校園網(wǎng)絡(luò)安全方案設(shè)計

校園網(wǎng)絡(luò)平安方案設(shè)計班級：學(xué)號：設(shè)計人：李**設(shè)計日期：2010-12-22第一章、校園網(wǎng)方案設(shè)計原那么與需求1.1設(shè)計原那么

1.充分滿足現(xiàn)在以及未來3-5年內(nèi)的網(wǎng)絡(luò)需求，既要保證校園網(wǎng)能很好的為學(xué)校效勞，又要保護學(xué)校的投資。

2.強大的平安管理措施，四分建設(shè)、六分管理，管理維護的好壞是校園網(wǎng)正常運行的關(guān)鍵

3.在滿足學(xué)校的需求的前提下，建出自己的特色網(wǎng)絡(luò)的穩(wěn)定性要求

整個網(wǎng)絡(luò)需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡(luò)訪問的不同要求

網(wǎng)絡(luò)高性能需求

整個網(wǎng)絡(luò)系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應(yīng)用的暢通無阻

認證計費效率高，對用戶的認證和計費不會對網(wǎng)絡(luò)性能造成瓶頸

網(wǎng)絡(luò)平安需求

防止IP地址沖突

非法站點訪問過濾

非法言論的準確追蹤

惡意攻擊的實時處理

記錄訪問日志提供完整審計網(wǎng)絡(luò)管理需求

需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢

需要能夠?qū)W(wǎng)絡(luò)設(shè)備進行集中的統(tǒng)一管理

需要對網(wǎng)絡(luò)故障進行快速高效的處理第二章、校園網(wǎng)方案設(shè)計整個網(wǎng)絡(luò)采用二級的網(wǎng)絡(luò)架構(gòu)：核心、接入。核心采用一臺RG－S4909，負責整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)，同時為接入交換機S1926F+、內(nèi)部效勞器提供百兆接口。網(wǎng)絡(luò)出口采用RG-WALL1200防火墻。原有網(wǎng)絡(luò)設(shè)備功能較少，無法進行平安防護，已經(jīng)不能滿足應(yīng)用的需求。方案一：不更換核心設(shè)備核心仍然采用銳捷網(wǎng)絡(luò)S4909交換機，在中校區(qū)增加一臺SAM效勞器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中會聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關(guān)鍵機器的保護，中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為會聚設(shè)備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有會聚層交換機都能進行平安控制，重點區(qū)域在接入層進行平安控制的網(wǎng)絡(luò)布局。方案二：更換核心設(shè)備核心采用一臺銳捷網(wǎng)絡(luò)面向10萬兆平臺設(shè)計的多業(yè)務(wù)IPV6路由交換機RG-S8606，負責整個校園網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)。在中校區(qū)增加一臺SAM效勞器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為會聚設(shè)備，下接三臺S2126G實現(xiàn)平安控制，其它二層交換機分別接入相應(yīng)的S2126G。西校區(qū)會聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應(yīng)的S2126G。中校區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)也做相應(yīng)的調(diào)整，采用現(xiàn)有的兩臺S2126G做為會聚設(shè)備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有會聚層交換機都能進行平安控制，重點區(qū)域在接入層進行平安控制的網(wǎng)絡(luò)布局。骨干網(wǎng)絡(luò)由RG-S8606構(gòu)成，核心交換機RG-S8606主要具有5特性：

骨干網(wǎng)帶寬設(shè)計：千兆骨干，可平滑升級到萬兆整個骨干網(wǎng)采用千兆雙規(guī)線路的設(shè)計，二條線路通過VRRP冗余路由協(xié)議和OSPF動態(tài)路由協(xié)議實現(xiàn)負載分擔和冗余備份，以后，隨著網(wǎng)絡(luò)流量的增加，可以將鏈路升級到萬兆。

2、骨干設(shè)備的平安設(shè)計：CSS平安體系架構(gòu)3、CSS之硬件CPPCPP即CPUProtectPolicy，RG-S8606采用硬件來實現(xiàn)，CPP提供管理模塊和線卡CPU的保護功能，對發(fā)往CPU的數(shù)據(jù)流進行帶寬限制〔總帶寬、QOS隊列帶寬、類型報文帶寬〕，這樣，對于ARP攻擊的數(shù)據(jù)流、針對CPU的網(wǎng)絡(luò)攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會影響其正常工作。

