日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
實名認證解IP地址沖突和網絡安全之困

網絡安全實例之背景分析

創(chuàng)新互聯(lián)成立與2013年,是專業(yè)互聯(lián)網技術服務公司,擁有項目成都網站設計、成都做網站網站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元通榆做網站,已為上家服務,為通榆各地企業(yè)和個人服務,聯(lián)系電話:13518219792

在沒實施實名認證之前,校園網的用戶(包括單位用戶和家庭用戶)上網都是固定的IP地址。但是也可以說是不固定的,因為我們學院把每個部門和每棟家屬樓細化了VLAN,在這個VLAN 中一般IP 地址劃分給這個VLAN。

所以有的用戶知道這種情況后,科室或者家里增加了電腦,就能猜到IP地址,如果和別人的發(fā)生了沖突,那么會造成搶網的事件,而且不便于網絡中心的工作人員管理網絡。對于網絡安全也存在很大的隱患,如果用戶中毒或者在網上發(fā)布影響學?;蛘邍业奶樱赡苷也坏奖救?。

正是由于這些不利的因素,學校準備實施校園網擴建工程的實名認證。

網絡安全實例之方案介紹

“學院校園網項目”是校園網工程的一部分,包括教師宿舍、教學區(qū)、綜合樓和老教學區(qū)的樓棟匯聚、樓層接入網絡交換設備與集成、管理系統(tǒng)和認證計費系統(tǒng)。項目完成后將為整個校園提供一個高效、穩(wěn)定的網絡通信平臺。對校園網的整體設計要求實現(xiàn)百兆到桌面,主干雙鏈路千兆到樓宇匯聚,并保證子網的每個信息點有802.1X認證的交換機端口。同時,還要保證在接入層實現(xiàn)安全控制接入。

網絡安全實例之實施要求

軟件上需要能夠提供對學生上網的管理,如用戶合法性的驗證,IP、MAC的綁定,帳號的分配及管理;日常運營所需要的收費、計費服務;學生自助服務系統(tǒng)和設備管理。

交換機方面需要能夠為教師宿舍、教學區(qū)、綜合樓和老教學區(qū)提供穩(wěn)定、快速的接入服務,匯聚交換機能夠提供VLAN劃分和三層交換,接入需要支持802.1X以保證運營的實施。

學院校園網拓撲圖如圖1。

圖1 學院校園網拓撲

網絡安全實例之網絡拓撲說明

出口使用某廠商的RSR50-40路由器作為出口設備與移動網和教育網相連。

核心層采用兩臺RG-S8606核心交換機,負責整個網絡的數據交換。匯聚層是千兆交換機S3760-12SFP/GT,千兆光纖連接核心交換機及每層樓的接入交換機。每棟樓的小匯聚使用的是S2126G,同時也可提供接入服務,使用雙絞線與接入交換機S2026F互聯(lián)。

網絡安全實例之方案實施

首先需要安裝SAM 服務器,學院選用的是RG-SAM 2.x企業(yè)版,擁有2000用戶。

其次是安全管理規(guī)劃,系統(tǒng)使用W i n d o w s 2 0 0 3 Server+SP2,并在相應網站下載補丁程序升級,并建議客戶
預裝殺毒程序以保障機器的安全。

同時在交換機上通過ACL做服務器網段和用戶網段的隔離,并進行端口過濾,只允許服務器進行所需端口通過。

 
 
 
 
    
  
  
  
  
  1. a) 8080.TCP端口.http訪問端口 
    2. 
  
  
  
  
  2. b) 8443.TCP端口,https訪問端口 
    3. 
  
  
  
  
  3. c) 1812.UDP端口.默認的認證報文接收端口 
    4. 
  
  
  
  
  4. d) 1813.UDP端口.默認的記帳報文接收端口 
    5. 
  
  
  
  
  5. e) 1433.TCP端口.SQL SERVER的默認監(jiān)聽端口 
    6. 
  
  
  
  
  6. f) 1434.UDP端口.SQL SERVER的默認監(jiān)聽端口. 
    7. 
  
  
  
  
  7. g) 8009.TCP端口.ajp端口 
    8. 
  
  
  
  
  8. h) 1099.TCP端口.jnp端口 
    9. 
  
  
  
  
  9. i) 1098.TCP端口.rmi端口 
    10. 
  
  
  
  
  10. j) 8090.TCP端口.JBossMQ OIL service端口 
    11. 
  
  
  
  
  11. k) 8092.TCP端口.JBossMQ OIL2 service端口 
    12. 
  
  
  
  
  12. l) 8093.TCP端口.JBossMQ UIL service端口 
    13. 
  
  
  
  
  13. m 4444.TCP端口.RMIOBJECTPort 
    14. 
  
  
  
  
  14. n) 4445.TCP端口.ServerBindPort 
    15. 
  
  
  
  
  15. o) 1162.UDP端口.JBoss snmp agent端口.
    16.

