【正文】 能是無(wú)法彌補(bǔ)的。216。216。 加密機(jī)制加密是提供數(shù)據(jù)保密性的基本方法，用加密方法和認(rèn)證機(jī)制相結(jié)合，可提供數(shù)據(jù)的保密性和完整性。主要包括：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作，合法用戶以未授權(quán)方式進(jìn)行操作等。被動(dòng)攻擊是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要的機(jī)密信息。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，如有意的或無(wú)意的、人為的或非人為的等，外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用更是影響計(jì)算機(jī)網(wǎng)絡(luò)安全的重要因素。 可控性可控性是對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性，即網(wǎng)絡(luò)系統(tǒng)中的任何信息要在一定傳輸范圍和存放空間內(nèi)可控。網(wǎng)絡(luò)信息系統(tǒng)最基本的功能是向用戶提供服務(wù)，而用戶的需求是隨機(jī)的、多方面的、有時(shí)還有時(shí)間的需求。 可靠性可靠性是網(wǎng)絡(luò)信息系統(tǒng)能夠在規(guī)定條件下、規(guī)定時(shí)間內(nèi)完成規(guī)定功能的特性。在利益的驅(qū)動(dòng)下，入侵與反入侵、攻擊與反攻擊技術(shù)都得到了長(zhǎng)足的發(fā)展，攻擊技術(shù)和攻擊方式也變得越來(lái)越復(fù)雜，越來(lái)越隱蔽。他們主要通過(guò)撥號(hào)式掃描方式尋找應(yīng)答MODEM，從而獲得未授權(quán)訪問(wèn)的機(jī)會(huì)。因此在校園網(wǎng)的建設(shè)工作中必須處理好實(shí)用與發(fā)展、建設(shè)與管理、使用與培訓(xùn)等關(guān)系，從而使校園網(wǎng)的建設(shè)工作健康穩(wěn)定地開(kāi)展。因?yàn)榫W(wǎng)絡(luò)安全事故可能隨時(shí)發(fā)生，并且其災(zāi)難后果也難以預(yù)測(cè)，就像我們生活中的交通事故一樣。網(wǎng)絡(luò)安全保護(hù)的最終目的是預(yù)防各種各樣的非法入侵、網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)攻擊。要突破這樣的簡(jiǎn)單系統(tǒng)，只需要獲得對(duì)終端或串行終端口的物理訪問(wèn)權(quán)限即可。但第一代防火墻技術(shù)只是基于兩臺(tái)過(guò)濾型路由器之間的堡壘主機(jī)在TCP/IP的網(wǎng)絡(luò)連接級(jí)提供保護(hù)。凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。216。完整性是一種面向信息安全的安全性，要求保持信息的原樣，即信息正確的生成、存儲(chǔ)和傳輸。網(wǎng)絡(luò)安全保護(hù)的最終目的是預(yù)防各種各樣的非法入侵者、網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)攻擊。 人為的惡意攻擊這是計(jì)算算計(jì)網(wǎng)絡(luò)所面臨的最大威脅，敵人的攻擊和計(jì)算機(jī)犯罪就屬于這一類。另外，軟件的隱秘通道都是軟件公司的設(shè)計(jì)編程人員為了自己方便而設(shè)置的，一般不為外人所知，但一旦隱秘通道被探知后果將不堪設(shè)想，這樣的軟件不能保證網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)信息安全機(jī)制定義了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全服務(wù)的技術(shù)措施，包括所使用的可能方法，主要是利用密碼算法對(duì)重要而敏感的數(shù)據(jù)進(jìn)行處理。216。216。216。因?yàn)闊o(wú)論是什么安全隱患導(dǎo)致的災(zāi)難，其結(jié)果可能都一樣，要么信息泄露，數(shù)據(jù)丟失、破壞，要么是服務(wù)器或者網(wǎng)絡(luò)癱瘓，無(wú)法正常工作。所有信息安全系統(tǒng)應(yīng)該包括3種機(jī)制：安全保護(hù)機(jī)制、安全監(jiān)測(cè)機(jī)制、安全恢復(fù)機(jī)制。216。