校园网网络安全方案设计.docxVIP

目录 第一章校园网安全隐患分析 (3 1.1 校园内网安全分析 (3 1.1.1 软件层次安全 (3 1.1.2 设备物理安全 (3 1.1.3 设备配置安全 (3 1.1.4 管理层次安全 (4 1.1.5 无线局域网的安全威胁 (4 1.2 校园外网安全分析 (5 1.2.1 黑客攻击 (5 1.2.2 不良信息传播 (6 1.2.3 病毒危害 (6 第二章设计简介及设计方案论述 (7 2.1 校园网安全措施 (7 2.1.1 防火墙 (7 2.1.2 防病毒 (8 2.1.3 无线网络安全措施 (10 2.2 H3C 无线校园网的安全策略 (12 2.2.1 可靠的加密和认证、设备管理 (12 2.2.2 用户和组安全配置 (12 2.2.3 非法接入检测和隔离 (13 2.2.4 监视和告警 (14 第三章详细设计 (15 3.1 ISA 软件防火墙的配置 (15 3.1.1 基本配置 (16 3.1.2 限制学校用机的上网 (16 3.1.3 检测外部攻击及入侵 (16 3.1.4 校园网信息过滤配置 (17 3.1.5 网络流量的监控 (17 3.1.6 无线局域网安全技术 (17 3.2 物理地址(MAC 过滤 (18 3.2.1 服务集标识符( SSID 匹配 (18 3.2.2 端口访问控制技术和可扩展认证协议 (20 第一章校园网安全隐患分析 1.1.1 软件层次安全 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了 威胁。现在网络服务器安装的操作系统有 UNIX、Windows NTP2000、Linux 等, 这 些系统安全风险级别不同, UNIX 因其技术较复杂通常会导致一些高级黑客对其进 行攻击; 而 Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏 洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软 RPC 漏洞进行传播的蠕虫病毒至少攻击了全球 80 %的 Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了 DoS 攻击, 使 多个国家的互联网也受到相当影响。 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换 机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困 难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或 部分瘫痪。 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、 防火 墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于 没有在服务器、路由器、 防火墙或可网管的交换机上设置必要的密码或密码设 置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取 得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设 备的配置, 严重时甚至会导致整个校园网络瘫痪。 1.1.4 管理层次安全 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体 安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在 对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对 内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管 理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、 滥用是校园 网必须加强管理的方面, 特别是学生区、机房等。 IP 配置不当也会造成部分区域网 络不通。如在学生学习机房, 有学生不甚将自己的计算机的 IP 地址设置为本网段的 网关地址, 这会导致整个学生机房无法正常访问外网。 1.1.5 无线局域网的安全威胁 利用 WLAN 进行通信必须具有较高的通信必威体育官网网址能力。对于现有的 WLAN 产品, 它的安全隐患主要有以下几点: 未经授权使用网络服务 由于无线局域网开放式的访问方式,非法用户可以未经授权而擅自使用网络资 源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服 务质量。 地址欺骗和会话拦截 目前有很多种无线局域网的安全技术,包括物理地址(MAC 过滤、服务集标识 符(SSID 匹配、有线对等必威体育官网网址(WEP、端口访问控制技术(IEEE802.1x 、WPA(Wi-Fi Protected Access 、IEEE 802.11i 等。面对如此多的安全技术,应该选择哪些技术来解 决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户 通过侦听等手段获得网络中合法站点的 MAC 地址比有线环境中要容易得多,这些合 法的 MAC 地址