4.安全域隔离

　　（1）一级数据中心安全域

　　严格控制区域内服务器向外提供服务的类型，仅允许Web应用访问，拦截其余一切网络通讯。管理员访问通过专有的VPN设备进行。

　　（2）二级数据中心安全域

　　有日常工作便捷性要求，可按用户需求打开某些非Web应用的访问，但需给出可信IP地址范围，拦截其余一切网络数据包的进出。管理员访问通过校VPN设备或可信IP进行。

　　（3）核心服务器安全域

　　严格控制仅允许所提供服务的端口访问，拦截其余一切网络通讯。管理员访问通过校VPN设备或可信IP进行。

　　（4）用户安全域

　　不进行固定隔离。

　　5. 安全防护策略定制

　　（1）一级数据中心安全域

　　外部访问流量将先经过UTM进行访问控制和应用漏洞、DoS攻击的拦截（可选做信息泄露防护），再通过WAF对Web应用攻击做专门拦截。为减少误报和提高检测效率，可根据内部网站的系统平台软件类型，对UTM的IPS规则进行裁剪；WAF开启全部规则。

　　（2）二级数据中心安全域

　　外部访问流量将先经过UTM进行访问控制和系统漏洞、DoS攻击的拦截（可选做病毒过滤），再通过WAF对Web应用攻击做专门拦截。由于内部服务器的操作系统和应用软件种类较多，开启全部IPS规则和WAF规则 。

　　（3）核心服务器安全域

　　外部访问流量经过UTM，配置仅允许访问服务端口，其他端口封禁。根据服务器的系统平台软件类型裁剪IPS规则。上线运行一段时间后，根据流量日志统计分析服务访问行为的异常检测频率和模式，设计配置相应的DoS防护规则。

　　（4）用户安全域

　　对流量日志进行实时的异常行为检测，动态进行拦截对校园网主干有影响的攻击流量。

　　建立完善的网络安全管理制度

　　1.制定全面的日志与审计制度

　　所有安全设备开启攻击事件和流量日志功能。

　　重点防护范围内的服务器开启系统和应用日志功能。

　　实时传送日志到日志服务器，并保存历史日志 。

　　攻击发生后可进行网络行为追溯，辅助问题源的查找和定位。

　　自动实时分析各类日志，及时发现各种安全隐患，进行修正和拦截，做到防患于未然。

　　采用专业安全漏洞扫描软件定期进行校园网内计算机系统的安全评估工作，及时发现问题，及时修复，主动实现安全防护。

　　2.制定全面的安全管理、技术制度和明确的责任划分，对各类校园网用户的网络行为进行规范。

　　3.建立各类安全设备的实时性能监控和报警系统，在大规模网络攻击发生时可第一时间知晓。