校園網(wǎng)安全防御系統(tǒng)設(shè)計與實現(xiàn)

畢業(yè)設(shè)計〔論文〕設(shè)計〔論文〕題目校園網(wǎng)絡(luò)平安防御系統(tǒng)的設(shè)計與實現(xiàn)選題性質(zhì)：eq\o\ac(□,√)設(shè)計□論文院系電子工程學(xué)院專業(yè)計算機(jī)網(wǎng)絡(luò)技術(shù)班級學(xué)號學(xué)生姓名指導(dǎo)教師教務(wù)處制年月日畢業(yè)設(shè)計〔論文〕選題審批單學(xué)生姓名學(xué)號選題校園網(wǎng)平安防御系統(tǒng)設(shè)計與實現(xiàn)選題性質(zhì)eq\o\ac(□,√)設(shè)計□報告□其他選題論證：校園網(wǎng)平安防御系是保證網(wǎng)絡(luò)平安重要的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)平安系統(tǒng)，制定詳細(xì)的平安管理制度，如上網(wǎng)行為管理、數(shù)據(jù)備份恢復(fù)等，并采取切實有效的措施保證制度的執(zhí)行，并定期發(fā)放常見病毒解決方案等。校園網(wǎng)絡(luò)平安防御系統(tǒng)的設(shè)計與實現(xiàn)尤為重要。指導(dǎo)教師初審意見：簽名：年月日畢業(yè)設(shè)計〔論文〕工作領(lǐng)導(dǎo)小組審批意見：簽名：年月日畢業(yè)設(shè)計〔論文〕開題報告及進(jìn)度要求學(xué)生姓名學(xué)號指導(dǎo)教師選題性質(zhì)eq\o\ac(□,√)設(shè)計□報告□其他選題校園網(wǎng)平安系統(tǒng)防御系統(tǒng)設(shè)計與實現(xiàn)選題的目的和意義:越來越多的校園開始應(yīng)用網(wǎng)絡(luò)，他們的信息共享程度與網(wǎng)上業(yè)務(wù)不斷增加。與此同時，網(wǎng)絡(luò)攻擊和犯罪活動也日益猖獗。如何防止校園網(wǎng)機(jī)密信息在網(wǎng)絡(luò)中被泄露或竄改、如何有效地抵抗和打擊信息犯罪、保障網(wǎng)絡(luò)與信息平安等，給人們提出了嚴(yán)峻的挑戰(zhàn)，平安防御系統(tǒng)尤為重要。本設(shè)計通過對校園網(wǎng)平安防御系統(tǒng)的設(shè)計與實現(xiàn)，加強(qiáng)了校園網(wǎng)平安保證，有助于校園網(wǎng)主動防御平安體系的構(gòu)建。選題研究的主要內(nèi)容和技術(shù)方案:介紹了網(wǎng)絡(luò)平安問題的主要威脅因素和存在的隱患，并利用已有的網(wǎng)絡(luò)平安知識對網(wǎng)絡(luò)平安問題進(jìn)行深入分析。其次，通過對網(wǎng)絡(luò)平安技術(shù)和校園網(wǎng)的應(yīng)用全面研究，得出校園網(wǎng)也會面臨著平安上的各種各樣威脅。最后，研究了入侵技術(shù)、數(shù)據(jù)備份技術(shù)、防火墻技術(shù)、上網(wǎng)行為管理技術(shù)與病毒防范技術(shù)為了解決校園網(wǎng)面臨的主要威脅和隱患，本設(shè)計對各個局部進(jìn)行詳細(xì)論述，還進(jìn)行安裝與配置。畢業(yè)設(shè)計辯論記錄單專業(yè)：計算機(jī)網(wǎng)絡(luò)技術(shù)班級：班學(xué)生姓名設(shè)計目：校園網(wǎng)平安防御系統(tǒng)設(shè)計與實現(xiàn)選題性質(zhì)：設(shè)計□報告□其他提問及辯論記錄：辯論記錄簽名：辯論成員簽名：辯論日期：年月日指導(dǎo)教師意見評定內(nèi)容學(xué)習(xí)態(tài)度任務(wù)完成情況設(shè)計完成質(zhì)量總分等級評分標(biāo)準(zhǔn)10%20%70%得分評語：指導(dǎo)教師簽字：年月日評審組意見：評審成績：評審組長簽字：終審意見：院系負(fù)責(zé)人簽章：終審成績：年月日說明：1、指導(dǎo)教師認(rèn)定合格方能填寫此表并提交評審，不合格指導(dǎo)教師繼續(xù)指導(dǎo)。2、指導(dǎo)教師及評審組成績按“優(yōu)秀、良好、合格、不合格”四個等級評閱。摘要本文從計算機(jī)網(wǎng)絡(luò)面臨的各種平安威脅，系統(tǒng)地介紹校園網(wǎng)平安防御和相關(guān)術(shù)語,并且主要研究了校園網(wǎng)絡(luò)的防御問題。在本技術(shù)研究中，分析了高校網(wǎng)絡(luò)系統(tǒng)的平安隱患，并且從構(gòu)建平安防御體系和加強(qiáng)平安管理等方面設(shè)計了校園網(wǎng)絡(luò)的平安策略。介紹了一般網(wǎng)絡(luò)平安問題的主要威脅因素和存在的隱患，并利用已有的網(wǎng)絡(luò)平安知識對網(wǎng)絡(luò)平安問題進(jìn)行深入分析。其次，通過對網(wǎng)絡(luò)平安技術(shù)和校園網(wǎng)的應(yīng)用全面研究，得出校園網(wǎng)也會面臨著平安上的各種各樣威脅。最后，研究了數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)技術(shù)、防火墻技術(shù)、數(shù)據(jù)加密與數(shù)據(jù)解密技術(shù)及端口為了解決校園網(wǎng)面臨的主要威脅和隱患，根據(jù)網(wǎng)絡(luò)平安策略構(gòu)建了一套有效的網(wǎng)絡(luò)平安防御體系。在這套平安防御體系中，我們重點(diǎn)平安管理技術(shù)，在此根底上設(shè)計的校園網(wǎng)絡(luò)平安防御設(shè)計方案。關(guān)鍵詞：校園網(wǎng)、平安、防火墻、策略目錄摘要I目錄II第1章校園網(wǎng)的概述11.1校園網(wǎng)入侵技術(shù)11.2校園網(wǎng)防火墻技術(shù)11.3校園網(wǎng)加密技術(shù)21.4校園網(wǎng)病毒防護(hù)技術(shù)21.5校園網(wǎng)數(shù)據(jù)備份技術(shù)31.6上網(wǎng)行為管理技術(shù)3第2章校園園網(wǎng)平安需求分析42.1校園網(wǎng)的定義42.2校園網(wǎng)存在的問題42.2.1校園網(wǎng)的平安隱患52.2.2校園網(wǎng)面臨的威脅62.3校園網(wǎng)的平安系統(tǒng)72.3.1入侵檢測技術(shù)72.3.2防火墻技術(shù)82.3.3防火墻的主要缺點(diǎn)102.3.4上網(wǎng)行為管理技術(shù)112.3.5病毒檢查系統(tǒng)132.3.6數(shù)據(jù)備份系統(tǒng)142.3.7管理體制15第3章校園網(wǎng)防御系統(tǒng)的設(shè)計與實現(xiàn)173.1入侵系統(tǒng)的設(shè)計173.1.1入侵檢測系統(tǒng)設(shè)計183.1.2入侵檢測系統(tǒng)產(chǎn)品的選擇與安裝183.2防火墻203.2.1防火墻系統(tǒng)的設(shè)計203.2.2防火墻產(chǎn)品選擇與配置223.3上網(wǎng)行為管理系統(tǒng)設(shè)計23上網(wǎng)行為管理具體內(nèi)容23上網(wǎng)行為管理系統(tǒng)產(chǎn)品與安裝243.4數(shù)據(jù)備份系統(tǒng)的設(shè)計253.4.1備份設(shè)計的具體思路26數(shù)據(jù)備份系統(tǒng)的產(chǎn)品與安裝26第4章系統(tǒng)測試294.1防火墻的測試29總結(jié)32參考文獻(xiàn)34第1章校園網(wǎng)的概述目前，越來越多的政府部門和企業(yè)機(jī)構(gòu)開始應(yīng)用Internet，他們的信息共享程度與網(wǎng)上業(yè)務(wù)不斷增加。與此同時，網(wǎng)絡(luò)攻擊和犯罪活動也日益猖獗。如何防止機(jī)密信息在網(wǎng)絡(luò)中被泄露或竄改、如何有效地抵抗和打擊信息犯罪、保障網(wǎng)絡(luò)與信息平安等，給人們提出了嚴(yán)峻的挑戰(zhàn)。1.1校園網(wǎng)入侵技術(shù)入侵檢測〔IntrusionDetection,ID〕技術(shù)目前應(yīng)用非常廣泛，是平安防御的一類重要措施。入侵檢測是對入侵行為的檢測，它通過收集和分析計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中假設(shè)干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反平安策略的行為和被攻擊的跡象[1]。入侵檢測作為一種積極主動地平安防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動進(jìn)行實時的檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵檢測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻及路由器配合工作。根據(jù)定義可知，入侵檢測系統(tǒng)的根本功能應(yīng)該包括以下幾個方面。1.2校園網(wǎng)防火墻技術(shù)隨著網(wǎng)絡(luò)平安問題日益嚴(yán)重，網(wǎng)絡(luò)平安技術(shù)和產(chǎn)品也被人們逐漸重視起來，防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)平安技術(shù)和使用量最大的網(wǎng)絡(luò)平安產(chǎn)品，受到用戶和研發(fā)機(jī)構(gòu)的青睞。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間的一系列部件的組合，它執(zhí)行預(yù)先制定的訪問控制策略，決定了網(wǎng)絡(luò)外部與網(wǎng)絡(luò)內(nèi)部的訪問方式[8]在網(wǎng)絡(luò)中，防火墻實際是一種隔離技術(shù)，它所執(zhí)行的隔離措施有：(1)拒絕未經(jīng)授權(quán)的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。(2)允許合法用戶不受阻礙地訪問網(wǎng)絡(luò)資源。而它的核心思想是在不平安的因特網(wǎng)環(huán)境中構(gòu)造一個相對平安的子網(wǎng)環(huán)境，其目的是保護(hù)一個網(wǎng)絡(luò)不受另一個網(wǎng)絡(luò)的攻擊，所以防火墻又有以下功能：(1)作為網(wǎng)絡(luò)平安的屏障。一個防火墻作為阻塞節(jié)點(diǎn)和控制節(jié)點(diǎn)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的平安性，并通過過濾不平安的效勞而降低風(fēng)險，只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更平安。(2)可以強(qiáng)化網(wǎng)絡(luò)平安策略。通過以防火墻為中心的平安方案配置，能將所有的平安軟件〔如口令驗證、數(shù)據(jù)加密、身份驗證、事件審計等〕配置在防火墻上，與將網(wǎng)絡(luò)平安問題分散到各個主機(jī)相比，防火墻的集中平安管理更經(jīng)濟(jì)，更加容易實現(xiàn)聯(lián)運(yùn)機(jī)制，更能強(qiáng)化最終的網(wǎng)絡(luò)平安策略。(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)，當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。