校园网络安全设计方案

校内网络平安设计方案10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的快速开展，校内网的建立日益普遍。而在高校中，如何能够保证校内网络的平安运行，同时又能供应丰富的网络资源，到达办公、教学及学生上网的多种需求已成为了一个难题。校内网络的平安不仅有来自外部的攻击，还有内部的攻击。所以，在校内网建立中运用平安技术是刻不待时的。现从防火墙、VPN、防病毒、入侵检测和防备系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络平安管理制度几个方面，设计我校的网络平安方案。防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被爱惜的网络和和其他网络之间进展的信息存取、传递操作。防火墙的概念：通常防火墙是指部署在不同网络或网络平安域之间的一系列部件组合，是一种有效的网络平安策略。防火墙供应信息平安效劳，设置在被爱惜内部网络的平安和担忧全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威逼，爱惜内部网络的平安。它是不同网络或网络平安域之间信息的唯一出入口，依据平安策略限制出入网络的信息流，并且本身具有较强的抗攻击实力。防火墙的分类：按软件和硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的构造分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的平安策略：〔1〕全部从内到外和从外到内的数据包都必需经过防火墙〔2〕只有被平安策略允许的数据包才能通过防火墙〔3〕防火墙本身要有预防入侵的功能〔4〕默认制止全部效劳，除非是必需的效劳才被允许防火墙的设计：〔1〕保障校内内部网主机的平安，屏蔽内部网络，制止外部网用户连接到内部网〔2〕只向外部用户供应HTTP、SMTP和POP等有限的效劳〔3〕向内部记账用户供应全部Internet效劳，但一律通过代理效劳器(4)制止访问黄色、反动网站(5)要求具备防IP地址欺瞒和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校内网的一切活动。校内网络在设置时应从下面几个方面入手：〔1〕入侵检测：具有黑客平凡攻击的实时检测技术。实时防护来自IPSourceRouting、IPSpoofing、SYNflood、IC-MPflood、UDPflood、PingofDeath、拒绝效劳和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。〔2〕工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式和透亮模式。我们选择的是透亮模式，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。全部接口运行起来都像是同一网络中的一局部。此时防火墙的作用更像是Layer2〔其次层〕交换机或桥接器。在透亮模式下，接口的IP地址被设置为.0,防火墙对于用户来说是可视或透亮的。〔3〕策略设置：防火墙可以供应具有单个进入和退出点的网络边界。由于全部信息流都必需通过此点，因此可以筛选并引导全部通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个平安段流到另一个平安段的信息流。可以确定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。〔4〕管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和叮嘱行界面，我们选择为通过web方式和java等程序编写的图形化界面进展远程管理。〔5〕内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、JavaAp-ple、ActiveX和恶意脚本过滤等。〔6〕防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它确定了每秒钟可能通过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。千兆防火墙还会到达几个G的性能。要充分进展性价比的考虑。〔7〕用户认证：要建立完善的用户认证机制，可以指定内部用户必需经过认证，方可访问不行信网络。防火墙可以限定只有授权用户可以通过防火墙进展一些有限制的活动，可以运用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式，对于内部网络的平安又多了一层保障。产品选择：CiscoPIX515防火墙产品特点：CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术，运行PIX操作系统，是一种实时的嵌入式强化系统，可以消退平安漏洞和性能降级损耗。假设拓扑图如下〔图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口，路由器的左口为f0/1，右口为f0/0.〕：要求：〔1〕对防火墙、路由器进展根本的叮嘱配置，使得内网的全部机器能访问外网。