校园网安全设计
目 录
1. 引言 1
2. 需求分析 1
2.1 商业目标 1
2.2 技术目标 2
3. 网络拓扑结构与设计 2
4. 安全方案 3
4.1 路由器和交换机的安全功能 3
4.2 安全措施 4
4.2.1 基于包过滤的防火墙技术 4
4.2.2 日志功能 4
4.2.3 NAT网络地址转换技术 4
4.2.4 IP地址-MAC地址绑定技术 4
4.2.5 动态路由协议认证技术 4
4.2.6 访问控制 4
4.2.7 防arp攻击 5
4.3 主机的安全 5
1. 引言
学校,尤其是各大高校,作为知识基地和人才基地,它理应成为代表信息产业技术发展的最前沿,然而现状是工业水平高于学术水平。即使这样,1994年中国教育科研网 (CERNET)正式启动以来,已与国内几百所学校相连,2000年该网“二期工程”完成时,除达到连接1000所大学的目标外,对有条件的中小学也将提供上网接入服务。但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费。如何利用当前先进的计算机技术与校园网资源,实现学校各项业务系统的集成,提高应用水平成为学校校园网建设的工作重点。校园网在国内发展还不成熟,学校、媒体甚至计算机业界,对校园网都缺乏全面、深入的理解和认识,带有一定的盲目性和偏见。建设校园网要经过周密的论证、谨慎的决策和紧张的施工。目前存在的一些情况是,网建成了,问题也出现了:设计目标无法实现;应用软件缺乏,阻碍了设想实施;维护费用不堪承受等等。这就需要在网络建设实施前确定明确的设计目标,是技术和成本找到最佳点,并考虑到日后的升级,既可扩展性。
我们所要设计的校园网络的基本情况是:校园分为南、北(新旧)两个校区。南校区主要有图书馆、计算机学院和管理学院。北校区主要是科研大楼、通信学院和理学院。
2. 需求分析
一个良好的设计方案除体现出网络的优越性能之外,还体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。因此,设计时要考虑以下问题:
(1)要适应未来网络的扩展和拓扑结构的变化;
(2)要能为特定的师生用户或用户组提供访问路径;
(3)要保证网络能不间断地运行;
(4)当网络扩大和应用增加时,变化的网络结构要能应付相应的带宽要求;
(5)使用频率较高的应用能够支持网上大多数的师生用户;
(6)能合理地分配用户对网内、网外的信息流量;
(7)能支持较多的网络协议,扩大网络的应用范围;
(8)支持IP的单点传送和多点广播数据流。
基于本学校北区的具体情况,结合以上理论,我们总结出了以下一个商业目标和技术目标。
2.1 商业目标
主要用于多媒体教学、行政办公、学籍和人事管理、图书管理、财务管理、信息共享、视频点播、WEB服务、电子公告、科研和技术交流以及Internet应用等。
提高教员的效率,允许教员和其他学院的同仁一起参与更多的项目研究,提高学生的效率,消除交作业难的问题,允许访问者使用他们的无线笔记本电脑从园区网络访问互连网络,保护网络防止入侵。
2.2 技术目标
整个校园网应达到以下目标:
(1)实现全院教师机联网,提供电子邮件服务、WWW服务、Telnet服务、FTP服务、VOD视频服务、网络电视直播服务、DNS和BBS等;
(2)建立一个国内外联网的高速数据通信系统,满足学院内外,国内外学术交流,图书资料查询;
(3)建立一个功能齐全,处理能力强的事务处理系统,支持学院的教学科研和行政管理;
(4)建立起一个能实现资源共享和协同工作的分布式教师机系统,满足科学研究和学科建设需要;
(5)建立具有多媒体功能的CAI系统,便于教学体制改革,丰富教学内容,改进教学方法;
(6)建立一个教师和学生能自由使用网上综合资源的分布式上机环境。
3. 网络拓扑结构与设计
网络拓扑结构如图1所示:
图1 网络拓扑结构图
(1)校园网与外网接口连接一台出口路由器,一侧连接防火墙,另一侧有两个GE出口分别 连接电信城域网和CERNET网络;同时出口路由器提供统一网管平台、AAA/RADIUS系 统、BRAS设备的接口。这样既可以保证校园网与外网接口的安全可靠性,又可以保证 统一网管平台的安全性,以及上网客户计费及管理。
(2)核心层采用三台Cisco 6509交换机,负载均衡。网络信息中心和新老校区各放置一台,设备之间互联采用千兆光纤直连,业务流量增加后,可以平滑升级至万兆链路。新校区和老校区核心设备均连接校园媒体服务器组,便于进行多媒体及视频教学。
(3)汇聚层采用四台Cisco 4506交换机,南校区汇聚层采用两台Cisco 4506交换机,可分别放置在新老校区的计算机学院、管理学院、通信学院和理学院四个汇聚点。汇聚层设备全部支持光口千兆上行。
(4)接入层采用Cisco 2950交换机,该两款均支持百兆/ 千兆光口上行,分别放置在各楼宇接入点。
表1 IP地址划分配表
4. 安全方案
安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用,学校网络不再是一个封闭的网络,极大地扩展了学校的业务,提高了学校的竞争力,但同时也带来网络安全的风险。网络设计中必须制定网络安全策略,保证内部网络的完整性和安全性。
