网络安全方案

典型网络安全方案设计

本项目主要从当前网络安全的状况做出安全需求分析，并结合网络安全的评价标准以及网络安全防御体系的一般结构来制定相关网络（如校园网、企业网、政府网等）的安全方案规划。最后，对后续的网络安全实验进行设计并建立一个虚拟的实验环境。校园网络安全方案设计

校园网安全现状目前，校园网在学校的办公系统中起着重要作用，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，还将会极大的提高教育行业整体的工作效率和教育质量，而前提就是校园网必须是稳定的、安全的和可靠的。因此，校园网安全方案的设计尤为重要。。校园网安全需求分析校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。但具体还要根据不同校园网的实际情况来做简要分析。一般情况下，校园网安全主要可以从以下5个方面进行分析：（1）物理安全。是指保护校园网内计算机设备、网络设备及通信线路，使其免遭自然灾害及其它环境事故（如电磁污染）的破坏。（2）网络安全。是指校园网安全建设的基础，完善的网络安全防御措施可以解决大多数的校园网安全问题，包括基础网络安全、边界防护、远程接入和全局安全。（3）主机安全。校园网内，主机的安全问题最为常见，也是其他安全问题源头，主机安全涉及到统一身份认证，主机安全防护体系。通过校园网统一身份认证和校园网主机安全防护体系来全面实现校园网的主机安全目标。（4）应用安全。校园网的应用安全是最为复杂的部分，涵盖的内容涉及到了业务应用的各个层面。（5）数据安全。数据是当前高校信息化建设中最宝贵的资源，其重要性已经得到越来越高的重视。校园网的安全建设中，数据安全是一个不可忽视的方面。数据的遗失或损坏对于学校而言，其后果不可想象。校园网安全功能设计1.设计原则为了建设全方面的、完整的校园网络安全体系结构，综合考虑可实施性、可管理性、可扩展性、综合完备性和系统均衡性等方面，网络安全防御体系在整体设计过程中应遵循以下5项原则：（1）保密性：防止信息泄露给非授权用户的特性。达到保密性可选择VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性；（2）完整性：防止信息在存储或传输过程中被修改、破坏和丢失的特性。达到完整性采用VPN技术，用它的专用通道进行通信保证了信息的完整性；（3）可用性：就是易于操作、维护，并便于自动化管理。达到可用性可以利用图形化的管理界面和简洁的操作方式，合理地网络规划策略，提供强大的网络管理功能，使日常的维护和操作变得直观，便捷和高效；（4）可控性：就是对信息的传播及内容具有控制能力。达到可控性对于网络管理来说，要求采用智能化网络管理软件，并支持虚拟网络功能，对网络用户具有分类控制功能，从而来实现对网络的自动监测和控制；（5）扩展性：就是便于系统及系统功能的扩展。达到扩展性对选择的网络设备最好是模块化的，便于网络的扩大和更改，其中核心交换机应具有多种模块类型，以满足各种网络类型的接入，所选择的设备都应具有良好的软件再升级能力。。3.功能模块及设备需求分析1）主要功能模块（1）交换机安全模块主要实现的功能：IP与MAC的绑定、VLAN的划分、端口的安全和访问控制列表（ACL）；（2）防火墙模块：包过滤、地址转换（NAT）；（3）VPN模块：建立专用通道IPSECVPN和SSLVPN；（4）DMZ区域模块：IDS与防火墙的联动。2）设备需求方案主要设备如表11-3所示。（1）三层交换机的主要功能包括：高背板带宽为所有的端口提供非阻塞性能、灵活完备的安全控制策略、强大的多应用支持能力和完善的QoS策略等。（2）防火墙的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。（3）入侵检测系统主要功能包括：能够阻止来自外部或内部的蠕虫、病毒和攻击带来的安全威胁，确保企业信息资产的安全，能够检测各种IM即时通讯软件、P2P下载等网络资源滥用行为，保证重要业务的正常运转，能够高效、全面的事件统计分析；能迅速定位网络故障，提高网络稳定运行时间。（4）VPN的主要功能包括：严格的身份认证、权限管理、细粒度控制、传输加密和终端安全检查等机制保障移动用户SSL安全接入可实现用户身份和PC硬件信息的对应；通过人机捆绑可以为远程用户分配内部IP地址；真正实现远程局域网可以为远程移动用户分配内部服务器地址；真正实现移动办公通过证书管理器为用户生成证书、私钥，可通过邮件通知用户自己到证书管理器上下载软件安装包和配置文件，用户只需在本地安装就可实现快速部署。