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息保密程度的分級(jí)，對(duì)用戶操作權(quán)限的分級(jí)，對(duì)網(wǎng)絡(luò)安全程度的分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層）。 易操作性原則首先，安全措施是要人去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。 統(tǒng)籌規(guī)劃，分步實(shí)施原則由于政策規(guī)定、服務(wù)需求的不明郎，以及隨著環(huán)境、條件、時(shí)間的變化，黑客所采用的攻擊也在不短更新，我們的安全保護(hù)策略不可能一步到位。它們分布在整個(gè)校園內(nèi), 管理起來(lái)非常困難。對(duì)于這種攻擊行為，即使采用了VPN等保護(hù)措施也難以避免。在無(wú)線網(wǎng)絡(luò)中，移動(dòng)站與網(wǎng)絡(luò)控制中心及其它移動(dòng)站之間不存在任何固定的物理鏈接，移動(dòng)站必須通過(guò)無(wú)線信道傳輸其身份信息，身份信息在無(wú)線信道中傳輸時(shí)可能被竊聽(tīng)，當(dāng)攻擊者截獲一合法用戶的身份信息時(shí)，可利用該用戶的身份侵入網(wǎng)絡(luò)，這就是所謂的身份假冒攻擊。特別是中小學(xué)生,由于年齡小, 分辨是非和抵御干擾能力較差, 如果不采取切實(shí)可行安全措施, 勢(shì)必會(huì)導(dǎo)致這些信息在校園內(nèi)傳播,侵蝕學(xué)生的心靈。根據(jù)校園內(nèi)外網(wǎng)的安全隱患分析，整體安全設(shè)計(jì)按照OSI/RM參考模型在各層對(duì)校園網(wǎng)進(jìn)行安全防護(hù)措施。物理層是網(wǎng)絡(luò)構(gòu)建的基礎(chǔ)，在許多行業(yè)或者許多具體應(yīng)用中，網(wǎng)絡(luò)物理層的安全保護(hù)也是非常必要的，特別是在WLAN網(wǎng)絡(luò)中。這時(shí)我們就可以通過(guò)簡(jiǎn)單的設(shè)備或線路冗余來(lái)實(shí)現(xiàn)來(lái)基于物理層的網(wǎng)絡(luò)安全保護(hù)，通俗點(diǎn)說(shuō)就是提供備用的設(shè)備和線路。網(wǎng)卡一般都是冗余在一些應(yīng)用服務(wù)器上，把服務(wù)器的地址同時(shí)綁定在兩塊網(wǎng)卡上，其中只啟動(dòng)一塊進(jìn)行工作，另一塊處于待命狀態(tài)，當(dāng)原來(lái)工作的網(wǎng)卡出現(xiàn)故障時(shí)，待命的網(wǎng)卡立即接替原來(lái)的網(wǎng)卡工作，保持服務(wù)器的網(wǎng)絡(luò)連接不中斷，外部用戶訪問(wèn)也就不會(huì)中斷。 2）內(nèi)存鏡像—Mirroring 內(nèi)存鏡像是將內(nèi)存數(shù)據(jù)做兩個(gè)拷貝，分別放在主內(nèi)存和鏡像內(nèi)存中。 磁盤(pán)冗余磁盤(pán)方面的冗余就是磁盤(pán)冗余陣列——RAID（Redundant Array of Inexpensive Disk）。如在核心層和骨干層，甚至在匯聚層的服務(wù)器、交換機(jī)和路由器上，采取雙線路，甚至多線路連接。除了以上所說(shuō)的線路和設(shè)備冗余之外，還要制定嚴(yán)格的機(jī)房管理制度，以確保機(jī)房設(shè)備和線路不遭受破壞，如關(guān)掉設(shè)備電源，拔掉設(shè)備跳線或用戶網(wǎng)線等。采取復(fù)雜性要求限制，防止用戶設(shè)置過(guò)于簡(jiǎn)單的賬戶密碼。在網(wǎng)絡(luò)安全系統(tǒng)中的數(shù)據(jù)安全管理方面，我們可以通過(guò)設(shè)計(jì)數(shù)據(jù)容災(zāi)方案來(lái)確保數(shù)據(jù)安全。一般在生產(chǎn)本地的備份目的主要有兩個(gè)：一是生產(chǎn)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)由于系統(tǒng)或人為誤操作造成損壞或丟失后，可及時(shí)在生產(chǎn)本地實(shí)現(xiàn)數(shù)據(jù)的恢復(fù)；另一個(gè)目的是在發(fā)生地域性災(zāi)難（地震、火災(zāi)、機(jī)器毀壞等）時(shí)，可及時(shí)在本地或異地實(shí)現(xiàn)數(shù)據(jù)及整個(gè)系統(tǒng)的災(zāi)難恢復(fù)。