返回
浅谈高校校园网网络安全策略

浅谈高校校园网网络安全策略

ID:44624377

大小:36.05 KB

页数:5页

时间:2019-10-24

浅谈高校校园网网络安全策略_第1页
浅谈高校校园网网络安全策略_第2页
浅谈高校校园网网络安全策略_第3页
浅谈高校校园网网络安全策略_第4页
浅谈高校校园网网络安全策略_第5页
资源描述:

《浅谈高校校园网网络安全策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈高校校园网网络安全策暁【文章摘要】本文分析了当前高校校园网的各种攻击现象,并山网络核心设备的功能展开说明,提出了网络核心设备的安全功能措施要求,并提出了整个校园网的安全策略。【关键词】校园网;安全功能措施;安全策略网络安全是任何一个网络建设时首先要考虑的重要问题,高校校园网的环境更加复杂,学生的技术水平都较高,好奇心比较强,其网络安全更加值得关注。TCP/IP网络本身就存在很多安全漏洞,很容易被一些恶意用户利用并实施攻击,或非法占用网络资源,侵犯其它用户的合法利益,其至导致整个网络系统刖溃。任何一个网络设备都必需首先具备足够的自我保护和防范能力,在校园网络中最关键的

2、安全设备就是学校出口路由交换机。出口路由交换机作为BAS设备,除了保护自己外,还要特别担负起对所有接入用户的安全保护,因此BAS设备的安全功能是极其重要和基本的。它的安全功能措施分为两类,一类是自身防攻击措施,另一类是用户安全保证措施。防攻击措施主要包括以下功能:1.DHCP申请数限制限制每个VLAN物理链路上同时申请的DHCP地址个数,防止对DIICPSERVER的攻击。1.安全ARP一般路由设备在外网段发起PTNG操作时如果发现PTNG的目的地址是其本网段的IP地址,且在ARP表项中没有该IP地址时,将代为发起ARP请求,这样如果网上出现类似“红色代码病毒”的攻击,

3、一般路由设备将不堪负重。2.广播抑制应对上交给控制软件处理的广播报文实施流控,减少对系统资源过量和突发耗费。3.非法报文早期丢弃对收到的非法类型或本系统不关心的报文能早期发现并丢弃,不上交给控制软件处理,以减少对系统资源的耗费。4.控制报文分优先级上交处理将控制报文分优先级上交给控制软件处理,以确保重要的控制业务优先实施,具体优先顺序从高到底依次为:PPP连接协商控制报文、PPPoE连接协商报文、ARP请求报文、各种广播报文、ICMP报文。用户安全措施主要包扌舌以下功能:1.对用户认证密码的安全性保障对PPP拨号用户和WEB用户登录密码分别用CHAP、HTTPS等协议进

4、行加密后再进行传输。2•限制每个VLAN-ID上的用户数量通过配置“MAX-USER”命令对每个VLAN端口上的最大允许用户数(限制接入IP地址数,包括PPP连接数-限制PPPSession数)进行限定,并在用户接入过程中进行控制,在…足程度上增加恶意攻击的难度。3•对用户带宽做控制对于每个VLAN用户可以做精确带宽控制,从而使大流量攻击受到抑制4・专线用户地址反欺骗对静态或动态地址的专线用户的IP地址盗用都能实现冇效的防止5•异常用户来源的识别各种异常现象发生时,BAS设备的告警信息能记录并显示出异常用户的来源信息,以便于查明具体用户由以上分析,我们可以采取如下安全策

5、略:1•用户严格隔离方法一:用Vian隔离。在楼道以太网交换机上按端口划分Vian,每个用户占用一个Vlano方法二:利用PrivateVian技术。在楼道交换机上划分PrivateVian,使用户端口之间不能通信,用户端口只能和Uplink口通信。方法三:使用以太网MUX设备。该类设备将楼道交换机的端口分为两类:上行口Uplink和用户端口。用户端口之间不能通信,Uplink口可以和所有端口通信。2•用户唯一标识-般的边缘路由器对于用户上行报文,只根据目的IP地址进行转发,不做源地址检查,这是出现网络和用户安全性问题的根本原因所在。对于静态IP地址分配方案,可以将用户

6、的VLANID+IP绑定;对于动态IP地址分配方案,可以将用户的VLANID+IP+MAC进行绑定。VLAN信息由设备构造,不可仿冒,可作为用户上网的唯一标识。3.防止对DHCP服务器的攻击使用DIICPServer动态分配IP地址会存在两个问题:一是DHCPServer假冒,用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突;二是用户DHCPSmurf,用户使用软件变换自己的MAC地址,大量申请TP地址,很快将DHCP的地址池耗光。由于DHCP是通过二层广播包起作用的,故在二层严格隔离用户,可防止DHCPServer假冒。为解决DIICP

7、Smurf,在以太网接入时,对用户划分Vian,由出口路由交换机控制一个Vian下巾请的最大IP地址数,当该Vian的IP地址数目达到限制值后,拒绝新的DHCP申请。Vlem的划分可根据学校的实际情况灵活常握。4•恶意用户追查对每个用户分配一个VianID,使用路由交换机管理用户。记录用户每次上网的用户名,源IP地址,上网开始和结束时间。根据源IP查询到用户的VlemID,通过VlemID得知用户的上网地点。5.防止用户Proxy代理通过计费策略进行限制:为防止用户自建Proxy服务器并共享帐号,可以在计费策略上加以约束。比如,采用时长加

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。