校園網(wǎng)絡(luò)安全接入技術(shù)與應(yīng)用

　　介紹校園網(wǎng)的現(xiàn)狀和校園網(wǎng)面臨的主要安全威脅，分析傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)等存在的不足，介紹目前主流的網(wǎng)絡(luò)接入控制技術(shù)，深入研究各種技術(shù)的實(shí)現(xiàn)原理及優(yōu)劣，并分析校園網(wǎng)絡(luò)部署網(wǎng)絡(luò)接入控制技術(shù)方案后的實(shí)際效果。

　　校園網(wǎng)絡(luò)安全接入技術(shù)與應(yīng)用1

　　一、校園網(wǎng)現(xiàn)狀及安全威脅

　　隨著網(wǎng)絡(luò)技術(shù)和應(yīng)用的飛速發(fā)展，網(wǎng)絡(luò)日益呈現(xiàn)出復(fù)雜、異構(gòu)等特點(diǎn)，校園網(wǎng)絡(luò)中即時(shí)通訊、網(wǎng)絡(luò)游戲、視頻點(diǎn)播、視頻聊天、影視下載等網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用，復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)和高負(fù)荷網(wǎng)絡(luò)負(fù)載使網(wǎng)絡(luò)行為難以協(xié)調(diào)。網(wǎng)絡(luò)應(yīng)朋的多樣性，既有教學(xué)科研的關(guān)鍵性應(yīng)用，又有休閑娛樂(lè)等的一般應(yīng)用。校園網(wǎng)絡(luò)中用戶數(shù)量大，用戶可控性差，按照以太標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備的不具有完善的網(wǎng)絡(luò)安全監(jiān)測(cè)和控制功能。校園網(wǎng)中基本的網(wǎng)絡(luò)安全設(shè)備，例如防火墻、入侵檢測(cè)系統(tǒng)以及防病毒網(wǎng)關(guān)等，這些設(shè)各基于單點(diǎn)部署或多點(diǎn)部署，無(wú)法分析深層的數(shù)據(jù)，尤其無(wú)法處理內(nèi)部攻擊行為，難以滿足目前網(wǎng)絡(luò)的安全需求，如防病毒網(wǎng)關(guān)、補(bǔ)丁升級(jí)等強(qiáng)制性的安全管理策略難于實(shí)施。校園網(wǎng)絡(luò)的這些特點(diǎn)增加了網(wǎng)絡(luò)安全管理的復(fù)雜性。

　　由于網(wǎng)絡(luò)攻擊、破壞行為的多樣性、隨機(jī)性、隱蔽性和性，隨著種類繁多的病毒爆發(fā)時(shí)間間距的不斷縮短、變化迅速的情況下，網(wǎng)絡(luò)管理者越來(lái)越束手無(wú)策，無(wú)法跟上病毒步伐。如今網(wǎng)絡(luò)攻擊和信息竊取已不需要高深的技巧，這加劇了病毒的更新和網(wǎng)絡(luò)攻擊的泛濫。當(dāng)前的網(wǎng)絡(luò)攻擊更多的方式是非法者借合法使用者之身，借道進(jìn)入校園網(wǎng)內(nèi)部系統(tǒng)，非法者通過(guò)竊取用戶名與密碼，以“合法者”身份入侵校園網(wǎng)……像熊貓燒香、灰鴿子病毒的爆發(fā)已經(jīng)顯示出當(dāng)前的網(wǎng)絡(luò)體系嚴(yán)重的不足，網(wǎng)絡(luò)正面臨著嚴(yán)峻的安全和服務(wù)質(zhì)量(QoS)保證等重大挑戰(zhàn)，保障網(wǎng)絡(luò)的安全成為網(wǎng)絡(luò)進(jìn)一步發(fā)展的迫切需求。

