網(wǎng)絡(luò)安全實(shí)例之背景分析

在沒實(shí)施實(shí)名認(rèn)證之前，校園網(wǎng)的用戶(包括單位用戶和家庭用戶)上網(wǎng)都是固定的IP地址。但是也可以說是不固定的，因?yàn)槲覀儗W(xué)院把每個(gè)部門和每棟家屬樓細(xì)化了VLAN，在這個(gè)VLAN 中一般IP 地址劃分給這個(gè)VLAN。

所以有的用戶知道這種情況后，科室或者家里增加了電腦，就能猜到IP地址，如果和別人的發(fā)生了沖突，那么會(huì)造成搶網(wǎng)的事件，而且不便于網(wǎng)絡(luò)中心的工作人員管理網(wǎng)絡(luò)。對(duì)于網(wǎng)絡(luò)安全也存在很大的隱患，如果用戶中毒或者在網(wǎng)上發(fā)布影響學(xué)校或者國家的帖子，可能找不到本人。

正是由于這些不利的因素，學(xué)校準(zhǔn)備實(shí)施校園網(wǎng)擴(kuò)建工程的實(shí)名認(rèn)證。

網(wǎng)絡(luò)安全實(shí)例之方案介紹

“學(xué)院校園網(wǎng)項(xiàng)目”是校園網(wǎng)工程的一部分，包括教師宿舍、教學(xué)區(qū)、綜合樓和老教學(xué)區(qū)的樓棟匯聚、樓層接入網(wǎng)絡(luò)交換設(shè)備與集成、管理系統(tǒng)和認(rèn)證計(jì)費(fèi)系統(tǒng)。項(xiàng)目完成后將為整個(gè)校園提供一個(gè)高效、穩(wěn)定的網(wǎng)絡(luò)通信平臺(tái)。對(duì)校園網(wǎng)的整體設(shè)計(jì)要求實(shí)現(xiàn)百兆到桌面，主干雙鏈路千兆到樓宇匯聚，并保證子網(wǎng)的每個(gè)信息點(diǎn)有802.1X認(rèn)證的交換機(jī)端口。同時(shí)，還要保證在接入層實(shí)現(xiàn)安全控制接入。

網(wǎng)絡(luò)安全實(shí)例之實(shí)施要求

軟件上需要能夠提供對(duì)學(xué)生上網(wǎng)的管理，如用戶合法性的驗(yàn)證，IP、MAC的綁定，帳號(hào)的分配及管理；日常運(yùn)營所需要的收費(fèi)、計(jì)費(fèi)服務(wù)；學(xué)生自助服務(wù)系統(tǒng)和設(shè)備管理。

交換機(jī)方面需要能夠?yàn)榻處熕奚?、教學(xué)區(qū)、綜合樓和老教學(xué)區(qū)提供穩(wěn)定、快速的接入服務(wù)，匯聚交換機(jī)能夠提供VLAN劃分和三層交換，接入需要支持802.1X以保證運(yùn)營的實(shí)施。

學(xué)院校園網(wǎng)拓?fù)鋱D如圖1。

圖１ 學(xué)院校園網(wǎng)拓?fù)?/p>

網(wǎng)絡(luò)安全實(shí)例之網(wǎng)絡(luò)拓?fù)湔f明

出口使用某廠商的RSR50-40路由器作為出口設(shè)備與移動(dòng)網(wǎng)和教育網(wǎng)相連。

核心層采用兩臺(tái)RG-S8606核心交換機(jī)，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換。匯聚層是千兆交換機(jī)S3760-12SFP/GT，千兆光纖連接核心交換機(jī)及每層樓的接入交換機(jī)。每棟樓的小匯聚使用的是S2126G，同時(shí)也可提供接入服務(wù)，使用雙絞線與接入交換機(jī)S2026F互聯(lián)。

