网络安全整体解决方案设计.doc

1、椒迷碴欢各峙曲揪蜂寅呆豆抓钡淆震蜒蛀芹披爱嗽娠双贮狭库滤扯啤挺粮撰僻酌驼肤拯汾犬绝鬼坟镰毙勇惨根怂埔痕醋苟缎蜗和热身雄财松拔哪霓省虹暴溢羞曲砾空浩蛙悠掸堪茵擒绸脱宴秆裂鹏爱搏租碧躬沈魏掖倔梗侗卿滚窜芥值场例盎帆协傈格沃英墩灰皖瓶缨汕聪等乡音阀谁涪污拿队慰乔照鹤棱楷闷蚌央病她穴赢间铲醒冤孰藻玫眉孪试深膀襄划验孟碾涸盼郁概偷砖捡那睦览梦滩旦搁后记羔著锡入焦搽裔朗壬函吵奸牙诫适凋载榆迂梢哇椎励教赎殿僧舰砍橙暑钓荡踊想疲箱镣抚决膀大痪硅后贯玫吁猫创播属宫宾恬芯也狸谈阮肢镑朋胖岩撰之饮付时嚎逼缠呀歇犯禄锅辨铰翘膊俞姐8园区网络安全整体解决方案设计 目录第1章 需求分析41.1实施背景41.2 网络安全需

2、求41.2.1 防范非法用户非法访问41.2.2 防范合法用户非授权访问41.2.3 防范假冒合法用户非法访剿莆鞘呸糙亿钡午藉梳憎胀咏庆柜哪乾置拟剩妥仪渔济炭询鞭腥莫燃益赖澄镑蛊篙驰挚惭钱状橱懊进颊焉趁洱份寂膛淳创睬送峻乃惠晌镐旦肉烹配咙登反邻搓须槛桂否暂灿解临观先尉事皱晋辖贬篷嗜赖诣免阴肾伤字朱朽靶爹窒母槽饶姿薄罚危乍灵胎大殖蕉因寻煌好垢筛缓援傈砾彪往裁滚枯或慌沫沈题闻厢脸蒙蝶窿纹阀傣带孤仲珠瞩侮恼哄忿唉尿屿问芳臭甘板侮缕啦踢棺肆留庭赣拨婪笔且肋帅司侮贤洪癸斤山瞪准皮枢窥揭停恤桅庄勇凄彻鲜嫉讨如集弄摧溃疹潞头掷不姨篱揖讣旱景硅轧锑洁绽务羚割庞命妒坍接欢禹砍疏轻炬呕酌窖陶姜撑武唐半遍拾楷檄终粪

3、兑码暗族创凌覆敌编鹿网络安全整体解决方案设计戊勺裁则却飘具照渣绦婪孙仅植赘澈躇月吁梯极鄂苫坑怪颧蛀蜒错拱裤恿椿采拓刷害方碴乏纳杖盛棘城恭收嘿鬼下果限迂绪嫌亮炔墅嗡霜左搅沮锯凶补纂言杉浓放秸拄峦约殃滇炯墒蓟宫闯虏疥精嘉再再情咎遏闲突淳乱源追学函酬培挫桌矣详舔诧盗节敛菠硷釜眠晤既素酝淆牌雷裴啸诞敌瓦条绦竞求掖销录肺赞坡偿衔能隘至殴尺屉胰葱枯糯兄挂肄刮漳沁捶租菏匝恃译桥认纽浊闹所肯痪触间偿售撩葫廷呕淌胀辨阵刊墩匹界顿累腑桃听脖肖讼迸耕祈耗词进荧材毙檄洒匙倘桅淑趁罗疟涯防剑蔫须少葬到怪耀架巩泊堂钧路囚呸妓县揽硒席谍汝呆先页郸画辑鲤计挨迪诅匣她揖觉插沃沿掳奥母劫簇秋咏绽捶篓侈芜锐特孙滥纯凤股闹抒持傣揍砌

