網(wǎng)絡(luò)安全報告

隨著Internet的普及，校園網(wǎng)已成為每個學(xué)校必備的信息基礎(chǔ)設(shè)施，也成了學(xué)校提高教學(xué)、科研及管理水平的重要途徑和手段，它是以現(xiàn)代化的網(wǎng)絡(luò)及計算機技術(shù)為手段，形成將校園內(nèi)所有服務(wù)器、工作站、局域網(wǎng)及相關(guān)設(shè)施高速聯(lián)接起來，使各種基于計算機網(wǎng)絡(luò)的教學(xué)方法、管理方法及文化宣傳得以廣泛應(yīng)用并能和外部互聯(lián)網(wǎng)溝通的硬件和軟件平臺。隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，在高校網(wǎng)絡(luò)建設(shè)的過程中，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題，而如何有效地加以管理和維護，是校園網(wǎng)得以有效、安全運行的關(guān)鍵。校園網(wǎng)網(wǎng)絡(luò)的安全十分重要，它承載著學(xué)校的教務(wù)、行政、后勤、圖書資料、對外聯(lián)絡(luò)等方面事務(wù)處理。本文從網(wǎng)絡(luò)安全的各個方面，詳細分析了威脅校園網(wǎng)網(wǎng)絡(luò)安全的各種因素，提出了若干可行的安全管理的策略，從設(shè)備資源和技術(shù)角度上做了深入的探討。關(guān)鍵詞：校園網(wǎng)、網(wǎng)絡(luò)安全、管理及維護策略、防火墻。目錄TOC\o"1-5"\h\z前言 1\o"CurrentDocument"摘要 3\o"CurrentDocument"一、 課程設(shè)計目的意義 5二、 需求分析?.?????????????????????????????????????????????????????????????????????????????????????????????????????5\o"CurrentDocument"1、 虛擬網(wǎng) 5\o"CurrentDocument"2、 管理與維護 6\o"CurrentDocument"3、 網(wǎng)絡(luò)安全 6（1） 防火墻技術(shù) 6（2） 建立網(wǎng)絡(luò)入侵偵測系統(tǒng) 6\o"CurrentDocument"4、 反病毒防御 7\o"CurrentDocument"三、 方案設(shè)計 7\o"CurrentDocument"1、 設(shè)計原則 7\o"CurrentDocument"2、 安全策略 8\o"CurrentDocument"3、 安全服務(wù) 8\o"CurrentDocument"4、 拓撲結(jié)構(gòu)圖 9\o"CurrentDocument"四、 方案的實施 10\o"CurrentDocument"1、 在管理方面 10\o"CurrentDocument"2、 在技術(shù)方面 10\o"CurrentDocument"3、 定期做好備份工作 10\o"CurrentDocument"4、 定期做好網(wǎng)絡(luò)殺毒工作 11\o"CurrentDocument"五、 結(jié)束語 11\o"CurrentDocument"附錄一:參考文獻 12摘要某校園網(wǎng)由三個物理區(qū)域：教學(xué)辦公大樓、圖書館大樓、學(xué)生教工宿舍構(gòu)成。在整個網(wǎng)絡(luò)中，各信息點按功能又劃分為行政辦公、電子網(wǎng)絡(luò)教室、中心管理機房、普通教室等不同區(qū)域，各區(qū)域與互聯(lián)網(wǎng)連接的目的也是不一樣的，對特定區(qū)域，與互聯(lián)網(wǎng)連接將受到一定限制。校園網(wǎng)采用千兆到樓，百兆到桌面的全交換網(wǎng)絡(luò)系統(tǒng)，覆蓋東西兩院、藝術(shù)附中以及各個家屬區(qū)，共計光纖鏈路40余條，交換機250余臺，網(wǎng)絡(luò)信息點一萬多個。整個系統(tǒng)包括一批高性能網(wǎng)絡(luò)交換機、路由器、防火墻、入侵檢測、存儲、備份和安全認證計費管理軟件、網(wǎng)絡(luò)版殺毒軟件。核心采用銳捷RG-6810E高性能三層管理交換機，匯聚采用銳捷三層交換機，接入桌面采用銳捷21系列?，F(xiàn)有的WEB服務(wù)器，“一卡通”數(shù)字系統(tǒng)，OA辦公管理系統(tǒng)，教務(wù)管理系統(tǒng)，圖書管理系統(tǒng)，流媒體服務(wù)器，網(wǎng)絡(luò)殺毒服務(wù)器，為全院教學(xué)科研、管理和生活等方面提供了良好的Internet應(yīng)用服務(wù)。