【正文】 的特征： u 保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。辦公自動化硬件平臺是為實際使用而建立，應避免過度追求超前技術而浪費投資。 均衡性原則：安全措施的實施必須以根據安全級別和經費限度統(tǒng)一考慮。校園網網絡安全系統(tǒng)是一個要求高可靠性和安全性的網絡系統(tǒng)，若干重要的公文信息在網絡傳輸過程中不可泄露，如果數(shù)據被黑客修改或者刪除，那么就會嚴重的影響工作。 2：校園網網絡安全需求采用三層核心交換機為這些網段提供VLAN劃分，該交換機級連多個工作組級的交換機用于桌面工作站接入。 3 2：校園網網絡安全需求 3第2章 設計原則 4 實用性與經濟性 4 擴展性與兼容性 4 安全性與可維護性 5 整合型好 6第3章 需求分析 6第4章 項目網絡安全解決 6 網絡架構圖 6 網絡病毒的防范 7 防止IP、MAC地址的盜用 8 安全事故發(fā)生時候，需要準確定位到用戶 9 用戶上網時間的控制 9 用戶網絡權限的控制 10 各種網絡攻擊的有效屏蔽 10 對DOS攻擊，掃描攻擊的屏蔽 14 網絡設備管理 14第1章 項目概述 校園網網絡環(huán)境同時三層核心交換機提供連接到教育網的WAN（10/100M）鏈路，作為校園網的外網出口。所以校園網網絡安全系統(tǒng)安全產品的選型事關重大，一旦被遭受黑客攻擊病毒的侵襲，將會給該學校正常的教學及業(yè)務帶來嚴重的影響。 全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。網絡中相同安全級別的保密強度要一致。 擴展性與兼容性系統(tǒng)設計除了可以適應目前的應用需要以外，應充分考慮日后的應用發(fā)展需要，隨著數(shù)據量的擴大，用戶數(shù)的增加以及應用范圍的拓展，只要相應的調整硬件設備即可滿足需求。 u 完整性：數(shù)據未經授權不能進行改變的特性。例如網絡環(huán)境下拒絕服務、破壞網絡和有關系統(tǒng)的正常運行等都屬于對可用性的攻擊； u 可控性：對信息的傳播及內容具有控制能力。 整合型好當前采用企業(yè)級的域控制管理模式，方便對所有學校內所有終端用戶的管理，同時又可以將學校里計算機的納入管理范圍，極大地降低了網絡維護量，并能整體提高當前網絡安全管理！第3章 需求分析216。 安全事故發(fā)生時候，不能準確定位到用戶的影響216。 身份認證 216。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方沖突，如果與網關地址沖突，同一網段內的所有用戶都不能使用網絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網數(shù)據包都落入惡意用戶的手中，造成ARP欺騙攻擊。 國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構（包括高校）必須要保存60天的用戶上網記錄，以待相關部門審計。 用戶上網時間的控制 無法控制學生上網時間的影響：如果缺乏有效的機制來限制用戶的上網時間，學生可能會利用一切機會上網，會曠課。辦公網絡的用戶因該不能訪問財務網絡。全局安全的設計思想銳捷網絡提倡的是從全局的角度來把控網絡安全，安全不是某一個設備的事情，應該讓網絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網絡，最終從全局的角度把控網絡安全。事前的身份認證對于每一個需要訪問網絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網絡的時間，通過以上信息的綁定，可以達到如下的效果：216。 只有經過網絡中心授權的用戶才能夠訪問校園網，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。防止假冒IP、MAC發(fā)起的MAC Flood\SYN Flood攻擊通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發(fā)到已注冊的端口。 對DOS攻擊，掃描攻擊的屏蔽 通過在校園網中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網絡帶寬，避免了網絡設備、服務器遭受到此類攻擊時導致的網絡中斷。對于網絡中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網絡中的異常情況。RGNOS操作系統(tǒng)的批量升級校園網很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網絡管理員的工作量。216。 