网络管理:简单的说就是为了保证网络系统能够持续、稳定、安全、可靠和高效地运行、不受外界干扰,对网络系统设施的一系列方法和措施。为此,网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息,显示给管理员并接受处理,从而控制网络中的设备、设施,工作参数和工作状态,以实现对网络的管理。
网络安全的实质就是安全立法、安全管理和安全技术的综合实施。这三个层次体现了安全策略的限制、监视和保障职能。根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,在网络安全方案整体规划、设计过程中应遵循下列十大原则。
网络安全规划与设计是一项非常复杂的系统工程,不单纯是技术性工作,必须统一步骤,精心规划和设计。安全和反安全就像矛盾的两个方面,总是不断攀升,所以网络安全也会随着新技术的产生而不断发展,是未来全世界电子化、信息化所共同面临的问题。一般来说,网络的安全规划设计与实施应考虑下面4个方面的问题。一是确定面临的各种攻击和风险并分析安全需求。二是明确网络系统安全策略。三是建立网络安全模型。四选择并实施安全策略。
计算机网络不仅对人们的生活产生了重大影响,也日益影响着企业科技的创新和生产力的提高。企业信息技术的发展能够更好地提高企业的生产效率和管理水平。这不仅影响着大中型企业,对我国工业企业中占相当比重小企业同样重要。本文选择小企业网络规划与设计进行研究,是因为小企业用户的局域网结构相对简单,主机数量少,易于进行规划设计,且投入成本低、易于普及。
申请一个10M及以上的带宽,就可以满足小企业内部计算机访问Internet的需求。申请1个公网IP:分配给Internet接入路由器的串行借口;购买一台路由器以实现企业内部网络连接到Internet;考虑在日后小企业的发展,计算机数量可能会有所增加,因此交换机接口可以预留3到5个;将各部门划分在不同的VLAN。单个节点构成的网络通常就能满足小企业的网络需求。小企业网络工作站数量少且接入比较集中,因此核心网络设备选择100M的以太交换机就可以了。
一个VLAN可以在一个交换机实现,就可以满足小企业网络规划使用。在小企业网络规划中,VLAN根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。用来为局域网解决冲突域、广播域、带宽问题。因此使用VLAN技术,结合网络层的交换设备搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问。
1、布线系统总体结构设计。根据小企业的建筑数量(假设为两栋),选用十二芯单模光纤从总机房连接到其他撞建筑或楼层的设备间,采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。布线时要考虑价廉、合理、美观、标准。尽量进行夹墙内、地板下、天花板上或者采用架空线槽布线。网络设备要放在一楼机房内。机房内要配备火警报警装置、防尘地板和空调。
2、工作区子系统设计。工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式跳线采用统一标准,如统一采用EIA/ TIA 568B标准等,以使系统具有更好的兼容性
3、管理子系统设计。单个节点的子系统设计在配线间完成。通过各种规格的配线架(线槽)实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,可以设置一个共用的子配线间,这样便于维修、管理。
进入信息时代后,无论是高校还是高职,要提高教育教学水平就必须借助信息技术来提高学校的生产效率和管理水平。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让高职学院根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于高职而言不再成为一个负担。
高职学院网络建设首先要考虑成本,然后进行符合高校实际需求的网络规划与设计。做好这个环节的工作,要做好几点:了解各学院的现状和需求;弄清用户的目的,明确是宣传需要还管理需要;掌握资金投入的额度;了解学院环境;确定学院的数据流管理架构。掌握了当前网络的使用情况,明确了用户构建网络的需求,确立了建网目标。在制订网络方案时要考虑构建简单的网络拓扑结构、采用非可管理型号的网络设备、用户的简单应用、实用为主、适度的安全需求等几方面的问题。
从结构化综合布线系统设计与土建配合方面看,建筑设计部门对此技术了解不够,重视也不够。这就造成本应预留的空间和应预留的管道在土建施工时难以到位,甚至在砌体和装修阶段还没到位,这将造成布线施工难度的增加和施工时常要破坏建筑结构和影响美观等结果。综合布线的设计要解决传输频率与传输速率、屏蔽与非屏蔽双绞线的选择、过电流及过电压保护的设计等,使布线设计令人满意。
