陈伟斌 集美大学网络中心.pdfVIP

集美大学在准入机制建设 方面的一些经验 陈伟斌 集美大学网络中心 2009-10-21 集美大学校园网简介 始建于1996年 2006年完成第三代校园网建设 第三代校园网的特点：高速、稳定、安全 实施全网认证：宿舍区和教学办公区 集美大学现有全日制在校生4万多人 学生宿舍网用户2.5万多人 每天的高峰期同时在线数超过1.5万 概述 基于802.1X认证 基于锐捷GSN平台 静态准入控制+动态准入控制 静态准入控制 用户发起认证时进行检查和控制 由驻留用户主机的客户端程序实施检查 根据策略服务器上预先定义的策略采取相应的 动作 静态准入的检查手段 检查安装程序-禁止使用代理软件 检查注册表- 强制Windows 自动更新 检查系统服务- 禁止启动DHCP服务 检查进程- 禁止运行有恶性病毒特征的进程 （如冲击波病毒：MSBlast.exe） 静态准入的控制动作 提示 下发补丁 强制安装补丁 静态准入控制的优缺点 优点：实现简单 缺点：不够人性化 比如安装违规软件未必就会有违规行为 不安装防杀毒软件未必就会染毒传毒 动态准入控制 在用户使用过程中进行检查和控制 IDS监测网络中的安全事件并上报策略服务器 策略服务器根据预先定义的策略执行相应的动作 锐捷将这种动态准入机制称为“全局安全联动” 全局安全联动原理图 全局安全联动各组件功能 IDS：负责安全事件侦测和向策略服务器上报 策略服务器SMP：负责策略制订和安全事件处理 认证服务器SAM：提供用户权威信息 安全交换机：对用户上网权限进行控制 客户端软件SU：向用户反馈消息 全局安全联动的工作原理 IDS发现安全事件，上报SMP服务器 SMP从SAM获取对应用户的权威信息 SMP根据预先定义的策略向安全接入交换机下 发指令 安全交换机对指定用户采取动作并将来自SMP 的提示信息发送给客户端软件 客户端软件将提示信息呈现给用户 动态准入的控制动作 警告：通过客户端软件向用户发送消息 隔离：将违规主机隔离在特定的网络范围，允许 访问有限的资源以便对系统进行修复 阻断：阻断违规程序使用的特定端口而不影响其 它应用 隔离和阻断有时效性，将自动重置 动态准入控制应用举例 通过网络传播的病毒： 冲击波 红色代码 熊猫烧香 网络扫描： 扫描频率过高本身将危害网络 扫描往往是网络病毒发起攻击的前兆 动态准入控制的优缺点 优点： 比较人性化，不违规不处理 网络内部不需预先设置访问控制列表来拦截一些已知的网 络病毒攻击（如1433，135等端口），对正常应用的影响 比较小 有助于提高用户的防范意识 缺点： 实现复杂 造价较高 经验小结 严检查、宽限制 以不影响或尽量少影响网络的正常使用为基本 准则 尽力而为，不求完美 提高用户的防范意识，比采取任何技术措施都 重要 讨论 谢谢大家 wbchen@jmu.edu.cn