網(wǎng)絡安全畢業(yè)設計---校園網(wǎng)網(wǎng)絡安全及其對策

1、<p>　　校園網(wǎng)網(wǎng)絡安全及其對策</p><p>　　姓 名： </p><p>　　學 號： </p><p>　　班 級： </p><p>　　課 程： 網(wǎng)絡安全 </p><p><b>　

2、　目 錄</b></p><p>　　摘 要- 6 -</p><p>　　第一章 系統(tǒng)安全- 7 -</p><p>　　1 反病毒技術：- 7 -</p><p>　　2 入侵檢測 ：- 7 -</p><p>　　3 審計監(jiān)控技術：- 8 -</p><p>　　

3、第二章 網(wǎng)絡安全四原則- 9 -</p><p>　　1　需求、風險、代價平衡的原則- 9 -</p><p>　　2 綜合性、整體性原則- 9 -</p><p>　　3　可用性原則- 10 -</p><p>　　4 分步實施原則- 10 -</p><p>　　第三章 影響網(wǎng)絡安全的主要因素- 10

4、-</p><p>　?。?）信息泄密。- 11 -</p><p>　?。?）信息被篡改。- 11 -</p><p>　?。?）傳輸非法信息流。- 12 -</p><p>　　（4）網(wǎng)絡資源的錯誤使用。- 12 -</p><p>　?。?）非法使用網(wǎng)絡資源。- 12 -</p><

5、p>　?。?）環(huán)境影響。- 12 -</p><p>　?。?）軟件漏洞。- 12 -</p><p>　?。?）人為安全因素。- 12 -</p><p>　　第四章 防范網(wǎng)絡安全的做法- 13 -</p><p>　　第一、物理安全。- 13 -</p><p>　　第二、進行訪問控制管理。- 1

6、3 -</p><p>　　第三、打補丁。- 14 -</p><p>　　第四、安裝防病毒軟件。- 14 -</p><p>　　第五、應用程序。- 15 -</p><p>　　第六、代理服務器。- 15 -</p><p>　　第七、防火墻- 16 -</p><p>

7、　　第八、DMZ。- 17 -</p><p>　　第九、應用入侵檢測技術--IDS。- 17 -</p><p>　　第十、分析時間日志與記錄。- 17 -</p><p>　　第五章 校園網(wǎng)網(wǎng)絡安全解決方案- 18 -</p><p>　　1 基本防護體系(包過濾防火墻+NAT+計費)- 18 -</p>&

8、lt;p>　　2 標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)- 19 -</p><p>　　3 強化防護體系(包過濾+NAT+計費+代理+VPN+網(wǎng)絡安全檢測+ 監(jiān)控)- 20 -</p><p>　　參考文獻- 20 -</p><p><b>　　摘 要</b></p><p>　　隨著

9、計算機應用范圍的擴大和互聯(lián)網(wǎng)技術的迅速發(fā)展，計算機信息技術已經(jīng)滲透到人們生活的方方面面，網(wǎng)上購物、商業(yè)貿(mào)易、金融財務等經(jīng)濟行為都已經(jīng)實現(xiàn)網(wǎng)絡運行，“數(shù)字化經(jīng)濟”(DigitalEconomy)引領世界進入一個全新的發(fā)展階段。</p><p>　　然而，越來越開放的信息系統(tǒng)也帶來了眾多安全隱患，黑客和反黑客、破壞和反破壞的斗爭愈演愈烈。在網(wǎng)絡安全越來越受到人們重視和關注的今天，網(wǎng)絡安全技術作為一個獨特的領域越來越

10、受到人們關注。 </p><p>　　加強計算機網(wǎng)絡安全保護的相關問題研究已經(jīng)成為當務之急。</p><p>　　所謂網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網(wǎng)絡服務不中斷。常見的影響網(wǎng)絡安全的問題主要有病毒、黑客攻擊、系統(tǒng)漏洞、數(shù)據(jù)篡改等,這就需要我們建立一套完整的網(wǎng)絡安全體系來保

11、障網(wǎng)絡安全可靠地運行。</p><p>　　關鍵字：計算機網(wǎng)絡　網(wǎng)絡安全　黑客　病毒　惡意軟件</p><p><b>　　第一章 系統(tǒng)安全</b></p><p>　　系統(tǒng)安全包括主機和服務器的運行安全，主要措施有反病毒。入侵檢測、審計分析等技術。</p><p><b>　　1 反病毒技術：</b&g

12、t;</p><p>　　計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序，它能夠傳染其它程序，并進行自我復制，特別是要網(wǎng)絡環(huán)境下，計算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控，效果不錯。&l

