在实际建设中遵循以下指导思想：宏观上统一规划，同步开展，相互配套;在实现上分步实施，渐进获取;在具体设计中结构上一体化，标准化，平台化;安全保密功能上多级化，对信道适应多元化。

　　(二)网络安全建设目标：针对学院网络系统在实际运行中所面临的各种威胁，采用防护、检测、反应、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，确保学院网络系统安全可靠的运行。

　　(三)安全体系技术方案

　　1、网络级安全方案

　　从网络的高度构建一个安全平台，解决北京城市学院网络系统的边界安全、数据传输等安全问题，公用信道上敏感信息传输的安全保密问题以及网络入侵检测和预警系统的问题。

　　a、解决方案：网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制，采用安全检测手段防范非法用户的主动入侵。

　　在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的nat功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。

　　b、产品实施：网络层通讯可以跨越路由器，因此攻击可以从远方发起。ip协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如ip sweep， sequence insert， teardrop，sync-flood， ip spoofing攻击等。 防火墙是近年发展起来的重要安全技术，在学院网络系统中其主要作用是在网络边界处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

　　c、天融信防火墙在该学院网络中的应用：

　　边界防火墙的配置：由于在该学院网络边界处已经配备的防火墙可能不支持topsec联动协议，因此将此防火墙更换掉用于其他网络部分，如可以放置在9、10层计算机实验室的出口处用于保护学生上网时对教学区、图书馆网络的非法访问。根据网络具体流量情况，采用型号为ngfw4000，支持topsec联动协议，标准配置三接口的防火墙，其最大并发连接数将近60万个，其中两个接口分别接外网和内网两个网段，第三个口可以作为预留。

　　内网保护服务器群防火墙的配置：而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键，因此必须在其级联的p333t交换机与核心交换机p550r处配备一台能够支持topsec联动协议的、高性能天融信网络卫士防火墙4000系统，用于对内部服务器群的访问和联动保护。此处建议采用型号为ngfw4000-s标准配置三个接口的防火墙，其最大并发连接数达到60万个，一个接口接核心交换机，一个接口接级联交换机，另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。

　　原来边界防火墙的再利用：由于原来的边界防火墙不支持topsec联动协议，把它替换后可以将其放置在9、10层的计算机实验室网络的出口处，用于保护其对教学网和图书馆网络系统的访问控制。

　　d、天融信网络卫士4000防火墙特点：

　　· 防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上，基于对网络安全的深刻理解，融合网络科技的最新成果，独创了系列安全构架和实现技术，经过多年的研究和近两年的开发所完成的最新一代防火墙产品。

　　· 应能够配置成分布式和集中统一管理，由防火墙管理代理程序和管理器组成。

　　· 管理安全、方便灵活，防火墙4000经过简单的配置即可接入网络进行通信和访问控制，gui管理界面提供了清晰的管理结构，每一个管理结构元素包含了丰富的控制元和控制模型。

上一页 [1] [2] [3] 下一页