校園網(wǎng)絡安全接入技術與應用

　　介紹校園網(wǎng)的現(xiàn)狀和校園網(wǎng)面臨的主要安全威脅，分析傳統(tǒng)的網(wǎng)絡安全防護系統(tǒng)等存在的不足，介紹目前主流的網(wǎng)絡接入控制技術，深入研究各種技術的實現(xiàn)原理及優(yōu)劣，并分析校園網(wǎng)絡部署網(wǎng)絡接入控制技術方案后的實際效果。

　　校園網(wǎng)絡安全接入技術與應用1

　　一、校園網(wǎng)現(xiàn)狀及安全威脅

　　隨著網(wǎng)絡技術和應用的飛速發(fā)展，網(wǎng)絡日益呈現(xiàn)出復雜、異構等特點，校園網(wǎng)絡中即時通訊、網(wǎng)絡游戲、視頻點播、視頻聊天、影視下載等網(wǎng)絡技術廣泛應用，復雜的網(wǎng)絡結構和高負荷網(wǎng)絡負載使網(wǎng)絡行為難以協(xié)調。網(wǎng)絡應朋的多樣性，既有教學科研的關鍵性應用，又有休閑娛樂等的一般應用。校園網(wǎng)絡中用戶數(shù)量大，用戶可控性差，按照以太標準進行設計的網(wǎng)絡設備的不具有完善的網(wǎng)絡安全監(jiān)測和控制功能。校園網(wǎng)中基本的網(wǎng)絡安全設備，例如防火墻、入侵檢測系統(tǒng)以及防病毒網(wǎng)關等，這些設各基于單點部署或多點部署，無法分析深層的數(shù)據(jù)，尤其無法處理內部攻擊行為，難以滿足目前網(wǎng)絡的安全需求，如防病毒網(wǎng)關、補丁升級等強制性的安全管理策略難于實施。校園網(wǎng)絡的這些特點增加了網(wǎng)絡安全管理的復雜性。

　　由于網(wǎng)絡攻擊、破壞行為的多樣性、隨機性、隱蔽性和性，隨著種類繁多的病毒爆發(fā)時間間距的不斷縮短、變化迅速的情況下，網(wǎng)絡管理者越來越束手無策，無法跟上病毒步伐。如今網(wǎng)絡攻擊和信息竊取已不需要高深的技巧，這加劇了病毒的更新和網(wǎng)絡攻擊的泛濫。當前的網(wǎng)絡攻擊更多的方式是非法者借合法使用者之身，借道進入校園網(wǎng)內部系統(tǒng)，非法者通過竊取用戶名與密碼，以“合法者”身份入侵校園網(wǎng)……像熊貓燒香、灰鴿子病毒的爆發(fā)已經(jīng)顯示出當前的網(wǎng)絡體系嚴重的不足，網(wǎng)絡正面臨著嚴峻的安全和服務質量(QoS)保證等重大挑戰(zhàn)，保障網(wǎng)絡的安全成為網(wǎng)絡進一步發(fā)展的迫切需求。

　　校園網(wǎng)絡常常遇到以下問題：瞬間掉線或大面積斷網(wǎng)、帶寬濫用、網(wǎng)速奇慢、網(wǎng)絡病毒泛濫、攻擊頻繁、網(wǎng)絡問題難定位、難解決……，校園網(wǎng)絡現(xiàn)在最典型的問題就是不能有效管控網(wǎng)絡擁堵和安全問題，無法確保關鍵應用的帶寬。另一個嚴重的問題是，無法控制上網(wǎng)用戶的身份和安全狀態(tài)。根據(jù)IDC網(wǎng)絡安全數(shù)據(jù)的，來自網(wǎng)絡內部的攻擊和入侵占網(wǎng)絡安全事件的70％，而且這些攻擊和入侵大多來自應用層。傳統(tǒng)的網(wǎng)絡安全措施，大量精力放在防御外部非法者的攻擊上，這種方式是單點或者局部的安全。比如說，防火墻，能夠有效保護出口安全或者受保護的服務器區(qū)域。對此，傳統(tǒng)網(wǎng)絡邊界安全網(wǎng)關設備形同虛設，入侵行為防不勝防。

