司馬鎮(zhèn)20134948安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全建議書

安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全建議書學(xué)號(hào)：20134948姓名：司馬鎮(zhèn)班級(jí)：13信管12015年12月25日目錄TOC\o"1-3"\h\z第1章安徽財(cái)經(jīng)大學(xué)學(xué)校園網(wǎng)安全現(xiàn)狀分析 31.1概述 31.2安徽財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)安全系統(tǒng) 3第2章校園網(wǎng)安全風(fēng)險(xiǎn)隱患 72.1來自外網(wǎng)的病毒和黑客攻擊 72.2來自校園網(wǎng)內(nèi)部的攻擊和病毒 82.3操作系統(tǒng)的安全漏洞 82.4管理方面存在的問題 8第3章安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全需求分析 83.1結(jié)構(gòu)需求分析 83.2流量需求分析 93.3保密控制需求分析 10第4章網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 114.1防火墻技術(shù) 114.2計(jì)算機(jī)病毒防護(hù)技術(shù) 124.3入侵檢測(cè)的實(shí)現(xiàn) 134.4安全掃描技術(shù) 144.5網(wǎng)絡(luò)訪問控制技術(shù) 16第5章安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全方案設(shè)計(jì) 174.5設(shè)計(jì)思路 174.5部署防火墻 174.5部署入侵檢測(cè)系統(tǒng) 184.5部署漏洞管理系統(tǒng) 184.5部署校園網(wǎng)絡(luò)防病毒系統(tǒng) 184.5部署校園網(wǎng)web應(yīng)用防護(hù)系統(tǒng) 19安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全現(xiàn)狀分析1.1概述我校的網(wǎng)絡(luò)主干采用雙鏈路萬(wàn)兆互聯(lián)。即由龍湖西校區(qū)一臺(tái)核心、一臺(tái)思科6509作為匯聚，龍湖東校區(qū)網(wǎng)絡(luò)中心核心加一臺(tái)核心備用，通過萬(wàn)兆光纖鏈路構(gòu)成骨干網(wǎng)絡(luò)，由分布在各樓宇的匯聚成路由交換機(jī)與相近的核心交換機(jī)通過千兆鏈路連接，形成星型結(jié)構(gòu)。安徽財(cái)經(jīng)大學(xué)校園網(wǎng)拓?fù)鋱D1.2安徽財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)安全系統(tǒng) 隨著校園網(wǎng)絡(luò)建設(shè)復(fù)雜化，運(yùn)用的多樣性，確實(shí)實(shí)現(xiàn)學(xué)校管理、科研、教學(xué)與師生之間互相交流學(xué)習(xí)。校園網(wǎng)在學(xué)校教學(xué)、科研中發(fā)揮著越來越重要的作用，但是網(wǎng)絡(luò)病毒侵害、黑客攻擊、賬號(hào)密碼丟失等網(wǎng)絡(luò)安全問題也隨之而來，如果安全問題不能有效地解決，必將阻礙我校網(wǎng)絡(luò)建設(shè)的進(jìn)一步發(fā)展。我校網(wǎng)絡(luò)安全主要通過一下幾種技術(shù)實(shí)現(xiàn)。 IPS入侵防御系統(tǒng)： IPS入侵防御系統(tǒng)的功能。一個(gè)優(yōu)秀的入IPS侵防御系統(tǒng)的必須具備以下幾個(gè)方面的主要功能：（一）監(jiān)視和隔離攻擊/網(wǎng)絡(luò)管理員面對(duì)網(wǎng)絡(luò)系統(tǒng)攻擊的最大挑戰(zhàn)是，他無法在應(yīng)用層對(duì)數(shù)據(jù)流進(jìn)行掃描和檢測(cè)。使用IPS，網(wǎng)絡(luò)管理員可以檢測(cè)蠕蟲和病毒以及非正常流量模式，從而將攻擊的威脅降至最低。IPS檢測(cè)實(shí)施攻擊的對(duì)象和位置，完全把握攻擊動(dòng)向。一旦檢測(cè)到攻擊，IPS將其隔離，限制其帶寬，達(dá)到防止攻擊消耗網(wǎng)絡(luò)帶寬的目的，通過流量控制來保證服務(wù)水平協(xié)議（SLA）。借助IPS高密度端口和靜態(tài)轉(zhuǎn)發(fā)技術(shù)，支持分布式應(yīng)用，在多個(gè)網(wǎng)段之間提供安全防護(hù)。（二）防范拒絕服務(wù)攻擊IPS可以識(shí)別千兆位速度的拒絕服務(wù)攻擊，阻止以使企業(yè)網(wǎng)絡(luò)癱瘓為目的的惡意操作。在保持高流量速度的情況下，IPS可以一邊同時(shí)攔截多個(gè)活動(dòng)攻擊，一邊防范其它的各種可能攻擊。通過基準(zhǔn)性監(jiān)視來檢測(cè)流量方面的異常，高級(jí)的取樣方法提高了性能。（三）主動(dòng)、實(shí)時(shí)預(yù)防攻擊IPS應(yīng)該提供對(duì)攻擊的實(shí)時(shí)預(yù)防和分析。它應(yīng)該在任何未授權(quán)活動(dòng)開始前找出攻擊，并防止它進(jìn)入重要的服務(wù)器資源。IPS采用特征檢測(cè)、異常檢測(cè)和拒絕服務(wù)分析等各種技術(shù)，從而能在幾千兆的網(wǎng)絡(luò)流量下進(jìn)行準(zhǔn)確和智能的檢測(cè)和防護(hù)，使企業(yè)免遭已知攻擊、首次發(fā)生的未知攻擊以及DOS攻擊的影響。