校園網(wǎng)安全設(shè)計(jì)與分析

/校內(nèi)網(wǎng)平安隱患分析校內(nèi)內(nèi)網(wǎng)平安分析BUG影響目前運(yùn)用的軟件尤其是操作系統(tǒng)或多或少都存在平安漏洞,對(duì)網(wǎng)絡(luò)平安構(gòu)成了威逼?，F(xiàn)在網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有UNIX、WindowsNTP2000、Linux等,這些系統(tǒng)平安風(fēng)險(xiǎn)級(jí)別不同,UNIX因其技術(shù)較困難通常會(huì)導(dǎo)致一些高級(jí)黑客對(duì)其進(jìn)行攻擊;而WindowsNTP2000操作系統(tǒng)由于得到了廣泛的普及,加上其自身平安漏洞較多,因此,導(dǎo)致它成為較擔(dān)憂全的操作系統(tǒng)。在去年一段時(shí)期、沖擊波病毒比較盛行,沖擊波”這個(gè)利用微軟RPC漏洞進(jìn)行傳播的蠕蟲(chóng)病毒至少攻擊了全球80%的Windows用戶,使他們的計(jì)算機(jī)無(wú)法工作并反復(fù)重啟,該病毒還引發(fā)了DoS(Denialofservice)攻擊,使多個(gè)國(guó)家的互聯(lián)網(wǎng)也受到相當(dāng)影響。2、設(shè)備物理平安設(shè)備物理平安主要是指對(duì)網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、工作站、電源等,它們分布在整個(gè)校內(nèi)內(nèi),管理起來(lái)特殊困難。個(gè)別人可能出于各種目的,有意或無(wú)意地?fù)p壞設(shè)備,這樣會(huì)造成校內(nèi)網(wǎng)絡(luò)全部或部分癱瘓。3、設(shè)備配置平安設(shè)備配置平安是指在設(shè)備上要進(jìn)行必要的一些設(shè)置(如服務(wù)器、交換機(jī)、防火墻、路由器的密碼等),防止黑客取得硬件設(shè)備的限制權(quán)。許多網(wǎng)管往往由于沒(méi)有在服務(wù)器、路由器、防火墻或可網(wǎng)管的交換機(jī)上設(shè)置必要的密碼或密碼設(shè)置得過(guò)于簡(jiǎn)潔易猜,導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過(guò)網(wǎng)絡(luò)輕易取得對(duì)服務(wù)器、交換機(jī)、路由器或防火墻等網(wǎng)絡(luò)設(shè)備的限制權(quán),然后肆意更改這些設(shè)備的配置,嚴(yán)峻時(shí)甚至?xí)?dǎo)致整個(gè)校內(nèi)網(wǎng)絡(luò)癱瘓。4、管理漏洞一個(gè)健全的平安體系,事實(shí)上應(yīng)當(dāng)體現(xiàn)的是“三分技術(shù)、七分管理”,網(wǎng)絡(luò)的整體平安不是僅僅依靠運(yùn)用各種技術(shù)先進(jìn)的平安設(shè)備就可以實(shí)現(xiàn)的,更重要的是體現(xiàn)在對(duì)人、對(duì)設(shè)備的平安管理以及一套行之有效的平安管理制度,尤其重要的是加強(qiáng)對(duì)內(nèi)部人員的管理和約束,由于內(nèi)部人員對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比較了解,若不加強(qiáng)管理,一但有人出于某種目的破壞網(wǎng)絡(luò),后果將不行思議。IP地址盜用、濫用是校內(nèi)網(wǎng)必需加強(qiáng)管理的方面,特殊是學(xué)生區(qū)、機(jī)房等。IP配置不當(dāng)也會(huì)造成部分區(qū)域網(wǎng)絡(luò)不通。如在學(xué)生學(xué)習(xí)機(jī)房,有學(xué)生不甚將自己的計(jì)算機(jī)的IP地址設(shè)成本網(wǎng)段的網(wǎng)關(guān)地址,這會(huì)導(dǎo)致整個(gè)學(xué)朝氣房無(wú)法正常訪問(wèn)外網(wǎng)。5、無(wú)線局域網(wǎng)的平安威逼利用WLAN進(jìn)行通信必需具有較高的通信保密實(shí)力。對(duì)于現(xiàn)有的WLAN產(chǎn)品，它的平安隱患主要有以下幾點(diǎn)：未經(jīng)授權(quán)運(yùn)用網(wǎng)絡(luò)服務(wù)由于無(wú)線局域網(wǎng)的開(kāi)放式訪問(wèn)方式，非法用戶可以未經(jīng)授權(quán)而擅自運(yùn)用網(wǎng)絡(luò)資源，不僅會(huì)占用寶貴的無(wú)線信道資源，增加帶寬費(fèi)用，還會(huì)降低合法用戶的服務(wù)質(zhì)量。地址欺瞞和會(huì)話攔截目前有許多種無(wú)線局域網(wǎng)的平安技術(shù)，包括物理地址(MAC)過(guò)濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配、有線對(duì)等保密(WEP)、端口訪問(wèn)限制技術(shù)(IEEE802.1x)、WPA?(Wi-FiProtectedAccess)、IEEE802.11i等。面對(duì)如此多的平安技術(shù)，應(yīng)當(dāng)選擇哪些技術(shù)來(lái)解決無(wú)線局域網(wǎng)的平安問(wèn)題，才能滿足用戶對(duì)平安性的要求。