课程设计-校园网络设计方案网络安全部分

课程设计-校园网络设计方案网络安全部分内容摘要：

S 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪， IDS 无能为力。 （ 2）蠕虫、病毒、 DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及 对入侵做出响应，往往造成企业网络瘫痪， IDS 无法把攻击防御在企业网络之外。 为 了 弥 补 防 火 墙 和 IDS 的缺陷，入侵保护系统 IPS （ Intrusion Prevention System）作为 IDS 的替代产品应运而生。 网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。 通过防火墙和 IPS 的联合部署，珠江学院校园网络基本上能防御内外网的从 27 层的攻击，并 能审计、记录攻击行为，便于调查攻击。 部署示意图如下： 图 5 部署示意图 部署漏洞管理系统 部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。 它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。 一个相对完整的漏洞管理过程包含以下步骤： ； ； 性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案； ，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避； ； 15。 通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。 通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评 估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。 漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。 漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。 漏洞管理系统包 括硬件平台和 管理控制台 ，部署在网 络的核心交 换机处，对整个网络中的资产提供漏洞管理功能。 示意图如下： 图 6 漏洞管理功能图 部署网络防病毒 系统 在珠江学院校园网部署网络版防病毒系统，进行全网病毒防护。 网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。 其应具有如下功能： （ 1）在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。 （ 2）网络版客户端安装方法 网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安 装。 （ 3）移动控制台功能 系统管理员在任意一台电脑（与控制中心所在的服务器联网）上安装移动控制台，管理员可通过移动控制台直接管理各种平台的服务器端 /客户 端。 在管理员控制台上，管理员能够对上述任何一种服务器端 /客户端进行直接操作：设置、查毒、杀毒、通知升级、启动 /关闭实时监控等。 （ 4）升级策略 首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。 可以设置让控制中心每日自动升级。 在客户端普通操作台可以手动升级，也可以 通过设置让客户端自动升级。 （ 5）多级控制中心、自由分组 通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。 这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。 具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。 （ 6）全网远程报警 当网络中任意一台计算机上扫描程序发现病毒时，都能够自动及时准确地把病毒信息记录并传递给网 络管理员。 （ 7）全网集中管理 网络中客户端安装和杀毒确保有效完成，客户端未经授权不能任意停止全网统一的杀毒行动，客户端未经授权不能任意卸载。 针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护，可以适应珠江学院校园网复杂的应用环境，满足校园网对于全网防病毒的需求，有效解决整个校园网面临的病毒威胁。 防病毒系统由服务器端和客户端组成。 防病毒服务器部署 在核心交换机处，需要杀毒的每个终端安装一个客户端。 示意图如下： 图 7 防病毒系统 部署 WEB 应用防护系统 珠江学院网络安全体系中，需要新型的技术和设备来应对 WEB 攻击，保证网站安全，维护珠江学院声誉；为广大师生等用户提供持续优质服务。 这种新型的技术就是 WEB 防火墙。 传统的边界安全设备，如防火墙，局限于自身的产品定位和防护深度，不能有效地提供针对 Web 应用攻击完善的防御能力。 防火墙的不足主要体现在： （ 1）、传统的防火墙作为访问控制设备，主要工作在 OSI 模型三、四层，基于 IP 报文 进 行 检测。 设计之 初，它 就无需 理解 Web 应用 程序 语言 如 HTML 及 XML，也无需理解 HTTP 会话。 因此，它也不可能对 HTML 应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。 恶意的攻击流量将封装为 HTTP 请求，从 80 或 443 端口顺利通过防火墙检测。 （ 2）、有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度 的应用层防御能力，但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够，只能提供非常有限的 Web 应用防护，难以应对当前最大的安全威胁，如 SQL 注入、跨站脚本。 对网页篡改、网页挂马这类紧迫问题，更是无能为力。 IPS（入侵检测系统）弥补了防火墙的某些缺陷，但随着网络技术和 Web应用的发展复杂化， IPS 在 WEB 专用防护领域已经开始力不从心。 具体体现为： （ 1）、安全威胁的技术根源在于安全漏洞的存在。 防护仅能一定程度缓解针对 Web 应用的攻击。 彻底消除安全隐患，需要借助 Web 应用漏洞扫描工具，用以诊断 Web 应用程序脆弱性。 传统 IPS 设备更多从防护着手，不具备事前预防的能力。 （ 2）、针对当前泛滥的 DDoS 攻击，传统 IPS 设备仅具备基本防 护功能，很难满足应。