（四）攻擊報(bào)告功能IPS能夠?yàn)榫W(wǎng)絡(luò)管理人員提供詳細(xì)的攻擊報(bào)告，該報(bào)告包括幾個(gè)方面的內(nèi)容：攻擊開始時(shí)間3結(jié)束時(shí)間；源IP地址和目標(biāo)IP地址；嚴(yán)重性居于前10位的攻擊；各個(gè)物理端口上的攻擊及當(dāng)前的和歷史的攻擊報(bào)告。并且可以將報(bào)告通過各種方式導(dǎo)出到外部程序和數(shù)據(jù)庫(kù)中。 防火墻系統(tǒng)： 防火墻技術(shù)對(duì)于加強(qiáng)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)控制起到很大的作用。通過對(duì)網(wǎng)絡(luò)的訪問之間加強(qiáng)控制，防止用戶受到非法訪問的騷擾。防火墻是一種保護(hù)網(wǎng)絡(luò)整體環(huán)境安全的設(shè)備。它對(duì)多個(gè)網(wǎng)絡(luò)用戶之間的資源傳送和連接方式都有相應(yīng)的安全策略。網(wǎng)絡(luò)之間的通信只有通過防火墻技術(shù)的檢查才能夠確保整個(gè)網(wǎng)絡(luò)的安全運(yùn)行，是整個(gè)網(wǎng)絡(luò)處于防火墻技術(shù)的監(jiān)控下。我校在校園網(wǎng)出口位置架設(shè)防火墻實(shí)現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)的隔離；在校園網(wǎng)內(nèi)部服務(wù)器和數(shù)據(jù)中心之前架設(shè)防火墻以防止校園網(wǎng)內(nèi)部對(duì)重要設(shè)備和服務(wù)的攻擊，防火墻系統(tǒng)保證外部和內(nèi)部網(wǎng)絡(luò)核心設(shè)備都不被攻擊。服務(wù)器群：一、集群系統(tǒng)可解決所有的服務(wù)器硬件故障，當(dāng)某一臺(tái)服務(wù)器出現(xiàn)任何故障，如：硬盤、內(nèi)存、CPU、主板、I/O板以及電源故障，運(yùn)行在這臺(tái)服務(wù)器上的應(yīng)用就會(huì)切換到其它的服務(wù)器上。二、集群系統(tǒng)可解決軟件系統(tǒng)問題，我們知道，在計(jì)算機(jī)系統(tǒng)中，用戶所使用的是應(yīng)用程序和數(shù)據(jù)，而應(yīng)用系統(tǒng)運(yùn)行在操作系統(tǒng)之上，操作系統(tǒng)又運(yùn)行在服務(wù)器上。這樣，只要應(yīng)用系統(tǒng)、操作系統(tǒng)、服務(wù)器三者中的任何一個(gè)出現(xiàn)故障，系統(tǒng)實(shí)際上就停止了向客戶端提供服務(wù)，比如我們常見的軟件死機(jī)，就是這種情況之一，盡管服務(wù)器硬件完好，但服務(wù)器仍舊不能向客戶端提供服務(wù)。而集群的最大優(yōu)勢(shì)在于對(duì)故障服務(wù)器的監(jiān)控是基于應(yīng)用的，也就是說，只要服務(wù)器的應(yīng)用停止運(yùn)行，其它的相關(guān)服務(wù)器就會(huì)接管這個(gè)應(yīng)用，而不必理會(huì)應(yīng)用停止運(yùn)行的原因是什么。三、集群系統(tǒng)可以解決人為失誤造成的應(yīng)用系統(tǒng)停止工作的情況，例如，當(dāng)管理員對(duì)某臺(tái)服務(wù)器操作不當(dāng)導(dǎo)致該服務(wù)器停機(jī)，因此運(yùn)行在這臺(tái)服務(wù)器上的應(yīng)用系統(tǒng)也就停止了運(yùn)行。由于集群是對(duì)應(yīng)用進(jìn)行監(jiān)控，因此其它的相關(guān)服務(wù)器就會(huì)接管這個(gè)應(yīng)用。外部服務(wù)器群我校使用的外部服務(wù)器群主要有Web服務(wù)器、MAIL服務(wù)器等。Web\o"服務(wù)器"服務(wù)器主要是安全狗是一款集服務(wù)器安全防護(hù)和安全管理為一體的綜合性服務(wù)器安全防護(hù)軟件。提供服務(wù)器殺毒、服務(wù)器優(yōu)化、系統(tǒng)\o"漏洞"漏洞補(bǔ)丁修復(fù)、服務(wù)器程序守護(hù)、風(fēng)險(xiǎn)帳號(hào)（影子帳號(hào)等）優(yōu)化、\o"DDOS"DDOS防火墻、ARP防火墻、防CC攻擊、防入侵防提權(quán)、防篡改、安全策略設(shè)置等，使服務(wù)器免受攻擊，同時(shí)提供郵件實(shí)時(shí)告警等功能，服務(wù)器狀態(tài)實(shí)時(shí)掌握。

軟件支持\o"Windows"Windows一系列操作系（Windows2003/Windows2008/Windows2012）、linux主流操作系統(tǒng)（nginx/Ubuntu/Centos/Fedora/RHEL等），全面支持32位和64位系服務(wù)器安全狗—核心功能多引擎，精準(zhǔn)查殺網(wǎng)頁(yè)木馬、各類病毒獨(dú)有的安全狗云查殺引擎、網(wǎng)馬引擎與專業(yè)的小紅傘引擎結(jié)合，精確查殺各類網(wǎng)頁(yè)木馬和主流病毒。多引擎智能查殺病毒，全面保障服務(wù)器安全。三層網(wǎng)絡(luò)防護(hù)，實(shí)時(shí)保護(hù)網(wǎng)絡(luò)安全網(wǎng)絡(luò)\o"防火墻"防火墻，強(qiáng)有力的網(wǎng)絡(luò)防護(hù)，實(shí)時(shí)監(jiān)測(cè)IP和端口訪問的合法性，實(shí)時(shí)攔截ARP

攻擊、

