計(jì)算機(jī)網(wǎng)絡(luò)工程單元7-網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)施

1、單元2網(wǎng)絡(luò)需求調(diào)查與分析單元1 網(wǎng)絡(luò)工程與系統(tǒng)集成初識(shí) 目 錄 單元3網(wǎng)絡(luò)邏輯方案的設(shè)計(jì)單元5網(wǎng)絡(luò)設(shè)備選型與配置單元4綜合布線設(shè)計(jì)與施工單元6服務(wù)器與存儲(chǔ)系統(tǒng)的構(gòu)建單元8網(wǎng)絡(luò)工程項(xiàng)目管理與驗(yàn)收單元7網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)施單元9綜合案例目標(biāo)導(dǎo)航網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)容防火墻的設(shè)計(jì)與選型入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與選型XX學(xué)校的行政網(wǎng)絡(luò)安全設(shè)計(jì)實(shí)例第7單元：7.1網(wǎng)絡(luò)安全設(shè)計(jì)7.2網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)容7.3防火墻的設(shè)計(jì)與選型7.4入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與選型7.5XX學(xué)校的行政網(wǎng)絡(luò)安全設(shè)計(jì)實(shí)例7.1 網(wǎng)絡(luò)安全設(shè)計(jì)隨著信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)化已經(jīng)成為企業(yè)信息化的發(fā)展大趨勢(shì)，信息資源也得到最大

2、程度的共享。但是，緊隨信息化發(fā)展而來的網(wǎng)絡(luò)安全問題日漸凸出，網(wǎng)絡(luò)安全問題已成為信息時(shí)代人類共同面臨的挑戰(zhàn)，網(wǎng)絡(luò)信息安全問題成為當(dāng)務(wù)之急，如果不很好地解決這個(gè)問題，必將阻礙信息化發(fā)展的進(jìn)程。網(wǎng)絡(luò)安全設(shè)計(jì)原則7.1.1常用網(wǎng)絡(luò)安全技術(shù)7.1.2網(wǎng)絡(luò)安全設(shè)計(jì)過程 網(wǎng)絡(luò)安全設(shè)計(jì)7.1.1 網(wǎng)絡(luò)安全設(shè)計(jì)原則網(wǎng)絡(luò)安全主要針對(duì)的是網(wǎng)絡(luò)安全防范，在發(fā)生危險(xiǎn)或問題之前進(jìn)行阻擋。對(duì)于其設(shè)計(jì)原則主要遵循網(wǎng)絡(luò)安全防范體系框架結(jié)構(gòu)與網(wǎng)絡(luò)安全防范體系層次來設(shè)計(jì)。 1、安全攻擊、安全機(jī)制和安全服務(wù) ITU-T X.800標(biāo)準(zhǔn)將我們常說的“網(wǎng)絡(luò)安全（networksecurity）”進(jìn)行邏輯上的分別定義，即安

3、全攻擊（security attack）是指損害機(jī)構(gòu)所擁有信息的安全的任何行為； 安全機(jī)制（security mechanism）是指設(shè)計(jì)用于檢測(cè)、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機(jī)制；安全服務(wù)（security service）是指采用一種或多種安全機(jī)制以抵御安全攻擊、提高機(jī)構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。2、網(wǎng)絡(luò)安全防范體系框架結(jié)構(gòu)三維安全防范技術(shù)體系框架結(jié)構(gòu)7.1.1 網(wǎng)絡(luò)安全設(shè)計(jì)原則3、網(wǎng)絡(luò)安全防范體系層次（1）物理環(huán)境的安全性（物理層安全）（2）操作系統(tǒng)的安全性（系統(tǒng)層安全）（3）網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）（4）應(yīng)用的安全性（應(yīng)用層安全）（5）管理的安全性（管理層安全）7.1.1

4、 網(wǎng)絡(luò)安全設(shè)計(jì)原則4、網(wǎng)絡(luò)安全防范體系設(shè)計(jì)準(zhǔn)則（1）網(wǎng)絡(luò)信息安全的木桶原則（2）網(wǎng)絡(luò)信息安全的整體性原則（3）安全性評(píng)價(jià)與平衡原則（4）標(biāo)準(zhǔn)化與一致性原則（5）技術(shù)與管理相結(jié)合原則（6）統(tǒng)籌規(guī)劃，分步實(shí)施原則（7）等級(jí)性原則（8）動(dòng)態(tài)發(fā)展原則（9）易操作性原則7.1.1 網(wǎng)絡(luò)安全設(shè)計(jì)原則 1、計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅（1）信息泄漏或丟失（2）非授權(quán)訪問（3）拒絕服務(wù)攻擊（DDOS）（4）破壞數(shù)據(jù)完事性（5）利用網(wǎng)絡(luò)傳播病毒7.1.2 常用網(wǎng)絡(luò)安全技術(shù) 2、網(wǎng)絡(luò)安全的主要技術(shù) （1）防火墻技術(shù) 防火墻技術(shù)是網(wǎng)絡(luò)應(yīng)用最廣泛的技術(shù)，是在被保護(hù)的Internet 與Internet 之間設(shè)起的一道屏障，是

