校园网安全整改网络安全加固校园网络安全整改

目录 1目录 41、 校园网安全现状概述 41.1 对当前校园网络现状的研究分析 41.1.1网络安全设施配备不足 41.1.2系统和软件漏洞 41.1.3 计算机病毒的泛滥 41.2 主要面临的安全威胁 41.2.1、网络物理安全面临的威胁 51.2.2 计算机病毒和木马程序带来的危害 51.2.3 内部威胁 51.2.4黑客的威胁和攻击 51.2.5对应用服务器的恶意攻击 61.3 安全隐患汇总 62、 校园网络安全整改概述 72.1 校园网安全模型设计 72.2 校园网络拓扑整改 82.3 全网安全策略设计 82.3.1 网络边界防护 82.3.2 对服务器的保护 92.3.3 漏洞扫描修复系统 92.3.4 校园网病毒防护 93、 设备技术详解 103.1 防火墙 103.1.1 概述 103.1.2部署方式 113.2 IDS&IPS 113.2.1概述 113.2.2 区别 123.2.3 选择的理由 123.2.4 部署方式 133.3 Web防火墙 133.3.1概述 133.3.2技术特性 153.3.3 选择的理由 153.3.4 部署方式 163.4 上网行为管理系统---netlog 163.4.1 概述 163.4.2 技术特性 183.4.3 部署方式 193.5 流量整形网关 193.5.1 概述 193.5.2 技术特性 213.5.3 部署的意义 223.5.4 部署方法 224、 安全部署 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 224.1 远程接入安全 224.1.2 概述 234.1.3 最佳部署方法 244.2 边界安全 244.2.1 边界路由器最佳安全部署方案 254.2.2 防火墙最佳安全部署方案 264.2.3 IDS最佳安全部署方案 274.3 内网安全 284.3.1 用户认证 284.3.2 行为记录管理 294.3.3 关键数据区域的防护 294.3.4 部署网络版杀毒软件 305、接入层交换机安全 315.1设置登录口令 315.2设置端口安全 315.3 dot1x端口认证 325.4使用各类型的访问控制列表 345.5禁用不必要或不安全的服务 355.6确保STP的安全 355.7 禁用所有未用的端口 355.8 防动态中继 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 DTP攻击 365.9 防范VLAN跨越式攻击 365.10限制登录 365.11使用安全的协议进行管理 375.12开启DHCP snooping 385.13开启DAI（动态ARP检查） 385.14 使用private-vlan 406、 主机加固 407、综述----安全联动 【摘 要】随着互联网的快速发展，网络在人们的工作、学习、生活中担当着越来越重要的角色。同时校园网在各大中专学校的应用也越来越普遍，对学校的教学质量的提高起着关键的作用。由于网络的开放性、国际性和自由性，使用户面临着严峻的安全性和不稳定性。而校园网的安全问题直接影响到学校教学和办公活动。这就需要我们对校园网络现状做综合分析，并做出一套实施可行的校园网络安全解决方案。 【关键词】网络安全、安全威胁、安全整改 校园网安全现状概述 本节旨在对当前校园网进行一个全面的安全分析，概述当今校园网面临的主要安全威胁并且找出网络中安全隐患。 1.1 对当前校园网络现状的研究分析 1.1.1网络安全设施配备不足 本学校在建立各自的校园网的时候，由于各方面的原因导致在网络中没有部署任何安全设备，并且缺少了一些必要的安全实施，导致各个机器是连接在整个Internet网络平台上的，整个校园处于一个开放的状态，没有有效的安全防范措施，容易导致外界病毒的入侵，后果严重。 1.1.2系统和软件漏洞 由于网络中的大多数网络设备和应用软件都是非正版产品，加上系统管理员和学校师生的不合理操作，这些网络系统和接口就会形成不安全因素。另外，大多数黑客入侵都是由系统的漏洞造成的。 1.1.3 计算机病毒的泛滥 计算机病毒是以一种人为编制的程序，分为良性病毒和恶性病毒，它具有传染性、隐蔽性、复制性、破坏性等特点。病毒的破坏性是巨大的，一旦学校网络中的一台电脑感染上病毒，短短几分钟之内就可能蔓延到整个校园网络，严重时会造成网络瘫痪。学校师生对文件下载、电子邮件的收发、QQ聊天等的广泛使用，使得校园网内病毒泛滥。所以应有效实施网络病毒的防范工作。 1.2 主要面临的安全威胁 1.2.1、网络物理安全面临的威胁 网络物理安全是整个网络系统安全的基础,通常指对网络硬件设备的破坏,是目前校园网中比较常见的一种安全威胁。主要表现在: 　　(1)自然灾害对整个网络系统造成的破坏，如：地震、雷击、火灾等； 　　(2)意外造成校园网网络线路的破坏，如： 施工 文明施工目标施工进度表下载283施工进度表下载施工现场晴雨表下载施工日志模板免费下载 不慎挖断线缆等； 　　(3)人为原因造成的破坏，如：网络设备被偷盗、被毁坏等。 1.2.2 计算机病毒和木马程序带来的危害 　　由于校园网接入的计算机数量很大，计算机普遍采用 windows 作为操作系统，而目前各种计算机病毒大多数都是针对 windows操作系统的，网络又是病毒传播的最好、最快的途径之一，病毒程序可以通过网上下载、电子邮件、盗版光盘或软盘等传播途径潜入校园网。因此，病毒的危害是不可轻视的。校园网中一旦有一台计算机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散，传播到校园网上的所有计算机,可能造成信息泄漏、文件丢失、破坏数据、毁损硬件、阻塞网络，甚至造成整个计算机网络传输中断和系统瘫痪。 　　现在的木马程序已经超过了一般病毒的危害性，在网络环境中,特别是对那些没有防备的计算机用户很容易被入侵者种下木马程序。计算机用户一旦被木马控制，其计算机内以及与之相连的计算机中的重要信息都会被窃取，甚至被破坏。这给我们的工作,学习和生活带来了一些不必要的麻烦。 1.2.3 内部威胁 根据调查报告显示，当今的校园网面临的主要威胁内部，很多学校都把对外的安全防护做的很到位，但是却忽略了来自内部的网络攻击。现在的学生计算机技术越来越高，黑客教程、工具在网上唾手可得，学生对黑客技术都有一种新鲜好奇感，在网上下载各种黑客工具，把学校校园网络当成他们的练习场所，这些都让网管不胜烦恼。必须同时重视内部和外部的安全威胁才能做到整体安全。 1.2.4黑客的威胁和攻击 校园网是与Internet互连的。由于Internet的开放性、国际性与自由性，校园网面临着严重的安全威胁。如果校园网与外部网络间没有采取一定的安全防护措施,校园网很容易遭到来自外网黑客的攻击。如:黑客通过嗅探程序来探测、扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放的TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序进行攻击，黑客通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息，黑客通过发送大量数据包对网络服务器进行攻击，使得服务器超负荷工作导致拒绝服务甚至系统瘫痪。 1.2.5对应用服务器的恶意攻击 针对校园网应用服务器的网络攻击，往往具有影响范围广、损失大、后续处理难度高的特点,是目前校园网管理员最关注的安全问题。校园网中较易受攻击的应用服务器主要是DNS服务器、Web应用服务器和邮件服务器。 DNS服务器使用UDP协议，较易受到恶意用户的攻击，目前针对DNS服务器的攻击主要有两类：一类是缓存区中毒，主要是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功,攻击者可以使发向合法站点的传输流改变方向，使其转向攻击者指定的站点。另一类是域劫持，攻击者利用用户升级自己的域注册信息时所使用的不安全机制接管域注册过程以控制合法的域。 Web服务器自身具有很多脆弱性，如Web服务软件自身存在安全问题，Web应用程序安全性较差，比较典型的是目前广泛应用的CGI程序和ASP、PHP脚本等，它们都具有严重的安全漏洞，而系统管理员由于种种因素限制，很难做出全面的处理，因此，极易受到某些用户的恶意攻击。 而正对邮件服务器的攻击主要是因为服务器系统的缺陷，如缺乏有效的邮件过滤机制和邮件转发限制机制，对其进行攻击。目前常见的攻击有两类：一类是中继利用，即远程主机通过被攻击的邮件服务器向外发送邮件。另一类是垃圾邮件，通过大量发送垃圾邮件，造成邮件服务器阻塞，增大校园网流量，甚至系统崩溃，同时还会给校园网带来经济上和名誉上的损失。 1.3 安全隐患汇总 校园网络安全整改概述 本节主要针对上节提出的校园网面临的威胁给出整改的方案，包括整改后的拓扑图，需要整改的安全模块和对涉及到技术进行一个简单的描述。 2.1 校园网安全模型设计 在下面这个模型中包括了安全的校园网设计需要部署的九大模块，安全的校园网设计是一个整体的规划和部署。 （1）安全到边缘的设计思想 用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。 （2）全局安全的设计思想 我们提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全局的角度把控网络安全。 完善的事件记录 利用身份认证实现对每个网络接入者的身份认证，结合内容管理设备记录每个操作者所有的操作，做到时候有据可查。 