李洪民

摘要：高校正在建設(shè)以數(shù)字化校園為主要內(nèi)容的網(wǎng)絡(luò)應(yīng)用，為保證校園網(wǎng)絡(luò)的正常運(yùn)行，網(wǎng)絡(luò)安全是校園網(wǎng)絡(luò)應(yīng)用的重要保證，尤其數(shù)據(jù)安全、網(wǎng)絡(luò)安全、運(yùn)行安全等，在努力建設(shè)應(yīng)用的過(guò)程中，必須將安全放在重要位置，本文介紹了網(wǎng)絡(luò)入侵防御系統(tǒng)的原理、功能及在高校校園網(wǎng)中的應(yīng)用

關(guān)鍵詞：IDS HIPS NIPS 數(shù)字化校園

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0186-02

在不斷加強(qiáng)校園網(wǎng)絡(luò)應(yīng)用的過(guò)程中，網(wǎng)絡(luò)安全始終是校園網(wǎng)絡(luò)建設(shè)的關(guān)鍵，DOS、DDos、安全漏洞、僵尸、黑客等暴力類型攻擊以其操作簡(jiǎn)單，效果顯著的特點(diǎn)，逐漸成為互聯(lián)網(wǎng)上的主要攻擊手段；高速網(wǎng)絡(luò)上各種網(wǎng)絡(luò)蠕蟲(chóng)層出不窮，以很快的速度在全球網(wǎng)絡(luò)中傳播，給用戶帶來(lái)了無(wú)盡的困擾，某些校園用戶甚至服務(wù)器已經(jīng)成僵尸主機(jī)，為黑客的攻擊提供了階梯和便利；由內(nèi)部用戶發(fā)起的攻擊行為也對(duì)校園網(wǎng)造成了不良的影響，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻，入侵檢測(cè)、漏洞掃描、蜜罐等，已不能滿足網(wǎng)絡(luò)安全的需要，特別是校園一卡通系統(tǒng)、人事系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺(tái)、財(cái)務(wù)系統(tǒng)均在校園網(wǎng)上運(yùn)行，并將數(shù)據(jù)全部存儲(chǔ)在數(shù)據(jù)中心，給管理員帶來(lái)了很大的壓力。入侵防御系統(tǒng)克服了入侵檢測(cè)系統(tǒng)（IDS）被動(dòng)檢測(cè)的弊端，綜合了各種傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的優(yōu)點(diǎn)，從而為網(wǎng)絡(luò)提供更加主動(dòng)全面的安全保護(hù)。

1 入侵防御系統(tǒng)簡(jiǎn)介

入侵防御系統(tǒng)（IPS英文全稱是Intrusion Prevention System）是一種主動(dòng)的、智能的入侵檢測(cè)和防御系統(tǒng)。它是繼入侵檢測(cè)技術(shù)之后發(fā)展起來(lái)的新型技術(shù)，繼承了入侵檢測(cè)技術(shù)優(yōu)勢(shì)的同時(shí)，避免了入侵檢測(cè)系統(tǒng)（IDS）存在的一些不足，適應(yīng)了現(xiàn)代高速互聯(lián)網(wǎng)絡(luò)對(duì)安全的要求。入侵防御系統(tǒng)設(shè)計(jì)的目的是將收集到的數(shù)據(jù)流在進(jìn)入受保護(hù)網(wǎng)絡(luò)之前，對(duì)可疑數(shù)據(jù)包、非法入侵和各種攻擊進(jìn)行攔截。

入侵防御系統(tǒng)根據(jù)部署方式分為基于主機(jī)的入侵防御系統(tǒng)（Host-based Intrusion Prevention System，簡(jiǎn)稱HIPS）和基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（Network-based Intrusion Prevention System，簡(jiǎn)稱NIPS）。NIPS兼有IDS、防火墻和反病毒等安全組件的特性，有時(shí)也被稱為內(nèi)嵌式IDS或網(wǎng)關(guān)式IDS。NIPS通常串聯(lián)在網(wǎng)絡(luò)的主干線上，所有通過(guò)受保護(hù)網(wǎng)段的數(shù)據(jù)流都要通過(guò)它。NIPS通過(guò)特征匹配、協(xié)議分析等方法檢測(cè)通過(guò)的數(shù)據(jù)流，一旦檢測(cè)到惡意的數(shù)據(jù)包，就會(huì)根據(jù)實(shí)際情況選擇適當(dāng)?shù)捻憫?yīng)方式，如終止會(huì)話、丟棄包、報(bào)警等，而合法數(shù)據(jù)包就從另一個(gè)接口傳遞到目的主機(jī)。我校在校園網(wǎng)絡(luò)主干部署了北京天融信科技股份有限公司的網(wǎng)絡(luò)入侵防御系統(tǒng)TI-51628，該系統(tǒng)自部署以來(lái)，工作穩(wěn)定，Web界面操作方便，校園網(wǎng)絡(luò)安全得到了一定程度的防護(hù)，以下介紹NIPS TI-51628的工作原理、功能及其在校園網(wǎng)中的應(yīng)用。