　　網(wǎng)絡安全就像一棵大樹，如果要保證大樹結出健康的果實，就需要生長果實的枝葉的健康，而要保證枝葉的健康，就要保證軀干的健康，而要保證軀干的健康，則必須要大樹的樹根健康”，也就是說，對于一個網(wǎng)絡，其安全性要從最邊緣，即接入網(wǎng)絡的終端開始控制，要找出問題的根源。如果說防火墻、入侵檢測設備是噴灑農(nóng)保障果實健康的話，那么網(wǎng)絡接入控制技術則是從樹根開始，逐級保障樹的健康。

　　二、目前主流的網(wǎng)絡接入控制技術

　　目前新型的網(wǎng)絡接入控制技術將控制目標轉向了終端，從終端著手，通過管理員指定的安全策略，對接入內部網(wǎng)絡的主機進行安全性檢測，自動拒絕不安全的計算機接入內部網(wǎng)絡直到這些計算機符合網(wǎng)絡內的安全策略為止。當前比較好的幾種安全網(wǎng)絡接入控制技術，包括思科的NAC(網(wǎng)絡接入控制)、微軟的NAP(網(wǎng)絡準入保護)、可信計算組(TCG)的TNC(可信網(wǎng)絡連接)等。下面將分別對這幾種技術進行介紹。

　　(一)NAC技術

　　網(wǎng)絡接入控制(Network Access Control，簡稱NAC)是由思科(Cisco)主導的產(chǎn)業(yè)級協(xié)同研究成果，NAC可以協(xié)助保證每一個終端在進入網(wǎng)絡前均符合網(wǎng)絡安全策略。NAC技術可以提供保證端點設備在接入網(wǎng)絡前完全遵循本地網(wǎng)絡內需要的安全策略，并可保證不符合安全策略的設備無法接入該網(wǎng)絡及設置可補救的隔離區(qū)供端點修正網(wǎng)絡策略，或者限制其可訪問的資源。

　　NAC主要有以下部分組成：

　　1、客戶端軟件(AV防毒軟件。Cisco SecurityAgent)與CiscoTrust Agent(思科可信代理)：CTA可以從多個安全軟件組成的客戶端防御體系收集安全狀態(tài)信息，例如防毒軟件、操作系統(tǒng)更新版本、信任關系等，然后將這些信息傳送到相連的網(wǎng)絡中，在這里實施準入控制策略；

　　2、網(wǎng)絡接入設備：包括路由器、交換機、防火墻以及無線AP等。這些設各接受終端計算機請求信息，然后將信息傳送到策略服務器，由策略服務器決定是否采取什么樣的授權。網(wǎng)絡將按照客戶制定的策略實施相應的準入控制決策：允許、拒絕、隔離或限制：

　　3、策略服務器：負責評估來自網(wǎng)絡設備的端點安全信息，比如利用Cisco Secure ACS服務器(認證+授權+)配合防病毒服務器使用，提供更強的委托審核功能；

　　4、管理服務器：負責監(jiān)控和生成管理報告。

　　(二)NAP技術

　　網(wǎng)絡訪問保護NAP技術(Network AccessProtection)是微軟為下一代操作系統(tǒng)Windows Vista和Windows Server Longhorn設計的新的一套操作系統(tǒng)組件，它可以在訪問私有網(wǎng)絡時提供系統(tǒng)平臺健康校驗。NAP平臺提供了一套完整性校驗的方法來判斷接入網(wǎng)絡的客戶端的健康狀態(tài)，對不符合健康策略需求的客戶端限制其網(wǎng)絡訪問權限。

　　NAP主要有以下部分組成：

　　1、適用于動態(tài)主機配置協(xié)議和xx、IPSec的NAP客戶端；

　　2 Windows Longhorn Server(NAP Server)：對于不符合當前系統(tǒng)運行狀況要求的計算機進行強制受限網(wǎng)絡訪問，同時運行Internet身份驗證服務(IAS)，支持系統(tǒng)策略配置和NAP客戶端的運行狀況驗證協(xié)調；

　　3、策略服務器：為IAS服務器提供當前系統(tǒng)運行情況，并包含可供NAP客戶端訪問以糾正其非正常運行狀態(tài)所需的修補程序、配置和應用程序。策略服務器還包括防病毒隔離和軟件更新服務器：

