某校园网络安全方案设计 (3) 2009-12-10 09:06:18 www.hackbase.com 来源:神秘小强 转载请注明出处 : 本文转自 神秘小强's blog 原文链接:http://www.smxiaoqiang.cn/blog/272.html 第一章、某校园网方案设计原则与需求1.1设计原则1. 充分满足现在以及未来3- 5年内的网络需求,既要保证 ... 权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校 园网中传播网络病毒、黑客程序的通道。 2.4.3.2网络攻击的防范 本文转自 神秘小强's blog www.smxiaoqiang.cn 1、常见网络病毒的防范 对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的AC L,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这 种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。 2、未知网络病毒的防范 对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网 络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够 可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的 高可用性。 3、防止IP地址盗用和ARP攻击 通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全 规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有 效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造 成网络通讯混乱。 4、防止假冒IP、MAC发起的MAC Flood\SYN Flood攻击 通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现 端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址 进行网络的攻击,进一步增强网络的安全性。 5、非法组播源的屏蔽 锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的 进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会 把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频 流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被 视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全 网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组 播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络 带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实 用的特点,更加适用于校园运营网络大规模的应用环境。 6、对DOS攻击,扫描攻击的屏蔽 通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了 网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。 2.4.3.3事后的完整审计 当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个 IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什 么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确 定该用户的身份,便于了事情的处理。 2.5网络管理设计 网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理 网络用户管理见网络运营设计开户部分 2.5.2网络设备管理 网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决 问题的思路: 1、网络现状及故障的自动发现和了解 STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私 自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。 对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大 ,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。 2、网络流量的查看 STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故 障的定位提供了丰富的数据支持。 3、网络故障的信息自动报告 STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告 警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故障排除提供 了丰富的信息。 4、设备面板管理 STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口
