【正文】 校園網(wǎng)復(fù)雜的應(yīng)用環(huán)境，滿足校園網(wǎng)對(duì)于全網(wǎng)防病毒的需求，有效解決整個(gè)校園網(wǎng)面臨的病毒威脅。 防病毒系統(tǒng)由服務(wù)器端和客戶端組成。防病毒服務(wù)器部署在核心交換機(jī)處，需要?dú)⒍镜拿總€(gè)終端安裝一個(gè)客戶端。第 14 頁(yè) 共 20 頁(yè) 部署 Web,Email,BBS 的安全監(jiān)測(cè)系統(tǒng) 高校網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來(lái)應(yīng)對(duì) WEB 攻擊，保證網(wǎng)站安全，維護(hù)高校聲譽(yù)；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是 WEB 防火墻。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì) Web 應(yīng)用攻擊完善的防御能力。防火墻的不足主要體現(xiàn)在：傳統(tǒng)的防火墻作為訪問控制設(shè)備，主要工作在 OSI 模型三、四層，基于 IP報(bào)文進(jìn)行檢測(cè)。設(shè)計(jì)之初，它就無(wú)需理解 Web 應(yīng)用程序語(yǔ)言如 HTML 及 XML，也無(wú)需理解 HTTP 會(huì)話。因此，它也不可能對(duì) HTML 應(yīng)用程序用戶端的輸入進(jìn)行驗(yàn)證、或是檢測(cè)到一個(gè)已經(jīng)被惡意修改過參數(shù)的 URL 請(qǐng)求。惡意的攻擊流量將封裝為 HTTP 請(qǐng)求，從 80 或 443 端口順利通過防火墻檢測(cè)。有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對(duì) Web 應(yīng)用攻擊的研究深度不夠，只能提供非常有限的 Web 應(yīng)用防護(hù)，難以應(yīng)對(duì)當(dāng)前最大的安全威脅，如 SQL 注入、跨站腳本。對(duì)網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬這類緊迫問題，更是無(wú)能為力。 Web 應(yīng)用防火墻（Web Application Firewall, 簡(jiǎn)稱：WAF）代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無(wú)策的 Web 應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF 工作在應(yīng)用層，因此對(duì) Web 應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)。基于對(duì) Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF 對(duì)來(lái)自 Web 應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。 在校園網(wǎng)的 服務(wù)器、Email 服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲 Inter 網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的、Email、FTP、Tel 應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告，采取措施。在這里可以采取如下方法：用一臺(tái) PC 機(jī)通過集掀起連接在網(wǎng)絡(luò)的關(guān)鍵網(wǎng)段上，修改網(wǎng)卡的接收方式，就能接收到這個(gè)網(wǎng)段上傳輸?shù)乃行畔?。采用這種方式對(duì)原有網(wǎng)絡(luò)的傳輸性能沒有影響。系統(tǒng)基本上通過兩部分組成。一部分為監(jiān)控器，第 15 頁(yè) 共 20 頁(yè)主要負(fù)責(zé)如實(shí)的記錄下網(wǎng)絡(luò)上的傳輸數(shù)據(jù)，并將其存成硬盤上的文件，交給第二部分后臺(tái)分析其進(jìn)行處理。第二部分為后臺(tái)分析器，負(fù)責(zé)對(duì)前臺(tái)監(jiān)控器記錄下的數(shù)據(jù)進(jìn)行處理，將前臺(tái)監(jiān)控器截獲的數(shù)據(jù)拼裝、還原成應(yīng)用層的完整內(nèi)容。然后在數(shù)據(jù)庫(kù)中添加相應(yīng)的紀(jì)錄。監(jiān)控器可以采用一臺(tái)裝有兩塊儀態(tài)網(wǎng)卡的 PC機(jī)，采用 Linux 操作系統(tǒng)。分析器可以有一臺(tái)安裝了 Windows NT 的 PC 機(jī)承擔(dān)，運(yùn)用 SQL Server 等軟件共同開發(fā)。這樣可以對(duì)進(jìn)入站內(nèi)的各種信息進(jìn)行檢測(cè)，這樣可以過濾 等非法信息。同時(shí)也可以進(jìn)行設(shè)置，對(duì)郵件中的病毒進(jìn)行檢測(cè)。從而阻止病毒進(jìn)入局域網(wǎng)。 部署內(nèi)容安全管理系統(tǒng) 傳統(tǒng)網(wǎng)絡(luò)防護(hù)設(shè)備（如防火墻、入侵檢測(cè)系統(tǒng)等）是解決網(wǎng)絡(luò)安全問題的基礎(chǔ)設(shè)備，其所具備的訪問控制、網(wǎng)絡(luò)攻擊事件檢測(cè)等功能，能夠抵抗大多數(shù)來(lái)自外網(wǎng)的攻擊；但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的內(nèi)部正常網(wǎng)絡(luò)訪問行為。