XX高校网络安全解决方案

XX高校网络安全解决方案姓名：学号：专业：院系：一、安全网络需求分析1、设计背景XX高校是我省省属重点大学。该校拥有已开通信息点1万多个，上网电脑一万多台，校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。XX高校的网络结构分为核心、汇聚和接入3个层次，网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构，可以通过ChinaNet，也可以通过CERNET进入互联网。学校有16个C的教育网IP地址和8个ChinaNet的IP地址。目前提供的网络服务有：服务、MAIL服务、FTP服务、VOD服务,图书馆电子图书数据库服务等。2、安全需求（1）防止校园网外部用户对校园网内的用户进行攻击（2）校园网外部用户只能访问服务、MAIL服务，其他服务只对校园网内部用户开放。（3）考虑到易用性，所有服务器的操作系统采用WindowsServer，。（4）需要防病毒系统。二、网络拓扑结构三、IP地址规划：教学区和办公区用户使用公有的8个c类地址块中的地址；学生宿舍网用户使用私有地址192.168.0.0/16和10.0.0.0/8地址块，可在出口处做nat转换，实现私有地址块192.168.0.0/16和10.0.0.0/8转换成所给出的16个c类地址块中的地址四、服务器的选型及参数戴尔PowerEdgeR710参数基本类别类别机架式结构2U处理器CPU类型XeonE5520CPU频率2260MHz处理器描述标配2个XeonE5520处理器最大处理器数量2制程工艺45纳米CPU核心四核（Gainestown）主板主板芯片组Intel5520扩展槽2PCIex8+2PCIex4或1x16+2x4内存内存类型DDRIII内存大小32GB内存带宽/描述8个4GBDDR3内存插槽数量18最大内存容量144GB存储硬盘大小5*300GB硬盘类型SAS硬盘最大容量6TB内部硬盘架数通过6个3.5英寸1000GB热插拔SAS硬盘最大热插拔硬盘数支持热插拔磁盘阵列卡RAID6光驱DVD-ROM网络网络控制器集成双千兆以太网控制器显示性能显示芯片MatroxG200其他参数散热系统可选冗余冷却咨询购买热线800-858-2339服务DELL3年免费上门服务管理及安全性管理工具远程管理卡电源性能电源冗余电源电源数量2外观特征尺寸86.4*443.1*680.7mm重量26.1Kg软件系统系统支持参数纠错MicrosoftWindowsServer2008，x64小型企业服务器标准版MicrosoftWindowsServer2008，标准MicrosoftWindowsServer2008，企业MicrosoftWindowsServer2008x64数据中心，包括Hyper-VRedHatLinuxEnterprisev5x86-64RedHatLinuxEnterprisev4、ES和ESx86-64Solaris10(非工厂预装)RedHatLinuxEnterpriseLinux5.xx86RedHatLinuxEnterpriseLinux5.xx86_64NovellSuSeLinux10SP2SUSELinuxEnterpriseServer10x86-64VMwareESX3.5标准版VMwareESX3.5企业版五、防火墙的选型及参数CISCOASA5580-20-B参数报价：20万主要参数设备类型企业级防火墙并发连接数1000000网络吞吐量(Mbps)5000安全过滤带宽1000Mbps用户数限制无用户数限制安全标准UL60950,CSAC22.2No.60950,EN60950IEC60950,AS/NZS60950控制端口console,1*RJ-45管理思科安全管理器(CS-Manager),WebVPN支持支持一般参数适用环境工作温度:10～35℃;工作湿度:10～90%不凝结;存储温度:-30～60℃;存储湿度:10～95%不凝结电源100～240VAC,50/60Hz防火墙尺寸673*483*176mm防火墙重量29.9kg其他性能参数纠错高性能防火墙、IPS、以及IPSec和SSLVPN和IPSecVPN(750个设备对)软件,支持防垃圾邮件、URL阻拦和过滤,以及防网络钓鱼六、操作系统的安全配置和测试（1）物理安全设备的无人监控，加锁，防潮（2）停止Guest帐号（3）限制用户数量对于WindowsNT/2000主机，如果系统帐户超过10个（4）多个管理员帐号创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用（5）管理员帐号改名（6）陷阱帐号创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码（7）更改默认权限共享文件的权限从“Everyone”组改成“授权用户（8）安全密码要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。（9屏幕保护密码（10）NTFS分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。（11）防毒软件设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。（12）备份盘的安全不能把资料备份在同一台服务器上，这样的话还不如不要备份七、应用服务器系统的漏洞扫描和安全配置1、使用IIS配置服务在“控制面板”的“添加/删除组件”中安装IIS服务；安装完毕之后，会在“管理工具”中出现“Internet服务管理器”图标；双击打开“Internet服务管理器”；这时在C盘中会自动产生一个“Inetpub”文件夹；在这个文件夹中，可以看到web站点所存放的位置；新建web站点右键可以修改其属性；这时在客户端机器上，可以查看新建的web站点；如下图所示，新建虚拟目录；存放在Inetpub下的directory文件夹中；给虚拟目录起个名字，叫“mit”；在客户端机器上测试一下，就可得到结果2.FTP服务器配置：安装FTP服务器组件；用Serv-U建设FTP站点；新建用户，在该实验中，设置了三个用户，分别为匿名用户和zhangsan、lisi，他们的访问权限不同；用户lisi未被锁定于主目录，其结果与另外两者不同；3.