课程设计（论文）-校园网安全整体解决方案设计.doc

成成 都都 信信 息息 工工 程程 学学 院院 课课 程程 设设 计计 校园网安全整体解决方案设计校园网安全整体解决方案设计 作者姓名：作者姓名： 班班 级级： ：信安信安 08.4 学学 号：号： 指指导导教教师师： ： 日日 期：期： 2011 年年 12 月月 10 日日 封面 校园网安全整体解决方案设计校园网安全整体解决方案设计 摘摘 要要 随着计算机网络技术的飞速发展，网络技术越来受到人们的重视，它逐渐 渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境，是校园 网络科学化、正规化的重要条件，也在校园网的高效运行中扮演了重要的角色。 现代校园网系统是一种基于开发式的网络环境，能够保证数据输入、输出的准 确性快捷并且方便使用的网络应用系统。 本设计详细分析了校园网的安全问题，本文在分析校园网原有的网络安全 防范措施的基础上，针对校园网在运行中所遇到的实际问题，本次课程设计在 管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包 括课程设计的目的与意义，需求分析，系统设计，系统实现，系统调试运行， 总结，及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理 与维护的了解，对于校园网建设中所用的基本设备如路由器，交换机，防火墙 等了解它们在校园网中的使用情况，及基本的配置过程,对电子邮件过滤检测， 入侵检测，病毒监测，防火墙设置等多方面做了相应的综合性安全解决方案。 关键字：校园网系统，管理，设置，软件维护，邮件过滤，入侵监测，防火 墙 目目 录录 1 引言引言.1 1.1 课题背景.1 1.2 高校校园网的网络现状.1 1.3 校园网安全问题分析.2 1.4 校园网安全问题存在的原因 .3 2 安全解决方案设计安全解决方案设计.4 2.1 需求分析.4 2.3 网络设计原则 .4 2.4 网络拓扑图 .5 2.5 安全设计原则 .5 3.功能设计功能设计.6 3.1 防火墙设置 .6 3.1.1 部署防火墙.6 3.2 建立入侵检测系统 .9 3.3 建立漏洞管理系统.10 3.4 建立网络防病毒系统 .11 3.5 IP 盗用问题的解决.11 3.6 采用系统升级策略 .12 3.7 利用网络监听维护子网系统安全 .13 3.8 建立良好的管理体系 .13 3.9 部署 WEB,EMAIL,BBS 的安全监测系统 .14 3.10 部署内容安全管理系统 .15 3.11 使用校园网用户认证计费管理系统.15 4.代码实现部分代码实现部分.16 5.参考文献参考文献.17 第 1 页 共 20 页 1 1 引言引言 1.1 课题背景课题背景 随着近年来网络安全事件不断地发生，安全问题也成为了 IT 业的一个热点， 安全问题对于学校的发展也越来越重要。安全问题已经成为影响校园网平台的 稳定性和正常提供网络服务的一个严重问题，所以提升校园网络自身的安全性 也成为学校增强竞争力的重要方面之一。同样，随着网络技术的迅猛发展和因 特网的普及，网络概念已不再局限于某些领域，而是深入到社会的各个组成部 分，形成了一个初具规模的网络社会。不过，同其他一些高科技类似，网络技 术在丰富人们生活、产生实际的经济效益的同时，也给人们带来了诸多负面的 影响。大家可以看到，自 Internet 问世以来，资源共享和信息安全一直作为一 对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问 题也日益突出。 局域网是互联网的一种主要的存在方式和组成部分，局域网的安全问题在 某种意义上反映了几乎所有的安全问题。学校校园网作为一个局域网，也面对 这一系列的安全问题，在这里我们讲讨论一下校园网的安全措施。 1.2 高校校园网的网络现状高校校园网的网络现状 教育的信息化是当今世界教育改革的重要思潮之一，是时代的要求，也是 素质教育的需要。学校近年来大力实施现代化教育技术工程：以电脑网络为基 础，以图书馆、电教中心为信息源，以数字化为模式，提高学校教育教学的档 次和质量。目前，学校的校园网络已经初具规模：以光纤连接校内主要建筑， 所有建筑内全部布线，校园网覆盖整个校园，同时校园网向上通过光纤联入中 国教育科研网，并与 Internet 互联。但是在现有的网络设备保护下校园网网 络依然存在很多问题，这些问题导致校园网络不能正常的提供良好的服务，经 常给用户带来困扰。 第 2 页 共 20 页 1.3 校园网安全问题分析校园网安全问题分析 经过长期的使用和观察，校园网还存在一下问题： 1、 IP 盗用的问题，校园网内部连接有几千台电脑，一部分电脑通过正常的申 请途径得到合法的 IP 地址，另一部分则不然。当某些没有 IP 地址的用户， 冒用他人的合法 IP 地址时，就会造成网络内部地址的冲突，严重阻碍了合 法用户的正常使用。 2、 防火墙攻击，防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚 固，但这只是对外的防护而已，他对于内部的防护则几乎不起什么作用。然 而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员。所以怎么 防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。 3、 Email 问题，由于用户安全观念的淡薄以及网上某些人的别有用心，会给校 园网的 Email 用户发一些不良内容的信件，有时还会携带各种各样的病毒。 因此，怎样防止有问题的信件进入校园网的 Email 系统也是一个待解决的问 题。 4、 各种服务器和网络设备的扫描和攻击，有时会有一些用户对校园网的服务 器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服 务，或造成校园网不能提供正常的服务。 5、 非法 URL 的访问的问题，对于一些反动的或不健康的站点，应当禁止校园 网用户通过校园网去访问。 6、 病毒防护的问题，互联网迅猛发展使得网络运营成为社会时尚，但同时也 为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有 任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构 成严重威胁，造成巨大损失。近阶段泛滥的“尼姆达病毒”就是典型的例子。 