　　校園網(wǎng)絡(luò)常常遇到以下問(wèn)題：瞬間掉線或大面積斷網(wǎng)、帶寬濫用、網(wǎng)速奇慢、網(wǎng)絡(luò)病毒泛濫、攻擊頻繁、網(wǎng)絡(luò)問(wèn)題難定位、難解決……，校園網(wǎng)絡(luò)現(xiàn)在最典型的問(wèn)題就是不能有效管控網(wǎng)絡(luò)擁堵和安全問(wèn)題，無(wú)法確保關(guān)鍵應(yīng)用的帶寬。另一個(gè)嚴(yán)重的問(wèn)題是，無(wú)法控制上網(wǎng)用戶的身份和安全狀態(tài)。根據(jù)IDC網(wǎng)絡(luò)安全數(shù)據(jù)的，來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和入侵占網(wǎng)絡(luò)安全事件的70％，而且這些攻擊和入侵大多來(lái)自應(yīng)用層。傳統(tǒng)的網(wǎng)絡(luò)安全措施，大量精力放在防御外部非法者的攻擊上，這種方式是單點(diǎn)或者局部的安全。比如說(shuō)，防火墻，能夠有效保護(hù)出口安全或者受保護(hù)的服務(wù)器區(qū)域。對(duì)此，傳統(tǒng)網(wǎng)絡(luò)邊界安全網(wǎng)關(guān)設(shè)備形同虛設(shè)，入侵行為防不勝防。

　　網(wǎng)絡(luò)安全就像一棵大樹，如果要保證大樹結(jié)出健康的果實(shí)，就需要生長(zhǎng)果實(shí)的枝葉的健康，而要保證枝葉的健康，就要保證軀干的健康，而要保證軀干的健康，則必須要大樹的樹根健康”，也就是說(shuō)，對(duì)于一個(gè)網(wǎng)絡(luò)，其安全性要從最邊緣，即接入網(wǎng)絡(luò)的終端開始控制，要找出問(wèn)題的根源。如果說(shuō)防火墻、入侵檢測(cè)設(shè)備是噴灑農(nóng)保障果實(shí)健康的話，那么網(wǎng)絡(luò)接入控制技術(shù)則是從樹根開始，逐級(jí)保障樹的健康。

　　二、目前主流的網(wǎng)絡(luò)接入控制技術(shù)

　　目前新型的網(wǎng)絡(luò)接入控制技術(shù)將控制目標(biāo)轉(zhuǎn)向了終端，從終端著手，通過(guò)管理員指定的安全策略，對(duì)接入內(nèi)部網(wǎng)絡(luò)的主機(jī)進(jìn)行安全性檢測(cè)，自動(dòng)拒絕不安全的計(jì)算機(jī)接入內(nèi)部網(wǎng)絡(luò)直到這些計(jì)算機(jī)符合網(wǎng)絡(luò)內(nèi)的安全策略為止。當(dāng)前比較好的幾種安全網(wǎng)絡(luò)接入控制技術(shù)，包括思科的NAC(網(wǎng)絡(luò)接入控制)、微軟的NAP(網(wǎng)絡(luò)準(zhǔn)入保護(hù))、可信計(jì)算組(TCG)的TNC(可信網(wǎng)絡(luò)連接)等。下面將分別對(duì)這幾種技術(shù)進(jìn)行介紹。

　　(一)NAC技術(shù)

　　網(wǎng)絡(luò)接入控制(Network Access Control，簡(jiǎn)稱NAC)是由思科(Cisco)主導(dǎo)的產(chǎn)業(yè)級(jí)協(xié)同研究成果，NAC可以協(xié)助保證每一個(gè)終端在進(jìn)入網(wǎng)絡(luò)前均符合網(wǎng)絡(luò)安全策略。NAC技術(shù)可以提供保證端點(diǎn)設(shè)備在接入網(wǎng)絡(luò)前完全遵循本地網(wǎng)絡(luò)內(nèi)需要的安全策略，并可保證不符合安全策略的設(shè)備無(wú)法接入該網(wǎng)絡(luò)及設(shè)置可補(bǔ)救的隔離區(qū)供端點(diǎn)修正網(wǎng)絡(luò)策略，或者限制其可訪問(wèn)的資源。