網(wǎng)絡(luò)安全實(shí)例之方案實(shí)施

首先需要安裝SAM 服務(wù)器，學(xué)院選用的是RG-SAM 2.x企業(yè)版,擁有2000用戶。

其次是安全管理規(guī)劃，系統(tǒng)使用W i n d o w s 2 0 0 3 Server+SP2，并在相應(yīng)網(wǎng)站下載補(bǔ)丁程序升級(jí)，并建議客戶
預(yù)裝殺毒程序以保障機(jī)器的安全。

同時(shí)在交換機(jī)上通過ACL做服務(wù)器網(wǎng)段和用戶網(wǎng)段的隔離，并進(jìn)行端口過濾，只允許服務(wù)器進(jìn)行所需端口通過。

a) 8080.TCP端口.http訪問端口  
b) 8443.TCP端口,https訪問端口  
c) 1812.UDP端口.默認(rèn)的認(rèn)證報(bào)文接收端口  
d) 1813.UDP端口.默認(rèn)的記帳報(bào)文接收端口  
e) 1433.TCP端口.SQL SERVER的默認(rèn)監(jiān)聽端口  
f) 1434.UDP端口.SQL SERVER的默認(rèn)監(jiān)聽端口.  
g) 8009.TCP端口.ajp端口  
h) 1099.TCP端口.jnp端口  
i) 1098.TCP端口.rmi端口  
j) 8090.TCP端口.JBossMQ OIL service端口  
k) 8092.TCP端口.JBossMQ OIL2 service端口  
l) 8093.TCP端口.JBossMQ UIL service端口  
m 4444.TCP端口.RMIOBJECTPort  
n) 4445.TCP端口.ServerBindPort  
o) 1162.UDP端口.JBoss snmp agent端口. 

#p#

網(wǎng)絡(luò)安全實(shí)例之?dāng)?shù)據(jù)庫系統(tǒng)規(guī)劃

安全管理規(guī)劃：數(shù)據(jù)庫軟件選用的是MS SQL Server 2000 標(biāo)準(zhǔn)版或企業(yè)版+SP4。

數(shù)據(jù)的備份：

1.SQL Server Agent服務(wù)啟動(dòng)，建數(shù)據(jù)庫維護(hù)計(jì)劃實(shí)現(xiàn)數(shù)據(jù)庫備份，計(jì)劃的名字為sambackup。

2.SQL數(shù)據(jù)的備份采用完全備份方式，備份目錄為k:/ backup，備份時(shí)間為每天凌晨三點(diǎn)，保留一個(gè)月內(nèi)的完全備份數(shù)據(jù)。

3.由于RG-SAM的后臺(tái)數(shù)據(jù)信息非常重要，需要經(jīng)常性質(zhì)地將數(shù)據(jù)進(jìn)行備份。

數(shù)據(jù)的恢復(fù)：

在原服務(wù)器上完全備份數(shù)據(jù)到指定的文件(假定為SAMdata060526)

1.手動(dòng)備份數(shù)據(jù)庫。

2.將上一步備份的文件SAMdata060526復(fù)制到新的機(jī)器上并執(zhí)行還原操作。

3.刪除原數(shù)據(jù)庫中的sam關(guān)聯(lián)。

4.在后臺(tái)數(shù)據(jù)庫中創(chuàng)建和sam帳號(hào)的關(guān)聯(lián)。成功完成后，移到新服務(wù)器上，便可在新服務(wù)器上啟動(dòng)SAM，注意啟動(dòng)前要將服務(wù)器的IP改為原服務(wù)器的IP。
SAM 系統(tǒng)規(guī)劃及設(shè)置

網(wǎng)絡(luò)安全實(shí)例之用戶開戶的方式

采用批量導(dǎo)入的方式進(jìn)行用戶開戶。

將要開戶的用戶按一定的格式編輯成相應(yīng)的文本文件，在管理界面中批量導(dǎo)入進(jìn)行開戶。

1.在開戶之前先要定義組，比如說辦公的用戶就劃分為office組，家庭的劃分為home組，學(xué)生的劃分為student組等等，然后把個(gè)人的姓名拼音當(dāng)做用戶名，綁定IP地址，最后選擇組(請(qǐng)個(gè)人賬戶的格式是用戶名+IP地址+組)。