13、t;/p><p><b>　　2 入侵檢測 ：</b></p><p>　　入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對它們進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統(tǒng)的活動；檢查系統(tǒng)的配置

14、和操作系統(tǒng)的日志；發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等。 </p><p>　　從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡安全的首要問題，發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡管理人員主要任務。當然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡管理人員所能做的，但是及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是我們應該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經(jīng)常登錄各有關網(wǎng)絡安全網(wǎng)站，對于我們有使用的軟件和服務，應該密切關注其程序的最新版本和安全信

15、息，一旦發(fā)現(xiàn)與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網(wǎng)絡管理員對此認識不夠，以至于過了幾年，還能掃描到機器存在許多漏洞。在校園網(wǎng)中服務器，為用戶提供著各種的服務，但是服務提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因此從安全角度考慮，應將不必要的服務關閉，只向公眾提供了他們所需的基本的服務。最典型的是，我們在校園網(wǎng)服務器中對公眾通常只提供WEB服務功能，而沒有必要向公眾提供FTP功能，這樣，在服務器的服務

16、配置中，我們只開放WEB服務，而將FTP服務禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內(nèi)容，如果用戶目錄又給了可執(zhí)行權限，那么，通過運行上傳某些程序，就可能使服務器受到攻</p><p><b>　　3 審計監(jiān)控技術：</b></p><p>　　審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程，它是提高安全性的重要工

17、具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞性行為。 </p><p>　　因此，除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外，還應使用目前

18、已較為成熟的網(wǎng)絡監(jiān)控設備，以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡的攻擊與犯罪行為。</p><p>　　第二章 網(wǎng)絡安全四原則</p><p>　　1　需求、風險、代價平衡的原則 </p><p>　　對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等)，并對網(wǎng)絡

19、面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 </p><p>　　2 綜合性、整體性原則 </p><p>　　應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好

20、的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。 </p><p><b>　　3　可用性原則 </b></p><p>　　安全措施需要人為

21、去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 </p><p><b>　　4 分步實施原則：</b></p><p>　　分級管理，分步實施。 </p><p>　　由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及

22、應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。</p><p>　　第三章 影響網(wǎng)絡安全的主要因素</p><p>　　計算機網(wǎng)絡安全的威脅主要來自外部網(wǎng)絡和內(nèi)部網(wǎng)絡兩個方面,根據(jù)國內(nèi)相關學者的研究總結(jié),影響因素主要包括以下幾點:網(wǎng)絡協(xié)議存在漏洞(主要

23、指通信協(xié)議和通信軟件系統(tǒng)不完善,給各種不安全因素的入侵留下了隱患);操作系統(tǒng)本身存在安全漏洞;網(wǎng)絡的開放性和廣域性設計使得數(shù)據(jù)的保密難度較大;無線系統(tǒng)中的電磁泄露(無線通信系統(tǒng)中的數(shù)據(jù)以電磁波的形式在空中進行傳播,存在電磁波泄露,且易被截獲);計算機病毒入侵(大量涌現(xiàn)的病毒在網(wǎng)上傳播極快,給全球范圍的網(wǎng)絡安全帶來了巨大災難);網(wǎng)絡黑客的惡意攻擊;網(wǎng)上犯罪人員對網(wǎng)絡的非法使用及破壞;信息安全防范技術和管理制度的不健全;自然災害以及意外事故

24、的損害等。破壞的方法主要有:利用TCP/IP直接破壞;利用操作系統(tǒng)間接登陸入侵;對用戶計算機中的系統(tǒng)內(nèi)置文件進行有目的的更改;利用路徑可選實施欺騙;使用竊聽裝置或監(jiān)視工具對所傳播的信息進行非法檢測和監(jiān)聽等,以上是保障計算機網(wǎng)絡安全所時常面臨的威脅性因素,及進行威脅的一般損害方法。對這些威脅性因素和方法的了解有助于我們做好相關網(wǎng)絡安全保障,以便于我們更好地利用網(wǎng)絡服務于我們的生產(chǎn)、生活與工作。 具體體現(xiàn)在：</p><

25、p><b>　?。?）信息泄密。</b></p><p>　　主要表現(xiàn)為網(wǎng)絡上的信息被竊聽,這種僅竊聽而不破壞網(wǎng)絡中傳輸信息的網(wǎng)絡侵犯者被稱為消極侵犯者。</p><p><b>　?。?）信息被篡改。</b></p><p>　　這是純粹的信息破壞,這樣的網(wǎng)絡侵犯被稱為積極侵犯者。積極侵犯者截取網(wǎng)上的信息包,并對

