【正文】 第3章 需求分析 6第4章 項(xiàng)目網(wǎng)絡(luò)安全解決 6 網(wǎng)絡(luò)架構(gòu)圖 6 網(wǎng)絡(luò)病毒的防范 7 防止IP、MAC地址的盜用 8 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶 9 用戶上網(wǎng)時(shí)間的控制 9 用戶網(wǎng)絡(luò)權(quán)限的控制 10 各種網(wǎng)絡(luò)攻擊的有效屏蔽 10 對(duì)DOS攻擊，掃描攻擊的屏蔽 14 網(wǎng)絡(luò)設(shè)備管理 14第1章 項(xiàng)目概述 校園網(wǎng)網(wǎng)絡(luò)環(huán)境.. . . ..園區(qū)網(wǎng)絡(luò)安全整體解決方案設(shè)計(jì)戴彬彬 計(jì)網(wǎng)0931目錄第1章 項(xiàng)目概述 3 校園網(wǎng)網(wǎng)絡(luò)環(huán)境 采用三層核心交換機(jī)為這些網(wǎng)段提供VLAN劃分，該交換機(jī)級(jí)連多個(gè)工作組級(jí)的交換機(jī)用于桌面工作站接入。而且WWW、MAIL等服務(wù)器也直接連接到了三層核心交換機(jī)中。 2：校園網(wǎng)網(wǎng)絡(luò)安全需求 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會(huì)嚴(yán)重的影響工作。該校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：設(shè)計(jì)時(shí)需考慮統(tǒng)一管理的原則。均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)一考慮。 節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉砭W(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。辦公自動(dòng)化硬件平臺(tái)是為實(shí)際使用而建立，應(yīng)避免過度追求超前技術(shù)而浪費(fèi)投資。通過采用先進(jìn)的存儲(chǔ)平臺(tái)，保證對(duì)海量數(shù)據(jù)的存取、查詢以及統(tǒng)計(jì)等的高性能和高效率。網(wǎng)絡(luò)安全應(yīng)具有以下五個(gè)方面的特征： u 保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。即當(dāng)需要時(shí)能否存取所需的信息。 u 可審查性：出現(xiàn)的安全問題時(shí)提供依據(jù)與手段 　　從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。 網(wǎng)絡(luò)病毒的防范 216。 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶的原因 216。 學(xué)生用戶上網(wǎng)時(shí)間的控制 216。 各種網(wǎng)絡(luò)攻擊的有效屏蔽216。 完整審計(jì) 第4章 項(xiàng)目網(wǎng)絡(luò)安全解決 網(wǎng)絡(luò)病毒的防范 病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個(gè)特征就是用戶數(shù)比較多，會(huì)有很多的PC機(jī)缺乏有效的病毒防范手段，這樣，當(dāng)用戶在頻繁的訪問INTERNET的時(shí)候，通過局域網(wǎng)共享文件的時(shí)候，通過U盤，光盤拷貝文件的時(shí)候，系統(tǒng)都會(huì)感染上病毒，當(dāng)某個(gè)學(xué)生感染上病毒后，他會(huì)向校園網(wǎng)的每一個(gè)角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務(wù)器。 防止IP、MAC地址的盜用 IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級(jí)選項(xiàng)中可以隨意的更改MAC地址。 IP、MAC地址的盜用對(duì)校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個(gè)很不可靠是會(huì)給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因?yàn)榇罅康腎P、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時(shí)候，自己的電腦上會(huì)經(jīng)常彈出MAC地址沖突的對(duì)話框。 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶原因：216。216。安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響：一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會(huì)上廣泛傳播，上級(jí)主管部門會(huì)對(duì)學(xué)校做出處理；同時(shí)也會(huì)大大降低學(xué)校在社會(huì)上的影響力，降低家長(zhǎng)、學(xué)生對(duì)學(xué)校的滿意度，對(duì)以后學(xué)生的招生也是大有影響的。