【正文】 ........................................................................................................................23 致 謝 ...........................................................................................................................24 機電學(xué)院校園網(wǎng)安全策略的研究 –1– 一、 緒論 （一） 問題的提出及研究意義 1. 問題的提出 近年來校園網(wǎng)發(fā)展的非常迅猛，為了提高學(xué)校的教學(xué)水平和管理能力，許多高校開始對校園實行教學(xué)手法現(xiàn)代化和校園管理網(wǎng)絡(luò)化的改革。最讓人感到意外的就是，調(diào)查表明，校園網(wǎng)受到的攻擊有 75%是來自校園網(wǎng)絡(luò)內(nèi)部的，這些攻擊者攻擊校園網(wǎng)內(nèi)的計算機的目的各不相同，有的是為了炫耀自己高超的電腦技術(shù)，有的是為了竊取別人的個人資料，還有的就是純粹的想攻擊破壞校園網(wǎng)。 遼寧機電職業(yè)技術(shù)學(xué)院作為一所高職院校，同樣面臨著校園網(wǎng)安全上的威脅。而且隨著現(xiàn)在校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的帶寬不斷的提高，為用戶下載提供了方便，許多人在網(wǎng)絡(luò)上下載的一些軟件中可能隱藏木馬、病毒、惡意代碼等后門程序，黑客們可以通過這些入侵、攻擊我們的計算機，從而造成計算機以及網(wǎng)絡(luò)的癱瘓。為了給廣大師生創(chuàng)建良好的校園網(wǎng)絡(luò)環(huán)境，我們需要設(shè)計出一個全面的、科學(xué)的、合理的、完整的校園網(wǎng)絡(luò)安全策略的解決方案 通過考察機電學(xué)院的網(wǎng)管中心，我們發(fā)現(xiàn)機電學(xué)院的網(wǎng)絡(luò)建設(shè)滯后于學(xué)校的整體發(fā)展。 2. 本文研究的主要內(nèi)容 本文首先對目前校園網(wǎng)絡(luò)之中存在的安全問題進行了分析， 并對這些問題進行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。校園網(wǎng)如果受到了安全威脅將直接的影響學(xué)校的管理、教學(xué)、科研活動等方面。微軟公司會不定時的發(fā)布一些補丁來修復(fù)這些漏洞，如果我們不及時對操作系統(tǒng)進行更新 ,這些漏洞就會一直存在，這些漏洞對我們的計算機來說將是很大的安全隱患。一些計算機病毒不單單通過網(wǎng)絡(luò)進行傳播，還可以通過一些學(xué)生、老師用的 U 盤、移動硬盤等存儲設(shè)備進行傳播 [2]。 校園網(wǎng)絡(luò)是廣大師生進行教學(xué)、辦公、學(xué)習(xí)、娛樂的主要平臺 ,但是學(xué)校有一部分老師和同學(xué)具有一定的網(wǎng)絡(luò)知識和黑客技術(shù)。 5. 校園網(wǎng)安全管理問題 校園網(wǎng)內(nèi)的計算機數(shù)量是非常大的，如果沒有一個好的管理方式，隨時都有可能會造成校園網(wǎng)內(nèi)數(shù)據(jù)通信出現(xiàn)問題。但是一個不好的網(wǎng)絡(luò)結(jié)構(gòu)，會讓整個校園網(wǎng)的計算機的安全都受到威脅。然而，大多數(shù)院校在校園網(wǎng)絡(luò)維護上的人員投入和設(shè)備投入都不是很充足 ,學(xué)校在校園網(wǎng)建設(shè) 的經(jīng)費往往大部分都投入到了購買網(wǎng)絡(luò)設(shè)備上。一個責任心不強的網(wǎng)絡(luò)管理員，將會使校園的網(wǎng)絡(luò)面臨著各種各樣的危險 [4]?