5、用于增強(qiáng)Internet 的安全性，是網(wǎng)絡(luò)訪問控制設(shè)備，用于確定哪些服務(wù)可以被Internet 上的用戶訪問，外部的哪些人可以訪問內(nèi)部的哪些服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。 （2）數(shù)據(jù)加密技術(shù) 1）數(shù)據(jù)傳輸加密技術(shù) 2）數(shù)據(jù)存儲(chǔ)加密技術(shù) 3）數(shù)據(jù)完整性鑒別技術(shù) 4）密鑰管理技術(shù)7.1.2 常用網(wǎng)絡(luò)安全技術(shù) （3）虛擬專用戶技術(shù)（VPN 技術(shù)） VPN 技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密通道”在網(wǎng)絡(luò)上傳播，在公共網(wǎng)絡(luò)上構(gòu)建VPN 有路由過濾技術(shù)和隧道技術(shù)。目前VPN 技術(shù)主要采用四項(xiàng)技術(shù)來保障安全，分別是：隧道技術(shù)、加解密技術(shù)、密匙管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)

6、等。 （4）入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部入侵、外部入侵和失誤操作的實(shí)時(shí)保護(hù)，能在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵，是當(dāng)前網(wǎng)絡(luò)安全技術(shù)研究的一個(gè)熱點(diǎn)入侵檢測(cè)系統(tǒng)的主要功能是能檢測(cè)阻止內(nèi)外部不發(fā)分子對(duì)系統(tǒng)的入侵，從而加以阻止、封閉。7.1.2 常用網(wǎng)絡(luò)安全技術(shù) （5）數(shù)字簽名技術(shù) 數(shù)字簽名（Digital Signature），就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造。 （6）認(rèn)證技術(shù) 目前的認(rèn)證技術(shù)有對(duì)用戶的認(rèn)證和對(duì)消息

7、的認(rèn)證兩種方式。用戶認(rèn)證用于鑒別用戶的身份是否是合法用戶；消息認(rèn)證就是驗(yàn)證所收到的消息確實(shí)是來自真正的發(fā)送方且未被修改的消息，也可以驗(yàn)證消息的順序和及時(shí)性。7.1.2 常用網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無法確保信息網(wǎng)絡(luò)的安全性。 1病毒防范 （1）采用多層的病毒防衛(wèi)體系。 （2）選擇合適的防病毒產(chǎn)品 2黑客防范 （1）應(yīng)用防火墻技術(shù)，控制訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理 （2）應(yīng)用入侵檢測(cè)技術(shù)保護(hù)網(wǎng)絡(luò)與主機(jī)資源，防止

8、內(nèi)外網(wǎng)攻擊7.1.3 網(wǎng)絡(luò)安全設(shè)計(jì)過程 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)具備如下特點(diǎn)：1）可精確判斷入侵事件2）可判斷應(yīng)用層的入侵事件3）對(duì)入侵可以立即進(jìn)行反應(yīng)4）全方位的監(jiān)控與保護(hù)5）針對(duì)不同操作系統(tǒng)特點(diǎn) 3應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞，進(jìn)行網(wǎng)絡(luò)安全評(píng)估 4應(yīng)用網(wǎng)站實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)站安全可靠的運(yùn)行7.1.3 網(wǎng)絡(luò)安全設(shè)計(jì)過程 5應(yīng)用網(wǎng)絡(luò)安全緊急響應(yīng)體系，防范安全突發(fā)事件 緊急響應(yīng)的目標(biāo)：（1）故障定位及排除（2）預(yù)防問題（3）優(yōu)化性能7.1.3 網(wǎng)絡(luò)安全設(shè)計(jì)過程 簡化的網(wǎng)絡(luò)安全設(shè)計(jì)過程：（1）網(wǎng)絡(luò)安全需求分析（2）確立合理的目標(biāo)基線和安全策略（3）明確準(zhǔn)備付出的代價(jià)（4）制定可行的技術(shù)方

