【文章內(nèi)容簡介】 毒的防范，防止網(wǎng)絡病毒在校園網(wǎng)泛濫。216。 對針校園網(wǎng)的攻擊行為以及從校園網(wǎng)發(fā)出的攻擊行為，必須能夠實時檢測并阻斷。216。 加強校園網(wǎng)內(nèi)部的安全管理，提高全體用戶的安全意識。167。、網(wǎng)絡安全策略就如同現(xiàn)實的校園生活一樣，紀律的約束和安全策略的制定是確保校園秩序穩(wěn)定的前提條件。為此，根據(jù)校園網(wǎng)絡的安全需求，我們建議采取以下安全措施，以為校園網(wǎng)絡構架一個科學合理的網(wǎng)上學習、交流、休閑、娛樂環(huán)境，主要采用如下的策略：1) 在網(wǎng)絡出口設置防火墻：216。 在校園網(wǎng)INTERNET出口，配置一臺硬件防火墻，利用防火墻和交換機的NAT和PAT功能，提供IP地址的轉換和隱藏。在防火墻中設置實時入侵檢測（IDS），對各種針對校園網(wǎng)的攻擊行為能夠實時檢測到并且阻斷、報警。2) 存取權限限制：針對整個校園網(wǎng)和部分重要的網(wǎng)段（如校長辦公、財務、人事、教研中心、重要實驗室等），提供以下安全策略：216。 在交換機中設置訪問控制列表；216。 利用交換機多樣的VLAN策略（8種），各部門間可劃分VLAN隔離；216。 利用交換機的用戶驗證功能，對公共數(shù)據(jù)的訪問可采用用戶驗證；216。 利用交換機的端口隔離功能，使用戶相互隔離。3) 信息過濾：216。 針對上網(wǎng)比較集中的網(wǎng)段（如學生機房、宿舍等），設置Internet訪問控制管理系統(tǒng)，對學生的上網(wǎng)行為進行管理和監(jiān)控，設置內(nèi)容掃描和過濾，限制學生訪問黃、賭、毒、暴等網(wǎng)站；利用經(jīng)濟手段，引導學生提高上網(wǎng)效率，把校園網(wǎng)的作用最大限度地發(fā)揮出來；4) 身份識別：216。 利用操作系統(tǒng)的存取控制、數(shù)據(jù)庫的存取控制216。 利用交換機的用戶驗證功能，對公共數(shù)據(jù)的訪問可采用用戶驗證5) 防病毒設計：216。 建立統(tǒng)一、集中的病毒防范體系，特別是針對重要的網(wǎng)段和服務器，要徹底堵截病毒的傳播；對應用程序的存取控制和日常的病毒掃描體系等。216。 利用交換機的自身防攻擊、防病毒功能，保證網(wǎng)絡交換平臺的正常運行。嚴格對網(wǎng)絡系統(tǒng)、安全設備的管理，加強對校園網(wǎng)用戶的安全意識教育和安全技術培訓，提高整體安全防范能力?？梢哉f，學生群體網(wǎng)絡生活方式的質量高低、文明與否，不僅影響到我國學校園的網(wǎng)絡文化建設，甚至會影響到整個社會乃至國家的未來。如何管理好學校的校園網(wǎng)，貫徹好關于信息網(wǎng)絡化“積極發(fā)展，加強管理，趨利避害，為我所用”的十六字方針，是學校和教育部門必須面對的問題。 167。、網(wǎng)絡安全系統(tǒng)具體規(guī)劃167。、設置訪問過濾規(guī)則（ACL）在核心層交換機上，可設置不同的過濾規(guī)則，使不同網(wǎng)段間、不同IP地址、端口、MAC、VLAN間，進行訪問控制，對用戶進行有效隔離， Alcatel公司OmniSwitch 8800交換機，開發(fā)了稱為IP Filtering的高速包檢測技術。IP Filtering是一種硬件路由ASIC，IP Filtering以線速控制網(wǎng)絡、主機和硬件中的服務。只允許授權用戶訪問所跨越的區(qū)域。它能夠按源和/或目標IP和TCP信息域發(fā)送包?？苫谝韵虏呗赃M行規(guī)劃：216。 源/目的 槽位/端口、源MAC216。 源/目的 VLAN、源/目的 IP 地址216。 源/目的 TCP amp。 UDP 端口216。 支持內(nèi)部發(fā)起連接的Reflexive 端口216。 實現(xiàn)網(wǎng)絡病毒的過濾阿爾卡特OmniSwitch 8800交換機可以根據(jù)信息包的第二層信息、第三層信息、第四層信息，還可以將所有以上信息綜合在一起進行過濾。