【正文】 ........................................................................................................................23 致 謝 ...........................................................................................................................24 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –1– 一、 緒論 （一） 問(wèn)題的提出及研究意義 1. 問(wèn)題的提出 近年來(lái)校園網(wǎng)發(fā)展的非常迅猛，為了提高學(xué)校的教學(xué)水平和管理能力，許多高校開(kāi)始對(duì)校園實(shí)行教學(xué)手法現(xiàn)代化和校園管理網(wǎng)絡(luò)化的改革。最讓人感到意外的就是，調(diào)查表明，校園網(wǎng)受到的攻擊有 75%是來(lái)自校園網(wǎng)絡(luò)內(nèi)部的，這些攻擊者攻擊校園網(wǎng)內(nèi)的計(jì)算機(jī)的目的各不相同，有的是為了炫耀自己高超的電腦技術(shù)，有的是為了竊取別人的個(gè)人資料，還有的就是純粹的想攻擊破壞校園網(wǎng)。 遼寧機(jī)電職業(yè)技術(shù)學(xué)院作為一所高職院校，同樣面臨著校園網(wǎng)安全上的威脅。而且隨著現(xiàn)在校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的帶寬不斷的提高，為用戶(hù)下載提供了方便，許多人在網(wǎng)絡(luò)上下載的一些軟件中可能隱藏木馬、病毒、惡意代碼等后門(mén)程序，黑客們可以通過(guò)這些入侵、攻擊我們的計(jì)算機(jī)，從而造成計(jì)算機(jī)以及網(wǎng)絡(luò)的癱瘓。為了給廣大師生創(chuàng)建良好的校園網(wǎng)絡(luò)環(huán)境，我們需要設(shè)計(jì)出一個(gè)全面的、科學(xué)的、合理的、完整的校園網(wǎng)絡(luò)安全策略的解決方案 通過(guò)考察機(jī)電學(xué)院的網(wǎng)管中心，我們發(fā)現(xiàn)機(jī)電學(xué)院的網(wǎng)絡(luò)建設(shè)滯后于學(xué)校的整體發(fā)展。 2. 本文研究的主要內(nèi)容 本文首先對(duì)目前校園網(wǎng)絡(luò)之中存在的安全問(wèn)題進(jìn)行了分析， 并對(duì)這些問(wèn)題進(jìn)行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。校園網(wǎng)如果受到了安全威脅將直接的影響學(xué)校的管理、教學(xué)、科研活動(dòng)等方面。微軟公司會(huì)不定時(shí)的發(fā)布一些補(bǔ)丁來(lái)修復(fù)這些漏洞，如果我們不及時(shí)對(duì)操作系統(tǒng)進(jìn)行更新 ,這些漏洞就會(huì)一直存在，這些漏洞對(duì)我們的計(jì)算機(jī)來(lái)說(shuō)將是很大的安全隱患。一些計(jì)算機(jī)病毒不單單通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，還可以通過(guò)一些學(xué)生、老師用的 U 盤(pán)、移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備進(jìn)行傳播 [2]。 校園網(wǎng)絡(luò)是廣大師生進(jìn)行教學(xué)、辦公、學(xué)習(xí)、娛樂(lè)的主要平臺(tái) ,但是學(xué)校有一部分老師和同學(xué)具有一定的網(wǎng)絡(luò)知識(shí)和黑客技術(shù)。 5. 校園網(wǎng)安全管理問(wèn)題 校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量是非常大的，如果沒(méi)有一個(gè)好的管理方式，隨時(shí)都有可能會(huì)造成校園網(wǎng)內(nèi)數(shù)據(jù)通信出現(xiàn)問(wèn)題。但是一個(gè)不好的網(wǎng)絡(luò)結(jié)構(gòu)，會(huì)讓整個(gè)校園網(wǎng)的計(jì)算機(jī)的安全都受到威脅。然而，大多數(shù)院校在校園網(wǎng)絡(luò)維護(hù)上的人員投入和設(shè)備投入都不是很充足 ,學(xué)校在校園網(wǎng)建設(shè) 的經(jīng)費(fèi)往往大部分都投入到了購(gòu)買(mǎi)網(wǎng)絡(luò)設(shè)備上。一個(gè)責(zé)任心不強(qiáng)的網(wǎng)絡(luò)管理員，將會(huì)使校園的網(wǎng)絡(luò)面臨著各種各樣的危險(xiǎn) [4]。