校园游网安翁全模完块详消细设扣计1.痛交瞒换模睛块安栽全设告计与忠实施为了战更加予安全疯，减让小广乌播风续暴，挡VL纲AN区技术员在网谅络中饺得到肿大量汪应用盒，但德同时允网络午访问补站点吊也不在断增芬加，灵而路背由器秧的接陡口数值目有梅限，暗二层成交换名机又悔不具事备路阳由功岸能。廉基于具这种厚情况纤，三桌层交洞换机托便应惠运而眼生，纵三层亡交换变机弥墓补了砍路由家器和蹲二层佳交换慎机在还某些艰方面吴的不绳足，文它可秋以通信过V曲LA淘N划经分、遥配置卡AC夕L、争IP讲地址蜡与M善AC乘地址监的绑港定以救及a称rp夕-c城he套ck优防护晃等功伏能来屠提升极网络赤中数光据的喉安全谋性，汁如图塔11吉-2存所示际。（1）乱VL予AN密划分侧方案VL均AN病划分敬的方坚案图盯如图蓄11圆-3投所示匠，说抓明如跨下：（1介）高砖校的哥学生蛋通过抖网络锅交换拾的信之息量好日益回增大乔，特筐别是祸一个臭班的汁同学雄，但母住在麦一个攻寝室位的同催学不抗一定坊就是纹一个称班的割，所外以将长一个喉班的钻同学昌划为族同一纷个V惧LA曾N便辈于信仁息的岔传递舞。一玩个班背同学铺的寝芬室划尊为同侦一个雄VL币AN双，再务将一料栋宿夹舍楼介划为希一个骆大V恐LA脾N；（2谋）每普个老葵师的婚计算糟机里船可能麻有一改些重馅要的钥科研咐资料虎，从燃安全洋性考骑虑，琴不能年将所位有老问师的诵寝室永划为糕同一理个网庆，即救将每孤个老喘师的艘寝室稳划为紧一个宫VL饶AN架，并广且学测生宿弄舍和矩教师友宿舍塞不能班互相屯访问示；（3事）将畜教学位楼的职所有溜教室劝划为爹一个啦VL肥AN森；（4敞）为旷了方追便同狐学和伍老师女做一薪些教秀学实昂验，斤实验秤室会帅进行拜一些理专项求课题锯研究斧，将印一个责实验听室划纤分在胀同一膜个V挽LA缴N的主做法窝安全着性更效高。范因此火，可槐以将果实验浊楼划顾为一举个大婶VL吨AN日，再话将每尚个实伙验室驼划为棕一个碍小V腊LA征N；（5篮）为透了方愉便每菠个部瞧门管臣理，膀可以药根据朵每个抢的不困同性析质，肉将办血公楼犁划为剥一个菌大V越LA店N，郊再将满每个临部门完划为君一个叨小V浩LA揉N；（6释）划航分方宅法采中用基蓝于端石口的驾划分传。高失校学裁生的尽流动塔性大合（如怕新生弱的入悬学，垫毕业给生离集校等案）会毯导致吴的学呈生的虏人数床和班栏级的档变动稿。基醒于端耀口的宵划分屡，相迅对来腊说容杏易设鞭置和炎监控钻，只杨需要稠将端炎口配晋置的叉VL壶AN急重新兵分配袜。2）薯访问活控制拨列表AC但L（却Ac手ce丢ss借C浇on轧tr盗ol霜L便is恒t）抱是一普项在社路由妇器和陷三层枕交换尝机上损实现枕的包唤过滤剑技术挑，通蛇过读嫌取第摊三和究第四筹层的栽包头纠部信芽息（店如源董地址旺、目谊的地呈址、权源端洁口、眼目的受端口煎等）晶，并雨根据增预先击定义讲好的气规则未来对闻数据拦包进废行过成滤，始从而储达到括访问寇控制落的目抬的。本方渐案中阁，主焦要在勿S3馅76齐0三菜层交答换机盒上配布置A作CL确规则跑，可残以限西制各第个V猜LA荷N之系间的其访问争，如动，阻随止教山学楼压1台锯IP匙地址抵为的保源主淋机通劝过f攀a猛0/正1，日放行功其他院的通宅讯流烤量通柿过端数口，尝并阻踪蝶止主药机执捧行T声el支ne要t命王令。S3畏76播0#倍co皆nf研ig贴ur夕e辫te苏rm世in沙alEn凑te忽r激co芳nf炉ig考ur滴at慨io私n伶co剩mm谋an栏ds碑,启on贴e缘瑞pe栏r词li才ne那.跳En衰d漏wi竞th介C本NT灿L/晓Z.S3章76责0(干co狱nf哀ig乓)#承ac蔑ce狂ss累-l徐is倡t珠1紧de肺ny夜1把72饶.1鞠7.屿1.喊5载25桶5.恢25敲5.惊25谱5.艇0S3罢76著0(杆co像nf尸ig逃)#忠ac潜ce塘ss尾-l信is控t孩1油pe狡rm馆it闭a乒nyS3骂76正0(计co甘nf止ig瓦)#挤in担te蜻rf缝ac破e寸fa愤0软/1S3抗76深0(锣co喝nf重ig佳-i么f)瘦#i猪p槽ac姜ce饰ss桑-g根ro么up麦1腰i谎nS3加76章0(录co头nf悄ig肆)#访ac蹄ce乱ss奸-l貌is烫t任10幕0唇de药ny孝t远cp尝1劝72还.1储7.薪1.廊5盐25团5.唐25骄5.示25答5.劳0县an市y漆eq阔2杀3S3呜76暴0(种co学nf牲ig袜)#朵ac饰ce津ss卷-l短is延t贺10异0扒pe闹rm蜂it恒i医p苍an描y呢an妄yS3躲76握0(锡co恼nf腰ig先)#唤in博te淡rf主ac竭e性fa沃0李/1S3贴76速0(碌co植nf办ig淘-i颗f)抄#i瞒p译ac席ce殿ss语-g塔ro碰up帜1偶00唯i元n3）券IP胜与M辣AC鸦地址耀绑定目前详在使立用静净态I郊P地女址的窄局域榨网管滔理中斧经常旨碰到思IP伟地址皇被盗遵用或老者用交户自均行修常改地颈址导真致I司P地买址管坡理混慕乱，随而且鞠AR钱P病油毒和震利用升AR弱P协脾议进工行欺浊骗的凳网络荒问题大也日出渐严歌重，赌在防目范过回程中慎除了骡通过默VL绑AN幕的划咬分来彻抑制辫问题辨的扩睛散之毅外，成还需物要将抢IP搅地址哈与M疼AC切地址认进行狱绑定撑来配厕合达俘到更涂有效舌的防遵范。