关于我校网络建设的安全分析详解.doc

关于我校网络建设的安全分析 随着网络的高速发展，网络的安全问题日益突出，近年来，黑客攻击、网络病毒等屡屡曝光美国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是，在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在‘‘重技术、轻安全、轻管理’’的倾向。随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体。 随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨涨，网络用户的快速增长，尤其是校园网络所面对的使用群体的特征性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律的意识相对淡泊），如何保证校园网络能正常的运行不受各种网络的侵害成为各个高校不可回避的一个紧迫问题。 我校安徽财经大学（Anhui University Of Finance）位于安徽省蚌埠市，是一所以经、管、法学为主，跨文学、理学、工学、史学、艺术学八大学科门类，面向全国招生、就业的多科性高等财经院校，是安徽省重点建设的大学。学校于1959年5月始建于安徽合肥，时名为安徽财贸学院。2004年5月，经教育部批准，学校更名为安徽财经大学；同年9月，学校迁入龙湖东校区。学校现有交通路校区、龙湖西校区、龙湖东校区三个校区，占地总面积1014050平方米，固定资产总值742503万元，图书藏量201.3万册，各类中、外文期刊1700余种。应用防火墙?一、产品概述 通常，网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。 iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据（如URL、参数、链接、Cookie、请求行、头部信息、载荷等），区分正常用户访问Web应用和攻击者的恶意行为，对攻击行为进行实时阻断和报警。 iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。 iWall应用防火墙在安全防护体系中的位置和作用如下图所示： 二、工作原理 iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查，确保所有攻击行为被拒之门外。 天存HTTP安全模型采用匹配引擎和安全规则分离的方式。其工作过程如下所示： 三、产品特性 1.二阶段检查 漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。由于天存复杂匹配引擎支持多阶段多流程处理，因此天存核心规则集可以使用二阶段检查技术：对99%的正常访问可以初查后快速通过，对初查不合格的1%的可疑访问可以复杂匹配，精确识别。 2.加扰去除 黑客为了绕过应用安全程序或系统的检测，往往将攻击数据加扰（增加噪声）后提交。天存核心规则集可以有效识别和剔除加扰数据，包括：识别并压缩空格、识别并替换注释、大小写转换等。 3.编码识别 由于黑客攻击或者应用自身的需要，请求数据可能采用各种方式进行编码。天存核心规则集可以识别多种编码数据并进行解码，包括：HTML实体解码、URL解码、Unicode解码等。 4.多规则支持 支持任意多个规则集，可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集，并对其中的任意规则进行单独忽略，实现细粒度的安全配置。 优点特点分析 全面防御WEB应用层攻击如下图所示： Iwall WAF1000的优点和特点为：iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。 iWall应用防火墙使用了Web服务器核心内嵌机制、独立引擎规则驱动、数据预处理、两阶段模型、复杂匹配等多种先进技术，大幅减少误判和漏报，达到准确性和效率的平衡，并提供良好的用户自定义和扩充性。 2、 内网防火墙 内网防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。我们学校内网防火墙使用的是HilStone（山石网科）