【文章內(nèi)容簡(jiǎn)介】 設(shè)置一臺(tái)服務(wù)器，作為網(wǎng)絡(luò)中心的二級(jí)時(shí)間服務(wù)器，該服務(wù)器配置兩塊網(wǎng)卡，通過兩條鏈路分別連接一級(jí)時(shí)間服務(wù)器SYNLOCK V3的時(shí)間輸出接口，和網(wǎng)管網(wǎng)絡(luò)交換機(jī)CISCO6506，為該二級(jí)時(shí)間服務(wù)器設(shè)定相應(yīng)的IP地址，網(wǎng)絡(luò)中心的核心骨干交換機(jī)S8512和其他利舊的思科交換機(jī)都支持時(shí)間同步協(xié)議NTP，因此利用以太網(wǎng)絡(luò)，只要可以訪問二級(jí)時(shí)間服務(wù)器的IP地址，即可以得到時(shí)間同步信息，并將其傳送到其他網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)系統(tǒng)中。 網(wǎng)絡(luò)中心內(nèi)所有的工作站、服務(wù)器等計(jì)算機(jī)系統(tǒng)可以大致按操作系統(tǒng)分為UNIX、LINUX操作系統(tǒng)，WINDOWS操作系統(tǒng)，對(duì)于UNIX和LINUX操作系統(tǒng)本身支持NTP協(xié)議，可以直接通過IP地址訪問時(shí)間服務(wù)器獲得時(shí)間同步，而對(duì)于WINDOWS系統(tǒng)尤其是WINDOWS 2000 和WINDOWS XP操作系統(tǒng)不提供NTP服務(wù)，因此必須配備相應(yīng)的NTP客戶端軟件來同時(shí)間服務(wù)器進(jìn)行時(shí)間同步。 時(shí)間同步方案示意圖2. 安全系統(tǒng)深化設(shè)計(jì)方案 安全系統(tǒng)需求分析朝陽區(qū)教育信息網(wǎng)按功能和防護(hù)區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。我們按照不同區(qū)域的安全等級(jí)，以及安全特性來規(guī)劃不同的安全防范措施。n 外網(wǎng)所謂外網(wǎng)，我們將其分為兩部分，一部分指的是上聯(lián)到北京教育信息網(wǎng)（內(nèi)網(wǎng)）和通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet），另一部分是指連接到朝陽區(qū)政府公用信息平臺(tái)。出口均設(shè)在朝陽教育信息網(wǎng)的出口網(wǎng)絡(luò)中的Cisco6506上。出口網(wǎng)絡(luò)是朝陽教育信息網(wǎng)同外部網(wǎng)絡(luò)的唯一接口，與核心網(wǎng)絡(luò)是雙千兆鏈路連接。由于業(yè)務(wù)的隸屬關(guān)系，及為保證朝陽內(nèi)部網(wǎng)絡(luò)與大網(wǎng)應(yīng)用的兼容性，建議在與北京市教育信息網(wǎng)連接的鏈路上不采用防火墻，但在其它出口（朝陽區(qū)政府公用信息平臺(tái)）和Internet服務(wù)器區(qū)部署千兆級(jí)防火墻來提供安全機(jī)制。同時(shí)在出口網(wǎng)絡(luò)與核心網(wǎng)絡(luò)的雙千兆鏈路上配備入侵檢測(cè)設(shè)備對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行甄別，以提防外部人員的惡意入侵和破壞，以及對(duì)不良網(wǎng)站、非法信息進(jìn)行阻隔。n 內(nèi)網(wǎng)所謂內(nèi)網(wǎng)，我們認(rèn)為可以分為接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)兩部分。l 接入網(wǎng)絡(luò)由朝陽教育信息網(wǎng)所轄的所有學(xué)校、教育機(jī)關(guān)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)內(nèi)部用戶組成。對(duì)于接入網(wǎng)絡(luò)其安全防護(hù)由朝陽教育信息網(wǎng)的中心機(jī)房統(tǒng)一部署管理，每一個(gè)學(xué)?；蛴脩舴峙洳煌W(wǎng)段的IP地址，在核心節(jié)點(diǎn)處的多層交換機(jī)上利用VLAN技術(shù)和ACL 對(duì)這些不同子網(wǎng)進(jìn)行策略路由，以達(dá)到最理想的網(wǎng)絡(luò)安全。l 核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)包括：核心交換網(wǎng)、網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)中心（IDC）。核心網(wǎng)絡(luò)是整個(gè)朝陽教育信息網(wǎng)的數(shù)據(jù)中心、資源中心、和管理中心可謂是心臟部位，它的安全系統(tǒng)應(yīng)從以下幾方面著手設(shè)計(jì)：1) 防火墻防范來自外部和內(nèi)部的網(wǎng)絡(luò)攻擊和破壞。2) 防拒絕服務(wù)攻擊使用防火墻來防范拒絕服務(wù)型攻擊。3) 漏洞掃描系統(tǒng)時(shí)刻監(jiān)控網(wǎng)絡(luò)以及服務(wù)器的安全漏洞。4) 入侵檢測(cè)系統(tǒng)專門對(duì)服務(wù)器集群進(jìn)行探測(cè)來防范并記錄非法和危險(xiǎn)的網(wǎng)絡(luò)操作。5) 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)置總的網(wǎng)絡(luò)防病毒服務(wù)器負(fù)責(zé)整個(gè)控制中心和下屬網(wǎng)絡(luò)的防病毒工作。 防火墻系統(tǒng)深化設(shè)計(jì)u 防火墻分布位置方案采用六臺(tái)華為Quidway174。 SecPath 1000F 防火墻，配置在朝陽教育信息網(wǎng)網(wǎng)絡(luò)中心的四個(gè)邏輯地點(diǎn)，構(gòu)成整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的防火墻系統(tǒng)。具體分布連接如下：1．