部分设备在校园网中的部署测试

　　5.3 部分设备在校园网中的部署测试
　　
　　5.3.1 iMC 终端接入测试
　　
　　通过 iNode 智能客户端的部署，再配合 iMC,管理员可以同过 iMC 平台界面直观的查看到该用户的信息，确定该用户并执行安全操作，判断其是否在执行非法操作，最终将违规用户强制下线，方便校园网管理人员的网络管理及维护工作。方便校园网管理人员的网络管理及维护工作。部署上将 iMC 平台部署在 H3C S10508 核心交换机的旁路，图 5-8 为校园网用户在任意更改自己本机的 MAC 地址后，导致认证失败的记录。
　　
　　5.3.2 Web 应用防火墙部署测试
　　
　　为了保证该校的 WWW 服务所以在 WWW 服务与 NAT 区之间部署 Web 应用防火墙。部署 Web 应用防火墙可以针对各种 Web 网站的攻击行为，如“篡改”行为，做出主动防御，阻止攻击，并且是在攻击到达服务器之前。
　　
　　根据 Web 应用防火墙管理页面中提供日志与信息管理员也根据收集的攻击信息，制定相应安全策略，升级加强网络安全的防护能力，从而达到 APPDRR 模型的安全要求，网络的安全性是逐渐地得以完善和提高的，过程是需要不断改进的，只有这样才能实现保护网络资源的目的，从而达到网络安全的目标。
　　
　　Web 应用防火墙的部署测试，采用的攻击的测试方式为 SQL 注入，测试环境为含有 SQL 注入漏洞的网站，采用的攻击工具为 Domain4.1.
　　
　　测试步骤如下：
　　
　　（1）在没有部署 Web 应用防火墙的网络环境中，选择两台主机，其中一台主机上架设 IIS 服务器，并发布含有漏洞的网站；另一台主机中安装攻击所使用的工具Domain4.1.
　　
　　（2）首先在攻击主机上用浏览器对发布的网站进行访问测试，访问连接正常，打开攻击用软件 Domain4.1,进行 SQL 注入攻击。
　　
　　（3）SQL 注入猜解出网站的登录信息后，执行扫描后台管理页面入口路径。
　　
　　（4）根据攻击软件中扫描出的路径，猜解出网站的登录用户名为：admin,密码为：admin,后台管理页面为“/admin/admin.asp”,进行成功的登录网站管理后台获取权限，如图 5-13.
　　
　　（5）经过上述步骤成功注入后，将测试环境移至部署了 Web 应用防火墙的校园网环境中，将测试网站发布到校园网的 Web 服务器下，测试可以正常访问站点后，在内网的一台主机上使用 SQL 注入工具进行攻击，显示无法注入，攻击失败。
　　
　　（6）在 Web 应用防火墙管理平台上可以查看到该次攻击的记录，如图 5-15.
　　
　　（7）在Web应用防火墙管理平台上根据预先设置的阻断规则对恶意IP进行处理，在一定时间段内该恶意 IP 无法访问网站。
　　
　　上述测试过程说明了，由于部署了 Web 应用防火墙可以有效的缓解来自网络内部和外部对 Web 应用服务器的攻击，提升了校园网的可靠性。
　　
　　5.3.3 AC 流控部署测试
　　
　　为了保证该校园的网络使用，提高网络服务质量，优化带宽的使用，并解决网络拥塞与网络安全的问题，在该校园网的边界模块中部署 AC 流量控制设备。根据该校园网络中用户的特点及网络使用情况，并依据 AC 流量控制设备管理平台中定义的通过、拒绝、审计等规则，以基于带宽的流量控制为主要策略，优先以基于用户类型，其次基于应用服务协议的策略方法进行部署设置。如用户分为教师用户、学生用户等，并根据实际使用网络的情况，对用户所使用的网络应用进行限制。
　　
　　网络中部署 AC 流量控制后，测试如下。
　　
　　（1）以教师用户为例，为保证网络带宽资源的合理使用，在不影响教师正常使用网络的情况，对其进行带宽及网络应用协议的使用部分限制，如禁止使用 P2P 软件，禁止部分网上视频等，如图 5-17.
　　
　　（2）部署策略后，在网络中的一台教师主机上使用 P2P 下载软件，无法进行下载，软件中提示网络限制。
　　
　　（3）使用未限制协议，网络可以正常使用，如图 5-19.