(4)防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)的重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)平安問題對全局網(wǎng)絡(luò)造成的影響。1.3校園網(wǎng)加密技術(shù)數(shù)據(jù)加密是通過某種函數(shù)進(jìn)行變換，把正常數(shù)據(jù)包文〔稱為明文或明碼〕轉(zhuǎn)換為密文〔密碼〕。解密是指把密文復(fù)原成明文的過程[2]。密碼體制是指一個系統(tǒng)所采用根本工作方式以及它的兩個根本構(gòu)成要素，即加密/解密算法和密鑰。密鑰是一個數(shù)值，它和加密算法一起生成特別的密文。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，稱為對稱密碼體制。如果加密密鑰和解密密鑰不相同，那么稱為非對稱密碼體制，密鑰可以看作是密碼算法中的可變參數(shù)。從數(shù)學(xué)的角度來看，改變了密鑰，實際上也就改變了明文與密文之間等價的數(shù)學(xué)函數(shù)關(guān)系。密碼算法是相對穩(wěn)定的，在這種意義上，可以把密碼算法視為常量，而密鑰那么是一個變量。在設(shè)計加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質(zhì)是非常大的數(shù)，密鑰大小用位表示。在公開密鑰加密方法中，密鑰越大密文就越平安。1.4校園網(wǎng)病毒防護(hù)技術(shù)病毒歷來是信息系統(tǒng)平安的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。(4)通過群件系統(tǒng)傳播。病毒防護(hù)的主要技術(shù)如下：(1)阻止病毒的傳播。在防火墻、代理效勞器、SMTP效勞器、網(wǎng)絡(luò)效勞器、群件效勞器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和去除病毒。使用防病毒軟件檢查和去除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。1.5校園網(wǎng)數(shù)據(jù)備份技術(shù)數(shù)據(jù)的備份與恢復(fù)是保證信息系統(tǒng)平安可靠的根底。對于校園內(nèi)部學(xué)生管理系統(tǒng)來說，哪怕是幾分鐘的中斷和數(shù)據(jù)喪失所帶來的損失都是難以估量的。因此數(shù)據(jù)備份越來越得到學(xué)校的重視。在執(zhí)行備份操作時，應(yīng)當(dāng)注意以下幾個方面的問題：(1)制定備份和復(fù)原策略并進(jìn)行測試。(2)對有關(guān)人員進(jìn)行培訓(xùn)。(3)備份系統(tǒng)、啟動卷以及系統(tǒng)狀態(tài)中的所有數(shù)據(jù)。這項預(yù)防措施可以幫助防范預(yù)料不到的磁盤故障。(4)創(chuàng)立自動系統(tǒng)故障恢復(fù)備份集。(5)創(chuàng)立備份日志。(6)保存副本，至少保存三份媒體副本。至少有一份副本在妥善環(huán)境中保存1.6上網(wǎng)行為管理技術(shù)上網(wǎng)行為管理技術(shù)是幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析?！半S著互聯(lián)網(wǎng)的開展，它已經(jīng)到了必須控制和管理的時代，因為網(wǎng)上充滿了錯誤的信息、虛假的信息，和非民主的力量?！钡倌?伯納斯?李〔互聯(lián)網(wǎng)之父〕水能載舟亦能覆舟!互聯(lián)網(wǎng)一方面能夠幫助企業(yè)提高生產(chǎn)力、促進(jìn)企業(yè)開展；另一方面也在企業(yè)管理、工作效率、信息平安、法律遵從、IT投資等方面給企業(yè)提出了嚴(yán)峻的問題與挑戰(zhàn)。第2章校園園網(wǎng)平安需求分析平安管理是保證網(wǎng)絡(luò)平安的根底，平安技術(shù)是配合平安管理的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)平安系統(tǒng)，制定詳細(xì)的平安管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進(jìn)行計算機(jī)網(wǎng)絡(luò)平安知識培訓(xùn)，或發(fā)放常見病毒解決方案等。2.1校園網(wǎng)的定義校園網(wǎng)在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計算機(jī)網(wǎng)絡(luò)。概括地講，校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息效勞的寬帶多媒體網(wǎng)絡(luò)。首先，校園網(wǎng)應(yīng)為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境。這就要求：校園網(wǎng)是一個寬帶、具有交互功能和專業(yè)性很強(qiáng)的局域網(wǎng)絡(luò)。多媒體教學(xué)軟件開發(fā)平臺、多媒體演示教室、教師備課系統(tǒng)、電子閱覽室以及教學(xué)、考試資料庫等，都可以在該網(wǎng)絡(luò)上運(yùn)行。如果一所學(xué)校包括多個專業(yè)學(xué)科(或多個系)，也可以形成多個局域網(wǎng)絡(luò)，并通過有線或無線方式連接起來。其次，校園網(wǎng)應(yīng)具有教務(wù)、行政和總務(wù)管理功能。在我國，近年來校園網(wǎng)建設(shè)開展迅速，到目前為止僅在我國中小學(xué)就有近6000所學(xué)校建設(shè)了校園網(wǎng)。他們?yōu)槲覈行W(xué)內(nèi)部實現(xiàn)教育的資源共享、信息交流和協(xié)同工作提供了較好的范例。然而，隨著我國各地校園網(wǎng)數(shù)量的迅速增加，校園網(wǎng)之間如何實現(xiàn)教育的資源共享、信息交流和協(xié)同工作的要求越來越強(qiáng)烈。2.2校園網(wǎng)存在的問題與其它網(wǎng)絡(luò)一樣，校園網(wǎng)也會受到相應(yīng)的威脅，大體可分為對網(wǎng)絡(luò)中數(shù)據(jù)信息的危害和對網(wǎng)絡(luò)設(shè)備的危害。具體來說包括：(1)非授權(quán)訪問；即對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用或越權(quán)使用等。(2)冒充合法用戶；即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以到達(dá)占用合法用戶資源的目的。(3)破壞數(shù)據(jù)的完整性；即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。(4)干擾系統(tǒng)正常運(yùn)行；指改變系統(tǒng)的正常運(yùn)行方法，減慢系統(tǒng)的響應(yīng)時間等手段。(5)病毒與惡意的攻擊；即通過網(wǎng)絡(luò)傳播病毒或進(jìn)行惡意攻擊。除此之外，校園網(wǎng)還面對形形色色、良莠不分的網(wǎng)絡(luò)資源，如不進(jìn)行識別和過濾，那么會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢校園網(wǎng)的平安隱患有的校園網(wǎng)同時與CERNET、Internet相連,有的通過CERNET與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風(fēng)險。黑客攻擊活動日益猖獗,成為當(dāng)今社會關(guān)注的焦點(diǎn)。典型的黑客攻擊有入侵系統(tǒng)攻擊、欺騙攻擊、拒絕效勞攻擊、對防火墻的攻擊、木馬程序攻擊、后門攻擊等。黑客攻擊不僅來自校園網(wǎng)外部,還有相當(dāng)一局部來自校園網(wǎng)內(nèi)部,由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比擬了解,因此來自內(nèi)部的平安威脅會更大一些。(1)BUG影響目前使用的軟件尤其是操作系統(tǒng)或多或少都存在平安漏洞,對網(wǎng)絡(luò)平安構(gòu)成了威脅?，F(xiàn)在網(wǎng)絡(luò)效勞器安裝的操作系統(tǒng)有UNIX、WindowsNTP2000、Linux等,這些系統(tǒng)平安風(fēng)險級別不同,UNIX因其技術(shù)較復(fù)雜通常會導(dǎo)致一些高級黑客對其進(jìn)行攻擊;而WindowsNTP2000操作系統(tǒng)由于得到了廣泛的普及,加上其自身平安漏洞較多,因此,導(dǎo)致它成為較不平安的操作系統(tǒng)。在去年一段時期、沖擊波病毒比擬盛行,沖擊波”這個利用微軟RPC漏洞進(jìn)行傳播的蠕蟲病毒至少攻擊了全球80%的Windows用戶,使他們的計算機(jī)無法工作并反復(fù)重啟,該病毒還引發(fā)了DoS(Denialofservice)攻擊,使多個國家的互聯(lián)網(wǎng)也受到相當(dāng)影響。(2)不良信息傳播在校園網(wǎng)接入Internet后,師生都可以通過校園網(wǎng)絡(luò)進(jìn)入Internet。目前Internet上各種信息良莠不齊,其中有些不良信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對人生觀、世界觀正在形成中的學(xué)生危害非常大。特別是中小學(xué)生,由于年齡小,分辨是非和抵御干擾能力較差,如果不采取切實可行平安措施,勢必會導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。(3)病毒危害學(xué)校接入廣域網(wǎng)后,給大家?guī)矸奖愕耐瑫r,也為病毒進(jìn)入學(xué)校之門提供了方便,下載的程序、電子郵件都可能帶有病毒。隨著校園內(nèi)計算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多,這些節(jié)點(diǎn)大都沒有采取平安防護(hù)措施,隨時有可能造成病毒泛濫、信息喪失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、甚至系統(tǒng)癱瘓等嚴(yán)重后果。(4)備物理平安設(shè)備物理平安主要是指對網(wǎng)絡(luò)硬件設(shè)備的破壞。網(wǎng)絡(luò)設(shè)備包括效勞器、交換機(jī)、集線器、路由器、工作站、電源等,它們分布在整個校園內(nèi),管理起來非常困難。個別人可能出于各種目的,有意或無意地?fù)p壞設(shè)備,這樣會造成校園網(wǎng)絡(luò)全部或局部癱瘓。(5)設(shè)備配置平安設(shè)備配置平安是指在設(shè)備上要進(jìn)行必要的一些設(shè)置(如效勞器、交換機(jī)、防火墻、路由器的密碼等),防止黑客取得硬件設(shè)備的控制權(quán)。許多網(wǎng)管往往由于沒有在效勞器、路由器、防火墻或可網(wǎng)管的交換機(jī)上設(shè)置必要的密碼或密碼設(shè)置得過于簡單易猜,導(dǎo)致一些略懂或精通網(wǎng)絡(luò)設(shè)備管理技術(shù)的人員可以通過網(wǎng)絡(luò)輕易取得對效勞器、交換機(jī)、路由器或防火墻等網(wǎng)絡(luò)設(shè)備的控制權(quán),然后肆意更改這些設(shè)備的配置,嚴(yán)重時甚至?xí)?dǎo)致整個校園網(wǎng)絡(luò)癱瘓。