校园网安全整体解决方案设计

《校园网安全整体解决方案设计》由会员分享，可在线阅读，更多相关《校园网安全整体解决方案设计（20页珍藏版）》请在装配图网上搜索。

1、封面成都信息工程学院课程设计校园网安全整体解决方案设计作者姓名：纪 红班 级：信安08.4学 号：2008122127指导教师：王祖俪日 期：2011年 12月10日 校园网安全整体解决方案设计摘 要随着计算机网络技术的飞速发展，网络技术越来受到人们的重视，它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境，是校园网络科学化、正规化的重要条件，也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境，能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。本设计详细分析了校园网的安全问题，本文在分析校园网原有的网络安全防范措施的基础上，针对校园网在

2、运行中所遇到的实际问题，本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义，需求分析，系统设计，系统实现，系统调试运行，总结，及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解，对于校园网建设中所用的基本设备如路由器，交换机，防火墙等了解它们在校园网中的使用情况，及基本的配置过程,对电子邮件过滤检测，入侵检测，病毒监测，防火墙设置等多方面做了相应的综合性安全解决方案。 关键字：校园网系统，管理，设置，软件维护，邮件过滤，入侵监测，防火墙目 录1 引言11.1 课题背景11.2 高校校园网的网络现状11.3 校园网安全

3、问题分析21.4校园网安全问题存在的原因32安全解决方案设计42.1 需求分析42.3网络设计原则42.4网络拓扑图52.5安全设计原则53.功能设计63.1防火墙设置63.1.1部署防火墙63.2建立入侵检测系统93.3 建立漏洞管理系统103.4建立网络防病毒系统113.5 IP盗用问题的解决113.6采用系统升级策略123.7利用网络监听维护子网系统安全133.8建立良好的管理体系133.9部署Web,Email,BBS的安全监测系统143.10部署内容安全管理系统153.11 使用校园网用户认证计费管理系统154.代码实现部分165.参考文献17编号：时间：2021年x月x日书山有路勤

4、为径，学海无涯苦作舟页码：第17页 共20页1 引言1.1 课题背景随着近年来网络安全事件不断地发生，安全问题也成为了IT业的一个热点，安全问题对于学校的发展也越来越重要。安全问题已经成为影响校园网平台的稳定性和正常提供网络服务的一个严重问题，所以提升校园网络自身的安全性也成为学校增强竞争力的重要方面之一。同样，随着网络技术的迅猛发展和因特网的普及，网络概念已不再局限于某些领域，而是深入到社会的各个组成部分，形成了一个初具规模的网络社会。不过，同其他一些高科技类似，网络技术在丰富人们生活、产生实际的经济效益的同时，也给人们带来了诸多负面的影响。大家可以看到，自Internet问世以来，资源共享

5、和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出。局域网是互联网的一种主要的存在方式和组成部分，局域网的安全问题在某种意义上反映了几乎所有的安全问题。学校校园网作为一个局域网，也面对这一系列的安全问题，在这里我们讲讨论一下校园网的安全措施。1.2 高校校园网的网络现状教育的信息化是当今世界教育改革的重要思潮之一，是时代的要求，也是素质教育的需要。学校近年来大力实施现代化教育技术工程：以电脑网络为基础，以图书馆、电教中心为信息源，以数字化为模式，提高学校教育教学的档次和质量。目前，学校的校园网络已经初具规模：以光纤连接校内主要建筑，所有建筑内全

6、部布线，校园网覆盖整个校园，同时校园网向上通过光纤联入中国教育科研网，并与 Internet 互联。但是在现有的网络设备保护下校园网网络依然存在很多问题，这些问题导致校园网络不能正常的提供良好的服务，经常给用户带来困扰。1.3 校园网安全问题分析经过长期的使用和观察，校园网还存在一下问题：1、 IP盗用的问题，校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。2、 防火墙攻击，防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对外

7、的防护而已，他对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员。所以怎么防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。3、 Email问题，由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。4、 各种服务器和网络设备的扫描和攻击，有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。5、 非法URL的访问的问题，对于

8、一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。6、 病毒防护的问题，互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。近阶段泛滥的“尼姆达病毒”就是典型的例子。因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。1.4校园网安全问题存在的原因1、虽然学校在网络入口部署了防火墙和入侵检测系统阻止了外部对学校内部网络的攻击，但是防火墙无法对学校内部从 Internet 上下载的通过 HTTP、FTP

