校园网络安全整体解决方案

1、校园网络安全整体解决方案校园网络安全整体解决方案（此文档为 word格式，下载后您可任意修改编辑！）目录 TOC o 1-5 h z HYPERLINK l bookmark7 o Current Document 第1章项目概述3.1.1校园网网络环境 2:校园网网络安全需求 3 HYPERLINK l bookmark10 o Current Document 第2章设计原则4.2.1实用性与经济性4.2.2扩展性与兼容性4.2.3安全性与可维护性 5.2.4整合型好6. HYPERLINK l bookmark13 o Current Document 第3章需求分析.6

2、. HYPERLINK l bookmark16 o Current Document 第4章项目网络安全解决6.4.1网络架构图.6.4.2网络病毒的防范 7.4.3防止IP、MAC地址的盗用 84.4安全事故发生时候，需要准确定位到用户 94.5用户上网时间的控制 9.4.6用户网络权限的控制.104.7各种网络攻击的有效屏蔽 104.8对DOS攻击，扫描攻击的屏蔽144.9网络设备管理1.4第1章项目概述1.1校园网网络环境校园网的内部网一般由办公网、机房、教室等多个网络组成。采 用三层核心交换机为这些网段提供 VLAN划分，该交换机级连多个工 作组级的交换机用于桌面工作站接入。同时三层

3、核心交换机提供连接 到教育网的 WAN (10/100M)链路，作为校园网的外网出口。而且 WWW、MAIL等服务器也直接连接到了三层核心交换机中。校园网 内部网运行着办公业务系统、多媒体教学等等多种业务系统。1.1.12:校园网网络安全需求校园网网络安全系统是一个要求高可靠性和安全性的网络系统， 若干重要的公文信息在网络传输过程中不可泄露，如果数据被黑客修 改或者删除，那么就会严重的影响工作。所以校园网网络安全系统安 全产品的选型事关重大，一旦被遭受黑客攻击病毒的侵袭，将会给该 学校正常的教学及业务带来严重的影响。 该校园网网络安全系统方案 必须遵循如下原则：全局性原则：安全威胁来白最薄弱的

4、环节，必须从全局出发规划 安全系统。设计时需考虑统一管理的原则。综合性原则：网络安全不单靠技术措施，必须结合管理，当前我 国发生的网络安全问题中，管理问题占相当大的比例，因此建立网络 安全设施体系的同时必须建立相应的制度和管理体系。均衡性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。节约性原则：整体方案的设计应该尽可能的不改变原来网络的设 备和环境，以免资源的浪费和重复投资。第2章设计原则2.1实用性与经济性实用性就是能够最大限度地满足实际工作的要求，是每个系统平 台在搭建过程中必须考虑的一种系统性能，它是对用户最基本的承 诺。办公白动化硬件平台

5、是为实际使用而建立，应避免过度追求超前技术而浪费投资。2.2扩展性与兼容性系统设计除了可以适应目前的应用需要以外， 应充分考虑日后的 应用发展需要，随着数据量的扩大，用户数的增加以及应用范围的拓 展，只要相应的调整硬件设备即可满足需求。 通过采用先进的存储平 台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同 时考虑整个平台的统一管理，监控，降低管理成本2.3安全性与可维护性随着应用的发展，系统需要处理的数据量将有较大的增长， 并且 将涉及到各类的关键性应用，系统的稳定性和安全性要求都相对较 高，任意时刻系统的安全隐患都可能给用户带来不可估量的损失。网络安全应具有以下五个方面的特征：

6、保密性：信息不泄露给非授权用户、实体或过程，或供其利用 的特性。完整性：数据未经授权不能进行改变的特性。 即信息在存储或 传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。 即当需要时 能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系 统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。可审查性：出现的安全问题时提供依据与手段从网络运行和管理者角度说，他们希望对本地网络信息的访问、 读写等操作受到保护和控制，避免出现 陷门”、病毒、非法存取、拒 绝服务和网络资源非法占用和非法控制等威胁， 制止和防御网络黑客 的攻击。对

7、安全保密部门来说，他们希望对非法的、有害的或涉及国 家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生 危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络 上不健康的内容，会对社会的稳定和人类的发展造成阻碍， 必须对其 进行控制。2.4整合型好当前采用企业级的域控制管理模式，方便对所有学校内所有终端 用户的管理，同时又可以将学校里计算机的纳入管理范围， 极大地降 低了网络维护量，并能整体提高当前网络安全管理！第3章需求分析网络病毒的防范防止IP、MAC地址的盗用IP、MAC地址的盗用安全事故发生时候，需要准确定位到用户的原因安全事故发生时候，不能准确定位到用户的影响学生用户

