【正文】 的特征： u 保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。辦公自動(dòng)化硬件平臺是為實(shí)際使用而建立，應(yīng)避免過度追求超前技術(shù)而浪費(fèi)投資。 均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級別和經(jīng)費(fèi)限度統(tǒng)一考慮。校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴(yán)重的影響工作。 2：校園網(wǎng)網(wǎng)絡(luò)安全需求采用三層核心交換機(jī)為這些網(wǎng)段提供VLAN劃分，該交換機(jī)級連多個(gè)工作組級的交換機(jī)用于桌面工作站接入。 3 2：校園網(wǎng)網(wǎng)絡(luò)安全需求 3第2章 設(shè)計(jì)原則 4 實(shí)用性與經(jīng)濟(jì)性 4 擴(kuò)展性與兼容性 4 安全性與可維護(hù)性 5 整合型好 6第3章 需求分析 6第4章 項(xiàng)目網(wǎng)絡(luò)安全解決 6 網(wǎng)絡(luò)架構(gòu)圖 6 網(wǎng)絡(luò)病毒的防范 7 防止IP、MAC地址的盜用 8 安全事故發(fā)生時(shí)候，需要準(zhǔn)確定位到用戶 9 用戶上網(wǎng)時(shí)間的控制 9 用戶網(wǎng)絡(luò)權(quán)限的控制 10 各種網(wǎng)絡(luò)攻擊的有效屏蔽 10 對DOS攻擊，掃描攻擊的屏蔽 14 網(wǎng)絡(luò)設(shè)備管理 14第1章 項(xiàng)目概述 校園網(wǎng)網(wǎng)絡(luò)環(huán)境同時(shí)三層核心交換機(jī)提供連接到教育網(wǎng)的WAN（10/100M）鏈路，作為校園網(wǎng)的外網(wǎng)出口。所以校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，一旦被遭受黑客攻擊病毒的侵襲，將會給該學(xué)校正常的教學(xué)及業(yè)務(wù)帶來嚴(yán)重的影響。 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。網(wǎng)絡(luò)中相同安全級別的保密強(qiáng)度要一致。 擴(kuò)展性與兼容性系統(tǒng)設(shè)計(jì)除了可以適應(yīng)目前的應(yīng)用需要以外，應(yīng)充分考慮日后的應(yīng)用發(fā)展需要，隨著數(shù)據(jù)量的擴(kuò)大，用戶數(shù)的增加以及應(yīng)用范圍的拓展，只要相應(yīng)的調(diào)整硬件設(shè)備即可滿足需求。 u 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊； u 可控性：對信息的傳播及內(nèi)容具有控制能力。 整合型好當(dāng)前采用企業(yè)級的域控制管理模式，方便對所有學(xué)校內(nèi)所有終端用戶的管理，同時(shí)又可以將學(xué)校里計(jì)算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！第3章 需求分析216。 安全事故發(fā)生時(shí)候，不能準(zhǔn)確定位到用戶的影響216。 身份認(rèn)證 216。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡(luò)；如果惡意用戶發(fā)送虛假的IP、MAC的對應(yīng)關(guān)系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。 國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運(yùn)營機(jī)構(gòu)（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關(guān)部門審計(jì)。 用戶上網(wǎng)時(shí)間的控制 無法控制學(xué)生上網(wǎng)時(shí)間的影響：如果缺乏有效的機(jī)制來限制用戶的上網(wǎng)時(shí)間，學(xué)生可能會利用一切機(jī)會上網(wǎng)，會曠課。辦公網(wǎng)絡(luò)的用戶因該不能訪問財(cái)務(wù)網(wǎng)絡(luò)。全局安全的設(shè)計(jì)思想銳捷網(wǎng)絡(luò)提倡的是從全局的角度來把控網(wǎng)絡(luò)安全，安全不是某一個(gè)設(shè)備的事情，應(yīng)該讓網(wǎng)絡(luò)中的所有設(shè)備都發(fā)揮其安全功能，互相協(xié)作，形成一個(gè)全民皆兵的網(wǎng)絡(luò)，最終從全局的角度把控網(wǎng)絡(luò)安全。事前的身份認(rèn)證對于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，我們需要對其身份進(jìn)行驗(yàn)證，身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時(shí)間，通過以上信息的綁定，可以達(dá)到如下的效果：216。 