Web攻擊（抗CC）、\o"DDOS攻擊"DDOS攻擊、暴力破解等。全面的文件/注冊(cè)表保護(hù)，杜絕非法篡改全面開放保護(hù)規(guī)則，同時(shí)支持監(jiān)控網(wǎng)站目錄，有效保護(hù)重要文件、目錄與注冊(cè)表不被篡改與刪除，實(shí)時(shí)防止網(wǎng)站被上傳網(wǎng)頁(yè)木馬。系統(tǒng)默認(rèn)規(guī)則與用戶自定義規(guī)則全支持，靈活定制，全面保護(hù)。底層驅(qū)動(dòng)防護(hù)，屏蔽入侵提權(quán)驅(qū)動(dòng)級(jí)保護(hù)，攔截更快速，有效防止未授權(quán)的非法用戶登錄服務(wù)器，實(shí)時(shí)阻止非法創(chuàng)建和修改系統(tǒng)帳號(hào)服務(wù)器安全加固，避免配置風(fēng)險(xiǎn)

全面的服務(wù)器體檢，暴露安全隱患，當(dāng)前系統(tǒng)健康情況了然于心，同時(shí)提供貼心的優(yōu)化建議措施，加固服務(wù)器更簡(jiǎn)單，系統(tǒng)運(yùn)行更快速，更安全。內(nèi)部服務(wù)器群內(nèi)部服務(wù)器群主要包括數(shù)據(jù)庫(kù)服務(wù)器、內(nèi)部服務(wù)器、計(jì)費(fèi)服務(wù)器。DAS服務(wù)器、視頻點(diǎn)播服務(wù)器和其他各種應(yīng)用服務(wù)器等。校園網(wǎng)安全風(fēng)險(xiǎn)隱患校園網(wǎng)絡(luò)是學(xué)校進(jìn)行教學(xué)管理和科研的重要信息平臺(tái)，具有開放的網(wǎng)絡(luò)環(huán)境、龐大復(fù)雜的用戶群。而許多校園網(wǎng)絡(luò)在規(guī)劃建設(shè)初期由于意識(shí)與資金方面的原因，在安全方面沒有太多的防范措施，為網(wǎng)絡(luò)安全埋下了隱患，造成了校園網(wǎng)內(nèi)病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等網(wǎng)絡(luò)安全故障，給學(xué)校的教學(xué)及管理造成巨大影響。通常把校園網(wǎng)的安全隱患?xì)w納為以下四個(gè)方面：2.1來自外網(wǎng)的病毒和黑客攻擊校園網(wǎng)絡(luò)通常是通過CERNET與Internet相連或直接與In-ternet相連，許多用戶每天都要通過校園網(wǎng)訪問Internet資源，與此同時(shí)也為外網(wǎng)病毒進(jìn)入校園網(wǎng)打開了方便之門，Internet上的許多的資源都暗藏病毒，用戶下載的程序和電子郵件都可能帶有病毒和木馬。因此，大量的網(wǎng)絡(luò)病毒及各類攻擊隨之而來，不斷更新的病毒與黑客攻擊手段對(duì)網(wǎng)絡(luò)安全造成了很大的威脅。2.2來自校園網(wǎng)絡(luò)內(nèi)部的攻擊和病毒由于校園網(wǎng)是一個(gè)開放的環(huán)境，用戶密度又高，并且學(xué)生的好奇心與活躍的思維也會(huì)驅(qū)使他們探索一些網(wǎng)絡(luò)技術(shù)甚至黑客技術(shù)。另外由于許多用戶網(wǎng)絡(luò)防護(hù)意識(shí)薄弱，沒有任何的防范措施，隨時(shí)都可能因?yàn)楦腥灸抉R、病毒被攻擊入侵。這就導(dǎo)致校園網(wǎng)絡(luò)要承受大量來自內(nèi)部的攻擊，而源于內(nèi)部的攻擊是很難防御的，一旦有木馬、病毒發(fā)作將會(huì)造成大面積的網(wǎng)絡(luò)癱瘓。2.3操作系統(tǒng)的安全漏洞高校網(wǎng)絡(luò)服務(wù)器大多為WIN2003、LINUX、UNIX等操作系統(tǒng)，各類操作系統(tǒng)都有不同程度的安全漏洞與隱患。微軟的操作系統(tǒng)以其易用性得到廣泛應(yīng)用，但層出不窮的安全漏洞也成了黑客攻擊的對(duì)象。LINUX和UNIX系統(tǒng)的復(fù)雜性使其相對(duì)安全一些，但也同樣存在安全漏洞及病毒威脅，這些操作系統(tǒng)的安全漏洞對(duì)于網(wǎng)絡(luò)安全是極大的威脅。2.4管理方面存在的問題網(wǎng)絡(luò)的整體安全僅從技術(shù)和設(shè)備入手是不夠的，還應(yīng)該有一套行之有效的管理制度和操作規(guī)范，以及與相應(yīng)的監(jiān)控體系。有的學(xué)校即使有用戶上網(wǎng)管理辦法，但卻沒有相應(yīng)的監(jiān)控措施，難以取得違規(guī)用戶的行為證據(jù)，這些管理上的問題都會(huì)給網(wǎng)絡(luò)的安全帶來巨大的隱患。安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全需求分析3.1結(jié)構(gòu)需求分析網(wǎng)絡(luò)結(jié)構(gòu)作為高校校園網(wǎng)安全建設(shè)的基礎(chǔ)，對(duì)校園網(wǎng)安全性能的提升具有非常積極的意義。當(dāng)前我國(guó)高校信息化建設(shè)過程中高質(zhì)量、高帶寬、強(qiáng)控制的校園網(wǎng)基礎(chǔ)支撐平臺(tái)已經(jīng)基本完成，整體建設(shè)環(huán)境較為良好。相關(guān)資料顯示：截止到目前為止高?；ヂ?lián)網(wǎng)連接已經(jīng)達(dá)到100%，其中70%的高校已經(jīng)擁有3000多個(gè)網(wǎng)絡(luò)接口，出口帶寬已經(jīng)達(dá)到上千兆。我國(guó)高校校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)框架基本成熟，主要由核心層、校園骨干網(wǎng)完成對(duì)主體內(nèi)容的控制，主次向外放射形成匯聚層和接入層，層次結(jié)構(gòu)非常明確，應(yīng)用效益顯著。