【正文】 要進(jìn)行訪問(wèn)控制 一般情況下不能通過(guò)內(nèi)網(wǎng)直接互相訪問(wèn)，以保證每個(gè)安全區(qū)域的獨(dú)立性，防止網(wǎng)絡(luò)威脅的大范圍擴(kuò)散，便于進(jìn)行管理。校園網(wǎng)內(nèi)部采用私有 IP（ Inter Protocol）地址，采用防火墻與外網(wǎng)實(shí)現(xiàn)隔離，通過(guò)各種網(wǎng)絡(luò)安全技術(shù)來(lái)應(yīng)對(duì)校內(nèi)、校外的攻擊。而其中學(xué)生宿舍為每間 46 人，同時(shí)每間宿舍配備一個(gè)網(wǎng)絡(luò)接入口。 校園網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀和發(fā)展趨勢(shì) 校園網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀 現(xiàn)在，各大高?；旧隙家哑占傲诵@網(wǎng)，但是這并不意味著校園網(wǎng)的建設(shè)已經(jīng)十分完善了，在許多學(xué)校中，校園網(wǎng)的安全建設(shè)都存在著各種不同的問(wèn)題，其中有幾點(diǎn)是較為普遍的，如： （ 1）管理方面 有些學(xué)校的校園網(wǎng)沒(méi)有建立完善的安全管理制度，信息安全組織不夠健全， 沒(méi)有落實(shí)安全責(zé) 任管理制度，難以保證網(wǎng)絡(luò)安全管理人員盡職責(zé)去完成自己的本職工作，甚至沒(méi)有建立網(wǎng)絡(luò)安全機(jī)構(gòu)，或者是缺少專(zhuān)門(mén)的安全人員。 關(guān)鍵詞 :珠江學(xué)院 ； 網(wǎng)絡(luò)；安全；拓?fù)浣Y(jié)構(gòu)； VPN 目 錄 前言 校園網(wǎng)網(wǎng)絡(luò)安全研究的歷史及背景 珠江學(xué)院在創(chuàng)辦后也建設(shè)了校園網(wǎng)網(wǎng)絡(luò)。 課程設(shè)計(jì) 課 程：網(wǎng)絡(luò)工程綜合 設(shè)計(jì)題目： 校園網(wǎng)絡(luò)設(shè)計(jì)方案（網(wǎng)絡(luò) 安全部分） 設(shè)計(jì)人： 學(xué)號(hào)： 同組者： 摘 要 隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為了人們工作和生活的一部分，人類(lèi)社會(huì)越來(lái)越多的活動(dòng)都必須依賴(lài)網(wǎng)絡(luò)來(lái)完成，因此各個(gè)高等院校基本上在校園內(nèi)普及了網(wǎng)絡(luò)的應(yīng)用，以達(dá)到各種教學(xué)目的，而珠江學(xué)院也不例外。然而，校園網(wǎng)的普及所帶來(lái)的是巨大的安全威脅，例如，病毒、拒絕服務(wù)攻擊、垃圾郵件等等。 （ 2）經(jīng)濟(jì)方面 學(xué)校對(duì)校園網(wǎng)網(wǎng)絡(luò)安全不夠重視，簡(jiǎn)單地認(rèn)為校園網(wǎng)的建設(shè)只是構(gòu)建好網(wǎng)絡(luò)就行了，而沒(méi)有考慮到校園網(wǎng)的安全問(wèn)題，因此一般來(lái)說(shuō)，校園網(wǎng)資金投入比例隨著校園網(wǎng)的建成而逐漸地下降，影響網(wǎng)絡(luò)安全體系的建設(shè)和升級(jí)，造成了校園網(wǎng)中病毒肆虐、網(wǎng)絡(luò)被攻擊、極大地消耗了網(wǎng)絡(luò)和主機(jī)的軟硬件資源，而導(dǎo)致系統(tǒng)或主機(jī)無(wú)法正常工作甚至癱瘓。 在珠江學(xué)院中，對(duì)校園網(wǎng)的使用分為三種類(lèi)型，第一種類(lèi)型以學(xué)生宿舍對(duì)網(wǎng)絡(luò)的使用為代表，主要用于瀏覽網(wǎng)頁(yè)、資料下載、信息交流等，這是網(wǎng)絡(luò)在一般高校中最主要也是最普遍的用途；網(wǎng)絡(luò)中心屬于第二種類(lèi)型，它主要負(fù)責(zé)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)層次的管理，確保能為學(xué)院中的每個(gè)用戶(hù)提供網(wǎng)絡(luò)服務(wù)；最后一種類(lèi)型是包括行政樓和系辦公樓對(duì)學(xué)院進(jìn)行的管 理活動(dòng)，方便領(lǐng)導(dǎo)層對(duì)學(xué)院的行政工作、電子財(cái)務(wù)報(bào)表進(jìn)行管理。對(duì)學(xué)院機(jī)房、教學(xué)樓、辦公樓中的用戶(hù)加強(qiáng)來(lái)自?xún)?nèi)部病毒、蠕蟲(chóng)等的攻擊，防止教學(xué)課件、管理資料等不被惡意 篡改和刪除；學(xué)生宿舍和教師宿舍中的用戶(hù)可以正常的訪問(wèn) Inter,能夠應(yīng)對(duì)來(lái)自于 外網(wǎng)的黑客入侵和病毒的攻擊。這需要把學(xué)校分為 5 個(gè)局部區(qū)域，包括辦公樓、學(xué)校機(jī)房、學(xué)生宿舍、教師宿舍和圖書(shū)館等。在節(jié)假日的時(shí)候，可以為師生提供安全的遠(yuǎn)程訪問(wèn)，使他 們即使在校園之外也能夠方便地使用學(xué)校的內(nèi)部網(wǎng)絡(luò)資源，例如圖書(shū)館所收藏的電子書(shū)或是其他的一些學(xué)習(xí)材料等等。 分布層，或者稱(chēng)為匯聚層，主要負(fù)責(zé)各個(gè)接入層的接入，有著“承上啟下”的作用，所有接入層的數(shù)據(jù)都經(jīng)過(guò)分布層到達(dá)核心層，所以分布層的架構(gòu)對(duì)校園網(wǎng)數(shù)據(jù)的傳輸和安全起著很關(guān)鍵的作用。 