当前位置:文档之家 › 校园网外网安全防范措施

校园网外网安全防范措施

  • 格式:doc
  • 大小:25.50 KB
  • 文档页数:6

下载文档原格式

  / 6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

校园网外网安全防范措施浅谈

[摘要] 随着计算机网络的不断发展和普及,计算机网络给我们带来了无穷的资源,但随之而来的网络安全问题也显得尤为重要,为了更好的解决上述问题,确保信息网络安全,企业应建立完善的安全保障体系该体系包括网络安全技术防护和网络安全管理

两方面。本文重点介绍了校园网络信息外网建设方案,并提出了一些外网安全防范措施。

[关键词] 计算机网络;安全;外网;防范措施

[abstract] with the continuous development and popularization of the computer network, computer network has brought us endless resources, but the attendant issue of network security is particularly important in order to better address these issues, to ensure the security of information networks, the enterprise shouldestablish a sound security system and the system includes two aspects of network security protection and network security management. this paper focuses on the campus network information network construction program, and made a number of external network security measures.

[keywords] computer network; security; external network; precautions

中图分类号:tn711 文献标识码:a 文章编号:

1校园网外网现状

1.1 网络架构

目前我校每个办公室都铺设了信息外网结点,信息结点由楼层接入交换机连接到核心交换机。然后再通过外网边界处部署的防火墙,通过vpn通道统一出口访问互联网。

1.2 网络设备型号

核心交换机:h3c3600

防火墙:fw4120

校园网接入路由器:h3c5060

楼层交换机:cisco 2950

1.3 现有网络安全配置

为了做好我校信息外网安全工作,我校统一安装部署了卡巴斯基杀毒软件并定期更新、扫描,同时在信息外网的边界处部署了防火墙、由学校统一加强互联网出口、病毒木马、网络行为分析与流量监控来抵御来自外部网络的安全威胁,在这些设备、软件的严密监控下,来自网络外部的安全威胁大大减小,而对来自网络内部的计算机客户端的安全威胁所作的安全管理措施不够,安全威胁较大。而且来自信息外网的威胁,也可能通过u盘等传播到信息内网,使信息内网同样面临安全威胁。为了抵御内部威胁防止未授权计算机的接入,最初我们只是在h3c3600核心交换机上做了ip、mac地址绑定,这种配置方式虽然在一定程度上可以减少非法接入和arp

欺骗攻击但仍存在一定的缺陷,因为mac地址可以伪造,非法用户可以利用绑定列表中的ip并虚拟与该ip绑定的mac地址,通过任意一个办公室的信息结点连接外网。因此,最初所做的绑定策略是较低级别的授权认证。

2校园网信息外网安全防范措施

为了解决单纯在核心交换机上进行ip、mac地址绑定存在的缺陷,严格限制非法设备接入,同时做好外网信息安全工作,制定以下防范措施:

2.1 核心交换机上执行端口+ip+mac地址绑定策略

在核心交换机上,对在用的每一个端口进行端口+ip+mac地址的绑定,实现在固定端口只允许固定ip和mac地址的访问,对于未使用的端口全部关闭。由于对每个在用的端口进行绑定并有严格限制,而未使用的端口全部关闭,所以在一个端口绑定的pc使用该ip地址和mac地址也不可以在其他端口上网。

在核心交换机上对端口、ip、mac地址进行绑定,可以严格控制非法网络接入,但是由于只是在核心交换机上进行限制,而终端计算机不是直接接入核心交换而是通过接入交换机进行接入,该方法虽然可以限制网络访问,但同一接入交换机直接相连的终端或不同接入交换机相连的终端仍然可以通信,且会产生不必要的网络流量,对网络仍产生一定的威胁,所以我们可以采用基于核心、接入交换的两级绑定管理。

2.2 基于核心、接入交换机的两级绑定管理

我们保留最初在核心交换机上做的ip、mac地址绑定,同时在接入层交换机上对每个端口绑定固定的一个mac地址,且每个端口只允许一个mac地址通过。这样,在接入层交换机上可以实现对终端计算机的一级mac地址过滤管理,严格控制网络接入设备,同时减少非法接入设备产生的不必要的流量;在核心交换机上实现对终端设备的二级ip管理,每个mac地址只能使用特定的ip,防止终端私自更改ip,做好ip地址管理工作。通过此配置,可以实现基于核心、接入交换机的两级绑定管理,即从源头上,通过接入层一级管理严格控制终端计算机非法接入,同时对核心交换层进行二级管理防止私自更改ip,做好ip地址维护管理工作。

2.3 基于cams的身份认证机制

针对目前越来越复杂的网络环境,cams身份认证服务机制从企业用户的网络接入控制入手,可以统一管理网络中用户的身份、权限信息,通过严格的身份认证、安全状态评估和终端准入控制功能,解决企业网用户接入控制的问题,可以大幅度提升企业网络的安全性和可管理性。cams服务器与h3c系列路由器和交换机的协同配合,可以稳定、高效地完成对网路接入用户的安全认证、授权和管理,满足企业的高安全和可管理的需求。

2.3.1 基于cams身份认证的组网结构

此结构需要通过配置路由器实现radius 服务器对登录路由器

的用户进行认证。radius 服务器可使用h3c的cams服务器,cams 与核心交换机相互配合,以保证安全性。cams配置需要以系统管理

相关主题