天津市北方教育网络优化、安全解决方案

2004-12-2　发布方：神州泰岳　网友评论 0 条　点击进入论坛

第1章天津市北方教育网络优化

1.1 网络拓扑（现状）

天津市北方教育网络拓扑如下示意图：

1.2 网络性能分析

从以上的网络拓扑图看，原来的天津市教育网络比较混乱。网络性能下降的主要原因在服务器上装的应用比较混乱。由于数据库与WEB服务器安装在同一台服务器上，这样当用户访问WEB服务器增加时，数据库访问速率急剧下降。同时所有的网络应用共享同一个数据库。网络的流量和带宽没有进行分配，当用户大量的下载软件、游戏和MP3，用户将无法访问WEB服务器。有些服务器的档次较低。

1.3 网络性能设计

根据对网络性能的分析，我们建议从以下几个方面进行网络性能优化：

1、网络资源进行重分配
对网络资源进行重新分配。如将WEB服务器与数据库服务器进行分离，目的是减少WEB服务器的压力，当用户增加时WEB服务器能够进行正常的工作。

2、增加数据库
根据网络应用的不同，建议采用增加数据库服务器来减轻数据库服务器的压力。建议WEB服务器采用一台数据库器，其他网络应用（如：游戏、MP3等）采用一台数据库服务器。

3、网络设备和硬件进行升级
根据网络性能的实际情况，我们建议在一些比较重要的服务器（如：WEB服务器）上进行硬件升级。对服务器的内存、CPU、硬盘、网卡等进行升级来满足网络性能的需要。

4、网络流量管理
建议在CAT 6506上进行流量划分。对下载区进行流量限定，WEB服务器给定一定的流量。这样无论下载区有多少用户下载，就不会影响用户对WEB服务器的访问。

5、购买较好的网络管理软件
购买一些较好的网络管理软件，通过网络管理软件对网络设备、服务器和应用系统等进行优化配置、网络性能优化、网络故障定位和网络故障恢复等。

6、建立良好的网络管理制度
为了满足网络性能始终处在最佳的工作状态。建议专人对网络性能进行管理，定期对网络进行优化。建立用户权限管理等一些制度。

注意：从网络建设的长远，建议更换操作系统、数据库、应用系统的移植、购买负载均衡器、WEB CACHE和七层交换机等。

第2章天津市北方教育网络安全

2.1 网络系统现状

天津市北方教育网络目前拓扑结构如下示意图：

如上图所示，目前天津市北方教育网络在安全方面的相应措施较少，应该说存在较多的安全隐患和威胁，如来自Internet的攻击等。而随着网络通信技术、计算机技术和信息技术的发展，计算机网络的安全问题日益突出，计算机网络安全对生产、业务和管理的影响也越来越大。为了提高天津市北方教育网络的安全性，使整个网络系统能够稳定、可靠地连续运行，我们可以先来仔细地分析一下目前网络系统在安全方面存在的一些问题，进而提出全面的解决方案。

2.2 安全风险分析

2.2.1 来自Internet的威胁

基于Internet的开放性、国际性与自由性，而天津市北方教育网络与Internet连接，这样内部网络将面临严重的安全危胁。因为，每天黑客都在试图闯入Internet节点，假如网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。各个行业内部网络中其办公系统及个人主机上都有一些涉密的信息，假如内部网络系统的一台机器安全受损（被攻击或者被病毒感染），就会同时影响到同一网络系统上的许多其他系统，透过网络传播，还会影响到与本系统网络有连接的外单位网络。