在無(wú)線環(huán)境中，非法用戶通過(guò)偵聽(tīng)等手段獲得網(wǎng)絡(luò)中合法站點(diǎn)的MAC地址比有線環(huán)境中要簡(jiǎn)潔得多，這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊。另外，由于IEEE802.11沒(méi)有對(duì)AP身份進(jìn)行認(rèn)證，攻擊者很簡(jiǎn)潔裝扮成合法AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲得合法用戶的鑒別身份信息，通過(guò)會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。這些合法的MAC地址可以被用來(lái)進(jìn)行惡意攻擊。另外，由于IEEE802.11沒(méi)有對(duì)AP身份進(jìn)行認(rèn)證，攻擊者很簡(jiǎn)潔裝扮成合法AP進(jìn)入網(wǎng)絡(luò)，并進(jìn)一步獲得合法用戶的鑒別身份信息，通過(guò)會(huì)話攔截實(shí)現(xiàn)網(wǎng)絡(luò)入侵。一旦攻擊者侵入無(wú)線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點(diǎn)。多數(shù)學(xué)校部署的WLAN都在防火墻之后，這樣WLAN的平安隱患就會(huì)成為整個(gè)平安系統(tǒng)的漏洞，只要攻破無(wú)線網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)就將暴露在非法用戶面前。校內(nèi)外網(wǎng)平安分析1、黑客攻擊有的校內(nèi)網(wǎng)同時(shí)和CERNET、Internet相連,有的通過(guò)CERNET和Internet相連,在享受Internet便利快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。黑客攻擊活動(dòng)日益猖獗,成為當(dāng)今社會(huì)關(guān)注的焦點(diǎn)。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺瞞攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、木馬程序攻擊、后門(mén)攻擊等。黑客攻擊不僅來(lái)自校內(nèi)網(wǎng)外部,還有相當(dāng)一部分來(lái)自校內(nèi)網(wǎng)內(nèi)部,由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來(lái)自內(nèi)部的平安威逼會(huì)更大一些。2、不良信息傳播在校內(nèi)網(wǎng)接入Internet后,師生都可以通過(guò)校內(nèi)網(wǎng)絡(luò)進(jìn)入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對(duì)人生觀、世界觀正在形成中的學(xué)生危害特殊大。特殊是中小學(xué)生,由于年齡小,辨別是非和抵抗干擾實(shí)力較差,假如不實(shí)行切實(shí)可行平安措施,勢(shì)必會(huì)導(dǎo)致這些信息在校內(nèi)內(nèi)傳播,侵蝕學(xué)生的心靈。3、病毒危害學(xué)校接入廣域網(wǎng)后,給大家?guī)?lái)便利的同時(shí),也為病毒進(jìn)入學(xué)校之門(mén)供應(yīng)了便利,下載的程序、電子郵件都可能帶有病毒。隨著校內(nèi)內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校內(nèi)網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,這些節(jié)點(diǎn)大都沒(méi)有實(shí)行平安防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、甚至系統(tǒng)癱瘓等嚴(yán)峻后果。校內(nèi)網(wǎng)平安措施（一）防火墻 網(wǎng)絡(luò)信息系統(tǒng)的平安應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)的發(fā)展過(guò)程，應(yīng)當(dāng)是一種檢測(cè)──監(jiān)控──平安響應(yīng)的循環(huán)過(guò)程。動(dòng)態(tài)發(fā)展是網(wǎng)絡(luò)系統(tǒng)平安的規(guī)律。網(wǎng)絡(luò)平安監(jiān)控和入侵檢測(cè)產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不行少的環(huán)節(jié)。 網(wǎng)絡(luò)監(jiān)控系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)自動(dòng)違規(guī)、入侵識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)須要愛(ài)惜的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，找尋網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)覺(jué)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠依據(jù)系統(tǒng)平安策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事務(wù)登錄或執(zhí)行用戶自定義的平安策略等。