校园网安全方案精编版[21页].docx

《校园网安全方案精编版[21页].docx》由会员分享，可在线阅读，更多相关《校园网安全方案精编版[21页].docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐校园网安全方案加入时间：2008-1-11 15:53:02来自：admin点击：3343 安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用，学校网络不再是一个封闭的网络，极大地扩展了学校的业务，提高了学校的竞争力，但同时也带来网络安全的风险。网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。所谓安全威胁，就是未经授权，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络

2、层协议特征中存在的漏洞进行攻击，如常见的监听、ip地址欺骗、路由协议攻击、ICMP Smurf攻击等；网络服务过程主要是针对TCP/UDP以及局域其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCP Dos、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于WEB的软件系统发起攻击。从安全威胁的手法来看，蠕虫、拒绝服务、舰艇、木马、病毒都是常见的攻击工具。宝鸡职业学院网络安全体系架构为学校提供整体的、可扩展的、高性能的、灵活的安全解决方案。采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计每个模块时，都考虑到

3、一些关键的因素，包括潜在可能的威胁或侵入及相应的对策、性能（不能因为安全控制带来不可接受的性能下降）、可扩展性、可管理性、服务质量和语音的支持等。1路由器和交换机的安全功能博达路由器实现的网络安全技术有： VPN技术：IPSec、GRE 包过滤技术 AAA技术、Radius、Tacacs+认证 日志功能 NAT网络地址转换 PPP协议PAP、CHAP认证 PPP协议Callback技术 IP地址MAC地址绑定技术 路由信息认证技术 IEEE 802.1Q VLAN技术安全措施7610、S8506、S6806和S2224提供了丰富的安全技术和措施。较为有效的措施有：设备本身的安全管理，包括设置用

4、户管理权限，用户密码等；用户接入的认证，可以提供802.1X，Web认证等多种用户认证方式；端口和MAC地址等的绑定和过滤功能，端口用户数限制等功能。其他的辅助措施还包括广播风暴抑制，端口限速等。1.1基于包过滤的防火墙技术博达路由器支持基于包过滤的防火墙技术，防火墙访问列表根据IP报文的IP报头及所承载的上层协议（如TCP）报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报文的以下属性： IP的源、目的地址及协议类型 TCP或UDP的源、目的端口 ICMP码、ICMP的类型码 TCP的标志域 服务类型TOS IP报文的优先级（precedence）博达路由器的访问表还提

5、供了基于时间的包过滤，可以规定过滤规则发生作用的时间范围，在此时间范围以外，不进行由时间定义的访问规则判断。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上提供极大的灵活性。1.2 AAA技术、Radius、Tacacs+认证博达路由器AAA技术提供了对用户的验证、授权和记帐功能。（1）验证功能各种用户（包括登录、拨号接入用户等）在获得访问网络资源（包括路由器）之前必须先经过验证。验证时可以选择是采用本地维护的用户数据库，还是采用Radius服务器所维护的用户数据库，或者是采用Tacacs+服务器所维护的用户数据库。博达路由器支持与AAA技术相结合的

6、Radius、Tacacs+认证。（2）授权功能通过定义一组属性来限定用户的权限信息，来确定用户的访问权限。这些信息存放在相应的用户数据库内。（3）记帐功能该功能使得路由器可以对用户访问的网络资源进行跟踪记录，当选择了该项功能时，用户的访问信息便会存入相应的用户数据库内，根据数据库，就可以产生各类用户帐单信息。1.3日志功能日志（log）功能用于将路由器产生的各种信息以日志形式记录到具备Syslog功能的主机上（如Unix主机或运行Syslogd的主机）。日志功能与访问列表功能相结合可以任意定义所要记录的信息，以备查用，如跟踪记录黑客攻击报文等。1.4 NAT网络地址转换技术网络地址转换，用来

