關(guān)于我校網(wǎng)絡(luò)建設(shè)的安全分析

校園網(wǎng)網(wǎng)絡(luò)安全對策分析關(guān)于我校網(wǎng)絡(luò)建設(shè)的安全分析隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光美國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是，在高校網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運(yùn)營意識的不足，普遍都存在‘‘重技術(shù)、輕安全、輕管理’’的傾向。隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體。隨著教育信息化的不斷推進(jìn)，各高等院校都相繼建成了自己的校園網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，校園網(wǎng)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著校園網(wǎng)絡(luò)規(guī)模的急劇膨漲，網(wǎng)絡(luò)用戶的快速增長，尤其是校園網(wǎng)絡(luò)所面對的使用群體的特征性（擁有一定的網(wǎng)絡(luò)知識、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律的意識相對淡泊），如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)的侵害成為各個高校不可回避的一個緊迫問題。我校安徽財經(jīng)大學(xué)（AnhuiUniversityOfFinance）位于安徽省蚌埠市，是一所以經(jīng)、管、法學(xué)為主，跨文學(xué)、理學(xué)、工學(xué)、史學(xué)、藝術(shù)學(xué)八大學(xué)科門類，面向全國招生、就業(yè)的多科性高等財經(jīng)院校，是安徽省重點(diǎn)建設(shè)的大學(xué)。學(xué)校于1959年5月始建于安徽合肥，時名為安徽財貿(mào)學(xué)院。2004年5月，經(jīng)教育部批準(zhǔn)，學(xué)校更名為安徽財經(jīng)大學(xué)；同年9月，學(xué)校遷入龍湖東校區(qū)。學(xué)?，F(xiàn)有交通路校區(qū)、龍湖西校區(qū)、龍湖東校區(qū)三個校區(qū)，占地總面積1014050平方米，固定資產(chǎn)總值742503萬元，圖書藏量201.3萬冊，各類中、外文期刊1700余種。如此龐大的學(xué)校擁有者自己獨(dú)立的校園網(wǎng)絡(luò)，也有著過萬的用戶，那么校園網(wǎng)絡(luò)安全是必不可缺的，為此，我們特別去校園網(wǎng)絡(luò)機(jī)房做了一項調(diào)查去查找我校校園網(wǎng)絡(luò)的安全漏斗并加以提出意見。提到校園網(wǎng)絡(luò)，我們必須了解什么是校園網(wǎng)絡(luò)。信息技術(shù)櫻井引起了全面而深刻的社會變革，為此，世界各國政府都對教育的發(fā)展給予了前所未有的關(guān)注，把新計劃教育放到重要的位置上，紛紛提出了本國的信息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個有決定性意義的問題，而且十分重要的是，學(xué)校應(yīng)該處于影響整個社會深刻變革的中心地位。因此校園網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)是很有必要的，我校校園網(wǎng)建設(shè)主要體現(xiàn)在一下幾個方面：當(dāng)前校園網(wǎng)絡(luò)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和習(xí)作工作的階段。教育信息量不斷增多，學(xué)校對教育信息服務(wù)極度重視。提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件以及多媒體系統(tǒng)，并且越來越形象化、實用化。什么是校園網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息化等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在于其安全性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。我們學(xué)校目前網(wǎng)絡(luò)建設(shè)概況：我校園網(wǎng)一期工程于2001年10月份建成并投入運(yùn)行，至2005年結(jié)束。一期校園網(wǎng)網(wǎng)絡(luò)投資800多萬元，組建了網(wǎng)絡(luò)中心，配置了Cisco6509骨干千兆交換機(jī)一臺，Cisco4507匯聚交換機(jī)倆臺，銳捷RG-S6506匯聚交換機(jī)倆臺，Cisco3602路由器一臺，一臺SUN450作為數(shù)據(jù)庫服務(wù)器，一臺SUN250作為郵件服務(wù)器，另一臺SUN250作為DNS服務(wù)器，一臺HP3000作為www服務(wù)器，在校園網(wǎng)的各個樓宇（如綜合樓、實驗樓、辦公樓、圖書館等）購買了25臺Cisco3550-48、40臺銳捷S3750-48交換機(jī)作為接入交換機(jī)，一期校園網(wǎng)已經(jīng)初具規(guī)模；二期校園網(wǎng)改造工程項目于2006年3月啟動，由于網(wǎng)絡(luò)需求的不斷擴(kuò)大，原有的設(shè)計能力遠(yuǎn)遠(yuǎn)不能滿足日益增長的教學(xué)，科研和管理的需要，2006年6月，對校園網(wǎng)進(jìn)行升級，改造，并在龍湖東校區(qū)的圖書館新建網(wǎng)絡(luò)中心核心機(jī)房，同時購買核心交換機(jī)Cisco7609倆臺，Cisco6509一臺，IBM560Q小型機(jī)一臺，IBMDS4800光纖存儲一臺，H3CIP存儲器一臺，各類服務(wù)器20多臺。實現(xiàn)了東西校區(qū)雙核心交換機(jī)萬兆高速互連，千兆到樓，百兆到桌面。目前，已布設(shè)信息點(diǎn)25400個；已開通建筑物80棟；三個校區(qū)工鋪設(shè)光纜63.5公里，提供了多種網(wǎng)絡(luò)服務(wù)：目前校園網(wǎng)對外出口有三條：一條100兆光纖與安徽省教育科研網(wǎng)互連，另外倆條100兆光纖連接到Internet，使我校的對外出口帶寬達(dá)到300兆，實現(xiàn)了與中國教育科研網(wǎng)，Internet的高速互連。滿足了本科教育的網(wǎng)絡(luò)規(guī)模和覆蓋范圍。具有如下一些特點(diǎn)：1、網(wǎng)絡(luò)規(guī)模大，設(shè)備多。