【正文】 網(wǎng)絡(luò)的整體管理水平和安全等級(jí)。比如：針對(duì)網(wǎng)絡(luò)攻擊和病毒、木馬、垃圾郵件等不良信息的傳播，可增加 UTM設(shè)備，并開啟防火墻、病毒網(wǎng)關(guān)和垃圾郵件過濾等功能，最大限度地減少網(wǎng)絡(luò)攻擊和不良信息對(duì)校園網(wǎng)的影響；結(jié)合內(nèi)網(wǎng)安全防范要求，增加內(nèi)網(wǎng)安全管理系統(tǒng)，增強(qiáng)內(nèi)網(wǎng)安全防護(hù)的能力；為規(guī)范和有效審核學(xué)生上網(wǎng)行為，可配置上網(wǎng)行為管理系統(tǒng)，實(shí)現(xiàn)對(duì)校園網(wǎng)用戶上網(wǎng)行為的監(jiān)管；要解決校園網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，難于管理的問題，可通過配置網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)來增強(qiáng)對(duì)校園網(wǎng)的運(yùn)維管理能力；隨著學(xué)校教學(xué)教改的項(xiàng)目增多，對(duì)校園網(wǎng) Web應(yīng)用提出了更高的要求，可安裝 Web應(yīng)用防御系統(tǒng)改善 Web應(yīng)用系統(tǒng)安全狀況。 項(xiàng)目三 校園網(wǎng)安全設(shè)計(jì) 【 預(yù)備知識(shí) 】 知識(shí) 1 校園網(wǎng)的安全背景 知識(shí) 2 校園網(wǎng)的安全問題 知識(shí) 1 校園網(wǎng)的安全背景 一、校園網(wǎng)的功能 ? 信息交互 ? 教學(xué)服務(wù) ? 網(wǎng)上管理 ? 科研服務(wù) 知識(shí) 1 校園網(wǎng)的安全背景 二、校園網(wǎng)的安全特點(diǎn) ? 校園網(wǎng)的網(wǎng)絡(luò)組成結(jié)構(gòu)復(fù)雜。 ? 用戶類型多，學(xué)生群體活躍。 ? 應(yīng)用系統(tǒng)多，功能復(fù)雜。 ? 網(wǎng)絡(luò)環(huán)境開放。 ? 網(wǎng)絡(luò)安全投入少，管理不足。 ? 盜版資源泛濫，導(dǎo)致系統(tǒng)的安全性很低。 知識(shí) 2 校園網(wǎng)的安全問題 一、校園網(wǎng)面臨的安全問題 ? 物理層。物理層主要面臨四方面的安全問題：環(huán)境安全，設(shè)備安全，線路安全，容災(zāi)備份。 ? 數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層上最常見的攻擊手段是數(shù)據(jù)監(jiān)聽。 ? 網(wǎng)絡(luò)層。網(wǎng)絡(luò)層是 TCP/IP協(xié)議模型的核心，在網(wǎng)絡(luò)層運(yùn)行著許多協(xié)議，由于初期設(shè)計(jì)時(shí)沒有考慮到安全方面的問題，這些協(xié)議大都存在著安全隱患。 ? 傳輸層。傳輸層面臨的問題主要是大量的針對(duì) TCP/UDP協(xié)議的攻擊。針對(duì) TCP的攻擊主要是利用 TCP的三次握手機(jī)制，如 SYNFlooding攻擊、 ACK Flooding攻擊等；而針對(duì) UDP的攻擊主要是進(jìn)行流量攻擊，利用 UDP通信的不可靠性以達(dá)到拒絕服務(wù)的目的。 ? 應(yīng)用層。應(yīng)用層面臨的問題主要是針對(duì)應(yīng)用程序的設(shè)計(jì)漏洞進(jìn)行攻擊。如對(duì)應(yīng)用協(xié)議漏洞的攻擊、對(duì)系統(tǒng)漏洞的攻擊、對(duì)操作系統(tǒng)平臺(tái)的攻擊等。 知識(shí) 2 校園網(wǎng)的安全問題 二、校園網(wǎng)安全需求 校園網(wǎng)的安全一定是全方位的安全。首先，在網(wǎng)絡(luò) 出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾； 其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具 備強(qiáng)大的安全防護(hù)能力，并且安全策略部署不能影響到 網(wǎng)絡(luò)的性能，不能造成網(wǎng)絡(luò)單點(diǎn)故障；其三，要充分考 慮全局統(tǒng)一的安全要求，要能夠從接入控制，到網(wǎng)絡(luò)安 全事件的深度探測(cè)，與現(xiàn)有的安全設(shè)備能夠?qū)崿F(xiàn)有機(jī)的 聯(lián)動(dòng)；要有對(duì)安全事件觸發(fā)源的準(zhǔn)確定位能力，具有身 份隔離與修復(fù)措施，形成一個(gè)由內(nèi)至外的整體網(wǎng)絡(luò)的安 全構(gòu)架。 