校园网安全防御系统设计与实现

毕业设计〔论文〕设计〔论文〕题目校园网络平安防御系统的设计与实现选题性质：eq\o\ac(□,√)设计□论文院系电子工程学院专业计算机网络技术班级学号学生姓名指导教师教务处制年月日毕业设计〔论文〕选题审批单学生姓名学号选题校园网平安防御系统设计与实现选题性质eq\o\ac(□,√)设计□报告□其他选题论证：校园网平安防御系是保证网络平安重要的辅助措施。学校建立了一套校园网络平安系统，制定详细的平安管理制度，如上网行为管理、数据备份恢复等，并采取切实有效的措施保证制度的执行，并定期发放常见病毒解决方案等。校园网络平安防御系统的设计与实现尤为重要。指导教师初审意见：签名：年月日毕业设计〔论文〕工作领导小组审批意见：签名：年月日毕业设计〔论文〕开题报告及进度要求学生姓名学号指导教师选题性质eq\o\ac(□,√)设计□报告□其他选题校园网平安系统防御系统设计与实现选题的目的和意义:越来越多的校园开始应用网络，他们的信息共享程度与网上业务不断增加。与此同时，网络攻击和犯罪活动也日益猖獗。如何防止校园网机密信息在网络中被泄露或窜改、如何有效地抵抗和打击信息犯罪、保障网络与信息平安等，给人们提出了严峻的挑战，平安防御系统尤为重要。本设计通过对校园网平安防御系统的设计与实现，加强了校园网平安保证，有助于校园网主动防御平安体系的构建。选题研究的主要内容和技术方案:介绍了网络平安问题的主要威胁因素和存在的隐患，并利用已有的网络平安知识对网络平安问题进行深入分析。其次，通过对网络平安技术和校园网的应用全面研究，得出校园网也会面临着平安上的各种各样威胁。最后，研究了入侵技术、数据备份技术、防火墙技术、上网行为管理技术与病毒防范技术为了解决校园网面临的主要威胁和隐患，本设计对各个局部进行详细论述，还进行安装与配置。毕业设计辩论记录单专业：计算机网络技术班级：班学生姓名设计目：校园网平安防御系统设计与实现选题性质：设计□报告□其他提问及辩论记录：辩论记录签名：辩论成员签名：辩论日期：年月日指导教师意见评定内容学习态度任务完成情况设计完成质量总分等级评分标准10%20%70%得分评语：指导教师签字：年月日评审组意见：评审成绩：评审组长签字：终审意见：院系负责人签章：终审成绩：年月日说明：1、指导教师认定合格方能填写此表并提交评审，不合格指导教师继续指导。2、指导教师及评审组成绩按“优秀、良好、合格、不合格”四个等级评阅。摘要本文从计算机网络面临的各种平安威胁，系统地介绍校园网平安防御和相关术语,并且主要研究了校园网络的防御问题。在本技术研究中，分析了高校网络系统的平安隐患，并且从构建平安防御体系和加强平安管理等方面设计了校园网络的平安策略。介绍了一般网络平安问题的主要威胁因素和存在的隐患，并利用已有的网络平安知识对网络平安问题进行深入分析。其次，通过对网络平安技术和校园网的应用全面研究，得出校园网也会面临着平安上的各种各样威胁。最后，研究了数据备份与数据恢复技术、防火墙技术、数据加密与数据解密技术及端口为了解决校园网面临的主要威胁和隐患，根据网络平安策略构建了一套有效的网络平安防御体系。在这套平安防御体系中，我们重点平安管理技术，在此根底上设计的校园网络平安防御设计方案。关键词：校园网、平安、防火墙、策略目录摘要I目录II第1章校园网的概述11.1校园网入侵技术11.2校园网防火墙技术11.3校园网加密技术21.4校园网病毒防护技术21.5校园网数据备份技术31.6上网行为管理技术3第2章校园园网平安需求分析42.1校园网的定义42.2校园网存在的问题42.2.1校园网的平安隐患52.2.2校园网面临的威胁62.3校园网的平安系统72.3.1入侵检测技术72.3.2防火墙技术82.3.3防火墙的主要缺点102.3.4上网行为管理技术112.3.5病毒检查系统132.3.6数据备份系统142.3.7管理体制15第3章校园网防御系统的设计与实现173.1入侵系统的设计173.1.1入侵检测系统设计183.1.2入侵检测系统产品的选择与安装183.2防火墙203.2.1防火墙系统的设计203.2.2防火墙产品选择与配置223.3上网行为管理系统设计23上网行为管理具体内容23上网行为管理系统产品与安装243.4数据备份系统的设计253.4.1备份设计的具体思路26数据备份系统的产品与安装26第4章系统测试294.1防火墙的测试29总结32参考文献34第1章校园网的概述目前，越来越多的政府部门和企业机构开始应用Internet，他们的信息共享程度与网上业务不断增加。与此同时，网络攻击和犯罪活动也日益猖獗。如何防止机密信息在网络中被泄露或窜改、如何有效地抵抗和打击信息犯罪、保障网络与信息平安等，给人们提出了严峻的挑战。1.1校园网入侵技术入侵检测〔IntrusionDetection,ID〕技术目前应用非常广泛，是平安防御的一类重要措施。入侵检测是对入侵行为的检测，它通过收集和分析计算机网络或计算机系统中假设干关键点的信息，检查网络或系统中是否存在违反平安策略的行为和被攻击的迹象[1]。入侵检测作为一种积极主动地平安防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统处于防火墙之后对网络活动进行实时的检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙及路由器配合工作。根据定义可知，入侵检测系统的根本功能应该包括以下几个方面。1.2校园网防火墙技术随着网络平安问题日益严重，网络平安技术和产品也被人们逐渐重视起来，防火墙作为最早出现的网络平安技术和使用量最大的网络平安产品，受到用户和研发机构的青睐。防火墙是指设置在不同网络或网络平安域之间的一系列部件的组合，它执行预先制定的访问控制策略，决定了网络外部与网络内部的访问方式[8]在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施有：(1)拒绝未经授权的用户访问内部网和存取敏感数据。(2)允许合法用户不受阻碍地访问网络资源。而它的核心思想是在不平安的因特网环境中构造一个相对平安的子网环境，其目的是保护一个网络不受另一个网络的攻击，所以防火墙又有以下功能：(1)作为网络平安的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的平安性，并通过过滤不平安的效劳而降低风险，只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更平安。(2)可以强化网络平安策略。通过以防火墙为中心的平安方案配置，能将所有的平安软件〔如口令验证、数据加密、身份验证、事件审计等〕配置在防火墙上，与将网络平安问题分散到各个主机相比，防火墙的集中平安管理更经济，更加容易实现联运机制，更能强化最终的网络平安策略。(3)对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。(4)防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网的重点网段的隔离，从而限制了局部重点或敏感网络平安问题对全局网络造成的影响。1.3校园网加密技术数据加密是通过某种函数进行变换，把正常数据包文〔称为明文或明码〕转换为密文〔密码〕。解密是指把密文复原成明文的过程[2]。密码体制是指一个系统所采用根本工作方式以及它的两个根本构成要素，即加密/解密算法和密钥。密钥是一个数值，它和加密算法一起生成特别的密文。传统密码体制所用的加密密钥和解密密钥相同，称为对称密码体制。