校園主接入主干網(wǎng)如下：圖1校園網(wǎng)接入主干圖校園網(wǎng)承載著學(xué)校的教務(wù)、行政、后勤、圖書資料、對外聯(lián)絡(luò)等方面事務(wù)處理，它的安全狀況直接影響著學(xué)校的教學(xué)、科研、行政管理、對外交流等活動。在網(wǎng)絡(luò)建成的初期，安全問題可能還不突出.隨著應(yīng)用的深入.校園網(wǎng)上各種數(shù)據(jù)會急劇增加、訪問增多.潛在的安全缺陷和漏洞、惡意的攻擊等造成的問題開始頻繁出現(xiàn)。校園網(wǎng)受到的攻擊以及安全方面的缺陷主要有：（1）有害信息的傳播校園網(wǎng)與Internet融為一體，師生都可以通過校園網(wǎng)絡(luò)在自己的機器上進人Internet。目前Internet上充斥各種海量信據(jù)息，散布違犯四項基本原則、有關(guān)色情、暴力、三俗內(nèi)容的文章、網(wǎng)頁、網(wǎng)站比較多。這些有毒的信息違反人類的道德標準和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學(xué)生來說，危害非常大。病毒破壞通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學(xué)校接人廣域網(wǎng)后。為外面病毒進入學(xué)校大開方便之門，下載的程序和電子郵件都可能帶有病毒。而且網(wǎng)絡(luò)病毒的變異速度快，攻擊機理復(fù)雜，必須不斷更新病毒庫。惡意入侵學(xué)校涉及的機密不是很多，來自外部的非法訪問的可能性要少一些.關(guān)鍵是內(nèi)部的非法訪問。一些學(xué)生可能會通過非正常的手段獲得習(xí)題的答案，使正常的教學(xué)練習(xí)失去意義。更有甚者.有的學(xué)生可能在考前獲得考試內(nèi)容，嚴重地破壞了學(xué)校的管理秩序或者破壞教務(wù)系統(tǒng).惡意更改成績，擾亂教學(xué)工作程序。惡意破壞對計算機硬件系統(tǒng)和軟件系統(tǒng)的惡意破壞，這包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機、集線器、路由器、通信媒體、工作站等，它們分布在整個校園內(nèi)，不可能24小時專人看管，以避免故意的或非故意的某些破壞。會造成校園網(wǎng)絡(luò)全部或部分癱瘓。另一方面是利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)進行破壞。表現(xiàn)在以下幾個方面：對學(xué)校網(wǎng)站的主頁面進行修改，破壞學(xué)校的形象：向服務(wù)器發(fā)送大量信息使整個網(wǎng)絡(luò)陷于癱瘓；利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息等?？诹钊肭钟脩舴欠ǐ@得口令入侵，破壞網(wǎng)絡(luò)。一、 課程設(shè)計目的意義了解計算機網(wǎng)絡(luò)工程設(shè)計的一般過程，明確計算機網(wǎng)絡(luò)設(shè)計的基本原則；通過網(wǎng)絡(luò)設(shè)備的配置，能了解網(wǎng)絡(luò)安全管理與維護設(shè)置的功能，掌握網(wǎng)絡(luò)設(shè)備的配置方法和配置操作。通過對校園網(wǎng)的調(diào)研，能了解網(wǎng)絡(luò)安全管理與維護在校園中的具體應(yīng)用，并在現(xiàn)有條件下進行簡單的模擬。了解網(wǎng)絡(luò)安全管理與維護在校園網(wǎng)中的應(yīng)用情況，制定一個應(yīng)用方案，在現(xiàn)有實驗設(shè)備的基礎(chǔ)上來實現(xiàn)這個方案。本次課程設(shè)計讓我們有了一個既動手又動腦，獨立實踐的機會，將理論和實際有機的結(jié)合起來，鍛煉了我們分析、解決實際問題的能力。通過從了解設(shè)備功能、掌握設(shè)計原理到應(yīng)用原理，利用設(shè)備解決實際問題這樣一個循序漸進的過程，培養(yǎng)自己理論與實踐相結(jié)合的能力。二、 需求分析在校園網(wǎng)的網(wǎng)絡(luò)安全管理及維護中，設(shè)計方案應(yīng)從以下幾個方面進行需求分析：1、虛擬網(wǎng)虛擬網(wǎng)主要作用和目的是：解決主干網(wǎng)內(nèi)網(wǎng)絡(luò)站點的增加、刪除、移動等操作，方便網(wǎng)絡(luò)的維護和管理。可以建立不受地理位置限制的，覆蓋整個校園的相互具有一定獨立性的網(wǎng)絡(luò)或者邏輯子網(wǎng)，即虛擬網(wǎng)。