(1)核心層核心層在構(gòu)建的過程中主要選取三層交換機(jī)完成各項(xiàng)處理，通過核心交換機(jī)實(shí)現(xiàn)信息交互，其吞吐量大大提升，高校校園網(wǎng)安全性能得到本質(zhì)上轉(zhuǎn)變；(2)匯聚層匯聚層主要通過匯聚層交換機(jī)完成上下級(jí)交換機(jī)的互聯(lián)，通過交換機(jī)匯聚節(jié)點(diǎn)完成信息的匯總、傳輸，將信息傳遞到核心層中。(3)接入層接入層主要采取二層智能可網(wǎng)管交換機(jī)，通過互聯(lián)網(wǎng)將信息傳輸?shù)骄W(wǎng)絡(luò)結(jié)構(gòu)中。高校校園網(wǎng)信息內(nèi)容較為龐大，各項(xiàng)大型計(jì)算機(jī)結(jié)構(gòu)內(nèi)容較為豐富，因此需要通過分層網(wǎng)絡(luò)結(jié)構(gòu)試下各部分內(nèi)容的高效處理。上述三層次網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單，功能劃分完善，系統(tǒng)協(xié)議互補(bǔ)，整體安全性非常高，與高校校園網(wǎng)安全需求相符合，對(duì)校園網(wǎng)建設(shè)具有非常好的促進(jìn)作用。3.2流量需求分析作為人口高度集中區(qū)域，高校校園網(wǎng)用戶數(shù)量非常龐大，小流量的校園網(wǎng)根本無法滿足學(xué)生的使用需求，嚴(yán)重影響了高校校園網(wǎng)的使用效益。尤其是在學(xué)生休息時(shí)間，這段時(shí)間學(xué)生多使用校園網(wǎng)查閱信息、看視頻、聽音樂等，網(wǎng)絡(luò)流量需求大大上升，需要較大的校園網(wǎng)核心帶寬和出口帶寬。但是當(dāng)前部分校園網(wǎng)在建設(shè)的過程中并沒有重視到流量的重要性，沒有針對(duì)學(xué)生上網(wǎng)需求合理設(shè)置對(duì)應(yīng)流量體系，這直接導(dǎo)致網(wǎng)絡(luò)流量與學(xué)生需求無法匹配，造成校園網(wǎng)安全事件產(chǎn)生的可能性上升。當(dāng)高校校園網(wǎng)中的流量無法滿足學(xué)生的需求時(shí)，許多學(xué)生經(jīng)常通過和互聯(lián)網(wǎng)獲取相應(yīng)資源，從而導(dǎo)致互聯(lián)網(wǎng)的出口流量上升。這種出口流量的上升造成校園網(wǎng)與不同網(wǎng)絡(luò)系統(tǒng)之間的業(yè)務(wù)交流愈發(fā)頻繁，導(dǎo)致校園網(wǎng)受到攻擊的可能性極加大。而在校園網(wǎng)內(nèi)部流量充足時(shí)，學(xué)生可以直接通過校園網(wǎng)完成各項(xiàng)信息數(shù)據(jù)的獲取，通過FTP、BBS等實(shí)現(xiàn)需求服務(wù)，整體效益較好。因此在高校校園網(wǎng)安全設(shè)計(jì)的過程中要在校園網(wǎng)中學(xué)生流量需求的基礎(chǔ)上提升核心帶寬和出口帶寬，適當(dāng)提升校園網(wǎng)中的流量。3.3保密控制需求分析隨著高校校園網(wǎng)安全建設(shè)的不斷深入，人們對(duì)校園網(wǎng)內(nèi)部的安全問題日益重視，對(duì)校園網(wǎng)安全策略、保密策略等控制內(nèi)容的需求不斷上升。安全策略主要通過在安全區(qū)域中的各項(xiàng)內(nèi)容進(jìn)行控制，形成對(duì)應(yīng)的活動(dòng)規(guī)則。上述規(guī)則通過網(wǎng)絡(luò)內(nèi)容進(jìn)行聯(lián)動(dòng)控制，有效改善了安全網(wǎng)絡(luò)聯(lián)動(dòng)的高效性、可靠性和安全質(zhì)量，整體內(nèi)部攻擊引起的安全問題大幅降低；保密策略主要是通過對(duì)涉密文件和涉密信息的控制，通過各項(xiàng)技術(shù)手術(shù)和信息手段完成加密控制，從而保障機(jī)要信息不被外部獲取或破壞，從而提升系統(tǒng)的安全性。當(dāng)前高校校園網(wǎng)中的系統(tǒng)安全和數(shù)據(jù)安全問題非常突出，各項(xiàng)安全病毒和黑客攻擊日益加劇，校園網(wǎng)中的各項(xiàng)安全設(shè)置需要逐漸不斷提升。校園網(wǎng)要對(duì)數(shù)據(jù)內(nèi)容進(jìn)行強(qiáng)化控制，要從數(shù)據(jù)安全需求上對(duì)數(shù)據(jù)進(jìn)行安全訪問控制，從條例和設(shè)置上著手，形成不同層次的保密級(jí)別體系。與此同時(shí)，校園網(wǎng)還要形成對(duì)應(yīng)保密級(jí)別，形成分區(qū)域管理層次，保證各個(gè)保密區(qū)域能夠完成高校校園網(wǎng)安全需求，形成對(duì)應(yīng)安全體系結(jié)構(gòu)。高校校園網(wǎng)安全結(jié)構(gòu)模型在設(shè)置的過程中需要以安全策略為核心，依照安全策略設(shè)置外層結(jié)構(gòu)，通過防護(hù)、檢測(cè)、響應(yīng)、修復(fù)四大板塊完成安全策略的實(shí)施，提升各項(xiàng)系統(tǒng)的安全性能，從本質(zhì)上滿足高校校園網(wǎng)安全需求。上述系統(tǒng)通過動(dòng)態(tài)循環(huán)實(shí)現(xiàn)了信息的保護(hù)，提升了PPDR模型對(duì)高校校園網(wǎng)安全系數(shù)改善的作用。網(wǎng)絡(luò)安全關(guān)鍵技術(shù)4．