如果加密密钥和解密密钥不相同，那么称为非对称密码体制，密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系。密码算法是相对稳定的，在这种意义上，可以把密码算法视为常量，而密钥那么是一个变量。在设计加密系统中，加密算法是可以公开的，真正需要保密的是密钥，密钥本质是非常大的数，密钥大小用位表示。在公开密钥加密方法中，密钥越大密文就越平安。1.4校园网病毒防护技术病毒历来是信息系统平安的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。我们将病毒的途径分为：(1)通过FTP，电子邮件传播。(2)通过软盘、光盘、磁带传播。(3)通过Web游览传播，主要是恶意的Java控件网站。(4)通过群件系统传播。病毒防护的主要技术如下：(1)阻止病毒的传播。在防火墙、代理效劳器、SMTP效劳器、网络效劳器、群件效劳器上安装病毒过滤软件。在桌面PC安装病毒监控软件。(2)检查和去除病毒。使用防病毒软件检查和去除病毒。(3)病毒数据库的升级。病毒数据库应不断更新，并下发到桌面系统。1.5校园网数据备份技术数据的备份与恢复是保证信息系统平安可靠的根底。对于校园内部学生管理系统来说，哪怕是几分钟的中断和数据丧失所带来的损失都是难以估量的。因此数据备份越来越得到学校的重视。在执行备份操作时，应当注意以下几个方面的问题：(1)制定备份和复原策略并进行测试。(2)对有关人员进行培训。(3)备份系统、启动卷以及系统状态中的所有数据。这项预防措施可以帮助防范预料不到的磁盘故障。(4)创立自动系统故障恢复备份集。(5)创立备份日志。(6)保存副本，至少保存三份媒体副本。至少有一份副本在妥善环境中保存1.6上网行为管理技术上网行为管理技术是帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。“随着互联网的开展，它已经到了必须控制和管理的时代，因为网上充满了错误的信息、虚假的信息，和非民主的力量。”蒂姆•伯纳斯•李〔互联网之父〕水能载舟亦能覆舟!互联网一方面能够帮助企业提高生产力、促进企业开展；另一方面也在企业管理、工作效率、信息平安、法律遵从、IT投资等方面给企业提出了严峻的问题与挑战。第2章校园园网平安需求分析平安管理是保证网络平安的根底，平安技术是配合平安管理的辅助措施。学校建立了一套校园网络平安系统，制定详细的平安管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络平安知识培训，或发放常见病毒解决方案等。2.1校园网的定义校园网在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。概括地讲，校园网是为学校师生提供教学、科研和综合信息效劳的宽带多媒体网络。首先，校园网应为学校教学、科研提供先进的信息化教学环境。这就要求：校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系)，也可以形成多个局域网络，并通过有线或无线方式连接起来。其次，校园网应具有教务、行政和总务管理功能。在我国，近年来校园网建设开展迅速，到目前为止仅在我国中小学就有近6000所学校建设了校园网。他们为我国中小学内部实现教育的资源共享、信息交流和协同工作提供了较好的范例。然而，随着我国各地校园网数量的迅速增加，校园网之间如何实现教育的资源共享、信息交流和协同工作的要求越来越强烈。2.2校园网存在的问题与其它网络一样，校园网也会受到相应的威胁，大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说包括：(1)非授权访问；即对网络设备及信息资源进行非正常使用或越权使用等。(2)冒充合法用户；即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以到达占用合法用户资源的目的。(3)破坏数据的完整性；即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。(4)干扰系统正常运行；指改变系统的正常运行方法，减慢系统的响应时间等手段。(5)病毒与恶意的攻击；即通过网络传播病毒或进行恶意攻击。除此之外，校园网还面对形形色色、良莠不分的网络资源，如不进行识别和过滤，那么会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢校园网的平安隐患有的校园网同时与CERNET、Internet相连,有的通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗,成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝效劳攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园网外部,还有相当一局部来自校园网内部,由于内部用户对网络的结构和应用模式都比拟了解,因此来自内部的平安威胁会更大一些。(1)BUG影响目前使用的软件尤其是操作系统或多或少都存在平安漏洞,对网络平安构成了威胁。现在网络效劳器安装的操作系统有UNIX、WindowsNTP2000、Linux等,这些系统平安风险级别不同,UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击;而WindowsNTP2000操作系统由于得到了广泛的普及,加上其自身平安漏洞较多,因此,导致它成为较不平安的操作系统。在去年一段时期、冲击波病毒比拟盛行,冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启,该病毒还引发了DoS(Denialofservice)攻击,使多个国家的互联网也受到相当影响。(2)不良信息传播在校园网接入Internet后,师生都可以通过校园网络进入Internet。目前Internet上各种信息良莠不齐,其中有些不良信息违反人类的道德标准和有关法律法规,对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小,分辨是非和抵御干扰能力较差,如果不采取切实可行平安措施,势必会导致这些信息在校园内传播,侵蚀学生的心灵。(3)病毒危害学校接入广域网后,给大家带来方便的同时,也为病毒进入学校之门提供了方便,下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,这些节点大都没有采取平安防护措施,随时有可能造成病毒泛滥、信息丧失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。(4)备物理平安设备物理平安主要是指对网络硬件设备的破坏。网络设备包括效劳器、交换机、集线器、路由器、工作站、电源等,它们分布在整个校园内,管理起来非常困难。个别人可能出于各种目的,有意或无意地损坏设备,这样会造成校园网络全部或局部瘫痪。(5)设备配置平安设备配置平安是指在设备上要进行必要的一些设置(如效劳器、交换机、防火墙、路由器的密码等),防止黑客取得硬件设备的控制权。许多网管往往由于没有在效劳器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜,导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对效劳器、交换机、路由器或防火墙等网络设备的控制权,然后肆意更改这些设备的配置,严重时甚至会导致整个校园网络瘫痪。