7、实现内部网络私有地址和外部网络公共地址的相互转换，它的优点在于避免了内部非法地址和外部公共地址间的冲突，屏蔽了内部网络的实际地址，隐藏了内部网络的结构，增强了对外部网络访问的可控性，也增强了外部网络对内部网络访问的可控性。博达路由器支持静态地址翻译（SNAT）、端口地址翻译（PAT）、动态地址翻译（DNAT）。可以支持带访问列表的地址转换，用来限定可以进行地址转换的内部主机地址，有效地控制内部主机对外部网络的访问；同时还可以根据地址池，进行多对多的地址转换，合理地利用公共的合法IP地址资源；利用网络地址转换，可以在屏蔽内部地址的同时，确保了对外的各种网络服务的安全性。1.5 IP地址MAC地址

8、绑定技术MAC地址绑定技术是通过在路由器中静态配置IP地址和MAC地址的映射关系来完成ARP应答来实现的。原理如图所示：博达ARP代理技术可以看到，路由器不再动态的响应来自局域网的主机的ARP请求，当接收到一个ARP请求时，路由器首先检查请求报文的源IP地址，然后在自己的静态映射表中寻找与此相对应的MAC地址，如果没有寻找到相关映射，将对此报文不作任何处理，通信也就无法实现，从而保证了可能由无效IP地址的主机发起的攻击。如果寻找到相关映射，就回答一个ARP响应，当响应报文中的目的MAC地址域的值是用映射表中的MAC地址填充的，而不是依据请求报文中的源MAC地址域的地址值。这样，只有请求报文的M

9、AC和静态映射的MAC一致时（即没有伪装IP），通信才可以建立，否则，如图所示，通信也不可能建立，从而防止IP地址的欺骗。这种技术可以在S8510、S6806等交换机上实现。1.6动态路由协议认证技术路由器是根据路由信息来发送报文的，而路由信息恰恰又是通过网络在不同的路由器间转发的。所以，在接受任何路由信息之前，有必要对该信息的发送方进行认证，以确保收到的路由信息是合法的。需要对邻接路由器进行路由信息认证的有以下几种： Open Shortest Path First（OSPF） Routing Information Protocal Version 2（RIP-v2）博达路由器支持RIP-

10、v2、OSPF动态路由协议MD5认证。1.7访问控制也可以在核心交换机S8510或者汇聚交换机S6806上设置访问控制，比如限制不同网段之间的互访，但是允许这两个网段对中心服务器的访问。设置允许两个网段上特定的主机可以访问外网和Internet等。在核心交换机上可以设置ACL访问控制列表，端口监控等，控制和管理特定服务，如允许Http、Mail、Ftp等服务，而禁止其他不需要的服务和端口，如禁止外部发起的ICMP报文等；采用NAT地址转换技术，实现上网。可以采用静态、动态NAT，PAT等多种方式，对于内部某些对外的服务器，如Web服务器、Mail服务器、DNS服务器、FTP服务器等，可以采用静

11、态NAT方式建立内外网地址和特定端口之间的静态映射。而一般用户可以采用动态地址池，端口地址转换等方式实现上网。同时，可以结合博达产品具有的timerange等功能，实现定时上网、定时开放服务等功能。1.8 ARP防范博达交换机具有以下四种ARP防范技术：1、在接口下过滤ARP报文，防止冒充网关。2、在接口下对ARP报文进行IP+MAC绑定，防止对网关的欺骗。3、免费发放ARP RESPONSE报文，纠正主机错误的网关。4、在接口下配置Filter功能，防ARP扫描攻击。通过以上的四个功能，可以完全做到对arp欺骗和攻击的防治，其中，将arp报文的IP与MAC绑定这一功能可以彻底防止arp欺骗，