1防火墻技術(shù)防火墻大多采用網(wǎng)絡(luò)數(shù)據(jù)包過濾和網(wǎng)絡(luò)服務(wù)代理的技術(shù)相結(jié)合的形式來保護(hù)網(wǎng)絡(luò)不受攻擊。數(shù)據(jù)包過濾數(shù)據(jù)包過濾技術(shù)是以數(shù)據(jù)包為單位在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)進(jìn)行分析。根據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、端口號(hào)、協(xié)議狀態(tài)等因素進(jìn)行過濾，或它們的組合來判斷這些包是否來自可信任的網(wǎng)絡(luò)，進(jìn)而確定是否需對(duì)數(shù)據(jù)包進(jìn)行處理和操作。如圖所示，數(shù)據(jù)過濾防火墻的實(shí)現(xiàn)制。用戶可以通過進(jìn)行一些設(shè)置，通過設(shè)置規(guī)則，目的是為了過濾并區(qū)分哪些數(shù)據(jù)是可以流入或流出內(nèi)部網(wǎng)絡(luò)，哪些數(shù)據(jù)需要攔截。數(shù)據(jù)包過濾技術(shù)通過對(duì)IP包的分析，可以在路由器、網(wǎng)橋、主機(jī)上對(duì)IP包的源地址、目的地址、封裝協(xié)議、端口號(hào)等進(jìn)行篩選，包過濾技術(shù)可以有效地拒絕TCP或UDP應(yīng)用程序在IP層出入網(wǎng)絡(luò)。由于不能對(duì)數(shù)據(jù)包內(nèi)的信息進(jìn)行檢查，所以不能識(shí)別具有非法信息的數(shù)據(jù)包，無法進(jìn)行應(yīng)用層協(xié)議的安全處理。應(yīng)用層網(wǎng)關(guān)應(yīng)用層網(wǎng)關(guān)技術(shù)被稱為第三代防火墻，它檢查的對(duì)象是整個(gè)信息包，是在網(wǎng)絡(luò)的應(yīng)用層上實(shí)現(xiàn)協(xié)議過濾和轉(zhuǎn)發(fā)功能。它比數(shù)據(jù)包過濾技術(shù)能夠更準(zhǔn)確的判斷數(shù)據(jù)包的信息，用更復(fù)雜的規(guī)則定義任何接受的信息包的合法性，同時(shí)邊過濾邊對(duì)數(shù)據(jù)包展開必要的分析、記錄、統(tǒng)計(jì)，最后形成一份詳細(xì)的報(bào)告。如圖2—2所示，應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)機(jī)制。應(yīng)用層網(wǎng)關(guān)無論工作在OSI模型的任何一層，都可以對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行檢查，通過網(wǎng)關(guān)復(fù)制并傳遞數(shù)據(jù)，避免與不受信任的主機(jī)間直接建立聯(lián)系。代理服務(wù)代理服務(wù)是處理代表內(nèi)部網(wǎng)絡(luò)用戶的外部服務(wù)器的程序。代理服務(wù)器通過驗(yàn)證用戶請(qǐng)求，然后才送到真正的服務(wù)器上，內(nèi)部網(wǎng)絡(luò)接收的是代理服務(wù)器傳送的請(qǐng)求，但是不會(huì)接收對(duì)外部網(wǎng)絡(luò)的直接請(qǐng)求。所以說，代理服務(wù)器是一條紐帶，發(fā)揮了轉(zhuǎn)接的作用。代理服務(wù)的工作過程是，先由代理服務(wù)器接收外部網(wǎng)絡(luò)需要訪問的申請(qǐng)，然后根據(jù)其服務(wù)器類型、服務(wù)內(nèi)容、被服務(wù)對(duì)象以及申請(qǐng)者的域名范圍、IP地址等因素，決定是否接受此項(xiàng)服務(wù)。如果接受，代理服務(wù)器會(huì)向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)請(qǐng)求并把應(yīng)答回送給申請(qǐng)者；否則，拒絕其請(qǐng)求。如圖2-3所示，代理服務(wù)器防火墻應(yīng)用層數(shù)據(jù)的控制及傳輸。狀態(tài)檢測(cè)狀態(tài)檢測(cè)主要是針對(duì)數(shù)據(jù)包過濾功能進(jìn)行拓展，把包過濾的快速性和代理的安全性很好地結(jié)合在一起。傳統(tǒng)的包過濾在用動(dòng)態(tài)端口的協(xié)議時(shí)，會(huì)將所有可能用到的端口打開，這樣的方法會(huì)給網(wǎng)絡(luò)安全帶來威脅。狀態(tài)檢測(cè)通過檢查應(yīng)用程序信息來判斷什么端口需要臨時(shí)打開，從而動(dòng)態(tài)的打開響應(yīng)端口，一旦數(shù)據(jù)連接結(jié)束，該端口就會(huì)關(guān)閉。狀態(tài)檢測(cè)防火墻不再僅僅檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，而是依靠網(wǎng)絡(luò)層的檢測(cè)模塊維護(hù)一個(gè)狀態(tài)連接表，把進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)作事件來對(duì)待。從截獲的數(shù)據(jù)包中抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對(duì)該連接是接受還是拒絕。這種防火墻一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化，該連接就被中止。4．