只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個(gè)命令就可以實(shí)現(xiàn)）。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會把它們轉(zhuǎn)發(fā)到已注冊的端口。 對DOS攻擊，掃描攻擊的屏蔽 通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡(luò)帶寬，避免了網(wǎng)絡(luò)設(shè)備、服務(wù)器遭受到此類攻擊時(shí)導(dǎo)致的網(wǎng)絡(luò)中斷。對于網(wǎng)絡(luò)中的異常故障，比如某臺交換機(jī)的CPU利用率過高，某條鏈路上的流量負(fù)載過大，STARVIEW都可以以不同的顏色進(jìn)行顯示，方便管理員及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況。RGNOS操作系統(tǒng)的批量升級校園網(wǎng)很大的一個(gè)特點(diǎn)就是規(guī)模大，需要使用大量的接入層交換機(jī)，如果需要對這些交換機(jī)進(jìn)行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機(jī)進(jìn)行升級，加大的較少了網(wǎng)絡(luò)管理員的工作量。216。 第三：我們無法獲取網(wǎng)絡(luò)中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)故障預(yù)防和排除提供數(shù)據(jù)支撐。該功能能滿足不同消費(fèi)層次的用戶對帶寬的需求，經(jīng)濟(jì)條件好一點(diǎn)，可以多用點(diǎn)流量，提高了用戶的滿意度。216。防火墻從實(shí)現(xiàn)上可以分為軟件防火墻和硬件防火墻。硬件防火墻一種是從硬件到軟件都單獨(dú)設(shè)計(jì)，典型如Netscreen防火墻不但軟件部分單獨(dú)設(shè)計(jì)，硬件部分也采用專門的ASIC集成電路。硬件防火墻需要在硬 件和軟件兩方面同時(shí)下功夫，國外廠家的通常做法是軟件運(yùn)算硬件化，其所設(shè)計(jì)或選用的運(yùn)行平臺本身的性能可能并不高，但它將主要的運(yùn)算程序（查表運(yùn)算是防火 墻的主要工作）做成芯片，以減少主機(jī)CPU的運(yùn)算壓力。而國內(nèi)所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外。而且我們在分析各廠家產(chǎn)品時(shí)可以注意這一點(diǎn)，如果哪個(gè)廠家對系統(tǒng)本身做了什么大的改動(dòng)，它肯定會把這個(gè)視為一個(gè)重要的賣點(diǎn)，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個(gè)類似于checkpoint的功能：開放式的安全應(yīng)用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細(xì)了解）。所謂安全操作系統(tǒng)，其實(shí)大多用的還是Linux，所不同的是需要做一些內(nèi)核加固和簡單改造的工作，主要有以下： 取消危險(xiǎn)的系統(tǒng)調(diào)用，或者截獲系統(tǒng)調(diào)用，稍加改動(dòng)（如加載一些llkm）；限制命令執(zhí)行權(quán)限；取消IP轉(zhuǎn)發(fā)功能；檢查每個(gè)分組的接口；采用隨機(jī)連接序號；駐留分組過濾模塊；取消動(dòng)態(tài)路由功能；采用多個(gè)安全內(nèi)核（這個(gè)只見有人提出，但未見到實(shí)例，對此不是很清楚）。而且netfilter是一個(gè)設(shè)計(jì)很合理的框架，可以在適當(dāng)?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經(jīng)登記了許多處理函數(shù)， 如在NF_IP_FORWARD點(diǎn)上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實(shí)現(xiàn)的）。3．自我保護(hù)能力（安全性）由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標(biāo)，因此它的自我包括能力在設(shè)計(jì)過程中應(yīng)該放在首要的位置。除了專用的服務(wù)口外，防火墻不接受來自任何其它端口的直接訪問。目前國內(nèi)有采用的是使用自定義協(xié)議、一次性口令認(rèn)證。在Linux內(nèi)核中有一個(gè)防止Syn flooding攻擊的選項(xiàng)：CONFIG_SYN_COOKIES，它是通過為每一個(gè)Syn建立一個(gè)緩沖（cookie）來分辨可信請求和不可信請求。實(shí)際實(shí)現(xiàn)起來非常簡單，只要在內(nèi)核中打開rp_filter功能即可。一個(gè)需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內(nèi)網(wǎng)主機(jī) 也能防止木馬攻擊。