12、但大的网络中实施起来有可能工作量比较大。因此我们一般情况下可以只启用第一个功能，防止伪造网关的MAC地址，通常的ARP病毒就这这种类型。如果有需要才将主机的IP+MAC绑定，对于DHCP环境，我们可以在DHCP Server上进行IP+MAC绑定，即：给特定的MAC地址分配特定的IP地址，再在交换机上做ARP的IP+MAC绑定。防arp攻击这项功能，在统计周期和吞吐量的设定上最好使用默认配，只需要在全局和端口下开启此功能即可。免费发放arp response报文是一个辅助手段，它可以让已经被欺骗的主机自动纠正过来，减少了维护的工作量。可以在汇聚交换机S6806上实现这个功能。防御接入层用户区域

13、的ARP攻击或欺骗。1.9主机的安全主机是最可能被攻击的目标之一，同时从安全方面也有最多的困难。学校网中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机器提供服务，所以主机在网络中必须是可见的，因此主机是最可能被尝试侵入的。为保证主机的安全，需要注意到系统中的每一部件。保持操作系统和防毒软件的及时的更新；安装适当的经过测试的补丁程序。2防火墙的安全功能博达博御系列防火墙是目前在国内市场技术最为先进、产品线最为丰富的网络主动防护体系产品。博御系列防火墙不仅能够完美地处理来自协议层的安全威胁，为了能够更好地解决我们上面所提到的安全威胁基于应用层的安全问题。我们必须能够分析应用层

14、的协议，从而根据不同的应用层协议提供相应的安全解决方案。2.1网络面临的威胁宝鸡职业技术学院当前面临的威胁主要集中在以下几个方面：人为的无意失误：如安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人、或与别人共享信息资源等都会对网络安全带来威胁。电力中心或分中心主机存在系统漏洞，主机管理员安全意识和知识较差,容易被攻击者利用后通过电力网络入侵系统主机，并有可能登录其它重要应用子系统服务器或中心数据库服务器，进而对整个电力系统造成很大的威胁。人为的恶意攻击：这是计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一

15、种是主动攻击，它以各种方式有选择地破坏信息的可用性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害，并导致机密数据的泄漏和丢失。网络和系统软件的漏洞和“后门”：随着各类网络和操作系统软件的不断更新和升级，由于边界处理不善和质量控制差等综合原因，网络和系统软件存在越来越多的缺陷和漏洞，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件，当前世界范围内出现大量黑客攻入电力网络内部的事件，这些事件大部分就是因为安全控制措施不完善所导致的。另外，软件的“后门”有些是软件公司的设计编程人员为了自便而设置

16、的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。各类内外安全风险和威胁的具体表现形式主要有： UNIX和Windows主机操作系统存在安全漏洞。 Oracle，Sybase、MS SQL等主要关系型数据库的自身安全漏洞。 重要应用系统的安全漏洞，如：MS IIS或Netscape WEB服务应用的“缓存区溢出”等，使得攻击者轻易获取超级用户权限。 核心的网络设备，如路由器、交换机、访问服务器、防火墙存在安全漏洞。 利用TCP/IP等网络协议自身的弱点（DDOS分布式拒绝服务攻击），导致网络瘫痪。 网络中打开大量的服务端口（如RPC,FTP,TELNET,SMTP,FINGER

17、等），容易被攻击者利用。 黑客攻击工具非常容易获得，并可以轻易实施各类黑客攻击，如：特洛伊木马、拒绝服务攻击、分布式拒绝服务攻击，造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。 内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。 系统及网络设备的策略（如防火墙等）配置不当 关键主机系统及数据文件被篡改或误改，导致系统和数据不可用，业务中断等。 应用软件的潜在设计缺陷。 内部人员的误用和滥用，据统计，70以上的成功攻击来自于企业系统内部。病毒、蠕虫以及恶意代码的威胁：目前网络病毒传播的形式日益复杂多样，病毒的智能化程度越来越高，破坏性大，难于彻底清除，据权威机构统计，2001