從網(wǎng)絡(luò)結(jié)構(gòu)上看，可分為核心、匯聚和接入3個層次，包含很多的路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備和服務(wù)器、微機(jī)等主機(jī)設(shè)備。2、校園網(wǎng)通常是雙出口結(jié)構(gòu)，分別與Cernet、Internet互聯(lián)。3、用戶種類豐富。按用戶類型可以劃分為教學(xué)區(qū)（包括教學(xué)樓、圖書館、實驗樓等）、辦公區(qū)（包括財務(wù)處、學(xué)生處、食堂等）、學(xué)生生活區(qū)、家屬區(qū)等。不同用戶對網(wǎng)絡(luò)功能的要求不同。教學(xué)區(qū)和辦公區(qū)要求局域網(wǎng)絡(luò)共享，實現(xiàn)基于網(wǎng)絡(luò)的應(yīng)用，并能接入INTERNET。學(xué)生區(qū)和家屬區(qū)主要是接入INTERNET的需求。4、應(yīng)用系統(tǒng)豐富。校園網(wǎng)單位眾多，有很多基于局域網(wǎng)的應(yīng)用，子系統(tǒng)眾多，我校有教務(wù)系統(tǒng)，圖書館管理系統(tǒng)，學(xué)生檔案管理系統(tǒng)，財務(wù)系統(tǒng)等。這些應(yīng)用之間互相隔離。還有很多基于INTERTNET的應(yīng)用，如WWW、E-MAIL等，需要和INTERNET的交互。各種應(yīng)用服務(wù)器，如DNS，WWW，E-MAIL，F(xiàn)TP等與核心交換機(jī)高速連接，對內(nèi)外網(wǎng)提供服務(wù)。同時具有非常完備的硬件設(shè)施，主要有一下設(shè)備：1、Web應(yīng)用防火墻生產(chǎn)廠家：天存信息型號：iWall應(yīng)用防火墻WAF1000Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。是集WEB防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備。

一、產(chǎn)品概述通常，網(wǎng)絡(luò)攻擊者針對Web應(yīng)用程序的可能漏洞、Web系統(tǒng)軟件的不當(dāng)配置以及http協(xié)議本身薄弱之處，通過發(fā)送一系列含有特定企圖的請求數(shù)據(jù)，對Web站點(diǎn)特別是Web應(yīng)用進(jìn)行偵測和攻擊，攻擊的目的包括：非法獲取站點(diǎn)信息、篡改數(shù)據(jù)庫和網(wǎng)頁、繞過身份認(rèn)證和假冒用戶、竊取用戶資料和數(shù)據(jù)、控制被攻擊的服務(wù)器等。iWall應(yīng)用防火墻實現(xiàn)了對Web站點(diǎn)特別是Web應(yīng)用的保護(hù)。它通過全面分析應(yīng)用層的用戶http請求數(shù)據(jù)（如URL、參數(shù)、鏈接、Cookie、請求行、頭部信息、載荷等），區(qū)分正常用戶訪問Web應(yīng)用和攻擊者的惡意行為，對攻擊行為進(jìn)行實時阻斷和報警。iWall應(yīng)用防火墻對常見的注入式攻擊、跨站攻擊、訪問敏感文件、不安全本地存儲、非法執(zhí)行腳本、非法執(zhí)行系統(tǒng)命令、資源盜鏈、源代碼泄漏、URL訪問限制失效等攻擊手段都著有效的防護(hù)效果。iWall應(yīng)用防火墻在安全防護(hù)體系中的位置和作用如下圖所示：二、工作原理iWall應(yīng)用防火墻使用天存HTTP安全模型對所有用戶請求數(shù)據(jù)進(jìn)行檢查。這些請求數(shù)據(jù)尚未被Web服務(wù)器軟件和Web應(yīng)用處理之前即進(jìn)行檢查，確保所有攻擊行為被拒之門外。天存HTTP安全模型采用匹配引擎和安全規(guī)則分離的方式。其工作過程如下所示：三、產(chǎn)品特性1.二階段檢查漏判和誤判以及準(zhǔn)確和效率之間的平衡是應(yīng)用防火墻最關(guān)注的問題。由于天存復(fù)雜匹配引擎支持多階段多流程處理，因此天存核心規(guī)則集可以使用二階段檢查技術(shù)：對99%的正常訪問可以初查后快速通過，對初查不合格的1%的可疑訪問可以復(fù)雜匹配，精確識別。2.加擾去除黑客為了繞過應(yīng)用安全程序或系統(tǒng)的檢測，往往將攻擊數(shù)據(jù)加擾（增加噪聲）后提交。天存核心規(guī)則集可以有效識別和剔除加擾數(shù)據(jù)，包括：識別并壓縮空格、識別并替換注釋、大小寫轉(zhuǎn)換等。3.編碼識別由于黑客攻擊或者應(yīng)用自身的需要，請求數(shù)據(jù)可能采用各種方式進(jìn)行編碼。天存核心規(guī)則集可以識別多種編碼數(shù)據(jù)并進(jìn)行解碼，包括：HTML實體解碼、URL解碼、Unicode解碼等。4.多規(guī)則支持支持任意多個規(guī)則集，可以針對站點(diǎn)、應(yīng)用、URL甚至訪問者IP來制定和應(yīng)用相應(yīng)的規(guī)則集，并對其中的任意規(guī)則進(jìn)行單獨(dú)忽略，實現(xiàn)細(xì)粒度的安全配置。優(yōu)點(diǎn)特點(diǎn)分析全面防御WEB應(yīng)用層攻擊如下圖所示：IwallWAF1000的優(yōu)點(diǎn)和特點(diǎn)為：iWall應(yīng)用防火墻對常見的注入式攻擊、跨站攻擊、訪問敏感文件、不安全本地存儲、非法執(zhí)行腳本、非法執(zhí)行系統(tǒng)命令、資源盜鏈、源代碼泄漏、URL訪問限制失效等攻擊手段都著有效的防護(hù)效果。iWall應(yīng)用防火墻使用了Web服務(wù)器核心內(nèi)嵌機(jī)制、獨(dú)立引擎規(guī)則驅(qū)動、數(shù)據(jù)預(yù)處理、兩階段模型、復(fù)雜匹配等多種先進(jìn)技術(shù)，大幅減少誤判和漏報，達(dá)到準(zhǔn)確性和效率的平衡，并提供良好的用戶自定義和擴(kuò)充性。2、內(nèi)網(wǎng)防火墻內(nèi)網(wǎng)防火墻是一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來保護(hù)內(nèi)部網(wǎng)絡(luò)。我們學(xué)校內(nèi)網(wǎng)防火墻使用的是HilStone（山石網(wǎng)科）的SG-6000M3108和SG-6000X7180。兩臺防火墻均屬于山石網(wǎng)科下一代防火墻——千兆桌面型，下面將分別進(jìn)行介紹：1、內(nèi)網(wǎng)防火墻SG-6000M3108生產(chǎn)廠家：山石網(wǎng)科型號：SG-6000M31081.內(nèi)網(wǎng)防火墻SG-6000X7180生產(chǎn)廠家：山石網(wǎng)科型號：SG-6000X71802.兩者綜合概述SG-6000是Hillstone公司全新推出的新一代多核安全網(wǎng)關(guān)系列產(chǎn)品。其基于角色、深度應(yīng)用的多核Plus?G2安全架構(gòu)突破了傳統(tǒng)防火墻只能基于IP和端口的防范限制。