《标准的网络安全设计方案.docx》由会员分享,可在线阅读,更多相关《标准的网络安全设计方案.docx(36页珍藏版)》请在优知文库上搜索。
1、标准的网络安全设计方案某校园网方案2网络防*设计中的网题16如何构建网络好安全方案22四台Cisco防火墙实现VPN网络27M级防火墙选购然点27增强路由联全的十个技巧28启明星辰银行安全防御方案28神科基金公司值总安全解决方案30安天校园网解决方案32网络入侵做解决方案34企业需要什么样的IDS潴试IDS的几个性能指株35东软安全助力骷信用风险管理信息系统35某校园网方案1.1 设计原则1 .充分满足现在与未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2 .强大的安全管理措施,四分建设、六分管理,管理保护的好坏处校园网正常运行的关键3 .在满足学校的需求的前
2、提下,建出自己的特色1.2 网络建设需求网络的稳固性要求整个网络需要具有高度的稳固性,能够满足不一致用户对网络访问的不一致要求网络高性能需求整个网络系统需要具有很高的性能,能够满足各类流媒体的无障碍传输,保证校园网各类应用的畅通无阻认证计由效率高,对用户的认证与计戕不可能对网络性能造成瓶颈网络安全需求防止IP地址冲突非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求需要方便的进行用户管理,包含开户、销户、资料修改与查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理第二章、某校园网方案设计2.1 校园网现网拓扑图WH图书馆tat整个网络
3、使用二级的网络架构:核心、接入。核心使用一台RGS4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口使用RG-WALLI200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。2.2 校园网设备更新方案方案一:不更换核心设备区各用3台S2126G替换原有S1926F+,其中汇聚交换机各使用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,使用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全操纵,重点区域在接入层进行
4、安全操纵的网络布局。方案二:更换核心设备东校区RG-WALLS8610.1926F*S2126G S2126G 交换机Internet交换机交换机S1926F* IlM 管 S1926F+ IIIq 管西校区S2126G S2126G S2126GS2126GS4909核心使用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责鳖个校园网的数据转发.在中校区增加一台SAM服务器,部暑SAM系统,同时东校区与西校区各用3台S2126G普换原有S1926F+将原有的S4909放到东校区做为校园网拓扑图(更换核心)中心机 房汇聚设备,下接三台S2126G实现安全掾纵,其它
5、二层交换机分别接入相应的S2126G.西校区汇聚使用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G.中校区的网络结构也做相应的调整,使用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全操纵,重点区域在接入层进行安全操纵的网络布局.2.3 骨干网络设计骨干网络由RG-S8606构成,核心交换机RG-S8606要紧具有5特性:锐捷10万兆产品RG-S8600的五大特色1、骨干网带宽设计:千兆骨干,可平滑升级到万兆整个骨干网使用千兆双规线路的设计,二条线路通过VRRP冗余路由协议与OSPF动态路由协议实
6、现负载分担与冗余备份,以后,随着网络流量的增加,能够将链路升级到万兆。2、骨干设备的安全设计:CSS安全体系架构3、CSS之硬件CPPCPP即CPUPrOteCtPOIicy,RG-S8606使用硬件来实现,CPP提供管理模块与线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QoS队列带宽、类型报文带宽),这样,关于ARP攻击的数据流、针对CPU的网络攻击与病毒数据流,RG-S8606分配给其的带宽非常的有限,不可能影响其正常工作。由于锐捷10万兆产品RG-S8606使用硬件的方式实现,不影响整机的运行效率4、CSS之SPoH技术现在的网络需要更安全、需要为不一致的业务提供不一
7、致的处理优先级,这样,大量的ACL与QoS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL与QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,能够保证在非常复杂的网络环境中核心交换机的高性能。数据接口MMUGPICFFPGPICFFPGPICFFPGPICFFPGPICFFPGPICFFPmemory图图 IPMC Itablel2.4 网络安全设计2.4.1 某校园网网络安全需求分析1、网络病毒的防范病毒产生的原因:某校园网很重要的一个特征就处用户
8、数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。2、防止IP、MAc地址的盗用IP、MAC地址的盗用的原因:某校园网使用静态IP地址方案,假如缺乏有效的IP
9、、MAC地址管理手段,用户能够随意的更换IP地址,在网卡属性的高级选项中能够随意的更换MAC地址。假如用户有意无意的更换自己的IP、MAC地址,会引起多方冲突,假如与网关地址冲突,同一网段内的所有用户都不能使用网络:假如恶意用户发送虚假的IP、MAc的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多烦恼的网络,由于大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作与学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡
10、账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网与网络中心的信心会逐步减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。3、安全事故发生时候,需要准确定位到用户安全事故发生时候,需要准确定位到用户原因:国家的要求:2002年,朱铭基签署了282号令,要求各大INTERNET运营机构(包含高校)务必要储存60天的用户上网记录,以待有关部门审计。校园网正常运行的需求:假如说不能准确的定位到用户,学生会在网络中肆无忌弹进行各类非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,假如当某个学生在校外的某个站点公布了大量涉及政治的言
11、论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者者说网络中心只有替学生背这个黑锅。4、安全事故发生时候,不能准确定位到用户的影响:一旦发生这种涉及到政治的安全情况发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理:同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。5、用户上网时间的操纵无法操纵学生上网时间的影响:假如缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉与学校的长期进展是及其不利的。6、
12、用户网络权限的操纵在校园网中,不一致用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的操纵。7、各类网络攻击的有效屏蔽校园网中常见的网络攻击比如MACFLe)C)D、SYNFLOOD,DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。2.4.2 某校园网网络安全方案设计思想2.4.2.1 安全到边缘的设计思想用户在访问网络的过程中,首
13、先要通过的就是交换机,假如我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.422全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的情况,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.423全程安全的设计思想用户的网络访问行为能够分为三个阶段,包含访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全操纵措施。2.4.3 某校园网网络安全方案锐捷网络结合SAM系统与交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认
14、证、事中的实时处理、事后的完整审计。2.4.3.1 事前的身份认证关于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包含用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户Pe所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的同意访问网络的时间,通过以上信息的绑定,能够达到如下的效果:每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现睾事者的一项信息比如IP地址,就能够准确定位到该用户,便于情况的处理。只有通过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传
15、播网络病毒、黑客程序的通道。2.4.3.2 络攻击的防范1、常见网络病毒的防范关于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不可能影响到网络中的其他用户,保证了校园网网络带宽的合理使用。2、未知网络病毒的防范关于未知的网络病毒,通过在网络中部署基于数据流类型的带宽操纵功能,为不一致的网络应用分配不一致的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不可能影响到要紧网络应用的运行,从而保证了网络的高可用性。3、防止IP地址盗用与ARP攻击通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP与源MAC是否与端口安全规则一致,假如不一致,视为更换了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。4、防止假冒IP、MAC发起的MACFloodSYNHo