gtxyzz

实名认证解IP地址冲突和网络安全之困

gtxyzz 安全防护 2023-01-09 405浏览 0

网络安全实例之背景分析

在没实施实名认证之前,校园网的用户(包括单位用户和家庭用户)上网都是固定的IP地址。但是也可以说是不固定的,因为我们学院把每个部门和每栋家属楼细化了VLAN,在这个VLAN 中一般IP 地址划分给这个VLAN。

所以有的用户知道这种情况后,科室或者家里增加了电脑,就能猜到IP地址,如果和别人的发生了冲突,那么会造成抢网的事件,而且不便于网络中心的工作人员管理网络。对于网络安全也存在很大的隐患,如果用户中毒或者在网上发布影响学校或者国家的帖子,可能找不到本人。

正是由于这些不利的因素,学校准备实施校园网扩建工程的实名认证。

网络安全实例之方案介绍

“学院校园网项目”是校园网工程的一部分,包括教师宿舍、教学区、综合楼和老教学区的楼栋汇聚、楼层接入网络交换设备与集成、管理系统和认证计费系统。项目完成后将为整个校园提供一个高效、稳定的网络通信平台。对校园网的整体设计要求实现百兆到桌面,主干双链路千兆到楼宇汇聚,并保证子网的每个信息点有802.1X认证的交换机端口。同时,还要保证在接入层实现安全控制接入。

网络安全实例之实施要求

软件上需要能够提供对学生上网的管理,如用户合法性的验证,IP、MAC的绑定,帐号的分配及管理;日常运营所需要的收费、计费服务;学生自助服务系统和设备管理。

交换机方面需要能够为教师宿舍、教学区、综合楼和老教学区提供稳定、快速的接入服务,汇聚交换机能够提供VLAN划分和三层交换,接入需要支持802.1X以保证运营的实施。

学院校园网拓扑图如图1。

实名认证解IP地址冲突和网络安全之困

图1 学院校园网拓扑

网络安全实例之网络拓扑说明

出口使用某厂商的RSR50-40路由器作为出口设备与移动网和教育网相连。

核心层采用两台RG-S8606核心交换机,负责整个网络的数据交换。汇聚层是千兆交换机S3760-12SFP/GT,千兆光纤连接核心交换机及每层楼的接入交换机。每栋楼的小汇聚使用的是S2126G,同时也可提供接入服务,使用双绞线与接入交换机S2026F互联。

网络安全实例之方案实施

首先需要安装SAM 服务器,学院选用的是RG-SAM 2.x企业版,拥有2000用户。

其次是安全管理规划,系统使用W i n d o w s 2 0 0 3 Server+SP2,并在相应网站下载补丁程序升级,并建议客户 预装杀毒程序以保障机器的安全。

同时在交换机上通过ACL做服务器网段和用户网段的隔离,并进行端口过滤,只允许服务器进行所需端口通过。

a)8080.TCP端口.http访问端口 
b)8443.TCP端口,https访问端口 
c)1812.UDP端口.默认的认证报文接收端口 
d)1813.UDP端口.默认的记帐报文接收端口 
e)1433.TCP端口.SQLSERVER的默认监听端口 
f)1434.UDP端口.SQLSERVER的默认监听端口. 
g)8009.TCP端口.ajp端口 
h)1099.TCP端口.jnp端口 
i)1098.TCP端口.rmi端口 
j)8090.TCP端口.JBossMQOILservice端口 
k)8092.TCP端口.JBossMQOIL2service端口 
l)8093.TCP端口.JBossMQUILservice端口 
m4444.TCP端口.RMIOBJECTPort 
n)4445.TCP端口.ServerBindPort 
o)1162.UDP端口.JBosssnmpagent端口.

#p#

网络安全实例之数据库系统规划

安全管理规划:数据库软件选用的是MS SQL Server 2000 标准版或企业版+SP4。

数据的备份:

1.SQL Server Agent服务启动,建数据库维护计划实现数据库备份,计划的名字为sambackup。

2.SQL数据的备份采用完全备份方式,备份目录为k:/ backup,备份时间为每天凌晨三点,保留一个月内的完全备份数据。

3.由于RG-SAM的后台数据信息非常重要,需要经常性质地将数据进行备份。

数据的恢复:

在原服务器上完全备份数据到指定的文件(假定为SAMdata060526)

1.手动备份数据库。

2.将上一步备份的文件SAMdata060526复制到新的机器上并执行还原操作。

3.删除原数据库中的sam关联。

4.在后台数据库中创建和sam帐号的关联。成功完成后,移到新服务器上,便可在新服务器上启动SAM,注意启动前要将服务器的IP改为原服务器的IP。 SAM 系统规划及设置

网络安全实例之用户开户的方式

采用批量导入的方式进行用户开户。

将要开户的用户按一定的格式编辑成相应的文本文件,在管理界面中批量导入进行开户。

1.在开户之前先要定义组,比如说办公的用户就划分为office组,家庭的划分为home组,学生的划分为student组等等,然后把个人的姓名拼音当做用户名,绑定IP地址,最后选择组(请个人账户的格式是用户名+IP地址+组)。

此外,我们为什么没有绑定MAC地址,是因为如果用户电脑换了或者网卡换了就不能上网了,考虑到这原因,我们就没有绑定MAC地址,也是为了便于管理。

2.接入交换机sam系统配置

Switch#config t 进入全局配置层以后,配置以下:

radius-serverhost10.6.0.67----------配置认证服务器地址 
aaaauthenticationdot1x-------------开启认证 
aaaaccountingserver10.6.0.67--------配置记账服务器 
aaaaccounting--------开启记账 
dot1xclient-probeenable-------开启户端探测 
dot1xprobe-timerinterval30--------客户端与服务器交互时间 
dot1xprobe-timeralive90---------在线探测时间,即上面时间的三倍,交换机连续三次没收到客户端的交互报文,则认为客户端已下线 
dot1xtimeoutquiet-period2---------服务器端报文重传间隔 
dot1xtimeouttx-period3----------报文重传间隔 
nodot1xre-authentication-------关掉重认证 
radius-serverkeyznufesam--------配置认证KEY 
snmp-servercommunityznuferorw------配置SNMP管理字 
interfacefastEthernet0/1----------进入端口模式 
dot1xport-controlauto-------开启端口认证

3.所有用户需要安装客户端,设置在网络中心注册的合法IP地址。打开认证软件就可以看到认证软件的界面。根据在网络中心签的入网协议上的用户名和密码,选择网卡类型(为什么要选择网卡类型,因为有些电脑是二个网卡,软件自己是识别不出来的,所以要选择填了正确IP地址的网卡),点击链接,那么你的电脑就会自动和SAM服务器“握手”,匹配是否合法,如果信息匹配成功,那么就可以正常上网了(这个匹配的时间就1-2秒钟)。

4.部分用户可能觉得这样上网麻烦,那可以在这个用户参数设置里面把“保存密码”,“启动软件后自动认证”,“开机自动运行”这三项前面打勾,那么启动电脑,这个认证的软件就自动认证。

网络安全实例之方案实施后的效果

自从校园网实施实名认证升级后,再也没有发生过IP地址冲突之类的事件,而且还限制了用户在办公室或者家里私自接内网,防止破坏校园网整体结构。

实施实名认证后,通过每个用户名和IP地址绑定,如果用户中毒或者是在网上发影响学校或者国家的帖子,可以找到他的IP地址,从而可以找到他本人。这样很大程度上解决了网络中心的安全隐患,也为网管人员减轻了不少工作负担!

继续浏览有关 安全 的文章
发表评论