因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切 需要解决的问题。 第 3 页 共 20 页 1.4 校园网安全问题存在的原因校园网安全问题存在的原因 1、虽然学校在网络入口部署了防火墙和入侵检测系统阻止了外部对学校内部网 络的攻击，但是防火墙无法对学校内部从 Internet 上下载的通过 HTTP、FTP、SMTP 等形式的数据进行进一步的分析，可是一些病毒例如蠕虫病 毒往往会隐藏在这些下载的文件中，一旦用户运行了这些文件，就会在整个校 园网中爆发蠕虫病毒，导致网络瘫痪。 2、邮件系统保护不完善，电子邮件是学校老师和学生最常用到的功能，与此同 时它也是病毒传播的重要途径。邮件病毒不但会对桌面级的系统造成如占用磁 盘空间，修改或破坏文件中的数据，大量消耗系统资源等危害，还会使邮件系 统本身瘫痪，消耗大量的网络资源使网络速度变慢，同时使邮件用户收到大量 的垃圾邮件。 3、学校内部对 Internet 的非法访问威胁。如浏览黄色、暴力、反动等网站， 以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；再加上使用 BT 等 P2P 软件下载电影、游戏对整个网络的带宽产生了严重的影响，使得学 校的业务无法正常的开展。 4、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。例如 Windows NT/2000、Windows Server 的普遍性和可操作性使它成为最不安全的系统:自身 系统安全漏洞、浏览器的漏洞、IIS 的漏洞等。 5、缺少真正意义上的功能强大的网络版杀毒软件。因为目前的杀毒软件效果不 理想，或者已经被病毒干掉或者是被老师擅自卸载，而在卸载之后计算机上有 的安装了盗版的杀毒软件有的没有再安装任何杀毒软件。这样一来信息办老师 无法从整体上对全网的计算机进行杀毒管理和监控。图书馆、实验楼的 PC 机上 学生经常使用 U 盘拷贝游戏、文档，在上课期间聊 QQ、玩游戏、上网灌水聊天， 甚至登陆色情、暴力、违法网站等，不务正业。图书馆、实验楼机房也病毒泛 滥。虽然大部分 PC 都安装了还原卡，但是已经不能阻挡病毒的入侵，病毒往往 能穿透还原卡和还原软件。 同时大部分机器都未能及时安装系统补丁，容易被 蠕虫入侵，但是目前又没有一个很好的办法来管理所有系统的补丁。 第 4 页 共 20 页 2 2 安全解决方案设计安全解决方案设计 2.1 需求分析需求分析 针对校园网长期以来校园网络出现的各种问题，对校园网的需求提出了一下几 点： 1、防止校园网外部用户对校园网内的用户进行攻击 2、校园网外部用户只能访问 WWW 服务、MAIL 服务，其他服务只对校园网 内部用户开放。 3、考虑到易用性，所有服务器的操作系统采用 Windows Server，WWW 服 务使用 IIS。 4、需要防病毒系统 2.3 网络设计原则网络设计原则 网络的先进性和实用性的原则：采用的硬软件系统既有技术的先进性，又 有很高的性能价格比；网络的开放性和兼容性的原则：选择符合国际标准的网 络硬软件产品，有很好的互换、扩展和升级能力；网络的灵活性和可靠性的原 则：网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并 且要有很好的容错能力；网络的可管理性和易维护性原则：配置网管软件，采 用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络 应结构合理，层次划分清楚且具有相对独立性，便于管理和维护；网络系统的 保密性和强有力的防病毒性。 第 5 页 共 20 页 2.4 网络拓扑图网络拓扑图 2.5 安全设计原则安全设计原则 1.身份识别：身份识别是对网络用户、主机、应用、服务和资源的准确、 积极的识别。实现它的标准技术包括验证协议，如 RADIUS 和 TACACS、Kerberos 和一次性密码工具。数字证书智能卡和目录服务等新技术 正开始在身份识别解决方案中占越来越重要的作用。 2.外围安全/接入控制：它提供了控制到关键网络应用、数据和服务的接入 的方法，以便只有合法用户和信息可通过网络。带接入控制列表和/或状态防火 墙、以及专用防火墙设施的路由器和交换机提供了这种控制。病毒搜索器和内 容过滤器等补充性工具也有助于控制网络外围。 3.数据专用性：当必须保护信息免遭窃听时，按需提供经验证的保密通信 第 6 页 共 20 页 的能力是十分重要的。有时，使用隧道技术，如 GRE 或 L2TP 来进行数据分离， 可提供有效的数据私密性。然而，更高私密性要求常需要使用 IPSec 等数字加 密技术和协议。在实施 VPN 时，这种添加的保护尤为重要。 4.安全监控：为确保网络安全，重要的是定期测试和监控安全准备状态。 网络易损点搜索器可主动发现弱点领域，IDS 可在发生安全事件时对其监控和 响应。利用安全监控解决方案，机构可了解网络数据流和网络的安全状态。 5.策略管理。随着网络规模和复杂度的增加，对集中策略管理工具的需求 也随之提高。带可分析截获、配置和监控安全策略状态的基于浏览器的用户界 面的工具，提高了网络安全解决方案的可用性和有效性。除安全要求外，网络 安全设计还必须具备网络弹性、性能和可扩展性。 3.3.功能设计功能设计 3.1 防火墙设置防火墙设置 3.1.1 部署防火墙部署防火墙 在需要隔离的网络区域之间部署防火墙。典型地，在 Internet 与校园网 之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将 WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内 网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。那么，通 过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破 坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安 全事件进行跟踪和审计。 