3、係統分析

xxx大學校園網絡在規劃時，已考慮到了安全方麵的問題，也采取了一些措施來保障網絡的安全，如使用防火牆、MPLS虛擬專用網等等。但是，這些安全措施是不完備的。

(1)校園網隻考慮了對外服務器的安全性，對內服務器則是暴露在內部交換機上，隨時可能受到來自內部用戶的掃描、窺探和攻擊；

(2)整個網絡沒有采取防病毒措施，如果病毒擴散，將會迅速蔓延到整個網絡，後果不堪設想；

(3)在目前隻有CNCNet出口的情況下，所有的服務器都接到一台防火牆的DMZ上，從係統效率來看，這樣是不合適的，如果將來接到了CerNet上，可以考慮將一部分業務如郵件移到CerNet出口處的防火牆的DMZ區上。

根據安全評估和檢測的結果，發現有以下問題：

(4)首先，整個網絡的結構複雜，服務器繁多，網絡管理員沒有合適的工具及時對整個網絡的安全狀況及時做出評估，無法防患於未然；

(5)其次，我們在對各服務器進行掃描的時候發現，有些服務器打開了多餘的服務，攻擊者可以通過它們威脅服務器的安全；

(6)最後，有些服務程序本身存在漏洞，這些漏洞可以通過升級服務程序或者對服務器進行設置進行彌補。

因此，我們不僅要采用新的安全設備和技術手段來加固現有的網絡係統，而且還要使用專業的安全服務對現有的服務器進行安全改造，全方位提高網絡的安全性。

4、方案實施

我們綜合采用防火牆、入侵檢測、內容過濾和安全評估技術，建立xxx大學校園網安全係統框架：

(1)建立完整可行的網絡安全、網絡管理策略與技術組織措施；

(2)利用防火牆將內部網絡、對外服務器網絡和外網進行有效隔離，避免與外部網絡直接通信；

(3)利用防火牆建立網絡各主機和對外服務器的安全保護措施，保證係統安全；

(4)利用防火牆對網上服務請求內容進行控製，使非法訪問在到達主機前被拒絕；利用防火牆加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控製在最低限度內；

(5)利用防火牆全麵監視對公開服務器的訪問，及時發現和阻止非法操作；

(6)利用防火牆及各服務器上的審計記錄，形成一個完善的審計體係，在策略之後建立第二條防線；

(7)在本部和各分校，利用入侵檢測係統，監測對內，對外服務器的訪問；

(8)在本部和各分校，利用入侵檢測係統，對服務請求內容進行控製，使非法訪問在到達主機前被阻斷；

(9)在本部使用入侵檢測係統的控製台，對各分校的探測器進行統一管理；

(10)在Internet出口處，使用NetHawk網絡行為監控係統進行網絡活動實時監控和內容過濾；

(11)在本部部署RJ-iTop網絡隱患掃描係統，定期對整個網絡的安全狀況進行評估，及時彌補出現的漏洞；

(12)使用安全加固手段對現有服務器進行安全配置，保障服務器本身的安全性；

(13)加強網絡安全管理，提高校園網係統全體人員的網絡安全意識和防範技術。