【正文】 配置方法。其配置將依賴站點的特殊安全策略，預算以及全面規(guī)劃等。 IP數(shù)據(jù)包過濾防火墻是必須的，尤其是使用靜態(tài) IP地址的校園網(wǎng)。包過濾防火墻通常存在于多端口的路由器上，通常配置其中的訪問控制列表 (ACL)可以決定是否轉(zhuǎn)發(fā)或丟棄來自外部的數(shù)據(jù)包。在原有的網(wǎng) 絡上增加這樣的防火墻幾乎不需要任何額外的費用，而且它邏輯簡單，易于安裝和使用，這對資金力量較為尷尬的學校而言更為合適。 應用層防火墻是可選的。這種防火墻是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。典型的應用層防火墻是各種應用代理，這種代理服務使網(wǎng)絡的內(nèi)，外部之間不會有直接的 IP報文交換，所有應用的數(shù)據(jù)據(jù)均由防火墻進行過濾和轉(zhuǎn)發(fā)。因此，應用層防火墻能夠讓網(wǎng)絡管理員對服務進行全面的控制。但是，它的最大缺點是要求在訪問代理服務的每個系統(tǒng)上安裝特殊的用戶端軟件，這樣既限制了新應用的引入，又影響了效率，而且當該防 火墻不能再工作時，對應的網(wǎng)絡服務也就不存在了。因此，網(wǎng)絡管理員要在機構(gòu)安全需要和系統(tǒng)的易用性方面做出平衡。 對于專線接入 Inter 網(wǎng)的校園網(wǎng)不要允許網(wǎng)上的機器通過 Modem直接接入外部網(wǎng)。因為 堡壘最容易從內(nèi)部被攻破 。如果有校園網(wǎng)用戶下載一個包含惡意代碼的程序在本地運行，就很可能泄密敏感信息，或?qū)ο到y(tǒng)進行破壞。 必須明確，防火墻不是解決所有網(wǎng)絡安全問題的靈丹妙藥，比如，它不能抵御來自來自校園網(wǎng)內(nèi)部的攻擊。因此，不能認為建立了防火墻便萬事大吉，它只能是網(wǎng)絡安全策略的一部分，只能解決網(wǎng)絡安全 的部分問題，任何時候都不能放松警惕。 （ 3）、 文件和服務的共享訪問 校園網(wǎng)上的服務器操作系統(tǒng)一般為 Windows NT和 Unix，它們都能使用服務和文件共享功能。網(wǎng)絡管理員常使用共享服務以使數(shù)據(jù)訪問更加方便，但黑客常常利用這一點通過安裝后門程序，在用戶啟動系統(tǒng)時作為共享服務進行注冊，然后這些共享服務可以從任何一臺擁有 作為服務登錄 權(quán)利的客戶上運行，從而破壞系統(tǒng)。文件共享給網(wǎng)絡帶來了另一個潛在的安全漏洞，因為如果配置不當，就可能使任何一個能夠與你的網(wǎng)絡連接的人都可以全面訪問你的系統(tǒng)文件。因此，對于文件與服 務的共享方問機制必須制定相應的安全策略。 限制端口訪問。為了防止未經(jīng)授權(quán)通過網(wǎng)絡服務進行的訪問，要限制所有并非絕對必要的服務端口，從而使暴露減少到最低限度。比如，除非你的計算機需要新聞組訪問，否則，網(wǎng)絡新聞傳輸協(xié)議的端口 119就應該被關(guān)閉。 不允許一般用戶在服務器上擁有除讀 /執(zhí)行以外的權(quán)限。這一點對校園網(wǎng)安全特別重要。 最好的防御手段依然是保持應有的警惕，不要不分青紅皂白地共享文件。當你沒有其他選擇時，一定要只共享那些絕對必需的文件。 （ 5） 封鎖系統(tǒng)安全漏洞 黑客之所以得以非 法訪問系統(tǒng)資源和數(shù)據(jù)，很多情況下是因為操作系統(tǒng)和各種應用軟件的設(shè)計漏洞或者管理上的漏洞所致。統(tǒng)計數(shù)字顯示， 80%以上的成功入侵之所以發(fā)生，是因為 Web技術(shù)人員沒有安裝已知及公開故障的修補程序。因此，在制定訪問控制策略時，不要忘記封鎖系統(tǒng)安全漏洞。 