#p#

網絡安全實例之數據庫系統(tǒng)規(guī)劃

安全管理規(guī)劃:數據庫軟件選用的是MS SQL Server 2000 標準版或企業(yè)版+SP4。

數據的備份:

1.SQL Server Agent服務啟動,建數據庫維護計劃實現(xiàn)數據庫備份,計劃的名字為sambackup。

2.SQL數據的備份采用完全備份方式,備份目錄為k:/ backup,備份時間為每天凌晨三點,保留一個月內的完全備份數據。

3.由于RG-SAM的后臺數據信息非常重要,需要經常性質地將數據進行備份。

數據的恢復:

在原服務器上完全備份數據到指定的文件(假定為SAMdata060526)

1.手動備份數據庫。

2.將上一步備份的文件SAMdata060526復制到新的機器上并執(zhí)行還原操作。

3.刪除原數據庫中的sam關聯(lián)。

4.在后臺數據庫中創(chuàng)建和sam帳號的關聯(lián)。成功完成后,移到新服務器上,便可在新服務器上啟動SAM,注意啟動前要將服務器的IP改為原服務器的IP。
SAM 系統(tǒng)規(guī)劃及設置

網絡安全實例之用戶開戶的方式

采用批量導入的方式進行用戶開戶。

將要開戶的用戶按一定的格式編輯成相應的文本文件,在管理界面中批量導入進行開戶。

1.在開戶之前先要定義組,比如說辦公的用戶就劃分為office組,家庭的劃分為home組,學生的劃分為student組等等,然后把個人的姓名拼音當做用戶名,綁定IP地址,最后選擇組(請個人賬戶的格式是用戶名+IP地址+組)。

此外,我們?yōu)槭裁礇]有綁定MAC地址,是因為如果用戶電腦換了或者網卡換了就不能上網了,考慮到這原因,我們就沒有綁定MAC地址,也是為了便于管理。

2.接入交換機sam系統(tǒng)配置

Switch#config t 進入全局配置層以后,配置以下:

 
 
 
 
    
  
  
  
  
  1. radius-server host 10.6.0.67----------配置認證服務器地址 
    2. 
  
  
  
  
  2. aaa authentication dot1x-------------開啟認證 
    3. 
  
  
  
  
  3. aaa accounting server 10.6.0.67--------配置記賬服務器 
    4. 
  
  
  
  
  4. aaa accounting--------開啟記賬 
    5. 
  
  
  
  
  5. dot1x client-probe enable-------開啟戶端探測 
    6. 
  
  
  
  
  6. dot1x probe-timer interval 30--------客戶端與服務器交互時間 
    7. 
  
  
  
  
  7. dot1x probe-timer alive 90---------在線探測時間,即上面時間的三倍,交換機連續(xù)三次沒收到客戶端的交互報文,則認為客戶端已下線 
    8. 
  
  
  
  
  8. dot1x timeout quiet-period 2---------服務器端報文重傳間隔 
    9. 
  
  
  
  
  9. dot1x timeout tx-period 3----------報文重傳間隔 
    10. 
  
  
  
  
  10. no dot1x re-authentication-------關掉重認證 
    11. 
  
  
  
  
  11. radius-server key znufesam--------配置認證KEY 
    12. 
  
  
  
  
  12. snmp-server community znufero rw------配置SNMP管理字 
    13. 
  
  
  
  
  13. interface fastEthernet 0/1 ----------進入端口模式 
    14. 
  
  
  
  
  14. dot1x port-control auto-------開啟端口認證
    15.

3.所有用戶需要安裝客戶端,設置在網絡中心注冊的合法IP地址。打開認證軟件就可以看到認證軟件的界面。根據在網絡中心簽的入網協(xié)議上的用戶名和密碼,選擇網卡類型(為什么要選擇網卡類型,因為有些電腦是二個網卡,軟件自己是識別不出來的,所以要選擇填了正確IP地址的網卡),點擊鏈接,那么你的電腦就會自動和SAM服務器“握手”,匹配是否合法,如果信息匹配成功,那么就可以正常上網了(這個匹配的時間就1-2秒鐘)。

4.部分用戶可能覺得這樣上網麻煩,那可以在這個用戶參數設置里面把“保存密碼”,“啟動軟件后自動認證”,“開機自動運行”這三項前面打勾,那么啟動電腦,這個認證的軟件就自動認證。

網絡安全實例之方案實施后的效果

自從校園網實施實名認證升級后,再也沒有發(fā)生過IP地址沖突之類的事件,而且還限制了用戶在辦公室或者家里私自接內網,防止破壞校園網整體結構。

實施實名認證后,通過每個用戶名和IP地址綁定,如果用戶中毒或者是在網上發(fā)影響學校或者國家的帖子,可以找到他的IP地址,從而可以找到他本人。這樣很大程度上解決了網絡中心的安全隱患,也為網管人員減輕了不少工作負擔!


網站名稱:實名認證解IP地址沖突和網絡安全之困
文章網址:http://m.5511xx.com/article/dphiice.html