現(xiàn)開(kāi)設(shè)儀器儀表、自動(dòng)化技術(shù)、機(jī)械加工技術(shù)、材料成型技術(shù)、無(wú)損檢測(cè)技術(shù)、汽車(chē)工程 、黃金珠寶加工、工業(yè)設(shè)計(jì)、計(jì)算機(jī)應(yīng)用、制造類(lèi)服務(wù)業(yè)、應(yīng)用語(yǔ)言等遼寧 11 個(gè)專(zhuān)業(yè)群， 51 個(gè)專(zhuān)業(yè)（方向）。建立教學(xué)資源庫(kù)供老師分享其課件、試題、資料等。 4. 網(wǎng)絡(luò)可靠性需求 校園網(wǎng)每時(shí)每刻都在處理大量的數(shù)據(jù)，如果校園網(wǎng)系統(tǒng)如果出現(xiàn)故障，將會(huì)給學(xué)校帶來(lái)很?chē)?yán)重的損失。在保證網(wǎng)絡(luò)可靠的前提下，在原有的網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上添加性?xún)r(jià)比最好的設(shè)備。 并根據(jù)機(jī)電學(xué)院的具體情況對(duì)其校園網(wǎng)絡(luò)子網(wǎng)絡(luò)部分的需求進(jìn)行分析，并總結(jié)出校園個(gè)區(qū)域部分的需求，如下表： 表 校園各區(qū)域節(jié)點(diǎn)部分需求 地點(diǎn) 節(jié)點(diǎn)數(shù) 安全性 速度要求 網(wǎng)絡(luò)控制中心 一般 高 高 行政中心 一般 高 高 信息館 /機(jī)械館 多 高 一般 儀表館 /工管館 多 高 一般 學(xué)生宿舍 多 一般 一般 圖書(shū)館 多 一般 一般 展覽中心 少 一般 一般 （二） 網(wǎng)絡(luò)設(shè)備的選擇 根據(jù)遼寧機(jī)電職業(yè)機(jī)電技術(shù)學(xué)院現(xiàn)有的網(wǎng)絡(luò)設(shè)備情況，不足以完成本設(shè)計(jì)，因此我們需要現(xiàn)有設(shè)備的基礎(chǔ)上對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行添加。 神州數(shù)碼 DCRS7604 三層交換機(jī)為校園網(wǎng)的穩(wěn)定、快速、高效運(yùn)行提供了保證。二層交換機(jī)的價(jià)格較便宜并且端口較多。防火墻還會(huì)對(duì)所有流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描與檢測(cè)，這樣可以阻止許多來(lái)自外界網(wǎng)絡(luò)的攻擊，以此來(lái)保護(hù)校園網(wǎng)內(nèi)的計(jì)算機(jī)。其中，以網(wǎng)絡(luò)控制中心為整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的核心，防火墻、服務(wù)器、核心交換機(jī)等構(gòu)建校園網(wǎng)的重要設(shè)備全部都在網(wǎng)絡(luò)中心。在考慮網(wǎng)絡(luò)設(shè)備利用率最大化，并且取得的效果最好，將信息館的接入層交換機(jī) DCS360026C 與機(jī)械館的接入層交換機(jī) DCS360026C 連到一個(gè)三層交換機(jī)DCRS565028 上，將儀表館的接入層交換機(jī) DCS360026C 與工管館的接入層交換機(jī)機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –12– DCS360026C 連到一個(gè)三層交換機(jī) DCRS565028 上，再將這兩個(gè)三層交換機(jī)連到網(wǎng)絡(luò)中心的核心交換機(jī)上。并且，網(wǎng)絡(luò)管理員還可以根據(jù)需求對(duì)三層交換機(jī)進(jìn)行安全配置，這樣可以最大程度上的提升其安全級(jí)別，因此，即使是用戶(hù)的網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，其網(wǎng)絡(luò)安全防御能力也是很強(qiáng)的。 內(nèi)網(wǎng)之間高安全級(jí)別用戶(hù)與中安全級(jí)別用戶(hù)通信流程圖如下： 圖 高安全級(jí)別用戶(hù)與中安全級(jí)別用戶(hù)內(nèi)網(wǎng)通信流程圖 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –14– 如上圖所示：校園網(wǎng)內(nèi)網(wǎng)的用戶(hù)之間相互通信，不同 VLAN 間通信是不通過(guò)防火墻的，防火墻無(wú)法起到保護(hù)作用。接下來(lái)還對(duì)校園的各個(gè)部分進(jìn)行了具體的 IP 地址和 VLAN 的劃分。防火墻就是將校園的內(nèi)部網(wǎng)絡(luò)與外界的不可信的公共網(wǎng)分離開(kāi)。這樣那些受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息會(huì)被防火墻的狀態(tài)表所記錄，然后返回的受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包會(huì)與防火墻的狀態(tài)表進(jìn)行對(duì)比，防火墻進(jìn)行分析判斷只有通過(guò)的才能被放行。 3. 