淺談基于WEB 防火墻的校園網(wǎng)絡(luò )安全解決策略論文

　　互聯(lián)網(wǎng)的飛速發(fā)展，基于網(wǎng)絡(luò )信息系統給學(xué)院網(wǎng)絡(luò )辦公與學(xué)習帶來(lái)了更大的便利和學(xué)習效率，但隨之而來(lái)的安全管控與應用訪(fǎng)問(wèn)日志記錄的問(wèn)題也在困擾著(zhù)學(xué)院，隨之而來(lái)的安全問(wèn)題也在困擾著(zhù)用戶(hù)，如：網(wǎng)絡(luò )入侵、蠕蟲(chóng)病毒、XSS 跨站攻擊、SQL 注入、數據庫拖庫、DOS 攻擊、網(wǎng)頁(yè)篡改等，這些不安全因素，威脅到網(wǎng)絡(luò )應用的安全。

　　隨著(zhù)學(xué)校規模不斷擴大，上網(wǎng)人數也迅速增加，帶寬的增加，原有的信息化設備大部分比較陳舊，采購時(shí)間長(cháng)，硬件性能滿(mǎn)足不到信息增長(cháng)的需要，且現有的網(wǎng)絡(luò )沒(méi)有現代化的安全防護設備，學(xué)校內網(wǎng)頻繁遭遇攻擊，WEB 服務(wù)器也經(jīng)常被入侵，全校師生的上網(wǎng)日志沒(méi)有專(zhuān)用的設備保存記錄，論壇發(fā)帖沒(méi)有專(zhuān)業(yè)的監管設備，學(xué)校為滿(mǎn)足日益增加的學(xué)生數量，改善教育教學(xué)環(huán)境，凈化校園網(wǎng)，在學(xué)校中心機房增加專(zhuān)業(yè)的網(wǎng)絡(luò )安全設備，來(lái)解決上述問(wèn)題。

　　1 解決思路

　　針對學(xué)校對網(wǎng)絡(luò )完全防護的具體需求，采用下一代防火墻、WEB 應用防火墻、上網(wǎng)行為管理、智能流量管理整合一套完整的解決方案、提供更加系統化的網(wǎng)絡(luò )安全管控與網(wǎng)絡(luò )優(yōu)化方式。

　　2 拓撲結構整體方案

　　設備方案拓撲描述如下：

　　(1)將下一代防火墻部署在出口路由器與核心交換機之間，以達到防護內網(wǎng)的目的;

　　(2)將WEB 應用防火墻(WAF)部署在業(yè)務(wù)系統匯聚交換機與核心交換機之間，保障應用服務(wù)器的安全，同時(shí)在服務(wù)器上安裝專(zhuān)業(yè)的防篡改客戶(hù)軟件，與WEB 應用防火墻聯(lián)動(dòng)，防護WEB 應用服務(wù)器，同時(shí)防護來(lái)自外訪(fǎng)問(wèn)內部服務(wù)安全，也可防護從內部網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器的安全;

　　(3)上網(wǎng)行管理設備(ICG)鏡像模式部署，通過(guò)核心交換機的鏡像過(guò)來(lái)的數據，將流量傳送至上網(wǎng)行為管理設備上，上網(wǎng)行為針對這部分流量進(jìn)行審計與記錄，生成日志，方便事后朔源。

　　(4)整個(gè)網(wǎng)絡(luò )結構中，采用新建與列舊相結合的方式，可將原有的網(wǎng)絡(luò )設備列舊，以節約成本，可將原有的上網(wǎng)行為管理設備(舊)，部署在實(shí)訓樓，對實(shí)訓樓上網(wǎng)的用戶(hù)進(jìn)行上網(wǎng)行為的審計與無(wú)關(guān)高風(fēng)險應用的控制。

　　3 功能描述

　　3.1 下一代防火墻

　　下一代防火墻(NGFW)是可以全面應對應用層威脅的高性能防火墻。通過(guò)深入洞察網(wǎng)絡(luò )流量中的用戶(hù)、應用和內容，并借助全新的高性能單路徑異構并行處理引擎，NGFW 能夠為用戶(hù)提供有效的應用層一體化安全防護，幫助用戶(hù)安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò )安全架構。網(wǎng)康下一代防火墻自帶IPS入侵防御的功能，入侵防御基于多核Plus G2 架構、全并行的流檢測引擎和基于攻擊原理的入侵防御檢測引擎�；�于多核PlusG2 的安全架提供了高性能的入侵防御解決方案，并為入侵防御需要的深度應用分析和攻擊原理分析提供了強勁的處理能力。全并行流檢測引擎則使用較少的系統資源，并且在并行掃描會(huì )話(huà)和開(kāi)啟其他多項應用處理功能提供了高可用性�；�于攻擊原理的入侵防御有助于提高攻擊檢測率和降低攻擊誤判率。

