周野3487信息安全技术作业.docx

1、周野3487信息安全技术作业信息安全技术 13信管2班 20133487 周野 目录1.高校校园网安全与威胁因素 1.1 校园网络的安全问题 1.2 威胁网络安全因素 1.3 安全威胁的类型2.安财校园网现状 2.1安财校园网现状 2.2安财校园网软（硬）件设备 2.3现有设备 2.3.1 ips（入侵防御系统） 2.3.2 服务器安全 2.3.3 web应用防火墙:M3108 2.3.4 30网科防火墙：iwall(WAF1000) 2.3.5 进口处防火墙 2.3.6 交换机 2.3.7 智能DNS3.校园网安全防御软件推荐 3.1国外防护杀毒 3.2 国内防护杀毒 3.3国内知名网络安全

2、厂4校园网安全问题的方法建议4.1分布式三层交换架构1.高校校园网安全与威胁因素1.1校园网络的安全问题随着信息技术的不断发展和网络信息的海量增加，网络安全形势日益严峻，近两年间，黑客攻击、网络病毒等等事件被屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网在学校的信息化建设中已经在扮演了至关重要的角色。作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。1.2威胁网络安全因素计算机网络安全受到的威胁包括：

3、（1）“黑客”的攻击；（2）计算机病毒； （3）拒绝服务攻击（Denial of Service Attack）。 （4）软件漏洞；1.3安全威胁的类型： （1）非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。 （2）冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。 （3）破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。 （4）干扰系统正常运行，破坏网络系统的可用性。指改变系统

4、的正常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。 （5）病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等，其破坏性非常高，而且用户很难防范。 （6）软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被发现，网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。（7）电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面，电磁辐射能够破坏网络中的数据和软件，这种辐射的来

5、源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面，电磁泄漏可以导致信息泄露。2.安财校园网现状21安徽财经大学校园网概况：布设信息点25400个，已开通建筑物80栋，三个校区共铺设光缆63.5公里；已注册用户总数9480户；提供多种网络服务；目前校园网对外出口有三条；一条100兆光纤与安徽省教育科技网互连，另外两条100兆光纤连接到Internet，使本校对外出口的 带宽达到300兆，实现了与中国科技教育网，internet的高速互连。2.2安财校园网软（硬）件设备核心交换机：121Juniper Mx960（2台）概况：MX960以太网业务路由器为运营

6、商级以太网的容量、密度和性能制订了新的业界标准。作为第一款优化用于新兴以太网网络架构和服务的Juniper平台，MX960专门构建用于满足最苛刻的运营商应用需求。MX960利用JUNOS操作系统，使运营商能够以经济高效地方式无缝部署以太网并加速下一代网络部署。通过将最佳的硬件平台与JUNOS软件的可靠性及服务灵活性结合在一起，MX960提供的特性和功能都令以往的运营商级以太网部署望尘莫及。全新的MX960平台是业界容量最大的运营商级以太网平台，提供最大可达960千兆位每秒（Gbps）的交换和路由容量-从而降低每平台的成本并增加收入，产品还能通过扩展来保护客户投资。MX960有效支持高密度接口和

7、大容量的交换吞吐量，适用于广泛的企业和住宅应用与服务，包括高速传输和 VPN 服务、下一代宽带多重播放服务以及大容量的互联网数据中心网络互连等。功能描述：MX960 是经过专门优化的以太网业务路由器，能够提供交换和运营商级以太网路由功能，以确保实现最低的每端口成本，同时不降低性能、可靠性、可扩展性和功能。基于以太网的业务为供应商提供了大量的创收新机会。这些业务包括 VPN、点到点连接、高速互联网接入和宽带汇聚。随着技术和标准的不断发展，以太网日益成为服务供应商的首选边缘技术。MX960 为企业和住宅业务提供无可比拟的可扩展性、性能、可靠性和 QoS，是 Juniper 网络公司致力于提供以太网

8、核心解决方案以满足下一代网络和业务需求的一个有力证明。MX960 是一种高密度第 2 层和第 3 层以太网交换机/ 路由器平台，设计用于多种服务供应商边缘业务的部署。MX960 提供大量的以太网业务，包括： 用于多点连接的 VPLS 业务：内置 VPLS 业务功能 用于点到点业务的虚拟专线（VLL）：支持点到点业务 RFC 2547.bis IP/MPLS VPN（L3VPN）：全面支持整个以太网中的 MPLS VPN园区/ 企业网边缘的以太网汇聚：支持密集的 1GE 和 10GE 配置并提供全面的L3 支持以满足园区边缘的需求。多业务边缘的以太网汇聚：支持多达 480 个 1GE 端口或 4

