2022年校园网网络安全方案设计_个人整理 .pdf
华南农业大学珠江学院信息工程系课程设计报告设计名称:硬件课程设计设计题目:校园网网络安全方案设计学生学号:200830420121 专业班级:信息管理与信息系统0801 班学生姓名:林枫名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 36 页 - - - - - - - - - 摘要随着各院校信息化建设的不断提高,网络建设的不断发展 ,各大中专院校、乃至中小学都在大力发展自己的校园网建设。校园网规模的扩大,各种安全问题也随之而来,如何确保校园网络安全稳定的运行,是校园网建设中必须解决的问题。 校园网作为学院重要的基础设施,担当着学院教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,但随着应用的深入,校园网上的各种数据会急剧增加,各种各样的安全问题开始困扰我们。本文通过从校园网内网安全和外网安全两个方面进行了网络安全方案的分析及选择,通过采用软硬件结合的方式,以及从防病毒、交换机端口安全、路由器配置和访问控制列表等技术实现了校园网的安全部署。关键词: 校园网;网络安全;访问控制列表名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 36 页 - - - - - - - - - 第一章校园网安全隐患分析1.1 校园内网安全分析1.1.1 BUG 影响目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。 现在网络服务器安装的操作系统有UNIX 、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击 ; 而 Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多 , 因此, 导致它成为较不安全的操作系统。 在去年一段时期、冲击波病毒比较盛行 , 冲击波”这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球 80 %的 Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了 DoS 攻击, 使多个国家的互联网也受到相当影响。1.1.2 设备物理安全设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、 交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内 , 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备 , 这样会造成校园网络全部或部分瘫痪。1.1.3 设备配置安全设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 ) , 防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、 路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜 , 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置 , 严重时甚至会导致整个校园网络瘫痪。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 36 页 - - - - - - - - - 1.1.4 管理漏洞一个健全的安全体系 , 实际上应该体现的是 “ 三分技术、七分管理 ”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、 对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理 , 一但有人出于某种目的破坏网络, 后果将不堪设想。 IP 地址盗用、滥用是校园网必须加强管理的方面, 特别是学生区、 机房等。IP 配置不当也会造成部分区域网络不通。 如在学生学习机房 , 有学生不甚将自己的计算机的IP 地址设成本网段的网关地址, 这会导致整个学生机房无法正常访问外网。1.1.5 无线局域网的安全威胁利用 WLAN 进行通信必须具有较高的通信保密能力。对于现有的 WLAN 产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式, 非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用, 还会降低合法用户的服务质量。地址欺骗和会话拦截目前有很多种无线局域网的安全技术,包括物理地址 (MAC) 过滤、服务集标识符 (SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA?(Wi-Fi Protected Access)、IEEE 802.11i 等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。 在无线环境中, 非法用户通过侦听等手段获得网络中合法站点的MAC 地址比有线环境中要容易得多,这些合法的MAC 地址可以被用来进行恶意攻击。另外,由于 IEEE802.11没有对 AP 身份进行认证,攻击者很容易装扮成合法AP 进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。 这些合法的 MAC 地址可以被用来进行恶意攻击。另外,由于 IEEE802.11没有对 AP 身份进行认证,攻击者很容易装扮成合法AP 进入网络,并进一步获取合法用户的鉴名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 36 页 - - - - - - - - - 别身份信息, 通过会话拦截实现网络入侵。一旦攻击者侵入无线网络, 它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。1.2 校园外网安全分析1.2.1 黑客攻击有的校园网同时与CERNET、Internet 相连, 有的通过 CERNET 与 Internet 相连, 在享受 Internet 方便快捷的同时 ,也面临着遭遇攻击的风险。 黑客攻击活动日益猖獗 , 成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部 , 还有相当一部分来自校园网内部, 由于内部用户对网络的结构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。1.2.2 不良信息传播在校园网接入Internet 后, 师生都可以通过校园网络进入Internet 。