网络安全安全管理方案

1、PAGE9 天津电子信息职业技术学院网络安全管理报告报告题目：安阳大学网络安全管理姓名：郭晓峰学号：08班级：网络S15-4专业：计算机网络技术系别：网络技术系指导教师：林俊桂摘要：校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先，校园网应为学校教学、科研提供先进的信息化教学环境。这就要求：校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系)，也可以形成多个局域网络，并通过有线或无线方式连接起来。其次，校园网应具有教务、行政

2、和总务管理功能。因此，网络安全管理成为建设校园网的重点，所以本文就是说明校园网络如何安全管理，主要运用防火墙和监测系统，来实现校园网络的安全。关键词：校园网，网络安全，管理。目录TOC o 1-3 h u HYPERLINK l _Toc1216 一、单位简介 PAGEREF _Toc1216 1 HYPERLINK l _Toc31338 二、校园网管理 PAGEREF _Toc31338 1 HYPERLINK l _Toc7706 校园网管理目的 PAGEREF _Toc7706 1 HYPERLINK l _Toc11762 校园网管理相关内容 PAGEREF _Toc11762 2

3、HYPERLINK l _Toc13026 网络管理 PAGEREF _Toc13026 3 HYPERLINK l _Toc22296 三、网络安全策略 PAGEREF _Toc22296 4 HYPERLINK l _Toc8217 校园内部网络安全与病毒防范 PAGEREF _Toc8217 4 HYPERLINK l _Toc30744 校园网服务器的安全 PAGEREF _Toc30744 5 HYPERLINK l _Toc6977 网络安全策略配置 PAGEREF _Toc6977 6 HYPERLINK l _Toc9156 校园网基于vlan的安全部署 PAGEREF _To

4、c9156 6 HYPERLINK l _Toc6644 四、总结 PAGEREF _Toc6644 7一、单位简介安阳大学是我省省属重点大学。该校拥有已开通信息点1万多个，上网电脑一万多台，校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。安阳大学的网络结构分为核心、汇聚和接入3个层次，网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结址和8个ChinaNet的IP地址。校园网资源建设成效显著，现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校

5、务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习平台，图书馆丰富的电子图书资源，教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网，为广大师生提供了良好的资源服务。二、校园网管理校园网管理目的校园网管理的主要目的是保障网络运行的品质，如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，可分为下列几项：（1）系统管理随时掌握网络内任何设

6、备的增减与变动，管理所有网络设备的设置参数。当故障发生时，管理人员可以重设或改变网络设备的参数，维持网络的正常运作。（2）故障管理为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。（3）效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。（4）安全管理为防范不被授权的用户擅自使用网络资源，以及用户蓄意破坏网络系统的安全，要随时做好安全措施，如合法的设备存取控制与加密等。（5）计费管理了解网络使用时间，能针对各个局部网络做使用统计。一则可作为使用

7、网络计费的依据，更可作为日后网络升级或更新规划的参考。（6）信息管理网络上的信息分成两部分，一是由管理员放置的信息，它们的品质一般较高；另一部分是由用户放置的，可能会有一些问题，要对这部分信息进行管理。校园网管理相关内容拓扑图（1）布线系统的日常维护。做好布线系统的日常维护工作，确保底层网络连接完好，是计算机网络正常、高效运行的基础。目前，城域网和广域网之间的互连除了微波、卫星通道等无线连接方式外,室外光缆铺设仍然是唯一的有线连接途径。对布线系统的测试和维护一般借助于双绞线测试仪和规程分析仪、信道测试仪等，智能化分析仪器的使用提高了布线的管理水平和管理效率，可以更好地保证计算机网络的正常运行。

8、（2）关键设备的管理。无论何种规模的计算机网络，关键设备的管理都是一项相当重要的工作。这是因为,网络中关键设备的任何故障都有可能造成网络瘫痪，给用户带来无法弥补的损失。校园网中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理除了通过网管软件实时监测其工作状态外，更要做好它们的备份工作。对主干交换机的备份，目前似乎很少有厂商能提供比较系统的解决方案，因而只有靠网络管理员在日常管理中加强对主干交换机的性能和工作状态的监测，以维护网络主干交换机的正常工作。（3）IP地址的管理。在TCP/IP协议已经成为事实上的工业标准的今天，TCP/IP网络主的任何一台工作站都

9、需要有一个合法的IP地址才能够正常工作。在构建:规划计算机网络时，应做好机构内部各部门对上网业务的需求调查和统计，确定计算机网络规模。IP地址管理得当与否，是计算机网络能否保持高效运行的关键。如果IP地址的管理手段不完善，网络很容易出现IP地址冲突，就会导致合法的IP地址用户不能正常享用网络资源，影响网络正常运行，甚至会对某些关键数据造成损坏。（4）其他管理工作。当然，对应于不同的网络环境，还有很多管理工作要做。随着内部网和Internet的相互连通，网络管理员除了要维护各种数据的可靠性外，还要保证机密数据的安全。因此,计算机网络的安全管理(如防火墙的设置)又成为网络管理中一个非常重要的方面。

