校園網(wǎng)出口安全措施

分段式縱向防御保護

校園網(wǎng)出口部署了雙冗余的Cisco PIX535防火墻,，把校園網(wǎng)絡分成三個隔離網(wǎng)段：校園內(nèi)部各功能網(wǎng),、DMZ區(qū)、Internet,。通過防火墻的隔離,，防止了跨網(wǎng)攻擊,、網(wǎng)絡間干擾等安全隱患，同時病毒的感染范圍也可以得到有效的控制,，使各網(wǎng)段的安全性大大提高,。

校園網(wǎng)的核心交換機采用兩臺帶有IDS模塊的Catalyst 6500高性能交換機，通過IDS模塊,，增強對業(yè)務網(wǎng)的安全監(jiān)控,。

辦公自動化網(wǎng)（OA）是安全的關鍵部分，也是產(chǎn)生內(nèi)部安全隱患的主要環(huán)節(jié),。所以OA網(wǎng)采用F5 BigIP和Cisco的Pix防火墻,。F5 BigIP實現(xiàn)OA內(nèi)部服務器之間的負載均衡 ,，防火墻用來分隔辦公自動化系統(tǒng)的三層結(jié)構(gòu)（即Web、Application,、database）,，嚴格保護數(shù)據(jù)庫的安全。

分層的橫向防御保護

成功的安全解決方案應該在整個網(wǎng)絡基礎設施上采用集成化保護,，而不能只考慮某些專用的安全性設備,。因此，華東師范大學校園網(wǎng)實施了立體的集成化安全防御,。整個校園網(wǎng)就采用了包括路由器,、防火墻和交換機在內(nèi)的三層集成化的安全防御。

第一層防護由邊界路由器實現(xiàn),。邊界路由器提供Internet與校園網(wǎng)的連接,，學校的DNS服務器、WWW服務器和E-Mail服務器等一起位于PIX防火墻的DMZ區(qū),。為了對這些服務器提供有效的安全保障,，防止外部用戶對服務器進行非法操作，對服務器的內(nèi)容進行刪除,、修改等破壞,，必須對外部訪問的操作進行嚴格控制。利用Cisco路由器所具有的防火墻功能,，可限制外部用戶對各服務器進行的操作,，從而防止各服務器受到來自外部的破壞。

第二層防護由PIX防火墻保障,。PIX防火墻將企業(yè)內(nèi)部網(wǎng)和外部完全分開,，PIX是內(nèi)部各網(wǎng)絡子系統(tǒng)對外的惟一出口。通過使用PIX防火墻隔離內(nèi),、外網(wǎng)絡,，更進一步保障了內(nèi)部網(wǎng)絡的安全。

PIX對所有的訪問都可提供完整的記錄,，包括非法入侵嘗試,。PIX實現(xiàn)了從網(wǎng)絡層到應用層的安全保護，可通過對數(shù)據(jù)包源點地址,、目的地址,、TCP端口號和包長等因素對通信進行控制，禁止任何非法訪問,。

第三層防護由交換機提供。管理人員對Catalyst 6500核心交換機部署了IDS和防火墻模塊,，對復雜的內(nèi)部網(wǎng)進行有效的安全監(jiān)控,，這是抵御外部攻擊的第三道屏障,，也是防止內(nèi)部攻擊的有利手段。內(nèi)部各網(wǎng)段之間采用Cisco的防火墻模塊進行隔離,。對于內(nèi)部的服務器,，則置于防火墻的保護之下，對一些重要的處室（如財務處,、教務處,、招生辦等）也將他們位于防火墻的保護之中，校內(nèi)用戶無法訪問這些處室的桌面機以及服務器,，除非有特別的開放,。

無線網(wǎng)絡安全措施

無線網(wǎng)絡是一個開放的網(wǎng)絡，在安全性和易用性方面必須做出一些折中,。我們的方案如下：對于每個AP,，設置雙SSID，其中默認的SSID使用Portal驗證,，首先通過AP設置各移動站之間進行端口隔離,，使他們之間不能互相訪問；如果用戶需要訪問網(wǎng)絡,，我們通過CAMS系統(tǒng)彈出Portal頁面讓用戶認證,，用戶只有在認證通過后才能出網(wǎng)關進行訪問。用戶如果需要獲得更高的安全性,，則選擇另外一個SSID,，通過802.1x認證，在移動站以及基站之間進行數(shù)據(jù)的加密,。

用戶終端IP地址安全措施

目前我校師生的終端電腦采用DHCP獲得IP地址,，地址取得后可以無限制訪問校內(nèi)的資源。如果需要訪問校外資源,，學?！熬W(wǎng)絡驗證系統(tǒng)”自動彈出認證頁面讓用戶完成認證。為了防止用戶私自建立DHCP服務器造成網(wǎng)絡管理的混亂,，我們選用了支持DHCP Snooping功能的接入交換機,，用戶的IP地址分配只能來自網(wǎng)絡中心，而不能來自非法的IP地址提供者,。對于學校的職能部門,，因為存在一些專用服務器，為了防止用戶將IP地址手動設置成服務器的地址而造成沖突,，職能部門的接入交換機全部采用支持IP SourceGuard的交換機,，用戶必須從DCHP服務器取得IP地址才可進行通信，私自設定IP地址將會自動被交換機禁止,。

用戶終端系統(tǒng)安全措施

用戶桌面的安全包含兩個方面：一個是操作系統(tǒng)的安全性,，一個是應用程序的安全性,。

針對操作系統(tǒng)的安全性，為了能使用戶的桌面機及時獲得更新的操作系統(tǒng)補丁,，我們在校內(nèi)安裝了Windows更新服務器,，每天凌晨定時從微軟網(wǎng)站同步下載補丁程序，并及時下發(fā)給廣大客戶機,。

應用程序的安全性主要在于防止機器中病毒以及惡意程序的影響,，針對病毒影響，我們采用了兩層安全模式：一是提供專門的網(wǎng)站,，用戶直接從網(wǎng)絡上下載Norton的企業(yè)版客戶端,，安裝后由Norton服務器統(tǒng)一下發(fā)更新病毒庫更新程序；另外一個是我們在校園網(wǎng)出口以及各個匯聚節(jié)點放置基于集群的病毒網(wǎng)關,，一旦發(fā)現(xiàn)下聯(lián)的客戶機有中毒的癥狀,，則主動切斷用戶的連接，并將用戶的Http強行定向到網(wǎng)絡在線殺毒站點進行查殺病毒,，并通過自行編寫的ActiveX控件更改客戶端的注冊表,，使Windows客戶端的自動更新自動指向校內(nèi)更新服務器。為了防止惡意程序的影響,，我們在校內(nèi)網(wǎng)站的醒目位置提供Windows Defender供用戶下載,。

服務器系統(tǒng)的安全措施

對于Windows操作系統(tǒng)的服務器，采用Windows自動更新服務預防操作系統(tǒng)的漏洞,。對于UNIX操作系統(tǒng),，網(wǎng)絡管理人員時刻關心相關廠商的網(wǎng)站上的補丁列表，及時為系統(tǒng)打上相應的補丁,。

郵件系統(tǒng)的安全措施

學校的郵件系統(tǒng)采用Eyou的產(chǎn)品,，我們在Eyou系統(tǒng)中內(nèi)嵌了殺毒軟件，對用戶的郵件直接進行病毒的查殺,。對于出入學校的郵件,，我們采用美訊智的郵件網(wǎng)關，對出入學校的郵件進行垃圾郵件檢查,、病毒檢查,。