(6)管理漏洞一个健全的平安体系,实际上应该表达的是“三分技术、七分管理”,网络的整体平安不是仅仅依赖使用各种技术先进的平安设备就可以实现的,更重要的是表达在对人、对设备的平安管理以及一套行之有效的平安管理制度,尤其重要的是加强对内部人员的管理和约束,由于内部人员对网络的结构、模式都比拟了解,假设不加强管理,一但有人出于某种目的破坏网络,后果将不堪设想。IP地址盗用、滥用是校园网必须加强管理的方面,特别是学生区、机房等。IP配置不当也会造成局部区域网络不通。如在学生学习机房,有学生不甚将自己的计算机的IP地址设本钱网段的网关地址,这会导致整个学生机房无法正常访问外网。2.2.2校园网面临的威胁网络实际上是一个脆弱的实体，不仅要面对自身系统的不平安性，例如，TCP/IP协议的不平安、网络物理链路的不平安，同时还要面对网络使用者，网络恶意程序和网络使用者操作系统不平安等威胁。网络管理人员对网络本身存在的TCP/IP这类网络平安威胁是无能为力的。其他方面的威胁大体上可以分为四类：网络物理平安威胁、人为的无意失误威胁、人为的恶意攻击威胁和软件漏洞隐患威胁。现在将各方面威胁作以下具体说明：(1)网络物理平安威胁。物理通道的平安性是网络平安不可缺少的组成局部。其主要目的是：保护学校的路由器、交换机、工作站等通信实体和通信链路不受自然灾害和人为破坏的攻击。另外，防止静电干扰也是学校网络物理平安的一个重要问题。(2)人为的无意失误威胁。网络管理人员平安配置不当造成的平安漏洞，主要表达在网络设备相关端口没有屏蔽，入侵者可以通过端口扫描技术获得相应的端口信息；另一个表达是密码组成单一，没有定期更换密码，并且将自己的密码随意转借他人使用。当然，这些网络平安隐患是学校网络管理人员无意间造成的，应该引起学校网络管理人员的重视。(3)人为的恶意攻击威胁。人为的恶意攻击威胁是校园网络面临的最大的威胁。黑客的攻击和计算机犯罪都属于这一类威胁。人为的恶意攻击威胁主要表现在：计算机病毒、特洛伊木马以及其他恶意程序代码。(4)软件漏洞隐患威胁。软件不可能百分之百无漏洞和无缺陷。这些漏洞和缺陷恰恰是黑客进行攻击的首先目标。大局部曾经出现过的黑客攻入网络内部的事件，就是因为网络平安措施不完善所造成的后果。校园中常用的操作系统一般为Windows系统，在使用的时候要提醒管理员及时打上补丁程序。2.3校园网的平安系统单一的校园网平安技术和网络平安产品无法解决网络平安的全部问题。应根据应用需求和平安策略，综合运用各种网络平安技术，包括数据加密和数据解密技术、防火墙技术、上网行为管理技术、黑客技术、漏洞扫描技术、入侵检测技术、端口平安管理技术、恶意代码与计算机病毒的防治、系统平台平安及应用平安等。这些内容在下面将会作进一步的阐述2.3.1入侵检测技术入侵检测〔IntrusionDetection,ID〕技术目前应用非常广泛，是平安防御的一类重要措施。入侵检测是对入侵行为的检测，它通过收集和分析计算机网络或计算机系统中假设干关键点的信息，检查网络或系统中是否存在违反平安策略的行为和被攻击的迹象[2]。入侵检测作为一种积极主动地平安防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统处于防火墙之后对网络活动进行实时的检测。许多情况下，由于可以记录和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙及路由器配合工作。根据定义可知，入侵检测系统的根本功能应该包括以下几个方面：(1)监控、分析用户和系统的行为。(2)检查系统的配置和漏洞。(3)评估重要的系统和数据文件的完整性。(4)对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。(5)对操作系统进行审计、跟踪管理，识别违反授权的用户活动。此外，入侵检测系统要是能够正常工作通常必须包含三个必要的功能组件：信息来源、分析引擎、响应组件[7]。信息来源〔InformationSource〕:为检测可能的恶意攻击，入侵检测系统所检测的网络或系统必须能提供足够的信息给入侵检测系统，资料来源收集组件的任务就是要收集这些信息作为入侵检测分析引擎组件的资料输入。分析引擎〔AnalysisEngine〕:利用统计或规那么的方式找出可能的入侵行为，并将事件提供应下面的响应组件。响应组件〔ResponseComponent〕:响应组件能够根据分析引擎的输出采取应有的行动。通常具有自动化机制，如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。明白了入侵检测系统的原理便能够方便的应用它来为本校校园网络平安效劳。2.3.2防火墙技术防火墙的分类标准有多种，最常用的是按照防火墙的技术来划分，大体上分为四类：包过滤型防火墙、应用代理型防火墙、包状态监视型防火墙、复合型防火墙。此外，按照防火墙的体系结构分：大体上分为三类：单一主机防火墙、路由器集成式防火墙、分布式防火墙[3]。尽管防火墙有多种，但在实际应用中，用户通常是根据具体应用的平安和性能需求而选择不同性能等级的防火墙产品的。从防火墙的性能等级来说，考虑到学校信息的重要性，就本校网络环境而言，我们应该使用高端效劳器防火墙。从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网平安和保障内部网和外部网的联通。因此在逻辑上防火墙是一个别离器、限制器、分析器。有效地监控了内部网和外部网的任何活动，保证了内部网络的平安，其一般逻辑位置如图2.1所示。图2.1防火墙的逻辑示意图防火墙根据功能实现在TCP/IP网络模型中的层次，其实现原理可以分为三类：在网络层实现防火墙功能为分组过滤技术；在应用层实现防火墙功能为代理效劳技术；在网络层，IP层，应用层三层实现防火墙为状态检测技术[4](1)分组过滤技术实际上是基于路由器技术，它通常由分组过滤路由器对IP分组进行分组选择，允许或拒绝特定的IP数据包，工作于IP层[4]。如图2.2所示。5、应】用层4、TCP层3、IP层2、数据链路层1、物理层输入数据流输入数据流输出数据流图2.2分组过滤技术工作特点过滤一般基于一个IP分组的以下各域：第一、源/目的IP地址；第二、TCP/UDP源/目的端口。前者的过滤，即根据制定的平安规那么，过滤掉具有特定IP地址的数据分组，从而保护内部网络；后者那么是为分组过滤提供了更大的灵活性。(2)代理效劳技术以一个高层的应用网关作为代理效劳器，接受外来的应用连接请求，在代理效劳器上进行平安检查后，再与被保护的应用效劳器连接，使外部用户可以在受控制的前提下使用内部网络的效劳，如图2.3所示。客户客户网关效劳器发送请求转发请求转发请求请求响应图2.3代理效劳器原理示意代理效劳技术工作在应用层[4]，其工作情况如图2.4所示。5、应用层4、TCP层3、IP层2、数据链路层1、物理层输入数据流输入数据流输出数据流图2.4代理效劳技术工作特点由于代理效劳作用于应用层，它能解释应用层上的协议，能够作复杂和更细粒度的访问控制；同时，由于所有进出效劳器的客户请求必须通过代理网关的检查，可以做出精细的注册和审计记录，并且可以与认证、授权等平安手段方便地集成，为客户和效劳提供更高层次的平安保护。(3)状态检测技术此技术工作在IP/TCP/应用层，它结合了分组过滤和代理效劳技术的特点，它同分组过滤一样，在应用层上检查数据包的内容，分析高层的协议数据，查看内容是否符合网络平安策略[4]。如图2.5所示。