校園網(wǎng)絡(luò)安全設(shè)計(jì)方案

1、校園網(wǎng)絡(luò)安全設(shè)計(jì)方案校園網(wǎng)絡(luò)安全設(shè)計(jì)方案10網(wǎng)工網(wǎng)工2班組員：張嬋、張茜、張?jiān)健堄鞑?、趙子龍、祝美意、楊越巒、張力組員：張嬋、張茜、張?jiān)?、張喻博、趙子龍、祝美意、楊越巒、張力隨著因特網(wǎng)的迅速發(fā)展，校園網(wǎng)的建設(shè)日益普遍。而在高校中，如何能夠保證校園網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，達(dá)到辦公、教學(xué)及學(xué)生上網(wǎng)的多種需求已成為了一個(gè)難題。校園網(wǎng)絡(luò)的安全不僅有來自外部的攻擊，還有內(nèi)部的攻擊。所以，在校園網(wǎng)建設(shè)中使用安全技術(shù)是刻不容緩的

2、?，F(xiàn)從防火墻、VPN、防病毒、入侵檢測和防御系統(tǒng)、上網(wǎng)行為管理和用戶審計(jì)系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、主頁防篡改、網(wǎng)絡(luò)安全管理制度幾個(gè)方面，設(shè)計(jì)我校的網(wǎng)絡(luò)安全方案。防火墻防火墻:防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)分開的方法。它能限制被保護(hù)的網(wǎng)絡(luò)與與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻的概念防火墻的概念：通常防火墻是指部署在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件組合，是一種有效的網(wǎng)絡(luò)安全策略。防火墻提供信息安全服務(wù)，設(shè)置在被保護(hù)內(nèi)部網(wǎng)絡(luò)的安全與不安

3、全的外部網(wǎng)絡(luò)之間，其作用是阻斷來自外部的、針對(duì)內(nèi)部網(wǎng)絡(luò)的入侵和威脅，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，并且本身具有較強(qiáng)的抗攻擊能力。防火墻的分類防火墻的分類：按軟件與硬件的形式，防火墻分為軟件防火墻、硬件防火墻和芯片防火墻；按防火墻的技術(shù)，總體分為包過濾型和應(yīng)用代理型兩大類；按防火墻的結(jié)構(gòu)分為單一主機(jī)防火墻、路由器集成式防火墻、分布式防火墻；按防火墻的部署位置分為邊界防火

4、墻、個(gè)人防火墻、混合防火墻。防火墻的安全策略防火墻的安全策略：（1）所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻（2）只有被安全策略允許的數(shù)據(jù)包才能通過防火墻（3）防火墻本身要有預(yù)防入侵的功能（4）默認(rèn)禁止所有服務(wù)，除非是必須的服務(wù)才被允許防火墻的設(shè)計(jì)防火墻的設(shè)計(jì)：（1）保障校園內(nèi)部網(wǎng)主機(jī)的安全，屏蔽內(nèi)部網(wǎng)絡(luò)，禁止外部網(wǎng)用戶連接到內(nèi)部網(wǎng)（2）只向外部用戶提供HTTP、SMTP和POP等有限的服務(wù)（3）向內(nèi)部記賬用戶提供所有Inter服

5、務(wù)，但一律通過代理服務(wù)器(4)禁止訪問黃色、反動(dòng)網(wǎng)站(5)要求具備防IP地址欺騙和IP地址盜用功能(6)要求具備記賬和審計(jì)功能，能有效記錄校園網(wǎng)的一切活動(dòng)。校園網(wǎng)絡(luò)在設(shè)置時(shí)應(yīng)從下面幾個(gè)方面入手：（1）入侵檢測：具有黑客普通攻擊的實(shí)時(shí)檢測技術(shù)。實(shí)時(shí)防護(hù)來自IPSourceRouting、IPSpoofing、SYNflood、ICMPflood、UDPflood、PingofDeath、拒絕服務(wù)和許多其它攻擊。并且在檢測到有攻擊行為時(shí)能通

6、過電子郵件或其它方式通知系統(tǒng)管理員。（2）工作模式選擇：目前市面上的防火墻都會(huì)具備三種不同的工作模式，路由模式、NAT模式和透明模式。我們選擇的是透明模式，防火墻過濾通過防火墻的封包，而不會(huì)修改數(shù)據(jù)包包頭中的任何源或目的地的信息。所有接口運(yùn)行起來都像是同一網(wǎng)絡(luò)中的一部分。此時(shí)防火墻的作用更像是Layer2（第二層）交換機(jī)或橋接器。在透明模式下，接口的IP地址被設(shè)置為0.0.0.0防火墻對(duì)于用戶來說是可視或透明的。（3）策略設(shè)置：防火墻可

7、以提供具有單個(gè)進(jìn)入和退出點(diǎn)的網(wǎng)絡(luò)邊界。由于所有信息流都必須通過此點(diǎn)，因此可以篩選并引導(dǎo)所有通過執(zhí)行策略組列表產(chǎn)生的信息流。策略能允許、拒絕、加密、認(rèn)證、排定優(yōu)先次序、調(diào)度以及監(jiān)控嘗試從一個(gè)安全段流到另一個(gè)安全段的信息流?？梢詻Q定哪些用戶和信息能進(jìn)入和離開以及它們進(jìn)入和離開的時(shí)間和地點(diǎn)。（4）管理界面：管理一個(gè)防火墻的方法一般來說有兩種：圖形化界面和命令行界面，我們選擇為通過web方式和java等程序編寫的圖形化界面進(jìn)行遠(yuǎn)程管理。（5）內(nèi)

8、容過濾：面對(duì)當(dāng)前互聯(lián)網(wǎng)上的各種有害信息，我們的防火墻還增加了URL阻斷、關(guān)鍵詞檢查、JavaApSiSi辦公教學(xué)網(wǎng)絡(luò)海甸主校區(qū)(3.0萬學(xué)生)H3C12508教育網(wǎng)4001000M公共應(yīng)用平臺(tái)、數(shù)據(jù)庫公網(wǎng)學(xué)生宿舍網(wǎng)絡(luò)教工區(qū)網(wǎng)絡(luò)S7506H3CS36002001000M(相距150公里)10000M1000M1000M100M100M計(jì)費(fèi)網(wǎng)關(guān)SiSiSiSi路由器SiSiSiSiSiSi100200M(相距15公里)1000MSiSiSi

9、Si公網(wǎng)儋州校區(qū)網(wǎng)絡(luò)中心H3C9508100M儋州校區(qū)(1.0萬學(xué)生)辦公教學(xué)網(wǎng)絡(luò)1000M學(xué)生宿舍網(wǎng)絡(luò)2000M3928PSI路由器計(jì)費(fèi)網(wǎng)關(guān)SiSi6506R教工宿舍網(wǎng)絡(luò)(電信ADSL)城西校區(qū)(0.5萬學(xué)生)SiSi城西校區(qū)網(wǎng)絡(luò)中心6506R辦公教學(xué)網(wǎng)絡(luò)教工學(xué)生宿舍網(wǎng)絡(luò)(電信LAN)3928PSI100M100M1000MSiSi200500MVPN什么是VPN？虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)（VirtualPrivatewk，簡稱VPN