，F(xiàn)開設(shè)儀器儀表、自動化技術(shù)、機械加工技術(shù)、材料成型技術(shù)、無損檢測技術(shù)、汽車工程 、黃金珠寶加工、工業(yè)設(shè)計、計算機應(yīng)用、制造類服務(wù)業(yè)、應(yīng)用語言等遼寧 11 個專業(yè)群， 51 個專業(yè)（方向）。建立教學(xué)資源庫供老師分享其課件、試題、資料等。 4. 網(wǎng)絡(luò)可靠性需求 校園網(wǎng)每時每刻都在處理大量的數(shù)據(jù)，如果校園網(wǎng)系統(tǒng)如果出現(xiàn)故障，將會給學(xué)校帶來很嚴重的損失。在保證網(wǎng)絡(luò)可靠的前提下，在原有的網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上添加性價比最好的設(shè)備。 并根據(jù)機電學(xué)院的具體情況對其校園網(wǎng)絡(luò)子網(wǎng)絡(luò)部分的需求進行分析，并總結(jié)出校園個區(qū)域部分的需求，如下表： 表 校園各區(qū)域節(jié)點部分需求 地點 節(jié)點數(shù) 安全性 速度要求 網(wǎng)絡(luò)控制中心 一般 高 高 行政中心 一般 高 高 信息館 /機械館 多 高 一般 儀表館 /工管館 多 高 一般 學(xué)生宿舍 多 一般 一般 圖書館 多 一般 一般 展覽中心 少 一般 一般 （二） 網(wǎng)絡(luò)設(shè)備的選擇 根據(jù)遼寧機電職業(yè)機電技術(shù)學(xué)院現(xiàn)有的網(wǎng)絡(luò)設(shè)備情況，不足以完成本設(shè)計，因此我們需要現(xiàn)有設(shè)備的基礎(chǔ)上對網(wǎng)絡(luò)設(shè)備進行添加。 神州數(shù)碼 DCRS7604 三層交換機為校園網(wǎng)的穩(wěn)定、快速、高效運行提供了保證。二層交換機的價格較便宜并且端口較多。防火墻還會對所有流經(jīng)它的網(wǎng)絡(luò)通信進行掃描與檢測，這樣可以阻止許多來自外界網(wǎng)絡(luò)的攻擊，以此來保護校園網(wǎng)內(nèi)的計算機。其中，以網(wǎng)絡(luò)控制中心為整個網(wǎng)絡(luò)拓撲結(jié)構(gòu)的核心，防火墻、服務(wù)器、核心交換機等構(gòu)建校園網(wǎng)的重要設(shè)備全部都在網(wǎng)絡(luò)中心。在考慮網(wǎng)絡(luò)設(shè)備利用率最大化，并且取得的效果最好，將信息館的接入層交換機 DCS360026C 與機械館的接入層交換機 DCS360026C 連到一個三層交換機DCRS565028 上，將儀表館的接入層交換機 DCS360026C 與工管館的接入層交換機機電學(xué)院校園網(wǎng)安全策略的研究 –12– DCS360026C 連到一個三層交換機 DCRS565028 上，再將這兩個三層交換機連到網(wǎng)絡(luò)中心的核心交換機上。并且，網(wǎng)絡(luò)管理員還可以根據(jù)需求對三層交換機進行安全配置，這樣可以最大程度上的提升其安全級別，因此，即使是用戶的網(wǎng)絡(luò)安全意識不強，其網(wǎng)絡(luò)安全防御能力也是很強的。 內(nèi)網(wǎng)之間高安全級別用戶與中安全級別用戶通信流程圖如下： 圖 高安全級別用戶與中安全級別用戶內(nèi)網(wǎng)通信流程圖 機電學(xué)院校園網(wǎng)安全策略的研究 –14– 如上圖所示：校園網(wǎng)內(nèi)網(wǎng)的用戶之間相互通信，不同 VLAN 間通信是不通過防火墻的，防火墻無法起到保護作用。接下來還對校園的各個部分進行了具體的 IP 地址和 VLAN 的劃分。防火墻就是將校園的內(nèi)部網(wǎng)絡(luò)與外界的不可信的公共網(wǎng)分離開。這樣那些受保護網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息會被防火墻的狀態(tài)表所記錄，然后返回的受保護網(wǎng)絡(luò)的數(shù)據(jù)包會與防火墻的狀態(tài)表進行對比，防火墻進行分析判斷只有通過的才能被放行。 3. 地址綁定功能 地址綁定就是將主機 IP 地址和網(wǎng)卡的 MAC 地址一一對應(yīng)起來。 