在防火墙设置上按照以下原则配置来提高网络安全性：1、根据校园网安全 策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容 包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校 园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止” 的原则；2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样 第 7 页 共 20 页 可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网 络的 IP 包，防止内部网络发起的对外攻击；3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用；4、定期查看防火墙访问 日志，及时发现攻击行为和不良上网记录。 3.1.2 防火墙配置防火墙配置 1. 将防火墙的 Console 端口用一条防火墙自带的串行电缆连接到电脑的一个空 余串口上。2. 打开 PIX 防火电源，让系统加电初始化，然后开启与防火墙连接 的主机。3. 运行电脑 Windows 系统中的超级终端（HyperTerminal）程序（通 常在“附件”程序组中） 。对超级终端的配置与交换机或路由器的配置一样。4. 当 PIX 防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙 已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输 入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6. 输 入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。 (1)防火墙上的基本配置代码如下： pixfirewall# conf t pixfirewall(config)# hostname pix pix(config)# int e0 pix(config-if)# nameif inside pix(config-if)# ip add pix(config-if)# no shut pix(config-if)# exit pix(config)# int e1 pix(config-if)# nameif outside pix(config-if)# ip add 第 8 页 共 20 页 pix(config-if)# no shut pix(config-if)# exit pix(config)# static (inside,outside) netmask 55 pix(config)# access-list 100 permit icmp any any pix(config)# access-group 100 in interface outside (2)动态 NAT 配置，使内部地址通过全局地址访问 Internet pix(config)# int F0/0 pix (config-if)# ip nat inside pix (config-if)#ip address pix (config-if)# no shut pix (config-if)# exit pix (config)# int F1/0 pix (config-if)#ip address 0 pix (config-if)#ip nat outside pix (config-if)# no shut pix (config-if)# exit pix (config)# ip nat pool natpool 0 netmask pix (config)# ip nat inside source list 1 pool natpool pix (config)#access-list 1 permit 第 9 页 共 20 页 3.2 建立入侵检测系统建立入侵检测系统 防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击 者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法 满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面：防火墙作为访问控制设备， 无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无 法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防 火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的 开展。 入侵检测系统 IDS（ Intrusion Detection System）是继防火墙之后迅 猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现 网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和 未授权网络流量并实时报警。 IDS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计， 适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的 挑战：IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成 损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为 力；蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快， 留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业 网络瘫痪，IDS 无法把攻击防御在企业网络之外。 为了弥补防火墙和 IDS 的缺陷，入侵保护系统 IPS（Intrusion Prevention System）作为 IDS 的替代产品应运而生。网络入侵防御系统作为一 种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络 异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而 不是简单地在监测到恶意流量的同时或之后才发出告警。 