校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)案例

1、第一章 網(wǎng)絡(luò)的介紹一.網(wǎng)絡(luò)實(shí)現(xiàn)的功能1.1.1 校園網(wǎng)應(yīng)提供如下功能：（1）連接校內(nèi)所有教學(xué)樓、實(shí)驗(yàn)室、辦公樓中的PC。（2）同時(shí)支持約600 用戶(hù)瀏覽Internet。（3）提供豐富的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)廣泛的軟件，硬件資源共享，包括：（A）提供基本的Internet 網(wǎng)絡(luò)服務(wù)功能：如電子郵件、文件傳輸、遠(yuǎn)程登錄、新聞組討論、電子公告牌、域名服務(wù)等。（B）提供校內(nèi)各個(gè)管理機(jī)構(gòu)的辦公自動(dòng)化：􀁺 提供財(cái)務(wù)查詢(xún)，報(bào)賬服務(wù)。􀁺 提供受存取權(quán)控制的文件、檔案查詢(xún)服務(wù)。􀁺 提供貴重設(shè)備儀器及其它設(shè)備信息的管理服務(wù)。􀁺 提供各學(xué)科專(zhuān)業(yè)資料數(shù)

2、據(jù)庫(kù)服務(wù)。􀁺 提供學(xué)校自己的管理信息系統(tǒng)（MIS）。（C）提供圖書(shū)，文獻(xiàn)查詢(xún)與檢索服務(wù)，增強(qiáng)校圖書(shū)館信息自動(dòng)化能力。（D）全校共享軟件庫(kù)服務(wù)，避免重復(fù)投資，發(fā)揮最大效益。（E）提供CAI 教學(xué)和科研的便利條件。（F）經(jīng)廣域網(wǎng)接口，提供國(guó)內(nèi)外計(jì)算機(jī)系統(tǒng)的互連，為國(guó)際間的信息交流和科研合作，為學(xué)?？焖佾@得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。1.1.2 校園網(wǎng)對(duì)主機(jī)系統(tǒng)的主要要求：􀁺 主機(jī)系統(tǒng)應(yīng)采用國(guó)際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展能力；􀁺 主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長(zhǎng)時(shí)間連續(xù)工作，并有容錯(cuò)措施；􀁺 支持通用大

3、型數(shù)據(jù)庫(kù)，如 SQL、Oracle 等；􀁺 具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；􀁺 能與 Internet 互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如WWW瀏覽服務(wù)、FTP 文件傳輸服務(wù)、E-mail 電子郵件服務(wù)、NEWS 新聞組討論等服務(wù)；􀁺 支持 SNMP 網(wǎng)絡(luò)管理協(xié)議，具有良好的可管理性和可維護(hù)性；1.1.3 校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案應(yīng)滿(mǎn)足如下要求：􀁺 網(wǎng)絡(luò)方案應(yīng)采用成熟的技術(shù)，并盡可能采用先進(jìn)的技術(shù)；􀁺 采用國(guó)際統(tǒng)一標(biāo)準(zhǔn)，以擁有廣泛的支持廠商，最大限度的采用同一廠家的產(chǎn)品；􀁺

4、方案應(yīng)合理分配帶寬，使用戶(hù)不受網(wǎng)上“塞車(chē)”的影響；􀁺 應(yīng)充分考慮未來(lái)可能的應(yīng)用，如桌面將承受大型應(yīng)用軟件和多媒體傳輸需求的壓力；􀁺 該網(wǎng)絡(luò)方案要具有高擴(kuò)展性。能為用戶(hù)未來(lái)數(shù)目的擴(kuò)展具有調(diào)整、擴(kuò)充的手段和方法；􀁺 該網(wǎng)絡(luò)應(yīng)是面向連接的，能夠?qū)崿F(xiàn)虛擬網(wǎng)（VLAN）連接；􀁺 考慮對(duì)用戶(hù)現(xiàn)有網(wǎng)絡(luò)的平滑過(guò)度，使學(xué)校現(xiàn)有陳舊設(shè)備盡量保持較好的利用價(jià)值；1.1.4 校園網(wǎng)對(duì)網(wǎng)絡(luò)設(shè)備的要求：􀁺 高性能；所有網(wǎng)絡(luò)設(shè)備都應(yīng)足夠的吞吐量；􀁺 高可靠性和高可用性；應(yīng)考慮多種容錯(cuò)技術(shù)；􀁺 可管理