26、之進行更改使之失效,或者故意添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。</p><p>　　（3）傳輸非法信息流。</p><p>　　只允許用戶同其它用戶進行特定類型的通信,但禁止其它 類型的通信,如允許電子郵件傳輸而禁止檔傳送。</p><p>　?。?）網(wǎng)絡資源的錯誤使用。</p><p>　　如不合理的資源訪問

27、控制,一些資源有可能被偶然或故意 地破壞。</p><p>　?。?）非法使用網(wǎng)絡資源。</p><p>　　非法用戶登錄進入系統(tǒng)使用網(wǎng)絡資源,造成資源的消耗,損害了合法用戶的利益。</p><p><b>　　（6）環(huán)境影響。</b></p><p>　　自然環(huán)境和社會環(huán)境對計算機網(wǎng)絡都會產(chǎn)生極大的不良影響。如惡劣

28、的天氣、災害、事故會對網(wǎng)絡造成損害和影響。</p><p><b>　?。?）軟件漏洞。</b></p><p>　　軟件漏洞包括以下幾個方面:操作系統(tǒng)、數(shù)據(jù)庫及應用軟 件、TCP/IP協(xié)議、網(wǎng)絡軟件和服務、密碼設置等的安全漏洞。這些漏洞一旦遭受計算機病毒攻擊,就會帶來災難性的后果。　　</p><p>　?。?）人為安全因素。</p&

29、gt;<p>　　除了技術層面上的原因外,人為的因素也構(gòu)成了目前較為突出的安全因素,無論系統(tǒng)的功能是多么強大或者配備了多少安全設施,如果管理人員不按規(guī)定正確地使用,甚至人為露系統(tǒng)的關鍵信息,則其造成的安全后果是難以量的。這主要表現(xiàn)在管理措施不完善,安全意識薄,管理人員的誤操作等。</p><p>　　第四章 防范網(wǎng)絡安全的做法</p><p>　　網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、

30、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,確保系統(tǒng)能連續(xù)、可靠、正常地運行,網(wǎng)絡服務不中斷。其中最重要的是指網(wǎng)絡上的信息安全。 </p><p>　　現(xiàn)在有很多人認為在網(wǎng)絡中只要使用了一層安全就夠了,事實并不是這樣,一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網(wǎng)絡安全的多點做法。 </p><p><b>　　第一、物理安全。&

31、lt;/b></p><p>　　除了要保證要有計算機鎖之外,更多的要注意防火,要將電線和網(wǎng)絡放在比較隱蔽的地方。我們還要準備UPS,以確保網(wǎng)絡能夠以持續(xù)的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網(wǎng)絡癱瘓,峰值電壓最小的時候,網(wǎng)絡根本不能運行。使用UPS可以排除這些意外。另外要做好防老鼠咬壞網(wǎng)線。 </p><p>　　第二、進行訪問控

32、制管理。</p><p>　　訪問控制是計算機網(wǎng)絡保護的一種常見手段和方法,所謂訪問控制是指授予不同的主體不同的訪問權限。不同主體依據(jù)自身獲得的相關權限進行相關數(shù)據(jù)或信息的處理,從而實現(xiàn)數(shù)據(jù)和相關信息資源的安全?？诹钍沁M行訪問控制最簡單最常見的一種形式。只要很好地對相關口令進行保護,非授權用戶就難以越權使用相關信息資源?？诹畹脑O置一般應避免使用簡單易猜的生日、電話號碼等數(shù)字,而應應用英文字母、標點符號、漢語拼音

33、、空格等及其組合,以增加口令的復雜性并借此提高口令的安全性,在進行不同的系統(tǒng)登陸時應設置和使用不同的登陸口令,且應對相關口令進行定期更改,以保證口令的安全性。</p><p><b>　　第三、打補丁。</b></p><p>　　要及時的對系統(tǒng)補丁進行更新,大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進來的,例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-0

34、11進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以要及時對系統(tǒng)和應用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應用程序。另外要把那些不需要的服務關閉,例如TELNET,還有關閉Guset賬號等。</p><p>　　第四、安裝防病毒軟件。 </p><p>　　病毒掃描就是對機器中的所有檔和郵件內(nèi)容以及帶有.ex

35、e的可執(zhí)行文件進行掃描,掃描的結(jié)果包括清除病毒,刪除被感染文件,或?qū)⒈桓腥疚募筒《痉旁谝桓綦x文件夾里面。要對全網(wǎng)的機器從網(wǎng)站服務器到郵件服務器到檔服務器到客戶機都要安裝殺毒軟件,并保持最新的病毒庫。因為病毒一旦進入計算機,它會瘋狂的自我復制,遍布全網(wǎng),造成的危害巨大,甚至可以使得系統(tǒng)崩潰,丟失所有的重要資料。所以至少每周一次對全網(wǎng)的計算機進行集中殺毒,并定期的清除隔離病毒的文件夾。</p><p>　　第五、應

