校园网络安全.ppt

,校园网络安全,校园网络安全,校园网系统是学校的数字神经中枢促进学校的现代化教学改革提高教学质量改善教学环境树立学校的良好形象加强各部门、各教研室之间的快速沟通与交流实现校园的多媒体教学和办公自动化提高工作效率和教育质量但普遍都存在“重技术、轻安全、轻管理”的倾向,校园网络安全,1.校园网络中存在的安全问题网络安全方面的投入严重不足，没有系统的网络安全设施配备多数学校网络建设经费不足，所以就将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施。学校的上网场所管理较混乱缺乏统一的网络出口、网络管理软件和网络监控、日志系统，学校的网络管理各自为政，缺乏上网的有效监控和日志，上网用户的身份无法唯一识别，存在极大的安全隐患。,校园网络安全,电子邮件系统不完善，无任何安全管理和监控的手段电子邮件是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决。网络病毒泛滥，造成网络性能急剧下降网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。,校园网络安全,网络安全意识淡薄，没有完善的网络安全管理制度校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。,校园网络安全,校园网络安全解决方案规范出口的管理配备完整的、系统的网络安全设备解决用户上网身份问题，建立全校统一的身份认证系统严格规范上网场所的管理，集中进行监控和管理改造电子邮件系统，提供多种安全监控和管理功能根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度,校园网络安全,2.校园网络安全技术应用校园网的特点：访问方式多样用户群庞大网络行为突发性较高等网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运用中严格管理。保证校园网络的安全性，在校园网中运用过滤器和防火墙、虚拟局域网（VLAN）、虚拟专用网（VPN）等技术。,校园网络安全,过滤器和防火墙技术的应用过滤器技术可以屏蔽不良的网站，对网上色情、暴力和邪教等内容有强大的堵截功能。防火墙技术包含了动态的封包过滤、应用代理服务、用户人证、网络地址转换、IP防假冒、预警模块、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，保护校园网络不受未经授权的第三方侵入，防止来自Internet的危险传播到内部网络,校园网络安全,防火墙主要实现：限定人们从一个特别控制的点进入防止侵袭者接近你的其他防御措施限定人们从一个控制的点离开所有来自Internet的传输信息或从内部网络发出的传输信息都要穿过防火墙，因此，防火墙可以分析这些传输信息，通过检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏，以确保它们符合节点设定的安全策略。,校园网络安全,虚拟局域网（VLAN）技术的应用每一个VLAN都是一个广播域，通过VLAN划分，可以将一个大的广播网段分成多个小的广播域。VLAN的实质就是广播域控制，它可以不拘泥于机器在网络中的物理位置来划分广播域，允许按照工作站或网段的逻辑归属构成广播域。划分后，原来的较大的LAN就从逻辑上形成了多个小的虚拟的LAN。,校园网络安全,VLAN的构建方法如下：（1）基于端口允许跨越多个交换机的多个端口划分，不同交换机的不同端口可以组成VLAN。（2）基于MAC地址由于和MAC地址相关，用户的机器可以在VLAN范围内不同物理地域自由移动。（3）基于IP地址类似于前一种，用户的机器可以在VLAN范围内不同物理地域自由移动而不用重新配置。,校园网络安全,（4）基于IP多播组以动态建立的多点广播确定VLAN，每一站点通过对标示不用VLAN的广播信息的确认来决定是否加入某一VLAN。它代表一组IP地址。VLAN由作为代理的设备对VLAN进行管理，提供服务。