5、应用层4、TCP层3、IP层2、数据链路层1、物理层输入数据流输入数据流输出数据流图2.5状态检测技术工作情况2.3.3防火墙的主要缺点在了解了防火墙的根本功能以及工作原理之后，接下来分析一下防火墙的一些主要缺点。防火墙在平安防护中起到非常重要的作用，甚至无法取代，但是我们也应该看到它的缺乏，以便在使用过程中采取措施来弥补它的缺乏，共同确保内部网络的平安。(1)防外不防内的策略限制。防火墙的根本防御原那么就是“防外不防内”，就是只针对来自外部网络的通信进行检测，而对受保护内部网络中的用户通信不作任何防御。(2)不能防范不通过它的连接。防火墙能够有效的防止通过它的传输的信息，然而却不能防范不通过它而传输的信息。例如，如果内部网络用户有一个不经过防火墙的拨号连接，那么防火墙绝对没有方法阻止入侵者进行拨号入侵。(3)无法检测加密的Web流量。由于防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能[5]。(4)加密后的应用程序数据也可轻易躲过防火墙的检测。只有应用层攻击行为的特征与防火墙中数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。综上，我们应该充分利用防火墙技术来维护本校校园网络的平安上网行为管理技术当今数据网络和数据通信业务开展非常迅速，电子政务、电子商务、视频、语音和多媒体信息在宽带网络中的应用日益广泛。同时IP网络的普遍使用也使网络的构造拓扑越来越复杂，应用环境多种多样，使用网络的人员和需求千变万化，但由于IP协议本身局限性，数据网络的平安性，可靠性以及可管理性都存在很多的问题：如网络黑客和侦听、网络病毒和拒绝效劳(DoS)攻击等平安问题，网络链路失效，网络效劳阻塞等可靠性问题，以及网络使用权限控制管理，网络使用监控统计等管理问题都日益严重，这些问题都将直接影响数据业务的效劳质量和网络的正常运营。(1)访问控制需求：防范非法用户非法访问、防范合法用户非授权访问和防范假冒合法用户非法访问。(2)入侵检测系统需求：综合平安网关可以对所有的访问进行严格控制，但不能完全防止有些新攻击或那些绕过综合平安网关的攻击。所以必须配备入侵检测系统，对透过综合平安网关的攻击进行检测并做相应反响。(3)平安审计系统需求：对互联网进行全面控制管理，标准内网人员上网行为，提高人力资源效率，强化网络平安，保护重要机密。(4)防病毒系统需求：针对防病毒危害性极大并且传播极为迅速，必须配备从单机到效劳器的整套防病毒软件，实现全网的病毒平安防护。(5)其他需求：防止重要信息的电磁辐射或线路干扰等泄漏；加密需求；对重要的设备和系统进行备份等平安保护。因此针对这些问题就需要提供高速、稳定、高平安性和管理性的网络设备和效劳，既要提供完备的网络平安和管理控制的处理功能，满足灵活多样的网络拓扑，又不能成为网络瓶颈，影响网络的正常通信带宽和业务。但不幸地是，很多现有网络平安设备因为需要处理繁重的平安检查和加解密等工作，必将降低处理速度，牺牲网络带宽，同时由于很多恶意攻击都是针对平安设备本身的，这对现有网络设备的性能和可靠性都是一个挑战。总的来说，好的网络管理需要解决以下的需求问题：●如何确保网络的高可用性。●如何快速部署新的网络效劳。●如何控制内网用户的行为。●如何预测网络增长。●如何了解网络故障影响的用户。●如何保护网络,防止黒客攻击。其次网络行为管理还应具备以下的功能：(1)只装在一台电脑上，不用安装客户端，即可针对网卡地址〔或机器名或IP地址或自定义用户名〕对整个网络进行跨VLAN、跨平台控制管理。(2)可禁止网页粘贴、论坛留言、WEB邮件等所有通过HTTP协议的网络外发行为，使单位领导不再担忧员工利用单位电脑在网上发布不恰当的网络言论，不再担忧企业商业秘密或重要文档通过互联网外泄。(3)不仅可对每台电脑上网流量进行统计查询，而且还可以根据工作需要对它们进行流量带宽控制，控制BT下载并报警，防止网络带宽被大量无效占用，使互联网资源真正得到有效合理分配。(4)可实时记录MSN、Yahoo、ICQ、QQ聊天室等即时通讯工具的聊天内容，并对QQ号码以及其聊天过程进行全程记录。(5)网络中机器名和IP地址的任何改动都会进行自动报警提示，在线报警信息实时反映网络出现的不良状况，使网络平安危险和隐患能在第一时间发现和解决，管理者还可通过系统向违规者发送短消息以进行警告。(6)在线动态显示当前上网和未上网的机器，使管理者对整个局域网电脑使用状态一目了然。在线动态显示机器上网信息、聊天内容、QQ信息、邮件日志、上传下载日志，并可针对某台机器或某组机器的网上行为实现在线实时监控。(7)可对VIP机器进行不做任何监控的放行设置，也可对相关网址或端口进行不做任何监控的放行设置。.(8)可在任意时间段对任何组和单机建立各种管理规那么进行控制管理，操作灵活方便，使管理者能对互联网实现最大限度的个性化管理。(9)基于网络层进行控制，对IP地址进行控制管理，可以只允许通过指定的IP也可以阻止指定的IP段。基于传输层进行控制，对端口进行控制管理，可以只允许通过指定端口，也可以阻止指定的端口范围。(10)通过对不同级别、不同用户分配不同的管理权限，可实现多级别、多用户对系统进行远程操作控制，使整个互联网管理有条有序，层次清楚。(11)不仅可禁止所有HTTP、FTP文件的上传或者下载〔各种上传或者下载方式〕。而且可针对上传或下载的文件格式进行各种形式的控制，使上传下载的控制管理更加灵活和有针对性。(12)可对通过SMTP协议发邮件和通过POP3收邮件的收发邮箱进行任意控制，如只能收发到指定的邮箱或指定的邮箱才能收发。(13)完善库管理，程序自带色情反动库、聊天库、游戏库、财经证券库、搜索引擎库、招聘库、电影休闲库、过滤关键词库、自定义网址库等9大网址库，用户还可以自己管理相应的9个自定义网址库，和9个系统自带网址库协同工作，完成整个网络管理的过滤工作。(14)完整记录所有机器的上网信息且可进行，包括机器名、源MAC地址、源IP地址、源端口、目的MAC地址、目的IP地址、目的端口地址、操作类型、效劳类型、协议类型、标题、内容以及时间。(15)可以将机器按IP或者VLAN分成不同的组进行系统管理，可以增添和删除病毒检查系统计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当到达某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序，但它和通的计算机程序不同，具有以下特点。(1)寄生性:计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人觉察的。(2)传染性:计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的根本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，井使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，到达自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件〔一般是可执行文件〕会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、U盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的U盘等载体已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法到达病毒的传染和扩散。