来自Internet的主要攻击手段有：

1)、信息窃取：攻击者从传输信道、存储介质等处窃取信息。如无线传输信号侦收、搭线窃听、窃收数据文件等。
2)、入侵：通过系统或网络的漏洞，进行远程访问、盗取口令、借系统管理之便等方法进入系统，非法查阅文件资料、更改数据、拷贝数据，甚至破坏系统，使系统瘫痪等。
3)、假冒：假冒合法用户身份、执行与合法用户同样的操作。
4)、阻塞：投放巨量垃圾电子邮件或无休止访问资源、数据库等手段造成网络的阻塞，影响网络系统正常运行。
5）、篡改：篡改数据、文件、资料（增加、删除、修改）。
6)、信息流量和流向分析：对网络中的信息流量和信息流向进行分析，然后得出有价值的情报。

2.2.2 数据传输

网络安全不仅是入侵者到内部网络系统上进行攻击、窃取或其它破坏，他们完全有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性。因此，对重要信息传输的网络，数据在链路上传输应该采取加密，并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。

2.2.3 入侵检测

通过自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了先进的网络保护功能。它可以帮助用户深入了解网络整体安全性、遵守的策略及网络内部的运行情况。

2.2.4 安全审计

对系统进行安全审计是非常重要的，它主要是通过检察网络系统中所有业务活动的记录，并对记录进行实时、半实时或脱机分析，以发现、告警网络系统中存在的非法活动，追查攻击活动，以降低遭受攻击的后果和风险。

网络系统的安全审计和监控主要体现在以下几个方面：

1、数据库、操作系统的审计。
2、防火墙出入口数据、日志审计。
3、应用业务软件、平台的审计安全。

2.2.5 备份与灾难恢复

根据天津市北方教育网络的实际情况，目前没有采取一些保护数据完整和可靠性的措施。当网络出现问题时要保证数据的完整性和可靠性，网站能永不停息的工作，建议对数据采用备份和灾难恢复以确保数据完整性和安全可靠性。

2.2.6 病毒防御

计算机病毒一直是计算机安全的主要威胁之一。能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。

2.2.7 安全管理

1、内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
2、机房重地如果任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。
3、内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
4、管理是网络系统中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起不必要的安全风险。

2.3 网络系统安全策略和体系

2.3.1 网络系统安全策略

针对上述天津市北方教育网络的安全风险分析，建议从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等方面出发，对面临和潜在的信息安全风险、来自网络内部和外部的攻击作出相应的安全防范。根据需要保护的各类信息及可承受的最大风险程度，制定与各类信息（系统）安全需求相应的安全目标，建立实现安全目标的安全模型和安全等级，并对信息安全进行评估，使风险、安全与投资达到最佳平衡。

具体从国家安全法规、安全管理和安全技术三方面进行：

1、安全法规：严格按照国家的有关安全法规进行管理和实施措施。
2、安全管理：安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。
3、安全技术：采用先进的安全技术，入侵检测、网络扫描、风险分析、对系统和应用系统进行定期打补丁修补漏洞、防病毒等。

2.3.2 安全体系结构

网络安全体系结构主要考虑安全对象和安全机制。安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。安全机制主要指为了增强网络系统安全而采取的一些相应措施。

依据对安全威胁、安全风险的分析和已经确定的安全策略，建立网络安全体系结构示意图如下：

2.3.3 安全体系层次模型

根据网络安全策略和安全体系，为了更好地规划、建设整个网络系统安全，将对网络进行层次划分。按照网络OSI的7层模型，网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。网络系统安全体系层次模型示意图如下：

1、物理层：物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）。
2、链路层：链路层网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段。
3、网络层：网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。
4、传输层：传输层主要指根据访问需求打开或关闭相应的服务器端口，以提高系统的安全性。
5、系统软件：系统软件安全要求保证客户资料、系统访问控制的安全，同时能够对系统软件上的应用进行审计。
6、应用平台：应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。
7、应用系统：应用系统完成网络系统的最终目的--为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全、通讯双方的认证、审计等手段。

2.4 网络系统安全设计

天津市北方教育网络系统的安全性有比较高的要求，我们认为应在对网络系统安全性进行全面、统一考虑的基础上，系统的安全措施应按系统体系建立，具体的安全控制系统主要由以下几个方面组成：网络安全、信息安全、入侵检测、审计、防病毒、安全管理等。