此外，我們?yōu)槭裁礇]有綁定MAC地址，是因?yàn)槿绻脩綦娔X換了或者網(wǎng)卡換了就不能上網(wǎng)了，考慮到這原因，我們就沒有綁定MAC地址，也是為了便于管理。

2.接入交換機(jī)sam系統(tǒng)配置

Switch#config t 進(jìn)入全局配置層以后,配置以下:

radius-server host 10.6.0.67----------配置認(rèn)證服務(wù)器地址  
aaa authentication dot1x-------------開啟認(rèn)證  
aaa accounting server 10.6.0.67--------配置記賬服務(wù)器  
aaa accounting--------開啟記賬  
dot1x client-probe enable-------開啟戶端探測(cè)  
dot1x probe-timer interval 30--------客戶端與服務(wù)器交互時(shí)間  
dot1x probe-timer alive 90---------在線探測(cè)時(shí)間，即上面時(shí)間的三倍，交換機(jī)連續(xù)三次沒收到客戶端的交互報(bào)文，則認(rèn)為客戶端已下線  
dot1x timeout quiet-period 2---------服務(wù)器端報(bào)文重傳間隔  
dot1x timeout tx-period 3----------報(bào)文重傳間隔  
no dot1x re-authentication-------關(guān)掉重認(rèn)證  
radius-server key znufesam--------配置認(rèn)證KEY  
snmp-server community znufero rw------配置SNMP管理字  
interface fastEthernet 0/1 ----------進(jìn)入端口模式  
dot1x port-control auto-------開啟端口認(rèn)證 

3.所有用戶需要安裝客戶端，設(shè)置在網(wǎng)絡(luò)中心注冊(cè)的合法IP地址。打開認(rèn)證軟件就可以看到認(rèn)證軟件的界面。根據(jù)在網(wǎng)絡(luò)中心簽的入網(wǎng)協(xié)議上的用戶名和密碼，選擇網(wǎng)卡類型(為什么要選擇網(wǎng)卡類型，因?yàn)橛行╇娔X是二個(gè)網(wǎng)卡，軟件自己是識(shí)別不出來的，所以要選擇填了正確IP地址的網(wǎng)卡)，點(diǎn)擊鏈接，那么你的電腦就會(huì)自動(dòng)和SAM服務(wù)器“握手”，匹配是否合法，如果信息匹配成功，那么就可以正常上網(wǎng)了(這個(gè)匹配的時(shí)間就1-2秒鐘)。

4.部分用戶可能覺得這樣上網(wǎng)麻煩，那可以在這個(gè)用戶參數(shù)設(shè)置里面把“保存密碼”，“啟動(dòng)軟件后自動(dòng)認(rèn)證”，“開機(jī)自動(dòng)運(yùn)行”這三項(xiàng)前面打勾，那么啟動(dòng)電腦，這個(gè)認(rèn)證的軟件就自動(dòng)認(rèn)證。

網(wǎng)絡(luò)安全實(shí)例之方案實(shí)施后的效果

自從校園網(wǎng)實(shí)施實(shí)名認(rèn)證升級(jí)后，再也沒有發(fā)生過IP地址沖突之類的事件，而且還限制了用戶在辦公室或者家里私自接內(nèi)網(wǎng)，防止破壞校園網(wǎng)整體結(jié)構(gòu)。

實(shí)施實(shí)名認(rèn)證后，通過每個(gè)用戶名和IP地址綁定，如果用戶中毒或者是在網(wǎng)上發(fā)影響學(xué)?；蛘邍业奶?，可以找到他的IP地址，從而可以找到他本人。這樣很大程度上解決了網(wǎng)絡(luò)中心的安全隱患，也為網(wǎng)管人員減輕了不少工作負(fù)擔(dān)！

【編輯推薦】

1. 網(wǎng)站主機(jī)安全之服務(wù)器的網(wǎng)絡(luò)安全
2. 網(wǎng)站主機(jī)安全之系統(tǒng)與服務(wù)器安全管理
3. 網(wǎng)站主機(jī)安全之系統(tǒng)與服務(wù)器安全管理 續(xù)