在其判核心凝交换瓦机R辨G-筝S3妇76抗0用亩ad液dr姜es纠s-付bi伪nd哨命令价手动励进行安一些幅特殊救IP烧与M羊AC柿地址蜡的绑阅定使陷其对谷应的街主机粪不能务随便霜地更槽改I引P地乏址或钩者M累AC陷地址啊，另歌外在饰网络盗中设恰一台咸DH字CP用服务继器，曲所有追主机缩慧都通臂过D聪HC养P自仅动获派得I记P地航址，腔在这认个过服程中努，R屋G-彼S3周76齐0开颈启D捐HC办P仍sn娘oo腿pi钟ng留功能免以及泽AR稿P-辽ch得ec肚k防善护功膝能，炮交换琴机会盟自动慨侦听回DH厘CP缝分配差地址熔的过蒸程，矮将其倾中有折用的秧IP窝+M固AC刚地址闲信息驾记录音下来倡，自头动绑馋定到火相应须的端拔口上告，减胶少大捆量的嚷手工粱配置贺。例如伯在S呼37功60亏上的塞fa板0/际1端恐口上慰开启臣DH展CP糕s斑no辱op斑in怕g功举能、浸AR惰P-祥ch绪ec芬k防抗护功乘能、么端口誉安全络功能沟以及岔动态暗地绑暑定命艳令如陈下。S3刑76疫0#布co这nf炮ig搬ur苍e臣te散rm溜in宅alEn抵te歼r田co鸽nf饺ig去ur冰at咸io虫n说co签mm洪an访ds团,充on照e惩pe竖r努li角ne抚.境En痕d忙wi棋th障C作NT计L/船Z.S3锯76疗0(选co传nf便ig城)#铲ip罢d侮hc控p笋sn割oo衡pi卸ngS3裁76蓄0(怕co争nf信ig愁)#售in舅te忆rf德ac动e扮fa民0/慢1S3盟76喷0(什co商nf即ig搜-i话f)妨#s捞wi毒tc中hp倾or筹t复po窗rt恐-s载ec串ur挑it梁y废ar吨p-挺ch帜ec晴kS3眉76伪0(祸co此nf娃ig棵-i孕f)精#s辣wi背tc链hp涌or钥t盯po签rt斗-s掠ec矮ur街it睡yS3害76盈0(渐co派nf赔ig相-i丑f)律#i姥p些dh杂cp奔s援no潮op苍in术g场ad定dr到es椒s-秒bi对ndS3汤76好0(扁co挡nf调ig陡-i鸡f)雨#e锦xi抬tS3只76骑0(马co趁nf政ig沙)#茧ex绵it2.说V苏PN双模块怖安全翁设计蛙与实素施校园碑网V宝PN薯可以扑通过替公众殃IP拴网络驳建立峡私有魂数据撤传输自通道密，将浑远程袋或分银校的移分支嚼办公夜室、参合作坛伙伴见、移锋动办裙公人消员等耗连接壮起来虾，减锅轻校鲜园网络的远殃程访顾问费种用负尽担，嚼节省烫电话康费用蛙开支姿，不本过对灯于端汇到端储的安撤全数羽据通验讯，窝还需臣要根特据实乔际情仆况采霉取不叛同的首架构粪。I贼PS朴ec性V观PN牢和S膝SL侵V院PN宏是目哪前校载园网位VP矿N方售案采尺用最辨为广阶泛的盟安全鸣技术厅，但敲它们辫之间新有很茫大的稠区别茅，从到VP奸N技联术架音构来狱看，节IP膝Se凯c饰VP剃N是势比较晒理想克的校宁园网排接入昼方案烂，由殃于它狸工作衬在网信络层泡，可娃以对色终端裕站点甲间所行有传鬼输数慈据进借行保杏护，稻可以拔实现踪蝶In值te阻rn斯et堤多专薄用网皇安全诊连接磨，而若不管前是哪烫类网紧络应拳用。私IP奔Se乳c要VP线N还奥要求点在远焰程接漏入客羞户端哭适当桑安装织和配滩置I耍PS牵ec握客户即端软罗件和间接入狂设备钢，这彼大大搂提高婚了网重络的厌安全托级别音。本方谦案采闪用I膏PS抛ec肥V炒PN刻。由纽奉于I龙PS虫ec旁V彩PN砌在I狠P层眼提供重访问旧控制别、无欣连接化的完典整性痛、数标据来丙源验挤证、立防重坛放保刘护、琴加密仆以及趟数据凳流分漏类加敞密等碌服务贤。通冰过对南IP揉Se清c述VP经N的卷配置到和V羊PN辈冗余霸配置揉，来早实现武远程训用户务的接穿入，博提高罢网络也的负粉载均想衡并裁有效泛的提访高了护网络说安全少性。阴VP戚N模棉块的谅详细竞拓扑旺结构押如图射11趴-4桨所示堂。建立糟安全穿的I席P脾通信骂隧道剖，是剃建立桥虚拟捎专用冒网的学关键栋。本赛方案资中采递用锐扩捷V喉PN狡进薪行配首置。哗在V冤PN命配置推界面究中，浸选择吩网关裂的目丢录树孝上的利IP需Se镇c半VP轻N，殿如图辱11冤-5徒所示碍。接麻着开框始对款VP禾N进傻行具杰体配繁置：1）歇远程因用户呜接入警配置远程带用户虏接入闸方式车多种籍多样新，比籍如通丘过无狸线接跑入、婆AD适SL降拔号育接入皮和专疤线接机入等译等，披当需桥要配舍置远龟程移扫动用桑户接够入，跳那么咽在上勇图中旅双击问远程姐用户寻管理腾，打扎开远撒程用矩户管情理界熊面进跳行配岗置，帐如图群11劣-6志所示已。（1咸）配拨置允币许客努户端窗访问酬的子燃网。缓在远勇程用啊户管鞭理界凤面下披打开劝“允修许访探问子菠网”些进行玻配置经，如扮如图攀11剖-7裕所示掠，可帖以通淋过添举加按诸钮来连添加施用户及接入型后可方以访欢问的界内网饲的子房诚网数员目。（2交）配肃置内鹿部D辈NS导服务喷器。搭在远王程用烈户管考理界接面下狂打开校“内半部D宵NS议服务芝器”裁进行赖配置典，如毫图1幕1-假8所界示，府可以愿通过烟添加订按钮态来添丹加内翅部D志NS开服务嚷器即毒校园填内网圾DN劳S服市务器哗的I松P地饭址，铸这样殖当隧陆道建习立起菌来之碰后，款R谈G-希SR番A杜软件匙自动吧将客坦户端票主机作的D郊NS岛设因置为圈内部通DN客S。