36、用程序。 </p><p>　　超過一半都是通過電子郵件進來的,所以除了在郵件服務器上安裝防病毒軟件之外,還要對PC機上的outlook防護,用戶要提高警惕性,當收到那些無標題的郵件,或是不認識的人發(fā)過來的,或是全是英語例如什么happy99,money,然后又帶有一個附件的郵件,建議用戶最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。除了不去查看這些郵件之外,用戶還要利用一下outlook中帶有的黑名

37、單功能和郵件過慮的功能。 </p><p>　　很多黑客都是通過用戶訪問網(wǎng)頁的時候進來的。用戶可能碰到過這種情況,當打開一個網(wǎng)頁的時候,會不斷的跳出非常多窗口,關都關不掉,這就是黑客已經(jīng)進入了你的計算機,并試圖控制你的計算機。所以用戶要將IE的安全性調(diào)高一點,經(jīng)常刪除一些cookies和脫機檔,還有就是禁用那些Active X的控件。 </p><p>　　第六、代理服務器。 <

38、;/p><p>　　代理服務器最先被利用的目的是可以加速訪問用戶經(jīng)?？吹木W(wǎng)站,因為代理服務器都有緩沖的功能,在這里可以保留一些網(wǎng)站與IP地址的對應關系。 </p><p>　　代理服務器的優(yōu)點是可以隱藏內(nèi)網(wǎng)的機器,這樣可以防止黑客的直接攻擊,另外可以節(jié)省公網(wǎng)IP。缺點就是每次都要經(jīng)由服務器,這樣訪問速度會變慢。另外當代理服務器被攻擊或者是損壞的時候,其余計算機將不能訪問網(wǎng)絡。</p

39、><p><b>　　第七、防火墻 </b></p><p>　　防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽內(nèi)部網(wǎng)絡的信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡的安全保護。 </p><p>　　在邏輯上,防火墻是一個分離器,一個

40、限制器,也是一個分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡的安全。</p><p>　　防火墻基本上是一個獨立的進程或一組緊密結(jié)合的進程,控制經(jīng)過防火墻的網(wǎng)絡應用程序的通信流量。一般來說,防火墻置于公共網(wǎng)絡(如Internet)入口處。它的作用是確保一個單位內(nèi)的網(wǎng)絡與Internet之間所有的通信均符合該單位的安全策略。防火墻能有效地防止外來的入侵,它在網(wǎng)絡系統(tǒng)中的作用是:

41、</p><p>　　（1）控制進出網(wǎng)絡的信息流向和信息包; </p><p>　?。?）提供使用和流量的日志和審計; </p><p>　?。?）隱藏內(nèi)部IP地址及網(wǎng)絡結(jié)構(gòu)的細節(jié); </p><p>　?。?）提供虛擬專用網(wǎng)(VPN)功能。 </p><p>　　防火墻技術的發(fā)展方向:目前防火墻在安全性、效率

42、和功能方面還存在一定矛盾。防火墻的技術結(jié)構(gòu),一般來說安全性高的效率較低,或者效率高的安全性較差。未來的防火墻應該既有高安全性又有高效率。重新設計技術結(jié)構(gòu)架構(gòu),比如在包過濾中引用鑒別授權機制、復變包過濾、虛擬專用防火墻、多級防火墻等將是未來可能的發(fā)展方向。</p><p><b>　　第八、DMZ。</b></p><p>　　DMZ是英文“demilitarized

43、 zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題,而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi),在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施,如企業(yè)Web服務器、FTP服務器和論壇等。另一方面,通過這樣一個DMZ區(qū)域,更加有效地保護了內(nèi)部網(wǎng)絡,因為這種網(wǎng)絡部署,比起一般的防火墻方案,對攻擊者來說又多了一

44、道關卡。 </p><p>　　第九、應用入侵檢測技術--IDS。 </p><p>　　技術又稱為IDS,是近年出現(xiàn)的新型網(wǎng)絡安全技術,目的是提供實時的入侵檢測以及采取相應的防護手段。他是基于若干預警信號來檢測針對主機和網(wǎng)絡入侵事件的技術。一旦檢測到網(wǎng)絡被入侵之后,立即采取有效措施來阻斷攻擊,并追蹤定位攻擊源。入侵檢測技術包括基于主機的入侵檢測技術和基于網(wǎng)絡的入侵檢測技術。</