　　4、證書服務器：向基于IPSec的NAP客戶端頒發(fā)運行狀況證書。

　　(三)TNC技術

　　TNC是Trusted Network Connection的縮寫，即可信網(wǎng)絡連接技術，它是由可信計算組織TCG(Trusted Computing Group)制定的一組詳細規(guī)范，作為TCG中基礎設施工作組(Infrastructure Work Group)的一部分。TNC建立在基于主機可信計算機技術，其通過使用可信主機提供的終端技術，實現(xiàn)網(wǎng)絡訪問控制的協(xié)同工作。同時，TNC的網(wǎng)絡構架可以結合已存

　　在的網(wǎng)絡訪問控制策略(如例如IEEE 802.1x、IETF Radius等協(xié)議)實現(xiàn)訪問控制功能，它的目標是解決網(wǎng)絡端點安全接入問題。TNC主要思想是，制定一系列開放的規(guī)范。這些規(guī)范將包含端點安全構件之間、端點主機或網(wǎng)元之間的軟件界面和協(xié)議。TNC通過認證和完整性校驗檢查端點的“健康度”，對不滿足系統(tǒng)安全策略的端點提供隔離并盡可能加以矯正，從而保證整個網(wǎng)絡系統(tǒng)的安全性及可信性。

　　TNC是一個開放的通用架構，TNC體系可以簡單地分為三縱三橫結構。在縱向上被分成三部分實體(Entities)：訪問請求者AR(AccessRequestor)、策略執(zhí)行點PEP(Policy Enforcement Point)、策略定義點PDP(Policy Decision Point)，各部分實體可以分布在系統(tǒng)中的任意位置，他們可以是三個完整的.設備。TNC體系在橫向上也被上分為三層，分別為網(wǎng)絡接入層、整體評估層和整體度量層，這三層只是由完成的功能作用而邏輯劃分。

　　1、網(wǎng)絡接入層：從屬于傳統(tǒng)的網(wǎng)絡互聯(lián)和安全層，支持現(xiàn)有的如xx和802.1X等技術。這一層包括NAR(網(wǎng)絡訪問請求)、PEP(策略執(zhí)行)和NAA(網(wǎng)絡訪問授權)3個組件：

　　2、完整性評估層：這一層依據(jù)一定的安全策略評估訪問請求者AR的完整性狀況；

　　3、完整性測量層：這一層負責搜集和驗證AR的完整性信息。

　　可信網(wǎng)絡連接技術TNC通過提供一個由多種協(xié)議規(guī)范組成的框架來實現(xiàn)一套多元的網(wǎng)絡標準，主要功能和目標如下：

　　1、平臺認證：用于驗證網(wǎng)絡訪問請求者身份，以及平臺的完整性狀態(tài)。

　　2、終端策略授權：為終端的狀態(tài)建立一個可信級別，例如：確認應用程序的存在性、狀態(tài)、升級情況，升級防病毒軟件和IDS的規(guī)則庫的版本，終端操作系統(tǒng)和應用程序的補丁級別等。從而使終端被給予一個可以登錄網(wǎng)絡的權限策略，進而獲得在一定權限控制下的網(wǎng)絡訪問權。

　　3、訪問策略：確認終端機器以及其用戶的權限，并在其連接網(wǎng)絡以前建立可信級別，平衡已存在的標準、產(chǎn)品及技術。

　　4、評估、隔離及補救：確認不符合可信策略需求的終端機能被隔離在可信網(wǎng)絡之外，執(zhí)行適合的補救措施。

　　(四)主流網(wǎng)絡接入技術的優(yōu)劣及

　　NAC、NAP和TNC技術的目標和實現(xiàn)技術具有很大相似性。首先，其目標都是保證終端的安全接入，即當終端接入本地網(wǎng)絡時，通過特殊的協(xié)議對其進行完整性校驗，通過接入設備(防火墻、交換機、路由器等)，強制將不符合要求的終端設備隔離在一個指定區(qū)域，按策略進行安全修復。在驗證終端完整性達到設定的安全狀態(tài)后，再允許其接入被保護的網(wǎng)絡。其次，三種技術的實現(xiàn)思路也比較相似。系統(tǒng)構架都分為客戶端、策略服務以及接入控制三個主要層次。同時，由于三種技術的發(fā)布者自身的背景，三種技術又存在不同的偏重性。NAC由于是CISCO發(fā)布的，所以其構架中接入設備的位置占了很大的比例，或者說NAC自身就是圍繞著思科的設備而設計的；NAP則偏重在終端agent以及接入服務(xx、DHCP、802.1x、IPsec組件)，這與微軟自身的技術背景也有很大的關聯(lián)；而TNC技術則重點放在與TPM綁定的主機身份認證與主機完整性驗證，或者說TNC的目的是給TCG發(fā)布的TPM提供一種應用支持。

