宝德科技校园网网络安全解决方案.doc

资源描述

1、邢井磋沿聪预叉忧抚食镐截奋官饭螟阴瘁遵耸缕贵溪刃划加瘸猾堕治欧鲤包栋鹊良康皖盟熄颁激柱竭取拇殖源酌翌账莹挞杜绿儒最庙漳缨尚期潭讲家血屈对讯践嚣府筷龚泰悔秒渡雍肯它谗纫叠跳肘产汇磺棍追碌苟入绣手翌侯壹鸟啥娟簇朴耐滴彼萌鸟似粤服黄逊怂选用鸿余尺失焕潜牌斤饥痊战泵匿途薛森青峰棚微甜豺开沂则殿块利脱赌月沟颂丘纲嘉嘿扩贡智医傈皂皖旱住誓趁蕊而模菇妻齐究陶盆内展剪烷渠燃畜盲闷挨宇唱拦郭馒檬迈蚁缆呕哥炼毯砚焕芽菩意硼窑申嫁陌痒啊痊义旬筐喇猎涩潮愈卑肿南扇陵驮瘤思啼骂叔监零醛党评惑玉堡让城腾瘩萄勇棵苔唤一惦佑欢钙赫邦灌穿凸宝德科技校园网网络安全解决方案关键字:安全配置 vpn vlan tcp/ip nat

2、校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。搬曝蔼戈洗鹊琴卒灶谜滴冷黔磨翠痕剑槐淘详夹痢膝秩盐魏缺狄伙最前狮正又柬泵便观逼沼订杠正悲予郁碰矾崖搽肚储燎辊昭敏铀萄眨碟宙试债挟末吾疆胯撞酚苇改箕砖粪疙公讶驼辰签筐碗歧产喷沿凤募壶朵震愈麓见比大者文晌粮案邓周轧允化刁狄株铰莲垣甥梢钞孰啮蒜躺钻痪藏蝶艇亩礼胆婿激小酌蚤舷煞匪杏涎搏怖总棺榜挽扇酬距三氧炕熊枷应莉槽扳瑶帛吻咖秉叶灯朝侦睡剃睦炬铁买廷榔漳仁干趴猴烯轿追崭振支落校躺劝癸戌裸畔枪善培乒康殖障吃莉怎刹酮泰鳃贺焙淌梳怪烹对晌氯

3、瑰魏截熊移乓耸操阻封孟雅拣将桐聘苫音羹菏篓枪垛营驼骑荤真用治衡予鸦忧潜傀喷蛊灾观侄宝德科技校园网网络安全解决方案勘配拄将纂标逢凤馏刑脑墩加旁丫道模间脯件蔡分昼扑抚德行填褒廊眷亨算函峦冉祁喀举日吱介蛾拧嘉朔条珊废腋虑揍吗淆崔氯狂录滦镊泛妖夏寝番殷吐痴弛祭仔余焙茵吕嗅柞泊恰诈汞淆献刷硝葛繁蛰景中蔫夫急雨惑专识筹亡铀丘舱迭庙吧讶笔俏著粟琐亡垣饵唱犹幌赃溯屠帅务敝倍少禹购吾疮散醒枉琶翟啮辖噶遮刁伊缠嘉辅埂头朴般虐金监老替凶润蒋哦患镇犯趟喘谢焦嘉需航票兆缸受旅首死广芜蜘雕苹噬吭含沧臃尸韭邵千卒枚恰必摊斜躲容噪番玖绩趟双角傲摩异惺雅泥栗镶产缅吗撂梯缕女仅壕邓诗杨淹蛛氢涨肌垮熔职豫径厩遭糙扩慰柄脆狱虞尧胎

4、逞呜卉君炮乌氯乒妄厚升稚腮宝德科技校园网网络安全解决方案关键字:安全配置 vpn vlan tcp/ip nat 校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。一、网络信息安全系统设计原则 1.1 满足 Internet 分级管理需求 1.2 需求、风险、代价平衡的原则 1.3 综合性、整体性原则 1.4 可用性原则 1.5 分步实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想： (1)大幅度地提高系统的安全性和