内外网同时防护 用防火墙、UTM等各种网络设备实现对外网到内网访问的严格控制，对内网的威胁控制使用WAF保证服务器的安全，使用IDS联动防火墙实现对内网的攻击提前发现和阻止。 漏洞和病毒防护 如今病毒层出不穷，防不胜防，各类软件和系统漏洞也是不停地暴露。这就需要在整个网络中部署网络版杀病毒软件和系统漏洞评估扫描工具实现对病毒和漏洞的早发现早修复 2.2 校园网络拓扑整改 针对当前校园网络完全没有部署安全设备的情况，现在在网络中添加防火墙、流量监控、上网行为管理系统、IDS、WEB防火墙等安全设备。实现严格的访问控制限制、用户接入认证、上网行为内容记录、流量合理分配、保护WEB服务器等各种安全目的。下面是改造后的网络拓扑 2.3 全网安全策略设计 全网的安全策略需要从下面几个方面进行设计和部署： 1、保护网络及基础措施的运行安全 2、保护边界/外部连接的安全 3、保护服务器群及重要系统的安全 4、加强系统安全管理及审计 5、建立系统应急响应机制 2.3.1 网络边界防护 在网络边界部署防火墙及入侵检测， 部署规则如下所示： 边界防火墙分为四个端口 A端口：只对内部开放 B端口：只对外部开放 C端口：DMZ区 防火墙与入侵检测联动示意图： 2.3.2 对服务器的保护 在网络中部署两台防火墙、一台IDS、两台WAF实现对内网服务器的全面保护，从下面三个方面来实现： 1、在防火墙上设置策略严格控制内网外对服务器的访问 2、防火墙不能检测的攻击行为，入侵检测系统检测出来后和防火墙联动，对入侵行为立刻阻断 3、对于SQL注入、跨站脚本攻击等专门针对WEB网站的攻击行为IDS和防火墙已经无能为力，这个时候就需要最后一层防护WAF作深层次的过滤并阻止攻击行为。 2.3.3 漏洞扫描修复系统 如今的网络各类网络、软件、系统漏洞层数不穷，需要在网络中部署一台网络漏洞扫描仪，对网络各个部分进行定期漏洞扫描，以发现网络漏洞，再从厂商那里获得最新的漏洞修复程序及时的填补漏洞。 2.3.4 校园网病毒防护 各类病毒和木马始终是网络面临的最大的安全威胁，现在的病毒扩散、感染、复制能力大大增强，如果让病毒在网络中泛滥，那么轻则服务器中毒不能正常提供服务，重则重要数据被窃取，造成学校经济和名誉损失。 可以在网络中部署网络版杀毒软件，相对单机版的杀毒软件有以下几个优势： 1、网络版杀毒软件只要服务器端升级，其余的客户端机子就不用升级了，这样就大大减小了企业在众多计算机的升级软件问题上浪费的时间。网络版可以在很多机器上安， 而单机版只可以在不多的几台电脑上安装，安装电脑太多的话，在线升级就不让用了。 2、网络版是用于小型局域网的,其工作原理是,在企业内部网的主机上安装网络版软件的Server端,在内网其它机器上安装软件客户端..这样,Server端升级后可以控制客户端升级,同时也可以控制客户端使用. 所以，网络版杀毒软件可以通过控制中心管理全网的客户端，远程实现统一杀毒，升级，设置，察看全网病毒情况，和单机版区别主要在管理方面，更加的方便，通过一台主控电脑升级后，客户端可自动升级病毒库 ，节省时间，提高工作效率。 设备技术详解 上面两节对于整个校园网做了一个概述，包括使用设备的技术和部署方法等等。这节对这些进行一个详细的说明。本节会把不同的设备作为一个单独的小节来讲述为什么要使用这台设备，部署该设备后对于整个校园网的安全的有哪些方面的提升，以及部署该设备的方法和涉及到的技术。 3.1 防火墙 3.1.1 概述 防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域) ，目前新型的防火墙应用都加上了一个DMZ区域。DMZ区域的作用就是将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这能使DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知。DMZ能提供对外部入侵的防护，但不能提供内部破坏的防护，如内部通信数据包分析和欺骗。 3.1.2部署方式 1、内部网络可以访问外部网络 内部网络的用户显然需要自由地访问外部网络。在这一策略中，防火墙需要进行源地址转换。 2、内部网络可以访问DMZ的主机 此策略是为了方便内部网络用户使用和管理DMZ中的服务器主机，同时也能享受这些服务器提供的服务。 3、外部网络可以访问DMZ的主机 DMZ中的服务器本身就是要给外界提供服务的，所以外部网络必须可以访问DMZ。同时，外部网络访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 4、外部网络不可以访问内部网络 很显然，内部网络中存放的是公司内部数据，这些数据不允许外部网络的用户进行访问。 5、DMZ不可以访问内部网络 很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内部网络的重要数据。 6、DMZ不可以访问外部网络 此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外部网络，否则将不能正常工作。在网络中，DMZ是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内部网络和外部网络直接通信，以保证内部网络安全。 防火墙的最终目标是在不同水平的信任区域之间或者内部通过安全策略的来控制数据包的传输和阻断。具体的策略涉及到各种协议，比如ICMP、telnet、snmp等等，还有各种应用，比如视频流、游戏、qq等等，都可以通过策略来控制。 3.2 IDS&IPS 3.2.1概述 IDS的核心功能是对各种事件进行分析，从中发现违反安全策略的行为。从技术上讲，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-base 对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 两种检测技术的方法、所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、未知的攻击。 IPS则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。 IPS实现实时检查和抵御入侵的原理在于IPS拥有数目众多的过滤器来防止各种攻击。当发现一种新的攻击手段时，IPS就会创建一个相应的过滤器。IPS数据包处理引擎是专门定制的集成电路，可以深层检查数据包的内容，如果有攻击者利用数据链路层至应用层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。 3.2.2 区别 从产品价值角度讲，IDS注重的是网络安全状况的监管。用户进行网络安全建设之前，通常要考虑信息系统面临哪些威胁、威胁的来源以及进入信息系统的途径、信息系统对这些威胁的抵御能力等方面的信息。在信息系统建设中和实施后也要不断地观察信息系统中的安全状况。从而有的放矢地进行系统建设，根据安全状况及时调整安全策略，减少信息系统被破坏的可能。 IPS关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后，可以在IPS中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同，IPS可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是IDS所做不到的。 从产品应用角度来讲，为了达到可以全面检测网络安全状况的目的，IDS需要部署在网络内部的中心点，需要观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，以达到掌控整个信息系统安全状况的目的。 而为了实现对外部攻击的防御，IPS需要部署在网络的边界。所有来自外部的数据必须串行通过IPS，IPS通过实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。 3.2.3 选择的理由 传统的防火墙只能对网络层或传输层进行检查，不能检测应用层的内容。所有流经IPS或者IDS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，可疑的数据包需要接受进一步的检查。 3.2.4 部署方式 若用户 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 在一次项目中实施较为完整的安全解决方案，则应同时选择和部署IDS和IPS两类产品。在全网部署IDS，在网络的边界点部署IPS；若用户计划分布实施安全解决方案，可以考虑先部署IDS进行网络安全状况监控，后期再部署IPS；若用户仅仅关注网络安全状况的监控（如金融监管部门，电信监管部门等），只需在目标信息系统中部署IDS即可。 最佳部署方法是用IDS和防火墙实现联动，这样避免了IPS在线部署带来的网络瓶颈、单点故障等问题同时又实现了应用层的过滤。 IDS和防火墙联动示意图 3.3 Web防火墙 3.3.1概述 　　随着计算机技术的发展和网络及其应用的普及，网络安全日益成为影响网络效重要问题。而Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，也对网络安提出了更高的要求。WEB 应用作为最流行的网络应用，在极大方便了人们的办公、信息获取、业务办理的同时，也给攻击者留下了更多的可乘之机，带来了很大的安全隐患。