實名認證解IP地址沖突和網(wǎng)絡安全之困(1)

網(wǎng)絡安全實例之背景分析

在沒實施實名認證之前，校園網(wǎng)的用戶(包括單位用戶和家庭用戶)上網(wǎng)都是固定的IP地址。但是也可以說是不固定的，因為我們學院把每個部門和每棟家屬樓細化了VLAN，在這個VLAN 中一般IP 地址劃分給這個VLAN。

所以有的用戶知道這種情況后，科室或者家里增加了電腦，就能猜到IP地址，如果和別人的發(fā)生了沖突，那么會造成搶網(wǎng)的事件，而且不便于網(wǎng)絡中心的工作人員管理網(wǎng)絡。對于網(wǎng)絡安全也存在很大的隱患，如果用戶中毒或者在網(wǎng)上發(fā)布影響學�；蛘邍业奶樱赡苷也坏奖救�。

正是由于這些不利的因素，學校準備實施校園網(wǎng)擴建工程的實名認證。

網(wǎng)絡安全實例之方案介紹

“學院校園網(wǎng)項目”是校園網(wǎng)工程的一部分，包括教師宿舍、教學區(qū)、綜合樓和老教學區(qū)的樓棟匯聚、樓層接入網(wǎng)絡交換設備與集成、管理系統(tǒng)和認證計費系統(tǒng)。項目完成后將為整個校園提供一個高效、穩(wěn)定的網(wǎng)絡通信平臺。對校園網(wǎng)的整體設計要求實現(xiàn)百兆到桌面，主干雙鏈路千兆到樓宇匯聚，并保證子網(wǎng)的每個信息點有802.1X認證的交換機端口。同時，還要保證在接入層實現(xiàn)安全控制接入。

網(wǎng)絡安全實例之實施要求

軟件上需要能夠提供對學生上網(wǎng)的管理，如用戶合法性的驗證，IP、MAC的綁定，帳號的分配及管理；日常運營所需要的收費、計費服務；學生自助服務系統(tǒng)和設備管理。

交換機方面需要能夠為教師宿舍、教學區(qū)、綜合樓和老教學區(qū)提供穩(wěn)定、快速的接入服務，匯聚交換機能夠提供VLAN劃分和三層交換，接入需要支持802.1X以保證運營的實施。

學院校園網(wǎng)拓撲圖如圖1。

圖１ 學院校園網(wǎng)拓撲

網(wǎng)絡安全實例之網(wǎng)絡拓撲說明

出口使用某廠商的RSR50-40路由器作為出口設備與移動網(wǎng)和教育網(wǎng)相連。

核心層采用兩臺RG-S8606核心交換機，負責整個網(wǎng)絡的數(shù)據(jù)交換。匯聚層是千兆交換機S3760-12SFP/GT，千兆光纖連接核心交換機及每層樓的接入交換機。每棟樓的小匯聚使用的是S2126G，同時也可提供接入服務，使用雙絞線與接入交換機S2026F互聯(lián)。

網(wǎng)絡安全實例之方案實施

首先需要安裝SAM 服務器，學院選用的是RG-SAM 2.x企業(yè)版,擁有2000用戶。

其次是安全管理規(guī)劃，系統(tǒng)使用W i n d o w s 2 0 0 3 Server+SP2，并在相應網(wǎng)站下載補丁程序升級，并建議客戶
預裝殺毒程序以保障機器的安全。

同時在交換機上通過ACL做服務器網(wǎng)段和用戶網(wǎng)段的隔離，并進行端口過濾，只允許服務器進行所需端口通過。

a) 8080.TCP端口.http訪問端口  
b) 8443.TCP端口,https訪問端口  
c) 1812.UDP端口.默認的認證報文接收端口  
d) 1813.UDP端口.默認的記帳報文接收端口  
e) 1433.TCP端口.SQL SERVER的默認監(jiān)聽端口  
f) 1434.UDP端口.SQL SERVER的默認監(jiān)聽端口.  
g) 8009.TCP端口.ajp端口  
h) 1099.TCP端口.jnp端口  
i) 1098.TCP端口.rmi端口  
j) 8090.TCP端口.JBossMQ OIL service端口  
k) 8092.TCP端口.JBossMQ OIL2 service端口  
l) 8093.TCP端口.JBossMQ UIL service端口  
m 4444.TCP端口.RMIOBJECTPort  
n) 4445.TCP端口.ServerBindPort  
o) 1162.UDP端口.JBoss snmp agent端口. 

如果有需要服務器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]