当IP多播组要送达多个站点时，就动态建立VLAN代理，这个代理与多个IP共同组成这个VLAN，它提供了很高的动态性能，每个成员只是特定时间内特定IP多播组的成员，并且IP多播组可跨越路由器形成WAN连接。优点：灵活性和面向应用的特点，可以跨越路由在WAN上实现缺点：VLAN的安全性降低,校园网络安全,（5）基于管理策略这是一种灵活最好的组成VLAN的方法。在网络管理中制定某种策略，使用这种策略向VLAN分配端点设备，能够实现多种分配方法，还可以根据需要灵活选择合适的方法，分为基于协议的VLAN和基于子网的VLAN。在校园网中使用VLAN容易对IP网络进行改动，能够阻止广播风暴，提供额外的安全性。但是，由于只能够在VLAN内广播，不同VLAN互相不干扰，因此，如果将同一部门划分在一个VLAN内，局域网的广播信息不会泄露；如果不同VLAN互相通信，必须通过路由。,校园网络安全,虚拟专用网(VPN)的应用可以是VLAN和远程工作站的集成体，是一个优秀的Extranet解决方案，应用隧道技术，通过ISP、NSP建立专用隧道，规范点到点连接。基本原理是：(1)采用“隧道”技术在公用网络中形成企业的专用链路；(2)是虚拟的网，没有固定的物理连接，网络只有在需要时才建立。将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，是介于公众网与专用网之间的一种网。它具有成本低、便于管理、开销小、灵活度高、保密性好的优点。,校园网络安全,创建VPN须使用如下技术：（1）隧道技术（2）加解密技术（3）密钥管理技术（4）使用者与设备身份认证技术,校园网络安全,杀毒软件的应用经过我们对目前我国校园网主流反病毒产品及解决方案的认真细致的分析，以及在对校园网管理人员的日常防病毒工作做了深入的调查和研究后，我们认为目前校园网防病毒工作中存在以下若干问题：1.安装繁琐，管理困难，对突发事件响应速度迟缓2.更新开销过大，不及时3.查杀不彻底，无法防止新病毒的爆发,校园网络安全,选择合适的网络杀毒软件可以有效防止病毒在校园网上传播。他应具有以下一些特征：（1）能够支持所有的主流平台，并实现软件安装、升级、配置的中央管理；（2）要能保护校园网所有可能的病毒入口，也就是说要支持所有可能用到的Internet协议及邮件系统，能适应并且及时跟上瞬息万变的Internet时代步伐；（3）具有较强的防护功能，能对数据、程序提供有效的保护。,校园网络安全,安全审计产品的应用针对目前中小学校普及计算机教育，学生需要互联网教育，而学校又缺乏必要的上网监控手段的现状，为校园内计算机上网提供强有力的的监督和控制管理手段。有效地帮助中小学教师完成对学生上网行为的指导、监督和控制。产品必须具备公安机关要求具备的审计功能,校园网络安全,校园网安全审计要求：符合学校网络资源教育安全的需要将学生上网资源进行全面优化组织，封堵黄色、反动、邪教等各类有害站点，有效过滤不良信息。流行的IE浏览器管理模式通过局域网内任何一台机器的IE浏览器远程登陆管理界面，进行远程管理设置。方便管理者的实际操作。多模块的设计采用多模块的设计，使得安装和使用操作简单同时不影响其强大的管理功能，可有效减轻学校网络管理人员和教师的工作强度。,校园网络安全,数据库的运用对机器资料、系统配置及内容日志采用快捷、方便、安全的数据库模块，加强所有数据资料的完整性，不会出现日志文件出错和记录不全、不及时的问题。自动管理盲点机器局域网内的机器由于线路或是网络硬件的问题可能会出现无法连通访问或是找不到其网络地址的时候，系统将启动默认自动管理功能，对此类盲点机器采用默认规则进行管理控制，使整个管理中不会出现监控盲点。灵活控制学生上下网能灵活控制校园网内任何一台电脑上网行为：包括上网时间、上网操作、所上站点的限制等等。学校可根据不同年级、不同时间段安排学生具体的上网活动，防止学生在非上网时间随意上网，有效提高教学质量。,校园网络安全,学生上网内容全程记录对每一台联网电脑的上网行为进行跟踪并记录在案。学校老师可以通过分析数据了解学生浏览网站的情况，为检验学生学习情况和个别辅导提供详细资料。