10、网络管理网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。（1）网络管理的内容网络故障管理；网络配置管理；网络性能管理；网络计费管理；网络安全管理；容错管理；网络地址管理；软件管理；文档管理；网络资源管理。（2）网络管理的手段在校园网络管理方面，为了便于校园网络管理人员的管理及维护，我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。Quidview网络管理软件采

11、用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视。Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。故障管理。故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。性能监控。Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过

12、性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。服务器监视管理。服务器是企业IP架构中的重要组成部分，通过Quidview，可实现服务器与设备的统一管理。设备配置文件管理。当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。Quidview网络配置中心支持对设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件

13、的基线化管理，可以对配置文件的变化进行比较跟踪。设备软件升级管理。Quidview提供完善的设备软件备份升级控制机制。使用Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时，可以利用Quidview集中备份设备运行软件，然后进行批量升级。升级之后，可以使用Quidview进行升级结果验证，确保升级操作万无一失。集群管理。针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。堆叠管理。Quidview网络管理软件通过堆叠管理，可以集中管

14、理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。故障定位与地址反查。针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。RMON管理。RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。三、网络安全策略校园内部网络安全与病毒防范在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。校园网络是内部

15、局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。配置防火墙。利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止

16、网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构

17、架成一套完整立体的主动防御体系。ip盗用问题的解决。在路由器上捆绑ip和mac地址。当某个ip通过路由器访问internet时，路由器要检查发出这个ip广播包的工作站的mac是否与路由器上的mac地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个ip广播包的工作站返回一个警告信息。加强学生的法制教育和德育教育。学生机房管理时感慨地说：“学生的破坏能力是无穷无尽的”，我觉得这句话应该改成“学生的创新能力是无穷无尽的”，问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时，应该加强学生的法制教育和德育教育，让学生了解我国在计算机应用方面的相应法规，做一个遵纪守法的好青

18、年。校园网服务器的安全校园网服务器的安全一般可分为硬件系统的安全与软件系统的安全。硬件系统的安全防护。放置服务器的机房应切实做好防雷、防火、防水、防电、防高温等工作。为保证服务器24小时处于工作状态还应配备不间断电源。同时管理员要管理好机房的和机柜的钥匙，不要让无关人员随意进入机房，防止人为的蓄意破坏和盗窃事件发生。软件系统的安全防护。同硬件系统相比，服务器软件系统的安全问题是最多的，也是最琐碎的。一般来说可以从以下几方面着手：建立服务器档案。对于服务器内部的硬件型号、软件版本、维修记录等进行记录，以便今后出现故障时能进行对照。安装补丁程序。目前大部分校园网服务器使用的是微软的windows2

19、003操作系统，由于使用的人多，bug也不断被发现，微软的操作系统成了不少黑客攻击的对象。所以装好Windows2003系统后一定要升级至servicepack2，管理员还要经常关注微软公司的网站及时下载最新的系统补丁打到服务器中。安装防火墙与杀毒软件。在校园网中，重要的数据往往保存在整个中心结点的服务器上，这也是病毒攻击的首要目标。安装病毒防火墙和网络防火墙，定期对病毒库进行更新，按计划查毒杀毒。定期用对服务器开放的端口进行检测，将检测结果和以往备份的端口列表进行比较。用进程检测软件监测服务器所开的进程，并和以往的进程列表作比较。服务器尽可能不要设置文件共享，不要打开写文件的权限，即使开启共

20、享，也应设置相应密码。加强操作系统权限管理和口令管理。打开“计算机管理”，检查用户和组里是否有非法用户，尤其小心管理员权限的非法用户。禁止系统提供的guest用户，因为黑客常用guest进行系统控制，对于administrator则应进行改名操作并设置足够复杂的密码。开启审核策略，修改终端管理端口，以及配置ms-sql，删除危险的存储过程。监测系统日志。管理员要定期查看系统日志记录，及时解决出现的问题，无法解决的问题及时向上级汇报；任何人不得动手删除运行记录数据库中的文档。定期对日志进行备份，并设置防止日志的大小，以免日志文件过大影响系统速度。定期对服务器进行备份与维护。为防止不能预料的系统故

21、障或用户不小心的非法操作，系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘、用户账号等。文件资料可以用raid方式进行每周备份，重要的资料还应用保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况，删除过期和无用的文件，确保服务器高效运行。任何先进的系统都是为人服务的，因此人永远是决定性的因素，配合先进的技术手段，建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。网络安全策略配置拒绝服务的防止。网络设备拒绝服务攻击的防止主要是防止出现TCPSYN泛滥攻击、Smurf攻击等；网络设备的防TCPSYN的方法主要是配置网络设备TCPSYN临界值，若多于这个临界值，则丢弃多余的TCPSYN数据包；防Smurf攻击主要是配置网络设备不转发ICMPecho请求(directedbroadcast)和设置ICMP包临界值，避免成为一个Smurf攻击的转