被嵌入的程序叫做宿主程序。(3)潜伏性：有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比方黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘等载体里呆上几天，甚至几年，一旦时机成熟，得到运行时机，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的那么执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。(4)隐蔽性：计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。(5)破坏性：计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。(6)可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。数据备份系统数据备份有多种实现形式，从不同的角度可以对备份进行不同的分类：从备份模式来看，可以分为物理备份和逻辑备份；从备份策略来看，可以分为完全备份、增量备份和差异备份；根据备份效劳器在备份过程中是否可以接收用户响应和数据更新，又可以分为离线备份和在线备份。(1)逻辑备份逻辑备份也可以称作“基于文件的备份”。每个文件都是由不同的逻辑块组成的，每个逻辑块存储在连续的物理磁盘块上，基于文件的备份系统能识别文件结构，并拷贝所有的文件和目录到备份资源上。系统顺序读取每个文件的物理块，然后备份软件连续地将文件写入到备份介质上，从而使得每个单独文件的恢复变得更快。(2)物理备份。物理又称“基于块的备份”或“基于设备的备份”，其在拷贝磁盘块到备份介质上时忽略文件结构，从而提高备份的性能。因为备份软件在执行过程中，花费在搜索操作上的开销很少。(3)完全备份完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份，这是一种最根本，也是最简单的备份方式。这种备份方式的好处就是很直观，容易理解。如果在备份间隔期间出现数据丧失等问题，可以只使用一份备份文件快速地恢复所丧失的数据。(4)增量备份为了解决上述完全备份的两个缺点，出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作以来新创立或者更新过的数据。因为在特定的时间段内只有少量的文件发生改变，没有重复的备份数据，因此既节省空间，又缩短了备份的时间。因而这种备份方法比拟经济，可以频繁地进行。(5)差异备份差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个，以简化恢复的复杂性。管理体制作为一个机房管理者，最大的工作动力来源自责任心加上解决问题时的狂热，大多数的机房管理者都不会对于自己的薪金感到满意。然而只是依靠责任心和狂热的解决癖，仍然无法管理好机房，还有可能在离职时遭到下任的唾弃，原因是没有做好交接工作。机房管理更重要的是制度的约束力和员工的执行力，建立一套完善的机房管理制度是必要的。(1)机房环境及物理平安管理●环境管理：机房温度、湿度、防尘、配电的管理，需要形成相应的管理制度，巡检制度，巡检表格。如果环境发生变化，需要建立恢复措施。特别是UPS不间断电源一般设立单独的配电机房，需要对其进行巡检，做好记录。●物理平安管理：防火防水防盗的平安措施，一般机房都可以参照其所在大厦的三防措施。也可自己建立防盗措施和制度。(2)机房行为管理●员工行为管理：制定机房工作人员行为准那么，可以配合考核制度进行统一管理。制定操作标准，对于任何操作，都必须留下记录进行备案。●用户行为管理：分析机房用户群分类，建立用户进出机房标准，建立员工接待标准，实现接待备案制，保存用户访问及接待记录。(3)机房网络及终端设备管理●机房效劳器硬件管理：对自用效劳器进行统一硬件备案，建立巡检制度，对每台效劳器的硬件运行情况做好记录，为硬件升级提供原始数据。●机房效劳器软件管理：操作系统管理，应用程序管理，效劳管理，帐号管理，数据库管理。可以制定统一的管理制度，任何维护性操作都需要留下操作记录，重大数据更改需要提交上级进行批准，并形成记录文档。●网络设备硬件管理：根据巡检制度进行硬件运行情况检查并做好记录。建立网络拓扑图，端口配线表等工具文档并及时更新。第3章校园网防御系统的设计与实现通过以上对网络攻击分析和防御的设计，校园网络也会面临同样的威胁，所以我们在知道网络功防根底上应该构筑校园网络平安体系，要从两个方面着手：一是采用一定的技术；二是不断改良管理方法。从技术角度看，目前常用的平安手段有入侵系统、加密技术、身份认证、访问控制、平安路由等，这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术，普遍运用于校园网平安建设中。3.1入侵系统的设计入侵检测系统功能构成，包括事件提取、入侵分析、入侵响应和远程管理四局部如图3-1所示。图3-1入侵检测系统入侵检测所利用的信息一般来自以下四个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与的网络入侵和系统误用模式数据库进行比拟，从而发现违背平安策略的行为。统计分析方法首先给系统对象(如用户、文件、目录和设备等)创立一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比拟。当观察值超出正常值范围时，就有可能发生入侵行为。入侵检测系统设计入侵检测就是通过对系统数据的分析、发现非授权的网络访问和攻击行为，然后采取报警、切断入侵线路等对抗措施。为此目的而设计的系统称为入侵检测系统。一个简单的入侵检测系统，如图3-2所示。图3-2简单的入侵检测系统图3-2所示入侵检测系统的根本任务：通过实时检测网络系统状态，判断入侵行为发生，并产生报警。从功能实现的角度可以把这个系统划分为三大模块：信息收集模块、信息处理与通讯模块、入侵判断与反响模块。其中信息收集模块与特定的环境，监视的对象有比拟密切的关系:信息处理与通讯模块，是对所收集到的数据进行预处理和分类，然后把处理的结果按照一定的格式传输给检测判断模块。最后由检测判断模块根据一定的平安策略判断入侵行为的发生并采取相应的还击。随着网络系统结构的复杂化和大型化，系统的弱点或漏洞将趋向于分布式。另外，入侵行为不再是单一的行为，而是表现出相互协作入侵的特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息，协同检测。入侵检测系统产品的选择与安装Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件开展而来的。它是一个基于libpcap包的网络监控软件，可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测，例如：缓冲器溢出攻击，端口扫描，CGI攻击，SMB探测等等。Snort具有实时的告警能力，将告警记入一个特别的告警文件--系统日志，或者将告警信息通过samba转发给另一台WindowsPC机。Snort首先根据远端的ip地址建立目录,然后将检测到的包以tcpdump的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.在正式进行软件安装之前，请检查系统，确保拥有符合ANSI标准的C/C++编译器等软件开发工具。