2.4.1 网络安全

在网络系统的安全方面，主要考虑两个层次：一是优化网络结构，二是整个网络系统的安全。]

系统安全是建立在网络系统之上的，网络结构的安全是系统安全成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由的优化。

网络结构的建立要考虑地域环境、现有中继状况、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。

网络结构的优化，在网络拓扑上主要考虑到冗余链路、冗余路由；动态路由协议的安全认证；专用网管链路；防火墙、加密设备/VPN网关的设置等。从一定程度上保证了数据传输的可靠性和安全性。

2.4.1.1防火墙/代理服务器技术

建立防火墙/代理服务器可以保护网络系统不受外来攻击，拒绝未经授权的用户，禁止易受攻击的服务，防止各类路由攻击，允许合法用户不受障碍访问网络系统等。在本系统设计中，推荐采用ASG-300来保护网络系统内部的重要资源，ASG-300具有普通防火墙的功能，并且针对目前黑客的攻击手段做了系统优化。把网络系统原有的Proxy Server放置在卫星通道入口处，以提高整个系统的安全性。

系统结构示意图如下：

2.4.1.2 加密设备/VPN网关

加密设备/VPN网关采用加密、签字、认证等算法来传输信息，保证敏感的数据不会被窃听、篡改，而且入侵者不能够冒名发送信息。在本系统中，为了保证一些比较重要的数据机密性，建议采用加密或签字等方式确保数据的安全、可靠性。在本方案中推荐采用ASG-300安全产品对传输信息加密，同时还取到保护内网的防火墙作用。

2.4.2 入侵检测

为了防止黑客对网络的攻击，我们从以下方面采取入侵检测服务：

1、定义哪些用户可以访问网络上的特定资源，保证只有授权用户才可以访问网络资源。
2、自动检测网络数据流中的攻击方式，即使正在进行之中的攻击也能检测。
3、以秘密方式运行，使攻击者无法感知到。黑客常常在没有觉察的情况下被抓获，因为他们不知道他们一直受到密切监视。
4、管理员可以指定禁止用户访问的URL，防止毫无效率的网上冲浪。
5、管理员可以定义表明可能会违反策略的字方式。这种方式防止了未经授权就通过e-mail或Web发送敏感数据等情况的发生。
6、网络管理员可以跟踪最终用户、应用程序等对网络的使用情况。它可以帮助改进网络策略的规划，并提供精确的网络控制。

2.4.3 审计与监控

通过相应设备ASG-300的审计、监控，记录用户使用计算机网络系统进行所有活动的过程，以提高系统的安全性。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。

另外，视天津市北方教育网络的实际需求情况，可以配置一些目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

2.4.4 备份与灾难恢复

为了数据完整性和可靠性，建议采用既简单有高效的备份和灾难恢复措施。

1). 备份
在数据备份方面建议采用磁带机加软件的方式实现，必要时可以采用双机热备对数据进行实时备份。对数据的备份建议每周采用一次完全备份，备份时间为每周星期天晚上24：00，备份方式采用自动备份；然后每天采用差异或增量进行备份，备份时间为每天晚上24：00，备份方式采用自动。

2). 灾难恢复
灾难恢复一般在系统或数据库出问题时采用，灾难恢复主要借助于磁带机和备份软件实现系统和数据库的恢复。灾难恢复的顺序与备份的方式完全相同，先备份的数据先恢复后备份的数据后恢复。

2.4.5 病毒防范

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术来实现。

ASG-300作为网络安全产品，它具有对进入内网的信息进行扫描、检测、封杀病毒的超常功能。

2.4.5.1 预防病毒技术
预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。

2.4.5.2 检测病毒技术
检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。

2.4.5.3 杀毒技术
杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进入网络进行传播扩散。

2.4.6 安全管理制度
网络的安全对策分为技术和制度（即管理规范）两个方面。除了强有力的技术支持外，必须建立完善的规章制度，实施严格的、科学的管理。可制定的制度有：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。经验证明，要实现网络系统运行的安全，必须做到技术措施和制度管理并重。