　　
　　上述测试过程说明了，AC 流量控制设备可以有效的控制网络带宽资源的使用，保证网络带宽资源合理使用。AC 流量控制设备的管理平台中定义的规则很细，管理者可以根据网络实际使用情况进行组合筛选制定策略，制定的策略也会随着网络使用情况的变化而做出相应的调整。
　　
　　5.4 部分技术的仿真测试
　　
　　为了证实方案中部分主要技术的可行性及部署后的效果，论文中采用了网络设备仿真模拟软件，进行实验网络拓扑的搭建及网络技术部署验证。因为论文设计方案中的设备可以根据校园网的实际部署成各品牌的网络设备，只需要部署的设备具有可以实施相应的技术即可。所以针对方案中的仿真实验测试，我们可以针对不同品牌的设备选择不同的仿真实验环境进行部署及验证相关技术的可行性。其中对于 H3C 的设备可以选择 HCL 模拟环境；思科设备可以选择 GNS3 模拟环境；华为设备可以选择 eNSP模拟环境。
　　
　　5.4.1 核心汇聚模块链路备份的仿真实验
　　
　　方案中利用 VRRP 协议实现校园骨干网在汇聚层上进行双机备份的冗余设计，实现链路备份，保证核心汇聚层模块的稳定，校园网的安全运行。
　　
　　该仿真实验的目的是在汇聚层的两台交换机上加载 VRRP 协议，实现双机备份，其效果是其中一台交换机出现故障时，其工作任务会被另一台交换机接管，不会影响网络的正常使用，保证了整个骨干网的稳定及高速运行。
　　
　　实现的过程：
　　
　　（1）根据实验拓扑将设备进行连接，并做好基本的配置，如端口的分配，VLAN的划分等。
　　
　　（2）将骨干网交换机的 GE0/0/1、GE0/0/2 与 GE0/0/3 端口设置为 trunk 模式，使各 VLAN 可以通过其进行通信。命令行为端口模式下： port link-type trunk;再将两台接入层交换机的 GE0/0//1 与 GE0/0/2 端口设置为 trunk 模式。
　　
　　（3）两台骨干网交换机加载 VRRP,实现备份功能。其中用到的命令行为在 Vlan10 的配置模式下：vrrp vrid 1 virtual-ip 192.168.10.254 与 vrrp vrid 1 priority120.该命令表示在一台骨干交换机上的将其中一个 VLAN,如 Vlan 10 上定义 vrid 组1 的虚拟路由网关地址为 192.168.10.254,并且通过设置优先级，将该交换机设定为vrid 组 1 的 Master 交换机，即 Vlan 10 的主骨干交换机。同理设置 Vlan 20 端口配置模式 vrid 组 1 ip 192.168.20.254,Vlan 20 中没有设置优先级 priority,缺省值为 100. 说明该交换机是 Vlan 20 的备份交换机。对于另一台交换机，配置过程与上一台交换机大致相同，只需将本台交换机的 Vlan 20 设置为较 Vlan 10 高的优先级即可。
　　
　　（4）测试结果，使用 ping 命令测试 PC 机的连通性，当不同 VLAN 的两台 PC 机连通正常时，在模拟环境中停止其中一台骨干交换机的运行，此时 PC 机间通信中断，但紧接着通信恢复，证明 VRRP 协议的备份功能测试成功，在方案中具有可行性。
　　
　　5.4.2 防御 ARP 攻击测试
　　
　　在环境中的某个网段内选择两台 PC 机与一台 FTP 服务器进行测试。以网络中一台主机为“攻击者”,在该终端中安装 WinArpAttack 软件，用以对网络中的“目标用户”的主机实施 ARP 欺骗攻击，比较设备中部署 ARP 防护功能前后的攻击效果。
　　
　　实现的过程：
　　
　　（1）选择两台 PC 机的中的一台为攻击者；另一台为正常用户。攻击测试开始前，使用 ping 命令测试各设备连通性。
　　
　　（2）攻击者通过 WinArpAttack 软件对目标用户进行攻击；此时被攻击用户访问FTP,进行授权登录；在没有部署 ARP 防护时，攻击者使用 sniffer 嗅探器，进行对目标用户的数据抓包，可以看到目标用户登录 FTP 用户名及密码的授权信息。
　　
　　（3）在部署 ARP 防护后，攻击者无法通过攻击软件和嗅探器获取用户的授权信息。
　　
　　（4）由测试结果发现，ARP 防护部署在校园网网络体系中，并开启后，可以保护网内用户的信息安全，使得 ARP 欺骗攻击不再有效，保证了校园网内用户的安全以及整个校园网的稳定运行。
　　
　　由于篇幅的关系，仅用上述测试，说明技术部署的可行性，其他的测试不再论文中详述，通过仿真测试验证部署方案的效果，证实了方案中技术部署的可行性。满足了该高校对校园网安全的需求，达到了设计要求。