防火墙更换实施方案范文1
关键词: 校园网络;安全防范;设计方案
0 引言
目前,校园网计算机技术已经在学校教学中起到十分重要的作用。但其安全隐患却无处不在,人为方面的因素主要体现为管理制度上的缺失,操作上的不合理等。为了解决这一问题,文章提出了具体的校园网安全防护措施如下。
1 校园网安全威胁因素
校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系IP被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。
2 校园网络安全防范设计方案
为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:
2.1 利用备份链路优化校园网的容错能力 备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。
2.2 计算机防火墙的合理应用 计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3 VPN的构建 VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。
2.4 网络层其他安全技术 网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。
3 校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:
3.1 应用VLAN技术提升网络安全性能 VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。
3.2 利用网络存储技术,确保网络数据信息安全 校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。
3.3 配置交换机端口控制非法网络接入 交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4 总结
校园网在为教学提供方便的同时,其安全也值得重视。基于校园网安全防护的复杂性和科技的快速发展,其安全防范技术也逐渐增强。本文提出了校园网网络安全防范方案其中主要研究了计算机系统的防病毒处理。取得了一定的效果,但具有一定的问题需要解决。其中包括检测与防护之间的联动如何实现,防护策略如何更新等。校园网的安全防护对于计算机网络的整体安全具有十分重要的作用,实现这一系统安全是教学中的主要任务。虽然很多学校开始重视互联网的安全防护,构建了较为完善的防护制度,出台了具体的防护措施。但计算机黑客攻击时刻存在,并且病毒对计算机造成的毁坏越来越大,如何构建一套积极可行的校园网安全防护手段是学校计算机管理人员的主要任务。
参考文献:
[1]陈显亭,贾晓飞.网络出口转换技术研究[J].电子科技,2010,23(12):77-79.
防火墙更换实施方案范文2
无线网络。作为对有线网络的补充,无线网络因其便利和快捷得到广泛应用。无线网络设计采用Fit组网模式,以无线控制器作为整个无线网络的管理核心,采用基于802.11n传输协议且支持MIMO技术的AP作为无线接入点,提高了无线传输质量,也使传输速率得到极大提升。在无线安全方面,可以结合802.1X与终端准入系统,控制合法人员的接入。
网络可靠性。可靠性包括网络节点和网络链路二方面。采用双链路冗余方式互联,同时使用端口聚合技术,不仅形成流量负载分担,而且实现了链路冗余。2台核心设备使用无源背板,且配冗余引擎、冗余电源,并且采用虚拟化技术保证切换时间为毫秒级,将多台设备简化为一台设备进行管理。简化了网络的复杂度,提高了网络的可靠性。
网络部署。主要包括:IP地址规划、MplsVPN设计、VLAN设计和QoS部署。IP地址的规划既要考虑当前现状,又要考虑日后扩展。大型局域网组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点。QoS部署则是通过QoS技术保证网络中的关键业务优先处理,避免被非关键业务挤占。
网络管理。支持基于Web的远程访问和日志的智能归并,并提供网络管理的基本功能,包括:拓扑管理、性能管理、告警管理、网元管理、安全管理、配置管理等。
设计方案
城市轨道交通信息网络系统,需要连接城市轨道交通指挥中心及各站点,规模相当于一个城域网,其稳定性、安全性尤为重要。把一个大型的网络元素划分成一个个互连的网络层,实际上就是把网络划分为一个个子网,这样网络节点和流量管理变得更加容易,网络扩展更容易处理,新的子网模块和新的网络技术更容易集成。下面以苏州轨道交通1号线信息网络系统设计为例进行介绍。
苏州轨道交通1号线是一个包含约3500个信息点的大型网络,是面向乘客运营服务的开放性系统,未来将有应用集成平台、门户网站、会议视频、RAMS资料查询管理等十几种业务系统,因此对网络设备的性能、链路带宽、业务融合性有很高的要求。为保证数据安全,建设完备的灾备系统也是非常重要的。
网络系统结构
图1为苏州轨道交通1号线信息网络系统构成图。网络系统按照三层结构设计,分别为核心层、汇聚层、接入层。核心层由2台骨干路由器组成,汇聚层由8台汇聚交换机组成,其中2台放置于车辆段,6台放置控制中心,接入层由24个车站通信机房、1个车辆段及控制中心各楼层配线间相应位置的接入交换机组成。