機電學(xué)院校園網(wǎng)安全策略的研究 –16– 4. 時間段控制訪問功能 用戶可根據(jù)單位或個人的工作時間設(shè)置網(wǎng)絡(luò)服務(wù)的開放時段，從而限制網(wǎng)絡(luò)的開放程度，降低網(wǎng)絡(luò)風險及運行費用，方便了校園網(wǎng)絡(luò)管理員的管理，增加了網(wǎng)絡(luò)系統(tǒng)的安全性。對于這一點 神州數(shù)碼 DCFW1800SV2 防火墻 是采用安全的加密算法和傳輸體制來完成的。為了盡可能的提高防火墻的運行效率，神州數(shù)碼 DCFW1800SV2 防火墻本身集成 了入侵檢測系統(tǒng)，可以檢測部分常見的攻擊及非法掃描 [7]。 8. 支持帶寬控制功能 帶寬控制功能可以根據(jù)校園網(wǎng)的用戶級別進行分類，對不同類別的用戶進行不一樣的帶寬控制，限制其數(shù)據(jù)包的發(fā)送速率，達到保證網(wǎng)絡(luò)穩(wěn)定的目的。 機電學(xué)院校園網(wǎng)安全策略的研究 –17– 9. 日志審計功能 從安全的角度將，審計日志主要是起到抗抵賴的作用的，因為防火墻的審計日志記錄了用戶的 網(wǎng)絡(luò)使用情況，如果有人對校園網(wǎng)絡(luò)進行了入侵、攻擊等一系列的非法行為，攻擊時我們沒有發(fā)現(xiàn)，在事后我們可以通過對審計日志的查詢，了解其使用網(wǎng)絡(luò)的信息，據(jù)此對這樣的主機設(shè)置防范措施，以防再次遭到攻擊 [8]。 整個校園網(wǎng)的核心是由兩臺核心交換機 神州數(shù)碼 DCRS7604 三層交換機組成，其主要負責將校園網(wǎng)絡(luò)各部分的總數(shù)據(jù)流進行匯聚和分流。校園網(wǎng)絡(luò)的接入層由 神州數(shù)碼 DCS360026C 二層交換機構(gòu)成。雖然使用傳統(tǒng)的路由器可以防止形成廣播風暴，但是路由器的性能卻不是很好。 VLAN 還為我們 提供 了一定的 安全機制，可以控制廣播組的大小和位置 ， 限制特定用戶的訪問，甚至 還能鎖定網(wǎng)絡(luò)成員的 MAC 地址 。訪問控制列表是應(yīng)用在接口的指令列表，它可以起到控制網(wǎng)絡(luò)流量、流向的作用，并且保護網(wǎng)絡(luò)中的設(shè)備。使用 VRRP 技術(shù)主要起到主備備份和負載分擔的作用。下面以一個端口為例，進行端口流量限制的配置： hexin(config) interface e 3/8 hexin(configif3/8) portname TO WEB hexin(config) interface e8 hexin(configif8) speedduplex 10full hexin(config) flowcontrol hexin(config) interface e 3/8 hexin(configif3/8) enable 5. 端口聚合 由于兩臺交換機之間相互連接，有多條冗余鏈路，使用端口聚合技術(shù)，可以把一組物理端口聯(lián)合起來，變成一個邏輯的鏈路通道。下面是端口聚合的配置命令： hexin(config)trunk switch|server ether 8/1 to 2/8 Trunk will be created in next trunk deploy. hexin(config)trunk deploy hexin(config) mirrorport ether 2/8 hexin(config) interface ether 4/3 hexin(configif4/3) monitor ether 4/1 both 機電學(xué)院校園網(wǎng)安全策略的研究 –21– 6. 路由功能 普通交換機并不能實現(xiàn)路由功能 ，但是 三層交換機卻據(jù)有路由功能，可以完成校園網(wǎng)的路由功能需求。防火墻可以抵御來自外部網(wǎng)絡(luò)的入侵、攻擊。 根據(jù)遼寧機電職業(yè)技術(shù)學(xué)院的具體情況，對機電學(xué)院網(wǎng)絡(luò)需求、地理位置進行了分析。接著再對機電學(xué)院的各個部分進行了詳細的網(wǎng)絡(luò)地址設(shè)置以及 VLAN 劃分。 