目前， Inter中的一些重要的網(wǎng)絡都建立了計算機緊急相應工作組，如中國教育和科研網(wǎng)的緊急響應組，在發(fā)現(xiàn)新病毒或因系統(tǒng)安全漏洞威脅網(wǎng)絡安全時，會及時向用戶發(fā)出安全通告，并提供各種補丁程序以便下載。許多應用軟件也在不斷更新版本以修正錯誤或完善功能。對于校園網(wǎng)管 理人員而言，只需注意跟蹤此類信息，及時下載和安裝各種補丁程序，升級程序就能對保護網(wǎng)絡和信息系統(tǒng)的安全起到很大作用。 （ 6）、 資源共享的問題 校園網(wǎng)內(nèi)部有辦公自動化系統(tǒng) ,而辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源 ,缺少必要的訪問控制策略 ,我們就可能有意、無意的把硬盤中重要信息長期暴露在網(wǎng)絡上 ,從而被輕易竊取并傳播出去造成泄密。特別是校園網(wǎng)上的共享磁盤 ,不同的用戶出于工作的方便性 ,把一些資料和信息放到了共享磁盤上 ,提供給需要者。但是共享磁盤的特點是大家共同享有 ,別有用心的人完全可以在需要者拿走這些資料和信息之前 ,截走這些 資料和信息。 在校園網(wǎng)出口處采用高性能硬件防火墻 ,可以有效地阻止大部分來自外網(wǎng)的網(wǎng)絡攻擊 ,然而 ,在校園網(wǎng)內(nèi)部 ,雖然在各節(jié)點仍有各種防火墻產(chǎn)品安裝 ,但來自內(nèi)網(wǎng)的攻擊仍有可能對校園網(wǎng)的正常工作造成極大的威脅。來自內(nèi)網(wǎng)的攻擊主要表現(xiàn)為網(wǎng)絡病毒和一些惡意用戶使用非法手段竊取用戶信息 ,實施危害活動 ,前者可以通過建立校園網(wǎng)集中式網(wǎng)絡防病毒系統(tǒng)加以解決 ,后者除使用防火墻技術(shù)以外 ,還需校園網(wǎng)管理員加強對網(wǎng)絡的監(jiān)控以及對用戶的管理。 校園網(wǎng)管理員可以通過使用網(wǎng)絡管理系統(tǒng)對校園網(wǎng)內(nèi)部進行安全管理、安全檢測、安全控制 ,需要建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng) ,建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志、交換機及路由器日志、網(wǎng)絡服務器日志、內(nèi)部用戶非法活動日志等 ,并定時對其進行審查分析 ,一方面可以及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故 ,另一方面可以便于查找網(wǎng)絡安全事故的原因及事故的責任人。 應制定有關(guān)規(guī)章制度 ,確定安全管理等級和安全管理范圍 。制訂有關(guān)網(wǎng)絡操作使用規(guī)章制度 。制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等 。構(gòu)建安全管理平臺 ,組成安全管理子網(wǎng) ,安裝集中統(tǒng)一的安全管理軟件 ,如病毒軟件管理系統(tǒng)、網(wǎng)絡設(shè)備管理系統(tǒng)以及網(wǎng)絡安全設(shè)備統(tǒng)管理軟件 ,實現(xiàn)校園網(wǎng)的安全管理 。應該經(jīng)常對工作人員進行網(wǎng)絡安全防范意識的培訓 ,提高他們的網(wǎng)絡安全防范意識。 （ 7）、 對應用服務器的惡意攻擊 針對校園網(wǎng)應用服務器的網(wǎng)絡攻擊 ,往往具有影響范圍廣、損失大、后續(xù)處理難度高的特點 ,是目前校園網(wǎng)管理員最關(guān)注的安全問題。校園網(wǎng)中較易受攻擊的應用服務器主要是 DNS服務器、 Web應用服務器和郵件服務器。 