【正文】 問題導(dǎo)致校園網(wǎng)絡(luò)不能正常的提供良好的服務(wù)，經(jīng)常給用戶帶來困擾。當(dāng)某些沒有 IP 地址的用戶，冒用他人的合法 IP 地址時(shí)，就會(huì)造成網(wǎng)絡(luò)內(nèi)部地址的沖突，嚴(yán)重阻礙了合法用戶的正常使用。然而不幸的是，一般情況下大部分的攻擊是來自局域網(wǎng)的內(nèi)部人員。 Email 問題，由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會(huì)給校園網(wǎng)的 Email 用戶發(fā)一些不良內(nèi)容的信件，有時(shí)還會(huì)攜帶各種各樣的病毒。 各種服務(wù)器和網(wǎng)絡(luò)設(shè)備的掃描和攻擊，有時(shí)會(huì)有一些用戶對(duì)校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和攻擊，造成網(wǎng)絡(luò)負(fù)載過重，致使服務(wù)器拒絕提供服務(wù)，或造成校園網(wǎng)不能提供正常的服務(wù)。 病毒防護(hù)的問題，互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡(luò)運(yùn)營(yíng)成為社會(huì)時(shí)尚，但同時(shí)也為病毒感染和快速傳播提供了途徑。近階段泛濫的“尼姆達(dá)病毒”就是典型的例子。第 3 頁 共 20 頁 校園網(wǎng)安全問題存在的原因雖然學(xué)校在網(wǎng)絡(luò)入口部署了防火墻和入侵檢測(cè)系統(tǒng)阻止了外部對(duì)學(xué)校內(nèi)部網(wǎng)絡(luò)的攻擊，但是防火墻無法對(duì)學(xué)校內(nèi)部從 Inter 上下載的通過 HTTP、FTP、SMTP 等形式的數(shù)據(jù)進(jìn)行進(jìn)一步的分析，可是一些病毒例如蠕蟲病毒往往會(huì)隱藏在這些下載的文件中，一旦用戶運(yùn)行了這些文件，就會(huì)在整個(gè)校園網(wǎng)中爆發(fā)蠕蟲病毒，導(dǎo)致網(wǎng)絡(luò)癱瘓。郵件病毒不但會(huì)對(duì)桌面級(jí)的系統(tǒng)造成如占用磁盤空間，修改或破壞文件中的數(shù)據(jù)，大量消耗系統(tǒng)資源等危害，還會(huì)使郵件系統(tǒng)本身癱瘓，消耗大量的網(wǎng)絡(luò)資源使網(wǎng)絡(luò)速度變慢，同時(shí)使郵件用戶收到大量的垃圾郵件。如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；再加上使用 BT 等 P2P 軟件下載電影、游戲?qū)φ麄€(gè)網(wǎng)絡(luò)的帶寬產(chǎn)生了嚴(yán)重的影響，使得學(xué)校的業(yè)務(wù)無法正常的開展。例如 Windows NT/202Windows Server 的普遍性和可操作性使它成為最不安全的系統(tǒng):自身系統(tǒng)安全漏洞、瀏覽器的漏洞、IIS 的漏洞等。因?yàn)槟壳暗臍⒍拒浖Ч焕硐?，或者已?jīng)被病毒干掉或者是被老師擅自卸載，而在卸載之后計(jì)算機(jī)上有的安裝了盜版的殺毒軟件有的沒有再安裝任何殺毒軟件。圖書館、實(shí)驗(yàn)樓的 PC 機(jī)上學(xué)生經(jīng)常使用 U 盤拷貝游戲、文檔，在上課期間聊 、玩游戲、上網(wǎng)灌水聊天，甚至登陸色情、暴力、違法網(wǎng)站等，不務(wù)正業(yè)。雖然大部分 PC 都安裝了還原卡，但是已經(jīng)不能阻擋病毒的入侵，病毒往往能穿透還原卡和還原軟件。第 4 頁 共 20 頁2 安全解決方案設(shè)計(jì) 需求分析針對(duì)校園網(wǎng)長(zhǎng)期以來校園網(wǎng)絡(luò)出現(xiàn)的各種問題，對(duì)校園網(wǎng)的需求提出了一下幾點(diǎn)：防止校園網(wǎng)外部用戶對(duì)校園網(wǎng)內(nèi)的用戶進(jìn)行攻擊校園網(wǎng)外部用戶只能訪問 WWW 服務(wù)、MAIL 服務(wù)，其他服務(wù)只對(duì)校園網(wǎng)內(nèi)部用戶開放。需要防病毒系統(tǒng) 網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)的先進(jìn)性和實(shí)用性的原則：采用的硬軟件系統(tǒng)既有技術(shù)的先進(jìn)性，又有很高的性能價(jià)格比；網(wǎng)絡(luò)的開放性和兼容性的原則：選擇符合國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)硬軟件產(chǎn)品，有很好的互換、擴(kuò)展和升級(jí)能力；網(wǎng)絡(luò)的靈活性和可靠性的原則：網(wǎng)絡(luò)系統(tǒng)能夠適應(yīng)各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)，易于今后向更先進(jìn)的技術(shù)遷移，并且要有很好的容錯(cuò)能力；網(wǎng)絡(luò)的可管理性和易維護(hù)性原則：配置網(wǎng)管軟件，采用具有可管理的網(wǎng)絡(luò)設(shè)備，以便合理規(guī)劃網(wǎng)絡(luò)資源和控制網(wǎng)絡(luò)運(yùn)行。