　　目前NAC與NAP已經(jīng)結為同盟，即網(wǎng)絡接入設備上采用思科的NAC技術，而主機客戶端上則采用微軟的NAP技術，從而達到了兩者互補的局面，有利于其進一步發(fā)展。而TNC則是由TCG組織成員Intel、HP、DELL、Funk等企業(yè)提出的，目標是解決可信接入問題，其特點是只制定詳細規(guī)范，技術細節(jié)公開，各個廠家都可以自行設計開發(fā)兼容TNC的產(chǎn)品，并可以兼容安全芯片TPM技術�，F(xiàn)在微軟已經(jīng)主動的將其NAP與TCG／TNC進行了互操作的接口開放。

　　三、GSN全局安全網(wǎng)絡的原理與應用效果

　　銳捷網(wǎng)絡GSN(Global Security Network，全局安全網(wǎng)絡)，是一種基于802.1x的TNC可信網(wǎng)絡連接技術的解決方案。GSN由安全客戶端、安全交換機、安全平臺、用戶認證系統(tǒng)、安全修復系統(tǒng)、xx客戶端、RG-WALL防火墻等多重網(wǎng)絡元素組成，實現(xiàn)同一網(wǎng)絡下的全局聯(lián)動，使網(wǎng)絡中的每個設備都在發(fā)揮著安全防護的作用，構成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。具體構架如上圖所示，由三個層面、五個部分組成。

　　GSN通過將用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡帶寬分配、嵌入式安全機制集成到一個網(wǎng)絡安全解決方案中，達到對網(wǎng)絡安全威脅的自動防御，網(wǎng)絡受損系統(tǒng)的自動修復，同時可針對網(wǎng)絡環(huán)境的變化和新的網(wǎng)絡行為自動學習，從而達到對未知網(wǎng)絡安全事件的防范。其基本原理和結構圖如下：銳捷網(wǎng)絡GSN全局安全網(wǎng)絡系統(tǒng)采用了可信網(wǎng)絡連接技術TNC的標準規(guī)范。GSN整體構架分為客戶端(Su)、Swith／Router以及后臺服務器分別對應著TNC的訪問請求者AR(Access Requestor)、策略執(zhí)行點PEP(Policy Enforcement Point)、策略定義點PDP(Policy Decision Point)，三層結構。

　　GSN的工作原理：當終端用戶接入網(wǎng)絡時，銳捷安全客戶端(RG—SA)會自動檢測終端用戶的完整性，若終端用戶沒有達到安全策略設定的安全狀態(tài)，安全管理平臺(RG-SMP)通過安全聯(lián)動設備(SW、Router)拒絕終端用戶接入網(wǎng)絡，并自動將該終端用戶隔離并置于安全修復系統(tǒng)(RG—RES)。此時終端用戶上的安全客戶端(RG-SA)會根據(jù)安全管理平臺提供的信息自動連接到RG-RES安全修復系統(tǒng)上進行自動修復。修復完成后，銳捷安全客戶端會重新對終端用戶再進行完整性評估，當終端用戶完整性達到安全策略設定的安全狀態(tài)后，安全管理平臺(RG—SMP)才允許終端用戶接入網(wǎng)絡。

　　當接入網(wǎng)絡的用戶終端發(fā)生安全攻擊事件時，安全管理平臺(RG—SMP)將針對這一安全事件進行判斷，以確認選擇調用何種安全策略來處理。安全管理平臺(RG-SMP)將自動把安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡區(qū)域，安全策略的執(zhí)行者可以是銳捷網(wǎng)絡聯(lián)動設備或者安全客戶端(RG—SA)，根據(jù)安全事件的等級由安全管理平臺(RG-SMP)判斷是否需要將安全策略同步到網(wǎng)絡的區(qū)域中，以實現(xiàn)全網(wǎng)安全。同時，安全管理平臺會把針對這次安全事件的處理情況通知給用戶終端，使用戶能夠及時了解到網(wǎng)絡安全環(huán)境的變化。通過這個流程，網(wǎng)絡可以對已發(fā)生的安全行為進行完全自動化的防御措施，從而保證用戶網(wǎng)絡在受到威脅時可以迅速做出連動反應。

