校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計案例

1、第一章 網(wǎng)絡(luò)的介紹一.網(wǎng)絡(luò)實現(xiàn)的功能1.1.1 校園網(wǎng)應(yīng)提供如下功能：（1）連接校內(nèi)所有教學(xué)樓、實驗室、辦公樓中的PC。（2）同時支持約600 用戶瀏覽Internet。（3）提供豐富的網(wǎng)絡(luò)服務(wù)，實現(xiàn)廣泛的軟件，硬件資源共享，包括：（A）提供基本的Internet 網(wǎng)絡(luò)服務(wù)功能：如電子郵件、文件傳輸、遠(yuǎn)程登錄、新聞組討論、電子公告牌、域名服務(wù)等。（B）提供校內(nèi)各個管理機(jī)構(gòu)的辦公自動化：􀁺 提供財務(wù)查詢，報賬服務(wù)。􀁺 提供受存取權(quán)控制的文件、檔案查詢服務(wù)。􀁺 提供貴重設(shè)備儀器及其它設(shè)備信息的管理服務(wù)。􀁺 提供各學(xué)科專業(yè)資料數(shù)

2、據(jù)庫服務(wù)。􀁺 提供學(xué)校自己的管理信息系統(tǒng)（MIS）。（C）提供圖書，文獻(xiàn)查詢與檢索服務(wù)，增強(qiáng)校圖書館信息自動化能力。（D）全校共享軟件庫服務(wù)，避免重復(fù)投資，發(fā)揮最大效益。（E）提供CAI 教學(xué)和科研的便利條件。（F）經(jīng)廣域網(wǎng)接口，提供國內(nèi)外計算機(jī)系統(tǒng)的互連，為國際間的信息交流和科研合作，為學(xué)校快速獲得最新教學(xué)成果及技術(shù)合作等創(chuàng)造良好的信息通路。1.1.2 校園網(wǎng)對主機(jī)系統(tǒng)的主要要求：􀁺 主機(jī)系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展能力；􀁺 主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長時間連續(xù)工作，并有容錯措施；􀁺 支持通用大

3、型數(shù)據(jù)庫，如 SQL、Oracle 等；􀁺 具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；􀁺 能與 Internet 互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如WWW瀏覽服務(wù)、FTP 文件傳輸服務(wù)、E-mail 電子郵件服務(wù)、NEWS 新聞組討論等服務(wù)；􀁺 支持 SNMP 網(wǎng)絡(luò)管理協(xié)議，具有良好的可管理性和可維護(hù)性；1.1.3 校園網(wǎng)絡(luò)系統(tǒng)設(shè)計方案應(yīng)滿足如下要求：􀁺 網(wǎng)絡(luò)方案應(yīng)采用成熟的技術(shù)，并盡可能采用先進(jìn)的技術(shù)；􀁺 采用國際統(tǒng)一標(biāo)準(zhǔn)，以擁有廣泛的支持廠商，最大限度的采用同一廠家的產(chǎn)品；􀁺

4、方案應(yīng)合理分配帶寬，使用戶不受網(wǎng)上“塞車”的影響；􀁺 應(yīng)充分考慮未來可能的應(yīng)用，如桌面將承受大型應(yīng)用軟件和多媒體傳輸需求的壓力；􀁺 該網(wǎng)絡(luò)方案要具有高擴(kuò)展性。能為用戶未來數(shù)目的擴(kuò)展具有調(diào)整、擴(kuò)充的手段和方法；􀁺 該網(wǎng)絡(luò)應(yīng)是面向連接的，能夠?qū)崿F(xiàn)虛擬網(wǎng)（VLAN）連接；􀁺 考慮對用戶現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價值；1.1.4 校園網(wǎng)對網(wǎng)絡(luò)設(shè)備的要求：􀁺 高性能；所有網(wǎng)絡(luò)設(shè)備都應(yīng)足夠的吞吐量；􀁺 高可靠性和高可用性；應(yīng)考慮多種容錯技術(shù)；􀁺 可管理