1系統(tǒng)組成網(wǎng)絡(luò)衛(wèi)士監(jiān)控器：一臺(tái)，硬件監(jiān)控系統(tǒng)軟件：一套PC機(jī)（1臺(tái)，用于運(yùn)行監(jiān)控系統(tǒng)軟件）2主要功能實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流跟蹤、采集和還原網(wǎng)絡(luò)監(jiān)控系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)須要愛(ài)惜的網(wǎng)絡(luò)之上，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡。如：E－MAIL：監(jiān)視特定用戶或特定地址發(fā)出、收到的郵件；記錄郵件的源及目的IP地址、郵件的發(fā)信人和收信人、郵件的收發(fā)時(shí)間等。HTTP：監(jiān)視和記錄用戶對(duì)基于Web方式供應(yīng)的網(wǎng)絡(luò)服務(wù)的訪問(wèn)操作過(guò)程（如用戶名、口令等）。FTP：監(jiān)視和記錄訪問(wèn)FTP服務(wù)器的過(guò)程（IP地址、文件名、口令等）。TELNET：監(jiān)視和記錄對(duì)某特定地址主機(jī)進(jìn)行遠(yuǎn)程登錄操作的過(guò)程。RshRlogin實(shí)時(shí)記錄并回放進(jìn)出網(wǎng)絡(luò)各種操作的全過(guò)程網(wǎng)絡(luò)平安違規(guī)活動(dòng)捕獲 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠依據(jù)用戶自定義的網(wǎng)絡(luò)平安策略對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行檢查，捕獲網(wǎng)絡(luò)平安違規(guī)活動(dòng)。網(wǎng)絡(luò)平安事務(wù)的響應(yīng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠記錄網(wǎng)絡(luò)平安事務(wù)的詳細(xì)信息，并提示系統(tǒng)平安管理員實(shí)行相應(yīng)的平安措施，如阻斷連接等等。供應(yīng)智能化網(wǎng)絡(luò)平安審計(jì)方案網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠?qū)Υ罅康木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析處理和過(guò)濾，生成按用戶策略篩選的網(wǎng)絡(luò)日志，大大削減了須要人工處理的日志數(shù)據(jù)，使系統(tǒng)更有效。支持用戶自定義網(wǎng)絡(luò)平安策略和網(wǎng)絡(luò)平安事務(wù)3主要技術(shù)特點(diǎn)接受透亮工作方式，它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)通訊不附加任何延時(shí)，不影響網(wǎng)絡(luò)傳輸?shù)男?。可接受集中管理的分布式工作方式，能夠遠(yuǎn)程監(jiān)控?？梢詫?duì)每個(gè)監(jiān)控器進(jìn)行遠(yuǎn)程配置，可以監(jiān)測(cè)多個(gè)網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測(cè)。網(wǎng)絡(luò)監(jiān)控系統(tǒng)能進(jìn)行運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測(cè)，遠(yuǎn)程啟停管理。（二）防病毒為了有效的防止病毒對(duì)系統(tǒng)的侵入，必需在系統(tǒng)中安裝防病毒軟件，并指定嚴(yán)格的管理制度，愛(ài)惜系統(tǒng)的平安性。1應(yīng)用狀況一臺(tái)專用服務(wù)器（NTSERVER）、一臺(tái)代理郵件服務(wù)器（NTSERVER&PROXYSERVER,ExchangeServer），一臺(tái)WWWSERVER，一臺(tái)數(shù)據(jù)庫(kù)SERVER，100-200臺(tái)客戶機(jī)。2系統(tǒng)要求能防止通過(guò)PROXYSERVER從Internet下載文件或收發(fā)的E-mail內(nèi)隱藏的病毒，并對(duì)本地的局域網(wǎng)防護(hù)的作用。3解決方案接受以下的防病毒產(chǎn)品所需軟件的名稱安裝場(chǎng)所數(shù)量愛(ài)惜對(duì)象ServerProtectforNTServerNTServer每臺(tái)NTServer一套NTSERVER本身InterScanWebProtectProxyServer按客戶機(jī)數(shù)量HTTPFTP、用閱讀器下開(kāi)載的程序ScanMailforExchangeServerExchangeServer按客戶機(jī)數(shù)量有E-Mail的用戶OfficeScancorp各部門(mén)的NT域服務(wù)器按客戶機(jī)數(shù)量自動(dòng)分發(fā)、更新、實(shí)時(shí)監(jiān)察客戶機(jī)以下是選用以上Trend公司產(chǎn)品的說(shuō)明：在NT主域限制器和備份域上均接受ServerProtecforWindowsNT（簡(jiǎn)體中文5.5版）愛(ài)惜NT服務(wù)器免受病毒的侵害。