并且實施的過濾策略的數(shù)量與系統(tǒng)性能沒有關系。這些策略直接加載在單個端口上，在每個端口上線速度執(zhí)行。167。、內(nèi)部網(wǎng)絡權限控制設置VLAN本網(wǎng)絡的基本通訊協(xié)議是TCP/IP、IPX協(xié)議。在內(nèi)網(wǎng)絡中可以通過在交換機上，基于一定的策略，把用戶分為不同的“邏輯工作組”（VLAN），而不改變網(wǎng)絡的物理連接。一個邏輯工作組就是一個虛擬網(wǎng)。同一個邏輯工作組中的用戶，可以不受物理網(wǎng)段位置的限止，通過一定的策略，定義網(wǎng)絡資源的訪問權限。本方案中，核心層、接入層交換機支持最高達4,096個 VLAN， VLAN的劃分可基于以下策略：216。 基于端口、MAC地址、第三層地址、端口綁定、協(xié)議類型和用戶自定義的 VLAN216。 身份驗證和基于策略的VLANl 可通過以下VLAN規(guī)劃，滿足網(wǎng)絡更多安全要求：通過基于端口、MAC、協(xié)議和端口綁定規(guī)則劃分VLAN，網(wǎng)絡不同的用戶、系統(tǒng)和部門，根據(jù)實際的需要，劃分成不同的邏輯子網(wǎng)。相互之間通過一定的訪問策略來實現(xiàn)資源的訪問控制。防止未經(jīng)許可的用戶非法進入訪問網(wǎng)絡，并讀取、改寫文件。如下圖所示：167。、防IP地址盜用網(wǎng)絡中對IP地址的管理是一件非常麻煩的工作，經(jīng)常出現(xiàn)重要的IP地址被盜用，影響網(wǎng)絡的正常運行（如服務器地址等）。防止IP盜用和IP沖突，可采用端口綁定的策略，任何非成功嘗試將導致SNMP trap，可完全消除IP地址沖突的問題。本方案充分利用Alcatel公司OmniSwitch 8800交換機綁定規(guī)則的VLAN策略，來靈活滿足應用要求，具體如下：1) port + MAC + protocol2) port + MAC + IP address3) port + MAC 4) port + protocol5) port + IP address 6) MAC + Protocol167。、內(nèi)部網(wǎng)絡權限控制和身份驗證交換機用戶驗證對重要數(shù)據(jù)的訪問保護：在校園網(wǎng)絡中，可利用交換機的用戶驗證功能，使用戶無論位于網(wǎng)絡的任一地點，均可通過驗證授權訪問重要的數(shù)據(jù)資源。只有通過驗證的用戶，他使用的電腦的MAC就自動加入到數(shù)據(jù)資源的VLAN中，即可訪問資源，驗證通過后，以線速通信。具有比傳統(tǒng)驗證更快的優(yōu)點。沒有通過驗證的用戶，是不能訪問重要的資源的。支持如下的驗證：216。 LDAP 216。 RADIUS216。 ALCATEL自已的驗證服務器接受所有基于標準的RADIUS執(zhí)行，可實現(xiàn)：216。 校驗用戶身份216。 管理用戶到特權網(wǎng)絡216。 支持與域服務器用戶統(tǒng)一的密碼系統(tǒng) 客戶端支持：216。 TELNET 216。 WEB216。 AVCLIENT工作如下圖所示：167。、用戶在網(wǎng)絡中移動和限止任意訪問策略針對校園網(wǎng)絡的用戶，需要在全校園網(wǎng)絡內(nèi)靈活機動，無論其在網(wǎng)絡的哪里接入，只要用合法的用戶名和密碼，就可訪問相應的網(wǎng)絡資源。可采用如下策略：l DHCP+WEB的認證本方案可利用Alcatel公司OmniSwitch 8800交換機支持基于DHCP+WEB的認證功能。在校園網(wǎng)絡中，基于LDAP和RADIUS的用戶驗證，使用戶無論位于網(wǎng)絡的任一地點，均可通過驗證授權訪問重要的數(shù)據(jù)資源。只有通過驗證的用戶，使用的電腦的MAC就自動加入到數(shù)據(jù)資源的VLAN中，即可訪問資源，驗證通過后，以線速通信。具有比傳統(tǒng)驗證更快的優(yōu)點。沒有通過驗證的用戶，是不能訪問網(wǎng)絡資源的。同時與校園網(wǎng)絡目錄服務或域用戶名和密碼集成，用戶不需要記兩套用戶名和密碼。