18、年感染计算机病毒的数量占被调查用户的73%，2002年占83.98%，计算机病毒2001年造成损失的占被调查用户的43%，2002年则升至64.05%，对网络与应用安全造成极大的威胁。随着企业内部协同工作电子化的发展，电子邮件应用日益普及，病毒又找到了一条重要的入侵的渠道。根据国际计算机安全协会（ICSA）1998年的报告，因使用电子邮件而中毒的事件已占所有中毒事件的，2000年已达86%。包括微软在内的全球著名企业，都先后遭受过来自电子邮件的美丽莎病毒(Melissa)、蠕虫病毒（EXPLOREZIP）、爱虫病毒（I LOVE YOU）的攻击，致使企业邮件服务器关闭、企业内重要资料丢失。保护

19、邮件服务器免受病毒攻击的重要性应放在相当高的地位。进入2003年以来网络蠕虫病毒频频发作，从SQL SLAMMER蠕虫到WINDOWS DCOM RPC蠕虫，无不给用户和网络带来巨大的损失，而且现今病毒和黑客技术互相融合，给病毒的防范和查杀也带来的巨大的挑战，迫切需要一个完整高效的网络防毒杀毒体系。垃圾邮件的威胁：根据中国互联网协会公布的2003年中国垃圾邮件状况调查报告，中国电子邮件用户平均每人每天收到垃圾邮件1.85封，占收到邮件总数26.2%。中国用户每年收到垃圾邮件为460亿封，占全球垃圾邮件量10.4%。每年浪费在处理垃圾邮件上的时间高达15亿小时，由垃圾邮件浪费的中国GDP在200

20、3年高达48亿元人民币，我国拥有邮件服务器的企业普遍受到垃圾邮件的侵扰，有的企业每年要为应付垃圾邮件投入上百万元设备和大量人力。另根据2004年6月30日以色列反垃圾邮件公司Commtouch的研究报告，目前全球垃圾邮件中，56%起源于美国，8.95%起源于韩国，中国以6.9%排名第三；但是却有71%垃圾邮件指向了中国的服务器！即中国虽然不是垃圾邮件的最大制造者，却已经成为垃圾邮件的最大发送者，甚至发生了中国的服务器被国外联合封锁的事件。更糟糕的是，这两个数字正在呈迅速增长的态势。由此可以看出，垃圾邮件已经成为中国信息化进程中一个严重的危害，不仅造成了巨大的经济损失，而且在某种程度上影响到了社

21、会安定与团结。遏制垃圾邮件泛滥，成为中国互联网行业和广大用户面临的一个重大而急迫的课题。于是2004年初，公安部、教育部、信息产业部、国务院新闻办四部委联合发布公安部、教育部、信息产业部、国务院新闻办关于开展垃圾电子邮件专项治理工作的通知集中开展反垃圾邮件行动，并要求邮箱数量在1000个以上的科研院所和企事业单位，都要采取有效的措施防范和打击垃圾邮件，拉开了中国防垃圾邮件市场的序幕。2.2博御防火墙主要安全功能状态检测包过滤技术：博御系列防火墙采用了基于状态检测的包过滤技术，实现了快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。通过记录新建应用连接，状态检测检查预先设置的安全规则

22、，允许符合规则的连接通过，并在系统中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态检查表，就可以快速通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是通过专门设计的算法实现同一连接的后续数据包（通常是大量的数据包）直接进入状态检查，从而较大提升系统性能。基于安全域的访问控制：博御系列防火墙基于安全域进行访问控制，将从接口的访问控制上升到基于安全域的访问控制。博御系列防火墙从体系结构上抛弃了传统防火墙的内外概念，各个域间的默认安全级别是一样的，之间的安全差异由用户来定制，具有极大的灵活性。博御系列防火墙可以根据企业的安全需求将不同网段划分成独立的安全域，通

23、过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问，也就是说，博御系列防火墙提供了更加细粒度的安全控制，这样即使某个低安全等级的区域出现了安全裂缝，但由于受到博御系列防火墙的控制，其它安全域也不会受其影响。基于地址对象的访问控制：为了改善博御系列防火墙的可管理性，我们抽象出了地址对象的概念。地址对象涵盖的范围包括一台主机、一个子网或者是一个地址范围，还是以上几种地址对象集合。基于时间的访问控制：为了能够更细致地进行访问控制，我们提供了时间对象，它主要描述两个时间约束，一个是工作日的约束，另一个是时间的约束。流量整形：带宽管理模块提供了针对带宽资源的分配控制能力，对所有网络