1．安装入侵事件数据库MySQL

首先，以超级用户的身份登录系统，创立MySQL用户和MySQL用户组;然后，以MySQL身份登录，按照缺省配置将MySQL安装在/usr/local目录下；接下来，将源代码树中的缺省配置文件Myf拷贝到/etc目录下；再用超级用户身份执行源码树中Scripts目录下的可执行脚本文件Mysql_install_db创立初始数据库;随后，用/etc/init.d/mysql.server命令启动数据库效劳器，使用/usr/local/bin/mysqladmin程序改变数据库管理员的口令。

2．安装Snort

首先安装Snort所依赖的网络抓包库Libpcap，将其按照缺省配置安装在/usr/local目录下之后，开始正式安装Snort。

#gzip-d-csnort-1.8.6.tar.gz|tarxvf-

#cdsnort-1.8.6

#./configure--prefix=/usr/local--with-mysql=/usr/local

--with-libpcap-includes=/usr/local\

--with-libpcap-libraries=/usr/local

#make

#makeinstall

安装完毕后，将源码树中的Snort.conf文件、Classification.config文件和规那么文件〔*.rules〕拷贝到系统的/etc目录下。按照以下步骤配置Snort，以便将其捕获的网络信息输出到MySQL数据库。(1)创立Snort入侵事件数据库和存档数据库。#/usr/local/bin/mysqladmin-uroot-pcreatesnort

#/usr/local/bin/mysqladmin-uroot-pcreatesnort_archive

(2)执行Snort源码树下Contrib目录下的Create_mysqlSQL脚本文件，创立相关表。

#/usr/local/bin/mysql-uroot-Dsnort-p

#/usr/local/bin/mysql-uroot-Dsnort_archive-p

(3)编辑/etc/snort.conf文件，在OutputPlugin段中参加如下一行：

outputdatabase:alert,mysql,user=rootpassword=abc123dbname=snorthost=localhost

3．安装Web效劳器Apache

(1)安装MM库按照缺省配置将MM库安装在/usr/local目录下。(2)安装OpenSSL

按照缺省设置将OpenSSL安装在/usr/local目录下。(3)为Apache扩展mod_ssl代码

#gzip-d-capache-1.3.24.tar.gz|tarxvf-

#gzip-d-cmod_ssl-2.8.8-1.3.24.tar.gz|tarxvf-

#cdmod_ssl-2.8.8-1.3.24

#./configure--with-apache=apache-1.3.24

该命令运行成功之后，会有提示说明已经成功扩展了Apache的源代码。

(4)安装Apache

#cd../apache-1.3.24

#SSL_BASE=/usr/localEAPI_MM=/usr/local\

./configure--enable-module=so

--enable-module=ssl--prefix=/usr/local

#make

#makecertificate

#makeinstall

其中，Makecertificate命令是为mod_ssl生成所需的平安证书，按照提示输入相应信息即可。这样，Apache就被安装在/usr/local目录下。

$alert_user="root"

$alert_password="abc123"

$archive_dbname="snort_archive"

$archive_host="localhost"

$archive_port="3306"

$archive_user="root"

$archive_password="abc123"

$ChartLib_path="../phplot-4.4.6"

$Chart_file_format="png"

$portscan_file="/var/log/snort/portscan.log"