處理器模塊化設(shè)計可以提升整體處理能力，突破傳統(tǒng)UTM在開啟病毒防護(hù)或IPS等功能所帶來的性能下降的局限。SG-6000-M3108處理能力高達(dá)1/2Gbps，廣泛適用于企業(yè)分支、中小企業(yè)等機(jī)構(gòu)，可部署在網(wǎng)絡(luò)的主要結(jié)點(diǎn)及Internet出口，為網(wǎng)絡(luò)提供基于角色、深度應(yīng)用安全的訪問控制以及IPSec/SSLVPN、應(yīng)用帶寬管理、病毒過濾、入侵防御、網(wǎng)頁訪問控制等安全服務(wù)。產(chǎn)品亮點(diǎn)：（1）安全可視化網(wǎng)絡(luò)可視化：通過StoneOS?內(nèi)置的網(wǎng)絡(luò)流量分析模塊，用戶可以圖形化了解設(shè)備的使用狀況、帶寬的使用情況以及流量的趨勢，隨時、隨地監(jiān)控自己的網(wǎng)絡(luò)，從而對流量進(jìn)行優(yōu)化和精細(xì)化的管理。接入可視化：StoneOS?基于角色的管理(RBNS)模塊，讓網(wǎng)絡(luò)接入更加精細(xì)和直觀化，實現(xiàn)了對接入用戶更加人性化的管理，擺脫了過去只能通過IP地址來控制的尷尬，可以實時地監(jiān)控、管理用戶接入的狀態(tài)，資源的分配，從而使網(wǎng)絡(luò)資源的分配更加合理和可控化。應(yīng)用可視化：StoneOS?內(nèi)置獨(dú)創(chuàng)的應(yīng)用識別模塊，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。StoneOS?識別的應(yīng)用多達(dá)幾百種，而且跟隨著應(yīng)用的發(fā)展每天都在增加；其中包括P2P、IM(即時通訊)、游戲、辦公軟件以及基于SIP、H.323、HTTP等協(xié)議的應(yīng)用，應(yīng)用特征庫通過網(wǎng)絡(luò)服務(wù)可以實時更新。（2）全面的VPN解決方案SG-6000多核安全網(wǎng)關(guān)支持多種IPSecVPN的部署，它能夠完全兼容標(biāo)準(zhǔn)的IPSecVPN。SG-6000系列產(chǎn)品對VPN(包括SSLVPN)都提供硬件加速，結(jié)合多核平臺的處理能力，可為用戶提供高容量、高性能的VPN解決方案。Hillstone獨(dú)具特色的即插即用VPN，可以讓遠(yuǎn)端分支機(jī)構(gòu)只需簡單的用戶名和密碼即可自動從中心端下載網(wǎng)絡(luò)和安全配置，完全解決了傳統(tǒng)IPSecVPN設(shè)備配置難、使用難、維護(hù)成本高的問題。SG-6000多核安全網(wǎng)關(guān)還通過集成第三代SSLVPN實現(xiàn)角色訪問控制和即插即用特性，為用戶提供方便、快捷的安全遠(yuǎn)程接入服務(wù)。（3）內(nèi)容安全(UTMPlus?)SG-6000可選UTMPlus?軟件包提供病毒過濾、入侵防御、內(nèi)容過濾、網(wǎng)頁訪問控制和應(yīng)用流量整形等功能，可以防范病毒、間諜軟件、蠕蟲、木馬等網(wǎng)絡(luò)攻擊。關(guān)鍵字過濾和基于超過2000萬域名的Web頁面分類數(shù)據(jù)庫可以幫助管理員輕松設(shè)置工作時間禁止訪問的網(wǎng)頁，提高工作效率和控制對不良網(wǎng)站的訪問。病毒庫、攻擊庫、網(wǎng)頁庫可以通過網(wǎng)絡(luò)服務(wù)實時下載，確保對新爆發(fā)的病毒、攻擊、新的網(wǎng)頁做到及時響應(yīng)。（4）模塊化、全并行處理的安全架構(gòu)(多核Plus?G2)Hillstone自主開發(fā)的64位實時安全操作系統(tǒng)StoneOS?采用專利的多處理器全并行架構(gòu)，和常見的多核處理器或NP/ASIC只負(fù)責(zé)三層包轉(zhuǎn)發(fā)的架構(gòu)不同；StoneOS?實現(xiàn)了從網(wǎng)絡(luò)層到應(yīng)用層的多核全并行處理。因此SG-6000較業(yè)界其他的多核或NP/ASIC系統(tǒng)在同檔的硬件配置下有多達(dá)5倍的性能提升，為同時開啟多項防護(hù)功能奠定了性能基礎(chǔ)，突破了傳統(tǒng)安全網(wǎng)關(guān)的功能實用性和性能無法兩全的局限。SG-6000-M3108支持SD卡擴(kuò)展。通過擴(kuò)展SD卡可以在設(shè)備上實時記錄各種審計日志和審計數(shù)據(jù)，滿足公安部82號令的要求，也可以使用外置高性能日志服務(wù)器。SG-6000多核安全網(wǎng)關(guān)還支持通過軟件license方式進(jìn)行設(shè)備高級擴(kuò)展，例如提升設(shè)備的最大并發(fā)會話數(shù)、每秒新建連接數(shù)和整機(jī)處理性能等。（5）靈活部署的部署模式支持路由、透明、混合等部署方式，同時支持靜態(tài)路由、動態(tài)(OSPF/RIP)路由、策略路由等，滿足不同用戶網(wǎng)絡(luò)的需求。提供一對一、多對一、多對多等NAT方式；支持多種應(yīng)用協(xié)議NAT穿越，提供H.323、SIP、FTP、TFTP、RSH、RTSP、SQLNet、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等ALG功能。一、產(chǎn)品概述山石網(wǎng)科下一代防火墻可精確識別數(shù)千種網(wǎng)絡(luò)應(yīng)用，并提供詳盡的應(yīng)用風(fēng)險分析和靈活的策略管控。結(jié)合用戶識別、內(nèi)容識別，山石網(wǎng)科下一代防火墻可為用戶提供可視化及精細(xì)化的應(yīng)用安全管理。同時，山石網(wǎng)科下一代防火墻內(nèi)置了先進(jìn)的威脅檢測引擎及專業(yè)的WEB服務(wù)器防護(hù)功能，能夠抵御包括病毒、木馬、SQL注入、XSS跨站腳本、CC攻擊在內(nèi)的各種網(wǎng)絡(luò)攻擊，有效保護(hù)用戶網(wǎng)絡(luò)健康及WEB服務(wù)器安全?；谌⑿熊浻布軜?gòu)實現(xiàn)的“一次解包、并行檢測”，山石網(wǎng)科下一代防火墻在具備全面安全防護(hù)的同時，更為用戶提供高性能的應(yīng)用安全防護(hù)。二、優(yōu)勢與特性1.精細(xì)化應(yīng)用管控山石網(wǎng)科下一代防火墻支持深度應(yīng)用識別技術(shù)，可根據(jù)協(xié)議特征、行為特征及關(guān)聯(lián)分析等，準(zhǔn)確識別數(shù)千種網(wǎng)絡(luò)應(yīng)用，其中包括400余種移動應(yīng)用。在此基礎(chǔ)上，山石網(wǎng)科下一代防火墻為用戶提供了精細(xì)而靈活的應(yīng)用安全管控功能。應(yīng)用多維可視化及風(fēng)險分析。