2 基本原理

NIPS通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)。由于它采用在線連接方式，所以一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡(luò)的瓶頸，因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備，提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口。NIPS必須基于特定的硬件平臺(tái)，才能實(shí)現(xiàn)千兆級(jí)網(wǎng)絡(luò)流量的深度數(shù)據(jù)包檢測(cè)和阻斷功能。在技術(shù)上，NIPS吸取了目前NIDS所有的成熟技術(shù)，包括特征匹配、協(xié)議分析和異常檢測(cè)。特征匹配是最廣泛應(yīng)用的技術(shù)，具有準(zhǔn)確率高、速度快的特點(diǎn)?；跔顟B(tài)的特征匹配不但檢測(cè)攻擊行為的特征，還要檢查當(dāng)前網(wǎng)絡(luò)的會(huì)話狀態(tài)，避免受到欺騙攻擊；協(xié)議分析是一種較新的入侵檢測(cè)技術(shù)，它充分利用網(wǎng)絡(luò)協(xié)議的高度有序性，并結(jié)合高速數(shù)據(jù)包捕捉和協(xié)議分析，來(lái)快速檢測(cè)某種攻擊特征。協(xié)議分析正在逐漸進(jìn)入成熟應(yīng)用階段。分析能夠理解不同協(xié)議的工作原理，以此分析這些協(xié)議的數(shù)據(jù)包，來(lái)尋找可疑或不正常的訪問(wèn)行為。協(xié)議分析不僅僅基于標(biāo)準(zhǔn)（如RFC），還基于協(xié)議的具體實(shí)現(xiàn)，這是因?yàn)楹芏鄥f(xié)議的實(shí)現(xiàn)偏離了協(xié)議標(biāo)準(zhǔn)。通過(guò)協(xié)議分析，NIPS能夠針對(duì)插入（Insertion）與規(guī)避（Evasion）攻擊進(jìn)行檢測(cè)；異常檢測(cè)的誤報(bào)率比較高，NIPS不將其作為主要技術(shù)。NIPS工作在網(wǎng)絡(luò)上，直接對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷，與具體的主機(jī)服務(wù)器操作系統(tǒng)平臺(tái)無(wú)關(guān)。

3 網(wǎng)絡(luò)入侵防御系統(tǒng)TI-51628簡(jiǎn)介

網(wǎng)絡(luò)入侵防御系統(tǒng)TI-51628采用在線部署方式，能夠?qū)崟r(shí)檢測(cè)和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、木馬、蠕蟲(chóng)、系統(tǒng)漏洞等在內(nèi)的11大類超過(guò)3500種網(wǎng)絡(luò)攻擊行為，有效保護(hù)用戶網(wǎng)絡(luò)服務(wù)資源，使其免受各種外部攻擊侵?jǐn)_。TI-51628能夠阻斷或限制p2p下載、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲等各種網(wǎng)絡(luò)帶寬濫用行為，確保網(wǎng)絡(luò)業(yè)務(wù)通暢。TI-51628還提供了詳盡的攻擊事件記錄、各種統(tǒng)計(jì)報(bào)表，并以可視化方式動(dòng)態(tài)展示，實(shí)現(xiàn)實(shí)時(shí)的全網(wǎng)威脅分析。TI-51628采用多核處理器硬件平臺(tái)，基于新一代并行處理技術(shù)架構(gòu)，內(nèi)置處理器動(dòng)態(tài)負(fù)載均衡技術(shù)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的高性能實(shí)時(shí)檢測(cè)和防御。TI-51628采用基于目標(biāo)主機(jī)的流檢測(cè)引擎，可即時(shí)處理IP分片和TCP流重組，有效阻斷各種逃逸檢測(cè)的攻擊手段，不斷跟蹤、挖掘和分析新出現(xiàn)的各種漏洞信息，全面、準(zhǔn)確和及時(shí)有效的檢測(cè)和防御。