另鑒于客戶有100-200臺(tái)客戶機(jī)，客戶端的病毒軟件的安裝和病毒碼更新等工作，造成MIS人員管理上的超負(fù)荷，因此舉薦接受OfficeScanCorporatcEdition企業(yè)授權(quán)版OfficeScanCorporateIdition能讓MIS人員通過(guò)管理程序進(jìn)行中心控管，軟件的分派（自動(dòng)安裝，自動(dòng)更新病毒碼、軟件的自動(dòng)升級(jí)）。另外在外接Internet和郵件服務(wù)器上，接受InterScanWebProtect和ScanMailForExchange此兩種軟件是目前唯一能從國(guó)際互聯(lián)網(wǎng)絡(luò)攔截病毒的軟件。設(shè)計(jì)的理念是，在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的入口處-Internet服務(wù)器或網(wǎng)關(guān)（Gateway）上安裝此軟件，它可以隨時(shí)監(jiān)控網(wǎng)關(guān)中的ETP、電子郵件傳輸和Web網(wǎng)頁(yè)所下載的病毒和惡性程序，并有文件到達(dá)網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行掃描偵測(cè)出來(lái)。（三）無(wú)線網(wǎng)絡(luò)平安措施針對(duì)校內(nèi)應(yīng)用的平安解決方案從校內(nèi)用戶角度而言，隨著無(wú)線網(wǎng)絡(luò)應(yīng)用的推動(dòng)，管理員須要更加留意無(wú)線網(wǎng)絡(luò)平安的問(wèn)題，針對(duì)不同的用戶需求，H3C提出一系列不同級(jí)別的無(wú)線平安技術(shù)策略，從傳統(tǒng)的WEP加密到IEEE802.11i，從MAC地址過(guò)濾到IEEE802.1x平安認(rèn)證技術(shù)，可分別滿足辦公室局部用戶、園區(qū)網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等不同級(jí)別的平安需求。對(duì)于辦公室局部無(wú)線用戶而言，無(wú)線覆蓋范圍較小，接入用戶數(shù)量也比較少，沒(méi)有專業(yè)的管理人員，對(duì)網(wǎng)絡(luò)平安性的要求相對(duì)較低。通常狀況下不會(huì)配備專用的認(rèn)證服務(wù)器，這種狀況下，可干脆接受AP進(jìn)行認(rèn)證，WPA-PSK+AP隱藏可以保證基本的平安級(jí)別。

在學(xué)校內(nèi)區(qū)無(wú)線網(wǎng)絡(luò)環(huán)境中，考慮到網(wǎng)絡(luò)覆蓋范圍以及終端用戶數(shù)量，AP和無(wú)線網(wǎng)卡的數(shù)量必將大大增加，同時(shí)由于運(yùn)用的用戶較多，平安隱患也相應(yīng)增加，此時(shí)簡(jiǎn)潔的WPA-PSK已經(jīng)不能滿足此類用戶的需求。如表中所示的中級(jí)平安方案運(yùn)用支持IEEE802.1x認(rèn)證技術(shù)的AP作為無(wú)線網(wǎng)絡(luò)的平安核心，運(yùn)用H3C虛擬專用組(VertualPrivateGroup)管理器功能并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻擋未經(jīng)授權(quán)的用戶接入，并可對(duì)用戶權(quán)限進(jìn)行區(qū)分。假如應(yīng)用無(wú)線網(wǎng)絡(luò)構(gòu)建校內(nèi)的辦公網(wǎng)絡(luò)，此時(shí)無(wú)線網(wǎng)絡(luò)上承載的是工作業(yè)務(wù)信息，其平安保密性要求較高，因此用戶認(rèn)證問(wèn)題就顯得更加重要。假如不能精確牢靠地進(jìn)行用戶認(rèn)證，就有可能造成帳號(hào)盜用、非法入侵的問(wèn)題，對(duì)于無(wú)線業(yè)務(wù)網(wǎng)絡(luò)來(lái)說(shuō)是不行以接受的。下表中的專業(yè)級(jí)解決方案可以較好地滿足用戶需求，通過(guò)H3C虛擬專用組(VPG)管理器功能、IEEE802.11i加密、Radius的用戶認(rèn)證確保高平安性。平安級(jí)別典型場(chǎng)合運(yùn)用技術(shù)初級(jí)平安辦公室局部無(wú)線用戶WPA-PSK＋AP隱藏中級(jí)平安學(xué)校內(nèi)區(qū)無(wú)線網(wǎng)IEEE802.1x認(rèn)證＋TKIP加密+VPG管理專業(yè)級(jí)平安無(wú)線校內(nèi)辦公網(wǎng)VPG管理＋I(xiàn)EEE802.11i＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)的平安性和保證不同廠家之間無(wú)線平安技術(shù)的兼容，IEEE802.11工作組開(kāi)發(fā)了作為新的平安標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE802.11無(wú)線局域網(wǎng)的平安問(wèn)題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)：TKIP(TemporalKeyIntegrityProtocol)和AES(AdvancedEncryptionStandard)，以及認(rèn)證協(xié)議：IEEE802.1x。