【正文】 配置方法。其配置將依賴站點(diǎn)的特殊安全策略，預(yù)算以及全面規(guī)劃等。 IP數(shù)據(jù)包過(guò)濾防火墻是必須的，尤其是使用靜態(tài) IP地址的校園網(wǎng)。包過(guò)濾防火墻通常存在于多端口的路由器上，通常配置其中的訪問(wèn)控制列表 (ACL)可以決定是否轉(zhuǎn)發(fā)或丟棄來(lái)自外部的數(shù)據(jù)包。在原有的網(wǎng) 絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用，而且它邏輯簡(jiǎn)單，易于安裝和使用，這對(duì)資金力量較為尷尬的學(xué)校而言更為合適。 應(yīng)用層防火墻是可選的。這種防火墻是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。典型的應(yīng)用層防火墻是各種應(yīng)用代理，這種代理服務(wù)使網(wǎng)絡(luò)的內(nèi)，外部之間不會(huì)有直接的 IP報(bào)文交換，所有應(yīng)用的數(shù)據(jù)據(jù)均由防火墻進(jìn)行過(guò)濾和轉(zhuǎn)發(fā)。因此，應(yīng)用層防火墻能夠讓網(wǎng)絡(luò)管理員對(duì)服務(wù)進(jìn)行全面的控制。但是，它的最大缺點(diǎn)是要求在訪問(wèn)代理服務(wù)的每個(gè)系統(tǒng)上安裝特殊的用戶端軟件，這樣既限制了新應(yīng)用的引入，又影響了效率，而且當(dāng)該防 火墻不能再工作時(shí)，對(duì)應(yīng)的網(wǎng)絡(luò)服務(wù)也就不存在了。因此，網(wǎng)絡(luò)管理員要在機(jī)構(gòu)安全需要和系統(tǒng)的易用性方面做出平衡。 對(duì)于專線接入 Inter 網(wǎng)的校園網(wǎng)不要允許網(wǎng)上的機(jī)器通過(guò) Modem直接接入外部網(wǎng)。因?yàn)?堡壘最容易從內(nèi)部被攻破 。如果有校園網(wǎng)用戶下載一個(gè)包含惡意代碼的程序在本地運(yùn)行，就很可能泄密敏感信息，或?qū)ο到y(tǒng)進(jìn)行破壞。 必須明確，防火墻不是解決所有網(wǎng)絡(luò)安全問(wèn)題的靈丹妙藥，比如，它不能抵御來(lái)自來(lái)自校園網(wǎng)內(nèi)部的攻擊。因此，不能認(rèn)為建立了防火墻便萬(wàn)事大吉，它只能是網(wǎng)絡(luò)安全策略的一部分，只能解決網(wǎng)絡(luò)安全 的部分問(wèn)題，任何時(shí)候都不能放松警惕。 （ 3）、 文件和服務(wù)的共享訪問(wèn) 校園網(wǎng)上的服務(wù)器操作系統(tǒng)一般為 Windows NT和 Unix，它們都能使用服務(wù)和文件共享功能。網(wǎng)絡(luò)管理員常使用共享服務(wù)以使數(shù)據(jù)訪問(wèn)更加方便，但黑客常常利用這一點(diǎn)通過(guò)安裝后門程序，在用戶啟動(dòng)系統(tǒng)時(shí)作為共享服務(wù)進(jìn)行注冊(cè)，然后這些共享服務(wù)可以從任何一臺(tái)擁有 作為服務(wù)登錄 權(quán)利的客戶上運(yùn)行，從而破壞系統(tǒng)。文件共享給網(wǎng)絡(luò)帶來(lái)了另一個(gè)潛在的安全漏洞，因?yàn)槿绻渲貌划?dāng)，就可能使任何一個(gè)能夠與你的網(wǎng)絡(luò)連接的人都可以全面訪問(wèn)你的系統(tǒng)文件。因此，對(duì)于文件與服 務(wù)的共享方問(wèn)機(jī)制必須制定相應(yīng)的安全策略。 限制端口訪問(wèn)。為了防止未經(jīng)授權(quán)通過(guò)網(wǎng)絡(luò)服務(wù)進(jìn)行的訪問(wèn)，要限制所有并非絕對(duì)必要的服務(wù)端口，從而使暴露減少到最低限度。比如，除非你的計(jì)算機(jī)需要新聞組訪問(wèn)，否則，網(wǎng)絡(luò)新聞傳輸協(xié)議的端口 119就應(yīng)該被關(guān)閉。 不允許一般用戶在服務(wù)器上擁有除讀 /執(zhí)行以外的權(quán)限。這一點(diǎn)對(duì)校園網(wǎng)安全特別重要。 最好的防御手段依然是保持應(yīng)有的警惕，不要不分青紅皂白地共享文件。當(dāng)你沒(méi)有其他選擇時(shí)，一定要只共享那些絕對(duì)必需的文件。 （ 5） 封鎖系統(tǒng)安全漏洞 黑客之所以得以非 法訪問(wèn)系統(tǒng)資源和數(shù)據(jù)，很多情況下是因?yàn)椴僮飨到y(tǒng)和各種應(yīng)用軟件的設(shè)計(jì)漏洞或者管理上的漏洞所致。