在安全建設(shè)中，要注意把安全方案設(shè)計(jì)當(dāng)作一個(gè)整體來(lái)考慮，應(yīng)用系統(tǒng)工程理論指導(dǎo)安全設(shè)計(jì)的過(guò)程，而不是把安全設(shè)計(jì)分為一個(gè)個(gè)單獨(dú)的個(gè)體技術(shù)或產(chǎn)品去考慮，除了這些軟件、硬件之外，還必須把人這個(gè)因素考慮進(jìn)去，只有這樣才能使得最終的安全方案真正地發(fā)揮它 應(yīng)有的效果。 應(yīng)當(dāng)明確隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種新的網(wǎng)絡(luò)攻擊和安全漏洞也會(huì)不斷涌現(xiàn)，想要一次性地解決校園網(wǎng)的安全問(wèn)題是不現(xiàn)實(shí)的，因此要分步建設(shè)，考慮每一時(shí)期的技術(shù)、資金和需求因素，按照這些因素逐漸地建設(shè)、完善校園網(wǎng)。 既是要求在珠江學(xué)院的網(wǎng)絡(luò)安全建設(shè)中的安全保護(hù)措施不止一個(gè)，而是要有多個(gè)安全措施，以保證即使一層安全防護(hù)失效，其它的安全措施也能夠?qū)Π踩{繼續(xù)起著作用。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。 （ 3）需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。 . 珠江學(xué)院校 園內(nèi)網(wǎng)安全解決方案 部署防火墻 在需要隔離的網(wǎng)絡(luò)區(qū)域之間部署防火墻。在防火墻設(shè)置上按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性： （ 1）根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)。 （ 4）定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 （ 2）有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。 IDS 無(wú)法有效阻斷攻擊，比如蠕蟲(chóng)爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓， IDS 無(wú)能為力。 通過(guò)防火墻和 IPS 的聯(lián)合部署，珠江學(xué)院校園網(wǎng)絡(luò)基本上能防御內(nèi)外網(wǎng)的從 27 層的攻擊，并 能審計(jì)、記錄攻擊行為，便于調(diào)查攻擊。 通過(guò)漏洞管理產(chǎn)品，集中、及時(shí)找出漏洞并詳細(xì)了解漏洞相關(guān)信息，不需要用戶(hù)每天去關(guān)注不同廠商的漏洞公告，因?yàn)楦鱾€(gè)廠商的漏洞公告不會(huì)定期發(fā)布，即使發(fā)布了漏洞公告絕大多數(shù)用戶(hù)也不能夠及時(shí)地獲得相關(guān)信息。 漏洞管理系統(tǒng)包 括硬件平臺(tái)和 管理控制臺(tái) ，部署在網(wǎng) 絡(luò)的核心交 換機(jī)處，對(duì)整個(gè)網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。 （ 2）網(wǎng)絡(luò)版客戶(hù)端安裝方法 網(wǎng)絡(luò)版客戶(hù)端有多種安裝方式，對(duì)于域用戶(hù)可以采用自動(dòng)分發(fā)安裝的方式，使域中的用戶(hù)在登陸時(shí)自動(dòng)安裝網(wǎng)絡(luò)版的客戶(hù)端，也可采用光盤(pán)直接安裝，網(wǎng)絡(luò)共享安裝；對(duì)于非域用戶(hù)可以采用網(wǎng)絡(luò)共享方式安裝，也可以采用光盤(pán)直接安 裝?？梢栽O(shè)置讓控制中心每日自動(dòng)升級(jí)。具有分組功能，網(wǎng)絡(luò)管理員能夠在控制臺(tái)自己所管理的機(jī)器進(jìn)行合理的分組，可以對(duì)分組統(tǒng)一的配置、查殺等，而且也解決了在沒(méi)有分組功能前，機(jī)器過(guò)多導(dǎo)致管理困難的問(wèn)題，網(wǎng)絡(luò)管理員會(huì)更加方便，而且會(huì)大大提高管理效率。 防病毒系統(tǒng)由服務(wù)器端和客戶(hù)端組成。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì) Web 應(yīng)用攻擊完善的防御能力。惡意的攻擊流量將封裝為 HTTP 請(qǐng)求，從 80 或 443 端口順利通過(guò)防火墻檢測(cè)。具體體現(xiàn)為： （ 1）、安全威脅的技術(shù)根源在于安全漏洞的存在。 （ 2）、針對(duì)當(dāng)前泛濫的 DDoS 攻擊，傳統(tǒng) IPS 設(shè)備僅具備基本防 護(hù)功能，很難滿(mǎn)足應(yīng)用層細(xì)粒度防護(hù)的需求。基于對(duì) Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解， WAF 對(duì)來(lái)自 Web 應(yīng)用程序客戶(hù)端的各類(lèi)請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類(lèi)網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。實(shí)現(xiàn)這個(gè)目標(biāo)的新技術(shù)就是內(nèi)容安全管理。通過(guò)計(jì)費(fèi)網(wǎng)關(guān)和智能交換機(jī) 協(xié)議的配合，完成合法用戶(hù)的認(rèn)證，防止代理私接； MAC、 IP 地址假冒