然而，相對(duì)于網(wǎng)絡(luò)層安全，由正常網(wǎng)絡(luò)應(yīng)用行為導(dǎo)致的安全事件，更加隱蔽，不易察覺，所以損失也更加巨大。因此，我們還需要細(xì)粒度的應(yīng)用層和內(nèi)容層策略控制。實(shí)現(xiàn)這個(gè)目標(biāo)的新技術(shù)就是內(nèi)容安全管理。 內(nèi)容安全管理系統(tǒng)設(shè)計(jì)目標(biāo)旨在通過對(duì)網(wǎng)絡(luò)通信內(nèi)容、網(wǎng)絡(luò)行為和流量進(jìn)行分析、過濾和控制，實(shí)現(xiàn)對(duì)網(wǎng)站訪問、郵件收發(fā)、P2P 下載、論壇、在線視頻等事件的全面有效管理。 通過內(nèi)容安全管理，高?？梢誀I(yíng)造健康的網(wǎng)絡(luò)環(huán)境，屏蔽色情、暴力等不良網(wǎng)站；對(duì)學(xué)生的上網(wǎng)行為有效監(jiān)管，屏蔽學(xué)生在一些網(wǎng)站、論壇、博客中發(fā)布的危害國(guó)家聲譽(yù)的言論，阻止不良信息擴(kuò)散；加強(qiáng)對(duì) P2P 等應(yīng)用的流量管理，保障網(wǎng)絡(luò)資源合理使用。 使用校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)管理系統(tǒng) 部署校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)管理系統(tǒng)，對(duì)提供了 INTERNET 接入服務(wù)的學(xué)生和家屬進(jìn)行身份認(rèn)證和計(jì)費(fèi)管理。通過計(jì)費(fèi)網(wǎng)關(guān)和智能交換機(jī) 協(xié)議的配合，完成合法用戶的認(rèn)證，防止代理私接；MAC、IP 地址假冒。第 16 頁(yè) 共 20 頁(yè) 在實(shí)現(xiàn)了 認(rèn)證、授權(quán)功能的交換機(jī)上通過 MAC 地址+IP 地址的綁定功能來(lái)阻止假冒 MAC 地址的用戶非法訪問。 對(duì)于動(dòng)態(tài)分配 IP 地址的網(wǎng)絡(luò)系統(tǒng)，由于非法用戶無(wú)法預(yù)先獲知其他用戶將會(huì)分配到的 IP 地址，因此他即使假冒合法用戶的 MAC 地址也無(wú)法偽造 IP 地址，也就無(wú)法冒充合法用戶訪問網(wǎng)絡(luò)資源。 對(duì)于靜態(tài)分配地址的方案，由于具有同一 IP 地址的兩臺(tái)終端設(shè)備必然會(huì)造成 IP 地址沖突，因此同時(shí)假冒 MAC 地址和 IP 地址的方法也是不可行的。 當(dāng)假冒者和合法用戶分屬于認(rèn)證交換機(jī)兩個(gè)不同的物理端口，則假冒者即使知道合法用戶的 MAC 地址，而由于該 MAC 地址不在同一物理端口，因此，假冒者還是無(wú)法進(jìn)入網(wǎng)絡(luò)系統(tǒng)。 對(duì)于假冒 IP 地址的情況由于 采用了基于二層的認(rèn)證方式，因此，當(dāng)采用動(dòng)態(tài)地址分配方案時(shí)，只有用戶認(rèn)證通過后，才能夠分配到 IP 網(wǎng)絡(luò)地址。 對(duì)于靜態(tài)地址分配策略，如果假冒了 IP 地址，而沒有能夠通過認(rèn)證，也不會(huì)與正在使用該地址的合法用戶發(fā)生地址沖突。 認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)串聯(lián)在 INTERNET 出口處，在需要認(rèn)證的 PC 上安裝身份認(rèn)證客戶端。Inter 是一個(gè)資源的網(wǎng)絡(luò)，其中擁有的信息資源幾乎覆蓋所有的領(lǐng)域。Inter 面向人類的社會(huì)，世界上數(shù)以億計(jì)的人們利用它進(jìn)行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計(jì)算機(jī)建立連接、參加各種討論組并免費(fèi)使用各種信息資源實(shí)現(xiàn)信息共享。大學(xué)建設(shè)自己的校園網(wǎng)絡(luò)有助于大學(xué)生接觸最新信息，拓展認(rèn)知。該設(shè)計(jì)方案是針對(duì)大學(xué)校園的實(shí)際情況進(jìn)行現(xiàn)狀以及需求分析，制定出的適合本校的校園網(wǎng)絡(luò)設(shè)計(jì)方案。方案設(shè)計(jì)網(wǎng)絡(luò)的三層結(jié)構(gòu)的設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)洌W(wǎng)絡(luò)安全域管理，綜合布線等。學(xué)校校園網(wǎng)絡(luò)安全、穩(wěn)定、快速發(fā)展，網(wǎng)內(nèi)的數(shù)據(jù)資料實(shí)現(xiàn)安全管理、合理、有效的存儲(chǔ)和備份，從第 17 頁(yè) 共 20 頁(yè)而會(huì)有利于提高學(xué)校校園網(wǎng)內(nèi)教學(xué)資源的傳送速度，節(jié)省時(shí)間，提高教學(xué)質(zhì)量，為我國(guó)教育事業(yè)的發(fā)展插上有力的翅膀。校園網(wǎng)絡(luò)技術(shù)的發(fā)展解決了中國(guó)教育信息化進(jìn)程中的應(yīng)用，將有利于為我國(guó)培養(yǎng)出更多的棟梁之才。此外，通過本次的網(wǎng)絡(luò)設(shè)計(jì)，使我學(xué)到了不少東西，學(xué)習(xí)了常見的網(wǎng)絡(luò)設(shè)備。交換機(jī)和路由器，防火墻等，還學(xué)習(xí)了相關(guān)的配置設(shè)置。彌補(bǔ)了以前因?yàn)樯险n聽講不夠?qū)Ｐ穆兜舻脑S多知識(shí)的不足費(fèi)晶，陳元，[M].Lars [M].電子工業(yè)出版社，2022李亞