9、8 个 10GE 端口，以最大限度提高以太网的密度，并为 MSE 应用提供全面的 L2 和 L3 VPN 支持。从多协议标签交换（MPLS）技术中我们可以看到，技术和标准的向前发展推动了服务供应商边缘的以太网技术的演进。按照传统的观点，MPLS 是在网络骨干网中使用，以提供流量工程，允许承载 IP、帧中继和 ATM 等大量的 L2 和 L3 流量。将 MPLS扩展到以太网边缘为服务供应商带来多种益处，例如修复技术、OA&M 诊断功能以及为对时延和时延变化敏感的业务提供 QoS 支持。Juniper 网络公司是 MPLS 技术的开发和部署领域的领导厂商，处于业界的前沿阵地，可帮助服务供应商基于M

10、PLS 提供网络架构和业务。MX960 提供大量由 JUNOS 操作系统支持的 MPLS 特性。JUNOS 的丰富特性为 MX960 提供了优势，而其他操作系统不是不够成熟，不能支持所需要的广泛的 MPLS 特性，就是采用单片电路架构，已经变得过于复杂繁琐而无法有效管理。特征与优势：IPTV、VoIP 和 VPLS 等高级服务和应用需要更全面的高级解决方案，因此，Juniper 网络公司专门构建了运营商级以太网系列产品来满足客户需求： 1可扩展的性能：MX960配备全新的高密度端口集中器（DPC）卡，将高密度端口与分布式架构和板载处理能力结合在一起，确保通过添加接口来扩展性能。 2高级服务质量

11、（QoS）：MX960 提供卓越的接口级服务质量，使供应商能够确保提供适当水平的服务质量，不受流量传输条件的影响。这个高级功能将允许供应商提供各项L2和L3服务- 如 VLAN / 透明局域网、L2/L3 VPN、IP 话音和以太网上的 IP 视频等，同时提供有保证的 SLA。 3服务灵活性：作为 IP/MPLS 和 VPLS 领域的业界领导者，Juniper 的运营商级以太网解决方案利用 JUNOS 操作系统，全球几百个服务供应商网络中部署的27,000 多个 Juniper M 和T 系列路由器安装的都是这个操作系统。JUNOS 帮助MX960 实现的特性丰富性、稳定性以及服务的广泛性无不

12、令其他的运营商级以太网平台望洋兴叹。 无中断的简单部署：利用多年来一直备受全球最大的服务供应商所推崇的JUNOS 操作系统，Juniper 运营商级以太网解决方案使服务供应商能够即刻利用最新的以太网技术，无需担心与为网络部署新操作系统相关的成本和风险。客户现有的后端办公系统中对 JUNOS 的使用和集成可帮助降低前期购置成本，同时允许快速部署以太网访问网络和服务。 为了满足上述客户要求，MX960 在小巧的机箱中最多提供12 个 40 Gbps 插槽并支持 Juniper 全新的 DPC 卡，允许客户利用前所未有的端口密度- 每个系统最多支持 480 个千兆以太网端口和 48 个10 千兆以太

13、网端口。 MX960 和 DPC 卡的分布式智能与数据包处理能力都基于Juniper 的下一代数据包转发引擎技术I-chip。通过提高可扩展性和数据包性能并增强以以太网为中心的服务质量特性，MX960 将使运营商能够增加每个平台支持的服务和客户的数量，但不会对性能产生负面影响，从而提高服务灵活性，并且同时降低前期购置和后期运行成本。CISCO 6509(1台)：汇聚交换机：juniper EX4550（两台）概述：可扩展的 EX4500 系列以太网交换机提供经济、高能效、高性能的平台，适合企业园区和数据中心柜顶部署，同样适合服务提供商环境。2 U EX4500 拥有 40 个线速双 GbE/1

14、0GbE 端口，以及完整的第 2 层和第 3 层支持。可选的高速上行链路模块包含 8 个额外的 10GbE 端口。1 U EX4550 有 32 个线速 GbE/10GbE 端口和 2 个扩展插槽，可安装可选模块，将端口密度提升到 48。EX4550 支持第 3 层动态路由协议（如 RIP 和 OSPF）、MPLS 服务（如第 2 层和第 3 层 VPN）、所有端口上的 MACsec 以及综合全面的服务质量 (QoS) 特性集。EX4500 和 EX4550 均支持瞻博网络集群交换技术，可与 EX4200 交换机一同部署在相同的集群交换配置之中，支持同时包含 GbE 和 10GbE 服务器的环

