【正文】 全扮演的角色也會(huì)越來(lái)越重要。所謂三網(wǎng)融合即推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)互聯(lián)互通、資源共享，為用戶提供語(yǔ)音、數(shù)據(jù)和廣播電視等多種服務(wù)。安全技術(shù)和解決方案需要從根本上整合到基礎(chǔ)設(shè)施中，與網(wǎng)絡(luò)架構(gòu)融合。從學(xué)校性質(zhì)來(lái)看，各類高校都在網(wǎng)絡(luò)安全制度的制定上給予了極高的重視，但是組織實(shí)施方面不夠完善，制定與執(zhí)行兩者出現(xiàn)脫節(jié)，培訓(xùn)有一定差距。 做好路由器與防火墻之間的安全通信工作，防止環(huán)路， ARP 攻擊。） 校園網(wǎng)已成為學(xué)校教學(xué)管理工作的重要平臺(tái)，教學(xué)改革的重要工具，教學(xué)信息資源的重要來(lái)源，目前高校中，用于學(xué)生使用計(jì)算機(jī)的數(shù)量，已經(jīng)超過(guò)行政、教學(xué)、科研使用的計(jì)算機(jī)數(shù)量；隨著高校擴(kuò)招，學(xué)生數(shù)量持續(xù)增加，預(yù)計(jì)高校中，學(xué)生用計(jì)算機(jī)的需求量仍將繼續(xù)攀升。 H3C 網(wǎng)絡(luò)技術(shù)的應(yīng)用及部分介紹。 但是忽略了學(xué)生上網(wǎng)的安全性，容易被黑客攻擊，造成網(wǎng)絡(luò)癱瘓。 指導(dǎo)教師簽字： 年 月 日 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) H3C 網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的設(shè)計(jì)與實(shí)現(xiàn) 一、選 題的背景與意義 計(jì)算 機(jī)網(wǎng)絡(luò)安全已引起世界各國(guó)的關(guān)注，我國(guó)近幾年才逐漸開(kāi)始在高等教育中滲透計(jì)算機(jī)網(wǎng)絡(luò)安全方面的基礎(chǔ)知識(shí)和網(wǎng)絡(luò)安全技術(shù)應(yīng)用知識(shí)。隨著網(wǎng)絡(luò)高新技術(shù)的不斷發(fā)展，社會(huì)經(jīng)濟(jì)建設(shè)與發(fā)展越來(lái)越依賴于計(jì)算機(jī)網(wǎng)絡(luò) ，計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)我們生活的重要意義也不可同日而語(yǔ)。 高校在網(wǎng)絡(luò)建設(shè)方面加大了力度，使用網(wǎng)絡(luò)安全策略以保證網(wǎng)絡(luò)的質(zhì)量 。 三、參考 文獻(xiàn) [1] 趙志東 .構(gòu)建 H3C 高性能園區(qū)網(wǎng)絡(luò)， ； [2] 田海榮 .H3C 構(gòu)建安全優(yōu)化的廣域網(wǎng)， ； [3] 趙志東，田海榮 .H3C 大規(guī)模網(wǎng)絡(luò)路由技術(shù)， ； [4] 計(jì)算機(jī)網(wǎng)絡(luò) .北京：清華大學(xué)出版社， 20xx； [5] 思科網(wǎng)絡(luò)公司 .北京：思科交換機(jī)、路由器技術(shù)手冊(cè)， 20xx。 在此次的校園網(wǎng)實(shí)現(xiàn)當(dāng)中學(xué)校的教學(xué)、教研、遠(yuǎn)程教學(xué)等都 連入校園網(wǎng)，網(wǎng)絡(luò)設(shè)備都已經(jīng)上線，均大部分是 H3C，其他為思科，華為；本次實(shí)施的內(nèi)容： 根據(jù)要求學(xué)校的每臺(tái)計(jì)算機(jī)都能連接互聯(lián)網(wǎng)，能實(shí)現(xiàn)內(nèi)部資源共享，局域網(wǎng)內(nèi)采用VLAN 技術(shù)限制不同辦公室的訪問(wèn)。 確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)注和要求。因而可以看出，計(jì)劃執(zhí)行部門(mén)的權(quán)威性不高，需引起領(lǐng)導(dǎo)重視。本文系統(tǒng)介紹了網(wǎng)絡(luò)安全的概念；深入分析目前主流的網(wǎng)絡(luò)安全技術(shù)；在網(wǎng)絡(luò)邊界，局域網(wǎng)內(nèi)部，路由協(xié)議，身份認(rèn)證等方面部署安全技術(shù)；如何針對(duì)主流的攻擊技術(shù)進(jìn)行防護(hù)。此政策涉及領(lǐng)域廣泛，涉及上市公司眾多。 與此同時(shí)，加快培養(yǎng)網(wǎng)絡(luò)安全方面的應(yīng)用型人才、廣泛普及網(wǎng)絡(luò)安全知識(shí)和掌握網(wǎng)絡(luò)安全技術(shù)突顯重要和迫在眉睫。信息產(chǎn)業(yè)的發(fā)展水平已成為衡量一個(gè)國(guó)家現(xiàn)代化水平與綜合國(guó)力的重要標(biāo)志。 