TI-51628除入侵防御功能外，還具有智能協(xié)議識(shí)別、P2P流量控制、網(wǎng)絡(luò)病毒防御、上網(wǎng)行為管理、惡意網(wǎng)站過(guò)濾、內(nèi)網(wǎng)監(jiān)控和WEB安全防御等功能，是集多種功能為一體的綜合性網(wǎng)絡(luò)安全設(shè)備，為網(wǎng)絡(luò)安全提供完整的立體式入侵防護(hù)。

4 體系架構(gòu)

TI-51628入侵防御引擎（Protect Engine）用于檢測(cè)網(wǎng)絡(luò)中數(shù)據(jù)的合法性，是TI-51628的核心組件，以嵌入模式部署于要保護(hù)的網(wǎng)絡(luò)中，引擎內(nèi)置違反安全事件數(shù)據(jù)庫(kù)，用于存儲(chǔ)檢測(cè)到的安全事件信息。集中管理器（Central Manager）有兩種管理方式可供選擇，一種是通過(guò)Web方式對(duì)單一引擎設(shè)備進(jìn)行管理，安全事件信息存儲(chǔ)于引擎設(shè)備本地；另一種是通過(guò)集中管理器對(duì)多個(gè)引擎設(shè)備進(jìn)行統(tǒng)一的集中控制和管理，同時(shí)集中存儲(chǔ)安全事件信息。endprint

5 TI-51628主要功能

（1）網(wǎng)絡(luò)適應(yīng)性：直連、路由、IDS監(jiān)聽(tīng)及混合模式接入。多端口鏈路聚合，支持11種負(fù)載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡(luò)。（2）入侵防御：超過(guò)3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)（DDOS）、木馬、蠕蟲(chóng)、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過(guò)濾：基于數(shù)據(jù)流的查殺模式，實(shí)時(shí)阻斷含有網(wǎng)絡(luò)病毒的數(shù)據(jù)報(bào)文和連接；超過(guò)100萬(wàn)條病毒庫(kù)、實(shí)時(shí)更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實(shí)時(shí)監(jiān)控，600多萬(wàn)條URL地址分類庫(kù)，可以控制對(duì)主頁(yè)的訪問(wèn)；基于應(yīng)用（網(wǎng)絡(luò)視頻、聊天等）的細(xì)粒度控制，可以輕松對(duì)應(yīng)用進(jìn)行限流、禁止、限定時(shí)間段。（5）Web安全：Web服務(wù)器弱點(diǎn)掃描，無(wú)須安裝客戶端軟件，實(shí)現(xiàn)主頁(yè)防篡改，主頁(yè)恢復(fù)功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報(bào)文攻擊；統(tǒng)計(jì)型報(bào)文攻擊；支持Flood閥值自學(xué)習(xí)功能，學(xué)習(xí)時(shí)間可設(shè)置；支持Flood服務(wù)器閾值、服務(wù)器高壓閾值、單機(jī)閾值設(shè)置。（7）應(yīng)用識(shí)別：支持網(wǎng)絡(luò)在線視頻、網(wǎng)絡(luò)游戲、股票交易、及時(shí)通訊、上傳下載、網(wǎng)絡(luò)電話等各類應(yīng)用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡(luò)接口處，部署在防火墻后端，清洗過(guò)濾網(wǎng)絡(luò)流量。也可兩路同時(shí)接入，實(shí)現(xiàn)對(duì)多條鏈路的防護(hù)。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡(luò)環(huán)境，靈活選擇一對(duì)一、多對(duì)一或者一對(duì)多的部署方式，并針對(duì)不同區(qū)域定制相應(yīng)的防護(hù)規(guī)則。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡(luò)終端的網(wǎng)絡(luò)行為，可對(duì)辦公區(qū)、學(xué)生宿舍區(qū)、教學(xué)區(qū)、綜合后勤區(qū)域等進(jìn)行上網(wǎng)行為管控，控制各種網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)應(yīng)用。對(duì)特定的服務(wù)器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲(chóng)、木馬等，保護(hù)服務(wù)器區(qū)的安全。

7 結(jié)語(yǔ)

