网管必备 校园网的主动防护策略配置实例

2016-01-29 16:01 7 1 收藏

网管必备 校园网的主动防护策略配置实例,网管必备 校园网的主动防护策略配置实例

【 tulaoshi.com - 网络基础知识 】

 

  石家庄市第二职业中专是一所以计算机为主要专业的国办专业学校,校内的网络专业在河北中职学校中具有很强实力。笔者是网络专业的负责人,经过近10年的网络教学和实践,对计算机专业尤其是拥有网络专业的学校的校园网的安全有自己的一些思考和实践。

  学校校园网系统的具体情况是:

  ● 就以往的安全管理来看,以整体防御确保每一台计算机的安全对于学校来说只存在理论的可能性,实践起来较为困难;

  ● 学校只有一个专职网管人员而且脱离教学任务,对实际情况掌握的不是很熟悉。只能完成网管中心的局部安全;

  ● 就功能而言,学校的计算机网络可分为4大类型:教师集中办公的微机网络、学生上机的微机网络、网管中心网络、学校职能部门例如档案室、会计室、校长室、试卷库等部门网络;

  ● 学校了解网络安全的专业教师非常多,而且专业各有特长;

  ● 网络安全课程必须开设,内部攻击不能从制度上禁止。

  分区防守,增强“壁垒”

  根据以上具体情况结合网络安全问题我们得出了以下的分析结果:

  1、靠网管一个人实现整个网络的安全是不可能的。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

  2、四个不同功能的网络对网络安全的要求是不同的。教师网络因为权限较大所以主动染毒性非常强,但是由教师网络发起的对校园网络的内部攻击非常少。网管中心的网络非常重要但是相对安全。学生机房由于纪律的约束,主动染毒性不存在,但是针对网络的内部攻击次数非常多。学校职能部门网络由于涉及到学校的重要信息以及相关考试的信息,所以对网络安全要求非常高。

  3、如果仍然采用习惯的整体防御,会出现一个区域网络安全出了问题导致其他功能区域全部出现问题。

  针对学校的具体情况和网络安全问题的分析,我们制定了分区域防守与增强网段“壁垒”的总体安全策略。具体策略如下:

  1、 由专业教师包括网管在内组成网络安全小组负责校园网络安全。小组成员根据专业方向的不同负责对威胁网络安全因素的具体防守,从人员方面加强力量。

  2、 针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。

  3、 整个网络安全体系由主防火墙和子防火墙一起构成。主防火墙由网管负责,进行网络整体防守。子防火墙由专业老师具体负责,配置到具体网段进行区域防守。

  4、 不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。

  以上就是分区域防守思想,我们在具体实施之后发现网络安全有以下几点可喜的变化:

  1、校园整体网络安全有所提高,不同区域的网络安全由具体人负责,责任到人,相关网络安全问题可以快速解决。

  2、因为专业人员的方向不同,负责不同区域的防守个人的专业特长有所体现,处理问题得心应手。

  3、在出现安全问题时可以轻松做到尽量减少损失。在损失掉一个区域之后其他区域仍有很强的安全性,以往整个网络同时出现一种安全问题的现象基本杜绝。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com)

  4、成立了安全委员会后,负责不同防守任务的人员互通情况相互促进学校安全人员的技能和素质有很大的提高。

  但是,简单的靠IP分段会存在许多功能问题。而且由于IP的人为可设置性使得网络存在很大的安全隐患。所以在此基础上学校更换了主交换机和子交换机。使用了主三层交换设备和可配置VLAN的子交换设备和高性能路由器。这样使得我们的分网段实施“壁垒”的思想可以更方便地实现。分网段实施“壁垒”的思想是分区域防守的有利保证,从硬件方面增强了分区域防守的力度。

  分网段增强网段“壁垒”的思想较为简单,为了让大家更好理解,在此作简单的阐述。

  1、把原来的按地理情况分网段改按功能分网段,在设备的支持下改以物理连接控制为逻辑连接控制。

  2、利用设备所能提供的三层交换和VLAN功能加强防火墙实力。

  3、改IDS为IPS从根本上可以预防攻击的来临,同时启用设备自带的安全功能加强安全防护。

  寻求主动优势

  以上就是分网段加强壁垒的思想。在人员得到锻炼从而增强自身技术实力和硬件设备得到加强的基础上,我们对学校校园网的安全做了更大胆的改进。我们变被动防守为主动防守,在相关法律的允许下学校做了大量尝试。

  首先,学校建立了自由网络攻击区域对学生们开放,学生可以自由对此区域的机器发起攻击,使得学生们有了攻击的目标。既锻炼了学生们的攻防能力又减少了校园网的内部攻击,一举两得。

  其次,学校建立了诱攻区,转移来自外网对学校主服务器的攻击方向。通过改变主服务器的配置,使得来自网外针对服务器的攻击转入诱攻区。而且学校在诱攻区内实施了网络陷阱等多种安全设置使得攻击者徒劳无功,保护了主服务器的安全。

  再次,学校对相关服务器提供的服务都实施了虚拟化,使得即使虚拟机被攻陷,主要数据和服

来源:http://www.tulaoshi.com/n/20160129/1497081.html

延伸阅读
标签: 电脑入门
一些校园MAC用户发现自己的MAC系统升级到10.9后,就无法连接校园网锐捷客户端了。这个问题该怎么解决呢?今天图老师小编就和大家一起分享下这个问题的解决方法吧。需要注意的是这个方法的原理只针对找不到网卡或网卡没初始化有效。 原理: 校园网客户端找不到网卡或网卡没初始化的原因是管理员权限不够,所以,我们可以用终端命令来解决这...
标签: windows 操作系统
一向被病毒和黑客们格外青睐的Windows以及微软公司本身,会在微软的“主动防御”战术推出后发生什么样的变化? 那些曾经被Windows里面潜伏的许多漏洞闹得惴惴不安的人们似乎能松口气了。8月4日,微软正式发布了广受期待的Windows XP系统的第二个补丁包,其中包含了自Windows XP SP1发布之后的所有补丁程序。这不仅是Windows XP自2001...
客户端、服务器和网络的操作策略及过程是组织中病毒防护层的基本方面,Microsoft建议将以下策略和过程视为组织深层病毒防护解决方案的一部分: • 防病毒扫描例程。理想情况下,您的防病毒应用程序应该支持自动扫描和实时扫描。但是,如果不是这样,则您应该实施一个过程,以便提供有关组织中的用户应该在何时运行完整系统扫描的...
标签: 美容护肤 护肤
春季作为肌肤敏感最高发的季节,春天忽高忽低的温度使皮脂的分泌时多时少,同时温暖的春风带来了风沙、尘埃、花粉等刺激物,紫外线的加强也会成为敏感源。即便不是敏感性皮肤,此时也很容易出现刺痒、红肿等现象。如何平定敏感肌?你需要为肌肤加上一道缜密防线。 本站就春季去除红血丝总结三点主动应对策略。 一、主动预修护 ...
360免费WiFi校园网客户端:锐捷、Dr.com、天翼客户端、NteKeeper等是否可用?   经过攻城狮和热心网友的努力,目前360免费WiFi已经适配几乎所有校园网客户端,覆盖率达到99%,请放心使用!个别有问题的同学,还可尝试论坛中的破解方法!

经验教程

896

收藏

10
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部