论文部分内容阅读
摘 要: 高校网络安全稳定越来越得到重视,为了给全校教师和学生创造一个快捷、可靠的网络环境,对学校的核心交换机进行了安全策略的配置。本文从实际角度出发,详细地阐述了核心交换机配置。
关键词: 校园网络 案例策略 特点 应用
一、引言
随着高校信息化建设速度的加快,也伴随产生了日益严重的信息安全问题,而信息的安全首先依赖于网络本身的安全。在一个开放式的大学校园网内,无论是有意的攻击,还是无意的误操作,都会给信息系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;还可以篡改数据库内容、伪造用户身份。攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等,严重影响了整个校园网的教学运作。因此,我们必须采用有效的安全策略与技术手段来保护网络。
二、校园网络的特点
校园网络与企业或政府网络相比,其自身的特点导致了安全管理非常复杂,具体体现在以下几个方面:
1.校园网数量和规模
高校校园网络目前普遍使用百兆、千兆,甚至万兆实现园区主干互连。用户群体比较大,比较密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快,对网络的影响比较严重。
2.开放的网络环境
由于以教学和科研为主的特点决定了校园网络环境应该是开放的,管理也是比较宽松的。至少在校园网的主干方面不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。开放的网络环境必然会带来安全管理上的难度。
3.学生是网络的活跃群体
高校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有意识和无意识地使用一些软件,如:流光、冰河等黑客软件,就可能对网络造成一定的影响和破坏。还有些学生自己私自设置DHCP服务器,造成网络内部大量的广播包的发送,大大降低了交换机设备的使用效率。
4.办公用机对病毒的警惕性不高
高校内部的许多教工对电脑只有最基础的了解,因此对互联网上出现的病毒毫无警惕,而如今的Internet病毒传染力越来越强,随着不断的演进,网络蠕虫与病毒进一步融合,发展成为破坏力超强的“超级病毒”。反计算机病毒技术虽然也在不断更新换代,但总是比较滞后,每次病毒的大规模泛滥总使得人们疲于应付,不仅严重影响了校园网的性能,有的还造成了科研教学很大的损失。
三、校园网络安全策略和应用
面对这些安全隐患,必须采取有效的安全措施,通过一定的技术手段、设备和策略来保护校园网络的安全。如针对病毒和蠕虫,可以通过网络版杀毒软件来阻碍它们在网络上肆虐;针对各种攻击,可以通过防火墙来保障校园网处于保护状态。但仅仅依靠这些措施还远远不行,还需要结合一些访问控制列表(ACL)等管理策略才能真正保障学校网络的安全。
在学校网络建设中,我们采用的是huawei3com(华三)系列的设备,核心交换机采用huawei3com s9508,该产品的高性能如下:
(1)内部h3c防火墙体系结构防止来自网络内部和外部的蓄意攻击和非法进入。
(2)可以与VPN、防火墙、侵入监测系统(IDS)同时使用。
(3)在不影响系统性能的前提下,能够使用访问控制列表提供第2、3、4层安全过滤过滤流量。
结合h3cs9508的硬件性能我们又进行了相应的策略配置。
1.VLAN的管理
VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址(硬件地址),以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。划分VLAN子网,能划小播域,避免数据碰撞在大的物理LAN内产生严重后果,也避免广播风暴的产生。提高交换网络的交换效率,保证网络稳定。要提高网络安全性,可通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由器来实现,因此可在路由器(或三层交换机)上配置访问控制列表来进行跨子网段的授权访问,从而提高企业内部网络访问的安全性。VLAN技术很好地解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效地进行网络监控。
通过口令登陆,在H3CS9508上配置VLAN:
#vlan 54
description yys8(创建VLAN,并命名为YYS8)
#vlan 55
description yys9
interface Vlan-interface54
ip address 192.168.134.254 255.255.255.0(VLAN 需接口地址为192.168.134.254,也就是网关,子网掩码255.255.255.0)
#interface Vlan-interface55
ip address 192.168.135.254 255.255.255.0
#interface GigabitEthernet2/1/37(定义VLAN 54的具体实接口)
port access vlan 54
#interface GigabitEthernet2/1/39
port access vlan 55
以上VLAN已经创建并分配了相应的网关,将实际应用的端口归入VLAN名下。.