知識(shí) 2 校園網(wǎng)的安全問題 二、校園網(wǎng)安全需求 一般而言，校園網(wǎng)的安全要注意重視如下幾個(gè)安全要點(diǎn) ： ? 校園網(wǎng)應(yīng)禁止外部非校園網(wǎng)用戶未經(jīng)許可訪問內(nèi)部數(shù)據(jù)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器數(shù)據(jù)的安全防護(hù)。 ? 校園網(wǎng)內(nèi)部各部門、個(gè)人之間網(wǎng)絡(luò)訪問進(jìn)行控制，各部門、個(gè)人之間在未經(jīng)授權(quán)的情況下，不能相互訪問，要實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯或物理隔離。 ? 加強(qiáng)網(wǎng)絡(luò)監(jiān)控，要實(shí)現(xiàn)對(duì)涉及重要服務(wù)器數(shù)據(jù)的攻擊行為的紀(jì)錄與分析。 ? 要加強(qiáng)網(wǎng)絡(luò)病毒的防范。 ? 要加強(qiáng)安全管理，對(duì)校園網(wǎng)內(nèi)部訪問進(jìn)行規(guī)范化管理。 知識(shí) 2 校園網(wǎng)的安全問題 二、校園網(wǎng)安全需求 校園網(wǎng)安全設(shè)計(jì)應(yīng)該實(shí)現(xiàn)以下安全目標(biāo)： ? 建立一套完備可行的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略。 ? 限制各鏈路上的服務(wù)請(qǐng)求內(nèi)容，使非法訪問在到達(dá)主機(jī)前被拒絕。 ? 對(duì)合法用戶訪問加強(qiáng)認(rèn)證，將用戶的訪問權(quán)限控制在最低限度。 ? 全面監(jiān)視對(duì)主機(jī)的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作或黑客攻擊行為。 ? 加強(qiáng)對(duì)各種訪問的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)和主機(jī)的訪問行為，形成完整的系統(tǒng)日志。 ? 進(jìn)行網(wǎng)絡(luò)安全掃描，主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)的安全漏洞。 ? 建立完整的系統(tǒng)防病毒體系，防止病毒的侵害。 ? 提供網(wǎng)絡(luò)監(jiān)控和維護(hù)工具，了解和記錄網(wǎng)絡(luò)結(jié)構(gòu)變化，監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況。 ? 提高全體人員的網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全防范的能力。 知識(shí) 2 校園網(wǎng)的安全問題 三、校園網(wǎng)安全需求差異 任務(wù) 1 校園網(wǎng)安全現(xiàn)狀 一、 A學(xué)校背景情況 A學(xué)校為一所普通高等院校，現(xiàn)有教職工 1 千人，全日制在校生 。學(xué)校目前有 9個(gè)院 系， 50個(gè)專業(yè)。擁有公共多媒體教室 80間， 150 個(gè)校內(nèi)專業(yè)實(shí)訓(xùn)室，其中公共及專業(yè)計(jì)算機(jī)機(jī)房 30間，計(jì)算機(jī) 2022臺(tái)。圖書館數(shù)字圖書、文獻(xiàn) 期刊 75萬余冊(cè)（套）。 任務(wù) 1 校園網(wǎng)安全現(xiàn)狀 二、校園網(wǎng)現(xiàn)狀 校園網(wǎng)由核心層、匯聚層和接入層構(gòu)成，根據(jù)用戶類型和不同功能區(qū)域劃分出 多個(gè) VLAN，實(shí)現(xiàn)邏輯聯(lián)接。 主要數(shù)據(jù)交換設(shè)備包括：核心交換機(jī) 3臺(tái)，匯聚層三層交換機(jī) 25臺(tái)，接 入二層交換機(jī) 300余臺(tái)（部分匯聚層和接入層設(shè)備沒有在以上拓?fù)涫疽鈭D中顯示） 網(wǎng)絡(luò)安防系統(tǒng)包括：防火墻、與防火墻配套的訪問日志管理系統(tǒng)、流量管理系 統(tǒng)、入侵檢測(cè)系統(tǒng)（ IDS）、數(shù)據(jù)備份系統(tǒng) 各檔次校園網(wǎng)服務(wù)器 30臺(tái)，其中使用的網(wǎng)絡(luò)操作系統(tǒng)包括 Win Server、 Unix、 Linux；數(shù)據(jù)庫系統(tǒng)包括 ORACLE、 SQL Server和 MySQL等。 