隨著校園網(wǎng)絡(luò)信息程度日漸加深，學(xué)校的教學(xué)、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬(wàn)的蠕蟲(chóng)、病毒、木馬在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡(luò)入侵防御系統(tǒng)可以為校園網(wǎng)絡(luò)提供全面的主動(dòng)網(wǎng)絡(luò)防護(hù)能力，全面保障校園網(wǎng)絡(luò)的系統(tǒng)的運(yùn)行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]劉合安.基于免疫的新型入侵防御模型.計(jì)算機(jī)應(yīng)用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實(shí)現(xiàn).通信技術(shù)，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡(luò)入侵防御系統(tǒng)研究.小型微型計(jì)算機(jī)系統(tǒng)，2005，（11）.endprint

5 TI-51628主要功能

（1）網(wǎng)絡(luò)適應(yīng)性：直連、路由、IDS監(jiān)聽(tīng)及混合模式接入。多端口鏈路聚合，支持11種負(fù)載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡(luò)。（2）入侵防御：超過(guò)3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)（DDOS）、木馬、蠕蟲(chóng)、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過(guò)濾：基于數(shù)據(jù)流的查殺模式，實(shí)時(shí)阻斷含有網(wǎng)絡(luò)病毒的數(shù)據(jù)報(bào)文和連接；超過(guò)100萬(wàn)條病毒庫(kù)、實(shí)時(shí)更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實(shí)時(shí)監(jiān)控，600多萬(wàn)條URL地址分類庫(kù)，可以控制對(duì)主頁(yè)的訪問(wèn)；基于應(yīng)用（網(wǎng)絡(luò)視頻、聊天等）的細(xì)粒度控制，可以輕松對(duì)應(yīng)用進(jìn)行限流、禁止、限定時(shí)間段。（5）Web安全：Web服務(wù)器弱點(diǎn)掃描，無(wú)須安裝客戶端軟件，實(shí)現(xiàn)主頁(yè)防篡改，主頁(yè)恢復(fù)功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報(bào)文攻擊；統(tǒng)計(jì)型報(bào)文攻擊；支持Flood閥值自學(xué)習(xí)功能，學(xué)習(xí)時(shí)間可設(shè)置；支持Flood服務(wù)器閾值、服務(wù)器高壓閾值、單機(jī)閾值設(shè)置。（7）應(yīng)用識(shí)別：支持網(wǎng)絡(luò)在線視頻、網(wǎng)絡(luò)游戲、股票交易、及時(shí)通訊、上傳下載、網(wǎng)絡(luò)電話等各類應(yīng)用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡(luò)接口處，部署在防火墻后端，清洗過(guò)濾網(wǎng)絡(luò)流量。也可兩路同時(shí)接入，實(shí)現(xiàn)對(duì)多條鏈路的防護(hù)。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡(luò)環(huán)境，靈活選擇一對(duì)一、多對(duì)一或者一對(duì)多的部署方式，并針對(duì)不同區(qū)域定制相應(yīng)的防護(hù)規(guī)則。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡(luò)終端的網(wǎng)絡(luò)行為，可對(duì)辦公區(qū)、學(xué)生宿舍區(qū)、教學(xué)區(qū)、綜合后勤區(qū)域等進(jìn)行上網(wǎng)行為管控，控制各種網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)應(yīng)用。對(duì)特定的服務(wù)器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲(chóng)、木馬等，保護(hù)服務(wù)器區(qū)的安全。

7 結(jié)語(yǔ)

隨著校園網(wǎng)絡(luò)信息程度日漸加深，學(xué)校的教學(xué)、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬(wàn)的蠕蟲(chóng)、病毒、木馬在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡(luò)入侵防御系統(tǒng)可以為校園網(wǎng)絡(luò)提供全面的主動(dòng)網(wǎng)絡(luò)防護(hù)能力，全面保障校園網(wǎng)絡(luò)的系統(tǒng)的運(yùn)行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]劉合安.基于免疫的新型入侵防御模型.計(jì)算機(jī)應(yīng)用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實(shí)現(xiàn).通信技術(shù)，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡(luò)入侵防御系統(tǒng)研究.小型微型計(jì)算機(jī)系統(tǒng)，2005，（11）.endprint

