网络工程规划与设计案例教程项目三_任务三_校园网安全设计.doc

湖南通信工程学院 校园网安全设计 目 录 1. 引言 1 2. 需求分析 1 2.1 商业目标 1 2.2 技术目标 2 3. 网络拓扑结构与设计 2 4. 安全方案 3 4.1 路由器和交换机的安全功能 3 4.2 安全措施 4 4.2.1 基于包过滤的防火墙技术 4 4.2.2 日志功能 4 4.2.3 NAT网络地址转换技术 4 4.2.4 IP地址－MAC地址绑定技术 4 4.2.5 动态路由协议认证技术 4 4.2.6 访问控制 4 4.2.7 防arp攻击 5 4.3 主机的安全 5 引言 学校，尤其是各大高校，作为知识基地和人才基地，它理应成为代表信息产业技术发展的最前沿，然而现状是工业水平高于学术水平。即使这样，1994年中国教育科研网 (CERNET)正式启动以来，已与国内几百所学校相连，2000年该网二期工程完成时，除达到连接1000所大学的目标外，对有条件的中小学也将提供上网接入服务。但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费。如何利用当前先进的计算机技术与校园网资源，实现学校各项业务系统的集成，提高应用水平成为学校校园网建设的工作重点。校园网在国内发展还不成熟，学校、媒体甚至计算机业界，对校园网都缺乏全面、深入的理解和认识，带有一定的盲目性和偏见。建设校园网要经过周密的论证、谨慎的决策和紧张的施工。目前存在的一些情况是，网建成了，问题也出现了：设计目标无法实现；应用软件缺乏，阻碍了设想实施；维护费用不堪承受等等。这就需要在网络建设实施前确定明确的设计目标，是技术和成本找到最佳点，并考虑到日后的升级，既可扩展性。一个良好的设计方案除体现出网络的优越性能之外，还体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。因此，设计时要考虑以下问题： 要适应未来网络的扩展和拓扑结构的变化要能为特定的师生用户或用户组提供访问路径要保证网络能不间断地运行当网络扩大和应用增加时，变化的网络结构要能应付相应的带宽要求使用频率较高的应用能够支持网上大多数的师生用户能合理地分配用户对网内、网外的信息流量能支持较多的网络协议，扩大网络的应用范围支持IP的单点传送和多点广播数据流。提高教员的效率，允许教员和其他学院的同仁一起参与更多的项目研究提高学生的效率，消除交作业难的问题允许访问者使用他们的无线笔记本电脑从园区网络访问互连网络保护网络防止入侵 图1 网络拓扑结构图 （1）校园网与外网接口连接一台出口路由器，一侧连接防火墙，另一侧有两个GE出口分别 连接电信城域网和CERNET网络同时出口路由器提供统一网管平台、AAA/RADIUS系 统、BRAS设备的接口。这样既可以保证校园网与外网接口的安全可靠性，又可以保证 统一网管平台的安全性，以及上网客户计费及管理。核心层采用台Cisco 6509交换机，负载均衡新老校区各放置一台，设备之间互联采用千兆光纤直连，业务流量增加后，可以平滑升级至万兆链路。新校区和老校区核心设备均连接校园媒体服务器组，便于进行多媒体及视频教学。 汇聚层采用台Cisco 4506换机，校区汇聚层采用Cisco 4506交换机，可分别放置在新老校区的个汇聚点。汇聚层设备全部支持光口千兆上行 （4）接入层采用Cisco 2950交换机，该两款均支持百兆/ 千兆光口上行分别放置在各楼宇接入点。FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于WEB的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、舰艇、木马、病毒……都是常见的攻击工具。 路由器和交换机的安全功能 路由器实现的网络安全技术有： VPN技术：IPSec、GRE;包过滤技术；日志功能；NAT网络地址转换；PPP协议PAP、CHAP认证；PPP协议Callback技术；IP地址－MAC地址绑定技术；路由信息认证技术； IEEE 802.1Q VLAN技术。 安全措施 基于包过滤的防火墙技术 路由器支持基于包过滤的防火墙技术，防火墙访问列表根据IP报文的IP报头及所承载的上层协议（如TCP）报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报文的以下属性： （1）IP的源、目的地址及协议类型 （2）TCP或UDP的源、目的端口 （3）ICMP码、ICMP的类型码 （4）TCP的标志域 （5）服务类型TOS （6）IP报文的优先级（precedence) 日志功能 日志（log）功能用于将路由器产生的各种信息以日志形式记录到具备Syslog功能的主机上（如Unix主机或运行Syslogd的主机）。日志功能与访问列表功能相结合可以任意定义所要记录的信息，以备查用，如跟踪记录黑客攻击报文等。 NAT网络地址转换技术 网络地址转换，用来实现内部网