〔2〕全部内网的主机出口运用防火墙对外的全局地址〔3〕全部的外网的主机只能访问内网的IP地址为的主机，此主机对外公开地址为，允许对此主机进展。其中防火墙的配置：设置端口平安级别：nameife0outsidesec0nameife1insidesec100设置端口参数：interfacee0autointerfacee1auto配置内外网的IP地址：设置指向内外网的静态路由：Nat(inside)100Routeoutside拓扑图如下：VPN什么是VPN？虚拟专用网络〔VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络〔通常是因特网〕建立一个临时的、平安的连接，是一条穿过混乱的公用网络的平安、稳定的隧道。VPN属于远程访问技术，简洁地说就是利用公网链路架设私有网络。VPN的特点平安保障：通过一条隧道，加密技术对数据进展加密，以保证数据平安性和私有性。效劳质量保证：为不同要求用户供应不同等级质量的效劳可扩大性，灵敏性：支持Internet和Extrane任何类型的数据流可管理性：可以从用户和运营商角度进展管理VPN所用的技术：实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是在其次层链路层。也可以是在第三层网络层。其次层主要是PPP连接。如PPTP，L2TP第三层是IPSec。加解密技术数据通信中一项比拟成熟的技术，VPN可干脆利用现有技术进展数据加密解密密钥管理技术主要任务是如何在公用数据网上平安的传递密钥而不被窃取身份认证技术运用者名称和密码或卡片的认证方式校内中的VPNVPN应用在外部网络传输限制层保障学校不同校区之间牢靠、平安、高速的交换数据以及资源信息的共享。降低网络搭建本钱，简化管理。设计方案目前实现VPN主要有两种方式：IPSecVPN和SSLVPN假设只是想实现高效不同校区之间网络到网络的连接，可以选择IPSecVPN假设想实现终端到站点之间的传输可以选择SSLVPN各校区和主校区之间通过专线连接。而每个校区都通过路由器连接到具有VPN功能的防火墙。而路由器还有特地的VPN隧道和防火墙相连。防火墙连接到外面的Internet。同时校内网还连接至外面的教化科研网中。这样校外的老师和出差的老师都可以通过VPN访问校内网，还可以访问校内图书馆资源，内部教务信息VPN效劳器配置在效劳器上右击，选择配置启用路由和远程访问进入配置向导，在公共设置中选择虚拟专用网络效劳器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个效劳器所运用的Internet连接，可以选已建立好的拨号连接或通过制定网卡进展连接，按下一步这一步答复你如何对远程客户机支配IP地址，除非你安装DHCP效劳器，否那么选择指定一个IP地址的范围依据提示选择你要支配给客户机的IP地址〔此IP地址要和效劳器的IP地址在同一个网段〕最终选择“不，我此时此刻不想设置此效劳器的RADIUS”即可完成最终的设置VPN客户端配置在起先—附件—通讯，选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接”选择“虚拟专用网络连接”，单击下一步为连接输入一个名字“xxx”，单击下一步选择不拨此初始连接，单击下一步输入连接设备效劳器的IP地址，单击完成双击刚建立的“xxx”连接，在连接窗口中选择属性选择平安属性页，选择高级〔自定义设置〕，单击设置在“数据加密”中选择“可选加密”〔没有加密也可以连接〕在“允许这些协议”选中“质询握手身份验证协议〔CHAP〕”单击确定选择“网络”属性页，在VPN类型选择“L2TPVPN”确定“Internet协议TCP/IP”被选中单击确定，保存所做的修改防病毒：一、防病毒效劳器：首先选择ServerProtect软件特点：集中式网域管理、三层式构造执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事务的通知、内建完整的说明功能在网络中心增加一台效劳器，预装windows20XXserver，并在效劳器上安装ServerProtect的信息效劳器及管理限制台，作为ServerProtect的管理中心，从管理限制台在每一台效劳器上安装ServerProtect的标准效劳器防毒墙具体配置：1、配置下载源——一般把“趋势科技更新效劳器”设置为下载源2、配置预设下载——将下载频率设为“每天”3、配置通知信息——配置通知类型，并发送给谁4、配置扫描设置——分为实时扫描、立刻扫描、预设扫描通过ServerProtect的不熟，有效的爱惜校内网中的关键效劳器受到病毒入侵，今儿切断了病毒通过效劳器在校内网中的传播二、客户机安装网络版防毒软件：首先选择OfficeScan：针对企业网络环境设计，供应企业用户网络客户机的病毒防护工作，安装也企业中的一台防病毒效劳器，可通过阅读器进展全部的设定及配置，能够通过网络为没太计算机安装客户端，无须在客户端操作，简洁便利，供应实时病毒防护及监控实力在网络中心的防病毒效劳器上安装防病毒网络版的效劳器和限制端，通过“客户机打包程序”和WEB页面等方法安装校内内的客户机。具体配置：启动手动组织爆发客户机管理：设置扫面选项〔实时、手动、预设扫描和例外文件设置〕、设置权限效劳器管理：设置密码、设置警报设置更新〔效劳器更新、客户机更新〕另：宿舍客户机也可以自行选择网络版防毒软件，如360、瑞星、金山等等上网行为管理、用户审计系统上网行为管理产品及技术是专用于防止非法信息恶意传播，幸免国家机密、商业信息、科研成果泄漏的产品；并可实时监控、管理网络资源运用状况，提高整体工作效率。上网行为管理产品系列适用于需实施内容审计和行为监控、行为管理的网络环境，尤其是按等级进展计算机信息系统平安爱惜的相关单位或部门。标准功能:上网人员管理上网身份管理：利用IP/MAC识别方式、用户名/密码认证方式、和已有认证系统的联合单点登录方式精确识别确保上网人员合法性上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和平安性移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入企业网的移动终端的合法性、上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性上网阅读管理搜寻引擎管理：利用搜寻框关键字的识别、记录、阻断技术，确保上网搜寻内容的合法性，幸免不当关键词的搜寻带来的负面影响。网址URL管理：利用网页分类库技术，对海量网址进展提前分类识别、记录、阻断确保上网访问的网址的合法性。网页正文管理：利用正文关键字识别、记录、阻断技术，确保阅读正文的合法性文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性.上网外发管理平凡邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进展识别、记录、阻断确保外发言论的合法性即时通讯管理：利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其他外发管理：针对等传统协议的外发信息进展内容关键字识别、记录、阻断确保外发信息的合法性.上网应用管理上网应用阻断：利用不依靠端口的应用协议库进展应用的识别和阻断上网应用累计时长限额：针对每个或多个应用支配累计时长、一天内累计运用时间到达限额将自动终止访问上网应用累计流量限额：针对每个或多个应用支配累计流量、一天内累计运用流量到达限额将自动终止访问.上网流量管理上网带宽限制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进展丢弃上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保存必要的网络带宽上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其他空闲虚拟通道的带宽上网带宽平均：每个用户平均支配物理带宽、幸免单个用户的流量过大抢占其他用户带宽上网行为分析上网行为实时监控：对网络当前速率、带宽支配、应用分布、人员带宽、人员应用等进展统一呈现上网行为日志查询：对网络中的上网人员/终端/地点、上网阅读、上网外发、上网应用、上网流量等行为日志进展精准查询，精确定位问题上网行为统计分析：对上网日志进展归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发觉潜在问题.上网隐私爱惜日志传输加密：管理者接受SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看权限，但可设置审计员账号；审核员无日志查看权限，但可审核审计员权限的合法性后才开通审计员权限；审计员无法设置自己的日志查看范围，但可在审核员通过权限审核后查看规定的日志内容精确日志记录：全部上网行为可依据过滤条件进展选择性记录，不违规不记录，最小程度记录隐私设备容错管理死机爱惜：设备带电死机/断电后可变成透亮网线，不影响网络传输。一键排障：网络出现故障后，按下一键排障物理按钮可以干脆定位故障是否为上网行为管理设备引起，缩短网络故障定位时间双系统冗余：供应硬盘+Flash卡双系统，互为备份，单个系统故障后照旧可以保持设备正常运用。风险集中告警告警中心：全部告警信息可在告警中心页面中统一的集中展示分级告警：不同等级的告警进展区分排列，防止低等级告警沉没关键的高等级告警信息。告警通知：告警可通过邮件、语音提示方式通知管理员，便于快速发觉告警风险。数据备份系统数据备份是容灾的根底，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或局部数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是接受内置或外置的磁带机进展冷备份。但是这种方式只能防止操作失误等人为故障，而且其复原时间也很长。随着技术的不断开展，数据的海量增加，不少的企业起先接受网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。重要性：计算机里面重要的数据、档案或历史纪录，不管是对企业用户还是对个人用户，都是至关重要的，一时不慎丢失，都会造成不行估量的损失，轻那么辛苦积累起来的心血付之东流，紧要的会影响企业的正常运作，给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行，企业用户应当接受先进、有效的措施，对数据进展备份、防范于未然。备份方式：定期磁带；数据库；网络数据；远程镜像；好用设备：备份离不开存储设备和介质。目前，可以用来备份的设备许多，除软盘、本地硬盘外，CD-R、CD-RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都可以很便利地买到。