利用虛擬網(wǎng)可以有效的管理和限制不同子網(wǎng)之間的訪問，各部門可以各自占用一個獨立的虛擬網(wǎng)，整個虛擬網(wǎng)是可升級的、可擴展的。根據(jù)校園網(wǎng)的實際需求，各類人員可以在相應(yīng)邏輯子網(wǎng)內(nèi)開展工作。網(wǎng)絡(luò)站點的增減，人員的變動，無論從網(wǎng)絡(luò)管理，還是用戶的角度來講，都需要虛擬網(wǎng)技術(shù)的支持。2、 管理與維護校園主干網(wǎng)是覆蓋整個園區(qū)的網(wǎng)絡(luò)，其組成結(jié)構(gòu)相當復(fù)雜，而科技的進步和教育形勢的發(fā)展又要求校園網(wǎng)具有延伸性和擴展性。隨著網(wǎng)絡(luò)復(fù)雜度的增加，給網(wǎng)絡(luò)管理帶來成級數(shù)增加的管理工作量。網(wǎng)絡(luò)管理要求解決的問題包括：（1） 虛擬網(wǎng)管理、分配。目前的虛擬網(wǎng)主要基于局域網(wǎng)交換端口，如果一個部門擴展新的入網(wǎng)地點，新的擴展將改變交換機端口設(shè)置。網(wǎng)絡(luò)管理借助相應(yīng)的管理軟件來解決該問題。（2） 對所有網(wǎng)絡(luò)設(shè)備端口的監(jiān)視和管理。對所有網(wǎng)絡(luò)設(shè)備的遠地配置和控制，包括網(wǎng)絡(luò)設(shè)備端口的開放和關(guān)閉，整個網(wǎng)絡(luò)的故障檢測，故障自動報警功能，整個網(wǎng)絡(luò)性能的統(tǒng)計和分析報告，甚至收費。按照這些網(wǎng)絡(luò)管理的需求，應(yīng)采用基于GUI（圖形用戶界面）的網(wǎng)絡(luò)管理軟件來實現(xiàn)。3、 網(wǎng)絡(luò)安全校園網(wǎng)絡(luò)安全主要有以下要求：各個部門訪問網(wǎng)絡(luò)的控制，各單位之間在未經(jīng)授權(quán)的情況下，不能相互訪問。內(nèi)部網(wǎng)中要建立防火墻，即禁止外部用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù)，或者內(nèi)部用戶未經(jīng)許可訪問外部數(shù)據(jù)。對安全問題主要有以下考慮：校園網(wǎng)應(yīng)該是一個開放的系統(tǒng)，它不像政府或商業(yè)公司的網(wǎng)絡(luò)一樣具有極高的安全保密性；但校園網(wǎng)應(yīng)該安全的，它應(yīng)具備抵御惡意攻擊的能力，一些科研成果也不是對任何人都開放的。利用虛擬網(wǎng)技術(shù)和防火墻技術(shù)可以較為合理地解決安全與開放的問題。在校園網(wǎng)的網(wǎng)絡(luò)安全管理及維護中，建立單機版反病毒防御體系，設(shè)立防火墻保護和網(wǎng)絡(luò)入侵偵測系統(tǒng)對防止病毒和黑客入侵，提供防范、檢測手段和對攻擊作出反應(yīng)，采取自動抗擊措施，對保證網(wǎng)絡(luò)安全及維護是很有必要的。（1） 防火墻技術(shù)為整個網(wǎng)絡(luò)筑起一道高墻，將黑客及未授權(quán)的用戶拒于門外。（2） 建立網(wǎng)絡(luò)入侵偵測系統(tǒng)在MIS系統(tǒng)中防止人為的惡意攻擊或誤操作導(dǎo)致系統(tǒng)的損壞或癱瘓的主要防御方法，是在網(wǎng)絡(luò)中安裝網(wǎng)絡(luò)入侵偵測系統(tǒng)（IDS）。系統(tǒng)可以實時監(jiān)控網(wǎng)段的流量，發(fā)現(xiàn)有攻擊特征的行為后，立即報警，并且可以阻斷該會話，阻止入侵行為的進一步發(fā)生。局域網(wǎng)劃分虛網(wǎng)（VLAN）后，入侵偵測系統(tǒng)（IDS）應(yīng)分別檢測各自的應(yīng)用網(wǎng)段4、反病毒防御由于基層的網(wǎng)絡(luò)與局域網(wǎng)通過光纖連接在一起，各個應(yīng)用系統(tǒng)在它們之間有信息傳遞，為了保證在信息傳遞過程中局域網(wǎng)不被感染病毒，防止病毒蔓延，應(yīng)在基層網(wǎng)絡(luò)和局域網(wǎng)有業(yè)務(wù)關(guān)系的單機上安裝反病毒軟件。這樣即使局域網(wǎng)周邊的網(wǎng)絡(luò)中有病毒存在，也能夠在進入局域網(wǎng)之前被查殺，要求程序定時進行掃描，既保證了重點網(wǎng)絡(luò)的安全，又降低了校園網(wǎng)在防病毒方面的投資。