15、境。功能：经过实践检验的瞻博网络技术：运营商级架构配合 Junos OS，使得 EX 系列交换机得以为所有应用提供运营商级可靠性。EX 系列交换机融合安全风险管理与统一接入控制，能够动态提供网络保护、访客访问和基于身份的 QoS。超高 1GbE、10GbE、40GbE 和 100GbE 端口密度提供线速性能，显著简化网络拓扑结构和操作。每个交换机端口八个 QoS 队列可确保正确确定语音、视频和多个数据信息流级别的优先级，并且仍可融合其他网络，如构建自动化和视频安全系统。经济实惠的创新交换机设计支持的新架构可降低成本和减少复杂性，同时统一管理和自动化工具可整合系统监控。集群交换技术允许多台互连的

16、 EX 系列交换机作为单一逻辑设备运行，从而降低运营支出和简化管理。2.2安财校园网发展与建设 随着网络需求不断扩大，构建信息安全体系才能更好的建设校园。2006年校园网全面升级，建立了网络中心核心机房，并话巨资购进设备，实现东、西校区双核心交换机万兆高速互连，千兆到楼，百兆到桌面。目前已布设信息点2.5万多的信息点，已开通建筑物80栋，三个校区共铺设光缆60多公里，已注册用户9千多户，提供了多种网络服务。目前校园网对外出口有三条：一条100兆光纤与安徽省教育科研网互连，另两条100兆光纤连接到internet。对外出口宽带300兆满足了本科教育的网络规模与覆盖范围。2.3现有系统2.2.1

17、ips（入侵防御系统）定义:网络安全设备，是对防病毒软件和防火墙的补充功能：预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。使用原理：IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤

18、引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确率。2.2.2服务器安全狗定义：服务器安全狗是一款集服务器安全防护和安全管理为一体的综合性服务器工具功能：致力于保护服务器和网站安全，主要用于防护针对服务器的各类攻击，保护用户服务器的安全。其他还有服务器杀毒、系统优化、服务器漏洞补丁修复、服务器程序守护、远程桌面监控、文件目录守护、系统帐号监控、DDOS防火墙、ARP防火墙、防CC攻击、防入侵防篡改、安全策略设置以及邮件实时告警等多方面功能。2014年安全狗与华为双方开始了合作，希望能为更多的用户提供安全防御方案。2.2.3 web应用防火墙:M3108

19、定义：为Web应用提供保护的一款产品。是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。功能：审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。M3108：山石网科下一代防火墙。有E系列、M系列、G系列，学校用的是SG-6000-M3108，也是集各种功能

20、规格于一身的防火墙。（应用识别，用户认证，SSL解密，防火墙，攻击防护，入侵防御，病毒过滤，网页访问控制，botnet filter，带宽管理）2.2.4 进口处防火墙（山石）定义：内部和外部所有网络数据流都需要经过这里，符合安全设置的数据流才能通过，自身也能抗攻击。外网：SG-6000-X7180 两台SG-6000-X7180：山石网科 X 系列数据中心防火墙。特点1：采用创新的全分布式架构，通过智能流量分配算法实现业务流量在业务模块 (SSM) 和接口模块 (IOM) 上的分布式高速处理；并通过专利的资源管理算法充分发挥分布式多核处理器平台的潜力，进一步提升防火墙并发连接、每秒新建连接的

21、性能，实现系统性能的全面线性扩展。X 系列数据中心防火墙处理能力最高可达360Gbps，每秒新建连接最高可达 240 万，并发会话连接数最大可达 1.2亿，设备提供多达 68 个万兆接口或 144 个千兆接口的扩展能力。同时，数据包转发仅需 10us，能够充分满足数据中心实时业务对转发低延时的需求。特点2：硬件和软件均采用高可靠设计，实现99.999% 的电信级可靠性。可支持主 / 主或主 / 备模式的冗余部署方案，保证单台故障时业务不中断；整个系统采用模块化设计，支持主控模块冗余、业务模块冗余、接口模块冗余等，同时所有模块均可实现热插拔。X 系列数据中心防火墙支持多模和单模光口 Bypass

