标准的网络安全设计方案.docx
《标准的网络安全设计方案.docx》由会员分享,可在线阅读,更多相关《标准的网络安全设计方案.docx(36页珍藏版)》请在课桌文档上搜索。
1、标准的网络安全设计方案某校园网方案2网络防*设计中的网题16如何构建网络好安全方案22四台Cisco防火墙实现VPN网络27M级防火墙选购然点27增强路由联全的十个技巧28启明星辰银行安全防御方案28神科基金公司值总安全解决方案30安天校园网解决方案32网络入侵做解决方案34企业需要什么样的IDS潴试IDS的几个性能指株35东软安全助力骷信用风险管理信息系统35某校园网方案1.1 设计原则1 .充分满足现在与未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2 .强大的安全管理措施,四分建设、六分管理,管理保护的好坏处校园网正常运行的关键3 .在满足学校的需求的前
2、提下,建出自己的特色1.2 网络建设需求网络的稳固性要求整个网络需要具有高度的稳固性,能够满足不一致用户对网络访问的不一致要求网络高性能需求整个网络系统需要具有很高的性能,能够满足各类流媒体的无障碍传输,保证校园网各类应用的畅通无阻认证计由效率高,对用户的认证与计戕不可能对网络性能造成瓶颈网络安全需求防止IP地址冲突非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求需要方便的进行用户管理,包含开户、销户、资料修改与查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理第二章、某校园网方案设计2.1 校园网现网拓扑图WH图书馆tat整个网络
3、使用二级的网络架构:核心、接入。核心使用一台RGS4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口使用RG-WALLI200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。2.2 校园网设备更新方案方案一:不更换核心设备区各用3台S2126G替换原有S1926F+,其中汇聚交换机各使用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,使用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全操纵,重点区域在接入层进行
4、安全操纵的网络布局。方案二:更换核心设备东校区RG-WALLS8610.1926F*S2126GS2126G 交换机Internet交换机交换机S1926F*IlM 管 S1926F+ IIIq 管西校区S2126GS2126G S2126GS2126GS4909核心使用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责鳖个校园网的数据转发.在中校区增加一台SAM服务器,部暑SAM系统,同时东校区与西校区各用3台S2126G普换原有S1926F+将原有的S4909放到东校区做为校园网拓扑图(更换核心)中心机房汇聚设备,下接三台S2126G实现安全掾纵,其它二层交换
5、机分别接入相应的S2126G.西校区汇聚使用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G.中校区的网络结构也做相应的调整,使用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全操纵,重点区域在接入层进行安全操纵的网络布局.2.3 骨干网络设计骨干网络由RG-S8606构成,核心交换机RG-S8606要紧具有5特性:锐捷10万兆产品RG-S8600的五大特色1、骨干网带宽设计:千兆骨干,可平滑升级到万兆整个骨干网使用千兆双规线路的设计,二条线路通过VRRP冗余路由协议与OSPF动态路由协议实现负载分
6、担与冗余备份,以后,随着网络流量的增加,能够将链路升级到万兆。2、骨干设备的安全设计:CSS安全体系架构3、CSS之硬件CPPCPP即CPUPrOteCtPOIicy,RG-S8606使用硬件来实现,CPP提供管理模块与线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QoS队列带宽、类型报文带宽),这样,关于ARP攻击的数据流、针对CPU的网络攻击与病毒数据流,RG-S8606分配给其的带宽非常的有限,不可能影响其正常工作。由于锐捷10万兆产品RG-S8606使用硬件的方式实现,不影响整机的运行效率4、CSS之SPoH技术现在的网络需要更安全、需要为不一致的业务提供不一致的处理
7、优先级,这样,大量的ACL与QoS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL与QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,能够保证在非常复杂的网络环境中核心交换机的高性能。数据接口MMUGPICFFPGPICFFPGPICFFPGPICFFPGPICFFPGPICFFPmemory图图IPMC Itablel2.4 网络安全设计2.4.1 某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就处用户数比较多,
8、会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAc地址的盗用IP、MAC地址的盗用的原因:某校园网使用静态IP地址方案,假如缺乏有效的IP、MAC地
9、址管理手段,用户能够随意的更换IP地址,在网卡属性的高级选项中能够随意的更换MAC地址。假如用户有意无意的更换自己的IP、MAC地址,会引起多方冲突,假如与网关地址冲突,同一网段内的所有用户都不能使用网络:假如恶意用户发送虚假的IP、MAc的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多烦恼的网络,由于大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作与学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码
10、、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网与网络中心的信心会逐步减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:国家的要求:2002年,朱铭基签署了282号令,要求各大INTERNET运营机构(包含高校)务必要储存60天的用户上网记录,以待有关部门审计。校园网正常运行的需求:假如说不能准确的定位到用户,学生会在网络中肆无忌弹进行各类非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,假如当某个学生在校外的某个站点公布了大量涉及政治的言论,这时候
11、公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全情况发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理:同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。5、用户上网时间的操纵无法操纵学生上网时间的影响:假如缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉与学校的长期进展是及其不利的。6、用户网络权
12、限的操纵在校园网中,不一致用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的操纵。7、各类网络攻击的有效屏蔽校园网中常见的网络攻击比如MACFLe)C)D、SYNFLOOD,DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。2.4.2 某校园网网络安全方案设计思想2.4.2.1 安全到边缘的设计思想用户在访问网络的过程中,首先要通过的
