校園網網絡安全方案設計

武漢輕工大學數學與計算機學院校園網絡平安系統建設方案 專業(yè)班級學號姓名指導教師2014年11月8日第一章、校園網方案設計原那么與需求1.1設計原那么充分滿足現在以及未來3-5年內的網絡需求，既要保證校園網能很好的為學校效勞，又要保護學校的投資。強大的平安管理措施，四分建設、六分管理，管理維護的好壞是校園網正常運行的關鍵在滿足學校的需求的前提下，建出自己的特色1.2網絡建設需求網絡的穩(wěn)定性要求整個網絡需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網絡訪問的不同要求網絡高性能需求整個網絡系統需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網各種應用的暢通無阻認證計費效率高，對用戶的認證和計費不會對網絡性能造成瓶頸網絡平安需求防止IP地址沖突非法站點訪問過濾非法言論的準確追蹤惡意攻擊的實時處理記錄訪問日志提供完整審計網絡管理需求需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢需要能夠對網絡設備進行集中的統一管理需要對網絡故障進行快速高效的處理第二章、某校園網方案設計2.1校園網現網拓撲圖整個網絡采用二級的網絡架構：核心、接入。核心采用一臺RG－S4909，負責整個校園網的數據轉發(fā)，同時為接入交換機S1926F+、內部效勞器提供百兆接口。網絡出口采用RG-WALL1200防火墻。原有網絡設備功能較少，無法進行平安防護，已經不能滿足應用的需求。2.2校園網設備更新方案方案一：不更換核心設備核心仍然采用銳捷網絡S4909交換機，在中校區(qū)增加一臺SAM效勞器，部署SAM系統，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中會聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關鍵機器的保護，中校區(qū)的網絡結構也做相應的調整，采用現有的兩臺S2126G做為會聚設備，其它交換機分別接入這兩臺交換機，從而實現所有會聚層交換機都能進行平安控制，重點區(qū)域在接入層進行平安控制的網絡布局。方案二：更換核心設備核心采用一臺銳捷網絡面向10萬兆平臺設計的多業(yè)務IPV6路由交換機RG-S8606，負責整個校園網的數據轉發(fā)。在中校區(qū)增加一臺SAM效勞器，部署SAM系統，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為會聚設備，下接三臺S2126G實現平安控制，其它二層交換機分別接入相應的S2126G。西校區(qū)會聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。中校區(qū)的網絡結構也做相應的調整，采用現有的兩臺S2126G做為會聚設備，其它交換機分別接入這兩臺交換機，從而實現所有會聚層交換機都能進行平安控制，重點區(qū)域在接入層進行平安控制的網絡布局。2.3骨干網絡設計骨干網絡由RG-S8606構成，核心交換機RG-S8606主要具有5特性：1、骨干網帶寬設計：千兆骨干，可平滑升級到萬兆整個骨干網采用千兆雙規(guī)線路的設計，二條線路通過VRRP冗余路由協議和OSPF動態(tài)路由協議實現負載分擔和冗余備份，以后，隨著網絡流量的增加，可以將鏈路升級到萬兆。2、骨干設備的平安設計：CSS平安體系架構3、CSS之硬件CPP由于銳捷10萬兆產品RG-S8606采用硬件的方式實現，不影響整機的運行效率4、CSS之SPOH技術現在的網絡需要更平安、需要為不同的業(yè)務提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復雜的網絡環(huán)境中核心交換機的高性能。骨干設備的穩(wěn)定性設計：三平面別離技術數據平面、管理平面、控制平面別離的設計思想交換機中的數據類型可以分為三大類：數據平面：各種二層\三層\組播\ACL\QOS數據管理平面：通過TELNET、SNMP對設備進行管理維護的數據流控制平面：各種協議比方STP、ARP、OSPF、RIP交互的數據流2.4網絡平安設計2.4.1某校園網網絡平安需求分析1、網絡病毒的防范病毒產生的原因：某校園網很重要的一個特征就是用戶數比擬多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網共享文件的時候，通過U盤，光盤拷貝文件的時候，系統都會感染上病毒，當某個學生感染上病毒后，他會向校園網的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給效勞器。病毒對校園網的影響：校園網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗，用戶正常的網絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網資源卻不能使用的為難境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方沖突，如果與網關地址沖突，同一網段內的所有用戶都不能使用網絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網數據包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網的影響：在用戶看來，校園網絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W絡，因為大量的IP、MAC沖突的現象導致了用戶經常不能使用網絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經常彈出MAC地址沖突的對話框。