【正文】 接口。漏第 11 頁 共 20 頁洞管理系統(tǒng)包括硬件平臺和管理控制臺，部署在網(wǎng)絡(luò)的核心交換機處，對整個網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。網(wǎng)絡(luò)版防病毒系統(tǒng)具有集中式管理、分布式殺毒的特點，非常適合大型復(fù)雜網(wǎng)絡(luò)的部署。網(wǎng)絡(luò)版客戶端安裝方法： 網(wǎng)絡(luò)版客戶端有多種安裝方式，對于域用戶可以采用自動分發(fā)安裝的方式，使域中的用戶在登陸時自動安裝網(wǎng)絡(luò)版的客戶端，也可采用光盤直接安裝，網(wǎng)絡(luò)共享安裝；對于非域用戶可以采用網(wǎng)絡(luò)共享方式安裝，也可以采用光盤直接安裝。當某個 IP 通過路由器訪問 Inter 時，路由器要檢查發(fā)出這個 IP 廣播包的工作站的 MAC 是否與路由器上的 MAC 地址表相符，如果相符就放行。在路由器上綁定 IP 和 MAC 地址：R1(config)Mac accesslist extended MAC10 ＃定義一個 MAC 地址訪問控制列表并且命名該列表名為 MAC10 R1 (config)permit host any ＃定義 MAC 地址為 的主機能訪問任意主機 R1 (config)permit any host ＃定義所有主機能訪問 MAC 地址為 的主機 第 12 頁 共 20 頁R1 (config)Ip accesslist extended IP10 ＃定義一個 IP 地址訪問控制列表并且命名該列表名為 IP10 R1 (config)Permit any ＃定義 IP 地址為 的主機能訪問任意主機 Permit any ＃定義所有主機能訪問 IP 地址為 的主機 R1 (configif )interface Fa0/0 進入設(shè)置具體端口的模式 R1 (configif )mac accessgroup MAC10 in ＃在該端口上應(yīng)用名為 MAC10 的訪問列表（即前面我們定義的訪問策略） R1 (configif )Ip accessgroup IP10 in ＃在該端口上應(yīng)用名為 IP10 的訪問列表（即前面我們定義的訪問策略） 采用系統(tǒng)升級策略 首先升級控制中心，升級完畢后，客戶端通過控制中心升級，這樣在升級過程中可以最大程度的減少因訪問外部網(wǎng)絡(luò)而感染病毒的概率。在客戶端普通操作臺可以手動升級，也可以通過設(shè)置讓客戶端自動升級。這個結(jié)構(gòu)對于網(wǎng)絡(luò)規(guī)模擴大或新增節(jié)點都可以很容易地實現(xiàn)集中管理。 利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全對于校園網(wǎng)外部的入侵可以通過安裝防火墻來解決，但是對于校園網(wǎng)內(nèi)部的侵襲則無能為力。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。在子網(wǎng)內(nèi)若干計算機或服務(wù)器上安裝該監(jiān)聽軟件，這樣可以防止某些較高水平?“ 黑客”會覺察到他所在的服務(wù)器正在被監(jiān)聽，將檢測計算機也破壞掉。如果在一段時間內(nèi)聽不到其中一臺或幾臺計算機發(fā)出的信息，其它服務(wù)器也會發(fā)出警報，另外，不允許任何賬號的遠程登陸。 針對校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)及病毒特點，應(yīng)用網(wǎng)絡(luò)版防病毒系統(tǒng)的“遠程安裝”、“定時升級”、“集中管理”、“全網(wǎng)殺毒”、“遠程報警”、“無限分級”、“自由分組”等功能，對校園網(wǎng)絡(luò)中的核心應(yīng)用提供多層次和強有力的保護，可以適應(yīng)高校校園網(wǎng)復(fù)雜的應(yīng)用環(huán)境，滿足校園網(wǎng)對于全網(wǎng)防病毒的需求，有效解決整個校園網(wǎng)面臨的病毒威脅。防病毒服務(wù)器部署在核心交換機處，需要殺毒的每個終端安裝一個客戶端。這種新型的技術(shù)就是 WEB 防火墻。防火墻的不足主要體現(xiàn)在：傳統(tǒng)的防火墻作為訪問控制設(shè)備，主要工作在 OSI 模型三、四層，基于 IP報文進行檢測。因此，它也不可能對 HTML 應(yīng)用程序用戶端的輸入進行驗證、或是檢測到一個已經(jīng)被惡意修改過參數(shù)的 URL 請求。