对网络安全提出的建议范文1
关键词:校园网安全;网络管理;培训;杀毒;共享
随着“校信通”和“班班通”工程的实施,目前除部分农村地区外,大部分中小学都建起来校园网,怎样管好用好校园网,使校园网安全运行成了一个迫切而重要问题,据笔者走访调查,了解到不少学校的校园网处于无管理状态,只是简单的在使用,只要网络通就行了。很多校园网都没有划分子网,没有安装网络管理软件,也没有安装网络版杀毒软件,服务器没有防火墙、防毒墙,没有日志、记录,内外网没有明显的物理隔离措施。因此,这些校园网显得很脆弱,学校信息处于不安全状态。针对以上情况,特提出一下几点建议供参考。
一、建立校园网安全管理制度。要想建好用好校园网,制度建设是最重要的,制度是根本保证,要建立一套完善的校园网络安全管理与使用制度并严格执行。学校应有一定的网络安全建设经费并纳入学校年度财政预算。
二、配备计算机网络专业技术人员。要招聘有一定水平和资格的信息技术专业技术人员来管理校园网。定期组织从事校园网管理维护的专兼职人员参加教育部门或IT行业部门组织的网络管理培训,不断提高其技术水平和管理能力。
三、加强网络使用安全工作,提高师生网络安全意识。网络其实是一个蕴含着各种危险的平台,有人故意制造病毒,有人盗取个人隐私信息,有人设陷阱欺骗,有人散播谣言,有人传播不良信息。要让学校领导、老师和学生都树立网络安全防范意识,不浏览不良网站,不存放重要的个人隐私信息,经常备份文件,使用正版软件,安装杀毒、防火墙软件,不随意下载打开不明文件等。
四、建立良好的校园网络架构。一个完整良好的校园网应该是三层交换体系,从接入层到汇聚层直至中心交换层,以有线为主无线为辅,尽量减少wifi的使用,无线网无论从速度、安全还是稳定性都不如有线网络。目前的计算机大多已具有千兆网卡,因此,校园网今后应向千兆发展普及并做好无缝对接第二代互联网,尽早学习IPv6技术等。从IP地址或交换端口划分VLAN,减少网内广播,防止网络风暴发生。合理划分使用IP地址,最好使用静态IP地址技术,便于后台管理。对于教学机房等终端较多的地方,尽量利用路由技术接入校园网。
五、务必安装网络管理软件,对全网进行有效管控。对带宽进行合理分配,防止少数主机长时间占用带宽,严禁有些人利用种子软件下载影视,消耗流量,浪费网络资源。利用PPPoE技术或其他技术,建立账号登陆方式,用日志记录上网行为,对不合理使用校园网的人进行批评教育,提高网络使用效率。安装网络版杀毒软件,定时全网同时杀毒,防止病毒木马僵尸等存留网内。
六、利用存储服务技术和资源平台,实现网上备课和资源共享,提高网络使用效益。购置存储服务器,安装FTP软件,不接入外网,将学校重要文件、课件、影视资料上传备份,定义不同权限,供师生共享使用。
名词解释:
1.IT:全称:Information Technology即信息技术。
2.wifi:是一种能够将个人电脑、手持设备(如Pad、手机)等终端以无线方式互相连接的技术。Wi-Fi是一个无线网路通信技术的品牌,由Wi-Fi联盟(Wi-Fi Alliance)所持有。目的是改善基于IEEE802.11标准的无线网络产品之间的互通性。使用IEEE 802.11系列协议的局域网就称为Wi-Fi。甚至把Wi-Fi等同于无线网际网路(Wi-Fi是WLAN的重要组成部分)
3.IPv6:是“Internet Protocol Version 6”的缩写,它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。IPv6正处在不断发展和完善的过程中,它在不久的将来将取代目前被广泛使用的IPv4。每个人将拥有更多IP地址。
4.VLAN:VLAN(Virtual Local Area Network)的中文名为虚拟局域网。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
对网络安全提出的建议范文2
本文针对网络安全协议从设计以及分析两个角度进行阐述,从而帮助大家了解网络安全协议在计算机网络发展过程之中的作用以及其存在的意义。
【关键词】
网络安全协议 计算机通信技术 安全协议分析 安全
协议设计在最近几十年,信息技术的发展十分迅速,随着技术的进步,人们对于信息的传输和处理早已经不受到时间和空间的约束,信息网络在诸多行业之中被应用,信息网络甚至成为很多领域生存的基础,其中以金融领域和军事领域尤为明显,而且在如今的很多领域之中,如果没有了信息网络,那么整个领域可能都会有瘫痪之虞。而伴随着信息网络覆盖范围以及信息网络重要性的日益增长,网络安全问题已经成为了一个摆在人们面前的大问题,因为互联网具有很高程度的开放性,而且互联网上的信息都是可以共享的,这使得互联网可以将人们的生活相互连接在一起,帮助人们进行交互,可是这也衍生出了一系列的问题,而安全问题更是首当其冲,在这种情况下,网络安全协议就成为了确保互联网信息安全的一个十分重要的手段,通过网络安全协议来对互联网加以管控,这样才能在确保网络安全的前提下,让互联网可以更好地服务于人们的生活以及各个领域。而想要编写安全系数更高的安全协议,就一定要更加深入的了解网络安全协议,对网络安全协议的逻辑性分析部分进行系统学习和研究,这样可以从很大程度上提高网络安全协议在使用过程之中的安全性。