（3苗）配糠置内定部W债IN吃S服浆务器踏。内鼓部W鱼IN葛S服程务器植和内潜部D她NS虑服务追器配复置相钓似，渴使用彻校园流内网鸡WI统NS际服务阻器的掌IP灿地址膜配置尝后客令户机梁可以波用机榨器名棚来访令问在丸服务态器上帆注册披了的即机器锤，没菊有时伴也可奔以不乱进行未配置只。（4绢）配而置虚港IP敲地址励池。虽内部稼地址磨池允远许网扒络管布理员唐输入余一个岸或者约几个采IP钉地琴址范锄围，拥这些毛地址土将用稳于对狮远程打用户辱分配前虚拟涂IP旦地群址，异打开仇虚地稀址池攀的配赢置窗月口选号择添谢加下郑列子挨网地漠址或白连续质地址后，进绵行内杯部地掩址池竿的添它加，桃如图予11仗-9饰所示耽。（5泊）配枯置用绿户特采征码轿表。范如果孔需要现对用客户的驼登录乘机器罢进行善限制屠，可昼以对战用户弓机器报特征促进行缠绑定晌，用坏户机导器的受特征钥（每归个客曾户端身软件净都可妄以显滋示本弓机的眯特征湖码）棒可以候由管剃理员齿手工嘉导入叶，也巧可以恋由客盖户端坟首次边上线柔的时披候自齿动报泉告。（6艇）用全户认许证配领置。沙RG召-S僻RA款选择也网关日本地俩认证淹，要弱为R番G-弄SR拍A用狐户设赶置认裂证用抚户名蔑和口惰令。换在窗吧口左丛侧菜虏单区寇中用删鼠标肃点击议“用论户认贪证”售－“拍本地槽用户总数据钞库”勤，此轧时在见窗口选右侧胸操作耕区显辰示本护地用饿户列横表，菠点击荡工具及栏的擦“添工加用串户”掘按钮培，进壁行添夏加用演户操恋作，遮如图鸣11萄-1垄0所叠示。2）刊网关豆之间低的隧培道网关催到网同关的岂应用学模式勾主要郊包括失以太努网、燥AD幸SL馆拨号未等网然络环辆境，矛在这糊种环板境下僚VP贱N设竞备需计要设海置路体由信惜息才堂能连镰接上浩网。惨内部约子网殖的主杆机把蜻默认担网关亡设置垄为V姜PN染设备严的内丸口，溉下面多是两金个网阅关之盒间的暖隧道纽奉配置主。（1仿）网事关A据的配搁置。液添加锈设备附后在芹“对昌方设送备名拆称”行文本商框中松，为剧网关弄B勇设置应一个眯唯一落名称邮，如瞒vp尿nb破。在僻“本院地设胳备接剂口”泰列表滩框中锋选择腊与网钻关B梨的连滋接的仪端口劲，如斑et植h0李。在猪本地矮设备弃身份缺中选孙择“厨作为易客户盾端”钱单选连按钮石，并逼在“蒙对方剑设备今地址进”中仇填写犯网关短B的迅IP交地址嫌。在宾认证茫方式笛中，顺选择柔“预扎共享侮密钥真”单满选按辈钮，便然后显在“凤密钥罗”文陷本框黄中输底入共庆享密阵钥，朽如“殖12坡34尊56天”，篇双方汁必须冤相同脏，如风图1坛1-暴11翅所示忆。添艇加遂块道后童在“腾隧道票名称杠”为茅该隧万道设五置一卧个唯辛一名穷称，周如T标a-掉b。洗“对虎方设盛备名留称”嚷选刚勾才为刑B设板置的候设备梢名：派“v柄pn昆b”碰，“测本地著子网渡”如群，“诞对方克子网至”如谢，如遇图1救1-撒12楚所示圾，“斑通信瞧策略孩”根猪据需哲要配烤置，霞算法处必须票与B狭相同势，配破置如下图1晨1-毁13抚所示阴。2）府网关近B的客配置模。与碧网关士A的显配置伐相似即，只绑需要丈把上舰述配周置中吴的对馋方相案应改掘成网股关A距的信储息，东如添害加设弟备时尝设备盼名称妇叫v约pn催a，淋密钥翠相同孟。在卷添加冬遂道锄时，酸本地科子网辣和对眼方子继网互称换，名其余截保持猾不变很。3）盼VP委N冗苏余配仍置VP爽N冗网余的界目的滔是为派了提险高系忌统的宝可靠申性，夹本方焦案通概过R衔G-粘WA况LL巴V宰16帜0S泼中的沸VR蓬RP油来实泡现V悦PN及之间捧的冗某余，补详细裁拓扑易结构间设计规如图练11符-1岔4所袜示。（1兽）V总PN泪的备内份配镜置。颗在安初全网野关界叼面目铜录树酿上，霜点击喉“V足RR芒P设欢置”泽即可需进入扛VR松RP定设置对界面迅，如宣图1革1-泽15珍所示惠。首先虹在“游网络霉接口页”中刚把安名全网挠关A降的e练th掏1接户口I搁P配环置为衡：，羽然后林选择侦“V锡RR转P设着置榴|躁添加镰虚拟昏路由罚器”凉，把伪网肺络接馒口选观择为当et旨h1絮；组投号配叹置为波：1地；虚鼻拟I谎P配嚷置为泽：；距主机也优先是级填炉为：搏20夫0；催默认肺使用材抢占孕模式途、认富证方寄式和渐密码咽可以裙根据素实际烦情况脉选择及和填户写；科通告芦时间窃间隔键默认赚选择甩为：腹1秒雄；监技控选指项选芝et叔h0取；优坛先级糖衰减施量量鞠设为脏15候0；饮如图干11雪-1禾6所亭示。接着滚再在闻“网辽络接展口”捐中把袄安全菜网关保B的蚊et朋h1振接口见IP驴置为撇：，郊然后略选择坟“V盲RR景P设奖置献|凳添加伪虚拟赏路由涝器”纵，把蜡网络腥接口告选择慢et徒h1炮；组狐号配菠置为唤：1冬；虚乡丰拟I落P配颜置为维：；手主机倚优先移级填锋为：催10称0；蛙默认程使用秩抢占小模式漫、认汪证方受式和耐密码税和安踩全网呼关A拣配置井相同佛；通倍告时遗间间围隔和宵安全维网关仆A配瓶置相倒同都纱为：层1秒著；监垮控选驶项选见et蚂h0围；优苏先级果衰减谨量量气设为狭45加；如库图1串1-工17画所示吃。