目前Internet 上各种信息良莠不齐 , 其中有些不良信息违反人类的道德标准和有关法律法规 , 对人生观、世界观正在形成中的学生危害非常大。特别是中小学生 ,由于年龄小 , 分辨是非和抵御干扰能力较差, 如果不采取切实可行安全措施, 势必会导致这些信息在校园内传播,侵蚀学生的心灵。1.2.3 病毒危害学校接入广域网后 , 给大家带来方便的同时, 也为病毒进入学校之门提供了方便, 下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及, 接入校园网的节点数日益增多, 这些节点大都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 36 页 - - - - - - - - - 第二章设计简介及设计方案论述2.1 校园网安全措施2.1.1 防火墙网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。 动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。网络监控系统是实时网络自动违规、入侵识别和响应系统。 它位于有敏感数据需要保护的网络上, 通过实时截获网络数据流, 寻找网络违规模式和未授权的网络访问尝试。 当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应, 包括实时报警、 事件登录或执行用户自定义的安全策略等。1 系统组成网络卫士监控器:一台,硬件监控系统软件:一套PC机(1 台,用于运行监控系统软件)2 主要功能实时网络数据流跟踪、 采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流, 分析网络通讯会话轨迹。 如:EMAIL :监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP 地址、邮件的发信人与收信人、邮件的收发时间等。HTTP:监视和记录用户对基于Web 方式提供的网络服务的访问操作过程(如用户名、口令等)。FTP:监视和记录访问FTP 服务器的过程( IP 地址、文件名、口令等)。TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志, 大大减少了需要人工处理的日志数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 36 页 - - - - - - - - - 3 主要技术特点采用透明工作方式, 它静静地监视本网段数据流, 对网络通讯不附加任何延时,不影响网络传输的效率。 可采用集中管理的分布式工作方式, 能够远程监控。可以对每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。2.1.2 防病毒为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件, 并指定严格的管理制度,保护系统的安全性。1 应用状况一 台 专 用 服 务 器 ( NTSERVER ) 、 一 台 代 理 邮 件 服 务 器 ( NT SERVER&PROXY SERVER,Exchange Server),一台 WWW SERVER ,一台数据库 SERVER,100-200台客户机。2 系统要求能防止通过 PROXYSERVER 从 Internet 下载文件或收发的E-mail 内隐藏的病毒,并对本地的局域网防护的作用。3 解决方案采用的防病毒产品如表2-1 所示。表 2-1 防病毒产品清单所需软件的名称安装场所数量保护对象ServerProtectforNTServer NTServer 每台 NTServer 一套NT SERVER 本身InterScanWebProtect ProxyServer 按客户机数量HTTPFTP 、用浏览器下开载的程序ScanMailforExchangeServer ExchangeServer 按客户机数量有 E-Mail 的用户OfficeScancorp 各 部 门 的 NT域服务器按客户机数量自动分发、更新、实时监察客户机名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 36 页 - - - - - - - - - 以下是选用以上 Trend 公司产品的说明:在 NT 主域控制器和备份域上均采用Server Protec for WindowsNT 保护 NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS 人员管理上的超负荷,因此推荐采用OfficeScanCorporatcEdition 企业授权版 OfficeScanCorporateIdition能让 MIS 人员通过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级)。另外在外接Internet和邮件服务器上,采用InterScanWebProtect和ScanMailForExchange 此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处-Internet 服务器或网关(Gateway)上安装此软件,它可以随时监控网关中的ETP、电子邮件传输和Web 网页所下载的病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。2.1.3 无线网络安全措施针对校园应用的安全解决方案, 从校园用户角度而言, 随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,H3C提出一系列不同级别的无线安全技术策略,从传统的 WEP 加密到 IEEE 802.11i,从 MAC 地址过滤到 IEEE 802.1x 安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。对于办公室局部无线用户而言, 无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员, 对网络安全性的要求相对较低。 通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP 进行认证, WPA-PSK+AP 隐藏可以保证基本的安全级别。