1网络安全协议综述
“协议”在人们日常工作生活中出现的频率越来越高,因此人们对于协议也有了一定程度上的了解。协议在绝大多数情况下指的是以完成某一个或者某几个目标为目的,且涉及到两个或者两个个体以上的情况下,由两个个体所执行的一种程序。所以从定义上来说,协定一般具备这样几个特征:(1)协议是一个过程,而且这一过程中的某几个目标存在着一定的顺序,这一顺序由协议的制定个体决定,在执行的过程之中依照既定的顺序依次执行,而且这一顺序在执行过程中不得更改;(2)协议最少要拥有两个参与其中的个体,除此之外在协议执行的过程当中,每一个参与个体都有自己要完成的环节,可是有一点要注意,这一环节并不属于协议当中的内容;(3)协议的最终目的是为了达成某一目的,故协议中应当包含对目的的预期。从以上的分析之中我们不难发现,计算机网络的安全协议其实就是在计算机通过网络传输信息数据过程之中,用来确保信息安全的一种程序。在通过信息网络传输数据的过程之中,安全协议最主要的作用就是,使用允许的一切方法来确保信息完整且有效,最常用的是密钥的分配以及对身份的认证。信息网络安全协议与上个世纪七十年代被首次使用,这一协议在当时为信息安全提供了很大程度上的安全保障,可是伴随着信息技术水平的飞速发展,安全协议同样需要与时俱进,这样才能更加适应日益多元化的信息交互方式。和从前相比,如今的科技水平已经突飞猛进,安全协议也随着科技的发展不断的完善,而其效果和从前相比也更加全面,目前最常用的网络安全协议一般情况下是SSL协议和SET协议这两种。这两种网络协议都是通过对信息进行加密来确保信息安全。
2密码协议的分类
从安全协议出现至今,还没有确定的安全协议分类规则,所以也就没有人对安全协议进行进一步的分类,可是想要将密码类型的协议严格地按照一定的规定,来进行分类几乎是做不到的,我们只能从不同的角度来对安全协议进行一个大致上的分类即:(1)认证建立协议;(2)密钥建立协议;(3)认证密钥建立协议。
3协议的安全性及其作用意义
3.1网络安全协议的安全性及其攻击检验
信息技术在最近几年的发展可以称得上是日新月异,而更多更完善地安全协议也被人们设计出来并得到了广泛应用,可是在绝大多数情况下,安全协议在应用之初由于测试机制的不完善,会存在着大量的设计安全漏洞。可以导致网络安全协议无效的因素有很多,而最为常见的是因为安全协议的编写者对信息网络没有十分深入的了解,更加没有进行系统的学习,而对安全协议本身的研究也并不够深入,这样其设计出的安全协议在使用过程之中,暴露出大量问题也就不难理解了,和设计用密码进行加密的加密程序相同,通过寻找协议的漏洞来寻找协议不安全的部分,相比于完善整个协议来说要简单得多。绝大多数情况下,在一个新的安全协议被设计出来之后要对其进行安全性分析,而在分析过程中采用的主要手段就是对其进行模拟攻击,而这样的测试主要是针对以下三个方面:(1)对协议中用于信息加密的算法进行攻击;(2)对算法以及协议本身的加密手段进行攻击;(3)对协议本身进行攻击。由于篇幅所限,下文中主要讨论的是对协议本身进行攻击测试,即默认前两者皆安全
3.2安全协议的设计方法
在网络安全协议设计的过程中,一般情况下会通过设计来加强协议的复杂性以及协议对于交织攻击的抵御能力,在此基础上还要确保协议有一定程度的简单性以及经济性。前者是为了确保协议自身尽可能的安全,而后者是为了使协议可以在更大的范围内加以使用。必须要有先设定某一方面的临界条件,才可以让设计出来的协议满足以上四个要求,而这也就是网络安全协议的设计规则。
(1)具备抵御常规攻击的能力。
不论哪一种网络安全协议,最重要也是最根本的一个功能就是可以有效防御来自于网络的攻击,换而言之也就是,要求网络协议对于明文攻击以及混合式攻击有防御的能力,也就是要求安全协议可以保护所传输的信息,而不让攻击者从中取得密钥,除此之外对于已经超出使用期限的信息的筛选也应当归属在其中,也就是说同样不能让攻击者从过期信息中找出漏洞从而获取密钥。
(2)应当可以应用在任何网络结构的任何协议层。
因为网络结构组成的不同,其协议层能够接受的信息长度也不尽相同,如果想要安全协议应用在更为广泛的环境之中,那么就要网络协议的密钥消息长度可以满足最短一种密钥层的需求,只有这样才能尽可能地提高网络协议的使用范围。
4结语
总而言之,在网络信息技术日新月异的现在,网络安全协议已经在计算机通信网络之中被广泛的使用。计算机通信网安全协议使用范围的逐渐扩大,不单单提高了计算机网络在传输数据过程之中的安全程度,更进一步为计算机处理信息数据提供了更大的助力。
作者:景泉 单位:辽宁石化职业技术学院计算机系
参考文献:
对网络安全提出的建议范文3
关键词:无线网络规划;无线网络风险;无线安全检查项目;无线网络安全指引
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6262-03
1 概述
有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。
因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。
2 无线网络传输风险
现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。
倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。
2.1 伪冒基地机风险
目前黑客的攻击常会伪冒正常的无线网络基地台(Access Point,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。
2.2 弱加密机制传输风险
WEP (Wired Equivalent Privacy)为一无线加密协议保护无线局域网络(Wireless LAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。
许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。
当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。
3 无线网络安全架构
近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。
3.1 企业无线局域网安全目标
企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。
机密性(Confidentiality)
无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。
完整性(Integrity)
无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。
认证性(Authentication)
建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。
因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。
内部网络:
为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。
一般网络:
主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。
因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。
3.2内部网络安全架构
减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。
企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。
企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。
为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。
企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。
为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。
考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。
企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。
另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。
IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。
4 结论
由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。
参考文献:
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.