學(xué)生家長(zhǎng)會(huì)對(duì)學(xué)校產(chǎn)生強(qiáng)烈的不滿，會(huì)認(rèn)為學(xué)校及其的不負(fù)責(zé)任，不是在教書育人。 用戶網(wǎng)絡(luò)權(quán)限的控制 在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比如學(xué)生應(yīng)該只能夠訪問資源服務(wù)器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財(cái)務(wù)網(wǎng)絡(luò)。因此，需要對(duì)用戶網(wǎng)絡(luò)權(quán)限進(jìn)行嚴(yán)格的控制。安全到邊緣的設(shè)計(jì)思想用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機(jī)，如果我們能在用戶試圖進(jìn)入網(wǎng)絡(luò)的時(shí)候，也就是在接入層交換機(jī)上部署網(wǎng)絡(luò)安全無疑是達(dá)到更好的效果。全程安全的設(shè)計(jì)思想 用戶的網(wǎng)絡(luò)訪問行為可以分為三個(gè)階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時(shí)候、訪問網(wǎng)絡(luò)后。某校園網(wǎng)網(wǎng)絡(luò)安全方案銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機(jī)嵌入式安全防護(hù)機(jī)制設(shè)計(jì)的特點(diǎn)，從三個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)安全：事前的準(zhǔn)確身份認(rèn)證、事中的實(shí)時(shí)處理、事后的完整審計(jì)。 每一個(gè)用戶的身份在整個(gè)校園網(wǎng)中是唯一，避免了個(gè)人信息被盜用.216。216。網(wǎng)絡(luò)攻擊的防范 常見網(wǎng)絡(luò)病毒的防范對(duì)于常見的比如沖擊波、振蕩波等對(duì)網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒，通過部署擴(kuò)展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范，一旦某個(gè)用戶不小心感染上了這種類型的病毒，不會(huì)影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。防止IP地址盜用和ARP攻擊通過對(duì)每一個(gè)ARP報(bào)文進(jìn)行深度的檢測(cè)，即檢測(cè)ARP報(bào)文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò)，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。并實(shí)現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查打開時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。事后的完整審計(jì) 當(dāng)用戶訪問完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶名，使用那個(gè)IP地址，MAC地址是多少，通過那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開始訪問網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。 網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實(shí)現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：網(wǎng)絡(luò)現(xiàn)狀及故障的自動(dòng)發(fā)現(xiàn)和了解STARVIEW能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對(duì)整個(gè)校園網(wǎng)了如指掌，對(duì)于用戶私自掛接的HUB、交換機(jī)等設(shè)備能及時(shí)地發(fā)現(xiàn)，提前消除各種安全隱患。 網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進(jìn)一步的察看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時(shí)可以很方便的登陸到設(shè)備上，進(jìn)行配置的修改，完善以及各種信息的察看。隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運(yùn)營(yíng)的開始，用戶網(wǎng)絡(luò)故障的排除會(huì)成為校園網(wǎng)管理工作的重點(diǎn)和難點(diǎn)，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個(gè)流程：網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對(duì)各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴(yán)重的影響，有的學(xué)校甚至因?yàn)镻2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。 第一：這些軟件之所以有如此強(qiáng)大的生命力，是因?yàn)橛脩敉ㄟ^使用這些軟件的確能快速的獲取各種有用的資源，如果簡(jiǎn)單的通過禁止的方式，用戶的意見會(huì)非常的大，同時(shí)，各種有用的資源我們很難獲取。 第二：各種新型的，對(duì)網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。216。：銳捷的流量管理與控制方案銳捷網(wǎng)絡(luò)的流量管理主要通過RGNTD+日志處理軟件+RGSAM系統(tǒng)來實(shí)現(xiàn)。 第一：為SAM系統(tǒng)對(duì)用戶進(jìn)行流量計(jì)費(fèi)提供原始數(shù)據(jù)，這是我們已經(jīng)實(shí)現(xiàn)了的功能。而且，對(duì)于以后新出現(xiàn)的功能更加強(qiáng)大的下載軟件，都不必?fù)?dān)心用戶任意使用造成帶寬擁塞。 第二：提供日志審計(jì)和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結(jié)合，能夠做到基于用戶身份對(duì)用戶進(jìn)行管理，做到將用戶名、源IP、目的IP直接關(guān)聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時(shí)還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會(huì)在明年4月份提供。 第三：能夠?qū)W(wǎng)絡(luò)中的各種流量了如指掌，可以對(duì)用戶經(jīng)常訪問的資源進(jìn)行分析對(duì)比，為應(yīng)用系統(tǒng)的建設(shè)、服務(wù)器的升級(jí)改造提供數(shù)據(jù)支持；能夠及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)中的病毒、惡意流量，從而進(jìn)行有效的防范，結(jié)合認(rèn)證計(jì)費(fèi)系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。網(wǎng)絡(luò)防火墻設(shè)計(jì)中的問題方案：硬件？還是軟件？現(xiàn)在防火墻的功能越來越多越花哨，如此多的功能必然要求系統(tǒng)有一個(gè)高效的處理能力。軟件防火墻以checkpoint 公司的FirewallI為代表，其實(shí)現(xiàn)是通過 dev_add_pack的辦法加載過濾函數(shù)（Linux，其他操作系統(tǒng)沒有作分析，估計(jì)類似），通過在操作系統(tǒng)底層做工作來實(shí)現(xiàn)防火墻的各種功能和優(yōu) 化。在國(guó)內(nèi)目前已通過公安部檢驗(yàn)的防火墻中，硬件防火墻占絕大多數(shù)。另外一種就是基于PC架構(gòu)的使用經(jīng)過定制的通用操作系統(tǒng)的所謂硬件防火墻。雖然都號(hào)稱硬件防火墻，國(guó)內(nèi)廠家和國(guó)外廠家還是存在著巨大區(qū)別。國(guó)內(nèi)廠家的防火墻硬件平臺(tái)基本上采用通用PC系統(tǒng)或工業(yè)PC架構(gòu)（直接原因是可以節(jié)省硬件開發(fā)成 本），在提高硬件性能方面所能做的工作僅僅是提升系統(tǒng)CPU的處理能力，增大內(nèi)存容量而已。在軟件性能方面，國(guó)內(nèi)外廠家的差別就更大了，國(guó)外（一些著名）廠家均是采用專用的操 作系統(tǒng)，自行設(shè)計(jì)防火墻。各廠家的區(qū)別僅僅在于對(duì)Linux系統(tǒng)本身和防火墻部分（，）所 作的改動(dòng)量有多大?，F(xiàn)在絕大部 分廠家，甚至包括號(hào)稱國(guó)內(nèi)最大的天融信，在軟件方面所作的工作無非也就是系統(tǒng)有針對(duì)性的裁減、防火墻部分代碼的少量改動(dòng)（絕大部分還是沒有什么改動(dòng)）和少 量的系統(tǒng)補(bǔ)丁。目前國(guó)內(nèi)廠家也已經(jīng)認(rèn)識(shí)到這個(gè)問題，有些在做一些底層的工作，但有明顯成效的，似乎還沒有。2．內(nèi)核和防火墻設(shè)計(jì)現(xiàn)在有一種商業(yè)賣點(diǎn)，即所謂“建立在安全操作系統(tǒng)之上的第四代防火墻”（關(guān)于防火墻 分代的問題，目前有很多討論，比較一致的是把包過濾防火墻稱為第一代防火墻，把應(yīng)用型防火墻（一般結(jié)合了包過濾功能，因此也成為混合型防火墻）稱為第二代 防火墻，有些廠家把增加了檢測(cè)通信信息、狀態(tài)檢測(cè)和應(yīng)用監(jiān)測(cè)的防火墻稱為第三代防火墻，更有甚者在此基礎(chǔ)上提出了采用安全操作系統(tǒng)的防火墻，并把這個(gè)稱為 第四代防火墻）。