　　NAC主要有以下部分組成：

　　1、客戶端軟件(AV防毒軟件。Cisco SecurityAgent)與CiscoTrust Agent(思科可信代理)：CTA可以從多個(gè)安全軟件組成的客戶端防御體系收集安全狀態(tài)信息，例如防毒軟件、操作系統(tǒng)更新版本、信任關(guān)系等，然后將這些信息傳送到相連的網(wǎng)絡(luò)中，在這里實(shí)施準(zhǔn)入控制策略；

　　2、網(wǎng)絡(luò)接入設(shè)備：包括路由器、交換機(jī)、防火墻以及無(wú)線AP等。這些設(shè)各接受終端計(jì)算機(jī)請(qǐng)求信息，然后將信息傳送到策略服務(wù)器，由策略服務(wù)器決定是否采取什么樣的授權(quán)。網(wǎng)絡(luò)將按照客戶制定的策略實(shí)施相應(yīng)的準(zhǔn)入控制決策：允許、拒絕、隔離或限制：

　　3、策略服務(wù)器：負(fù)責(zé)評(píng)估來(lái)自網(wǎng)絡(luò)設(shè)備的端點(diǎn)安全信息，比如利用Cisco Secure ACS服務(wù)器(認(rèn)證+授權(quán)+)配合防病毒服務(wù)器使用，提供更強(qiáng)的委托審核功能；

　　4、管理服務(wù)器：負(fù)責(zé)監(jiān)控和生成管理報(bào)告。

　　(二)NAP技術(shù)

　　網(wǎng)絡(luò)訪問(wèn)保護(hù)NAP技術(shù)(Network AccessProtection)是微軟為下一代操作系統(tǒng)Windows Vista和Windows Server Longhorn設(shè)計(jì)的新的一套操作系統(tǒng)組件，它可以在訪問(wèn)私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺(tái)健康校驗(yàn)。NAP平臺(tái)提供了一套完整性校驗(yàn)的方法來(lái)判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對(duì)不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問(wèn)權(quán)限。

　　NAP主要有以下部分組成：

　　1、適用于動(dòng)態(tài)主機(jī)配置協(xié)議和xx、IPSec的NAP客戶端；

　　2 Windows Longhorn Server(NAP Server)：對(duì)于不符合當(dāng)前系統(tǒng)運(yùn)行狀況要求的計(jì)算機(jī)進(jìn)行強(qiáng)制受限網(wǎng)絡(luò)訪問(wèn)，同時(shí)運(yùn)行Internet身份驗(yàn)證服務(wù)(IAS)，支持系統(tǒng)策略配置和NAP客戶端的運(yùn)行狀況驗(yàn)證協(xié)調(diào)；

　　3、策略服務(wù)器：為IAS服務(wù)器提供當(dāng)前系統(tǒng)運(yùn)行情況，并包含可供NAP客戶端訪問(wèn)以糾正其非正常運(yùn)行狀態(tài)所需的修補(bǔ)程序、配置和應(yīng)用程序。策略服務(wù)器還包括防病毒隔離和軟件更新服務(wù)器：

　　4、證書服務(wù)器：向基于IPSec的NAP客戶端頒發(fā)運(yùn)行狀況證書。

　　(三)TNC技術(shù)

　　TNC是Trusted Network Connection的縮寫，即可信網(wǎng)絡(luò)連接技術(shù)，它是由可信計(jì)算組織TCG(Trusted Computing Group)制定的一組詳細(xì)規(guī)范，作為TCG中基礎(chǔ)設(shè)施工作組(Infrastructure Work Group)的一部分。TNC建立在基于主機(jī)可信計(jì)算機(jī)技術(shù)，其通過(guò)使用可信主機(jī)提供的終端技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制的協(xié)同工作。同時(shí)，TNC的網(wǎng)絡(luò)構(gòu)架可以結(jié)合已存