5、性；所有網(wǎng)絡(luò)設(shè)備均可用適當(dāng)?shù)木W(wǎng)管軟件進(jìn)行監(jiān)控、管理和設(shè)置；􀁺 采用國(guó)際統(tǒng)一的標(biāo)準(zhǔn)；1.1.5 系統(tǒng)集成所共同遵循的設(shè)計(jì)原則：􀁺 本著實(shí)用的原則，盡量使用成熟先進(jìn)的平臺(tái)軟件，以縮短教學(xué)課件的開(kāi)發(fā)周期；􀁺 采用分布式的結(jié)構(gòu)，以便于開(kāi)發(fā)和維護(hù)；􀁺 采用集群解決方案，以保證連續(xù)工作；􀁺 為保證網(wǎng)絡(luò)速度而采用高的帶寬；􀁺 追求最高的性能價(jià)格比。1.1.6 系統(tǒng)集成所共同追求的設(shè)計(jì)目標(biāo)：􀁺 建成一個(gè)具有高可靠性和開(kāi)放性的校園網(wǎng)絡(luò)，它應(yīng)支持流行的SNMP 等網(wǎng)絡(luò)管理協(xié)議；И

6、698; 采用 Internet 上的標(biāo)準(zhǔn)協(xié)議-TCP/IP 協(xié)議，提供校園內(nèi)部及面向全球的WWW服務(wù)、FTP 服務(wù)、NEWS 服務(wù)、電子郵件服務(wù)，實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的完全接軌；􀁺 同時(shí)它還應(yīng)具有支持通用大型數(shù)據(jù)庫(kù)的功能，支持多種協(xié)議，具有良好的軟件支持；􀁺 采用模塊化結(jié)構(gòu)設(shè)計(jì)，容易升級(jí)；􀁺 最后，它還應(yīng)針對(duì)學(xué)校的教學(xué)特點(diǎn)，具有一些基本的教學(xué)功能，以完成學(xué)校的基本教學(xué)任務(wù)。二.網(wǎng)絡(luò)規(guī)劃2.1 目前各主流網(wǎng)絡(luò)結(jié)構(gòu)概述2.1.1 以太網(wǎng)和快速以太網(wǎng)：快速以太網(wǎng)實(shí)際上是 10Mbps 以太網(wǎng)的100Mbps 版本，所以它的運(yùn)行速度要比10Mbps

7、以太網(wǎng)快十倍。在用戶(hù)已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對(duì)其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受，它可以應(yīng)用在共享式和主干環(huán)境下，提供高帶寬的共享式網(wǎng)絡(luò)或主干連接，同時(shí)也可以應(yīng)用在交換式環(huán)境下，提供優(yōu)異的服務(wù)質(zhì)量(QoS)?？焖僖蕴W(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相似，毋庸贅言，此外它還具備以下優(yōu)點(diǎn)： 快速以太網(wǎng)和普通以太網(wǎng)同樣遵循 CSMA/CD 協(xié)議，現(xiàn)有的10BaseT 網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡(jiǎn)便地升級(jí)到快速以太網(wǎng)，保護(hù)用戶(hù)原有的投資，與其它新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10MbpsLAN 無(wú)縫連接到100MbpsLAN 上。 100BaseT 集線器和網(wǎng)絡(luò)接口卡，只需要比10BaseT 同樣的設(shè)備

8、多花少量費(fèi)用就可提供比普通以太網(wǎng)高10 倍的性能。因此，100BaseT 具備較高的性能價(jià)格比。 快速以太網(wǎng)(100BaseT)已得到IEEE 任命標(biāo)準(zhǔn)為802.3u，并得到了所有的主流網(wǎng)絡(luò)廠商的支持。2.1.3 千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)是相當(dāng)成功的 10Mbps 以太網(wǎng)和100Mbps 快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展。IEEE 已批準(zhǔn)千兆位以太網(wǎng)工程IEEE802.3z。千兆位以太網(wǎng)和已充分建立的以太網(wǎng)與快速以太網(wǎng)的節(jié)點(diǎn)完全匹配。最初的以太網(wǎng)規(guī)范由幀格式定義，且支持CSMA/CD 協(xié)議、全雙工、流控制和由IEEE802.3 標(biāo)準(zhǔn)定義的管理項(xiàng)目，千兆位以太網(wǎng)將使用所有這些規(guī)范?？傊?，千兆位以太網(wǎng)和管