除應(yīng)用所在分類外，用戶可了解到包括應(yīng)用背景信息、應(yīng)用風(fēng)險級別、潛在風(fēng)險描述、所用技術(shù)等詳盡信息，如該應(yīng)用是否大量消耗帶寬、是否能夠傳輸文件、是否存在已知漏洞等等。通過多維度的詳盡應(yīng)用分析，用戶可制定針對性的安全策略以避免特定應(yīng)用威脅網(wǎng)絡(luò)安全。精準(zhǔn)應(yīng)用篩選。山石網(wǎng)科下一代防火墻提供了精細(xì)化的應(yīng)用篩選機(jī)制。用戶可根據(jù)應(yīng)用名稱、應(yīng)用類別、風(fēng)險級別、所用技術(shù)、應(yīng)用特征等6大條件，精確篩選出感興趣的應(yīng)用類型，如具備文件傳輸功能的通訊軟件，或存在已知漏洞、基于瀏覽器的WEB視頻應(yīng)用等等，從而實現(xiàn)精細(xì)化的應(yīng)用管控。靈活應(yīng)用控制?；谏疃葢?yīng)用識別及精細(xì)化的應(yīng)用篩選，山石網(wǎng)科下一代防火墻支持靈活的安全控制功能。包括策略阻止、會話限制、流量管控、應(yīng)用引流或是時間限制等。如山石網(wǎng)科下一代防火墻支持的iQoS技術(shù)，可在應(yīng)用識別與用戶識別基礎(chǔ)上，進(jìn)行兩層八級細(xì)粒度流量管控，保證用戶重要應(yīng)用服務(wù)質(zhì)量，提升網(wǎng)絡(luò)帶寬利用率。

2.全面威脅檢測與防護(hù)山石網(wǎng)科下一代防火墻提供了基于深度應(yīng)用、協(xié)議檢測和攻擊原理分析的入侵防技術(shù)，可有效過濾病毒、木馬、蠕蟲、間諜軟件、漏洞攻擊、逃逸攻擊等安全威脅，為用戶提供L2-L7層網(wǎng)絡(luò)安全防護(hù)。優(yōu)化的攻擊識別算法。能夠有效抵御如SYNFlood、UDPFlood、HTTPFloodDoS/DDoS攻擊，保障網(wǎng)絡(luò)與應(yīng)用系統(tǒng)的安全可用性。專業(yè)Web攻擊防護(hù)功能。支持SQL注入、跨站腳本、CC攻擊等檢測與過濾，避免Web服務(wù)器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止WebShell和敏感信息泄露，避免網(wǎng)頁篡改與掛馬，滿足用戶Web服務(wù)器深層次安全防護(hù)需求。高性能的病毒過濾。領(lǐng)先的基于流掃描技術(shù)的檢測引擎可實現(xiàn)低延時的高性能過濾。支持對HTTP、FTP及各種郵件傳輸協(xié)議流量和壓縮文件（zip，gzip，rar等）中病毒的查殺，提供超過130萬條實時更新的病毒特征庫。支持千萬級URL過濾功能?？蓭椭W(wǎng)絡(luò)管理員輕松實現(xiàn)網(wǎng)頁瀏覽訪問控制，避免惡意URL帶來的威脅滲入?；诙嗪擞布軜?gòu)及“一次解包，并行檢測”技術(shù)，山石網(wǎng)科千兆及桌面型下一代防火墻在開啟多種威脅防護(hù)功能時，仍可為用戶提供業(yè)界領(lǐng)先綜合安全性能。3.強(qiáng)大的網(wǎng)絡(luò)適應(yīng)性山石網(wǎng)科下一代防火墻具備強(qiáng)大的網(wǎng)絡(luò)適應(yīng)能力，具備復(fù)雜環(huán)境下的安全部署能力，滿足用戶多樣化的網(wǎng)絡(luò)功能需求。

智能鏈路負(fù)載均衡功能。其出站動態(tài)探測和入站SmartDNS等功能允許網(wǎng)絡(luò)訪問流量在多條鏈路上實現(xiàn)智能分擔(dān)，極大提升鏈路利用效率和用戶網(wǎng)絡(luò)訪問體驗。支持RIP、OSPF和BGP等動態(tài)路由協(xié)議?？筛鶕?jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況自動調(diào)整動態(tài)路由表，滿足運(yùn)營商、高校等復(fù)雜網(wǎng)絡(luò)環(huán)境部署。內(nèi)置VPN加速芯片?？娠@著提升IPSec/SSLVPN性能，支持大規(guī)模網(wǎng)絡(luò)環(huán)境中VPN部署。結(jié)合iOS及Android平臺下的VPN客戶端，可為用戶提供移動終端遠(yuǎn)程接入解決方案。4.靈活便捷的無線安全E1100系列下一代防火墻為用戶提供了豐富的網(wǎng)絡(luò)接入選擇，包括WIFI及4G/3G接入功能。WIFI熱點(diǎn)功能。E1100系列支持802.11a/b/g/n無線局域網(wǎng)接入標(biāo)準(zhǔn)，最高可達(dá)300Mbps無線網(wǎng)絡(luò)連接速率，充分滿足分支機(jī)構(gòu)、SOHO辦公室等應(yīng)用環(huán)境中有線與無線混合接入需求。同時，提供了用戶認(rèn)證、網(wǎng)絡(luò)與用戶安全隔離等無線安全功能，杜絕非法接入，避免信息泄露。4G/3G無線WAN接入。E1100系列下一代防火墻支持4G/3G移動通信技術(shù)，可通過內(nèi)置或外置4G/3G模塊支持電信、聯(lián)通、移動三大運(yùn)營商4G/3G網(wǎng)絡(luò)接入，為用戶提供更加靈活的廣域網(wǎng)接入方式。并且支持4G/3G鏈路與有線WAN鏈路之間的負(fù)載均衡與冗余備份，實現(xiàn)VPN備份部署，確保業(yè)務(wù)持續(xù)運(yùn)行。

5.統(tǒng)一集中管理山石網(wǎng)科下一代防火墻支持集中管理，借助HSM安全管理平臺，可對多設(shè)備進(jìn)行統(tǒng)一策略管理、設(shè)備配置管理及實時安全監(jiān)控，從而實現(xiàn)網(wǎng)絡(luò)的快速部署以及發(fā)生安全事件的及時響應(yīng)，提高管理效率，降低運(yùn)維成本。2、入侵防御系統(tǒng)IPS入侵防御系統(tǒng)（IPS）,位于防火墻和網(wǎng)絡(luò)的設(shè)備之間，依靠對數(shù)據(jù)包的檢測進(jìn)行防御（檢查入網(wǎng)的數(shù)據(jù)包，確定數(shù)據(jù)包的真正用途，然后決定是否允許其進(jìn)入內(nèi)網(wǎng)）。入侵預(yù)防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。一般來說IPS是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間的設(shè)備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個惡意的通信。我校IPS品牌是華為。華為IPS介紹：華為NIP系列入侵防御系統(tǒng)，面向大中企業(yè)、行業(yè)及運(yùn)營商客戶，用來防御網(wǎng)絡(luò)威脅影響其正常的業(yè)務(wù)。NIP產(chǎn)品使用模塊化引擎設(shè)計，利用多種先進(jìn)的檢測技術(shù)，提供虛擬補(bǔ)丁、Web應(yīng)用防護(hù)、客戶端應(yīng)用防護(hù)、惡意軟件防護(hù)、Anti-DDoS及應(yīng)用感知控制等功能。