集中完善的分组管理对整个校园网实现多级、模块化管理。它可以对校园里每一个局域网、每一个多媒体教室进行监管，使得整个校园网处于集中管理之下，同时又不会使网络负担过重。良好的网络可扩充性和强大的集群能力无须安装客户端，校园网任何时候可以增减电脑而不影响系统的管理，其集中管理的平台具有强大的集群能力，可满足任何超大规模校园网络管理需求。,校园网络安全,全面方便的统计、查询功能和视图报表输出根据上网的机器、上网的时间段以及上网的行为和具体站点等多种条件对学生的上网活动进行查询和统计，同时提供统计结果的各种统计视图（如：柱图、饼图、折线图等）和报表，为学科老师对每阶段的学生上网情况提供合理化的分析依据。完善的URL过滤库包括目前所有的不良网站，而且应该在不断升级中。学校可以根据实际情况来进行URL地址的堵截，防止学生上不良网站。,校园网络安全,实例讲解深圳小学网络安全防御系统,校园网络安全,校园网络安全,项目背景深圳小学校园网在网络建设时没有配置相应的安全防护措施，存在较大的安全隐患。为保证整个校园网系统的安全，确保学校教学活动的正常进行，我公司对深圳小学校园网系统的安全防护系统进行了总体规划设计，对整个校园网网络安全系统进行统一规划和部署，提供专业的网络安全集成服务。,校园网络安全,针对目前深圳小学网络安全状况，我们主要考虑从以下几个方面加强整个校园网的安全防护：1.建立高效的、全方位的网络病毒的防范体系2.在网络边界部署有效访问控制策略3.主机的自动防护4.网络安全服务,校园网络安全,设计与部署防火墙通过对深圳小学网络结构进行了认真的分析，并充分了解了深圳小学的技术需求，我们认为深圳小学防火墙系统设计需要满足以下几点：1.满足多种接入方式2.在内网与外网两个不同的网络安全域之间进行有效隔离3.满足大用户量网络环境对防火墙系统性能的要求4.为两个安全域提供无阻塞访问控制5.在网络边界提供基本的内容过滤及病毒查杀功能,校园网络安全,深圳小学网络内所有的计算机工作站包括终端、广域网路由器、服务器群都直接汇接到主干交换机上。由于工作站分布较广且全部连接,对中心的服务器及应用构成了极大的威胁，尤其是可能通过广域网上的工作站直接攻击服务器。因此，必须将中心与广域网进行隔离防护。考虑到效率，数据主要在主干交换机上流通，通过防火墙流入流出的流量不会超过百兆，因此使用百兆防火墙就完全可以满足要求。因此我们将在深圳小学网络出口处选择部署阿姆瑞特AS-F300-PRO百兆防火墙，为深圳小学网络边界提供全面的解决方案。,校园网络安全,阿姆瑞特AS-F300-PRO百兆防火墙具有5个物理接口，因此我们可以把WWW/FTP/DNS/MAIL服务器划分为一个DMZ，而把数据库服务器放在另外一个DMZ之中，这样当WWW/FTP/DNS/MAIL服务器需要访问数据库的时候就不会出现服务器由DMZ区主动发起连接访问内网的这种违犯防火墙基本规则事情，而且也可以在很大程度上实现对数据库服务器最大限度的保护。这样F300-PRO可以一个接口连接外网，一个接口连接WWW/FTP/DNS/MAIL服务器DMZ，一个接口连接数据库服务器DMZ，剩下两个接口连接内网。,2019/12/12,30,可编辑,校园网络安全,F300-PRO防火墙作为访问控制设备，其主要作用是隔离安全网与不安全网；隔离安全网络与不信任网络，并对它们之间的访问做控制。F300-PRO被放置在路由器与中心交换机之间，同时把对外服务器放在防火墙的其它接口处,划分多个DMZ。这样，既保障了网络的带宽，又加强了各个服务器的安全。通过在防火墙上配置不允许Internet用户对学校内部网访问的规则，使得整个内部局域网的安全保护更加合理、更加安全。防火墙放置在Internet与内部网以及对外服务器之间，Internet对对外服务器网络的访问都经过防火墙的检查、过滤，使得所有的访问都是安全管理员所制定的、认可的行为。防范不安全的非法访问以及恶意攻击。,校园网络安全,设置防火墙规则安装了防火墙后，能够实现与其它网络之间的隔离，所有对服务器的访问都必须通过防火墙。