2計(jì)算機(jī)病毒防護(hù)技術(shù)計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒表面上是和普通應(yīng)用或系統(tǒng)程序完全一樣的，但是，當(dāng)病毒程序被觸發(fā)后可以在短時(shí)間內(nèi)對(duì)應(yīng)用軟件或系統(tǒng)文件進(jìn)行損壞，最終造成應(yīng)用程序或系統(tǒng)陷入癱瘓，導(dǎo)致數(shù)據(jù)被修改及丟失。大多數(shù)情況下，病毒不會(huì)單獨(dú)存在于計(jì)算機(jī)中，基本上是依附在一些計(jì)算機(jī)程序及文件中，通過用戶的激活來運(yùn)行，破壞計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，它的目標(biāo)就是毀壞數(shù)據(jù)、強(qiáng)占資源、影響計(jì)算機(jī)的正常運(yùn)行。計(jì)算機(jī)病毒具有可觸發(fā)性、寄生性、傳染性、潛伏性、隱蔽性、破壞性等特點(diǎn)。防護(hù)計(jì)算機(jī)病毒的方法：1．采用病毒防治對(duì)于計(jì)算機(jī)病毒應(yīng)該是以預(yù)防為主，軟件查殺作為輔助的防治手段。不隨意使用他人的移動(dòng)存儲(chǔ)設(shè)備，不瀏覽不良網(wǎng)站、不閱讀來歷不明的郵件，定期進(jìn)行系統(tǒng)備份。2．安裝使用殺毒軟件給計(jì)算機(jī)安裝殺毒軟件，并定期進(jìn)行病毒庫(kù)升級(jí)。目前的殺毒軟件一般由查毒、殺毒及病毒防火墻二部分組成。但是殺毒軟件具有被動(dòng)性，殺毒軟件只能查殺己知的病毒或是己知病毒的變種，對(duì)未知病毒還不能查殺，且單一殺毒軟件還不能查殺所有病毒。3．網(wǎng)絡(luò)病毒的防治工作站的防治：采用軟件防治，及時(shí)升級(jí)病毒庫(kù)，經(jīng)常利用殺毒軟件檢查系統(tǒng)；在工作站上安裝硬件防病毒卡實(shí)現(xiàn)實(shí)時(shí)檢測(cè)；在網(wǎng)絡(luò)接口卡上安裝防病毒芯片，實(shí)現(xiàn)了工作站訪問控制與病毒防護(hù)兩種功能集成在一起，從而能更加有效及時(shí)地保護(hù)工作站。不過，在實(shí)際應(yīng)用中應(yīng)該具體問題具體分析，依據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸?shù)呢?fù)荷來決定使用哪種方法。服務(wù)器的防治：服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的核心，服務(wù)器癱瘓?jiān)谀撤N程度意味著網(wǎng)絡(luò)的癱瘓。目前服務(wù)器防病毒的方法大都采用裝載模塊防病毒，以提供實(shí)時(shí)掃描病毒的能力。也可以使用防毒卡片在服務(wù)器上來保護(hù)服務(wù)器避免病毒的破壞與攻擊，阻斷病毒的傳輸路途。加強(qiáng)網(wǎng)絡(luò)的管理：為了防治計(jì)算機(jī)上的網(wǎng)絡(luò)病毒，不能單獨(dú)的依靠科學(xué)技術(shù)手段，也需要一些管理機(jī)制提高人們的網(wǎng)絡(luò)病毒防范意識(shí)，便能保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)病毒的防治對(duì)網(wǎng)絡(luò)安全的維護(hù)來說是非常重要的環(huán)節(jié)，完成好這一環(huán)節(jié)最關(guān)鍵的要有嚴(yán)格的網(wǎng)絡(luò)使用、管理制度，所以，每一個(gè)網(wǎng)絡(luò)用戶都要時(shí)刻保持預(yù)防病毒的觀念，提高預(yù)防病毒的意識(shí)，并利用快速發(fā)展的高科技，建立安全的網(wǎng)絡(luò)環(huán)境，保證網(wǎng)絡(luò)的安全。4．3入侵檢測(cè)的實(shí)現(xiàn)入侵檢測(cè)主要通過對(duì)用戶及系統(tǒng)活動(dòng)進(jìn)行監(jiān)視和分析、系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)、識(shí)別己知攻擊的活動(dòng)模式并提出報(bào)警、對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析、評(píng)估系統(tǒng)和文件數(shù)據(jù)的完整性、操作系統(tǒng)的審計(jì)跟蹤管理、識(shí)別用戶違反安全策略的行為等任務(wù)來實(shí)現(xiàn)的。入侵檢測(cè)的分類基于主機(jī)的入侵檢測(cè)系統(tǒng)(Host-basedIntrusionDetectionSystem，HIDS)。這種系統(tǒng)可監(jiān)測(cè)事件、系統(tǒng)和WindowsNT下的安全記錄以及Unix環(huán)境下的系統(tǒng)記錄。當(dāng)有文件被修改或刪減時(shí)，IDS將其與己知的攻擊特征相比較，檢測(cè)是否匹配，若匹配，IDS就會(huì)發(fā)出報(bào)警或者作出響應(yīng)。基于主機(jī)的入侵檢測(cè)通過定期檢查操作系統(tǒng)的審計(jì)、跟蹤日志來發(fā)現(xiàn)異常的變化，某些也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志中的信息以檢測(cè)入侵。這種檢測(cè)對(duì)網(wǎng)絡(luò)流量不敏感，效率高，能準(zhǔn)確定位入侵并及時(shí)進(jìn)行反應(yīng)，但是占用主機(jī)資源，依賴于主機(jī)的可靠住，所能檢測(cè)的攻擊類型受限?