校园网网络安全方案设计_002.doc

1、某校园网络安全方案设计第一章、某校园网方案设计原则与需求1.1设计原则1. 充分满足现在以及未来3-5年内的网络需求，既要保证校园网能很好的为学校服务，又要保护学校的投资。2. 强大的安全管理措施，四分建设、六分管理，管理维护的好坏是校园网正常运行的关键3. 在满足学校的需求的前提下，建出自己的特色1.2网络建设需求网络的稳定性要求l 整个网络需要具有高度的稳定性，能够满足不同用户对网络访问的不同要求网络高性能需求l 整个网络系统需要具有很高的性能，能够满足各种流媒体的无障碍传输，保证校园网各种应用的畅通无阻l 认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈网络安全需求l 防止IP地

2、址冲突l 非法站点访问过滤l 非法言论的准确追踪l 恶意攻击的实时处理l 记录访问日志提供完整审计网络管理需求l 需要方便的进行用户管理，包括开户、销户、资料修改和查询l 需要能够对网络设备进行集中的统一管理l 需要对网络故障进行快速高效的处理第二章、某校园网方案设计2.1校园网现网拓扑图整个网络采用二级的网络架构：核心、接入。核心采用一台RGS4909，负责整个校园网的数据转发，同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少，无法进行安全防护，已经不能满足应用的需求。2.2校园网设备更新方案方案一：不更换核心设备核心仍然

3、采用锐捷网络S4909交换机，在中校区增加一台SAM服务器，部署SAM系统，同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G，剩余的两台S2126G用于加强对关键机器的保护，中校区的网络结构也做相应的调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。方案二：更换核心设备核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606，负责整个校园网的数据转发。在中校区增加一台SAM服务器，部署SAM系统，同时东校

4、区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备，下接三台S2126G实现安全控制，其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G，剩余两台S2126G用于保护重点机器，其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整，采用现有的两台S2126G做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计骨干网络由RG-S8606构成，核心交换机RG-S8606主要具有5特性：1、骨干网带宽设计：千兆骨干，可平滑升级到万兆

5、整个骨干网采用千兆双规线路的设计，二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份，以后，随着网络流量的增加，可以将链路升级到万兆。2、骨干设备的安全设计：CSS安全体系架构3、CSS之硬件CPPCPP即CPU Protect Policy，RG-S8606采用硬件来实现，CPP提供管理模块和线卡CPU的保护功能，对发往CPU的数据流进行带宽限制（总带宽、QOS队列带宽、类型报文带宽），这样，对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流，RG-S8606分配给其的带宽非常的有限，不会影响其正常工作。由于锐捷10万兆产品RG-S8606采用硬件的方式实现，

6、不影响整机的运行效率4、CSS之SPOH技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的ACL和QOS需要部署，需要核心交换机来处理，而这些应用属于对交换机硬件资源消耗非常大的，核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器)，专门用来处理ACL和QOS，相当于把交换机的每一个端口都变成了一台独立的交换机，可以保证在非常复杂的网络环境中核心交换机的高性能。骨干设备的稳定性设计：三平面分离技术数据平面、管理平面、控制平面分离的设计思想交换机中的数据类型可以分为三大类：数据平面：各种二层三层组播ACLQOS数据管理平面：通过TEL

7、NET、SNMP对设备进行管理维护的数据流控制平面：各种协议比如STP、ARP、OSPF、RIP交互的数据流RG-S8606通过将三个平面进行分离，可以保证在数据流量非常大、网络异常比如有回路、有大量攻击数据流、OSPF协议无法收敛的情况下，管理员仍然可以通过各种网络管理方式登陆到网络设备上，通过察看接口状态、日志纪录、协议的信息，可以发现网络中存在的问题，关闭有问题的端口、停止异常的协议，从而达到了在线排除网络故障、在不重启交换机的情况下让其恢复正常。极大的提高了网络的稳定性。2.4网络安全设计2.4.1某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因：某校园网很重要的一个特征就是用