IEEE802.11i標(biāo)準(zhǔn)已在2004年6月24美國(guó)新澤西的IEEE標(biāo)準(zhǔn)會(huì)議上正式獲得批準(zhǔn)。802.11i和WPA相比增加了一些特性：AES:更好的加密算法，但是無(wú)法和原有的802.11架構(gòu)兼容，須要硬件升級(jí)。CCMPandWARP:以AES為基礎(chǔ)。IBSS:802.11i解決IBSS(IndependentBasicServiceSet),而WPA主要處理ESS(ExtendedServiceSet)Preauthentication：用于用戶在不同的BSS(BasicServiceSet)間漫游時(shí)，削減重新連接的時(shí)間延遲。3、H3C無(wú)線校內(nèi)網(wǎng)的平安策略針對(duì)目前無(wú)線校內(nèi)網(wǎng)應(yīng)用中的種種平安隱患，H3C的無(wú)線局域網(wǎng)產(chǎn)品體系能夠供應(yīng)強(qiáng)有力的平安特性，除了傳統(tǒng)無(wú)線局域網(wǎng)中的平安策略之外，還能夠供應(yīng)更加精細(xì)的管理措施：牢靠的加密和認(rèn)證、設(shè)備管理能夠支持目前802.11小組所提出的全部加密方式，包括高級(jí)WPA256位加密(AES)，40/64位、128位和152位WEP共享密鑰加密，WPATKIP，特有的128位動(dòng)態(tài)平安鏈路加密，動(dòng)態(tài)會(huì)話密鑰管理。802.1x認(rèn)證運(yùn)用802.1xRADIUS認(rèn)證和MAC地址聯(lián)合認(rèn)證，確保只有合法用戶和客戶端設(shè)備才可訪問(wèn)網(wǎng)絡(luò)；WPATKIP認(rèn)證接受EAP-MD5，EAP-TLS和PEAP協(xié)議，擴(kuò)展的證書(shū)認(rèn)證功能更加保證用戶身份的嚴(yán)格鑒定。支持通過(guò)本地限制臺(tái)或通過(guò)SSL或HTTPS集中管理Web閱讀器；通過(guò)本地限制臺(tái)或通過(guò)SSHv2或Telnet遠(yuǎn)程管理的叮囑行界面；并可通過(guò)無(wú)線局域網(wǎng)管理系統(tǒng)進(jìn)行集中管理。用戶和組平安配置和傳統(tǒng)的無(wú)線局域網(wǎng)平安措施一樣，H3C無(wú)線網(wǎng)絡(luò)可以依靠物理地址(MAC)過(guò)濾、服務(wù)集標(biāo)識(shí)符(SSID)匹配、訪問(wèn)限制列表(ACL)來(lái)供應(yīng)對(duì)無(wú)線客戶端的初始過(guò)濾，只允許指定的無(wú)線終端可以連接AP。同時(shí)，傳統(tǒng)無(wú)線網(wǎng)絡(luò)也存在它的不足之處。首先，它的平安策略依靠于連接到某個(gè)網(wǎng)絡(luò)位置的設(shè)備上的特定端口，對(duì)物理端口和設(shè)備的依靠是網(wǎng)絡(luò)工程的基礎(chǔ)。例如，子網(wǎng)、ACL以及服務(wù)等級(jí)(CoS)在路由器和交換機(jī)的端口上定義，須要通過(guò)臺(tái)式機(jī)的MAC地址來(lái)管理用戶的連接。H3C接受基于身份的組網(wǎng)功能，可供應(yīng)增加的用戶和組的平安策略，針對(duì)特殊要求創(chuàng)建虛擬專用組(VertualPrivateGroup)，VLAN不再須要通過(guò)物理連接或端口來(lái)實(shí)施，而是依據(jù)用戶和組名來(lái)區(qū)分權(quán)限。并且，H3C無(wú)線網(wǎng)絡(luò)可以對(duì)無(wú)線局域網(wǎng)進(jìn)行前所未有的限制和視察，監(jiān)視工具甚至可以跟蹤深化到個(gè)人的信息(無(wú)論他的位置在哪里)，網(wǎng)絡(luò)標(biāo)識(shí)基于用戶而不是基于物理端口或位置。其次，H3C無(wú)線網(wǎng)絡(luò)簡(jiǎn)化了SSID支持，不再須要多個(gè)SSID來(lái)支持漫游和授權(quán)策略；單個(gè)SSID足以支持漫游、跨子網(wǎng)漫游或包括VLAN或子網(wǎng)成員資格的授權(quán)策略。大量的可配置監(jiān)視工具用于收集用戶數(shù)據(jù)(例如位置、訪問(wèn)限制和平安設(shè)置)和識(shí)別用戶身份。此外，運(yùn)用H3C虛擬專用組(VertualPrivateGroup)管理器功能，可以為用戶和組支配特定的平安和訪問(wèn)策略，從而獲得最大的靈敏性，同時(shí)增加網(wǎng)絡(luò)平安性并顯著縮短管理時(shí)間。用戶不僅可更改單個(gè)用戶設(shè)置，還可以只通過(guò)簡(jiǎn)潔的幾次擊鍵操作即可從中心管理限制臺(tái)便利地配置相像的用戶組、AP組，而不必逐個(gè)配置AP。非法接入檢測(cè)和隔離H3C無(wú)線網(wǎng)絡(luò)可自動(dòng)執(zhí)行的AP射頻掃描功能通過(guò)標(biāo)識(shí)可去除非法AP，使管理員能更好地查看網(wǎng)絡(luò)狀況，提高對(duì)網(wǎng)絡(luò)的能見(jiàn)度。