原创:厦门微思网络
一、中小型教育网络的安全现状及挑战
当前,校园网的安全形势非常严峻,大量的垃圾邮件、黑客攻ji、病du蠕虫等困扰着管理者。而且这些作乱工具越来越先进,并通过互联网分享,只要略懂技术的人都可以掌握这些工具,对校园网造成危害。
数字校园的安全问题,集中体现在在以下几个个位置:一是Internet 出口,有大量的病du和垃圾邮件困扰着校园网管理者;二是校园区域,需要及时发现网络中的安全事件,以免病du或攻ji造成网络瘫痪而影响业务运行;三是数据安全中心,需要确保数据安全,避免信息被偷窃、修改和未授权的访问;四是远程访问,需要确保分校区和远程接入人员,通过安全加密的隧道进行数据通信。
二、构建安全一体化的网络平台
思科公司针对校园网络各个安全位置,提出了一体化的网络平台,如图所示,整个安全的网络平台包括了:学校出口、校区局域网、学校数据中心、分校/远程访问。
1、校园网络出口安全解决方案
当前网络面临的安全威胁也是多红多样的,包括了木ma程序、驾驶网络、DDOS攻ji、广告/间谍/恶意软件、钓鱼网站、垃圾邮件、入侵并操纵系统资源、出口网络资源滥用、身份盗取、网络诈骗等等。这些安全威胁会对网络造成重大影响:
· 病du:可感染系统,使其停运,从而导致运行中断
· 间谍软件和黑客:会导致数据丢失和因此引起法律问题
· 垃圾邮件和泄密:需要繁琐的处理过程,降低生产效率
· 浏览与工作无关的网站:会导致员工生产率降低,并可能使公司承担法律责任
· 受感染的VPN流量:使威胁因素进入网络,中断业务
思科提供了一系列的安全解决方案,提供了一个易于管理和使用的全面的解决方案。结合了思科ASA防火墙、IPS入侵防御系统、Ironport、Mars等产品。有效的提供了:防将使网络、木ma感染、安全隔离、异常流量控制、VPN安全接入、访问控制NAT、日志和报警、防垃圾邮件等功能。
2、 校园局域网安全解决方案
2.1思科统一角色控制
随着网络信息化在各行各业的普及,越来越多的应用系统构建在校园网络之上,学校的网络是一个存在复杂环境的系统,既要保证学校网络的访问的便捷性,又要进行安全的控制以及防止病du的扩散。因此如何有效的管理和控制终端用户对这些应用系统的访问逐渐成为人们最为关心的问题。
当前有线和无线同时部署的方式在校园网络中已经开始逐渐普及,那么面对不同的应用系统以及网络服务,如何实现对接入用户访问的统一管理和控制,在接入侧实现安全防御, 我们可以从以下几方面来考虑:
(1)网络接入方式
目前的企业或园区的接入网络基本上由有线网络和无线网络两部分共同组成,对于无线接入而言,由于面向内部移动办公的群体,所以从接入控制的角度上我们不仅仅要验证这些用户的ID同时也要对其实际的接入位置进行控制,以满足关键应用或服务对接入区域的控制。
对于一个用户而言其既可以赋予其有有线网络接入的能力也可以赋予其有无线网络接入的能力,因此网络接入方式可以被作为一种网络接入资源进行对待并根据条件分配。
(2)应用系统的引导
对于接入用户而言网络中存在的应用系统是不可见的,必须有一种方式能够使得用户在接入时可以很方便并快速的对其能够访问的资源进行定为并呈现,这就要基于Web服务来建立一个应用系统的引导门户,而且为了快速的定位并感知用户的接入行为该引导门户还必须和用户的ID以及接入位置相关联,以实现个性化的门户推送。
因此应用系统的链接也可以被作为一种网络接入资源进行对待并根据条件分配。
(3)简化的用户登录机制