2.防止病毒的入侵
计算机病毒在校园网内的传播是惊人的,破坏性也是巨大的,面对这种威胁,我们可以利用访问控制列表关闭135、139、445、4444等端口,预防“冲击波”病毒等事件的发生,防止ping flood的出现。
acl number 3001
rule 0 deny tcp destination-port eq 135
rule 1deny tcp destination-port eq 139
rule 2 deny tcp destination-port eq 445
rule 3 deny udp destination-port eq 445
rule 4 deny tcp destination-port eq 4444
interface GigabitEthernet1/0/1
qos
packet-filter inbound ip-group 3001 rule 0 system-index 1
packet-filter inbound ip-group 3001 rule 1 system-index 3
packet-filter inbound ip-group 3001 rule 2 system-index 5
packet-filter inbound ip-group 3001 rule 3 system-index 7
packet-filter inbound ip-group 3001 rule 4 system-index 9
以上是通过ACL策略封闭了135、137、139端口的TCP和UDP协议数据,并将策略应用于VLAN中。
3.记录核心交换机的系统日志
在校园网安全管理中,我们还要注意日志的收集,当出现安全事故时,如果有交换机等设备的日志信息,就可以通过查看日志,分析日志,找到攻击的来源,从而堵塞漏洞,将损失降低到最小。
4.建立端口访问控制列表
我们可以通过建立ACL来控制只能通过某些网段或某个IP地址来访问某些VLAN,或某台网络设备,譬如只能允许我们网络管理员来访问交换机或路由器,而别人就不能进入。
放在中心机房的财务服务器只能由财务处的VLAN来访问管理,其他的VLAN则为非法访问。
rule 1 permit ip source.0 0.0.0.255 destination 193.168.0.0 0.0.255.255(允许192.168.249网段访问193.168.0.网段,这是我们网络设备的IP)
rule 2 permit ip source 192.168.100.202 0 destination 192.168.251.0 0.0.0.25
rule 3 permit ip source 192.168.251.1 0 destination 192.168.100.29 0(只允许192.168.251.1这台PC来访问192.168.100.29这台服务器)
5.内嵌H3C SecBlade防火墙模块,使交换机和防火墙的无缝连接配置,SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务能力,H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效地保证网络的安全。采用H3C ASPF(Application Specific Packet Filter)应用状态检测技术,实时检测应用层连接状态,实现3—7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
6.为了有效管理核心交换机及相关设备,我们还专门配备了一套H3C智能管理中心(H3C Intelligent Management Center,以下简称H3C iMC)的网管软件,通过使用SNMP协议来实时记录各种交换设备的使用情况,不仅有效保障了网络应用的安全,更使得校园网的网络管理真正做到了可管、可控和可视化,成功解决了我们在网络规划和应用发展期间的一系列难题。
四、小结
网络安全问题是一个全球普遍问题,安全防护设备和软件投入越多,安全也就越有保障。网络安全需要在网络建设时就要充分考虑,要规划好网络设计方案和策略。网络安全管理需要一定的计算机资源,既要做到网络安全可靠,又要不浪费资源和财力,保持网络畅通,系统运行正常。
参考文献:
[1]姚小兰.网络安全管理与技术防护.北京理工大学出版社,2006.
[2]张玲,万红运,刘寿强.基于核心交换机的大学校园网安全控制策略实例剖析.计算机安全,2006.
[3]申燕.网络交换机原理及选择.长沙通信职业技术学院学报,2006.
