XX校园网网络安全解决方案

网络平安课程设计书目校内网概况校内网平安需求分析产品选型和网络拓扑图介绍操作系统平安配置与测试应用服务器（WWW）平安配置防病毒体系设计防火墙设计、配置与测试校内网概况该校内网始建于2000年8月，至今已经验了四个主要发展阶段，网络覆盖已遍及现有的教学办公区和学生宿舍区。截止目前，校内网光缆铺设约一万二千米，信息点铺设接近一万，开设上网帐号8000多个，办理学校免费邮箱2000左右。校内网主干现为双千兆环网结构。校内网接入均为千兆光纤到大楼，百兆交换到桌面，具有良好的网络性能。校内网现有三条宽带出口并行接入Internet，500兆中国电信、100兆中国网通和100兆中国教化科研网，通过合理的路由策略，为校内网用户供应了良好的出口带宽。校内网资源建设成效显著，现有资源服务包括高校门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博协助教学平台、在线电视、VOD点播、音乐观赏、公用FTP、文档下载、软件下载、学问园地、站点导航、在线帮助、系统补丁、网络平安、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习平台，图书馆丰富的电子图书资源，教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校内网的资源子网，为广阔师生供应了良好的资源服务。校内网平安需求分析将平安策略、硬件及软件等方法结合起来，构成一个统一的防卫系统，有效阻挡非法用户进入网络，削减网络的平安风险。定期进行漏洞扫描，审计跟踪，刚好发觉问题，解决问题。通过入侵检测等方式实现实时平安监控，供应快速响应故障的手段，同时具备很好的平安取证措施。使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新复原到破坏前的状态，最大限度地削减损失。在工作站、服务器上安装相应的防病毒软件，由中心限制台统一限制和管理，实现全网统一防病毒。通过对校内网网络结构、应用及平安威逼分析，可以看出其平安问题主要集中在对服务器的平安爱护、防黑客和病毒、重要网段的爱护以及管理平安上。因此，我们必需实行相应的平安措施杜绝平安隐患，其中应当做到：公开服务器的平安爱护防止黑客从外部攻击入侵检测与监控信息审计与记录病毒防护数据平安爱护数据备份与复原网络的平安管理针对这个企业局域网络系统的实际状况，在系统考虑如何解决上述平安问题的设计时应满意如下要求：1.大幅度地提高系统的平安性（重点是可用性和可控性）；2.保持网络原有的能特点，即对网络的协议和传输具有很好的透亮性，能透亮接入，无需更改网络设置；3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5.平安保密系统具有较好的性能价格比，一次性投资，可以长期运用；6.平安产品具有合法性，及经过国家有关管理部门的认可或认证；7.分布实施。产品选型和网络拓扑图介绍该校内网现行核心区选用锐捷核心交换机RG-S5750S系列，24端口10/100/1000M自适应端口（支持PoE远程供电），12个复用的SFP接口，2个扩展槽。支持4K个802.1QVLAN支持SuperVLAN、支持ProtocolVLAN、支持PrivateVLAN、支持VoiceVLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。防火墙采纳深信服M5400VPN防火墙。2个LAN口，4个WAN口，2个串口。IPSecVPN隧道数：5200条/并发SSL用户数：800/每秒新建用户数：80/每秒新建会话数：500/最大并发会话数目：600,000。接入层采纳H3CS1048交换机，供应48个符合IEEE802.3u标准的10/100M自适应以太网接口，全部端口均支持全线速无堵塞交换以及端口自动翻转功能，外形采纳19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准；