至此，网络入侵检测系统的软件安装工作结束。3.2防火墙3.2.1防火墙系统的设计防火墙系统设计要求你能够了解并鉴别你的网络的平安域。网络的平安域是指一个网络中的在统一的平安策略下运行的邻近域。无论这些域的交叉点在那里，在这些域的边界肯定有一种潜在的对策略冲突决策机制的需求。这也是防火墙技术有用的地方。现在，防火墙最常用于一个组织的内部网络和互联网之间。在设置互联网防火墙的时候，你首先必须决定它的根本结构〔假设你已经确定了你的防火墙需求和平安策略，并且决定实施它们〕。在本文中，“结构”代表防火墙的各个组成局部〔软件和硬件〕的总和，以及它们之间的连通性和功能分配。有两种防火墙结构，我们称它们为“单层结构”和“双层结构”单层结构如图图3-3防火墙单层结构图一台主机实现所有功能，并且与需要它控制访问的所有网络相连接。这种方法通常适用于对价格敏感或者只有两个网络互联的情况。它的优点在于，那台主机上的防火墙可以监控一切事情。在需要实行的平安策略比拟简单，并且接入的网络也不多的情况下，这种结构是十分划算并且容易维护的。它最大的缺点是容易受执行缺陷〔ImplementationFlaw〕以及配置错误的影响——由于这种结构的特性，只要有一个缺陷或者错误，就可以使防火墙失效。火墙功能需要一定数量的主机来实现，而且通常采用级联方式，并且它们之间有DMZ网络。这种结构比单层结构更难设计和操作，但是它能够通过多样化的防御措施而提供更强的平安性。我们建议在每台防火墙主机中使用不同的防火墙技术，虽然这样的花费也更高。这样可以防止在防不同的层中出现相同的执行缺陷和配置错误。关于同时使用包过滤和应用代理，这里有一个很好的理由。某些效劳〔例如SMTP，HTTP，NTP〕通常是十分容易通过包过滤控制的，而其他一些效劳〔例如DNS，FTP〕那么可能需要一些只有应用代理才有的更复杂的特性。包过滤的速度很快，应用代理的速度要慢一些。在一些要求高访问量控制并且对代理性能要求很高的情况下，状态验证包过滤或许是一个比拟折衷的方案。在任何情况下我们都需要尽量使用这些不同的功能〔比方包过滤，代理和状态验证〕，并且将它们应用于适宜的地方防火墙产品选择与配置PIX〔PrivateInternetExchange〕防火墙是Cisco产品系列中称得上佼佼者的防火墙产品。PIX防火墙可以部署到各种各样的设计方案中。简单的情况如下，PIX防火墙可能只有两个接口，一个接口连接至受保护的内部网络〔内部接口〕，而另一个接口那么连接到公共网络〔外部接口〕，一般来说就是指因特网。这里所谓的内部和外部具有特别的意义，且各个接口在PIX防火墙配置中分别被命名为Inside接口〔内部〕和Outside接口〔外部〕。为了让公司能够利用与因特网的连接，通常某些效劳器必须对于外部世界是可访问的，这些可访问的效劳器包括DNS、SMTP以及企业能够拥有的任何公用Web效劳器。DNS效劳器必须是可访问的，这样才能将主机名字转换成可用于数据报寻址的IP地址。虽然这些效劳器可以放在防火墙之后的内部网络中，但是强烈建议不要这样做。因为这些主机中的任意一台受到侵害后，都会导致入侵者能够方便的访问到内部网络。而如果这些效劳器放置在DMZ中，那么PIX防火墙能够允许内部用户不加限制的访问这些主机，而同时限制外部用户来访问这些主机。下面是CISCO防火墙的具体配置：1.将PIX安放至机架，经检测电源系统后接上电源，并加电主机。2.将CONSOLE口连接到PC的串口上，运行HyperTerminal程序从CONSOLE口进入PIX系统;此时系统提示pixfirewall>。3.输入命令:enable,进入特权模式，此时系统提示为pixfirewall#。4.输入命令:configureterminal,对系统进行初始化设置。5.配置以太口参数:interfaceethernet0auto(auto选项说明系统自适应网卡类型)interfaceethernet1auto6.配置内外网卡的IP地址:ipaddressinsideip_addressnetmaskipaddressoutsideip_addressnetmask7.指定外部地址范围:global1ip_address-ip_address8.指定要进行要转换的内部地址:nat1ip_addressnetmask9.设置指向内部网和外部网的缺省路由routeinside00inside_default_router_ip_addressrouteoutside00outside_default_router_ip_address10.配置静态IP地址对映:staticoutsideip_addressinsideip_address11.设置某些控制选项:conduitglobal_ipport<-port>protocolforeign_ipglobal_ip指的是要控制的地址port指的是所作用的端口，其中0代表所有端口protocol指的是连接协议，比方:TCP、UDP等foreign_ip表示可访问global_ip的外部ip，其中表示所有的ip。12.设置telnet选项:telnetlocal_iplocal_ip表示被允许通过telnet访问到pix的ip地址(如果不设此项，PIX的配置只能由consle方式进行)。13.将配置保存:wrmem3.3上网行为管理系统设计上网行为管理内置国内最全的应用识别规那么库，最大的网页地址库，结合深度内容检测技术、网页智能识别等专利技术，为客户解决网页过滤、封堵与工作无关的网络应用需求。互联网上的网页资源非常丰富，如果员工长时间访问如色情、赌博、病毒等具有高度平安风险的网页，以及购物、招聘、财经等与工作无关的网页，将极大的降低生产效率。通过上网行为管理产品，用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略，过滤非工作相关的网页。3.3.1上网行为管理具体内容〔1〕网络应用控制聊天、看电影、玩游戏、炒股票等等，互联网上的应用可谓五花八门，如果员工长期沉迷于这些应用，也将成为企业生产效率的巨大杀手，并可能造成网速缓慢、信息外泄的可能。通过上网行为管理产品，用户可以制定有效的网络应用控制策略，封堵与业务无关的网络应用，引导员工在适宜的时间做适宜的事。(2)带宽流量管理P2P下载、在线游戏、在线看电影电视等都在抢占着有限的带宽资源。面对日益紧张的带宽资源，除了增加预算扩充带宽以外，企业还可以选择合理化分配和管理带宽。通过上网行为管理产品，用户可以制定精细的带宽管理策略，对不同岗位的员工、不同网络应用划分带宽通道，并设定优先级，合理利用有限的带宽资源，节省投入本钱。(3)信息内容审计发邮件、泡BBS、写Blog、聊IM已经司空见惯，然而信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理产品，用户可以制定全面的信息收发监控策略，有效控制关键信息的传播范围，以及防止可能引起的法律风险。(4)上网行为分析随着互联网上的活动愈演愈烈，实时掌握员工互联网使用状况可以防止很多隐藏的风险。通过上网行为管理产品，用户可以实时了解、统计、分析互联网使用状况，并根据分析结果对管理策略做调整和优化。(5)日志管理通过日志的分类显示，可以让用户只看到自己关心的系统日志，而不需要从所有日志信息中慢慢筛选，从而更好的让用户了解系统的运行情况，方便快速定位和排除故障；更值得提出的是，ReOS2009上网行为日志可以记录内网用户登录QQ和退出MSN的信息〔能记录下IP地址、QQ号码和MSN号码〕和发送/接受邮件的信息；通过网页日志，用户可以查看到内网用户所访问过的网站域名，可以实时了解内网用户的上网行为。3.3.2上网行为管理系统产品与安装1.瑞达时代产品综述“上网行为管理系统”是一套基于互联网内容平安产品，采取网络监听与控制技术，实现对被监管网络内所有用户的上网行为审计、过滤。详细记录用户互联网访问行为及浏览时间等相关信息，对不良信息〔反动、色情、邪教〕进行过滤，对敏感信息〔成人用品、成人话题、同性恋、交友、聊天、游戏、证券〕等进行管理；通过合理分配用户上网时段等，有效管理互联网使用效率；系统采用国内独创，并获国家科委鼎力支持的“网页内容智能判别技术”，进行网页内容实时判别与控制。2.瑞达时代产品具有以下主要功能：(1)用户管理系统支持以IP地址、MAC地址等为参照的用户管理模式，并可对用户分组进行管理。对不同人员可以设置免监控。(2)实时监控可以实时监控当前互联网网络的使用情况，即时查看用户访问互联网各类应用〔网站、邮件、网络游戏、即时消息、网络会话〕的信息，包括访问的时间、访问的协议、IP地址、访问的内容等。(3)行为审计对网站访问、网络游戏、聊天内容、网络会话等信息进行归档，方便管理者根据时间、IP地址、网址、效劳、内容等组合条件查询审核全部用户或指定用户的互联网访问情况，同时对管理员的操作行为进行完全审计。(4)上网统计分析提供数十种统计报表对终端、时间等进行统计，可生成各类排行榜，并可以图表的方式从各个角度对用户上网情况进行分析。灵活的条件输入和结果选择，几乎涵盖管理者的各种要求。统计结果可导出到Excel表格，方便进行二次处理。(5)安装与连接