9、理員以前使用和了解的以太網(wǎng)相同，所不同是僅僅是比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性，而且和日益增強(qiáng)的服務(wù)器和臺(tái)式計(jì)算機(jī)的功能相匹配。我們可以看到主干和各網(wǎng)段及桌面已實(shí)現(xiàn)了無(wú)縫結(jié)合，網(wǎng)絡(luò)管理變得不再讓用戶(hù)望而生畏。2.2 網(wǎng)絡(luò)總體規(guī)劃:綜上所述，我建議采用千兆位以太網(wǎng)網(wǎng)絡(luò)方案，理由如下：對(duì)于主干應(yīng)用程序，ATM 仍有吸引力，特別是對(duì)于那些和未來(lái)ATM WAN服務(wù)匹配的應(yīng)用程序和WAN 的訪問(wèn)集成。ATM 使用定長(zhǎng)的信元交換，按不同的速率傳輸數(shù)據(jù)、圖像、語(yǔ)音，在廣域網(wǎng)領(lǐng)域，ATM 都具有極強(qiáng)的優(yōu)越性。對(duì)于需要專(zhuān)有服務(wù)質(zhì)量（QoS）特征，如：醫(yī)學(xué)圖象的高速傳遞，ATM 是

10、適合的。由于千兆位以太網(wǎng)為帶寬的需求而包括了一個(gè)改進(jìn)措施：在鏈路層中采用快速光纖連接方式。使得它對(duì)電視會(huì)議、復(fù)雜圖象和其它高數(shù)據(jù)密度的應(yīng)用程序的數(shù)據(jù)傳遞速率為100M 以太網(wǎng)的十倍。同時(shí)千兆位以太網(wǎng)是最為普及的網(wǎng)絡(luò)體系結(jié)構(gòu)，由于以太網(wǎng)在 80 年代初出現(xiàn)，并迅速地得到發(fā)展，使其它的網(wǎng)絡(luò)連接如Token Ring(令牌環(huán))和ATM 都黯然失色。千兆位以太網(wǎng)在利用用戶(hù)熟悉性的同時(shí)，由于其與以太網(wǎng)的匹配性，使之能保留在管理員專(zhuān)業(yè)技能方面和支持培訓(xùn)方面的投資，而沒(méi)有必要購(gòu)買(mǎi)新的協(xié)議或投資新的中繼設(shè)備。正如100M 提供的低價(jià)位、逐步從10M 以太網(wǎng)升級(jí)一樣，千兆位以太網(wǎng)將使網(wǎng)絡(luò)自然地升級(jí)到1000M

11、的帶寬。千兆以太網(wǎng)寬的帶寬還幫助改善了 QoS，規(guī)范化遲滯時(shí)間來(lái)把視頻抖動(dòng)和音頻遲滯降到最低。以前，ATM 是唯一一種能實(shí)現(xiàn)任何種類(lèi)QoS 的可靠途徑。但是現(xiàn)在，千兆位以太網(wǎng)迅速根除了這個(gè)差距，并且具有多得多的經(jīng)濟(jì)性、向上兼容性和與其它技術(shù)的協(xié)調(diào)性。由于以上這些原因，英特爾公司認(rèn)為在不久的將來(lái)，ATM 仍會(huì)在WAN 等級(jí)的互連網(wǎng)上應(yīng)用。ATM 不會(huì)大規(guī)模的在臺(tái)式計(jì)算機(jī)或工作組級(jí)應(yīng)用，這是因?yàn)锳TM 要求對(duì)網(wǎng)絡(luò)端口硬件、軟件以及管理協(xié)議的徹底更換。而且ATM 也比以太網(wǎng)要貴。我司認(rèn)為使用ATM 可能會(huì)給學(xué)校網(wǎng)絡(luò)管理人員帶來(lái)以下的障礙：費(fèi)用遠(yuǎn)高于千兆位以太網(wǎng)解決方案風(fēng)險(xiǎn)標(biāo)準(zhǔn)，產(chǎn)品和管理策略仍在變動(dòng)

12、復(fù)雜性新的技術(shù)，培訓(xùn)費(fèi)用昂貴維護(hù)費(fèi)用需要軟件來(lái)作為一個(gè)路徑運(yùn)行于以太網(wǎng) LAN 和ATM網(wǎng)絡(luò)之間我們想通過(guò)下面的二組表格對(duì)兩種技術(shù)就目前的現(xiàn)況做出全面的比較。以上的比較表明千兆以太網(wǎng)以許多方式發(fā)送最初期望 ATM 實(shí)現(xiàn)的優(yōu)點(diǎn),而且可以容易的、經(jīng)濟(jì)的多地執(zhí)行。三 .網(wǎng)絡(luò)設(shè)計(jì)方案3.1 校園網(wǎng)拓樸結(jié)構(gòu)的總體描述我們對(duì)本校園網(wǎng)的主干網(wǎng)絡(luò)設(shè)備的選擇初步確定如下（見(jiàn)附圖一）：網(wǎng)絡(luò)建設(shè)將采用新型的背板堆疊技術(shù)，根據(jù)功能區(qū)劃分由Intel Express 510T交換機(jī)組成4-6 個(gè)交換機(jī)組。適當(dāng)?shù)姆峙涠询B數(shù)量，提供600 個(gè)100M 交換端口，所有工作站都通過(guò)100M 網(wǎng)卡連接到交換機(jī)組上，使100M 交