l 在校園網(wǎng)絡中，使用戶無論位于網(wǎng)絡的任一地，只要通過認證，所連接的交換機端口，即可允許電腦訪問校園網(wǎng)絡的資源167。、防管理用戶名和密碼嗅探交換機管理加密網(wǎng)絡中存在大量的工具嗅探網(wǎng)絡密碼和地址，如果成功，就可直接控制交換機等網(wǎng)絡設備，影響到校園網(wǎng)的通信和安全。Alcatel公司OmniSwitch8800交換機支持SSH、SNMPV3和SSL加密，確保校園網(wǎng)中交換機所有的管理數(shù)據(jù)進行加密，使網(wǎng)絡管理十分安全。167。、主機強制性免疫檢測網(wǎng)絡利用ALCATEL的主機強制性免疫檢測功能,使用用戶認證(Authenticator is workgroup switch)，利用交換機端口與安全免疫區(qū)服務器系統(tǒng)的聯(lián)動，對主機強制進行安全免疫，每臺主機安裝有檢測主機完整性的代理:216。 防病毒Virus,216。 防火墻代理,216。 入侵檢測代理216。 系統(tǒng)檢測代理只有主機檢測代理檢測系統(tǒng)安全的情況下,才能打開與交換機連接相應的通信端口。主機首先與安全策略服務器通信,進行主機系統(tǒng)安全性檢測,安全檢測通過后,先將認證信息轉給RADIUS服務器,主機認證信息包括:216。 認證信息包括用戶名和密碼。216。 主機認證的安全性的完整信息。只有符合以上的條件的用戶，才能獲得RADIUS服務器認證，認證通過后，RADIUS送出組的相關信息，授權信息被送到交換機，用戶被加入到特定的數(shù)據(jù)組中。如果主機沒有通過主機完整性檢測，安全策略服務器給交換機發(fā)出一個檢測信息,用戶電腦則被放進一個特定的隔離的虛網(wǎng)。167。、應用層面的攻擊檢測和消除（與防火墻、INDS安全聯(lián)動）防火墻只能保證外部網(wǎng)絡對內(nèi)部網(wǎng)絡的入侵，但在校園網(wǎng)內(nèi)部，有很多學生的模擬攻擊，對網(wǎng)絡的安全構成很大的威協(xié)，需要一個很好的內(nèi)部安全策略，利用ALCATEL的AQE（自動入侵隔離引摯）/OmniVista ，可以與防火墻和NIDS、IDP聯(lián)動，只要防火墻、NIDS檢測到網(wǎng)絡中有攻擊行為時，就會發(fā)出一個LOG信息到AQE系統(tǒng)，順利找到攻擊點，然后，AQE分別向ALCATEL交換機發(fā)出指令，隔離相應的主機，或過濾相應的主機通信。例如中毒的機器攻擊服務器（如端口掃描），IDP識別攻擊和攻擊的發(fā)起源，網(wǎng)管NMS監(jiān)測到網(wǎng)絡的異常，IDP通知 VQE/OmniVista 攻擊的種類和攻擊的發(fā)起源，網(wǎng)管軟件通過檢測到的信息，聯(lián)動控制交換機的端口。當Trap 顯示和采取管理員預先定義的回應措施，可產(chǎn)生如下結果：1. 中斷報錯的用戶端口2. 生成過濾表 (on port / VLAN / Switch / Network)3. 將報錯端口移入隔離的虛網(wǎng)這樣就可將中毒的機器與應用網(wǎng)絡隔離開來。167。、網(wǎng)絡設備的安全性管理167。、防學生實驗性攻擊交換機的防攻擊網(wǎng)絡方案除從網(wǎng)絡應用的角度考慮安全問題，還從交換機自身的角度來考慮安全。支持DOS(拒絕服務)攻擊保護 ，確保在受到攻擊時交換機不會癱瘓，增強了系統(tǒng)和網(wǎng)絡的可用性。防止惡意用戶向網(wǎng)上發(fā)送大量信息，使網(wǎng)絡處于高負荷運轉。Alcatel公司OmniSwitch系列交換機支持DOS(拒絕服務)攻擊保護，針對最常見的DoS攻擊進行了防護，確保在受到攻擊時交換機不會癱瘓，增強了系統(tǒng)和網(wǎng)絡的可用性。防止惡意用戶向網(wǎng)上發(fā)送大量信息，使網(wǎng)絡處于高負荷運轉。主要可以采用以下的方法，來保證交換機的安全，具體如下： 針對最常見的DoS攻擊進行了測試216。 Port scan216。 TCP SYN attack216。 