使用工具软件1.S扫描器(一种速度极快的多线程命令行下的扫描工具)2.SQL登陆器3.DNS溢出工4.cmd(微软命令行工具)八、恶意代码的防范系统设计防病毒体系总体规划：防病毒系统不仅是检测和清除病毒，还应加强对病毒的防护工作，在网络中不仅要部署被动防御体系（防病毒系统）还要采用主动防御机制（防火墙、安全策略、漏洞修复等），将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统，保证不出现防病毒漏洞。因此，远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。在跨区域的广域网内，要保证整个广域网安全无毒，首先要保证每一个局域网的安全无毒。也就是说，一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的病毒防护体系。1.构建控管中心集中管理架构保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新，同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被系统管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。2.构建全方位、多层次的防毒体系结合企业实际网络防毒需求，构建了多层次病毒防线，分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面布控。3.构建高效的网关防毒子系统网关防毒是最重要的一道防线，一方面消除外来邮件SMTP、POP3病毒的威胁，另一方面消除通过HTTP、FTP等应用的病毒风险，同时对邮件中的关键字、垃圾邮件进行阻挡，有效阻断病毒最主要传播途径。4.构建高效的网络层防毒子系统企业中网络病毒的防范是最重要的防范工作，通过在网络接口和重要安全区域部署网络病毒系统，在网络层全面消除外来病毒的威胁，使得网络病毒不再肆意传播，同时结合病毒所利用的传播途径，结合安全策略进行主动防御。5.构建覆盖病毒发作生命周期的控制体系当一个恶性病毒入侵时，防毒系统不仅仅使用病毒代码来防范病毒，而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理，特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前，可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制，使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除，快速恢复系统至正常状态。6.病毒防护能力防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行，减少误报的几率。7.系统服务系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后，能否对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件，需要防病毒厂商具有较强的应急处理能力及售后服务保障，并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。防病毒体系的管理功能：防病毒系统能够实现分级、分组管理，不同组及客户端执行不同病毒查杀策略，全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面，直接监视和操纵服务器端/客户端，根据实际需要，添加自定义任务（例如更新和扫描任务等），支持大型网络统一管理的多级中心系统等多种复杂的管理功能。8.资源占用率防病毒系统进行实时监控或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描，由于工作量相当大，因此对系统资源的占用较大。因此，防病毒系统占用系统资源要较低，不影响系统的正常运行。8.系统兼容性防病毒系统要具备良好的兼容性，将支持以下操作系统：WindowsNT、Windows2000、Windows9X/Me、WindowsXP/Vista、Windows2000/2003/2008Server、Unix、Linux等X86和X64架构的操作系统。9.病毒库组件升级防病毒系统提供多种升级方式以及自动分发的功能，支持多种网络连接方式，具有升级方便、更新及时等特点，管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级，减少病毒库增量升级对网络资源的占用，并且采用均衡流量的策略，尽快将新版本部署到全部计算机上，时刻保证病毒库都是最新的，且版本一致，杜绝因版本不一致而可能造成的安全漏洞和安全隐患。10.软件商的企业实力软件商的实力一方面指它对现有产品的技术支持和服务能力，另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作，企业实力将会影响这种合作的持续性，从而影响到用户企业在此方面的投入成本。九、防火墙设计、配置与测试网络建成后，为保证整个网络正常地运行、防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要。主要表现在以下几方面：身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。网络安全是有