用户访问应用往往需要经过两方面的认证,网络侧的认证和应用系统的认证。对于应用系统而言由于考虑到安全防护,用户在实现应用系统访问的时候还必须通过前端网关的认证以及应用系统本身的认证,因此目前的很多系统如果充分考虑这两方面的认证,用户往往就必须经过三次认证要求才能能够接入应用系统。
因此为了简化用户登录机制又要保障应用系统访问接入的安全性,必须构建一个统一的认证控制体系,对于用户而言其认证流程应该是统一的、无缝的,通过网络系统、应用系统以及后端系统的接口统一接入认证,简化用户的认证体验。
(4)基于资源的用户角色控制管理
校园接入用户访问的资源与用户实际的分类有关,这些不同分类的用户群既有继承性的访问权限又可能存在个体的不同之处,因此为了确保接入用户的统一管理及控制,网络构架必须能够适应这样的构架,及将网络应用及服务统一资源化。对于网络运维人员而言系统对不同类用户以及不同的个体用户的控制管理应该直接与这些资源挂钩。
(5)用户网络接入侧的安全防御
由于校园网的学生的流动性较大,如何保证网络有很好的基础防御功能,出现例如ARP攻ji,私自搭建DHCP服务器以及防止用户的帐号安全和防止盗用。这些都是在系统设计和部署时需要考虑的问题。 因此,安全的防御是稳定网络的前提。
2.2数字化校园的统一角色控制需求及实现
(1)如何有效管理控制校内纷乱繁杂的网络资源?
提供资源管理模型,对网络应用资源及终端进行模板化管理 ;
建立制定化资源引导门户,基于位置及角色进行推送服务 ;
规范化网络资源控制,基于角色进行资源分配 ;
(2)如何有效的保护校内敏感资源,并实现简单安全的资源接入?
对于非认证用户只能访问当前的可以开放的有限资源
即使用户在认证后,依旧根据用户的权限来划分不同的访问区域
(3)如何在复杂的接入网络环境下实现多重的用户接入控制,提高接入用户控制的精准度?
基于MAC、IP、用户名、密码、VlanID/SSID,端口以及交换机ID的多维度接入控制即使在单端口下,每个用户的权限和认证的界面可以不同
(4)如何实现接入侧的安全防御
开启DHCP snooping防止校园网内私搭服务器;
开启IP Source Guard防止IP地址的盗用
开启DAI进行ARP攻ji的防御和异常IP访问
开启Port Security来限定当前端口下的用户接入
(5)如何有效统一管理控制学生接入群体?
基于接入区域对学生认证机制进行简化;
统一有线无线接入接入的认证、计费、授权和审计;提供基本的会话模型分析;2.3
(1)应用终端
应用终端决定了网络接入的方式。随着上网本、便携电脑、智能终端、无线专用终端等WiFi设备在校园网络的普及,可以说校园网络可以实现网络接入的区域可以无所不在,越来越多的应用和服务承载在WiFi无线网络之上,因此无线网络和有线网络已经成为校园接入网络必须具备的接入条件。
对于不同技术接入的终端,后台采用统一的帐号管理和策略控制,从而减少用户投入两套或多套认证系统来管理网络。
除此之外,当前的学校中的客户端操作系统已经非常的丰富,有Windows,Linux,Unix还有MAC OS等等。思科统一角色管理方案中的认证采用Web的认证方式。这区别于传统的802.1x使用客户端软件的认证方式。传统的方式必须在设备的终端安装客户端,由于系统的兼容性的问题,给网络管理人员带来了非常大的维护工作量。而Web的认证方式可以跨平台和跨浏览器进行认证。无论采用的是什么操作系统,无论采用的是哪一种浏览器,只要能够通过浏览器访问网络,即可通过思科统一身份控制系统进行角色的分配和携带有权限的网络访问。
(2)网络接入
网络接入实际上是面向两个端点的层面,即网络接入和应用接入,对于网络接入而言校园网络可以分为有线接入网络以及无线接入网络,而面向应用接入则主要是由ASA应用网关来实现的。