(6)管理漏洞一個健全的平安體系,實際上應(yīng)該表達(dá)的是“三分技術(shù)、七分管理”,網(wǎng)絡(luò)的整體平安不是僅僅依賴使用各種技術(shù)先進(jìn)的平安設(shè)備就可以實現(xiàn)的,更重要的是表達(dá)在對人、對設(shè)備的平安管理以及一套行之有效的平安管理制度,尤其重要的是加強(qiáng)對內(nèi)部人員的管理和約束,由于內(nèi)部人員對網(wǎng)絡(luò)的結(jié)構(gòu)、模式都比擬了解,假設(shè)不加強(qiáng)管理,一但有人出于某種目的破壞網(wǎng)絡(luò),后果將不堪設(shè)想。IP地址盜用、濫用是校園網(wǎng)必須加強(qiáng)管理的方面,特別是學(xué)生區(qū)、機(jī)房等。IP配置不當(dāng)也會造成局部區(qū)域網(wǎng)絡(luò)不通。如在學(xué)生學(xué)習(xí)機(jī)房,有學(xué)生不甚將自己的計算機(jī)的IP地址設(shè)本錢網(wǎng)段的網(wǎng)關(guān)地址,這會導(dǎo)致整個學(xué)生機(jī)房無法正常訪問外網(wǎng)。2.2.2校園網(wǎng)面臨的威脅網(wǎng)絡(luò)實際上是一個脆弱的實體，不僅要面對自身系統(tǒng)的不平安性，例如，TCP/IP協(xié)議的不平安、網(wǎng)絡(luò)物理鏈路的不平安，同時還要面對網(wǎng)絡(luò)使用者，網(wǎng)絡(luò)惡意程序和網(wǎng)絡(luò)使用者操作系統(tǒng)不平安等威脅。網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)本身存在的TCP/IP這類網(wǎng)絡(luò)平安威脅是無能為力的。其他方面的威脅大體上可以分為四類：網(wǎng)絡(luò)物理平安威脅、人為的無意失誤威脅、人為的惡意攻擊威脅和軟件漏洞隱患威脅?，F(xiàn)在將各方面威脅作以下具體說明：(1)網(wǎng)絡(luò)物理平安威脅。物理通道的平安性是網(wǎng)絡(luò)平安不可缺少的組成局部。其主要目的是：保護(hù)學(xué)校的路由器、交換機(jī)、工作站等通信實體和通信鏈路不受自然災(zāi)害和人為破壞的攻擊。另外，防止靜電干擾也是學(xué)校網(wǎng)絡(luò)物理平安的一個重要問題。(2)人為的無意失誤威脅。網(wǎng)絡(luò)管理人員平安配置不當(dāng)造成的平安漏洞，主要表達(dá)在網(wǎng)絡(luò)設(shè)備相關(guān)端口沒有屏蔽，入侵者可以通過端口掃描技術(shù)獲得相應(yīng)的端口信息；另一個表達(dá)是密碼組成單一，沒有定期更換密碼，并且將自己的密碼隨意轉(zhuǎn)借他人使用。當(dāng)然，這些網(wǎng)絡(luò)平安隱患是學(xué)校網(wǎng)絡(luò)管理人員無意間造成的，應(yīng)該引起學(xué)校網(wǎng)絡(luò)管理人員的重視。(3)人為的惡意攻擊威脅。人為的惡意攻擊威脅是校園網(wǎng)絡(luò)面臨的最大的威脅。黑客的攻擊和計算機(jī)犯罪都屬于這一類威脅。人為的惡意攻擊威脅主要表現(xiàn)在：計算機(jī)病毒、特洛伊木馬以及其他惡意程序代碼。(4)軟件漏洞隱患威脅。軟件不可能百分之百無漏洞和無缺陷。這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首先目標(biāo)。大局部曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，就是因為網(wǎng)絡(luò)平安措施不完善所造成的后果。校園中常用的操作系統(tǒng)一般為Windows系統(tǒng)，在使用的時候要提醒管理員及時打上補(bǔ)丁程序。2.3校園網(wǎng)的平安系統(tǒng)單一的校園網(wǎng)平安技術(shù)和網(wǎng)絡(luò)平安產(chǎn)品無法解決網(wǎng)絡(luò)平安的全部問題。應(yīng)根據(jù)應(yīng)用需求和平安策略，綜合運(yùn)用各種網(wǎng)絡(luò)平安技術(shù)，包括數(shù)據(jù)加密和數(shù)據(jù)解密技術(shù)、防火墻技術(shù)、上網(wǎng)行為管理技術(shù)、黑客技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)、端口平安管理技術(shù)、惡意代碼與計算機(jī)病毒的防治、系統(tǒng)平臺平安及應(yīng)用平安等。這些內(nèi)容在下面將會作進(jìn)一步的闡述2.3.1入侵檢測技術(shù)入侵檢測〔IntrusionDetection,ID〕技術(shù)目前應(yīng)用非常廣泛，是平安防御的一類重要措施。入侵檢測是對入侵行為的檢測，它通過收集和分析計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中假設(shè)干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反平安策略的行為和被攻擊的跡象[2]。入侵檢測作為一種積極主動地平安防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動進(jìn)行實時的檢測。許多情況下，由于可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵檢測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻及路由器配合工作。根據(jù)定義可知，入侵檢測系統(tǒng)的根本功能應(yīng)該包括以下幾個方面：(1)監(jiān)控、分析用戶和系統(tǒng)的行為。(2)檢查系統(tǒng)的配置和漏洞。(3)評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。(4)對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警。(5)對操作系統(tǒng)進(jìn)行審計、跟蹤管理，識別違反授權(quán)的用戶活動。此外，入侵檢測系統(tǒng)要是能夠正常工作通常必須包含三個必要的功能組件：信息來源、分析引擎、響應(yīng)組件[7]。信息來源〔InformationSource〕:為檢測可能的惡意攻擊，入侵檢測系統(tǒng)所檢測的網(wǎng)絡(luò)或系統(tǒng)必須能提供足夠的信息給入侵檢測系統(tǒng)，資料來源收集組件的任務(wù)就是要收集這些信息作為入侵檢測分析引擎組件的資料輸入。分析引擎〔AnalysisEngine〕:利用統(tǒng)計或規(guī)那么的方式找出可能的入侵行為，并將事件提供應(yīng)下面的響應(yīng)組件。響應(yīng)組件〔ResponseComponent〕:響應(yīng)組件能夠根據(jù)分析引擎的輸出采取應(yīng)有的行動。通常具有自動化機(jī)制，如主動通知系統(tǒng)管理員、中斷入侵者的連接和收集入侵信息等。明白了入侵檢測系統(tǒng)的原理便能夠方便的應(yīng)用它來為本校校園網(wǎng)絡(luò)平安效勞。2.3.2防火墻技術(shù)防火墻的分類標(biāo)準(zhǔn)有多種，最常用的是按照防火墻的技術(shù)來劃分，大體上分為四類：包過濾型防火墻、應(yīng)用代理型防火墻、包狀態(tài)監(jiān)視型防火墻、復(fù)合型防火墻。此外，按照防火墻的體系結(jié)構(gòu)分：大體上分為三類：單一主機(jī)防火墻、路由器集成式防火墻、分布式防火墻[3]。盡管防火墻有多種，但在實際應(yīng)用中，用戶通常是根據(jù)具體應(yīng)用的平安和性能需求而選擇不同性能等級的防火墻產(chǎn)品的。從防火墻的性能等級來說，考慮到學(xué)校信息的重要性，就本校網(wǎng)絡(luò)環(huán)境而言，我們應(yīng)該使用高端效勞器防火墻。從防火墻的作用可以看出，防火墻必須具備兩個要求：保障內(nèi)部網(wǎng)平安和保障內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)通。因此在邏輯上防火墻是一個別離器、限制器、分析器。有效地監(jiān)控了內(nèi)部網(wǎng)和外部網(wǎng)的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的平安，其一般邏輯位置如圖2.1所示。圖2.1防火墻的邏輯示意圖防火墻根據(jù)功能實現(xiàn)在TCP/IP網(wǎng)絡(luò)模型中的層次，其實現(xiàn)原理可以分為三類：在網(wǎng)絡(luò)層實現(xiàn)防火墻功能為分組過濾技術(shù)；在應(yīng)用層實現(xiàn)防火墻功能為代理效勞技術(shù)；在網(wǎng)絡(luò)層，IP層，應(yīng)用層三層實現(xiàn)防火墻為狀態(tài)檢測技術(shù)[4](1)分組過濾技術(shù)實際上是基于路由器技術(shù)，它通常由分組過濾路由器對IP分組進(jìn)行分組選擇，允許或拒絕特定的IP數(shù)據(jù)包，工作于IP層[4]。如圖2.2所示。5、應(yīng)】用層4、TCP層3、IP層2、數(shù)據(jù)鏈路層1、物理層輸入數(shù)據(jù)流輸入數(shù)據(jù)流輸出數(shù)據(jù)流圖2.2分組過濾技術(shù)工作特點(diǎn)過濾一般基于一個IP分組的以下各域：第一、源/目的IP地址；第二、TCP/UDP源/目的端口。前者的過濾，即根據(jù)制定的平安規(guī)那么，過濾掉具有特定IP地址的數(shù)據(jù)分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)；后者那么是為分組過濾提供了更大的靈活性。(2)代理效勞技術(shù)以一個高層的應(yīng)用網(wǎng)關(guān)作為代理效勞器，接受外來的應(yīng)用連接請求，在代理效勞器上進(jìn)行平安檢查后，再與被保護(hù)的應(yīng)用效勞器連接，使外部用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)的效勞，如圖2.3所示。客戶客戶網(wǎng)關(guān)效勞器發(fā)送請求轉(zhuǎn)發(fā)請求轉(zhuǎn)發(fā)請求請求響應(yīng)圖2.3代理效勞器原理示意代理效勞技術(shù)工作在應(yīng)用層[4]，其工作情況如圖2.4所示。5、應(yīng)用層4、TCP層3、IP層2、數(shù)據(jù)鏈路層1、物理層輸入數(shù)據(jù)流輸入數(shù)據(jù)流輸出數(shù)據(jù)流圖2.4代理效勞技術(shù)工作特點(diǎn)由于代理效勞作用于應(yīng)用層，它能解釋應(yīng)用層上的協(xié)議，能夠作復(fù)雜和更細(xì)粒度的訪問控制；同時，由于所有進(jìn)出效勞器的客戶請求必須通過代理網(wǎng)關(guān)的檢查，可以做出精細(xì)的注冊和審計記錄，并且可以與認(rèn)證、授權(quán)等平安手段方便地集成，為客戶和效勞提供更高層次的平安保護(hù)。(3)狀態(tài)檢測技術(shù)此技術(shù)工作在IP/TCP/應(yīng)用層，它結(jié)合了分組過濾和代理效勞技術(shù)的特點(diǎn)，它同分組過濾一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符合網(wǎng)絡(luò)平安策略[4]。如圖2.5所示。5、應(yīng)用層4、TCP層3、IP層2、數(shù)據(jù)鏈路層1、物理層輸入數(shù)據(jù)流輸入數(shù)據(jù)流輸出數(shù)據(jù)流圖2.5狀態(tài)檢測技術(shù)工作情況2.3.3防火墻的主要缺點(diǎn)在了解了防火墻的根本功能以及工作原理之后，接下來分析一下防火墻的一些主要缺點(diǎn)。