機電學(xué)院校園網(wǎng)安全策略的研究 –23– 參考文獻 [1]陳增吉 . 萊蕪職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)安全策略研究與設(shè)計 . 山東大學(xué) .20xx [2]楊恩鎮(zhèn) . 木馬攻擊防范理論與技術(shù)研究 . 山東師范大學(xué) .20xx [3]韋杰 . 關(guān)于計算機網(wǎng)絡(luò)安全的分析 . 廣西輕工業(yè) .20xx,2 [4]徐國愛 . 網(wǎng)絡(luò)安全 . 北京：北京郵電大學(xué)出版社 .20xx [5]張立峰 . 基于防火墻和三層交換機的校園網(wǎng)絡(luò)安全策略研究 . 電子科技大學(xué) .20xx [6]李韋韋 . 多層特征分配網(wǎng)絡(luò)入侵檢測系統(tǒng) . 南昌大學(xué) .20xx [7]崔成 . 高等院校校園網(wǎng)中防火墻的配置與測試 . 吉林大學(xué) .20xx [8]韓鯤等 . 基于數(shù)據(jù)倉庫審計信息安全的方法 . 信息安全與通信保密 .20xx,3 [9]魏漢斌 . 計算機多層交換技術(shù)應(yīng)用分析 . 軟件導(dǎo)刊 .20xx,8 [10]楊林海 . 局域網(wǎng)安全交換機的應(yīng)用探討 . 辦公自動化（綜合版） .20xx,7 [11]Kondakci, posite work security assessment,The 4th International Symposium on Information Assurance and Security,IAS 20xx. 機電學(xué)院校園網(wǎng)安全策略的研究 –24– 致 謝 本論文是在齊智敏老師的悉心指導(dǎo)下完成的。正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。在整個論文寫作過程中，對我進行了耐心的指導(dǎo)和幫助，以及對論文進度的關(guān)切，提出嚴格要求，多次指出我的不足，引導(dǎo)我不斷開闊思路，為我答疑解惑，鼓勵我大膽創(chuàng)新，使論文能夠順利完成，也更加完善以及具有可行性，也使我在這一段寶貴的時光中，既增長了 知識、開闊了視野、鍛煉了心態(tài)，又培養(yǎng)了良好的實驗習(xí)慣和科研精神。 本文雖然完成了對機電學(xué)院的校園網(wǎng)絡(luò)安全策略研究，但是由于個人經(jīng)驗尚淺，對校園網(wǎng)的設(shè)計還 不夠?qū)I(yè)，在網(wǎng)絡(luò)設(shè)備的具體配置及校園網(wǎng)絡(luò)優(yōu)化上還有進一步的改進空間。然后通過根據(jù)目前機電學(xué)院現(xiàn)有的網(wǎng)絡(luò)設(shè)備機型，為新的網(wǎng)絡(luò)拓撲結(jié)構(gòu)添加部分新的設(shè)備。 機電學(xué)院校園網(wǎng)安全策略的研究 –22– 結(jié)論 本論文從目前校園網(wǎng)所面對的各種問題出發(fā)，分析出了造成這些問題的原因。 （五） 本章小結(jié) 本章對遼寧機電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)拓撲結(jié)構(gòu)中的核心設(shè)備：防火墻和三層交換機的安全策略和功能進行了具體分析。 提升冗余等級，只要不是 每條鏈路都壞掉，兩臺交換機之間就能互相通信。流量限制的作用就是為了防止出現(xiàn)網(wǎng)絡(luò)阻塞的情況。在本設(shè)計中使用 VRRP 技術(shù)將校園網(wǎng)的一組三層交換機組織成一個虛擬三層交換機，稱之為一個備份組。 機電學(xué)院校園網(wǎng)安全策略的研究 –18– 根據(jù)上一章的網(wǎng)絡(luò)規(guī)劃設(shè)計，下面是以圖書館和學(xué)生宿舍的 VLAN 劃分為例的具體配置命令： 核心三層交換機的配置： Switch(config)Hostname hexin hexin(config)VLAN 80 hexin(configvlan)EXIT hex