第三：我們無法獲取網絡中的流量信息，無法為校園網的優(yōu)化，網絡管理，網絡故障預防和排除提供數(shù)據支撐。該功能能滿足不同消費層次的用戶對帶寬的需求，經濟條件好一點，可以多用點流量，提高了用戶的滿意度。216。防火墻從實現(xiàn)上可以分為軟件防火墻和硬件防火墻。硬件防火墻一種是從硬件到軟件都單獨設計，典型如Netscreen防火墻不但軟件部分單獨設計，硬件部分也采用專門的ASIC集成電路。硬件防火墻需要在硬 件和軟件兩方面同時下功夫，國外廠家的通常做法是軟件運算硬件化，其所設計或選用的運行平臺本身的性能可能并不高，但它將主要的運算程序（查表運算是防火 墻的主要工作）做成芯片，以減少主機CPU的運算壓力。而國內所有廠家操作系統(tǒng)系統(tǒng)都是基于通用的 Linux，無一例外。而且我們在分析各廠家產品時可以注意這一點，如果哪個廠家對系統(tǒng)本身做了什么大的改動，它肯定會把這個視為一個重要的賣點，大吹特吹，遺憾 的是似乎還沒有什么廠家有能力去做宣傳（天融信似乎有一個類似于checkpoint的功能：開放式的安全應用接口 TOPSEC，但它究竟做了多少工作，還需要去仔細了解）。所謂安全操作系統(tǒng)，其實大多用的還是Linux，所不同的是需要做一些內核加固和簡單改造的工作，主要有以下： 取消危險的系統(tǒng)調用，或者截獲系統(tǒng)調用，稍加改動（如加載一些llkm）；限制命令執(zhí)行權限；取消IP轉發(fā)功能；檢查每個分組的接口；采用隨機連接序號；駐留分組過濾模塊；取消動態(tài)路由功能；采用多個安全內核（這個只見有人提出，但未見到實例，對此不是很清楚）。而且netfilter是一個設計很合理的框架，可以在適當?shù)奈恢蒙系怯浺恍┬枰奶幚砗瘮?shù)，正式代碼中已經登記了許多處理函數(shù)， 如在NF_IP_FORWARD點上登記了裝發(fā)的包過濾功能（包過濾等功能便是由這些正式登記的函數(shù)實現(xiàn)的）。3．自我保護能力（安全性）由于防火墻的特殊功能和特殊位置，它自然是眾多攻擊者的目標，因此它的自我包括能力在設計過程中應該放在首要的位置。除了專用的服務口外，防火墻不接受來自任何其它端口的直接訪問。目前國內有采用的是使用自定義協(xié)議、一次性口令認證。在Linux內核中有一個防止Syn flooding攻擊的選項：CONFIG_SYN_COOKIES，它是通過為每一個Syn建立一個緩沖（cookie）來分辨可信請求和不可信請求。實際實現(xiàn)起來非常簡單，只要在內核中打開rp_filter功能即可。一個需要說明的地方是必須指出的是，防火墻能抗特洛伊木馬的攻擊并不意味著內網主機 也能防止木馬攻擊。（在管理主機與防火墻通過單獨接口通信的情況下，口令字攻擊是不存在的）來自外部的攻擊即用窮舉的辦法猜測防火墻管理的口令字，這個很容易解決，只要不把管理部分提供給外部接口即可。e．郵件詐騙郵件詐騙是目前越來越突出的攻擊方式。一種是分析防火墻 功能和探測防火墻內部網絡結構，典型的如Firewalk。以前的防火墻在訪問方式上主要是要求用戶登錄進系統(tǒng)（如果采用 sock代理的方式則需要修改客戶應用）。傳統(tǒng)方式下，防火墻安裝時，更象是一臺路由器或者網關，原有網絡拓撲結構往往需要改變，網絡設備（包括主機和路由器）的設置 （IP和網關、DNS、路由表等等）也需要改變。目前透明模式的實現(xiàn)上可采用ARP代理和路由技術實現(xiàn)。顯然，此時防火墻還必須實現(xiàn)路由轉發(fā)，使內外網之間的數(shù)據包能夠透明的轉發(fā)。透明代理主要是 為實現(xiàn)內網主機可以透明的訪問外網，而無需考慮自己是不可路由地址還是可路由地址。它們的共同點在于可以簡化內網客戶的設置而已。一個故障頻頻、可靠性很差的 產品顯然不可能讓人放心，而且防火墻居于內外網交界的關鍵位置，一旦防火墻出現(xiàn)問題，整個內網的主機都將根本無法訪問外網，這甚至比路由器故障（路由器的 拓撲結構一般都是冗余設計）更讓人無法承受。工業(yè)PC雖然可靠性比普通PC要高不少，但是畢竟其仍然是拼湊式的，設備各部分分立，從可靠性的角度看顯然不如集成的（著名的水桶原理）。而國內整個軟件行業(yè)的 可靠性體系還沒有成熟，軟件可靠性測試大多處于極其初級的水平（可靠性測試和bug測試完全是兩個概念）。由于用戶數(shù)量不同，用戶安全要求不同，功能要求不同，因此防火墻的價格也不盡相同。防火墻一般為10M（針對硬件防火墻而言），兩網絡接口，涵蓋防火墻基本功能：包過濾、透明模式、網絡地址轉換、狀態(tài)檢測、管理、實時報警、日志。防火墻開始升級到100M，三或更多網絡接口。目前國內防火墻絕大部分集中在這個區(qū)間中。這個區(qū)間的防火墻報價一般在20萬以上。當然其價格也很高端，從數(shù)十萬到數(shù)百萬不等?？