24、流量划分优先级以保证关键任务的服务质量，从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。带宽管理策略可以按照接口、方向、优先级等来对流量进行分级以满足企业不同层面的需求。多协议支持：基于状态的博御系列防火墙在跟踪连接状态时，为了能够正常的处理单会话多连接的应用，博御系列防火墙能够对多种应用层协议提供支持。目前博御系列防火墙支持FTP、TFTP、IRC、MMS、H.323、ORACLE等特殊协议。Anti-DoS：博御系列防火墙的协议栈能够自动屏蔽掉针对分片的攻击，如Ping of Death，Tear Drop等。同时博御系列防火墙也能够检测并防御Winnuke、L

25、and、ICMP Flood、UDP Flood、Port Scan、Address Sweep等六种攻击，并提供攻击计数器和日志。对于臭名昭著的SYN Flood，博御系列防火墙内置的SYN-Proxy机制提供了对SYN Flood攻击的完美保护。提供透明方式的接入：当博御系列防火墙处于透明模式时，它工作在ISO七层模型中的第二层，在这种情况下，它相当于一个二层交换机。这个特性使博御系列防火墙能够具有极佳的适应能力，使用户无需改变网络拓扑就可以实现全方面的安全解决方案，降低因为增加网络安全而导致的管理开销。支持IEEE 802.1Q的VLAN：提供对IEEE 802.1Q的支持，极大的扩展了

26、博御系列防火墙的适应能力，使其与三层交换机配合得天衣无缝，增强了博御系列防火墙在网络中的布置灵活性。同时博御系列防火墙还提供对透明模式下的IEEE 802.1Q数据报得透明处理，极大地方便了用户。支持路由模式、透明模式、NAT模式及混合模式：在大型网络中，网络建设是先于网络安全的建设。当用户打算进行网络安全建设时，往往会存在一些关键应用是依赖于网络拓扑的，所以这些关键应用间是必须采用透明模式的，而其他的则应该采用更灵活的路由模式，这样将会导致在同一个博御系列防火墙上会存在透明模式和路由模式共存的情况，如果这两个部分不能互通，这将会导致应为引入安全而导致人工割裂了用户的整个网络。然而博御系列防火

27、墙提供混合模式，以保证不会因为引入安全需求而导致割裂用户网络的整体性。支持策略路由：在大型网络中，其接入往往不止是由一个ISP接入的，很可能存在多个ISP地接入情况。在面临这种拓扑时，大多数安全设备只能望而却步，通过折衷的方案来满足用户的需求，然而博御系列防火墙提供了策略路由的支持，使博御系列防火墙能够同时处理6个ISP接入的情况，极大地拓展了博御系列防火墙适应能力。提供基于IPSEC、PPTP和L2TP的VPN支持：基于IPSEC协议的VPN完全兼容并符合IPSEC标准定义，从而保证了与其它支持IPSEC的系统和设备的互联互通。支持手工密钥和自动密钥两种协商方式并支持DES、3DES、AES

28、、Blowfish、Twofish、Serpent等多种加密算法和MD5、SHA1、SHA2_256、SHA2_512多种认证算法。支持完美的前向加密，增强了数据的私密性。博御系列防火墙的IPSEC VPN还支持NAT穿越、星型部署、动态对等方和透明模式下的支持，极大地拓展了博御系列防火墙的布置范围，使之具有极佳的灵活性。基于PPTP的VPN则严格遵循行业标准，以保证与其它系统或设备的互联互通。博御系列防火墙的PPTP支持MS-CHAP和MS-CHAP V2身份认证协议。基于L2TP的VPN同样遵循行业标准，确保与其它系统或设备的互联互通。博御系列防火墙的L2TP支持PAP、MS-CHAP和M

