校园网络安全接入技术和应用.docVIP

校园网络安全接入技术和应用 　　[摘要]介绍校园网的现状和校园网面临的主要安全威胁，分析传统的网络安全防护系统等存在的不足，介绍目前主流的网络接入控制技术，深入研究各种技术的实现原理及优劣，并分析校园网络部署网络接入控制技术方案后的实际效果。 　　[关键词]校园网　网络接入控制技术　网络安全 　　中图分类号：G43　文献标识码：A　文章编号：1671-7597(2009)0610082-02 　　 　　一、校园网现状及安全威胁 　　 　　随着网络技术和应用的飞速发展，网络日益呈现出复杂、异构等特点，校园网络中即时通讯、网络游戏、视频点播、视频聊天、影视下载等网络技术广泛应用，复杂的网络结构和高负荷网络负载使网络行为难以协调管理。网络应朋的多样性，既有教学科研的关键性应用，又有休闲娱乐等的一般应用。校园网络中用户数量大，用户可控性差，按照以太标准进行设计的网络设备的不具有完善的网络安全监测和控制功能。校园网中基本的网络安全设备，例如防火墙、入侵检测系统以及防病毒网关等，这些设各基于单点部署或多点部署，无法分析深层的数据，尤其无法处理内部攻击行为，难以满足目前网络的安全需求，如防病毒网关、补丁升级等强制性的安全管理策略难于实施。校园网络的这些特点增加了网络安全管理的复杂性。 　　由于网络攻击、破坏行为的多样性、随机性、隐蔽性和传播性，随着种类繁多的病毒爆发时间间距的不断缩短、变化迅速的情况下，网络管理者越来越束手无策，无法跟上病毒步伐。如今网络攻击和信息窃取已不需要高深的技巧，这加剧了病毒的更新和网络攻击的泛滥。当前的网络攻击更多的方式是非法者借合法使用者之身，借道进入校园网内部系统，非法者通过窃取用户名与密码，以“合法者”身份入侵校园网……像熊猫烧香、灰鸽子病毒的爆发已经显示出当前的网络体系严重的不足，网络正面临着严峻的安全和服务质量(QoS)保证等重大挑战，保障网络的安全成为网络进一步发展的迫切需求。 　　校园网络常常遇到以下问题：瞬间掉线或大面积断网、带宽滥用、网速奇慢、网络病毒泛滥、攻击频繁、网络问题难定位、难解决……，校园网络现在最典型的问题就是不能有效管控网络拥堵和安全问题，无法确保关键应用的带宽。另一个严重的问题是，无法控制上网用户的身份和安全状态。根据IDC网络安全调查数据的统计，来自网络内部的攻击和入侵占网络安全事件的70％，而且这些攻击和入侵大多来自应用层。传统的网络安全措施，大量精力放在防御外部非法者的攻击上，这种方式是单点或者局部的安全。比如说，防火墙，能够有效保护出口安全或者受保护的服务器区域。对此，传统网络边界安全网关设备形同虚设，入侵行为防不胜防。 　　网络安全就像一棵大树，如果要保证大树结出健康的果实，就需要生长果实的枝叶的健康，而要保证枝叶的健康，就要保证躯干的健康，而要保证躯干的健康，则必须要大树的树根健康”，也就是说，对于一个网络，其安全性要从最边缘，即接入网络的终端开始控制，要找出问题的根源。如果说防火墙、入侵检测设备是喷洒农药保障果实健康的话，那么网络接入控制技术则是从树根开始，逐级保障树的健康。 　　 　　二、目前主流的网络接入控制技术 　　 　　目前新型的网络接入控制技术将控制目标转向了计算机终端，从终端着手，通过管理员指定的安全策略，对接入内部网络的主机进行安全性检测，自动拒绝不安全的计算机接入内部网络直到这些计算机符合网络内的安全策略为止。当前比较好的几种安全网络接入控制技术，包括思科的NAC(网络接入控制)、微软的NAP(网络准入保护)、可信计算组(TCG)的TNC(可信网络连接)等。下面将分别对这几种技术进行介绍。 　　 　　(一)NAC技术 　　网络接入控制(Network Access Control，简称NAC)是由思科(Cisco)主导的产业级协同研究成果，NAC可以协助保证每一个终端在进入网络前均符合网络安全策略。NAC技术可以提供保证端点设备在接入网络前完全遵循本地网络内需要的安全策略，并可保证不符合安全策略的设备无法接入该网络及设置可补救的隔离区供端点修正网络策略，或者限制其可访问的资源。 　　NAC主要有以下部分组成： 　　1．客户端软件(AV防毒软件。Cisco SecurityAgent)与CiscoTrust Agent(思科可信代理)：CTA可以从多个安全软件组成的客户端防御体系收集安全状态信息，例如防毒软件、操作系统更新版本、信任关系等，然后将这些信息传送到相连的网络中，在这里实施准入控制策略； 　　2．网络接入设备：包括路由器、交换机、防火墙以及无线AP等。这些设各接受终端计算机请求信息，然后将信息传送到策略服务器，由策略服务器决定是否采取什么样的授权。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