　　在的網(wǎng)絡(luò)訪問(wèn)控制策略(如例如IEEE 802.1x、IETF Radius等協(xié)議)實(shí)現(xiàn)訪問(wèn)控制功能，它的目標(biāo)是解決網(wǎng)絡(luò)端點(diǎn)安全接入問(wèn)題。TNC主要思想是，制定一系列開放的規(guī)范。這些規(guī)范將包含端點(diǎn)安全構(gòu)件之間、端點(diǎn)主機(jī)或網(wǎng)元之間的軟件界面和協(xié)議。TNC通過(guò)認(rèn)證和完整性校驗(yàn)檢查端點(diǎn)的“健康度”，對(duì)不滿足系統(tǒng)安全策略的端點(diǎn)提供隔離并盡可能加以矯正，從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性及可信性。

　　TNC是一個(gè)開放的通用架構(gòu)，TNC體系可以簡(jiǎn)單地分為三縱三橫結(jié)構(gòu)。在縱向上被分成三部分實(shí)體(Entities)：訪問(wèn)請(qǐng)求者AR(AccessRequestor)、策略執(zhí)行點(diǎn)PEP(Policy Enforcement Point)、策略定義點(diǎn)PDP(Policy Decision Point)，各部分實(shí)體可以分布在系統(tǒng)中的任意位置，他們可以是三個(gè)完整的'設(shè)備。TNC體系在橫向上也被上分為三層，分別為網(wǎng)絡(luò)接入層、整體評(píng)估層和整體度量層，這三層只是由完成的功能作用而邏輯劃分。

　　1、網(wǎng)絡(luò)接入層：從屬于傳統(tǒng)的網(wǎng)絡(luò)互聯(lián)和安全層，支持現(xiàn)有的如xx和802.1X等技術(shù)。這一層包括NAR(網(wǎng)絡(luò)訪問(wèn)請(qǐng)求)、PEP(策略執(zhí)行)和NAA(網(wǎng)絡(luò)訪問(wèn)授權(quán))3個(gè)組件：

　　2、完整性評(píng)估層：這一層依據(jù)一定的安全策略評(píng)估訪問(wèn)請(qǐng)求者AR的完整性狀況；

　　3、完整性測(cè)量層：這一層負(fù)責(zé)搜集和驗(yàn)證AR的完整性信息。

　　可信網(wǎng)絡(luò)連接技術(shù)TNC通過(guò)提供一個(gè)由多種協(xié)議規(guī)范組成的框架來(lái)實(shí)現(xiàn)一套多元的網(wǎng)絡(luò)標(biāo)準(zhǔn)，主要功能和目標(biāo)如下：

　　1、平臺(tái)認(rèn)證：用于驗(yàn)證網(wǎng)絡(luò)訪問(wèn)請(qǐng)求者身份，以及平臺(tái)的完整性狀態(tài)。

　　2、終端策略授權(quán)：為終端的狀態(tài)建立一個(gè)可信級(jí)別，例如：確認(rèn)應(yīng)用程序的存在性、狀態(tài)、升級(jí)情況，升級(jí)防病毒軟件和IDS的規(guī)則庫(kù)的版本，終端操作系統(tǒng)和應(yīng)用程序的補(bǔ)丁級(jí)別等。從而使終端被給予一個(gè)可以登錄網(wǎng)絡(luò)的權(quán)限策略，進(jìn)而獲得在一定權(quán)限控制下的網(wǎng)絡(luò)訪問(wèn)權(quán)。

　　3、訪問(wèn)策略：確認(rèn)終端機(jī)器以及其用戶的權(quán)限，并在其連接網(wǎng)絡(luò)以前建立可信級(jí)別，平衡已存在的標(biāo)準(zhǔn)、產(chǎn)品及技術(shù)。

　　4、評(píng)估、隔離及補(bǔ)救：確認(rèn)不符合可信策略需求的終端機(jī)能被隔離在可信網(wǎng)絡(luò)之外，執(zhí)行適合的補(bǔ)救措施。

