学院图书馆网络安全成功案例-防火墙解决方案.doc
学院图书馆网络安全成功案例 -防火墙解决方案 拓扑简要介绍 : 1. 整个网络边界有两条链路 ,一条为教育网 100M 链路 ,一条为中国电信的10M ADSL.在每条链路之前放置独立的防火墙设备 .对入站和出站进行访问控制 . 2. 两条链路汇聚到中心路由器上 .通过 NAT 地址转换 ,进入校园内部网的中心交换机 ,在其间部署一套入侵检测系统 IDS 的检测探点 .对进入内部网络的流量与内容进行入侵检测与判断 . 3. 中心交换机分出三条主干内部链路 ,一条直接接入校园内部网的服务器群 ,包括邮件服务器 ,Web 服务器 ,防病毒中央服务器等 .其中防病毒服务器将通过该链路 ,监控与管理内部网络的所有防病毒客户端节点 .并且分发病毒定义码和客户端防病毒防御策略 ,收集客户端的病毒信息 ,集中处理与汇总病毒备份文件 ,病毒样本放置于服务器的中央隔离区 . 在中心交换机与服务器区之间放置一个入侵检测系统 IDS 的检测探点 ,从而保证关键应用的安全性与可靠性 .并且在邮件服务器网段中部署反垃圾邮件防火墙设备 . 4. 从中心交换机到二层会 聚的包括教工区 .学生区等区域 .在二层汇聚中心部署一个入侵检测系统 IDS 检测探点 .用于检测区域内的入侵检测行为 . 5. 最后一条链路部署入侵检测系统 IDS 检测探点 ,保证其他应用服务器的网络安全 . 方案设备选型 : 1、入侵检测系统 : Symantec SNS 7120 产品简介 : A. Symantec Network Security 系列设备提供了实时主动的网络入侵防御,可以保护关键的企业资产。富于创新的入侵防范统一网络引擎 (IMUNE) 是协议异常、特征、统计和漏洞攻击拦截 技术的完美结合,它可以精确地识别并禁止已知、未知(或零日)攻击和病毒在网络中传播。 B. LiveUpdate? 技术可以自动更新防护策略技术,以帮助企业及早应对各种不断变化的威胁。将赛门铁克安全响应中心和赛门铁克 DeepSight? 预警服务的专业知识,与易于理解的安全指导原则结合在一起,从而可更快速的响应安全事件。借助全面的策略管理功能,企业可以轻松地构建、评估并报告最佳企 业实践。 C. 只需简单的鼠标单击即可将设备从检测状态转换到防御状态,使企业可以轻松地切换部署模式。灵活的入侵防御部 署选项,包括支持多串联对或在同一设