4）低负载逆均衡段的配敬置用相午同的精方法概在网闻关A凑上添传加第驴二组否虚拟授路由蓄，网削络接叉口选册择e僚th皱1；弊组号软配置访为：抓2；欢虚拟搁IP么配置岗为：乎；主语机优夸先级虏填为厘：1咽00恭；默液认使真用抢毯占模爸式；雄默认隐启用水虚拟每MA炼C地版址；米认证窃方式士和密助码可齿以根楼据实剥际情这况选懂择和逮填写丸；通乔告时糕间间怜隔默唇认选五择为掏：1煮秒。膨网关党B上帽添加登第二敢组虚让拟路孕由，傻网络违接口犁选择邪et鄙h1签；组斥号配朗置为裤：2叉；虚杜拟I及P配勺置为兽：；球主机砍优先石级填种为：船20匪0；套默认晃使用郊抢占暂模式款；默灭认启皂用虚库拟M膜AC捕地址杯；认棕证方新式和权密码砖安全浸网关瞎A中尖组号册2配雾置相酷同；怎通告夹时间庙间隔鸣默认弓选择难为：牙1秒层。3.防火丸墙模进块安惕全设狂计与炮实施本方度案采素用R爸G-令WA聪LL此1从60马M进纽奉行防写火墙嫂的策组略配锦置。瞎首先抛，对胳防火海墙进御行管且理与祖初始仅化配杠置，掩然后引再按第照本打方案迷的要屠求进个行防洽火墙母的基色本配衡置，狸如防舱火墙秆接口胸IP边地址蜓配置厌、路罚由配份置以默及安守全规蒸则等消设置嘱。本校撒园网琴安全篇方案价中，乎学校逃出口红有2少条1狐00协M链驴路，葱分别盗是教披育网款和电液信网方，客恨户内化网是睁教育翻网公钓网地梢址，喉要求穴访问组教育想网的猛资源尺走教初育网乞，访榆问其盲他的绕资源弓走电品信网古，并欺且D斤MZ福服态务器妖分别甩映射冲到教降育网列和网朝通I输P肺地址荒。具体高的配纷置过屋程如棒下：（1架）防纠火墙督I钥P咏地址卵配置皆，如闹图1攻0-今18贯所示员。（2大）路规由配午置：竹配置传去往冻教育毛网的只路由受，下睡一跳糊为教赤育网路，再恼配置展默认盈路由末，下丽一跳雨为电祸信网子，如部图1颗0-渗19估，图粘10炊-2扭0所庆示。似并配革置防采火墙密内网太接口痛启用稿源路杂由功迷能，柴如图拉10四-2葬1所淹示。图10歉-1习8跃IP地址材配置图1互0-县21劣配侵置启辟用源柏路由蚕功能放图1制0-例22猴安津全规需则（3殃）安首全规强则的象配置帮：安望全规搬则配哭置是仪防火浅墙配郑置的幼重点黄，具称体配喷置如秆图1雷0-咱22揪所示户，其衣中：内网软服务弯器映岗射成锄教育克网I假P地究址，性允许笑任意痒源地弹址访粉问，马同时泊，设刚置源追路由禽让此幅服务帆器的托数据时流从愈教育谜网出板去；内网慕服务路器映障射成编电信忘网I埋P地淹址，难允许自任意猎源地舍址访蛋问，学同时划，设斑置源扭路由声让此向服务不器的慕数据星流从侧电信拨线路陕出去轰；内网课访问常教育躁网资绳源的蜻数据痕流，膀做包盏过滤持规则黄允许桥通过垦；内网赶访问山其他滴资源更的数遍据流盟，做划N校AT妈规冠则转吓换成握网通侧的地避址通坐过。4.ID醒S入俊侵检紫测系言统设漆计与派实施入侵椒检测画系统泄可以忽检测妥校园朝网的岗入侵垦行为趣并将敬这些警信息朱通知菌给管帝理员吓或相耳关安是全设属备（建如防盖火墙辣）来狱进行负防御鲁。R醉G-资ID展S依贫赖于乐一个穷或多洁个传紫感器哨来监偿测网安络数血据流肥。这辞些传展感器寇代表制着R乐G-木ID牲S的狼眼睛酿。因乖此，扫传感晴器在伐某些披重要蚀位置单的部状署对省于R岛G-会ID荷S能型否发途挥作司用至碎关重胡要。本方跟案的弹ID搅S模奖块的芽拓扑桑结构烫如图陕10倡-2再3所饶示。传感爪器利徐用策望略来畏控制喉其所须监测工的内牵容，架并对朱监测践到的头事件沟做出削响应狭。设丛置步挂骤如慢下：（1振）单付击主帖界面燃上的狭“策援略”堤按钮乖，切固换到村策略牺编辑炭器界抖面，肠如图建10骆-2镜4所窝示，仗单击弄工具育栏上聚的“然编辑干锁定铜”按惠钮，坊如图宴10赛-2鞋5所把示。图10另-2紧4策略骗设置图10见-2青5编辑载锁定再单河击工馋具栏浙上的瓜“派颈生策伏略”丧按钮财在弹镇出的绩窗口宾中输欣入新墙策略漠的名扇称，墨如图去10笔-2逗6所远示，羞单击危“确站定”性按钮佳。（2）策查略编诊辑：降单击红自定浇义策溜略，稳单击新“编循辑锁叙定”叫以确萌保其歉他人广不能突同时阀更改凳策略喝，然矛后根属据需墓求来艺设置陕策略酸，如酒下图10绍-2龄7所示赴。（3音）策家略应萝用。闷选择真需要香下发爬的策咽略，炉单击次“应元用策期略”绳按钮均，如背下图朱10驳-2肠8所婚示11魔.1瓜.5放项谜目总配结本方证案根欲据网永络安樱全系暖统设农计的绢总体缴规划戏,从僻网络栽安全雷、主众机安宣全、傻应用妹安全捧、数葵据安鸦全四舍个方弃面安浮全和潜管理篮措施仿设计老出一探整套霸解决维方案鞋，目享的是驴要建姻立一牙个完社整的港、立微体的贞、多养层次泰的网撇络安潜全防茄御体江系。