1.核心层。整个网络中的核心层由2台思科7609路由器作为骨干路由器,放置于控制中心,用于高速传输整个网络数据。2台骨干路由器通过万兆光纤互连,形成热备。后期还可与其他线路的骨干路由器互连,形成网状结构,组成整个苏州轨道交通信息网络系统的核心层。
2.汇聚层。采用8台汇聚交换机,其中:2台思科Catalyst6509交换机放置于控制中心信息中心机房作为控制中心汇聚交换机,通过万兆光纤向上连接至骨干路由器,通过千兆光纤向下连接至控制中心各楼层配线间接入交换机。2台思科Catalyst4506交换机放置于控制中心信息中心机房作为车站汇聚交换机。通过万兆光纤向上连接至控制中心骨干路由器,通过千兆光纤向下连接至车站接入交换机。2台思科Catalyst4506交换机放置于车辆段作为车辆段汇聚交换机,通过万兆光纤向上连接至控制中心骨干路由器,通过千兆光纤向下连接至车辆段各栋大楼的接入交换机。2台思科Catalyst4506交换机放置于控制中心信息中心机房作为数据中心汇聚交换机,通过万兆光纤向上连接至2台控制中心汇聚交换机,通过千兆光纤向下连接至服务器群与磁盘阵列。
3.接入层。由24个车站的通信机房、1个车辆段及控制中心各楼层配线间相应位置的接入交换机组成。
安全措施
在控制中心和信息中心设置硬件防火墙和入侵检测系统,形成从Internet至内部管理网络之间的隔离防护措施(外网防火墙),保证信息网络系统的安全性。内部网络各子网间设置硬件防火墙隔离防护(内网防火墙),子网划分不少于10个。
1.防火墙:配置思科ASA5540防火墙为In-ternet外网防火墙;在数据中心汇聚交换机配置最大支持20个Vlan子网保护的防火墙模块作为内网防火墙。防火墙模块对不同子网进行安全状态审核和策略过滤,保证子网防护区安全可靠、灵活部署的同时,还可对不同业务部门(Vlan)进行安全策略控制,降低全网部署防火墙的成本。本方案提供的内网防火墙集成在内网交换机上,减少了网络故障节点,增加了网络的可用性和可靠性。2.IPS设备:配置思科IPS4260作为内网的IPS/IDS设备。
3.IDS设备:配置鹰眼入侵检测系统。入侵检测系统的探测口分别连接在核心交换机的镜像端口上(核心交换的镜像口配置全网镜像)。探测口隐藏,不占用系统地址资源。入侵检测系统的管理口直接接入交换机。由管理员分配相应的可管理IP地址,并由一台管理控制中心主机(安装随机附带的管理控制中心软件)进行统一管理。
4.防病毒系统:选用趋势科技云安全多层次防病毒系统。
5.终端安全防护:部署Officescan。网络中计算机防病毒体系,应达到一体化、分组管理的机制,集成病毒专杀工具、病毒爆发预防策略、网络版防火墙和IDS,抵御间谍软件和其他类型灰件的侵害,具体分布式的病毒码更新、病毒爆发监控和扫描病毒漏洞等功能并入趋势科技整体防病毒体系。
6.服务器整体防护:选用趋势科技DeepSe-curity7.0产品,通过四大模块提供服务器整体安全防护解决方案。
结束语
防火墙更换实施方案范文3
论文摘要:随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗, 都防不胜防。
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。从技术上来说, 计算机网络安全主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、pki技术等。
一、计算机网络安全技术
(一)防火墙技术。防火墙是指一个由软件或硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
(二)数据加密技术。与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术。对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准des,des的成功应用是在银行业中的电子资金转账(eft)领域中。2.非对称加密。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
(三)pki技术。pki技术就是利用公钥理论和技术建立的提供安全服务的基础设施。pki技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而pki技术作为一种相对安全的技术,恰恰成为了电子商务、电子政务、电子事务的密码技术的首要选择,在实际的操作过程中他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题,而进一步保护客户的资料安全。
二、计算机网络安全存在的问题
(一)互联网络的不安全性。1.1网络的开放性,由于现代网络技术是全开放的,所以在一定程度上导致了网络面临着来自多方面的攻击。这其中可能存在来自物理传输线路的攻击,也有肯那个来自对网络通信协议的攻击,也包括来自于本地网络的用户,还可以是互联网上其他国家的黑客等等。1.2网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。 这也为了影响网络安全的一个主要因素。
