數(shù)字校園網(wǎng)絡(luò)接入控制系統(tǒng)設(shè)計與實現(xiàn)

1、    數(shù)字校園網(wǎng)絡(luò)接入控制系統(tǒng)設(shè)計與實現(xiàn)    摘要：校園網(wǎng)作為高?；A(chǔ)設(shè)施，在日常教學(xué)、行政管理、科研活動以及對外宣傳方面發(fā)揮了重要作用。傳統(tǒng)采用身份認(rèn)證、防火墻、漏洞掃描、防病毒、入侵檢測、虛擬專用網(wǎng)等技術(shù)來保障網(wǎng)絡(luò)安全運(yùn)行的防護(hù)辦法無法及時調(diào)整安全策略以適應(yīng)新的安全挑戰(zhàn)?？膳渲玫幕谝?guī)則的前置式接入控制系統(tǒng)可以最小化網(wǎng)絡(luò)安全威脅。本文分析了校園網(wǎng)絡(luò)目前的安全現(xiàn)狀，提出了網(wǎng)絡(luò)接入控制系統(tǒng)需求，介紹了其實現(xiàn)功能以及部署后的實際效果。關(guān)鍵詞：校園網(wǎng)，接入控制系統(tǒng)，網(wǎng)絡(luò)安全伴隨著網(wǎng)絡(luò)安全威脅的產(chǎn)生，各高校廣泛運(yùn)用身份認(rèn)證、防火墻、漏洞掃描、防病毒、入侵檢

2、測、虛擬專用網(wǎng)等技術(shù)來保障網(wǎng)絡(luò)的安全運(yùn)行。但是，這些安全技術(shù)均只針對于某一個特定的領(lǐng)域，不能形成完整的安全防護(hù)體系，且都是被動防御方式，不能有效保護(hù)校園網(wǎng)絡(luò)和各類信息終端的安全。因此，如何對接入校園網(wǎng)的終端實現(xiàn)從安全認(rèn)證、ip地址綁定及授權(quán)、ip準(zhǔn)入直至對上網(wǎng)行為進(jìn)行實時管控成為校園網(wǎng)絡(luò)信息安全管理的重要課題，建設(shè)一套可配置的基于規(guī)則的前置式接入控制系統(tǒng)刻不容緩。一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析資源共享是計算機(jī)網(wǎng)絡(luò)的重要特性。當(dāng)前，各高校將大量的視頻、語音、文獻(xiàn)等教學(xué)資料在校園網(wǎng)內(nèi)部實現(xiàn)共享，但也正是因為這種共享，給網(wǎng)絡(luò)本身和信息設(shè)備帶來了各種威脅：一是操作人員的無意失誤帶來的。比如：操作人員安全意識

3、淡薄、用戶使用不當(dāng)、系統(tǒng)安全配置不規(guī)范、配套規(guī)章制度不健全、網(wǎng)絡(luò)安全培訓(xùn)工作滯后等等，都會給網(wǎng)絡(luò)信息安全帶來隱患。二是人為的惡意攻擊帶來的。人為的惡意攻擊是校園網(wǎng)絡(luò)面臨的最大威脅，根據(jù)攻擊所作用于網(wǎng)絡(luò)的協(xié)議層不同，校園網(wǎng)中常見的攻擊行為如表1所示。表1 常見網(wǎng)絡(luò)攻擊行為tcp/ip參考模型層次攻擊方法物理層多余設(shè)備、線路增減等鏈路層mac泛洪、mac欺騙(冒充網(wǎng)關(guān)、mac沖突等)、arp欺騙、stp攻擊等網(wǎng)絡(luò)層ip重定向、ip泛洪(蠕蟲、dos、掃描等)、ip欺騙(用假ip、冒充他人ip等)、ip分片、icmp泛洪等傳輸層udp泛洪、tcpsyn泛洪、tcp泛洪、tcp欺騙攻擊、傳輸重定向等應(yīng)

4、用層應(yīng)用程序泛洪、緩沖區(qū)溢出、身份欺騙等三是系統(tǒng)漏洞和軟件“后門”帶來的。各類硬件或軟件在設(shè)計開發(fā)和系統(tǒng)部署過程中，部分廠商沒有充分考慮安全性和可靠性，同時為了管理或者在出現(xiàn)問題時能方便跟蹤查找，無意或有意的留下了部分漏洞、“后門”等，這些也成為了攻擊的突破口。雖然在校園網(wǎng)建設(shè)時，各高校通常會部署入侵檢測系統(tǒng)、防火墻、殺毒軟件等來作為網(wǎng)絡(luò)安全防護(hù)手段，但這些手段功能單一，而且采用被動防御方式，無法完全抵御來自各個層面的惡意攻擊，再加上部分防護(hù)手段(如殺毒軟件)雖然部署在校園網(wǎng)絡(luò)的信息終端，但由于長時間沒有升級或沒有及時安裝系統(tǒng)補(bǔ)丁，給校園網(wǎng)絡(luò)安全帶來更為嚴(yán)峻的挑戰(zhàn)。二、網(wǎng)絡(luò)接入控制系統(tǒng)設(shè)計需求