因此，研究網(wǎng)絡(luò)的基礎(chǔ)理論、解決網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)、培養(yǎng)適應(yīng)網(wǎng)絡(luò)時(shí)代需要的高質(zhì)量人才，是計(jì)算機(jī)科學(xué)與技術(shù)科學(xué)在新形式下的首要任務(wù)。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管 理人員的一個(gè)重要課題。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 校園網(wǎng)絡(luò)安全的特征 網(wǎng)絡(luò)安全應(yīng)具有以下五 個(gè)方面的特征： 保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過(guò)程，或供其利用的特性。即當(dāng)需要時(shí)能否存取所需的信息。 從網(wǎng)絡(luò)運(yùn)行和管理者角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫(xiě)等操作受到保護(hù)和控 制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。 二、 網(wǎng)絡(luò)訪問(wèn)控制策略 訪問(wèn)控制策略是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問(wèn)。 四、 網(wǎng)絡(luò)安全管理策略 在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對(duì)于確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，將會(huì)起到十分有效的作用。 VLAN可以增強(qiáng)局域網(wǎng)的安全性，含 有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。 基于 MAC 地址的 VLAN 劃分 MAC 地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的 MAC 地址都是惟一且固化在網(wǎng)卡上的。該方式允許一個(gè) VLAN 跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè) VLAN 中。而且設(shè)備能夠?qū)⒈镜氐?VLAN 注冊(cè)信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的 VLAN 信息達(dá)成一致，減少由人工配置帶來(lái)的錯(cuò)誤的可能性。 這樣，同一匯聚組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性，增強(qiáng)了負(fù)載均衡的能力。 ? 一個(gè)端口不能再相同時(shí)間內(nèi)屬于多個(gè)匯聚組。 ? 手動(dòng)指定根網(wǎng)橋 不要讓 STP來(lái)決定選舉哪臺(tái)交換機(jī)為根網(wǎng)橋。對(duì)于 VLAN，靜態(tài)地指定要用做根網(wǎng)橋和備用（輔助）根網(wǎng)橋的交換機(jī)。 多層交換體系中部署 VRRP 隨著 Inter的發(fā)展，人們對(duì)網(wǎng)絡(luò)可靠性 ,安全性的要求越來(lái)越高。一個(gè)虛擬路由器由 一個(gè)主路由器和若干個(gè)備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。黑客攻擊與廠家防護(hù)技術(shù)都會(huì)最先出現(xiàn)在這里，然后在對(duì)抗中逐步完善與成熟起來(lái)。 靜態(tài)轉(zhuǎn)換 是指將內(nèi)部網(wǎng)絡(luò)的私有 IP地址轉(zhuǎn)換為公有 IP地址， IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有 IP地址只轉(zhuǎn)換為某個(gè)公有 IP地址。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。采用端口多路復(fù)用方式。 ACL 技術(shù)的應(yīng)用 ACL（ Access Control List，訪問(wèn)控制列表）在路由器中被廣泛采用，它是一種基于包過(guò)濾的流控制技術(shù)。如圖 ,VLAN10可以拒絕 VLAN11的所有訪問(wèn)流量。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。 圖 ACL技術(shù)組網(wǎng)圖 另外還有一些特殊情況下的 ACL技術(shù)的應(yīng)用 ： 基于 MAC地址的 ACL：二層 ACL 根據(jù)源 MAC 地址、目的 MAC 地址、 優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)則，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。 在 Qos中應(yīng)用 ACL： Qos ACL指定了 Qos分類、標(biāo)記、控制和調(diào)度將應(yīng)用于那些哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 10 數(shù)據(jù)包，也可以基于時(shí)間段、流量監(jiān)管、隊(duì)列調(diào)度、流量統(tǒng)計(jì)、端口重定向、本地流鏡像以及 WEB Cache重定向的功能及應(yīng)用部署相關(guān)的 ACL。 