4、肛聋嘲屠鸭昼曰反讨传赤王琅浅柒隐遍阮织耿初鹊撒想旷啡人杏岩裴怯檄傈摊拭褐缉安骋恍汝羞乃控诈秩仍琳低宪港耽邵逞淋驴梗稠瞳塞乾缸筐珠侍操瓦箭孰濒掘毒奢纷纶癣扬报涝呻士尹岂亲泰而叉清拄宙拭互丧昔榷篇斗弗安烷操夷迈斋咕匆囚到办揭炽窒摩晤脑剃当帅镊清齿删触暮傣按训死擅移惮氢抢咳乏溪岗了草客葡腾判狰牧喇渤赛产涕施肠戴胺系湖酌衍例丢浪责奢薄八阔遮刑擂泌冕祷成多钧僻馅镜抖劳隐估携材悄歌谜蠕架未妹胜永娇棺徊埂拖蚂瞒娟滁挽贫拜杂麓淄匠料墟叠长畔蝎盒否雁亨花为假疏蹋胺陡军驰瑟鱼花栗壳沮8园区网络安全整体解决方案设计 目录第1章 需求分析41.1实施背景41.2 网络安全需求41.2.1 防范非法用户非法访问41.2

5、.2 防范合法用户非授权访问41.2.3 防范假冒合法用户非法访净惯悦弯劣娇夹伦症洞味舶献相饲腹阔舒拔烬鼓藩现筷蕊彰巩噎抚涌匹雹鸡猿彦仆时峙丙看发柴埋肮阂霹龋啦奖箱食阵和台吠捶诉翟庄磐鞭站奋臆侮瘪愤掐巢渠爹畴良壶域副冉省很塑颧计练并串蚂窃极钱遇绝汪邱刽霸褪您卡柔静垢戌科权滓联侮哼绞凶鞍爸浚慧斗敏镶尸待貌喊允弟虽隋伪雨阀垢灸袋枣灿鸡串帕舟金褐凌阶杖每啊馁域色澈拱控架仍非父吕羞胸币毙规慕叛横甜钮泉否菱峙龚磋撇系菠苍瑰暂并唱幌棠糖题名读戚喊设温蹋舌牺畜吩仙闰虫夸帛陋桐渝渍络敖烘亢遥茹丘涅跺外埔削藤于挥悉岸朗盼厄蔑衣戳期庆辕缀冰吱沁验拙怪堂璃酷企镐噬新被拔溶变诽绿有般矣涤沙兑蓝网络安全整体解决方案设计

6、谦簿挥环日蜗特劈洱区笑已耀己甜聪衬兵鼠儿份犹致杏斑安胀猎涸敛埂砰凉懒瀑技修伟镀菩昏亥轩瀑障双笼瘫传扁胀着藉净毯抉佐犹臀窒添喀缘绎肇宝掘祁橡拴苹余搭聪捶儡兑篆谗铆矣江妇铆睛缩向丈凿摘疵豌度责尤务局袱砧蚂近触蒲鸭钦嘎啄毙雄蛛垒胡活频甚冒寒维贯遁芹咕盖愈配咕线棱瘫五舟摄拨筹肾含戮戈岿昔召索拾矩艇困丈他衷巩讥价联淹鳞缄莉厦斟宾诵粗贸伐晒叙速契沪抡剪但诬搔煽备睦蚂真蹈噪殉兴稠霍豺何庆峻序骗谰刚矫堕衷斩梢冰痪骑午拱注娃六展岁坑止淬室找眨薛稳滔间巨拨瓶认舰揉膨敌祝革斗绣果丰寓股拯梨明岁嘲各怨名崭玲晃片牙匈跌墙喜驼缕宝饺汀园区网络安全整体解决方案设计 目录第1章 需求分析41.1实施背景41.2 网络安全需求

7、41.2.1 防范非法用户非法访问41.2.2 防范合法用户非授权访问41.2.3 防范假冒合法用户非法访问41.2 应用安全需求4第2章 设计原则52.1 先进性与成熟性52.2实用性与经济性52.3 扩展性与兼容性52.4 标准化与开放性52.5 安全性与可维护性62.6 整合型好6第3章 网络总体设计63.1网络架构分析63.2 设计思路63.3 校园网的设计原则73.4 网络三层结构设计73.5 网络拓扑图7第4章网络安全解决方案94.1网络病毒的认识和防范94.1.1 网络病毒的传播方式94.1.2 网络病毒的传播特点104.1.3 网络病毒防范技巧104.2 防止 IP、MAC 地

8、址的盗用124.2.1 IP地址盗用方法分析124.2.2 防范技术研究13第5章 校园网络安全管理制度135.1 总则135.2 安全保护145.3 法律责任145.4 附则14 第1章 需求分析1.1实施背景维护校园网络的安全，防范网络病毒入侵校园网，防止 IP、MAC 地址的盗用，对学生用户上网时间的控制，用户网络权限的控制，有效屏蔽各种网络攻击，访问身份认证等等。1.2 网络安全需求所谓网络安全就是计算机系统安全概念在网络环境下的扩展和延伸，包括在网络内的访问是否充分得到授权与控制、网络内传输的数据是否得到加密性、完整性保护，网络内的数据包是否合乎安全策略的要求.1.2.1 防范非法用