我們?cè)贗nternet服務(wù)器區(qū)與外網(wǎng)之間部署一臺(tái)SecPath 1000F千兆防火墻，其中WWW、MAIL、FTP、DNS等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)；外網(wǎng)卡連接出口網(wǎng)絡(luò)中的Cisco6506，與Internet連接。2．在出口網(wǎng)絡(luò)中的Cisco6506到朝陽區(qū)政府公用信息平臺(tái)的鏈路上設(shè)置一臺(tái)SecPath 1000F和一臺(tái)專用NAT設(shè)備。具體連接： SecPath 1000F放置在出口網(wǎng)絡(luò)的Cisco6506到朝陽區(qū)政府公用信息平臺(tái)的傳輸設(shè)備的鏈路上。內(nèi)網(wǎng)卡接Cisco6506，外網(wǎng)卡接NAT設(shè)備（MA5200）；專用NAT設(shè)備（MA5200）的一個(gè)千兆口接SecPath 1000F，另一端與傳輸設(shè)備相連。3．網(wǎng)管網(wǎng)絡(luò)到核心網(wǎng)的接口處設(shè)置兩臺(tái)SecPath 1000F：每臺(tái)SecPath 1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺(tái)Quidway S8512相連，每臺(tái)SecPath 1000F的千兆內(nèi)網(wǎng)卡連接到網(wǎng)管網(wǎng)絡(luò)的Cisco6506，兩臺(tái)SecPath 1000F之間通過1GE端口相連，兩臺(tái)SecPath 1000F做負(fù)載分擔(dān)/冗余備份，對(duì)網(wǎng)管網(wǎng)絡(luò)進(jìn)行保護(hù)。4．?dāng)?shù)據(jù)中心的關(guān)鍵應(yīng)用服務(wù)器區(qū)到核心交網(wǎng)的接口處設(shè)置兩臺(tái)SecPath 1000F：每臺(tái)SecPath 1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺(tái)Quidway S8512連接，每臺(tái)SecPath 1000F的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的Cisco6509，兩臺(tái)SecPath 1000F之間通過1GE端口相連，兩臺(tái)SecPath 1000F做負(fù)載分擔(dān)/冗余備份，對(duì)關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行保護(hù)。u 防火墻配置在防火墻設(shè)置上我們按照以下原則配置來提高網(wǎng)絡(luò)安全性：1）根據(jù)總體安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)內(nèi)網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。4）在防火墻上進(jìn)行防拒絕服務(wù)攻擊（DoS\DDoS）配置。5）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。通過對(duì)以上四個(gè)地點(diǎn)配置防火墻，并在網(wǎng)管網(wǎng)絡(luò)中安裝一臺(tái)防火墻集中管理服務(wù)器，對(duì)處于不同子網(wǎng)中的多個(gè)防火墻進(jìn)行集中管理和配置，就組成了朝陽教育信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個(gè)朝陽教育信息網(wǎng)安全防護(hù)的第一道屏障。防火墻系統(tǒng)連接見朝陽教育信息網(wǎng)網(wǎng)絡(luò)安全連接圖。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)深化設(shè)計(jì)每臺(tái)NISD_1000E配置2個(gè)1000BASET標(biāo)準(zhǔn)監(jiān)控接口，控制中心設(shè)在網(wǎng)管網(wǎng)絡(luò)中的一臺(tái)服務(wù)器上。NISD_1000E的配置分布如下：1. 出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺(tái)NISD_1000E2個(gè)GE探頭分別配置在出口網(wǎng)絡(luò)中的Cisco6506與兩臺(tái)核心交換機(jī)S8512相連的兩條千兆鏈路上。2. 關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)之間部署一臺(tái)NISD_1000E2個(gè)GE探頭分別配置在關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)絡(luò)之間的兩臺(tái)防火墻后面。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì)在內(nèi)網(wǎng)中采用一套先進(jìn)的《網(wǎng)絡(luò)安全性分析系統(tǒng)ISExplorer》漏洞掃描系統(tǒng)。《網(wǎng)絡(luò)安全性分析系統(tǒng)ISExplorer》可安裝在一臺(tái)筆記本電腦上，定期對(duì)不同網(wǎng)段的工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì)1）在網(wǎng)管網(wǎng)絡(luò)中的一臺(tái)服務(wù)器上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理網(wǎng)絡(luò)中心不少于100臺(tái)的服務(wù)器和30臺(tái)PC機(jī)。2）在網(wǎng)絡(luò)中心的主機(jī)上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版的服務(wù)器端和客戶端。3）安裝完Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)