对网络安全提出的建议范文4
关键词:CDMA;2000 1X;VPDN;隧道技术;接入方式
一、背景
随着CDMA2000 1X网络的逐步完善,其在数据业务方面的优势也日益显现出来,由于其稳定性和速度上已经远远的超过了GPRS,因此许多企业已经考虑将其应用在经常出差的员工访问公司内部网络,以及企业网点中有线网络不能到达或不方便布放有线网络的地方,然而在使用这种接入方式之前,企业往往出于对自身网络以及数据安全性的考虑而提出此种组网方式的安全性问题,下面就接入方式及其安全问题谈谈我的一些看法和观点。
二、 VPDN原理
VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议,可以使企业在公共IP网络上建立安全的虚拟专网。企业出差人员可以从远程经过公共IP网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VPDN的技术核心主要在于隧道技术和安全技术。
三、 CDMA 1X-VPDN介绍
1.基本组网介绍
(1)用户端设备(CPE: Customer Premises Equipment):用户端需具备作为VPDN的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和VPDN功能的网络设备。CPE是VPDN呼叫发起和结束的地方,也是用户方需要设置的唯一VPDN硬件设备。
(2)接入服务器(NAS:Network access server):NAS由联通公司提供并承担运维工作,其作用是作为VPDN的接入服务器,可以提供广域网接口,负责与企业专用网的VPN连接,并支持各种LAN局域网协议,支持安全管理和认证,支持隧道及相关技术。
(3)企业端认证服务器:用于用户一次认证,对认证通过的用户将其资料发送给相应的LNS设备的认证系统进行二次认证。
(4)用户终端:具备能使用CDMA1X上网的终端设备。
(5)用户端认证服务器:用户端认证服务器是可选的设备,用于对登录用户做鉴权认证,为了便于对用户的账户密码资料进行管理,一般情况下建议设置。
2.VPDN的隧道技术
目前隧道技术有很多种,但从根本上来讲可分为两类:第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。
隧道协议有很多好处,例如在拨号网络中,用户大都接受ISP分配的动态IP地址,而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络,企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后,企业拨号用户就可以得到企业内部网IP地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。
(1) PPTP――点对点隧道协议
PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机,如启动该协议的Windows95/98;PPTP服务器是指运行该协议的服务器,如启动该协议的WindowsNT服务器。PPTP可看作是PPP协议的一种扩展。它提供了一种在Internet上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP,客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接,可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做既增加了用户的工作量又会造成网络安全隐患。另外PPTP只支持IP作为传输协议。
(2)L2F――第二层转发协议
L2F是由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息,发起第二重连接,通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。
(3)L2TP――第二层隧道协议
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后,终于在1999年8月公布了L2TP的标准RFC2661。(可以从ftp://.edu/ innotes/rfc2661.txt下载该标准内容。)
目前用户拨号访问Internet时,必须使用IP协议,并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议,用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题,PPP链路捆绑要求其成员均指向同一个NAS,L2TP可以使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接,在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接,并在其上运行PPP,第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强大的功能,包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。