(二)操作系统存在的安全问题。操作系统作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1.操作系统结构体系的缺陷。操作系统本身有内存管理、cpu管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。2.操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如ftp,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。3.操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
(三)防火墙的局限性。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使内部网与外部网之间建立起一个安全网关(security gateway),从而保护内部网免受非法用户的侵入。
三、结束语
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
参考文献:
防火墙更换实施方案范文4
关键词:网络安全防火墙加密技术PKI技术
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要起来,已被信息社会的各个领域所重视。
计算机网络安全从技术上来说,主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、PKI技术等,以下就此几项技术分别进行分析。
一、防火墙技术
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
二、数据加密技术
与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术
对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准DES,DES的成功应用是在银行业中的电子资金转账(EFT)领域中。
2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
三、PKI技术
PKI(PublieKeyInfrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。
1.认证机构
CA(CertificationAuthorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。
2.注册机构
RA(RegistrationAuthorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
3.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.证书管理与撤消系统
证书是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况,这就需要进行证书撤消。证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
四、结束语
网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。因此只有严格的保密政策、明晰的安全策略才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。
参考文献:
防火墙更换实施方案范文5
关键词:安全技术;政府;电子政务;虚拟专用网技术
中图分类号:文献标识码:A文章编号:1009-3044(2010)21-5962-02
The Establish and Maintain of The E-government System Based on Security Technology
TANG Fang1, XU Ping2
(1.Jingmen Branch of Chutian Radio & Television Information Network Company of Hubei Province, Jingmen 448000, China; 2.Jingmen Branch of China Construction Bank, Jingmen 448000, China)
Abstract: With China's reform and opening up step by step and the deepening of the functions of government services, the development of e-government has become an important ways for theGovernment to increase the capacity of public services and national capacity for comprehensive management. This paper analyzes and discusses the main e-government technology and related network security based on the principles, put forward a number of technology for building on the multi-level e-government network security solutions.