5、針對校園網(wǎng)絡(luò)安全現(xiàn)狀，迫切的需要建設(shè)一套“主動防御、整體安全”的網(wǎng)絡(luò)接入終端控制系統(tǒng)，部署后，應(yīng)達(dá)到以下目標(biāo)：(1)不符合安全要求的終端將無法接入校園網(wǎng)。(2)沒有授權(quán)的非校園網(wǎng)用戶無法訪問校園網(wǎng)內(nèi)部信息資源。(3)合法用戶只能按權(quán)限訪問相應(yīng)等級的網(wǎng)絡(luò)資源，并對信息終端所必需的防護(hù)手段(如系統(tǒng)補(bǔ)丁、殺毒軟件)等進(jìn)行檢測，能自動升級更新，提高網(wǎng)絡(luò)安全防護(hù)等級。(4)提供網(wǎng)絡(luò)安全狀況評估，并具備一定的數(shù)據(jù)分析與處理能力，為校園大數(shù)據(jù)應(yīng)用提供基礎(chǔ)數(shù)據(jù)。為此，網(wǎng)絡(luò)接入控制系統(tǒng)應(yīng)具備以下三項基本功能：1.用戶身份認(rèn)證通過對mac地址、ip地址、硬盤序列號等多重綁定，為接入校園網(wǎng)絡(luò)的每個信息終端分配一個用

6、戶名，用戶終端在接入校園網(wǎng)之前，只有通過用戶身份認(rèn)證才能合法訪問網(wǎng)絡(luò)，為在源頭上控制信息終端訪問網(wǎng)絡(luò)打好基礎(chǔ)。2.終端安全狀態(tài)檢測對各類終端的安全性能進(jìn)行檢測，主要包括操作系統(tǒng)完整性檢測(如漏洞掃描、自動更新、補(bǔ)丁安裝等)、必裝軟件檢測(如殺毒軟件)、非法安裝軟件檢測、防病毒軟件版本、病毒特征庫版本檢查、應(yīng)用軟件黑白名單檢查、共享目錄檢查、分區(qū)表檢查等功能。通過對終端安全性能的檢測，從而抵御由于信息終端本身安全問題帶來的攻擊行為。3.網(wǎng)絡(luò)安全評估根據(jù)身份認(rèn)證結(jié)果和網(wǎng)絡(luò)終端安全檢測結(jié)果，限制不同的訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器、網(wǎng)絡(luò)區(qū)域等，同時，如果終端通過身份認(rèn)證，

7、但安全性能低，要能引導(dǎo)低安全性能終端自動升級，提高安全水平。另外，還要根據(jù)身份認(rèn)證結(jié)果和網(wǎng)絡(luò)終端安全檢測結(jié)果，將某些關(guān)鍵數(shù)據(jù)存儲在系統(tǒng)服務(wù)器中，并進(jìn)行簡單的圖表分析和處理，給網(wǎng)絡(luò)管理員直觀的、可視的網(wǎng)絡(luò)安全性能結(jié)果。三、網(wǎng)絡(luò)接入控制系統(tǒng)功能及應(yīng)用某高校于2010年重新建設(shè)本校校園網(wǎng)網(wǎng)絡(luò)，該網(wǎng)絡(luò)主要用于校園內(nèi)部教學(xué)和辦公，不與互聯(lián)網(wǎng)相聯(lián)。在建設(shè)初期，充分考慮系統(tǒng)兼容，所有交換機(jī)均選用銳捷系列產(chǎn)品，包括2臺rg-s8610核心交換機(jī)，4臺rg-s5750萬兆匯聚交換機(jī)，1臺rg-s2951xg千兆匯聚交換機(jī)，47臺rg-s2951xg網(wǎng)絡(luò)交換機(jī)，44臺rg-s2924g及3臺star-s2126g

8、網(wǎng)絡(luò)交換機(jī)。在對各樓宇所承擔(dān)的教學(xué)、科研、管理等相關(guān)任務(wù)進(jìn)行充分論證后，完成信息網(wǎng)絡(luò)節(jié)點的合理規(guī)劃，其網(wǎng)路拓?fù)鋱D如圖1所示。圖1 某高校校園網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)投入運(yùn)營以來，由于均采用統(tǒng)一廠家產(chǎn)品，系統(tǒng)兼容性較好。但隨著系統(tǒng)的長期運(yùn)行，其安全問題也逐步顯現(xiàn)：(1)由于該網(wǎng)絡(luò)沒有接入互聯(lián)網(wǎng)，教職員工經(jīng)常將光盤、u盤、移動硬盤等存儲介質(zhì)在本地信息終端上插拔，進(jìn)行數(shù)據(jù)的導(dǎo)入與導(dǎo)出操作。在插拔過程中，移動介質(zhì)不可避免的將一些病毒、木馬程序帶入到校園網(wǎng)網(wǎng)絡(luò)，不斷對本地網(wǎng)絡(luò)和服務(wù)器進(jìn)行各種類型的攻擊，一方面造成了病毒擴(kuò)散的局面，另一方面給服務(wù)器健康穩(wěn)定運(yùn)行帶來不良影響。(2)由于用戶類型多，信息終端類型多，很