非法AP通過(guò)引入更多的流量來(lái)降低網(wǎng)絡(luò)性能，通過(guò)嘗試獲得數(shù)據(jù)或用戶名來(lái)危及網(wǎng)絡(luò)平安或者欺瞞網(wǎng)絡(luò)以生成有害的垃圾郵件、病毒或蠕蟲(chóng)。任何網(wǎng)絡(luò)中都可能存在非法AP，但是網(wǎng)絡(luò)規(guī)模越大就越簡(jiǎn)潔受到攻擊。為了消退這種威逼，可以指定某些AP充當(dāng)射頻“衛(wèi)士”，其方法是掃描無(wú)線局域網(wǎng)來(lái)查找非法AP位置，記錄這些位置信息并實(shí)行措施以及為這些位置重新支配信道以使網(wǎng)絡(luò)處于連接狀態(tài)并正常運(yùn)行。AP射頻掃描程序還會(huì)檢測(cè)并調(diào)整引起射頻干擾的其他來(lái)源，例如微波爐和無(wú)繩電話。并且，射頻監(jiān)測(cè)協(xié)作基于用戶身份的組網(wǎng)，不但可運(yùn)用戶在漫游時(shí)具有諸如虛擬專用組成員資格、訪問(wèn)限制列表(ACL)、認(rèn)證、漫游策略和歷史、位置跟蹤、帶寬運(yùn)用以及其他授權(quán)等內(nèi)容，還可告知管理人員哪些用戶已連接、他們位于何處、他們?cè)?jīng)位于何處、他們正在運(yùn)用哪些服務(wù)以及他們?cè)?jīng)運(yùn)用過(guò)哪些服務(wù)。監(jiān)視和告警H3C無(wú)線網(wǎng)絡(luò)體系供應(yīng)了實(shí)時(shí)操作信息，可以快速檢測(cè)到問(wèn)題，提高網(wǎng)絡(luò)的平安性并優(yōu)化網(wǎng)絡(luò)，甚至還可以定位用戶。網(wǎng)絡(luò)管理應(yīng)用程序針對(duì)當(dāng)今的動(dòng)態(tài)業(yè)務(wù)而設(shè)計(jì)，它供應(yīng)了配置更改的自動(dòng)告警功能。向?qū)Ы缑婀?yīng)了即時(shí)提示，從而使得管理員能夠快速針對(duì)沖突做出更改。通過(guò)運(yùn)用軟件的移動(dòng)配置文件功能，管理者可以在用戶或用戶組漫游整個(gè)無(wú)線局域網(wǎng)時(shí)限制其訪問(wèn)資源的位置。此外，位置策略能夠依據(jù)用戶的位置來(lái)阻擋或允許對(duì)特殊應(yīng)用程序的訪問(wèn)。總體規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)平安系統(tǒng)規(guī)劃是一個(gè)系統(tǒng)建立和優(yōu)化的過(guò)程，建設(shè)網(wǎng)絡(luò)的根本目的是在Internet上進(jìn)行資源共享和通信。要充分發(fā)揮投資網(wǎng)絡(luò)的效益，需求設(shè)計(jì)成為網(wǎng)絡(luò)規(guī)劃建設(shè)中的重要內(nèi)容，網(wǎng)絡(luò)平臺(tái)中主要有針對(duì)學(xué)校建筑群而設(shè)計(jì)出的拓?fù)鋱D，有互聯(lián)網(wǎng)設(shè)備（主交換機(jī)、路由器、二級(jí)交換機(jī)、服務(wù)器等）。校內(nèi)內(nèi)部網(wǎng)絡(luò)接受共享或者交換式以太網(wǎng)，選擇中國(guó)科研教化網(wǎng)接入Internet，校際之間通過(guò)國(guó)際互聯(lián)網(wǎng)的方式相互連接。同時(shí)實(shí)行相應(yīng)的措施，確保通訊數(shù)據(jù)的平安、保密。某高校校內(nèi)網(wǎng)絡(luò)拓?fù)鋱D某高校校內(nèi)網(wǎng)絡(luò)分為四個(gè)區(qū)：教學(xué)區(qū)、辦公區(qū)、圖書(shū)館、家屬樓、學(xué)生宿舍、服務(wù)器組。教學(xué)區(qū)主要有各個(gè)教學(xué)樓、計(jì)算機(jī)機(jī)房、試驗(yàn)室、語(yǔ)音室等；辦公區(qū)主要有各行政辦公樓、電子備課室；圖書(shū)館主要有電子閱覽室、圖書(shū)管理中心等。依據(jù)學(xué)校建筑物的分布，目前校內(nèi)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)成星形，即可中心交換機(jī)為核心，向其他大樓輻射，建筑物之間運(yùn)用多模光線連接。同時(shí)，建筑物內(nèi)部也接受星形布局，每幢建筑只須要有一個(gè)設(shè)備間，統(tǒng)一放置設(shè)備。首先在外網(wǎng)和內(nèi)網(wǎng)之間安裝好路由器，通過(guò)中心交換機(jī)把整個(gè)校內(nèi)網(wǎng)分為四大部分；服務(wù)器群、辦公區(qū)、教學(xué)區(qū)、住宅區(qū)、圖書(shū)館。其中，在服務(wù)器群、中心交換機(jī)和路由器之間架設(shè)防火墻和入侵監(jiān)測(cè)系統(tǒng)。另外為了防止這個(gè)校區(qū)內(nèi)病毒的傳播、感染和破壞，我們?cè)谛?nèi)網(wǎng)內(nèi)可能感染和傳播病毒的地方實(shí)行相應(yīng)的防毒措施，部署防毒組件，規(guī)劃如下：在學(xué)校服務(wù)上安裝服務(wù)器端殺毒軟件；在行政、教學(xué)單位的各個(gè)分支分別安裝客戶端殺毒軟件；學(xué)校的網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校內(nèi)網(wǎng)的升級(jí)工作，分發(fā)殺毒軟件的升級(jí)文件（包括病毒定義碼、掃描引擎、程序文件等）到校內(nèi)全部用機(jī)，并對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。