校园网安全解决方案.doc

一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用一定的技术；二是不断改进管理方法。从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等，这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。 一般校园网络存在的安全隐患和漏洞有： 1 、校园网通过 CERNET 与 Internet 相连，在享受 Internet 方便快捷的同时，也面临着遭遇攻击的风险。 2 、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。 3 、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。 WINNT/WIN2000 是常用系统，主要存在如下安全隐患：本身系统的漏洞、浏览器的漏洞、 IIS 的漏洞等。 4 、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。 由此可见，构建必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。 解决方案及具体实现安全防护要点：网络安全隔离、网络监控措施网络安全漏洞、网络病毒的防范。 构建DMZ区。在设备选型方面,选用统一的厂品（1）品牌选择。在整个网络设计中，实用的是神州数码的产品。因为采用统一的厂家的产品，在性能参数、技术支持，价格等很多些方面我们都可以得到很大的便利，这是对校方的利益的保障！（2）“量体裁衣”策略。（3）性价比高、质量可靠。 在众多厂家的选择中，神州数码的产品具有很高的性价比，并且质量可靠！这让我们的工程费用的投入产出达到最大值，为学校合理的利用了资金!拓扑图设计一、防火墙部署 设备: DCFW-1800S-H-V2(R3) 小型企业级防火墙 (适合我们学校) 物理参数：1U标准机箱、5个10/100/1000M以太网电口 价格： 33320 元 在 Internet 与校园网，内网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。其中 WWW 、 MAIL 、 FTP 、 DNS 对外服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。那么，通过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性： （ 1 ）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，ACL.规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 （ 2 ）将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击。 （ 3 ）在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用。 （ 4 ）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 （ 5 ）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。 二、入侵检测系统部署 DCNIDS-1800-M2百兆入侵检测系统（包含管理软件1套，硬件检测引擎1台）性能参数：每秒最大抓包数：350,000pps(64byte包长) 每秒能监控的新建TCP连接数： 10,000/s 每秒能监控的新建HTTP连接数：9,000/s 能监控的最大TCP并发连接数： 500,000 能监控的最大HTTP并发连接数：250,000网络接口：3个百兆电口，其中2个监控端口，1个管理端口价格：117600元 入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，可以发出实时报警，使得学校管理员能够及时采取应对措施。上网行为监控系统DCBI-NetLog(3000)多维l网NgN日志审计组件神州数码上网行为日志系统 V1.0 (2000)。2U机架式，3个千兆电口，2个千兆GBIC光口。可实现网站访问、BBS/留言、网络游戏、下载、各种股票流量、即时消息、邮件等的分析记录与控制管理。价格：190120元随着计算机、宽带上网的迅速普及，网络办公、无纸化办公日益流行，电脑和互联网已经成为单位、企业工作中不可缺少、便捷高效的工具。然而随着上网行为在工作环境的日益普及，也给管理者带来一个大难题：在享受着电脑办公和互联网络带来的速度和效率的同时，员工非工作上网现象越来越突出，企业普遍存在着电脑和互联网络滥用的严重问题。上网行为监控系统能够对很多员工会在办公时间内浏览与工作无关的网站、进行IM/P2P软件使用、流媒体观看或玩游戏、以及其它非工作用途的计算机应用，如娱乐、新闻、IM聊天、游戏、P2P等进行有效的管理。三、漏洞扫描系统 采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 四、网络版杀毒产品部署 在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。 （ 1 ）在学校网络中心配置一台高效的 Windows2003 服务器安装一个杀毒软件网络版的系统中心，负责管理多个主机网点的计算机。 （ 2 ）在各行政、教学单位等多个分支机构分别安装杀毒软件网络版的客户端。软件选择: 我们可以使用一款该公司新推出的Symantec Endpoint Protection(以下简称SEP)网络版杀毒软件 为了保护用户抵御当前威胁和未来新兴威胁，Symantec Endpoint Protection纳入了主动防护技术，自动分析应用行为和网络沟通，从而检测并主动拦截威胁。用户可获得单一解决方案，集成了防病毒、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制，并十分易于部署和管理。 （ 3 ）安装完杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 （ 4 ）网络中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它多个主机网点的客户端与服务器端，并自动对杀毒软件网络版进行更新。采取这种升级方式，一方面确保校园网内的杀毒软件的更新保持同步，使整个校园网都具有最强的防病毒能力；另一