由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實現(xiàn)，不影響整機的運行效率

4、CSS之SPOH技術(shù)

現(xiàn)在的網(wǎng)絡(luò)需要更平安、需要為不同的業(yè)務(wù)提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應(yīng)用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復(fù)雜的網(wǎng)絡(luò)環(huán)境中核心交換機的高性能。1、網(wǎng)絡(luò)病毒的防范病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比擬多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學(xué)生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給效勞器。病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡(luò)帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡(luò)訪問得不到響應(yīng)，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學(xué)生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的為難境地。2、防止IP、MAC地址的盜用IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡(luò)是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡(luò)，因為大量的IP、MAC沖突的現(xiàn)象導(dǎo)致了用戶經(jīng)常不能使用網(wǎng)絡(luò)上的資源，而且，用戶在正常工作和學(xué)習(xí)時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔憂一些機密信息比方銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡(luò)的使用，這樣，學(xué)生、老師對校園網(wǎng)以及網(wǎng)絡(luò)中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其效勞于教學(xué)的作用，造成很大程度上的資源浪費。3、平安事故發(fā)生時候，需要準確定位到用戶平安事故發(fā)生時候，需要準確定位到用戶原因：

國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構(gòu)〔包括高?！潮仨氁４?0天的用戶上網(wǎng)記錄，以待相關(guān)部門審計。

校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學(xué)生會在網(wǎng)絡(luò)中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學(xué)生在校外的某個站點發(fā)布了大量涉及政治的比方法輪功的言論，這時候公安部門的網(wǎng)絡(luò)信息平安監(jiān)察科找到我們的時候，我們無法處理，學(xué)?；蛘哒f網(wǎng)絡(luò)中心只有替學(xué)生背這個黑鍋。4、平安事故發(fā)生時候，不能準確定位到用戶的影響：一旦發(fā)生這種涉及到政治的平安事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學(xué)校做出處理；同時也會大大降低學(xué)校在社會上的影響力，降低家長、學(xué)生對學(xué)校的滿意度，對以后學(xué)生的招生也是大有影響的。5、用戶上網(wǎng)時間的控制無法控制學(xué)生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學(xué)生可能會利用一切時機上網(wǎng)，會曠課。學(xué)生家長會對學(xué)校產(chǎn)生強烈的不滿，會認為學(xué)校及其的不負責任，不是在教書育人。這對學(xué)校的聲譽以及學(xué)校的長期開展是及其不利的。6、用戶網(wǎng)絡(luò)權(quán)限的控制在校園網(wǎng)中，不同用戶的訪問權(quán)限應(yīng)該是不一樣的，比方學(xué)生應(yīng)該只能夠訪問資源效勞器，上網(wǎng)，不能訪問辦公網(wǎng)絡(luò)、財務(wù)網(wǎng)絡(luò)。辦公網(wǎng)絡(luò)的用戶因該不能訪問財務(wù)網(wǎng)絡(luò)。因此，需要對用戶網(wǎng)絡(luò)權(quán)限進行嚴格的控制。

7、各種網(wǎng)絡(luò)攻擊的有效屏蔽校園網(wǎng)中常見的網(wǎng)絡(luò)攻擊比方MACFLOOD、SYNFLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP效勞器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的播送報文，這些攻擊的存在，會擾亂網(wǎng)絡(luò)的正常運行低了校園網(wǎng)的效率。用戶在訪問網(wǎng)絡(luò)的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡(luò)的時候，也就是在接入層交換機上部署網(wǎng)絡(luò)平安無疑是到達更好的效果。銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)平安，平安不是某一個設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其平安功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)平安。用戶的網(wǎng)絡(luò)訪問行為可以分為三個階段，包括訪問網(wǎng)絡(luò)前、訪問網(wǎng)絡(luò)的時候、訪問網(wǎng)絡(luò)后。對著每一個階段，都應(yīng)該有嚴格的平安控制措施。銳捷網(wǎng)絡(luò)結(jié)合SAM系統(tǒng)和交換機嵌入式平安防護機制設(shè)計的特點，從三個方面實現(xiàn)網(wǎng)絡(luò)平安：事前的準確身份認證、事中的實時處理、事后的完整審計。對于每一個需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時間，通過以上信息的綁定，可以到達如下的效果：

每一個用戶的身份在整個校園網(wǎng)中是唯一，防止了個人信息被盜用.