　　(四)主流網(wǎng)絡(luò)接入技術(shù)的優(yōu)劣及

　　NAC、NAP和TNC技術(shù)的目標(biāo)和實(shí)現(xiàn)技術(shù)具有很大相似性。首先，其目標(biāo)都是保證終端的安全接入，即當(dāng)終端接入本地網(wǎng)絡(luò)時(shí)，通過(guò)特殊的協(xié)議對(duì)其進(jìn)行完整性校驗(yàn)，通過(guò)接入設(shè)備(防火墻、交換機(jī)、路由器等)，強(qiáng)制將不符合要求的終端設(shè)備隔離在一個(gè)指定區(qū)域，按策略進(jìn)行安全修復(fù)。在驗(yàn)證終端完整性達(dá)到設(shè)定的安全狀態(tài)后，再允許其接入被保護(hù)的網(wǎng)絡(luò)。其次，三種技術(shù)的實(shí)現(xiàn)思路也比較相似。系統(tǒng)構(gòu)架都分為客戶端、策略服務(wù)以及接入控制三個(gè)主要層次。同時(shí)，由于三種技術(shù)的發(fā)布者自身的背景，三種技術(shù)又存在不同的偏重性。NAC由于是CISCO發(fā)布的，所以其構(gòu)架中接入設(shè)備的位置占了很大的比例，或者說(shuō)NAC自身就是圍繞著思科的設(shè)備而設(shè)計(jì)的；NAP則偏重在終端agent以及接入服務(wù)(xx、DHCP、802.1x、IPsec組件)，這與微軟自身的技術(shù)背景也有很大的關(guān)聯(lián)；而TNC技術(shù)則重點(diǎn)放在與TPM綁定的主機(jī)身份認(rèn)證與主機(jī)完整性驗(yàn)證，或者說(shuō)TNC的目的是給TCG發(fā)布的TPM提供一種應(yīng)用支持。

　　目前NAC與NAP已經(jīng)結(jié)為同盟，即網(wǎng)絡(luò)接入設(shè)備上采用思科的NAC技術(shù)，而主機(jī)客戶端上則采用微軟的NAP技術(shù)，從而達(dá)到了兩者互補(bǔ)的局面，有利于其進(jìn)一步發(fā)展。而TNC則是由TCG組織成員Intel、HP、DELL、Funk等企業(yè)提出的，目標(biāo)是解決可信接入問(wèn)題，其特點(diǎn)是只制定詳細(xì)規(guī)范，技術(shù)細(xì)節(jié)公開，各個(gè)廠家都可以自行設(shè)計(jì)開發(fā)兼容TNC的產(chǎn)品，并可以兼容安全芯片TPM技術(shù)�，F(xiàn)在微軟已經(jīng)主動(dòng)的將其NAP與TCG／TNC進(jìn)行了互操作的接口開放。

　　三、GSN全局安全網(wǎng)絡(luò)的原理與應(yīng)用效果

　　銳捷網(wǎng)絡(luò)GSN(Global Security Network，全局安全網(wǎng)絡(luò))，是一種基于802.1x的TNC可信網(wǎng)絡(luò)連接技術(shù)的解決方案。GSN由安全客戶端、安全交換機(jī)、安全平臺(tái)、用戶認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、xx客戶端、RG-WALL防火墻等多重網(wǎng)絡(luò)元素組成，實(shí)現(xiàn)同一網(wǎng)絡(luò)下的全局聯(lián)動(dòng)，使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)揮著安全防護(hù)的作用，構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。具體構(gòu)架如上圖所示，由三個(gè)層面、五個(gè)部分組成。

　　GSN通過(guò)將用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御，網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù)，同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí)，從而達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件的防范。其基本原理和結(jié)構(gòu)圖如下：銳捷網(wǎng)絡(luò)GSN全局安全網(wǎng)絡(luò)系統(tǒng)采用了可信網(wǎng)絡(luò)連接技術(shù)TNC的標(biāo)準(zhǔn)規(guī)范。GSN整體構(gòu)架分為客戶端(Su)、Swith／Router以及后臺(tái)服務(wù)器分別對(duì)應(yīng)著TNC的訪問(wèn)請(qǐng)求者AR(Access Requestor)、策略執(zhí)行點(diǎn)PEP(Policy Enforcement Point)、策略定義點(diǎn)PDP(Policy Decision Point)，三層結(jié)構(gòu)。