Key words: security technologies; government; E; virtual private network
随着我国改革开放的逐步推进与政府服务职能的加深,发展电子政务已成为政府提高社会公众服务能力与国家综合治理能力的重要手段。然而在电子政务建设大踏步向前迈进的过程中,随之而产生的问题也越来越急待解决,电子政务的安全便是首要问题。比如计算机病毒的传播更是安全性的巨大威胁之一,病毒一旦发作,轻则破坏文件、损害系统,重则造成网络瘫痪。某某市某局正是在此背景下对本局机关的电子政务系统进行重新设计和实施的。
1 项目背景与目标
1.1 项目背景
某某市某局现有使个局直属单位,各单位分布在某某市各区,与局机关大楼不在同一物理地点,共五个办公区。该局局机关启用电子政务系统后,因为各局属单位的公文仍通过传统的手工方式交换,显然跟不上信息化发展的需要,也严重地影响了该局日常办公的需要。为满足该局信息化发展的需要,由于该局的电子政务系统只涉及工作秘密不涉及国家秘密,可以运行在政务外网。2008年度,经请示上级部门同意,将政务内网的电子政务系统迁移到政务外网,并实现与局属各单位进行公文在线交换。为实现此功能,首先要实现与各单位网络的互联互通并确保信息传输的安全保密性和完整性。
1.2 系统安全分析
该局电子政务网络系统内网与外网完全物理隔离,该局电子政务内网自成体系,不与任何外部系统交互,内网相对安全,信息不容易泄漏,但同时该网也成了一个信息孤岛,与外部系统的数据交换很不方便。不过在现有的网络结构及应用模式下,外网网络安全几乎是不设防,可能存在的主要安全风险如下:
1)网络设备节点自身安全风险:网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。尤其是核心层的三层交换机,单点故障的风险比较大,万一出现故障整个网络将完全瘫痪。
2)网络层有效的访问控制的风险:网络结构越来越复杂,接入网络的用户也越来越多,必须能够在不同的网络区域之间采取一定的控制措施,有效控制不同的网络区域之问的网络通信,以此来控制网络元素间的互访能力,避免网络滥用,同时实现安全风险的有效隔离,把安全风险隔离在相对比较独立以及比较小的网络区域。
3)网络攻击行为检测和防范的风险:由于TCP/IP协议的开放特性,带来了非常大的安全风险,常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击等;由于Internet的开放性,对电子政务的安全威胁,包括网上黑客入侵和犯罪、网上病毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等,因此应引起足够警惕,采取安全措施,应对这种挑战。在改造前的网络结构中可以看到Internet接入点还是在内部业务系统和下属单位的接入点都没有任何防护措施,网络中存在极大的安全风险。
4)应用层威胁:各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合形成复合型威胁,使威胁更加危险和难以抵御。这些威胁直接攻击用户核心服务器和应用,给用户带来了重大损失。
5)控制非法访问的风险:在建设网络安全体系中,身份认证始终是不可忽视的环节,没有良好的身份认证体系,其他的任何安全措施都是没有意义的。
2 系统安全解决方案
本方案主要是遵循事前防范、事中监控、事后审计的思想进行设计,同时结合其他传统的网络安全措施,提出一套新型的基于VPN技术的安全电子政务网络系统解决方案。
2.1 访问控制
访问控制是最基本的安全措施之一,随着网络结构复杂程度的不断增加,应用系统的不断增多,人们已经逐渐认识到保护网上敏感资源的重要性,而旧的访问控制技术有着诸多的管理弊端,已经不能满足用户的要求,因此需要寻求一种有效的手段或方法。本系统采用大安全域隔离。首先把外网划分为内外安全域两大区域,即核心数据域与办公区域,中间用物理网闸隔离,使得核心数据域与办公区域物理隔离,办公区域中的客户端要访问核心数据域中的应用,数据内容必须经过严格过滤和摆渡交换,切实保护工作秘密的安全。
2.2 防火墙的部署
防火墙的主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁,只有允许的应用协议才能通过防火墙,所以网络环境变得更安全。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和公众网之间的任何活动,保证了内部网络的安伞。因此通过在该局办公区域访问互联网的边界部署一台防火墙,既起到逻辑隔离的作用,又能有效控制办公区域和互联网之间的通讯安全。为了更有效地控制办公区域的用户端上网行为,本系统在防火墙前面部署了一台LINUX服务器,给防火墙前而设置多了一道天然的屏障,而且通过缓存机制间接地提高了访问互联网的速度。
2.3 入侵检测系统的部署
虽然通过防火墙可以隔离大部分的外部攻击,但是仍然会有小部分攻击通过正常的访问漏洞渗透到内部网络,据统计有70%以上的攻击事件来自内部网络,也就是说内部人员有意或无意的攻击,而这恰恰是防火墙的盲区。入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复、断开网络连接等,及时地发现异常地网络流量或安全隐患,尽早采取措施、排查隐患,避免安全事故的进一步扩大。
3 结束语
电子政务信息安全建设是一项复杂、庞大的工程,电子政务安全是一项动态的、长期的、整体的系统工程,需要周密的设计和部署。在电子政务网络安全体系的构建中除了要有上述的各种技术手段,更需要严谨的管理手段。
参考文献:
[1] 威特曼.信息安全原理[M].北京:清华大学出版社,2006.
