校園網絡安全接入技術與應用

  ddos防御     |      2023-03-25 21:39

校園網絡安全接入技術與應用

介紹校園網的現狀和校園網面臨的主要安全威脅,分析傳統的網絡安全防護系統等存在的不足,介紹目前主流的網絡接入控制技術,深入研究各種技術的實現原理及優劣,并分析校園網絡部署網絡接入控制技術方案后的實際效果。

校園網絡安全接入技術與應用1

一、校園網現狀及安全威脅

隨著網絡技術和應用的飛速發展,網絡日益呈現出復雜、異構等特點,校園網絡中即時通訊、網絡游戲、視頻點播、視頻聊天、影視***等網絡技術廣泛應用,復雜的網絡結構和高負荷網絡負載使網絡行為難以協調。網絡應朋的多樣性,既有教學科研的關鍵性應用,又有休閑娛樂等的一般應用。校園網絡中用戶數量大,用戶可控性差,按照以太標準進行設計的網絡設備的不具有完善的網絡安全監測和控制功能。校園網中基本的網絡安全設備,例如防火墻、入侵檢測系統以及防病毒網關等,這些設各基于單點部署或多點部署,無法分析深層的數據,尤其無法處理內部攻擊行為,難以滿足目前網絡的安全需求,如防病毒網關、補丁升級等強制性的安全管理策略難于實施。校園網絡的這些特點增加了網絡安全管理的復雜性。

由于網絡攻擊、破壞行為的多樣性、隨機性、隱蔽性和性,隨著種類繁多的病毒爆發時間間距的不斷縮短、變化迅速的情況下,網絡管理者越來越束手無策,無法跟上病毒步伐。如今網絡攻擊和信息竊取已不需要高深的技巧,這加劇了病毒的更新和網絡攻擊的泛濫。當前的網絡攻擊更多的方式是非法者借合法使用者之身,借道進入校園網內部系統,非法者通過竊取用戶名與密碼,以“合法者”身份入侵校園網……像熊貓燒香、灰鴿子病毒的爆發已經顯示出當前的網絡體系嚴重的不足,網絡正面臨著嚴峻的安全和服務質量(QoS)保證等重大挑戰,保障網絡的安全成為網絡進一步發展的迫切需求。

校園網絡常常遇到以下問題:瞬間掉線或大面積斷網、帶寬濫用、網速奇慢、網絡病毒泛濫、攻擊頻繁、網絡問題難定位、難解決……,校園網絡現在最典型的問題就是不能有效管控網絡擁堵和安全問題,無法確保關鍵應用的帶寬。另一個嚴重的問題是,無法控制上網用戶的身份和安全狀態。根據IDC網絡安全數據的,來自網絡內部的攻擊和入侵占網絡安全事件的70%,而且這些攻擊和入侵大多來自應用層。傳統的網絡安全措施,大量精力放在防御外部非法者的'攻擊上,這種方式是單點或者局部的安全。比如說,防火墻,能夠有效保護出口安全或者受保護的服務器區域。對此,傳統網絡邊界安全網關設備形同虛設,入侵行為防不勝防。

網絡安全就像一棵大樹,如果要保證大樹結出健康的果實,就需要生長果實的枝葉的健康,而要保證枝葉的健康,就要保證軀干的健康,而要保證軀干的健康,則必須要大樹的樹根健康”,也就是說,對于一個網絡,其安全性要從最邊緣,即接入網絡的終端開始控制,要找出問題的根源。如果說防火墻、入侵檢測設備是噴灑農保障果實健康的話,那么網絡接入控制技術則是從樹根開始,逐級保障樹的健康。

二、目前主流的網絡接入控制技術

目前新型的網絡接入控制技術將控制目標轉向了終端,從終端著手,通過管理員指定的安全策略,對接入內部網絡的主機進行安全性檢測,自動拒絕不安全的計算機接入內部網絡直到這些計算機符合網絡內的安全策略為止。當前比較好的幾種安全網絡接入控制技術,包括思科的NAC(網絡接入控制)、微軟的NAP(網絡準入保護)、可信計算組(TCG)的TNC(可信網絡連接)等。下面將分別對這幾種技術進行介紹。

(一)NAC技術

網絡接入控制(Network Access Control,簡稱NAC)是由思科(Cisco)主導的產業級協同研究成果,NAC可以協助保證每一個終端在進入網絡前均符合網絡安全策略。NAC技術可以提供保證端點設備在接入網絡前完全遵循本地網絡內需要的安全策略,并可保證不符合安全策略的設備無法接入該網絡及設置可補救的隔離區供端點修正網絡策略,或者限制其可訪問的資源。

NAC主要有以下部分組成:

1、客戶端軟件(AV防毒軟件。Cisco SecurityAgent)與CiscoTrust Agent(思科可信代理):CTA可以從多個安全軟件組成的客戶端防御體系收集安全狀態信息,例如防毒軟件、操作系統更新版本、信任關系等,然后將這些信息傳送到相連的網絡中,在這里實施準入控制策略;

2、網絡接入設備:包括路由器、交換機、防火墻以及無線AP等。這些設各接受終端計算機請求信息,然后將信息傳送到策略服務器,由策略服務器決定是否采取什么樣的授權。網絡將按照客戶制定的策略實施相應的準入控制決策:允許、拒絕、隔離或限制: