校园网络安全设计方案

年4月19日校园网络安全设计方案文档仅供参考，不当之处，请联系改正。校园网络安全设计方案10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展，校园网的建设日益普遍。而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不但有来自外部的攻击，还有内部的攻击。因此，在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其它网络之间进行的信息存取、传递操作。防火墙的概念：一般防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，而且本身具有较强的抗攻击能力。防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能经过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律经过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校园网的一切活动。校园网络在设置时应从下面几个方面入手：（1）入侵检测：具有黑客普通攻击的实时检测技术。实时防护来自IPSourceRouting、IPSpoofing、SYNflood、IC-MPflood、UDPflood、PingofDeath、拒绝服务和许多其它攻击。而且在检测到有攻击行为时能经过电子邮件或其它方式通知系统管理员。（2）工作模式选择：当前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式和透明模式。我们选择的是透明模式，防火墙过滤经过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。在透明模式下，接口的IP地址被设置为,防火墙对于用户来说是可视或透明的。（3）策略设置：防火墙能够提供具有单个进入和退出点的网络边界。由于所有信息流都必须经过此点，因此能够筛选并引导所有经过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。能够决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。（4）管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和命令行界面，我们选择为经过web方式和java等程序编写的图形化界面进行远程管理。（5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、JavaAp-ple、ActiveX和恶意脚本过滤等。（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能经过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。千兆防火墙还会达到几个G的性能。要充分进行性价比的考虑。（7）用户认证：要建立完善的用户认证机制，能够指定内部用户必须经过认证，方可访问不可信网络。防火墙能够限定只有授权用户能够经过防火墙进行一些有限制的活动，能够使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式，对于内部网络的安全又多了一层保障。产品选择：CiscoPIX515防火墙产品特点：CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术，运行PIX操作系统，是一种实时的嵌入式强化系统，能够消除安全漏洞和性能降级损耗。假如拓扑图如下（图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口，路由器的左口为f0/1，右口为f0/0.）：要求：（1）对防火墙、路由器进行基本的命令配置，使得内网的所有机器能访问外网。（2）所有内网的主机出口使用防火墙对外的全局地址（3）所有的外网的主机只能访问内网的IP地址为0的主机，此主机对外公开地址为，允许对此主机进行www、ftp。其中防火墙的配置：设置端口安全级别：nameife0outsidesec0nameife1insidesec100设置端口参数：interfacee0autointerfacee1auto配置内外网的IP地址：IpaddoutsideIpaddinside设置指向内外网的静态路由：Nat(inside)100Global(outside)1Routeoutside拓扑图如下：VPN什么是VPN？虚拟专用网络（VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。定义为经过一个公用网络（一般是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN属于远程访问技术，简单地说就是利用公网链路架设私有网络。VPN的特点安全保障：经过一条隧道，加密技术对数据进行加密，以保证数据安全性和私有性。服务质量保证：为不同要求用户提供不同等级质量的服务可扩充性，灵活性：支持Internet和Extrane任何类型的数据流可管理性：能够从用户和运营商角度进行管理VPN所用的技术：实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立能够是在第二层链路层。也能够是在第三层网络层。第二层主要是PPP连接。如PPTP，L2TP第三层是IPSec。加解密技术数据通信中一项比较成熟的技术，VPN可直接利用现有技术进行数据加密解密密钥管理技术主要任务是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。降低网络搭建成本，简化管理。设计方案当前实现VPN主要有两种方式：IPSecVPN和SSLVPN如果只是想实现高效不同校区之间网络到网络的连接，能够选择IPSecVPN如果想实现终端到站点之间的传输能够选择SSLVPN各校区和主校区之间经过专线连接。而每个校区都经过路由器连接到具有VPN功能的防火墙。而路由器还有专门的VPN隧道和防火墙相连。防火墙连接到外面的Internet。同时校园网还连接至外面的教育科研网中。这样校外的老师和出差的老师都能够经过VPN访问校园网，还能够访问校内图书馆资源，内部教务信息VPN服务器配置在服务器上右击，选择配置启用路由和远程访问进入配置向导，在公共设置中选择虚拟专用网络服务器远程客户协议对话框中选择TCP/IP协议选下一步这一步会选择一个服务器所使用的Internet连接，能够选已建立好的拨号连接或经过制定网卡进行连接，按下一步这一步回答你如何对远程客户机分配IP地址，除非你安装DHCP服务器，否则选择指定一个IP地址的范围根据提示选择你要分配给客户机的IP地址（此IP地址要和服务器的IP地址在同一个网段）最后选择“不，我现在不想设置此服务器的RADIUS”即可完成最后的设置VPN客户端配置在开始—附件—通讯，选择新疆连接向导点击下一步选择“建立一个您的工作位置的网络连接”选择“虚拟专用网络连接”，单击下一步为连接输入一个名字“xxx”，单击下一步选择不拨此初始连接，单击下一步输入连接设备服务器的IP地址，单击完成双击刚建立的“xxx”连接，在连接窗口中选择属性选择安全属性页，选择高级（自定义设置），单击设置在“数据加密”中选择“可选加密”（没有加密也能够连接）在“允许这些协议”选中“质询握手身份验证协议（CHAP）”单击确定选择“网络”属性页，在VPN类型选择“L2TPVPN”确定“Internet协议TCP/IP”被选中单击确定，保存所做的修改防病毒：一、防病毒服务器：首先选择ServerProtect软件特点：集中式网域管理、三层式结构执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器，预装windows20XXserver，并在服务器上安装ServerProtect的信息服务器及管理控制台，作为ServerProtect的管理中心，从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置：1、配置下载源——一般把“趋势科技更新服务器”设置为下载源2、配置预设下载——将下载频率设为“每天”3、配置通知信息——配置通知类型，并发送给谁4、配置扫描设置——分为实时扫描、立即扫描、预设扫描经过ServerProtect的不熟，有效的保护校园网中的关键服务器受到病毒入侵，今儿切断了病毒经过服务器在校园网中的传播二、客户机安装网络版防毒软件：首先选择OfficeScan：针对企业网络环境设计，提供企业用户网络客户机的病毒防护工作，安装也企业中的一台防病毒服务器，可经过浏览器进行所有的设定及配置，能够经过网络为没太计算机安装客户端，无须在客户端操作，简单方便，提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端，经过“客户机打包程序”和WEB页面等方法安装校园内的客户机。具体配置：启动手动组织爆发客户机管理：设置扫面选项（实时、手动、预设扫描和例外文件设置）、设置权限服务器管理：设置密码、设置警报设置更新（服务器更新、客户机更新）另：宿舍客户机也能够自行选择网络版防毒软件，如360、瑞星、金山等等上网行为管理、用户审计系统上网行为管理产品及技术是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控、管理网络资源使用情况，提高整体工作效率。上网行为管理产品系列适用于需实施内容审计与行为监控、行为管理的网络环境，特别是按等级进行计算机信息系统安全保护的相关单位或部门。标准功能:上网人员管理上网身份管理：利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和安全性移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入企业网的移动终端的合法性、上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性上网浏览管理搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。网址URL管理：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。网页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性.上网外发管理普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性WEB邮件管理：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性即时通讯管理：利用对MSN、飞信、QQ、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性其它外发管理：针对FTP、Telnet等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性.上网应用管理上网应用阻断：利用不依赖端口的应用协议库进行应用的识别和阻断上网应用累计时长限额：针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问上网应用累计流量限额：针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问.上网流量管理上网带宽控制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进行丢弃上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保留必要的网络带宽上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其它空闲虚拟通道的带宽上网带宽平均：每个用户平均分配物理带宽、避免单个用户的流量过大抢占其它用户带宽上网行为分析上网行为实时监控：对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现上网行为日志查询：对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询，精确定位问题上网行为统计分析：对上网日志进行归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发现潜在问题.上网隐私保护日志传输加密：管理者采用SSL加密隧道方式访问设备的本地日志库、外部日志中心，防止黑客窃听管理三权分立：内置管理员、审核员、审计员账号。管理员无日志查看权限，但可设置审计员账号；审核员无日志查看权限，但可审核审计员权限的合法性后才开通审计员权限；审计员无法设置自己的日志查看范围，但可在审核员经过权限审核后查看规定的日志内容精确日志记录：所有上网行为可根据过滤条件进行选择性记录，不违规不记录，最小程度记录隐私设备容错管理死机保护：设备带电死机/断电后可变成透明网线，不影响网络传输。一键排障：网络出现故障后，按下一键排障物理按钮能够直接定位故障是否为上网行为管理设备引起，缩短网络故障定位时间双系统冗余：提供硬盘+Flash卡双系统，互为备份，单个系统故障后依旧能够保持设备正常使用。风险集中告警告警中心：所有告警信息可在告警中心页面中统一的集中展示分级告警：不同等级的告警进行区分排列，防止低等级告警淹没关键的高等级告警信息。告警通知：告警可经过邮件、语音提示方式通知管理员，便于快速发现告警风险。数据备份系统数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。可是这种方式只能防止操作失误等人为故障，而且其恢复时间也很长。随着技术的不断发展，数据的海量增加，不少的企业开始采用网络备份。网络备份一般经过专业的数据存储管理软件结合相应的硬件和存储设备来实现。重要性：计算机里面重要的数据、档案或历史纪录，不论是对企业用户还是对个人用户，都是至关重要的，一时不慎丢失，都会造成不可估量的损失，轻则辛苦积累起来的心血付之东流，严重的会影响企业的正常运作，给科研、生产造成巨大的损失。为了保障生产、销售、开发的正常运行，企业用户应当采取先进、有效的措施，对数据进行备份、防范于未然。备份方式：定期磁带；数据库；网络数据；远程镜像；好用设备：备份离不开存储设备和介质。当前，能够用来备份的设备很多，除软盘、本地硬盘外，CD-R、CD-RW光盘、Zip磁盘、活动硬盘、移动存储设备以及磁带机等都能够很方便地买到。另外，Internet还给用户提供了网络备份的新途径，特别是一些免费空间很值得我们予以关注。软盘是最常见的备份介质。不过，软盘容量很小，备份少量数据尚勉强可为，对大量数据则无能为力。再则，软盘安全性差、容易损坏，专业备份不值得考虑。光盘是不错的备份介质，它容量大、便于保管和携带，安全性也较高，是死备份的唯一选择。产品选择：Symantec作为全球领先的存储备份管理软件厂商，旗下的BackupExec和Netbackup两款备份产品解决方案能够为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障。产品特点：BackupExec软件是一种多线程、多任务的存储管理解决方案，专为在单一的或多节点的WindowsServers(包括windows/)企业环境中进行数据备份、恢复、灾难恢复而设计，适用于Windowsservers以及简单异构的企业网络；在全球数据备份软件市场的占有率高达56％，并在各种性能评测中远远领先于对手产品。NetBackup是Symantec公司的企业级备份管理软件,它致力于解决网络上大、中、小型服务器和工作站系统上的数据备份、归档及灾难恢复问题；NetBackup支持UNIX、Windows和Netware混合环境提供了完整的数据保护机制，针对Oracle、SAPR/3、Informix、Sybase、MicrosoftSQLServer和MicrosoftExchangeServer等数据库提供了备份和恢复的解决方案。具有保护企业中从工作组到企业级服务器的所有的数据的能力。产品配置：SymantecBackupExec12D产品配置架构BackupExec12DforWindowsServers备份软件能够作为一台独立服务器保护自身的重要数据，也能够为网络上其它的远程客户端或者服务器提供全面的数据保护。备份软件系统的核心部分--BackupExecforWindowsServers能够安装到广泛的Windows各个版本的操作系统上，包括WindowsServer/、WindowsStorageServer以及WindowsSmallBusinessServer标准版和高级版。丰富的数据库备份选件和客户端能够有效地扩展BackupExec的功能，从而满足不同应用对增长和升级存储管理能力的需求。关于Windows服务器的系统保护，能够采用SymantecBackupExecSystemRecovery产品；BESR8.5是作为Windows系统恢复领域的金牌标准，能够在数分钟（而非数小时或数天）之内恢复系统，甚至能够将系统恢复至不同的硬件或虚拟环境。现在包含增强的MicrosoftExchange、虚拟和数据恢复功能，以及能够简化管理的集中式管理。客户备份环境分析：客户的备份网络中，主要保护的服务器为Windows平台，备份的服务器有文件服务器、AD域服务器、SQL数据库服务器等备份系统网络结构设计：在网络备份的基础上，我们建议建立一个专用的备份网络。配置很简单，因为每台服务器缺省已经配置2个以上的以太网卡。我们指定其中一个网卡作为专用的备份连接，经过一个千兆的以太网网络交换机组成一个专用的备份网络。这样的备份的时候数据经过备份网络直接传输到备份服务器，而不需要占用公网的网络带宽，而且备份速度更快。还有，我们建议采用基于网络的多级备份架构实现高速的磁盘备份。数据首先备份到备份服务器上，然后在空闲的时候再迁移到磁带机上做为长期的数据保留。磁盘和磁带相结合的备份，既能够实现高速的存储备份，也能够实现数据长期保留的需要。主页防篡改网站被篡改的原因：客观原因：操作系统和应用的复杂性，导致系统漏洞的层出不穷。虽然有防火墙、入侵检测，可是这些产品都是基于特定端口的，无法理解协议的具体内容主观原因：网站建设与保护措施建设不同步还有些网站在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改网页防篡改技术：外挂轮巡技术：利用一个网页读取和检测程序，以轮巡方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。核心内嵌技术：篡改检测模块内嵌于WEB服务器软件，在每一个网页流出时进行完整性检查事件触发技术：使用操作系统的文件系统/驱动程序接口，网页文件被修改时进行合法性检查产品选择：鹰眼主页防篡改软件产品特点：鹰眼主页防篡改系统采用先进的核心驱动技术，其篡改检测模块运行于操作系统核心，与操作系统无缝结合。拦截对被保护的对象的非法篡改行为事件，进行阻断处理，由于鹰眼主页防篡改系统采用了先进、高校的算法，因此能实时、有效地确保每个网页的真实性。鹰眼防篡改系统由主机监控端、管理服务器、管理终端三部分组成。主机监控端安装于被保护的WEB服务器之上。主机监控端与WEB服务器同步启动，保证WEB服务器能够随时得到保护。管理服务器是整个系统的中枢，所有的管理功能和数据均在管理服务器上实现，管理服务器是管理终端和主机监控端的桥梁。管理终端安装于用户的工作用机上，为用户提供远程管理操作经过部署主页防篡改软件，有效的监控网站网页是否被恶意修改、删除，并能在最短的时间内采取恢复措施，有效保证数据的完整性和真实性。校园网络系统安全管理制度

第一章总则

第一条为了保护校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益，制定本安全管理制度。

第二条

本管理制度所称的校园网络系统，是指由学校投资购买、由网络与信息中心负责维护和管理的校园网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站所构成的、为校园网络应用及服务的硬件、软件的集成系统。第三条校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责，网络与信息中心能够委托相关单位指定人员代为管理子节点设备。任何单位和个人，未经校园网负责单位同意、不得擅自安装、拆卸或改变网络设备。

第四条任何单位和个人、不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CERNET或其它互联网在内的）服务器、工作站。

第二章安全保护运行

第五条除校园网负责单位，其它单位或个人不得以任何方式试图登陆进入校园网主、辅节点、服务器等设备进行修改、设置、删除等操作；任何单位和个人不得以任何借口盗窃、破坏网络设施，这些行为被视为对校园网安全运行的破坏行为。

第六条校园网中对外发布信息的WWW服务器中的内容必须经各单位领导审核，由单位负责人签署意见后，交办公室审核备案后，由网络与信息中心从技术上开通其对外的信息服务。

第七条校园网各类服务器中开设的帐户和口令为个人用户所拥有，网络与信息中心对用户口令保密，不得向任何单位和个人提供这些信息。

第八条网络使用者不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动，该活动被认为是对网络用户权益的侵犯。

第九条校园内从事施工、建设，不得危害计算