碗方案校中，过我们必主要姐采用牧了星己网锐军捷公倍司的酸安全足产品疾来对屠校园有网进裂行安宿全设很计，绣如R抖G-吼S3起76兵0E表-2划4、足RG户-W浑AL觉L1何60溪M、临RG纽奉-I拘DS植50记0S恐、R蹦G-荷WA捆LL剂V辣16约0S萝，这恋些产棵品在涨功能业上完随全能齿够满揭足本劝方案求的需婆求，由并实笑现了秤安全免、V糠PN蒸安全使、防羡火墙昨安全馒、I悠DS茫与防膏火墙抹联动蹄的安云全设抄置等绩内容蝇，同讨时，脾还对表方案垂进行素了测描试验果证，配并得凝到了葛较好军的实钩验效富果。本方爪案在鲜设计名上还沾具有族局限刻性，严今后惭的改长进目共标主帅要有素以下任几个枣方面跌：（呈1）痒设计沾更复恭杂的绢测试坐环境拣，来刘检查雀方案惑中存委在的峰缺陷惯；（以2）苦改进跳本方乏案的去拓扑托结构欣，使贩之能直够适恰应更扫大规阀模的颂网络与需求途；（弃3）认采用哄更先票进的就技术英，将绢其融俗入到哗本方侧案中罩，从谦而达欲到更窑好的尝安全俱防御刮效果敞。任务搅11榆.2臭企业卖网络么安全嘉方案送设计11被.2家.1意企险业网厉络安售全需犬求分谈析1.右企业及网络宴业务削安全笋需求（1丑）控明制网婶络不湾同部消门之侄间的钻互相赶访问纯；（2混）对轧不断赌变更摸的用芝户进恋行有浑效的弓管理画；（3沃）防乖止网湖络广荒播风唇暴影使响系喘统关献键业便务的待正常羡运转闸，甚互至导杀致系短统的迹崩溃掘；（4匠）加报强远隆程拨作号用剩户的哈安全鞠认证堪管理粉；（5广）实就现企横业局偿域网锁与其抛他各各网络遭之间围的安饰全、梳高速秒数据喷访问体交换填；（6治）建戒立局剂域网老的立缝体杀熄毒系热统；（7袜）建在立W豆WW童服务虑器，虹实现汪企业暮在I闲nt锤er先ne紧t和容In辣tr马an烟et亡上的镰信息反发布行，使滑公司非内外蜜的人朴员能钞够及隙时了钩解公闪司的调最新营信息嫁；（8滩）建尸立邮辉件服付务器猜，实领现企流业工吧作人虚员与耍上级破机构员、分丹支机眼构之惧间的备电子尽信息性的传怜递；（9锦）构把建起往企业堆运行固基于暂网络芦设计沿的C邪li椅en测t/导Se输rv菊er码(客光户机量/服骗务器源)或孟Br河ow俯se钻r/寻Se祸rv宰er番(浏妥览器唯/服共务器缩慧)结楚构的踩办公宵自动网化系仙统、猎各种块信息私管理源系统毙的网医络硬趟件平鸣台和袖系统旷运行蛾平台塑。2.狂存在慌的安促全威掉胁1）枣外部消威胁企业对网络振的外轨部安萍全威久胁主陶要来碑源于维以下吵几个尾方面它：（1资）病过毒侵撇袭；（2闹）黑肢客入交侵；（3型）垃迎圾邮每件；（4束）无些线网炭络、栋移动套手机询带来财的安凶全威阶胁。2）维内部挺威胁企业州网络芦的内办部安达全威明胁主点要来奔源于遍以下锁几个杨方面目：（1撤）用辛户的茎操作筝失误类带来葛的安提全问鼓题；（2舱）某然些用遣户故时意的绩破坏牌，如肿被解铲雇或蝴工作西变动复的职孟员因挂对公静司的倾不满桑而对话企业哗网络左进行阴破坏洗或盗店取公转司的蹄机密蜂信息往；（3兄）用掘户的辟无知梁引起虽的安润全问拢题。3）吵网络社设备惩的安单全隐踪蝶患网络龄设备峰是网干络系紧统的庙主要显组成睛部分失，是催网络做运行评的核煎心。谣网络拐运行订状况害根本胡上是悟由网乱络设固备的画运行迅性能遗和运险行状蛾态决咳定的娱，因康此，蛙网络株设备跪稳定嘉可靠静的运垂行对腿整个友网络吵系统桶的正妹常工鼻作起四着关桐键性桥作用岔。特蝴别是圈对于盼可以滤通过信远程推连接姨TE涛LN滔ET均、网浅管、绣WE黑B等某方式偿进行嘉配置喊管理轨的网泛络设妖备（割如路爸由器螺、防思火墙妹等）太容易怖受到谜入侵极的攻招击，删主要谜的安氧全隐浇患表顾现在会以下么几个搂方面两：（1旗）人既为因欢素；（2宪）网手络设仪备运池行的扯操作必系统为存在耳漏洞耳；（3启）网态络设塘备提怖供不罪必要不的服包务；（4洪）网贩络设间备没突有安百全存坐放，愤易受删临近尽攻击祝。3.绍企业爹网络把安全逗建设薄的原披则1）贵系统腊性原糕则企业没网络旬系统锈整个慢安全撞系统忌的建党设要员有系坦统性屡和适占应性敏，不粥因网吉络和伴应用稍技术肥的发锯展、捏信息影系统喘攻防里技术恭的深药化和栏演变筒、系徐统升其级和牢配置与的变姻化，岗而导米致在图系统滔的整樱个生湾命期雷内的唯安全睛保护路能力热和抗宰御风血险的括能力刚降低肿。2）桐技术傻先进自性原还则企业炸网络伟系统豆整个帖安全横系统科的设在计采毙用先很进的盼安全铁体系杠进行客结构京性设菊计，前选用页先进编、成恒熟的任安全福技术长和设海备，固实施饱中采问用先此进可抄靠的愚工艺没和技插术，付提高呼系统船运行们的可研靠性调和稳饮定性狼。3）总管理响可控晓性原墨则系统拖的所慕有安搭全设编备（匙管理膨、维约护和汇配置蜓）都程应自声主可仿控；灯系统五安全晨设备聚的采降购必奔须有枕严格晨的手删续；正安全娃设备易必须立有相义应机奇构的悼认证谢或许玩可标敞记；馆安全诱设备贱供应欣商应虑具备马相应园资质腊并可待信。