[4]胡肖锋,陈朵玲.校园网络安全的分析与策略研究.杭州电子科技大学学报(社科版),2005.
关键词: 校园网络 案例策略 特点 应用
一、引言
随着高校信息化建设速度的加快,也伴随产生了日益严重的信息安全问题,而信息的安全首先依赖于网络本身的安全。在一个开放式的大学校园网内,无论是有意的攻击,还是无意的误操作,都会给信息系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;还可以篡改数据库内容、伪造用户身份。攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等,严重影响了整个校园网的教学运作。因此,我们必须采用有效的安全策略与技术手段来保护网络。
二、校园网络的特点
校园网络与企业或政府网络相比,其自身的特点导致了安全管理非常复杂,具体体现在以下几个方面:
1.校园网数量和规模
高校校园网络目前普遍使用百兆、千兆,甚至万兆实现园区主干互连。用户群体比较大,比较密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快,对网络的影响比较严重。
2.开放的网络环境
由于以教学和科研为主的特点决定了校园网络环境应该是开放的,管理也是比较宽松的。至少在校园网的主干方面不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。开放的网络环境必然会带来安全管理上的难度。
3.学生是网络的活跃群体
高校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有意识和无意识地使用一些软件,如:流光、冰河等黑客软件,就可能对网络造成一定的影响和破坏。还有些学生自己私自设置DHCP服务器,造成网络内部大量的广播包的发送,大大降低了交换机设备的使用效率。
4.办公用机对病毒的警惕性不高
高校内部的许多教工对电脑只有最基础的了解,因此对互联网上出现的病毒毫无警惕,而如今的Internet病毒传染力越来越强,随着不断的演进,网络蠕虫与病毒进一步融合,发展成为破坏力超强的“超级病毒”。反计算机病毒技术虽然也在不断更新换代,但总是比较滞后,每次病毒的大规模泛滥总使得人们疲于应付,不仅严重影响了校园网的性能,有的还造成了科研教学很大的损失。
三、校园网络安全策略和应用
面对这些安全隐患,必须采取有效的安全措施,通过一定的技术手段、设备和策略来保护校园网络的安全。如针对病毒和蠕虫,可以通过网络版杀毒软件来阻碍它们在网络上肆虐;针对各种攻击,可以通过防火墙来保障校园网处于保护状态。但仅仅依靠这些措施还远远不行,还需要结合一些访问控制列表(ACL)等管理策略才能真正保障学校网络的安全。
在学校网络建设中,我们采用的是huawei3com(华三)系列的设备,核心交换机采用huawei3com s9508,该产品的高性能如下:
(1)内部h3c防火墙体系结构防止来自网络内部和外部的蓄意攻击和非法进入。
(2)可以与VPN、防火墙、侵入监测系统(IDS)同时使用。
(3)在不影响系统性能的前提下,能够使用访问控制列表提供第2、3、4层安全过滤过滤流量。
结合h3cs9508的硬件性能我们又进行了相应的策略配置。
1.VLAN的管理
VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址(硬件地址),以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。划分VLAN子网,能划小播域,避免数据碰撞在大的物理LAN内产生严重后果,也避免广播风暴的产生。提高交换网络的交换效率,保证网络稳定。要提高网络安全性,可通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由器来实现,因此可在路由器(或三层交换机)上配置访问控制列表来进行跨子网段的授权访问,从而提高企业内部网络访问的安全性。VLAN技术很好地解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效地进行网络监控。
通过口令登陆,在H3CS9508上配置VLAN:
#vlan 54
description yys8(创建VLAN,并命名为YYS8)
#vlan 55
description yys9
interface Vlan-interface54
ip address 192.168.134.254 255.255.255.0(VLAN 需接口地址为192.168.134.254,也就是网关,子网掩码255.255.255.0)
#interface Vlan-interface55
ip address 192.168.135.254 255.255.255.0
#interface GigabitEthernet2/1/37(定义VLAN 54的具体实接口)
port access vlan 54
#interface GigabitEthernet2/1/39
port access vlan 55
以上VLAN已经创建并分配了相应的网关,将实际应用的端口归入VLAN名下。.
