构筑牢不可破的校园网络安全体系

核心提示： 1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，构筑牢不可破的校园网络安全体系(3)，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问，三、漏洞扫描系统我们采用目前最先进的漏洞扫描系统定期对工作站、服务器

1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点，我们采用瑞星入侵检测系统RIDS-100，对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将RIDS-100入侵检测引擎接入CISCO Catalyst8540中心交换机上。RIDS-100入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，RIDS-100可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

我们采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。