29、S-CHAP V2身份认证协议。同时还可与IPSEC配合实现L2TP over IPSEC，极大地保证了L2TP的私密性。提供基于HTTP、SMTP、POP3协议的病毒检测：具有业界领先的病毒检测引擎，通过Patten Matching模式、Heuristics模式、Emulation模式等多种模式检测病毒，目前能够扫描出10万多种病毒，支持包括zip、gzip、rar、arp、pklite等多种压缩格式文件病毒检测，支持病毒库的自动更新以提供对最新病毒的防御。同时根据不同的性能需求，博御系列防火墙还可以提供基于硬件的病毒检测辅助芯片，以提升系统的性能。基于HTTP协议的病毒检测方案具有良好的

30、并发能力，从而使因病毒检测功能的引入对系统性能的影响降到最低。为了提供良好的可管理性，博御系列防火墙可以定制对某些指定扩展名或某些MIME类型的数据流不进行检测病毒，以提高检测病毒性能；博御系列防火墙的HTTP的解决方案还提供病毒通知功能，以利于管理员统计病毒的爆发情况。为了审计的需求，所有的病毒感染事件都自动会登记到审计事件中。基于POP3协议的病毒检测方案能支持多种编/解码格式，例如MIME/1.0和UUEncode。为了避免用户的邮件丢失，博御系列防火墙提供了可疑邮件的隔离策略，即对所有感染病毒的邮件在指定存储空间中保留副本，以降低数据丢失的风险。博御系列防火墙的POP3解决方案提供了邮

31、件和审计两种病毒感染事件。基于SMTP协议的病毒检测方案能支持多种编解码格式，例如MIME/1.0和UUEncode。支持多种SMTP AUTH方式，以提高系统的可扩展性。博御系列防火墙的SMTP解决方案提供了邮件和审计两种病毒感染事件。功能强大的NAT：在IP地址短缺的今天，NAT成了网络设备必不可少的一项功能。博御系列防火墙提供丰富的NAT支持，支持1:1的地址映射、N:M方式的地址转换、PAT方式的地址转换和基于Round Robin方式的服务器负载均衡。丰富的管理方式：博御系列防火墙的权限分级满足权限分级（对应TCSEC B1要求）。目前提供安全管理员、审计管理员、系统管理员和gues

32、t等四种角色。同时提供基于SSH、Telnet和Console的命令行管理方式、基于SSL的WEB管理方式和基于SNMP V2的网管平台。高可用性：对于大型网络，用户通常会采用冗余的网络节点来避免单点失败。为了提高博御系列防火墙的适应能力和可扩展能力，通过避免单点失败来提高系统的可靠性功能是博御系列防火墙一项重要的功能；基于VRRP协议的博御系列防火墙HA特性，提供对链路、系统的故障检测、极低的主从切换时间，并能够支持手工强制切换。认证和授权：博御系列防火墙本身提供一个内建认证数据库，以满足基本的认证需求，同时支持Radius、Tacacs+、LDAP等多种方式外部认证数据库，使其能更好地适应

33、用户的不同规格的需求。丰富的调试工具：博御系列防火墙提供了几种主要的网络调试和测试工具，主要包括ping、traceroute、telnet和数据报文分析工具。强大的系统监控能力：博御系列防火墙提供实时监控系统的CPU利用率、各个物理接口的使用情况和链路情况，能够监控系统中的所有并发连接和某条策略授权的所有连接的创建时间、持续时间、上行/下行流量、网络层信息等。多种接入能力：提供对DHCP Relay、DHCP Server、PPPoE的全面支持，使具有良好的适应能力，以满足不同网络布置的需求，降低系统管理开销。丰富的日志和审计方式：提供配置日志、事件日志和流量日志等三种日志，有利于用户进行日