　　GSN全局安全網(wǎng)絡解決方案，將安全結構覆蓋網(wǎng)絡傳輸設備(網(wǎng)絡交換機、路由器等)和網(wǎng)絡終端設備(用戶PC、服務器等)，成為一個全局化的網(wǎng)絡安全綜合體系。在此基礎上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡安全環(huán)境的需求，同時也為今后可能發(fā)生的安全威脅做出了準備。

　　總之，目前導致安全事件的主要原因是主機軟、硬件結構存在設計漏洞并且對用戶沒有進行嚴格的認證和授權控制，傳統(tǒng)安全防范的重點放在對服務器和網(wǎng)絡的保護上，而忽略終端接入者本身的安全，但大多數(shù)的攻擊事件都是由終端接入者本身不安全而引起發(fā)的，所以只有從終端接入的源頭就建立起安全體系，內外共防來構造真正安全可信的網(wǎng)絡環(huán)境。

　　校園網(wǎng)絡安全接入技術與應用2

　　【摘要】：網(wǎng)絡安全接入技術是網(wǎng)絡安全領域的研究熱點。隨著互聯(lián)網(wǎng)的發(fā)展,人們對網(wǎng)絡的依賴程度逐漸提高。防火墻、xx等技術等傳統(tǒng)網(wǎng)絡安全技術,關注的是外網(wǎng)安全。但隨著局域網(wǎng)及其技術的高速發(fā)展,內網(wǎng)已成為網(wǎng)絡安全中的薄弱環(huán)節(jié),內網(wǎng)安全接入技術也逐漸引起了人們的重視。本文主要研究校園網(wǎng)內網(wǎng)的安全接入技術。校園網(wǎng)具有用戶數(shù)量大、群體復雜、穩(wěn)定性要求高等特點。如若管理不善,就會導致其來自內網(wǎng)的安全隱患越來越多。本文以實際校園網(wǎng)建設為背景,對校園網(wǎng)安全接入技術進行研究與應用。本文對MAC地址過濾與綁定、PPPoE撥號、802.1x技術、基于Portal的Web認證等常見的網(wǎng)絡安全接入技術進行了分析和對比,研究了這些安全接入技術的基本工作過程、使用環(huán)境,并對其優(yōu)缺點進行了分析。

　　為解決校園網(wǎng)絡的.安全接入問題,形成一個可推廣、便于實現(xiàn)的安全接入方案,本文由整體到局部進行需求分析,由局部到整體進行設計方案整合。以某中職校的校園網(wǎng)為例,針對校園網(wǎng)中不同用戶群體的需求設計了不同安全區(qū)域的接入方案。此外,作者對方案模型進行了實踐研究,對安全接入方案的各個部分予以應用,并對核心配置進行了分析和注釋。最后,本文對安全接入方案的實施效果進行了測試,客觀記錄了測試結果。本文通過研究和應用實踐,形成了可推廣應用的校園網(wǎng)安全接入方案。測試結果表明所設計方案能夠解決校園網(wǎng)安全接入的大部分需求,對提升校園網(wǎng)的安全性具有一定效果。

【校園網(wǎng)絡安全接入技術與應用】相關文章：

接入網(wǎng)技術在鐵路通信中的應用探討12-03

接入網(wǎng)技術在鐵路通信中的應用交通物流論文03-29

關于有線電視寬帶接入網(wǎng)技術的應用探析論文03-16

關于校園應用網(wǎng)絡技術的論文03-17

淺談電子商務網(wǎng)絡安全技術的應用論文03-16

防火墻技術在網(wǎng)絡安全中的應用探析論文04-10

淺談網(wǎng)絡安全技術與現(xiàn)代互聯(lián)網(wǎng)應用前途論文12-01

云計算技術對智慧校園的應用論文03-16

數(shù)據(jù)加密技術在計算機網(wǎng)絡安全中的應用03-23