成都信息工程學(xué)院課程設(shè)計校園網(wǎng)安全整體解決方案設(shè)計作者姓名：班級：信安08.4學(xué)號：指導(dǎo)教師：日期：2011年12月10日封面校園網(wǎng)安全整體解決方案設(shè)計摘要隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)越來受到人們的重視，它逐漸滲入到我們生活各個層面。學(xué)校的網(wǎng)絡(luò)系統(tǒng)具有一個安全健康的環(huán)境，是校園網(wǎng)絡(luò)科學(xué)化、正規(guī)化的重要條件，也在校園網(wǎng)的高效運行中扮演了重要的角色?，F(xiàn)代校園網(wǎng)系統(tǒng)是一種基于開發(fā)式的網(wǎng)絡(luò)環(huán)境，能夠保證數(shù)據(jù)輸入、輸出的準確性快捷并且方便使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。本設(shè)計詳細分析了校園網(wǎng)的安全問題，本文在分析校園網(wǎng)原有的網(wǎng)絡(luò)安全防范措施的基礎(chǔ)上，針對校園網(wǎng)在運行中所遇到的實際問題，本次課程設(shè)計在管理、設(shè)置、維護幾個方面闡述了對于校園網(wǎng)如何進行管理與維護整個設(shè)計包括課程設(shè)計的目的與意義，需求分析，系統(tǒng)設(shè)計，系統(tǒng)實現(xiàn)，系統(tǒng)調(diào)試運行，總結(jié)，及參考文獻幾個部分。通過此次設(shè)計來加深我們對校園網(wǎng)絡(luò)基本的管理與維護的了解，對于校園網(wǎng)建設(shè)中所用的基本設(shè)備如路由器，交換機，防火墻等了解它們在校園網(wǎng)中的使用情況，及基本的配置過程,對電子郵件過濾檢測，入侵檢測，病毒監(jiān)測，防火墻設(shè)置等多方面做了相應(yīng)的綜合性安全解決方案。關(guān)鍵字：校園網(wǎng)系統(tǒng)，管理，設(shè)置，軟件維護，郵件過濾，入侵監(jiān)測，防火墻目錄1引言.11.1課題背景.11.2高校校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀.11.3校園網(wǎng)安全問題分析.21.4校園網(wǎng)安全問題存在的原因.32安全解決方案設(shè)計.42.1需求分析.42.3網(wǎng)絡(luò)設(shè)計原則.42.4網(wǎng)絡(luò)拓撲圖.52.5安全設(shè)計原則.53.功能設(shè)計.63.1防火墻設(shè)置.63.1.1部署防火墻.63.2建立入侵檢測系統(tǒng).93.3建立漏洞管理系統(tǒng).103.4建立網(wǎng)絡(luò)防病毒系統(tǒng).113.5IP盜用問題的解決.113.6采用系統(tǒng)升級策略.123.7利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全.133.8建立良好的管理體系.133.9部署WEB,EMAIL,BBS的安全監(jiān)測系統(tǒng).133.10部署內(nèi)容安全管理系統(tǒng).153.11使用校園網(wǎng)用戶認證計費管理系統(tǒng).154.代碼實現(xiàn)部分.錯誤!未定義書簽。5.參考文獻.17第1頁共20頁1引言1.1課題背景隨著近年來網(wǎng)絡(luò)安全事件不斷地發(fā)生，安全問題也成為了IT業(yè)的一個熱點，安全問題對于學(xué)校的發(fā)展也越來越重要。安全問題已經(jīng)成為影響校園網(wǎng)平臺的穩(wěn)定性和正常提供網(wǎng)絡(luò)服務(wù)的一個嚴重問題，所以提升校園網(wǎng)絡(luò)自身的安全性也成為學(xué)校增強競爭力的重要方面之一。同樣，隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和因特網(wǎng)的普及，網(wǎng)絡(luò)概念已不再局限于某些領(lǐng)域，而是深入到社會的各個組成部分，形成了一個初具規(guī)模的網(wǎng)絡(luò)社會。