34、志分析，支持根据用户的需求将日志发送到共享内存、控制台、终端和远程主机等多种方式的能力。流量日志还符合NetIQ WebTrends标准格式，以便可以通过NetIQ WebTrends来进行流量的日志分析2.3硬件优势1 独立总线（Independent BUS）传统的PC构架的硬件通常只有一根系统总线，所有网络接口卡共享一根总线与内存子系统通讯，这种处理方式在数据流量非常大的时候就会出现系统的不同网络接口卡争夺总线带宽问题，系统会发生严重丢包，双向流量严重不均衡，甚至不能进行正常响应。博御系列防火墙采用高速多系统总线结构，为防火墙每个网络接口卡使用一根独立的高速系统总线（64位66M），保证

35、了流量很大情况下的通畅，不会出现总线带宽争夺问题。2 病毒检测专用处理器病毒检测、内容过滤等内容级的处理都是资源密集型，对于通用处理器而言，其根本不可能满足千兆防火墙的性能要求，所以我们采用了Virus-Detection Engine协处理器来协助通用处理器处理这些资源密集型任务。2.4特色安全优势 深度包检测引擎使防火墙具备超强内容过滤能力 病毒引擎可检测HTTP、SMTP、POP3等协议中的病毒与木马 病毒引擎具备识别9千余种蠕虫能力并具有内部蠕虫警告能力 病毒库能检测近10万种病毒并可在线自动升级 基于硬件的病毒检测引擎, 更能提升系统效率 支持脚本内容过滤（如：JavaScript、

36、JavaApplet和ActiveX等） 攻击防护可对多种攻击提供检测和防御，特有的SYN-Proxy机制可对SYN-Flood提供完美防护 提供符合GB/T 18336-2001安全设计要求的分级管理体系 支持AAA等多种用户认证方式和审计 精细粒度的Traffic Shaper提供保证带宽、最大带宽、上下行流量管理和带宽优先级设置，确保关键服务的QOS，充分满足用户网络带宽管理的各种需求 特有的IDS Mirror Port 方便网管监控网络活动并可与IDS联动响应 支持802.1q VLAN协议和子接口划分，为企业内网管理问题提供彻底解决方案 支持标准的IPSec、PPTP、L2TP o

37、ver IPSec VPN，提供IPSec VPN Client 桥下VPN功能不需对网络地址重新规划就可让数据享受高强度安全防护 支持VPN 的NAT-T（NAT穿越）能力以及星型连接等多种VPN部署方式 可支持后台多台服务器的超强负载均衡能力 小于1秒的HA快速切换能力可避免因单点故障而导致的关键业务失败 提供策略路由，可支持多ISP接入 提供Web、SSH、Telnet、SNMP和GSM等多种管理手段 支持Syslog、E-mail、Snmp Trap等多种告警方式，支持Webtrends日志格式3构筑整体的网络安全架构3.1 ARP攻击防范和伪DHCP防范以及其他ARP攻击和伪DHCP

38、的最终目的都是为了欺骗其他用户，在成功欺骗用户认定自己为网关后，以达到窃取用户信息的目的，而目很多交换机仅仅是通过IP+MAC+端口的方式来实现防护，但是这种方法一耗时二费力，在汇聚交换机上进行绑定是不现实的方法。博达针对ARP攻击的四种解决办法：情况一：在二层半（三层）交换机上做端口安全绑定，对ARP报文进行过滤，在所有的用户端口过滤掉Sender Internet Addr为网关IP的ARP报文。在连接网关的上联口不做过滤。 这样可解决伪造网关MAC，对主机的欺骗。情况二：在二层半（三层）交换机上做端口安全绑定，对ARP报文进行过滤，只允许符合访问列表定义IP+MAC ARP报文通过，可解

39、决伪造主机的IP、MAC，对网关（主机）的欺骗。情况三：博达全系列交换机会自动对CPU进行监控，ARP病毒会对CPU进行洪泛攻击，当流量太大以至于CPU符合超过70%时，芯片对到CPU的报文进行流量限制，直到CPU恢复正常，保证系统的稳定。核心三层交换机上可以开启IP filter 功能，当某个IP进行扫描或者BT下载时，会产生大量的ARP报文，IP filter 可以设置arp报文门限值，单位时间超过数量的IP将会被暂时BLOCK掉，过一段时间再自动解禁。情况四：在二层半（三层）接入交换机上启用DHCP Snooping功能，端口对PC申请IP地址过程进行跟踪记录，自动绑定到相应的端口，没有

