大學校園網(wǎng)安全防護體系

1、xxxx大學校園網(wǎng)平安防護體系一、系統(tǒng)平安性計算機平安的內容應包括兩方面：即物理平安和邏輯安 全。物理平安指系統(tǒng)設備及相關設備受到物理保護，免于破 壞、喪失等。邏輯平安包括信息完整性、保密性和可用性：保密性指高級別信息僅在授權情況下流向低級別的客 體與主體；完整性指信息不會被非授權修改及信息保持一致性等；可用性指合法用戶的正常請求能及時、正確、平安地得 到服務或回應。一個系統(tǒng)存在的平安問題可能主要來源于兩 方面：或者是平安控制機構有故障；或者是系統(tǒng)平安定義有 缺陷。前者是一個軟件可靠性問題，可以用優(yōu)秀的軟件設計 技術配合特殊的平安方針加以克服；而后者那么需要精確描述 平安系統(tǒng)。二、我校校園網(wǎng)平

2、安防護體系的主要內容訪問控制。通過對特定網(wǎng)段、服務建立的訪問控制體系, 將絕大多數(shù)攻擊阻止在到達攻擊目標之前。檢查平安漏洞。通過對平安漏洞的周期檢查，即使攻擊 可到達攻擊目標，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控。通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系, 可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)?；赪EB的費用查詢等功能系統(tǒng)為最終用戶提供了方便的基于WEB的用戶自管理功 能，如修改口令、費用查詢、通過繳費卡繳費、修改超時時 間等。多種附加功能系統(tǒng)除了認證計費基本功能外，還融合了捷普防火墻功 能，支持ACL、NAT、普通路由、策略路由、MAC綁定、信任 主機、平臺調試等配置功能，可以有

3、效地降低用戶的投資費 用。信任主機、平臺調試等配置功能，可以有效地降低用。O系統(tǒng)組成認證計費服務器：專用軟件，支持Windows NT/2000, 可支持多種后臺數(shù)據(jù)庫，如MS SQL SERVERo主要功能是對 系統(tǒng)中的用戶進行認證和計費。認證計費管理程序：專用軟件，支持Windows 9X/ME/NT/2000/XP操作系統(tǒng)，主要功能是對整個系統(tǒng)進行統(tǒng) 一管理，如添加用戶、費用結算、記錄查詢等。管理端程序 包括中心管理端、用戶管理端、日志管理端、繳費卡管理端 等幾局部。認證計費網(wǎng)關：專用硬件，置于網(wǎng)絡出口處，對所有進 出的網(wǎng)絡流量進行檢查和采集。對流入、流出的數(shù)據(jù)包進行 監(jiān)控、統(tǒng)計，并根據(jù)

4、用戶權限對用戶上網(wǎng)行為進行控制。另 外，在使用過程中，該認證計費系統(tǒng)，可支持多種用戶上網(wǎng)10 方式，如通過寬帶上網(wǎng)、撥號上網(wǎng)等。管理員可按不同需要 對流入、流出網(wǎng)絡流量進行控制和規(guī)劃，實現(xiàn)基于用戶組的 帶寬管理和流量分配。11 絡連接、記錄攻擊過程、跟蹤攻擊源等)。加密通訊。主動的加密通訊，可使攻擊者不能了解、修 改敏感信息。認證良好的認證體系可防止攻擊者假冒合法用戶。備份和恢復。良好的備份和恢復機制，可在攻擊造成損 失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。多層防御。攻擊者在突破第一道防線后，延緩或阻斷其 到達攻擊目標。設立平安監(jiān)控中心。為信息系統(tǒng)提供平安體 系管理、監(jiān)控、保護及緊急情況服務。三、外聯(lián)

5、網(wǎng)網(wǎng)絡安 全內部網(wǎng)(Intranet)與外部網(wǎng)絡(Internet)之間的平安 控制主要采用防火墻技術。防火墻是利用分組過濾法，隱藏 內部地址，實行網(wǎng)絡服務代理，防止Internet上的“黑客” 侵入內部網(wǎng)絡系統(tǒng)，以免內部應用系統(tǒng)遭到破壞。即到達如 下目的：.從里向外，或從外向內的流量，必須經(jīng)過防火墻。.只有被本地平安政策允許的流量才能通過防火墻。.防火墻本身不可穿過。針對校園網(wǎng)絡中存在的各類平安需求，主要采取以下三 類防護措施：第一類為平安性類，包括訪問控制、授權論證、加密、內容平安;第二類是管理和記賬，包括路由器平安管理、記賬、監(jiān)控等；第三類為連接控制。目前我校校園網(wǎng)平安防護體系的主要功能