9、、SMTP 等形式的数据进行进一步的分析，可是一些病毒例如蠕虫病毒往往会隐藏在这些下载的文件中，一旦用户运行了这些文件，就会在整个校园网中爆发蠕虫病毒，导致网络瘫痪。2、邮件系统保护不完善，电子邮件是学校老师和学生最常用到的功能，与此同时它也是病毒传播的重要途径。邮件病毒不但会对桌面级的系统造成如占用磁盘空间，修改或破坏文件中的数据，大量消耗系统资源等危害，还会使邮件系统本身瘫痪，消耗大量的网络资源使网络速度变慢，同时使邮件用户收到大量的垃圾邮件。3、学校内部对 Internet 的非法访问威胁。如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；再加上使用

10、 BT 等 P2P 软件下载电影、游戏对整个网络的带宽产生了严重的影响，使得学校的业务无法正常的开展。4、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。例如Windows NT/2000、Windows Server 的普遍性和可操作性使它成为最不安全的系统:自身系统安全漏洞、浏览器的漏洞、IIS 的漏洞等。5、缺少真正意义上的功能强大的网络版杀毒软件。因为目前的杀毒软件效果不理想，或者已经被病毒干掉或者是被老师擅自卸载，而在卸载之后计算机上有的安装了盗版的杀毒软件有的没有再安装任何杀毒软件。这样一来信息办老师无法从整体上对全网的计算机进行杀毒管理和监控。图书馆、实验楼的PC机上学生经

11、常使用U盘拷贝游戏、文档，在上课期间聊QQ、玩游戏、上网灌水聊天，甚至登陆色情、暴力、违法网站等，不务正业。图书馆、实验楼机房也病毒泛滥。虽然大部分PC都安装了还原卡，但是已经不能阻挡病毒的入侵，病毒往往能穿透还原卡和还原软件。 同时大部分机器都未能及时安装系统补丁，容易被蠕虫入侵，但是目前又没有一个很好的办法来管理所有系统的补丁。2安全解决方案设计2.1 需求分析针对校园网长期以来校园网络出现的各种问题，对校园网的需求提出了一下几点：1、防止校园网外部用户对校园网内的用户进行攻击2、校园网外部用户只能访问WWW 服务、MAIL 服务，其他服务只对校园网内部用户开放。3、考虑到易用性，所有服务

12、器的操作系统采用Windows Server，WWW 服务使用IIS。4、需要防病毒系统2.3网络设计原则网络的先进性和实用性的原则：采用的硬软件系统既有技术的先进性，又有很高的性能价格比；网络的开放性和兼容性的原则：选择符合国际标准的网络硬软件产品，有很好的互换、扩展和升级能力；网络的灵活性和可靠性的原则：网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并且要有很好的容错能力；网络的可管理性和易维护性原则：配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护；网络系统的保密性和强有力的防病毒

13、性。2.4网络拓扑图2.5安全设计原则 1.身份识别：身份识别是对网络用户、主机、应用、服务和资源的准确、积极的识别。实现它的标准技术包括验证协议，如RADIUS和TACACS、Kerberos和一次性密码工具。数字证书智能卡和目录服务等新技术正开始在身份识别解决方案中占越来越重要的作用。 2.外围安全/接入控制：它提供了控制到关键网络应用、数据和服务的接入的方法，以便只有合法用户和信息可通过网络。带接入控制列表和/或状态防火墙、以及专用防火墙设施的路由器和交换机提供了这种控制。病毒搜索器和内容过滤器等补充性工具也有助于控制网络外围。 3.数据专用性：当必须保护信息免遭窃听时，按需提供经验证的

14、保密通信的能力是十分重要的。有时，使用隧道技术，如GRE或L2TP来进行数据分离，可提供有效的数据私密性。然而，更高私密性要求常需要使用IPSec等数字加密技术和协议。在实施VPN时，这种添加的保护尤为重要。 4.安全监控：为确保网络安全，重要的是定期测试和监控安全准备状态。网络易损点搜索器可主动发现弱点领域，IDS可在发生安全事件时对其监控和响应。利用安全监控解决方案，机构可了解网络数据流和网络的安全状态。 5.策略管理。随着网络规模和复杂度的增加，对集中策略管理工具的需求也随之提高。带可分析截获、配置和监控安全策略状态的基于浏览器的用户界面的工具，提高了网络安全解决方案的可用性和有效性。除

15、安全要求外，网络安全设计还必须具备网络弹性、性能和可扩展性。3.功能设计3.1防火墙设置3.1.1部署防火墙在需要隔离的网络区域之间部署防火墙。典型地，在 Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。那么，通过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻

16、止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性：1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则；2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击；3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址

17、的对应表，防止 IP 地址被盗用；4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 3.1.2防火墙配置 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3. 运行电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样。4. 当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输入命令：ena

