班級:123網路技術2班
姓名:李仲富學號:2012324208
設計題目: 校園網路安全方案設計
設計時間:6月20號至6月30號
一、校園網方案設計原則與需求
1.1設計原則:保證校園網的穩定執行和利用。
1.2網路建設需求:高度的穩定性和高效能性,對網路統一管理和高效處理。
二、校園網方案設計
2.1校園網現網拓撲圖
整個網路採用二級的網路架構:核心、接入。
核心採用一台rg-s4909,負責整個校園網的資料**,同時為接入交換機s1926f+、內部伺服器提供百兆介面。網路出口採用rg-wall1200防火牆。
2.2校園網裝置更新方案
更換核心裝置
核心採用一台銳捷網路面向10萬兆平台設計的多業務ipv6路由交換機rg-s8606,負責整個校園網的資料**。在c區增加一台sam伺服器,部署sam系統,同時a區和b區用3臺s2126g替換原有s1926f+。將原有的s4909放到東校區做為匯聚裝置,下接三颱s2126g實現安全控制,其它二層交換機分別接入相應的s2126g。
b區匯聚採用一台s2126g,剩餘兩台s2126g用於保護重點機器,其它交換機接入對應的s2126g。c區的網路結構也做相應的調整,採用現有的兩台s2126g做為匯聚裝置,其它交換機分別接入這兩台交換機,從而實現所有匯聚層交換機都能進行安全控制,重點區域在接入層進行安全控制的網路布局。
2.3 網路安全系統的管理
1、確定計算機安全管理責任人和安全領導小組負責人
應當履行下列職責:
(一)組織宣傳計算機資訊網路安全管理方面的法律、法規和有關政策;
(二)擬定並組織實施本校計算機資訊網路安全管理的各項規章制度三)定期組織檢查本校計算機資訊網路系統安全運**況,及時排除各種安全隱患;
(四)負責組織本校學生的安全教育和培訓;
2、配備1至2名計算機學生安全員(由技術負責人和技術操作人員組成),應當履行下列職責
(一)執行本單位計算機資訊網路安全管理的各項規章制度
(二)按照計算機資訊網路安全技術規範要求對計算機資訊系統安全運**況進行檢查測試,及時排除各種安全隱患;
2.4網路安全系統的風險評估
一般可能會遭受到外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播,以及安全管理漏洞等方面。
2.5網路安全設計
2.5.1校園網網路安全需求分析
1.網路安全的防範:
病毒產生的原因:校園網很重要的乙個特徵就是使用者數比較多,會有很多的pc機缺乏有效的病毒防範手段,這樣,當使用者在頻繁的訪問inter***的時候,通過區域網共享檔案的時候,通過u盤,光碟拷貝檔案的時候,系統都會感染上病毒,當某個學生感染上病毒後,他會向校園網的每乙個角落傳送,傳送給其他使用者,傳送給伺服器。
病毒對校園網的影響:校園網萬兆、千兆、百兆的網路頻寬都被大量的病毒資料報所消耗,使用者正常的網路訪問得不到響應,辦公平台不能使用;資源庫、vod不能點播;inter***上不了,學生、老師面臨著看著豐富的校園網資源卻不能使用的尷尬境地。
2、防止ip、mac位址的盜用
ip、mac位址的盜用的原因:某校園網採用靜態ip位址方案,如果缺乏有效的ip、mac位址管理手段,使用者可以隨意的更改ip位址,在網絡卡屬性的高階選項中可以隨意的更改mac位址。如果使用者有意無意的更改自己的ip、mac位址,會引起多方衝突,如果與閘道器位址衝突,同一網段內的所有使用者都不能使用網路;如果惡意使用者傳送虛假的ip、mac的對應關係,使用者的大量上網資料報都落入惡意使用者的手中,造成arp欺騙攻擊。