13、就是交换机,假如我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.422全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的情况,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.423全程安全的设计思想用户的网络访问行为能够分为三个阶段,包含访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全操纵措施。2.4.3 某校园网网络安全方案锐捷网络结合SAM系统与交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的
14、实时处理、事后的完整审计。2.4.3.1 事前的身份认证关于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包含用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户Pe所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的同意访问网络的时间,通过以上信息的绑定,能够达到如下的效果:每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现睾事者的一项信息比如IP地址,就能够准确定位到该用户,便于情况的处理。只有通过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒
15、、黑客程序的通道。2.4.3.2 络攻击的防范1、常见网络病毒的防范关于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不可能影响到网络中的其他用户,保证了校园网网络带宽的合理使用。2、未知网络病毒的防范关于未知的网络病毒,通过在网络中部署基于数据流类型的带宽操纵功能,为不一致的网络应用分配不一致的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不可能影响到要紧网络应用的运行,从而保证了网络的高可用性。3、防止IP地址盗用与A
16、RP攻击通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP与源MAC是否与端口安全规则一致,假如不一致,视为更换了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。4、防止假冒IP、MAC发起的MACFloodSYNHood攻击通过部署IP、MAC、端口绑定与IP+MAC绑定(只需简单的一个命令就能够实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。5、非法组播源的屏蔽锐捷产品均支持IMGP源端口
17、检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效操纵非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性与全网的性能,同时能够有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化与潮流下具有明显的优势,而且也是网络带宽合理的分配所务必的。同时IGMP源端口检查,具有效率更高、配置更简单、
18、更加有用的特点,更加适用于校园运营网络大规模的应用环境。6、对DOS攻击,扫描攻击的屏蔽通过在校园网中部署防止DoS攻击,扫描攻击,能够有效的避免这二种攻击行为,节约了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3 事后的完整审计当用户访问完网络后,会储存有完备的用户上网日志纪录,包含某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。假如安全事故发生,能够通过查询该日志,来唯一的确定该用户的身份,便于了情况的处理。2.5 网络管理设计网络管理包含设备管理、用户管理、网络故障管理2.5
19、.1 网络用户管理网络用户管理见网络运营设计开户部分2.5.2 网络设备管理网络设备的管理通过STARVIEW实现,要紧提供下列功能,这些功能也是我们常见的解决问题的思路:1、网络现状及故隙的自动发现与熟悉STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,关于用户私自挂接的HUB、交换机等设备能及时地发现,提早消除各类安全隐患。关于网络中的特殊故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都能够以不一致的颜色进行显示,方便管理员及时地发现网络中的特殊情况。2、网络流量的查看STARVIEW在网络初步特殊的情况下,能进一步的察看网络中的
20、全面流量,从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARV正W支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员SIErent的界面上能看到各类故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。文件。)编辑(J)查着心事件期选项(Q)阳助如圃凶W,脚闻I曲3也会事件期TraP事件阈值报警事件-系统事件:质件简设备重起规剜设曾修改事件以JIJ谓苜先选择条件和摄作,然后在猫述中指定值.1选探视则条件:这朝UwS用于所杳事件.上移I 下膝 I权财明:定义事件如3若事件类型:乏?件源I针对所利的事件2选择双剜*作:-怦到达后应用
21、本坡取若审件类型为热自动/ 移动到造聋重起 gD Pr0Qw Fl, Eai 1 通知 ,x tQx(r;22氏翳第变/事件到达后将暮动到指定蛆若事件类型为热启空”称动到处童&X声音等告D Pro FII八送建网隆网居田腐公)StuV . 今WEfI通知butrHtrfQ, Cft4硒名称:”到达后做於修通事件到达后咚四处工丽新知,投件Sl这个信IB仪件 声音告善I 股清4、设备面板管理STARVIEW的设备面板管理能够很清晰的看到校园中设备的面板,包含端口数量、状态等等,同时能够很方便的登陆到设备上,进行配置的修改,完善与各类信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就
22、是规模大,需要使用大量的接入层交换机,假如需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。2.53网络故障管理随着校园网用户数的增多,特别是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点与难点,传统的网络故障解决方式要紧是这样一个流程:上不了网?3=A打电话、去网络中心/1网管员手工登记受理),SL/与用户预约,上门处理+R=I网管员安排处理人员和时间2.6 流量管理系统设计网络中的流量情况是网络是否正常的关键,网络中大量的P
23、2P软件的使用,已经对各类网络业务的正常开展产生了非常严重的影响,有的学校甚至由于P2P软件的泛滥,直接导致了网络出口的瘫痪。261方案一:传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到操纵流量的目的,这有三大弊端,第一:这些软件之因此有如此强大的生命力,是由于用户通过使用这些软件的确能快速的获取各类有用的资源,假如简单的通过禁止的方式,用户的意见会非常的大,同时,各类有用的资源我们很难获取。第二:各类新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。第三:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 标准 网络安全 设计方案

链接地址:https://www.desk33.com/p-334862.html