国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

校園網(wǎng)網(wǎng)絡(luò)安全與管理研究

2019-08-23 09:23李桂青
通信電源技術(shù) 2019年7期
關(guān)鍵詞:網(wǎng)絡(luò)拓?fù)?/a>校園網(wǎng)加密

楊 凱,李桂青

(1.武漢音樂學(xué)院,湖北 武漢 430000;2.曲阜師范大學(xué),山東 濟(jì)寧 272000)

0 引 言

校園網(wǎng)是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、辦公自動(dòng)化、信息管理及信息發(fā)布等功能于一體的綜合信息平臺(tái),是一個(gè)服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端及眾多用戶組成的局域網(wǎng),通過有線方式和無線方式實(shí)現(xiàn)數(shù)據(jù)傳輸和信息共享。但是,網(wǎng)絡(luò)病毒、黑客入侵及管理不善等使校園網(wǎng)面臨著嚴(yán)重威脅[1]。針對(duì)校園網(wǎng)目前存在的安全隱患,本文重點(diǎn)研究和設(shè)計(jì)了合理穩(wěn)定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),整體實(shí)現(xiàn)了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的健壯性,并實(shí)現(xiàn)了負(fù)載均衡。

1 校園網(wǎng)安全解決方案

1.1 安全架構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)信息安全是相互依存的,因此規(guī)劃校園網(wǎng)整體網(wǎng)絡(luò)和信息安全系統(tǒng)方案時(shí),需引入新的層次型網(wǎng)絡(luò)和信息安全區(qū)域模型。

根據(jù)校園網(wǎng)網(wǎng)絡(luò)實(shí)際應(yīng)用,可分為3個(gè)層次,由上到下分別對(duì)應(yīng)由高到低3個(gè)防護(hù)等級(jí)(核心層、隔離層及接入層)。每個(gè)防護(hù)等級(jí)中的設(shè)備采用類似的安全防護(hù)功能[2]。

(1)核心層:設(shè)置安全等級(jí)為高,主要對(duì)應(yīng)校園網(wǎng)核心設(shè)備。

(2)隔離層:設(shè)置安全等級(jí)為中,主要是各種數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備。

(3)接入層:設(shè)置安全等級(jí)為低,主要存放各種網(wǎng)絡(luò)接入設(shè)備。

對(duì)整個(gè)校園網(wǎng)采取分層分級(jí)別防護(hù),可有效增加安全系數(shù)。外部入侵需多層破解,增加了攻擊難度,為主動(dòng)防御爭(zhēng)取了時(shí)間。

1.2 校園網(wǎng)設(shè)計(jì)

校園網(wǎng)網(wǎng)絡(luò)建設(shè)不僅要滿足學(xué)校的現(xiàn)狀需求,而且要符合國家規(guī)定的校園網(wǎng)建設(shè)標(biāo)準(zhǔn)。同時(shí),需充分考慮網(wǎng)絡(luò)的健壯性,不能出現(xiàn)單一節(jié)點(diǎn),避免其中一臺(tái)網(wǎng)絡(luò)設(shè)備性能下降或出現(xiàn)網(wǎng)絡(luò)故障影響校園網(wǎng)正常辦公[3]。此外,校園網(wǎng)的安全防范既要做到避免外網(wǎng)攻擊,又要做到避免內(nèi)網(wǎng)攻擊,拓?fù)湓O(shè)計(jì)如圖1所示。

由圖1可知,核心交換區(qū)、內(nèi)網(wǎng)接入?yún)^(qū)、互聯(lián)網(wǎng)區(qū)及服務(wù)器等組成了一個(gè)完整可行的校園網(wǎng)。

2 校園網(wǎng)安全功能詳細(xì)設(shè)計(jì)

該校園網(wǎng)中主要使用IP Sec 虛擬專用網(wǎng)技術(shù)、NAT技術(shù)、靜態(tài)路由協(xié)議技術(shù)、防火墻技術(shù)及LACP技術(shù)等。

2.1 虛擬專用網(wǎng)技術(shù)

考慮在公共網(wǎng)絡(luò)中傳輸數(shù)據(jù)的不安全性,引入了IP Sec VPN。對(duì)使用的數(shù)據(jù)隧道進(jìn)行加密,可實(shí)現(xiàn)公共網(wǎng)絡(luò)傳遞私有數(shù)據(jù),相當(dāng)于在共有網(wǎng)絡(luò)中建立一個(gè)私有專用網(wǎng)[4]。

具體實(shí)現(xiàn)步驟和代碼如下:

(1)配置組屬性的查詢模式

WHmusic(conf i g)#aaa new-model //啟用

WHmusic(conf i g)#aaa authentication login yk local //定義一個(gè)名叫yk登陸認(rèn)證,使用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證

WHmusic(config)#aaa authorization network yk1 local //命名yk1,對(duì)yk的事件授權(quán)

WHmusic(config)#username cisco password 0 cisco//創(chuàng)建用戶名密碼

(2)配置IKE(ISAKMP)策略,IPSec第一階段配置

WHmusic(conf i g)#crypto isakmp policy 10 //創(chuàng)建IKE策略10

WHmusic(conf i g-crypto)#encryption 3des //采用3des加密方式

圖1 校園網(wǎng)整體網(wǎng)絡(luò)拓?fù)鋱D

WHmusic(conf i g-crypto)#hash md5 //使用md5哈希散列算法

WHmusic(config-crypto)#authentication pre-share //采用預(yù)共享密鑰的認(rèn)證方式

WHmusic(conf i g-crypto)#group 2 //指定密鑰的位數(shù)