13、換到桌面。交換機(jī)組采用GB2 模塊與Intel Express Gigabit Switch 千兆交換機(jī)相連。這樣，在交換機(jī)組之間可達(dá)到1000M 的帶寬，而同一交換機(jī)組內(nèi)部可達(dá)到最高15Gbps 的帶寬。中心計(jì)算機(jī)房的Web 服務(wù)器、E-mail 服務(wù)器、文件服務(wù)器、影視服務(wù)器等設(shè)備直接與1000M 交換機(jī)上的100M 以太網(wǎng)模塊連接。與 Internet 的連接采用一臺(tái)Intel Express 9100 Routers 路由器，通過(guò)DDN線路與Internet 相連。在不改變網(wǎng)絡(luò)技術(shù)情況下的擴(kuò)展方式：隨著網(wǎng)絡(luò)流量的增加，主干網(wǎng)上1000M 交換機(jī)的帶寬壓力不斷提高。這時(shí)我們可以采用Int

14、el Express GigabitSwitch 交換機(jī)特有的冗余連接特性，增加一臺(tái)1000M交換機(jī)。并在這兩個(gè)1000M交換機(jī)之間建立多條連接。這樣不僅提供了更大的帶寬（最高可達(dá)32Gbps），同時(shí)又增強(qiáng)了主干網(wǎng)段的連接剛性，還增加了更多的1000M 交換端口，為以后增加更多的服務(wù)設(shè)備提供了良好的擴(kuò)充余地?？紤]未來(lái) ATM 應(yīng)用的增加，以及ATM 網(wǎng)與現(xiàn)有以太網(wǎng)的無(wú)縫連接，分期分批的進(jìn)行ATM 技術(shù)的應(yīng)用：1. ATM向桌面擴(kuò)展若干需要基于ATM應(yīng)用如視頻會(huì)議的PC，以ATM工作組交換機(jī)互連，如：FORE RUNNER LE25 。利用其155M 上聯(lián)端口，與Intel 500 系列交換機(jī)O

15、C-3 ATM 上聯(lián)模塊連接，利用局域網(wǎng)仿真技術(shù)，ATM 網(wǎng)與原有以太網(wǎng)平滑連接2. 建立ATM 主干網(wǎng)未來(lái)隨著網(wǎng)絡(luò)中多媒體應(yīng)用的大量增加，以及考慮到與第二代Internet （以ATM 交換設(shè)備作為通信主干）的連接，將網(wǎng)絡(luò)主干升級(jí)為雙主干，現(xiàn)有網(wǎng)絡(luò)設(shè)備可通過(guò)OC-3 ATM 上聯(lián)模塊與主干ATM中心交換機(jī)如FORE ESX-3000 交換機(jī)連接。原有Intel 千兆交換機(jī)與ATM 主干交換機(jī)上的以太網(wǎng)模塊連接，建立主干交換機(jī)之間的冗余通道。大量多種類(lèi)型的數(shù)據(jù)通信以FORE ESX-3000 交換機(jī)與Intel 千兆交換機(jī)的強(qiáng)大背板作為支持，并且將多媒體的應(yīng)用擴(kuò)展到所有桌面PC建立 ATM 主

16、干網(wǎng).3.2 校園網(wǎng)采用的協(xié)議標(biāo)準(zhǔn)本校園網(wǎng)以 TCP/IP 為主要協(xié)議，因?yàn)門(mén)CP/IP 協(xié)議簇是美國(guó)國(guó)防部門(mén)制定的一套計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議，是目前眾多計(jì)算機(jī)網(wǎng)絡(luò)最流行的協(xié)議，以它為基礎(chǔ)組建的Internet 網(wǎng)是目前國(guó)際上規(guī)模最大的計(jì)算機(jī)網(wǎng)間網(wǎng)，它雖不是國(guó)際標(biāo)準(zhǔn)，但卻是一種事實(shí)上的工業(yè)標(biāo)準(zhǔn)協(xié)議，采用TCP/IP 為網(wǎng)絡(luò)主要協(xié)議，可保證與ChinaNET 和Internet 保持一致，還可支持IPX，DECNET 等其它協(xié)議。真正實(shí)現(xiàn)于國(guó)際互聯(lián)網(wǎng)的無(wú)縫連接。從計(jì)算機(jī)網(wǎng)絡(luò)通訊的觀點(diǎn)來(lái)看，TCP/IP 網(wǎng)絡(luò)實(shí)質(zhì)上可稱(chēng)為IP 網(wǎng)絡(luò)，它是由許多IP 網(wǎng)關(guān)（或稱(chēng)為IP 路由器）通過(guò)若干直接連通的通信線路（點(diǎn)到