幫助組織保障業(yè)務(wù)的連續(xù)性，數(shù)據(jù)的安全性，提供對相關(guān)法律法規(guī)的合規(guī)性。華為NIP系統(tǒng)，采用電信級的高可靠性設(shè)計，提供對MPLS、VLAN等多種特殊協(xié)議的支持，可在多種環(huán)境靈活的部署。產(chǎn)品提供零配置上線的部署能力，無需復(fù)雜的簽名調(diào)整，無需人工設(shè)定網(wǎng)絡(luò)參數(shù)及閾值基線，即可自動阻截各種業(yè)務(wù)威脅。華為NIP產(chǎn)品顯著降低了部署的復(fù)雜性，使整體的TCO成本得到有效的控制。前瞻性的全面防護(hù)NIP系統(tǒng)采用多種先進(jìn)的檢測技術(shù)，有效的防御各種已知或者未知的威脅：采用協(xié)議智能識別技術(shù)，自動的區(qū)分不同應(yīng)用和協(xié)議，無需人工設(shè)定協(xié)議端口；基于漏洞的檢測技術(shù)，以及基于攻擊特征的檢測技術(shù)，實時發(fā)現(xiàn)并防御各種已知的攻擊：漏洞利用、蠕蟲木馬等等；協(xié)議異常檢測、流量異常檢測以及啟發(fā)式檢測技術(shù)，可以有效的發(fā)現(xiàn)未知漏洞及惡意軟件產(chǎn)生的攻擊；NIP產(chǎn)品薈萃多種入侵檢測技術(shù)，其中最重要的就是基于漏洞的檢測，可有效地阻止因為漏洞而帶來的威脅，如：溢出攻擊、蠕蟲感染等。相對傳統(tǒng)的攻擊特征檢測不會產(chǎn)生誤報、并且能夠更好地對抗使用逃避技術(shù)的攻擊行為。易于部署NIP產(chǎn)品預(yù)先配置了成熟的默認(rèn)安全策略，提供了開箱即用的零配置上線的安全保護(hù)。此默認(rèn)策略憑借有先進(jìn)的引擎技術(shù)和高質(zhì)量基于漏洞的簽名，提供高精度的威脅檢出能力，對確定對業(yè)務(wù)有影響的中高級威脅自動阻斷，無需人工逐個優(yōu)化調(diào)整。NIP產(chǎn)品可以基于透明模式在線部署，也可旁路部署，同一臺設(shè)備任何接口可以自由選擇在線還是旁路工作，也無需重新調(diào)整網(wǎng)絡(luò)，網(wǎng)絡(luò)和安全管理員可以輕松選擇所需的設(shè)備工作方式NIP產(chǎn)品支持對MPLS、VLANtrunk、GRE等特殊網(wǎng)絡(luò)封裝數(shù)據(jù)的檢測，使部署位置更具靈活性。集中管理與報表NIP產(chǎn)品不但提供設(shè)備自身的Web管理方式，也可以通過集中管理軟件NIPManager，進(jìn)行多設(shè)備的集中監(jiān)控、升級和策略下發(fā)等配置操作。NIP產(chǎn)品提供多種的預(yù)定義策略供客戶選擇，可以滿足客戶定制化策略的需求。NIPManager具有豐富的日志統(tǒng)計報表功能，從不同粒度和不同維度全面展示網(wǎng)絡(luò)實時狀況、歷史信息及檢測到的各種攻擊排名、流量趨勢走向。方便用戶隨時了解網(wǎng)絡(luò)健康狀態(tài)，對網(wǎng)絡(luò)加固和IT活動實施予以指導(dǎo)高可靠性IPS在線部署需要極高的可靠性，華為NIP產(chǎn)品提供最高級別的可靠性及可用性。產(chǎn)品支持高可靠性配置（主-備模式、主-主模式），支持熱插拔冗余電源、熱插拔風(fēng)扇，并采用電子硬盤方案。提供軟件及硬件的Bypass功能（失效開放），可以在某個功能模塊異常時旁路此模塊，也可以在整個IPS設(shè)備出現(xiàn)問題時旁路整個IPS產(chǎn)品。3、核心交換機(jī)核心交換機(jī)并不是交換機(jī)的一種類型，而是放在核心層（網(wǎng)絡(luò)主干部分）的交換機(jī)叫核心交換機(jī)。我們學(xué)校核心交換機(jī)3臺：倆臺JuniperMX960和一臺Ciscocatalyst6500。1）核心交換機(jī)JuniperMX960品牌：瞻博型號：MX960MX960以太網(wǎng)業(yè)務(wù)路由器為運(yùn)營商級以太網(wǎng)的容量、密度和性能制訂了新的業(yè)界標(biāo)準(zhǔn)。作為第一款優(yōu)化用于新興以太網(wǎng)網(wǎng)絡(luò)架構(gòu)和服務(wù)的Juniper平臺，MX960專門構(gòu)建用于滿足最苛刻的運(yùn)營商應(yīng)用需求。MX960利用JUNOS操作系統(tǒng)，使運(yùn)營商能夠以經(jīng)濟(jì)高效地方式無縫部署以太網(wǎng)并加速下一代網(wǎng)絡(luò)部署。通過將最佳的硬件平臺與JUNOS軟件的可靠性及服務(wù)靈活性結(jié)合在一起，MX960提供的特性和功能都令以往的運(yùn)營商級以太網(wǎng)部署望塵莫及。全新的MX960平臺是業(yè)界容量最大的運(yùn)營商級以太網(wǎng)平臺，提供最大可達(dá)960千兆位每秒（Gbps）的交換和路由容量-從而降低每平臺的成本并增加收入，產(chǎn)品還能通過擴(kuò)展來保護(hù)客戶投資。MX960有效支持高密度接口和大容量的交換吞吐量，適用于廣泛的企業(yè)和住宅應(yīng)用與服務(wù)，包括高速傳輸和VPN服務(wù)、下一代寬帶多重播放服務(wù)以及大容量的互聯(lián)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)互連等。MX960是經(jīng)過專門優(yōu)化的以太網(wǎng)業(yè)務(wù)路由器，能夠提供交換和運(yùn)營商級以太網(wǎng)路由功能，以確保實現(xiàn)最低的每端口成本，同時不降低性能、可靠性、可擴(kuò)展性和功能。基于以太網(wǎng)的業(yè)務(wù)為供應(yīng)商提供了大量的創(chuàng)收新機(jī)會。這些業(yè)務(wù)包括VPN、點(diǎn)到點(diǎn)連接、高速互聯(lián)網(wǎng)接入和寬帶匯聚。隨著技術(shù)和標(biāo)準(zhǔn)的不斷發(fā)展，以太網(wǎng)日益成為服務(wù)供應(yīng)商的首選邊緣技術(shù)。MX960為企業(yè)和住宅業(yè)務(wù)提供無可比擬的可擴(kuò)展性、性能、可靠性和QoS，是Juniper網(wǎng)絡(luò)公司致力于提供以太網(wǎng)核心解決方案以滿足下一代網(wǎng)絡(luò)和業(yè)務(wù)需求的一個有力證明。MX960是一種高密度第2層和第3層以太網(wǎng)交換機(jī)/路由器平臺，設(shè)計用于多種服務(wù)供應(yīng)商邊緣業(yè)務(wù)的部署。MX960提供大量的以太網(wǎng)業(yè)務(wù)，包括：用于多點(diǎn)連接的VPLS業(yè)務(wù)；內(nèi)置VPLS業(yè)務(wù)功能；用于點(diǎn)到點(diǎn)業(yè)務(wù)的虛擬專線（VLL）；支持點(diǎn)到點(diǎn)業(yè)務(wù)；RFC2547.bisIP/MPLSVPN（L3VPN）；全面支持整個以太網(wǎng)中的MPLSVPN；園區(qū)/企業(yè)網(wǎng)邊緣的以太網(wǎng)匯聚；支持密集的1GE和10GE配置并提供全面的L3支持以滿足園區(qū)邊緣的需求；多業(yè)務(wù)邊緣的以太網(wǎng)匯聚；支持多達(dá)480個1GE端口或48個10GE端口，以最大限度提高以太網(wǎng)的密度，并為MSE應(yīng)用提供全面的L2和L3VPN支持。