在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多, 安全隐患也相应增加,此时简单的 WPA-PSK 已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持 IEEE 802.1x认证技术的 AP 作为无线网络的安全核心, 使用 H3C虚拟专用组 (Vertual Private Group)管理器功能并通过后台的Radius服务器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 36 页 - - - - - - - - - 如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高, 因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证, 就有可能造成帐号盗用、 非法入侵的问题, 对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求,通过H3C 虚拟专用组 (VPG)管理器功能、 IEEE802.11i 加密、 Radius 的用户认证确保高安全性。具体安全划分及技术方案选择如表2-2 所示。表 2-2 安全划分及技术方法选择安全级别典型场合使用技术初级安全办公室局部无线用户WPA-PSKAP 隐藏中级安全学校园区无线网IEEE802.1x认证 TKIP 加密+VPG管理专业级安全无线校园办公网VPG 管理 IEEE802.11iRadius认证为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术: TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及认证协议: IEEE802.1x 。IEEE 802.11i 标准已在 2004年 6 月 24 美国新泽西的 IEEE 标准会议上正式获得批准。2.2 H3C 无线校园网的安全策略针对目前无线校园网应用中的种种安全隐患,H3C 的无线局域网产品体系能够提供强有力的安全特性, 除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施。2.2.1 可靠的加密和认证、设备管理能够支持目前 802.11 小组所提出的全部加密方式,包括高级WPA 256位加密(AES),40/64 位、128 位和 152 位 WEP 共享密钥加密, WPA TKIP,特有的 128位动态安全链路加密,动态会话密钥管理。802.1x 认证使用 802.1x RADIUS 认证和 MAC 地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPA TKIP名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 36 页 - - - - - - - - - 认证采用 EAP-MD5 ,EAP-TLS和 PEAP 协议,扩展的证书认证功能更加保证用户身份的严格鉴定。支持通过本地控制台或通过SSL或 HTTPS 集中管理 Web浏览器;通过本地控制台或通过 SSH v2 或 Telnet 远程管理的命令行界面; 并可通过无线局域网管理系统进行集中管理。2.2.2 用户和组安全配置和传统的无线局域网安全措施一样, H3C 无线网络可以依靠物理地址(MAC)过滤、服务集标识符 (SSID)匹配、访问控制列表 (ACL) 来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基础。例如,子网、 ACL 以及服务等级 (CoS)在路由器和交换机的端口上定义,需要通过台式机的 MAC 地址来管理用户的连接。 H3C采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(Vertual Private Group),VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。并且, H3C无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里 ) ,网络标识基于用户而不是基于物理端口或位置。其次, H3C无线网络简化了SSID 支持,不再需要多个 SSID来支持漫游和授权策略; 单个 SSID足以支持漫游、 跨子网漫游或包括 VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据 ( 例如位置、访问控制和安全设置)和识别用户身份。此外,使用H3C虚拟专用组 (Vertual Private Group)管理器功能,可以为用户和组分配特定的安全和访问策略, 从而获得最大的灵活性, 同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置, 还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组,而不必逐个配置AP 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 36 页 - - - - - - - - - 2.2.3 非法接入检测和隔离H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP ,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能, 通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP ,但是网络规模越大就越容易受到攻击。为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP 射频扫描程序还会检测并调整引起射频干扰的其他来源, 例如微波炉和无绳电话。并且,射频监测配合基于用户身份的组网, 不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL) 、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。2.2.4 监视和告警H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络, 甚至还可以定位用户。 网络管理应用程序针对当今的动态业务而设计, 它提供了配置更改的自动告警功能。向导界面提供了即时提示, 从而使得管理员能够快速针对冲突做出更改。通过使用软件的移动配置文件功能, 管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 36 页 - - - - - - - - - 第三章详细设计网络安全系统规划是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益,需求设计成为网络规划建设中的重要内容, 网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设备(主交换机、路由器、二级交换机、服务器等)。校园内部网络采用共享或者交换式以太网,选择中国科研教育网接入Internet,校际之间通过国际互联网的方式互相连接。同时采取相应的措施,确保通讯数据的安全、保密。