5、性；所有網(wǎng)絡(luò)設(shè)備均可用適當(dāng)?shù)木W(wǎng)管軟件進(jìn)行監(jiān)控、管理和設(shè)置；􀁺 采用國際統(tǒng)一的標(biāo)準(zhǔn)；1.1.5 系統(tǒng)集成所共同遵循的設(shè)計原則：􀁺 本著實用的原則，盡量使用成熟先進(jìn)的平臺軟件，以縮短教學(xué)課件的開發(fā)周期；􀁺 采用分布式的結(jié)構(gòu)，以便于開發(fā)和維護(hù)；􀁺 采用集群解決方案，以保證連續(xù)工作；􀁺 為保證網(wǎng)絡(luò)速度而采用高的帶寬；􀁺 追求最高的性能價格比。1.1.6 系統(tǒng)集成所共同追求的設(shè)計目標(biāo)：􀁺 建成一個具有高可靠性和開放性的校園網(wǎng)絡(luò)，它應(yīng)支持流行的SNMP 等網(wǎng)絡(luò)管理協(xié)議；И

6、698; 采用 Internet 上的標(biāo)準(zhǔn)協(xié)議-TCP/IP 協(xié)議，提供校園內(nèi)部及面向全球的WWW服務(wù)、FTP 服務(wù)、NEWS 服務(wù)、電子郵件服務(wù)，實現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌；􀁺 同時它還應(yīng)具有支持通用大型數(shù)據(jù)庫的功能，支持多種協(xié)議，具有良好的軟件支持；􀁺 采用模塊化結(jié)構(gòu)設(shè)計，容易升級；􀁺 最后，它還應(yīng)針對學(xué)校的教學(xué)特點，具有一些基本的教學(xué)功能，以完成學(xué)校的基本教學(xué)任務(wù)。二.網(wǎng)絡(luò)規(guī)劃2.1 目前各主流網(wǎng)絡(luò)結(jié)構(gòu)概述2.1.1 以太網(wǎng)和快速以太網(wǎng)：快速以太網(wǎng)實際上是 10Mbps 以太網(wǎng)的100Mbps 版本，所以它的運(yùn)行速度要比10Mbps

7、以太網(wǎng)快十倍。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受，它可以應(yīng)用在共享式和主干環(huán)境下，提供高帶寬的共享式網(wǎng)絡(luò)或主干連接，同時也可以應(yīng)用在交換式環(huán)境下，提供優(yōu)異的服務(wù)質(zhì)量(QoS)?？焖僖蕴W(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相似，毋庸贅言，此外它還具備以下優(yōu)點： 快速以太網(wǎng)和普通以太網(wǎng)同樣遵循 CSMA/CD 協(xié)議，現(xiàn)有的10BaseT 網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡便地升級到快速以太網(wǎng)，保護(hù)用戶原有的投資，與其它新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10MbpsLAN 無縫連接到100MbpsLAN 上。 100BaseT 集線器和網(wǎng)絡(luò)接口卡，只需要比10BaseT 同樣的設(shè)備

8、多花少量費用就可提供比普通以太網(wǎng)高10 倍的性能。因此，100BaseT 具備較高的性能價格比。 快速以太網(wǎng)(100BaseT)已得到IEEE 任命標(biāo)準(zhǔn)為802.3u，并得到了所有的主流網(wǎng)絡(luò)廠商的支持。2.1.3 千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)是相當(dāng)成功的 10Mbps 以太網(wǎng)和100Mbps 快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展。IEEE 已批準(zhǔn)千兆位以太網(wǎng)工程IEEE802.3z。千兆位以太網(wǎng)和已充分建立的以太網(wǎng)與快速以太網(wǎng)的節(jié)點完全匹配。最初的以太網(wǎng)規(guī)范由幀格式定義，且支持CSMA/CD 協(xié)議、全雙工、流控制和由IEEE802.3 標(biāo)準(zhǔn)定義的管理項目，千兆位以太網(wǎng)將使用所有這些規(guī)范?？傊?，千兆位以太網(wǎng)和管

