计划的项目的研究目标和进度ppt课件.ppt

2019年8月15日高能所网高能所网络防火防火墙系系统调整整(方案引方案引见)“防病毒〞系防病毒〞系统效力器效力器网络平安网络平安监视系统监视系统“黑客〞黑客〞取取证系系统高能所内部网络高能所网络平安设备Internet共享式集线器路由器网络破绽扫网络破绽扫描软件〔平描软件〔平安评价系统安评价系统〕〕IDS入侵入侵检测软件检测软件防火墙高能所网络平安中存在的问题l每天蒙受上万次以上来自每天蒙受上万次以上来自“黑客〞或黑客〞或“病毒〞程病毒〞程序的攻序的攻击，一些攻，一些攻击呵斥网呵斥网络变慢慢l我所我所现有的网有的网络平安平安监视系系统难以以对数量如此数量如此庞大的攻大的攻击行行为进展全面、展全面、详细的分析的分析l高能所高能所过于于“开放〞和开放〞和“宽松〞的网松〞的网络运用运用环境境是容易蒙受攻是容易蒙受攻击的主要的主要缘由由l所内网所内网络中的效力器系中的效力器系统存在平安破存在平安破绽，不能，不能保保证一切管理一切管理员都具都具备平安管理技平安管理技术程度程度l计算中心算中心对全所网全所网络及用及用户的控制才干的控制才干较弱弱防火墙构造的改良中心交中心交换机机 在中心交换机上设置多组平安规那么，类似集成了多个防火墙一室九室二室Internet路由器防火墙〔分层次防火墙构造特点〕中心交换机过滤黄色网站对高能所整个所内网络实现平安战略对内部网络进一步实现平安隔离Internet网络①普通用户，受限用户网络②有对外合作的用户 网络①的计算机不能被所外网络访问，但可以自动向外访问Internet和网络②网络②的计算机可与Internet相互访问，但不可以自动衔接网络①防火墙防火墙构造的改良网络 ③公用网络效力器网络③与网络②类似，但仅用来衔接高能所的公用网络效力器组〔对所内网络按运用特点分为几类〕网络用户访问网络用户访问Internet有以下几种方式有以下几种方式l受限用受限用户类型：型：l仅在所内网在所内网络上任上任务，制止，制止访问Internet，并，并封封锁网网络流量流量记帐。

l普通用普通用户类型：型：l访问Internet时仅允允许由内向外自由内向外自动衔接，并接，并隐藏本人的藏本人的IP地址l有有对外外协作的用作的用户：：l由于由于对外有任外有任务协作等作等缘由，需求从所外的由，需求从所外的计算机登算机登录〔或自〔或自动衔接〕到所内的接〕到所内的计算机这类计算机必需移到算机必需移到计算中心，并放置在网算中心，并放置在网络②② 防火墙构造的改良中心交换机中心交换机Internet路由器防火墙〔防火墙网络布线构造〕集线器路由器公用网Switch集线器Switch集线器双防毒墙网络监视设备允许被从所外访问的效力器公用效力器组(MAIL、 FTP、 WINS/辅DNS、对内WWW、安全网站〔SEC)、防病毒效力器)(202.122.32.128/27)(202.122.32.160/27)(202.38.128.128/26)高能所内网(202.38.128.0/26)(202.122.32.192/27)公用效力器组(主DNS、对外WWW效力器)l经过对网络构造和防火墙规那么的调整，可抵经过对网络构造和防火墙规那么的调整，可抵御来自所外网络的御来自所外网络的90%以上的攻击行为。

以上的攻击行为l在有效攻击的数量减少情况下，可使现有的网在有效攻击的数量减少情况下，可使现有的网络平安监视系统更有效地发扬作用，更自动地络平安监视系统更有效地发扬作用，更自动地发现黑客源计算机，以便采取措施发现黑客源计算机，以便采取措施l在防火墙上进展网络通讯流量统计，并实时地在防火墙上进展网络通讯流量统计，并实时地监视异常通讯，必要时阻断通讯，监视异常通讯，必要时阻断通讯，l对阻塞网络带宽式的攻击行为可以自动检测攻对阻塞网络带宽式的攻击行为可以自动检测攻击源计算机地址，并立刻在防火墙上封堵击源计算机地址，并立刻在防火墙上封堵防火墙构造的改良〔预期目的和效果〕l对防火墙规那么的调整，本着尽量不影响用户任务需对防火墙规那么的调整，本着尽量不影响用户任务需求的原那么进展，但用户在网络运用方式上能够会有求的原那么进展，但用户在网络运用方式上能够会有一些转变和顺应，希望给予了解一些转变和顺应，希望给予了解l为便于网络平安管理和联络，需求所内每一个网络用为便于网络平安管理和联络，需求所内每一个网络用户提供本人的详细资料以及联络方式户提供本人的详细资料以及联络方式l防火墙系统调整后，高能所的网络平安性相对有了提防火墙系统调整后，高能所的网络平安性相对有了提高，但不是绝对的平安，依然需求对用户计算机系统高，但不是绝对的平安，依然需求对用户计算机系统进展平安维护进展平安维护l一切平安相关的信息〔平安软件、平安知识、病毒预一切平安相关的信息〔平安软件、平安知识、病毒预告等〕可在告等〕可在sec.ihep.ac查阅查阅防火墙构造的改良〔本卷须知〕网络调整时间安排网络调整时间安排l8月月16日开日开场：：l用用户申申报本人的用本人的用户类型〔普通用型〔普通用户、受限用、受限用户，或有，或有对外外协作的用作的用户〕；〕；l对于于“有有对外外协作〞作〞类型的用型的用户，可以，可以恳求将求将他他们需求从所外需求从所外访问的的计算机移到算机移到计算中心。

算中心l8月月23日开日开场：：l按用按用户申申报的的类型型设置防火置防火墙平安平安规那么；那么；l对于没有于没有进展申展申报的用的用户，按，按 “受限用受限用户〞〞类型型处置l9月月1日开日开场：：l一切需求从所外一切需求从所外访问的的计算机必需移到算机必需移到“网网络②②〞〞 ；；l针对这些些计算机的运用特点制定相算机的运用特点制定相应的平安的平安战略请用户配合任务请用户配合任务l请用用户尽快申尽快申报本人的用本人的用户类型，申型，申报方法：方法：请各部各部门指定一担任人指定一担任人统计本部本部门的一切的一切计算机用算机用户类型，并以型，并以电子文档方式子文档方式递交到交到计算中心递交方式：交方式：l：：   secihep.acl确确认：：6027l网上网上查询：：l可在网上可在网上查看看“申申报〞能否被正确接受〞能否被正确接受l网址网址为：：sec.ihep.acl文档格式：文档格式：l用文件名表示用文件名表示类型〔普通用型〔普通用户、受限用、受限用户、有、有对外外协作作的用的用户〕〕l文件内容是文件内容是IP地址列表〔按由小到大排序〕，每个地址列表〔按由小到大排序〕，每个IP地地址独占一行址独占一行l对于于“有有对外外协作〞作〞类型的用型的用户，，请与与计算中心算中心协商，并商，并于于8月底前将需求被外部网月底前将需求被外部网络访问的的计算机移到算机移到计算中心算中心l协助助计算中心算中心统计搜集网搜集网络用用户资料，建立高能所网料，建立高能所网络用用户信息数据信息数据库结结 束束。