所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问,甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看,可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击,如常见的监听、IP地址欺骗、路由协议攻击、ICMP Smurf攻击等;网络服务过程主要是针对TCP/UDP以及局域其上的应用层协议进行,如常见的UDP/TCP欺骗、TCP流量劫持、TCP Dos、FTP反弹、DNS欺骗等等;软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序,甚至是基于WEB的软件系统发起攻击。从安全威胁的手法来看,蠕虫、拒绝服务、舰艇、木马、病毒……都是常见的攻击工具。
4.1 路由器和交换机的安全功能
路由器实现的网络安全技术有: VPN技术:IPSec、GRE;包过滤技术;日志功能;NAT网络地址转换;PPP协议PAP、CHAP认证;PPP协议Callback技术;IP地址-MAC地址绑定技术;路由信息认证技术; IEEE 802.1Q VLAN技术。
4.2 安全措施
4.2.1 基于包过滤的防火墙技术
路由器支持基于包过滤的防火墙技术,防火墙访问列表根据IP报文的IP报头及所承载的上层协议(如TCP)报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报文的以下属性:
(1)IP的源、目的地址及协议类型
(2)TCP或UDP的源、目的端口
(3)ICMP码、ICMP的类型码
(4)TCP的标志域
(5)服务类型TOS
(6)IP报文的优先级(precedence)
4.2.2 日志功能
日志(log)功能用于将路由器产生的各种信息以日志形式记录到具备Syslog功能的主机上(如Unix主机或运行Syslogd的主机)。日志功能与访问列表功能相结合可以任意定义所要记录的信息,以备查用,如跟踪记录黑客攻击报文等。
4.2.3 NAT网络地址转换技术
网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了内部网络的结构,增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。
选择路由器支持静态地址翻译(SNAT)、端口地址翻译(PAT)、动态地址翻译(DNAT)。可以支持带访问列表的地址转换,用来限定可以进行地址转换的内部主机地址,有效地控制内部主机对外部网络的访问;同时还可以根据地址池,进行多对多的地址转换,合理地利用公共的合法IP地址资源;利用网络地址转换,可以在屏蔽内部地址的同时,确保了对外的各种网络服务的安全性。
4.2.4 IP地址-MAC地址绑定技术
MAC地址绑定技术是通过在路由器中静态配置IP地址和MAC地址的映射关系来完成ARP应答来实现的。
4.2.5 动态路由协议认证技术
路由器是根据路由信息来发送报文的,而路由信息恰恰又是通过网络在不同的路由器间转发的。所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。我们学校校园网配置OSPF协议。
4.2.6 访问控制
也可以在核心交换机或者汇聚交换机上设置访问控制,比如限制不同网段之间的互访,但是允许这两个网段对中心服务器的访问。设置允许两个网段上特定的主机可以访问外网和Internet等。
在核心交换机上可以设置ACL访问控制列表,端口监控等,控制和管理特定服务,如允许http、Mail、Ftp等服务,而禁止其他不需要的服务和端口,如禁止外部发起的ICMP报文等;采用NAT地址转换技术,实现上网。可以采用静态、动态NAT,PAT等多种方式,对于内部某些对外的服务器,如Web服务器、Mail服务器、DNS服务器、FTP服务器等,可以采用静态NAT方式建立内外网地址和特定端口之间的静态映射。而一般用户可以采用动态地址池,端口地址转换等方式实现上网。
4.2.7 防arp攻击
防arp攻击这项功能,在统计周期和吞吐量的设定上最好使用默认配,只需要在全局和端口下开启此功能即可。我们可拥有内建的防制ARP功能,借助自动检视封包的机制,侦测过滤可疑的封包,做为防制ARP攻击的第一道防线。当然如果网管人员可搭配IP /MAC双向绑定,在路由器端以及各个系所或是宿舍内的PC端进行IP/MAC绑定,即可达到防堵ARP无漏洞的效果。另外一方面,由于网络信息包罗万象,有许多不当应用或网站例如BT下载等,对于校园学子风气有不良的影响,应透过防火墙Access Rule存取规则或网页内容管制设定,针对特定的网域或关键词搜寻予以封锁服务。
4.3 主机的安全
主机是最可能被攻击的目标之一,同时从安全方面也有最多的困难。学校网中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机器提供服务,所以主机在网络中必须是可见的,因此主机是最可能被尝试侵入的。为保证主机的安全,需要注意到系统中的每一部件。保持操作系统和防毒软件的及时的更新;安装适当的经过测试的补丁程序。虽然强效防火墙,可防止一般的攻击,但目前许多病毒与攻击层出不穷,校园网络又如此庞大,因此万一不幸中毒,也希望可以尽量缩小感染的范围,不致扩散到整体网络。因此,各个系所以及学生宿舍都必须建置基础的VLAN隔离,才不会导致某一层宿舍里某个学员中毒,造成整个学生宿舍网络全面感染中毒的状况。
VLAN的概念是让网管依据不同网段,划分出不同的局域网,比如宿舍区可区分为一楼、二楼、三楼等不同VLAN,再使用VLAN功能将一楼、二楼、三楼不同局域网区分为VLAN1、VLAN2、VLAN3…作为隔离。如此一来不同VLAN的局域网便不能互相访问,便可限制病毒与无用信息流通。也就是说,当一个VLAN中(例如:一楼)有人不幸中毒,只会影响同一个VLAN(一楼)内的VLAN,不会扩散到整个学生宿舍,可有效避免广播及病毒封包迅速扩散全网,大大降低感染区域。