45、p><p>　　在使用了防火墻和防病毒軟件之后,再使用IDS來預防黑客攻擊。IDS,就是分析攻擊事件以及攻擊的目標與攻擊源,然后利用這些來抵御攻擊,將損壞降低到最低限度。目前IDS還沒有象防火墻那樣用的普遍,但是這個也將是未來幾年的趨勢,現(xiàn)在一些政府已經(jīng)開始使用。</p><p>　　第十、分析時間日志與記錄。 </p><p>　　要經(jīng)常的來查看防火墻日志、入侵檢

46、測的日志以及查看防病毒軟件的更新組件是否最新等。</p><p>　　安全管理一直是網(wǎng)絡系統(tǒng)的薄弱環(huán)節(jié)之一,而用戶對網(wǎng)絡安全的要求往往又相當高,因此安全管理就顯得非常重要。網(wǎng)絡管理者必須充分意識到潛在的安全性威脅,并采取一定的防范措施,盡可能減少這些威脅帶來的惡果,將來自企業(yè)或公司網(wǎng)絡內(nèi)部和外部對數(shù)據(jù)和設備所引起的危險降到最低程度。</p><p>　　計算機網(wǎng)絡安全是捆擾網(wǎng)絡用戶的一個

47、難題,也是發(fā)展計算機網(wǎng)絡技術所必須克服和解決的一道難題。它關系到用戶對計算機網(wǎng)絡安全的信心,關系到計算機網(wǎng)絡技術能否健康持久的發(fā)展,關系到相關存儲和傳輸數(shù)據(jù)的安全,因而應該引起全社會的進一步關注,并切實采取措施保障計算機網(wǎng)絡的安全。</p><p>　　第五章 校園網(wǎng)網(wǎng)絡安全解決方案 </p><p>　　1 基本防護體系(包過濾防火墻+NAT+計費) </p><p&

48、gt;　　用戶需求：全部或部分滿足以下各項 </p><p>　　· 解決內(nèi)外網(wǎng)絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡 </p><p>　　· 解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN </p><p>　　· 根據(jù)IP地址、協(xié)議類型、端口進行過濾 </p><p>　　· 內(nèi)外網(wǎng)絡采用兩套

49、IP地址，需要網(wǎng)絡地址轉(zhuǎn)換NAT功能 </p><p>　　· 支持安全服務器網(wǎng)絡SSN </p><p>　　· 通過IP地址與MAC地址對應防止IP欺騙 </p><p>　　· 基于IP地址計費 </p><p>　　· 基于IP地址的流量統(tǒng)計與限制 </p><p>　　

50、· 基于IP地址的黑白名單。 </p><p>　　· 防火墻運行在安全操作系統(tǒng)之上 </p><p>　　· 防火墻為獨立硬件 </p><p>　　· 防火墻無IP地址 </p><p>　　解決方案：采用網(wǎng)絡衛(wèi)士防火墻PL FW1000 </p><p>　　2 標準防護體

51、系(包過濾防火墻+NAT+計費+代理+VPN) </p><p>　　用戶需求：在基本防護體系配置的基礎之上，全部或部分滿足以下各項 </p><p>　　· 提供應用代理服務，隔離內(nèi)外網(wǎng)絡 </p><p><b>　　· 用戶身份鑒別 </b></p><p><b>　　·

52、權限控制 </b></p><p><b>　　· 基于用戶計費 </b></p><p>　　· 基于用戶的流量統(tǒng)計與控制 </p><p>　　· 基于WEB的安全管理 </p><p>　　· 支持VPN及其管理 </p><p><

53、b>　　· 支持透明接入 </b></p><p>　　· 具有自身保護能力，防范對防火墻的常見攻擊 </p><p><b>　　解決方案： </b></p><p>　　(1)選用網(wǎng)絡衛(wèi)士防火墻 PL FW2000 </p><p>　　(2)防火墻基本配置+網(wǎng)絡加密機(IP協(xié)議

54、加密機) </p><p>　　3 強化防護體系(包過濾+NAT+計費+代理+VPN+網(wǎng)絡安全檢測+ 監(jiān)控) </p><p>　　用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項 </p><p>　　· 網(wǎng)絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備) </p><p>　　· 操作系

55、統(tǒng)安全性檢測 </p><p>　　· 網(wǎng)絡監(jiān)控與入侵檢測 </p><p>　　解決方案：選用網(wǎng)絡衛(wèi)士防火墻PL FW2000+網(wǎng)絡安全分析系統(tǒng)+網(wǎng)絡監(jiān)控器</p><p><b>　　致謝！</b></p><p><b>　　參考文獻</b></p><p>