此外，Internet还给用户供应了网络备份的新途径，尤其是一些免费空间很值得我们予以关注。软盘是最常见的备份介质。不过，软盘容量很小，备份少量数据尚强求可为，对大量数据那么无能为力。再那么，软盘平安性差、简洁损坏，专业备份不值得考虑。光盘是不错的备份介质，它容量大、便于保管和携带，平安性也较高，是死备份的唯一选择。产品选择：Symantec作为全球领先的存贮存份管理软件厂商，旗下的BackupExec和Netbackup两款备份产品解决方案可以为企业各种环境架构下的应用系统数据供应牢靠的备份管理和数据平安保障。产品特点：BackupExec软件是一种多线程、多任务的存储管理解决方案，专为在单一的或多节点的WindowsServers(包括windows2003/2008)企业环境中进展数据备份、复原、灾难复原而设计，适用于Windowsservers以及简洁异构的企业网络；在全球数据备份软件市场的占有率高达56％，并在各种性能评测中远远领先于对手产品。NetBackup是Symantec公司的企业级备份管理软件,它致力于解决网络上大、中、小型效劳器和工作站系统上的数据备份、归档及灾难复原问题；NetBackup支持UNIX、Windows和Netware混合环境供应了完整的数据爱惜机制，针对Oracle、SAPR/3、Informix、Sybase、MicrosoftSQLServer和MicrosoftExchangeServer等数据库供应了备份和复原的解决方案。具有爱惜企业中从工作组到企业级效劳器的全部的数据的实力。产品配置：SymantecBackupExec12D产品配置架构BackupExec12DforWindowsServers备份软件可以作为一台独立效劳器爱惜自身的重要数据，也可以为网络上其它的远程客户端或者效劳器供应全面的数据爱惜。备份软件系统的核心局部--BackupExecforWindowsServers能够安装到广泛的Windows各个版本的操作系统上，包括WindowsServer2000/2003、WindowsStorageServer2003以及WindowsSmallBusinessServer标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展BackupExec的功能，从而满足不同应用对增长和升级存储管理实力的需求。关于Windows效劳器的系统爱惜，可以接受SymantecBackupExecSystemRecovery产品；BESR8.5是作为Windows系统复原领域的金牌标准，可以在数分钟〔而非数小时或数天〕之内复原系统，甚至可以将系统复原至不同的硬件或虚拟环境。此时此刻包含增加的MicrosoftExchange、虚拟和数据复原功能，以及能够简化管理的集中式管理。客户备份环境分析：客户的备份网络中，主要爱惜的效劳器为Windows平台，备份的效劳器有文件效劳器、AD域效劳器、SQL数据库效劳器等备份系统网络构造设计：在网络备份的根底上，我们建议建立一个专用的备份网络。配置很简洁，因为每台效劳器缺省已经配置2个以上的以太网卡。我们指定其中一个网卡作为专用的备份连接，通过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据通过备份网络干脆传输到备份效劳器，而不须要占用公网的网络带宽，而且备份速度更快。还有，我们建议接受基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份效劳器上，然后在空闲的时候再迁移到磁带机上做为长期的数据保存。磁盘和磁带相结合的备份，既可以实现高速的存贮存份，也可以实现数据长期保存的须要。主页防篡改网站被篡改的缘由：客观缘由：操作系统和应用的困难性，导致系统漏洞的层出不穷。虽然有防火墙、入侵检测，但是这些产品都是基于特定端口的，无法理解协议的具体内容主观缘由：网站建立和爱惜措施建立不同步还有些网站在接到报告后能够复原，但并没有铲除平安隐患，从而遭到屡次篡改网页防篡改技术：外挂轮巡技术：利用一个网页读取和检测程序，以轮巡方式读出要监控的网页，和真实网页相比拟，来判定网页内容的完整性，对于被篡改的网页进展报警和复原。核心内嵌技术：篡改检测模块内嵌于WEB效劳器软件，在每一个网页流出时进展完整性检查事务触发技术：运用操作系统的文件系统/驱动程序接口，网页文件被修改时进展合法性检查产品选择：鹰眼主页防篡改软件产品特点：鹰眼主页防篡改系统接受先进的核心驱动技术，其篡改检测模块运行于操作系统核心，和操作系统无缝结合。拦截对被爱惜的对象的非法篡改行为事务，进展阻断处理，由于鹰眼主页防篡改系统接受了先进、高校的算法，因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理效劳器、管理终端三局部组成。主机监控端安装于被爱惜的WEB效劳器之上。主机监控端和WEB效劳器同步启动，保证WEB效劳器能够随时得到爱惜。管理效劳器是整个系统的中枢，全部的管理功能和数据均在管理效劳器上实现，管理效劳器是管理终端和主机监控端的桥梁。管理终端安装于用户的工作用机上，为用户供应远程管理操作通过部署主页防篡改软件，有效的监控网站网页是否被恶意修改、删除，并能在最短的时间内接受复原措施，有效保证数据的完整性和真实性。校内网络系统平安管理制度