Ping of Death attack216。 Smurf attack (ICMP)216。 Pepsi attack (UDP)216。 Land attack216。 Teardrop attack216。 Bonk attack216。 Boink attack216。 Fragmentation DoS 基于以下特征設置對交換機的管理和訪問216。 基于Coronado ASIC芯片的 ACLs216。 Layer 3 (IP 源地址/目的地址)216。 Layer 4 (TCP/UDP 源端口/目的端口 基于用戶ID定義對交換機的管理– AAA 服務216。 本地交換機數(shù)據(jù)庫216。 遠程數(shù)據(jù)庫 RADIUS, LDAP, RSA216。 基于權限的 (分權管理)216。 端口 (通過遠程數(shù)據(jù)庫)216。 交換機 (通過遠程數(shù)據(jù)庫) 采用遠程AAA 數(shù)據(jù)庫時維護審計記錄216。 用戶名, MAC 地址, IP 地址, 交換機ID, 槽/端口, 登錄事件, 退出事件, 發(fā)送字節(jié)數(shù), 接受字節(jié)數(shù), 斷開原因等216。 網(wǎng)絡管理員可以用來監(jiān)控對網(wǎng)絡設備的訪問167。、防管理用戶名和密碼嗅控交換機管理加密在局域網(wǎng)中，存在大量的工具嗅控網(wǎng)絡密碼和地址，如果成功，就可直接控制交換機等網(wǎng)絡設備，影響到局域網(wǎng)的通信和安全。Alcatel公司OmniSwitch系列交換機支持SSH、SNMPV3和SSL加密，確保局域網(wǎng)中交換機所有的管理數(shù)據(jù)進行加密，使網(wǎng)絡管理十分安全。 保護客戶端 (管理員/ 策略服務器)和交換機間的通信 216。 Socket 層次的保護– 采用客戶機/服務器協(xié)議保護基于TCP的通信– 保護 HTTP WebView 的通信– 保護 HTTP AVLAN 客戶機登錄的數(shù)據(jù)– 保護LDAP 策略服務器的通信– 基于 RSA BSAFE 編碼– 基于加密和認證的安全性216。 SNMPv3– 保護交換機和管理工作站間的通信– SNMPv3：通信加密216。 Secure Socket Layer (SSL)– 加密的Client/Server通信進程– 應用實例 : WebView網(wǎng)管167。、應用防、殺病毒設計 1) 網(wǎng)絡應用防、殺病毒設計（建議）網(wǎng)絡應用的無限性，給網(wǎng)絡的應用也帶來潛在的威脅，網(wǎng)絡病毒的傳播就是其中的一種。對一個高性的網(wǎng)絡來說，選擇一種好的處理病毒機制是非常重要的。網(wǎng)絡的建設成功，給用戶打開新的廣闊天地，而由此開始的頻繁郵件來往、磁盤和光盤等存儲介質的大量流動使用給網(wǎng)絡的安全穩(wěn)定健康運行帶來極大的隱患。在做好信息過濾的同時加強網(wǎng)絡病毒監(jiān)控清除。在病毒的危害性已經(jīng)由單純的數(shù)據(jù)破壞升級到針對系統(tǒng)的非法侵入，基于單機的、靜態(tài)的殺毒程序顯然已經(jīng)無法滿足安全的需要。一方面要加強對客戶端防毒軟件對電子郵件的實時監(jiān)控和各種后門程序、木馬程序的預防，另一方面加強服務器端的防毒產(chǎn)品負責分布處理、集中控制的防護體系建設。主要的手段是: 全面防護所有的病毒入口，除了單機病毒防護之外，還能做到局域網(wǎng)防護、電子郵件病毒防護、互聯(lián)網(wǎng)系統(tǒng)防護，通過Windows NT網(wǎng)絡操作系統(tǒng)以及磁盤、可移動磁盤、光盤、調(diào)制解調(diào)器連接所收發(fā)文件的病毒防護。本方案采用網(wǎng)絡防病毒軟件，它具備集中式管理，分布式查殺。中央系統(tǒng)中心結合移動控制臺實現(xiàn)全局方便管理：管理員可以將任意一臺服務器或客戶端設置為移動控制臺，對局域網(wǎng)進行遠程集中式安全管理，并可通過帳號和口令設置控制移動控制臺的使用。先