9、理員以前使用和了解的以太網(wǎng)相同，所不同是僅僅是比快速以太網(wǎng)快十倍和它與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性，而且和日益增強(qiáng)的服務(wù)器和臺式計算機(jī)的功能相匹配。我們可以看到主干和各網(wǎng)段及桌面已實現(xiàn)了無縫結(jié)合，網(wǎng)絡(luò)管理變得不再讓用戶望而生畏。2.2 網(wǎng)絡(luò)總體規(guī)劃:綜上所述，我建議采用千兆位以太網(wǎng)網(wǎng)絡(luò)方案，理由如下：對于主干應(yīng)用程序，ATM 仍有吸引力，特別是對于那些和未來ATM WAN服務(wù)匹配的應(yīng)用程序和WAN 的訪問集成。ATM 使用定長的信元交換，按不同的速率傳輸數(shù)據(jù)、圖像、語音，在廣域網(wǎng)領(lǐng)域，ATM 都具有極強(qiáng)的優(yōu)越性。對于需要專有服務(wù)質(zhì)量（QoS）特征，如：醫(yī)學(xué)圖象的高速傳遞，ATM 是

10、適合的。由于千兆位以太網(wǎng)為帶寬的需求而包括了一個改進(jìn)措施：在鏈路層中采用快速光纖連接方式。使得它對電視會議、復(fù)雜圖象和其它高數(shù)據(jù)密度的應(yīng)用程序的數(shù)據(jù)傳遞速率為100M 以太網(wǎng)的十倍。同時千兆位以太網(wǎng)是最為普及的網(wǎng)絡(luò)體系結(jié)構(gòu)，由于以太網(wǎng)在 80 年代初出現(xiàn)，并迅速地得到發(fā)展，使其它的網(wǎng)絡(luò)連接如Token Ring(令牌環(huán))和ATM 都黯然失色。千兆位以太網(wǎng)在利用用戶熟悉性的同時，由于其與以太網(wǎng)的匹配性，使之能保留在管理員專業(yè)技能方面和支持培訓(xùn)方面的投資，而沒有必要購買新的協(xié)議或投資新的中繼設(shè)備。正如100M 提供的低價位、逐步從10M 以太網(wǎng)升級一樣，千兆位以太網(wǎng)將使網(wǎng)絡(luò)自然地升級到1000M

11、的帶寬。千兆以太網(wǎng)寬的帶寬還幫助改善了 QoS，規(guī)范化遲滯時間來把視頻抖動和音頻遲滯降到最低。以前，ATM 是唯一一種能實現(xiàn)任何種類QoS 的可靠途徑。但是現(xiàn)在，千兆位以太網(wǎng)迅速根除了這個差距，并且具有多得多的經(jīng)濟(jì)性、向上兼容性和與其它技術(shù)的協(xié)調(diào)性。由于以上這些原因，英特爾公司認(rèn)為在不久的將來，ATM 仍會在WAN 等級的互連網(wǎng)上應(yīng)用。ATM 不會大規(guī)模的在臺式計算機(jī)或工作組級應(yīng)用，這是因為ATM 要求對網(wǎng)絡(luò)端口硬件、軟件以及管理協(xié)議的徹底更換。而且ATM 也比以太網(wǎng)要貴。我司認(rèn)為使用ATM 可能會給學(xué)校網(wǎng)絡(luò)管理人員帶來以下的障礙：費用遠(yuǎn)高于千兆位以太網(wǎng)解決方案風(fēng)險標(biāo)準(zhǔn)，產(chǎn)品和管理策略仍在變動

