XX校园网网络安全解决方案.docx
《XX校园网网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《XX校园网网络安全解决方案.docx(13页珍藏版)》请在冰点文库上搜索。
XX校园网网络安全解决方案
网络安全课程设计
一、校园网概况
二、校园网安全需求分析
三、产品选型和网络拓扑图介绍
四、操作系统安全配置与测试
五、应用服务器(WWW)安全配置
六、防病毒体系设计
七、防火墙设计、配置与测试
一、校园网概况
该校园网始建于2000年8月,至今已经历了四个主要发展阶段,网络覆盖已遍及现有教学办公区和学生宿舍区。
截止目前,校园网光缆铺设约一万二千米,信息点铺设接近一万,开设上网帐号8000多个,办理学校免费邮箱2000左右。
校园网主干现为双千兆环网结构。
校园网接入均为千兆光纤到大楼,百兆交换到桌面,具有良好网络性能。
校园网现有三条宽带出口并行接入Internet,500兆中国电信、100兆中国网通和100兆中国教育科研网,通过合理路由策略,为校园网用户提供了良好出口带宽。
校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。
还有外语学习平台,图书馆丰富电子图书资源,教务处学分制教学信息服务网、科技处科研管理平台等。
众多资源服务构成了校园网资源子网,为广大师生提供了良好资源服务。
二、校园网安全需求分析
将安全策略、硬件及软件等方法结合起来,构成一个统一防御系统,有效阻止非法用户进入网络,减少网络安全风险。
定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
通过入侵检测等方式实现实时安全监控,提供快速响应故障手段,同时具备很好安全取证措施。
使网络管理者能够很快重新组织被破坏了文件或应用。
使系统重新恢复到破坏前状态,最大限度地减少损失。
在工作站、服务器上安装相应防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
通过对校园网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器安全保护、防黑客和病毒、重要网段保护以及管理安全上。
因此,我们必须采取相应安全措施杜绝安全隐患,其中应该做到:
公开服务器安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络安全管理
针对这个企业局域网络系统实际情况,在系统考虑如何解决上述安全问题设计时应满足如下要求:
1.大幅度地提高系统安全性(重点是可用性和可控性);
2.保持网络原有能特点,即对网络协议和传输具有很好透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能扩展;
5.安全保密系统具有较好性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门认可或认证;
7.分布实施。
三、产品选型和网络拓扑图介绍
该校园网现行核心区选用锐捷核心交换机RG-S5750S系列,24端口10/100/1000M自适应端口(支持PoE远程供电),12个复用SFP接口,2个扩展槽。
支持4K个802.1QVLAN
支持SuperVLAN、支持ProtocolVLAN、支持PrivateVLAN、支持VoiceVLAN(*)、支持基于MAC地址VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。
防火墙采用深信服M5400VPN防火墙。
2个LAN口,4个WAN口,2个串口。
IPSecVPN隧道数:
5200条/并发SSL用户数:
800/每秒新建用户数:
80/每秒新建会话数:
500/最大并发会话数目:
600,000。
接入层采用H3CS1048交换机,提供48个符合IEEE802.3u标准10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计。
符合IEEE802.3、IEEE802.3u和IEEE802.3x标准; 提供48个10/100M自适应以太网端口; 每个端口都支持Auto-MDI/MDIX功能; 每个端口都提供Speed和Link/Act指示灯,显示端口工作状态。
校园网拓扑图:
(四、五、)操作系统安全配置与测试,WWW配置与测试。
操作系统采用server03,并在其上配置IIS、WWW、DHCP、DNS等。
配置图例如下:
然后建立网站文件夹目录:
性能与目录安全性配置:
可以通过IP地址和域名限制,创建虚拟文件目录,更改端口号灯多种方法来提高WWW服务器安全性。
通过局域网网内不同主机对服务器访问来测试配置情况。
六、防病毒体系设计
防病毒体系总体规划:
防病毒系统不仅是检测和清除病毒,还应加强对病毒防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。