8、上网时间的控制用户网络权限的控制各种网络攻击的有效屏蔽身份认证完整审计第4章项目网络安全解决4.1网络病毒的防范病毒产生的原因：某校园网很重要的一个特征就是用户数比较 多，会有很多的PC机缺乏有效的病毒防范手段，这样，当用户在频 繁的访问INTERNET的时候，通过局域网共享文件的时候，通过 U 盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上 病毒后，他会向校园网的每一个角落发送，发送给其他用户，发送给 服务器。病毒对校园网的影响：校园网万兆、千兆、百兆的网络带宽都被 大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公平 台不能使用；资源库、VOD不能点播；INTERNE

9、T上不了，学生、 老师面临着看着丰富的校园网资源却不能使用的尴尬境地。4.2防止IP、MAC地址的盗用IP、MAC地址的盗用的原因：某校园网采用静态 IP地址方案， 如果缺乏有效的IP、MAC地址管理手段，用户可以随意的更改IP地 址，在网卡属性的高级选项中可以随意的更改 MAC地址。如果用户 有意无意的更改白己的IP、MAC地址，会引起多方冲突，如果与网 关地址冲突，同一网段内的所有用户都不能使用网络； 如果恶意用户 发送虚假的IP、MAC的对应关系，用户的大量上网数据包都落入恶 意用户的手中，造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响：在用户看来，校园网络 是一个很不可靠是会

10、给我带来很多麻烦的网络，因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源，而且，用户在正常工作和学习时候，白己的电脑上会经常弹出 MAC地址冲突的对话 框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏， 用户会尽量减少网络的使用，这样，学生、老师对校园网以及网络中 心的信心会逐渐减弱，投入几百万的校园网也就不能充分发挥其服务 于教学的作用，造成很大程度上的资源浪费。4.3安全事故发生时候，需要准确定位到用户安全事故发生时候，需要准确定位到用户原因：国家的要求：2002年，朱错基签署了282号令，要求各大INTERNET运营机构（包括高校）必须要保存60天的用户上网记

11、录， 以待相关部门审计。校园网正常运行的需求：如果说不能准确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校园网变成黑客”娱乐的天堂，更严重的是，如果当某个学生在校外的某个站点发布了大 量涉及政治的言论，这时候公安部门的网络信息安全监察科找到我们 的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。安全事故发生时候，不能准确定位到用户的影响：一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传 播，上级主管部门会对学校做出处理； 同时也会大大降低学校在社会 上的影响力，降低家长、学生对学校的满意度，对以后学生的招生也 是大有影响的。4.4用户上网时间的控制无法

12、控制学生上网时间的影响：如果缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会旷课。学生家长会 对学校产生强烈的不满，会认为学校及其的不负责任，不是在教书育 人。这对学校的声誉以及学校的长期发展是及其不利的。4.5用户网络权限的控制在校园网中，不同用户的访问权限应该是不一样的，比如学生 应该只能够访问资源服务器，上网，不能访问办公网络、财务网络。 办公网络的用户因该不能访问财务网络。因此，需要对用户网络权限进行严格的控制。4.6各种网络攻击的有效屏蔽校园网中常见的网络攻击比如 MAC FLOOD、SYN FLOOD、 DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、

13、非 法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大 量的广播报文，这些攻击的存在，会扰乱网络的正常运行，降低了校 园网的效率。安全到边缘的设计思想 用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在 用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无 疑是达到更好的效果。全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全， 安全不是某一个设 备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作， 形成一个全民皆兵的网络，最终从全局的角度把控网络安全。全程安全的设计思想用户的网络访问行为可以分为三个阶段，包括访问网络前、访问 网络的时候、访问网

14、络后。对着每一个阶段，都应该有严格的安全控 制措施。某校园网网络安全方案锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点， 从三个方面实现网络安全：事前的准确身份认证、事中的实时处理、 事后的完整审计。事前的身份认证对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份 验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的 MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的 端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑 定，可以达到如下的效果：每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用.当安全事故发生的时候，只要能够发现肇事

15、者的一项信息比如IP地址，就可以准确定位到该用户，便于事情的处理。只有经过网络中心授权的用户才能够访问校园网，防止非法用户 的非法接入，这也切断了恶意用户企图向校园网中传播网络病毒、黑 客程序的通道。网络攻击的防范1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL,能够对这些病毒所使用的 TCP、UDP的端口 进行防范，一旦某个用户不小心感染上了这种类型的病毒， 不会影响 到网络中的其他用户，保证了校园网网络带宽的合理使用。2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制 功能，为不同的网络应用分配不同的网络

