【正文】 ............................17第 1 頁 共 20 頁1 引言 課題背景隨著近年來網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問題也成為了 IT 業(yè)的一個熱點，安全問題對于學(xué)校的發(fā)展也越來越重要。學(xué)校的網(wǎng)絡(luò)系統(tǒng)具有一個安全健康的環(huán)境，是校園網(wǎng)絡(luò)科學(xué)化、正規(guī)化的重要條件，也在校園網(wǎng)的高效運(yùn)行中扮演了重要的角色?，F(xiàn)代校園網(wǎng)系統(tǒng)是一種基于開發(fā)式的網(wǎng)絡(luò)環(huán)境，能夠保證數(shù)據(jù)輸入、輸出的準(zhǔn)確性快捷并且方便使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。安全問題已經(jīng)成為影響校園網(wǎng)平臺的穩(wěn)定性和正常提供網(wǎng)絡(luò)服務(wù)的一個嚴(yán)重問題，所以提升校園網(wǎng)絡(luò)自身的安全性也成為學(xué)校增強(qiáng)競爭力的重要方面之一。局域網(wǎng)是互聯(lián)網(wǎng)的一種主要的存在方式和組成部分，局域網(wǎng)的安全問題在某種意義上反映了幾乎所有的安全問題。目前，學(xué)校的校園網(wǎng)絡(luò)已經(jīng)初具規(guī)模：以光纖連接校內(nèi)主要建筑，所有建筑內(nèi)全部布線，校園網(wǎng)覆蓋整個校園，同時校園網(wǎng)向上通過光纖聯(lián)入中國教育科研網(wǎng)，并與 Inter 互聯(lián)。 防火墻攻擊，防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅固，但這只是對外的防護(hù)而已，他對于內(nèi)部的防護(hù)則幾乎不起什么作用。因此，怎樣防止有問題的信件進(jìn)入校園網(wǎng)的 Email 系統(tǒng)也是一個待解決的問題。病毒從網(wǎng)絡(luò)之間傳遞，并在計算機(jī)沒有任何防護(hù)措施的情況下運(yùn)行，從而導(dǎo)致系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓，對網(wǎng)絡(luò)服務(wù)構(gòu)成嚴(yán)重威脅，造成巨大損失。郵件系統(tǒng)保護(hù)不完善，電子郵件是學(xué)校老師和學(xué)生最常用到的功能，與此同時它也是病毒傳播的重要途徑。目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。這樣一來信息辦老師無法從整體上對全網(wǎng)的計算機(jī)進(jìn)行殺毒管理和監(jiān)控。 同時大部分機(jī)器都未能及時安裝系統(tǒng)補(bǔ)丁，容易被蠕蟲入侵，但是目前又沒有一個很好的辦法來管理所有系統(tǒng)的補(bǔ)丁。整個網(wǎng)絡(luò)應(yīng)結(jié)構(gòu)合理，層次劃分清楚且具有相對獨立性，便于管理和維護(hù)；網(wǎng)絡(luò)系統(tǒng)的保密性和強(qiáng)有力的防病毒性。 ：它提供了控制到關(guān)鍵網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)和服務(wù)的接入的方法，以便只有合法用戶和信息可通過網(wǎng)絡(luò)。有時，使用隧道技術(shù)，如 GRE 或 L2TP 來進(jìn)行數(shù)據(jù)分離，可提供有效的數(shù)據(jù)私密性。網(wǎng)絡(luò)易損點搜索器可主動發(fā)現(xiàn)弱點領(lǐng)域，IDS 可在發(fā)生安全事件時對其監(jiān)控和響應(yīng)。帶可分析截獲、配置和監(jiān)控安全策略狀態(tài)的基于瀏覽器的用戶界面的工具，提高了網(wǎng)絡(luò)安全解決方案的可用性和有效性。將 WWW 、 MAIL 、 FTP 、 DNS 等服務(wù)器連接在防火墻的 DMZ 區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與 Inter 連接。 防火墻配置 1. 將防火墻的 Console 端口用一條防火墻自帶的串行電纜連接到電腦的一個空余串口上。4. 當(dāng) PIX 防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall”的提示符，這就證明防火墻已啟動成功，所進(jìn)入的是防火墻用戶模式。 (1)防火墻上的基本配置代碼如下：pixfirewall conf tpixfirewall(config) hostname pixpix(config) int e0pix(configif) nameif insidepix(configif) ip add pix(configif) no shutpix(configif) exitpix(config) int e1pix(configif) nameif outsidepix(configif) ip add 第 8 頁 共 20 頁pix(configif) no shutpix(configif) exitpix(config) static (inside,outside) mask pix(config) accesslist 100 permit icmp any anypix(config) accessgroup 100 in interface outside(2)動態(tài) NAT 配置，使內(nèi)部地址通過全局地址訪問 Interpix(config) int F0/0pix (configif) ip nat insidepix (configif)ip address pix (configif) no shutpix (configif) exitpix (config) int F1/0pix (configif)ip address pix (configif)ip nat outsidepix (configif) no shutpix (configif) exitpix (config) ip nat pool natpool mask pix (config) ip nat inside source list 1 pool natpoolpix (config)accesslist 1 permit 第 9 頁 共 20 頁 建立入侵檢測系統(tǒng) 防火墻作為安全保障體系的第一道防線，防御黑客攻擊。 IDS 彌補(bǔ)了防火墻的某些設(shè)計和功能缺陷，側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計，適合對網(wǎng)絡(luò)安全狀態(tài)的了解，但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，IDS 也面臨著新的挑戰(zhàn)：IDS 旁路在網(wǎng)絡(luò)上，當(dāng)它檢測出黑客入侵攻擊時，攻擊已到達(dá)目標(biāo)造成損失。第 10 頁 共 20 頁 建立漏洞管理系統(tǒng)解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。部署漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問題。通過漏洞管理產(chǎn)品將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類，自動周期升級并對網(wǎng)絡(luò)資產(chǎn)進(jìn)行評估，最后自動將風(fēng)險評估結(jié)果自動發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。 建立網(wǎng)絡(luò)防病毒系統(tǒng) 在高校校園網(wǎng)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，進(jìn)行全網(wǎng)病毒防護(hù)。 IP 盜用問題的解決在路由器上捆綁 IP 和 MAC 地址?？梢栽O(shè)置讓控制中心每日自動升級。具有分組功能，網(wǎng)絡(luò)管理員能夠在控制臺自己所管理的機(jī)器進(jìn)行合理的分組，可以對第 13 頁 共 20 頁分組統(tǒng)一的配置、查殺等，而且也解決了在沒有分組功能前，機(jī)器過多導(dǎo)致管理困難的問題，網(wǎng)絡(luò)管理員會更加方便，而且會大大提高管理效率。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。 建立良好的管理體系 都說三分技術(shù)七分管理，為了網(wǎng)絡(luò)中客戶端安裝和殺毒確保有效完成，客戶端未經(jīng)授權(quán)不能任意停止全網(wǎng)統(tǒng)一的殺毒行動，客戶端未經(jīng)授權(quán)不能任意卸載，建立良好的管理制度是保證系統(tǒng)正常運(yùn)行的必要條件。第 14 頁 共 20 頁 部署 Web,Email,BBS 的安全監(jiān)測系統(tǒng) 高校網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來應(yīng)對 WEB 攻擊，保證網(wǎng)站安全，維護(hù)高校聲譽(yù)；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務(wù)。設(shè)計之初，它就無需理解 Web 應(yīng)用程序語言如 HTML 及 XML，也無需理解 HTTP 會話。對網(wǎng)頁篡改、網(wǎng)頁掛馬這類緊迫問題，更是無能為力。 在校園網(wǎng)的 服務(wù)器、Email 服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲 Int