從多協(xié)議標(biāo)簽交換（MPLS）技術(shù)中我們可以看到，技術(shù)和標(biāo)準(zhǔn)的向前發(fā)展推動了服務(wù)供應(yīng)商邊緣的以太網(wǎng)技術(shù)的演進(jìn)。按照傳統(tǒng)的觀點(diǎn)，MPLS是在網(wǎng)絡(luò)骨干網(wǎng)中使用，以提供流量工程，允許承載IP、幀中繼和ATM等大量的L2和L3流量。將MPLS擴(kuò)展到以太網(wǎng)邊緣為服務(wù)供應(yīng)商帶來多種益處，例如修復(fù)技術(shù)、OA&M診斷功能以及為對時延和時延變化敏感的業(yè)務(wù)提供QoS支持。Juniper網(wǎng)絡(luò)公司是MPLS技術(shù)的開發(fā)和部署領(lǐng)域的領(lǐng)導(dǎo)廠商，處于業(yè)界的前沿陣地，可幫助服務(wù)供應(yīng)商基于MPLS提供網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)。MX960提供大量由JUNOS操作系統(tǒng)支持的MPLS特性。JUNOS的豐富特性為MX960提供了優(yōu)勢，而其他操作系統(tǒng)不是不夠成熟，不能支持所需要的廣泛的MPLS特性，就是采用單片電路架構(gòu)，已經(jīng)變得過于復(fù)雜繁瑣而無法有效管理。IPTV、VoIP和VPLS等高級服務(wù)和應(yīng)用需要更全面的高級解決方案，因此，Juniper網(wǎng)絡(luò)公司專門構(gòu)建了運(yùn)營商級以太網(wǎng)系列產(chǎn)品來滿足客戶需求。MX960在小巧的機(jī)箱中最多提供12個40Gbps插槽并支持Juniper全新的DPC卡，允許客戶利用前所未有的端口密度-每個系統(tǒng)最多支持480個千兆以太網(wǎng)端口和48個10千兆以太網(wǎng)端口。MX960和DPC卡的分布式智能與數(shù)據(jù)包處理能力都基于Juniper的下一代數(shù)據(jù)包轉(zhuǎn)發(fā)引擎技術(shù)"I-chip"。通過提高可擴(kuò)展性和數(shù)據(jù)包性能并增強(qiáng)以以太網(wǎng)為中心的服務(wù)質(zhì)量特性，MX960將使運(yùn)營商能夠增加每個平臺支持的服務(wù)和客戶的數(shù)量，但不會對性能產(chǎn)生負(fù)面影響，從而提高服務(wù)靈活性，并且同時降低前期購置和后期運(yùn)行成本。MX960的特征與優(yōu)勢：（1）可擴(kuò)展的性能：MX960配備全新的高密度端口集中器（DPC）卡，將高密度端口與分布式架構(gòu)和板載處理能力結(jié)合在一起，確保通過添加接口來擴(kuò)展性能。（2）高級服務(wù)質(zhì)量（QoS）：MX960提供卓越的接口級服務(wù)質(zhì)量，使供應(yīng)商能夠確保提供適當(dāng)水平的服務(wù)質(zhì)量，不受流量傳輸條件的影響。這個高級功能將允許供應(yīng)商提供各項L2和L3服務(wù)，如VLAN/透明局域網(wǎng)、L2/L3VPN、IP話音和以太網(wǎng)上的IP視頻等，同時提供有保證的SLA。（3）服務(wù)靈活性：作為IP/MPLS和VPLS領(lǐng)域的業(yè)界領(lǐng)導(dǎo)者，Juniper的運(yùn)營商級以太網(wǎng)解決方案利用JUNOS操作系統(tǒng)，全球幾百個服務(wù)供應(yīng)商網(wǎng)絡(luò)中部署的27,000多個JuniperM和T系列路由器安裝的都是這個操作系統(tǒng)。JUNOS幫助MX960實現(xiàn)的特性豐富性、穩(wěn)定性以及服務(wù)的廣泛性無不令其他的運(yùn)營商級以太網(wǎng)平臺望洋興嘆。（4）無中斷的簡單部署：利用多年來一直備受全球最大的服務(wù)供應(yīng)商所推崇的JUNOS操作系統(tǒng)，Juniper運(yùn)營商級以太網(wǎng)解決方案使服務(wù)供應(yīng)商能夠即刻利用最新的以太網(wǎng)技術(shù)，無需擔(dān)心與為網(wǎng)絡(luò)部署新操作系統(tǒng)相關(guān)的成本和風(fēng)險?？蛻衄F(xiàn)有的后端辦公系統(tǒng)中對JUNOS的使用和集成可幫助降低前期購置成本，同時允許快速部署以太網(wǎng)訪問網(wǎng)絡(luò)和服務(wù)。2）核心交換機(jī)Catalyst6500品牌：思科型號：Catalyst6500Catalyst6500系列通過大幅度提高用戶生產(chǎn)效率，增強(qiáng)運(yùn)營控制，并提供史無前例的投資保護(hù)，為企業(yè)園區(qū)和服務(wù)供應(yīng)商網(wǎng)絡(luò)設(shè)置了全新的IP通信和應(yīng)用支持標(biāo)準(zhǔn)。作為思科最出色的智能多層模塊化交換機(jī)，Catalyst6500系列提供了從布線室到核心、數(shù)據(jù)中心，乃至WAN邊緣的安全、融合、端到端服務(wù)。CiscoCatalyst6500系列適用于希望降低總體擁有成本的企業(yè)和服務(wù)供應(yīng)商，在一系列機(jī)箱配置和LAN/WAN/MAN接口上提供了可擴(kuò)展性能和端口密度。CiscoCatalyst6500系列擁有3、6、9和13插槽機(jī)箱，以及無與倫比的集成服務(wù)模塊范圍，包括多千兆位網(wǎng)絡(luò)安全、內(nèi)容交換、電話和網(wǎng)絡(luò)分析模塊。由于在所有CiscoCatalyst6500系列機(jī)箱中采用了擁有通用模塊組和操作系統(tǒng)軟件的前瞻性架構(gòu)，CiscoCatalyst6500系列提供了高水平的運(yùn)營一致性，可以優(yōu)化IT基礎(chǔ)設(shè)施，增強(qiáng)投資回報。從48至576個10/100/1000端口或1152個10/100端口的以太網(wǎng)布線室，到支持192條1-Gbps或32個10-Gbps中繼線的每秒數(shù)億轉(zhuǎn)發(fā)速率的網(wǎng)絡(luò)核心，CiscoCatalyst6500系列利用冗余路由和轉(zhuǎn)發(fā)引擎間的狀態(tài)化故障轉(zhuǎn)換功能，提供了理想的平臺功能，大幅度延長了網(wǎng)絡(luò)正常運(yùn)營時間。憑借多個值得信賴的業(yè)界首創(chuàng)和領(lǐng)先的特性，CiscoCatalyst6500系列可以支持3代模塊，從而進(jìn)一步證實了Catalyst6500的價值和思科的創(chuàng)新承諾。