据国家计算机网络应急技术处理协调中心（简称CNCERT）监测，2010 年中国大陆有近3.5 万个网被黑客篡改，数量较2009 年下降21.5%，但其中被篡改的政府网站高达4635 个，比2009 年上升67.6%。作为专业的应用层安全防护产品-WEB 应用安全网关，由于其针对性强、易实施和管理维护等特点，已经成为实现网站安全防护最重要和最有效的安全网关产品。 　　由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。 如果说传统的“大而全”安全防护产品比如防火墙，能抵御大多数由工具产生的攻击行为，那么对于有针对性的攻击行为则力不从心。而WAF正是应需求而生的一款高端专业针对ｗｅｂ防护的安全产品，这也是市场需求细化的必然趋势。 3.3.2技术特性 Web应用防火墙应该具备的特性： ·深入理解HTTP。Web应用防火墙必须全面深入分析和解析HTTP的有效性。 ·提供明确的安全模型。明确的安全模型只允许已知流量通过，这就给应用程序提供了外部验证保护。 ·应用层规则。由于高昂的维护费用，明确的安全模型应该配合基于签名的系统来运作。不过由于web应用程序是自定义编码，传统的针对已知漏洞的签名是无效的。Web应用防火墙规则应该是通用的，并且能够发现像SQL注入这样的攻击变种。 ·基于会话的保护：HTTP的最大弱势之一在于缺乏嵌入式的可靠的会话机制。Web应用防火墙必须实现应用程序会话管理，并保护应用程序免受基于会话的攻击和超时攻击。 ·允许细粒度政策管理。例外政策应该只对极少部分的应用程序执行，否则，可能会造成重大安全漏洞。 具体特特性如下所示： web攻击防护 针对各种主流的攻击web攻击手段的防护，比如SQL 注入、XSS 跨站脚本、代码注入、会话劫持、跨站请求伪造、网站挂马、恶意文件执行、非法目录遍历等攻击手段 盗链爬虫防护 DCNWAF 能帮助网站防止盗链。盗链大大消耗了网站宝贵的带宽和服务器资源，WAF 能智能识别正常访问和通过盗链网站过来的访问，阻止盗链访问。WAF 能管理网站对网络爬虫的响应。网络上除了知名搜索引擎的爬虫之外，还有很多恶意爬虫无节制的爬取网站，占用大量带宽和服务器资源。 3、网站伪装 WAF 是应用层安全网关，应用层安全防护的重要特性就是会话内容的深度解析。基于这个特性，WAF 修改客户端和网站的交互内容，隐藏网站的有价值信息，以防止这些信息被攻击者利用。WAF 保证客户端和网站服务器之间没有直接的连接会话，只有数据内容的传递。自动屏蔽多种基于网络协议的攻击，是网站前面的坚固屏障。WAF 能隐藏网站服务器的件信息，如名称，版本号等等。攻击者用扫描器得不到这些内容，就不能进一步跟据服务器软件信息确定网站可能存在的漏洞，没法采取进一步的攻击措施。WAF 能自定义网页返回内容。在网站访问出现错误时，用自定义网页替代网站本身的出错页面提示信息，减少网站出错信息带来的信息泄漏。WAF 能隐藏网站的后台管理页面，只有管理员才能访问后台管理页面，降低了弱密码等后台管理页面被入侵的风险。 4、服务器状态告警 WAF 监控网站服务器的访问情况。当网站不能访问时，通过邮件、短信等手段及时通知理员。DCNWAF 支持多种方式监控网站服务器，监控粒度达到页面级。可自定义网站的 关键页面，当某个关键页面不能访问失败，而其他页面访问正常时，也能及时告警。 网页防篡改 WAF 对网站的静态页面做镜像备份。当服务器上的网页被篡改时，防篡改功能记录篡改后的页面内容、篡改时间等信息，作为证据保留日志，并自动恢复被篡改网页和报警。 web漏洞扫描 WAF 支持周期扫描功能，每天或每周定时扫描网站，及时发现新网页的安全隐患及时通知管理员。在服务器软件报告出重大漏洞时，WAF 会及时更新扫描规则库，检查被保护网站是否存在相关漏洞，并及时通知管理员。 敏感信息过滤 WAF 支持对网站上敏感信息的检查和过滤，防止网站上存在不良信息，防止网站上核心数据等内容的泄露。WAF 支持对上传信息的过滤，杜绝包含不良言论的论坛发帖。WAF 支持对下载信息的过滤，防止网站上有不良信息被公众看到，给网站声誉造成不好的影响。防止网站上的核心数据被下载，给网站造成重大损失。 DDos攻击防护 NWAF 采用行为建模和特征相结合的智能DDoS 攻击识别技术，可防护多种类型的DDoS 攻击，有效区分正常访问流量和攻击流量，保证正常访问流量的畅通，过滤掉攻击流量。WAF 可防护SYN FLOOD、TCP FLOOD、UDP FLOOD、ICMP FLOOD 等网络层DDoS 攻击。WAF 可防护cc 攻击等应用层DDoS 攻击。 9、产品架构示意图 3.3.3 选择的理由 现在市场上能做到对web防护的产品有IPS和WEB防火墙，那么为什么要选择web防火墙而不使用IPS对web服务器进行保护呢？下面我来进行一个详细的讲解。 为了更好的理解两款产品差异性，我们先用这个保镖（WAF）和保安（IPS）比喻来描述。大楼保安需要对所有进出大楼人员进行检查，一旦发现可疑人员则禁止他入内，但如果混进“貌似忠良”的坏人去撬保险柜等破坏行为，大楼保安是无能为力的。私人保镖则是指高级别、更“贴身”的保护。他通常只保护特定的人员，所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等，因为被保护人的工作是需要去面对不同的人，去不同的场合，保镖的职责不能因为危险就阻止、改变他的行为，只能去预见可能的风险，然后量身定做合适的保护方案。 这两种角色的区别在于保安保护的是整个大楼，他不需要也无法知道谁是最需要保护的人，保镖则是明确了被保护对象名单，需要深刻理解被保护人的个性特点。 通过上面的比喻，大家应该明白两者的之所以会感觉相似是因为职责都是去保护，但差异在于职能定位的不同。IPS是全局的防护，会处理所有的流量，而web防火墙则是专门针对web进行安全防护，只处理和web应用相关的流量。 两者的区别还有一个方面那就是一个是纵横度，一个是深度。IPS凸显的优势在于纵横度，也就是对于网络中的所有流量进行监管，它面对的是海量数据，TCP/IP模型中网络流量从物理层到应用层是逐层递交，IPS主要定位在分析传输层和网络层的数据，而再往上则是复杂的各种应用层协议报文，WAF则仅提供对Web应用流量全部层面的监管。　 综上所述，要是你想要你的web应用服务器得到专一的全方面的防护，那么选择web防火墙吧。 3.3.4 部署方式 1、串接模式 DCNWAF支持串接模式部署。透明模式部署的好处是不改变用户网络拓扑，即插即用，配置简单快速。 2.旁路模式 DCNWAF支持旁路模式部署。旁路模式部署方式为只有一个接口接入交换机，部署简单。 3.4 上网行为管理系统---netlog 3.4.1 概述 随着信息技术和互联网的深入发展，互联网日益成为人们工作、学习和生活的一部分。在享受互联网带来的巨大便利的时候，由其带来的负面影响和安全威胁也日趋严重。如何解决下面列出的这些问题。 如何阻止员工乱用P2P下载导致网络拥堵 如何阻止感染病毒导致网络瘫痪 如何过滤色情非法反动的网站的访问 如何对通过论坛邮件等传播非法言论进行监控 如何阻止员工在工作时间炒股、网络聊天、玩游戏造成的工作效率下降 管理员如何对用户行为进行安全审计，了解网络应用状况，满足公安部82号令要求 上面所列出的问题已经不是网络管理所能解决的，只有上升到用户和应用层面才能得到更好地解决，而上网行为管理系统就是应运而生的。 上网行为管理系统是一款专业的互联网出口管理设备，在上网行为监控及内容审计方面追求精细、准确；在管理方面追求精确、适度，为管理员提供了精细的、多维度、多角度的管理手段；在流量整形方面，产品追求高识别率、高准确度、高控制效果，为管理员提供灵活有效的流量管理手段；在操作管理方面，注重用户操作习惯以及管理易用性，并持续进行改进。   Netlog部署可以通过接入管理或第三方联动实现身份识别，基于用户的策略控制实现应用管理和流量整形，最终实现用户网络审计和统计，展现网络应用分布、提供准确的审计和统计信息，为网络管理提供准确的参考依据。 3.4.2 技术特性 1、灵活的部署模式   支持多种设备部署模式。除支持传统的串行路由、串行桥接、旁路模式，还支持混杂部署模式、集中管理模式；网络接入模式支持静态ip、802.1q、pppoe、网桥接入模式；路由模式支持静态路由、策略路由，支持NAT、SNAT、DNAT多种NAT功能，充分满足客户的各种部署环境和应用需求。 2、用户接入管理   上网行为管理的管理对象是最终用户，而落实到实现层面其实是对IP地址的管理，因此实现具体用户与逻辑层IP地址的关联，是基于用户、以人为本管理的基础 ，针对不同类型的内网用户，可以实现IP、MAC自动绑定，跨三层IP、MAC绑定，支持DHCP分配IP，支持即插即用，配合身份认证实现松紧有别的接入管理。 3、上网行为管理 ·URL分类及访问控制     Netlog产品对互联网访问行为提供强大、细致的审计功能。基于国内用户的网络访问习惯，开发本地特色的URL分类库，支持80多个大类涵盖千万条URL地址，满足企业基于URL的分类管理、访问控制和审计，向导式配置简单明了，基于URL的控制可以净化互联网访问行为。 ·行为识别及审计管理     Netlog基于DPI+DFI准确识别网络应用类别，支持网站访问、邮件收发、即时通讯、网络传输、P2P应用、网络游戏、股票软件、网络电视、音视频流媒体、应用代理等10多类、300多种网络应用种类，网络识别率90%以上。可以基于网络行为进行审计或阻断，为网络应用追踪提供详细、准确的依据。 ·流量整形管理     Netlog以应用为基础，以优先级为条件，辅以连接数、连接速率以及传输方向进行带宽管理策略设置。