L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成,LAC(L2TP访问集中器)支持客户端的L2TP,他用于发起呼叫,接收呼叫和建立隧道;LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。
L2TP的建立过程是:
①远程用户使用CDMA1X拨入LAC(PDSN),例如拨打号码为#777,并输入username@XXX.133VPDN.HA和密码。
②LAC将username@XXX.133VPDN.HA送到分组网AAA服务器,由AAA服务器向LAC(PDSN)提供LNS(用户网关)信息,包括LNS IP地址等。
③若XXX.133VPDN.HA信息为正确的VPDN用户信息,则返回LNS信息,再由AAA送给LAC。
④LAC开始与LNS之间直接进行L2TP隧道建立,并将username@XXX.133VPDN.HA全部送给LNS,由LNS进行认证。
⑤LNS将username@XXX.133VPDN.HA送给自己的RADIUS服务器(认证服务器)。
⑥如果是合法用户则允许接入并保持L2TP隧道。
⑦LAC通知本地AAA进行计费。
⑧VPDN本身与LNS之间进行PPP握手,LNS与远程用户交换PPP信息,分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送,企业专用地址对提供者的网络是透明的。
⑨完成VPDN操作,用户可以利用PPP协议透过L2TP隧道进行互联,端到端的数据从拨号用户传到LNS。
在实际应用中,LAC将拨号用户的PPP帧封装后,传送到LNS,LNS去掉封装包头,得到PPP帧,再去掉PPP帧头,得到网络层数据包。
L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件,企业可以使用保留IP地址,并在本地管理认证数据库,从而降低了使用成本和培训维护费用。
与PPTP和L2F相比,L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输,L2TP使用Nr(下一个希望接受的消息序列号)和Ns(当前发送的数据包序列号)字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区,一旦数据丢失根据序列号可以进行重发。
作为PPP的扩展,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。L2TP定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的数据并不加密。
(4)GRE――通用路由封装
GRE在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
GRE在包头中包含了协议类型,这用于标明乘客协议的类型;校验和包括了GRE的包头和完整的乘客协议与数据;密钥用于接收端验证接收的数据;序列号用于接收端数据包的排序和差错控制;路由用于本数据包的路由。
GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPsec在一起使用,由IPsec提供用户数据的加密,从而给用户提供更好的安全性。
(5)IPSec
PPTP、L2F、L2TP和GRE各自有自己的优点,但是都没有很好地解决隧道加密和数据加密的问题。而IPSec协议把多种安全技术集合到一起,可以建立一个安全、可靠的隧道。这些技术包括DiffieHellman密钥交换技术,DES、RC4、IDEA数据加密技术,哈希散列算法HMAC、MD5、SHA,数字签名技术等。
IPSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认识IPSec是很重要的。自从1995年开始IPSec的研究工作以来,IETFIPSec工作组在它的主页上了几十个Internet草案文献和12个RFC文件。其中,比较重要的有RFC2409IKE互连网密钥交换、RFC2401IPSec协议、RFC2402AH验证包头、RFC2406ESP加密数据等文件。
IPSec安全结构包括3个基本协议:AH协议为IP包提供信息源验证和完整性保证;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(DOI)通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。
3.CDMA 1X-VPDN技术实现
VPDN有两种实现方法:通过NAS与VPDN网关建立隧道;客户机与VPN网关直接建立隧道方式。
(1)NAS与VPDN网关建立隧道