ip、mac位址的盜用對校園網的影響:在使用者看來,校園網路是乙個很不可靠是會給我帶來很多麻煩的網路,因為大量的ip、mac衝突的現象導致了使用者經常不能使用網路上的資源,而且,使用者在正常工作和學習時候,自己的電腦上會經常彈出mac位址衝突的對話方塊。由於擔心一些機密資訊比如銀行卡賬戶、密碼、郵箱密碼洩漏,使用者會儘量減少網路的使用,這樣,學生、老師對校園網以及網路中心的信心會逐漸減弱,投入幾百萬的校園網也就不能充分發揮其服務於教學的作用,造成很大程度上的資源浪費。
3、安全事故發生時候,需要準確定位到使用者
安全事故發生時候,需要準確定位到使用者原因:
資料:國家的要求:2023年,朱鎔基簽署了282號令,要求各大inter***運營機構(包括高校)必須要儲存60天的使用者上網記錄,以待相關部門審計。
校園網正常執行的需求:如果說不能準確的定位到使用者,學生會在網路中肆無忌彈進行各種非法的活動,會使得校園網變成「黑客」娛樂的天堂,更嚴重的是,如果當某個學生在校外的某個站點發布了大量涉及政治的比如**功的言論,這時候公安部門的網路資訊保安監察科找到我們的時候,我們無法處理,學校或者說網路中心只有替學生背這個黑鍋。
4、安全事故發生時候,不能準確定位到使用者的影響:
一旦發生這種涉及到政治的安全事情發生後,很容易在社會上廣泛傳播,上級主管部門會對學校做出處理;同時也會大大降低學校在社會上的影響力,降低家長、學生對學校的滿意度,對以後學生的招生也是大有影響的。
5、使用者上網時間的控制
無法控制學生上網時間的影響:如果缺乏有效的機制來限制使用者的上網時間,學生可能會利用一切機會上網,會曠課。像網咖一樣無人監管,通宵、影響明天的課程。精力。
6、使用者網路許可權的控制
在校園網中,不同使用者的訪問許可權應該是不一樣的,比如學生應該只能夠訪問資源伺服器,上網,不能訪問辦公網路、財務網路。辦公網路的使用者因該不能訪問財務網路。因此,需要對使用者網路許可權進行嚴格的控制。
例如:學院的重要的部門。學生選課。
資料檔案。
7、各種網路攻擊的有效遮蔽
校園網中常見的網路攻擊比如mac flood、syn flood、dos攻擊、掃瞄攻擊、arp欺騙攻擊、流量攻擊、非法組播源、非法dhcp伺服器及dhcp攻擊、竊取交換機的管理員密碼、傳送大量的廣播報文,這些攻擊的存在,會擾亂網路的正常執行低了校園網的效率。計算機專業的學生搞惡作劇,做實驗
2.6.2某校園網網路安全方案設計思想和實施
2.6.2.1安全到邊緣的設計思想
使用者在訪問網路的過程中,首先要經過的就是交換機,如果我們能在使用者試圖進入網路的時候,也就是在接入層交換機上部署網路安全無疑是達到更好的效果。
2.6.2.2全域性安全的設計思想
銳捷網路提倡的是從全域性的角度來把控網路安全,安全不是某乙個裝置的事情,應該讓網路中的所有裝置都發揮其安全功能,互相協作,形成乙個全民皆兵的網路,最終從全域性的角度把控網路安全。
2.6.2.3全程安全的設計思想
使用者的網路訪問行為可以分為三個階段,包括訪問網路前、訪問網路的時候、訪問網路後。對著每乙個階段,都應該有嚴格的安全控制措施。
2.6.3校園網網路安全方案
銳捷網路結合sam系統和交換機嵌入式安全防護機制設計的特點,從三個方面實現網路安全:事前的準確身份認證、事中的實時處理、事後的完整審計。
2.6.3.1事前的身份認證
對於每乙個需要訪問網路的使用者,我們需要對其身份進行驗證,身份驗證資訊包括使用者的使用者名稱/密碼、使用者pc的ip位址、使用者pc的mac位址、使用者pc所在交換機的ip位址、使用者pc所在交換機的埠號、使用者被系統定義的允許訪問網路的時間,通過以上資訊的繫結,可以達到如下的效果:
每乙個使用者的身份在整個校園網中是唯一,避免了個人資訊被盜用.