　　GSN的工作原理：當(dāng)終端用戶接入網(wǎng)絡(luò)時(shí)，銳捷安全客戶端(RG—SA)會(huì)自動(dòng)檢測(cè)終端用戶的完整性，若終端用戶沒(méi)有達(dá)到安全策略設(shè)定的安全狀態(tài)，安全管理平臺(tái)(RG-SMP)通過(guò)安全聯(lián)動(dòng)設(shè)備(SW、Router)拒絕終端用戶接入網(wǎng)絡(luò)，并自動(dòng)將該終端用戶隔離并置于安全修復(fù)系統(tǒng)(RG—RES)。此時(shí)終端用戶上的安全客戶端(RG-SA)會(huì)根據(jù)安全管理平臺(tái)提供的信息自動(dòng)連接到RG-RES安全修復(fù)系統(tǒng)上進(jìn)行自動(dòng)修復(fù)。修復(fù)完成后，銳捷安全客戶端會(huì)重新對(duì)終端用戶再進(jìn)行完整性評(píng)估，當(dāng)終端用戶完整性達(dá)到安全策略設(shè)定的安全狀態(tài)后，安全管理平臺(tái)(RG—SMP)才允許終端用戶接入網(wǎng)絡(luò)。

　　當(dāng)接入網(wǎng)絡(luò)的用戶終端發(fā)生安全攻擊事件時(shí)，安全管理平臺(tái)(RG—SMP)將針對(duì)這一安全事件進(jìn)行判斷，以確認(rèn)選擇調(diào)用何種安全策略來(lái)處理。安全管理平臺(tái)(RG-SMP)將自動(dòng)把安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域，安全策略的執(zhí)行者可以是銳捷網(wǎng)絡(luò)聯(lián)動(dòng)設(shè)備或者安全客戶端(RG—SA)，根據(jù)安全事件的等級(jí)由安全管理平臺(tái)(RG-SMP)判斷是否需要將安全策略同步到網(wǎng)絡(luò)的區(qū)域中，以實(shí)現(xiàn)全網(wǎng)安全。同時(shí)，安全管理平臺(tái)會(huì)把針對(duì)這次安全事件的處理情況通知給用戶終端，使用戶能夠及時(shí)了解到網(wǎng)絡(luò)安全環(huán)境的變化。通過(guò)這個(gè)流程，網(wǎng)絡(luò)可以對(duì)已發(fā)生的安全行為進(jìn)行完全自動(dòng)化的防御措施，從而保證用戶網(wǎng)絡(luò)在受到威脅時(shí)可以迅速做出連動(dòng)反應(yīng)。

　　GSN全局安全網(wǎng)絡(luò)解決方案，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備(網(wǎng)絡(luò)交換機(jī)、路由器等)和網(wǎng)絡(luò)終端設(shè)備(用戶PC、服務(wù)器等)，成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時(shí)也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備。

　　總之，目前導(dǎo)致安全事件的主要原因是主機(jī)軟、硬件結(jié)構(gòu)存在設(shè)計(jì)漏洞并且對(duì)用戶沒(méi)有進(jìn)行嚴(yán)格的認(rèn)證和授權(quán)控制，傳統(tǒng)安全防范的重點(diǎn)放在對(duì)服務(wù)器和網(wǎng)絡(luò)的保護(hù)上，而忽略終端接入者本身的安全，但大多數(shù)的攻擊事件都是由終端接入者本身不安全而引起發(fā)的，所以只有從終端接入的源頭就建立起安全體系，內(nèi)外共防來(lái)構(gòu)造真正安全可信的網(wǎng)絡(luò)環(huán)境。

