器通讯端口：access-list 111 permit tcp any eq smtp host 202. 195. x.1开放WWV服务器80

3、端口:access-list102 permit tcp any host 202. 195. x. 2 eq www允许DNS服务器解析管辖域：access-list 102 permit tcp any host 202. 195. x. 3 eqdomai n拒绝外部用户对于邮件服务器其余端口的访问：access-list 102 de ny any host 202. 195. x. 1用户主机安全策略 拒绝全网络IP源地址：access-list 102 deny ip 0. 0. 0. 0 0. 255. 255. 255 any拒绝私有IP源地址：access-list 111

4、deny ip 192. 168. 0. 0 0. 0. 255. 255 any 拒绝回环IP源地址：access-list 111 deny ip 127. 0. 0. 0 0. 255. 255. 255 any 拒绝DHCP自定义IP源地址：access-list 111 deny ip 169. 254. 0. 0 0. 0. 255. 255 any 拒绝组播IP源地址：access-list 111 deny ip 224. 0. 0. 0 15. 255. 255. 255any 拒绝访问 135、137、138、139、445 和 593 端口， 用于 控制Blaster蠕虫

5、的扫描和攻击：access-list 111 deny tcp any any eq 135 access-list 111deny tcp any any eq 137 access-list 111 deny tcp any any eq 138 access-list 111 deny tcp any any eq 139 access-list 111 denytcp any any eq 445 access-list 111 deny tcp any any eq 593拒绝访问1434端口，用于控制Slammer蠕虫的传播：access-list 111 deny udp any

6、 any eq 1434允许内网用户主动对外建立连接后返回的数据包通过：access-list 111 permit tcp any any established IP地址防盗策略 在按照IP流量进行计费的CERNET网络中， 费用是按 IP地址进行统计收取的， 这使得IP地址盗用现象时有发生。为了有效防止IP盗用，笔者针对不同的IP盗用方法，在 不同的层次采用不同的方法。利用交换机端口单地址工作模式制止 IP地址盗用 在现今的 校园网络中， 应该都划分了 VLAN,所以用户单纯修改静态IP地 址的成功盗用也只能发生在同一 VLAN中。解决单纯修改静态IP地址的最有效的方法是在 TCP/IP

7、协议 栈的层次结构的第一层即链路层进行控制，利用交换机提供的端口单地址(MAC地址)工作模式，即交换机的每一个端口只允许一台 主机通过该端口访问网络，其他任何地址的主机的访问被拒绝。(config-if) #port secure max-mac-count 1 (config)#mac-address-table restricted static xxxx. xxxx. xxxx FastEthernet 0/1 (config) #address-violation disable如图 2所示，如果防止计算机A用户和B用户通过在交换机下挂接 HUB, 进而采取静态盗用其他合法用户计算机 IP地址的话， 可以通过将 2950交换机的Ethernet 0/1端口地址盗用采取的动作设为 disable 状态的话， 将由于端口单地址工作模式而导致 Ethernet0/1端口禁用，使得计算机 A与计算机 B均不能正常使用In ternet 。利用网络管理软件监控成对修改 IP-MAC地址并制止盗用行 为 成对修改IP-MAC地址的盗用形式采取在 TCP/IP协议栈层次结构 的第四层即应用层进行控制