當(dāng)然，如果你的數(shù)據(jù)庫(kù)系統(tǒng)是基于文件系統(tǒng)的，當(dāng)然可以用備份文件的方法備份數(shù)據(jù)庫(kù)。它利用硬盤(pán)、可擦寫(xiě)磁光盤(pán)、磁帶進(jìn)行三層式存儲(chǔ)管理。自動(dòng)復(fù)制每日完成后的數(shù)據(jù)，以存放異地作災(zāi)難恢復(fù)。 個(gè)別文件恢復(fù)由于操作人員的水平不高，個(gè)別文件恢復(fù)可能要比全盤(pán)恢復(fù)常見(jiàn)得多，利用網(wǎng)絡(luò)備份系統(tǒng)的恢復(fù)功能，我們很容易恢復(fù)受損的個(gè)別文件。數(shù)據(jù)鏈路層的主要特征就是形成MAC地址，并對(duì)物理上的比特流進(jìn)行編碼、成幀、拆幀，以及鏈路控制，為鏈路層提供可靠的數(shù)據(jù)傳輸。鏈路加密過(guò)程中，所有新消息在從源節(jié)點(diǎn)流出后，被傳輸之前需要加密設(shè)備（加密機(jī)或者集成在網(wǎng)卡的安全模塊）使用下一個(gè)鏈路的密鑰對(duì)數(shù)據(jù)進(jìn)行加密，在下一個(gè)中間節(jié)點(diǎn)接收消息前再由加密設(shè)備用本鏈路的密鑰進(jìn)行解密。結(jié)點(diǎn)加密不允許消息在網(wǎng)絡(luò)結(jié)點(diǎn)以明文的形式存在。但是在我們平常的網(wǎng)絡(luò)通信主操作中，都不是以MAC地址來(lái)制定目標(biāo)結(jié)點(diǎn)的，而是以IP地址或者NetBIOS 名稱來(lái)指定的。Switchconf t: 進(jìn)入全局配置模式Switch(config)int interfaceid:進(jìn)入相應(yīng)的端口配置模式Switch(configif)switchport mode access:設(shè)置以上端口為訪問(wèn)模式Switch(configif) switchport portsecurity：在端口上啟用端口安全特性Switch(configif) switchport portsecurity macaddress mac（mac地址）把MAC地址綁定在interfaceid端口上。創(chuàng)建VLAN有兩種方法。當(dāng)然網(wǎng)路邊界防火墻不全只是工作在OSI/RM網(wǎng)絡(luò)層的，還有可以工作在傳輸層，甚至應(yīng)用層的，如基于應(yīng)用網(wǎng)關(guān)的防火墻。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問(wèn)是不安全的，不能被接受的，防火墻將屏蔽外部的連接請(qǐng)求。 網(wǎng)絡(luò)中的三個(gè)安全區(qū)域?？梢酝ㄟ^(guò)在默認(rèn)情況下將某些數(shù)據(jù)標(biāo)識(shí)為非法的來(lái)完成某些阻擋。DMZ通常是一個(gè)過(guò)濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。而局域網(wǎng)內(nèi)部，對(duì)于Internet的訪問(wèn)由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。Ciscoasa(config)nat (inside) 2 將此地址激活NATCiscoasa(config)global 2 .*.* .*.*PAT：指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換。 接口方向的調(diào)用標(biāo)準(zhǔn)訪問(wèn)控制列表 語(yǔ)法 綜合成本較低一方面WLAN網(wǎng)絡(luò)減少了布線的費(fèi)用，另一方面在需要頻繁移動(dòng)和變化的動(dòng)態(tài)環(huán)境中，無(wú)線局域網(wǎng)技術(shù)可以更好地保護(hù)已有投資。如表中所示的中級(jí)安全方案使用支持IEEE ，并通過(guò)后臺(tái)的Radius服務(wù)器進(jìn)行用戶身份驗(yàn)證，有效地阻止未經(jīng)授權(quán)的用戶接入，并可對(duì)用戶權(quán)限進(jìn)行區(qū)分。第一步：首先我們根據(jù)路由器的說(shuō)明書(shū)：進(jìn)入無(wú)線路由的web頁(yè)面。Fig Limit the speed of connection MAC地址過(guò)濾配置Fig MAC address filtering configuration第四步：AP隱藏，我們可以對(duì)路由的禁用廣播地址，然后再端口上就找不到該路由器的SSID，想接入網(wǎng)就要自己輸入該路由器正確的SSID和密碼才能夠進(jìn)行上網(wǎng)。