（在管理主機(jī)與防火墻通過單獨(dú)接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個(gè)很容易解決，只要不把管理部分提供給外部接口即可。e．郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。一種是分析防火墻 功能和探測防火墻內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，典型的如Firewalk。以前的防火墻在訪問方式上主要是要求用戶登錄進(jìn)系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應(yīng)用）。傳統(tǒng)方式下，防火墻安裝時(shí)，更象是一臺路由器或者網(wǎng)關(guān)，原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)往往需要改變，網(wǎng)絡(luò)設(shè)備（包括主機(jī)和路由器）的設(shè)置 （IP和網(wǎng)關(guān)、DNS、路由表等等）也需要改變。目前透明模式的實(shí)現(xiàn)上可采用ARP代理和路由技術(shù)實(shí)現(xiàn)。顯然，此時(shí)防火墻還必須實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，使內(nèi)外網(wǎng)之間的數(shù)據(jù)包能夠透明的轉(zhuǎn)發(fā)。透明代理主要是 為實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)可以透明的訪問外網(wǎng)，而無需考慮自己是不可路由地址還是可路由地址。它們的共同點(diǎn)在于可以簡化內(nèi)網(wǎng)客戶的設(shè)置而已。一個(gè)故障頻頻、可靠性很差的 產(chǎn)品顯然不可能讓人放心，而且防火墻居于內(nèi)外網(wǎng)交界的關(guān)鍵位置，一旦防火墻出現(xiàn)問題，整個(gè)內(nèi)網(wǎng)的主機(jī)都將根本無法訪問外網(wǎng)，這甚至比路由器故障（路由器的 拓?fù)浣Y(jié)構(gòu)一般都是冗余設(shè)計(jì)）更讓人無法承受。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設(shè)備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。而國內(nèi)整個(gè)軟件行業(yè)的 可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個(gè)概念）。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價(jià)格也不盡相同。防火墻一般為10M（針對硬件防火墻而言），兩網(wǎng)絡(luò)接口，涵蓋防火墻基本功能：包過濾、透明模式、網(wǎng)絡(luò)地址轉(zhuǎn)換、狀態(tài)檢測、管理、實(shí)時(shí)報(bào)警、日志。防火墻開始升級到100M，三或更多網(wǎng)絡(luò)接口。目前國內(nèi)防火墻絕大部分集中在這個(gè)區(qū)間中。這個(gè)區(qū)間的防火墻報(bào)價(jià)一般在20萬以上。當(dāng)然其價(jià)格也很高端，從數(shù)十萬到數(shù)百萬不等。總的來說，防火墻的研發(fā)是一個(gè)大項(xiàng)目，而且其前期定位一定要準(zhǔn)確，該做什么、不該做什么，哪些功能得實(shí)現(xiàn)，哪些功能不必實(shí)現(xiàn)、哪些功能可以在后期實(shí)現(xiàn)，一定要清楚，否則費(fèi)用會遠(yuǎn)遠(yuǎn)超出預(yù)計(jì)。按每人周1200元開發(fā)費(fèi)用（折合工資5000月，但由于有運(yùn)行 費(fèi)用、保險(xiǎn)等費(fèi)用攤分，個(gè)人工資應(yīng)遠(yuǎn)低于這個(gè)數(shù)字），開發(fā)費(fèi)用約需25萬。但究竟升級些什么內(nèi)容？升級周期多長一次？這就涉及到一個(gè)靈活性的問題。這樣大部分工作留給防火墻廠家來做（相應(yīng)需要有一個(gè)漏洞監(jiān)測體系），用戶肯定會滿意很多?！　∫?、技術(shù)解決方案　　安全產(chǎn)品是網(wǎng)絡(luò)安全的基石，通過在網(wǎng)絡(luò)中安裝一定的安全設(shè)備，能夠使得網(wǎng)絡(luò)的結(jié)構(gòu)更加清晰，安全性得到顯著增強(qiáng)。WWW服務(wù)器與托管機(jī)房局域網(wǎng)之間。　　(4)通過防火墻的過濾規(guī)則，實(shí)現(xiàn)端口級控制，限制局域網(wǎng)用戶對INTERNET的訪問。　　(8)通過過濾規(guī)則，對遠(yuǎn)程更新的時(shí)間、來源(通過IP地址)進(jìn)行限制?！　?3)通過聯(lián)動(dòng)機(jī)制，向防火墻發(fā)送指令，在限定的時(shí)間內(nèi)對特定的IP地址實(shí)施封堵。　　防病毒客戶端軟件的作用：　　(4)　對本機(jī)的內(nèi)存、文件的讀寫進(jìn)行監(jiān)控，根據(jù)預(yù)定的處理方法處理帶毒文件。　　反垃圾郵件系統(tǒng)作用：　　(1)　拒絕轉(zhuǎn)發(fā)來自INTERNET的垃圾郵件?！　