4）扩适度豆安全缺性原科则系统鬼安全剖方案狼应充络分考充虑保阿护对萄象的烂价值钻与保兴护成染本之方间的饺平衡吨性，医在允个许的论风险姜范围睡内尽泛量减掘少安肢全服熟务的垂规模筋和复捉杂性校，使赶之具影有可魂操作妇性，尽避免砖超出焦用户删所能秧理解蹄的范趟围，蜜变得疑很难模执行躺或无前法执描行。5）揪技术菊与管扔理相题结合启原则企业牵网络龄系统嫩安全饶建设籍是一索个复奋杂的傲系统掏工程幸，它币包括困产品领、过挽程和茅人的禾因素逐，因腹此它责的安宏全解饥决方秆案，咽必须己在考茅虑技织术解模决方钻案的煌同时诵充分炕考虑领管理纸、法肆律、苦法规疤方面蛮的制决约和节调控秆作用聪。单城靠技唉术或意单靠谎管理新都不州可能狠真正波解决朵安全遇问题宝，因华此必麻须坚身持技犯术和备管理鼻相结决合的顽原则谈。6）即测评牺认证焦原则企业杆网络何系统并作为经重要弱的政直务系叶统，什其系菜统的眠安全厅方案吼和工嘉程设陡计必薄须通免过国遵家有彻关部耍门的中评审阶，采缓用的身安全受产品场和保漏密设版备需无经过津国家刻主管冲理部君门的孕认可图。7）受系统是可伸豆缩性钉原则企业粥网络仿系统古将随湖着网相络和米应用宿技术贞的发强展而热发生攀变化芳，同辽时信楼息安六全技顺术也浪在发秧展，苦因此东安全虽系统搏的建参设必他须考亩虑系企统可醋升级像性和努可伸谅缩性涌。重敞要和递关键四的安鹅全设消备不垒因网微络变锻化或沈更换哗而废皮弃。11症.2丑.2债企应业网由总体而设计1.返企业守网总朵体设卵计拓恩扑图图11祸-2吨9企业皂网络侄拓扑零图企业缴网络鹊总体殖拓扑辞结构边如图谣11掌-2罗9所才示，卵其部迹门的固IP贺地址晓规划薄如表抢11答-4榨所示号。设肌备I桑P地圣址规洒划如史表1贝1-榨5所涌示。表11越-4部门IP地址汗规划谱表表11封-5设备IP地址余规划肤分配幅表2.种功能木模块鸟设计泰分析本方惊案主赞要实之现以脱下几摄个功翁能模安块：（1化）防棚火墙踪蝶功能面模块王，主抖要实谢现防勺火墙舅的部尚署、较防火功墙策煌略设张置、布与I离DS底联动叠等；（2族）虚导拟专保用网末功能摘模块纷，主曾要实臣现双早机热睁备、协与防罢火墙美双重稳防护稠关键袜服务杜器群畅、与旦ID愧S联鸽动、婚PK旬I用取户认协证设混置、材IP率Se恐c攻VP富N和炭VP矛N虚倚拟子践网设滴置等巴；（3呼）入咐侵检复测功达能模躲块，前实现惩与防模火墙催的联倾动；（4掀）三尖层交赏换机失安全疼功能寻模块载，主季要实狡现V晓LA舍N、鸡IP尤与M偶AC书绑定公、与伤ID盐S联晴动等岸；（5堆）病氧毒防修护功环能模开块等锯。11狂.2馋.3健防景火墙梦系统她设计1.触防火机墙的降部署在防暗火墙饼的部坡署方掀式上量，类叙似于认区域朽分割您的三档角方拘式，姜是指服将网南络分摆为内荐部网猾络（距军事驱化区征域）聋、外收部网足络和房诚DM己Z区孔域。扭例如睁，将劣We贵b服钟务器染、邮谁件服蹄务器革、D原NS乎服务畏器、么前台援查询滋计算士机等睁放置慰在D暴MZ家区域乔，而飞内部妥的文钥件服泉务器袖、数把据库内服务只器等球关键肝应用缠都放冤置在族内部间网络虎中，擦从而围使它册们受厨到良搬好的怜保护上，如佛图1明1-虎30检所示染。图11畜-3赴0防火咽墙部链署企业咱网络躁拥有寒自己幅的FT副P、We渡b和Ma硬il等服声务器耳，并照对In周te刑rn令et及内商部用膛户提旋供相汁应的皮服务撞。其厅中，膀将向见外提双供服懒务的疲主机姜旋转乏在DM姨Z区，温以保剂证内问部的仍安全河。在思接入In兆te哀rn腹et时，悦本方匀案选殃择使廉用防椅火墙消来接释入，装并实舟现NA品T、PA祸T和AC扭L等配蒸置方容案。2.血防舟火墙医应用牲规则揪与配请置1）匀配置兆IP刺/M桂AC妇绑定虹与主荒机保苹护设置谊IP冤/M愚AC萝地址拣绑定往，就祥可以旨执行蜂IP发/M籍AC新地址嫁对的捆探测忙。如不果防骗火墙暑某网直口配纹置了虑“I瞧P/犯MA滩C地篮址绑制定启侧用功太能”底、“治IP临/M骄AC标地址雀绑定炸的默锅认策挨略（疲允许雷或禁观止）帜”，朋当该矩网口湖接收握数据饺包时砌，将押根据轰数据哪包中岛的源棕IP冻地址逝与源间MA推C地捆址，慰检查甜管理槽员设与置好资的I期P/背MA瓶C地持址绑赴定表弄。如父果地彼址绑甚定表批中查舞找成压功并撞匹配扰，则修允许皂数据臣包通砌过，滨不匹户配则捧禁止截数据划包通捷过。灿如果置查找肃失败谣，则丽按缺钳省策赚略（榴允许阶或禁停止）牺执行元。使用贸命令绪添加政IP兄/M会AC弄地址水绑定派：语法白：荣ip柔ma殊c前ad咐d蛙<i陵p>峰<瞒ma乎c>矿[搭i挑f展{毕<n各am冶e>素|师n作on刻e}需]位[叉u忍ni床qu痛e来{倘on网|咸o矩ff截}业]参数织说明据：间ip哀指回定I苗P地右址，盒m捧ac工指肤定M扭AC问地址钓，幕if球指鱼定相唤应的端网络色接口腹，可廊选参绿数，颂默认店为不始指定心网络蛾接口膜u屯ni黄qu赤e速指定绒是否吐进行测MA践C地柄址的汽唯一润性检馆查，嫌可选旨参数摄，默避认为检不检咽查。例如义，邮fi栋re迟wa佣ll坡>i蓄pm夺ac广a久dd承1搅72四.1浴8.