統(tǒng)計(jì)數(shù)字顯示， 80%以上的成功入侵之所以發(fā)生，是因?yàn)?Web技術(shù)人員沒(méi)有安裝已知及公開故障的修補(bǔ)程序。因此，在制定訪問(wèn)控制策略時(shí)，不要忘記封鎖系統(tǒng)安全漏洞。 目前， Inter中的一些重要的網(wǎng)絡(luò)都建立了計(jì)算機(jī)緊急相應(yīng)工作組，如中國(guó)教育和科研網(wǎng)的緊急響應(yīng)組，在發(fā)現(xiàn)新病毒或因系統(tǒng)安全漏洞威脅網(wǎng)絡(luò)安全時(shí)，會(huì)及時(shí)向用戶發(fā)出安全通告，并提供各種補(bǔ)丁程序以便下載。許多應(yīng)用軟件也在不斷更新版本以修正錯(cuò)誤或完善功能。對(duì)于校園網(wǎng)管 理人員而言，只需注意跟蹤此類信息，及時(shí)下載和安裝各種補(bǔ)丁程序，升級(jí)程序就能對(duì)保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)的安全起到很大作用。 （ 6）、 資源共享的問(wèn)題 校園網(wǎng)內(nèi)部有辦公自動(dòng)化系統(tǒng) ,而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源 ,缺少必要的訪問(wèn)控制策略 ,我們就可能有意、無(wú)意的把硬盤中重要信息長(zhǎng)期暴露在網(wǎng)絡(luò)上 ,從而被輕易竊取并傳播出去造成泄密。特別是校園網(wǎng)上的共享磁盤 ,不同的用戶出于工作的方便性 ,把一些資料和信息放到了共享磁盤上 ,提供給需要者。但是共享磁盤的特點(diǎn)是大家共同享有 ,別有用心的人完全可以在需要者拿走這些資料和信息之前 ,截走這些 資料和信息。 在校園網(wǎng)出口處采用高性能硬件防火墻 ,可以有效地阻止大部分來(lái)自外網(wǎng)的網(wǎng)絡(luò)攻擊 ,然而 ,在校園網(wǎng)內(nèi)部 ,雖然在各節(jié)點(diǎn)仍有各種防火墻產(chǎn)品安裝 ,但來(lái)自內(nèi)網(wǎng)的攻擊仍有可能對(duì)校園網(wǎng)的正常工作造成極大的威脅。來(lái)自內(nèi)網(wǎng)的攻擊主要表現(xiàn)為網(wǎng)絡(luò)病毒和一些惡意用戶使用非法手段竊取用戶信息 ,實(shí)施危害活動(dòng) ,前者可以通過(guò)建立校園網(wǎng)集中式網(wǎng)絡(luò)防病毒系統(tǒng)加以解決 ,后者除使用防火墻技術(shù)以外 ,還需校園網(wǎng)管理員加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理。 校園網(wǎng)管理員可以通過(guò)使用網(wǎng)絡(luò)管理系統(tǒng)對(duì)校園網(wǎng)內(nèi)部進(jìn)行安全管理、安全檢測(cè)、安全控制 ,需要建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng) ,建立詳細(xì)的用戶信息數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動(dòng)日志等 ,并定時(shí)對(duì)其進(jìn)行審查分析 ,一方面可以及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故 ,另一方面可以便于查找網(wǎng)絡(luò)安全事故的原因及事故的責(zé)任人。 應(yīng)制定有關(guān)規(guī)章制度 ,確定安全管理等級(jí)和安全管理范圍 。制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)章制度 。制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等 。構(gòu)建安全管理平臺(tái) ,組成安全管理子網(wǎng) ,安裝集中統(tǒng)一的安全管理軟件 ,如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件 ,實(shí)現(xiàn)校園網(wǎng)的安全管理 。應(yīng)該經(jīng)常對(duì)工作人員進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn) ,提高他們的網(wǎng)絡(luò)安全防范意識(shí)。 （ 7）、 對(duì)應(yīng)用服務(wù)器的惡意攻擊 針對(duì)校園網(wǎng)應(yīng)用服務(wù)器的網(wǎng)絡(luò)攻擊 ,往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點(diǎn) ,是目前校園網(wǎng)管理員最關(guān)注的安全問(wèn)題。