只有切实做好人事安全管理、操作安全管理、场地与设施安全管理、设备安全管理、操作系统和数据库安全管理、计算机网络安全管理、应用软件安全管理、密钥安全管理、计算机病毒防治等一系列安全管理制度的建立健全工作，认真落实制度，才能确保网络安全运行。

附：本次项目改造建议采取的安全措施如下：

第3章 ASG安全产品

ASG-300是新一代全方位的安全网关产品。它具有最高性能的体系结构设计，独特的ASIC协处理器，以及专门研制的BIOS和OS。ASG-300对网络安全问题提供了最好及最高性能的解决方案，如邮件病毒检测、网页内容过滤、入侵检测、传统的防火墙以及虚拟专用网络（VPN）等。ASG-300为企业和商业用户提供了高水准的网络安全服务和产品价值。

3.1 性能特点

3.1.1 防火墙

访问控制：基于策略的访问控制使得系统管理员能够根据需要设定安全策略。

网络地址转换（NAT）：把输出IP包上的内部网络IP地址转换为公用的IP地址，实现内部的IP地址的隐藏。

用户认证：设有内部用户认证数据库，实现对某些服务的有授权的访问。

服务：支持通常的服务如FTP、HTTP等，也支持用户自定义服务及用户自定义组服务。

时间表：防火墙可以制订对应于不同的时间表（日/周/月）的安全策略，这些时间表可分为一次性和循环的两种类型。

虚拟映射：通过把外部地址映射到内部或中立区网络上的地址使得外部用户能够访问内部的服务器。

3.1.2 虚拟专用网络（VPN）

为安全传输数据而在私用网络间建立起的经过加密的虚拟流量传输隧道。

连接：符合IPSec标准，支持隧道模式的ESP安全连接，支持站点到站点和远程的移动数据接入。

硬件级的加解密：独特的ASIC加解密算法加速设计与配置，符合IPSec标准的DES和3DES加密算法，在线可升级到AES。

用户认证：采用HMAC MD5 或HMAC SHA认证方法。

密钥管理：自动IKE密钥管理。

3.1.3 黑客攻击预防及保护

保护网络免于各种恶意攻击，如分布式的拒绝服务（DDOS）攻击（SYN FLOOD，ICMP FLOOD，UDP FLOOD等）、IP碎片攻击（PING OF DEATH，TEAR DROP，LAND）、IP地址欺骗攻击、端口扫描攻击、WINNUKE攻击等。

3.1.4 病毒检测及内容过滤

病毒检测：扫描所有进出的电子邮件及附件，并检测网页里的插件和下载的内容。

网页内容过滤和URL站封堵：过滤有安全隐患的内容，如ActiveX、javascript等，隔绝不需要的网址如成人网站和股票交易网站。

3.1.5 安全管理

基于浏览器的界面配置管理：支持通过安全SSL连接的本地及远程管理，支持多种语言及不同主题的管理界面选择。

基于LCD界面配置管理：通过对LCD前置面板简捷的操作即可实现对防火墙网络接口的地址设置和查询。

串行接口：为专业程序和通过串口设置远程调制解调器/终端服务器提供RS-232接口。

表格化的日志及报表：基于时间、服务和用户访问网页次数而生成的使用量、流量日志及报告。

在线升级：能够提供即时的在线升级服务，如病毒库更新、网址封堵清单等。（需有网络服务提供商）

3.2 ASG-300技术参数

已有 0 位对此文章感兴趣的网友发布了看法　

我来评两句	登录邮箱：密码：
请您在这里发表您的个人看法，发言时请各位遵纪守法并注意语言文明！
	匿名发表