第 5 頁 共 20 頁 網(wǎng)絡(luò)拓?fù)鋱D 安全設(shè)計(jì)原則 ：身份識(shí)別是對(duì)網(wǎng)絡(luò)用戶、主機(jī)、應(yīng)用、服務(wù)和資源的準(zhǔn)確、積極的識(shí)別。數(shù)字證書智能卡和目錄服務(wù)等新技術(shù)正開始在身份識(shí)別解決方案中占越來越重要的作用。帶接入控制列表和/或狀態(tài)防火墻、以及專用防火墻設(shè)施的路由器和交換機(jī)提供了這種控制。 ：當(dāng)必須保護(hù)信息免遭竊聽時(shí)，按需提供經(jīng)驗(yàn)證的保密通信第 6 頁 共 20 頁的能力是十分重要的。然而，更高私密性要求常需要使用 IPSec 等數(shù)字加密技術(shù)和協(xié)議。 ：為確保網(wǎng)絡(luò)安全，重要的是定期測(cè)試和監(jiān)控安全準(zhǔn)備狀態(tài)。利用安全監(jiān)控解決方案，機(jī)構(gòu)可了解網(wǎng)絡(luò)數(shù)據(jù)流和網(wǎng)絡(luò)的安全狀態(tài)。隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜度的增加，對(duì)集中策略管理工具的需求也隨之提高。除安全要求外，網(wǎng)絡(luò)安全設(shè)計(jì)還必須具備網(wǎng)絡(luò)彈性、性能和可擴(kuò)展性。典型地，在 Inter 與校園網(wǎng)之間部署一臺(tái)防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。那么，通過 Inter 進(jìn)來的公眾用戶只能訪問到對(duì)外公開的一些服務(wù)（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。總體上遵從“不被允許的服務(wù)就是被禁止”的原則；將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的 IP 包，這樣第 7 頁 共 20 頁可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法 IP 地址離開內(nèi)部網(wǎng)絡(luò)的 IP 包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊；在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的 IP 地址和 MAC 地址的對(duì)應(yīng)表，防止 IP 地址被盜用；定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。2. 打開 PIX 防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣?？梢赃M(jìn)行進(jìn)一步的配置了。6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。 入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection System）是繼防火墻之后迅猛發(fā)展起來的一類安全產(chǎn)品，它通過檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時(shí)識(shí)別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。IDS 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無能為力；蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來越短，使用戶來不及對(duì)入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。它從漏洞的整個(gè)生命周期著手，在周期的不同階段采取不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。 通過漏洞管理產(chǎn)品，集中、及時(shí)找出漏洞并詳細(xì)了解漏洞相關(guān)信息，不需要用戶每天去關(guān)注不同廠商的漏洞公告，因?yàn)楦鱾€(gè)廠商的漏洞公告不會(huì)定期發(fā)布，即使發(fā)布了漏洞公告絕大多數(shù)用戶也不能夠及時(shí)地獲得相關(guān)信息。漏洞管理產(chǎn)品根據(jù)評(píng)估結(jié)果定性、定量分析網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)，反映用戶網(wǎng)絡(luò)安全問題，并把問題的重要性和優(yōu)先級(jí)進(jìn)行分類，方便用戶有效地落實(shí)漏洞修補(bǔ)和風(fēng)險(xiǎn)規(guī)避的工作流程，并為補(bǔ)丁管理產(chǎn)品提供相應(yīng)的