大學(xué)校園網(wǎng)作為服務(wù)于教育、科研和行政管理的計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)了校園內(nèi)連網(wǎng)、信息共享，并與 Internet 互聯(lián)，在校園網(wǎng)的建設(shè)上采用 光纖連接， 以電教樓為中心，通過(guò)二級(jí)交換機(jī)向校內(nèi)其他建筑物輻射。校園網(wǎng)連接的除了各級(jí)行政單位網(wǎng)絡(luò)，還連接校內(nèi)學(xué)生機(jī)，因此存在許多安全隱患，主要表現(xiàn)有：

　　校園網(wǎng)與 Internet 相連，面臨著外網(wǎng)攻擊的風(fēng)險(xiǎn)。

　　來(lái)自?xún)?nèi)部的安全威脅。

　　接入校園網(wǎng)的節(jié)點(diǎn)數(shù)日益增多，這些節(jié)點(diǎn)會(huì)面臨病毒泛濫、信息丟失、數(shù)據(jù)損壞等安全問(wèn)題。

　　網(wǎng)絡(luò)安全需求

　　大學(xué)校園網(wǎng)的大多數(shù)節(jié)點(diǎn)沒(méi)有采取防護(hù)措施，因此，建立一套有效的網(wǎng)絡(luò)安全機(jī)制就顯得尤為重要，以下是必須考慮的安全防護(hù)要點(diǎn)：

　　網(wǎng)絡(luò)病毒的防范

　　網(wǎng)絡(luò)病毒將會(huì)對(duì)網(wǎng)絡(luò)的重要數(shù)據(jù)的安全、網(wǎng)絡(luò)環(huán)境的正常運(yùn)行帶來(lái)嚴(yán)重危害，因此防止計(jì)算機(jī)網(wǎng)絡(luò)病毒是安全工作的重要環(huán)節(jié)。

　　網(wǎng)絡(luò)安全隔離

　　網(wǎng)絡(luò)雖然給學(xué)校的工作帶來(lái)極大的便利，但也給黑客或破壞者帶來(lái)了破壞的空間。因此網(wǎng)絡(luò)間必須進(jìn)行有效的安全隔離。

　　網(wǎng)絡(luò)監(jiān)控措施

　　網(wǎng)間隔離無(wú)法防備內(nèi)部不滿(mǎn)者的攻擊行為，增加內(nèi)部網(wǎng)絡(luò)監(jiān)控機(jī)制可以最大限度地保護(hù)整個(gè)網(wǎng)絡(luò)。

　　解決方案

　　根據(jù)大學(xué)校園網(wǎng)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，我們將通過(guò)瑞星防火墻、入侵檢測(cè)、網(wǎng)絡(luò)殺毒軟件，實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)病毒的防范等安全需求，為大學(xué)校園構(gòu)建統(tǒng)一、安全的網(wǎng)絡(luò)。

　　防火墻的部署

　　在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)瑞星防火墻，其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與 Internet 連接。這樣，通過(guò) Internet 進(jìn)來(lái)的外網(wǎng)用戶(hù)只能訪(fǎng)問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被非法訪(fǎng)問(wèn)或破壞，也阻止了內(nèi)部用戶(hù)對(duì)外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行跟蹤和審計(jì)。

　　入侵檢測(cè)系統(tǒng)的部署

　　入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)，我們采用瑞星入侵檢測(cè)系統(tǒng) RIDS-100 。將 RIDS-100 入侵檢測(cè)引擎接入 Cisco 中心交換機(jī)上，對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)。

　　瑞星網(wǎng)絡(luò)版殺毒產(chǎn)品的部署

　　為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)病毒的防護(hù)，我們?cè)诳赡芨腥竞蛡鞑ゲ《镜牡胤讲扇∠鄳?yīng)的防病毒手段。實(shí)現(xiàn)了遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種安全防護(hù)功能。

　　整體實(shí)現(xiàn)的主要功能

　　通過(guò)對(duì)大 學(xué)校園 網(wǎng)絡(luò)的安全設(shè)計(jì)，在不改變 原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障大學(xué)校內(nèi)部網(wǎng)絡(luò)安全 ：

　　實(shí)現(xiàn)對(duì)整個(gè)校園網(wǎng)病毒防范和查殺，有效防止病毒在校園網(wǎng)內(nèi)的傳播。

　　保護(hù)脆弱的服務(wù)，通過(guò)過(guò)濾不安全的服務(wù)，防火墻 可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)。

　　控制內(nèi)部和外部用戶(hù)對(duì)校內(nèi)各種應(yīng)用系統(tǒng)的訪(fǎng)問(wèn)，有效保護(hù)內(nèi)部各種應(yīng)用服務(wù)器，例如，防火墻允許外部訪(fǎng)問(wèn)特定的Mail Server和Web Server 。

　　提供集中的統(tǒng)一安全管理，管理員可以通過(guò)管理控制臺(tái)對(duì)內(nèi)部和外部用戶(hù)指定統(tǒng)一的安全策略。

　　提供強(qiáng)大的安全日志記錄和統(tǒng)計(jì)，管理員可以通過(guò)各種安全日志對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)分析，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)的各種安全事件。