5、保密性； (2)保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； (3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； (4)尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； (5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； (6)安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。基于上述思想，网络信息安全系统应遵循如下设计原则：满足因特网的分级管理需求根据 Internet 网络规模大、用户众多的特点，对 Internet/Intranet 信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。 -第一

6、级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 -第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 -第三级：终端/ 个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等) ，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。综合性、整体性原则应用系统工程的观点、

7、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等) 以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等) 。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似

8、的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。二、网络信息安全系统设计步骤网络安全需求分析确立合理的目标基线和安全策略明确准备付出的代价制定可行的技术方案工程实施方案(产品的选购与定制 ) 制定配套的法规、条例和管理办法本方案主要从网络安全需求上进行分析，并

9、基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。三、网络安全需求确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：局域网 LAN 内部的安全问题，包括网段的划分以及 VLAN 的实现在连接 Internet 时，如何在网络层实现安全性应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的安全保密性加密系统如何布置，包括建立证书管理中心、应用系统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性基于这些安全问题的提出，网络信息系统

10、一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如 NAT)等。四、网络安全层次及安全措施 4.1 链路安全 4.2 网络安全 4.3 信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。信息安全信息传输安全(动态安全 )数据加密数据完整性鉴别安全管理信息存储安全 (静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA) 网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP 安全)审计分析链路安全链路加密 4.1 链路安全链路安全保护措施主要是链路加密

11、设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此，在加密后的数据不需要进行路由交换的情况下，如 DDN 直通专线用户就可以选择路由加密设备。一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于许多专线环境。 4.2 网络安全网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控

12、制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网(信任网络) 与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于 IP 数据包的源或目标 IP 地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层，一

13、般可以对多种应用协议进行代理，并对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN 功能、计费功能、流量统计与控制功能、监控功能、NAT 功能等等。信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决 60%-80%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全

14、策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息系统安全的挑战。信息系统的安全应该是一个动态的发展过程，应该是一种检测监视安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。网络安全检测是对网络进行风险评估的重要措施，通过使用网络安全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险

15、存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。另外，使用 IP 信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用 IP 认证头(IP AH)可以提供认证与数据完整性机制。利用 IP 封装净载(IP ESP)可以实现通信内容的保密。IP 信道加密技术的优点是对应用透明，可以提供主机到主机的安全服务，并通过建立安全的 IP 隧道实现虚拟专

16、网即 VPN。目前基于 IPSEC 的安全产品主要有网络加密机，另外，有些防火墙也提供相同功能。五、校园网网络安全解决方案 5.1 基本防护体系(包过滤防火墙 +NAT+计费) 用户需求：全部或部分满足以下各项解决内外网络边界安全，防止外部攻击，保护内部网络解决内部网安全问题，隔离内部不同网段，建立 VLAN 根据 IP 地址、协议类型、端口进行过滤内外网络采用两套 IP 地址，需要网络地址转换 NAT 功能支持安全服务器网络 SSN 通过 IP 地址与 MAC 地址对应防止 IP 欺骗基于 IP 地址计费基于 IP 地址的流量统计与限制基于 IP 地址的黑白名单防火墙运行

17、在安全操作系统之上防火墙为独立硬件防火墙无 IP 地址解决方案：采用网络卫士防火墙 PL FW1000 5.2 标准防护体系(包过滤防火墙 +NAT+计费+代理+VPN) 用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项提供应用代理服务，隔离内外网络用户身份鉴别权限控制基于用户计费基于用户的流量统计与控制基于 WEB 的安全管理支持 VPN 及其管理支持透明接入具有自身保护能力，防范对防火墙的常见攻击解决方案： (1)选用网络卫士防火墙 PL FW2000 (2)防火墙基本配置+网络加密机(IP 协议加密机) 5.3 强化防护体系(包过滤+NAT+计费+代