防火墻在平安防護(hù)中起到非常重要的作用，甚至無法取代，但是我們也應(yīng)該看到它的缺乏，以便在使用過程中采取措施來彌補(bǔ)它的缺乏，共同確保內(nèi)部網(wǎng)絡(luò)的平安。(1)防外不防內(nèi)的策略限制。防火墻的根本防御原那么就是“防外不防內(nèi)”，就是只針對來自外部網(wǎng)絡(luò)的通信進(jìn)行檢測，而對受保護(hù)內(nèi)部網(wǎng)絡(luò)中的用戶通信不作任何防御。(2)不能防范不通過它的連接。防火墻能夠有效的防止通過它的傳輸?shù)男畔?，然而卻不能防范不通過它而傳輸?shù)男畔?。例如，如果?nèi)部網(wǎng)絡(luò)用戶有一個不經(jīng)過防火墻的撥號連接，那么防火墻絕對沒有方法阻止入侵者進(jìn)行撥號入侵。(3)無法檢測加密的Web流量。由于防火墻對于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能[5]。(4)加密后的應(yīng)用程序數(shù)據(jù)也可輕易躲過防火墻的檢測。只有應(yīng)用層攻擊行為的特征與防火墻中數(shù)據(jù)庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數(shù)據(jù)。綜上，我們應(yīng)該充分利用防火墻技術(shù)來維護(hù)本校校園網(wǎng)絡(luò)的平安上網(wǎng)行為管理技術(shù)當(dāng)今數(shù)據(jù)網(wǎng)絡(luò)和數(shù)據(jù)通信業(yè)務(wù)開展非常迅速，電子政務(wù)、電子商務(wù)、視頻、語音和多媒體信息在寬帶網(wǎng)絡(luò)中的應(yīng)用日益廣泛。同時IP網(wǎng)絡(luò)的普遍使用也使網(wǎng)絡(luò)的構(gòu)造拓?fù)湓絹碓綇?fù)雜，應(yīng)用環(huán)境多種多樣，使用網(wǎng)絡(luò)的人員和需求千變?nèi)f化，但由于IP協(xié)議本身局限性，數(shù)據(jù)網(wǎng)絡(luò)的平安性，可靠性以及可管理性都存在很多的問題：如網(wǎng)絡(luò)黑客和偵聽、網(wǎng)絡(luò)病毒和拒絕效勞(DoS)攻擊等平安問題，網(wǎng)絡(luò)鏈路失效，網(wǎng)絡(luò)效勞阻塞等可靠性問題，以及網(wǎng)絡(luò)使用權(quán)限控制管理，網(wǎng)絡(luò)使用監(jiān)控統(tǒng)計等管理問題都日益嚴(yán)重，這些問題都將直接影響數(shù)據(jù)業(yè)務(wù)的效勞質(zhì)量和網(wǎng)絡(luò)的正常運(yùn)營。(1)訪問控制需求：防范非法用戶非法訪問、防范合法用戶非授權(quán)訪問和防范假冒合法用戶非法訪問。(2)入侵檢測系統(tǒng)需求：綜合平安網(wǎng)關(guān)可以對所有的訪問進(jìn)行嚴(yán)格控制，但不能完全防止有些新攻擊或那些繞過綜合平安網(wǎng)關(guān)的攻擊。所以必須配備入侵檢測系統(tǒng)，對透過綜合平安網(wǎng)關(guān)的攻擊進(jìn)行檢測并做相應(yīng)反響。(3)平安審計系統(tǒng)需求：對互聯(lián)網(wǎng)進(jìn)行全面控制管理，標(biāo)準(zhǔn)內(nèi)網(wǎng)人員上網(wǎng)行為，提高人力資源效率，強(qiáng)化網(wǎng)絡(luò)平安，保護(hù)重要機(jī)密。(4)防病毒系統(tǒng)需求：針對防病毒危害性極大并且傳播極為迅速，必須配備從單機(jī)到效勞器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒平安防護(hù)。(5)其他需求：防止重要信息的電磁輻射或線路干擾等泄漏；加密需求；對重要的設(shè)備和系統(tǒng)進(jìn)行備份等平安保護(hù)。因此針對這些問題就需要提供高速、穩(wěn)定、高平安性和管理性的網(wǎng)絡(luò)設(shè)備和效勞，既要提供完備的網(wǎng)絡(luò)平安和管理控制的處理功能，滿足靈活多樣的網(wǎng)絡(luò)拓?fù)洌植荒艹蔀榫W(wǎng)絡(luò)瓶頸，影響網(wǎng)絡(luò)的正常通信帶寬和業(yè)務(wù)。但不幸地是，很多現(xiàn)有網(wǎng)絡(luò)平安設(shè)備因為需要處理繁重的平安檢查和加解密等工作，必將降低處理速度，犧牲網(wǎng)絡(luò)帶寬，同時由于很多惡意攻擊都是針對平安設(shè)備本身的，這對現(xiàn)有網(wǎng)絡(luò)設(shè)備的性能和可靠性都是一個挑戰(zhàn)?？偟膩碚f，好的網(wǎng)絡(luò)管理需要解決以下的需求問題：●如何確保網(wǎng)絡(luò)的高可用性。●如何快速部署新的網(wǎng)絡(luò)效勞?！袢绾慰刂苾?nèi)網(wǎng)用戶的行為。●如何預(yù)測網(wǎng)絡(luò)增長?！袢绾瘟私饩W(wǎng)絡(luò)故障影響的用戶。●如何保護(hù)網(wǎng)絡(luò),防止黒客攻擊。其次網(wǎng)絡(luò)行為管理還應(yīng)具備以下的功能：(1)只裝在一臺電腦上，不用安裝客戶端，即可針對網(wǎng)卡地址〔或機(jī)器名或IP地址或自定義用戶名〕對整個網(wǎng)絡(luò)進(jìn)行跨VLAN、跨平臺控制管理。(2)可禁止網(wǎng)頁粘貼、論壇留言、WEB郵件等所有通過HTTP協(xié)議的網(wǎng)絡(luò)外發(fā)行為，使單位領(lǐng)導(dǎo)不再擔(dān)憂員工利用單位電腦在網(wǎng)上發(fā)布不恰當(dāng)?shù)木W(wǎng)絡(luò)言論，不再擔(dān)憂企業(yè)商業(yè)秘密或重要文檔通過互聯(lián)網(wǎng)外泄。(3)不僅可對每臺電腦上網(wǎng)流量進(jìn)行統(tǒng)計查詢，而且還可以根據(jù)工作需要對它們進(jìn)行流量帶寬控制，控制BT下載并報警，防止網(wǎng)絡(luò)帶寬被大量無效占用，使互聯(lián)網(wǎng)資源真正得到有效合理分配。(4)可實時記錄MSN、Yahoo、ICQ、QQ聊天室等即時通訊工具的聊天內(nèi)容，并對QQ號碼以及其聊天過程進(jìn)行全程記錄。(5)網(wǎng)絡(luò)中機(jī)器名和IP地址的任何改動都會進(jìn)行自動報警提示，在線報警信息實時反映網(wǎng)絡(luò)出現(xiàn)的不良狀況，使網(wǎng)絡(luò)平安危險和隱患能在第一時間發(fā)現(xiàn)和解決，管理者還可通過系統(tǒng)向違規(guī)者發(fā)送短消息以進(jìn)行警告。(6)在線動態(tài)顯示當(dāng)前上網(wǎng)和未上網(wǎng)的機(jī)器，使管理者對整個局域網(wǎng)電腦使用狀態(tài)一目了然。在線動態(tài)顯示機(jī)器上網(wǎng)信息、聊天內(nèi)容、QQ信息、郵件日志、上傳下載日志，并可針對某臺機(jī)器或某組機(jī)器的網(wǎng)上行為實現(xiàn)在線實時監(jiān)控。(7)可對VIP機(jī)器進(jìn)行不做任何監(jiān)控的放行設(shè)置，也可對相關(guān)網(wǎng)址或端口進(jìn)行不做任何監(jiān)控的放行設(shè)置。.(8)可在任意時間段對任何組和單機(jī)建立各種管理規(guī)那么進(jìn)行控制管理，操作靈活方便，使管理者能對互聯(lián)網(wǎng)實現(xiàn)最大限度的個性化管理。(9)基于網(wǎng)絡(luò)層進(jìn)行控制，對IP地址進(jìn)行控制管理，可以只允許通過指定的IP也可以阻止指定的IP段。基于傳輸層進(jìn)行控制，對端口進(jìn)行控制管理，可以只允許通過指定端口，也可以阻止指定的端口范圍。(10)通過對不同級別、不同用戶分配不同的管理權(quán)限，可實現(xiàn)多級別、多用戶對系統(tǒng)進(jìn)行遠(yuǎn)程操作控制，使整個互聯(lián)網(wǎng)管理有條有序，層次清楚。(11)不僅可禁止所有HTTP、FTP文件的上傳或者下載〔各種上傳或者下載方式〕。而且可針對上傳或下載的文件格式進(jìn)行各種形式的控制，使上傳下載的控制管理更加靈活和有針對性。(12)可對通過SMTP協(xié)議發(fā)郵件和通過POP3收郵件的收發(fā)郵箱進(jìn)行任意控制，如只能收發(fā)到指定的郵箱或指定的郵箱才能收發(fā)。(13)完善庫管理，程序自帶色情反動庫、聊天庫、游戲庫、財經(jīng)證券庫、搜索引擎庫、招聘庫、電影休閑庫、過濾關(guān)鍵詞庫、自定義網(wǎng)址庫等9大網(wǎng)址庫，用戶還可以自己管理相應(yīng)的9個自定義網(wǎng)址庫，和9個系統(tǒng)自帶網(wǎng)址庫協(xié)同工作，完成整個網(wǎng)絡(luò)管理的過濾工作。(14)完整記錄所有機(jī)器的上網(wǎng)信息且可進(jìn)行，包括機(jī)器名、源MAC地址、源IP地址、源端口、目的MAC地址、目的IP地址、目的端口地址、操作類型、效勞類型、協(xié)議類型、標(biāo)題、內(nèi)容以及時間。(15)可以將機(jī)器按IP或者VLAN分成不同的組進(jìn)行系統(tǒng)管理，可以增添和刪除病毒檢查系統(tǒng)計算機(jī)病毒就是能夠通過某種途徑潛伏在計算機(jī)存儲介質(zhì)(或程序)里，當(dāng)?shù)竭_(dá)某種條件時即被激活的具有對計算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。廣義的計算機(jī)病毒還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱入口等等。計算機(jī)病毒雖是一個小小程序，但它和通的計算機(jī)程序不同，具有以下特點(diǎn)。(1)寄生性:計算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人覺察的。(2)傳染性:計算機(jī)病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的根本特征。在生物界，病毒通過傳染從一個生物體擴(kuò)散到另一個生物體。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，井使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機(jī)病毒也會通過各種渠道從已被感染的計算機(jī)擴(kuò)散到未被感染的計算機(jī)，在某些情況下造成被感染的計算機(jī)工作失常甚至癱瘓。與生物病毒不同的是，計算機(jī)病毒是一段人為編制的計算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計算機(jī)井得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，到達(dá)自我繁殖的目的。只要一臺計算機(jī)染毒，如不及時處理，那么病毒會在這臺機(jī)子上迅速擴(kuò)散，其中的大量文件〔一般是可執(zhí)行文件〕會被感染。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病毒會繼續(xù)進(jìn)行傳染。正常的計算機(jī)程序一般是不會將自身的代碼強(qiáng)行連接到其他程序之上的。而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機(jī)病毒可通過各種可能的渠道，如軟盤、U盤、計算機(jī)網(wǎng)絡(luò)去傳染其他的計算機(jī)。