不過，同其他一些高科技類似，網(wǎng)絡(luò)技術(shù)在豐富人們生活、產(chǎn)生實際的經(jīng)濟效益的同時，也給人們帶來了諸多負面的影響。大家可以看到，自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，計算機網(wǎng)絡(luò)資源共享的進一步加強隨之而來的信息安全問題也日益突出。局域網(wǎng)是互聯(lián)網(wǎng)的一種主要的存在方式和組成部分，局域網(wǎng)的安全問題在某種意義上反映了幾乎所有的安全問題。學(xué)校校園網(wǎng)作為一個局域網(wǎng)，也面對這一系列的安全問題，在這里我們講討論一下校園網(wǎng)的安全措施。1.2高校校園網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀教育的信息化是當(dāng)今世界教育改革的重要思潮之一，是時代的要求，也是素質(zhì)教育的需要。學(xué)校近年來大力實施現(xiàn)代化教育技術(shù)工程：以電腦網(wǎng)絡(luò)為基礎(chǔ)，以圖書館、電教中心為信息源，以數(shù)字化為模式，提高學(xué)校教育教學(xué)的檔次和質(zhì)量。目前，學(xué)校的校園網(wǎng)絡(luò)已經(jīng)初具規(guī)模：以光纖連接校內(nèi)主要建筑，所有建筑內(nèi)全部布線，校園網(wǎng)覆蓋整個校園，同時校園網(wǎng)向上通過光纖聯(lián)入中國教育科研網(wǎng)，并與Internet互聯(lián)。但是在現(xiàn)有的網(wǎng)絡(luò)設(shè)備保護下校園網(wǎng)網(wǎng)絡(luò)依然存在很多問題，這些問題導(dǎo)致校園網(wǎng)絡(luò)不能正常的提供良好的服務(wù)，經(jīng)常給用戶帶來困擾。第2頁共20頁1.3校園網(wǎng)安全問題分析經(jīng)過長期的使用和觀察，校園網(wǎng)還存在一下問題：1、IP盜用的問題，校園網(wǎng)內(nèi)部連接有幾千臺電腦，一部分電腦通過正常的申請途徑得到合法的IP地址，另一部分則不然。當(dāng)某些沒有IP地址的用戶，冒用他人的合法IP地址時，就會造成網(wǎng)絡(luò)內(nèi)部地址的沖突，嚴重阻礙了合法用戶的正常使用。2、防火墻攻擊，防火墻系統(tǒng)相關(guān)技術(shù)的發(fā)展已經(jīng)比較成熟，防火墻系統(tǒng)很堅固，但這只是對外的防護而已，他對于內(nèi)部的防護則幾乎不起什么作用。然而不幸的是，一般情況下大部分的攻擊是來自局域網(wǎng)的內(nèi)部人員。所以怎么防止來自內(nèi)部的攻擊是當(dāng)前校園網(wǎng)建設(shè)中的一個非常重要的方面。3、Email問題，由于用戶安全觀念的淡薄以及網(wǎng)上某些人的別有用心，會給校園網(wǎng)的Email用戶發(fā)一些不良內(nèi)容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網(wǎng)的Email系統(tǒng)也是一個待解決的問題。4、各種服務(wù)器和網(wǎng)絡(luò)設(shè)備的掃描和攻擊，有時會有一些用戶對校園網(wǎng)的服務(wù)器和網(wǎng)絡(luò)設(shè)備進行掃描和攻擊，造成網(wǎng)絡(luò)負載過重，致使服務(wù)器拒絕提供服務(wù)，或造成校園網(wǎng)不能提供正常的服務(wù)。5、非法URL的訪問的問題，對于一些反動的或不健康的站點，應(yīng)當(dāng)禁止校園網(wǎng)用戶通過校園網(wǎng)去訪問。6、病毒防護的問題，互聯(lián)網(wǎng)迅猛發(fā)展使得網(wǎng)絡(luò)運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒從網(wǎng)絡(luò)之間傳遞，并在計算機沒有任何防護措施的情況下運行，從而導(dǎo)致系統(tǒng)崩潰，網(wǎng)絡(luò)癱瘓，對網(wǎng)絡(luò)服務(wù)構(gòu)成嚴重威脅，造成巨大損失。