[2] 雪家.信息安全工程技术研究中心,电子政务总体设计与技术实现[M].北京:清华大学出版社,2004.
防火墙更换实施方案范文6
关键词:校园网;网络安全;安全体系;安全部署;安全实现
中图分类号:TP393.08
校园网在学校日常的教学、科研、管理工作方面发挥除了巨大作用。利用网络可以实现对信息更快的传递、更加充分的对网络资源进行共享、提高工作效率、更加合理的利用和配置优质教学资源。随着网络规模、用户数量以及网络开放程度的日益增大,校园网的安全问题也就快速显现出来。大多数高校校园网都面临着严峻的网络威胁,这些威胁主要来自人为疏忽和技术漏洞,致使网络易受恶意软件、黑客或病毒的攻击,这些都严重影响了校园网网络系统的使用和正常工作的开展。可以说,在各所高校网络建设过程中,网络安全问题已经成为一个我们无法回避、不得不面对的首要问题。如何保证校园网的安全,已成为当前高校数字化校园发展的重要问题[1-2]。面对网络安全威胁逐渐增加,采取怎样的措施来解决这些网络安全问题变的至关重要,笔者结合安徽中医药高等专科学校的实际情况及设计方案,提出了校园网网络安全体系部署。
1 网络设备及网络安全设备选型
综合后期升级维护且可以有效利用资源,我们提出如下选型:
1.1 核心层交换机。核心层交换机一般都是三层交换机或者三层以上的交换机,该层设备对于冗余能力、可靠性和传输速度方面要求较高。根据校园网整体需要,核心交换机应该具有极高的转发速率、第3层支持、千兆以太网/万兆以太网、链路聚合、冗余组件、服务质量(QoS)等功能。综合考虑,安徽中医药高等专科学校核心交换机选用是锐捷RG-S8600高密度多业务IPV6核心路由交换机。该交换机面向十万兆平台设计的下一代高密多业务IPV6核心路由交换机,支持下一代的以太网100G速度接口,满足未来以太网络的应用需求,提供14横插槽设计,10竖插槽设计和6横插槽设计三种主机。
1.2 汇聚层交换机。这一层交换机的主要功能是实现路由,重新分配路由协议、访问表,包过滤和排序,网络安全如防火墙等;在Vlan之间进行路由,以及其他工作组所支持的功能;定义组播域和广播域等策略。安徽中医药高等专科学校核心交换机选用是锐捷RG-S5750系列安全智能的万兆多层交换机,该设备可以提供12个SFP千兆光口,又可以提供24或48个10/100/1000M自适应的千兆电口,还可以提供PoE远程供电的接口,所以说它的接口形式和组合非常灵活。
1.3 接入层交换机。接入交换机一般用于直接连接电脑,校园网接入层主要特点为突发流量大,上网时间集中,网络布点分撒,难于统一管理,所以在接入层的认证方式采用802.1X。 综合考虑,安徽中医药高等专科学校接入交换机选用是锐捷RG-S2300系列千兆安全智能交换机,通过实施多种多样的安全策略,有效防止和控制网络病毒扩散,更可提供基于硬件的IPV6 ACL,方便未来网络的升级扩展。高级QOS机制适应网络中多业务的顺利开展,为服务质量提供保证。
1.4 防火墙。防火墙一般是作用在外网与内网、公共网与专用网之间的一道安全屏障,它主要由硬件和软件共同组成,它在Intranet与Internet之间建立起一个安全网关(Security Gateway),以达到保护内部网络不受外部网络的攻击,防火墙一般由包过滤、应用网关、服务访问规则、验证工具四个部分组成。综合考虑,安徽中医药高等专科学校接入交换机选用是CISCO ASA5540-K8。
