华中农业大学校园网技术建议书

华中农业大学校园网技术建议书内容摘要：

禁止使用的软件等行为在企业网中也比比皆是。 管理的欠缺 不仅 会直接影响用户网络的正常运行，还可能使企业蒙受巨大的商业损失。 如何有效管理企业网络安全，确保企业网络安全是每一个网络管理员不得不面对的挑战。 但现有技术、产品对于网络安全问题的解决，通常是 被动防御 ， 事后补救。 为了解决现有网络安全管理中存在的不足，应对网络安全威胁， H3C公司推出了端点准入防御（ EAD）解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产 品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。 EAD解决方案提供企业网络安全管理的平台，通过整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业网络安全策略，提高网络终端的主动抵抗能力。 其基本原理图如下： 12 安全客户端 安全联动设备防病毒插件认证插件其他插件R安全策略服务器第三方服务器端点 设备层 控制层 隔离区身份认证 ( 用户名、密码、 MAC 、 VLAN)非法用户拒绝接入不合格用户进入隔离区，进行补丁升级、病毒库升级安全认证 ( 病毒库版本、补丁、安全设置 )策略实施 ( 访问策略、 QoS 策略、安全设置 )为合格用户提供个性化服务补丁管理插件架构流程安全客户端平台防病毒服务器，补丁服务器等第三方软件CAMS 服务器安全客户端 安全联动设备防病毒插件认证插件其他插件安全策略服务器第三方服务器端点 设备层 控制层 隔离区身份认证 用户名、密码、 、非法用户拒绝接入不合格用户进入隔离区，进行补丁升级、病毒库升级安全认证 病毒库版本、补丁、安全设置安全认证 病毒库版本、补丁、安全设置策略实施 访问策略、 策略、安全设置为合格用户提供个性化服务补丁管理插件架构流程安全客户端平台防病毒服务器，补丁服务器等第三方软件服务器 图 1 EAD 基本原理 EAD系统由四部分组成，具体包括 安全策略服务器 、 安全客户端 平台 、 安全联动设备 和第三方服务器。 安全策略服务器是 EAD方案中的管理与控制中心 ， 是 EAD解决方案的 核心 组成部分， 实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 目前H3C公司的 CAMS产品实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。 安全客户端 平台 是安装在用户终端系统上的软件， 该平台可集成各种安全厂商的安全产品插件， 对用户终端进行身份认证、安全状态评估以及 实施网络 安全策略。 安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。 CAMS综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。 第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能集成至 EAD解决方案种，实现安全产品功能的整合。 13 EAD原理图示意了应用 EAD系统实现终端安全准入的流程： 1. 用户终端试图接入网络时，首先通过安全客户端上传用户信息至安 全策略服务器进行用户身份认证，非法用户将被拒绝接入网络 2. 合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区 3. 进入隔离区的用户可以根据企业网络安全策略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合企业网络安全策略 4. 安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务 EAD应用场景 EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，可以配 合交换机、路由器、 VPN网关等网络设备，实现对局域网接入、无线接入、 VPN接入、关键区域访问等多种组网方式的安全防护。 可以为多种应用场合提供安全保护，具体包括： 局域网安全防护 在企业网内部，接入终端一般是通过交换机接入企业网络， EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。 无线接入网络的安全防护 WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的监控，容易感染病毒和木马或出现长期不更新系 统补丁的现象，给网络带来安全隐患。 与局域网接入防护类似，对于这种无线接入的用户， EAD也可以在交换机配合下，通过实现用户接入终端的安全控制，实现用户网络的安全保护。 VPN接入网络的安全防护 一些企业和机构允许移动办公员工或外部合作人员通过 VPN方式接入企业内部网络。 EAD方案可以通过 VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。 对于没有安装 EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。 14 企业关键数据保护 对于接入 网络的用户终端，其访问权限受 EAD下发的安全策略控制，其对企业关键数据服务器的访问也因此受控。 同时由于可访问该数据服务器的用户均通过 EAD的安全状态检查，避免数据遭受非法访问和攻击。 网络入口安全防护 大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或 WAN连接企业总部。 这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。 