合理的策略设置能够使有限带宽资源未更多网络用户和应用服务，并可以通过优先级设置、权限设置等多种带宽管理方式来管理或限制网络娱乐或其它非业务应用对网络的占用，保证关键业务和正常业务的畅通。 ·上网行为统计     Netlog产品提供实时、历史数据统计，便于网络了解网络内部用户、流量、应用的构成情况。 基于用户上网行为生成丰富的统计报告，包括：用户行为、流量分析、时间走势、用户统计、组统计、应用排名、网站访问、论坛发帖、邮件收发、在线聊天、其他应用、对比报表12种报表。为实施更合理的网络访问控制、速率控制、内网用户上网规则提供详尽的参考数据。 ·上网行为管理系统的技术特性模型 3.4.3 部署方式 路由桥接模式部署模式如下图所示：   旁路部署模式如下图所示： 3.5 流量整形网关 3.5.1 概述 随着互联网络应用的飞速发展，给网络系统的正常运行带来了一系列的问题，其中最突出的是由络流量过大引发的网络拥塞。与此同时，互联网提供的服务日益多样化和复杂化，对网络流进行智能化的控制显得日益重要。然而Internet已经发展成为一个复杂的拥有海量信息的系统，对这一复杂系统的特性研究还存在大量待解决的问题。由于网络流量的复杂性，对于网络量的控制无法像其它系统一样方便地进行控制。 网络流量是网络业务的最直接载体，它能够接反映网络性能的好坏，理想状态的网络应当能够承载任何突发流量，直至超过网络的最大吞吐量。如果流量超过网络的负载能力，将会导致网络性能严重下降。网络流量的调度问题会直接影响网络性能，网络局部的突发流量很容易导致网络整体性能的下降，而网络中不同务流对资源的占用不同，也会导致少数应用流耗用大部分网络带宽的情况，严重影响网络资源的利用率。 因此，合理的流量控制策略显得尤为重要，我们要解决的问题不仅仅是发生拥塞如何去及时响应，更重要的是要制定合理的控制策略，避免拥塞的发生，并最大限度的利用资源。有效的管理和控制特定的业务流将对网络性能提高有着非常直接的意义。根据业务特性对网络流量的合理调度还能够降低单位带宽的投资成本，同时，对流量的合理控制也是满足QoS要求的前提。 流量整形网关结合DPI应用识别的准确和DFI应用识别的高效，实现对Internet流量保持90%以上的应用识别率，比如各类OA、VOIP、P2P、IM、在线视频等流量的准确识别，并提供强大的转发和控制能力。能够帮助网络管理者对网络资源和业务资源进行带宽控制资源调度，如对HTTP、FTP、SMTP以及P2P等应用进行管理，尤其是对P2P、在线视频流量进行抑制来提升传统数据业务的用户体验度。 3.5.2 技术特性 行为识别、会话深层检测技术   结合DPI应用识别的准确和DFI应用识别的高效，实现对互联网上各类复杂数据流的准确识别和控制。 ·支持如下主流基础网络协议：SSH、FTP（FTP CMD、FTP Data）、Telnet、Rlogin、TFTP、DHCP、Syslog、VNC、Wins、Radius、TACASC、LDAP、L2TP、PPTP、ISAKMP、IPSec、GRE ·支持如下主流OA应用：HTTP、HTTPS、SNMP、SMTP Over SSL、POP3、加密POP3、Outlook、Notes、网络打印、Oracle、MySQL、MSSQL ·支持如下主流IM应用：MSN、Skype、QQ、QQ-CHAT、QQ-Video、QQ-Voice、QQ-Remote、YahooMessage、GoogleTalk、SinaUC、BiLiao ·支持如下主流VoIP应用: SIP、SIP-TCP、SIP-UDP、RTP(G.723)、RTP(GSM)、RTP(G.728)、RTP(G.729)、RTP(H261)、RTP(H263)、H323 ·支持如下主流P2P下载：BT、BitTorrent、BitComet（比特彗星）、BitSpirit（比特精灵）、Xunlei（迅雷）、WEBXunlei（WEB迅雷）、QQ旋风下载、QQ网络硬盘、QQ急速下载、eDonkey、Emule、、Vagaa、POCO-P2P、KazaA-P2P、Kugoo（酷狗）、GNUTella、FlashGet、BiGET（百纳）、Huntmine（汉魅）、RayFile网络硬盘，以及加密P2P应用如加密eDonkey、Emule、Xunlei、BitTorrent ·支持如下主流视频或P2P视频：PPMATE网络电视、PPGou屁屁狗、天网Maze、PP点点通、BiGET百纳、PPStream、PPLive、PPFilm、QVOD快播、Funshion风行在线、FeiDian沸点电视等视频应用 ·支持如下主流股票软件应用：钱龙、同花顺、证券之星、广发证券、通信达、大智慧、华西证券、行情168、信泰钱龙 ·支持如下主流网络游戏应用：QUAKE雷神之锤、Battle战地1942、DOOM毁灭战士、联众网络游戏、浩方对战、劲舞团、热血传奇、跑跑卡丁车、热血江湖、街头篮球、大话西游、泡泡堂、魔兽世界、征途、完美世界、功夫小子、刀剑游戏、反恐精英等 2、带宽管理 基于准确识别各类网络应用数据流的前提下，保证关键数据流的带宽，同时阻止或者限制其他流量的带宽，做到带宽的合理分配，增强用户体验 ·带宽通道分类方式灵活组合：基于应用、设备端口、时间、地址、用户等属性进行带宽通道分类； ·带宽租借：可以将带宽通道下的空闲带宽租借给其它通道，在本通道带宽增加时再收回租出带宽，从而方便通道之间灵活调配带宽。 ·带宽智能巡航功能：跟踪并发用户数量的增减，根据接口或通道的带宽利用率动态调整带宽通道、主机速率、具体应用类型、主机具体应用类型四者的带宽上限阀值，避免链路出现拥塞的同时又可以确保出口链路带宽持续、稳定保持90%以上的利用率，改善最终用户网络带宽体验的同时促使用户投资得到最大回报。 ·带宽多维管理：在限制单用户总体带宽的同时，可以限制单用户多个具体应用的上限带宽，突破单维速率控制的局限，实现细腻带宽控制，例如可避免P2P类应用占用大量带宽，让用户获得更加平等和稳定的带宽体验； ·主机下行速率精确控制：实现主机从运营商获得的下行速率即为下行限定速率，从而确保下行链路数据均为有效转发数据，提升链路利用率 ·基于用户的QoS管理：基于用户的应用管理、速率管理，相对传统流量整形网关基于IP的应用管理、带宽管理更加灵活，实现用户行为可视化管理，满足用户移动需求下的速率和应用控制管理。 3、会话控制 ·会话全局控制：可针对全局会话总数、全局新建会话速率、单机会话总数、单机新建会话速率进行全局控制 ·会话特殊控制：可针对特定源IP或地址段、目的IP或地址段、具体应用类型实施非全局、个性化参数控制 ·协议区分控制：可针对TCP、UDP会话区分控制 ·链路区分控制：可针对不同链路设定不同的会话控制，实现灵活设置、区别控制 ·会话保护机制：独有的会话保护机制可对已建立会话和所有会话进行区分控制 3.5.3 部署的意义 具备流量控制能力的网络流量管理能够对严重影响业务运营者收入的未经许可的其他业进行抑制。比如，对于VoIP业务，我们可以通过对VoIP信令流量和媒体流量的关联检测和统计分析，以及通过截断媒体数据包、伪装信令报文等方式对流量进行管理。还可以通过综使用网络层、传输层和应用层检测技术，对未经许可的宽带私接用户采取中断连接、主动警、分时控制等多种管理动作。 流量控制还能够帮助网络流量管理实现业务资源的调度，并能够获得业务资源使用、业务态的实时情况。当某一网络应用业务服务器负载较大时，可以进行全局的业务资源负载均衡，以平均地承担业务请求；同时也能够对用户的业务请求进行调度，决定是否继续响应用户新的业务请求，并根据用户的优先级优先响应高优先级用户的业务请求，以提升业务运营效率。 对于网络流量管理来说，除了应该具有上述的流量识别、流量分析和流量控制的功能外，我们一般还希望其具有和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系功能，以提升整个网络的安全防护能力，从而更好地保证网络流量。比如，流量特征识别分就是一种必要的流量管理手段。它能够主动发现诸如DDoS攻击、病毒和木马等异常流量，好地弥补其他网络安全设备如防火墙、入侵防护系统（IPS）和统一威胁管理（UTM）等的不足，提升其主动发现安全威胁的能力，并能够及时向其他网络安全设备发出告警，从安全威胁源头开始就进行主动的防御。此外，具备流量识别能力的网络流量管理还能够获取并保存网络流量的网络层信息（例如，源/目的IP地址、应用端口、用户标识ID等信息），通过些信息，网络管理者能够对安全威胁进行溯源定位。总结而言，通过合理有效的网络流量管理能直观的为企业带来如下收益： （1）实现企业网络业务应用与流量的可视化； （2）对企业内员工的上网行为进行有效管理； （3）保障企业内各个关键业务应用的高效运行； （4）提高了企业网络系统的带宽使用效率，降低IT投 资成本； （5）降低企业IT管理部门的网络运维管理成本； （6）使企业的网络管理变得更灵活更人性化； （7）提高整个企业网络系统运行的可靠性、可控性和 安全性。 3.5.4 部署方法 流量整形网关一般采用串联在链路中的部署方法来实现对流量的监控和控制。 安全部署方案 本章旨在分析并且给出各类设备的最佳部署方案，按照远程接入安全、边界安全、内网安全、终端安全四个方面来整体分析校园网的安全架构和部署。 4.1 远程接入安全 4.1.2 概述 基于我们学校有较多的分校需要连接到本学校的网络中心进行教学资源的调用的情况的考虑，建议采用IPSEC VPN技术进行分支学校和本学校的连接。 VPN指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。 按照VPN技术类型来分类有三种：PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。 