高级网络安全作业

高级安全网络课程设计。

题目：校园网络安全规划设计

院(系软件学院。

专业年级：软件工程 2010级。

姓名刘佳。学号101530446

目录。第一章概述 2

1.1 高校校园网络安全建设意义 2

第二章高校校园网络特点分析 2

第三章网络安全解决方案 3

3.1 高校校园网络安全建设原则 3

3.2部署防火墙 4

3.3部署入侵检测/保护系统 5

3.4 部署漏洞管理系统 6

3.5部署网络防病毒系统 7

3.6 部署web应用防护系统 9

3.7 部署内容安全管理系统 11

3.8 部署校园网用户认证计费管理系统 12

3.9高校校园网络安全建设分步实施建议 13

随着网络的普及和发展，高校信息化建设也在快速地进行，校园网在高校及教育系统中的作用越来越大，已经成为高校重要的基础设施，对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前，校园网络已遍及学校的各个部门，有的学校已将网络线通入学生寝室，网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立，能促进学校实现管理网络化和教学手段现代化，对提高学校的管理水平和教学质量具有十分重要的意义。

但是，网络中的种种不安全因素（如病毒、黑客的非法入侵、有害信息等）也无时无刻不在威胁校园网络的健康发展，成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理，保证校园网安全、稳定、高效地运转，使其发挥应有的作用，已经成为学校需要解决的重大问题，也是校园网络管理的重要任务。

高校校园网络具有如下特点：

1、网络规模大，设备多。从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备。

2、校园网通常是双出口结构，分别与 cernet、internet 互联。

3、用户种类丰富。按用户类型可以划分为教学区（包括教学楼、图书馆、实验楼等）、办公区（包括财务处、学生处、食堂等）、学生生活区、家属区等。不同用户对网络功能的要求不同。

教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入internet。学生区和家属区主要是接入internet的需求。

4、应用系统丰富。校园网单位众多，有很多基于局域网的应用，如多**教学系统，图书馆管理系统，学生档案管理系统，财务处理系统等。这些应用之间互相隔离。

还有很多基于intertnet的应用，如www、e-mail等，需要和internet的交互。各种应用服务器，如dns，www，e-mail，ftp等与核心交换机高速连接，对内外网提供服务。

高校校园网络拓扑示意图如下：

由上可见，高校校园网中的安全风险是多样的，也需要多种技术构建综合安全防护体系，保证校园网安全。

高校校园网络安全建设是一个复杂、艰巨的系统工程，必须遵循如下原则，才能收到良好的效果。

1. 综合性、整体性原则。

应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施包括管理手段和技术手段。一个较好的安全措施往往是多种方法适当综合的应用结果。

一个计算机网络只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施，制定出合理的网络安全体系结构。

2. 可用性原则。

安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性。尽量保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性，对网络的拓扑不需要大的改变。

3. 需求、风险、代价平衡的原则

对任一网络，绝对安全难以达到，也不一定是必要的。高校要对自身网络的安全风险和需求进行分析，以自己财力所能承担的代价去解决尽可能全面的安全问题。

4. 分步实施原则。

随着网络规模的扩大及应用的增加，网络安全风险也会不断增加，一劳永逸地解决网络安全问题是不现实的。同时由于实施网络安全措施需相当的费用支出，因此高校可根据财力分步实施，首先满足网络安全的基本需求，再逐渐解决更高层次的安全需求。

在需要隔离的网络区域之间部署防火墙。典型地，在 internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将www 、 mail 、 ftp 、 dns 等服务器连接在防火墙的 dmz 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 internet 连接。

那么，通过 internet 进来的公众用户只能访问到对外公开的一些服务（如 www 、 mail 、 ftp 、 dns 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性：

1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 ip 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

2、将防火墙配置成过滤掉以内部网络地址进入路由器的 ip 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 ip 地址离开内部网络的 ip 包，防止内部网络发起的对外攻击。

3、在防火墙上建立内网计算机的 ip 地址和 mac 地址的对应表，防止 ip 地址被盗用。

4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障。

体系仍需要进一步完善。

传统防火墙的不足主要体现在以下几个方面：

防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击**，比如针对 web 服务的 code red 蠕虫等。

有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。

作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。

入侵检测系统 ids（ intrusion detection system）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。

ids 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，ids 也面临着新的挑战：

ids 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。ids 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，ids 无能为力。

蠕虫、病毒、ddos 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，ids 无法把攻击防御在企业网络之外。

为了弥补防火墙和ids的缺陷，入侵保护系统 ips（intrusion prevention system）作为ids的替代产品应运而生。网络入侵防御系统作为一种**部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。

通过防火墙和ips的联合部署，高校校园网络基本上能防御内外网的从2-7层的攻击，并能审计、记录攻击行为，便于调查攻击。部署示意图如下：

部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：

1. 对用户网络中的资产进行自动发现并按照资产重要性进行分类；

2. 自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；

3. 采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；

4. 根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；

5. 对修复完毕的漏洞进行修复确认；

6. 定期重复上述步骤 1-5。

通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。

通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。

高级网络安全作业

网络安全高级应用

网络安全作业

网络安全作业

其他用户还读了