Web應用服務器自身具有很多脆弱性 ,如 Web服務軟件自身存在安全問題 ,Web應用程序安全性較差 ,比較典型的是目前應用很廣的 CGI程序和 ASP、 PHP腳本等都具有嚴重 的安全漏洞 ,而系統(tǒng)管理員由于種種因素限制 ,很難做出全面的處理 ,因此 ,極易受到惡意用戶的攻擊。 DNS服務器因其使用 UDP協(xié)議 ,因而較易受到惡意用戶的攻擊 ,目前針對 DNS服務器的攻擊主要有兩類 :一類是緩存區(qū)中毒 ,主要是指黑客在主 DNS服務器向輔 DNS服務器進行區(qū)域傳輸時插入錯誤的 DNS 信息 ,一旦成功 ,攻擊者可以使發(fā)向合法站點的傳輸流改變方向 ,使其轉(zhuǎn)向攻擊者指定的站點。另一類是域劫持 ,攻擊者利用用戶升級自己的域注冊信息時所使用的不安全機制接管域注冊過程以控制合法的域。 惡意用戶利用校園網(wǎng)內(nèi)郵件服務器系統(tǒng)的缺 陷 ,例如缺乏有效的郵件過濾機制和郵件轉(zhuǎn)發(fā)限制機制 ,對郵件服務器進行攻擊。目前常見的攻擊有兩類 :一類是中繼利用 ,即遠程主機通過被攻擊郵件服務器向外發(fā)送郵件。另一類是垃圾郵件 ,也稱郵件 ,通過大量發(fā)送垃圾郵件 ,造成郵件服務器阻塞 ,增大校園網(wǎng)流量 ,甚至系統(tǒng)崩潰 ,同時還會給校園網(wǎng)帶來經(jīng)濟上和名譽上的損失。 （ 8）、 來自互聯(lián)網(wǎng)的安全威脅 校園網(wǎng)是與 Inter互連的。由于 Inter的開放性、國際性與自由性 ,校園網(wǎng)將面臨更加嚴重的安全威脅。如果校園網(wǎng)與外部網(wǎng)絡間沒有采取一定的安全防護措施 ,校園網(wǎng)很容易遭 到來自外網(wǎng)黑客的攻擊。如 :黑客通過嗅探程序來探測、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞 ,如網(wǎng)絡 IP地址、應用操作系統(tǒng)的類型、開放的 TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等 ,并通過相應攻擊程序進行攻擊 。黑客通過網(wǎng)絡等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息 ,進而假冒內(nèi)部合法身份進行非法登錄 ,竊取內(nèi)部網(wǎng)重要信息 。黑客通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡服務器進行攻擊 ,使得服務器超負荷工作導致拒絕服務甚至系統(tǒng)癱瘓。 五．所用產(chǎn)品的型號及功能 （一） .交換機的型號與功能 交換機 華為 3Com H3C S551024P (AC) 端口數(shù) :24 模塊化插槽數(shù) :4 傳輸速率 (Mbps):10/100/1000 設(shè)備類型 :全千兆多協(xié)議交換機 產(chǎn)品價格： ￥ 14900 ￥ 16650 產(chǎn)品規(guī)格 設(shè)備類型 全千兆多協(xié)議交換機 交換方式 存儲 轉(zhuǎn)發(fā) 背板 帶寬（ Gbps） 48 包轉(zhuǎn)發(fā)率 VLAN支持 支持 MAC地址表 12K 網(wǎng)絡 網(wǎng)絡標準 ； ,IEEE ,IEEE ,IEEE 傳輸速率（ Mbps） 10/100/1000 端口 端口類型 10/100/1000BASET,1000BaseX SFP Combo 端口數(shù) 24 模塊化插槽數(shù) 4 其它 是否支持全雙工 全 /半雙工 網(wǎng)管功能 支持命令行接口（ CLI）配置 ,支持 Tel 遠程配置 ,支持通過 Console 口配置 ,支 持 SNMP,支持RMON1， 2， 3， 9 組 MIB,支持華為 QuidView 網(wǎng)管系統(tǒng) ,支持 WEB 網(wǎng)管 ,支持系統(tǒng)日志 ,支持分級告警 ,支 持 集 群 管 理 HGMP（ Huawei Group Management Protocol ） V2,支持 Modem 遠端撥號 ,支持 NTP,支持 SSH 堆疊 不支持 電氣規(guī)格 額 定 電壓（ V） AC:額定電壓范圍：100V ～ 240V . ，50/60Hz,最大電壓范圍： 90V～ 264V .