當(dāng)您在一臺機(jī)器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機(jī)上用過的U盤等載體已感染上了病毒，而與這臺機(jī)器相聯(lián)網(wǎng)的其他計算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機(jī)病毒的最重要條件。病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法到達(dá)病毒的傳染和擴(kuò)散。被嵌入的程序叫做宿主程序。(3)潛伏性：有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。比方黑色星期五病毒，不到預(yù)定時間一點(diǎn)都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進(jìn)行破壞。一個編制精巧的計算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會馬上發(fā)作，可以在幾周或者幾個月內(nèi)甚至幾年內(nèi)隱藏在合法文件中，對其他系統(tǒng)進(jìn)行傳染，而不被人發(fā)現(xiàn)，潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。潛伏性的第一種表現(xiàn)是指，病毒程序不用專用檢測程序是檢查不出來的，因此病毒可以靜靜地躲在磁盤等載體里呆上幾天，甚至幾年，一旦時機(jī)成熟，得到運(yùn)行時機(jī)，就又要四處繁殖、擴(kuò)散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制，不滿足觸發(fā)條件時，計算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識，有的那么執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。(4)隱蔽性：計算機(jī)病毒具有很強(qiáng)的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。(5)破壞性：計算機(jī)中毒后，可能會導(dǎo)致正常的程序無法運(yùn)行，把計算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。(6)可觸發(fā)性：病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來控制感染和破壞動作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進(jìn)行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份有多種實現(xiàn)形式，從不同的角度可以對備份進(jìn)行不同的分類：從備份模式來看，可以分為物理備份和邏輯備份；從備份策略來看，可以分為完全備份、增量備份和差異備份；根據(jù)備份效勞器在備份過程中是否可以接收用戶響應(yīng)和數(shù)據(jù)更新，又可以分為離線備份和在線備份。(1)邏輯備份邏輯備份也可以稱作“基于文件的備份”。每個文件都是由不同的邏輯塊組成的，每個邏輯塊存儲在連續(xù)的物理磁盤塊上，基于文件的備份系統(tǒng)能識別文件結(jié)構(gòu)，并拷貝所有的文件和目錄到備份資源上。系統(tǒng)順序讀取每個文件的物理塊，然后備份軟件連續(xù)地將文件寫入到備份介質(zhì)上，從而使得每個單獨(dú)文件的恢復(fù)變得更快。(2)物理備份。物理又稱“基于塊的備份”或“基于設(shè)備的備份”，其在拷貝磁盤塊到備份介質(zhì)上時忽略文件結(jié)構(gòu)，從而提高備份的性能。因為備份軟件在執(zhí)行過程中，花費(fèi)在搜索操作上的開銷很少。(3)完全備份完全備份是指整個系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進(jìn)行一次全面的備份，這是一種最根本，也是最簡單的備份方式。這種備份方式的好處就是很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)喪失等問題，可以只使用一份備份文件快速地恢復(fù)所喪失的數(shù)據(jù)。(4)增量備份為了解決上述完全備份的兩個缺點(diǎn)，出現(xiàn)了更快、更小的增量備份。增量備份只備份相對于上次備份操作以來新創(chuàng)立或者更新過的數(shù)據(jù)。因為在特定的時間段內(nèi)只有少量的文件發(fā)生改變，沒有重復(fù)的備份數(shù)據(jù)，因此既節(jié)省空間，又縮短了備份的時間。因而這種備份方法比擬經(jīng)濟(jì)，可以頻繁地進(jìn)行。(5)差異備份差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復(fù)時涉及到備份記錄數(shù)量限制在兩個，以簡化恢復(fù)的復(fù)雜性。管理體制作為一個機(jī)房管理者，最大的工作動力來源自責(zé)任心加上解決問題時的狂熱，大多數(shù)的機(jī)房管理者都不會對于自己的薪金感到滿意。然而只是依靠責(zé)任心和狂熱的解決癖，仍然無法管理好機(jī)房，還有可能在離職時遭到下任的唾棄，原因是沒有做好交接工作。機(jī)房管理更重要的是制度的約束力和員工的執(zhí)行力，建立一套完善的機(jī)房管理制度是必要的。(1)機(jī)房環(huán)境及物理平安管理●環(huán)境管理：機(jī)房溫度、濕度、防塵、配電的管理，需要形成相應(yīng)的管理制度，巡檢制度，巡檢表格。如果環(huán)境發(fā)生變化，需要建立恢復(fù)措施。特別是UPS不間斷電源一般設(shè)立單獨(dú)的配電機(jī)房，需要對其進(jìn)行巡檢，做好記錄?！裎锢砥桨补芾恚悍阑鸱浪辣I的平安措施，一般機(jī)房都可以參照其所在大廈的三防措施。也可自己建立防盜措施和制度。(2)機(jī)房行為管理●員工行為管理：制定機(jī)房工作人員行為準(zhǔn)那么，可以配合考核制度進(jìn)行統(tǒng)一管理。制定操作標(biāo)準(zhǔn)，對于任何操作，都必須留下記錄進(jìn)行備案?！裼脩粜袨楣芾恚悍治鰴C(jī)房用戶群分類，建立用戶進(jìn)出機(jī)房標(biāo)準(zhǔn)，建立員工接待標(biāo)準(zhǔn)，實現(xiàn)接待備案制，保存用戶訪問及接待記錄。(3)機(jī)房網(wǎng)絡(luò)及終端設(shè)備管理●機(jī)房效勞器硬件管理：對自用效勞器進(jìn)行統(tǒng)一硬件備案，建立巡檢制度，對每臺效勞器的硬件運(yùn)行情況做好記錄，為硬件升級提供原始數(shù)據(jù)?！駲C(jī)房效勞器軟件管理：操作系統(tǒng)管理，應(yīng)用程序管理，效勞管理，帳號管理，數(shù)據(jù)庫管理。可以制定統(tǒng)一的管理制度，任何維護(hù)性操作都需要留下操作記錄，重大數(shù)據(jù)更改需要提交上級進(jìn)行批準(zhǔn)，并形成記錄文檔。●網(wǎng)絡(luò)設(shè)備硬件管理：根據(jù)巡檢制度進(jìn)行硬件運(yùn)行情況檢查并做好記錄。建立網(wǎng)絡(luò)拓?fù)鋱D，端口配線表等工具文檔并及時更新。第3章校園網(wǎng)防御系統(tǒng)的設(shè)計與實現(xiàn)通過以上對網(wǎng)絡(luò)攻擊分析和防御的設(shè)計，校園網(wǎng)絡(luò)也會面臨同樣的威脅，所以我們在知道網(wǎng)絡(luò)功防根底上應(yīng)該構(gòu)筑校園網(wǎng)絡(luò)平安體系，要從兩個方面著手：一是采用一定的技術(shù)；二是不斷改良管理方法。從技術(shù)角度看，目前常用的平安手段有入侵系統(tǒng)、加密技術(shù)、身份認(rèn)證、訪問控制、平安路由等，這些技術(shù)對防止非法入侵系統(tǒng)起到了一定的防御作用。防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù)，普遍運(yùn)用于校園網(wǎng)平安建設(shè)中。3.1入侵系統(tǒng)的設(shè)計入侵檢測系統(tǒng)功能構(gòu)成，包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四局部如圖3-1所示。圖3-1入侵檢測系統(tǒng)入侵檢測所利用的信息一般來自以下四個方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比擬，從而發(fā)現(xiàn)違背平安策略的行為。統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)立一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比擬。當(dāng)觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。入侵檢測系統(tǒng)設(shè)計入侵檢測就是通過對系統(tǒng)數(shù)據(jù)的分析、發(fā)現(xiàn)非授權(quán)的網(wǎng)絡(luò)訪問和攻擊行為，然后采取報警、切斷入侵線路等對抗措施。為此目的而設(shè)計的系統(tǒng)稱為入侵檢測系統(tǒng)。一個簡單的入侵檢測系統(tǒng)，如圖3-2所示。圖3-2簡單的入侵檢測系統(tǒng)圖3-2所示入侵檢測系統(tǒng)的根本任務(wù)：通過實時檢測網(wǎng)絡(luò)系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產(chǎn)生報警。從功能實現(xiàn)的角度可以把這個系統(tǒng)劃分為三大模塊：信息收集模塊、信息處理與通訊模塊、入侵判斷與反響模塊。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對象有比擬密切的關(guān)系:信息處理與通訊模塊，是對所收集到的數(shù)據(jù)進(jìn)行預(yù)處理和分類，然后把處理的結(jié)果按照一定的格式傳輸給檢測判斷模塊。最后由檢測判斷模塊根據(jù)一定的平安策略判斷入侵行為的發(fā)生并采取相應(yīng)的還擊。隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)。入侵檢測系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯性、可擴(kuò)展性等要求。不同的IDS之間也需要共享信息，協(xié)同檢測。入侵檢測系統(tǒng)產(chǎn)品的選擇與安裝Snort是一個免費(fèi)的IDS(入侵監(jiān)測系統(tǒng))軟件。它的一些源代碼是從著名的tcpdump軟件開展而來的。它是一個基于libpcap包的網(wǎng)絡(luò)監(jiān)控軟件，可以作為一個十分有效的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)。它能夠監(jiān)測多種網(wǎng)絡(luò)攻擊和探測，例如：緩沖器溢出攻擊，端口掃描，CGI攻擊，SMB探測等等。Snort具有實時的告警能力，將告警記入一個特別的告警文件--系統(tǒng)日志，或者將告警信息通過samba轉(zhuǎn)發(fā)給另一臺WindowsPC機(jī)。Snort首先根據(jù)遠(yuǎn)端的ip地址建立目錄,然后將檢測到的包以tcpdump的二進(jìn)制格式記錄或者以自身的解碼形式存儲到這些目錄中.這樣一來,你就可以使用snort來監(jiān)測或過濾你所需要的包.在正式進(jìn)行軟件安裝之前，請檢查系統(tǒng)，確保擁有符合ANSI標(biāo)準(zhǔn)的C/C++編譯器等軟件開發(fā)工具。

