构筑牢不可破的校园网络安全体系
2007-09-17 13:10:51 来源:WEB开发网核心提示: 1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,构筑牢不可破的校园网络安全体系(3),规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问,三、漏洞扫描系统我们采用目前最先进的漏洞扫描系统定期对工作站、服务器
1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
二、入侵检测系统部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点,我们采用瑞星入侵检测系统RIDS-100,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将RIDS-100入侵检测引擎接入CISCO Catalyst8540中心交换机上。RIDS-100入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,RIDS-100可以发出实时报警,使得学校管理员能够及时采取应对措施。
三、漏洞扫描系统
我们采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
更多精彩
赞助商链接