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-basedIntrusionDetectionSystem，NIDS)。它通常利用網(wǎng)卡來被動(dòng)地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚瑢?duì)獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中提取有用的信息，再通過使用統(tǒng)計(jì)分析、模式匹配等技術(shù)與己知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識(shí)別攻擊事件。一旦系統(tǒng)檢測(cè)到了攻擊行為，IDS的響應(yīng)模塊就做出報(bào)警、切斷使用用戶的網(wǎng)絡(luò)連接等。針對(duì)不同的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，響應(yīng)的方式也是不一樣的，主要是包括切斷連接、通知管理員、記錄相關(guān)的信息的方法。分布式入侵檢測(cè)系統(tǒng)。許多網(wǎng)絡(luò)安全解決方案都是在關(guān)鍵主機(jī)上采用主機(jī)入侵檢測(cè)，在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上采用網(wǎng)絡(luò)入侵檢測(cè)，由于兩種系統(tǒng)的互補(bǔ)性，可以同時(shí)分析來自主機(jī)系統(tǒng)的審計(jì)日志和來自網(wǎng)絡(luò)的數(shù)據(jù)流。實(shí)際上，許多用戶在使用IDS時(shí)都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)，但是DNS、Email和Web服務(wù)器與Internet外部網(wǎng)絡(luò)進(jìn)行交互經(jīng)常是被攻擊的目標(biāo)，所以應(yīng)在各個(gè)服務(wù)器上安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)。因此，即便是小規(guī)模的網(wǎng)絡(luò)也需要采用分布式入侵檢測(cè)系統(tǒng)。4．4安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，還有一類重要技術(shù)為安全掃描技術(shù)。安全掃描，又名脆弱性評(píng)估，主要是通過模擬黑客攻擊的方式對(duì)本地或者遠(yuǎn)程系統(tǒng)安全脆弱性的掃描的技術(shù)，主要掃描的目標(biāo)是可能存在的己知安全漏洞。通過實(shí)行安全掃描技術(shù)，可以發(fā)現(xiàn)網(wǎng)絡(luò)和主機(jī)存在的對(duì)外開放的端口、提供的服務(wù)、某些系統(tǒng)信息、錯(cuò)誤的配置、已知的安全漏洞等。所以說安全掃描技術(shù)能夠有效的主動(dòng)防御攻擊，如果還應(yīng)用入侵檢測(cè)系統(tǒng)和防火墻技術(shù)，便能夠?yàn)榫W(wǎng)絡(luò)提供一個(gè)安全的應(yīng)用環(huán)境，最后營(yíng)造全方位的保護(hù)。安全掃描主要有以下幾方面的技術(shù)：1．端口掃描技術(shù)端口掃描技術(shù)，主要是通過對(duì)TCP／UDP的端口展開的安全掃描，由于TCP協(xié)議是面向連接的，針對(duì)TCP掃描方法比較多，掃描方法已經(jīng)由一般探測(cè)逐漸發(fā)展到了躲避IDS和防火墻的高級(jí)掃描技術(shù)的階段。最開始對(duì)TCP端口的掃描方法是全連接的掃描，后來科學(xué)技術(shù)的高速發(fā)展，掃描方法也不斷的改進(jìn)，一些秘密掃描技術(shù)出現(xiàn)了，比如說TCPSYN掃描，便能躲避防火墻。針對(duì)UDP端口的掃描方法相對(duì)較少，只有UDPICMP端口不可達(dá)掃描和利用socket函數(shù)xecvfrom和write來判斷的掃描。目前，端口掃描技術(shù)己經(jīng)發(fā)展得非常豐富和完善。端口掃描主要可分為開放掃描、半開放掃描、秘密掃描等。2．操作系統(tǒng)檢測(cè)技術(shù)操作系統(tǒng)檢測(cè)技術(shù)，通過向目標(biāo)主機(jī)發(fā)送應(yīng)用服務(wù)連接或訪問目標(biāo)主機(jī)開放的有關(guān)記錄，探測(cè)出目標(biāo)主機(jī)的操作系統(tǒng)的應(yīng)用層探測(cè)技術(shù)以及TCP／IP堆棧特征探測(cè)技術(shù)。3．漏洞檢測(cè)技術(shù)漏洞檢測(cè)就是主動(dòng)地對(duì)系統(tǒng)中未知漏洞的檢測(cè)和對(duì)己知漏洞的檢測(cè)。對(duì)未知漏洞檢測(cè)的目的在于發(fā)現(xiàn)軟件系統(tǒng)中可能存在但尚未發(fā)現(xiàn)的漏洞。己知漏洞的檢測(cè)主要是采用模擬黑客攻擊的方式對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)等各種目標(biāo)可能存在的己知安全漏洞進(jìn)行逐項(xiàng)檢測(cè)。漏洞掃描技術(shù)是依據(jù)遠(yuǎn)程操作系統(tǒng)識(shí)別技術(shù)、端口掃描技術(shù)發(fā)展而來，漏洞掃描技術(shù)主要通過特征匹配方法和插件技術(shù)來檢查目標(biāo)主機(jī)是否存在漏洞。4．5網(wǎng)絡(luò)訪問控制技術(shù)網(wǎng)絡(luò)接入控制也可稱為網(wǎng)絡(luò)訪問控制，它是一種協(xié)議的集合，它的定義是在節(jié)點(diǎn)訪問網(wǎng)絡(luò)之前可以確保網(wǎng)絡(luò)以及節(jié)點(diǎn)的安全性的集合。