以上諸多工作，其實(shí)基本上都沒有對(duì)內(nèi)核源碼做太大改動(dòng)，因此從個(gè)人角度來看算不上可以太夸大的地方。 netfilter已經(jīng)是一個(gè)功能比較完善的防火墻框架，它已經(jīng)支持基于狀態(tài)的監(jiān)測(cè)（通過connection track模塊實(shí)現(xiàn)）。我們也可以登記自己的處理函數(shù)，在功能上作 擴(kuò)展（如加入簡(jiǎn)單的IDS功能等等）。至于采用其它防火墻模型的，目前還沒有看到（可能是netfilter已經(jīng)設(shè)計(jì)的很成功，不需要我們?cè)偃プ鎏喙ぷ鳎?。A．管理上的安全性防火墻需要一個(gè)管理界面，而管理過程如何設(shè)計(jì)的更安全，是一個(gè)很重要的問題。a．設(shè)置專門的服務(wù)端口為了減少管理上的風(fēng)險(xiǎn)和降低設(shè)計(jì)上的難度，有一些防火墻（如東方龍馬）在防火墻上專 門添加了一個(gè)服務(wù)端口，這個(gè)端口只是用來和管理主機(jī)連接。這樣做的顯著特點(diǎn)就是降低了設(shè)計(jì) 上的難度，由于管理通信是單獨(dú)的通道，無論是內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)還是DMZ內(nèi)主機(jī)都無法竊聽到該通信，安全性顯然很高，而且設(shè)計(jì)時(shí)也無需考慮通信過程加密 的問題。b．通信過程加密這樣無需一個(gè)專門的端口，內(nèi)網(wǎng)任意一臺(tái)主機(jī)都可以在適當(dāng)?shù)那闆r下成為管理主機(jī)，管理主機(jī)和防火墻之間采用加密的方式通信。對(duì)加密這個(gè)領(lǐng)域了解不多，不做詳細(xì)討論。目前 防火墻對(duì)于這種攻擊似乎沒有太多的解決辦法，主要是提高防火墻本身的健壯性（如增加緩沖區(qū)大?。?。 另外對(duì)于ICMP攻擊，可以通過關(guān)閉ICMP 回應(yīng)來實(shí)現(xiàn)。第一，防火墻設(shè)計(jì)上應(yīng)該知道網(wǎng)絡(luò)內(nèi)外的IP地址分配，從而丟棄所有來自網(wǎng)絡(luò)外部但卻有內(nèi)部地址的數(shù)據(jù)包。第二，防火墻將內(nèi)網(wǎng)的實(shí)際地址隱蔽起來，外網(wǎng)很難知道內(nèi)部的IP地址，攻擊難度加大。c．特洛伊木馬防火墻本身預(yù)防木馬比較簡(jiǎn)單，只要不讓系統(tǒng)不能執(zhí)行下載的程序即可。事實(shí)上，內(nèi)網(wǎng)主機(jī)可能會(huì)透過防火墻下載執(zhí)行攜帶木馬的程序而感染。d．口令字攻擊口令字攻擊既可能來自外部，也可能來自內(nèi)部，主要是來自內(nèi)部。內(nèi)部的口令字攻擊主要是窮舉和嗅探，其中以嗅探危害最大。目前一般采用一次性口令和禁止直接登錄防火墻的措施來防止對(duì)口令字的攻擊。防火墻本身防止郵件詐騙非常簡(jiǎn)單，不接收任何郵件就可以了。f．對(duì)抗防火墻（antifirewall）目前一個(gè)網(wǎng)絡(luò)安全中一個(gè)研究的熱點(diǎn)就是對(duì)抗網(wǎng)絡(luò)安全產(chǎn)品如防火墻。另外有一些其他的網(wǎng)絡(luò)安全性分析工具本身具有雙刃性，這類工具用于攻擊網(wǎng)絡(luò)，也可能會(huì)很有效的 探測(cè)到防火墻和內(nèi)部網(wǎng)絡(luò)的安全缺陷，典型的如SATAN和ISS公司的 Internet Security Scanner。C．透明代理的采用應(yīng)用代理防火墻一般是通過設(shè)置不同用戶的訪問權(quán)限來實(shí)現(xiàn)，這樣就需要有用戶認(rèn)證體 系。透明代理的采用，可以降低系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率，從而提高了防火墻的安全性。防火墻作為一個(gè)實(shí)際存在的物理設(shè)備，要想放入已存在地網(wǎng)絡(luò)中又不對(duì)網(wǎng)絡(luò)有任何影響， 就必須以網(wǎng)橋的方式置入網(wǎng)絡(luò)。但如果防火墻采用了透明模式，即采用類似網(wǎng)橋的方式運(yùn)行，用戶將不必重新設(shè)定和修改路由，也不需要知道防 火墻的位置，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用。當(dāng)然，此時(shí)的防火墻僅僅起到一個(gè)防火墻的作用，其他網(wǎng)關(guān)位置的功能如NAT、VPN功能不再適用，當(dāng)然， 其他功能如透明代理還可以 繼續(xù)使用。此時(shí)防火墻相當(dāng)于一個(gè)ARP代理的功能。防火墻所要做的就是當(dāng)路由器發(fā)送ARP廣播包詢問內(nèi)網(wǎng)內(nèi)的某一主機(jī)的硬件地址時(shí)，防火墻用和路由