为什么选用ipsec vpn？因为他有下面几个特性：数据机密性、数据完整性、数据源验证、防重放。这些特性依赖于下面三个机制：IKE 、ESP、AH 。正因为这些特性是ipsec vpn成为当今互联网站点到站点之间vpn连接选用最多的方法。 4.1.3 最佳部署方法 根据不同的网络环境，ipsec vpn大体上可以分为以下五种类型的部署方法。 一、 常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景： 1. 响应方无论在何种环境都是固定的公网地址； 2. 发起方也是固定的公网地址； 3. 双方都是用IKE主模式进行协商； 4. 双方都互相指定对端IP地址，即双方都可以发起协商，没有固定的发起方、响应方； 5. 双方只能使用隧道模式，因为兴趣流192.168.1.0/24ßà192.168.0.0/24和IPSec隧道端点不一致。 二、 发起方公网地址不固定情况下的IPSec部署 上面这个场景比较常见： 1. 响应方地址固定，如6.16.5.6； 2. 多个发起方使用动态接入互联网方式，如PPPoE拨号，这种方式中，发起方每次拨号地址有可能不一致，所以在响应方中无法使用指定对端IP地址方式限制对端身份； 3. 发起方则必须要指定响应方IP，否则无法发起协商； 4. 双方可以使用预共享密钥方式对身份进行确认及保护； 5. 双方依然只能使用隧道模式； 6. 兴趣流的指定是比较有意思的事情，发起方是必须要配置兴趣流的，图中只举了一个发起方配置兴趣流的示例，那么响应方呢？响应方没有配置，而是采用由发起方指定的方式，即在协商过程中，响应方得知发起方的兴趣流是192.168.1.0/24à192.168.0.0./24，会自动为该响应方生成反向兴趣流192.168.1.0/24ß192.168.0.0./24，那么为什么要这么使用呢？ a) 发起方地址是动态的； b) 响应方无法及时提前获知发起方地址，因此没有指定发起方的IP地址； c) 由于响应方的兴趣流爷是与发起方相关的，而响应方中发起方的身份标识是IP地址，故响应方无法提前为发起方指定兴趣流； d) 替代方法就是响应方在协商过程中，动态地识别发起方，并接受发起方的兴趣流； e) 这种方式还能在响应方配置工作带来简化，不需要为每个发起方制定IPSec策略。 4.2 边界安全 网络边界是我们的网络与其他网络的分界线，对边界进行安全防护，首先必须明确哪网络边界需要防护，这可以通过安全分区设计来确定。网络边界是一个网络的重要组成部分负责控制网络的最初及最后过滤，对一些公共服务器区进行保护，负责链路安全的VPN 技术也是在网络边界设备建立和终结的，因此边界安全的有效部署对整网安全意义重大。 定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。可以划分为：互联网连区、广域网连接区、外联数据区、对外连接区、数据中心区、内网办公区、网络管理区等。在互联网连接区、广域网连接区、外联数据区、数据中心区等网络边界区域需要考虑以下几个安全部件：边界路由器、边界防火墙、IPS 那么下面我就按照这三类设备来谈谈如何部署才是最安全的部署方案。 4.2.1 边界路由器最佳安全部署方案 路由器在网络中承担路由转发的功能，它们讲流量引导进入网络、流出网络或者在网络 中传输，由于边界路由器具有丰富的网络接口，一般置于internet 出口或广域网出口，是流 量进入和流出之前我们可以控制的第一道防线。 那么如何做好这第一道防线的安全呢？下面从几个方面来分析 1、更新路由器IOS: 　　就像网络操作系统一样，路由器固件也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。 2、修改默认的口令: 　　据调查显示80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则可以避免这些低级漏洞导致的网络威胁。 3、禁用HTTP设置和SNMP(简单网络管理协议): 　　你的路由器的HTTP设置对路由器来说一个安全问题。如果你的路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP，那么你就不需要启用这个功能。 4、封锁ping请求: 　　ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。 5、严格限制登录 首先你应该禁用来自互联网的telnet，这可以通过限制telent的ip地址来实现。同时对于通过控制台，反转线等登录方式也要做限制。如果你先做的更安全的话，你可以结合AAA认证来实现对不同的用户、ip进行授权访问和审计。 　　 6、包过滤: 　　包过滤就是ACL，通过配置ACL仅传递你允许进入你的网络的那种数据包。比如仅仅允许仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外，你可以封锁和允许IP地址和范围。 7、审查安全记录 通过部署日志服务器并定时查看这些日志，你会看到明显的攻击方式，甚至安全漏洞。 这对于你对路由器的安全加固有很大的作用。 8、禁用不必要的服务: 永远禁用不必要的服务，无论是路由器、服务器和工作站上的不必要的服务都要禁用。 下面列举一些需要禁用的服务：CDP 、FTP 、TFTP、 PAD 、ICMP重定向、IP源路由、FINGER、IP定向广播。 这些服务都是你平时用不到的，但是如果一旦开启就会给黑客增加很多可以攻击你路由器的机会，所以建议关闭。 4.2.2 防火墙最佳安全部署方案 防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。防火墙可 以对边界路由器不能监控的流量进行更加深人地分析和过滤，并能够按照管理者所确定的策 略来阻塞或者允许流量经过。通过添加信任区域、非信任区域、DMZ区域，实现控制不同区域之间数据流传输和阻断。 那么如何部署防火墙最安全呢？ 1、部署两台传统防火墙，一台外网防火墙，一台内网防火墙，对于外网防火墙设置信任区域（内网）、非信任区域（外网）、DMZ区域（放置对外提供公共服务的服务器）实现控制不同区域之间流量传输和阻断。对于内网防火墙主要是为了防止内网攻击威胁到内网服务器，可以设置策略来阻断一些最基本的针对内网服务器的攻击。 2、在DMZ区域服务器、内网服务器和各自防火墙之前再加上WEB防火墙。由于传统防火墙只能防御2层到三层的攻击行为，但是对于应用层的攻击行为就无能为力，这个时候就需要web防火墙来为提供web服务的服务器做专门的有针对性的web防护。 4.2.3 IDS最佳安全部署方案 网络入侵检测系统作为一种旁路部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。 在网络中部署IDS主要是为了弥补防火墙在检测应用层攻击的不足之处，这是通过旁路部署IDS再和防火墙进行联动来实现的。防火墙侧重于控制，而IDS侧重于主动发现入侵信号，这决定了它们不能独立完成网络防护任务，且不能相互取代。例如，当IDS检测到一种攻击行为时，如不能及时有效地采取措施，这种攻击行为将对网络应用造成损害；若仅有防火墙，攻击者会利用防火墙合法的通道进入内部网络，使防火墙形同虚设。因此，IDS应该通过与防火墙的联动，动态地改变或增加防火墙的策略，通过防火墙从源头上彻底阻断入侵行为。 防火墙和IDS之间的联动方式可分成以下三种。 　（1）嵌入结合方式。把IDS嵌入到防火墙中，即IDS的数据来源不再来源于抓包，而是所有流经防火墙的数据流。所有通过的数据包不仅要接受防火墙检测规则的判定，还需要经过IDS的检测，分析其安全性，以达到真正的实时检测，这实际上是把两个产品合成一体。由于IDS本身就是一个复杂的系统，合成后的系统从实施到性能都会受到很大影响。 　（2）接口开放方式。即防火墙和IDS各开放一个接口供对方调用，并按照预定的协议进行通信。目前常见的形式是安全厂家以自己的产品为核心，提供开放接口，以实现互动。这种方式比较灵活，但这种依附于一种安全设备的方式容易产生瓶颈，不能有效发挥网络安全设备的优点，且不易扩展。 　（3）端口映像方式。防火墙将网络中指定的一部分流量镜像到入侵检测系统中，入侵检测系统再将分析后的结果反馈防火墙，并执行相应安全措施。 　如果让防火墙与入侵检测系统直接进行交互，它们之间需要统一的通信接口，虽然具有可靠性高和速度快等优点，但由于缺乏综合性的分析将会生成错误的防火墙访问控制规则（由入侵检测的误报造成），从而造成DoS和防火墙性能下降（访问控制规则数量过多）。 联动模型 　通过以上对联动方式的分析，本文提出一种基于联动控制中心的联动思想，充分发挥防火墙与入侵检测系统的优点，更有效地保护网络安全。联动部署图如图1所示。将IDS放在防火墙之后，根据网络的规模和安全要求可在多个位置安置数据采集点，并可根据实际情况在网络不同位置安装不同类型的防火墙。日志库用来存储IDS节点和防火墙大量日志和报警，进行统一分析并把分析结果传送到控制中心，由控制台分析制定联动控制策略，传送给相应联动节点。根据实际网络需求可添加其他网络安全设备，由联动系统作统一协调工作，对系统做进一步扩展。 联动示意图1 4.3 内网安全 据康斯坦丁大学的研究调查报告显示，校园网面临的安全威胁80.17%来源是内网。一直以来，安全防御理念局限在常规的漏洞扫描、防火墙、安全审计、防病毒、IDS等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。