校园网文档教材安全计划.docVIP

校园网安全方案加入时间：2008-1-11 15:53:02　　来自：admin　　点击：3343 ????? 安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用，学校网络不再是一个封闭的网络，极大地扩展了学校的业务，提高了学校的竞争力，但同时也带来网络安全的风险。网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。 所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、ip地址欺骗、路由协议攻击、ICMP Smurf攻击等；网络服务过程主要是针对TCP/UDP以及局域其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCP Dos、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于WEB的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、舰艇、木马、病毒……都是常见的攻击工具。 宝鸡职业学院网络安全体系架构为学校提供整体的、可扩展的、高性能的、灵活的安全解决方案。采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计每个模块时，都考虑到一些关键的因素，包括潜在可能的威胁或侵入及相应的对策、性能（不能因为安全控制带来不可接受的性能下降）、可扩展性、可管理性、服务质量和语音的支持等。 1路由器和交换机的安全功能 博达路由器实现的网络安全技术有： ??????? VPN技术：IPSec、GRE ??????? 包过滤技术 ??????? AAA技术、Radius、Tacacs+认证 ??????? 日志功能 ??????? NAT网络地址转换 ??????? PPP协议PAP、CHAP认证 ??????? PPP协议Callback技术 ??????? IP地址－MAC地址绑定技术 ??????? 路由信息认证技术 ??????? IEEE 802.1Q VLAN技术 安全措施 7610、S8506、S6806和S2224提供了丰富的安全技术和措施。较为有效的措施有：设备本身的安全管理，包括设置用户管理权限，用户密码等；用户接入的认证，可以提供802.1X，Web认证等多种用户认证方式；端口和MAC地址等的绑定和过滤功能，端口用户数限制等功能。 其他的辅助措施还包括广播风暴抑制，端口限速等。 1.1基于包过滤的防火墙技术 博达路由器支持基于包过滤的防火墙技术，防火墙访问列表根据IP报文的IP报头及所承载的上层协议（如TCP）报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报文的以下属性： ??????? IP的源、目的地址及协议类型 ??????? TCP或UDP的源、目的端口 ??????? ICMP码、ICMP的类型码 ??????? TCP的标志域 ??????? 服务类型TOS ??????? IP报文的优先级（precedence） 博达路由器的访问表还提供了基于时间的包过滤，可以规定过滤规则发生作用的时间范围，在此时间范围以外，不进行由时间定义的访问规则判断。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上提供极大的灵活性。 1.2 AAA技术、Radius、Tacacs+认证 博达路由器AAA技术提供了对用户的验证、授权和记帐功能。 （1）验证功能 各种用户（包括登录、拨号接入用户等）在获得访问网络资源（包括路由器）之前必须先经过验证。验证时可以选择是采用本地维护的用户数据库，还是采用Radius服务器所维护的用户数据库，或者是采用Tacacs+服务器所维护的用户数据库。 博达路由器支持与AAA技术相结合的Radius、Tacacs+认证。 （2）授权功能 通过定义一组属性来限定用户的权限信息，来确定用户的访问权限。这些信息存放在相应的用户数据库内。 （3）记帐功能 该功能使得路由器可以对用户访问的网络资源进行跟踪记录，当选择了该项功能时，用户的访问信息便会存入相应的用户数据库内，根据数据库，就可以产生各类用户帐单信息。 1.3日志功能 日志（log）功能用于将路由器产生的各种信息以日志形式记录到具备Syslog功能的主机上（如Unix主机或运行Syslogd的主机）。日志功能与访问列表功能相结合可以任意定义所要记录的信息，以备查用，如跟踪记录黑客攻击报文等。 1.4 NAT网络地址转换技术 网络地址转换，用来实现内部网络私有地址和外部网络公共地址的相互转换，它的优点在于避免了内部非法地