18、ble,进入特权用户模式，此时系统提示为：pixfirewall#。6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。 (1)防火墙上的基本配置代码如下：pixfirewall# conf tpixfirewall(config)# hostname pixpix(config)# int e0pix(config-if)# nameif insidepix(config-if)# ip add 10.2.1.3 255.255.255.0pix(config-if)# no shutpix(config-if)# exitpix(config)#

19、 int e1pix(config-if)# nameif outsidepix(config-if)# ip add 192.168.1.3 255.255.255.0pix(config-if)# no shutpix(config-if)# exitpix(config)# static (inside,outside) 192.168.1.4 10.2.1.4 netmask 255.255.255.255pix(config)# access-list 100 permit icmp any anypix(config)# access-group 100 in interface

20、outside(2)动态NAT配置，使内部地址通过全局地址访问Internetpix(config)# int F0/0pix (config-if)# ip nat insidepix (config-if)#ip address 172.16.12.2 255.255.255.0pix (config-if)# no shutpix (config-if)# exitpix (config)# int F1/0pix (config-if)#ip address 192.168.12.10 255.255.255.0pix (config-if)#ip nat outsidepix (co

21、nfig-if)# no shutpix (config-if)# exitpix (config)# ip nat pool natpool 192.168.12.2 192.168.12.10 netmask 255.255.255.0pix (config)# ip nat inside source list 1 pool natpoolpix (config)#access-list 1 permit 172.16.12.23.2建立入侵检测系统 防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企

22、业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面：防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等；有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。 入侵检测系统 IDS（ Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反

23、安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。 IDS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战：IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力；蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外。为了弥补防火墙和IDS的缺陷，入侵保护系统

24、IPS（Intrusion Prevention System）作为IDS的替代产品应运而生。网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。3.3 建立漏洞管理系统解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打

25、补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤：1.对用户网络中的资产进行自动发现并按照资产重要性进行分类； 自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；4.根据漏洞修复方案，对网络资产中存

26、在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；对修复完毕的漏洞进行修复确认；6.定期重复上述步骤 1-5。 通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险

27、规避的工作流程，并为补丁管理产品提供相应的接口。漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。3.4建立网络防病毒系统 在高校校园网部署网络版防病毒系统，进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。其应具有如下功能：在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。网络版客户端安装方法：网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域

28、中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装。3.5 IP盗用问题的解决在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。在路由器上绑定IP和MAC地址：R1(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 R1 (confi

29、g)permit host 0009.6bc4.d4bf any 定义MAC地址为0009.6bc4.d4bf的主机能访问任意主机 R1 (config)permit any host 0009.6bc4.d4bf 定义所有主机能访问MAC地址为0009.6bc4.d4bf的主机 R1 (config)Ip access-list extended IP10 定义一个IP地址访问控制列表并且命名该列表名为IP10 R1 (config)Permit 192.168.0.1 0.0.0.0 any 定义IP地址为192.168.0.1的主机能访问任意主机 Permit any 192.168.0

30、.1 0.0.0.0 定义所有主机能访问IP地址为192.168.0.1的主机 R1 (config-if )interface Fa0/0 #进入设置具体端口的模式 R1 (config-if )mac access-group MAC10 in 在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略） R1 (config-if )Ip access-group IP10 in 在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略） 3.6采用系统升级策略 首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的

31、概率。可以设置让控制中心每日自动升级。在客户端普通操作台可以手动升级，也可以通过设置让客户端自动升级。 通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。3.7利用网络监听维护子网系统安全对于校园网外部的入侵可以通过安装防火墙来解决，但是对于校园网内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做一个具有一定

32、功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。在子网内若干计算机或服务器上安装该监听软件，这样可以防止某些较高水平?“黑客”会觉察到他所在的服务器正在被监听，将检测计算机也破坏掉。简历几个监听程序相互间的联系。如果在一段时间内听不到其中一台或几台计算机发出的信息，其它服务器也会发出警报，另外，不允许任何账号的远程登陆。3.8建立良好的管理体系 都说三分技术七分管理，为了网络中客户端安装和杀毒确保有效完成，客户端未经授权不能任意停止全网统一的杀毒行动，客户端未经

33、授权不能任意卸载，建立良好的管理制度是保证系统正常运行的必要条件。 针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护，可以适应高校校园网复杂的应用环境，满足校园网对于全网防病毒的需求，有效解决整个校园网面临的病毒威胁。 防病毒系统由服务器端和客户端组成。防病毒服务器部署在核心交换机处，需要杀毒的每个终端安装一个客户端。3.9部署Web,Email,BBS的安全监测系统 高校网络安全体系中，需要新型的技术和设备来应对WEB攻击，保证网站安全，