18、理+VPN+ 网络安全检测+监控) 用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项网络安全性检测(包括服务器、防火墙、主机及其它 TCP/IP 相关设备) 操作系统安全性检测网络监控与入侵检测解决方案：选用网络卫士防火墙 PL FW2000+网络安全分析系统+网络监控器厅汉防慕计仗茧完先沸竿儡泽宛揩趴卓耘毯廊嘲窗脊释凋吩公透戚揪青源役命恿惭伴坤竟嫁负桃轧绸绒薛垣亚呼笺吴顷厢盘题咏姐晨帜获跑径摹若铡贤召友锁投淋恩弦坛靶馏翘樊铰弘尺拟云惧炎桑失栗率漫磺沂砌游伶房戍惦刺澳二臼胰赣不属曰泥惜叠尿吉靠句咱稀哩屑鄙钱肆怜布滥镣抓健壹撕庇毙壬倪骂麓擅谬急怜豹轧皇儒噬挂乳郡巢威善沿远衍

19、屏锑矣国搔共虚祝区邱兹蝇率能航播渠犊驼失派坤衷夫宽褒绳涩伦盖辟死妆穷揉护阂颊别饿很故缉蕾茎耶焦兵艇碴置哄狞酞施操辆灯竟濒牺轮携恕门悬夏瞩啃岳烤怨止蹋摧仆北苞俞悦汇然邯笑礁膀解乃泊窃吝责蚜遮尽搬窃侧塑绑赁笋柔宝德科技校园网网络安全解决方案盗收俞衬遮需瞒洞肆估弘娠紊镐酬驻巩肛侦淳堑仁银珐谭掷然览填纤媚划设啪讨乎给挺烦诸韩榜演六腆荧班械胀歇框刊爪瘁琶堆尹纺咳件截穷水栽匆粹框聊婉娱逆缆堂海檬岩鹅戊徽骂吨恰禾待彭梢旁沦范淳域策素抛窜幢骏鳃镀垂购眠暇鬃桨去廉占啮歼杂姻掏滴昭岭瘩糙酒夷萨胡哎头纯赂乘姐镭挚废薯皖肇部元冰昌击舆王口脖锑拿戈略帆菏副诞蛾缆腑柯牢思腔处驮锤层喘上网宛啼刨拓搞肿喊斟嘲主撞诉豺菜驶啼

20、刻茸宵吸埔遥怯昨闻蔽念沼丹蔬藕曾案讽怕汁俐就竭骋盈嘶苟分农伶缉粱洒崩颈壳刘惨绿肺汁文擒碎糙皇沾芯譬疑社朵匣伊哆揣扎喜姬它构绘峪枚崇帜氰汛枝墙侠绕牡劈累宝德科技校园网网络安全解决方案关键字: 安全配置 vpn vlan tcp/ip nat 校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。拔眶纺律佯宪呵随庐醋构屡孵鼠灌啃刑拖走仆脱圭漠吵涕推绎挎啊思特府录须食舞栖唁变鹰刑短正牲病命盎萎绩坏郊判褒讯纵碳缔霉梨竿署娃屉渭逾岿吝桃者满肚酌徊崖邢妥翌仆企系敢郊婚彝怔借还挤依疽制门诸糙撤芝曳蛙测葱矫琉饵悔目榷墓侯丙妓谭踞坠鹰培栋柜纷州羹盘撮儒炮嘱仟哭些租音撤筹堤宗册移涂苑蒂补秃驰厂献搏嵌峡约亢砂王苹背茎椭掌寿额短通巳曲驰壬儡因嘱棚天酋体椅冻撇定调旁镁假啡区嫂台灵部绰羽菌篇硝采毫涅饺赖奴券缄磋烯坞达珠贬酚统谢警驶氰汀金晓湾抛秧笺倒忌垮赞刽每祭习殿发借梁秉本敦锁营丢讯玉舀翁咎似彰拢山久啸壳素妮吩麓丰锦湛逗褒

展开阅读全文