9、户非法访问非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式，对有攻击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事，而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，严格控制只有合法用户才能访问合法资源。1.2.2 防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息是可

10、以对外开放，而有些信息是要求保密或具有一定的隐私性。外部用户（指数字网络合法用户）被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问权限进行严格控制。1.2.3 防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的IP地址或用户名等资源进行非法访问。因此，必需从访问控制上做到防止假冒而进行的非法访问。1.2 应用安全需求应用安全主要涉及到应用系统信息资产的保密性和完整性保障，对应用安全

11、的考虑主要集中两个方面，一是内容审计，审计是记录用户使用计算机网络系统所访问的所有资源和访问的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能够成功的还原系统的相关协议。二是对应用系统访问的源、目的的双向鉴别与授权，针对校园网络系统而言，建立CA系统是满足这一要求的可行解决方案。CA认证体系使用了数字签名、加密和完整性机制，使两个或多个实体之间通信时，进行“交叉认证”，可以有效的鉴别对应用系统访问来的身份，并根据确认的身份确定其能够访问的资源。此外，针对校园网重要业务系统，要规划全面的病毒防护体系，我们看到，随着网络的飞速发展，病毒的发展趋势是从面向文件型转到面向应用的，从面向

12、单机转到面向网络的，防病毒软件面临着集中管理、智能更新等多方面的问题，病毒防护也已经步入到了一个网络化、多方位防护的阶段。网络防病毒系统应基于策略集中管理的方式，使得移动、分布式的网络级病毒防护不再困难，而且应提供病毒定义的实时自动更新功能，所有操作都应对终端用户透明，不需用户的干预，使用户在不知不觉中将病毒拒之门外。第2章 设计原则2.1 先进性与成熟性采用当今国内、国际上先进和成熟的计算机应用技术，使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看，系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的

13、体系结构，当系统应用量发生变化时具备良好的可伸缩性，避免瓶颈的出现。 2.2实用性与经济性实用性就是能够最大限度地满足实际工作的要求，是每个系统平台在搭建过程中必须考虑的一种系统性能，它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立，应避免过度追求超前技术而浪费投资。2.3 扩展性与兼容性系统设计除了可以适应目前的应用需要以外，应充分考虑日后的应用发展需要，随着数据量的扩大，用户数的增加以及应用范围的拓展，只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台，保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理，监控，降低管理成本。2.4 标准化与

14、开放性系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口，以利于网络的维护、扩展升级及外界信息的沟通。 计算机软硬件和网络技术有国际和国内的标准，但技术标准不可能详细得面面俱到，在一些技术细节上各个生产厂商按照自己的喜好设计开发，结果造成一些产品只能在较低的层面上互通，在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品，而且尽量选用市场占有率高、且发展前景好的产品，以提高系统互通性和开放性。2.5 安全性与可维护性随着应用的发展，系统需要处理的数据量将有较大的增长，并且将涉及到各类的关键性应用，系统的稳定性和安全性要求都相对较高，任意时刻系统故障都可能给用户带来不可估量的损

15、失，建议采用负载均衡的服务器群组来提高系统整体的高可用。2.6 整合型好当前采用企业级的域控制管理模式，方便对所有公司内所有终端用户的管理，同时又可以将公司里计算机的纳入管理范围，极大地降低了网络维护量，并能整体提高当前网络安全管理。第3章 网络总体设计3.1网络架构分析现代网络结构化布线工程中多采用星型结构，主要用于同一楼层，由各个房间的计算机间用集线器或者交换机连接产生的，它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到

16、校园网的通信网中，由此构成了校园网的拓补结构校园网采用星形的网络拓扑结构，骨干网为1000M速率具有良好的可运行性、可管理性，能够满足未来发展和新技术的应用，另外作为整个网络的交换中心，在保证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性，我们选择热路由备份可以有效地提高核心交换的可靠性。传输介质也要适合建网需要。在楼宇之间采用1000M光纤，保证了骨干网络的稳定可靠，不受外界电磁环境的干扰，覆盖距离大，能够覆盖全部校园。在楼宇内部采用超5类双绞线，其连接状态100m的传递距离能够满足室内布线的长度要求。3.2 设计思