22、 模块，当在设备断电等特殊状态下，系统将启动 Bypass 模式，保证业务的不间断运行，还提供电源冗余、风扇冗余等关键部件的可靠性保证。功能规格：应用识别，用户认证，防火墙，攻击防护，入侵防御，Botnet Filter，带宽管理，链路负载均衡，服务器负载均衡，VPN，IPv6，高可用性 (HA)，虚拟系统(Vsys)，监控统计。3.校园网安全防御企业与软件推荐3.1国外防护杀毒赛门铁克企业介绍：是端点安全、电子邮件安全、数据泄露防护和 SSL 证书等领域的全球市场领导者，也是全球最大的信息安全厂商和服务商。为企业、个人用户和服务供应商提供广泛的内容和网络安全软件及硬件的解决方案，可以帮助个人

23、和企业确保信息的安全性、可用性和完整性。服务项目：病毒防护、防火墙、VPN、风险管理、入侵检测、互联网内容及电子邮件过滤、远程管理技术及安全服务等。赛门铁克旗下的诺顿品牌是个人安全产品全球零售市场的领导者，在行业中屡获奖项。赛门铁克的杀毒软件主要致力于企业级服务器的病毒防范，但是两者的杀毒理念以及程序核心，包括病毒库与漏洞处理机制都是相同的，只是针对面不同而在防护偏向与易用性上略有差别，因此两款杀毒软件的杀毒理念是完全相同的，采用的杀毒引擎也是一样的。校园网用户的可使用性：诺顿的杀毒软件并不只是一件简单的防毒工具，简单的杀毒软件会不断的提示用户发现可疑现象或文件，给予客户诸多选择，而往往很多客

24、户根本不懂这些选项的意思，这类杀毒软件只有使用者具备一定的经验才能正确的掌握使用方法，才能发挥它的功能，诺顿是真正作为一款“产品”在销售，它能够判断处理病毒与威胁并给予简单的提示（例如重启后即可完全清除病毒），并且对于经验丰富的客户也能提供非常丰富的设置和规则制定，因此诺顿是适合高校校园网用户使用的。优缺点：诺顿其实才是目前世界第一的杀毒、防护、修复等等于一身的最强综合软件，赛门铁克要是都不知道的话，那么就算是白用杀毒软件了。不过鉴于诺顿软件夸张的售价，所以真正使用它的人很少。查杀率确实一般，但诺顿整体防护效果很好。卡巴斯基企业简介：卡巴斯基是一家国际信息安全软件提供商。卡巴斯基实验室提供每小

25、时更新病毒库、全天候多语言技术支持等各种服务，满足客户数据安全的特殊需求。 服务项目：公司为个人用户、企业网络提供反病毒、防黑客和反垃圾邮件产品。卡巴斯基是病毒防卫的技术领导者和专家。该公司的旗舰产品-著名的卡巴斯基安全软件，主要针对家庭及个人用户，能够彻底保护用户计算机不受各类互联网威胁的侵害。校园网用户的可使用性：卡巴斯基的产品因其顶尖的性能在全球获得了大量的重要用户。今天许多大型企业选择卡巴斯基保护数据安全，包括空中客车公司、Stemcor、BBC Worldwide、 Tatneft、Telecom Italia Mobile、Faber-Castell、法国电信、意大利外交部和法国教

26、育部等，也试用于高校购买以供学生使用，以加强校园网安全。优缺点：卡巴斯基的缺点不是很多，不过还是有的。卡巴斯基存在占用CPU资源较多，尤其是扫描和更新时，对CPU的占用较大，对硬件要求过高等问题。现在最新的2014版本对计算机资源占用进一步的改善，已经没有了以往给人的卡巴死机的印象，主流配置或是两三年前的配置足够流畅运行。综合功能的确强大，适合专业级的用户，因为他的设定功能相对要复杂的多，所以不建议入门用户使用。要是非要说一个它的缺点，那么就是他不是国产软件，更新存在问题。（2014政府争议，05-07年误杀事件很多）3.2国内杀毒防护金山：金山毒霸比较全面，他的套件提供的服务包括了漏洞修复、

27、木马扫描、Windows 关键补丁更新、网络防火墙、以及监控和杀毒。特别是他的防火墙，使用简单明了，没有复杂的设定，适合大多数人使用，不过，金山毒霸在查杀病毒方面是他的软肋，查杀效率不如江民和瑞星。瑞星：瑞星口碑比较好，因为他的查杀病毒相对要比金山强的多，但是瑞星的优点也同样是他的缺点，因为查杀功能强大，所以有时候常常会把实际没有病毒的文件一并查杀删除，还有就是瑞星的防火墙不是和杀毒软件捆绑在一起的，这一点并不好。腾讯电脑管家：腾讯电脑管家是免费专业安全软件，杀毒管理二合一，占内存小，杀毒好，防护好，无误报误杀。它拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复