(3)定義EzVPN client連接后自動(dòng)分配的地址池

WHmusic(config)#ip local pool ez 192.168.129.10 192.168.129.100

(4)配置用戶組策略

WHmusic(conf i g)#crypto isakmp client conf i guration group wuhanmusic //配置組和密碼

WHmusic(conf i g-crypto)#key ykwh

WHmusic(conf i g-crypto)#pool yk

(5)配置Ipsec交換集,IPSec第二階段配置

WHmusic(conf i g)#crypto ipsec transform-set wh esp-3des esp-md5-hmac //配置交換集twh,設(shè)置esp加密算法3des,esp的完整性用哈希算法md5來保證

WHmusic(config)#crypto dynamic-map ezmap 10 //動(dòng)態(tài)加密圖

WHmusic(config-crypto-map)#set transform-set tim//tim與lmmap關(guān)聯(lián)

(6)關(guān)聯(lián)認(rèn)證信息

對(duì)VPN進(jìn)行認(rèn)證,授權(quán)配置,list是調(diào)用上面AAA配置名,liming是客戶端保密圖的名字,lmmap為動(dòng)態(tài)保密圖的名字,最后動(dòng)態(tài)加密圖必須有靜態(tài)綁定。

WHmusic(config)#crypto map liming client authentication list yk

WHmusic(config)#crypto map liming isakmp authorization list yk1

WHmusic(config)#crypto map liming client conf i guration address respond //客戶端響應(yīng)服務(wù)器

WHmusic(config)#crypto map liming 10 ipsecisakmp dynamic lmmap

(7)應(yīng)用crypto map

WHmusic(conf i g-if)#crypto map tom //綁定到接口

2.2 NAT技術(shù)

為解決內(nèi)部網(wǎng)絡(luò)使用私有地址主機(jī)和因特網(wǎng)上使用公有地址主機(jī)的通信問題,必須進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),即通信時(shí)把私有地址轉(zhuǎn)換成因特網(wǎng)上合法的公有地址[5]。

NAT技術(shù)結(jié)合ACL技術(shù)可對(duì)訪問公網(wǎng)的源地址進(jìn)行訪問控制,即內(nèi)網(wǎng)網(wǎng)絡(luò)管理中心樓的機(jī)器出于安全考慮,不允許訪問互聯(lián)網(wǎng),可通過ACL具體配置,代碼如下:

WHmusic(config)#access-list 10 deny 192.168.70.0 0.0.0.255

//拒絕地址為192.168.70.0網(wǎng)段的數(shù)據(jù)包通過

WHmusic(conf i g)#access-list 10 permit any //允許其他網(wǎng)段地址的數(shù)據(jù)包通過

WHmusic(config)#ip nat inside source list 10 interface Serial0/3/0 overload //表示以端口復(fù)用方式,將訪問控制列表10中的私有地址轉(zhuǎn)換為路由器外部接口的合法IP地址

WHmusic(conf i g)#interface FastEthernet0/0 //進(jìn)入接口并配置ip地址

WHmusic(config-if)#ip address 192.168.129.2 255.255.255.0

WHmusic(conf i g-if)#ip nat inside //指定NAT的內(nèi)部轉(zhuǎn)換接口

WHmusic(conf i g)#interface Serial0/3/0 //進(jìn)入接口并配置ip地址

WHmusic(config-if)#ip address 158.18.18.1 255.255.255.252

WHmusic(conf i g-if)#ip nat outside //指定NAT的外部轉(zhuǎn)換接口,此接口翻譯為內(nèi)部全局地址到達(dá)外部網(wǎng)絡(luò)

3 結(jié) 論

該校園網(wǎng)安全設(shè)計(jì)是基于當(dāng)前校園網(wǎng)網(wǎng)絡(luò)功能進(jìn)行改進(jìn),考慮了核心層的冗余備份和服務(wù)器群的安全性,并設(shè)計(jì)了三層安全防護(hù)措施。該設(shè)計(jì)的不足之處在于模擬器的功能有限,審計(jì)和統(tǒng)計(jì)管理等功能無法實(shí)現(xiàn),需在后期實(shí)際應(yīng)用中進(jìn)行擴(kuò)展。

猜你喜歡
網(wǎng)絡(luò)拓?fù)?/a>校園網(wǎng)加密
基于通聯(lián)關(guān)系的通信網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法
一種新型離散憶阻混沌系統(tǒng)及其圖像加密應(yīng)用
數(shù)字化校園網(wǎng)建設(shè)及運(yùn)行的幾點(diǎn)思考
一種基于熵的混沌加密小波變換水印算法
試論最大匹配算法在校園網(wǎng)信息提取中的應(yīng)用
電子制作(2018年23期)2018-12-26
基于VRRP和MSTP協(xié)議實(shí)現(xiàn)校園網(wǎng)高可靠性
2017款捷豹F-PACE網(wǎng)絡(luò)拓?fù)鋱D及圖注
加密與解密
NAT技術(shù)在校園網(wǎng)中的應(yīng)用