，47/63Hz 額 定 功率（ W） 66 外觀 重量（ Kg） 5 長 度（ mm） 360 寬度（ mm） 440 高度（ mm） 環(huán)境 工作溫度（ ℃ ） 0 45 工作濕度 10% 90% 工作高度（米） 3000 存儲溫度（ ℃ ） 40 70 存儲濕度 10% 90% 存儲高度（米） 6000 產(chǎn)品規(guī)格 設(shè)備類型 全千兆多協(xié)議交換機 交換方式 存儲 轉(zhuǎn)發(fā) 背板 帶寬（ Gbps） 48 包轉(zhuǎn)發(fā)率 VLAN支持 支持 MAC地址表 12K 網(wǎng)絡 網(wǎng)絡標準 ； ,IEEE ,IEEE ,IEEE 傳輸速率（ Mbps） 10/100/1000 端口 端口類型 10/100/1000BASET,1000BaseX SFP Combo 端口數(shù) 24 模塊化插槽數(shù) 4 其它 是否支持全雙工 全 /半雙工 網(wǎng)管功能 支持命令行接口（ CLI）配置 ,支持 Tel 遠程配置 ,支持通過 Console 口配置 ,支持 SNMP,支持RMON1， 2， 3， 9 組 MIB,支持華為 QuidView 網(wǎng)管系統(tǒng) ,支 持 WEB 網(wǎng)管 ,支持系統(tǒng)日志 ,支持分級告警 ,支 持 集 群 管 理 HGMP（ Huawei Group Management Protocol ） V2,支持 Modem 遠端撥號 ,支持 NTP,支持 SSH 堆疊 不支持 網(wǎng)絡 網(wǎng)絡標準 ； ,IEEE ,IEEE ,IEEE 傳輸速率（ Mbps） 10/100/1000 端口 端口類型 10/100/1000BASET,1000BaseX SFP Combo 端口數(shù) 24 模塊化插 槽數(shù) 4 其它 是否支持全雙工 全 /半雙工 網(wǎng)管功能 支持命令行接口（ CLI）配置 ,支持 Tel 遠程配置 ,支持通過Console口配置 ,支持 SNMP,支持 RMON1， 2， 3， 9組 MIB,支持華為 QuidView 網(wǎng)管系統(tǒng) ,支持 WEB 網(wǎng)管 ,支持系統(tǒng)日志 ,支持分級告警 ,支持集群管理 HGMP（ Huawei Group Management Protocol） V2,支持 Modem遠端撥號 ,支持 NTP,支持 SSH 堆疊 不支持 電氣規(guī)格 額定電壓（ V） AC:額定電壓范圍： 100V～ 240V .， 50/60Hz,最大電壓范圍：90V～ 264V .， 47/63Hz 額定功率（ W） 66 外觀 重量（ Kg） 5 長度（ mm） 360 寬度（ mm） 440 高度（ mm） 環(huán)境 工作溫度（ ℃ ） 0 45 工作濕度 10% 90% 工作高度（米） 3000 存儲溫度（ ℃ ） 40 70 存儲濕度 10% 90% 存儲高度（米） 6000 （ 2）、 華三 s550020tpsi 三層交換 ? 產(chǎn)品名稱： H3C20口網(wǎng) 管型三層 交換機 ? 產(chǎn)品型號： H3C S550020TPSI ? 產(chǎn)品品牌： H3C ? 供應方式： 金牌代理 ? 參考報價： 16,650 元 H3C S550020TPSI 性能規(guī)格