最后，它可查詢身份驗(yàn)證和授權(quán)服務(wù)，然后做出授權(quán)決定。其一是 ISA網(wǎng)絡(luò)訪問(wèn)策略。表73遠(yuǎn)程訪問(wèn)策略配置文件選。 ISA網(wǎng)絡(luò)訪問(wèn)策略是網(wǎng)絡(luò)訪問(wèn)管理解決方案的核心，代表WLAN安全策略的設(shè)置自動(dòng)部署在沒(méi)個(gè)基于ISA的Radius服務(wù)器中，該策略主要包括遠(yuǎn)程訪問(wèn)策略和連接請(qǐng)求策略。 身份驗(yàn)證服務(wù)（AS）該組件存儲(chǔ)和驗(yàn)證有效用戶的憑據(jù)，并根據(jù)訪問(wèn)策略做出授權(quán)決定。 X identity solutions network access process該WLAN中四大基本組件分別為216。默認(rèn)賬戶和密碼是admin。表71安全劃分及技術(shù)方法選擇 Safety division and technical methods selection典型場(chǎng)合使用技術(shù)辦公室局部無(wú)線網(wǎng)WPA2PSK＋AP隱藏學(xué)校園區(qū)無(wú)線網(wǎng)＋Radius認(rèn)證為了進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全性和保證不同廠家之間無(wú)線安全技術(shù)的兼容， ，并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 。 擴(kuò)展能力強(qiáng)WLAN網(wǎng)橋系統(tǒng)支持多種拓?fù)浣Y(jié)構(gòu)及平滑擴(kuò)容，可以十分容易地從小容量傳輸系統(tǒng)平滑擴(kuò)展為中等容量傳輸系統(tǒng)；無(wú)線局域網(wǎng)絡(luò)主要服務(wù)于學(xué)校的學(xué)生與教師，也是規(guī)模的公眾型網(wǎng)絡(luò)，同時(shí)由于學(xué)生出于技術(shù)的研究興趣，會(huì)對(duì)網(wǎng)絡(luò)發(fā)起各種各樣的攻擊行為，此時(shí)網(wǎng)絡(luò)安全問(wèn)題在組網(wǎng)時(shí)必須考慮問(wèn)題，安全方式主要側(cè)重幾個(gè)方面：用戶安全、網(wǎng)絡(luò)安全，而在校園網(wǎng)絡(luò)中主要依附于用戶實(shí)體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號(hào)、密碼，而對(duì)于學(xué)校學(xué)生用戶來(lái)，帳號(hào)信息都是一個(gè)實(shí)名原則，與學(xué)生的學(xué)藉進(jìn)行關(guān)聯(lián)的，這樣本無(wú)線網(wǎng)絡(luò)中著重考慮使用無(wú)線網(wǎng)絡(luò)的空口信息的安全機(jī)制，同時(shí)也要考慮與無(wú)線相關(guān)的有線網(wǎng)絡(luò)的安全問(wèn)題，對(duì)于原有有線網(wǎng)絡(luò)的安全問(wèn)題，我們已經(jīng)在以上詳細(xì)配置好。隨著其技術(shù)的快速發(fā)展和不斷成熟，目前在國(guó)內(nèi)外具有較多的中大規(guī)模應(yīng)用，諸如荷蘭的阿姆斯特丹市的全城覆蓋，向客戶提供各種業(yè)務(wù)。同時(shí)，又可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自己internet的攻擊。攻擊難度大大加強(qiáng)，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng)。 防火墻設(shè)計(jì)圖 Firewall designDMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認(rèn)為是非常安全的。TCP/IP協(xié)議是許多年前設(shè)計(jì)的，沒(méi)有考慮到任何有關(guān)竊取或者入侵的因素。它通過(guò)路由器直接面向Internet，應(yīng)該以基本網(wǎng)絡(luò)通信篩選的形式提供初始層的保護(hù)。代理防火墻與包過(guò)濾防火墻一樣，到目前為止也經(jīng)過(guò)了兩個(gè)主要的發(fā)展時(shí)期，那就是代理防火墻和自適應(yīng)代理防火墻。根據(jù)防火墻所采用的技術(shù)不同，可以將其分為以下四種基本類型。