近階段泛濫的“尼姆達病毒”就是典型的例子。因此，如何讓校園網(wǎng)更安全，防止網(wǎng)絡(luò)遭受病毒的侵襲，已成為校園網(wǎng)迫切需要解決的問題。第3頁共20頁1.4校園網(wǎng)安全問題存在的原因1、雖然學(xué)校在網(wǎng)絡(luò)入口部署了防火墻和入侵檢測系統(tǒng)阻止了外部對學(xué)校內(nèi)部網(wǎng)絡(luò)的攻擊，但是防火墻無法對學(xué)校內(nèi)部從Internet上下載的通過HTTP、FTP、SMTP等形式的數(shù)據(jù)進行進一步的分析，可是一些病毒例如蠕蟲病毒往往會隱藏在這些下載的文件中，一旦用戶運行了這些文件，就會在整個校園網(wǎng)中爆發(fā)蠕蟲病毒，導(dǎo)致網(wǎng)絡(luò)癱瘓。2、郵件系統(tǒng)保護不完善，電子郵件是學(xué)校老師和學(xué)生最常用到的功能，與此同時它也是病毒傳播的重要途徑。郵件病毒不但會對桌面級的系統(tǒng)造成如占用磁盤空間，修改或破壞文件中的數(shù)據(jù)，大量消耗系統(tǒng)資源等危害，還會使郵件系統(tǒng)本身癱瘓，消耗大量的網(wǎng)絡(luò)資源使網(wǎng)絡(luò)速度變慢，同時使郵件用戶收到大量的垃圾郵件。3、學(xué)校內(nèi)部對Internet的非法訪問威脅。如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；再加上使用BT等P2P軟件下載電影、游戲?qū)φ麄€網(wǎng)絡(luò)的帶寬產(chǎn)生了嚴重的影響，使得學(xué)校的業(yè)務(wù)無法正常的開展。4、目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。例如WindowsNT/2000、WindowsServer的普遍性和可操作性使它成為最不安全的系統(tǒng):自身系統(tǒng)安全漏洞、瀏覽器的漏洞、IIS的漏洞等。5、缺少真正意義上的功能強大的網(wǎng)絡(luò)版殺毒軟件。因為目前的殺毒軟件效果不理想，或者已經(jīng)被病毒干掉或者是被老師擅自卸載，而在卸載之后計算機上有的安裝了盜版的殺毒軟件有的沒有再安裝任何殺毒軟件。這樣一來信息辦老師無法從整體上對全網(wǎng)的計算機進行殺毒管理和監(jiān)控。圖書館、實驗樓的PC機上學(xué)生經(jīng)常使用U盤拷貝游戲、文檔，在上課期間聊QQ、玩游戲、上網(wǎng)灌水聊天，甚至登陸色情、暴力、違法網(wǎng)站等，不務(wù)正業(yè)。圖書館、實驗樓機房也病毒泛濫。雖然大部分PC都安裝了還原卡，但是已經(jīng)不能阻擋病毒的入侵，病毒往往能穿透還原卡和還原軟件。同時大部分機器都未能及時安裝系統(tǒng)補丁，容易被蠕蟲入侵，但是目前又沒有一個很好的辦法來管理所有系統(tǒng)的補丁。第4頁共20頁2安全解決方案設(shè)計2.1需求分析針對校園網(wǎng)長期以來校園網(wǎng)絡(luò)出現(xiàn)的各種問題，對校園網(wǎng)的需求提出了一下幾點：1、防止校園網(wǎng)外部用戶對校園網(wǎng)內(nèi)的用戶進行攻擊2、校園網(wǎng)外部用戶只能訪問WWW服務(wù)、MAIL服務(wù)，其他服務(wù)只對校園網(wǎng)內(nèi)部用戶開放。3、考慮到易用性，所有服務(wù)器的操作系統(tǒng)采用WindowsServer，WWW服務(wù)使用IIS。4、需要防病毒系統(tǒng)2.3網(wǎng)絡(luò)設(shè)計原則網(wǎng)絡(luò)的先進性和實用性的原則：采用的硬軟件系統(tǒng)既有技術(shù)的先進性，又有很高的性能價格比；網(wǎng)絡(luò)的開放性和兼容性的原則：選擇符合國際標(biāo)準的網(wǎng)絡(luò)硬軟件產(chǎn)品