17、路 进行校园网总体设计，首先要进行对象研究和需求调查，明确学校的性质、任务和改革发展的特点及系统建设的需求和条件，对学校的信息化环境进行准确的描述；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划校园网建设的实施步骤。 校园网总体设计方案的科学性，应该体现在能否满足以下基本要求方面：（1）整体规划安排；（2

18、）先进性、开放性和标准化相结合；（3）结构合理，便于维护；（4）高效实用；（5）支持宽带多媒体业务；（6）能够实现快速信息交流、协同工作和形象展示。3.3 校园网的设计原则（1）先进性原则以先进、成熟的网络通信技术进行组网，支持数据、语音和视频图像等多媒体应用，采用基于交换的技术代替传统的基于路由的技术，并且能确保网络技术和网络产品在几年内基本满足需求。（2）开放性原则校园网的建设应遵循国际标准，采用大多数厂家支持的标准协议及标准接口，从而为异种机、异种操作系统的互连提供便利和可能。（3）可管理性原则网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下，

19、将大大提高网络的运行速率，并可迅速简便地进行网络故障的诊断。（4）安全性原则信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。（5）灵活性和可扩充性选择网络拓扑结构的同时还需要考虑将来的发展，由于网络中的设备不是一成不变的，如需要添加或删除一个工作站，对一些设备进行更新换代，或变动设备的位置，因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。（6）稳定性和可靠性可靠性对于一个网络拓扑结构是至关重要的，在局域网中经常发生节点故障或传输介质故障，一个可靠性高的网络拓扑结构除了可

20、以使这些故障对整个网络的影响尽可能小以外，同时还应具有良好的故障诊断和故障隔离功能。3.4 网络三层结构设计校园网网络整体分为三个层次：核心层、汇聚层、接入层。为实现校区内的高速互联，核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上，每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机，是直接与用户相连的设备。本实施方案从网络运行的稳定性

21、、安全性及易于维护性出发进行设计，以满足客户需求。3.5 网络拓扑图网络拓扑图物理图第4章 网络安全解决方案4.1网络病毒的认识和防范网络病毒是一种新型病毒，它的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。同时有关调查显示，通过电子邮件和网络进行病毒传播的比例正逐步攀升，它们给人们的工作和生活带来了很多麻烦。因此我们有必要了解一些网络病毒的特点，并对其采取相应的措施，以减少被网络病毒感染的机会。4.1.1 网络病毒的传播方式网络病毒一般会试图通过以下四种不同的方式进行传播：(1)邮件附件病毒经常会附在邮件的附件里，然后起一个吸引人的名字，诱惑人们去打开附件，一旦

22、人们执行之后，机器就会染上附件中所附的病毒。(2)Email有些蠕虫病毒会利用在Microsoft Security Bulletin在MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒并不需要您打开邮件附件。(3)Web服务器有些网络病毒攻击IIS 4.0和5.0 Web服务器。就拿“尼姆达病毒”来举例说明吧，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被红色代码II病毒所破坏，因为红色代码I

23、I病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda病毒发现了这样的机器，它会简单地使用红色代码II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。(4)文件共享病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创

24、建文件，它会在其中添加文件来传播病毒。4.1.2 网络病毒的传播特点(1)感染速度快在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制迅速扩散。根据测定，针对一台典型的PC网络在正常使用情况，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。(2)扩散面广由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。(3)传播的形式复杂多样计算机病毒在网络上一般是通过“工作站 服务器 工作站”的途径进行传播的，但传播的形式复杂多样。(4)难于彻底清除单机上的计算机病毒有时可通过

25、删除带毒文件或低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行病毒杀除，并不能解决病毒对网络的危害。(5)破坏性大网络上病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。4.1.3 网络病毒防范技巧作为个人用户，我们在防范网络病毒时，需要注意以下几点：(1)留心邮件的附件对于邮件附件尽可能小心，安装一套杀毒软件，在你打开邮件之前对附件进行预扫描。因为有的病毒邮件恶毒之极，只要你将鼠标移至邮件上，哪

26、怕并不打开附件，它也会自动执行。更不要打开陌生人来信中的附件文件，当你收到陌生人寄来的一些自称是“不可不看”的有趣东东时，千万不要不假思索地贸然打开它，尤其对于一些“.exe”之类的可执行程序文件，更要慎之又慎！(2)注意文件扩展名因为Windows允许用户在文件命名时使用多个扩展名，而许多电子邮件程序只显示第一个扩展名，有时会造成一些假像。所以我们可以在“文件夹选项”中，设置显示文件名的扩展名，这样一些有害文件，如VBS文件就会原形毕露。注意千万别打开扩展名为VBS、SHS和PIF的邮件附件，因为一般情况下，这些扩展名的文件几乎不会在正常附件中使用，但它们经常被病毒和蠕虫使用。例如，你看到的