通过在防火墙上设置规则，不允许用户直接访问局域网的任何计算机，如有访问的需求时，必须通过对外服务器，由对外服务器进行对内部网的访问，同时，对Internet用户访问目的做控制，只允许这些用户访问对外服务器，不允许访问网络中的其它任何计算机。以此把风险降低到最小。,校园网络安全,还要制定其他规则来加强安全的程度：数据包状态检测过滤能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，而且能够记录数据包通过防火墙的连接状态，直接对分组里的数据进行处理。TCP/UDP地址映射、端口映射通过地址或者端口映射，可以使对外服务器使用保留的IP地址。同时把对外服务器的地址映射到防火墙的外端口地址。NAT转换内部用户对外访问的时候，可以通过NAT转换，这样可以保证内网用保留的IP地址，同时又隐藏了内部网络的拓扑结构，保证了内网的安全。,校园网络安全,恶意的互联网用户可能对对外服务器进行各种各样的攻击，通过在防火墙上设置相应的规则，可以抵御或者阻止这些攻击。例如：抗DOS/DDOS攻击通过在防火墙上进行规则设置，规定防火墙在单位时间内接到同一个地址的TCP全连接、半连接的最大数量，如果超出，便认为是DOS/DDOS攻击。防止入侵者扫描F300通过设置规则如果发现外部有某台计算机在单位时间内与内部某台服务器或者主机建立多个连接，便认为是扫描行为，断定这个连接，以此防止入侵者的扫描行为。,校园网络安全,防止源路由攻击源路由攻击是指黑客抓到数据包后，改变数据包中的路由选项，把数据包路由到它可以控制的路由器上，进行路由欺骗或者得到该数据包的返回信息。通过在防火墙上配置规则，禁止TCP/IP数据包中的源路由选项，防止源路由攻击。防止IP碎片攻击IP碎片攻击是指黑客把一个攻击数据包分成多个数据据包，以隐藏该数据包的攻击特征。F300防火墙在进行检查之前必须将IP分片重组为一个IP报文，而且这个报文必须具有一个最小长度以包含必要的信息以供检查，以此防止IP碎片攻击。,校园网络安全,阿姆瑞特防火墙功能特点高效安全的体系架构先进的安全检测技术为高级解决方案设计的多接口和灵活路由智能化的QOS/COS保障有效降低用户TCO（整体拥有成本）高可用性、高可靠性图形化的管理功能，帮助用户迅速部署管理控制策略,校园网络安全,设计与部署防病毒系统我们在选择防病毒解决方案时主要考虑用户以下几个方面的需求：拥有全球最尖端的反病毒技术，能够提供最高的病毒检出率每日自动更新病毒代码库高质量恢复染毒文件提供全自动的病毒防护策略提供对未知病毒的检测和查杀提供及时的系统和数据修复提供对电子邮件的病毒检测、查杀和恢复所以我们选择了卡巴斯基,校园网络安全,卡巴斯基Windows服务器反病毒产品提供两层保护：用扫描器检查保存数据的地方，扫描器既可以根据需要随时运行，也可以按照计划任务执行，病毒监视器实时对所有被使用中的文件（打开，关闭）进行监控。软件特征：完整的防病毒工具病毒警报通知隔离染毒文件集中安装和管理,校园网络安全,卡巴斯基客户端反病毒组件采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术,具有许多卓越的功能。软件特征：实时的有效保护电子邮件的反病毒过滤保护数据存储空间的安全性独特的捕捉脚本病毒技术集中式的安装和管理自动更新病毒数据库万能的启动系统,校园网络安全,卡巴斯基反病毒集中控制管理工具专供网络管理员和防病毒负责人使用的管理工具。应用此管理工具可安装、配置和更新卡巴斯基反病毒产品。特别在病毒爆发时，从管理控制台可同时对网络内所有工作站进行保护。