拓扑简要介绍:

    1. 整个网络边界有两条链路,一条为教育网100M链路,一条为中国电信的10M ADSL.在每条链路之前放置独立的防火墙设备.对入站和出站进行访问控制.

    2. 两条链路汇聚到中心路由器上.通过NAT地址转换,进入校园内部网的中心交换机,在其间部署一套入侵检测系统IDS的检测探点.对进入内部网络的流量与内容进行入侵检测与判断.

    3. 中心交换机分出三条主干内部链路,一条直接接入校园内部网的服务器群,包括邮件服务器,Web服务器,防病毒中央服务器等.其中防病毒服务器将通过该链路,监控与管理内部网络的所有防病毒客户端节点.并且分发病毒定义码和客户端防病毒防御策略,收集客户端的病毒信息,集中处理与汇总病毒备份文件,病毒样本放置于服务器的中央隔离区.

    在中心交换机与服务器区之间放置一个入侵检测系统IDS的检测探点,从而保证关键应用的安全性与可靠性.并且在邮件服务器网段中部署反垃圾邮件防火墙设备.

    4. 从中心交换机到二层会聚的包括教工区.学生区等区域.在二层汇聚中心部署一个入侵检测系统IDS检测探点.用于检测区域内的入侵检测行为.

    5. 最后一条链路部署入侵检测系统IDS检测探点,保证其他应用服务器的网络安全.

方案设备选型:

１、入侵检测系统: Symantec SNS 7120
 
产品简介:
    A. Symantec™ Network Security 系列设备提供了实时主动的网络入侵防御，可以保护关键的企业资产。富于创新的入侵防范统一网络引擎 (IMUNE) 是协议异常、特征、统计和漏洞攻击拦截技术的完美结合，它可以精确地识别并禁止已知、未知（或零日）攻击和病毒在网络中传播。
    B. LiveUpdate™ 技术可以自动更新防护策略技术，以帮助企业及早应对各种不断变化的威胁。将赛门铁克安全响应中心和赛门铁克 DeepSight™ 预警服务的专业知识，与易于理解的安全指导原则结合在一起，从而可更快速的响应安全事件。借助全面的策略管理功能，企业可以轻松地构建、评估并报告最佳企 业实践。
    C. 只需简单的鼠标单击即可将设备从检测状态转换到防御状态，使企业可以轻松地切换部署模式。灵活的入侵防御部署选项，包括支持多串联对或在同一设备上监视被动和串联部分，使不断发展的网络适应各种安全策略。
    D. Symantec™ Network Security 系列是通过 Symantec™ Network Security Management Console 集中管理的，Symantec™ Network Security Management Console 是一个可伸缩的安全管理系统，支持大型分布式企业部署，并提供全面的配置和策略管理、实时威胁分析、企业报告和灵活的显示。
    E. 该系列提供了三种型号，可以很好的满足企业的各种部署需求，无论在分支机构、分布式站点还是网络核心或主体上部署网络安全。这种高度可伸缩的一流设备支持从 50Mbps 到 2Gbps 的总网络带宽，最多可涉及八个网段。

主要特性:
    A. 增强现有网关和服务器安全部署，阻止威胁在网络中传播
    B. 在 IMUNE™ 架构中综合了多种检测技术，包括协议异常检测和漏洞攻击拦截，可准确地识别和禁止已知/未知（或“零日”）攻击与蠕虫
    C. 帮助企业构建、权衡和报告企业最佳实践和法规一致性计划
    D. 集成了赛门铁克安全响应中心和赛门铁克 DeepSight™ 预警服务的专业知识，提供有关威胁的早期知识，以实现主动安全
    E. 在网络中不可见，因此不需要重新配置网络，简化了部署过程
    F. 这些设备最多可支持八个接口*，允许企业监视更多的网段
    G. 三种型号支持从 50Mbps 到 2Gbps 的总网络带宽，可满足分支机构、分布式站点和网络核心的不同部署需求
    H. 使用 LiveUpdate 技术更新防护策略以实现自动防护，帮助企业及早应对各种不断变化的威胁
    I. 单击防御 － 只需简单的鼠标单击即可从检测状态转换到防御状态

技术亮点:
　　Symantec™ Network Security系列是新一代的网络安全产品，SNS同时具备IPS（入侵防御）和IDS（入侵检测）两项功能。作为成熟的IPS产品，他具有很多传统网络安全产品所缺乏的功能.