6、為：.訪問控制：限制未授權用戶訪問內部網(wǎng)和信息資源的 措施。支持多種應用和協(xié)議，包括Internet服務，如平安 WEB瀏覽器、傳統(tǒng)Internet應用Mail、FTP等,支持多媒體 應用。.授權認證：對訪問連接的用戶采取有效的權限控制和 訪問者的身份識別。同時對在整個網(wǎng)絡范圍內發(fā)生的認證過 程進行全程的監(jiān)控、跟蹤和記錄。.地址翻譯：隱藏內部IP地址和網(wǎng)絡結構；把內部的 非法IP地址翻譯成合法的IP地址。.日志、記賬：對用戶在網(wǎng)絡中的活動情況進行記錄， 允許系統(tǒng)管理員對選擇的連接進行記賬處理。除了已有的防火墻外，還通過外聯(lián)網(wǎng)接入路由器的 Access list訪問控制功能,有效的控制由內向外或

7、由外向 內的數(shù)據(jù)訪問，還可限制用戶對TCP/IP指令的使用，包括 文件傳輸和遠程登錄；對網(wǎng)絡資料分類，限制機密資料流入 未授權的主機；對數(shù)據(jù)加密等。在網(wǎng)絡內部，各部門除了其本身已有的局域網(wǎng)外，還對 它們采取虛擬網(wǎng)技術，使得外面用戶無法進入“虛擬工作 組二內部訪問采取如下步驟以確保平安：身份認證一以識別 區(qū)分合法用戶和非法用戶，從而阻止非法用戶訪問系統(tǒng)。權限控制一通過系統(tǒng)對用戶的授權，決定哪些用戶有資 格訪問哪些資源。審計跟蹤一它將記錄哪個用戶在何時訪問了哪些資源， 以備非法事件發(fā)生后能夠有效地追查。數(shù)據(jù)加密一對一些機密文件采用加密數(shù)據(jù)存放，用戶一 切合法后方可查閱。.虛擬局域網(wǎng)：采用這些虛擬局

8、域網(wǎng)之間的訪問控制功能可能的問題 是降低虛擬局域網(wǎng)之間互連的性能。但是，我院目前的網(wǎng)絡 通過三層交換技術，緩解了虛擬局域網(wǎng)之間的訪問性能的下 降，在保證平安性的同時，也保證了一定的網(wǎng)絡性能。VLAN的劃分，可以有效的控制VLAN間廣播報文的傳遞, VLAN內部的廣播報文不會傳遞到其它的VLAN中，因此就可 以防治非本部門的人利用網(wǎng)上的廣播報文對VLAN中的數(shù)據(jù) 進行竊聽和分析，以提高內部平安性；同時，由于VLAN的 分隔，不同VLAN內的廣播報文不會對其它的VLAN造成影響, 從而提高網(wǎng)絡的整體效率、性能和抗干擾能力，減少廣播風 暴；利用中心交換機上高性能路由模塊的管理和控制，可以 控制內部各

9、VLAN間的訪問，例如VLAN中的某個IP地址只 允許訪問該VLAN內部的資源，或某個VLAN只允許其它VLAN 的用戶以HTTP或FTP等方式對它進行訪問等，這樣就可以 有效的限制VLAN間訪問的范圍和權限。我院校園網(wǎng)所選華為系列交換機均支持虛網(wǎng)功能，通過 VLAN的劃分可以靈活的將相同職能的辦公室及信息點化并 為同一個VLAN,通過802. 1Q協(xié)議，可以實現(xiàn)跨交換機的VLAN 設置，因此VLAN的設置不會受到地理位置的限制。中心配 置 Quidway S8016 和 Quidway S6506 以線速交換 VLAN 信息, 消除以往在路由處理上的瓶頸，提高了網(wǎng)絡效率。.訪問控制平安華為產(chǎn)

10、品在其核心軟件I0S中嵌套了 Access list訪問 控制列表功能，因此，華所有的路由和交換產(chǎn)品均能夠對進 出的數(shù)據(jù)進行平安訪問控制。用在廣域網(wǎng)上，就可以有目的 的對廣域網(wǎng)的訪問加以限制。在內部網(wǎng)上，可以通過Quidway S8016上的多層交換模 塊的訪問控制功能對各個網(wǎng)段間的訪問進行平安控制。限制 網(wǎng)段間的訪問范圍、方式及應用。.用戶驗證功能校園網(wǎng)訪問互聯(lián)網(wǎng)需要先通過防火墻與認證計費服務器進行合法性認證。五、認證計費系統(tǒng)校園網(wǎng)同時使用了一套認證計費系統(tǒng)。該系統(tǒng)包含用戶 授權、用戶認證、上網(wǎng)計費、費用結算、日志管理等多項應 用功能，同時系統(tǒng)內置了高性能的防火墻功能，使得系統(tǒng)自 身以及用戶