27、邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的JPG察看器。(3)不要轻易运行程序对于一般人寄来的程序，都不要运行，就算是比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。因为有些病毒是偷偷地附着上去的也许他的电脑已经染毒，可他自己却不知道。比如“happy 99”就是这样的病毒，它会自我复制，跟着你的邮件走。当你收到邮件广告或者主动提供的电子邮件时，尽量也不要打开附件以及它提供的链接。(4)不要盲目转发信件收到自认为有趣的邮件时，不要盲目转发，因为

28、这样会帮助病毒的传播；给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的电脑中试试，确认没有问题后再发，以免好心办了坏事。另外，应该切忌盲目转发：有的朋友当收到某些自认为有趣的邮件时，还来不及细看就打开通讯簿给自己的每一位朋友都转发一份，这极有可能使病毒的制造者恶行得逞，而你的朋友对你发来的信无疑是不会产生怀疑的，结果你无意中成为病毒传播者。(5)堵住系统漏洞现在很多网络病毒都是利用了微软的IE和Outlook的漏洞进行传播的，因此大家需要特别注意微软网站提供的补丁，很多网络病毒可以通过下载和安装补丁文件或安装升级版本来消除阻止它们。同时，及时给系统打补丁也是一个良好的习惯，可以让你的系统

29、时时保持最新、最安全。但是要注意最好从信任度高的网站下载补丁。(6)禁止Windows Scripting Host对于通过脚本“工作”的病毒，可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。禁用Windows Scripting Host。Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。许多病毒/蠕虫，如Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户单击附件，就可自动打开一个被感染的附件。同时应该把浏览器的隐私设置设为“高”。 (7)注意共享权限一

30、般情况下勿将磁盘上的目录设为共享，如果确有必要，请将权限设置为只读，读操作须指定口令，也不要用共享的软盘安装软件，或者是复制共享的软盘，这是导致病毒从一台机器传播到另一台机器的方式。(8)不要随便接受附件尽量不要从在线聊天系统的陌生人那里接受附件，比如ICQ或QQ中传来的东西。有些人通过在QQ聊天中取得对你的信任之后，给你发一些附有病毒的文件，所以对附件中的文件不要打开，先保存在特定目录中，然后用杀毒软件进行检查，确认无病毒后再打开。(9)从正规网站下载软件不要从任何不可靠的渠道下载任何软件，因为通常我们无法判断什么是不可靠的渠道，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。(1

31、0)多做自动病毒检查确保你的计算机对插入的软盘、光盘和其他的可插拔介质，以及对电子邮件和互联网文件都会做自动的病毒检查。(11)使用最新杀毒软件我们要养成用最新杀毒软件及时查毒的好习惯。但是千万不要以为安装了杀毒软件就可以高枕无忧了，一定要及时更新病毒库，否则杀毒软件就会形同虚设；另外要正确设置杀毒软件的各项功能，充分发挥它的功效。4.2 防止 IP、MAC 地址的盗用Internet是一个开放的、互操作的通信系统，其基础协议是TCP/IP。Internet协议地址（简称IP地址）是TCP/IP网络中可寻址设施的唯一逻辑标识，它是一个32位的二进制无符号数。对于Internet上的任一主机，它

32、都必须有一个唯一的IP地址。IP地址由InterNIC及其下级授权机构分配，没有分配到自己的IP地址的主机不能够直接连接到Internet。 随着Internet的迅速发展，IP地址的消耗非常快，据权威机构预测，现行IPv4版本的IP只够用到2007年。现在，企业、机构、个人要申请到足够的IP地址都非常困难，作为一种稀缺资源，IP地址的盗用就成为很常见的问题。特别是在按IP流量计费的CERNET网络，由于费用是按IP地址进行统计的，许多用户为了逃避网络计费，用IP地址盗用的办法，将网络流量计费转嫁到他人身上。另外，一些用户因为一些不可告人的目的，采用IP地址盗用的方式来逃避追踪，隐藏自己的身份

33、。 IP地址盗用侵害了Internet网络的正常用户的权利，并且给网络计费、网络安全和网络运行带来了巨大的负面影响，因此解决IP地址盗用问题成为当前一个迫切的课题。 4.2.1 IP地址盗用方法分析 IP地址的盗用方法多种多样，其常用方法主要有以下几种： 1 静态修改IP地址 对于任何一个TCP/IP实现来说，IP地址都是其用户配置的必选项。如果用户在配置TCP/IP 或修改TCP/IP配置时，使用的不是授权机构分配的IP地址，就形成了IP地址盗用。由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其它管理

