拓扑简要介绍:

　　1. 整个网络边界有两条链路,一条为教育网100M链路,一条为中国电信的10M ADSL.在每条链路之前放置独立的防火墙设备.对入站和出站进行访问控制.

　　2. 两条链路汇聚到中心路由器上.通过NAT地址转换,进入校园内部网的中心交换机,在其间部署一套入侵检测系统IDS的检测探点.对进入内部网络的流量与内容进行入侵检测与判断.

　　3. 中心交换机分出三条主干内部链路,一条直接接入校园内部网的服务器群,包括邮件服务器,Web服务器,防病毒中央服务器等.其中防病毒服务器将通过该链路,监控与管理内部网络的所有防病毒客户端节点.并且分发病毒定义码和客户端防病毒防御策略,收集客户端的病毒信息,集中处理与汇总病毒备份文件,病毒样本放置于服务器的中央隔离区.

　　在中心交换机与服务器区之间放置一个入侵检测系统IDS的检测探点,从而保证关键应用的安全性与可靠性.并且在邮件服务器网段中部署反垃圾邮件防火墙设备.

　　4. 从中心交换机到二层会聚的包括教工区.学生区等区域.在二层汇聚中心部署一个入侵检测系统IDS检测探点.用于检测区域内的入侵检测行为.

　　5. 最后一条链路部署入侵检测系统IDS检测探点,保证其他应用服务器的网络安全.

　　方案设备选型:

　　１、入侵检测系统: Symantec SNS 7120

　　产品简介:

　　A. Symantec Network Security 系列设备提供了实时主动的网络入侵防御，可以保护关键的企业资产。富于创新的入侵防范统一网络引擎 (IMUNE) 是协议异常、特征、统计和漏洞攻击拦截技术的完美结合，它可以精确地识别并禁止已知、未知（或零日）攻击和病毒在网络中传播。

　　B. LiveUpdate? 技术可以自动更新防护策略技术，以帮助企业及早应对各种不断变化的威胁。将赛门铁克安全响应中心和赛门铁克 DeepSight? 预警服务的专业知识，与易于理解的安全指导原则结合在一起，从而可更快速的响应安全事件。借助全面的策略管理功能，企业可以轻松地构建、评估并报告最佳企 业实践。

　　C. 只需简单的鼠标单击即可将设备从检测状态转换到防御状态，使企业可以轻松地切换部署模式。灵活的入侵防御部署选项，包括支持多串联对或在同一设备上监视被动和串联部分，使不断发展的网络适应各种安全策略。

　　D. Symantec Network Security 系列是通过 Symantec? Network Security Management Console 集中管理的，Symantec? Network Security Management Console 是一个可伸缩的安全管理系统，支持大型分布式企业部署，并提供全面的配置和策略管理、实时威胁分析、企业报告和灵活的显示。

　　E. 该系列提供了三种型号，可以很好的满足企业的各种部署需求，无论在分支机构、分布式站点还是网络核心或主体上部署网络安全。这种高度可伸缩的一流设备支持从 50Mbps 到 2Gbps 的总网络带宽，最多可涉及八个网段。

　　主要特性:

　　A. 增强现有网关和服务器安全部署，阻止威胁在网络中传播

　　B. 在 IMUNE 架构中综合了多种检测技术，包括协议异常检测和漏洞攻击拦截，可准确地识别和禁止已知/未知（或“零日”）攻击与蠕虫

　　C. 帮助企业构建、权衡和报告企业最佳实践和法规一致性计划

　　D. 集成了赛门铁克安全响应中心和赛门铁克 DeepSight? 预警服务的专业知识，提供有关威胁的早期知识，以实现主动安全

　　E. 在网络中不可见，因此不需要重新配置网络，简化了部署过程

　　F. 这些设备最多可支持八个接口*，允许企业监视更多的网段

　　G. 三种型号支持从 50Mbps 到 2Gbps 的总网络带宽，可满足分支机构、分布式站点和网络核心的不同部署需求

　　H. 使用 LiveUpdate 技术更新防护策略以实现自动防护，帮助企业及早应对各种不断变化的威胁

　　I. 单击防御 － 只需简单的鼠标单击即可从检测状态转换到防御状态

　　技术亮点:

　　Symantec Network Security系列是新一代的网络安全产品，SNS同时具备IPS（入侵防御）和IDS（入侵检测）两项功能。作为成熟的IPS产品，他具有很多传统网络安全产品所缺乏的功能.

　　A. 主动防御，而非被动报警

　　目前网络安全事件发生的频率越来越高，给用户带来的损失也越来越大。传统的安全产品，需要用户花费大量时间和精力，实时跟踪当前的计算机安全漏洞。然后修改网络中各种安全产品的安全策略，实现对网络攻击的有效防御。但是随着网络边界模糊，用户系统的多样化，这样的努力无法达到用户的期望效果。

　　SNS是可以实现自动防御的网络安全产品，他无需人工干预，自动检测，屏蔽网络入侵行为，减少用户用于日常维护的人力成本。SNS可以以透明（inline）方式部署在用户网络中，不用修改用户网络结构，也不用修改交换机配置。配合产品自带的安全策略，真正实现即插即用。

　　B. 安全策略自动维护

　　传统IDS产品被用户所排斥的主要原因就是需要用户人工设定检测策略，并需要定期维护更新。SNS改变了这种传统的更新模式，他可以自动更新、加载、生效最新的安全策略，大大降低了产品对操作人员的依赖。通过这种策略自动更新的工作方式，帮助用户争取了在出现可能对系统和网络造成严重影响的重大安全隐患的紧急状况下的响应时间（如：冲击波），在主机还没有来得及完成补丁分发的情况下，SNS通过自动化的策略更新，就已经实现了能整个网络的安全防护。