供应48个10/100M自适应以太网端口；

每个端口都支持Auto-MDI/MDIX功能；

每个端口都供应Speed和Link/Act指示灯，显示端口的工作状态。校内网拓扑图：（四、五、）操作系统平安配置与测试，WWW配置与测试。操作系统采纳server03，并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下：然后建立网站文件夹书目：性能与书目平安性配置：可以通过IP地址和域名限制，创建虚拟文件书目，更改端口号灯多种方法来提高WWW服务器的平安性。通过局域网网内不同主机对服务器的访问来测试配置状况。防病毒体系设计防病毒体系总体规划：防病毒系统不仅是检测和清除病毒，还应加强对病毒的防护工作，在网络中不仅要部署被动防卫体系（防病毒系统）还要采纳主动防卫机制（防火墙、平安策略、漏洞修复等），将病毒隔离在网络大门之外。通过管理限制台统一部署防病毒系统，保证不出现防病毒漏洞。因此，远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。在跨区域的广域网内，要保证整个广域网平安无毒，首先要保证每一个局域网的平安无毒。也就是说，一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应当依据每个局域网的防病毒要求，建立局域网防病毒限制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的病毒防护体系。1.构建控管中心集中管理架构保证网络中的全部客户端计算机、服务器可以从管理系统中刚好得到更新，同时系统管理人员可以在任何时间、任何地点通过阅读器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被系统管理人员随时管理，保证整个防毒系统有效、刚好地拦截病毒。2.构建全方位、多层次的防毒体系结合企业实际网络防毒需求，构建了多层次病毒防线，分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面布控。3.构建高效的网关防毒子系统网关防毒是最重要的一道防线，一方面消退外来邮件SMTP、POP3病毒的威逼，另一方面消退通过HTTP、FTP等应用的病毒风险，同时对邮件中的关键字、垃圾邮件进行阻挡，有效阻断病毒最主要传播途径。4.构建高效的网络层防毒子系统企业中网络病毒的防范是最重要的防范工作，通过在网络接口和重要平安区域部署网络病毒系统，在网络层全面消退外来病毒的威逼，使得网络病毒不再肆意传播，同时结合病毒所利用的传播途径，结合平安策略进行主动防卫。5.构建覆盖病毒发作生命周期的限制体系当一个恶性病毒入侵时，防毒系统不仅仅运用病毒代码来防范病毒，而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理，特殊是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前，可以通过网关可疑信息过滤、端口屏蔽、共享限制、重要文件/文件夹写爱护等多种手段来对病毒进行有效限制，使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发觉的病毒高效清除，快速复原系统至正常状态。6.病毒防护实力防病毒实力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行，削减误报的几率。7.系统服务系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后，能否对病毒进行有效的防范，与病毒厂商能否供应刚好、全面的服务有着极为重要的关系。这一方面要求软件供应商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统运用中出现的问题，还是用户发觉的可疑文件，都能进行快速的分析和方案供应。假如有新病毒爆发及其它网络平安事务，须要防病毒厂商具有较强的应急处理实力及售后服务保障，并且做出具体、具体的应急处理机制安排表和完善的售后服务保障体系。防病毒体系的管理功能：防病毒系统能够实现分级、分组管理，不同组及客户端执行不同病毒查杀策略，全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面，干脆监视和操纵服务器端/客户端，依据实际须要，添加自定义任务（例如更新和扫描任务等），支持大型网络统一管理的多级中心系统等多种困难的管理功能。8.资源占用率防病毒系统进行实时监控或多或少地要占用部分系统资源，这就不行避开地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描，由于工作量相当大，因此对系统资源的占用较大。因此，防病毒系统占用系统资源要较低，不影响系统的正常运行。8.系统兼容性防病毒系统要具备良好的兼容性，将支持以下操作系统：WindowsNT、Windows2000、Windows9X/Me、WindowsXP/Vista、Windows2000/2003/2008Server、Unix、Linux等X86和X64架构的操作系统。9.病毒库组件升级防病毒系统供应多种升级方式以及自动分发的功能，支持多种网络连接方式，具有升级便利、更新刚好等特点，管理员可以非常轻松地依据预先设定的升级方式实现全网内的统一升级，削减病毒库增量升级对网络资源的占用，并且采纳均衡流量的策略，尽快将新版本部署到全部计算机上，时刻保证病毒库都是最新的，且版本一样，杜绝因版本不一样