當安全事故發生的時候,只要能夠發現肇事者的一項資訊比如ip位址,就可以準確定位到該使用者,便於事情的處理。
只有經過網路中心授權的使用者才能夠訪問校園網,防止非法使用者的非法接入,這也切斷了惡意使用者企圖向校園網中傳播網路病毒、黑客程式的通道。
2.6.3.2網路攻擊的防範
1、常見網路病毒的防範
對於常見的比如衝擊波、振盪波等對網路危害特別嚴重的網路病毒,通過部署擴充套件的acl,能夠對這些病毒所使用的tcp、udp的埠進行防範,一旦某個使用者不小心感染上了這種型別的病毒,不會影響到網路中的其他使用者,保證了校園網網路頻寬的合理使用。
2、未知網路病毒的防範
對於未知的網路病毒,通過在網路中部署基於資料流型別的頻寬控制功能,為不同的網路應用分配不同的網路頻寬,保證了關鍵應用比如web、課件資源庫、郵件資料流有足夠可用的頻寬,當新的病毒產生時,不會影響到主要網路應用的執行,從而保證了網路的高可用性。
3、防止ip位址盜用和arp攻擊
通過對每乙個arp報文進行深度的檢測,即檢測arp報文中的源ip和源mac是否和埠安全規則一致,如果不一致,視為更改了ip位址,所有的資料報都不能進入網路,這樣可有效防止安全埠上的arp欺騙,防止非法資訊點冒充網路關鍵裝置的ip(如伺服器),造成網路通訊混亂。
4、防止假冒ip、mac發起的mac flood\syn flood攻擊
通過部署ip、mac、埠繫結和ip+mac繫結(只需簡單的乙個命令就可以實現)。並實現埠反查功能,追查源ip、mac訪問,追查惡意使用者。有效的防止通過假冒源ip/mac位址進行網路的攻擊,進一步增強網路的安全性。
5、非法組播源的遮蔽
銳捷產品均支援imgp源埠檢查,實現全網杜絕非法組播源,指嚴格限定igmp組播流的進入埠。當igmp源埠檢查關閉時,從任何埠進入的**流均是合法的,交換機會把它們**到已註冊的埠。當igmp源埠檢查開啟時,只有從路由連線口進入的**流才是合法的,交換機把它們**向已註冊的埠;而從非路由連線口進入的**流被視為是非法的,將被丟棄。
銳捷產品支援igmp源埠檢查,有效控制非法組播,實現全網杜絕非法組播源,更好地提高了網路的安全性和全網的效能,同時可以有效杜絕以組播方式的傳播病毒.在校園網流**應用多元化和潮流下具有明顯的優勢,而且也是網路頻寬合理的分配所必須的。同時igmp源埠檢查,具有效率更高、配置更簡單、更加實用的特點,更加適用於校園運營網路大規模的應用環境。
6、對dos攻擊,掃瞄攻擊的遮蔽
通過在校園網中部署防止dos攻擊,掃瞄攻擊,能夠有效的避免這二種攻擊行為,節省了網路頻寬,避免了網路裝置、伺服器遭受到此類攻擊時導致的網路中斷。
2.7 業務連續策略
可分為4種型別:人力不可抗拒事件、高傳染性疾病、物理訪問、it邏輯訪問
2.8 業務持續計畫進行測試、保持和重新評估
(1)測試即使:1桌面測試
校園網路方案設計
某大學組建校園網,實現網路通訊,需求如下 每個宿舍樓8個網路,七個學生網路,乙個老師網路 教學樓共8層,每層有4個網路。教學期間,學生宿舍不能上網,晚17 00以後學生可在宿舍區域上網 控制學生上網流量在5m以內 學生上網均使用自動獲得得到ip位址。拓撲結構s 1 基本配置 裝置的命名規則 裝置位置...
網路安全大作業校園網路設計
題目 姓名班級 計算機073 學號 07013663 姓名班級 計算機073 學號 07013610 姓名班級 計算機073 學號 07013668 為本方案的主要負責同學 計算機與資訊學院 二零一零年六月 一 方案背景介紹 xx中學校園網路 12幢樓宇約458個資訊點。其中1幢辦公樓32個資訊點,...
校園網網路構建方案設計
華東交通大學理工學院 課程設計報告書 所屬課程名稱計算機網路 題目校園網網路構建方案設計 分院電信分院 專業班級電商2011 1 學號 20110210460133 學生姓名吳維 指導教師湯文平 工程師 2014 年 1 月 7 日 目錄第一章校園背景 2 第二章系統需求 2 2.1 系統總體需求 ...