思科新一代Catalyst6500系列模塊和SupervisorEngine720采用了11種思科開發(fā)的全新特定應(yīng)用集成線路（ASCI），提供了無與倫比的投資保護(hù)功能，包括：（1）最長的網(wǎng)絡(luò)正常運(yùn)行時間利用平臺、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供1～3秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。（2）全面的網(wǎng)絡(luò)安全性：將切實可行的數(shù)千兆位級思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測、防火墻、VPN和SSL。（3）可擴(kuò)展性能：利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá)400Mpps的轉(zhuǎn)發(fā)性能。能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)，在同一種機(jī)箱中支持三代可互換、可熱插拔的模塊，以提高IT基礎(chǔ)設(shè)施利用率，增大投資回報，并降低總體擁有成本；（4）操作一致性：3插槽、6插槽、9插槽和13插槽機(jī)箱配置使用相同的模塊、CiscoIOSSoftware、CiscoCatalystOperatingSystemSoftware以及可以部署在網(wǎng)絡(luò)任意地方的網(wǎng)絡(luò)管理工具。（5）卓越的服務(wù)集成和靈活性：將安全和內(nèi)容等高級服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從10/100和10/100/1000以太網(wǎng)到萬兆以太網(wǎng)，從DS0到OC-48的各種接口和密度，并能夠在任何部署項目中端到端地執(zhí)行。校園網(wǎng)在學(xué)校的日常活動中發(fā)揮著越來越重要的作用，與此同時，校園網(wǎng)的安全問題也越來越突出，網(wǎng)絡(luò)病毒，黑客入侵，管理不善等原因使得校園網(wǎng)絡(luò)面臨著嚴(yán)重的威脅。在校園網(wǎng)面臨的威脅當(dāng)中，內(nèi)部因素是一個重要的方面，這其中既包括軟硬件自身的缺陷，也包括管理者的管理水平等主觀方面的因素。1、軟硬件自身的漏洞來自硬件系統(tǒng)的安全威脅。一方面是指物理安全，主要是由于網(wǎng)絡(luò)硬件設(shè)備的放置不合適或者防范措施不得力，使得服務(wù)器、工作站、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及UPS和電纜線等電源設(shè)備遭受自然雷電、水、火意外事故或人為破壞等等而造成的校園網(wǎng)不能正常使用。另一方面是指設(shè)置安全。主要是在設(shè)備上進(jìn)行必要的設(shè)置，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)等等。硬件系統(tǒng)安全是制訂校園網(wǎng)安全整體解決方案時首先應(yīng)考慮的問題。系統(tǒng)安全漏洞是指系統(tǒng)在設(shè)計時沒有考慮到的缺陷，特別是操作系統(tǒng)，因為這些軟件一般都比較的復(fù)雜、龐大，有時會因為程序員的疏忽或軟件設(shè)計上的失誤而留下一些漏洞。理論上講任何一個系統(tǒng)都不同程度地存在著漏洞。因為系統(tǒng)漏洞的存在，使得針對系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊和蠕蟲病毒也層出不窮。攻擊者對系統(tǒng)漏洞進(jìn)行攻擊，入侵成功后將獲得系統(tǒng)的相應(yīng)權(quán)限，進(jìn)而盜取重要資料或?qū)ο到y(tǒng)進(jìn)行破壞活動。目前學(xué)校的計算機(jī)系統(tǒng)絕大多數(shù)都是使用Windows2000/XP操作系統(tǒng)，而Windows操作系統(tǒng)是不太安全的。因為Windows操作系統(tǒng)的漏洞比較多，由Windows操作系統(tǒng)漏洞引發(fā)的不安全問題時有發(fā)生。此外，應(yīng)用系統(tǒng)也不例外，如IE、Office辦公軟件、Ms-SQL、Oracal等軟件也存在安全漏洞。2、設(shè)置上的失誤合理規(guī)劃配置設(shè)施是校園網(wǎng)發(fā)揮作用的關(guān)鍵。在校園網(wǎng)規(guī)劃時，應(yīng)考慮長遠(yuǎn)，因為一旦綜合布線、設(shè)備配置完成再進(jìn)行調(diào)整可能需要再重新設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)，很多地方需要重新布線，網(wǎng)絡(luò)設(shè)備也需要重新設(shè)置，這樣既浪費(fèi)人力，物力，也會影響到教學(xué)。對于一些重要的場所，例如圖書館、電子閱覽室、資料室、電腦室、多媒體制作室、教室、辦公室等應(yīng)多設(shè)信息點(diǎn)。同時網(wǎng)絡(luò)集成公司的技術(shù)實力、施工質(zhì)量及其五花八門的"解決方案"大多是自吹自擂，并沒有通過權(quán)威部門的評審、鑒定，致使網(wǎng)絡(luò)市場處于一種比較混亂的局面。3、管理漏洞管理是信息網(wǎng)絡(luò)安全中最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險，主在體現(xiàn)在以下幾點(diǎn):內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險；機(jī)房出入管理不嚴(yán)格，使入侵者能夠接近重要設(shè)備而帶來信息安全風(fēng)險；一些心懷不滿的內(nèi)部員工，由于熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)，進(jìn)行如復(fù)制、刪除數(shù)據(jù)等非法數(shù)據(jù)操作，造成極大的安全風(fēng)險；當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等)，無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供攻擊者攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。4、威脅校園網(wǎng)安全的外部因素雖然內(nèi)部因素威脅著校園網(wǎng)的安全，但是在絕大多情況下，網(wǎng)絡(luò)病毒，黑客入侵等外部因素對網(wǎng)絡(luò)構(gòu)成很大威脅。4、網(wǎng)絡(luò)黑客的入侵“黑客”一詞是由英語Hacker英譯出來的，是指專門研究、發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)漏洞的計算機(jī)愛好者。