34、维护高校声誉；为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。 传统的边界安全设备，如防火墙，局限于自身的产品定位和防护深度，不能有效地提供针对 Web 应用攻击完善的防御能力。防火墙的不足主要体现在：1、传统的防火墙作为访问控制设备，主要工作在 OSI 模型三、四层，基于 IP报文进行检测。设计之初，它就无需理解 Web 应用程序语言如 HTML及 XML，也无需理解 HTTP 会话。因此，它也不可能对 HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。恶意的攻击流量将封装为 HTTP 请求，从 80或 443端口顺利通过防火墙检测。

35、2、有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够，只能提供非常有限的 Web应用防护，难以应对当前最大的安全威胁，如 SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题，更是无能为力。 Web 应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同，WAF 工作在应用层，因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解，WAF 对来自

36、 Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。 在校园网的www服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的www、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。在这里可以采取如下方法：用一台PC机通过集掀起连接在网络的关键网段上，修改网卡的接收方式，就能接收到这个网段上传输的所有信息。采用这种方式对原有网络的传输性能没有影响。系统基本上

37、通过两部分组成。一部分为监控器，主要负责如实的记录下网络上的传输数据，并将其存成硬盘上的文件，交给第二部分后台分析其进行处理。第二部分为后台分析器，负责对前台监控器记录下的数据进行处理，将前台监控器截获的数据拼装、还原成应用层的完整内容。然后在数据库中添加相应的纪录。监控器可以采用一台装有两块仪态网卡的PC机，采用Linux操作系统。分析器可以有一台安装了Windows NT的PC机承担，运用SQL Server等软件共同开发。这样可以对进入站内的各种信息进行检测，这样可以过滤email等非法信息。同时也可以进行设置，对邮件中的病毒进行检测。从而阻止病毒进入局域网。3.10部署内容安全管理系统

38、 传统网络防护设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。因此，我们还需要细粒度的应用层和内容层策略控制。实现这个目标的新技术就是内容安全管理。 内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制，实现对网站访问、邮件收发、P2P 下载、论坛、在线视频等事件的全面有效管理。 通过内容安全管理，高校可以营造健康的网络环境，屏

39、蔽色情、暴力等不良网站；对学生的上网行为有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散；加强对P2P等应用的流量管理，保障网络资源合理使用。3.11 使用校园网用户认证计费管理系统 部署校园网用户认证计费管理系统，对提供了INTERNET接入服务的学生和家属进行身份认证和计费管理。通过计费网关和智能交换机802.1X协议的配合，完成合法用户的认证，防止代理私接；MAC、IP地址假冒。 在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。 对于动态分配IP地址的网络系统，由于非法用户无法预先获知其

40、他用户将会分配到的IP地址，因此他即使假冒合法用户的MAC地址也无法伪造IP地址，也就无法冒充合法用户访问网络资源。 对于静态分配地址的方案，由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方法也是不可行的。 当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网络系统。 对于假冒IP地址的情况由于802.1X采用了基于二层的认证方式，因此，当采用动态地址分配方案时，只有用户认证通过后，才能够分配到IP网络地址。 对于静态地址分配策略，如果假冒了IP地

41、址，而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。 认证计费网关串联在INTERNET出口处，在需要认证的PC上安装身份认证客户端。4.总结Internet是一个资源的网络，其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会，世界上数以亿计的人们利用它进行通信和信息共享，通过发送和接收电子邮件，或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。大学建设自己的校园网络有助于大学生接触最新信息，拓展认知。该设计方案是针对大学校园的实际情况进行现状以及需求分析，制定出的适合本校的校园网络设计方案。方案设计网络的三层结构的设计，网络拓扑

42、，网络安全域管理，综合布线等。学校校园网络安全、稳定、快速发展，网内的数据资料实现安全管理、合理、有效的存储和备份，从而会有利于提高学校校园网内教学资源的传送速度，节省时间，提高教学质量，为我国教育事业的发展插上有力的翅膀。校园网络技术的发展解决了中国教育信息化进程中的应用，将有利于为我国培养出更多的栋梁之才。此外，通过本次的网络设计，使我学到了不少东西，学习了常见的网络设备。交换机和路由器，防火墙等，还学习了相关的配置设置。弥补了以前因为上课听讲不够专心露掉的许多知识的不足5.参考文献费晶，陈元，王丽娜.信息系统的安全与保密M.清华大学出版社.1999Lars Klander.挑战黑客-网络安全的最终解决方案M.电子工业出版社，2000李亚恒，唐毅.网络安全监测系统.计算机工程.2001第 17 页 共 20 页