　　A. 主动防御，而非被动报警
    目前网络安全事件发生的频率越来越高，给用户带来的损失也越来越大。传统的安全产品，需要用户花费大量时间和精力，实时跟踪当前的计算机安全漏洞。然后修改网络中各种安全产品的安全策略，实现对网络攻击的有效防御。但是随着网络边界模糊，用户系统的多样化，这样的努力无法达到用户的期望效果。

    SNS是可以实现自动防御的网络安全产品，他无需人工干预，自动检测，屏蔽网络入侵行为，减少用户用于日常维护的人力成本。SNS可以以透明（inline）方式部署在用户网络中，不用修改用户网络结构，也不用修改交换机配置。配合产品自带的安全策略，真正实现即插即用。

　　B. 安全策略自动维护
    传统IDS产品被用户所排斥的主要原因就是需要用户人工设定检测策略，并需要定期维护更新。SNS改变了这种传统的更新模式，他可以自动更新、加载、生效最新的安全策略，大大降低了产品对操作人员的依赖。通过这种策略自动更新的工作方式，帮助用户争取了在出现可能对系统和网络造成严重影响的重大安全隐患的紧急状况下的响应时间（如：冲击波），在主机还没有来得及完成补丁分发的情况下，SNS通过自动化的策略更新，就已经实现了能整个网络的安全防护。

C. 两级管理模式
    SNS为主控台和SNS设备两级管理模式，无需额外的日志服务器，通过主控台，可以最多同时对120个SNS设备设定统一的安全策略。多个SNS的报警事件，也可以在一个主控台窗口内，实现事件关联，帮助用户更加准确、快速的定位问题主机，或是入侵者的目的及入侵途径。

　　D. 通过带宽许可方式购买，节约用户购买成本。

　　SNS通过带宽许可的方式进行购买，用户只需按照所保护网络的带宽流量支付费用，不必为自己没有用到的服务付费。这样的方式，也可以适应用户不断变化的网络结构和不断接入网络的新的业务系统的要求。带宽许可可以累加购买，保护用户已有的投资不会浪费。

２、企业防病毒系统: Symantec Client Security 2.0

产品简介:
    Symantec Client Security提供客户端提供集成的防病毒、防火墙以及入侵检测功能.SCS已将网络和远程客户端的安全功能集成在一个解决方案中。它不存在互操作性问题，通过集成赛门铁克久负盛誉的防病毒、防火墙和入侵检测等技术为客户提供更强的攻击防护能力，包括那些混合威胁在内。来自一个厂商的多种集成化技术使得协作管理和响应成为可能，从而增加了防护能力，降低了管理和支持成本，削减了整体购买成本。

主要特性:

全面防护，高效管理

    SymantecTM Client Security已将网络和远程客户端的安全功能集成在一个解决方案中。它不存在互操作性问题，通过集成赛门铁克久负盛誉的防病毒、防火墙和入侵检测等技术为客户提供更强的攻击防护能力，包括那些混合威胁在内。来自一个厂商的多种集成化技术使得协作管理和响应成为可能，从而增加了防护能力，降低了管理和支持成本，削减了整体购买成本。

集成安全管理

    通过赛门铁克久经考验的架构——赛门铁克系统中心来实现集成安全管理，可以提供全面的防病毒、防火墙和入侵检测功能。这就可以提供先进的安全管理，并且简化了针对企业网络内每个客户端（包括远程用户）复杂威胁的安全管理过程。通过这种方法可以优化管理员资源，因为安装、报告和更新都可以从一个控制台上来完成。管理功能包括：

    A. 集成化管理——使用赛门铁克系统中心，管理员从单个控制台就可以完全配置、安装、管理和更新客户端病毒、防火墙以及入侵检测功能。管理员还可以使用赛门铁克系统中心控制台来配置、部署和执行企业网络策略。
    B. 逻辑组管理——Symantec Client Security能够创建和管理服务器组中的按逻辑划分的客户端和服务器组。这对于需要用同一种方法管理相同功能实体的组织来说尤为适用，可减少管理不同客户端组所需要的父服务器数目。
    C. 易于安装——Symantec PackagerTM 能够预先配置防病毒、防火墙和入侵检测的安装程序包，从而最大化部署灵活性，将部署成本降至最低。有三种预先配置的部署选项可用：全面管理、简单管理和瘦客户端。