　　校園網(wǎng)絡(luò)安全接入技術(shù)與應(yīng)用2

　　【摘要】：網(wǎng)絡(luò)安全接入技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。隨著互聯(lián)網(wǎng)的發(fā)展,人們對(duì)網(wǎng)絡(luò)的依賴程度逐漸提高。防火墻、xx等技術(shù)等傳統(tǒng)網(wǎng)絡(luò)安全技術(shù),關(guān)注的是外網(wǎng)安全。但隨著局域網(wǎng)及其技術(shù)的高速發(fā)展,內(nèi)網(wǎng)已成為網(wǎng)絡(luò)安全中的薄弱環(huán)節(jié),內(nèi)網(wǎng)安全接入技術(shù)也逐漸引起了人們的重視。本文主要研究校園網(wǎng)內(nèi)網(wǎng)的安全接入技術(shù)。校園網(wǎng)具有用戶數(shù)量大、群體復(fù)雜、穩(wěn)定性要求高等特點(diǎn)。如若管理不善,就會(huì)導(dǎo)致其來(lái)自內(nèi)網(wǎng)的安全隱患越來(lái)越多。本文以實(shí)際校園網(wǎng)建設(shè)為背景,對(duì)校園網(wǎng)安全接入技術(shù)進(jìn)行研究與應(yīng)用。本文對(duì)MAC地址過(guò)濾與綁定、PPPoE撥號(hào)、802.1x技術(shù)、基于Portal的.Web認(rèn)證等常見(jiàn)的網(wǎng)絡(luò)安全接入技術(shù)進(jìn)行了分析和對(duì)比,研究了這些安全接入技術(shù)的基本工作過(guò)程、使用環(huán)境,并對(duì)其優(yōu)缺點(diǎn)進(jìn)行了分析。

　　為解決校園網(wǎng)絡(luò)的安全接入問(wèn)題,形成一個(gè)可推廣、便于實(shí)現(xiàn)的安全接入方案,本文由整體到局部進(jìn)行需求分析,由局部到整體進(jìn)行設(shè)計(jì)方案整合。以某中職校的校園網(wǎng)為例,針對(duì)校園網(wǎng)中不同用戶群體的需求設(shè)計(jì)了不同安全區(qū)域的接入方案。此外,作者對(duì)方案模型進(jìn)行了實(shí)踐研究,對(duì)安全接入方案的各個(gè)部分予以應(yīng)用,并對(duì)核心配置進(jìn)行了分析和注釋。最后,本文對(duì)安全接入方案的實(shí)施效果進(jìn)行了測(cè)試,客觀記錄了測(cè)試結(jié)果。本文通過(guò)研究和應(yīng)用實(shí)踐,形成了可推廣應(yīng)用的校園網(wǎng)安全接入方案。測(cè)試結(jié)果表明所設(shè)計(jì)方案能夠解決校園網(wǎng)安全接入的大部分需求,對(duì)提升校園網(wǎng)的安全性具有一定效果。

【校園網(wǎng)絡(luò)安全接入技術(shù)與應(yīng)用】相關(guān)文章：

談網(wǎng)絡(luò)安全教育的應(yīng)用與實(shí)踐08-16

入侵檢測(cè)在網(wǎng)絡(luò)安全中的應(yīng)用問(wèn)題論文04-28

廣域網(wǎng)接入認(rèn)證計(jì)費(fèi)系統(tǒng)中的關(guān)鍵技術(shù)研究與實(shí)現(xiàn)05-09

信息技術(shù)在美術(shù)教學(xué)中的應(yīng)用05-30

虛擬現(xiàn)實(shí)技術(shù)應(yīng)用研究06-09

談?wù)勆�物技術(shù)在林業(yè)生產(chǎn)的應(yīng)用05-23

圖書館新技術(shù)的發(fā)展與應(yīng)用06-07

分析基于現(xiàn)網(wǎng)的OTN技術(shù)應(yīng)用06-11

信息化技術(shù)在高校校園文化建設(shè)中的應(yīng)用研究08-17

多媒體技術(shù)應(yīng)用論文參考文獻(xiàn)09-19