在全局模式下創(chuàng)建VLAN是最常用的方法。選擇“protect”可選項(xiàng)，則保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄來(lái)源于非安全地址范圍內(nèi)地址的所有數(shù)據(jù)包；選擇“restrict”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)候，將發(fā)送一個(gè)警告通知管理員，但非安全地址的通信仍在進(jìn)行；選擇“shutdown”可選項(xiàng)，當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口，并發(fā)送一個(gè)警告通知管理員，默認(rèn)時(shí)管理端口。但是只要黑客修改了其中的任何一項(xiàng)，則可能導(dǎo)致找不到真正的目的節(jié)點(diǎn)而導(dǎo)致通信不成功，這就是兩種欺騙：IP地址欺騙和MAC地址欺騙。端到端機(jī)密是從數(shù)據(jù)通信中的一端到另一端的全程加密方式，而且加密、解密過(guò)程只進(jìn)行一次，在中間結(jié)點(diǎn)沒(méi)有這兩個(gè)過(guò)程。然后再進(jìn)行傳輸，直到消息到達(dá)目的節(jié)點(diǎn)。數(shù)據(jù)鏈路層還有一個(gè)安全風(fēng)險(xiǎn)就是大量的廣播包會(huì)導(dǎo)致網(wǎng)絡(luò)鏈路寬帶資源匱乏，從而最終導(dǎo)致網(wǎng)絡(luò)癱瘓。 216。因?yàn)樗P(guān)系到系統(tǒng)在經(jīng)歷災(zāi)難后能否迅速恢復(fù)。在線的資料經(jīng)過(guò)一段時(shí)間的搬移后，即可達(dá)到最佳化。是否能夠?qū)⑿枰臄?shù)據(jù)從龐大的數(shù)據(jù)庫(kù)文件中抽取出來(lái)進(jìn)行備份，是網(wǎng)絡(luò)備份系統(tǒng)是否先進(jìn)的標(biāo)志之一。每天都要小心翼翼,不敢有半點(diǎn)閃失,生怕一失足成千古恨。故障發(fā)生的損失分析及可行性數(shù)據(jù)保護(hù)模式，現(xiàn)有備份方式的不足，幾年前我們主要采用主機(jī)內(nèi)置或外置的磁帶機(jī)對(duì)數(shù)據(jù)進(jìn)行冷備份，這種方式在數(shù)據(jù)量不大，操作系統(tǒng)種類單一，服務(wù)器數(shù)量有限的情況下，不失為一種既經(jīng)濟(jì)又簡(jiǎn)明的備份手段。限定兩個(gè)周期密碼可以禁止想通的最短歷史。機(jī)房電源設(shè)備、插座、線路功率和容量能滿足設(shè)備正常工作需求和消防要求，并配備足夠的消防措施。每臺(tái)服務(wù)器、下級(jí)交換機(jī)與兩臺(tái)核心交換機(jī)采取雙線路冗余連接。RAID特色是N塊硬盤(pán)同時(shí)讀取速度加快及提供容錯(cuò)性（Fault Tolerant）。由于采用通道間交叉鏡像的方式，所以每個(gè)通道都有一套完整的內(nèi)存數(shù)據(jù)拷貝。 內(nèi)存冗余在內(nèi)存冗余方面，目前主要有內(nèi)存鏡像和內(nèi)存熱備兩種技術(shù)。網(wǎng)絡(luò)設(shè)備冗余有以下幾個(gè)方面。線路的不可用，或者網(wǎng)絡(luò)通信數(shù)據(jù)泄露，或者遭受非法入侵與攻擊。安全設(shè)計(jì)方案主要從物理層，數(shù)據(jù)鏈路層，網(wǎng)絡(luò)層和無(wú)線這幾個(gè)方面來(lái)進(jìn)行安全設(shè)計(jì)。計(jì)算機(jī)病毒能夠破壞網(wǎng)絡(luò)設(shè)備，破壞計(jì)算機(jī)系統(tǒng)軟件和文件系統(tǒng)，木馬程序會(huì)導(dǎo)致信息泄漏，蠕蟲(chóng)類病毒則會(huì)導(dǎo)致網(wǎng)絡(luò)運(yùn)行效率下降甚至癱瘓，最重要的是病毒變種的不斷產(chǎn)生，防范起來(lái)非常困難。拒絕服務(wù)：攻擊者可能對(duì)AP進(jìn)行泛洪攻擊，使AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。WEP破解：現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。 電磁泄漏（如偵聽(tīng)微機(jī)操作過(guò)程）。216。由于互聯(lián)網(wǎng)的開(kāi)放性和通信協(xié)議存在的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存