燥56勺.2连54复0筒0:缠05握:6悠6:鹿00鸭:8窑8:煌B8滨i输f片no委ne羡u座ni白qu穿e送of柔f2）独配置忽防火早墙U展RL材过滤WE基B服滋务是呈In蝇te遥rn注et负上使缝用最会多的恶服务屠之一泄。I县nt栽er挽ne冤t上剂信息室鱼龙鉴混杂慈，存肿在部贷分不旱良信不息，帐因此尽必须呀对其兆访问瓶进行顽必要鹊的控缘瑞制。你RG巴-W溉AL苏L防肚火墙鸦可以财通过身对某队些U划RL仿进行羞过滤诊实现读对访俯问不烛良信彼息的泛控制脖。通珠过使置用黑勤名单妙和白寻名单监来控攻制用屑户不梯能访血问哪上些U佛RL鸭，可得以访福问哪吓些U州RL猫。3）略NA终T配洪置NA绪T技李术能授够解失决I英P地吊址不井够的霜问题腹，同咸时，驼也能偶够隐泼藏网束络内典部信廊息，迟从而叹保护斯内部姐网络忌的安凝全。RG丽-W吴AL葵L防灶火墙间支持纠源地舌址一伴对一廊的转搏换，欠也支夫持源盾地址刺转换旗为地识址池麦中的盘某一晌个地惑址。贤用旋户可携通过刺安全捉规则概设定像需要印转换窄的源楚地址蒸（支纷持网形络地血址范吐围）杨、源伍端口碰。此够处的桐NA团T指份正向醉NA原T，唇正向明NA内T也粒是动吃态N锻AT扮，通误过系裹统提挤供的怪NA修T地肿址池挡，支崖持多视对多芳，多队对一晃，一龄对多覆，一旋对一策的转画换关阶系。4）宴配置斜安全亩规则安全我规则串的配础置可凡以说柿是防紫火墙惩最重荣要的胃配置贼了，蔑因为柏没有摘安全煤规则句，防刊火墙借是不厌能转刻发数亲据流蝴的。肤默认莫情况竭下，谦防火粘墙的沿行为汤是，友除非特明文榨允许桐，否右则全解部禁扶止。患防火端墙支蜡持的妥安全村规则割有包犹过滤蛛、N佳AT葡、I闹P勺映射套、端饲口映反射和质代理相等。5）悠配置霜防火载墙主寒机保挎护增加前主机患保护驶确保清关键截服务棕器的甘安全昼稳定零，用堡于保闸护服隐务器订访问桐时不辜会因仇为攻耗击而状过载钓。11婚.2打.4腾虚惧拟专今用网司设计1.浙V蹦PN宿系统顶部署VP终N系截统部横署的宋详细禁拓扑锅结构命如图茧11诊-3豪1所依示。图11孤-3权1厦VP州N部署1）自总部解网络涌VP叠N系苗统部迅署RG许-W饿AL路L惧V1虎60得S作隶为认订证网声关，膝对内溜网的虏关键雷服务德器进痰行认前证控面制，举非授协权用宴户不饮能访较问。皱US息B星KE牢Y脑保障畏密钥仓的安樱全性恒，进慎一步菊降低奥安全颠使用佣风险葱。两优台数辨据中盼心的初RG直-W动AL章LV淡16意0S缺通过椒HA妹实现岩双机阿热，开双网颠链路婶冗余歪和状致态热干备快乱速故亩障恢允复。2）刃分支倒机构胸VP索N系权统部刺署企业荒分支寸机构芽一般刻指分排布在贸全国雹各地庆规模话中等夜的分捉公司街，公见司内依部建漠有中怎等规亮模的呜局域固网，私同时军通过资当地吼IS额P提填供的革宽带忙接入絮方式固接入抛In右te吴rn冬et当并安顽装一笑台V浅PN宅设备挤，作痛为客帐户端路接入慌总部难。3）疾移动果办公情网点蚀VP著N系昆统部涨署采用摔L2璃TP梢+I火PS居EC旗隧道掏协议逐，接厅入总搂部，钉用户血即使坊在乘师坐车宁船甚庆至飞谁机的别途中缝，可邻随时归随地托实现剃移动艳办公深，犹授如在椅办公笨室一裕样方观便流纠畅地粪交流飞信息纤。4）元合作灯伙伴滚VP领N部结署商业寄合作拼伙伴缎可能踩要实爽时共慢享某遭些信抵息，勺网络含类似粥分支伟机构唱接入促，通谱过防呼火墙趟策略炕设置及访问顾权限旦。2.顾V钩PN魔双机壶热备浪份本方忙案采售用远好程安芽全接醉入和胖边界药安全影防护籍的组娃合解前决方利案。会针对衫本企炊业对期系统巨和数损据的泼高可舟用性赤和高领安全交性的藏需求猛，采霜用了总两台橡RG单-W旧AL搂LV求16影0S绕通过通HA阵实现店双机身热备从，双节网链欢路冗李余。挪该方竿案为菌用户跑提供钩了强舱大的沈容错圾功能迟，避久免了纸单点独故障势，快咸速自穿动恢坝复正重常通糊信。糖网络侵本身娇通过需VP葡N网启关实灵现数钳据在粒广域进网链爸路中塔的安炸全传码输，躺防止壁被窃这听或推被篡补改。鲜设计侮中两滚台R诸G-这WA联LL绿V1颗60挖S之否间通折过H浩A来决实现超双机帅热备仗，主盛机和绢备机类通过笨一条放串口侵线连罩接，锯正常号工作粘时，洗主机哗处于遵工作误状态事，备妄机网勤口处酸于d统ow省n状且态，游主机言和备曲机的己配置侍完全魂相同委，并类通过姥串口欢线同籍步动茫态信我息，佛更加妨增强窑了网遵络的意可靠线性，值当主马机出株现问恼题或旷者链判路不霉通时满，备煎机将内在3晴~6伶秒钟弄之内钻进入及工作想状态炊，接命管主盛机的历工作烟，整狱个切固换过逆程平恼滑透染明，车网络犁用户判只会贝感觉姐到有愈短暂木的加匠大，肆不会办对整钉个网盗络造滥成大馅的影房诚响。3.屿V裳PN听与防滑火墙拾双重头防护意关键证服务传器群在服索务器撒群网效络外待部署振的两旺台V尝PN恳外又仇添加暑了两立台虚肌拟防奇火墙害，从相而提饿高关溜键位裹置的谋安全厉性及根敏感爷数据索的安帮全性陈。以贯此防厘止恶梯意用俩户在旧网络