17、點(diǎn)通信）形成一個(gè)計(jì)算機(jī)通信網(wǎng)絡(luò)。在IP 網(wǎng)點(diǎn)上再接入主機(jī)，子網(wǎng)便構(gòu)成一個(gè)互聯(lián)的計(jì)算機(jī)網(wǎng)絡(luò)，這些安裝了TCP/IP 的各類(lèi)計(jì)算機(jī)間需要通信時(shí)，它就不再要求設(shè)置協(xié)議轉(zhuǎn)換開(kāi)關(guān)，而且主要的網(wǎng)絡(luò)服務(wù)都可建立在TCP/IP 服務(wù)器上。3.3 校園網(wǎng)采用的網(wǎng)絡(luò)操作系統(tǒng)本校園網(wǎng)的網(wǎng)絡(luò)操作系統(tǒng)以 Microsoft Windows Server 2003 為主，它是發(fā)展速度最快的集成了Web 應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)。具有界面友好、系統(tǒng)強(qiáng)壯、穩(wěn)定可靠、與桌面主流操作系統(tǒng)相容性好等優(yōu)點(diǎn)。并擁有大量的基于NT 的服務(wù)端軟件，是Intranet 網(wǎng)絡(luò)中最佳的網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)。第二章 網(wǎng)絡(luò)安全分析一.校園網(wǎng)絡(luò)安全1.1校園網(wǎng)

18、存在的問(wèn)題校園網(wǎng)絡(luò)都是借助主干通信網(wǎng)，將各地的分部門(mén)和總部連接，同時(shí)與互聯(lián)。這就存在著以下幾方面的網(wǎng)絡(luò)安全問(wèn)題：􀁺總部局域網(wǎng)和各分、子部門(mén)局域網(wǎng)之間，分、子部門(mén)與下屬機(jī)構(gòu)局域網(wǎng)之間廣域網(wǎng)干線上信息傳輸?shù)陌踩Ｃ軉?wèn)題。􀁺總部局域網(wǎng)及各分、子部門(mén)局域網(wǎng)自身的安全，要確保這些局域網(wǎng)不受網(wǎng)內(nèi)用戶(hù)非法授權(quán)訪問(wèn)和破壞。􀁺來(lái)自外部的非授權(quán)用戶(hù)非法攻擊和破壞，以及內(nèi)部用戶(hù)對(duì)外部非法站點(diǎn)的訪問(wèn)。二.網(wǎng)絡(luò)安全方案的分類(lèi)2.1基礎(chǔ)結(jié)構(gòu)安全 主要包括：操作系統(tǒng)選擇和問(wèn)題規(guī)避；帳號(hào)設(shè)置、口令強(qiáng)度、網(wǎng)絡(luò)參數(shù)、文件監(jiān)測(cè)保護(hù)在現(xiàn)實(shí)運(yùn)作中，密碼系統(tǒng)已經(jīng)非常完善，標(biāo)準(zhǔn)的DES

19、、RSA和其他相關(guān)認(rèn)證體系已經(jīng)成為公認(rèn)的具有計(jì)算復(fù)雜性安全的密碼標(biāo)準(zhǔn)協(xié)議，這個(gè)標(biāo)準(zhǔn)的健壯性也經(jīng)受了成千上萬(wàn)網(wǎng)絡(luò)主機(jī)的考驗(yàn),但是在網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)本身上，仍然有很多可被攻擊的入口。很多網(wǎng)絡(luò)安全中的問(wèn)題集中在操作系統(tǒng)的缺陷上。Unix及類(lèi) Unix操作系統(tǒng)是在 Internet中非常普遍的操作系統(tǒng)，主要用于網(wǎng)絡(luò)服務(wù)。它的源代碼是公開(kāi)的，所以在很多場(chǎng)合下使用者可以定制自己的Unix,操作系統(tǒng)，使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求。由于網(wǎng)絡(luò)協(xié)議是獨(dú)立與操作系統(tǒng)的，它的體系結(jié)構(gòu)與操作系統(tǒng)端是無(wú)關(guān)的，網(wǎng)絡(luò)協(xié)議所存在的安全隱患也是獨(dú)立于操作系統(tǒng)來(lái)修正的。22管理安全 安全管理是網(wǎng)絡(luò)必須考慮的，主要包括：權(quán)限管理，