ISA軟件防火墻的配置校內(nèi)網(wǎng)內(nèi)的軟件防火墻接受ISAServe，之所以接受防火墻，是因?yàn)镮SAServer是一種新型的應(yīng)用層防火墻，避開(kāi)服務(wù)的弱點(diǎn)及漏洞的攻擊，同時(shí)支持VPN功能及充當(dāng)Web代理服務(wù)器，并能供應(yīng)詳細(xì)的日志報(bào)告。安裝示意圖如下所示ISAServe出于防火墻的平安考慮，許多服務(wù)和端口已經(jīng)停止，我們須要自己手動(dòng)的打開(kāi)相應(yīng)的功能。基本配置通過(guò)ISAServe中的ISAManagement項(xiàng)中的Services標(biāo)簽，啟動(dòng)集成模式中的三個(gè)服務(wù)，就可以運(yùn)用ISA的全部默認(rèn)功能。同時(shí)須打開(kāi)IPRouting功能、訪問(wèn)權(quán)限功能、訪問(wèn)策略功能、統(tǒng)一管理等。限制學(xué)校用機(jī)的上網(wǎng)首先要定義組，通過(guò)在ISAServer軟件防火墻的ClientAddressSets標(biāo)簽中新建一個(gè)組名的標(biāo)識(shí)，依據(jù)機(jī)房用機(jī)的IP地址范圍進(jìn)行添加，在ProtocolRules中選中協(xié)議規(guī)則后切換到Appliesto標(biāo)簽，選中ClientAddressSetsspecifiedbelow，加入設(shè)定的組即可。這樣就可以先知學(xué)校其他用機(jī)隨意上網(wǎng)。檢測(cè)外部攻擊及入侵可以通過(guò)配置ISAServer來(lái)監(jiān)測(cè)常見(jiàn)的校內(nèi)網(wǎng)絡(luò)攻擊。在ISAServe中啟用入侵檢測(cè)后，ISAServer一檢測(cè)到攻擊，就會(huì)向Windows2000事務(wù)日志中發(fā)消息。要啟用ISAServer的入侵檢測(cè)功能，應(yīng)在ISAServer管理窗口中選擇服務(wù)器名稱中的IPPacketFiltersProperties選項(xiàng)，勾選EnableIntrusiondetection，即打開(kāi)ISAServer的入侵檢查功能。（4）校內(nèi)網(wǎng)信息過(guò)濾配置校內(nèi)網(wǎng)中擬接受“過(guò)濾王”來(lái)實(shí)現(xiàn)有效的過(guò)濾反動(dòng)、色情、邪教等有害校內(nèi)氛圍的信息，硬件配置包括一個(gè)讀卡器、一張軟件光盤(pán)和若干上網(wǎng)卡?！斑^(guò)濾王”主要負(fù)責(zé)監(jiān)控、過(guò)濾、記錄相應(yīng)的日志（加密）并適時(shí)向網(wǎng)絡(luò)中心上傳數(shù)據(jù)。在軟件管理終端，管理員選擇“類別”和“記錄日期”，點(diǎn)擊“查看按鈕”，就可以查看網(wǎng)絡(luò)日志和操作日志，此外，安裝“過(guò)濾王”軟件終端程序包括核心和限制臺(tái)兩部分，核心程序安裝在中心交換機(jī)以及學(xué)校機(jī)房的代理服務(wù)器上，在監(jiān)控的網(wǎng)卡列表中選測(cè)內(nèi)網(wǎng)網(wǎng)卡，進(jìn)行通信的網(wǎng)卡也指定為內(nèi)網(wǎng)網(wǎng)卡即可。將限制臺(tái)程序安裝在服務(wù)器機(jī)房上的應(yīng)用服務(wù)器上，操作系統(tǒng)安裝為Win2000。安裝完成后，限制臺(tái)程序所在的服務(wù)器IP地址就是安裝核心程序的中心交換機(jī)IP。網(wǎng)絡(luò)流量的監(jiān)控STARVIEW在網(wǎng)絡(luò)初步異樣的狀況下，能進(jìn)一步查看網(wǎng)絡(luò)中的詳細(xì)流量，從而為網(wǎng)絡(luò)故障的定位供應(yīng)豐富數(shù)據(jù)支持。（6）、無(wú)線局域網(wǎng)平安技術(shù)通常網(wǎng)絡(luò)的平安性主要體現(xiàn)在訪問(wèn)限制和數(shù)據(jù)加密兩個(gè)方面。訪問(wèn)限制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問(wèn)，而數(shù)據(jù)加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶所接收和理解。下面對(duì)在無(wú)線局域網(wǎng)中常用的平安技術(shù)進(jìn)行簡(jiǎn)介。物理地址(MAC)過(guò)濾每個(gè)無(wú)線客戶端網(wǎng)卡都由唯一的48位物理地址(MAC)標(biāo)識(shí)，可在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表，實(shí)現(xiàn)物理地址過(guò)濾。這種方法的效率會(huì)隨著終端數(shù)目的增加而降低，而且非法用戶通過(guò)網(wǎng)絡(luò)偵聽(tīng)就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來(lái)非法接入。