由于擔憂一些機密信息比方銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網絡的使用，這樣，學生、老師對校園網以及網絡中心的信心會逐漸減弱，投入幾百萬的校園網也就不能充分發(fā)揮其效勞于教學的作用，造成很大程度上的資源浪費。3、平安事故發(fā)生時候，需要準確定位到用戶平安事故發(fā)生時候，需要準確定位到用戶原因：國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構〔包括高?！潮仨氁４?0天的用戶上網記錄，以待相關部門審計。校園網正常運行的需求：如果說不能準確的定位到用戶，學生會在網絡中肆無忌彈進行各種非法的活動，會使得校園網變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的比方法輪功的言論，這時候公安部門的網絡信息平安監(jiān)察科找到我們的時候，我們無法處理，學?；蛘哒f網絡中心只有替學生背這個黑鍋。4、平安事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的平安事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。5、用戶上網時間的控制無法控制學生上網時間的影響：如果缺乏有效的機制來限制用戶的上網時間，學生可能會利用一切時機上網，會曠課。學生家長會對學校產生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期開展是及其不利的。6、用戶網絡權限的控制在校園網中，不同用戶的訪問權限應該是不一樣的，比方學生應該只能夠訪問資源效勞器，上網，不能訪問辦公網絡、財務網絡。辦公網絡的用戶因該不能訪問財務網絡。因此，需要對用戶網絡權限進行嚴格的控制。7、各種網絡攻擊的有效屏蔽校園網中常見的網絡攻擊比方MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP效勞器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的播送報文，這些攻擊的存在，會擾亂網絡的正常運行，降低了校園網的效率。2.4.2某校園網網絡平安方案設計思想平安到邊緣的設計思想用戶在訪問網絡的過程中，首先要經過的就是交換機，如果我們能在用戶試圖進入網絡的時候，也就是在接入層交換機上部署網絡平安無疑是到達更好的效果。全局平安的設計思想銳捷網絡提倡的是從全局的角度來把控網絡平安，平安不是某一個設備的事情，應該讓網絡中的所有設備都發(fā)揮其平安功能，互相協作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡平安。全程平安的設計思想用戶的網絡訪問行為可以分為三個階段，包括訪問網絡前、訪問網絡的時候、訪問網絡后。對著每一個階段，都應該有嚴格的平安控制措施。3、網絡故障的信息自動報告STARVIEW支持故障信息的自動告警，當網絡設備出現故障時，會通過TRAP的方式進行告警，網絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。4、設備面板管理STARVIEW的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信息的觀察。5、RGNOS操作系統的批量升級校園網很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網絡管理員的工作量。網絡故障管理隨著校園網用戶數的增多，尤其是宿舍網運營的開始，用戶網絡故障的排除會成為校園網管理工作的重點和難點，傳統的網絡故障解決方式主要是這樣一個流程：打、去網絡中心上不了網？網管員手工登記受理打、去網絡中心上不了網？網管員手工登記受理與用戶預約，上門處理網管員安排處理人員和時間與用戶預約，上門處理網管員安排處理人員和時間對于這種傳統的網絡故障解決方法，有以下的幾個弊端：1、網管員工作量大當用戶出現網絡故障時，需要通過或者到網絡中心進行報修，也就是說網管員經常會被打攪，網管員日常的工作思路會受到影響，再者，接待學生的態(tài)度很不好把握，會造成用戶對網管員態(tài)度有看法，對網絡中心的聲譽產生負面影響。網管需要手工登記用戶故障信息，需要一定的時間，造成效率降低。需要與用戶預約故障處理時間，效率低，浪費較多的網絡故障是用戶方的問題，網管上門效勞價值太低2、網絡故障表單管理混亂手工填寫的故障表單容易喪失，表單喪失，意味著故障信息喪失，會嚴重影響網管員的工作A管理員受理學生來故障，很有可能到時候是B管理員來處理，存在信息很難完全同步的問題，導致故障處理受到影響。重復受理，如果學生今天來報了故障，網絡中心沒有解決，那第二天，他可能又會去報修，導致故障重復，干擾網管的正常