9、案（5）工程實(shí)施方案（產(chǎn)品的選購與定制）（6）制定配套的法規(guī)、條例和管理辦法（7）從網(wǎng)絡(luò)安全需求上進(jìn)行分析，并基于網(wǎng)絡(luò)層次結(jié)構(gòu)，提出不同層次與安全7.1.3 網(wǎng)絡(luò)安全設(shè)計(jì)過程 簡化的網(wǎng)絡(luò)安全設(shè)計(jì)過程：（1）網(wǎng)絡(luò)安全需求分析（2）確立合理的目標(biāo)基線和安全策略（3）明確準(zhǔn)備付出的代價(jià)（4）制定可行的技術(shù)方案（5）工程實(shí)施方案（產(chǎn)品的選購與定制）（6）制定配套的法規(guī)、條例和管理辦法（7）從網(wǎng)絡(luò)安全需求上進(jìn)行分析，并基于網(wǎng)絡(luò)層次結(jié)構(gòu)，提出不同層次與安全7.1.3 網(wǎng)絡(luò)安全設(shè)計(jì)過程 參觀所在學(xué)校校園網(wǎng)，了解校園網(wǎng)中采用了哪些網(wǎng)絡(luò)安全技術(shù)，選用了哪些品牌的網(wǎng)絡(luò)安全產(chǎn)品，分別部署在校園網(wǎng)什么位置，主要功能有

10、哪些。技能實(shí)訓(xùn) 了解校園網(wǎng)采用的網(wǎng)絡(luò)安全技術(shù)物理安全7.2.1網(wǎng)絡(luò)數(shù)據(jù)安全7.2.2信息安全 網(wǎng)絡(luò)安全系統(tǒng)的內(nèi)容 物理安全主要是指通過物理隔離實(shí)現(xiàn)網(wǎng)絡(luò)安全。 所謂“物理隔離”是指內(nèi)部網(wǎng)不直接或間接地連接公共網(wǎng)。物理安全的目的是保護(hù)路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。只有使內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證黨政機(jī)關(guān)的內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，物理隔離也為政府內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于內(nèi)部管理。7.2.1 物理安全 1、網(wǎng)絡(luò)安全構(gòu)架概述 在實(shí)際生活中，正在應(yīng)用的網(wǎng)絡(luò)安全構(gòu)架是ITUT 推

11、薦的X.800方案，即所謂的OSI框架。 2、安全模型網(wǎng)絡(luò)安全模型7.2.2 網(wǎng)絡(luò)數(shù)據(jù)安全 網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計(jì)算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至安全系統(tǒng)，其中任何一個(gè)安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論，以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。 信息安全可分為狹義安全與廣義安全兩個(gè)層次，狹義的安全是建立在以密碼論為基礎(chǔ)的計(jì)算機(jī)安全領(lǐng)域，早期國內(nèi)信息安全專業(yè)通常以此為基準(zhǔn)，輔以計(jì)算機(jī)技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容；廣義的信息安全本專業(yè)是一門綜合性學(xué)科，

12、從傳統(tǒng)的計(jì)算機(jī)安全到信息安全，不但是名稱的變更也是對(duì)安全發(fā)展的延伸，安全不在是單純的技術(shù)問題，而是將管理、技術(shù)、法律等問題相結(jié)合的產(chǎn)物。7.2.3 信息安全防火墻的類型7.3.1防火墻的選型 防火墻的設(shè)計(jì)與選型 防火墻（firewall）是一項(xiàng)協(xié)助確保信息安全的設(shè)備，會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻由軟件和硬件設(shè)備組合而成，它可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造保護(hù)屏障，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法

13、用戶的侵入。 防火墻的功能：1、防火墻是網(wǎng)絡(luò)安全的屏障2、防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略3、對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)4、防止內(nèi)部信息的外泄7.3 防火墻的設(shè)計(jì)與選型 1、從防火墻的軟、硬件形式劃分，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。 （1）軟件防火墻 軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。 （2）硬件防火墻 硬件防火墻基于硬件平臺(tái)的網(wǎng)絡(luò)防預(yù)系統(tǒng)，與芯片級(jí)防火墻相比并不需要專門的硬件。目前市場上大多數(shù)防火墻都是這種硬件防火墻，他們大多基于PC架構(gòu)設(shè)計(jì)。 （3）芯片級(jí)防火墻 芯片級(jí)防

14、火墻基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。7.3.1 防火墻的類型 2、從防火墻的技術(shù)來分的話，防火墻可以分為包過濾型、應(yīng)用代理型 （1）包過濾（Packet filtering）型 包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。 （2）應(yīng)用代理（Application Proxy）型 應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通