當平安事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比方IP地址，就可以準確定位到該用戶，便于事情的處理。

只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。1、常見網(wǎng)絡(luò)病毒的防范對于常見的比方?jīng)_擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴重的網(wǎng)絡(luò)病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡(luò)中的其他用戶，保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。2、未知網(wǎng)絡(luò)病毒的防范對于未知的網(wǎng)絡(luò)病毒，通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬，保證了關(guān)鍵應(yīng)用比方WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡(luò)應(yīng)用的運行，從而保證了網(wǎng)絡(luò)的高可用性。3、防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口平安規(guī)那么一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡(luò)，這樣可有效防止平安端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP〔如效勞器〕，造成網(wǎng)絡(luò)通訊混亂。4、防止假冒IP、MAC發(fā)起的MACFlood\SYNFlood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定〔只需簡單的一個命令就可以實現(xiàn)〕。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡(luò)的攻擊，進一步增強網(wǎng)絡(luò)的平安性。5、非法組播源的屏蔽銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換時機把它們轉(zhuǎn)發(fā)到已注冊的端口。當IGMP源端口檢查翻開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的平安性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。6、對DOS攻擊，掃描攻擊的屏蔽通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的防止這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，防止了網(wǎng)絡(luò)設(shè)備、效勞器遭受到此類攻擊時導(dǎo)致的網(wǎng)絡(luò)中斷。當用戶訪問完網(wǎng)絡(luò)后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡(luò)，什么時候結(jié)束，產(chǎn)生了多少流量。如果平安事故發(fā)生，可以通過查詢該日志，來唯一確實定該用戶的身份，便于了事情的處理。網(wǎng)絡(luò)管理包括設(shè)備管理、用戶管理、網(wǎng)絡(luò)故障管理網(wǎng)絡(luò)用戶管理見網(wǎng)絡(luò)運營設(shè)計開戶局部網(wǎng)絡(luò)設(shè)備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：1、網(wǎng)絡(luò)現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)，讓網(wǎng)絡(luò)管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設(shè)備能及時地發(fā)現(xiàn)，提前消除各種平安隱患。

對于網(wǎng)絡(luò)中的異常故障，比方某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。網(wǎng)絡(luò)流量的查看STARVIEW在網(wǎng)絡(luò)初步異常的情況下，能進一步的觀察網(wǎng)絡(luò)中的詳細流量，從而為網(wǎng)絡(luò)故障的定位提供了豐富的數(shù)據(jù)支持。3、網(wǎng)絡(luò)故障的信息自動報告STARVIEW支持故障信息的自動告警，當網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時，會通過TRAP的方式進行告警，網(wǎng)絡(luò)管理員的界面上能看到各種故障信息，這些信息同樣為管理員的故障排除提供了豐富的信息。

4、設(shè)備面板管理STARVIEW的設(shè)備面板管理能夠很清楚的看到校園中設(shè)備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設(shè)備上，進行配置的修改，完善以及各種信息的觀察。5、RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡(luò)故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡(luò)故障解決方式主要是這樣一個流程：網(wǎng)絡(luò)中的流量情況是網(wǎng)絡(luò)是否正常的關(guān)鍵，網(wǎng)絡(luò)中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡(luò)業(yè)務(wù)的正常開展產(chǎn)生了非常嚴重的影響，有的學(xué)校甚至因為P2P軟件的泛濫，直接導(dǎo)致了網(wǎng)絡(luò)出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而到達控制流量的目的，這有三大弊端，

第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件確實能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。

第二：各種新型的，對網(wǎng)絡(luò)帶寬消耗更大的應(yīng)用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的