XX校园智慧网络建设网络安全设计

XX校园智慧网络建设网络安全设计XX校园智慧网络建设网络安全设计全文共8页，当前为第1页。XX校园智慧网络建设网络安全设计XX校园智慧网络建设网络安全设计全文共8页，当前为第1页。设备级安全功能设备级可靠性主要从设备自身可靠性，网络中的核心层交换机需要具备关键的可靠性技术：可靠性指标必须达到99.99%。所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。网络核心设备无源背板，采用无源器件的背板，可靠性更高。网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。为避免因病毒、蠕虫等引起的网络泛洪对网络设备造成CPU升高等影响网络的情况出现，所有设备应具备CPU保护技术来避免异常流量和攻击流量对设备可靠性的威胁。安全策略部署透明，不影响设备和网络性能，不影响业务和用户体验基于上述要求，选择的核心交换机支持多种硬件的安全防护技术，主要包括：引擎切换数据不间断转发、电源冗余、业务模块热插拔、防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR等。通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护，保证在处理安全问题的同时依然不影响网络正常数据的转发。建议选择的全系列交换机具备的硬件CPU保护功能（CPP）可实现对CPU的自动硬件防护机制，保证设备不会因为协议攻击而宕机。同时交换机上具备的SPOH技术（基于硬件的同步式处理），在线卡的每个端口上利用FFP硬件进行安全防护和智能保障，各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配（LPM）技术解决了“流精确匹配”的缺点，支持一个网段使用一个硬件转发表项，杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU参与“一次路由”的效率影响，在路由转发前形成路由表项，避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率，而且保障设备在病毒和攻击环境下的稳定运行。防ARP攻击设计作为攻击源的主机伪造一个ARP数据包，此ARP包中的IP与MAC地址对同真实的IP与MAC对应关系不同，此伪造的ARP包发送出去后，网内其它主机根据收到的ARP包中的SENDER’S字段，ARP缓存被更新，被欺骗主机或网络设备的ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机或网络设备访问特定IP的数据包将不能被发送到真实的目的主机或网关，目的主机或网关不能被正常访问。防ARP欺骗设计在宿舍区接入交换机上开启ARP-CHECK功能，提取ACE中的IP+MAC资源，形成新的ACEXX校园智慧网络建设网络安全设计全文共8页，当前为第2页。资源（ARP报文过滤），对经过交换机的ARP报文进行检验，对交换机绑定表中存在的ARP表项进行放行，对非法的ARP报文直接丢弃，从而实现防ARPXX校园智慧网络建设网络安全设计全文共8页，当前为第2页。交换机IP防扫描设计众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的网络通讯无法进行。而且，互联网上扫描的工具多如牛毛。为此，方案中的三层核心交换机提供了防扫描的功能，用以防止黑客扫描和类似“冲击波病毒”的攻击，以减轻三层交换机的CPU负担。目前发现的扫描攻击有两种：目的IP地址不断变化的扫描，“scandestipattack”。这种扫描攻击是最危害网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起手工具。目的IP地址不存在的扫描，“samedestipattack”。这种攻击主要是通过增加交换机CPU的负担来实现的。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源；而如果目的IP地址不存在，那么交换机CPU会定时去尝试连接，如果存在大量的这种尝试连接，也会消耗CPU资源。当然，这种攻击的危害比第一种小得多了。以上这两种攻击，核心交换机都可以通过在接口上调整相应的攻击阀值、攻击主机隔离时间等参数，来减轻其对网络的影响。另外，还可以根据网络中可监控的主机数，在全局模式下设置可监控攻击主机的最大值，以达到更好地保护系统的要求。防DOS/DDOS攻击近年来，各种DoS攻击（DenialofService，拒绝服务）报文在互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。针对这种情况，RFC2827提出在网络接入处设置入口过滤（IngressFilting），来限制伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生，因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击进入Internet；企业（校园网）的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。