第 10 页 共 20 页 3.3 建立漏洞管理系统建立漏洞管理系统 解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面 对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻 找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查 找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配 置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要 求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露 出网络的漏洞。 部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞 的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期 执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：1.对用户网络 中的 资产进行自动发现并按照资产重要性进行分类； 自动周期对网络资产的漏洞进 行评估并将结果自动发送和保存；3.采用业界权威的分析模型对漏洞评估的结 果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复 方案；4.根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调 整网络的整体安全策略进行规避；对修复完毕的漏洞进行修复确认；6.定期重 复上述步骤 1-5。 通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需 要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发 布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏 洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行 评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成 本。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络 安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修 补和风险规避的工作流程，并为补丁管理产品提供相应的接口。漏洞管理产品 能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏 第 11 页 共 20 页 洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个 网络中的资产提供漏洞管理功能。 3.4 建立网络防病毒系统建立网络防病毒系统 在高校校园网部署网络版防病毒系统，进行全网病毒防护。网络版防病毒 系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。其 应具有如下功能：在病毒管理服务器上，安装网络版的控制中心，在全校各个 子网中安装下级子控制中心，方便管理本网段中的所有客户端。 网络版客户端安装方法： 网络版客户端有多种安装方式，对于域用户可以 采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端， 也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式 安装，也可以采用光盘直接安装。 3.5 IP 盗用问题的解决盗用问题的解决 在路由器上捆绑 IP 和 MAC 地址。当某个 IP 通过路由器访问 Internet 时，路由 器要检查发出这个 IP 广播包的工作站的 MAC 是否与路由器上的 MAC 地址表相符， 如果相符就放行。否则不允许通过路由器，同时给发出这个 IP 广播包的工作站 返回一个警告信息。 在路由器上绑定 IP 和 MAC 地址： R1(config)Mac access-list extended MAC10 定义一个 MAC 地址访问控制列表并且命名该列表名为 MAC10 R1 (config)permit host 0009.6bc4.d4bf any 定义 MAC 地址为 0009.6bc4.d4bf 的主机能访问任意主机 R1 (config)permit any host 0009.6bc4.d4bf 定义所有主机能访问 MAC 地址为 0009.6bc4.d4bf 的主机 第 12 页 共 20 页 R1 (config)Ip access-list extended IP10 定义一个 IP 地址访问控制列表并且命名该列表名为 IP10 R1 (config)Permit any 定义 IP 地址为 的主机能访问任意主机 Permit any 定义所有主机能访问 IP 地址为 的主机 R1 (config-if )interface Fa0/0 #进入设置具体端口的模式 R1 (config-if )mac access-group MAC10 in 在该端口上应用名为 MAC10 的访问列表（即前面我们定义的访问策略） R1 (config-if )Ip access-group IP10 in 在该端口上应用名为 IP10 的访问列表（即前面我们定义的访问策略） 3.6 采用系统升级策略采用系统升级策略 首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级 过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控 制中心每日自动升级。在客户端普通操作台可以手动升级，也可以通过设置让 客户端自动升级。 通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。 这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分 组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对 第 13 页 共 20 页 分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管 理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。 