?dòng)態(tài)口令認(rèn)證系統(tǒng)　　安裝位置：服務(wù)器端安裝在WWW服務(wù)器(以及其他需要進(jìn)行口令加強(qiáng)的敏感服務(wù)器)，客戶端配置給網(wǎng)頁更新人員(或者服務(wù)器授權(quán)訪問用戶)?！　?2)　收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補(bǔ)丁等軟件信息?！　?6)　如果交換機(jī)等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常，及時(shí)向網(wǎng)管中心報(bào)警?！　?2)　通過端口，為重要的應(yīng)用分配足夠的帶寬資源?！　?2)　不允許任何主機(jī)(包括局域網(wǎng)主機(jī))非授權(quán)訪問重要終端資源?！　?3)　能夠?qū)?shù)據(jù)庫文件進(jìn)行比對?！　》?wù)作用：針對網(wǎng)絡(luò)的整體情況，進(jìn)行總體、框架性分析。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登記制度等。　　服務(wù)作用：通過及時(shí)、有效的補(bǔ)丁升級，能夠有效防止局域網(wǎng)主機(jī)和服務(wù)器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡(luò)蠕蟲病毒對網(wǎng)絡(luò)的整體影響，增加網(wǎng)絡(luò)帶寬的有效利用率?！》?wù)器定期掃描、加固　　服務(wù)對象：服務(wù)器　　服務(wù)周期：半年一次　　服務(wù)內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡(luò)管理人員的配合，對主要的服務(wù)器進(jìn)行掃描?！　?　、防火墻日志備份、分析　　服務(wù)對象：防火墻設(shè)備　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：導(dǎo)出防火墻日志并進(jìn)行分析。　　服務(wù)器日志備份　　服務(wù)對象：主要服務(wù)器(如WWW服務(wù)器、文件服務(wù)器等)　　服務(wù)周期：一周一次　　服務(wù)內(nèi)容：備份服務(wù)器訪問日志　　服務(wù)作用：　防止日志過大導(dǎo)致檢索、分析的難度，另一方面也有利于事后的檢查。備份設(shè)備可以在段時(shí)間內(nèi)替代網(wǎng)絡(luò)中實(shí)際使用的設(shè)備?！　》?wù)作用：提供綜合性、全面的安全報(bào)告，針對全網(wǎng)絡(luò)進(jìn)行安全性討論，為全面提高網(wǎng)絡(luò)的安全性提供技術(shù)資料?！　∪?、技術(shù)支持解決方案　　技術(shù)支持是整個(gè)安全方案的重要補(bǔ)充?！　?3)網(wǎng)絡(luò)訪問異常(如訪問速度慢)?！　∽饔茫和ㄟ^備品備件，快速恢復(fù)網(wǎng)絡(luò)硬件環(huán)境?！　∽饔茫骸⊥ㄟ^日志文件等信息，確定攻擊的來源，為進(jìn)一步采取措施提供依據(jù)?！　〖磿r(shí)查殺病毒　　支持范圍：　由不可確定的因素導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)計(jì)算機(jī)病毒?！　∫陨鲜羌夹g(shù)支持解決方案，技術(shù)支持是安全服務(wù)的重要補(bǔ)充部分，即使在完善的安全體系下，也存在不可預(yù)測的因素導(dǎo)致網(wǎng)絡(luò)故障，此時(shí)，需要及時(shí)、有效的技術(shù)支持服務(wù)，在盡可能短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。　　(2)服務(wù)方面，進(jìn)行網(wǎng)絡(luò)拓?fù)浞治觥⒔⒅行臋C(jī)房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機(jī)制、對重要服務(wù)器的訪問日志進(jìn)行備份，通過這些服務(wù)，增強(qiáng)網(wǎng)絡(luò)的抗干擾性?！　?2)服務(wù)方面，對服務(wù)器進(jìn)行定期掃描與加固、對防火墻日志進(jìn)行備份與分析、對入侵檢測設(shè)備的日志進(jìn)行備份、建立設(shè)備備份系統(tǒng)以及文件備份系統(tǒng)?！　?2)服務(wù)方面，采用白客滲透測試，要求服務(wù)商定期提供整體安全分析報(bào)告。四臺Cisco防火墻實(shí)現(xiàn)VPN網(wǎng)絡(luò)其實(shí)四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺Cisco pix做VPN中，有兩種方式，一種是采用一個(gè)中心的方式，另一種就是分散式的，前者，也就是說以一個(gè)PIX點(diǎn)為中心，其它的機(jī)器都 連到本機(jī)上，在通過本機(jī)做路由；后者，則是在每一個(gè)路由上都要寫出到另外三臺的加密方式，這里采用的就是第一種類型；　　以下，是施工圖以及四個(gè)Cisco pix的詳細(xì)配置：　　詳細(xì)配置如下：　　中心p