1．安裝入侵事件數(shù)據(jù)庫MySQL

首先，以超級用戶的身份登錄系統(tǒng)，創(chuàng)立MySQL用戶和MySQL用戶組;然后，以MySQL身份登錄，按照缺省配置將MySQL安裝在/usr/local目錄下；接下來，將源代碼樹中的缺省配置文件Myf拷貝到/etc目錄下；再用超級用戶身份執(zhí)行源碼樹中Scripts目錄下的可執(zhí)行腳本文件Mysql_install_db創(chuàng)立初始數(shù)據(jù)庫;隨后，用/etc/init.d/mysql.server命令啟動數(shù)據(jù)庫效勞器，使用/usr/local/bin/mysqladmin程序改變數(shù)據(jù)庫管理員的口令。

2．安裝Snort

首先安裝Snort所依賴的網(wǎng)絡(luò)抓包庫Libpcap，將其按照缺省配置安裝在/usr/local目錄下之后，開始正式安裝Snort。

#gzip-d-csnort-1.8.6.tar.gz|tarxvf-

#cdsnort-1.8.6

#./configure--prefix=/usr/local--with-mysql=/usr/local

--with-libpcap-includes=/usr/local\

--with-libpcap-libraries=/usr/local

#make

#makeinstall

安裝完畢后，將源碼樹中的Snort.conf文件、Classification.config文件和規(guī)那么文件〔*.rules〕拷貝到系統(tǒng)的/etc目錄下。按照以下步驟配置Snort，以便將其捕獲的網(wǎng)絡(luò)信息輸出到MySQL數(shù)據(jù)庫。(1)創(chuàng)立Snort入侵事件數(shù)據(jù)庫和存檔數(shù)據(jù)庫。#/usr/local/bin/mysqladmin-uroot-pcreatesnort

#/usr/local/bin/mysqladmin-uroot-pcreatesnort_archive

(2)執(zhí)行Snort源碼樹下Contrib目錄下的Create_mysqlSQL腳本文件，創(chuàng)立相關(guān)表。

#/usr/local/bin/mysql-uroot-Dsnort-p

#/usr/local/bin/mysql-uroot-Dsnort_archive-p

(3)編輯/etc/snort.conf文件，在OutputPlugin段中參加如下一行：

outputdatabase:alert,mysql,user=rootpassword=abc123dbname=snorthost=localhost

3．安裝Web效勞器Apache

(1)安裝MM庫按照缺省配置將MM庫安裝在/usr/local目錄下。(2)安裝OpenSSL

按照缺省設(shè)置將OpenSSL安裝在/usr/local目錄下。(3)為Apache擴(kuò)展mod_ssl代碼

#gzip-d-capache-1.3.24.tar.gz|tarxvf-

#gzip-d-cmod_ssl-2.8.8-1.3.24.tar.gz|tarxvf-

#cdmod_ssl-2.8.8-1.3.24

#./configure--with-apache=apache-1.3.24

該命令運(yùn)行成功之后，會有提示說明已經(jīng)成功擴(kuò)展了Apache的源代碼。

(4)安裝Apache

#cd../apache-1.3.24

#SSL_BASE=/usr/localEAPI_MM=/usr/local\

./configure--enable-module=so

--enable-module=ssl--prefix=/usr/local

#make

#makecertificate

#makeinstall

其中，Makecertificate命令是為mod_ssl生成所需的平安證書，按照提示輸入相應(yīng)信息即可。這樣，Apache就被安裝在/usr/local目錄下。

$alert_user="root"

$alert_password="abc123"

$archive_dbname="snort_archive"

$archive_host="localhost"

$archive_port="3306"

$archive_user="root"

$archive_password="abc123"

$ChartLib_path="../phplot-4.4.6"

$Chart_file_format="png"

$portscan_file="/var/log/snort/portscan.log"