12、復(fù)雜性新的技術(shù)，培訓(xùn)費用昂貴維護(hù)費用需要軟件來作為一個路徑運(yùn)行于以太網(wǎng) LAN 和ATM網(wǎng)絡(luò)之間我們想通過下面的二組表格對兩種技術(shù)就目前的現(xiàn)況做出全面的比較。以上的比較表明千兆以太網(wǎng)以許多方式發(fā)送最初期望 ATM 實現(xiàn)的優(yōu)點,而且可以容易的、經(jīng)濟(jì)的多地執(zhí)行。三 .網(wǎng)絡(luò)設(shè)計方案3.1 校園網(wǎng)拓樸結(jié)構(gòu)的總體描述我們對本校園網(wǎng)的主干網(wǎng)絡(luò)設(shè)備的選擇初步確定如下（見附圖一）：網(wǎng)絡(luò)建設(shè)將采用新型的背板堆疊技術(shù)，根據(jù)功能區(qū)劃分由Intel Express 510T交換機(jī)組成4-6 個交換機(jī)組。適當(dāng)?shù)姆峙涠询B數(shù)量，提供600 個100M 交換端口，所有工作站都通過100M 網(wǎng)卡連接到交換機(jī)組上，使100M 交

13、換到桌面。交換機(jī)組采用GB2 模塊與Intel Express Gigabit Switch 千兆交換機(jī)相連。這樣，在交換機(jī)組之間可達(dá)到1000M 的帶寬，而同一交換機(jī)組內(nèi)部可達(dá)到最高15Gbps 的帶寬。中心計算機(jī)房的Web 服務(wù)器、E-mail 服務(wù)器、文件服務(wù)器、影視服務(wù)器等設(shè)備直接與1000M 交換機(jī)上的100M 以太網(wǎng)模塊連接。與 Internet 的連接采用一臺Intel Express 9100 Routers 路由器，通過DDN線路與Internet 相連。在不改變網(wǎng)絡(luò)技術(shù)情況下的擴(kuò)展方式：隨著網(wǎng)絡(luò)流量的增加，主干網(wǎng)上1000M 交換機(jī)的帶寬壓力不斷提高。這時我們可以采用Int

14、el Express GigabitSwitch 交換機(jī)特有的冗余連接特性，增加一臺1000M交換機(jī)。并在這兩個1000M交換機(jī)之間建立多條連接。這樣不僅提供了更大的帶寬（最高可達(dá)32Gbps），同時又增強(qiáng)了主干網(wǎng)段的連接剛性，還增加了更多的1000M 交換端口，為以后增加更多的服務(wù)設(shè)備提供了良好的擴(kuò)充余地?？紤]未來 ATM 應(yīng)用的增加，以及ATM 網(wǎng)與現(xiàn)有以太網(wǎng)的無縫連接，分期分批的進(jìn)行ATM 技術(shù)的應(yīng)用：1. ATM向桌面擴(kuò)展若干需要基于ATM應(yīng)用如視頻會議的PC，以ATM工作組交換機(jī)互連，如：FORE RUNNER LE25 。利用其155M 上聯(lián)端口，與Intel 500 系列交換機(jī)O

15、C-3 ATM 上聯(lián)模塊連接，利用局域網(wǎng)仿真技術(shù)，ATM 網(wǎng)與原有以太網(wǎng)平滑連接2. 建立ATM 主干網(wǎng)未來隨著網(wǎng)絡(luò)中多媒體應(yīng)用的大量增加，以及考慮到與第二代Internet （以ATM 交換設(shè)備作為通信主干）的連接，將網(wǎng)絡(luò)主干升級為雙主干，現(xiàn)有網(wǎng)絡(luò)設(shè)備可通過OC-3 ATM 上聯(lián)模塊與主干ATM中心交換機(jī)如FORE ESX-3000 交換機(jī)連接。原有Intel 千兆交換機(jī)與ATM 主干交換機(jī)上的以太網(wǎng)模塊連接，建立主干交換機(jī)之間的冗余通道。大量多種類型的數(shù)據(jù)通信以FORE ESX-3000 交換機(jī)與Intel 千兆交換機(jī)的強(qiáng)大背板作為支持，并且將多媒體的應(yīng)用擴(kuò)展到所有桌面PC建立 ATM 主