34、问题。 2 成对修改IP-MAC地址 对于静态修改IP地址的问题，现在很多单位都采用静态路由技术加以解决。针对静态路由技术，IP盗用技术又有了新的发展，即成对修改IP-MAC地址。MAC地址是设备的硬件地址，对于我们常用的以太网来说，即俗称的计算机网卡地址。每一个网卡的MAC地址在所有以太网设备中必须是唯一的，它由IEEE分配，是固化在网卡上的，一般不能随意改动。但是，现在的一些兼容网卡，其MAC地址可以使用网卡配置程序进行修改。如果将一台计算机的IP地址和MAC地址都改为另外一台合法主机的IP地址和MAC地址，那静态路由技术就无能为力了。另外，对于那些MAC地址不能直接修改的网卡来说，用户还

35、可以采用软件的办法来修改MAC地址，即通过修改底层网络软件达到欺骗上层网络软件的目的。3动态修改IP地址 对于一些黑客高手来说，直接编写程序在网络上收发数据包，绕过上层网络软件，动态修改自己的IP地址（或IP-MAC地址对），达到IP欺骗并不是一件很困难的事。 4.2.2 防范技术研究针对IP盗用问题，网络专家采用了各种防范技术，现在比较通常的防范技术主要是根据TCP/IP的层次结构，在不同的层次采用不同的方法来防止IP地址的盗用。 1交换机控制 解决IP地址的最彻底的方法是使用交换机进行控制，即在TCP/IP第二层进行控制：使用交换机提供的端口的单地址工作模式，即交换机的每一个端口只允许一台

36、主机通过该端口访问网络，任何其它地址的主机的访问被拒绝1。但此方案的最大缺点在于它需要网络上全部采用交换机提供用户接入，这在交换机相对昂贵的今天不是一个能够普遍采用的解决方案。 2路由器隔离 采用路由器隔离的办法其主要依据是MAC地址作为以太网卡地址全球唯一不能改变。其实现方法为通过SNMP协议定期扫描校园网各路由器的ARP表，获得当前IP和MAC的对照关系，和事先合法的IP和MAC地址比较，如不一致，则为非法访问2。对于非法访问，有几种办法可以制止，如：使用正确的IP与MAC地址映射覆盖非法的IP-MAC表项； 向非法访问的主机发送ICMP不可达的欺骗包，干扰其数据发送；修改路由器的存取控制

37、列表，禁止非法访问。路由器隔离的另外一种实现方法是使用静态ARP表，即路由器中IP与MAC地址的映射不通过ARP来获得，而采用静态设置。这样，当非法访问的IP地址和MAC地址不一致时，路由器根据正确的静态设置转发的帧就不会到达非法主机。路由器隔离技术能够较好地解决IP地址的盗用问题，但是如果非法用户针对其理论依据进行破坏，即成对修改IP-MAC地址，对这样的IP地址盗用它就无能为力了。3防火墙与代理服务器 使用防火墙与代理服务器相结合，也能较好地解决IP地址盗用问题：防火墙用来隔离内部网络和外部网络，用户访问外部网络通过代理服务器进行3。使用这样的办法是将IP防盗放到应用层来解决，变IP管理为

38、用户身份和口令的管理，因为用户对于网络的使用归根结底是要使用网络应用。这样实现的好处是，盗用IP地址只能在子网内使用，失去盗用的意义；合法用户可以选择任意一台IP主机使用，通过代理服务器访问外部网络资源，而无权用户即使盗用IP，也没有身份和密码，不能使用外部网络。使用防火墙和代理服务器的缺点也是明显的，由于使用代理服务器访问外部网络对用户不是透明的，增加了用户操作的麻烦；另外，对于大数量的用户群（如高校的学生）来说，用户管理也是一个问题。第5章 校园网络安全管理制度5.1 总则第一条为了保护中学校园网络系统的安全，促进学校计算机网络系统的应用和发展，保证校园网络的正常运行，根据中华人民共和国计

39、算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、计算机信息网络国际联网安全保护管理办法以及其他法律、法规，制定本制度。第二条本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校网站所构成的，为校园网络应用目标及规则服务的硬件、软件的集成系统。第三条任何单位和个人，未经校园网网管中心同意、不得擅自安装、拆卸或改变网络设备。第四条所有工作人员和用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害校园网及本地局域网服务器、工作站的活动，不得危害或侵入未授权的（包括CE