另外为了防止这个校区内病毒的传播、感染和破坏, 我们在校园网内可能感染和传播病毒的地方采取相应的防毒措施,部署防毒组件, 规划如下: 在学校服务上安装服务器端杀毒软件; 在行政、教学单位的各个分支分别安装客户端杀毒软件; 学校的网络中心负责整个校园网的升级工作,分发杀毒软件的升级文件 (包括病毒定义码、扫描引擎、程序文件等)到校内所有用机,并对杀毒软件网络版进行更新。3.1 ISA 软件防火墙的配置校园网内的软件防火墙采用ISAServe,之所以采用防火墙,是因为ISA Server是一种新型的应用层防火墙,避免服务的弱点及漏洞的攻击,同时支持VPN功能及充当 Web 代理服务器,并能提供详细的日志报告。 安装示意图如图 3-1所示。图 3-1 ISA 安装示意图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 36 页 - - - - - - - - - 3.1.1 基本配置通过 ISA Serve 中的 ISA Management 项中的 Services 标签,启动集成模式中的三个服务,就可以使用ISA 的所有默认功能。同时须打开IP Routing 功能、访问权限功能、访问策略功能、统一管理等。3.1.2 限制学校用机的上网首先要定义组,通过在ISA Server软件防火墙的 Client Address Sets标签中新建一个组名的标识,按照机房用机的IP 地址范围进行添加,在Protocol Rules 中选中协议规则后切换到Applies to标签,选中 Client Address Sets specified below,加入设定的组即可。这样就可以先知学校其他用机随意上网。3.1.3 检测外部攻击及入侵可以通过配置 ISA Server来监测常见的校园网络攻击。在ISA Serve 中启用入侵检测后, ISA Server一检测到攻击,就会向Windows2000事件日志中发消息。要启用 ISA Server 的入侵检测功能,应在ISA Server 管理窗口中选择服务器名称中的IP Packet Filters Properties选项,勾选Enable Intrusion detection ,即打开 ISA Server的入侵检查功能。3.1.4 校园网信息过滤配置校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围 的信息,硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、 过滤、记录相应的日志 (加密)并适时向网络中心上传数据。在软件管理终端,管理员选择“类别”和“记录日期”,点击“查看按钮”,就可以查看网络日志和操作日志,此外,安装“过滤王”软件终端程序包括核心和控制台两部分, 核心程序安装在中心交换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡, 进行通信的网卡也指定为内网网卡即可。将控制名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 36 页 - - - - - - - - - 台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安装完成后,控制台程序所在的服务器IP 地址就是安装核心程序的中心交换机IP。3.1.5 网络流量的监控STARVIEW 在网络初步异常的情况下,能进一步查看网络中的详细流量,从而为网络故障的定位提供丰富数据支持。3.1.6 无线局域网安全技术通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问, 而数据加密则保证发送的数据只能被所期望的用户所接收和理解。3.2 物理地址 ( MAC ) 过滤每个无线客户端网卡都由唯一的48 位物理地址 (MAC) 标识,可在 AP中手工维护一组允许访问的MAC 地址列表,实现物理地址过滤。 这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而 MAC 地址并不难修改,因而非法用户完全可以盗用合法用户的 MAC地址来非法接入,如图3-2 所示。图3-2 MAC地址的过滤图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 36 页 - - - - - - - - - 3.2.1 服务集标识符 ( SSID )匹配无线客户端必须设置与无线访问点AP相同的 SSID ,才能访问 AP ;如果出示的 SSID与 AP的 SSID不同,那么 AP将拒绝它通过本服务集上网。利用SSID设置, 可以很好地进行用户群体分组, 避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP)及 SSID的权限控制来达到保密的目的,因此可以认为 SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全,具体的服务集标识匹配如图3-3 所示。图 3-3 服务集标识匹配在 IEEE802.11 中,定义了 WEP 来对无线传送的数据进行加密,WEP 的核心是采用的 RC4算法。 在标准中,加密密钥长度有 64位和 128 位两种。 其中有 24Bit的 IV 是由系统产生的,需要在AP和 Station上配置的密钥就只有40 位或 104位,加密原理如图3-4 所示。图 3-4 WEP加密原理图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 36 页 - - - - - - - - - WEP 加密原理如下:1、AP先产生一个 IV,将其同密钥串接 (IV 在前) 作为 WEP Seed ,采用 RC4算法生成和待加密数据等长( 长度为 MPDU 长度加上 ICV 的长度 )的密钥序列; 2、计算待加密的 MPDU 数据校验值 ICV,将其串接在 MPDU 之后; 3、将上述两步的结果按位异或生成加密数据; 4、加密数据前面有四个字节,存放IV 和 Key ID,IV 占前三个字节, Key ID在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则 Key ID为 0,如果使用 Default Key ,则 Key ID 为密钥索引 (0-3 其中之一 )。3.2.2 端口访问控制技术和可扩展认证协议 IEEE802.1x 并不是专为 WLAN 设计的。它是一种基于端口的访问控制技术。该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA与无线访问点 AP关联后,是否可以使用 AP的服务要取决于 802.1x 的认证结果。如果认证通过,则AP为 STA打开这个逻辑端口,否则不允许用户连接网络,具体原理如图 3-5 所示。图3-5 802.1x端口控制在具有 802.1x 认证功能的无线网络系统中,当一个 WLAN 用户需要对网络资源进行访问之前必须先要完成以下的认证过程。