然而，来自网络内部的安全威胁却渐渐地突显出来，网络的内部安全问题大于外部问题，已经成为业界共识。频频暴露出来的违规安装软件，私自拨号上网，私自带入其他设备接入等情况使得内网安全隐患重重，进行内网系统安全优化建设已经刻不容缓。 本节从内网安全最主要的两个大的方面入手介绍：内网接入和控制安全防护、关键数据区域安全防护。 在用户网络内部，终端一般是通过交换机接入内部网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合安全 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的用户接入网络，AAA可以通过交换机的配合，强制终端用户在接入网络前通过入网强制技术进行身份认证和安全状态评估，帮助管理员实施安全策略，确保终端病毒库和系统补丁得到及时更新，降低病毒和蠕虫蔓延的风险，阻止来自用户内部的安全威胁。 我们也要对核心数据区域（比如数据中心、应用业务服务器区等）的安全保护有足够的认识。通过在关键数据区的入口添加安全联动控制器（IPS和防火墙的联动），可以强制所有访问关键数据区的用户进行入网强制和安全状态检查，确保用户访问关键数据时不会无意中因病毒和蠕虫对其产生破坏。这种保护方式也可以阻止外部用户对敏感数据的非法访问和攻击。 4.3.1 用户认证 对于每一个入校园网的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户PC机的IP地址、用户PC机的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以达到如下的效果： 每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用 当安全事故发生的时候，只要能够发现肇事者的一项信息比如IP地址，就可以准确定位到该用户，便于事情的处理 只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。 上述要求可以通过专业的AAA认证来实现，比如我们学校的锐捷认证系统。 4.3.2 行为记录管理 我们学校采用锐捷的认证系统已经达到上述要求。但是怎样对上网用户的行为进行管理和记录，做到事后有证据可查？这就需要用到上网行为管理系统来实现，它能实现以下效果 内容管理 上网行为管理系统系统提供庞大的URL数据库，支持全面准确的网页过滤；并采用先进的关键字过滤技术，对网站访问、邮件、即时通讯、BBS、搜索引擎等进行细粒度的内容实时过滤、报警和信息还原，实现灵活精确的内容安全管理。 行为管理 上网行为管理系统系统提供全面的网络行为管理功能，根据设定行为管理策略，对网站访问、邮件收发、即时通讯、论坛、网络游戏、炒股软件、P2P下载、在线视频等网络应用行为进行监控，对符合行为策略的事件实时告警、阻断并记录，实现全程网络行为监管。 流量管理 上网行为管理系统系统提供基于协议识别的流量分析、带宽管理功能，可实时统计出当前网络中的各种报文流量，管理各种网络应用带宽，并可根据综合流量分析结果及管理策略，合理分配带宽资源，提高网络资源利用效率。 产品架构示意图： 4.3.3 关键数据区域的防护 我们学校在机房中心有很多内网服务器，上面保存这很重要的数据，如果这些数据一旦损坏或者遭受黑客窃取，会对学校经济和名誉造成不必要的的损失，可以分六层安全防护来保护关键数据区域服务器的安全。 第一层、在到达服务器途中的网络设备上限制对关键数据服务器的访问权限，比如限制可以访问的ip地址，修改默认访问端口等等 第二层、传统意义上的防火墙，这类型的防火墙可以有效阻止二层和三层的网络攻击 第三层、WEB防火墙，这类型的防火墙是专门为提供web应用的服务器而设计的安全防护设备，可以有效组织应用层上针对web的攻击行为 第四层、对于防火墙不能识别的应用层攻击，可以由IPS识别出来，之后再通过联动接口把分析结果发送到防火墙，有防火墙来组织 第五层、在整个网络中部署网络版杀毒软件，实现全网杀毒和漏洞升级，在第一时间阻止病毒的扩散。 第六层、在每台服务器本身修改和配置安全策略，达到安全的最大化。对于widows和linux服务器的安全配置我会在另外一个文档中详细交代。 4.3.4 部署网络版杀毒软件 各类病毒和木马始终是网络面临的最大的安全威胁，一般都是通过在网络总部署杀毒软件来实现病毒的查杀，对于一个大型网络来讲，在每台计算机上部署单机版的杀毒软件是不现实的，我们选择在网络中部署网络版的杀毒软件来解决该问题。这样可以通过控制中心管理全网的客户端，远程实现统一杀毒，升级，设置，察看全网病毒情况，通过一台主控电脑升级后，客户端可自动升级病毒库，节省时间提高工作效率。 网络版杀毒软件工作示意图： 5、接入层交换机安全 本来这一章是属于内网安全这一章的，但是我认为他是网络安全中最重要的也是直接和用户连接的一环，我把它单独作为一章进行描述。 直接和终端用户连接的交换机是网络安全的第一道防线，做好了这道防线可以拦截大部分的网络安全威胁，目前局域网威胁主要来源于两个方面：ARP欺骗和ARP泛洪。而这些可以通过接入层交换机做到很好的防护。关于接入层交换机的安全部署和最佳配置我在下面详细的列举出来，可以根据需要配置。 5.1设置登录口令 5.2设置端口安全 Switch(config)# interface f0/2 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 10 Switch(config-if)# switchport port-security mac-address 0000.0000.0011/sticky Switch(config-if)# switchport port-security violation shutdown 5.3 dot1x端口认证 配置IEEE802.1X认证 1） 进入全局模式   configure terminal 2） 启用AAA     aaa new-model 3） 建立IEEE802.1x认证列表     aaa authentication dot1x {default} method1     default:将后面指定的身份验证方法作为默认配置，自动作用于所有IEEE802.1x     method1:指定身份验证的方法 4） 启用IEEE802.1x授权     dot1x system-auth-control 5） 建立授权（可选）     aaa authorization network {default} group radius     指定通过RADIUS服务起来建立授权 6） 指定RADIUS服务器的地址     radius-server host　IP地址 7） 指定密钥     radius-server key 密钥 8） 进入接口模式   interface 接口 9） 启用IEEE802.1x认证      switchport mode access dot1x port-control auto 10） 验证结果     show dot1x 5.4使用各类型的访问控制列表 5.4.1 RACL 针对路由接口的控制通信流量的安全策略。交换机在硬件中支持包含允许和拒绝操作的RACL。RACL的配置方式与常规的ACL相同。 在交换机中，用户可以在任何路由接口中应用RACL，其中包括如下接口： *SVI（交换虚拟接口vlan端口） *第3层端口或路由端口 *第3层端口通道 *其它第3层接口 包括标准、扩展、命名三种类型的访问控制列表，使用acl过滤某些病毒的特定端口号实现隔离被病毒感染的主机。 5.4.2 VACL VACL又称为VLAN访问映射表，应用于VLAN中的所有通信流。VACL支持基于ethertype和MAC地址的过滤，也支持Ipv4的IP地址过滤。与基于cisco IOS的路由映射表一样，vacl中条目的顺序并非无关紧要。VACL不定义方向（进或出）。一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。 支持多种VACL操作： * 转发（允许）：这种VACL操作像通常那样转发帧。如果希望配置交换机端口分析器（SPAN）选项，必须采用带capture选项的转发操作；SPAN是一项用于将数据帧复制到监控端口的排错特性。这种VACL对于配置多个SPAN端口并连接网络监控设备（如第三方IDS设备）很有用。 * 丢弃（拒绝）：流与某个ACL丢弃（拒绝）条目匹配后，将它同下一个ACL条目进行比较。如果流不予任何ACL条目匹配，且至少配置了一个针对数据包类型的ACL，则流中的数据包将被丢弃 * 重定向：VACL重定向操作对于出于监控、安全或交换的目的而重定向特定通信流很有用。 Switch(config)# ip access-list extended http Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map2 10 Switch(config-access-map)# match ip address http Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# ip access-list extended match_all Switch(config-ext-nacl)# permit ip any any Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map2 20 Switch(config-access-map)# match ip address match_all Switch(config-access-map)# action forward Switch(config)# vlan filter map2 vlan 1 5.4.3 PACL 通过控制端口级别的流量，PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。 