20、單點(diǎn)登錄，安全管理中心等。管理的技術(shù)手段很多，通過(guò)采用加強(qiáng)身份確認(rèn)的方法獲得網(wǎng)上資源控制權(quán)如智能IC身份卡，提供安全的遠(yuǎn)程接入手段；采用虛擬專(zhuān)網(wǎng)技術(shù)如網(wǎng)絡(luò)保密機(jī)解決數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩?；安全郵件和安全Web服務(wù)器也是一類(lèi)重要的安全產(chǎn)品。然而，對(duì)一個(gè)具體的網(wǎng)絡(luò)系統(tǒng)，我們?cè)诎踩L(fēng)險(xiǎn)評(píng)估確定合適的安全需求后，從技術(shù)上講可以架構(gòu)一個(gè)滿(mǎn)足基本要求的安全設(shè)備平臺(tái)。但是發(fā)生最頻繁的安全威脅實(shí)際上是非技術(shù)因素，安全管理漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來(lái)，這個(gè)網(wǎng)絡(luò)信息系統(tǒng)的安全性才有保障。因此，采用集中統(tǒng)一的管理策略，以技術(shù)手段實(shí)現(xiàn)非技術(shù)的安全管理，主要由安全管理中心實(shí)

21、現(xiàn)。23 邊界安全校園網(wǎng)絡(luò)與外界的邊界劃分是否科學(xué)?IT系統(tǒng)與外界、內(nèi)部關(guān)鍵部門(mén)之間是否安全隔離?這都屬于邊界安全范圍?？梢栽陉P(guān)心的實(shí)體之間安裝防火墻產(chǎn)品和攻擊檢測(cè)軟件，來(lái)加強(qiáng)邊界安全，實(shí)施攻擊防御方案。關(guān)于防火墻技術(shù)的使用成功與否對(duì)網(wǎng)絡(luò)的安全有決定性作用，對(duì)此我們進(jìn)行主要討論231防火墻的概念當(dāng)一個(gè)網(wǎng)絡(luò)，接入以后，而系統(tǒng)的安全性除了考慮病毒、系統(tǒng)的健壯性之外，更主要的防止非法用戶(hù)的入侵。而目前防制措施主要是靠防火墻技術(shù)完成。防火墻是指由一個(gè)軟件和硬件設(shè)備組合而成，處于網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶(hù)對(duì)于內(nèi)部網(wǎng)絡(luò)訪問(wèn)以及管理內(nèi)部用戶(hù)訪問(wèn)外界網(wǎng)絡(luò)的權(quán)限。實(shí)際上防火墻作為一種網(wǎng)絡(luò)監(jiān)視和過(guò)

22、濾器，它監(jiān)視每一個(gè)通過(guò)的數(shù)據(jù)報(bào)文和請(qǐng)求。一方面對(duì)可信賴(lài)的報(bào)文和應(yīng)用請(qǐng)求允許通過(guò)，另一方面對(duì)有害的或可疑的報(bào)文禁止其通過(guò)。防火墻具有使用簡(jiǎn)便，高速、邏輯漏洞少等特點(diǎn)。232防火墻在網(wǎng)絡(luò)中的位置為了達(dá)到對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行監(jiān)視的目的，防火墻一般位于局域網(wǎng)和廣域網(wǎng)之間或局域網(wǎng)與局域網(wǎng)之間。防火墻位于局域網(wǎng)和廣域網(wǎng)之間，如圖。在這種情況之下，防火墻的主要作用是允許局域網(wǎng)內(nèi)的用戶(hù)訪問(wèn)，如瀏覽WWW網(wǎng)站，收發(fā)E-mail，并且禁止來(lái)自于上的未知用戶(hù)闖入局網(wǎng)進(jìn)行破壞或竊取機(jī)密信息。防火墻在局域網(wǎng)與局域網(wǎng)之間，如圖：在這種情況下，防火墻的作用是允許公用信息在兩個(gè)網(wǎng)絡(luò)中傳輸，保證每個(gè)網(wǎng)段的私有信息不被對(duì)方訪問(wèn)?？?/p>