VPN 只為特定的企業(yè)或用戶群體所專用。 H3C公司的安全解決方案的 VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的動(dòng)態(tài) VPN（ DVPN）解決方案、適用于 MPLS VPN和 IPSec VPN環(huán)境下的 VPE解決方案、適用于鏈路備份 的 VPN高可用方案等，可以滿足各種 VPN環(huán)境的需要。ESP能提供的安全服務(wù)則更多，除了上述 AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在傳輸過(guò)程中不被非法識(shí)別 。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開(kāi)銷，將除 IP 外的所有傳送協(xié)議都刪除了，因而 IPX 和 AppleTalk 等非 IP 協(xié)議只能通過(guò) GRE 來(lái)穿越 IP 核心網(wǎng)絡(luò)。但是 GRE隧道不提供安全特性，不會(huì)對(duì)流量進(jìn)行加密、完整性驗(yàn)證，而 IPsec剛好解決了這個(gè)難題，這樣基于 IPsec的 GRE的 VPN強(qiáng)大功能特性就充分體現(xiàn)了。 L2TP支持標(biāo)準(zhǔn)的安全特性 CHAP和 PAP，可以進(jìn)行用戶身份認(rèn)證。因此就一般企業(yè)用戶 構(gòu)建安全的 VPN 而言，應(yīng)該使用 IPsec 技術(shù)，當(dāng)然如果需要實(shí)現(xiàn)安全的 VPDN，就應(yīng)該采用 L2TP+IPsec 組合技術(shù) 四、 SSL VPN 技術(shù)的應(yīng)用 SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。 哈爾濱鐵道職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì) 12 SSL獨(dú)立于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的安全性而不必理會(huì)執(zhí)行細(xì)節(jié)。 IPSec VPN 最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的 VPN 策略稍微有所改變時(shí)， VPN 的管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。 （ 2）容易維護(hù)： SSL VPN 維護(hù)起來(lái)簡(jiǎn)單，出現(xiàn)問(wèn)題，就維護(hù)網(wǎng)關(guān)就可以了。而 SSL VPN就不一樣，實(shí)現(xiàn)的是 IP級(jí)別的訪問(wèn)，遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒(méi)有區(qū)別。我們將討論網(wǎng)絡(luò)路由設(shè)計(jì)時(shí)最關(guān)鍵因素。因此此方法對(duì)保證網(wǎng)絡(luò)不間斷運(yùn)行存在一定的局限性，我們推薦在下面兩種情況下使用靜態(tài)路由。這樣到同一目的地存在這不同的路徑，而且它們的優(yōu)先級(jí)也相同，在沒(méi)有比這優(yōu)先級(jí)更高的路由時(shí)，該路由被 IP層采納。設(shè)置通過(guò)主路徑的路由優(yōu)先級(jí)最高，其余的備份路徑依次遞減，這樣正常情況下路由器采用主路徑發(fā)送數(shù)據(jù)，當(dāng)線路發(fā)生故障時(shí)該路由自動(dòng)隱藏，路由器會(huì)選擇余下的優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。 OSPF 路由協(xié)議 OSPF(Open Shortest Path First，開(kāi)放式最短路徑優(yōu)先 )是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。 OSPF 路由協(xié)議是目前部署最為廣泛的一種路由協(xié)議，協(xié)議的安全性對(duì)網(wǎng)絡(luò)有著重要意義。僅當(dāng)鄰居不 支持 MD5認(rèn)證時(shí)，明文認(rèn)證才被選用。非骨干區(qū)域內(nèi)部路由信息通過(guò) ABR 匯總進(jìn)入骨干區(qū)域 , 通告給其他區(qū)域。域內(nèi)路由的優(yōu)先級(jí)比域間路由的優(yōu)先級(jí)要高 , 協(xié)議總是優(yōu)先考慮本區(qū)域內(nèi)部的路徑。當(dāng)某一節(jié)點(diǎn)試圖發(fā)送偽造的或是修改的 LSA 時(shí) , 只要有一條其他的可用路由 , 使該 LSA 所聲明的通告路由器收到該 LSA, 若該 LSA 描述的信息與自身信息不一致時(shí) ,該路由器會(huì)生成一個(gè)新的 LSA 實(shí)例 , 將其 LSA 的序號(hào)超過(guò)所接收到的 LSA 序號(hào) , 并泛洪出去 , 從而使偽造的 LSA 被丟棄 , 實(shí)現(xiàn)一定程度的自衛(wèi)。