在使用PACL的时候，能够在第2层接口上应用如下的ACL: * 标准访控（针对源IP地址） * 扩展访控（针对源IP地址和目标IP地址以及用于第4层协议类型信息） * MAC扩展访控（针对源和目标MAC地址，还可以使用第3层协议类型信息） 当PACL应用于trunk端口上时，ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候，ACL将过滤数据和语音VLAN的流量。 对于PACL，通过采用IP访问控制列表，将能够过滤IP流量，通过采用MAC访问控制列表，将能够过滤非IP流量。此外，通过在接口上应用IP访问控制列表和MAC访问列表，将能够过滤相同的第2层接口上IP流量和非IP流量。 配置MAC扩展访控： 1）进入全局模式   configure terminal 2）定义mac扩展访控名称     mac access-list extended 名称 3） 定义相应访问控制列表语句     deny|permit [any | host 源MAC | 源MAC 源MAC掩码] [any | host 目标MAC | 目标MAC 目标MAC掩码 ] [ aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos] 4） 应用访问控制列表到第2层接口     进入接口模式     interface 接口     应用访控         mac access-group 访控名称 in                  对于端口ACL而言，只有进入的方向可以加访控 5） 验证结果     show access-lists [列表号|名称]     show access-group [interface 接口] 案例： switch#configure terminal switch(config)#mac access-list extended cisco switch(config-ext-macl)#permit host 0011.abcd.abcd host 0011.1111.1111 switch(config-ext-macl)#exit switch(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 host 10.10.2.2 switch(config)#access-list 101 permit ip any any switch(config)#interface f0/23 switch(config-if)#switchport mode trunk switch(config-if)#ip access-group 101 in switch(config-if)#mac access-group cisco in switch(config-if)#end switch#show access-lists switch#show access-group interface f0/23 5.5禁用不必要或不安全的服务 　　在交换机上尤其是三层交换机上，不同的厂商默认开启了不同的服务、特性以及协议。为提高安全，应只开启必须的部分，多余的任何东西都可能成为安 全漏洞。可结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。 　　1.禁用Http Server 　　no ip http server 　　2.禁用IP源路由，防止路由欺骗 　　no ip source route 　　3.禁用Finger服务 　　no service finger 　　4.禁用Config服务 　　no service config 　　5.禁用Hootp服务 　　no iP hootp server 　　6.禁用小的UDP服务 　　no service udp-small-s 　　7.禁用小的TCP服务 　　no service tcp-small-s 还有很多没有写入 5.6确保STP的安全 　　保护生成树协议，主要是防范其他分公司在新加入一台交换机时，因各单位网络管理员不一定清楚完整的网络拓扑，配置错误使得新交换机成为根网桥， 带来意外的BPDU。因此，需要核心管理员启用根防护与BPDU防护。  　　1、根防护 Switch(config)#spanning-tree guard root 　　2、BPDU防护： 　　Switch(config-if)#Spanning-tree Portfast bpduguard default 如果要在所有端口上启用BPDU防护，可使用下面的命令： Switch(config)#Spanning-tree Portfast bpduguard enable 3、UDLD 4、环路防护 5、portfast 6、uplinkfast 7、backbonefast 5.7 禁用所有未用的端口 1、一定要将未使用的端口 ShutDown掉。并且，此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。 2、把所有不用的端口不要放在vlan1里面，安全的做法是把不用的端口放在一个新建的vlan里面并且shutdown。 5.8 防动态中继协议DTP攻击 　　交换机通过交换DTP协议，动态协商中继链路的用法和封装模式。然而，如果交换机中继端口模式为Auto，它将等待处于模式Auto或On的另 一台交换机的请求建立连接。这时，如果恶意用户利用DTP尝试同交换机端口协商建立中继链路，攻击者将可以捕获任何通过该VLAN的数据流。 　　防范方法是：将任何连接到用户的端口配置为Access模式，从而使它不能以Auto模式使用DTP。需要使用的命令为： 　　Switch(config-if)#switchport mode access 5.9 防范VLAN跨越式攻击 　　在这种攻击方法中，攻击者位于普通VLAN，发送被双重标记的帧，就像使用的是802.1q中继链路。当然，攻击者连接的并非中继线路，他通过 伪造中继封装，欺骗交换机将帧转发到另一个VLAN中，实现VLAN跨越式攻击，从而在数据链路层就可非法访问另一VLAN。 　　防范方法是：首先，修改本征VLAN ID并在中继链路两端将本征VLAN修剪掉命令为： 　　Switch(config-if)#switchport trunk native vlan 200 　　Switch(config-if)#switchport trunk allowed vlan remove 200 　　然后，强制所有的中继链路给本征VLAN加标记，命令为： 　　Switch(config)#vlan dotlq tagnative 5.10限制登录 概述 限制某些特定的主机才能telnet或者snmp 只有合法的源地址才能管理设备 限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#line vty 0 4 Ruijie(config-line)#access-class 99 in 限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 Ruijie(config)#snmp-server community ruijie rw 99 5.11使用安全的协议进行管理 使用加密管理协议 禁用Telnet协议，使用SSH管理设备 使用SNMPv3 禁用Telnet协议 方法一：Ruijie(config)#no enable service telnet-server 方法二：Ruijie(config-line)#transport input ssh 使用SNMPv3 Ruijie(config)#snmp-server user ruijie Group1 v3 auth md5 Ruijie123 access 99 使用SSH SSwitch (config)#ip domain-name net.ctocio.com Switch (config)#username test password 0 test Switch (config)#line vty 0 4 Switch (config-line)#login local Switch(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com Switch (config)#ip ssh time-out 180 Switch (config)#ip ssh authentication-retries 5 简单说明，通过上述配置将交换机命名为test-ssh，域名为net.ctocio.com，创建了一个命名test密码为test的用户， 设置ssh的关键字名为test-ssh.net.ctocio.com，ssh超时为180秒，最大连接次数为5次。 