1.5 NPE40系列网络出口引擎。RG-NPE(Network outPut Engine,网络出口引擎)基于多核处理器技术进行构架,具备转发高性能,内嵌状态防火墙,此外,NPE针对国内普遍存在的NAT进行优化,该产品融入了智能DNS和多链路负载均衡技术,使得用户对内外访问都能智能选择最优最快速路径;集成了DPI引擎,让网络管理者轻松应对P2P等应用的流量控制;重构了Web界面,让NPE网络出口引擎的专业在设备管理维护层面变得简化。
1.6 RG-SNC智能网络指挥官网管系统。网管系统主要可以进行网络设备的远程控制、设置、维护、管理,从而大大的降低了网络维护工作的繁杂、耗时性。该系统还具有主动式网管的功能,可积极主动的收集网络信息,对网络信息和网络变更情况及时备份,及时恢复故障点。
2 网络系统安全技术实现
2.1 VLAN划分。考虑到校园网的多用户,多楼宇等复杂性,本方案准备对虚拟局域网进行划分的依据是网络层,不同的网络层划分成不同的网段,这种划分的方法不牵涉到网络层路由,只是根据网络中每个主机的网络层地址或协议类型来划分。实际操作中本方案将学校网络划分为多个VLAN,教学区和学生宿舍分开,每个楼宇使用不同的编号表示,比如,办公楼为111,教学楼211,以此类推。
2.2 用户认证。用户认证是网络安全一个重要组成部分,本方案将施行统一实名身份认证体系。如图1所示,通过ESS建立校园网公共认证平台,可实现有线用户、无线用户、远程访问的VPN用户的统一认证,同时,可以实现有线无线的统一拓扑管理、批量配置及实时告警等功能。
2.3 数据备份与恢复。网络数据是系统赖以生存的基础,一些重要的数据一旦丢失或损坏都将造成不可估量的损失。如何确保数据的完整性,备份数据是唯一的解决方案,在数据备份上安徽中医药高等专科学校使用全盘备份与差分备份相结合。
2.4 流量控制。网络出口处部署NPE40系列网络出口引擎和ACE应用控制引擎。NPE系列网络出口引擎在x-flow框架下建起了一个高性能,高稳定的转发平台,可以更加完善的状态检测防火墙,对P2P等应用的流量控制等功能。RG-ACE流量控制引擎以DPI(Deep Packet Inspect,深度包检测)技术为中心,支持软硬件Bypass,提供了基于七层应用的带宽管理和应用优化功能。
通过上述安全设备及安全技术,经实际运行检测,较大程度的保护校园网络安全。任何一个网络安全体系的构建都不会是无懈可击、一劳永逸的,随着网络技术的发展,各种新型的网络攻击手段会层出不穷。因此,这需要不断的发展和研究新的网络安全技术,以应对可能出现的新问题。
本文网络安全构建也只是部分安全措施的实施,对一些重要的安全措施还没有涉及,比如入侵检测系统(IDS),数据加密技术等。在对该方案实施的过程中,会根据具体问题对方案进行进一步的修改、优化和完善,希望通过本文可以为其他高校的校园网安全构建提供参考,从而使校园网可以更加安全、稳定、可靠的服务广大师生。
参考文献:
[1]胡道元.网络安全[M].北京:清华大学出版社,2004.295―296.
[2]邓小莉,黄正荣.论校园网网络安全的现状及对策[J].科技信息,2009(4):503.
[3]李小志.高校校园网络安全分析及解决方案[J].现代教育技术国防科技大学,2008(3):92.
[4]杜洪志.校园网信息安全与防范体系探析[J].管理学家,2011(23):166-167.
[5]肖阳,李阳.校园网络的多层安全体系研究[J].中南林业科技大学学报,2010(4):170-172.
[6]薛硕.校园网络安全体系构建研究[J].中国电子商务,2010(12):263-264.