廣播網(wǎng)絡(luò)中，所有的路由器只跟 DR建立鄰居關(guān)系，如果 DR出現(xiàn)故障，則有 BDR替代。 BGP 路由協(xié)議 BGP（ Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）是用來(lái)連接 Inter 上的獨(dú)立系統(tǒng)的路由選擇協(xié)議。主要運(yùn)用于運(yùn)營(yíng)商和大型企業(yè)之間。當(dāng)檢測(cè)到一個(gè)跳躍的或重發(fā)的序列號(hào)時(shí) , 就用一個(gè) Notification 報(bào)文終止 BGP 鏈路。然而這種方法只能解決鏈路冗余卻不能解決負(fù)載均衡的問(wèn)題。 另外介紹一下 BGP 下一條的特性， R2 向 AS200 通告 R1 的路由時(shí)，通常都將 R1的環(huán) 回地址作為下一條，這樣雖然整個(gè)路由查詢沒(méi)有錯(cuò)誤，但是為了節(jié)省路由查詢的時(shí)間，通常 R2 將自己作為下一條。 趨勢(shì)一：自動(dòng)化程度和攻擊速度提高 。 趨勢(shì)二：攻擊工具越來(lái)越復(fù)雜。 趨勢(shì)三：發(fā)現(xiàn)安全漏洞越來(lái)越快。防火墻是人們用來(lái)防范入侵者的主要保護(hù)措施。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。由于用戶越來(lái)越多地依賴 Inter完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們?cè)絹?lái)越大的擔(dān)心。 近幾年來(lái)包括我們學(xué)校在內(nèi)的許多校園網(wǎng)絡(luò)都出現(xiàn)了 ARP 攻擊現(xiàn)象。通過(guò)全網(wǎng)部署，可以有效的防御“仿冒網(wǎng)關(guān)” 、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ ARP 中間人攻擊”、“ ARP 泛洪攻擊”等校園網(wǎng)中常見(jiàn)的 ARP 攻擊方式；且不需要終端用戶安裝額外的客戶端軟件，簡(jiǎn)化了網(wǎng)絡(luò)配置。它是利用多臺(tái)已經(jīng)被攻擊者所控制的機(jī)器對(duì)某一臺(tái)單機(jī)發(fā)起攻擊，在帶寬相對(duì)的情況下，被攻擊的主機(jī)很容易失去反應(yīng)能力。專家建議可以采取的安全防御措施有以下幾種。通過(guò)這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。 （ 3）利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來(lái)加固網(wǎng)絡(luò)的安全性，配置好這些設(shè)備的安全規(guī)則，過(guò)濾掉所有可能的偽造數(shù)據(jù)包。攻擊者一旦發(fā)現(xiàn)用戶系統(tǒng)的漏洞，這對(duì)用戶的系統(tǒng)是一個(gè)很大的威脅。通過(guò)一些程序 ,自動(dòng)地從電腦字典中取出一個(gè)單詞 ,作為用戶的口令輸入給遠(yuǎn)端的主機(jī) ,申請(qǐng)進(jìn)入系統(tǒng)。 防范口令攻擊的一個(gè)簡(jiǎn)單有效的辦法是 ,不要用英語(yǔ)單詞 ,且不可能被別人猜測(cè)出的口令就可以了。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)撥號(hào)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。 不隨意查看陌生郵件 ， 尤其是帶有附件的郵件 ： 由于有的病毒郵件能夠利用 IE 和Outlook 的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí) IE 和 Outlook 程序，及常用的其他應(yīng)用程序。對(duì)于這種攻擊，只需將所有不可信端口上的 DTP設(shè)置為“關(guān)”，即可預(yù)防這種攻擊的侵襲。針對(duì)這種攻擊，只需要攻擊者連接的交換機(jī)本征 VLAN 與所攻擊的本征 VLAN 不是同一個(gè) VLAN 即可。 針對(duì)這種攻擊，我們可以充分發(fā)揮我們 SecPaht系列防火墻過(guò)濾攔截的功能，檢查單位時(shí)間內(nèi)收到的 SYN連接否收超過(guò)系統(tǒng)設(shè)定的值。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。以下五點(diǎn)是高校的安全策略： 規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問(wèn)題。另外，通過(guò)配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問(wèn)和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。上網(wǎng)用戶不但要通過(guò)統(tǒng)一的