8、户数比较多，会有很多的PC机缺乏有效的病毒防范手段，这样，当用户在频繁的访问INTERNET的时候，通过局域网共享文件的时候，通过U盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上病毒后，他会向校园网的每一个角落发送，发送给其他用户，发送给服务器。病毒对校园网的影响：校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、VOD不能点播；INTERNET上不了，学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAC地址的盗用IP、MAC地址的盗用的原因：某校园网采用静态IP地址方案，如果缺乏有效的I

9、P、MAC地址管理手段，用户可以随意的更改IP地址，在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址，会引起多方冲突，如果与网关地址冲突，同一网段内的所有用户都不能使用网络；如果恶意用户发送虚假的IP、MAC的对应关系，用户的大量上网数据包都落入恶意用户的手中，造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响：在用户看来，校园网络是一个很不可靠是会给我带来很多麻烦的网络，因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行

10、卡账户、密码、邮箱密码泄漏，用户会尽量减少网络的使用，这样，学生、老师对校园网以及网络中心的信心会逐渐减弱，投入几百万的校园网也就不能充分发挥其服务于教学的作用，造成很大程度上的资源浪费。3、安全事故发生时候，需要准确定位到用户安全事故发生时候，需要准确定位到用户原因： 国家的要求：2002年，朱镕基签署了282号令，要求各大INTERNET运营机构（包括高校）必须要保存60天的用户上网记录，以待相关部门审计。 校园网正常运行的需求：如果说不能准确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校园网变成“黑客”娱乐的天堂，更严重的是，如果当某个学生在校外的某个站点发布了大量涉及

11、政治的比如法轮功的言论，这时候公安部门的网络信息安全监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。4、安全事故发生时候，不能准确定位到用户的影响：一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传播，上级主管部门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对学校的满意度，对以后学生的招生也是大有影响的。5、用户上网时间的控制无法控制学生上网时间的影响：如果缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会旷课。学生家长会对学校产生强烈的不满，会认为学校及其的不负责任，不是在教书育人。这对学校的声誉以及学校的长期发

12、展是及其不利的。6、用户网络权限的控制在校园网中，不同用户的访问权限应该是不一样的，比如学生应该只能够访问资源服务器，上网，不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此，需要对用户网络权限进行严格的控制。7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文，这些攻击的存在，会扰乱网络的正常运行，降低了校园网的效率。2.4.2某校园网网络安全方案设计思想2.4.2.1安全到边缘的设计思想用户在访问网

13、络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想 用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段，都应该有严格的安全控制措施。2.4.3某校园网网络安全方案锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点，从三个方面实现网络

14、安全：事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以达到如下的效果： 每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用. 当安全事故发生的时候，只要能够发现肇事者的一项信息比如IP地址，就可以准确定位到该用户，便于事情的处理。 只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也切断

15、了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的ACL，能够对这些病毒所使用的TCP、UDP的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使用。2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用

16、性。3、防止IP地址盗用和ARP攻击通过对每一个ARP报文进行深度的检测，即检测ARP报文中的源IP和源MAC是否和端口安全规则一致，如果不一致，视为更改了IP地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的ARP欺骗，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击通过部署IP、MAC、端口绑定和IP+MAC绑定（只需简单的一个命令就可以实现）。并实现端口反查功能，追查源IP、MAC访问，追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击，进一步增强网络的安全性。5、非法组播源

17、的屏蔽锐捷产品均支持IMGP源端口检查，实现全网杜绝非法组播源，指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。锐捷产品支持IGMP源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和全网的性能，同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的分配所必须的。同时IGMP源端

18、口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于校园运营网络大规模的应用环境。6、对DOS攻击，扫描攻击的屏蔽通过在校园网中部署防止DOS攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3事后的完整审计当用户访问完网络后，会保存有完备的用户上网日志纪录，包括某个用户名，使用那个IP地址，MAC地址是多少，通过那一台交换机的哪一个端口，什么时候开始访问网络，什么时候结束，产生了多少流量。如果安全事故发生，可以通过查询该日志，来唯一的确定该用户的身份，便于了事情的处理。2.5网络管理设计网络管理包括设备管理

