网络安全实例之背景分析
在没实施实名认证之前,校园网的用户(包括单位用户和家庭用户)上网都是固定的IP地址。但是也可以说是不固定的,因为我们学院把每个部门和每栋家属楼细化了VLAN,在这个VLAN 中一般IP 地址划分给这个VLAN。
所以有的用户知道这种情况后,科室或者家里增加了电脑,就能猜到IP地址,如果和别人的发生了冲突,那么会造成抢网的事件,而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患,如果用户中毒或者在网上发布影响学校或者国家的帖子,可能找不到本人。
正是由于这些不利的因素,学校准备实施校园网扩建工程的实名认证。
网络安全实例之方案介绍
“学院校园网项目”是校园网工程的一部分,包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面,主干双链路千兆到楼宇汇聚,并保证子网的每个信息点有802.1X认证的交换机端口。同时,还要保证在接入层实现安全控制接入。
网络安全实例之实施要求
软件上需要能够提供对学生上网的管理,如用户合法性的验证,IP、MAC的绑定,帐号的分配及管理;日常运营所需要的收费、计费服务;学生自助服务系统和设备管理。
交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务,汇聚交换机能够提供VLAN划分和三层交换,接入需要支持802.1X以保证运营的实施。
学院校园网拓扑图如图1。
图1 学院校园网拓扑
网络安全实例之网络拓扑说明
出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。
核心层采用两台RG-S8606核心交换机,负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT,千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G,同时也可提供接入服务,使用双绞线与接入交换机S2026F互联。
网络安全实例之方案实施
首先需要安装SAM 服务器,学院选用的是RG-SAM 2.x企业版,拥有2000用户。
其次是安全管理规划,系统使用W i n d o w s 2 0 0 3 Server+SP2,并在相应网站下载补丁程序升级,并建议客户
预装杀毒程序以保障机器的安全。
同时在交换机上通过ACL做服务器网段和用户网段的隔离,并进行端口过滤,只允许服务器进行所需端口通过。
- a) 8080.TCP端口.http访问端口
- b) 8443.TCP端口,https访问端口
- c) 1812.UDP端口.默认的认证报文接收端口
- d) 1813.UDP端口.默认的记帐报文接收端口
- e) 1433.TCP端口.SQL SERVER的默认监听端口
- f) 1434.UDP端口.SQL SERVER的默认监听端口.
- g) 8009.TCP端口.ajp端口
- h) 1099.TCP端口.jnp端口
- i) 1098.TCP端口.rmi端口
- j) 8090.TCP端口.JBossMQ OIL service端口
- k) 8092.TCP端口.JBossMQ OIL2 service端口
- l) 8093.TCP端口.JBossMQ UIL service端口
- m 4444.TCP端口.RMIOBJECTPort
- n) 4445.TCP端口.ServerBindPort
- o) 1162.UDP端口.JBoss snmp agent端口.
#p#
网络安全实例之数据库系统规划
安全管理规划:数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。
数据的备份:
1.SQL Server Agent服务启动,建数据库维护计划实现数据库备份,计划的名字为sambackup。
2.SQL数据的备份采用完全备份方式,备份目录为k:/ backup,备份时间为每天凌晨三点,保留一个月内的完全备份数据。
3.由于RG-SAM的后台数据信息非常重要,需要经常性质地将数据进行备份。
数据的恢复:
在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)
1.手动备份数据库。
2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。
3.删除原数据库中的sam关联。
4.在后台数据库中创建和sam帐号的关联。成功完成后,移到新服务器上,便可在新服务器上启动SAM,注意启动前要将服务器的IP改为原服务器的IP。
SAM 系统规划及设置
网络安全实例之用户开户的方式
采用批量导入的方式进行用户开户。
将要开户的用户按一定的格式编辑成相应的文本文件,在管理界面中批量导入进行开户。
1.在开户之前先要定义组,比如说办公的用户就划分为office组,家庭的划分为home组,学生的划分为student组等等,然后把个人的姓名拼音当做用户名,绑定IP地址,最后选择组(请个人账户的格式是用户名+IP地址+组)。
此外,我们为什么没有绑定MAC地址,是因为如果用户电脑换了或者网卡换了就不能上网了,考虑到这原因,我们就没有绑定MAC地址,也是为了便于管理。
2.接入交换机sam系统配置
Switch#config t 进入全局配置层以后,配置以下:
- radius-server host 10.6.0.67----------配置认证服务器地址
- aaa authentication dot1x-------------开启认证
- aaa accounting server 10.6.0.67--------配置记账服务器
- aaa accounting--------开启记账
- dot1x client-probe enable-------开启户端探测
- dot1x probe-timer interval 30--------客户端与服务器交互时间
- dot1x probe-timer alive 90---------在线探测时间,即上面时间的三倍,交换机连续三次没收到客户端的交互报文,则认为客户端已下线
- dot1x timeout quiet-period 2---------服务器端报文重传间隔
- dot1x timeout tx-period 3----------报文重传间隔
- no dot1x re-authentication-------关掉重认证
- radius-server key znufesam--------配置认证KEY
- snmp-server community znufero rw------配置SNMP管理字
- interface fastEthernet 0/1 ----------进入端口模式
- dot1x port-control auto-------开启端口认证
3.所有用户需要安装客户端,设置在网络中心注册的合法IP地址。打开认证软件就可以看到认证软件的界面。根据在网络中心签的入网协议上的用户名和密码,选择网卡类型(为什么要选择网卡类型,因为有些电脑是二个网卡,软件自己是识别不出来的,所以要选择填了正确IP地址的网卡),点击链接,那么你的电脑就会自动和SAM服务器“握手”,匹配是否合法,如果信息匹配成功,那么就可以正常上网了(这个匹配的时间就1-2秒钟)。
4.部分用户可能觉得这样上网麻烦,那可以在这个用户参数设置里面把“保存密码”,“启动软件后自动认证”,“开机自动运行”这三项前面打勾,那么启动电脑,这个认证的软件就自动认证。
网络安全实例之方案实施后的效果
自从校园网实施实名认证升级后,再也没有发生过IP地址冲突之类的事件,而且还限制了用户在办公室或者家里私自接内网,防止破坏校园网整体结构。
实施实名认证后,通过每个用户名和IP地址绑定,如果用户中毒或者是在网上发影响学校或者国家的帖子,可以找到他的IP地址,从而可以找到他本人。这样很大程度上解决了网络中心的安全隐患,也为网管人员减轻了不少工作负担!
【编辑推荐】