3.7 利用网络监听维护子网系统安全利用网络监听维护子网系统安全 对于校园网外部的入侵可以通过安装防火墙来解决，但是对于校园网内部 的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定 功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子 网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系 的情况，为系统中各个服务器的审计文件提供备份。在子网内若干计算机或服 务器上安装该监听软件，这样可以防止某些较高水平?“黑客”会觉察到他所在 的服务器正在被监听，将检测计算机也破坏掉。简历几个监听程序相互间的联 系。如果在一段时间内听不到其中一台或几台计算机发出的信息，其它服务器 也会发出警报，另外，不允许任何账号的远程登陆。 3.8 建立良好的管理体系建立良好的管理体系 都说三分技术七分管理，为了网络中客户端安装和杀毒确保有效完成，客 户端未经授权不能任意停止全网统一的杀毒行动，客户端未经授权不能任意卸 载，建立良好的管理制度是保证系统正常运行的必要条件。 针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装” 、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级” 、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护， 可以适应高校校园网复杂的应用环境，满足校园网对于全网防病毒的需求，有 效解决整个校园网面临的病毒威胁。 防病毒系统由服务器端和客户端组成。防病毒服务器部署在核心交换机处， 需要杀毒的每个终端安装一个客户端。 第 14 页 共 20 页 3.9 部署部署 Web,Email,BBS 的安全监测系统的安全监测系统 高校网络安全体系中，需要新型的技术和设备来应对 WEB 攻击，保证网站 安全，维护高校声誉；为广大师生等用户提供持续优质服务。这种新型的技术 就是 WEB 防火墙。 传统的边界安全设备，如防火墙，局限于自身的产品定位和防护深度，不 能有效地提供针对 Web 应用攻击完善的防御能力。防火墙的不足主要体现在： 1、传统的防火墙作为访问控制设备，主要工作在 OSI 模型三、四层，基于 IP 报文进行检测。设计之初，它就无需理解 Web 应用程序语言如 HTML 及 XML， 也无需理解 HTTP 会话。因此，它也不可能对 HTML 应用程序用户端的输入进 行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。恶意的攻击流量 将封装为 HTTP 请求，从 80 或 443 端口顺利通过防火墙检测。2、有一些定位 比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局 限于最初产品的定位以及对 Web 应用攻击的研究深度不够，只能提供非常有限 的 Web 应用防护，难以应对当前最大的安全威胁，如 SQL 注入、跨站脚本。对 网页篡改、网页挂马这类紧迫问题，更是无能为力。 Web 应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新 兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的 Web 应用安 全问题。与传统防火墙不同，WAF 工作在应用层，因此对 Web 应用防护具有先 天的技术优势。基于对 Web 应用业务和逻辑的深刻理解，WAF 对来自 Web 应 用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非 法的请求予以实时阻断，从而对各类网站站点进行有效防护。 在校园网的 www 服务器、Email 服务器等中使用网络安全监测系统，实时跟 踪、监视网络，截获 Internet 网上传输的内容，并将其还原成完整的 www、Email、FTP、Telnet 应用的内容，建立保存相应记录的数据库。及时发 现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。在这 里可以采取如下方法：用一台 PC 机通过集掀起连接在网络的关键网段上，修改 网卡的接收方式，就能接收到这个网段上传输的所有信息。采用这种方式对原 有网络的传输性能没有影响。系统基本上通过两部分组成。一部分为监控器， 第 15 页 共 20 页 主要负责如实的记录下网络上的传输数据，并将其存成硬盘上的文件，交给第 二部分后台分析其进行处理。第二部分为后台分析器，负责对前台监控器记录 下的数据进行处理，将前台监控器截获的数据拼装、还原成应用层的完整内容。 然后在数据库中添加相应的纪录。监控器可以采用一台装有两块仪态网卡的 PC 机，采用 Linux 操作系统。分析器可以有一台安装了 Windows NT 的 PC 机承担， 运用 SQL Server 等软件共同开发。这样可以对进入站内的各种信息进行检测， 这样可以过滤 email 等非法信息。同时也可以进行设置，对邮件中的病毒进行 检测。从而阻止病毒进入局域网。 3.10 部署内容安全管理部署内容安全管理系统系统 传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的 基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数 来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。 然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽， 不易察觉，所以损失也更加巨大。因此，我们还需要细粒度的应用层和内容层 策略控制。实现这个目标的新技术就是内容安全管理。 内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进 行分析、过滤和控制，实现对网站访问、邮件收发、P2P 下载、论坛、在线视 频等事件的全面有效管理。 通过内容安全管理，高校可以营造健康的网络环境，屏蔽色情、暴力等不