16、干網(wǎng).3.2 校園網(wǎng)采用的協(xié)議標(biāo)準(zhǔn)本校園網(wǎng)以 TCP/IP 為主要協(xié)議，因為TCP/IP 協(xié)議簇是美國國防部門制定的一套計算機(jī)網(wǎng)絡(luò)協(xié)議，是目前眾多計算機(jī)網(wǎng)絡(luò)最流行的協(xié)議，以它為基礎(chǔ)組建的Internet 網(wǎng)是目前國際上規(guī)模最大的計算機(jī)網(wǎng)間網(wǎng)，它雖不是國際標(biāo)準(zhǔn)，但卻是一種事實上的工業(yè)標(biāo)準(zhǔn)協(xié)議，采用TCP/IP 為網(wǎng)絡(luò)主要協(xié)議，可保證與ChinaNET 和Internet 保持一致，還可支持IPX，DECNET 等其它協(xié)議。真正實現(xiàn)于國際互聯(lián)網(wǎng)的無縫連接。從計算機(jī)網(wǎng)絡(luò)通訊的觀點來看，TCP/IP 網(wǎng)絡(luò)實質(zhì)上可稱為IP 網(wǎng)絡(luò)，它是由許多IP 網(wǎng)關(guān)（或稱為IP 路由器）通過若干直接連通的通信線路（點到

17、點通信）形成一個計算機(jī)通信網(wǎng)絡(luò)。在IP 網(wǎng)點上再接入主機(jī)，子網(wǎng)便構(gòu)成一個互聯(lián)的計算機(jī)網(wǎng)絡(luò)，這些安裝了TCP/IP 的各類計算機(jī)間需要通信時，它就不再要求設(shè)置協(xié)議轉(zhuǎn)換開關(guān)，而且主要的網(wǎng)絡(luò)服務(wù)都可建立在TCP/IP 服務(wù)器上。3.3 校園網(wǎng)采用的網(wǎng)絡(luò)操作系統(tǒng)本校園網(wǎng)的網(wǎng)絡(luò)操作系統(tǒng)以 Microsoft Windows Server 2003 為主，它是發(fā)展速度最快的集成了Web 應(yīng)用的網(wǎng)絡(luò)操作系統(tǒng)。具有界面友好、系統(tǒng)強(qiáng)壯、穩(wěn)定可靠、與桌面主流操作系統(tǒng)相容性好等優(yōu)點。并擁有大量的基于NT 的服務(wù)端軟件，是Intranet 網(wǎng)絡(luò)中最佳的網(wǎng)絡(luò)操作系統(tǒng)平臺。第二章 網(wǎng)絡(luò)安全分析一.校園網(wǎng)絡(luò)安全1.1校園網(wǎng)

18、存在的問題校園網(wǎng)絡(luò)都是借助主干通信網(wǎng)，將各地的分部門和總部連接，同時與互聯(lián)。這就存在著以下幾方面的網(wǎng)絡(luò)安全問題：􀁺總部局域網(wǎng)和各分、子部門局域網(wǎng)之間，分、子部門與下屬機(jī)構(gòu)局域網(wǎng)之間廣域網(wǎng)干線上信息傳輸?shù)陌踩Ｃ軉栴}。􀁺總部局域網(wǎng)及各分、子部門局域網(wǎng)自身的安全，要確保這些局域網(wǎng)不受網(wǎng)內(nèi)用戶非法授權(quán)訪問和破壞。􀁺來自外部的非授權(quán)用戶非法攻擊和破壞，以及內(nèi)部用戶對外部非法站點的訪問。二.網(wǎng)絡(luò)安全方案的分類2.1基礎(chǔ)結(jié)構(gòu)安全 主要包括：操作系統(tǒng)選擇和問題規(guī)避；帳號設(shè)置、口令強(qiáng)度、網(wǎng)絡(luò)參數(shù)、文件監(jiān)測保護(hù)在現(xiàn)實運(yùn)作中，密碼系統(tǒng)已經(jīng)非常完善，標(biāo)準(zhǔn)的DES