使用HTTPS 开启https服务进行web管理，ip http secure-server 5.12开启DHCP snooping 概述 DHCP嗅探功能 功能 防止网络中假冒的DHCP服务器 形成Snooping表项为其他功能服务 端口角色 非信任口：拒绝DHCP回应报文 信任口：允许DHCP回应报文 默认角色：非信任口 开启DHCP snooping功能 Ruijie(config)#ip dhcp snooping 配置信任端口 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping trust 配置DHCP报过率限制 Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression 查看DHCP Snooping配置 Ruijie#show ip dhcp snooping 查看DHCP Snooping数据库 Ruijie#show ip dhcp snooping binding 组成元素 MAC、IP、VLAN、Interface等 作用 为其他功能提供服务 IP Source-guard DAI ARP-check 注：DHCP Snooping数据库不写入FFP，使用cpu处理 5.13开启DAI（动态ARP检查） 概述 动态ARP监测，用于防止ARP欺骗的发生 原理 提取DHCP Snooping数据库中的IP+MAC表项 利用CPU过滤ARP报文发送者字段(Sender’s IP/MAC) 如果ARP报文的发送者字段不存在于数据库中则丢弃该ARP报文 端口角色 非信任口：拒绝不存在于DHCP Snooping数据库ARP报文 信任口：允许所有ARP报文通过 默认角色：非信任口 指定DAI监测VLAN Ruijie(config)#ip arp inspection vlan 1 设置DAI信任接口 Ruijie(config-FastEthernet 0/1)#ip arp inspection trust 查看DAI配置 Ruijie#show ip arp inspection vlan 1 5.14 使用private-vlan 该技术可以应用在连接服务器的交换机上，这样就可以实现所有服务器在一个vlan内，但是他们之间又是相互隔离的，可以避免一台服务器被黑客攻破，黑客以这台服务器为跳转在攻击其他在一个网段的服务器。 概念术语 Primary VLAN 主VLAN Secondary VLAN 辅助VLAN Isolated vlan 隔离VLAN Community vlan 团体VLAN Promiscuos port 混杂端口 解释： Primary VLAN：是一个全局VLAN的标识 Isolated VLAN：同属一个隔离VLAN间的用户是不能够互相访问的，但是可以跟主VLAN和混杂端口通信 Community VLAN：同属同一个团体VLAN内的用户，是能够直接互相访问的，且可以跟主VLAN和混杂端口通信 Promiscuous port：连接计费服务器、网关或路由器等，可以跟所有的其它端口通信 2.10.2. 实验拓扑及配置 配置方法(参考)： //划分主VLAN Switch(config)# vtp mode transparent //VTP设为透明模式 Switch(config)#vlan 800 Switch(config-vlan)#private-vlan primary //划分团体VLAN Switch(config)#vlan 511 Switch(config-vlan)#private-vlan community //划分隔离VLAN Switch(config)#vlan 522 Switch(config-vlan)#private-vlan isolated //设定某一物理端口为混杂端口 F0/5 Switch(config)#interface F0/5 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 800 add 511,522 //将团体VLAN和隔离VLAN与主VLAN关联 Switch(config)#vlan 800 Switch(config-vlan)#private-vlan association 511,522 //将团体VLAN 511关联到F0/10和F0/11接口上，并能够与主VLAN 800进行通信 Switch(config)#interface rang F0/10 , f0/11 Switch(config-if-rang)#switchport mode private-vlan host Switch(config-if-rang)#switchport private-vlan host-association 800 511 //将隔离VLAN 522关联到F0/20和F0/21接口上，并能够与主VLAN 800进行通信 Switch(config)#interface range F0/20 , f0/21 Switch(config-if-range)#switchport mode private-vlan host Switch(config-if-range)#switchport private-vlan host-association 800 522 //将其它各个辅助VLAN映射到主VLAN中，以实现跟主VLAN进行直接通信 Switch(config)#interface vlan 800 Switch(config-if)#private-vlan mapping 511,522 主机加固 上面所陈述的是网络安全各方面的加固，但是还有很重要的一点就是服务器本身的安全加固。关于这点我会在另外一个文档《主机加固》中详细陈述 7、综述----安全联动 新的木桶理论认为，木桶的长久储水量，还取决于木桶各木板的配合紧密性，没有空隙。如果木板间的配合不好，出现缝隙，导致漏水，将失去木桶的价值。相对于旧的木桶理论，新的木桶理论更强调系统中各个部件之间的关联。 在信息安全领域，新木桶理论同样适用。经过多年的IT建设，在绝大多数企业都部署了或多或少的安全产品，但安全威胁和安全事件有增无减，那个传说中牢不可破的“木桶”似乎只能存在于想象之中。究其原因不难发现，这些企业将主要精力投入在增加和弥补所谓的短木板上，采用性能更高更快的防火墙、增加防病毒软件或上网行为管理的新设备，却忽略了一个更为重要的环节：这些设备是否能够构成一个完整的安全系统。当一个木桶存在很大的缝隙时，造成的后果比存在一两个短板要严重的多。因此，信息安全建设不能仅着眼于单一的安全产品采购，必须从整个系统的角度进行考量，而安全联动技术就是将各个安全产品组合成系统的关键技术。   安全联动技术存在于信息安全建设的各个环节。首先，我们来看看安全体系中最薄弱的环节――终端。终端——台式机和笔记本电脑——是企业实现大部分业务操作的工具。不幸的是，电脑终端面对安全威胁显得越来越脆弱。这些安全威胁包括钓鱼攻击，垃圾邮件，病毒，蠕虫和其它恶意软件。根据权威部门统计，有超过80％的信息安全问题源自于用户终端。为了解决终端安全问题，业界安全厂商推出了大量的管理软件：防病毒、终端防火墙、桌面管理、用户认证等等。但这些产品部署后，并没有真正解决终端的安全问题，究其原因，每个终端安全软件只是着眼于自己所负责的领域，各个软件之间没有配合，就像一堆简单堆砌的木板，而不是一个木桶。这样混乱的局面在终端准入技术出现后才有了真正的改观。终端准入技术借鉴了机场安检的成功经验，将整个终端接入管理流程分为“身份认证”、“安全检查”、“动态授权”等几个步骤，尤其在安全检查一步，通过安全联动技术，将防病毒、反间谍软件、防火墙和入侵防御等端点防护技术与基于网络的访问控制技术相结合，从而将安全防护的“木板”有机地结合在一起，为终端和网络提供最佳的安全性。 接下来，我们再看看对用户行为的管理。自从2006年公安部82号令实施后，企业纷纷在网络中部署行为审计系统。这些行为审计系统部署在网络的出口，对用户所访问的网站、发送的邮件甚至在论坛上发表的言论进行审计。但部署后往往发现，行为审计系统只能审计到IP地址，无法定位最终用户，特别是企业网络中采用DHCP技术和NAT技术时，如何定位最终用户更是难上加难。单一的审计系统只是一片木板，而不是能够解决问题的木桶。 要解决上述问题，一个很好的方法是实现AAA系统和行为审计系统联动。AAA系统记录终端登陆时的用户账号、MAC地址、IP地址等信息，而行为审计系统会记录访问行为的源IP地址和目的IP地址，通过两个系统的联动不仅可以定位访问行为的源IP地址，还可以直接定位终端用户。扩展开来，联动技术还可以将网络管理软件纳入系统，将终端用户信息在拓扑图上进行直观展示，并通过配置管理功能实现终端用户权限的精细化控制。   从整个企业信息安全系统的角度来分析，联动技术同样重要。一个企业的信息安全系统除了安全设备，还应包括网络设备和应用系统中的安全特性。但由于传统管理工具的局限，无法形成统一管理。同时，网络中每天会发生大量的安全事件，安全设备、网络设备会发送大量的日志信息，IT管理者很容易被海量信息淹没，即使管理员能够从海量日志中分析出攻击事件，但单一的安全管理系统却无法完成事件的快速诊断和攻击源定位问题，更不要说对威胁实施控制了。 要解决上述问题，需要两方面的着手。一方面，建立统一的管理中心，实现对网络设备、安全设备以及应用系统的管理，另一方面，建立安全事件分析中心，统一收集网络中的安全事件，进行汇总和分析。当网络中发生安全事件后，安全事件分析中心对日志进行分析和汇总，然后采用安全联动技术，将分析后的信息发送到管理中心，由管理中心实现对攻击源的定位和防控策略的下发。   图1安全管理中心业务流程