　　3.2 WEB 應用防火墻

　　WEB 應用防火墻能提前發(fā)現預警、實(shí)時(shí)防護及事后追溯分析，完成了從事前WEB 掃描、事中WEB 防護、事后WEB 防篡改“三位一體”的防護體系。從網(wǎng)絡(luò )層、應用層4 層Web 安全掃描與檢查，網(wǎng)頁(yè)防篡改、Web 安全掃描互動(dòng)，網(wǎng)絡(luò )層、應用層D.DoS，構建立體式防護網(wǎng)絡(luò )。從而真正對web 防護提供一套全方面安全體系。網(wǎng)頁(yè)防篡改軟件，是安全在服務(wù)器上一套安全的防篡改插件�；�于文件夾驅動(dòng)級保護技術(shù)，事件觸發(fā)機制，確保系統資源不被浪費。與WAF 聯(lián)動(dòng)：網(wǎng)頁(yè)防篡改(端點(diǎn)技術(shù))與WAF 聯(lián)動(dòng)，阻斷Web 威脅。采用文件級驅動(dòng)保護技術(shù)后，用戶(hù)每次訪(fǎng)問(wèn)每個(gè)受保護網(wǎng)頁(yè)時(shí)，Web 服務(wù)器在發(fā)送之前都進(jìn)行完整性檢查，保證網(wǎng)頁(yè)的真實(shí)性，可以徹底杜絕篡改后的網(wǎng)頁(yè)被訪(fǎng)問(wèn)的可能性。支持Windows 2000/xp/2003/2008(64位), Linux/BSD 系統的網(wǎng)頁(yè)防篡改。

　　3.3 上網(wǎng)行為管理

　　上網(wǎng)行為管理能有效避免不良信息的擴散，提高員工的教育教學(xué)效率，保障網(wǎng)絡(luò )資源合理使用，提高網(wǎng)絡(luò )可管理性，便于網(wǎng)絡(luò )管理與行政管理，最終實(shí)現安全、高效、健康的互聯(lián)網(wǎng)環(huán)境，從而幫助用戶(hù)管理、控制互聯(lián)網(wǎng)的接入與使用，對網(wǎng)頁(yè)訪(fǎng)問(wèn)過(guò)濾、網(wǎng)絡(luò )應用控制、帶寬流量管理、信息收發(fā)審計、用戶(hù)行為分析。

　　通過(guò)層次化的管理， 管理員將學(xué)院不同區域的用戶(hù)的不同應用分別限制在一定帶寬之內，保證了不同用戶(hù)、不同VLAN、不同應用在預先規定的通道內按照設定的速率、時(shí)間段各行其道。這樣既可以保證每個(gè)應用的正常使用，又可以防止某些應用占用帶寬過(guò)大而造成整個(gè)學(xué)院網(wǎng)絡(luò )的擁塞。

　　以上，是針對下一代防火墻采取的校園網(wǎng)絡(luò )安全解決方案，不足之處請各位同行專(zhuān)家批評指正。

【淺談基于WEB 防火墻的校園網(wǎng)絡(luò )安全解決策略論文】相關(guān)文章：

社交網(wǎng)絡(luò )安全問(wèn)題解決策略論文02-24

淺談基于營(yíng)銷(xiāo)新形勢的電話(huà)營(yíng)銷(xiāo)策略研究03-09

淺談小學(xué)英語(yǔ)語(yǔ)音教學(xué)的策略的論文11-07

入托危機解決策略-基于自組織理論12-05

防火墻技術(shù)在網(wǎng)絡(luò )安全中的應用探析論文04-10

淺談基于勝任力模型的企業(yè)組織生涯管理策略11-22

論文：淺談?dòng)變簣@教育實(shí)施策略03-26

淺談鋼琴教學(xué)的應試備考策略論文04-02

淺析基于情感培養的教學(xué)策略論文12-09

論文防火墻致謝11-14