交换机采用基于RFC2827的入口过滤规则来防止DoS攻击，这种过滤是通过自动生成特定的ACL来实现，该过滤采用硬件实现而不会给网络转发增加负担。路由安全设计（1）路由认证和保护XX校园智慧网络建设网络安全设计全文共8页，当前为第3页。路由认证（RoutingAuthenticationXX校园智慧网络建设网络安全设计全文共8页，当前为第3页。任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5校验。MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。为了保证路由协议的安全，在路由协议配置时必须配置OSPF的认证，建议采用MD5认证。（2）关闭IP功能服务有些IP特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关闭这些IP功能的能力。IP源路由选项开关在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项，它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。并且，在分组到达目的地的过程中，把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构。因此，设备应能关闭IP源路由选项功能。重定向开关网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。因此，设备应能关闭ICMP重定向报文的转发。定向广播报文转发开关在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。ICMP协议的功能开关很多常见的网络攻击利用了ICMP协议功能。XX校园智慧网络建设网络安全设计全文共8页，当前为第4页。ICMP协议允许网络设备中间节点（路由器）向其它设备节点和主机发送差错或控制报文；主机也可用ICMPXX校园智慧网络建设网络安全设计全文共8页，当前为第4页。对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息，因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理，以减少ICMP对网络安全的影响。设备管理安全设计（1）只开放必要的网络服务网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。（2）网络管理认证 管理员认证应采用集中认证和本地认证相结合的方式，集中认证为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议，同时在设备上建立本地用户数据库，在Radius服务器不可用的情况下，使用本地数据库进行验证。在VTY和Console接口上启用管理认证，认证方式为集中认证和本地认证相结合。（3）Telnet接入安全TELNET是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保TELNET访问的合法性和安全性，我们需要注意：1.设置最大会话连接数；2.设置访问控制列表，限制TELNET的连接请求来自指定的源IP网段；3.尽量用SSH代替TELNET，采用SSH的好处是所有信息以加密的形式在网络中传输。（4）SNMP安全通过SNMP可以对设备进行全面的日常管理，为了提高SNMP管理的安全性，需要应注意以下几点：1.避免使用缺省的snmpcommunity，设置高质量的口令；2.不同区域的网络设备采用不同的snmpcommunity；3.把只读snmpcommunity和可读写snmpcommunity区分开来；4.配置ACL来限制能够通过SNMP访问网络设备的IP地址。汇聚嵌入式安全面对现在网络环境越来越多的网络病毒和攻击威胁，要求操作系统提供强大的网络病毒和攻击防护能力，网络硬件不仅提供了基于SPOH技术的ACL功能，而且还支持防源IP地址欺骗（SouceIPSpoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）XX校园智慧网络建设网络安全设计全文共8页，当前为第5页。等能力，从设XX校园智慧网络建设网络安全设计全文共8页，当前为第5页。因此对于局域网中，建议如下部署：在核心汇聚部署支持防源IP地址欺骗（SouceIPSpoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。接入安全控制在接入部署ACL，对冲击波、蠕虫等病毒进行防范已经生成数BPDU攻击、MAC攻击等二层攻击，使有害数据包在接入就被过滤。要求接入交换机具备完善的QoS以及强大的安全接入控制能力。具体要求如下：二至四层线速转发，二至七层智能识别：硬件全线速实现路由、ACL、QOS、带宽限制，全面提升用户体验；硬件实现端口与MAC地址和用户IP地址的绑定：不需要第三方设备或软件，仅通过设定访问交换机上某个端口的用户MAC地址和IP，就可硬件实现严格控制对该端口的用户输入，有效防止非法用户的接入。有效杜绝非法组播源：支持IGMP源端口检查功能，以及支持IGMP源IP检查功能，有效地杜绝非法的组播源播放非法的组播信息，更好地提高了网络的安全性。