通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。
因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品重要需求。
在跨区域广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网安全无毒。
也就是说,一个企业网防病毒系统是建立在每个局域网防病毒系统上。
应该根据每个局域网防病毒要求,建立局域网防病毒控制系统,分别设置有针对性防病毒策略。
从总部到分支机构,由上到下,各个局域网防病毒系统相结合,最终形成一个立体、完整病毒防护体系。
1.构建控管中心集中管理架构
保证网络中所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。
2.构建全方位、多层次防毒体系
结合企业实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生每一个节点,实现病毒全面布控。
3.构建高效网关防毒子系统
网关防毒是最重要一道防线,一方面消除外来邮件SMTP、POP3病毒威胁,另一方面消除通过HTTP、FTP等应用病毒风险,同时对邮件中关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径。
4.构建高效网络层防毒子系统
企业中网络病毒防范是最重要防范工作,通过在网络接口和重要安全区域部署网络病毒系统,在网络层全面消除外来病毒威胁,使得网络病毒不再肆意传播,同时结合病毒所利用传播途径,结合安全策略进行主动防御。
5.构建覆盖病毒发作生命周期控制体系
当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善预警机制、清除机制、修复机制来实现病毒高效处理,特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络新型病毒具有很好防护手段。
防毒系统在病毒代码到来之前,可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来进不来、进来后又没有扩散途径。
在清除与修复阶段又可以对发现病毒高效清除,快速恢复系统至正常状态。
6.病毒防护能力
防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序正常运行,减少误报几率。
7.系统服务
系统服务是整体防毒系统中极为重要一环。
防病毒体系建立起来之后,能否对病毒进行有效防范,与病毒厂商能否提供及时、全面服务有着极为重要关系。
这一方面要求软件提供商要有全球化防毒体系为基础,另一方面也要求厂商能有精良本地化技术人员作依托,不管是对系统使用中出现问题,还是用户发现可疑文件,都能进行快速分析和方案提供。
如果有新病毒爆发及其它网络安全事件,需要防病毒厂商具有较强应急处理能力及售后服务保障,并且做出具体、详细应急处理机制计划表和完善售后服务保障体系。
防病毒体系管理功能:
防病毒系统能够实现分级、分组管理,不同组及客户端执行不同病毒查杀策略,全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一管理界面,直接监视和操纵服务器端/客户端,根据实际需要,添加自定义任务(例如更新和扫描任务等),支持大型网络统一管理多级中心系统等多种复杂管理功能。
8.资源占用率
防病毒系统进行实时监控或多或少地要占用部分系统资源,这就不可避免地要带来系统性能降低。
尤其是对邮件、网页和FTP文件监控扫描,由于工作量相当大,因此对系统资源占用较大。
因此,防病毒系统占用系统资源要较低,不影响系统正常运行。
8.系统兼容性
防病毒系统要具备良好兼容性,将支持以下操作系统:
WindowsNT、Windows2000、Windows9X/Me、WindowsXP/Vista、Windows2000/2003/2008Server、Unix、Linux等X86和X64架构操作系统。
9.病毒库组件升级
防病毒系统提供多种升级方式以及自动分发功能,支持多种网络连接方式,具有升级方便、更新及时等特点,管理员可以十分轻松地按照预先设定升级方式实现全网内统一升级,减少病毒库增量升级对网络资源占用,并且采用均衡流量策略,尽快将新版本部署到全部计算机上,时刻保证病毒库都是最新,且版本一致,杜绝因版本不一致而可能造成安全漏洞和安全隐患。
10.软件商企业实力
软件商实力一方面指它对现有产品技术支持和服务能力,另一方面是指它后续发展能力。
因为企业级防毒软件实际是用户企业与防病毒厂商长期合作,企业实力将会影响这种合作持续性,从而影响到用户企业在此方面投入成本。
七、防火墙设计、配置
对于深信服M5400可以做以下方面配置:
1、用户与策略管理配置:
WEB、HTTPURL过滤:
邮件过滤:
网页内容审计:
认证方式:
升级会员 