至此，網(wǎng)絡(luò)入侵檢測系統(tǒng)的軟件安裝工作結(jié)束。3.2防火墻3.2.1防火墻系統(tǒng)的設(shè)計防火墻系統(tǒng)設(shè)計要求你能夠了解并鑒別你的網(wǎng)絡(luò)的平安域。網(wǎng)絡(luò)的平安域是指一個網(wǎng)絡(luò)中的在統(tǒng)一的平安策略下運(yùn)行的鄰近域。無論這些域的交叉點(diǎn)在那里，在這些域的邊界肯定有一種潛在的對策略沖突決策機(jī)制的需求。這也是防火墻技術(shù)有用的地方?，F(xiàn)在，防火墻最常用于一個組織的內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間。在設(shè)置互聯(lián)網(wǎng)防火墻的時候，你首先必須決定它的根本結(jié)構(gòu)〔假設(shè)你已經(jīng)確定了你的防火墻需求和平安策略，并且決定實施它們〕。在本文中，“結(jié)構(gòu)”代表防火墻的各個組成局部〔軟件和硬件〕的總和，以及它們之間的連通性和功能分配。有兩種防火墻結(jié)構(gòu)，我們稱它們?yōu)椤皢螌咏Y(jié)構(gòu)”和“雙層結(jié)構(gòu)”單層結(jié)構(gòu)如圖圖3-3防火墻單層結(jié)構(gòu)圖一臺主機(jī)實現(xiàn)所有功能，并且與需要它控制訪問的所有網(wǎng)絡(luò)相連接。這種方法通常適用于對價格敏感或者只有兩個網(wǎng)絡(luò)互聯(lián)的情況。它的優(yōu)點(diǎn)在于，那臺主機(jī)上的防火墻可以監(jiān)控一切事情。在需要實行的平安策略比擬簡單，并且接入的網(wǎng)絡(luò)也不多的情況下，這種結(jié)構(gòu)是十分劃算并且容易維護(hù)的。它最大的缺點(diǎn)是容易受執(zhí)行缺陷〔ImplementationFlaw〕以及配置錯誤的影響——由于這種結(jié)構(gòu)的特性，只要有一個缺陷或者錯誤，就可以使防火墻失效?；饓δ苄枰欢〝?shù)量的主機(jī)來實現(xiàn)，而且通常采用級聯(lián)方式，并且它們之間有DMZ網(wǎng)絡(luò)。這種結(jié)構(gòu)比單層結(jié)構(gòu)更難設(shè)計和操作，但是它能夠通過多樣化的防御措施而提供更強(qiáng)的平安性。我們建議在每臺防火墻主機(jī)中使用不同的防火墻技術(shù)，雖然這樣的花費(fèi)也更高。這樣可以防止在防不同的層中出現(xiàn)相同的執(zhí)行缺陷和配置錯誤。關(guān)于同時使用包過濾和應(yīng)用代理，這里有一個很好的理由。某些效勞〔例如SMTP，HTTP，NTP〕通常是十分容易通過包過濾控制的，而其他一些效勞〔例如DNS，F(xiàn)TP〕那么可能需要一些只有應(yīng)用代理才有的更復(fù)雜的特性。包過濾的速度很快，應(yīng)用代理的速度要慢一些。在一些要求高訪問量控制并且對代理性能要求很高的情況下，狀態(tài)驗證包過濾或許是一個比擬折衷的方案。在任何情況下我們都需要盡量使用這些不同的功能〔比方包過濾，代理和狀態(tài)驗證〕，并且將它們應(yīng)用于適宜的地方防火墻產(chǎn)品選擇與配置PIX〔PrivateInternetExchange〕防火墻是Cisco產(chǎn)品系列中稱得上佼佼者的防火墻產(chǎn)品。PIX防火墻可以部署到各種各樣的設(shè)計方案中。簡單的情況如下，PIX防火墻可能只有兩個接口，一個接口連接至受保護(hù)的內(nèi)部網(wǎng)絡(luò)〔內(nèi)部接口〕，而另一個接口那么連接到公共網(wǎng)絡(luò)〔外部接口〕，一般來說就是指因特網(wǎng)。這里所謂的內(nèi)部和外部具有特別的意義，且各個接口在PIX防火墻配置中分別被命名為Inside接口〔內(nèi)部〕和Outside接口〔外部〕。為了讓公司能夠利用與因特網(wǎng)的連接，通常某些效勞器必須對于外部世界是可訪問的，這些可訪問的效勞器包括DNS、SMTP以及企業(yè)能夠擁有的任何公用Web效勞器。DNS效勞器必須是可訪問的，這樣才能將主機(jī)名字轉(zhuǎn)換成可用于數(shù)據(jù)報尋址的IP地址。雖然這些效勞器可以放在防火墻之后的內(nèi)部網(wǎng)絡(luò)中，但是強(qiáng)烈建議不要這樣做。因為這些主機(jī)中的任意一臺受到侵害后，都會導(dǎo)致入侵者能夠方便的訪問到內(nèi)部網(wǎng)絡(luò)。而如果這些效勞器放置在DMZ中，那么PIX防火墻能夠允許內(nèi)部用戶不加限制的訪問這些主機(jī)，而同時限制外部用戶來訪問這些主機(jī)。下面是CISCO防火墻的具體配置：1.將PIX安放至機(jī)架，經(jīng)檢測電源系統(tǒng)后接上電源，并加電主機(jī)。2.將CONSOLE口連接到PC的串口上，運(yùn)行HyperTerminal程序從CONSOLE口進(jìn)入PIX系統(tǒng);此時系統(tǒng)提示pixfirewall>。3.輸入命令:enable,進(jìn)入特權(quán)模式，此時系統(tǒng)提示為pixfirewall#。4.輸入命令:configureterminal,對系統(tǒng)進(jìn)行初始化設(shè)置。5.配置以太口參數(shù):interfaceethernet0auto(auto選項說明系統(tǒng)自適應(yīng)網(wǎng)卡類型)interfaceethernet1auto6.配置內(nèi)外網(wǎng)卡的IP地址:ipaddressinsideip_addressnetmaskipaddressoutsideip_addressnetmask7.指定外部地址范圍:global1ip_address-ip_address8.指定要進(jìn)行要轉(zhuǎn)換的內(nèi)部地址:nat1ip_addressnetmask9.設(shè)置指向內(nèi)部網(wǎng)和外部網(wǎng)的缺省路由routeinside00inside_default_router_ip_addressrouteoutside00outside_default_router_ip_address10.配置靜態(tài)IP地址對映:staticoutsideip_addressinsideip_address11.設(shè)置某些控制選項:conduitglobal_ipport<-port>protocolforeign_ipglobal_ip指的是要控制的地址port指的是所作用的端口，其中0代表所有端口protocol指的是連接協(xié)議，比方:TCP、UDP等foreign_ip表示可訪問global_ip的外部ip，其中表示所有的ip。12.設(shè)置telnet選項:telnetlocal_iplocal_ip表示被允許通過telnet訪問到pix的ip地址(如果不設(shè)此項，PIX的配置只能由consle方式進(jìn)行)。13.將配置保存:wrmem3.3上網(wǎng)行為管理系統(tǒng)設(shè)計上網(wǎng)行為管理內(nèi)置國內(nèi)最全的應(yīng)用識別規(guī)那么庫，最大的網(wǎng)頁地址庫，結(jié)合深度內(nèi)容檢測技術(shù)、網(wǎng)頁智能識別等專利技術(shù)，為客戶解決網(wǎng)頁過濾、封堵與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用需求?；ヂ?lián)網(wǎng)上的網(wǎng)頁資源非常豐富，如果員工長時間訪問如色情、賭博、病毒等具有高度平安風(fēng)險的網(wǎng)頁，以及購物、招聘、財經(jīng)等與工作無關(guān)的網(wǎng)頁，將極大的降低生產(chǎn)效率。通過上網(wǎng)行為管理產(chǎn)品，用戶可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來制定個性化的網(wǎng)頁訪問策略，過濾非工作相關(guān)的網(wǎng)頁。3.3.1上網(wǎng)行為管理具體內(nèi)容〔1〕網(wǎng)絡(luò)應(yīng)用控制聊天、看電影、玩游戲、炒股票等等，互聯(lián)網(wǎng)上的應(yīng)用可謂五花八門，如果員工長期沉迷于這些應(yīng)用，也將成為企業(yè)生產(chǎn)效率的巨大殺手，并可能造成網(wǎng)速緩慢、信息外泄的可能。通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在適宜的時間做適宜的事。(2)帶寬流量管理P2P下載、在線游戲、在線看電影電視等都在搶占著有限的帶寬資源。面對日益緊張的帶寬資源，除了增加預(yù)算擴(kuò)充帶寬以外，企業(yè)還可以選擇合理化分配和管理帶寬。通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定精細(xì)的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入本錢。(3)信息內(nèi)容審計發(fā)郵件、泡BBS、寫B(tài)log、聊IM已經(jīng)司空見慣，然而信息的機(jī)密性、健康性、政治性等問題也隨之而來。通過上網(wǎng)行為管理產(chǎn)品，用戶可以制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及防止可能引起的法律風(fēng)險。(4)上網(wǎng)行為分析隨著互聯(lián)網(wǎng)上的活動愈演愈烈，實時掌握員工互聯(lián)網(wǎng)使用狀況可以防止很多隱藏的風(fēng)險。通過上網(wǎng)行為管理產(chǎn)品，用戶可以實時了解、統(tǒng)計、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對管理策略做調(diào)整和優(yōu)化。(5)日志管理通過日志的分類顯示，可以讓用戶只看到自己關(guān)心的系統(tǒng)日志，而不需要從所有日志信息中慢慢篩選，從而更好的讓用戶了解系統(tǒng)的運(yùn)行情況，方便快速定位和排除故障；更值得提出的是，ReOS2009上網(wǎng)行為日志可以記錄內(nèi)網(wǎng)用戶登錄QQ和退出MSN的信息〔能記錄下IP地址、QQ號碼和MSN號碼〕和發(fā)送/接受郵件的信息；通過網(wǎng)頁日志，用戶可以查看到內(nèi)網(wǎng)用戶所訪問過的網(wǎng)站域名，可以實時了解內(nèi)網(wǎng)用戶的上網(wǎng)行為。3.3.2上網(wǎng)行為管理系統(tǒng)產(chǎn)品與安裝1.瑞達(dá)時代產(chǎn)品綜述“上網(wǎng)行為管理系統(tǒng)”是一套基于互聯(lián)網(wǎng)內(nèi)容平安產(chǎn)品，采取網(wǎng)絡(luò)監(jiān)聽與控制技術(shù)，實現(xiàn)對被監(jiān)管網(wǎng)絡(luò)內(nèi)所有用戶的上網(wǎng)行為審計、過濾。詳細(xì)記錄用戶互聯(lián)網(wǎng)訪問行為及瀏覽時間等相關(guān)信息，對不良信息〔反動、色情、邪教〕進(jìn)行過濾，對敏感信息〔成人用品、成人話題、同性戀、交友、聊天、游戲、證券〕等進(jìn)行管理；通過合理分配用戶上網(wǎng)時段等，有效管理互聯(lián)網(wǎng)使用效率；系統(tǒng)采用國內(nèi)獨(dú)創(chuàng)，并獲國家科委鼎力支持的“網(wǎng)頁內(nèi)容智能判別技術(shù)”，進(jìn)行網(wǎng)頁內(nèi)容實時判別與控制。2.瑞達(dá)時代產(chǎn)品具有以下主要功能：(1)用戶管理系統(tǒng)支持以IP地址、MAC地址等為參照的用戶管理模式，并可對用戶分組進(jìn)行管理。對不同人員可以設(shè)置免監(jiān)控。(2)實時監(jiān)控可以實時監(jiān)控當(dāng)前互聯(lián)網(wǎng)網(wǎng)絡(luò)的使用情況，即時查看用戶訪問互聯(lián)網(wǎng)各類應(yīng)用〔網(wǎng)站、郵件、網(wǎng)絡(luò)游戲、即時消息、網(wǎng)絡(luò)會話〕的信息，包括訪問的時間、訪問的協(xié)議、IP地址、訪問的內(nèi)容等。(3)行為審計對網(wǎng)站訪問、網(wǎng)絡(luò)游戲、聊天內(nèi)容、網(wǎng)絡(luò)會話等信息進(jìn)行歸檔，方便管理者根據(jù)時間、IP地址、網(wǎng)址、效勞、內(nèi)容等組合條件查詢審核全部用戶或指定用戶的互聯(lián)網(wǎng)訪問情況，同時對管理員的操作行為進(jìn)行完全審計。(4)上網(wǎng)統(tǒng)計分析提供數(shù)十種統(tǒng)計報表對終端、時間等進(jìn)行統(tǒng)計，可生成各類排行榜，并可以圖表的方式從各個角度對用戶上網(wǎng)情況進(jìn)行分析。靈活的條件輸入和結(jié)果選擇，幾乎涵蓋管理者的各種要求。統(tǒng)計結(jié)果可導(dǎo)出到Excel表格，方便進(jìn)行二次處理。(5)安裝與連接

