- 1、本文档共26页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
贵州师范大学校园网
Intenet出口安全
技术建议书
华为3Com有限公司
目 录
第1章 贵州师范大学校园网Internet出口安全需求分析 3
1.1 概述 3
1.2 贵州师范大学校园网Internet出口安全分析 3
第2章 贵州师范大学校园网Internet出口防火墙部署方案 5
2.1 贵州师范大学校园网Internet出口防火墙部署方案设计 5
2.2 贵师大校园网安全控制策略 7
2.3 贵州师范大学防火墙部署方案特点 8
第3章 贵师大校园网安全防范相关技术介绍 11
3.1 ASPF 11
3.2 攻击防范 12
3.3 实时流量分析 13
3.4 内网地址安全 15
3.5 HTTP访问控制 16
3.6 SMTP邮件安全 17
3.7 邮件告警 18
3.8 二进制日志 19
3.9 管理功能 20
第4章 相关设备介绍 22
4.1 Quidway? SecPath 1800F 防火墙 22
贵州师范大学校园网Internet出口安全需求分析
概述
网络技术的普及,使网络攻击行为出现得越来越频繁,通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。目前,Internet网络上常见的安全威胁分为以下几类:
非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。
拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。
信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
贵州师范大学校园网Internet出口安全分析
随着校园网络建设的复杂化,贵州师范大学需要加强对校园网网络安全的有效管理和控制,这些管理和控制的需求主要体现在以下几个方面:。
网络隔离的需求:
主要是指能够对网络进行区域分割,对不同区域之间的流量进行控制,控制的参数应该包括:数据包的源地址、目的地址、源端口、目的端口、网络协议等,通过这些参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
攻击防范的能力:
由于TCP/IP协议的开放特性,尤其是IP V4,缺少足够的安全特性的考虑,带来了非常大的安全风险,常见的IP地址窃取、IP地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、DDOS)等,必须能够提供对这些攻击行为有效的检测和防范能力的措施。
流量管理的需求:
对于校园网,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的QOS机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如可以支持WEB和MAIL的过滤,可以支持BT识别并限流等能力;
用户管理的需求:
校园网用户接入局域网、接入广域网或者接入Internet,都需要对这些用户的网络应用行为进行管理,包括对用户进行身份认证,对用户的访问资源进行限制,对用户的网络访问行为进行控制等;
贵州师范大学校园网Internet出口防火墙部署方案
贵州师范大学校园网Internet出口防火墙部署方案设计
目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络,本方案中即贵师大内部校园网)和不可信任网络(相当于外部网络,)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处,基于访问控制策略提供安全防护。例如:当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。
防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变,但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥,传统防火墙面临更加艰巨的任务,不但需要防护传统的基于网络层的协议攻击,而且需要处理更加高层的应用数据,对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒,必须能够判断出网络蠕虫病毒的特征,把网络蠕虫病毒造成的
您可能关注的文档
- 豪发纸业市场营销计划书豪发纸业市场营销计划书.doc
- 贝多芬公馆项目室内、售楼处内样板间装修装饰及安装工程合同贝多芬公馆项目室内、售楼处内样板间装修装饰及安装工程合同.doc
- 贝雷架施工方案贝雷架施工方案.doc
- 贝贝班十二月互动课程表 3贝贝班十二月互动课程表 3.doc
- 负弯矩张拉施工方案负弯矩张拉施工方案.doc
- 贡江码头施工方案贡江码头施工方案.doc
- 财产保险案例及分析 2财产保险案例及分析 2.doc
- 财会工作先进事迹财会工作先进事迹.doc
- 财务业务一体化的冷酸灵(第一稿)财务业务一体化的冷酸灵(第一稿).doc
- 财务会计专业社会调查报告2313213232财务会计专业社会调查报告2313213232.doc
- 10《那一年,面包飘香》教案.docx
- 13 花钟 教学设计-2023-2024学年三年级下册语文统编版.docx
- 2024-2025学年中职学校心理健康教育与霸凌预防的设计.docx
- 2024-2025学年中职生反思与行动的反霸凌教学设计.docx
- 2023-2024学年人教版小学数学一年级上册5.docx
- 4.1.1 线段、射线、直线 教学设计 2024-2025学年北师大版七年级数学上册.docx
- 川教版(2024)三年级上册 2.2在线导航选路线 教案.docx
- Unit 8 Dolls (教学设计)-2024-2025学年译林版(三起)英语四年级上册.docx
- 高一上学期体育与健康人教版 “贪吃蛇”耐久跑 教案.docx
- 第1课时 亿以内数的认识(教学设计)-2024-2025学年四年级上册数学人教版.docx
文档评论(0)