贵州师范大学校园网internet出口安全技术建议书贵州师范大学校园网internet出口安全技术建议书.doc

贵州师范大学校园网 Intenet出口安全 技术建议书 华为3Com有限公司 目 录 第1章 贵州师范大学校园网Internet出口安全需求分析 3 1.1 概述 3 1.2 贵州师范大学校园网Internet出口安全分析 3 第2章 贵州师范大学校园网Internet出口防火墙部署方案 5 2.1 贵州师范大学校园网Internet出口防火墙部署方案设计 5 2.2 贵师大校园网安全控制策略 7 2.3 贵州师范大学防火墙部署方案特点 8 第3章 贵师大校园网安全防范相关技术介绍 11 3.1 ASPF 11 3.2 攻击防范 12 3.3 实时流量分析 13 3.4 内网地址安全 15 3.5 HTTP访问控制 16 3.6 SMTP邮件安全 17 3.7 邮件告警 18 3.8 二进制日志 19 3.9 管理功能 20 第4章 相关设备介绍 22 4.1 Quidway? SecPath 1800F 防火墙 22  贵州师范大学校园网Internet出口安全需求分析 概述 网络技术的普及，使网络攻击行为出现得越来越频繁，通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。 贵州师范大学校园网Internet出口安全分析 随着校园网络建设的复杂化，贵州师范大学需要加强对校园网网络安全的有效管理和控制，这些管理和控制的需求主要体现在以下几个方面：。 网络隔离的需求： 主要是指能够对网络进行区域分割，对不同区域之间的流量进行控制，控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范的能力： 由于TCP/IP协议的开放特性，尤其是IP V4，缺少足够的安全特性的考虑，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。 流量管理的需求： 对于校园网，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QOS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力； 用户管理的需求： 校园网用户接入局域网、接入广域网或者接入Internet，都需要对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进行控制等；  贵州师范大学校园网Internet出口防火墙部署方案 贵州师范大学校园网Internet出口防火墙部署方案设计 目前网络中主要使用防火墙来保证内部网路的安全。防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络，本方案中即贵师大内部校园网）和不可信任网络（相当于外部网络，）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。 防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的