校園網(wǎng)提供的網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)主要包括：網(wǎng)絡(luò)基礎(chǔ)服務(wù)（如：信息門戶、學(xué) 校 WWW服務(wù)、 Email服務(wù)、 DNS服務(wù)、 DHCP服務(wù)等）、管理類服務(wù)系統(tǒng)（如：統(tǒng) 一身份認(rèn)證、協(xié)同辦公系統(tǒng)、教務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、學(xué)生工作管理系統(tǒng)、一 卡通系統(tǒng)、人事、設(shè)備、科研和圖書管理系統(tǒng)，以及學(xué)生上網(wǎng)計(jì)費(fèi)管理系統(tǒng)等）、教 學(xué)類服務(wù)系統(tǒng)（如：網(wǎng)絡(luò)課程平臺(tái)、資源管理系統(tǒng)、精品課程制作平臺(tái)、網(wǎng)上多媒體 課件庫系統(tǒng)等）、數(shù)字圖書資源系統(tǒng)（如：數(shù)字圖書、電子期刊文獻(xiàn)庫系統(tǒng)等）等近 30項(xiàng)應(yīng)用系統(tǒng)。 任務(wù) 1 校園網(wǎng)安全現(xiàn)狀 三、 A學(xué)校校園網(wǎng)安全問題分析 ? 防火墻設(shè)備。 ? 訪問日志管理系統(tǒng)。 ? 流量管理系統(tǒng)。 ? 入侵檢測(cè)系統(tǒng)。 ? 數(shù)據(jù)備份。 任務(wù) 1 校園網(wǎng)安全現(xiàn)狀 三、 A學(xué)校校園網(wǎng)安全問題分析 。 ? 流量限制。 ? 對(duì)內(nèi)網(wǎng)的安全防范措施較為薄弱。 ? 對(duì)郵件系統(tǒng)缺乏應(yīng)有的過濾系統(tǒng)。 ? 對(duì)校園網(wǎng)學(xué)生用戶上網(wǎng)行為缺乏有效監(jiān)控、規(guī)范和管理手段。 ? 缺少統(tǒng)一的網(wǎng)絡(luò)管理系統(tǒng)。 ? 外網(wǎng) Web應(yīng)用系統(tǒng)缺少專門防護(hù)措施。 任務(wù) 2 校園網(wǎng)安全優(yōu)化 一、校園網(wǎng)安全優(yōu)化要求 ? 防止互聯(lián)網(wǎng)用戶對(duì)校園網(wǎng)進(jìn)行非授權(quán)訪問和惡意攻擊，防止互聯(lián)網(wǎng)病毒的危害和傳播。 ? 加強(qiáng)對(duì)郵件系統(tǒng)的安全保護(hù)，防止垃圾郵件、病毒、木馬等具有不良或危害信息通過郵件系統(tǒng)傳播到校園網(wǎng)內(nèi)部，以減少校園網(wǎng)內(nèi)部系統(tǒng)的遭受破壞的渠道。 ? 完善對(duì)學(xué)生用戶上行為規(guī)范、監(jiān)控和管理手段，積極引導(dǎo)用戶訪問內(nèi)容健康的網(wǎng)絡(luò)信息，參與積極向上、有益于身心健康的網(wǎng)絡(luò)活動(dòng)。 ? 提高網(wǎng)絡(luò)運(yùn)維管理能力和效率，從直觀友好的網(wǎng)絡(luò)管理系統(tǒng)界面上，及時(shí)掌握校園網(wǎng)中各部分網(wǎng)絡(luò)設(shè)備和系統(tǒng)運(yùn)行狀態(tài)，提前預(yù)示網(wǎng)絡(luò)中可能存在的問題，快速反映網(wǎng)絡(luò)故障點(diǎn)。 ? 加強(qiáng)對(duì)外網(wǎng)提供服務(wù)的 Web應(yīng)用系統(tǒng)監(jiān)控和保護(hù)，提升 Web應(yīng)用系統(tǒng)的安全性、可用性。 任務(wù) 2 校園網(wǎng)安全優(yōu)化 二、簡(jiǎn)單部署說明 UTM類產(chǎn)品，替換原有單純只是防火墻功 能的設(shè)備。 啟用 UTM設(shè)備的防火墻、防病毒和防垃圾郵件功能，流 量管理系統(tǒng)仍使用原有設(shè)備。通過在 UTM上設(shè)置訪問控制規(guī)則，可 以對(duì)進(jìn)出內(nèi)網(wǎng)的用戶進(jìn)行訪問控制，有效防止黑客攻擊，以及病毒 和垃圾郵件侵入，以保障內(nèi)網(wǎng)安全。 。 L2TP鏈路上網(wǎng)的學(xué)生用戶區(qū)增加上網(wǎng)行為管理系統(tǒng)，部 署上網(wǎng)行為管理產(chǎn)品可以實(shí)現(xiàn)以下主要目的： ? 提供有效的網(wǎng)址訪問審計(jì)： ? 限制敏感類型網(wǎng)址訪問： ? 論壇發(fā)貼關(guān)鍵字過濾： ? 論壇發(fā)貼審計(jì) 任務(wù) 2 校園網(wǎng)安全優(yōu)化 二、簡(jiǎn)單部署說明 4. 引進(jìn)一套功能齊全、易操作且界面直觀友好的 網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)。 web應(yīng)用安全防御系統(tǒng)。所配置的 Web應(yīng) 用安全防御設(shè)備布放在防火墻與外網(wǎng)服務(wù)器群交 換機(jī)之間。