地址綁定功能 地址綁定就是將主機(jī) IP 地址和網(wǎng)卡的 MAC 地址一一對(duì)應(yīng)起來(lái)。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –16– 4. 時(shí)間段控制訪問(wèn)功能 用戶(hù)可根據(jù)單位或個(gè)人的工作時(shí)間設(shè)置網(wǎng)絡(luò)服務(wù)的開(kāi)放時(shí)段，從而限制網(wǎng)絡(luò)的開(kāi)放程度，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)及運(yùn)行費(fèi)用，方便了校園網(wǎng)絡(luò)管理員的管理，增加了網(wǎng)絡(luò)系統(tǒng)的安全性。對(duì)于這一點(diǎn) 神州數(shù)碼 DCFW1800SV2 防火墻 是采用安全的加密算法和傳輸體制來(lái)完成的。為了盡可能的提高防火墻的運(yùn)行效率，神州數(shù)碼 DCFW1800SV2 防火墻本身集成 了入侵檢測(cè)系統(tǒng)，可以檢測(cè)部分常見(jiàn)的攻擊及非法掃描 [7]。 8. 支持帶寬控制功能 帶寬控制功能可以根據(jù)校園網(wǎng)的用戶(hù)級(jí)別進(jìn)行分類(lèi)，對(duì)不同類(lèi)別的用戶(hù)進(jìn)行不一樣的帶寬控制，限制其數(shù)據(jù)包的發(fā)送速率，達(dá)到保證網(wǎng)絡(luò)穩(wěn)定的目的。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –17– 9. 日志審計(jì)功能 從安全的角度將，審計(jì)日志主要是起到抗抵賴(lài)的作用的，因?yàn)榉阑饓Φ膶徲?jì)日志記錄了用戶(hù)的 網(wǎng)絡(luò)使用情況，如果有人對(duì)校園網(wǎng)絡(luò)進(jìn)行了入侵、攻擊等一系列的非法行為，攻擊時(shí)我們沒(méi)有發(fā)現(xiàn)，在事后我們可以通過(guò)對(duì)審計(jì)日志的查詢(xún)，了解其使用網(wǎng)絡(luò)的信息，據(jù)此對(duì)這樣的主機(jī)設(shè)置防范措施，以防再次遭到攻擊 [8]。 整個(gè)校園網(wǎng)的核心是由兩臺(tái)核心交換機(jī) 神州數(shù)碼 DCRS7604 三層交換機(jī)組成，其主要負(fù)責(zé)將校園網(wǎng)絡(luò)各部分的總數(shù)據(jù)流進(jìn)行匯聚和分流。校園網(wǎng)絡(luò)的接入層由 神州數(shù)碼 DCS360026C 二層交換機(jī)構(gòu)成。雖然使用傳統(tǒng)的路由器可以防止形成廣播風(fēng)暴，但是路由器的性能卻不是很好。 VLAN 還為我們 提供 了一定的 安全機(jī)制，可以控制廣播組的大小和位置 ， 限制特定用戶(hù)的訪問(wèn)，甚至 還能鎖定網(wǎng)絡(luò)成員的 MAC 地址 。訪問(wèn)控制列表是應(yīng)用在接口的指令列表，它可以起到控制網(wǎng)絡(luò)流量、流向的作用，并且保護(hù)網(wǎng)絡(luò)中的設(shè)備。使用 VRRP 技術(shù)主要起到主備備份和負(fù)載分擔(dān)的作用。下面以一個(gè)端口為例，進(jìn)行端口流量限制的配置： hexin(config) interface e 3/8 hexin(configif3/8) portname TO WEB hexin(config) interface e8 hexin(configif8) speedduplex 10full hexin(config) flowcontrol hexin(config) interface e 3/8 hexin(configif3/8) enable 5. 端口聚合 由于兩臺(tái)交換機(jī)之間相互連接，有多條冗余鏈路，使用端口聚合技術(shù)，可以把一組物理端口聯(lián)合起來(lái)，變成一個(gè)邏輯的鏈路通道。下面是端口聚合的配置命令： hexin(config)trunk switch|server ether 8/1 to 2/8 Trunk will be created in next trunk deploy. hexin(config)trunk deploy hexin(config) mirrorport ether 2/8 hexin(config) interface ether 4/3 hexin(configif4/3) monitor ether 4/1 both 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –21– 6. 路由功能 普通交換機(jī)并不能實(shí)現(xiàn)路由功能 ，但是 三層交換機(jī)卻據(jù)有路由功能，可以完成校園網(wǎng)的路由功能需求。防火墻可以抵御來(lái)自外部網(wǎng)絡(luò)的入侵、攻擊。 根據(jù)遼寧機(jī)電職業(yè)技術(shù)學(xué)院的具體情況，對(duì)機(jī)電學(xué)院網(wǎng)絡(luò)需求、地理位置進(jìn)行了分析。