瑞星部署中央财经大学校园网安全

精选转载

luton-century 2007-09-16 14:24:27 博主文章分类：网络安全建设

中央财经大学校园网作为服务于全校教育、科研和行政管理的计算机信息网络，实现了校园内计算机连网、信息资源共享，并通过CERNET与Internet互联。校园网现有连网节点1200多个。其网络结构是：校园内建筑物之间的连接选用多模光纤，以电教楼为中心，向其他建筑物辐射；楼内水平线缆采用超五类非屏双绞线缆。中心交换机采用Cisco Catalyst 8540路由交换机；二级交换机为Cisco Catalyst 5505和Cisco Catalyst 2924。

　　安全隐患

　　部署安全方案前，校园网络存在的安全隐患和漏洞有：

　　1.校园网通过CERNET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

　　2.校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁会更大一些。

　　3.目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。中央财经大学的网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等，这些系统安全风险级别不同，例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统：自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒的温床等；UNIX由于技术的复杂性导致高级黑客对其进行攻击：自身安全漏洞（RIP路由转移等）、服务安全漏洞、病毒等。

　　4.随着校园内计算机应用的大范围普及，接入校园网的节点数日益增多，而这些节点大部分都没有采取安全防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

　　由此可见，构筑具有必要的信息安全防护体系、建立一套有效的网络安全机制显得尤其重要。

　　解决方案

　　根据中央财经大学校园网的结构特点及面临的安全隐患，我们在广泛征集各方意见，细心比较的基础上，决定采用北京瑞星公司设计的校园网络安全体系方案。该方案确定了以下几个必须考虑的安全防护要点：网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范。

　　1.防火墙的部署

　　在Internet与校园网内网之间部署了一台瑞星RFW-100防火墙，在内外网之间建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区（即“非军事区”，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全），与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。这样，通过Internet进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的使用，并能够对发生在网络中的安全事件进行跟踪和审计。

　　在防火墙设置上我们按照以下原则配置来提高网络安全性：

　　(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容，包括协议、端口、源地址、目的地址、流向等项目，严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

　　(2)配置防火墙，过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。

　　(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

　　(4)定期查看防火墙访问日志，及时发现攻击行为和不良的上网记录。

　　(5)允许通过配置网卡对防火墙设置，提高防火墙管理的安全性。

　　2.入侵检测系统的部署

　　入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据校园网络的特点，我们采用瑞星入侵检测系统RIDS-100。将RIDS-100入侵检测引擎接入Cisco Catalyst 8540中心交换机上，对来自外部网和校园网内部的各种行为进行实时检测。RIDS-100入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，RIDS-100可以发出实时报警，使学校管理员能够及时采取应对措施。

　　3.漏洞扫描系统

　　采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。

　　4.瑞星网络版杀毒产品的部署

　　为了实现在整个局域网内杜绝病毒的感染、传播和发作，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。

　　(1)在学校网络中心的Windows 2000服务器上安装瑞星杀毒软件网络版的系统中心，负责管理1200多个主机网点。

　　(2)在各行政、教学单位等20多个分支机构分别安装瑞星杀毒软件网络版的客户端。

　　(3)安装完瑞星杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

　　(4)网络中心负责整个校园网的升级工作。为了安全和管理的方便，由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其他1200多个主机网点的客户端与服务器端，并自动对瑞星杀毒软件网络版进行更新。同时，因为只有网络中心才有Internet出口，便于整个网络的统一管理。

　　5.安全管理

　　常言说：“三分技术，七分管理”。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定了详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施，保证了制度的执行。