贵州师范大学校园网Internet出口安全技术建议.doc

贵州师范大学校园网Intenet出口安全技术建议书 2005-11-23 内部资料，请勿扩散 第PAGE3页, 共 SECTIONPAGES 25页 贵州师范大学校园网 Intenet出口安全 技术建议书 华为3Com有限公司 目 录 TOC \o 1-3 \h \z HYPERLINK \l _Toc 第1章 贵州师范大学校园网Internet出口安全需求分析 PAGEREF _Toc \h 3 HYPERLINK \l _Toc 1.1 概述 PAGEREF _Toc \h 3 HYPERLINK \l _Toc 1.2 贵州师范大学校园网Internet出口安全分析 PAGEREF _Toc \h 3 HYPERLINK \l _Toc 第2章 贵州师范大学校园网Internet出口防火墙部署方案 PAGEREF _Toc \h 5 HYPERLINK \l _Toc 2.1 贵州师范大学校园网Internet出口防火墙部署方案设计 PAGEREF _Toc \h 5 HYPERLINK \l _Toc 2.2 贵师大校园网安全控制策略 PAGEREF _Toc \h 7 HYPERLINK \l _Toc 2.3 贵州师范大学防火墙部署方案特点 PAGEREF _Toc \h 8 HYPERLINK \l _Toc 第3章 贵师大校园网安全防范相关技术介绍 PAGEREF _Toc \h 11 HYPERLINK \l _Toc 3.1 ASPF PAGEREF _Toc \h 11 HYPERLINK \l _Toc 3.2 攻击防范 PAGEREF _Toc \h 12 HYPERLINK \l _Toc 3.3 实时流量分析 PAGEREF _Toc \h 13 HYPERLINK \l _Toc 3.4 内网地址安全 PAGEREF _Toc \h 15 HYPERLINK \l _Toc 3.5 HTTP访问控制 PAGEREF _Toc \h 16 HYPERLINK \l _Toc 3.6 SMTP邮件安全 PAGEREF _Toc \h 17 HYPERLINK \l _Toc 3.7 邮件告警 PAGEREF _Toc \h 18 HYPERLINK \l _Toc 3.8 二进制日志 PAGEREF _Toc \h 19 HYPERLINK \l _Toc 3.9 管理功能 PAGEREF _Toc \h 20 HYPERLINK \l _Toc 第4章 相关设备介绍 PAGEREF _Toc \h 22 HYPERLINK \l _Toc 4.1 Quidway? SecPath 1800F 防火墙 PAGEREF _Toc \h 22  贵州师范大学校园网Internet出口安全需求分析 概述 网络技术的普及，使网络攻击行为出现得越来越频繁，通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为以下几类： 非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。 拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。 信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。 数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。 贵州师范大学校园网Internet出口安全分析 随着校园网络建设的复杂化，贵州师范大学需要加强对校园网网络安全的有效管理和控制，这些管理和控制的需求主要体现在以下几个方面：。 网络隔离的需求： 主要是指能够对网络进行区域分割，对不同区域之间的流量进行控制，控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范的能力： 由于TCP/IP协议的开放特性，尤其是IP V4，缺少足够的安全特性的考虑，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。 流量管理