有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對 Web 應(yīng)用攻擊的研究深度不夠，只能提供非常有限的 Web 應(yīng)用防護，難以應(yīng)對當前最大的安全威脅，如 SQL 注入、跨站腳本。 Web 應(yīng)用防火墻（Web Application Firewall, 簡稱：WAF）代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的 Web 應(yīng)用安全問題?；趯?Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF 對來自 Web 應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。采用這種方式對原有網(wǎng)絡(luò)的傳輸性能沒有影響。一部分為監(jiān)控器，第 15 頁 共 20 頁主要負責如實的記錄下網(wǎng)絡(luò)上的傳輸數(shù)據(jù)，并將其存成硬盤上的文件，交給第二部分后臺分析其進行處理。然后在數(shù)據(jù)庫中添加相應(yīng)的紀錄。分析器可以有一臺安裝了 Windows NT 的 PC 機承擔，運用 SQL Server 等軟件共同開發(fā)。同時也可以進行設(shè)置，對郵件中的病毒進行檢測。 部署內(nèi)容安全管理系統(tǒng) 傳統(tǒng)網(wǎng)絡(luò)防護設(shè)備（如防火墻、入侵檢測系統(tǒng)等）是解決網(wǎng)絡(luò)安全問題的基礎(chǔ)設(shè)備，其所具備的訪問控制、網(wǎng)絡(luò)攻擊事件檢測等功能，能夠抵抗大多數(shù)來自外網(wǎng)的攻擊；但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的內(nèi)部正常網(wǎng)絡(luò)訪問行為。因此，我們還需要細粒度的應(yīng)用層和內(nèi)容層策略控制。 內(nèi)容安全管理系統(tǒng)設(shè)計目標旨在通過對網(wǎng)絡(luò)通信內(nèi)容、網(wǎng)絡(luò)行為和流量進行分析、過濾和控制，實現(xiàn)對網(wǎng)站訪問、郵件收發(fā)、P2P 下載、論壇、在線視頻等事件的全面有效管理。 使用校園網(wǎng)用戶認證計費管理系統(tǒng) 部署校園網(wǎng)用戶認證計費管理系統(tǒng)，對提供了 INTERNET 接入服務(wù)的學(xué)生和家屬進行身份認證和計費管理。第 16 頁 共 20 頁 在實現(xiàn)了 認證、授權(quán)功能的交換機上通過 MAC 地址+IP 地址的綁定功能來阻止假冒 MAC 地址的用戶非法訪問。 對于靜態(tài)分配地址的方案，由于具有同一 IP 地址的兩臺終端設(shè)備必然會造成 IP 地址沖突，因此同時假冒 MAC 地址和 IP 地址的方法也是不可行的。 對于假冒 IP 地址的情況由于 采用了基于二層的認證方式，因此，當采用動態(tài)地址分配方案時，只有用戶認證通過后，才能夠分配到 IP 網(wǎng)絡(luò)地址。 認證計費網(wǎng)關(guān)串聯(lián)在 INTERNET 出口處，在需要認證的 PC 上安裝身份認證客戶端。Inter 面向人類的社會，世界上數(shù)以億計的人們利用它進行通信和信息共享，通過發(fā)送和接收電子郵件，或和其他人的計算機建立連接、參加各種討論組并免費使用各種信息資源實現(xiàn)信息共享。該設(shè)計方案是針對大學(xué)校園的實際情況進行現(xiàn)狀以及需求分析，制定出的適合本校的校園網(wǎng)絡(luò)設(shè)計方案。學(xué)校校園網(wǎng)絡(luò)安全、穩(wěn)定、快速發(fā)展，網(wǎng)內(nèi)的數(shù)據(jù)資料實現(xiàn)安全管理、合理、有效的存儲和備份，從第 17 頁 共 20 頁而會有利于提高學(xué)校校園網(wǎng)內(nèi)教學(xué)資源的傳送速度，節(jié)省時間，提高教學(xué)質(zhì)量，為我國教育事業(yè)的發(fā)展插上有力的翅膀。此外，通過本次的網(wǎng)絡(luò)設(shè)計，使我學(xué)到了不少東西，學(xué)習(xí)了常見的網(wǎng)絡(luò)設(shè)備。彌補了以前因為上課聽講不夠?qū)Ｐ穆兜舻脑S多知識的不足費晶，陳元，[M].Lars [M].電子工業(yè)出版社，2022李亞恒