11、內部網(wǎng)絡更加平安、可靠。.認證系統(tǒng)功能：。靈活、平安的認證策略用戶可通過Web或客戶端登錄，并可同時綁定用戶IP、 MAC以及硬件信息中的一項或多項，最大程度的保證了用戶 身份確實認，以及用戶賬號的平安。完善的計費功能系統(tǒng)同時支持按時間和按流量兩種計費方式，并且擁有 多種收費方式，完全可滿足不同用戶不同的計費需求。O細致的權限管理系統(tǒng)最多支持100種的目的網(wǎng)絡類型，管理員可按時段 設置用戶能夠訪問的目的網(wǎng)絡類型。強大的日志系統(tǒng)詳細記錄用戶訪問網(wǎng)址及端口信息。多種附加功能認證計費系統(tǒng)還提供防火墻、NAT、路由、帶寬管理、 上網(wǎng)日志分析和流量統(tǒng)計等多種附加功能。.認證系統(tǒng)功能特點：。支持大規(guī)模用戶

12、同時認證上網(wǎng)系統(tǒng)采用多計費平臺分布式部署，集中管理的解決方案，突破了硬件平臺的瓶頸限制，支持大規(guī)模用戶同時認證 上網(wǎng)。快捷的透明接入系統(tǒng)可以方便靈活的接入用戶現(xiàn)有的網(wǎng)絡中，無須對現(xiàn) 有網(wǎng)絡配置進行改動。O支持多種接入方式系統(tǒng)既可支持局域網(wǎng)、園區(qū)網(wǎng)等用戶認證，同時還可以 支持撥號用戶認證。支持多種網(wǎng)絡協(xié)議系統(tǒng)支持 IEEE802. 3、ARP、IP、TCP、UDP、ICMP、IGMP 等多種網(wǎng)絡協(xié)議，可以應用于不同的網(wǎng)絡環(huán)境。O平安的認證過程用戶在進行身份認證時，系統(tǒng)采取了平安的處理措施， 以確保用戶信息不被監(jiān)聽、截獲和盜用，同時管理員可以對 用戶的帳號和IP地址（段）進行綁定，防止IP盜用的現(xiàn)

13、象。簡潔方便的認證方式當用戶通過瀏覽器訪問外部網(wǎng)絡時，系統(tǒng)可以智能地判 斷用戶是否需要認證，如果需要，系統(tǒng)那么自動的將該用戶網(wǎng) 絡請求轉向認證主頁進行認證，同時系統(tǒng)支持多種認證方 法，如：認證用戶名+ 口令、用戶名+ 口令+綁定IP地址、 固定IP等方式進行認證。對于一些特殊的應用環(huán)境，系統(tǒng) 還提供了專用的認證客戶端。除了提供以上認證方式之外， 該系統(tǒng)還兼容傳統(tǒng)的Radius和Ldap認證，并可對Radius 認證用戶或Ldap認證用戶進行計費。基于組的用戶管理根據(jù)管理的方式不同，管理人員可以定義各種管理組， 對用戶進行分類管理，不同的管理組采用不同的計費策略、 權限策略、優(yōu)惠策略和帶寬策略。

14、同時系統(tǒng)支持批量用戶創(chuàng) 建，以便降低系統(tǒng)初期使用時，管理人員的工作負擔。多樣化的計費方式及帶寬管理系統(tǒng)支持多種計費方式，以便適應不同用戶的不同需 求，同時這些計費方式可以進行優(yōu)化組合，以便用戶選擇出 最適合他們的計費方式，主要有：不收費、基于時間計費、 基于流量計費、包月計費、包月+超出時間計費、包月+超出 流量計費、特殊用戶或網(wǎng)絡不進行計費。多種收費方式系統(tǒng)支持先交費后上網(wǎng)和先上網(wǎng)后交費兩種收費方式， 以方便用戶靈活選擇。對于先交費后上網(wǎng)方式，管理員可以 配置允許用戶透支的最大金額。多種優(yōu)惠策略和管理方式系 統(tǒng)支持按使用時間、使用流量、節(jié)假日等多種方式 進行優(yōu)惠，同時管理人員可以根據(jù)實際情況自定義優(yōu)惠策 略。在管理方面，管理人員可以靈活限制系統(tǒng)支持按使用時 間、使用流量、節(jié)假日等多種方式進行優(yōu)惠，同時管理人員 可以根據(jù)實際情況自定義優(yōu)惠策略。在管理方面，管理人員 可以靈活限制用戶訪問網(wǎng)絡的范圍、訪問時間段，以及定 義訪問各種網(wǎng)絡資源的計費策略。完善的日志管理和流量統(tǒng)計系統(tǒng)提供多種日志，如訪問流量日志、登錄日志、繳費 日志、非法用戶日志、操作日志等，通過這些日志記錄，管 理員可以分析網(wǎng)絡流量分布、用戶上網(wǎng)規(guī)律等多方面內容， 同時對分析網(wǎng)絡的攻擊也有極大的幫助。在管理這些日志 上，系統(tǒng)提供有手工備份及自動備份功能。支持對在線用戶和