5网络安全保障系统.doc-邵阳学院.doc

邵阳学院网络安全保障系统建设 网络安全十分重要，尤其数据中心在今后的网络系统中承载全校师生的访问，、可控的数据访问时保障数据中心稳定运行的重要依据和条件，因此在数据中心建设过程中数据流的访问必须建立完善的安全保障系统。 安全保障系统从两个方面进行建设，分别网络安全防护、系统安全防护，如下安全防护 用于保障数据中心的从检查恶意代码防护等进行建设内容如下：控制的访问合法数据流访问 采用2套网络审计系统，分别对数据中心和校园网进行行为审计， WEB防火墙， 采用IDS，对非法网络入侵及恶意代码进行实时监测，检测攻击行为并记录产生告警信息下图： 数据中心拓扑性能防火墙 防火墙 本次采用两台性能防火墙，部署于数据中心汇聚交换机与邵阳学院核心交换机之间，高性能防火墙为主备或关系，即在其中一台防火墙故障的情况仍旧能保障数据中心各个应用系统对外正常提供应用访 两台高性能防火墙和学院校园网数据中心应用 高性能防火墙 具备4个万兆接口用于与数据中心汇聚交换机和邵阳学院校园网核心交换机互联，确保学院数万学生访问系统的带宽需求； 性能，大量突发流量访问各项应用系统时能够正常工作，建议防火墙处理性能≥20G 过滤和管理进出网络的数据包；封堵禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警； 进行内网地址转换；通过自身以及和IDS系统的联动达到阻止网络入侵和非法访问的目的； 其他附加的功能，如：负载均衡、应用层过滤、防病毒等功能。 网络安全系统 邵阳学院核心交换机与数据中心汇聚交换机上旁挂一台网络审计系统， 审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有为的证据。 WEB应用防火墙 邵阳学院数据中心邵阳数据中心汇聚交换机与群之间串接一台web防火墙系统，入侵检测系统 邵阳学院数据中心汇聚交换机上旁挂一台系统） 网络入侵检测系统通常由控制中心和探测引擎两个部分组成。控制中心为软件系统，安装在服务器上；探测引擎为软硬件一体化主机，采用旁路工作模式。 探测引擎负责监听该引擎所在的物理网络上的所有通信行为，识别反映已知进攻的活动模式并报警，使管理员时刻了解网络系统的异常行为，为安全策略制定提供参考依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。 在发现入侵行为后，能够及时做出响应，包括通知防火墙系统，利用防火墙阻断功能切断可疑的网络连接，并记录时间信息。 入侵检测系统和其他审计跟踪产品结合，可以提供针对企业信息资源的全面审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。IDS可以防止或减轻下述的网络威胁： 识别黑客常用入侵与攻击手段 入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。 监控网络异常通信 IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。 鉴别对系统漏洞及后门的利用 IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式，对连接端口以及连接中特定的内容等特征进行分析，有效地发现网络通信中针对系统漏洞进行的非法行为。 完善网络安全管理 IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的数据监测、主动扫描、网络审计、统计分析功能，可以进一步监控网络故障，完善网络管理。 系统安全防护 从扫描平台等进行建设内容如下：及分发系统，对数据中心的服务器系统的的查杀和补丁检测监控 采用网络漏洞扫描系统的存在的漏洞信息并生产报告给管理人员 如下图： 系统安全防护拓扑图 病毒软件与分发系统 系统安全防护部分用户 通过防病毒软件的 漏洞扫描系统 邵阳学院数据中心汇聚交换机上旁挂一台漏洞扫描系统 主要功能要求如下： 扫描功能：可以扫描任何应用TCP/IP协议的网络主机或网络设备，扫描内容包括端口扫描、帐户扫描、网络设备扫描、操作系统识别、数据库扫描和Web扫描等。 应适应多种操作系统：能够准确地识别各种操作系统：如Sun Solaris、SCO Unix、HP-UX、IBM Aix、Digital UNIX、SGI IRIX、Linux