尽管没有绝对安全的网络集成系统,但是,如果在网络方案设计之初就遵从一些安全要求,那么网络系统的安全就会有保障,若规划设计时不全面考虑,而消极地将安全和保密措施寄托在网络管理阶段,这种事后“打补丁”的思路是相当危险的。所以在做方案时,就应该把常见的一些安全措施考虑进来,本方案根据前面的网络安全需求分析,从以下几个方面来设计,从而保障网络系统的安全。
1.网络地址规划
良好的网络地址规划是网络安全的前提和基础。根据使用者及其用途的不同,可灵活地进行规划。如果有充足的IP地址,则可以给每个入网计算机分配一个固定的IP地址,但若地址不够,则可规划入网计算机使用动态IP地址。用户访问网络需要进行身份认证,在没有认证或认证不通过的情况下用户计算机将获得内网IP地址。
2.网络病毒的防范
校园网很重要的一个特征就是用户数比较多,会有很多的计算机缺乏有效的病毒防范手段。当用户频繁访问互联网的时候,通过局域网共享文件的时候,通过优盘、光盘复制文件的时候,系统都可能感染上病毒。当某个学生的计算机感染病毒后,就可能会向校园网的每一个角落发送,从而导致校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用。
为了防止病毒对系统安全的威胁,可以选用性能优越的网络版杀毒软件负责内部网络系统服务器及单机的病毒防范、查杀工作,同时利用防火墙对病毒的入侵进行有效的防范。
3.防止网络欺骗
对于内网,在ARP地址池中将分配给客户的IP地址与其对应的MAC地址进行绑定,这点非常重要。如果缺乏有效的IP、MAC地址管理手段,用户可以随意地更改IP地址,也可以在网卡属性的高级选项中随意地更改MAC地址。用户有意或无意地更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络。如果恶意用户发送虚假的IP与MAC地址对应关系的信息,普通用户的大量网络数据包都将落入恶意用户的手中,从而造成ARP欺骗攻击。
大量的IP、MAC地址冲突会导致用户经常不能使用网络上的资源,而且用户在正常工作和学习时,计算机会经常弹出MAC地址冲突的对话框。由于担心一些机密信息(如银行卡账户和密码、邮箱密码等)泄漏,用户会尽量减少网络的使用,这样会导致投入几百万的校园网不能充分地发挥其服务于教学的作用,造成很大的资源浪费。
基于上述原因,网络必须要进行身份的认证。身份认证是整个校园网络安全体系的基础,所有入网的计算机必须通过网络管理员的审核。这主要是为迅速查找故障原因提供帮助。
4.网络地址转换(NAT)功能
防火墙通过地址转换,将所有从内部发出的通过防火墙的报文的源地址修改成为防火墙本身的IP地址,使得外部网络无法了解内部网络的结构。使用地址转换技术可防止外部网络访问内部网络。局域网客户的网络连接只能从内部发起,这样便能极大地提高了网络安全性。
5.防止拒绝服务攻击
相对于ISP提供的外网的网关IP地址而言,拒绝服务攻击主要发生在内网客户中。为了减少对路由器的拒绝服务攻击以及让上网用户不至于在流量很大的时候没有带宽,有必要对整体带宽进行动态限速。当达到某个阀值时,限制每个用户的带宽,当整体带宽降下来后,网络恢复无限速状态。
6.防止端口扫描
除了ARP欺骗攻击外,端口扫描是最危险的一种攻击路由器的方式。这种攻击方式大大影响网络速度,占用网络带宽。可在防火墙中增加这样的规则,即不论内网还是外网,只要发现这样的扫描数据,增加的规则将采取丢弃这样的扫描数据包的方法或者屏蔽发生扫描的主机IP地址。这条效果非常显著,有问题的内网计算机客户会马上被封锁,待问题解决后再开放。
7.局域网其他计算机安全设置
对于个人用户,只要求做好一些常规的设置:打好系统补丁,使用分配的固定IP地址,安装杀毒软件,安装ARP防火墙防止网络欺骗。
对于服务器的安全设置比较复杂,后面的章节将会介绍,这里只作简单说明:主要是做好服务器加固,以及服务器的安全配置和备份,最好使用扫描软件对服务器进行扫描,检测服务器的安全性能。(www.xing528.com)
8.设置防火墙
通过地址过滤可提供基本的防火墙功能,同时设置访问控制、身份认证、日志和入侵检测功能,以防止非法及恶意的客户入侵。
9.交换机安全配置
交换机作为网络骨干设备,自然也肩负着构筑网络安全防线的重任,通过对交换机进行密码设置、端口的安全配置等达到网络安全的目的。
10.路由器安全配置
路由器是一种负责寻径的网络设备,它在网络中的安全显得十分重要,通过对路由器采取保护密码的配置、控制telnet访问、禁止CDP等措施来加强路由器的安全。
11.入侵检测系统
入侵检测系统提供下列功能:入侵检测、流量统计、入侵响应、入侵报表、协议还原等。
12.服务器的安全配置
合理配置服务器的操作系统。网络操作系统(NOS)是网络用户与计算机之间的接口,可使网络上分布于不同位置的计算机能够方便而有效地共享网络资源,为网络用户提供所需的各种服务。网络操作系统除了具有一般操作系统所具有的处理机管理、储存器管理、储备管理及文件管理功能外,还有网络管理、网络通信、网络可靠性、资源共享、多种网络协议支持等功能。所以,操作系统的安全性是网络系统的安全基础。网络操作系统极为庞大,网络管理人员要做到对它了如指掌并不容易。所以,校园网络应视具体情况采用不同的安全策略,即合理配置操作系统至关重要。
13.其他安全注意事项
(1)物理安全
硬件设备必须有专人管理,其他人不能随意使用。
(2)硬件故障
在允许的情况下,尽可能使用较好的网络设备,同时应有一两台备用的设备,出故障后能及时替换。
(3)软件故障
根据路由器的数据信息或日志查找问题根源,对于发现有问题的计算机,要在第一时间进行处理,其中具有攻击性且来不及处理的就直接断开连接。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