15、信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。7.3.1 防火墻的類型 3、以作用的TCP/IP堆棧區(qū)分，主要分為網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種，但也有些防火墻是同時(shí)運(yùn)作于網(wǎng)絡(luò)層及應(yīng)用層。 （1）網(wǎng)絡(luò)層防火墻 網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的TCP/IP協(xié)定堆棧上。以列舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。 （2）應(yīng)用層防火墻 應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運(yùn)作，使用瀏覽器時(shí)所產(chǎn)生的信息流或是使用 FTP 時(shí)的信息流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某些應(yīng)用程式的所有封包。理論上，這一類的防

16、火墻可以完全阻絕外部的信息流進(jìn)到受保護(hù)的計(jì)算機(jī)里。防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的屬性，可以防范電腦蠕蟲或是木馬程式的快速蔓延。不過就實(shí)作而言，這個(gè)方法耗費(fèi)計(jì)算機(jī)資源，同時(shí)會(huì)減緩計(jì)算機(jī)的運(yùn)行速度，所以現(xiàn)在大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。7.3.1 防火墻的類型 防火墻相對(duì)前面介紹的交換機(jī)、路由器來說，在選型方面的考慮要簡單些，主要考慮是選擇軟件防火墻，還是硬件防火墻，以及防火墻的少數(shù)幾種包過濾類型、防火墻產(chǎn)品的品牌和服務(wù)等方面。 1、軟、硬防火墻的選型考慮 2、防火墻類型的選型考慮（1）包過濾型防火墻（2）應(yīng)用代理型防火墻（3）狀態(tài)包過濾型防火墻7.3.2 防火墻的選型 【實(shí)訓(xùn)

17、目標(biāo)】 調(diào)查市場主流防火墻的品牌和近期主打產(chǎn)品，詳細(xì)了解其配置、性能指標(biāo)和應(yīng)用范圍 【實(shí)訓(xùn)條件】 通過互聯(lián)網(wǎng)了解當(dāng)今幾大防火墻品牌廠商在當(dāng)?shù)氐拇砩蹋咴L當(dāng)?shù)亟?jīng)銷商詢問主流防火墻的性能，配置。技能實(shí)訓(xùn) 了解市場主流防火墻品牌及其特點(diǎn)單一防火墻功能的不足7.4.1入侵檢測(cè)系統(tǒng)的功能和優(yōu)點(diǎn)7.4.2入侵檢測(cè)系統(tǒng)選型 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與選型 為了保證網(wǎng)上信息的安全性、可靠性，保證網(wǎng)絡(luò)的正常運(yùn)行，不被不法分子破壞、竄改是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中非常重要的一個(gè)組成部分。由此誕生了入侵檢測(cè)這種功能性系統(tǒng)。 入侵檢測(cè)系統(tǒng)應(yīng)遵循如下原則設(shè)計(jì)：（1）設(shè)計(jì)中將以國家涉密計(jì)算機(jī)系統(tǒng)安全要求為根本（2）

18、采用國內(nèi)最先進(jìn)，符合涉密系統(tǒng)安全要求的安全設(shè)備和產(chǎn)品（3）嚴(yán)格遵守中華人民共和國保密局、公安部相關(guān)法律和法規(guī)（4）嚴(yán)格遵守國家涉密計(jì)算機(jī)系統(tǒng)安全保密規(guī)范（5）我國各級(jí)安全主管部門還頒布了一系列條例和規(guī)定。本項(xiàng)目遵守國內(nèi)的這些安全條例和規(guī)定。7.4 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與選型 經(jīng)過防火墻的部署后，企業(yè)網(wǎng)絡(luò)的安全水平有了很大的提高，能夠抵御來自外部網(wǎng)絡(luò)的大部分攻擊。但是防火墻也有其功能上的不足，一臺(tái)單一的防火墻并不能形成一套安全的體系。防火墻的不足主要體現(xiàn)在以下幾個(gè)方面： 1）雖然部署了防火墻，對(duì)網(wǎng)絡(luò)起到了很好的保護(hù)作用，但是畢竟有很多服務(wù)要對(duì)外開放，所以很多攻擊手法是防火墻無法阻擋的。 2）防火墻