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是 DNS服務(wù)器、 Web應(yīng)用服務(wù)器和郵件服務(wù)器。 Web應(yīng)用服務(wù)器自身具有很多脆弱性 ,如 Web服務(wù)軟件自身存在安全問(wèn)題 ,Web應(yīng)用程序安全性較差 ,比較典型的是目前應(yīng)用很廣的 CGI程序和 ASP、 PHP腳本等都具有嚴(yán)重 的安全漏洞 ,而系統(tǒng)管理員由于種種因素限制 ,很難做出全面的處理 ,因此 ,極易受到惡意用戶的攻擊。 DNS服務(wù)器因其使用 UDP協(xié)議 ,因而較易受到惡意用戶的攻擊 ,目前針對(duì) DNS服務(wù)器的攻擊主要有兩類 :一類是緩存區(qū)中毒 ,主要是指黑客在主 DNS服務(wù)器向輔 DNS服務(wù)器進(jìn)行區(qū)域傳輸時(shí)插入錯(cuò)誤的 DNS 信息 ,一旦成功 ,攻擊者可以使發(fā)向合法站點(diǎn)的傳輸流改變方向 ,使其轉(zhuǎn)向攻擊者指定的站點(diǎn)。另一類是域劫持 ,攻擊者利用用戶升級(jí)自己的域注冊(cè)信息時(shí)所使用的不安全機(jī)制接管域注冊(cè)過(guò)程以控制合法的域。 惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺 陷 ,例如缺乏有效的郵件過(guò)濾機(jī)制和郵件轉(zhuǎn)發(fā)限制機(jī)制 ,對(duì)郵件服務(wù)器進(jìn)行攻擊。目前常見(jiàn)的攻擊有兩類 :一類是中繼利用 ,即遠(yuǎn)程主機(jī)通過(guò)被攻擊郵件服務(wù)器向外發(fā)送郵件。另一類是垃圾郵件 ,也稱郵件 ,通過(guò)大量發(fā)送垃圾郵件 ,造成郵件服務(wù)器阻塞 ,增大校園網(wǎng)流量 ,甚至系統(tǒng)崩潰 ,同時(shí)還會(huì)給校園網(wǎng)帶來(lái)經(jīng)濟(jì)上和名譽(yù)上的損失。 （ 8）、 來(lái)自互聯(lián)網(wǎng)的安全威脅 校園網(wǎng)是與 Inter互連的。由于 Inter的開放性、國(guó)際性與自由性 ,校園網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果校園網(wǎng)與外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防護(hù)措施 ,校園網(wǎng)很容易遭 到來(lái)自外網(wǎng)黑客的攻擊。如 :黑客通過(guò)嗅探程序來(lái)探測(cè)、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞 ,如網(wǎng)絡(luò) IP地址、應(yīng)用操作系統(tǒng)的類型、開放的 TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等 ,并通過(guò)相應(yīng)攻擊程序進(jìn)行攻擊 。黑客通過(guò)網(wǎng)絡(luò)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息 ,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄 ,竊取內(nèi)部網(wǎng)重要信息 。黑客通過(guò)發(fā)送大量數(shù)據(jù)包對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊 ,使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)甚至系統(tǒng)癱瘓。 五．所用產(chǎn)品的型號(hào)及功能 （一） .交換機(jī)的型號(hào)與功能 交換機(jī) 華為 3Com H3C S551024P (AC) 端口數(shù) :24 模塊化插槽數(shù) :4 傳輸速率 (Mbps):10/100/1000 設(shè)備類型 :全千兆多協(xié)議交換機(jī) 產(chǎn)品價(jià)格： ￥ 14900 ￥ 16650 產(chǎn)品規(guī)格 設(shè)備類型 全千兆多協(xié)議交換機(jī) 交換方式 存儲(chǔ) 轉(zhuǎn)發(fā) 背板 帶寬（ Gbps） 48 包轉(zhuǎn)發(fā)率 VLAN支持 支持 MAC地址表 12K 網(wǎng)絡(luò) 網(wǎng)絡(luò)標(biāo)準(zhǔn) ； ,IEEE ,IEEE ,IEEE 傳輸速率（ Mbps） 10/100/1000 端口 端口類型 10/100/1000BASET,1000BaseX SFP Combo 端口數(shù) 24 模塊化插槽數(shù) 4 其它 是否支持全雙工 全 /半雙工 網(wǎng)管功能 支持命令行接口（ CLI）配置 ,支持 Tel 遠(yuǎn)程配置 ,支持通過(guò) Console 口配置 ,支 持 SNMP,支持RMON1， 2， 3， 9 組 MIB,支持華為 QuidView 網(wǎng)管系統(tǒng) ,支持 WEB 網(wǎng)管 ,支持系統(tǒng)日志 ,支持分級(jí)告警 ,支 持 集 群 管 理 HGMP（ Huawei Group Management Protocol ） V2,支持 Modem 遠(yuǎn)端撥號(hào) ,支持 NTP,支持 SSH 堆疊 不支持 電氣規(guī)格 額 定 電壓（ V） AC:額定電壓范圍：100V ～ 240V . ，50/60Hz,最大電壓范圍： 90V～ 264V .，47/63Hz 額 定 功率（ W） 66 外觀 重量（ Kg） 5 長(zhǎng) 度（ mm） 360 寬度（ mm） 440 高度（ mm） 環(huán)境 工作溫度（ ℃ ） 0 45 工作濕度 10% 90% 工作高度（米） 3000 存儲(chǔ)溫度（ ℃ ） 40 70 存儲(chǔ)濕度 10% 90% 存儲(chǔ)高度（米） 6000 產(chǎn)品規(guī)格 設(shè)備類型 全千兆多協(xié)議交換機(jī) 交換方式 存儲(chǔ) 轉(zhuǎn)發(fā) 背板 帶寬（ Gbps） 48 包轉(zhuǎn)發(fā)率 VLAN支持 支持 MAC地址表 12K 網(wǎng)絡(luò) 網(wǎng)絡(luò)標(biāo)準(zhǔn) ； ,IEEE ,IEEE ,IEEE 傳輸速率（ Mbps） 10/100/1000 端口 端口類型 10/100/1000BASET,1000BaseX SFP Combo 端口數(shù) 24 模塊化插槽數(shù) 4 其它 是否支持全雙工 全 /半雙工 網(wǎng)管功能 支持命令行接口（ CLI）配置 ,支持 Tel 遠(yuǎn)程配置 ,支持通過(guò) Console 口配置 ,支持 SNMP,支持RMON1， 2， 3， 9 組 MIB,支持華為 QuidView 網(wǎng)管系統(tǒng) ,支 持 WEB 網(wǎng)管 ,支持系統(tǒng)日志 ,支持分級(jí)告警 ,支 持 集 群 管 理 HGMP（ Huawei Group Management Protocol ） V2,支持 Modem 遠(yuǎn)端撥號(hào) ,支持 NTP,支持 SSH 堆疊 不支持 網(wǎng)絡(luò) 網(wǎng)絡(luò)標(biāo)準(zhǔn) ； ,IEEE ,IEEE ,IEEE 傳輸速率（ Mbps） 10/100/1000 端口 端口類型 10/100/1000BASET,1000BaseX SFP Combo 端口數(shù) 24 模塊化插 槽數(shù) 4 其它 是否支持全雙工 全 /半雙工 網(wǎng)管功能 支持命令行接口（ CLI）配置 ,支持 Tel 遠(yuǎn)程配置 ,支持通過(guò)Console口配置 ,支持 SNMP,支持 RMON1， 2， 3， 9組 MIB,支持華為 QuidView 網(wǎng)管系統(tǒng) ,支持 WEB 網(wǎng)管 ,支持系統(tǒng)日志 ,支持分級(jí)告警 ,支持集群管理 HGMP（ Huawei Group Management Protocol） V2,支持 Modem遠(yuǎn)端撥號(hào) ,支持 NTP,支持 SSH 堆疊 不支持 電氣規(guī)格 額定電壓（ V） AC:額定電壓范圍： 100V～ 240V .， 50/60Hz,最大電壓范圍：90V～ 264V .， 47/63Hz 額定功率（ W） 66 外觀 重量（ Kg） 5 長(zhǎng)度（ mm） 360 寬度（ mm） 440 高度（ mm） 環(huán)境 工作溫度（ ℃ ） 0 45 工作濕度 10% 90% 工作高度（米） 3000 存儲(chǔ)溫度（ ℃ ） 40 70 存儲(chǔ)濕度 10% 90% 存儲(chǔ)高度（米） 6000 （ 2）、 華三 s550020tpsi 三層交換 ? 產(chǎn)品名稱： H3C20口網(wǎng) 管型三層 交換機(jī) ? 產(chǎn)品型號(hào)： H3C S550020TPSI ? 產(chǎn)品品牌： H3C ? 供應(yīng)方式： 金牌代理 ? 參考報(bào)價(jià)： 16,650 元 H3C S550020TPSI 性能規(guī)格