为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器中实施 EAD准入认证。 EAD提供了一个全新的安全防御体系，该系统作为网 络安全管理的平台，将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力。 在EAD平台的基础上，可轻松构建让企业管理者、网络用户和网络管理员均放心的安全网络。 通过对网络接入终端的检查、隔离、修复、管理和监控，有效管理网络安全，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，让网络拥有“自动免疫”的安全机能。 因此，本方案建议，在北京中心和小站全面部署 EAD体系，在 网络层面采用支持 EAD技术的交换机，形成整体的端口准入防御网络，以保障整网的高安全性。  网络可靠性分析 网络的设计和建设应该充分考虑到网络的安全性和稳定性，应该能保证各种在网数据安全、完整，保证各类网络应用的畅通和稳定。 对于单个的网络设备，要求设备本身有高可用性，和长期运行的稳定性。 对于关键的设备需要支持关键部件的冗余和热插拔功能。 另外还要求关键网络设备必须符合安全性要求，具有能阻挡一般性网络攻击的能力。 对于整个网络的设计方面，使用技术成熟的网络设备和通信技术，对于网络的重要部分或设备应在网络设计上考虑 冗余和备份。 减少单点故障对整个网络的影响。 网络在硬件和软件上考虑防止非法入侵和破坏的能力，主干网要能抑制广播风暴和地址过滤。 整个网络要 15 便于统一管理、监控和维护，并能跟踪、诊断和排除故障。 主要网络设备要支持 SNMP 和RMON。 大型的园区络，必须依靠各种网管软件及特别的网管功能，实现监控、故障诊断和排错。 H3C Catalyst 系列交换机中 Remote SPAN 功能可以远程映射端口流量进行分析，方便故障诊断。 对于三层协议，路由协议可以负载均衡、链路备份、快速的故障恢复；对于二层协议，可以通过 、链路备份、快速的故障恢复。 对于三层协议：通过某些动态路由协议，如 EIGRP，可以配置相应的 Metric 值，使两条链路可以同时工作，当某条链路坏时，可以自动备份到余下的链路上。 即实现了负载均衡、链路备份、快速的故障恢复。 对于二层协议： ，可以自定义一部分 VLAN 以链路 1 为主链路，链路 2为备份；对另一部分 VLAN 以链路 2 为主链路， 链路1 为备份。 则实现了 负载均衡、链路备份、快速的故障恢复。  网络安全性分析 网络安全越来越成为企业网络成功运行的关键因素。 特别是随着多协议新业务的发展、网上教学、远程教育等各种应用使教育网络不再是一个封闭的网络，网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。 建议采用 H3C SAFE（ Security Architecture for Enterprise 企业安全体系结构）为宜昌供电公司网络提供整体的、可扩展的、高性能的、灵活的安全解决方案。 SAFE采用模块化的方法根据用户需求制定安全的设 计、实施和管理。 在设计 SAFE 的每个模块时， H3C 都考虑到一些关键的因素，包括潜在可能的威胁或侵入及相应的对策、性能（不能因为安全控制带来不可接受的性能下降）、可扩展性、可管理性、服务质量和语音的支持等。 我们为宜昌供电公司网络提出的网络安全策略正是基于 SAFE 企业安全体系结构而设计，满足宜昌供电公司网络对网络安全的要求。 针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。 H3C 系列路由器提供一个全面 的网络安全解决方案，包括线路可靠、用户验证、授权、 16 数据保护、智能访问控制等等。 所采用的安全技术包括： CallBack技术 备份中心 AAA CA技术 包过滤技术 地址转换 VPN技术 加密与密钥交换技术 智能防火墙 安全管理 其他安全技术与措施  网络安全策略 网络系统的安全主要涉及到应用系统信息传输的安全、信息存储的安全、对信息内容的审计以及鉴别与授权、用户访问控制等。 本质上，网络的安全性就是指系统和信息的安全，一般的系统攻击能使系统不能正常工作，但不导致数据泄密，而信息的安全与否直接关系数据的泄密。 下 面是一些常规的网络安全解决手段：  信息传输安全（动态安全）：数据加密，数据完整性鉴别。  信息存储安全（静态安全）：数据库安全，终端安全。  信息的防泄密：信息内容审计。  用户访问控制：鉴别，授权，日志管理。 网络系统的安全是一个涉及系统各个部件的问题，因此解决安全的手段也必须是一个系统的方案，一般来说网络系统的安全需要从以下几个方面来加以解决：  网络本身  主机与应用系统  用户认证  行政管理 要指出的是，网络安全的解决是一个复杂的系统问题，需要从系统的各个层面加以解 17 决，我们在建议 采用的是一个循序渐进的解决策略，即首先实现基本的安全策略，再考虑更深入的安全解决方案。  包过滤防火墙技术 IP 报文的 IP 报头及所承载的上层协议（如 TCP）报头的每个域包含了可以由路由器进行处理的信息。 包过滤通常用到 IP报文的以下属性： IP的源、目的地址及协议域； TCP或 UDP的源、目的端口； ICMP码、 ICMP的类型域； TCP的标志域 表示请求连接的单独的 SYN 表示连接确认的 SYN/ACK 表示正在使用的一个会话连接 表示连接终断的 FIN 可以由这些域的各式各样的组合形成不同的规则。 比如，要禁 止从主机 FTP连接，包过滤可以创建这样的规则用于丢弃相应的报文： IP目的地址 = IP源地址 = IP的协议域 = 6 （ TCP） 目的端口 = 21 （ FTP） 其他的域一般情况下不用考虑。 同样，在 Novell IPX和 Apple AppleTalk协议中，也可相应地设置各自的包过滤规则。 H3C 系列安全路由器提供了基于接口的包过滤，。