偟膩碚f，防火墻的研發(fā)是一個大項目，而且其前期定位一定要準確，該做什么、不該做什么，哪些功能得實現(xiàn)，哪些功能不必實現(xiàn)、哪些功能可以在后期實現(xiàn)，一定要清楚，否則費用會遠遠超出預計。按每人周1200元開發(fā)費用（折合工資5000月，但由于有運行 費用、保險等費用攤分，個人工資應遠低于這個數(shù)字），開發(fā)費用約需25萬。但究竟升級些什么內容？升級周期多長一次？這就涉及到一個靈活性的問題。這樣大部分工作留給防火墻廠家來做（相應需要有一個漏洞監(jiān)測體系），用戶肯定會滿意很多?！　∫?、技術解決方案　　安全產品是網絡安全的基石，通過在網絡中安裝一定的安全設備，能夠使得網絡的結構更加清晰，安全性得到顯著增強。WWW服務器與托管機房局域網之間?！　?4)通過防火墻的過濾規(guī)則，實現(xiàn)端口級控制，限制局域網用戶對INTERNET的訪問?！　?8)通過過濾規(guī)則，對遠程更新的時間、來源(通過IP地址)進行限制。　　(3)通過聯(lián)動機制，向防火墻發(fā)送指令，在限定的時間內對特定的IP地址實施封堵。　　防病毒客戶端軟件的作用：　　(4)　對本機的內存、文件的讀寫進行監(jiān)控，根據預定的處理方法處理帶毒文件?！　》蠢]件系統(tǒng)作用：　　(1)　拒絕轉發(fā)來自INTERNET的垃圾郵件。　　動態(tài)口令認證系統(tǒng)　　安裝位置：服務器端安裝在WWW服務器(以及其他需要進行口令加強的敏感服務器)，客戶端配置給網頁更新人員(或者服務器授權訪問用戶)?！　?2)　收集局域網中所有終端和服務器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息?！　?6)　如果交換機等核心網絡設備出現(xiàn)異常，及時向網管中心報警?！　?2)　通過端口，為重要的應用分配足夠的帶寬資源。　　(2)　不允許任何主機(包括局域網主機)非授權訪問重要終端資源。　　(3)　能夠對數(shù)據庫文件進行比對?！　》兆饔茫横槍W絡的整體情況，進行總體、框架性分析。制度內容涉及人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度等?！　》兆饔茫和ㄟ^及時、有效的補丁升級，能夠有效防止局域網主機和服務器相互之間的攻擊，降低現(xiàn)代網絡蠕蟲病毒對網絡的整體影響，增加網絡帶寬的有效利用率?！》掌鞫ㄆ趻呙?、加固　　服務對象：服務器　　服務周期：半年一次　　服務內容：使用專用的掃描工具，在用戶網絡管理人員的配合，對主要的服務器進行掃描?！　?　、防火墻日志備份、分析　　服務對象：防火墻設備　　服務周期：一周一次　　服務內容：導出防火墻日志并進行分析?！　》掌魅罩緜浞荨　》諏ο螅褐饕掌?如WWW服務器、文件服務器等)　　服務周期：一周一次　　服務內容：備份服務器訪問日志　　服務作用：　防止日志過大導致檢索、分析的難度，另一方面也有利于事后的檢查。備份設備可以在段時間內替代網絡中實際使用的設備?！　》兆饔茫禾峁┚C合性、全面的安全報告，針對全網絡進行安全性討論，為全面提高網絡的安全性提供技術資料?！　∪⒓夹g支持解決方案　　技術支持是整個安全方案的重要補充?！　?3)網絡訪問異常(如訪問速度慢)?！　∽饔茫和ㄟ^備品備件，快速恢復網絡硬件環(huán)境。　　作用：　通過日志文件等信息，確定攻擊的來源，為進一步采取措施提供依據?！　〖磿r查殺病毒　　支持范圍：　由不可確定的因素導致網絡中出現(xiàn)計算機病毒。　　以上是技術支持解決方案，技術支持是安全服務的重要補充部分，即使在完善的安全體系下，也存在不可預測的因素導致網絡故障，此時，需要及時、有效的技術支持服務，在盡可能短的時間內恢復網絡的正常運行?！　?2)服務方面，進行網絡拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份，通過這些服務，增強網絡的抗干擾性?！　?2)服務方面，對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統(tǒng)以及文件備份系統(tǒng)?！　?2)服務方面，采用白客滲透測試，要求服務商定期提供整體安全分析報告。四臺Cisco防火墻實現(xiàn)VPN網絡其實四臺Cisco防火墻的VPN同兩臺防火墻做VPN沒什么大的區(qū)別，只是一定要注意路由的配置；在四臺Cisco pix做VPN中，有兩種方式，一種是采用一個中心的方式，另一種就是分散式的，前者，也就是說以一個PIX點為中心，其它的機器都 連到本機上，在通過本機做路由；后者，則是在每一個路由上都要寫出到另外三臺的加密方式，這里采用的就是第一種類型；　　以下，是施工圖以及四個Cisco pix的詳細配置：　　詳細配置如下：　　中心p