19、、用户管理、网络故障管理2.5.1网络用户管理网络用户管理见网络运营设计开户部分2.5.2网络设备管理网络设备的管理通过STARVIEW实现，主要提供以下功能，这些功能也是我们常见的解决问题的思路：1、网络现状及故障的自动发现和了解STARVIEW能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私自挂接的HUB、交换机等设备能及时地发现，提前消除各种安全隐患。对于网络中的异常故障，比如某台交换机的CPU利用率过高，某条链路上的流量负载过大，STARVIEW都可以以不同的颜色进行显示，方便管理员及时地发现网络中的异常情况。2、网络流量的查看STARVIEW在网络初步异常的情况下

20、，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。3、网络故障的信息自动报告STARVIEW支持故障信息的自动告警，当网络设备出现故障时，会通过TRAP的方式进行告警，网络管理员的界面上能看到各种故障信息，这些信息同样为管理员的故障排除提供了丰富的信息。4、设备面板管理STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便的登陆到设备上，进行配置的修改，完善以及各种信息的察看。5、RGNOS操作系统的批量升级校园网很大的一个特点就是规模大，需要使用大量的接入层交换机，如果需要对这些交换机进行升级，一台一台的操作，会给管理

21、员的工作带来很大的压力，STARVIEW提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。2.5.3网络故障管理随着校园网用户数的增多，尤其是宿舍网运营的开始，用户网络故障的排除会成为校园网管理工作的重点和难点，传统的网络故障解决方式主要是这样一个流程：打电话、去网络中心 上不了网？网管员手工登记受理 与用户预约，上门处理网管员安排处理人员和时间 对于这种传统的网络故障解决办法，有以下的几个弊端：1、网管员工作量大 当用户出现网络故障时，需要通过电话或者到网络中心进行报修，也就是说网管员经常会被打扰，网管员日常的工作思路会受到影响，

22、再者，接待学生的态度很不好把握，会造成用户对网管员态度有看法，对网络中心的声誉产生负面影响。 网管需要手工登记用户故障信息，需要一定的时间，造成效率降低。 需要电话与用户预约故障处理时间，效率低，浪费 较多的网络故障是用户方的问题，网管上门服务价值太低2、网络故障表单管理混乱 手工填写的故障表单容易丢失，表单丢失，意味着故障信息丢失，会严重影响网管员的工作 A管理员受理学生来故障，很有可能到时候是B管理员来处理，存在信息很难完全同步的问题，导致故障处理受到影响。 重复受理，如果学生今天来报了故障，网络中心没有解决，那第二天，他可能又会去报修，导致故障重复，干扰网管的正常工作3、故障不能及时处理

23、 网管员会优先处理故障信息较多的楼栋，这样的话，对于离中心较远用户或者个别用户的网络故障，一般会压后处理 上面这些用户会觉得受到了不公正的待遇，可能通过海报、校长信箱反映问题针对高校校园网的这种现状，锐捷网络在安全认证计费系统SAM中专门开发了网络故障报修功能，大大提高了网络故障处理得效率，既可以以提高校园网用户的满意度，又可以让我们的网管员能够有更多的时间对整个校园网进行优化设计，对网络应用系统的建设进行完善，让校园网更好的为学校服务。以下是网上报修的流程图：网管员通过网络查看受理、反馈处理意见理通过网络提交故障信息 上不了网？ 到时间直接上门处理对需要上门处理的故障，网管员通过网络事先通知

24、用户 2.6 IPv6设计某作为豫南地区中国教育和科研计算机网的节点，接入下一代互联网以及Cernet2是很快就需要实施，因此，整个网络对IPv6的支持就显得尤为关键，IPv6网络设计的目标是：整网支持IPv6，并且要保证IPv6网络的性能和IPv4一样。常见的IPv6网络的设计方案有二种：2.6.1方案一：隧道方式对设备的要求： 一般来说，隧道方式只有核心交换机支持IPv6，且采用NP实现IPv6优势： 实现起来简单，只需要核心和教育网之间建立隧道即可。劣势： 所有的IPv6数据包需要核心交换机来处理，核心交换机处理负载大，整网IPv6性能低 核心交换机采用NP处理IPv6（NP的性能比AS