这种方式是NAS通过Tunnel协议,与VPDN网关建立通道,将客户的PPP连接直接连到企业网的网关上,目前使用的协议有L2F,L2TP。这种方式结构如下:
这种方式的好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网,由企业网进行用户认证和地址分配,不占有公共地址,用户可以使用各种平台上网。这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器(Cisco 11.3后开始支持L2F),专用网关,NT服务器(5.0开始支持L2TP)。
(2)客户机与VPDN网关建立隧道
这种方式是由客户机首先先建立与Internet的连接,如拨号方式,LAN方式等,再通过专用的客户软件(Win 98支持PPTP)与网关建立通道连接,一般使用PPTP, IPSec协议。结构如下:
这种方式的好处在于:用户上网的方式地点没有限制,不需要ISP的介入。缺点是需要安装专用的软件,一般都是Windows平台,限制了用户使用的平台;用户需要两次认证,一次上ISP,一次接入企业网;用户同时接入Internet和企业网,存在着潜在的安全隐患。这种方式一般使用防火墙和专用网关作为VPDN网关。
4.VPDN的安全技术
基于Internet的VPDN首先要考虑的就是安全问题。能否保证VPDN的安全性,是VPDN网络能否实现的关键。可以采用下列技术保证VPDN的安全:
・口令保护;
・用户认证技术;
・一次性口令技术;
・用户权限设置;
・在传输中采用加密技术;
・采用防火墙把用户网络中的对外服务器和对内服务器隔离开。
四、几种不同接入方式安全性的阐述
1.公网接入方式
用户端网关设备直接与公网了连接,用户通过公网方式与企业内部取得联系。适用于对安全性要求不高的用户,比如一般移动办公用户,适用的企业用户应大致有以下要求:
A.企业用户为达到某种目的需要使用CDMA1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作;
C.用户的网关本身具备一定的安全措施,可以与互联网连接并且用户上网操作对数据安全性要求不苛刻。
此种实现方式较为成熟,目前全国分组网PDSN均已支持,只需要在分组网AAA设置相应的域名以及LNS IP地址等数据。公网接入方式由于网络条件成熟,实现快速,成本较低,是联通公司向一般1X-VPDN客户推荐的首选接入方式。
网络拓扑:见接入组网图中企业用户C。
2.长途专线接入
用户端网关与公网完全隔离,LNS以独立专线方式接通分组网LAC服务器前端的用户接入汇接交换机,交换机根据不同的用户划分不同的VLAN保证用户相互在逻辑上隔离。适用于对安全性极度苛刻的用户,一般此类用户不允许与公网有连接,比如银行业、国家机密机关的秘密数据传输需求,适用的企业用户应大致有以下要求:
A.企业用户为达到某种目的需要使用CDMA1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作;
C.企业用户的网关设备安全要求非常苛刻并且不允许与公网有链路连接;
D.企业用户使用1X无线上网所传输的数据保密性要求非常高;
范例:见接入组网图中企业用户B。
3.互联网专线接入方式
由于完全专线接入的成本较高,一般用户不能承受,但是用户同时希望自己的LNS设备不要直接暴露在公网上,以避免来自公网的各种各样攻击,同时用户实际上对于应用的数据并不是需要极度保密;此时,用户可以选择互联网专线接入达到以上要求。这种接入方式不是严格意义上的物理隔绝的数据包,尽管在省内公网传输部分又封装到一个隧道中,降低了数据被监听的风险,但无法完全避免该风险;但我们也应该看到,如果VPDN业务要允许用户利用互联网进行省外漫游,现有的各方案中,数据包在省外传送部分是无法避免被监听的,适用的企业用户应大致有以下要求:
A.企业用户为达到某种目的需要使用CDMA1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作
C.企业用户的网关设备安全要求较为严格,不允许LNS直接与公网 连接;
D.企业用户使用1X无线上网所传输的数据保密性要求不是太苛刻。
参考文献:
[1]胡铮.《网络与信息安全》.清华大学出版社.2006.5
[2][美]Vijay Bollapragada Mohamed Khalid Scott Wainner IPSec VPN设计.人民邮电出版社.2006.5
对网络安全提出的建议范文5
随着科技的发展和计算机技术的不断更新,网络已经深入到了人们日常生活当中的各个角落,随之而来的就是网络安全管理技术的缺失所带来的问题。基于IPSec的VPN网络安全管理技术在此时应运而生,它通过改变传统网络安全设置的参数,极大地提高了系统的安全性能,使用户的信息得到了保护。
【关键词】IPSec VPN 网络安全管理技术