16、带宽， 保证了关键应用比如 WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产 生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP 和源MAC是否和端口安全规则一致，如果不一致，视为更改了 IP 地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP （如服务器），造 成网络通讯混乱。4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命 令就

17、可以实现）。并实现端口反查功能，追查源 IP、MAC访问，追 查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击， 进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持IMGP源端口检查，实现全网杜绝非法组播源，指严 格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任 何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端 口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才 是合法的，交换机把它们转发向已注册的端口； 而从非路由连接口进 入的视频流被视为是非法的，将被丢弃。锐捷产品支持IGMP源端口 检查，有效控制非法组播，实现全网杜绝非法组播

18、源，更好地提高了 网络的安全性和全网的性能，同时可以有效杜绝以组播方式的传播病 毒.在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是 网络带宽合理的分配所必须的。同时IGMP源端口检查，具有效率更 高、配置更简单、更加实用的特点，更加适用于校园运营网络大规模 的应用环境。4.7对DOS攻击，扫描攻击的屏蔽通过在校园网中部署防止 DOS攻击，扫描攻击，能够有效的避 免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受 到此类攻击时导致的网络中断。事后的完整审计当用户访问完网络后，会保存有完备的用户上网日志纪录， 包括 某个用户名，使用那个IP地址，MAC地址是多少，通过那一台交换

19、 机的哪一个端口，什么时候开始访问网络，什么时候结束，产生了多 少流量。如果安全事故发生，可以通过查询该日志，来唯一的确定该 用户的身份，便于了事情的处理。4.8网络设备管理网络设备的管理通过STARVIEW实现，主要提供以下功能，这些功 能也是我们常见的解决问题的思路：1、网络现状及故障的白动发现和了解STARVIEW 能白动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私白挂接的 HUB、交换机等设备能及时地发现， 提前消除各种安全隐患。对于网络中的异常故障，比如某台交换机的 CPU利用率过高，某条 链路上的流量负载过大，STARVIEW都可以以不同的颜色进行显示， 方便管理

20、员及时地发现网络中的异常情况。2、网络流量的查看STARVIEW在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息白动报告STARVIEW支持故障信息的白动告警，当网络设备出现故障时，会 通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信 息，这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便的登陆到设备上，进行配 置的修改，完善以及各种信息的察看5、RGNOS操作系统的批量升级校园网很大的一个特点就是

21、规模大，需要使用大量的接入层交换机， 如果需要对这些交换机进行升级，一台一台的操作，会给管理员的工 作带来很大的压力，STARVIEW提供的操作系统的批量升级功能，加大的较少能够很方便的一次对所有的相同型号的交换机进行升级, 了网络管理员的工作量。批皇Muji，段务升提 也号画瓯 三Dn 0 wiME 名麟. MSVIpublt骐4VgmnpubiicWpubltc盛LSI虹OC 13550-24 日敏哪 13550T2STMT叔知-mcsm 式12&SQ62J林酎I2.5.3网络故障管理 随着校园网用户数的增多，尤其是宿舍网运营的开始，用户网络故障 的排除会成为校园网管理工作的重点和难点，

22、传统的网络故障解决方 式主要是这样一个流程：上不了网？H打电话.去籍中心e ) *(.管.手通记受可 TOC o 1-5 h z -nALv河管员安排处理人员和酎间2J与翔户殃，上门处理尸k V _-j2.6流量管理系统设计网络中的流量情况是网络是否正常的关键，网络中大量的P2P软件的使用，已经对各种网络业务的正常开展产生了非常严重的影响，有的学校甚至因为P2P软件的泛滥，直接导致了网络出口的瘫痪。2.6.1方案一：传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件，从而达到控制流量的目的，这有三大弊端，第一：这些软件之所以有如此强大的生命力，是因为用户通过使 用这些软件的确能快速的获取各种有用的资源， 如果简单的通过禁止 的方式，用户的意见会非常的大，同时，各种有用的资源我们很难获 取。第二：各种新型的，对网络带宽消耗更大的应用软件也在不断的 出现。所谓道高一尺，魔高一丈，一味的封堵这些软件，我们永远处 于被动的局面，显然不能从根本上解决这个问题。第三：我们无法获取网络中的流量信息，无法为校园网的优化， 网络管理，网络故障预防和排除提供数据支撑。2.6.2方案二：锐捷的流量管理与控制方案锐捷网络的流量管理主要通过 RG-NTD+日志处理软件+RG-SAM系 统来