第一章总那么

第一条为了爱惜校内网络系统的平安、促进学校计算机网络的应用和开展、保证校内网络的正常运行和网络用户的运用权益，制定本平安管理制度。

其次条

本管理制度所称的校内网络系统，是指由学校投资购置、由网络和信息中心负责维护和管理的校内网络主、辅节点设备、配套的网络线缆设施及网络效劳器、工作站所构成的、为校内网络应用及效劳的硬件、软件的集成系统。第三条校内网系统的平安运行和系统设备管理维护工作由网络和信息中心负责，网络和信息中心可以托付相关单位指定人员代为管理子节点设备。任何单位和个人，未经校内网负责单位同意、不得擅自安装、拆卸或变更网络设备。

第四条任何单位和个人、不得利用联网计算机从事危害校内网及本地局域网效劳器、工作站的活动，不得危害或侵入未授权的〔包括CERNET或其它互联网在内的〕效劳器、工作站。

其次章平安爱惜运行

第五条除校内网负责单位，其他单位或个人不得以任何方式试图登陆进入校内网主、辅节点、效劳器等设备进展修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为被视为对校内网平安运行的破坏行为。

第六条校内网中对外发布信息的WWW效劳器中的内容必需经各单位领导审核，由单位负责人签署看法后，交办公室审核备案后，由网络和信息中心从技术上开通其对外的信息效劳。

第七条校内网各类效劳器中开设的帐户和口令为个人用户所拥有，网络和信息中心对用户口令保密，不得向任何单位和个人供应这些信息。

第八条网络运用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵扰。

第九条校内内从事施工、建立，不得危害计算机网络