系统提供了不同的接入方式以及接入控制点,以面向用户终端不同的认证方式以及不同的认证阶段。
(3)网络控制
网络控制既面向接入控制也面向应用控制,网络控制层面通过接入系统与统一角色控制中心的接口:如HTTP/HTTPS、Radius、LDAP、SNMP等,实现面向角色或用户的统一控制。通过这些后端的互联接口,网络运维人员无需了解系统间的具体操作流程,只需要了解用户接入的基本路径以及面向的资源就可以简单的进行策略定义和控制。而对于用户而言网络接入不再需要繁琐的多次认证,简单的认证体验将直接和用户的网络应用及服务有机的关联在一起。
(4)统一角色调度管理
统一角色调度管理实际上就是统一角色控制中心,该系统是整个解决方案的核心,思科通过各网络系统间开放的接口,以及对校园网络接入应用及服务控制的理解并整合了本地合作伙伴模块化的系统,从而实现了面向角色的网络资源统一调度和管控。
统一角色调度管理实际上包含了六大部分,资源门户管理、用户审计管理、认证计费中心、策略配置管理、网元配置管理、角色配置管理。
资源门户管理:包含了网络应用门户的定义及推送,通过资源门户管理网络用户可以快速定义需要访问的应用资源,资源定位分为前期定位以及后期定位两种:前期定位依赖用户的接入位置和SSID进行资源页面的推送;后期定位则是通过认证之后的用户ID来实现资源定位。
用户审计管理:校园网络往往需要对学生、外来人员或访客的进行审计,审计内容可以包括用户接入方式、过程、IP、MAC、目的端口、源端口、时间、会话数等元素。
认证计费中心:认证计费中心负责接入系统以及应用系统的接入认证,并针对不同的业务类型提供计费报表。
策略配置管理:负责网络资源控制所涉及到的接入设备以及应用网关的用户或角色的策略配置管理,通过统一的策略配置模块运维人员可以针对资源对象来进行控制策略的分配,同时策略配置管理中还包括了策略冲突检测,通过策略冲突检测管理人员可以在应用策略之前进行冲突检测。
网元配置管理:网元配置管理包含了接入终端、接入系统、应用系统的对象定义,通过定义可以将这些系统抽象出来以形成网络资源。
角色配置管理:角色配置管理可以帮助运维管理人员根据实际接入用户群定义角色,并将策略应用到校园接入的各角色上,而每个角色的不同用户还可以根据其访问的特殊性增加策略的定义。
2.4 思科统一角色方案优势
有线无线一体化的角色管理及策略控制
统一角色控制提供了一体化的角色管理及策略控制,使得运维人员可以在一个界面下针对不同角色的接入需求定义有线接入、无线接入、应用接入等多个层面的控制策略,并在认证后下发至该用户数据流经的各个控制点。
有线无线一体化的接入认证
统一角色控制提供了统一的接入认证机制,无论该用户来自与有线接入还是无线接入,统一的认证机制确保该用户在一个账户的前提下,都可以对其进行认证。认证判断的条件除了基于用户ID,还会对其是否允许在无线侧还是有线侧进行接入进行判断。
多维度的终端接入控制判断
系统可以对终端的接入位置、接入时间、接接入介质、接入方式、终端状态、终端水印、终端MAC、用户ID进行综合判断,以决定用户是否能够接入系统。
统一的访客接入控制及管理
统一角色控制系统提供了统一的访客控制管理界面,帮助管理员对访客账户进行创建管理同时也提供了访客接入的计费及审计,考虑到运营商目前热点及热区的战略部署,校园也是十分重要的公众用户接入的场所,因此统一角色控制系统还提供了租赁的认证计费及Portal接口,可以帮助校园和运营商合作,利用已有的无线校园网络来广播运营商的SSID来面向公众用户的接入。