19、、RSA和其他相關(guān)認(rèn)證體系已經(jīng)成為公認(rèn)的具有計算復(fù)雜性安全的密碼標(biāo)準(zhǔn)協(xié)議，這個標(biāo)準(zhǔn)的健壯性也經(jīng)受了成千上萬網(wǎng)絡(luò)主機(jī)的考驗,但是在網(wǎng)絡(luò)協(xié)議與操作系統(tǒng)本身上，仍然有很多可被攻擊的入口。很多網(wǎng)絡(luò)安全中的問題集中在操作系統(tǒng)的缺陷上。Unix及類 Unix操作系統(tǒng)是在 Internet中非常普遍的操作系統(tǒng)，主要用于網(wǎng)絡(luò)服務(wù)。它的源代碼是公開的，所以在很多場合下使用者可以定制自己的Unix,操作系統(tǒng)，使它更適合網(wǎng)絡(luò)相關(guān)的服務(wù)要求。由于網(wǎng)絡(luò)協(xié)議是獨立與操作系統(tǒng)的，它的體系結(jié)構(gòu)與操作系統(tǒng)端是無關(guān)的，網(wǎng)絡(luò)協(xié)議所存在的安全隱患也是獨立于操作系統(tǒng)來修正的。22管理安全 安全管理是網(wǎng)絡(luò)必須考慮的，主要包括：權(quán)限管理，

20、單點登錄，安全管理中心等。管理的技術(shù)手段很多，通過采用加強(qiáng)身份確認(rèn)的方法獲得網(wǎng)上資源控制權(quán)如智能IC身份卡，提供安全的遠(yuǎn)程接入手段；采用虛擬專網(wǎng)技術(shù)如網(wǎng)絡(luò)保密機(jī)解決數(shù)據(jù)在公網(wǎng)傳輸?shù)陌踩?；安全郵件和安全Web服務(wù)器也是一類重要的安全產(chǎn)品。然而，對一個具體的網(wǎng)絡(luò)系統(tǒng)，我們在安全風(fēng)險評估確定合適的安全需求后，從技術(shù)上講可以架構(gòu)一個滿足基本要求的安全設(shè)備平臺。但是發(fā)生最頻繁的安全威脅實際上是非技術(shù)因素，安全管理漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來，這個網(wǎng)絡(luò)信息系統(tǒng)的安全性才有保障。因此，采用集中統(tǒng)一的管理策略，以技術(shù)手段實現(xiàn)非技術(shù)的安全管理，主要由安全管理中心實

21、現(xiàn)。23 邊界安全校園網(wǎng)絡(luò)與外界的邊界劃分是否科學(xué)?IT系統(tǒng)與外界、內(nèi)部關(guān)鍵部門之間是否安全隔離?這都屬于邊界安全范圍?？梢栽陉P(guān)心的實體之間安裝防火墻產(chǎn)品和攻擊檢測軟件，來加強(qiáng)邊界安全，實施攻擊防御方案。關(guān)于防火墻技術(shù)的使用成功與否對網(wǎng)絡(luò)的安全有決定性作用，對此我們進(jìn)行主要討論231防火墻的概念當(dāng)一個網(wǎng)絡(luò)，接入以后，而系統(tǒng)的安全性除了考慮病毒、系統(tǒng)的健壯性之外，更主要的防止非法用戶的入侵。而目前防制措施主要是靠防火墻技術(shù)完成。防火墻是指由一個軟件和硬件設(shè)備組合而成，處于網(wǎng)絡(luò)群體計算機(jī)與外界通道之間，限制外界用戶對于內(nèi)部網(wǎng)絡(luò)訪問以及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。實際上防火墻作為一種網(wǎng)絡(luò)監(jiān)視和過