23、以看出無(wú)論哪一種形式，防火墻都是數(shù)據(jù)報(bào)文進(jìn)出網(wǎng)絡(luò)的必經(jīng)之路，這樣才能保證防火墻對(duì)網(wǎng)絡(luò)的監(jiān)視保護(hù)作用。233防火墻的分類(lèi)2331按防火墻在網(wǎng)絡(luò)中所起的作用，防火墻可以分成兩種，一種是與路由設(shè)備合二為一，通常為過(guò)濾路由器或是網(wǎng)關(guān)主機(jī)防火墻，另一種叫做堡壘主機(jī)式防火墻，它不具有路由功能。過(guò)濾路由器、網(wǎng)關(guān)主機(jī)防火墻是在路由器和網(wǎng)關(guān)主機(jī)上加上包過(guò)濾的功能，是網(wǎng)絡(luò)中的第一道防線。因?yàn)樗哂新酚傻墓δ?，所以它的安全性較差。堡壘主機(jī)式防火墻是網(wǎng)絡(luò)中最為重要的安全設(shè)備，通常以橋接的方式安裝在路由器和網(wǎng)絡(luò)之間，它的唯一作用是保證網(wǎng)絡(luò)的安全使用，這種防火墻在網(wǎng)絡(luò)中的具體位置如圖。第三章 網(wǎng)絡(luò)安全設(shè)計(jì)原則一.網(wǎng)絡(luò)安全

24、設(shè)計(jì)應(yīng)遵循的思想（1）大幅度地提高系統(tǒng)的安全性和保密性； （2）保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；（3）易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作； （4）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； （5）安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用； （6）安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。 二.網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)遵循設(shè)計(jì)原則： 2.1滿(mǎn)足Internet分級(jí)管理需求：根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶(hù)眾多的特點(diǎn)，對(duì)Internet/Intranet信息安全實(shí)施分級(jí)管理的解決方案，將對(duì)它的

25、控制點(diǎn)分為三級(jí)實(shí)施安全管理。 􀁺第一級(jí)：中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶(hù)的訪問(wèn)控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。 􀁺第二級(jí)：部門(mén)級(jí)，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶(hù)的訪問(wèn)控制；同級(jí)部門(mén)間的訪問(wèn)控制；部門(mén)網(wǎng)內(nèi)部的安全審計(jì)。 􀁺第三級(jí)：終端/個(gè)人用戶(hù)級(jí)，實(shí)現(xiàn)部門(mén)網(wǎng)內(nèi)部主機(jī)的訪問(wèn)控制；數(shù)據(jù)庫(kù)及終端信息資源的安全保護(hù)。 2.2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，

26、然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 2.3綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專(zhuān)業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 2.4可用性原則 安全措施需要

27、人為去完成，如果措施過(guò)于復(fù)雜，要求過(guò)高，本身就降低了安全性，如密鑰管理就有類(lèi)似的問(wèn)題。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。 分步實(shí)施原則：分級(jí)管理 分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿(mǎn)足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。第四章 網(wǎng)絡(luò)安全實(shí)施方案一.網(wǎng)絡(luò)安全的需求確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問(wèn)題是建立合理安全需求的基礎(chǔ)。一般來(lái)講，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下

28、安全問(wèn)題：局域網(wǎng)LAN內(nèi)部的安全問(wèn)題，包括網(wǎng)段的劃分以及VLAN的實(shí)現(xiàn) 在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性 應(yīng)用系統(tǒng)如何保證安全性 l 如何防止黑客對(duì)網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵 如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?。加密系統(tǒng)如何布置，包括建立證書(shū)管理中心、應(yīng)用系統(tǒng)集成加密等 。如何實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的安全性。 如何評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性 ?；谶@些安全問(wèn)題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問(wèn)控制、安全檢測(cè)、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息（如NAT）等。二.網(wǎng)絡(luò)安全層次及安全措施3.1鏈路安全鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對(duì)所有用戶(hù)數(shù)據(jù)

29、一起加密，用戶(hù)數(shù)據(jù)通過(guò)通信線路送到另一節(jié)點(diǎn)后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下，如DDN直通專(zhuān)線用戶(hù)就可以選擇路由加密設(shè)備。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專(zhuān)線、衛(wèi)星點(diǎn)對(duì)點(diǎn)通信環(huán)境，它包括異步線路密碼機(jī)和同步線路密碼機(jī)。異步線路密碼機(jī)主要用于電話網(wǎng)，同步線路密碼機(jī)則可用于許多專(zhuān)線環(huán)境。 3.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)的安全問(wèn)題主要是由網(wǎng)絡(luò)的開(kāi)放性、無(wú)邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開(kāi)放的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能