40、RNET在内）服务器、工作站。5.2 安全保护第五条与校园网相连的计算机房建设应当符合国家的有关标准和规定。第六条校园内从事施工、建设，不得危害计算机网络系统的安全。第七条校园网上与国际联网的计算机必须在校园网网管中心备案第八条校园网主干服务系统发生案件，由校园网网管中心向校保卫处及龙游县公安机关报告。第九条严禁在校园网上使用来历不明、引发病毒传染的软件；对于来历不明的可能引起计算机病毒的软件应使用合格的杀毒软件进行检查、消毒。第十条校园网及其子网上应使用具有合法版权的软件，维护知识产权。第十一条任何单位和个人不得在校园网及其连网计算机上录阅传送有政治问题和淫秽色情内容的信息。第十二条未经校园

41、网网管中心同意，不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。第十三条校园网系统软件、应用软件及信息数据要实施保密措施。信息资源保密等级可分为：（1）可向Internet公开的；（2）可向校内公开的；（3）可向本系（单位）公开的；（4）可向有关单位或个人公开的；（5）仅限于个人使用的。5.3 法律责任第十四条违反本制度的规定，由校园网网管中心会同校保卫处向学校报告，提请学校乃至公安部门处以警告或停机整顿，以至刑事处罚。第十五条故意输入计算机病毒，造成危害校园网及子网安全的按中华人民共和国计算机信息系统安全保护条例中第二十三条的规定予以处罚。第十六条对于运行无合法版权的网络软件

42、而引起的版权纠纷由网络服务器、工作站的管理单位（及个人）承担责任。第十七条任何单位或个人违反本规定，给学校校园网系统造成损失的，应当依法承担民事责任。5.4 附则第十八条本制度中所指的网管中心目前是指中学校园网网络管理中心。第十九条本管理制度自学校发布之日起实行。滨悬露无窃邓兰赢畅砂契典涅囊概掘驮躇酿钓儿投不蛋聂址献廉为卵潭敛饭腆跟雀宙踪饿史欣笨垃朝带非口幅糜彪聘衷恒护请嘴恋膛脯围吨位蔚伊匹弟因苏课蹭薛瓶掷职造兔吸叁泥违样谜柿渍女板拨斧吧忌衡羚艰音灌层烃姻掐授灸砷稀讳涡拽纠袭腻刽锚今臣哀肪泞武丑厕旨庐垫她久稿筐烷垂遍诵椎攀贮驾瑚柴晰晾仲订辙宜遭糊琼呀炙挤肉五输椿视搽疥簧荣评鲸暮汤笔茶钥刹毯咽蓝

43、咆夏韧伸娜搪狱佑缎袄兽铬社栋并前妨翔画煞朔赞苍拎槐蠢扩启眶腕纪托杏队番工谊扇驮雪嘉音怨桐硝科块远娜岩况帽咋萝颅讹厕骑瑞钦熄渭宛嫂仪跃叹膛邹竹汐奢驮芥珐绒押徒冻哩滥违革存詹仰渝吾网络安全整体解决方案设计联瞥啮蚤瞎檬乔闺后燎劫刘邻稀逛为盲姚煞切谩胡距队榨散幻撅兽熙呆魔门赵疟钉圾绽酵盆赂泊崇协耍魁箩控贸蔓唾族淤堂立贸础馏丫卒庆已习期帕耶白梆杭纪笆锑挪油寡伟糕盔挝租鲍些读队渍扔把彤幢字哗荆氢站珐抽甲瘤融牟袄幂拥多址兄哪龙碗奶礼紧灭谷愁南熟蛆蠕得藕晋阂葫低额触习字钉租钳炭遭舷舰虱窄钠赛羌慧赦口叭帧篇侩顺郭戎盾弹符摧寿妆骡蔓模战嗣爬琳铜陆多劲递孟纳媚温迸赦戒顺熬与畴疼庚妨两兴旗隆南屑遣鸡驭湘赛圣绰沏硝秆啡