19、雖然可以擋住大部分攻擊，但是通常無法留下細(xì)節(jié)的攻擊記錄，這對(duì)分析攻擊行為以及調(diào)查取證帶來了很大困難，而入侵檢測(cè)系統(tǒng)剛好可以解決這一問題； 3）防火墻對(duì)其發(fā)現(xiàn)的入侵行為的報(bào)警功能種類不夠豐富，可能會(huì)影響對(duì)入侵行為的響應(yīng)速度； 4）防火墻不能防止它所保護(hù)的內(nèi)部網(wǎng)絡(luò)中同一網(wǎng)段之內(nèi)的相互攻擊；7.4.1 單一防火墻功能的不足 入侵檢測(cè)的功能和優(yōu)點(diǎn)主要體現(xiàn)在以下幾個(gè)方面： 1）能在網(wǎng)絡(luò)中基于內(nèi)容的檢測(cè)，能夠在對(duì)看似合法訪問的信息中發(fā)現(xiàn)攻擊的信息（比如隱藏在URL中的攻擊行為），并做出相應(yīng)的處理； 2）能夠?qū)W(wǎng)絡(luò)的入侵行為進(jìn)行詳細(xì)完整的記錄，為以后的調(diào)查取證提供了有力的保障； 3）對(duì)發(fā)現(xiàn)的入侵行為有多種靈

20、活的處理方式，比如：中斷非法連接、發(fā)出電子郵件或傳呼警告等等； 4）不僅可以檢測(cè)來自外部的攻擊，還可以檢測(cè)來自內(nèi)部的相互攻擊；7.4.2 入侵檢測(cè)系統(tǒng)的功能和優(yōu)點(diǎn) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是安全防護(hù)體系的重要補(bǔ)充，根據(jù)對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的要求，一個(gè)優(yōu)秀的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)產(chǎn)品應(yīng)該滿足以下幾個(gè)方面要求：1）優(yōu)秀的攻擊發(fā)現(xiàn)能力2）分布部署能力3）集中管理能力4）易于安裝使用5）自身安全性好7.4.3 入侵檢測(cè)系統(tǒng)選型需求分析7.5.1網(wǎng)絡(luò)安全的設(shè)計(jì)7.5.2系統(tǒng)安全架構(gòu)7.5.3數(shù)據(jù)安全設(shè)計(jì) 校園行政網(wǎng)絡(luò)安全設(shè)計(jì)實(shí)例 1、網(wǎng)絡(luò)目標(biāo)的需求 2、網(wǎng)絡(luò)安全需求（1）根據(jù)學(xué)?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（

21、2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞（6）保護(hù)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。 3、需求分析7.5.1 需求分析 1、網(wǎng)絡(luò)設(shè)計(jì)主要功能（1）資源共享功能。（2）通信服務(wù)功能。（3）多媒體功能。 2、網(wǎng)絡(luò)設(shè)計(jì)原則（1）實(shí)用性和經(jīng)濟(jì)性。（2）先進(jìn)性和成熟性。（3）可靠性和穩(wěn)定性。（4）安全性和保密性。（5）可擴(kuò)展性和易維護(hù)性。7.5.2 網(wǎng)絡(luò)安全的設(shè)計(jì) 3、網(wǎng)絡(luò)的設(shè)計(jì) （1）物理位置選擇 機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨的建筑內(nèi)；機(jī)房的承重要求應(yīng)滿足設(shè)計(jì)要求

22、； （2）電力供應(yīng) 機(jī)房供電應(yīng)與其他市電供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī))。 （3）電磁防護(hù)要求 應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避免互相干擾。 4、通信保密 （1）鏈路層加密 （2）網(wǎng)絡(luò)層加密7.5.2 網(wǎng)絡(luò)安全的設(shè)計(jì) 5、病毒防護(hù)（1）預(yù)防病毒技術(shù)（2）檢測(cè)病毒技術(shù)（3）殺毒技術(shù) 6、應(yīng)用安全（1）內(nèi)部OA系統(tǒng)中資源享 （2）信息存儲(chǔ) 7.5.2 網(wǎng)絡(luò)安全的設(shè)計(jì) 7、配置防火墻（1）管理、維護(hù)簡單、方便;（2）安全性高（可有效降低在安全設(shè)備使用上的配置漏洞）;（3）硬件成本和維護(hù)成本低;（4）網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高;7.5.2 網(wǎng)絡(luò)安全的設(shè)計(jì) 8、網(wǎng)絡(luò)結(jié)構(gòu)學(xué)校網(wǎng)絡(luò)結(jié)構(gòu)7.5.2 網(wǎng)絡(luò)安全的設(shè)計(jì) 1、系統(tǒng)設(shè)計(jì) 安全系統(tǒng)設(shè)計(jì)是在信息系統(tǒng)安全策略的基礎(chǔ)上，從安全策略的分析中抽象出安全系統(tǒng)及其服務(wù)。安全系統(tǒng)的設(shè)計(jì)