三、方案設(shè)計1、設(shè)計原則針對網(wǎng)絡(luò)系統(tǒng)實際情況，解決網(wǎng)絡(luò)的安全保密問題是當務(wù)之急，考慮技術(shù)難度及經(jīng)費等因素，設(shè)計時應(yīng)遵循如下思想：（1） 大幅度地提高系統(tǒng)的安全性和保密性；（2） 保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；（3） 易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；（4） 盡量不影響原網(wǎng)絡(luò)拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；（5） 安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；（6） 安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認可或認證；（7） 分步實施原則：分級管理分步實施。2、 安全策略采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進行訪問控制。2NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。VPN:虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的信道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)信道將遠程用戶、公司分支機構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此。網(wǎng)絡(luò)加密技術(shù)(Ipsec):采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。認證：提供基于身份的認證，并在各種認證機制中可選擇使用。多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡(luò)進行監(jiān)測和預(yù)警，進一步提高網(wǎng)絡(luò)防御外來攻擊的能力。實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。建立分層管理和各級安全管理中心。3、 安全服務(wù)網(wǎng)絡(luò)是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分

可，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時進行相應(yīng)的調(diào)整。4、拓撲結(jié)構(gòu)圖mS醐帑枷主腋如落主撮玉牌嫩井借圖2校園網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖mS醐帑枷主腋如落主撮玉牌嫩井借圖2校園網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖四、方案的實施1、在管理方面網(wǎng)絡(luò)中的關(guān)鍵設(shè)備應(yīng)放置于可靠的機房，并有健全的管理制度和措施；加強安全檢查，定期對網(wǎng)絡(luò)和系統(tǒng)進行掃描、檢查和巡視；培養(yǎng)師生的安全意識，加強口令管理，限制用戶采用容易破懌的口令；保持對國際上先進安全技術(shù)的跟蹤。學(xué)習(xí)和研究，及時進行技術(shù)升級。2、在技術(shù)方面通過VLAN技術(shù)，控制網(wǎng)絡(luò)流量，提供網(wǎng)絡(luò)效率，防止網(wǎng)絡(luò)偵聽(sniffer)；不同的VLAN，可以根據(jù)功能區(qū)域的不同，設(shè)定不同的安全級別；對于重要網(wǎng)絡(luò)設(shè)備和管理系統(tǒng)，應(yīng)設(shè)置最高的安全級別；對于向外提供信息服務(wù)的重要服務(wù)器，關(guān)閉不需要開放的服務(wù)端口，限制用戶的操作權(quán)限，防止非法操作；采用訪問控制表進行訪問限制，過濾不正當?shù)脑L問和惡意攻擊；通過防病毒軟件和適當?shù)膫€人電腦網(wǎng)絡(luò)設(shè)置，建立桌面級的系統(tǒng)安全；校園網(wǎng)可以通過DHCP服務(wù)器，實現(xiàn)動態(tài)地址分配與認證，實現(xiàn)對內(nèi)信息內(nèi)容的訪問控制。3、定期做好備份工作系統(tǒng)管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件。比如操作系統(tǒng)盤，做備份存檔。文件資