网络操作系统(networkoperationsystem-nos)是网络的心脏和灵魂,是能够控制和管理网络资源的特殊的操作系统。它与一般的计算机操作系统不同的是:它在计算机操作系统下工作,使计算机操作系统增加了网络操作所需要的能力。目前国内流行的网络操作系统有unix、linux、windows和netware等,它们应用层次各有不同,局域网应用环境可采用linux和windows等网络操作系统,最终确定要根据学院的应用环境来确定。
网络硬件设备的选择是否合理将会影响到网络运行的效果,主要的硬件设备包括交换机、服务器和路由器等核心设备。选择硬件设备时要考虑设备要既具有先进性,又具有可扩展性和技术成熟性。各层所用的交换机设备类型主要还是非可管理型,核心层只用一台低端口数的双绞线千兆以太网交换机即可。在路由器方面,通常是采用性能较好的宽带路由器实现互联网共享接入,而不会专门购买企业级路由器。
计算机网络系统是数字化校园建设的核心基础设施,目标是建设一个集数据、语音、视频服务于一体的高带宽、多功能、多服务、开放的、多业务接入的IP多媒体交换园区网。为了解决广州体育学院上网速度慢、网络难以管理、网络应用不丰富等的问题,满足学院飞速发展的需要,学院决定对网络进行改造,建设一个统一规划的、先进的、完善的、覆盖整个广州体育学院校区的计算机网络。在该网络中,校区内部每栋主要楼宇间(重要场所)是以万兆为主干、千兆到二级楼宇网、百兆到桌面的全交换的智能网络,同时还可以提供无线接入的手段;主要楼宇之间实现高速互联;拥有独立的高速国际出口;并且整个网络中QoS可以得到充分保证。
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。
由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
系统使用基于TCP/IP协议的以太网技术构建,采用核心层、汇聚层和接入层的三层结构,网络系统需整体全面同时支持IPv4和IPv6,在日后IPv6布署时直接支持而无需新增任何设备与费用。本网络系统主要采用全新构建,并整合校园原有网络资源,充分保障用户的投资。网络的核心层采用万兆核心路由交换机,汇聚层采用万兆或千兆的路由交换机,接入层采用千兆安全智能交换机,并可管理到每一个端口。
计算机网络系统的核心设在新建的网络中心机房,然后在图书馆、科研楼、教学楼、科学馆,旧网络中心、西区教工宿舍、东区教工宿舍、学生宿舍、研究生公寓和体育综合馆等地设置万兆汇聚点,其它原有建筑物如体操馆、学生服务中心等通过千兆连接到万兆汇聚点作为二级汇聚点。每栋建筑物的每一至三个楼层设置一个楼层配线间,作为接入层设备放置点。对于学院现有的室内外体育场馆、图书馆、教学楼等地方,将采用无线网技术进行全面覆盖。计算机网络的结构示意图如图1所示:
a)采用万兆以太网作为核心,体现系统高性能,双核心、双路由器(本次暂不采购)等冗余结构提供网络高可靠性;b)安全策略分发,可以自动统一下发安全策略,达到设备群的安全策略适时更新,有效及时地保证网络安全;c)合理规划VLAN以对广播风暴实现隔离;d) VLAN跳转功能实现IP地址高效管理;
汇聚层主要是完成网络的安全控制机制,使骨干网与访问网相分离,为区域内流量提供三层交换,为三层路由提供汇聚。汇聚层交换机主要汇聚各接入设备,同时针对相应的安全机制(ACL、端口认证等)对访问层的数据进行访问控制。核心层和汇聚层之间采用万兆或千兆光纤组成多个环状拓扑,汇聚层与访问层之间采用千兆光纤组成多个环状拓扑,以提供层间的冗余和负载均衡。
无线接入主要为各种室内外的场馆、教学楼、科研楼及图书馆的开阔阅览室等开放式环境提供数据接入。由于广州体育学院整个校园比较大,需要布置无线的地方比较多,为了方便统一管理和规划,本系统将采用瘦无线的方式设置,即通过设置以连接在网络中的无线控制器对全网的无线接入点进行统一的管理与配置,使用户可以在整个无线网络覆盖的区域内自由穿梭并具有良好的数据传输质量。
网络出口要连接中国教育网和互联网,为保证校园网内部的信息安全,网络出口处采用路由器加双防火墙结构。两台高性能千兆防火墙主要为网络出口在执行多种安全策略的同时仍然保证高速的带宽。路由器采用自身冗余结构保证网络出口的稳定性,并为数据传输提供教育网和互联网的路由选择。如果出口线路能提供备份的情况下,出口路由器也可使用双机冗余结构。