2.防止病毒的入侵
计算机病毒在校园网内的传播是惊人的,破坏性也是巨大的,面对这种威胁,我们可以利用访问控制列表关闭135、139、445、4444等端口,预防“冲击波”病毒等事件的发生,防止ping flood的出现。
acl number 3001
rule 0 deny tcp destination-port eq 135
rule 1deny tcp destination-port eq 139
rule 2 deny tcp destination-port eq 445
rule 3 deny udp destination-port eq 445
rule 4 deny tcp destination-port eq 4444
interface GigabitEthernet1/0/1
qos
packet-filter inbound ip-group 3001 rule 0 system-index 1
packet-filter inbound ip-group 3001 rule 1 system-index 3
packet-filter inbound ip-group 3001 rule 2 system-index 5
packet-filter inbound ip-group 3001 rule 3 system-index 7
packet-filter inbound ip-group 3001 rule 4 system-index 9
以上是通过ACL策略封闭了135、137、139端口的TCP和UDP协议数据,并将策略应用于VLAN中。
3.记录核心交换机的系统日志
在校园网安全管理中,我们还要注意日志的收集,当出现安全事故时,如果有交换机等设备的日志信息,就可以通过查看日志,分析日志,找到攻击的来源,从而堵塞漏洞,将损失降低到最小。
4.建立端口访问控制列表
我们可以通过建立ACL来控制只能通过某些网段或某个IP地址来访问某些VLAN,或某台网络设备,譬如只能允许我们网络管理员来访问交换机或路由器,而别人就不能进入。
放在中心机房的财务服务器只能由财务处的VLAN来访问管理,其他的VLAN则为非法访问。
rule 1 permit ip source.0 0.0.0.255 destination 193.168.0.0 0.0.255.255(允许192.168.249网段访问193.168.0.网段,这是我们网络设备的IP)
rule 2 permit ip source 192.168.100.202 0 destination 192.168.251.0 0.0.0.25
rule 3 permit ip source 192.168.251.1 0 destination 192.168.100.29 0(只允许192.168.251.1这台PC来访问192.168.100.29这台服务器)
5.内嵌H3C SecBlade防火墙模块,使交换机和防火墙的无缝连接配置,SecBlade FW集成防火墙、VPN、内容过滤和NAT地址转换等功能,提升了网络设备的安全业务能力,H3C SecBlade FW能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效地保证网络的安全。采用H3C ASPF(Application Specific Packet Filter)应用状态检测技术,实时检测应用层连接状态,实现3—7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。
6.为了有效管理核心交换机及相关设备,我们还专门配备了一套H3C智能管理中心(H3C Intelligent Management Center,以下简称H3C iMC)的网管软件,通过使用SNMP协议来实时记录各种交换设备的使用情况,不仅有效保障了网络应用的安全,更使得校园网的网络管理真正做到了可管、可控和可视化,成功解决了我们在网络规划和应用发展期间的一系列难题。
四、小结
网络安全问题是一个全球普遍问题,安全防护设备和软件投入越多,安全也就越有保障。网络安全需要在网络建设时就要充分考虑,要规划好网络设计方案和策略。网络安全管理需要一定的计算机资源,既要做到网络安全可靠,又要不浪费资源和财力,保持网络畅通,系统运行正常。
参考文献:
[1]姚小兰.网络安全管理与技术防护.北京理工大学出版社,2006.
[2]张玲,万红运,刘寿强.基于核心交换机的大学校园网安全控制策略实例剖析.计算机安全,2006.
[3]申燕.网络交换机原理及选择.长沙通信职业技术学院学报,2006.
[4]胡肖锋,陈朵玲.校园网络安全的分析与策略研究.杭州电子科技大学学报(社科版),2005.