網(wǎng)絡(luò)訪問控制(簡(jiǎn)稱NAC)還集成了自動(dòng)化的救治過程，允許路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備相互協(xié)作，以保障服務(wù)器和終端用戶在進(jìn)行交互之前信息系統(tǒng)可以進(jìn)行安全的操作。NAC目標(biāo)可分為以下三個(gè)部分：1)降低零日攻擊風(fēng)險(xiǎn)。NAC方案的關(guān)鍵是防止網(wǎng)絡(luò)資源被缺乏反病毒、補(bǔ)丁、主機(jī)入侵防御軟件的終端訪問，并阻止這種設(shè)備將其它計(jì)算機(jī)置于風(fēng)險(xiǎn)之中；2)增強(qiáng)策略。NAC方案允許網(wǎng)絡(luò)操作員定義策略，比如決定哪些種類的用戶以及哪種計(jì)算機(jī)可以有權(quán)訪問網(wǎng)絡(luò)，并在交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備中強(qiáng)化這些策略。3)身份和訪問管理。NAC環(huán)境可以根據(jù)用戶身份來增強(qiáng)安全，優(yōu)于傳統(tǒng)的IP網(wǎng)絡(luò)根據(jù)IP地址增強(qiáng)訪問策略。NAC有兩種救治策略，一種是網(wǎng)絡(luò)隔離，另一種是限制網(wǎng)絡(luò)入口。將一個(gè)網(wǎng)絡(luò)通過VLAN技術(shù)隔離廣播域，劃分為多個(gè)受限網(wǎng)絡(luò)，它可以使用戶有選擇性的訪問某些主機(jī)和應(yīng)用程序。當(dāng)NAC產(chǎn)品認(rèn)為某一個(gè)端口的終端處于危險(xiǎn)狀態(tài)時(shí)，交換機(jī)就會(huì)將這個(gè)端口分配到只能連接到補(bǔ)丁和更新服務(wù)器的隔離網(wǎng)絡(luò)，而不能連接到其它網(wǎng)段。除了VLAN方案之外，還有一種方案即是對(duì)網(wǎng)絡(luò)的入口進(jìn)行一定的限制，此處采用的方式是利用地址管理技術(shù)實(shí)現(xiàn)隔離，如此便可以大幅度降低所需成本。具體方法是通過在網(wǎng)絡(luò)入口截獲到達(dá)網(wǎng)頁(yè)的HTTP請(qǐng)求，從而將用戶轉(zhuǎn)接到可以提供計(jì)算機(jī)更新的指令和工具的web應(yīng)用程序，直到計(jì)算機(jī)通過了自動(dòng)化的檢查，除此網(wǎng)絡(luò)入口之外的網(wǎng)絡(luò)應(yīng)用程序都不被許可。NAC可以分為基于代理的NAC、無代理的NAC、內(nèi)聯(lián)NAC、帶外NAC等幾種類型：1．基于代理的NAC：在終端設(shè)備上安裝一個(gè)代理軟件。此代理與一個(gè)具有網(wǎng)絡(luò)連接的NAC服務(wù)器或設(shè)備通信。此方法比較簡(jiǎn)單，但不太靈活，需要在終端設(shè)備安裝相應(yīng)的軟件。2．無代理的NAC：此方法不要求在終端設(shè)備上安裝代理軟件。與之相反，代理是被存儲(chǔ)在一個(gè)臨時(shí)目錄中的。不使用代理可使得部署更簡(jiǎn)單，并簡(jiǎn)化NAC的操作。3．內(nèi)聯(lián)NAC：把NAC當(dāng)作網(wǎng)絡(luò)層防火墻，所有網(wǎng)絡(luò)通信流量都需要經(jīng)過它，可以增強(qiáng)安全策略。此方法雖然簡(jiǎn)單，但會(huì)造成網(wǎng)絡(luò)中吞吐量瓶頸。這種方法的缺點(diǎn)是在通信量增加時(shí)，會(huì)要求增加更多的內(nèi)聯(lián)設(shè)備，從而使成本增加。4．帶外NAC：這種方法使用現(xiàn)有的設(shè)施架構(gòu)，采用分布式方法，客戶端要將數(shù)據(jù)傳輸給一個(gè)中心控制臺(tái)，從而能夠使交換機(jī)來增強(qiáng)策略。這種方法雖然復(fù)雜，但是它對(duì)網(wǎng)絡(luò)性能造成的負(fù)面影響更小一些。安徽財(cái)經(jīng)大學(xué)校園網(wǎng)安全方案設(shè)計(jì)5.1設(shè)計(jì)思路目前網(wǎng)絡(luò)安全已經(jīng)成為校園安全的重要組成部分，其威脅來源主要分為三個(gè)方面：第一惡意網(wǎng)絡(luò)攻擊，估計(jì)破壞網(wǎng)絡(luò)數(shù)據(jù)使無法正常進(jìn)行正常網(wǎng)絡(luò)服務(wù)；第二網(wǎng)絡(luò)服務(wù)人員操作失誤破壞網(wǎng)絡(luò)數(shù)據(jù)，擴(kuò)散網(wǎng)絡(luò)病毒；第三其他人員，故意竊取他人密碼獲取有價(jià)值信息。其中，網(wǎng)絡(luò)服務(wù)人員自身失誤造成的安全問題占70%。5.2部署防火墻第一制定安全策略。它包含的內(nèi)容有：（1）校園網(wǎng)內(nèi)的用戶訪問Internet不受限制。（2）通過Internet進(jìn)來的公眾用戶只能訪問校園網(wǎng)對(duì)外公開的一些服務(wù)(例如www、DNS、FTP、視頻服務(wù)等)。（3）任何進(jìn)入公用內(nèi)部校園網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過安全認(rèn)證和加密。第二搭建安全體系結(jié)構(gòu)。在Internet與校園網(wǎng)之間建立一臺(tái)防火墻,將www、DNS、FTP、視頻服務(wù)等服務(wù)器連接在防火墻的DMZ區(qū),將