1.当用户有网络连接需求时打开802.1x 客户端程序, 输入已经申请、 登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 36 页 - - - - - - - - - 2.AP 收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3.客户端程序响应AP 发出的请求,将用户名信息通过数据帧送给AP。AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4.认证服务器收到 AP 转发上来的用户名信息后,将该信息与数据库中的用户名表相比对, 找到该用户名对应的口令信息, 用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给AP,由 AP 传给客户端程序。5.客户端程序收到由AP 传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过 AP 传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向 AP 发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持AP 端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。WPA (Wi-Fi Protected Access) WPA = 802.1x + EAP + TKIP + MIC 在 IEEE 802.11i 标准最终确定前,WPA 标准是代替 WEP 的无线安全标准协议,为 IEEE 802.11无线局域网提供更强大的安全性能。WPA 是 IEEE802.11i的一个子集,其核心就是IEEE802.1x 和 TKIP。认 证 在 802.11中几乎形同虚设的认证阶段,到了WPA 中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权,并且是强制性的。WPA 的认证分为两种: 第一种采用 802.1x+EAP 的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是 RADIUS 服务器 )来实现。在大型网络中, 通常采用这种方式。 但是对于一些中小型的网络或者个别用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA 也提供一种简化的模式,它不需要专门的认证服务器,这种模式叫做WPA预共享密钥 (WPA-PSK),仅要求在每个 WLAN 节点 (AP、无线路由器、网卡等 )预先输入一个密钥即可实现。 只要密钥吻合, 客户就可以获得 WLAN 的访问权。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 36 页 - - - - - - - - - 由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP 密钥来进行 802.11共享认证那样严重的安全问题。加密 WPA 采用 TKIP 为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从 24 位增加到 48 位等方法增强安全性。而且,TKIP 利用了 802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x 产生一个唯一的主密钥处理会话。然后, TKIP 把这个密钥通过安全通道分发到AP 和客户端,并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通信数据报文。TKIP 的密钥构架使 WEP 静态单一的密钥变成了 500 万亿可用密钥。虽然WPA 采用的还是和 WEP 一样的 RC4 加密算法,但其动态密钥的特性很难被攻破。消息完整性校验 (MIC) ,是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11 一样继续保留对每个数据分段(MPDU) 进行 CRC 校验外, WPA 为 802.11 的每个数据分组 (MSDU) 都增加了一个 8 个字节的消息完整性校验值,这和 802.11对每个数据分段 (MPDU) 进行 ICV 校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC 算法,但是黑客可以通过修改ICV 值来使之和被篡改过的报文相吻合, 可以说没有任何安全的功能。 而 WPA 中的 MIC 则是为了防止黑客的篡改而定制的,它采用Michael 算法,具有很高的安全特性。当MIC 发生错误的时候, 数据很可能已经被篡改, 系统很可能正在受到攻击。 此时, WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60 秒等,来阻止黑客的攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 36 页 - - - - - - - - - 第四章具体配置及分析4.1 交换机配置4.1.1 交换机端口安全概述交换机有端口安全功能,利用端口安全这个特性,可以实现网络接入安全,具体可以通过限制允许访问交换机上某个端口的MAC 地址以及 IP(可选)来实现严格控制对该端口的输入。 当你为安全端口打开了端口安全功能并配置了一些安全地址后,除了源地址为这些安全地址的包外, 这个端口将不转发其他任何包。此外,你还可以限制一个安全地址,则连接到这个口的工作站 (其地址为配置的安全地址)将独享该端口的全部带宽。为了增强安全性,你可以将MAC 地址和 IP 地址绑定起来作为安全地址。当然你也可以只指定MAC 地址而不绑定 IP 地址。如果一个端口被配置为一个安全端口,当其安全地址的数目已达到允许的最大个数后,如果该端口收到一个源地址不属于端口上的安全地址的包时,一个安全违例将发生。 当安全违例产生时, 你可以选择多种方式来处理违例,例如丢弃接收到的报,发送违例通知或关闭相应端口等。当设置了安全端口上安全地址的最大个数后,可以使用下面几种方式加满端口上的安全地址:可 以 使 用 接 口 配 置 模 式 下 的 命 令 switchport port-security mac-address mac-address ip-address ip-address来手工配置端口的所有安全地址。也可以让该端口自动学习地址, 这些自动学习到的地址将变成该端口上的安全地址,直到达到IP 最大个数。需要注意的是,自动学习的安全地址均不会绑定地址,如果在一个端口上,你已经配置了绑定IP 地址的安全地址,则将不能再通过自动学习来增加安全地址。也可以手工配置一部分安全地址,剩下的部分让交换机自己学习。当违例产