由于監(jiān)控模塊要進(jìn)行原始數(shù)據(jù)的采集和分析，所以效勞器必須能接收到被管理用戶的所有進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)包，而在通常情況下，上網(wǎng)行為管理系統(tǒng)要管理的是客戶處所有用戶的上網(wǎng)行為，因此產(chǎn)品一般安裝部署在客戶網(wǎng)絡(luò)環(huán)境中互聯(lián)網(wǎng)的網(wǎng)關(guān)處。由于系統(tǒng)對數(shù)據(jù)包的獲取采用的是旁路監(jiān)聽的方式，這也通常需要網(wǎng)關(guān)處的設(shè)備〔如交換機(jī)〕提供有端口鏡像的功能，或特意地構(gòu)造一個局部的共享總線的以太網(wǎng)環(huán)境，使應(yīng)被監(jiān)聽的主機(jī)或網(wǎng)絡(luò)能夠與監(jiān)控模塊處于一個共享的以太網(wǎng)環(huán)境內(nèi)，否那么系統(tǒng)無法接收到網(wǎng)上的所有數(shù)據(jù)流。有關(guān)交換機(jī)監(jiān)聽端口配置性能方面的問題，請參考有關(guān)交換機(jī)的產(chǎn)品技術(shù)手冊。系統(tǒng)網(wǎng)絡(luò)安裝的的示意圖如圖3.4。圖3.4瑞達(dá)時代的安裝示意圖3.4數(shù)據(jù)備份系統(tǒng)的設(shè)計3.4.1備份設(shè)計的具體思路數(shù)據(jù)備份有多種實現(xiàn)形式，從不同的角度可以對備份進(jìn)行不同的分類：從備份模式來看，可以分為物理備份和邏輯備份；從備份策略來看，可以分為完全備份、增量備份和差異備份；根據(jù)備份效勞器在備份過程中是否可以接收用戶響應(yīng)和數(shù)據(jù)更新，又可以分為離線備份和在線備份[5]。(1)邏輯備份邏輯備份也可以稱作“基于文件的備份”。每個文件都是由不同的邏輯塊組成的，每個邏輯塊存儲在連續(xù)的物理磁盤塊上，基于文件的備份系統(tǒng)能識別文件結(jié)構(gòu)，并拷貝所有的文件和目錄到備份資源上。系統(tǒng)順序讀取每個文件的物理塊，然后備份軟件連續(xù)地將文件寫入到備份介質(zhì)上，從而使得每個單獨(dú)文件的恢復(fù)變得更快。(2)物理備份物理又稱“基于塊的備份”或“基于設(shè)備的備份”，其在拷貝磁盤塊到備份介質(zhì)上時忽略文件結(jié)構(gòu)，從而提高備份的性能。因為備份軟件在執(zhí)行過程中，花費(fèi)在搜索操作上的開銷很少。(3)完全備份完全備份是指整個系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進(jìn)行一次全面的備份，這是一種最根本，也是最簡單的備份方式。這種備份方式的好處就是很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)喪失等問題，可以只使用一份備份文件快速地恢復(fù)所喪失的數(shù)據(jù)。(4)增量備份為了解決上述完全備份的兩個缺點(diǎn)，出現(xiàn)了更快、更小的增量備份。增量備份只備份相對于上次備份操作以來新創(chuàng)立或者更新過的數(shù)據(jù)。因為在特定的時間段內(nèi)只有少量的文件發(fā)生改變，沒有重復(fù)的備份數(shù)據(jù)，因此既節(jié)省空間，又縮短了備份的時間。因而這種備份方法比擬經(jīng)濟(jì)，可以頻繁地進(jìn)行。(5)差異備份差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復(fù)時涉及到備份記錄數(shù)量限制在兩個，以簡化恢復(fù)的復(fù)雜性。數(shù)據(jù)恢復(fù)是數(shù)據(jù)備份的逆操作，就是把數(shù)據(jù)庫由存在故障的狀態(tài)轉(zhuǎn)變?yōu)闊o故障的狀態(tài)的過程，利用已備份的備份文件和邏輯日志文件重新創(chuàng)立數(shù)據(jù)庫中的數(shù)據(jù)。要將數(shù)據(jù)恢復(fù)到發(fā)生故障時的狀態(tài)，必須至少具有在發(fā)生故障以前數(shù)據(jù)庫的備份文件，包括完整備份、增量備份、差異備份等，以及備份以后所有事務(wù)的邏輯日志文件。3.4.2數(shù)據(jù)備份系統(tǒng)的產(chǎn)品與安裝備份工具采用Windows系統(tǒng)自帶的數(shù)據(jù)備份工具備份軟件路徑：開始-程序-附件-系統(tǒng)工具-備份。歡送界面，選擇工具-選項?！斑x項”屬性界面如圖3.5圖3.5選項界面選擇“排除文件”標(biāo)簽頁面，之后點(diǎn)擊“添加”。選擇.avi文件類型，應(yīng)用路徑為d:/,并“應(yīng)用于所有文件夾”。點(diǎn)擊圖3.6中的“確定”。圖3.6選項選擇“復(fù)原”標(biāo)簽頁，選中“無條件替換本機(jī)上的文件”。選擇“備份類型”標(biāo)簽頁，默認(rèn)備份類型選擇“每日”，如圖3.7。3.7設(shè)置備份類型9.應(yīng)用并確定，設(shè)置完成，實現(xiàn)了備份。第4章系統(tǒng)測試4.1防火墻的測試這次測試的目的是為了知道防火墻是否想我們想象中的意圖來工作的。在此之前你必須:制定一個完整的測試方案，測試的意圖主要集中在路由、包過濾、日志記錄與警報的性能上測試當(dāng)防火墻系統(tǒng)處于非正常工作狀態(tài)時的恢復(fù)防御方案。1.其中比擬重要的的測試包括:(1)硬件測試(處理器、內(nèi)外儲存器、網(wǎng)絡(luò)接口等等)；(2)操作系統(tǒng)軟件(引導(dǎo)局部、控制臺訪問等等)；(3)防火墻軟件；(4)網(wǎng)絡(luò)互聯(lián)設(shè)備(CABLES、交換機(jī)、集線器等等)；(5)防火墻配置軟件。2.路由型規(guī)那么包過濾規(guī)那么與關(guān)聯(lián)日志、警報選項，建立一個測試方案。你需要在做一個方案，讓系統(tǒng)本身去測試防火墻系統(tǒng)與策略的執(zhí)行情況，然后測試系統(tǒng)的執(zhí)行情況。(1)建立一個所有可替代的系統(tǒng)組件的列表，用來記錄一些會導(dǎo)致防火墻系統(tǒng)出錯的敏感故障。

(2)為每一個組件建立一個簡短的特征說明列表列表，用語闡述其對防火墻系統(tǒng)運(yùn)作的影