MAC地址的過(guò)濾服務(wù)集標(biāo)識(shí)符(SSID)匹配無(wú)線客戶端必需設(shè)置和無(wú)線訪問(wèn)點(diǎn)AP相同的SSID，才能訪問(wèn)AP；假如出示的SSID和AP的SSID不同，那么AP將拒絕它通過(guò)本服務(wù)集上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶群體分組，避開(kāi)隨意漫游帶來(lái)的平安和訪問(wèn)性能的問(wèn)題?？梢酝ㄟ^(guò)設(shè)置隱藏接入點(diǎn)(AP)及SSID的權(quán)限限制來(lái)達(dá)到保密的目的，因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)潔的口令，通過(guò)供應(yīng)口令認(rèn)證機(jī)制，實(shí)現(xiàn)確定的平安。圖2服務(wù)集標(biāo)識(shí)匹配在IEEE802.11中，定義了WEP來(lái)對(duì)無(wú)線傳送的數(shù)據(jù)進(jìn)行加密，WEP的核心是接受的RC4算法。在標(biāo)準(zhǔn)中，加密密鑰長(zhǎng)度有64位和128位兩種。其中有24Bit的IV是由系統(tǒng)產(chǎn)生的，須要在AP和Station上配置的密鑰就只有40位或104位。WEP加密原理圖如下：圖3WEP加密原理圖1、AP先產(chǎn)生一個(gè)IV，將其同密鑰串接(IV在前)作為WEPSeed，接受RC4算法生成和待加密數(shù)據(jù)等長(zhǎng)(長(zhǎng)度為MPDU長(zhǎng)度加上ICV的長(zhǎng)度)的密鑰序列；2、計(jì)算待加密的MPDU數(shù)據(jù)校驗(yàn)值ICV，將其串接在MPDU之后；3、將上述兩步的結(jié)果按位異或生成加密數(shù)據(jù)；4、加密數(shù)據(jù)前面有四個(gè)字節(jié)，存放IV和KeyID，IV占前三個(gè)字節(jié)，KeyID在第四字節(jié)的高兩位，其余的位置0；假如運(yùn)用Key-mappingKey，則KeyID為0，假如運(yùn)用DefaultKey，則KeyID為密鑰索引(0-3其中之一)。端口訪問(wèn)限制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP)IEEE802.1x并不是專為WLAN設(shè)計(jì)的。它是一種基于端口的訪問(wèn)限制技術(shù)。該技術(shù)也是用于無(wú)線局域網(wǎng)的一種增加網(wǎng)絡(luò)平安解決方案。當(dāng)無(wú)線工作站STA和無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后，是否可以運(yùn)用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。假如認(rèn)證通過(guò)，則AP為STA打開(kāi)這個(gè)邏輯端口，否則不允許用戶連接網(wǎng)絡(luò)。圖4802.1x端口限制在具有802.1x認(rèn)證功能的無(wú)線網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個(gè)WLAN用戶須要對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)之前必需先要完成以下的認(rèn)證過(guò)程。1.當(dāng)用戶有網(wǎng)絡(luò)連接需求時(shí)打開(kāi)802.1x客戶端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給AP，起先啟動(dòng)一次認(rèn)證過(guò)程。2.AP收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?lái)。3.客戶端程序響應(yīng)AP發(fā)出的請(qǐng)求，將用戶名信息通過(guò)數(shù)據(jù)幀送給AP。AP將客戶端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。4.認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息和數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給AP，由AP傳給客戶端程序。5.客戶端程序收到由AP傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不行逆的)，并通過(guò)AP傳給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比，假如相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過(guò)的消息，并向AP發(fā)出打開(kāi)端口的指令，允許用戶的業(yè)務(wù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持AP端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。WPA(Wi-FiProtectedAccess)WPA=802.1x+EAP+TKIP+MIC在IEEE802