30、，而最基本的分隔手段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問(wèn)控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。3.3信息系統(tǒng)的安全信息系統(tǒng)的安全應(yīng)該是一個(gè)動(dòng)態(tài)的發(fā)展過(guò)程，應(yīng)該是一種檢測(cè)監(jiān)視安全響應(yīng)的循環(huán)過(guò)程。動(dòng)態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和入侵監(jiān)測(cè)產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。3.4網(wǎng)絡(luò)安全檢測(cè)網(wǎng)絡(luò)安全檢測(cè)是對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要措施，通過(guò)使用網(wǎng)絡(luò)安全性分析系統(tǒng)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。3.5入侵檢測(cè)系

31、統(tǒng)入侵檢測(cè)系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，自動(dòng)阻斷通信連接或執(zhí)行用戶(hù)自定義的安全策略等。三.網(wǎng)絡(luò)安全解決方案 3.1基本防護(hù)體系(包過(guò)濾防火墻+NAT+計(jì)費(fèi)) 用戶(hù)需求：全部或部分滿(mǎn)足以下各項(xiàng)·解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)·解決內(nèi)部網(wǎng)安全問(wèn)題，隔離內(nèi)部不同網(wǎng)段，建立VLAN ·

32、根據(jù)IP地址、協(xié)議類(lèi)型、端口進(jìn)行過(guò)濾·內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能·支持安全服務(wù)器網(wǎng)絡(luò)SSN ·通過(guò)IP地址與MAC地址對(duì)應(yīng)防止IP欺騙·基于IP地址計(jì)費(fèi)·基于IP地址的流量統(tǒng)計(jì)與限制·基于IP地址的黑白名單。 ·防火墻運(yùn)行在安全操作系統(tǒng)之上·防火墻為獨(dú)立硬件·防火墻無(wú)IP地址解決方案：采用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW1000 3.2標(biāo)準(zhǔn)防護(hù)體系(包過(guò)濾防火墻+NAT+計(jì)費(fèi)+代理+VPN) 用戶(hù)需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿(mǎn)足以下各項(xiàng)·提供應(yīng)用代理服務(wù)，隔離

33、內(nèi)外網(wǎng)絡(luò)·用戶(hù)身份鑒別·權(quán)限控制·基于用戶(hù)計(jì)費(fèi)·基于用戶(hù)的流量統(tǒng)計(jì)與控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護(hù)能力，防范對(duì)防火墻的常見(jiàn)攻擊 解決方案： (1)選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000 (2)防火墻基本配置+網(wǎng)絡(luò)加密機(jī)(IP協(xié)議加密機(jī)) 3.3強(qiáng)化防護(hù)體系(包過(guò)濾+NAT+計(jì)費(fèi)+代理+VPN+網(wǎng)絡(luò)安全檢測(cè)+監(jiān)控) 用戶(hù)需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿(mǎn)足以下各項(xiàng)·網(wǎng)絡(luò)安全性檢測(cè)(包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備) ·操作系

34、統(tǒng)安全性檢測(cè)·網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè) 解決方案：選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000+網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控器第五章 網(wǎng)絡(luò)安全方案實(shí)現(xiàn)的功能及不足一.實(shí)現(xiàn)的功能1.1Internet分級(jí)管理校園網(wǎng)中的各個(gè)控制點(diǎn)分成三級(jí)：l 一級(jí)實(shí)現(xiàn)了主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶(hù)的訪問(wèn)控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查的功能。l 二級(jí)實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶(hù)的訪問(wèn)控制；同級(jí)部門(mén)間的訪問(wèn)控制；部門(mén)網(wǎng)內(nèi)部的安全審計(jì)功能。 l 三級(jí)實(shí)現(xiàn)了終端/個(gè)人用戶(hù)級(jí)，實(shí)現(xiàn)部門(mén)網(wǎng)內(nèi)部主機(jī)的訪問(wèn)控制；數(shù)據(jù)庫(kù)及終端信息資源的安全保護(hù)。 1.2 防火墻技術(shù)：實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問(wèn)控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。1.3鏈路加密技術(shù)：通過(guò)對(duì)用戶(hù)的通信數(shù)據(jù)加密，讓用戶(hù)的通過(guò)的信息更加安全，加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，利用設(shè)備在加密后的數(shù)據(jù)不需要進(jìn)行路由交換。1.4網(wǎng)絡(luò)安全檢測(cè)檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。1.5入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)