通过KasperskyAdministrationKit，管理员可以实现：远程管理网络中工作站防病毒软件的配置远程安装（部署）工作站的防病毒软件可远程立即或在预定时间启动对客户端的扫描自动更新工作站的病毒定义数据库可接收网络内防病毒事件累积报告发送通知，管理员可以定义要通过mail发送通知的事件集中隔离病毒文件增强了用户对防病毒客户端访问权限的设置，提高了安全性,校园网络安全,对客户端进行分组，并通过指派的组管理员进行管理统一安装所有程序组件对客户端配置的更改在其在线后立即生效可以同时定制多个对象：管理员可以同时更改多个工作站、服务器和逻辑组的配置网络隔离：管理员可在服务器上储存隔离文件扩展搜索能力及更人性化的管理界面提高病毒爆发时的检测的能力提供累积的或独立的网络防病毒事件报,校园网络安全,设计与部署网络安全审计深圳中科新业信息科技发展有限公司的网络哨兵互联网安全审计系统是新一代的网络安全审计产品，它涵盖安全审计、内容过滤、数据挖掘分析等方面的功能，该产品目前已经通过了公安部的检测和颁发的销售许可证。该系统针对目前中小学校普及计算机教育，学生需要互联网教育，而学校又缺乏必要的上网监控手段的现状，为校园内计算机上网提供强有力的的监督和控制管理手段。有效地帮助中小学教师完成对学生上网行为的指导、监督和控制。,校园网络安全,网络哨兵适应校园网安全审计的产品系列如下：网络哨兵软件版适用于机器较少的校园网络，价格较低。网络哨兵硬件（旁路侦听型）可选模块：过滤库（国内最全的专业网页过滤库）邮件监控模块适用于机器较多的校园网络，过滤功能极其强大，同时旁路侦听接入不会改变网络结构。以上产品系列都具备公安机关要求具备的审计功能。,校园网络安全,校园网安全审计要求：符合学校网络资源教育安全的需要将学生上网资源进行全面优化组织，封堵黄色、反动、邪教等各类有害站点，有效过滤不良信息。流行的IE浏览器管理模式通过局域网内任何一台机器的IE浏览器远程登陆管理界面，进行远程管理设置。方便管理者的实际操作。多模块的设计采用多模块的设计，使得安装和使用操作简单同时不影响其强大的管理功能，可有效减轻学校网络管理人员和教师的工作强度。,校园网络安全,学生上网内容全程记录对每一台联网电脑的上网行为进行跟踪并记录在案。学校老师可以通过分析数据了解学生浏览网站的情况，为检验学生学习情况和个别辅导提供详细资料。集中完善的分组管理对整个校园网实现多级、模块化管理。它可以对校园里每一个局域网、每一个多媒体教室进行监管，使得整个校园网处于集中管理之下，同时又不会使网络负担过重。良好的网络可扩充性和强大的集群能力无须安装客户端，校园网任何时候可以增减电脑而不影响系统的管理，其集中管理的平台具有强大的集群能力，可满足任何超大规模校园网络管理需求。,校园网络安全,学生上网内容全程记录对每一台联网电脑的上网行为进行跟踪并记录在案。学校老师可以通过分析数据了解学生浏览网站的情况，为检验学生学习情况和个别辅导提供详细资料。集中完善的分组管理对整个校园网实现多级、模块化管理。它可以对校园里每一个局域网、每一个多媒体教室进行监管，使得整个校园网处于集中管理之下，同时又不会使网络负担过重。良好的网络可扩充性和强大的集群能力无须安装客户端，校园网任何时候可以增减电脑而不影响系统的管理，其集中管理的平台具有强大的集群能力，可满足任何超大规模校园网络管理需求。,校园网络安全,全面方便的统计、查询功能和视图报表输出根据上网的机器、上网的时间段以及上网的行为和具体站点等多种条件对学生的上网活动进行查询和统计，同时提供统计结果的各种统计视图（如：柱图、饼图、折线图等）和报表，为学科老师对每阶段的学生上网情况提供合理化的分析依据。完善的URL过滤库包括目前所有的不良网站，而且应该在不断升级中。学校可以根据实际情况来进行URL地址的堵截，防止学生上不良网站。,校园网络安全,网络哨兵的基本功能审计功能行为审计内容审计互联网统计、报告分析系统邮件审计管理自定义审计协议系统运行记录,校园网络安全,针对上网行为的控制管理功能具备专业的URL过滤库准确的分类实时的数据更新禁止连接的IP地址禁止使用空闲地址只允许访问自定义的网站禁止以IP形式访问网页端口封堵仅开放库中指定的端口Ip和mac绑定黑白名单过滤上网时间控制,校园网络安全,系统控制管理功能系统支持多个管理员，不同的管理员有不同的权限范围权限分配手工添加被监控机器自动添加被监控机器Lisence控制机器分组管理所有的管理行为均被记录，不允许修改监控策略管理,校园网络安全,扩展功能系统升级数据自动清除数据导出系统返回原始状态性能指标接入方