集成化响应

    Symantec Client Security可以为防病毒、防火墙以及入侵检测提供通用的部署和更新功能，有助于减少更新的开销、风险和管理。此外，集成化响应功能还能够使企业对于违背安全策略和病毒发作更快做出响应，从而提高网络的整体安全状态。

    这种集成化更新和响应功能是由赛门铁克安全性响应中心这个世界领先的互联网安全性研究和支持组织完成的。使用赛门铁克久负盛誉的自动更新技术，Symantec Client Security可以在可自动安装（如果管理员愿意，也可手动安装）的单个集成化的数据包中发送病毒定义码、防火墙规则以及入侵特征库。在病毒发作时，赛门铁克通过各种集成化技术来测试和检验其解决方案。由于定义码更新文件很小，Symantec Client Security可以确保带宽预留和快速实施，从而对网络性能产生的影响最小。

    赛门铁克安全响应中心提供了一系列功能强大的安全资源，包括世界一流的产品支持以及业界领先的赛门铁克全球研究和技术支持中心提供的无间断的报警服务。赛门铁克的防入侵专家、安全工程师、防病毒防护专家协同工作，每天 24 小时持续不断地研究病毒、恶意代码、不断发展的漏洞以及最新的入侵技术。此外，赛门铁克安全响应中心始终致力于开发自动紧急事件响应系统，用于检测安全问题、向客户发出告警客户并为 SymantecTM Enterprise Security 客户提供安全的解决方案。

有效的保护

    ymantec Client Security融合了集成化防护、久负盛誉的技术以及全面的安全特性来使管理员安心：

    A. 客户安全策略实施——根据防火墙规则扫描传入和传出流量。Symantec Client Security内的防火墙技术可以同防病毒技术无缝协作，保护客户端不受病毒影响。即使在管理员或用户将实时病毒防护停用也可以实现上述防护。

    通过客户端防火墙和入侵检测技术的结合，它扫描并将所有传入和传出的流量同已知的特征组相比较，如果检测到入侵企图，可以将一个入侵IP地址阻塞超过30分钟。

    B. 融合领先的技术——Symantec Client Security构筑在久负盛誉的业界领先防病毒、防火墙和入侵检测技术基础之上。

    数字免疫系统可以自动提交潜在威胁，并且将应对方案自动发送到有问题的机器或者整个企业。在包括硬件资源、架构设计、最新扫描引擎以及Web crawlers在内的精密完善的基础设施支持下，数字免疫系统可以确保最高的服务可用性。

    C. 可扩展性——Symantec Client Security可以提供快速响应和更高的扩展性，利用赛门铁克技术采用的很小的定义码文件、病毒定义码传输方法以及病毒定义码的多线程服务器部署、防火墙规则以及入侵特征库等特性，可以保护客户端层免受新型威胁的侵害。

    多点产品并不提供全面检测所需要的部件。Symantec Client Security是唯一一种这样的单厂商解决方案，可以真正集成多种技术，提高客户机对当前复杂的互联网威胁的防御能力。

技术亮点:

    A. 为客户端提供更强的防护，通过集成管理和响应功能来防御互联网威胁。
    B. 采用集中化安装、部署、管理和更新的方法来确保安全策略的实施。
    C. 优化资源，有助于降低网络安全客户端防护的管理和支持成本。
    D. 隐私控制功能，可以防止用户定义的机密信息在没得到用户认可的情况下被发送。
    E. 通过快速更新客户端的防病毒定义码、防火墙规则以及入侵检测特征来保留网络带宽。
    F. 通过提供预先配置防病毒、防火墙和入侵检测安装程序包来最大化实施灵活性。
    G. 由赛门铁克安全响应中心——全球领先的互联网安全研究及响应机构提供支持。
    H. 此外，还提供Symantec Client Security小企业版，这是转为小型企业设计的完备、购买时就包括许可证的解决方案。