40、经过合法申请IP地址的PC无法通过交换机上网，中毒机器被自动的单独隔离。校园网的ARP防范方案：方案一：校园网的分布层交换机为三层交换机，支持硬件ACL功能。这样就可以将中毒机器单独隔离。解决办法：在二层半（或者三层）交换机端口上手工添加IP+MAC绑定，交换机端口芯片则会根据所绑定的信息对所有报文进行检查，不匹配的报文将被丢弃而且当ARP报文内部内容部分（sender address项）不符合绑定内容或者伪造有假网关信息，则该ARP报文也会被丢弃，该过程由硬件完成，对交换性能无影响。中毒机器被单独隔离，所有PC的IP地址被绑定，不会再有IP冲突的问题。方案二：校园网网络分为核心、分布、接入三

41、层。其中分布层交换机都是三层交换机，接入层为二层交换机，所以在分布层上进行帮定比较合适，但是由于点数太多，无法手工进行IP+MAC绑定，所以要借用DHCP的功能进行自动绑定。解决办法：网络中设置一台DHCP服务器，所有PC都通过DHCP自动获得IP地址，在这个过程中，分布层的二层半交换机或三层交换机开启DHCP snooping功能，交换机会自动侦听DHCP分配地址的过程，将其中有用的IP+MAC地址信息记录下来，自动绑定到相应的端口上，免去了手工添加大量IP+MAC地址的麻烦。针对伪DHCP欺骗：我们将用户端口设置为非信任端口，非信任端口下是不允许接DHCP服务器的，所以即使有伪DHCP服务

42、器挂在内网，也不会欺骗到其他的用户。针对用户私改IP地址：内网用户都是通过自动获取地址的方式上网，但是如果有用户手动篡改自己的IP修改为其他用户通过自动获取得来的IP，这样就会导致正常用户发现内网地址有重复，可能会导致此用户不能上网。针对这种情况，我们在汇聚层交换机开启DHCP snooping分发地址保护功能，一旦用户获取到了一个地址，那么交换机就会对这个分发出去的IP和用户的MAC进行保护，自动绑定到对应端口，其他用户即使手动篡改为此IP，修改者也发现无法上网，而正常获取到地址的用户还是正常上网。3.2 FLOOD攻击防范、环路检测防范FLOOD攻击是比较头疼的问题，攻击者会不停的发送目的

43、为非本网段的数据包，直至网关设备处理不过来而导致网关死机。针对FLOOD攻击，我们可以在端口下设置IP计时器-IP计时器和ARP计时器的处理机制比较相似，如果一台设备在一段时间内发送目的IP不同的数据包过多，交换机同样会封锁此设备一段时间二层以上的交换机支持生成数协议，这就意味着如果一根网线在交换机上自环，交换机为了保护整个网络不会产生环路，会主动关闭掉一个端口来清除环路。但是对于有些傻瓜交换机或者HUB而言，他们是不支持生成树协议的，这就意味着如果一根网线在交换机上自环，设备是不会关闭端口的，这样就产生了一个问题，如果有个用户在自家挂了一个HUB，而这个HUB上又不小心用网线自环了，由于HUB不会为了清除环路而关闭端口，所以这样就产生了网络环路。我们还可以在BDCOM S6800端口上设置KEEPLIVE环路检测机制-如果某个端口发出的KEEPLIVE包又在这个端口上被收到，那么交换机会认为这个端口下有环路，交换机会主动关闭掉这个端口。这样就可以保证网络不会产生环路了。最新精品资料整理推荐，更新于二二一年一月十八日2021年1月18日星期一17:52:16