1、校园网络安全方案设计班 级:学 号:设计人:李*设计日期:2010-12-22第一章、校园网方案设计原则与需求1.1 设计原则1. 充分满足现在以及未来 3-5 年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2. 强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键3. 在满足学校的需求的前提下,建出自己的特色1.2 网络建设需求网络的稳定性要求 整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求网络高性能需求 整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻 认证计费效率高,对用户的认
2、证和计费不会对网络性能造成瓶颈网络安全需求 防止 IP 地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理 记录访问日志提供完整审计网络管理需求 需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理第二章、校园网方案设计2.1 校园网现网拓扑图整个网络采用二级的网络架构:核心、接入。核心采用一台 RGS4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用 RG-WALL1200 防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。2.
3、2 校园网设备更新方案方案一:不更换核心设备核心仍然采用锐捷网络 S4909 交换机,在中校区增加一台 SAM 服务器,部署SAM 系统,同时东校区和西校区各用 3 台 S2126G 替换原有 S1926F+,其中汇聚交换机各采用一台新增的 S2126G,剩余的两台 S2126G 用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台 S2126G 做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。方案二:更换核心设备核心采用一台锐捷网络面向 10 万兆平台设计的多业务 IPV6 路由交换机 RG-
4、S8606,负责整个校园网的数据转发。在中校区增加一台 SAM 服务器,部署 SAM系统,同时东校区和西校区各用 3 台 S2126G 替换原有 S1926F+。将原有的S4909 放到东校区做为汇聚设备,下接三台 S2126G 实现安全控制,其它二层交换机分别接入相应的 S2126G。西校区汇聚采用一台 S2126G,剩余两台 S2126G用于保护重点机器,其它交换机接入对应的 S2126G。中校区的网络结构也做相应的调整,采用现有的两台 S2126G 做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。2.3 骨干
5、网络设计骨干网络由 RG-S8606 构成,核心交换机 RG-S8606 主要具有 5 特性:1、骨干网带宽设计:千兆骨干,可平滑升级到万兆整个骨干网采用千兆双规线路的设计,二条线路通过 VRRP 冗余路由协议和OSPF 动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。2、骨干设备的安全设计:CSS 安全体系架构3、CSS 之硬件 CPPCPP 即 CPU Protect Policy,RG-S8606 采用硬件来实现,CPP 提供管理模块和线卡 CPU 的保护功能,对发往 CPU 的数据流进行带宽限制(总带宽、QOS 队列带宽、类型报文带宽),这样,对于
6、ARP 攻击的数据流、针对 CPU 的网络攻击和病毒数据流,RG-S8606 分配给其的带宽非常的有限,不会影响其正常工作。由于锐捷 10 万兆产品 RG-S8606 采用硬件的方式实现,不影响整机的运行效率4、CSS 之 SPOH 技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的 ACL 和 QOS 需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机 RG-S8606 通过在交换机的每一个用户端口上增加一个 FFP(快速过滤处理器),专门用来处理 ACL 和 QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在
7、非常复杂的网络环境中核心交换机的高性能。2.4 网络安全设计2.4.1 某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC 机缺乏有效的病毒防范手段,这样,当用户在频繁的访问 INTERNET 的时候,通过局域网共享文件的时候,通过 U 盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD 不能点播;INTERNET
8、 上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止 IP、MAC 地址的盗用IP、MAC 地址的盗用的原因:某校园网采用静态 IP 地址方案,如果缺乏有效的IP、MAC 地址管理手段,用户可以随意的更改 IP 地址,在网卡属性的高级选项中可以随意的更改 MAC 地址。如果用户有意无意的更改自己的 IP、MAC 地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的 IP、MAC 的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成 ARP 欺骗攻击。IP、MAC 地址的盗用对校园网的影响:在用户看来,校园网络是一个很
9、不可靠是会给我带来很多麻烦的网络,因为大量的 IP、MAC 冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出 MAC 地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因: 国家的要求:2002 年,朱镕基签署了 282 号令,要求各大 INTERNET 运营机构(包括高校)必须要保存
10、 60 天的用户上网记录,以待相关部门审计。 校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
11、5、用户上网时间的控制无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。6、用户网络权限的控制在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如 MAC FLOOD、SYN FLOOD、DOS 攻击、扫描攻击、ARP 欺骗攻击、流量攻
12、击、非法组播源、非法 DHCP 服务器及 DHCP 攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行低了校园网的效率。2.4.2 某校园网网络安全方案设计思想2.4.2.1 安全到边缘的设计思想用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2 全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3 全程
13、安全的设计思想用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3 某校园网网络安全方案锐捷网络结合 SAM 系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1 事前的身份认证对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户 PC 的 IP 地址、用户 PC 的 MAC 地址、用户 PC 所在交换机的 IP 地址、用户 PC 所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过
14、以上信息的绑定,可以达到如下的效果: 每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如 IP 地址,就可以准确定位到该用户,便于事情的处理。 只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2 网络攻击的防范 1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的 ACL,能够对这些病毒所使用的 TCP、UDP 的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用
15、户,保证了校园网网络带宽的合理使用。2、未知网络病毒的防范对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如 WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。3、防止 IP 地址盗用和 ARP 攻击通过对每一个 ARP 报文进行深度的检测,即检测 ARP 报文中的源 IP 和源 MAC 是否和端口安全规则一致,如果不一致,视为更改了 IP 地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的 ARP 欺骗,防止非法信息点冒充网络关键设备的 IP
16、(如服务器),造成网络通讯混乱。4、防止假冒 IP、MAC 发起的 MAC FloodSYN Flood 攻击通过部署 IP、MAC、端口绑定和 IP+MAC 绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源 IP、MAC 访问,追查恶意用户。有效的防止通过假冒源 IP/MAC 地址进行网络的攻击,进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持 IMGP 源端口检查,实现全网杜绝非法组播源,指严格限定IGMP 组播流的进入端口。当 IGMP 源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当 IGMP 源端口检查打开时,只有从路
17、由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持 IGMP 源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时 IGMP 源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。6、对 DOS 攻击,扫描攻击的屏蔽通过在校园网中部署防止 DOS 攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免
18、了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3 事后的完整审计当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个 IP 地址,MAC 地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5 网络管理设计网络管理包括设备管理、用户管理、网络故障管理2.5.1 网络用户管理网络用户管理见网络运营设计开户部分2.5.2 网络设备管理网络设备的管理通过 STARVIEW 实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
19、1、网络现状及故障的自动发现和了解STARVIEW 能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的 HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的 CPU 利用率过高,某条链路上的流量负载过大,STARVIEW 都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。2、网络流量的查看STARVIEW 在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW 支持故障信息的自动告警,当网络设备出现故障时,会通过 TRAP 的
20、方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW 的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息的察看。5、RGNOS 操作系统的批量升级校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW 提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。2.5.3 网络故障管
21、理随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:2.6 流量管理系统设计网络中的流量情况是网络是否正常的关键,网络中大量的 P2P 软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为 P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1 方案一:传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些 P2P 软件,从而达到控制流量的目的,这有三大弊端, 第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的
22、通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。 第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。 第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。2.6.2 方案二:锐捷的流量管理与控制方案锐捷网络的流量管理主要通过 RG-NTD+日志处理软件+RG-SAM 系统来实现。NTD 是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
23、 第一:为 SAM 系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。 第二:提供日志审计和带宽管理功能,通过 NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源 IP、目的 IP 直接关联,通过目的 IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供 P2P 的限速,带宽管理等功能,这一部分的功能我们会在明年 4月份提供。 第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统 SAM,能够捕捉到事件源头,并于做出处理。总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