随着网络的不断发展,越来越多的单位和个人选择通过网络进行事务处理。特别是对于距离较远的双方,网络成为了降低费用的最佳选择。但是很多行业出于保密需要,都会担心在信息发送和数据传输的过程中出现漏洞,无法保证网络安全导致利益受到侵害。在实际操作中,也会出现有一些非法网络入侵者伺机窃取机密数据和隐私信息。这使网络的运行安全面临着严峻的挑战。想要提高网络安全,就要在数据传输过程中实施加密措施,保证接收方和发送方能够处在一个相对封闭的安全的虚拟通道之中,这种建立通讯通道的技术,就是VPN技术。在IP层使用加密和认证,从而进一步提高安全系数,这就是IPsec技术。这两种技术的组合运用能够保证在搭建公共网络时,有效地降低运营成本,且不降低安全标准。在电子商务和个人网络消费愈演愈烈之时,基于IPSec的VPN网络安全管理呈现出了广阔的发展前景,是未来网络建设的最新趋势。
1 IPSec概述
IPSec作为网络安全协议中的一种,并不是单独存在的。它在IP层的加密和认证程序组成了的一套完整的安全体系结构,包括头认证协议AH、封装安全载荷协议ESP、密钥管理协议IKE和其他的一些协议等。它帮助用户在对等层之间选择最合理的安全协议,并及时向主机提供数据加密的网络安全服务。它可以为VPN提供最为细致的安全保护,包括用户端对端的加密措施,很大程度地提高了网络运行的安全性。IPSec协议只在IP层上产生作用,不需要对上层应用进行改动,保证了安装的简便性。而且IPSec的安全策略非常灵活,保证了系统的安全管理效率。采用IPSec就是为了保护数据传输的完整性和机密性,在系统遭受攻击的时候,能够及时给与保护。
2 VPN概述
VPN主要用于帮助建立起可靠的信息传输连接,不论是个人用户还是商业公司,都能够通过VPN进行数据通讯,在保证网络安全的前提下,使通信费用最低化。同时,还能简化系统结构,使网络管理的效率得到提升,为以后接入新的用户提供了便利。VPN的关键技术主要有隧道技术、数据安全技术和网络管理技术。隧道技术是将数据通过封装加入到其他的数据包中,除通信双方以外,其他的连接用户是无法浏览到数据内容的。隧道技术是构建VPN的关键环节,VPN的主要功能都要通过隧道技术来实现。数据安全技术就是指数据传输的安全问题,主要包括两个方面,一是如何保证传输的数据在隧道技术下是安全的;二是如何保证个人网络不会受到恶意登陆及非法用户的入侵。想要解决这两个问题,可以通过在隧道技术上进行加密,也就是建立IPSec来防止数据流失。还可以设置防火墙来防止非法用户的进入,保证了网络管理的有效性。网络管理网络管理包括隧道管理、NLAM和标准网管功能三个方面。隧道管理是针对用户服务器的地址进行实名验证,对比用户使用的隧道参数来计算相关的网路费用。NLAM的意思就是网络地址管理,由于有很多种网络协议,在一个通信隧道里经常会存在很多的协议,要对它们进行统一的管理和检测,才能保证通信的安全和畅通。标准网管功能就是普通的网络管理系统,也同样包含有维护系统、检测隧道状态、统一设备管理等功能。
3 基于IPSec的VPN网络安全管理设计
3.1 配置管理部分
在基于IPSec的VPN网络安全管理中,配置管理的主要作用是配置网络资源、优化网络设备。配置管理就是对网络管理的对象进行准确的定义,控制管理对象的动态,鉴别和检测相关信息的流通,以保证系统的正常运行。在建立以IPSec为基础的VPN通信隧道时,首先要把隧道的配置纳入管理范围之内,通过设置管理软件的权限功能,合理分配和控制IPSec网关的一些参数以及配置。
3.2 性能管理部分
在基于IPSec的VPN网络安全管理中,性能管理是对系统运行情况及通信效率进行实时检测并作出正确评估。当通信隧道被关闭或者拆除,性能管理能第一时间保存相关的数据和参数,为再次建立提供一定的便利。性能管理还可以用于集中整理关于被管理网络的数据信息,并逐一进行分析,有效地提高了网络管理的效率,降低了数据丢失的风险,大大改善了网络安全通信的性能。
3.3 安全管理部分
在基于IPSec的VPN网络安全管理中,安全管理主要是保证接入网络的各种通信设备及网络管理系统系统自身的安全。安全管理通过极为灵活的设置策略来控制各种各样的访问,包括系统与系统之间的访问,以及非法用户的恶意访问,从而有效保证自身网络管理系统的安全性。建立VPN通信隧道时,要把用户的认证信息及IPSec加密后的参数进行汇集,上报到主系统进行统一管理。IPSec根据一系列的安全协议对通信过程中的各个环节实施检测和控制,保证了数据的合法性和用户的信息安全。
4 总结
随着科技的不断发展,信息产业迎来了蓬勃发展的黄金时期,各种新兴技术和管理模式令人眼花缭乱。其中,网络管理技术乘着科技发展的东风得到了前所未有的巨大发展,很多大型的信息产业都采用了网络安全管理技术。这项技术是基于IPSec而建立起的VPN通信隧道,能够有效地降低个人和单位的通信成本,采用加密和认证的技术手段来保证传输过程中的数据安全。节约下的费用可以投入到网络系统的维护和升级当中,使数据通信的安全性进一步提高,成本进一步下降,进而形成良性循环。尽管这个行业会带来巨大的利润,但是仍然需要操作者做出大量细致的工作来保证系统的正常运行,推广网络安全管理系统的道路依旧漫长而艰难。
参考文献
[1]林臻.基于IPSec的VPN网络管理的研究与实现[D].南京邮电学院,2004.
[2]李云峰.对IPSec VPN进行运营管理的若干问题的研究[J].电信科学,2004,(11).