在用户管理方面,需要实现校园网络的可运营、可维护,我们采用了H3C CAMS作为用户管理中心。CAMS(Comprehensive Ac? cess Management Server)综合访问管理服务器是H3C公司推出的集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台,可以与H3C交换机、路由器、VPN网关等网络设备共同组网,实现对用户宽带接入、VPN接入、无线接入以及IP电话接入的管理、认证、授权和计费。CAMS作为校园网网的用户管理中心,在基本的AAA(Authorization、Authentication and Accounting)功能之上,提供了多业务融合的管理、维护和安全控制平台,可与企业现有系统平滑对接,构建可管理、可运营、高安全的企业网络。
CAMS采用分布式、模块化、跨平台的开放体系结构和基于TCP/IP的通信机制,可以平滑扩容、灵活扩展、按需定制。CAMS采用Windows操作系统平台和SQL Server数据库管理系统,并支持集群服务器、磁盘阵列、数据库备份等特性,为用户提供了一种低价格、高可靠、高性能的网络安全和用户管理解决方案,能够满足各种规模网络的用户管理、身份认证、权限控制和实时计费的要求。3.2综合IT资源监控管理系统
IT系统综合管理平台的设计及建设是结合计算机网络、教育系统、机房监控、IT系统维护管理流程、设备信息、报警管理、操作对象和管理要求等综合因素进行考虑的,并做出合理的、适应特定使用和管理需要的设计。以下根据要求,系统方案将按各个子系统阐述,并结合其监控管理范围和职能划分为网络监控、服务器和操作系统监控、数据库及应用系统监控、告警管理、报表管理等功能模组。
H3C IPS 1200是专门针对今天大中型企业的千兆环境安全需求而开发的。越来越多的企业面临着保护内网和数据中心安全的挑战,但是又没有足够多的现场工程师,而且在保护企业业务安全的同时,还必须保证足够高的网络速度来保持较高的企业生产力水平。通过在线C IPS IPS产品,可以有效的阻止各种恶意流量和无关流量,而正常流量可以丝毫不受影响。事实上,通过清扫“网络垃圾流量”和提高关键应用流量的优先级,H3C IPS可以极大的优化正常流量的性能。H3C IPS优越的性能和无与伦比的入侵抵御精度将给网络安全以新的定义,势必将从根本上改变人们保护网络的方式。
大中型企业办公区中心机房内安装多层交换机(Cisco Catalyst6509)作为整个企业网的核心,通过防火墙和路由器与互联网相连接。核心层在与访问层相连方面,考虑到其它分布层设备所处地理位置与中心机房相距较远,则核心层交换机分别以1000M 单模光纤与办公区、生产区、附属设施的访问层中端二层交换机连接。除此之外, 核心交换机各自还与其它相关的服务器相连其中Cisco Catalyst 6509 核心交换机负责连接应用服务器群。应用服务器群包括FTP 服务器、数据库服务器、电子邮件服务器、应用程序服务器等应用型服务器,用来为整个企业网及在互联网上提供各种常用的网络服务。访问层交换机作为企业内重点地区的网络核心,需兼顾到大流量和冗余性,因此重点地区的访问层交换机采用Cisco Catalyst 2950G-48 以太网交换机,均通过1000M 单模光纤同时和两台核心交换机互连以达到分布层与核心层的冗余。网络出口设备是企业内部网络与互联网〔Internet〕连接和数据来往的通道。由于企业网内部访问国际互联网的需求量大,这就决定了路由器需要稳定、可靠和高速。
有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。
因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。
现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。
目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。
WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。
减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。
企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。
企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。
为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。
为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。
企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。
由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。