校园网络安全接入技术与应用.pdfVIP

信息 科学 Ⅵ删裂 黧霪 校园网络安全接入技术与应用 林圣杰 (福建丁程学院现代教疗技术中心福建福州350108) [摘要]介绍校闻网的现状和校圃网向临的丰要安伞威胁，分析传统的网络安全防护系统等存在的不足，介绍目前主流的嗍络接入控制技术。深入研究各种技 术的实现Ici珲及优劣。并分析径阔网络部署喇络接入控制技术方案后的实际效果。 【关键词]校旧叫 嗍络接入柠制技术|旬9络安全 中图分类号：G43文献标识码：A文章编号：1871—7597(2009)0610082--02 一、校园罔现状豆安全戚囊 (一)NAC技术 Access 随着嘲络技术和应_I{j的E速发展，网络日益节现出复杂、异构等特 网络接入控制(Network 点，校园网络中即对通讯、网络游戏、视频点播、视频聊天、影视下载等 网络技术广泛应用，复杂的网络结构和高负衙网络负载使网络行为难以协 网络前均符合嘲络安伞策略。NAc技术町以提供保证端点设备存接入嘲络前 调管理。网络应…的多样性，既有教学科研的关键性应用，又有休闲娱乐 完伞遵循本地f。j络内需要的安伞策略．并可保证小符合安全策略的设备无 等的一般应用。枝吲网络中用厂1数键人。用户c叮控性差，按照以太标准进 法接入该嘲络及设置可补救的隔离K供端点修正网络策略，或者限制其可 行设计的网络设备豹小具有完善的嘲络安全监测和控制功能。校园嘲t}·基 访问的资源。 本的网络安伞设备。例如防火墙、入侵检测系统以及防病毒网笑等．这些 NAC差要有以F部分组成： SCO 设备摹j：单点部署或多点部署．无法分析深层的数据，尤其无法处柙内部 1．客户端软件(AV防毒软件，Ci Trust 攻击行为，难以满足目前阿络的安仝需求，如防痫毒嘲关、补』‘，f绒等强 Agent(思科呵信代理)：CTA可以从多个安伞软件组成的客户端防 制性的安伞管理策略难j：实施。校园网络的这螳特点增加了网络安全管理 御体系收集安仓状态信息。例如防毒软件、操作系统更新版本、信任关系 的复杂性。 等，然^j将这螳佶息传送到相连的网络中，在这里实施准入控制策略； 由于网络攻击、破坏行为的多样性、随机竹!，隐蔽忭和传播性，随着 2．嘲络接入设备：包括路由器、交换机、防火墙以及尢线AP等。这 种类繁多的病毒爆发时『日J间距的坷i断缩短、变化迅速的情况下。网络管理 螳设备接受终端计算机请求信息。然后将信息传送到策略服务器，由策路 者越来越束}无策。无法跟I：病是步伐。如今网络攻击和信息窃取已小需 服务器决定是否采取什么样的授权。网络将按照客广制定的策略实施相应 要拜深的技巧，这加剧，病毒的更新和网络攻击的泛滥。当前的网络攻击 的准入控制决策：允许、拒绝、隔离或限制： 更多的方式是非法者借合法使用者之身，借道进入校园网内部系统，非法 3．策略服务器：负责评估来自嗍络设备的端点安全信息，比如利用 者通过窃取用户名与密码，以“合法者”身份入侵校吲明……像熊猫烧 CiSCOSecureACS服务器(认证+授权+审计)配合防病毒服务器使用，提 香、灰鸽子病毒的爆发L三经显示llI当前的网络体系严霞的尽足，网络止面 供更强的委托审核功能； 临着严峻的安全和服务质量(Q0s)保证等霞人挑战，保障网络的安全成为 4．管理服务器：负责监控和牛成管理报告。 网络进。步发展的迫切需求。 (--)NAP技术 校园网络常常遇到以F问题：瞬问掉线或人面积断网、带宽溢用、网