对网络安全提出的建议范文6
关键词: 802.1x 校园网 学生公寓
随着信息时代的不断发展,很多学校建立了校园网,学生公寓是学校网络系统的一个重要组成部分,标志着我国的教育开始进入了一个信息化的阶段。学生宿舍的网络和其他区域的网络设施相比有其特定的特点,具体如下:
①信息点多, 网络规模大。学生公寓是学生集体居住的场所,需要管理成千上万个节点,在其他区域是不会出现这么大数量的管理。
②网络流量峰值流量明显。因为学生公寓使用网络的人数较多,在一定时间段会造成网络的负荷过重,从而造成网络不畅通。
③网络安全问题非常突出。因为学生公寓的网络是共享的,经常会受到学校以外的网络的攻击,从而产生病毒,造成大面积的网络瘫痪。
④可网管性要求较高。学生公寓的网是供学生学习或娱乐使用,所以要提高网络的质量,为了让学生能够正常使用网络,所以学生公寓的网络管理是十分必要的。
⑤网络交换设备运行环境差。因为学生公寓使用网络的人数较多,所以在网络交换时的网络设备的运行环境较差,而且每个用户使用的设备也不统一。
⑥没有安全防范机制。学校的公寓使用的是传统的以太网,没有安全的防范机制,给网络管理带来了很大的难度。
就从网络管理这一角度上说,学生公寓的网络管理是难度最大的,如果我们把学校的校园网直接交给社会上一些网络管理机构进行管理,那么学生就完全无法掌控网络了,这对学生正确使用网络,避免网络的消极影响没有任何好处。学校建立校园网,并设立网络管理处最主要是为了让学生正确使用网络,充分利用网络资源更好的学习,从而实现数字化教学。
因此,学校对学生公寓进行网络管理是必要之举,也是校园基础建设的一个重要组成部分,要让学生公寓网络的建设引领数字化校园的发展。
1 IEEE802.lx 协议
IEEE802.lx 协议是指一个标准的控制协议,主要适用范围是局域网。这一协议的全称是基于端口的访问控制协议,它能够充分利用区域网所提供的优势,并在此基础上对那些连接在这个局域网上的用户进行认证,保证局域网的安全。在此协议中, 有三个最主要的元素,即Supplicant( 客户端) 、Authenticator( 认证系统) 、Authentication Server( 认证服务器) 。
IEEE802.lx 协议具有很强的可靠性,具体体现在:①客户在进行认证的时候要输入一定的指令,协议没有直接将指令上传到网络上,而是实现检测指令中有没有敏感词汇,提高了认证的安全性;②协议中,对于那些已经通过认证的用户要进行一次重新认证,提高了接入用户的安全性,也避免造成网络终端的死机;③如果网络系统出现故障,协议能够对故障进行辨别并作出相关的定义,例如网络终端的认证出现故障,协议会重新发出认证信息,如果认证信息没有得到响应,那么协议就会断开连接,直到认证通过,才会重新建立连接。
2 基于802.1x 在学生公寓网络上的实现
用户在进行认证的时候可以单独的通过Radius 认证服务器完成认证,也可以进行其他认证系统的开发,本文主要是研究802.1x 用户认证。
802.1x用户认证可以再多个层面实现,例如核心层面、汇聚层面以及接入层面,在各个层面设立 802.1x用户认证的目的是为了限制用户入网认证。这种认证方式采用了动态IP的分配,只有通过系统的认证才能拥有动态IP,同时还有整个网络划分为多个vlan:
①用户子网, 作用是为用户提供网络;
②管理子网, 作用是对整个网络进行系统管理;
③互联子网, 作用是连接网络的核心层和汇聚层;
本文以华为E026 交换机作为模版, 对802.1x 客户认证的相关设置进行研究和讨论。
( 1) 配置Radius 认证策略和域radius scheme hw 配置Radius 域为hwprimary authentication 211.83.192.30 1812 Radius认证服务器的IP 地址、端口
accounting optional Radius 计费服务器可选
key authentication xxxxxx 认证密钥
user- name- format without- domain用户名格式( 无域名)
radius- scheme hw 应用上面配置的Radius认证策略domain default enable hw
配置hw域为缺省认证域
( 2) 配置802.1x 认证
dot1x 全局启动802.1x 认证
dot1x authentication- method eap配置EAP 透传模式的认证方式
dot1x interface Ethernet 0/1 to Ethernet 0/10
在端口0/1~0/10 启动802.1x 认证
( 3) Radius 服务器配置
接入服务器地址: E026 交换机ip 地址
密码: xxxxxx
3 结束语
IEEE 802.lx协议在网络中添加了新的用户认证机制,保证了整个网络系统的安全性。因此,在802.lx协议的帮助下,学校的校园网不再是一个公用的网络,把不授权的访客拒之门外,同时IEEE 802.lx协议还帮助校园网解决了网络终端的安全性问题,增加了网络的安全指数,消除了来自网络内部以及外部的威胁。
参考文献:
