安徽财经大学校园网信息安全

调查报告

姓名：   周   然          

学号：  20132188    

班级：13信管一班    

指导教师： 张  胡  

目录

1 网络安全现状分析.................................................................................................... 5

1.1网络安全的概念............................................................................................... 5

1.2 网络安全整体状况.......................................................................................... 5

1.3 网络安全现存风险.......................................................................................... 5

1.3.1 操作系统的安全风险............................................................................ 5

1.3.2网络系统的安全风险............................................................................. 6

2校园网的安全现状..................................................................................................... 6

2.1 校园网特点...................................................................................................... 6

2.2 校园网的安全风险.......................................................................................... 7

2.2.1 物理层安全风险.................................................................................... 7

2.2.2 网络层安全风险.................................................................................... 7

2.2.3 系统安全风险........................................................................................ 8

2.2.4 应用层安全风险 .................................................................................. 8

2.3 校园网安全需求分析...................................................................................... 8

2.3.1 网络攻击防御需求................................................................................ 8

2.3.2 系统安全漏洞管理需求........................................................................ 9

2.3.3 网络防病毒需求 .................................................................................. 9

2.3.4  Web应用安全需求 ........................................................................... 9

2.3.5 内容安全管理需求.............................................................................. 10

3我校校园网建设现状............................................................................................... 10

3.1 校园网建设总概况........................................................................................ 10

3.2 校园网建设目标............................................................................................ 11

3.3 我校校园网硬件设备介绍及使用情况........................................................ 11

3.3.1 防火墙.................................................................................................. 11

3.3.2 入侵防御系统 IPS............................................................................... 18

3.3.3 核心交换机.......................................................................................... 21

3.3.4 汇聚交换机.......................................................................................... 25

3.4 具体安全系统................................................................................................ 28

3.4.1 补丁管理.............................................................................................. 28

3.4.2 服务器杀毒工具.................................................................................. 28

3.5 校园网络拓扑结构图.................................................................................... 30

4 校园网安全管理方案.............................................................................................. 31

4.1 校园网存在问题............................................................................................ 31

4.1.1 安全隔离问题...................................................................................... 31

4.1.2 非法上网行为占用资源...................................................................... 31

4.1.3 人为的恶意攻击.................................................................................. 31

4.1.4 网络安全意识淡薄和管理制度的不完善.......................................... 31

4.2 问题解决方案................................................................................................ 31

4.2.1根据安全需要划分相关区域............................................................... 31

4.2.2对用户非法上网行为进行识别和控制............................................... 33

4.2.3 增添H3C SecBlade IPS入侵防御模块............................................... 33

附件.............................................................................................................................. 35

 

1 网络安全现状分析

1.1网络安全的概念

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 

从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。  从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

1.2 网络安全整体状况

随着网络尤其是因特网在我国的迅速普及，针对我国境内信息系统的攻击正在呈现快速增长的势头，利用网络传播有害信息的手段日益翻新，我国的政府部门、证券公司、银行、ISP、ICP等机构的计算机网络相继遭到多次攻击。我国互联网安全的状况可以分为几部分：信息和网络的安全防护能力差；基础信息产业严重以来国外；信息安全管理机构权威性不够；网络安全人才短缺；全社会的信息安全意识淡薄。

1.3 网络安全现存风险

计算机面临着黑客、病毒、特洛伊木马程序、系统后门和窥探等多个方面安全威胁。尽管近年来计算机网络安全技术取得了巨大的进展，但计算机网络系统的安全性，比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害，他的抗打击力和防护力很弱，其脆弱性主要表现在如下几个方面： 

1.3.1 操作系统的安全风险

操作系统不安全，是计算机系统不安全的根本原因。

1.3.2网络系统的安全风险

1）网络安全风险 

使用TCP/IP协议的网络所提供的FTP、E-mail、RPC和NFS都包含许多不安全的因素。 ?

2）计算机硬件的故障

由于生产工艺和制造商的原因，计算机硬件系统本身有故障。

3）软件本身的“后门”

常见的后门有修改配置文件、建立系统木马程序和修改系统内核等。网络软件可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。另外，软件本身的“后门”是软件公司为了方便自己进入而在开发时预留设置的，一方面为软件调试进一步开发或远程维护提供了方便，但同时也为非法入侵提供了通道，入侵者可以利用“后门”多次进入系统，一旦“后门”被打开，其造成的后果将不堪设想。 ?

4）软件的漏洞

软件中不可避免的漏洞和缺陷，成了黑客攻击的首选目标，典型的如操作系统中的BUGS。黑客攻击

5）黑客攻击

没有预先经过同意，就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。某些新的信息技术在大大方便使用者的同时，也为“黑客”的入侵留下了大大小小的系统安全漏洞，令系统内部或外部人员可以轻易地对系统进行恶意入侵。

5）病毒破坏

大量的来自于互联网上的病毒。通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。病毒在互联网上以几何级数进行自我繁殖，在短时间内导致大量的计算机系统瘫痪，损失惨重。

2校园网的安全现状

2.1 校园网特点

高校校园网络具有如下特点： 

1）网络规模大，设备多。从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备。 

2）校园网通常是双出口结构，分别与 Cernet、Internet 互联。

3）用户种类丰富。按用户类型可以划分为教学区（包括教学楼、图书馆、实验楼等）、办公区（包括财务处、学生处、食堂等）、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。 

4）应用系统丰富。校园网单位众多，有很多基于局域网的应用，子系统众多，我校有教务系统，图书馆管理系统，学生档案管理系统，财务系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用，如WWW、E-MAIL等，需要和INTERNET的交互。各种应用服务器，如DNS，WWW，E-MAIL，FTP等与核心交换机高速连接，对内外网提供服务。

2.2 校园网的安全风险

校园网面临很大的安全风险，主要由于校园内人员密集，网络用户众多；学校学生好奇心强，在课堂上学习了编程和网络技术，想尝试黑客技术入侵校园网。下面从物理层、网络层、系统、应用层分析安全风险。

2.2.1 物理层安全风险

网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断，进而造成网络系统的阻断。包括以下内容：

1）设备被盗，被毁坏；

2）链路老化或被有意或者无意的破坏;

3）因电磁辐射造成信息泄露；

4）地震、火灾、水灾等自然灾害。  

2.2.2 网络层安全风险

网络层中的安全风险，主要指数据传输、网络边界、网络设备等所引发的安全风险。

2.2.2.1 数据传输风险分析  

数据在网络传输过程中，如果不采取保护措施，就有可能被窃听、篡改和破坏，如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。对高校而言，比较多的风险是： 

1) 私自将多个用户通过交换机接入网络，获得上网服务。

2) 假冒合法的MAC、IP地址获得上网服务。

2.2.2.2 网络边界风险分析 

不同的网络功能区域之间存在网络边界。如果在网络边界上没有强有力的控制，则网络之间的非法访问或者恶意破坏就无法避免。对于高校而言，整个校园网和INTERNET的网络边界存在很大风险。由于学校对INTERNET开放了WWW、EMAIL等服务，如果控制不好，这些服务器有面临黑客攻击的危险。

2.2.2.3 网络设备风险分析   

由于高校校园网络使用大量的网络设备，这些设备自身的安全性也是要考虑的问题之一，它直接关系到各种网络应用能否正常、高效地运转。交换机和路由器设备如果配置不当或者配置信息改动，会引起信息的泄露，网络瘫痪等后果。 

2.2.3 系统安全风险

系统层的安全风险主要指操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁。病毒大多也是利用了操作系统本身的漏洞。目前，高校网络中操作系统有WINDOWS系列和类UNIX系列，大都没有作过安全漏洞修补，极易遭受黑客攻击和病毒侵袭，对网络安全是一个高风险。 

2.2.4 应用层安全风险

高校校园网络中存在大量应用，如WWW服务、邮件服务、数据库服务等。在应用过程中，存在下列风险： 

1) 这些服务本身存在安全漏洞，容易遭受黑客攻击。当前，尤其针 对WEB应用的攻击成为趋势。 

2) 不对应用者的行为监管存在的风险。如学生浏览黄色，暴力网站； 在论坛等发表非法言论；滥用P2P，在线视频等，严重占用网络。

2.3 校园网安全需求分析

由上可见，高校校园网中的安全风险是多样的，也需要多种技术构建综合安全防护体系，保证校园网安全。

2.3.1 网络攻击防御需求

高校校园网络连接INTERNET，因此从安全角度看，可以划分为 两大区域，内部网络和外部网络。在内外网之间必须有安全隔离措施，对数据的流动进行控制。首先内部网络是私有网络，其访问ITNERNET的流量必须隐藏真实地址，而转换为公网地址；其次，网络边界要有适当的访问控制策略，既需要控制内部网络可以访问INTERNET的流量，更需要严格控制INTERNET可以访问内部网络的流量，以防止黑客攻击和非法访问。因而只允许INTERNET访问校园网对其开放的服务，如WWW、EMAIL 等，其他服务全部禁止。 

对通过INTERNET到校园内网应用如OA系统的连接，采用IPSEC VPN或者SSL VPN技术，以保证数据安全性。即使被黑客窃听，也无法解密。 

采用流量监听和阻断恶意流量机制，对网络进行保护。监视和分析用户及系统的活动，识别反映已知进攻的活动模式并向管理员报警。 

2.3.2 系统安全漏洞管理需求

高校有大量的应用服务器和网络设备，以及应用程序和数据库系统。众所周知，在服务器和网络设备操作系统（包括WINDOWS,类UNIX），应用协议（如TCP/IP），应用程序中，存在很多安全漏洞。蠕虫爆发、病毒、木马以及恶意代码都是利用安全漏洞对网络和系统进行攻击。如果对系统中的各种漏洞不能及时发现和修复，就有很大的被攻击的风险，造成很大的损失，例如“冲击波”蠕虫和“震荡波”蠕虫的爆发。所以要有漏洞管理机制，及时扫描和修复系统安全漏洞保护网络安全。 

2.3.3 网络防病毒需求

高校校园网用户众多，网络环境复杂，病毒入口点非常多，如何保证在整个局域网内杜绝病毒的感染、传播和发作是网络安全的一个重要问题。一个良好的网络防病毒方案应该达到如下目标：要在整个大学校园的内部网络内杜绝病毒的感染、传播和发作，整个网络内只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段。同时为了网络管理人员有效、快捷地实施和管理整个网络的防病毒体系，应能实现简易、自动、智能和强制执行防病毒策略的维护管理方式。网络实施防病毒系统应力求达到在整个内部网络系统中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系，保护校园网络免遭来自外部和内部病毒的威胁和破坏，从根本上杜绝病毒的发作和传播，有效地保护学校内部资源。同时，该方案还必须是一个使用方便的，灵活的和全自动的系统，可以完全自动的升级；可以在本网的任何地方管理全网；等等。最后，它还必须是一个易于扩充和修正的方案，能方便的适应将来网络扩充时可能的变更。

特别地，校园网需要很好地防范ARP欺骗病毒。ARP欺骗病毒是目前高校校园网中比较泛滥的一种病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。  

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到校园网络的正常运行。 

因此，必须有合适的措施应对ARP欺骗病毒对网络的危害，保证网络的持续可用性。

2.3.4  Web应用安全需求

据权威机构IDC调查显示，Web 应用越来越丰富的同时，针对Web 服务器的攻击也与日俱增。SQL注入、网页篡改、网页挂马、应用层DDOS等安全事件，频繁发生。WEB攻击一旦得逞，将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。对于高校而言，门户网站是其对外宣传的窗口和内部交流的平台，网站的安全直接影响学校的声誉。因此，必须杜绝网页篡改，网站拒绝服务等安全事件的发生。 

2.3.5 内容安全管理需求

随着计算机网络在经济和生活各个领域的迅速普及，网络发展从连通时代到应用时代的转变，如何保证网络内容安全，净化网络环境，规范上网行为，符合国家法规要求，是广大机构迫切需要解决的问题。有不良影响或危害的网络行为有： 

1）利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；  

2）因访问不良网站而遭受恶意代码、间谍软件及钓鱼式攻击等，影响机构网络正常运行；   

3）随意使用 P2P 下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；  

4）浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；  

5）随意通过 EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生。

根据调查数据显示，以上事件呈逐年上升趋势，导致机构工作效率降低、重要敏感信息泄露、业务应用无法正常运行、网络带宽资源滥用、不良反动言论传播甚至面临国家法律风险等，给机构造成严重的经济损失和巨大的网络信息安全风险。尤其高校作为高等教育机构的特殊性质，更需要营造健康的网络环境，屏蔽色情、暴力等不良网站；同时，对学生的上网行为也要有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散。

3 我校校园网建设现状

3.1 校园网建设总概况

    我校园网一期工程于20##年10月份建成并投入运行，至20##年结束。一期校园网网络投资800多万元，组建了网络中心，配置了Cisco 6509骨干千兆交换机一台，Cisco 4507 汇聚交换机俩台，锐捷RG-S6506  汇聚交换机俩台，Cisco 3602路由器一台，一台SUN450作为数据库服务器，一台SUN250作为邮件服务器，另一台SUN250作为DNS服务器，一台HP3000作为www服务器，在校园网的各个楼宇（如综合楼、实验楼、办公楼、图书馆等）购买了25台Cisco3550-48、40台锐捷S3750-48交换机作为接入交换机，一期校园网已经初具规模；二期校园网改造工程项目于20##年3月启动，由于网络需求的不断扩大，原有的设计能力远远不能满足日益增长的教学，科研和管理的需要，20##年6月，对校园网进行升级，改造，并在龙湖东校区的图书馆新建网络中心核心机房，同时购买核心交换机Cisco7609俩台，Cisco6509一台，IBM 560Q小型机一台，IBM DS4800光纤存储一台，H3C IP存储器一台，各类服务器20多台。实现了东西校区双核心交换机万兆高速互连，千兆到楼，百兆到桌面。目前，已布设信息点25400个；已开通建筑物80栋；三个校区工铺设光缆63.5公里，提供了多种网络服务：目前校园网对外出口有三条：一条100兆光纤与安徽省教育科研网互连，另外俩条100兆光纤连接到Internet，使我校的对外出口带宽达到300兆，实现了与中国教育科研网，Internet的高速互连。满足了本科教育的网络规模和覆盖范围。

3.2 校园网建设目标

1）高速，校园网主干核心带宽要达到万兆，网络延时抖动小；
2）整个网络系统具有很好的服务质量和稳定性；
3）网络系统具有较高的安全性能和可靠性；
4）具有很好的可管理性；
5）易扩展，支持网络新技术。

3.3 我校校园网硬件设备介绍及使用情况

3.3.1 防火墙

3.3.1.1  Web应用防火墙

生产厂家：天存信息

型号：iWall应用防火墙WAF 1000

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。

 一、产品概述

通常，网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据（如URL、参数、链接、Cookie、请求行、头部信息、载荷等），区分正常用户访问Web应用和攻击者的恶意行为，对攻击行为进行实时阻断和报警。

iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。

iWall应用防火墙在安全防护体系中的位置和作用如下图所示：

二、工作原理

iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查，确保所有攻击行为被拒之门外。

天存HTTP安全模型采用匹配引擎和安全规则分离的方式。其工作过程如下所示：

三、产品特性

1.二阶段检查

漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。由于天存复杂匹配引擎支持多阶段多流程处理，因此天存核心规则集可以使用二阶段检查技术：对99%的正常访问可以初查后快速通过，对初查不合格的1%的可疑访问可以复杂匹配，精确识别。

2.加扰去除

黑客为了绕过应用安全程序或系统的检测，往往将攻击数据加扰（增加噪声）后提交。天存核心规则集可以有效识别和剔除加扰数据，包括：识别并压缩空格、识别并替换注释、大小写转换等。

3.编码识别

由于黑客攻击或者应用自身的需要，请求数据可能采用各种方式进行编码。天存核心规则集可以识别多种编码数据并进行解码，包括：HTML实体解码、URL解码、Unicode解码等。

4.多规则支持

支持任意多个规则集，可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集，并对其中的任意规则进行单独忽略，实现细粒度的安全配置。

四、优点特点分析

全面防御WEB应用层攻击如下图所示：

Iwall WAF1000的优点和特点为：iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。 iWall应用防火墙使用了Web服务器核心内嵌机制、独立引擎规则驱动、数据预处理、两阶段模型、复杂匹配等多种先进技术，大幅减少误判和漏报，达到准确性和效率的平衡，并提供良好的用户自定义和扩充性。

3.1.1.2 内网防火墙

内网防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。我们学校内网防火墙使用的是HilStone（山石网科）的SG-6000 M3108和SG-6000 X7180。两台防火墙均属于山石网科下一代防火墙——千兆桌面型，下面将分别进行介绍：

1）内网防火墙 SG-6000 M3108

生产厂家：山石网科

型号：SG-6000 M3108

2）内网防火墙 SG-6000 X7180

生产厂家：山石网科

型号：SG-6000 X7180

3）两者综合概述

SG-6000是Hillstone公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus®G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3108处理能力高达1/2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防御、网页访问控制等安全服务。产品亮点：

（1）安全可视化

网络可视化：通过StoneOS®内置的网络流量分析模块，用户可以图形化了解设备的使用状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

接入可视化：StoneOS®基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。

应用可视化：StoneOS®内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。

（2）全面的VPN解决方案

SG-6000多核安全网关支持多种IPSec VPN的部署，它能够完全兼容标准的IPSec VPN。SG-6000系列产品对VPN(包括SSL VPN)都提供硬件加速，结合多核平台的处理能力，可为用户提供高容量、高性能的VPN解决方案。

Hillstone独具特色的即插即用VPN，可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置，完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的问题。

SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性，为用户提供方便、快捷的安全远程接入服务。

（3）内容安全(UTM Plus®)

SG-6000可选UTMPlus®软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能，可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的网页做到及时响应。

（4）模块化、全并行处理的安全架构(多核Plus® G2)

Hillstone自主开发的64位实时安全操作系统StoneOS®采用专利的多处理器全并行架构，和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同；StoneOS®实现了从网络层到应用层的多核全并行处理。因此SG-6000较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升，为同时开启多项防护功能奠定了性能基础，突破了传统安全网关的功能实用性和性能无法两全的局限。

SG-6000-M3108支持SD卡扩展。通过扩展SD卡可以在设备上实时记录各种审计日志和审计数据，满足公安部82号令的要求，也可以使用外置高性能日志服务器。

SG-6000多核安全网关还支持通过软件license方式进行设备高级扩展，例如提升设备的最大并发会话数、每秒新建连接数和整机处理性能等。

（5）灵活部署的部署模式

支持路由、透明、混合等部署方式，同时支持静态路由、动态(OSPF/RIP)路由、策略路由等，满足不同用户网络的需求。

提供一对一、多对一、多对多等NAT方式；支持多种应用协议NAT穿越，提供H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等ALG功能。

一、产品概述

山石网科下一代防火墙可精确识别数千种网络应用，并提供详尽的应用风险分析和灵活的策略管控。结合用户识别、内容识别，山石网科下一代防火墙可为用户提供可视化及精细化的应用安全管理。同时，山石网科下一代防火墙内置了先进的威胁检测引擎及专业的WEB服务器防护功能，能够抵御包括病毒、木马、SQL注入、XSS跨站脚本、CC攻击在内的各种网络攻击，有效保护用户网络健康及WEB服务器安全。基于全并行软硬件架构实现的“一次解包、并行检测”，山石网科下一代防火墙在具备全面安全防护的同时，更为用户提供高性能的应用安全防护。

二、优势与特性

1.精细化应用管控

山石网科下一代防火墙支持深度应用识别技术，可根据协议特征、行为特征及关联分析等，准确识别数千种网络应用，其中包括400余种移动应用。在此基础上，山石网科下一代防火墙为用户提供了精细而灵活的应用安全管控功能。

l  应用多维可视化及风险分析。除应用所在分类外，用户可了解到包括应用背景信息、应用风险级别、潜在风险描述、所用技术等详尽信息，如该应用是否大量消耗带宽、是否能够传输文件、是否存在已知漏洞等等。通过多维度的详尽应用分析，用户可制定针对性的安全策略以避免特定应用威胁网络安全。

l  精准应用筛选。山石网科下一代防火墙提供了精细化的应用筛选机制。用户可根据应用名称、应用类别、 风险级别、所用技术、应用特征等6大条件，精确筛选出感兴趣的应用类型，如具备文件传输功能的通讯软件，或存在已知漏洞、基于浏览器的WEB视频应用等等，从而实现精细化的应用管控。

l  灵活应用控制。基于深度应用识别及精细化的应用筛选，山石网科下一代防火墙支持灵活的安全控制功能。包括策略阻止、会话限制、流量管控、应用引流或是时间限制等。如山石网科下一代防火墙支持的iQoS技术，可在应用识别与用户识别基础上，进行两层八级细粒度流量管控，保证用户重要应用服务质量，提升网络带宽利用率。
2.全面威胁检测与防护

山石网科下一代防火墙提供了基于深度应用、协议检测和攻击原理分析的入侵防技术，可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁，为用户提供L2-L7层网络安全防护。

优化的攻击识别算法。能够有效抵御如SYN Flood、UDP Flood、HTTP FloodDoS/DDoS攻击，保障网络与应用系统的安全可用性。

l  专业Web攻击防护功能。支持SQL注入、跨站脚本、CC攻击等检测与过滤，避免Web服务器遭受攻击破坏；支持外链检查和目录访问控制，防止Web Shell和敏感信息泄露，避免网页篡改与挂马，满足用户Web服务器深层次安全防护需求。

l  高性能的病毒过滤。领先的基于流扫描技术的检测引擎可实现低延时的高性能过滤。支持对HTTP、FTP及各种邮件传输协议流量和压缩文件（zip，gzip，rar等）中病毒的查杀，提供超过130万条实时更新的病毒特征库。

l  支持千万级URL过滤功能。可帮助网络管理员轻松实现网页浏览访问控制，避免恶意URL带来的威胁渗入。

基于多核硬件架构及“一次解包，并行检测”技术，山石网科千兆及桌面型下一代防火墙在开启多种威胁防护功能时，仍可为用户提供业界领先综合安全性能。

3.强大的网络适应性

山石网科下一代防火墙具备强大的网络适应能力，具备复杂环境下的安全部署能力，满足用户多样化的网络功能需求。

 智能链路负载均衡功能。其出站动态探测和入站SmartDNS等功能允许网络访问流量在多条链路上实现智能分担，极大提升链路利用效率和用户网络访问体验。

l  支持RIP、OSPF和BGP等动态路由协议。可根据网络系统的运行情况自动调整动态路由表，满足运营商、高校等复杂网络环境部署。

l  内置VPN加速芯片。可显著提升IPSec/SSL VPN性能，支持大规模网络环境中VPN部署。结合iOS及Android平台下的VPN客户端，可为用户提供移动终端远程接入解决方案。

4.灵活便捷的无线安全

E1100系列下一代防火墙为用户提供了丰富的网络接入选择，包括WIFI及4G/3G接入功能。

l  WIFI热点功能。E1100系列支持802.11a/b/g/n无线局域网接入标准，最高可达300Mbps无线网络连接速率，充分满足分支机构、SOHO办公室等应用环境中有线与无线混合接入需求。同时，提供了用户认证、网络与用户安全隔离等无线安全功能，杜绝非法接入，避免信息泄露。

l  4G/3G无线WAN接入。E1100系列下一代防火墙支持4G/3G移动通信技术，可通过内置或外置4G/3G模块支持电信、联通、移动三大运营商4G/3G网络接入，为用户提供更加灵活的广域网接入方式。并且支持4G/3G链路与有线WAN链路之间的负载均衡与冗余备份，实现VPN备份部署，确保业务持续运行。
5.统一集中管理

山石网科下一代防火墙支持集中管理，借助HSM安全管理平台，可对多设备进行统一策略管理、设备配置管理及实时安全监控，从而实现网络的快速部署以及发生安全事件的及时响应，提高管理效率，降低运维成本。

3.3.2 入侵防御系统

入侵防御系统（IPS）,位于防火墙和网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。一般来说IPS是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。

我校IPS品牌是华为。

华为IPS介绍：

华为NIP系列入侵防御系统，面向大中企业、行业及运营商客户，用来防御网络威胁影响其正常的业务。NIP产品使用模块化引擎设计， 利用多种先进的检测技术，提供虚拟补丁、Web应用防护、客户端应用防护、恶意软件防护、Anti-DDoS及应用感知控制等功能。帮助组 织保障业务的连续性，数据的安全性，提供对相关法律法规的合规性。

华为NIP系统，采用电信级的高可靠性设计，提供对MPLS、VLAN等多种特殊协议的支持，可在多种环境灵活的部署。产品提供零配置上线的 部署能力，无需复杂的签名调整，无需人工设定网络参数及阈值基线，即可自动阻截各种业务威胁。华为NIP产品显著降低了部署的复杂性， 使整体的TCO成本得到有效的控制。

l  前瞻性的全面防护

NIP系统采用多种先进的检测技术，有效的防御各种已知或者未知的威胁：

采用协议智能识别技术，自动的区分不同应用和协议，无需人工设定协议端口；

基于漏洞的检测技术，以及基于攻击特征的检测技术，实时发现并防御各种已知的攻击：漏洞利用、蠕虫木马等等；

协议异常检测、流量异常检测以及启发式检测技术，可以有效的发现未知漏洞及恶意软件产生的攻击；

NIP产品荟萃多种入侵检测技术，其中最重要的就是基于漏洞的检测，可有效地阻止因为漏洞而带来的威胁，如：溢出攻击、蠕虫感染等。相对传统的攻击特征检测不会产生误报、并且能够更好地对抗使用逃避技术的攻击行为。

l  易于部署

NIP产品预先配置了成熟的默认安全策略，提供了开箱即用的零配置上线的安全保护。此默认策略凭借有先进的引擎技术和高质量基于漏洞的签名，提供高精度的威胁检出能力，对确定对业务有影响的中高级威胁自动阻断，无需人工逐个优化调整。

NIP产品可以基于透明模式在线部署，也可旁路部署，同一台设备任何接口可以自由选择在线还是旁路工作，也无需重新调整网络，网络和安全管理员可以轻松选择所需的设备工作方式

NIP产品支持对MPLS、VLAN trunk、GRE等特殊网络封装数据的检测，使部署位置更具灵活性。

l  集中管理与报表

NIP产品不但提供设备自身的Web管理方式，也可以通过集中管理软件NIP Manager，进行多设备的集中监控、升级和策略下发等配置操作。

NIP产品提供多种的预定义策略供客户选择，可以满足客户定制化策略的需求。

NIP Manager具有丰富的日志统计报表功能，从不同粒度和不同维度全面展示网络实时状况、历史信息及检测到的各种攻击排名、流量趋势走向。方便用户随时了解网络健康状态，对网络加固和IT活动实施予以指导

l  高可靠性

IPS在线部署需要极高的可靠性，华为NIP产品提供最高级别的可靠性及可用性。产品支持高可靠性配置（主-备模式、主-主模式），支持热插拔冗余电源、热插拔风扇，并采用电子硬盘方案。提供软件及硬件的Bypass功能（失效开放），可以在某个功能模块异常时旁路此模块，也可以在整个IPS设备出现问题时旁路整个IPS产品。

IPS局限性：

1）单点故障

IPS必须以嵌入模式工作在网络中，这就可能造成瓶颈问题或单点故障。如果IPS出现故障而关闭，用户就会面对一个由IPS造成的拒绝服务问题，严重影响网络正常运转。

2）性能瓶颈

和防火墙一样，IPS是一个潜在的网络瓶颈。它不仅会增加滞后时间，而且会降低网络效率。

3）误报率和漏报率

在繁忙的网络当中，如果以每秒需要处理10条警报信息计算，IPS每小时至少需要处理36000条警报。一旦生成了警报，最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不十分完善，那么“误报”就有了可乘之机，导致合法流量也被意外拦截。

3.3.3 核心交换机

    核心交换机并不是交换机的一种类型，而是放在核心层（网络主干部分）的交换机叫核心交换机。我们学校核心交换机3台：俩台Juniper MX960和一台Cisco catalyst 6500。

1）核心交换机Juniper MX960

品牌：瞻博

型号：MX960

MX960以太网业务路由器为运营商级以太网的容量、密度和性能制订了新的业界标准。作为第一款优化用于新兴以太网网络架构和服务的Juniper平台，MX960专门构建用于满足最苛刻的运营商应用需求。MX960利用JUNOS操作系统，使运营商能够以经济高效地方式无缝部署以太网并加速下一代网络部署。通过将最佳的硬件平台与JUNOS软件的可靠性及服务灵活性结合在一起，MX960提供的特性和功能都令以往的运营商级以太网部署望尘莫及。

全新的MX960平台是业界容量最大的运营商级以太网平台，提供最大可达960千兆位每秒（Gbps）的交换和路由容量-从而降低每平台的成本并增加收入，产品还能通过扩展来保护客户投资。MX960有效支持高密度接口和大容量的交换吞吐量，适用于广泛的企业和住宅应用与服务，包括高速传输和 VPN 服务、下一代宽带多重播放服务以及大容量的互联网数据中心网络互连等。

MX960 是经过专门优化的以太网业务路由器，能够提供交换和运营商级以太网路由功能，以确保实现最低的每端口成本，同时不降低性能、可靠性、可扩展性和功能。

基于以太网的业务为供应商提供了大量的创收新机会。这些业务包括 VPN、点到点连接、高速互联网接入和宽带汇聚。随着技术和标准的不断发展，以太网日益成为服务供应商的首选边缘技术。MX960 为企业和住宅业务提供无可比拟的可扩展性、性能、可靠性和 QoS，是 Juniper 网络公司致力于提供以太网核心解决方案以满足下一代网络和业务需求的一个有力证明。MX960 是一种高密度第 2 层和第 3 层以太网交换机/ 路由器平台，设计用于多种服务供应商边缘业务的部署。MX960 提供大量的以太网业务，包括：用于多点连接的 VPLS 业务；内置 VPLS 业务功能；用于点到点业务的虚拟专线（VLL）；支持点到点业务；RFC 2547.bis IP/MPLS VPN（L3VPN）；全面支持整个以太网中的 MPLS VPN； 园 区/ 企业网边缘的以太网汇聚；支持密集的 1GE 和 10GE 配置并提供全面的L3 支持以满足园区边缘的需求；多业务边缘的以太网汇聚；支持多达 480 个 1GE 端口 或 48 个 10GE 端口，以最大限度提高以太网的密度，并为 MSE 应用提供全面的 L2 和 L3 VPN 支持。

从多协议标签交换（MPLS）技术中我们可以看到，技术和标准的向前发展推动了服务供应商边缘的以太网技术的演进。按照传统的观点，MPLS 是在网络骨干网中使用，以提供流量工程，允许承载 IP、帧中继和 ATM 等大量的 L2 和 L3 流量。将 MPLS扩展到以太网边缘为服务供应商带来多种益处，例如修复技术、OA&M 诊断功能以及为对时延和时延变化敏感的业务提供 QoS 支持。Juniper 网络公司是 MPLS 技术的开发和部署领域的领导厂商，处于业界的前沿阵地，可帮助服务供应商基于MPLS 提供网络架构和业务。

MX960 提供大量由 JUNOS 操作系统支持的 MPLS 特性。JUNOS 的丰富特性为 MX960 提供了优势，而其他操作系统不是不够成熟，不能支持所需要的广泛的 MPLS 特性，就是采用单片电路架构，已经变得过于复杂繁琐而无法有效管理。IPTV、VoIP 和 VPLS 等高级服务和应用需要更全面的高级解决方案，因此，Juniper 网络公司专门构建了运营商级以太网系列产品来满足客户需求。

MX960 在小巧的机箱中最多提供12 个 40 Gbps 插槽并支持 Juniper 全新的 DPC 卡，允许客户利用前所未有的端口密度- 每个系统最多支持 480 个千兆以太网端口和 48 个10 千兆以太网端口。 MX960 和 DPC 卡的分布式智能与数据包处理能力都基于Juniper 的下一代数据包转发引擎技术"I-chip"。通过提高可扩展性和数据包性能并增强以以太网为中心的服务质量特性，MX960 将使运营商能够增加每个平台支持的服务和客户的数量，但不会对性能产生负面影响，从而提高服务灵活性，并且同时降低前期购置和后期运行成本。

MX960的特征与优势：

（1）可扩展的性能：MX960配备全新的高密度端口集中器（DPC）卡，将高密度端口与分布式架构和板载处理能力结合在一起，确保通过添加接口来扩展性能。

（2）高级服务质量（QoS）：MX960 提供卓越的接口级服务质量，使供应商能够确保提供适当水平的服务质量，不受流量传输条件的影响。这个高级功能将允许供应商提供各项L2和L3服务，如 VLAN / 透明局域网、L2/L3 VPN、IP 话音和以太网上的 IP 视频等，同时提供有保证的 SLA。

（3）服务灵活性：作为 IP/MPLS 和 VPLS 领域的业界领导者，Juniper 的运营商级以太网解决方案利用 JUNOS 操作系统，全球几百个服务供应商网络中部署的27,000 多个 Juniper M 和T 系列路由器安装的都是这个操作系统。JUNOS 帮助MX960 实现的特性丰富性、稳定性以及服务的广泛性无不令其他的运营商级以太网平台望洋兴叹。

（4）无中断的简单部署：利用多年来一直备受全球最大的服务供应商所推崇的JUNOS 操作系统，Juniper 运营商级以太网解决方案使服务供应商能够即刻利用最新的以太网技术，无需担心与为网络部署新操作系统相关的成本和风险。客户现有的后端办公系统中对 JUNOS 的使用和集成可帮助降低前期购置成本，同时允许快速部署以太网访问网络和服务。

2）核心交换机 Catalyst 6500

品牌：思科

型号：Catalyst 6500

Catalyst 6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。作为思科最出色的智能多层模块化交换机，Catalyst 6500系列提供了从布线室到核心、数据中心，乃至WAN边缘的安全、融合、端到端服务。

Cisco Catalyst 6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和LAN/WAN/MAN接口上提供了可扩展性能和端口密度。Cisco Catalyst 6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。

由于在所有Cisco Catalyst 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，Cisco Catalyst 6500系列提供了高水平的运营一致性，可以优化IT基础设施，增强投资回报。从48至576个10/100/1000端口或1152个10/100端口的以太网布线室，到支持192条1-Gbps或32个10-Gbps中继线的每秒数亿转发速率的网络核心，Cisco Catalyst 6500系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。凭借多个值得信赖的业界首创和领先的特性，Cisco Catalyst 6500系列可以支持3代模块，从而进一步证实了Catalyst 6500的价值和思科的创新承诺。

思科新一代Catalyst 6500系列模块和Supervisor Engine 720采用了11种思科开发的全新特定应用集成线路（ASCI），提供了无与伦比的投资保护功能，包括：

（1）最长的网络正常运行时间利用平台、电源、控制引擎、交换矩阵和集成网络服务冗余性提供1～3秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。

（2）全面的网络安全性：将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测、防火墙、VPN和SSL。

（3）可扩展性能：利用分布式转发体系结构提供高达400Mpps的转发性能。能够适应未来发展并保护投资的体系结构，在同一种机箱中支持三代可互换、可热插拔的模块，以提高IT基础设施利用率，增大投资回报，并降低总体拥有成本；

（4）操作一致性：3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、Cisco IOS Software、Cisco Catalyst Operating System Software以及可以部署在网络任意地方的网络管理工具。

（5）卓越的服务集成和灵活性：将安全和内容等高级服务与融合网络集成在一起，提供从10/100和10/100/1000以太网到万兆以太网，从DS0到OC-48的各种接口和密度，并能够在任何部署项目中端到端地执行。

3.3.4 汇聚交换机

品牌：Juniper

型号：EX4550

汇聚交换机即汇聚层交换机。CISCO有自己的3层层次模型 1，接入层 2，汇聚层 3，核心层。

汇聚层，是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。这一层的功能主要是实现以下一些策略：

1、路由（即文件在网络中传输的最佳路径）；

2、访问表，包过滤和排序，网络安全如防火墙等；

3、重新分配路由协议，包括静态路由；

4、在vlan之间进行路由，以及其他工作组所支持的功能；

5、定义组播域和广播域。这一层主要是实现策略的地方。

汇聚层1000Base-T交换机同时存在机箱式和固定端口式两种设计，可以提供多个1000Base-T端口，一般也可以提供1000Base-X等其他形式的端口。接入层和汇聚层交换机共同构成完整的中小型局域网解决方案。

一、产品说明

瞻博网络EX4550以太网交换机是一种小型化的1U平台，最多具有48个线速1GbE或10GbE小型可插拔收发器(SFP/SFP+)或100M/1GBASE-T/10GBASE-T端口，能够为联网设备（如服务器和其它交换机）提供480Gbps的L2和L3连接支持。现在有二款EX4550基本交换机产品可供选择：一种是32端口、基于光纤的产品，提供32个固定的10GbE SFP/SFP+可插拔端口；另一种是32端口、基于铜缆*的产品，支持32个固定的100M/1GBASE-T/10GBASE-T端口。

这两款产品都提供2个扩展槽（前后端各1个），每个扩展槽可以安装1个扩展模块选件（共4种），从而为园区和数据中心接入和汇聚网络提供巨大的配置和部署灵活性。这4种扩展模块分别是：

l  128Gbps的集群交换模

l  8x10GBASE-T铜缆扩展模块*

l  8x10GBASE SFP/SFP+光纤扩展模块

l  2x40GbE扩展模块*

二、架构和重要组件

1、集群交换技术

EX4550采用了瞻博网络独特的集群交换技术，该技术最多能够互连10台交换机，使它们以单一IP地址、作为一台逻辑设备运行。利用集群交换技术，企业可以将物理拓扑与终端的逻辑分组进行分离，从而高效地利用资源。EX4550能够与EX4200和EX4500以太网交换机以任意组合形成集群交换配置，为园区和数据中心部署提供高度灵活和可扩展的配置选项。 在集群交换配置中部署时，EX4550交换机可以通过集群交换扩展模块上专门的128Gbps互连端口进行连接，也可以通过跨10GbE/40GbE*端口的链路汇聚组(LAG)进行连接，并提供高达320Gbps的汇聚背板容量。 在数据中心，EX4550集群交换部署能够跨多台柜顶或列末交换机进行扩展，为10GbE服务器连接提供巨大的配置灵活性，因为只需要在集群交换组之间（而非在每台物理1 交换机之间）提供冗余的链路就能确保高可用性。另外，采用EX4200、EX4500和EX4550交换机的混合式集群交换配置，能够为拥有1GbE和10GbE服务器的数据中心，或正从1GbE向10GbE服务器连接迁移的环境提供一种理想的解决方案。

2、 数据中心和园区的优势

EX4550是一种小型化的高能效平台，为客户提供了一种高可用、简单和可扩展的10GbE连接解决方案，这使它成为数据中心和园区网络的理想选择。EX4550还为数据中心和园区部署提供了其它的许多优势，包括：

l  简单

EX4550所采用的集群交换技术大大简化了园区的汇聚层，消除了生成树协议(STP)、虚拟路由器冗余协议(VRRP)、复杂路由或VLAN配置。此外，当在集群交换配置中进行部署时，EX4550还能减少需要管理的设备数量，甚至消除网络交换层。一个集群交换配置就能覆盖多个节点，从而减少了在较高的层上使用更大、更昂贵节点的必要。所有的EX系列交换机产品都采用瞻博网络Junos操作系统，并通过一套通用的指令和单一界面来管理整个架构，这样就能缩短了员工的培训时间。

l  可扩展

一台EX4550最多可以线速支持48个10GbE端口，能够为即使是最苛刻的环境提供一种高扩展性的解决方案。此外，集群 交换技术还支持客户轻松扩展网络，减少管理的复杂性。通过向集群交换配置中添加交换机，可以增加交换机端口的数量，而不会增加需要管理的设备数量。随着更多的交换机被添加到集群交换配置中，还需要扩展背板带宽来保持足够的超额开通率。通过在2个可用的扩展槽中安装128Gbps的集群交换扩展模块，可以将EX4550集群交换的带宽增加到256Gbps。

l  高可用性

当EX4550交换机以集群交换配置进行部署时，Junos操作系统会启动一个分配主用和备用交换机的进程来管理配置。如果一台主用交换机发生故障，利用集成的L2和L3平滑路由引擎切换(GRES)特性就能自动切换到备用交换机，以维持不间断的系统运行。EX4550交换机还提供大量其它的高可用特性，包括冗余的电源和冷却支持、平滑协议重启、等价多径(ECMP)、跨多个插槽分布的LAG链路，以及支持优先传输时间敏感型数据的QoS。

l  适应性和模块化

随着业务的增长，网络也需要扩展。EX4550具有1U尺寸和全面的交换机特性，可以轻松地在不同的环境、以不同的物理布局重新部署。要求使用光纤端口的客户，可以利用EX4550上的双速接口从1GbE向10GbE轻松迁移。只需向集群交换配置中添加更多的交换机，就能扩展EX4550交换机的容量，而不会增加需要管理的设备数量。

3.4 具体安全系统

3.4.1 补丁管理

我校校园网打补丁的软件是360企业版，安装在服务器上，自动打补丁。

360网管版（原360企业版）是面向企业级用户推出的专业安全解决方案，永久免费，全功能不限终端数，通过一个简单高效的管理控制中心，统一管理终端的安全软件，解决企业对安全统一管理的需求。360网管版提供全网统一体检、打补丁、杀病毒、开机加速、分发软件、发送公告、流量监控、资产管理等，致力解决企业用户普遍的网络安全问题，让网络安全管理变得很简单。

第一代企业安全以杀毒为核心，解决企业中的基本杀毒问题，让企业免受病毒侵扰。360网管版从解决企业面临的安全风险、信息安全管理、各类信息安全风险等实质问题出发，更加关注各类危险项、插件、优化、软件管理、流量管理等泛安全领域，形成了独特的第二代企业级安全软件。

在第二代基础上， 360网管版增加了硬件资产管理，提供全面安全策略，可智能、自动完成安全风险处理工作，有效提升企业的安全管理的效率，降低企业安全管理成本，目前第三代企业安全已全面超越传统企业安全产品。

360网管版与其他杀毒网管版（或网络版）相兼容，可同时安装部署。作为第三代企业安全的360网管版，有力弥补了其他大多数杀毒网管版（或网络版）的不足。

目前有超过42万家的企业选择360网管版，覆盖了各大中小型企业、政府机关、企事业单位，包括能源、金融、制造、教育、医疗、服务、IT等行业领域。

3.4.2 服务器杀毒工具

我校校园网安装了服务器安全狗软件，进行服务器杀毒。

服务器安全狗功能涵盖了服务器杀毒、系统优化、服务器漏洞补丁修复、服务器程序守护、远程桌面监控、文件目录守护、系统帐号监控、DDOS防火墙、ARP防火墙、防CC攻击、防入侵防篡改、安全策略设置以及邮件实时告警等多方面模块，为用户的服务器在运营过程中提供完善的保护，使其免受恶意的攻击、破坏。

3.5 校园网络拓扑结构图

4 校园网安全管理方案

4.1 校园网存在问题

4.1.1 安全隔离问题

我们学校采用为以核心层、汇聚层、接入层分层设计的网络三层架构模型，网络设计采用自下而上的集中式设计，这种设计层次比较分明，易于管理维护，但该设计没有考虑到在同一层面的不同节点之间存在安全隔离问题。

4.1.2 非法上网行为占用资源

当前在网络中的应用非常丰富，但是对于学校而言，并不是所有的应用都是对学校有益的，对一些非法的、不受控制的应用，则会挤占学校合法的应用带宽，同时也可能会影响学校教职工的教学效率及学生的学习效率，这些应用必须被识别并加以控制。在校园网中，下载、娱乐类应用占用了大量的带宽，对校园正常的业务影响极大；另一方面，高校学生，把学习时间消耗在一些不必要甚至非法的网络活动上，大大影响了学习效率。

4.1.3 人为的恶意攻击

由于校园网络的开放性及技术的公开性，一些人为了使自己获得某种非法利益，利用网络协议，服务器和操作系统的安全漏洞以及管理上的疏忽非法访问资源、删改数据、破坏系统。这种人为的恶意攻击不仅来自校园网外部，还可能来自校园网内部，学生由于好奇等想法在校园网络上对管理系统进行黑客程序的运行等活动，由此引发的安全隐患往往比来自校园网外部的各种不安全因素破坏力更强、影响更广、威胁更大。我校一些部门的网页曾经多次被黑客攻击，篡改页面，造成了不良影响。

4.1.4 网络安全意识淡薄和管理制度的不完善

    校园网上的安全威胁也来自管理意识的欠缺，管理机构的不健全，管理制度的不完善和管理技术的不先进等因素。目前我校几乎每个部门办公室都配有电脑，但是使用者安全防范意识和防范病毒能力比较差。学校的规章制度还不够完善，还不能够有效的规范和约束学生、教工的上网行为。

4.2 问题解决方案

4.2.1根据安全需要划分相关区域

我们学校采用为以核心层、汇聚层、接入层分层设计的网络三层架构模型，网络设计采用自下而上的集中式设计，这种设计层次比较分明，易于管理维护，但该设计没有考虑到在同一层面的不同节点之间存在安全隔离问题，出现了安全问题后再进行安全部署。

以安全为中心的设计思路就是改变的原来以连通性为中心的设计思路，进而转变为以安全为中心的设计思路。根据校园网络业务及网络应用对安全性的需要程度及未来业务发展模式，将校园网络分为不同的安全区域，对不同的安全区域进行不同的安全设置，不同区域之间也进行安全隔离，比如采用防火墙隔离学生网、办公网及互联网。

校园网网络安全可划分出以下不同的安全区域，如图所示：

区：区包括服务区以及学校对社会公众及学生群体提供服务的服务群（如：对外发布系统服务器区等），该区域都是暴露在外面的系统，因此，对安全级别要求比较高。

互联网服务区：互联网业务应用系统集合构成的安全区域，主要实现公开网站、外部邮件系统、远程办公用户的接入等功能。

广域网分区：在之前的网络建设中，学校通过专线连接。这一安全区域主要实现广域网网络连接，且该区域不存在具体的应用系统，设计该安全区域是为了方便网络管理。

远程接入区：合作业务应用系统集合构成的安全区域，主要实现与一卡通厂商、银行等合作伙伴的业务应用功能，解决合作商远程接入的安全问题。

数据中心区：该区域主要由学校业务服务区服务群构成，承载学校一切业务应用。这个区域的对安全性要求是最高的，而且对业务稳定不可间断性要求也最高，不能随便对网络进行任何可能影响业务的操作，包括为割接、升级、打补丁，同时该区域管理起来也最为复杂。

网络管理区：该区域是由各网络管理应用系统构成的安全区域，一切对校园网网络的维护、业务配置及安全的管理工作都在该区域完成。

内部办公区：该区域指学校内部该教职工进行计算机办公的区域，该区域对安全性及业务的不中断性要求不是很高，使用的人群也比较复杂，管理难度大，且因在该区域的应用复杂度大，常容易遭受各种网络攻击及不安全的威胁。

4.2.2对用户非法上网行为进行识别和控制

为了杜绝非法占用资源的行为，我们要对用户非法上网行为进行识别和控制。通过非法上网应用识别技术，可对网络上进行的各应用及网络行为进行检测分析，实现可符理，对不合理的或非法的应用或行为通过阻断、限流等手段实现控制。

4.2.3 增添H3C SecBlade IPS入侵防御模块

H3C SecBlade IPS是一款高性能入侵防御模块。该模块集成病毒过滤、入侵防御检测和带宽管理等功能，通过对应用层的分析与检测，实时阻断隐藏在网络流量中的轜虫、病毒、木马、间谋软件、等攻击和其它的非法行为，实现对网络中的各种应用、网络设备的全面保护。该模块具有以下特点：

l  便捷的管理方式

支持本地和分布式管理。在单台或小规模部署时，通过内置的界面进行图形化管理；在大规模部署时，可通过安全管理中心对分布部署的进行统一监控、分析与策略管理。

l  强大的入侵抵御能力

H3C SecBlade IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的产品，特征库数量已达10000+。配合专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

l  零时差的应用

H3C保护专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到IPS设备中，使用户的IPS设备在漏洞被公布的同时立刻具备防御零时差攻击的能力。

l  专业的病毒查杀

SecBlade IPS集成卡巴斯基防病毒引擎，内置专业病毒库。该系统釆用第二代启发式代码分析、iChecker实时监控和脚本病毒栏截等多种反病毒技术，能实现实时查杀大量文件型、网络型和混合型类型病毒，并采用新一代虚拟脱壳和行为判断技术，准确查杀各种未知病毒和变种病毒。

4.2.4 教育用户并建立完善安全管理制度

对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。

附件

1、http://www.hillstonenet.com.cn/product/NGFW/midrange_desktop_ngfw.html

2、http://detail.zol.com.cn/firewall/index257793.shtml

3、http://yeeroy.b2b.c-ps.net/Products_show_4015487.html

4、http://detail.zol.com.cn/switches/juniper/

5、http://www.juniper.net/cn/zh/products-services/switching/ex-series/ex4500/

6、http://www.cisco.com/web/CN/products/products_netsol/switches/index.html

7、http://b.360.cn/safe?home

8、http://www.h3c.com.cn/Products___Technology/Products/IP_Security/IPS/

9、http://wenku.it168.com/d_000016077.shtml

10、http://www.tcxa.com.cn/product/iwall_introduce.htm

11、http://www.zycg.gov.cn/td_xxlcpxygh/show_product/3755601

12、http://wenku.baidu.com/link?url=5YlbGa6Qbvd1DYORCX0FbvW0WluQWOYrxbx6FNgRoDAD53X_PSmdLuKbQkT912PMthxqNjZ-of090QymR01GxZXYRfDPTo8MVwgZPthmTc3