由于监控模块要进行原始数据的采集和分析，所以效劳器必须能接收到被管理用户的所有进出互联网的数据包，而在通常情况下，上网行为管理系统要管理的是客户处所有用户的上网行为，因此产品一般安装部署在客户网络环境中互联网的网关处。由于系统对数据包的获取采用的是旁路监听的方式，这也通常需要网关处的设备〔如交换机〕提供有端口镜像的功能，或特意地构造一个局部的共享总线的以太网环境，使应被监听的主机或网络能够与监控模块处于一个共享的以太网环境内，否那么系统无法接收到网上的所有数据流。有关交换机监听端口配置性能方面的问题，请参考有关交换机的产品技术手册。系统网络安装的的示意图如图3.4。图3.4瑞达时代的安装示意图3.4数据备份系统的设计3.4.1备份设计的具体思路数据备份有多种实现形式，从不同的角度可以对备份进行不同的分类：从备份模式来看，可以分为物理备份和逻辑备份；从备份策略来看，可以分为完全备份、增量备份和差异备份；根据备份效劳器在备份过程中是否可以接收用户响应和数据更新，又可以分为离线备份和在线备份[5]。(1)逻辑备份逻辑备份也可以称作“基于文件的备份”。每个文件都是由不同的逻辑块组成的，每个逻辑块存储在连续的物理磁盘块上，基于文件的备份系统能识别文件结构，并拷贝所有的文件和目录到备份资源上。系统顺序读取每个文件的物理块，然后备份软件连续地将文件写入到备份介质上，从而使得每个单独文件的恢复变得更快。(2)物理备份物理又称“基于块的备份”或“基于设备的备份”，其在拷贝磁盘块到备份介质上时忽略文件结构，从而提高备份的性能。因为备份软件在执行过程中，花费在搜索操作上的开销很少。(3)完全备份完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份，这是一种最根本，也是最简单的备份方式。这种备份方式的好处就是很直观，容易理解。如果在备份间隔期间出现数据丧失等问题，可以只使用一份备份文件快速地恢复所丧失的数据。(4)增量备份为了解决上述完全备份的两个缺点，出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作以来新创立或者更新过的数据。因为在特定的时间段内只有少量的文件发生改变，没有重复的备份数据，因此既节省空间，又缩短了备份的时间。因而这种备份方法比拟经济，可以频繁地进行。(5)差异备份差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个，以简化恢复的复杂性。数据恢复是数据备份的逆操作，就是把数据库由存在故障的状态转变为无故障的状态的过程，利用已备份的备份文件和逻辑日志文件重新创立数据库中的数据。要将数据恢复到发生故障时的状态，必须至少具有在发生故障以前数据库的备份文件，包括完整备份、增量备份、差异备份等，以及备份以后所有事务的逻辑日志文件。3.4.2数据备份系统的产品与安装备份工具采用Windows系统自带的数据备份工具备份软件路径：开始-程序-附件-系统工具-备份。欢送界面，选择工具-选项。“选项”属性界面如图3.5图3.5选项界面选择“排除文件”标签页面，之后点击“添加”。选择.avi文件类型，应用路径为d:/,并“应用于所有文件夹”。点击图3.6中的“确定”。图3.6选项选择“复原”标签页，选中“无条件替换本机上的文件”。选择“备份类型”标签页，默认备份类型选择“每日”，如图3.7。3.7设置备份类型9.应用并确定，设置完成，实现了备份。第4章系统测试4.1防火墙的测试这次测试的目的是为了知道防火墙是否想我们想象中的意图来工作的。在此之前你必须:制定一个完整的测试方案，测试的意图主要集中在路由、包过滤、日志记录与警报的性能上测试当防火墙系统处于非正常工作状态时的恢复防御方案。1.其中比拟重要的的测试包括:(1)硬件测试(处理器、内外储存器、网络接口等等)；(2)操作系统软件(引导局部、控制台访问等等)；(3)防火墙软件；(4)网络互联设备(CABLES、交换机、集线器等等)；(5)防火墙配置软件。2.路由型规那么包过滤规那么与关联日志、警报选项，建立一个测试方案。你需要在做一个方案，让系统本身去测试防火墙系统与策略的执行情况，然后测试系统的执行情况。(1)建立一个所有可替代的系统组件的列表，用来记录一些会导致防火墙系统出错的敏感故障。

(2)为每一个组件建立一个简短的特征说明列表列表，用语阐述其对防火墙系统运作的影