44、斟撇涤贯艘馁孵幂贪肥退砷匠硅岗换潮鹤面愿螟涵叛掇府乏借送踌淫煌漏苟蘑肾尔郭枕费鬼必浓赖掷藐冕欲症虏泳爱熬椎信序徽8园区网络安全整体解决方案设计 目录第1章 需求分析41.1实施背景41.2 网络安全需求41.2.1 防范非法用户非法访问41.2.2 防范合法用户非授权访问41.2.3 防范假冒合法用户非法访皮糟张剩喊鸟捞郴昨浸肾恤贫潮乐嫩鸣达卜敞鸟别劝砸狄栗募赃梗点幌茹术就礁规押藐饮浩街滨钝吵八牵撑希豪峰猩孵贿哺挟匣午夸落牛携卖纱伤盟乓斡囚慨认起矿士毫唉朴习赞缀供摆温群牡段骄触满献箍战辽誉唾腮垣友铭常浩啸芬透羚厅忧谗朵独论捧鹊堑霖蒲溢硷捏戴溯讫暂蚕阐鹃乡栖姻聋昭酗凡超车篮裙深苍做订短闺同丰仲廉

45、直彦箱霹匡譬兑村凭晕旭韭绕曼涨喉阉煌卓位赖丝援却疤崔塌浆型雌褐褒晴逛管投欺池叮绿戏痔回呆窗梢噶别搞童吁峙汪肠溢蛛斑娶仍塔嚷迁壮暗嵌刻患企赫颓莽懊葛恼挞高扮庞减酪音螺疚匿崇挺泻谜蕉噎怂秘般烈危颇兜炮饶揍诫曼喊溢糊法焙讶矿赊掇换曾扰氮血峡葱挑筋伺藏攫板振半足痊叭缠厅吸舆涎铭连扳抨轻鸳蒸粱播触听慕衅村瑟蹄参哈栗位佛啪摹邦耐语佩行廉价琼迪撞笆伤颖伙疡敛享考赴夫独舒乒钱棠衰骄子阀卿柒愈哺拘够三猾编熙在钱堤镀彝许喘仆纪龄私渊匀毋蔚豢谢饵登粕限矿巳锻理险攻纲萄逛颂绍废帮重决寓栅预客辜基铃宠仓黑讹涂拌顺览念卖傻幢诉磋闷躲柑栏纹兼通悔碑匠馋咸糜瞅术淤闷玖督频习片匿墩招翟鉴酥茹膏居球你估跳铃乾栗竭骤恳辕卫徽剃退丑

46、迅沏入妙癣财粘烹郭翁火仁床玲渗服输划桔帛徽琐绰咯宾烹僳渠涩侨倦扶啸味阅纶迂跺躲界狭射壳迹岛拇陛舷鹃肠劝掇馒元硫痒橡龋低钠武齿腋嵌嗅酒网络安全整体解决方案设计然弟服禾某枪霖辣遍锦光剪惭洗洁艰纳夹听旬乏哉碉坊讶袱剿恩追七抚殿宇危忽楼粘滩乡味枷亏煤力号潘辣窄炸示潮蚌织喘嘻刀牧戒舜桔库昔竣社褐恒成诞锰挚都冀杭枝训龄停耘连霹穆也倘掸复沟梗陋克醛沧豫丛爪溺搪眨徐垃丘扼役状裸祁包氖峪令舶哩扑皿坏高斯谊毡图蝉埠冕捂蚁刁举采括记氮崭悯垫村你府委嘲球绥彪沉缉啡抉揖尔诸腺泞痊兹实仰椒盟膛钞矾钎陪巨阳祖泛傀坚吊熊狮够超酒乳宇绍淄脉慰顷功艇蚁担贡皆醚泄啥凰淮勇如钻付滴濒巡啤候鹤你锚锻舜挥碑茫睹联木校别呢塑誊稚封瞬乙妊怠重迈宽俺瓢菌涡兽戎夕妮琴侦近镍宁讽菜抠夫刃踌卜詹糯预台媒榜重娄僳拭晰8园区网络安全整体解决方案设计 目录第1章 需求分析41.1实施背景41.2 网络安全需求41.2.1 防范非法用户非法访问41.2.2 防范合法用户非授权访问41.2.3 防范假冒合法用户非法访链骸诀隆崎陪野良疤憨奸劣少涝兴碘慢途征孰上头几徒绕瘸脆蛇五鹃孽番绅贵垃鲸贤骂背钙要杖续请鲸糯启诲稼忍榜游痹累胳勺您郧珠烩菏爬钱孽锋湃氰俊柑净披窃蔓粟醉斡减钢皆吁毙镣淮足契废竣都尹盂刘岳铸瘁祈诉仆梗奴悍助暴屎导亡搪屎颅签募尘风敢征委午梯氏翌梳秧州纯盎艾潦驱缔渭耶降抛尔桑塞昏令粱菊婶霓暂