28、引擎等世界一流杀毒软件内嵌杀毒引擎，可以保证杀毒质量。而且操作也很简单，板块明确，新手一试就会。此外 还增加广告过滤、安全沙箱，QQ账号的多维度防护。奇虎360：拥有一系列360产品，做安全卫士起家，所以在杀毒方面稍稍欠缺，但是，它的产品都免费下载呀，所以用户很多。几种查杀软件的比较赛门铁克擅长监控和防御，查杀率是中等偏上。较为智能，防火墙相当好。卡巴斯基，性能很全面，查杀率很高，监控严谨，防火墙相当好。最新版占内存不多，但占CPU多，CPU不好的机子会卡。而且对网络游戏的兼容性不好。国产杀毒软件，比如瑞星、金山、江民的防网页挂马都特别强，其它性能则相对不突出。其中，江民的启发和自我保护是最强

29、的，其次是瑞星，最后是金山。360就忽略不计。3.3知名网络安全厂商网御星云 主营业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理等方面。主要产品包括防火墙、UTM、IPSec VPN、防病毒网关、IDS、UTM、IPS、SSL VPN安全接入网关、web应用安全防护系统、安全数据交换、IDS、异常流量管理、流量优化网关、安全审计、安全管理共计13大类500余款产品，其中包括网络安全旗舰产品金刚万兆安全网关和应用安全旗舰产品SSL VPN，是国内信息安全产品线最全的企业。最最主要的产品是防火墙和安全网关。网络安全防护系列产品：FW防火墙、UTM多功能安全网关、IPS入侵防御系统、

30、上网行为管理、FlowOpt流量控制、AV防病毒网关、网御第二代防火墙等。网御第二代防火墙（NF）：符合公共安全行业标准GA/T 1177-2014的第二代防火墙网御第二代防火墙是基于自主操作系统开发的符合国内第二代防火墙标准的全新产品，该系统具备高性能、高安全性、高可靠性，提高了自身安全性的同时，加速了多线程的内容处理，为运行在其上层的防火墙、VPN、防病毒等安全引擎提供了强大而安全的性能支持。网御第二代防火墙在各个安全引擎中运用了新的算法和技术，针对病毒检测，内容分析等海量扫描活动使用了高效的启发式扫描；针对传统包过滤无法检测的威胁，采用了完全内容检测技术；针对未知的攻击行为，使用了实时动

31、态保护技术。网御第二代防火墙除了具备基本Gartner所定义的下一代防火墙集成深度包检测入侵测试、应用识别与精细控制等标准特性外，还具备终端管理与内网安全，私有安全云有效防御APT攻击等。网御第二代防火墙产品可广泛应用政府、教育、金融、媒体、能源、运营商、卫生医疗、大型企业、中小企业等行业。 绿盟科技为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供安全产品及解决方案。绿盟科技主要有自主研发的异常流量清洗系统、网络入侵检测系统、网络入侵防护系统、远程安全评估系统、Web应用防护系统等防护产品。检测防御类：绿盟NF防火墙系统，绿盟网络入侵防护系统，绿盟网络入侵检测系统，绿盟网络流量

32、分析系统，绿盟抗拒绝服务系统、绿盟抗拒绝服务管理中心，绿盟威胁分析系统，绿盟邮件安全网关，绿盟数据泄露防护系统，web应用防火墙，web应用防护系统（可管理）防Ddos攻击功能:DDoS（分布式拒绝服务）通常是指黑客通过控制大量互联网上的机器（通常称为僵尸机器），在瞬间向一个攻击目标发动潮水般的攻击。大量的攻击报文导致被攻击系统的链路被阻塞、应用服务器或网络防火墙等网络基础设施资源被耗尽，无法为用户提供正常业务访问。绿盟抗拒绝服务攻击系统能够及时发现背景流量中各种类型的攻击流量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量的通过。山石网科专注于网络安全领域的前沿技术创新，为企业级和运营商用户提供智能化、高性能、高可靠、简单易用的网络安全解决方案。它的防火墙是主要产品。山石网科T系列智能下一代防火墙（iNGFW）：采用了全新的威胁检测技术，基于行为分析，准确