5 TI-51628主要功能

（1）網(wǎng)絡(luò)適應(yīng)性：直連、路由、IDS監(jiān)聽(tīng)及混合模式接入。多端口鏈路聚合，支持11種負(fù)載均衡算法。支持IPv6、MPLS、PPPoE網(wǎng)絡(luò)。（2）入侵防御：超過(guò)3500條攻擊規(guī)則。全面防御溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)（DDOS）、木馬、蠕蟲(chóng)、掃描、HTTP攻擊類、系統(tǒng)漏洞類。（3）病毒過(guò)濾：基于數(shù)據(jù)流的查殺模式，實(shí)時(shí)阻斷含有網(wǎng)絡(luò)病毒的數(shù)據(jù)報(bào)文和連接；超過(guò)100萬(wàn)條病毒庫(kù)、實(shí)時(shí)更新；支持HTTP、FTP、POP3、SMTP協(xié)議。（4）上網(wǎng)行為管理：內(nèi)網(wǎng)實(shí)時(shí)監(jiān)控，600多萬(wàn)條URL地址分類庫(kù)，可以控制對(duì)主頁(yè)的訪問(wèn)；基于應(yīng)用（網(wǎng)絡(luò)視頻、聊天等）的細(xì)粒度控制，可以輕松對(duì)應(yīng)用進(jìn)行限流、禁止、限定時(shí)間段。（5）Web安全：Web服務(wù)器弱點(diǎn)掃描，無(wú)須安裝客戶端軟件，實(shí)現(xiàn)主頁(yè)防篡改，主頁(yè)恢復(fù)功能。（6）DOS/DDOS防御：支持CC攻擊防御；DNS異常包防御、DHCP攻擊防御；非法報(bào)文攻擊；統(tǒng)計(jì)型報(bào)文攻擊；支持Flood閥值自學(xué)習(xí)功能，學(xué)習(xí)時(shí)間可設(shè)置；支持Flood服務(wù)器閾值、服務(wù)器高壓閾值、單機(jī)閾值設(shè)置。（7）應(yīng)用識(shí)別：支持網(wǎng)絡(luò)在線視頻、網(wǎng)絡(luò)游戲、股票交易、及時(shí)通訊、上傳下載、網(wǎng)絡(luò)電話等各類應(yīng)用。

6 TI-51628部署方案

將TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)部署在網(wǎng)絡(luò)接口處，部署在防火墻后端，清洗過(guò)濾網(wǎng)絡(luò)流量。也可兩路同時(shí)接入，實(shí)現(xiàn)對(duì)多條鏈路的防護(hù)。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可根據(jù)網(wǎng)絡(luò)環(huán)境，靈活選擇一對(duì)一、多對(duì)一或者一對(duì)多的部署方式，并針對(duì)不同區(qū)域定制相應(yīng)的防護(hù)規(guī)則。TI-51628網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)可以全面監(jiān)控內(nèi)部網(wǎng)絡(luò)終端的網(wǎng)絡(luò)行為，可對(duì)辦公區(qū)、學(xué)生宿舍區(qū)、教學(xué)區(qū)、綜合后勤區(qū)域等進(jìn)行上網(wǎng)行為管控，控制各種網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)應(yīng)用。對(duì)特定的服務(wù)器區(qū)域，可以配置DOS/DDOS防御策略、蠕蟲(chóng)、木馬等，保護(hù)服務(wù)器區(qū)的安全。

7 結(jié)語(yǔ)

隨著校園網(wǎng)絡(luò)信息程度日漸加深，學(xué)校的教學(xué)、科研、行政管理等數(shù)據(jù)更加依賴網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊的手段更加多樣化，攻擊工具獲取隨意可得，每天上成千上萬(wàn)的蠕蟲(chóng)、病毒、木馬在網(wǎng)絡(luò)上傳播，阻塞甚至中斷網(wǎng)絡(luò)甚至造成系統(tǒng)數(shù)據(jù)篡改和丟失。因此，部署網(wǎng)絡(luò)入侵防御系統(tǒng)可以為校園網(wǎng)絡(luò)提供全面的主動(dòng)網(wǎng)絡(luò)防護(hù)能力，全面保障校園網(wǎng)絡(luò)的系統(tǒng)的運(yùn)行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1]劉合安.基于免疫的新型入侵防御模型.計(jì)算機(jī)應(yīng)用研究，2012，（7）.

[2]卿昊袁，宏春.入侵防御系統(tǒng)（IPS）的技術(shù)研究及其實(shí)現(xiàn).通信技術(shù)，2003，（6）.

[3]康曉寧，蔣東興.分布式高速網(wǎng)絡(luò)入侵防御系統(tǒng)研究.小型微型計(jì)算機(jī)系統(tǒng)，2005，（11）.endprint