他們伴隨著計算機(jī)和網(wǎng)絡(luò)的發(fā)展而產(chǎn)生成長。黑客對計算機(jī)有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計算機(jī)和網(wǎng)絡(luò)知識，發(fā)現(xiàn)計算機(jī)和網(wǎng)絡(luò)中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補(bǔ)漏洞的方法。由于校園網(wǎng)規(guī)模巨大，各種設(shè)備系統(tǒng)差異有很大差異，給管理帶來了很大的挑戰(zhàn)，同時也成為黑客攻擊的對象。黑客攻擊已成為校園網(wǎng)安全不可忽視的一個因素。5、計算機(jī)病毒的破壞一般來說，計算機(jī)網(wǎng)絡(luò)的基本構(gòu)成包括網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)節(jié)點(diǎn)站（包括有盤工作站、無盤工作站和遠(yuǎn)程工作站）。計算機(jī)病毒一般首先通過各種途徑進(jìn)入到有盤工作站，也就進(jìn)入網(wǎng)絡(luò)，然后開始在網(wǎng)上的傳播。具體地說，其傳播方式有以下幾種。病毒直接從工作站拷貝到服務(wù)器中或通過郵件在網(wǎng)內(nèi)傳播；病毒先傳染工作站，在工作站內(nèi)存駐留，等運(yùn)行網(wǎng)絡(luò)盤內(nèi)程序時再傳染給服務(wù)器；病毒先傳染工作站，在工作站內(nèi)存駐留，在病毒運(yùn)行時直接通過映像路徑傳染到服務(wù)器中；如果遠(yuǎn)程工作站被病毒侵入，病毒也可以通過數(shù)據(jù)交換進(jìn)入網(wǎng)絡(luò)服務(wù)器中一旦病毒進(jìn)入文件服務(wù)器，就可通過它迅速傳染到整個網(wǎng)絡(luò)的每一個計算機(jī)上。解決校園網(wǎng)安全問題的關(guān)鍵技術(shù)包括防火墻，虛擬專用網(wǎng)，入侵檢測，病毒防御，備份與恢復(fù)，漏洞掃描等。解決方案：1、防火墻部署防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道執(zhí)行控制策略的防御系統(tǒng)。它對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進(jìn)行檢查，以決定通信是否被允許，對外屏蔽內(nèi)部網(wǎng)的信息、結(jié)構(gòu)和運(yùn)行狀況，并提供單一的安全和審計的安裝控制點(diǎn)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息目的。防火墻根據(jù)功能可以分成個人防火墻和網(wǎng)絡(luò)防火墻，根據(jù)實現(xiàn)方法可以分成硬件防火墻和軟件防火墻，根據(jù)結(jié)構(gòu)可以分成包過濾(packetfiltering)、狀態(tài)檢測(Stateinspection)、應(yīng)用層代理(即applicationproxies)、內(nèi)容過濾/狀態(tài)包過濾(contentfiltering/statepacketfiltering)防火墻。防火墻結(jié)構(gòu)如圖3-1所示圖3-1典型防火墻結(jié)構(gòu)網(wǎng)絡(luò)防火墻用以保護(hù)企業(yè)網(wǎng)絡(luò)等較大的復(fù)雜網(wǎng)絡(luò)，以處理更多的用戶。軟件防火墻和硬件防火墻是個相對概念，基本上，所有的防火墻都需要軟件的處理部分。硬件防火墻指的是將防火墻軟件和特定硬件平臺集成在一起的應(yīng)用。軟件防火墻則是指對底層硬件沒有特殊要求，可以安裝在Windows、Unix系統(tǒng)直接使用的防火墻。根據(jù)防火墻的工作原理所有的防火墻從體系結(jié)構(gòu)上都可以分為數(shù)據(jù)獲取、應(yīng)用處理和數(shù)據(jù)傳輸三大部分。通常情況下，數(shù)據(jù)獲取和數(shù)據(jù)傳輸是由軟、硬件兩部分共同實現(xiàn)的。其中，硬件部分一般是防火墻設(shè)備的網(wǎng)絡(luò)接口設(shè)備;數(shù)據(jù)獲取的軟件部分是負(fù)責(zé)將硬件獲取的網(wǎng)絡(luò)通訊信息從網(wǎng)絡(luò)接口設(shè)備的緩沖區(qū)傳送到操作系統(tǒng)緩沖區(qū)進(jìn)行處理的軟件代碼，數(shù)據(jù)傳輸?shù)能浖糠謩t是執(zhí)行與數(shù)據(jù)獲取相反的工作的軟件代碼，這些代碼主要作用是將防火墻需要發(fā)送的數(shù)據(jù)包從操作系統(tǒng)緩沖區(qū)中傳送到相應(yīng)的網(wǎng)絡(luò)接口設(shè)備并傳送出去。防火墻將接收到的數(shù)據(jù)包傳送給應(yīng)用功能模塊，進(jìn)行相應(yīng)的處理。不同的防火墻可能具有不同的應(yīng)用功能，這些功能可能是包過濾、狀態(tài)檢測、內(nèi)容過濾、加密、NAT、IDS、VPN、各種代理服務(wù)等等。2、虛擬專用網(wǎng)(VPN)虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路。而是利用某種公眾網(wǎng)的資源動態(tài)組成的。VPN分為三種類型:遠(yuǎn)程訪問虛擬網(wǎng)(AccessVPN)、企業(yè)內(nèi)部虛擬網(wǎng)(IntranetVPN)和企業(yè)擴(kuò)展虛擬網(wǎng)(ExtranetVPN)，這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。3、入侵檢測(IDS)為進(jìn)一步保護(hù)網(wǎng)絡(luò)的安全性，需應(yīng)用入侵檢測技術(shù)，對網(wǎng)絡(luò)入侵進(jìn)行實時檢測，即對網(wǎng)絡(luò)活動和系統(tǒng)事件進(jìn)行實時監(jiān)控。實時入侵檢測強(qiáng)調(diào)時間性，是連續(xù)、不間斷地監(jiān)控、檢測、響應(yīng)、防護(hù)循環(huán)過程，實時入侵檢測必須實時執(zhí)行。計算機(jī)信息網(wǎng)絡(luò)設(shè)置了防火墻后可以解決多數(shù)網(wǎng)絡(luò)安全問題，但是防火墻不是萬能的，不能提供實時的入侵檢測能力。有些攻擊行為僅僅依靠防火墻是不能防范的，比如如果攻擊行為從內(nèi)部網(wǎng)絡(luò)上發(fā)起，那么對主機(jī)的訪問就不需要通過防火墻，防火墻也就不能對主機(jī)進(jìn)行保護(hù)了。一個簡單的入侵檢測系統(tǒng)，如圖3-2所示。圖3-2簡單IDS系統(tǒng)入侵監(jiān)測的功能通過執(zhí)行以下任務(wù)來實現(xiàn):監(jiān)視、分析用戶及系統(tǒng)活動;系統(tǒng)構(gòu)造和弱點(diǎn)的審計;識別反映已知進(jìn)攻的