极灵活的基于流的带宽控制能力：具备MAC流、IP流、应用流等多层流分类和流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽限制粒度达64Kbps，支持网络根据不同的业务、以及不同业务所需要的服务质量特性，提供差异化服务完善的QoS：RG-S29E支持完善的QOS，以DiffServ标准为核心的QoS保障系统，支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；强大的安全接入控制能力：硬件本身即可实现端口与MAC地址和用户IP地址的绑定，另外和配合宽带认证计费管理系统可实现用户帐号与IP、MAC、交换机IP、端口、VlanID多元素的复合绑定。保证用户身份的合法性和唯一性，可以有效的避免IP地址冲突、帐号盗用等问题发生。通过PVLAN即可隔离用户信息互通：采用保护端口（即将该端口设为保护端口）实现端口之间相互隔离，不必占用VLAN资源。采用保护端口即保证用户信息安全，又节约VLAN资源，同时不必再修改VLAN配置，大大提高维护效率。多端口同步监控MSPAN：通过一个端口可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，有效提高监测效率。IP+MAC+端口绑定学生宿舍区的用户上网的安全性非常重要，要求接入交换机可以实现端口IP+MAC地址的绑定关系，可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。XX校园智慧网络建设网络安全设计全文共8页，当前为第6页。防止病毒广播泛洪XX校园智慧网络建设网络安全设计全文共8页，当前为第6页。要求接入交换机可实现广播报文的计数累计功能，往往一台主机受病毒时会发出大量的广播报文，交换机可实现对与进入报文的计数累计，广播病毒一般会在短时间内产生大量的广播包，通过可设置广播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭，确保网络的安全、稳定。入网用户身份认证基于802.1X的扩展的认证计费系统在用户第一次上网就必须认证，保证了用户上网的安全和合法性。防止对DHCP服务器攻击使用DHCPServer动态分配IP地址会存在两个问题：一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会分发非法地址给终端用户，造成用户无法使用网络，；二是用户DHCPSmurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。对于第一种情况，使用接入交换机的访问列表就可以实现防范：在安全接入交换机上定义一个访问列表，该访问列表允许目的IP地址为合法DHCP服务器（或这个网段的网关地址，部分三层交换机在DHCPrelay之后，DHCPsever的地址会替换成三层SVI的地址）、sourceport为67而destinationport为68的UDP报文通过。而其它sourceport为67而destinationport为68的UDP报文拒绝，之后把这个访问列表应用到上联物理端口上。同时再定义一个访问列表，拒绝sourceport为67而destinationport为68的UDP报文通过，并运用在下联端口。对于第二种情况，开启接入交换机的端口安全功能就可以实现防范。在接入交换机设置端口安全，可以根据网络的实际情况设置，设置某个端口下学习源MAC的个数，一旦学习到的源MAC地址大于设置值，那么数据帧就会在端口丢弃，同时发送警告信息通知网管员，或是逻辑上关闭该端口。如下图：XX校园智慧网络建设网络安全设计全文共8页，当前为第7页。XX校园智慧网络建设网络安全设计全文共8页，当前为第7页。而对于用户手工设置静态IP地址，造成和已分发的动态IP地址冲突，可以通过认证系统指定用户只能采用DHCP获取IP。多元素绑定技术构筑高安全校园网IP地址、MAC地址、接入交换机端口、以及接入交换机IP、身份信息、是标识网络用户的基本元素，而单一的元素无法为管理员来标识一个用户，而网络安全被利用最多还是MAC、IP地址等。MAC地址欺骗将合法的MAC地址修改成不存在的MAC地址或其他人的MAC地址，从而达到隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC地址欺骗。MAC地址泛洪攻击交换机由于交换机内部的MAC地址表空间是有限的，正常情况下，这些MAC地址表是足够用的，一般情况下，基本不会发生MAC地址表被占满的情况。但如果有人恶意对这台交换机进行MAC地址泛洪攻击的话，则会很快占满交换机内部MAC地址表，使得本来交换机本来是按单播进行转发数据包的，但由于MAC地址表已经被占满了，所有的交换机的端口都在一个广播域里了，因此交换机转发数据包的机制变成了广播了。因此交换机变成了一个Hub，因此别的端口可以收到所有的其他端口的数据，因此用户的信息传输也没有安全保障了。IP地址随意更改手工更改用户自己的IP地址，这使得原本分到该IP地址的合法用户无法正常上网，同时也将导致整个网络的IP地址管理混乱。非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，这样就可以逃避网管的追查，“堂而皇之”的攻击对方了。因此根据以上安全的情况，我们建议采用认证系统的绑定功能，对宿舍网用户进行管理。通过认证系统(AA