22、濾器，它監(jiān)視每一個通過的數(shù)據(jù)報文和請求。一方面對可信賴的報文和應(yīng)用請求允許通過，另一方面對有害的或可疑的報文禁止其通過。防火墻具有使用簡便，高速、邏輯漏洞少等特點。232防火墻在網(wǎng)絡(luò)中的位置為了達(dá)到對網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行監(jiān)視的目的，防火墻一般位于局域網(wǎng)和廣域網(wǎng)之間或局域網(wǎng)與局域網(wǎng)之間。防火墻位于局域網(wǎng)和廣域網(wǎng)之間，如圖。在這種情況之下，防火墻的主要作用是允許局域網(wǎng)內(nèi)的用戶訪問，如瀏覽WWW網(wǎng)站，收發(fā)E-mail，并且禁止來自于上的未知用戶闖入局網(wǎng)進(jìn)行破壞或竊取機(jī)密信息。防火墻在局域網(wǎng)與局域網(wǎng)之間，如圖：在這種情況下，防火墻的作用是允許公用信息在兩個網(wǎng)絡(luò)中傳輸，保證每個網(wǎng)段的私有信息不被對方訪問?？?/p>

23、以看出無論哪一種形式，防火墻都是數(shù)據(jù)報文進(jìn)出網(wǎng)絡(luò)的必經(jīng)之路，這樣才能保證防火墻對網(wǎng)絡(luò)的監(jiān)視保護(hù)作用。233防火墻的分類2331按防火墻在網(wǎng)絡(luò)中所起的作用，防火墻可以分成兩種，一種是與路由設(shè)備合二為一，通常為過濾路由器或是網(wǎng)關(guān)主機(jī)防火墻，另一種叫做堡壘主機(jī)式防火墻，它不具有路由功能。過濾路由器、網(wǎng)關(guān)主機(jī)防火墻是在路由器和網(wǎng)關(guān)主機(jī)上加上包過濾的功能，是網(wǎng)絡(luò)中的第一道防線。因為它具有路由的功能，所以它的安全性較差。堡壘主機(jī)式防火墻是網(wǎng)絡(luò)中最為重要的安全設(shè)備，通常以橋接的方式安裝在路由器和網(wǎng)絡(luò)之間，它的唯一作用是保證網(wǎng)絡(luò)的安全使用，這種防火墻在網(wǎng)絡(luò)中的具體位置如圖。第三章 網(wǎng)絡(luò)安全設(shè)計原則一.網(wǎng)絡(luò)安全

24、設(shè)計應(yīng)遵循的思想（1）大幅度地提高系統(tǒng)的安全性和保密性； （2）保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；（3）易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作； （4）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； （5）安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； （6）安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。 二.網(wǎng)絡(luò)安全設(shè)計應(yīng)遵循設(shè)計原則： 2.1滿足Internet分級管理需求：根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點，對Internet/Intranet信息安全實施分級管理的解決方案，將對它的

25、控制點分為三級實施安全管理。 􀁺第一級：中心級網(wǎng)絡(luò)，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。 􀁺第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計。 􀁺第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護(hù)。 2.2需求、風(fēng)險、代價平衡的原則 對任一網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的。對一個網(wǎng)絡(luò)進(jìn)行實際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，

26、然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 2.3綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 2.4可用性原則 安全措施需要

27、人為去完成，如果措施過于復(fù)雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。 分步實施原則：分級管理 分步實施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。第四章 網(wǎng)絡(luò)安全實施方案一.網(wǎng)絡(luò)安全的需求確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求的基礎(chǔ)。一般來講，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下