25、IC芯片低很多，无法满足千兆万兆的线速转发），性能低，无法满足IPv6数据包的千兆线速转发 核心交换机负载重，导致核心交换机稳定可靠性降低，就象司机长期疲劳驾驶，出车祸的几率大增。 用户可直接攻击核心交换机，整网的安全性、稳定可靠性极低2.6.2方案二：双栈方式对设备的要求： 所有的三层交换机支持IPv6，且采用硬件ASIC芯片来支持IPv6优势： 整网形成了分布式三层IPv6架构，所有的汇聚、核心交换机支持双栈，自动识别V4和V6数据包，形成了高效的转发和管理系统。就好比学校分成院系，院系分成了专业以后，各种工作的开展更方便，学校的管理也更有效。 所有的汇聚交换机采用硬件ASIC芯片来支持I

26、PV6，能够实现IPV6数据包的线速转发，保证了网络的性能。 对于用户来说，他能到达的只是汇聚层IPV6交换机，并不知道核心的存在，对整网的核心能起到保护作用。 由于汇聚层交换机能支持IPV6，有效缓解了核心上的处理压力，这有利于提高核心的稳定可靠性劣势： 一次性投入成本高些为了充分的保护用户的投资，锐捷网络采取IPv4/IPv6双协议栈方式实现IPv6，方案中的所有三层交换机均RG-S8600、RG-S5750、RG-S3760全部采用硬件ASIC芯片来支持IPv6，能够便于校园网随时启用IPv6功能。以下是www.ipv6reagy.org上显示的各个厂家的设备对IPV6支持的情况，红色部

27、分表示锐捷交换机的情况2.7流量管理系统设计网络中的流量情况是网络是否正常的关键，网络中大量的P2P软件的使用，已经对各种网络业务的正常开展产生了非常严重的影响，有的学校甚至因为P2P软件的泛滥，直接导致了网络出口的瘫痪。2.7.1方案一：传统的流量管理方案传统的流量管理方案的做法很多就是简单的封堵这些P2P软件，从而达到控制流量的目的，这有三大弊端， 第一：这些软件之所以有如此强大的生命力，是因为用户通过使用这些软件的确能快速的获取各种有用的资源，如果简单的通过禁止的方式，用户的意见会非常的大，同时，各种有用的资源我们很难获取。 第二：各种新型的，对网络带宽消耗更大的应用软件也在不断的出现。

28、所谓道高一尺，魔高一丈，一味的封堵这些软件，我们永远处于被动的局面，显然不能从根本上解决这个问题。 第三：我们无法获取网络中的流量信息，无法为校园网的优化，网络管理，网络故障预防和排除提供数据支撑。2.7.2方案二：锐捷的流量管理与控制方案锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分，我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费，锐捷的流量管理方案有三大功能： 第一：为SAM系统对用户进行流量计费提供原始数据，这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求，经济条件好一点，可以多

29、用点流量，提高了用户的满意度。而且，对于以后新出现的功能更加强大的下载软件，都不必担心用户任意使用造成带宽拥塞。 第二：提供日志审计和带宽管理功能，通过NTD、SAM、日志系统的结合，能够做到基于用户身份对用户进行管理，做到将用户名、源IP、目的IP直接关联，通过目的IP，可以直接定位到用户名，安全事件处理起来非常的方便，同时还能提供P2P的限速，带宽管理等功能，这一部分的功能我们会在明年4月份提供。 第三：能够对网络中的各种流量了如指掌，可以对用户经常访问的资源进行分析对比，为应用系统的建设、服务器的升级改造提供数据支持；能够及时的发现网络中的病毒、恶意流量，从而进行有效的防范，结合认证计费系统SAM，能够捕捉到事件源头，并于做出处理。总体来说，流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。