9、難進(jìn)行全網(wǎng)的統(tǒng)一管理，不同區(qū)域終端及系統(tǒng)的不同要求管理人員熟悉并掌握不同的設(shè)備及系統(tǒng)管理辦法，加重了網(wǎng)絡(luò)維護(hù)人員的負(fù)擔(dān)，降低了管理效率，增大了管理成本。(3)在網(wǎng)絡(luò)運(yùn)行維護(hù)過程中，對經(jīng)費(fèi)投入觀念也有所偏差。初期投入較大，后期投入較少，偏重于主干線路設(shè)備的升級換代，對于各類安全設(shè)備及管理系統(tǒng)的投入則不太重視。(4)沒有建設(shè)一套良好的接入控制機(jī)制，對網(wǎng)絡(luò)中出現(xiàn)的病毒、木馬無法從源頭上得到有效管控，特別是信息終端到底有沒有進(jìn)行軟件升級，操作系統(tǒng)是否存在漏洞均無法得知。為解決以上問題，該校以銳捷上網(wǎng)實名策略外置認(rèn)證產(chǎn)品rg-ess1000和統(tǒng)一上網(wǎng)行為管理與審計產(chǎn)品rg-uac6000為基礎(chǔ)，建設(shè)了一

10、套配置的基于規(guī)則的前置式接入控制系統(tǒng)，實現(xiàn)以下功能：1.用戶身份認(rèn)證合理為每名用戶劃分網(wǎng)段，分配ip地址，并通過嚴(yán)格的6元素(ip地址、mac地址、交換機(jī)ip、交換機(jī)端口、用戶名、密碼)綁定措施，確保接入用戶身份的合法性，用戶未進(jìn)行合法登錄將無法上網(wǎng)。用戶登錄成功界面如圖2所示。圖2 用戶登錄成功界面同時，對操作系統(tǒng)重裝后更改ip地址的用戶或在其它ip地址登錄本人賬號的用戶，均不能登錄。2.終端安全狀態(tài)檢測終端登錄成功后，系統(tǒng)對每臺終端進(jìn)行狀態(tài)檢測，如果終端未安裝殺毒軟件、操作系統(tǒng)需要更新等，系統(tǒng)將強(qiáng)制用戶進(jìn)行安裝和更新，提升整個網(wǎng)絡(luò)的安全水平。信息終端提醒界面如圖3所示。圖3 信息終端提示界

11、面在服務(wù)器端，系統(tǒng)提示整個網(wǎng)絡(luò)終端殺毒軟件安裝情況、系統(tǒng)漏洞修復(fù)情況，并以餅圖、柱狀圖等形式對用戶是否進(jìn)行了漏洞修復(fù)、是否安裝了殺毒軟件等情況進(jìn)行圖像顯示，使網(wǎng)絡(luò)管理員實時掌握網(wǎng)絡(luò)安全狀況。同時，對不符合要求的用戶，以列表的形式通知網(wǎng)絡(luò)管理員，顯示界面如圖4所示。圖4 提示網(wǎng)絡(luò)管理員界面3.網(wǎng)絡(luò)安全評估系統(tǒng)能提供各種網(wǎng)絡(luò)安全狀況評估，并具備一定的數(shù)據(jù)分析與處理能力。以流量統(tǒng)計為例，某時段網(wǎng)絡(luò)中各vlan實時流量如圖5所示。圖5 某時段網(wǎng)絡(luò)流量分布圖為進(jìn)一步分析實時流量是由哪些服務(wù)、用戶訪問了哪些站點帶來的，系統(tǒng)能自動進(jìn)行分析與處理，其分析結(jié)果如圖6、圖7所示。圖6 某時段流量統(tǒng)計圖(按服務(wù)類型)圖7 某時段流量統(tǒng)計圖(按訪問站點)四、結(jié)束語基于校園網(wǎng)這個特殊的網(wǎng)絡(luò)平臺，建設(shè)一套可配置的基于規(guī)則的前置式接入控制系統(tǒng)，對接入網(wǎng)絡(luò)的所有用戶實現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一管理是確保校園網(wǎng)絡(luò)信息安全的重要手段。一個良好的接入控制管理系統(tǒng)能充分利用網(wǎng)絡(luò)資源、提高網(wǎng)絡(luò)效率、增強(qiáng)用戶體驗度，并減少網(wǎng)絡(luò)管理員的工作量。參考文獻(xiàn)：1張棟毅.校園網(wǎng)絡(luò)安全分析與安全體系方案設(shè)計j.計算機(jī)應(yīng)用，2011，31(2)：116-118.2楊哂哂，宋曉光.高校統(tǒng)一身份認(rèn)證的探討與研究j.現(xiàn)代電子技術(shù)，2010(9)：104-106，111.3王鎮(zhèn)海.基于校園網(wǎng)的