接著再對(duì)機(jī)電學(xué)院的各個(gè)部分進(jìn)行了詳細(xì)的網(wǎng)絡(luò)地址設(shè)置以及 VLAN 劃分。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –23– 參考文獻(xiàn) [1]陳增吉 . 萊蕪職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)安全策略研究與設(shè)計(jì) . 山東大學(xué) .20xx [2]楊恩鎮(zhèn) . 木馬攻擊防范理論與技術(shù)研究 . 山東師范大學(xué) .20xx [3]韋杰 . 關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全的分析 . 廣西輕工業(yè) .20xx,2 [4]徐國(guó)愛(ài) . 網(wǎng)絡(luò)安全 . 北京：北京郵電大學(xué)出版社 .20xx [5]張立峰 . 基于防火墻和三層交換機(jī)的校園網(wǎng)絡(luò)安全策略研究 . 電子科技大學(xué) .20xx [6]李韋韋 . 多層特征分配網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) . 南昌大學(xué) .20xx [7]崔成 . 高等院校校園網(wǎng)中防火墻的配置與測(cè)試 . 吉林大學(xué) .20xx [8]韓鯤等 . 基于數(shù)據(jù)倉(cāng)庫(kù)審計(jì)信息安全的方法 . 信息安全與通信保密 .20xx,3 [9]魏漢斌 . 計(jì)算機(jī)多層交換技術(shù)應(yīng)用分析 . 軟件導(dǎo)刊 .20xx,8 [10]楊林海 . 局域網(wǎng)安全交換機(jī)的應(yīng)用探討 . 辦公自動(dòng)化（綜合版） .20xx,7 [11]Kondakci, posite work security assessment,The 4th International Symposium on Information Assurance and Security,IAS 20xx. 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –24– 致 謝 本論文是在齊智敏老師的悉心指導(dǎo)下完成的。正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。在整個(gè)論文寫(xiě)作過(guò)程中，對(duì)我進(jìn)行了耐心的指導(dǎo)和幫助，以及對(duì)論文進(jìn)度的關(guān)切，提出嚴(yán)格要求，多次指出我的不足，引導(dǎo)我不斷開(kāi)闊思路，為我答疑解惑，鼓勵(lì)我大膽創(chuàng)新，使論文能夠順利完成，也更加完善以及具有可行性，也使我在這一段寶貴的時(shí)光中，既增長(zhǎng)了 知識(shí)、開(kāi)闊了視野、鍛煉了心態(tài)，又培養(yǎng)了良好的實(shí)驗(yàn)習(xí)慣和科研精神。 本文雖然完成了對(duì)機(jī)電學(xué)院的校園網(wǎng)絡(luò)安全策略研究，但是由于個(gè)人經(jīng)驗(yàn)尚淺，對(duì)校園網(wǎng)的設(shè)計(jì)還 不夠?qū)I(yè)，在網(wǎng)絡(luò)設(shè)備的具體配置及校園網(wǎng)絡(luò)優(yōu)化上還有進(jìn)一步的改進(jìn)空間。然后通過(guò)根據(jù)目前機(jī)電學(xué)院現(xiàn)有的網(wǎng)絡(luò)設(shè)備機(jī)型，為新的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)添加部分新的設(shè)備。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –22– 結(jié)論 本論文從目前校園網(wǎng)所面對(duì)的各種問(wèn)題出發(fā)，分析出了造成這些問(wèn)題的原因。 （五） 本章小結(jié) 本章對(duì)遼寧機(jī)電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中的核心設(shè)備：防火墻和三層交換機(jī)的安全策略和功能進(jìn)行了具體分析。 提升冗余等級(jí)，只要不是 每條鏈路都?jí)牡?，兩臺(tái)交換機(jī)之間就能互相通信。流量限制的作用就是為了防止出現(xiàn)網(wǎng)絡(luò)阻塞的情況。在本設(shè)計(jì)中使用 VRRP 技術(shù)將校園網(wǎng)的一組三層交換機(jī)組織成一個(gè)虛擬三層交換機(jī)，稱(chēng)之為一個(gè)備份組。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –18– 根據(jù)上一章的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，下面是以圖書(shū)館和學(xué)生宿舍的 VLAN 劃分為例的具體配置命令： 核心三層交換機(jī)的配置： Switch(config)Hostname hexin hexin(config)VLAN 80 hexin(configvlan)EXIT hex