28、安全問題：局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實現(xiàn) 在連接Internet時，如何在網(wǎng)絡(luò)層實現(xiàn)安全性 應(yīng)用系統(tǒng)如何保證安全性 l 如何防止黑客對網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵 如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?。加密系統(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等 。如何實現(xiàn)遠(yuǎn)程訪問的安全性。 如何評價網(wǎng)絡(luò)系統(tǒng)的整體安全性 ?；谶@些安全問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息（如NAT）等。二.網(wǎng)絡(luò)安全層次及安全措施3.1鏈路安全鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對所有用戶數(shù)據(jù)

29、一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設(shè)備。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機(jī)和同步線路密碼機(jī)。異步線路密碼機(jī)主要用于電話網(wǎng)，同步線路密碼機(jī)則可用于許多專線環(huán)境。 3.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點，實現(xiàn)信息網(wǎng)絡(luò)的安全才有可能

30、，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。3.3信息系統(tǒng)的安全信息系統(tǒng)的安全應(yīng)該是一個動態(tài)的發(fā)展過程，應(yīng)該是一種檢測監(jiān)視安全響應(yīng)的循環(huán)過程。動態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全風(fēng)險評估和入侵監(jiān)測產(chǎn)品正是實現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。3.4網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)安全檢測是對網(wǎng)絡(luò)進(jìn)行風(fēng)險評估的重要措施，通過使用網(wǎng)絡(luò)安全性分析系統(tǒng)，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報告系統(tǒng)存在的弱點、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。3.5入侵檢測系

31、統(tǒng)入侵檢測系統(tǒng)是實時網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險存在的地方，通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。三.網(wǎng)絡(luò)安全解決方案 3.1基本防護(hù)體系(包過濾防火墻+NAT+計費) 用戶需求：全部或部分滿足以下各項·解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)·解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN ·

32、根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾·內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能·支持安全服務(wù)器網(wǎng)絡(luò)SSN ·通過IP地址與MAC地址對應(yīng)防止IP欺騙·基于IP地址計費·基于IP地址的流量統(tǒng)計與限制·基于IP地址的黑白名單。 ·防火墻運(yùn)行在安全操作系統(tǒng)之上·防火墻為獨立硬件·防火墻無IP地址解決方案：采用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW1000 3.2標(biāo)準(zhǔn)防護(hù)體系(包過濾防火墻+NAT+計費+代理+VPN) 用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項·提供應(yīng)用代理服務(wù)，隔離

33、內(nèi)外網(wǎng)絡(luò)·用戶身份鑒別·權(quán)限控制·基于用戶計費·基于用戶的流量統(tǒng)計與控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護(hù)能力，防范對防火墻的常見攻擊 解決方案： (1)選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000 (2)防火墻基本配置+網(wǎng)絡(luò)加密機(jī)(IP協(xié)議加密機(jī)) 3.3強(qiáng)化防護(hù)體系(包過濾+NAT+計費+代理+VPN+網(wǎng)絡(luò)安全檢測+監(jiān)控) 用戶需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項·網(wǎng)絡(luò)安全性檢測(包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備) ·操作系

34、統(tǒng)安全性檢測·網(wǎng)絡(luò)監(jiān)控與入侵檢測 解決方案：選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000+網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控器第五章 網(wǎng)絡(luò)安全方案實現(xiàn)的功能及不足一.實現(xiàn)的功能1.1Internet分級管理校園網(wǎng)中的各個控制點分成三級：l 一級實現(xiàn)了主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查的功能。l 二級實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計功能。 l 三級實現(xiàn)了終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護(hù)。 1.2 防火墻技術(shù)：實現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。1.3鏈路加密技術(shù)：通過對用戶的通信數(shù)據(jù)加密，讓用戶的通過的信息更加安全，加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，利用設(shè)備在加密后的數(shù)據(jù)不需要進(jìn)行路由交換。1.4網(wǎng)絡(luò)安全檢測檢查報告系統(tǒng)存在的弱點、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。1.5入侵檢測系統(tǒng)網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險存在的地方，通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問