【正文】 sities began to implement modern methods of teaching and school management reforms to the campus work. With the continuous expansion of the campus work scale, security and performance requirements of the campus work are also increasing. Large number of people using the campus work in the university, but quality of work users are uneven, causing a variety of problems appear the campus work. How can I make the campus safe and stable use by everyone had already bee a problem. The reasons for these problems varied, but the reason is some of the bad guys by viruses and hacking techniques disrupted the normal order of the campus work. Schools cannot get everyone to follow the order of the campus work, and that only make the normal operation of the campus work construction more secure and stable to the greatest degree of assurance of the campus work. This thesis is designing for Electrical and Mechanical College’s work topology, using the firewall and the threetier switch based work architecture, install a firewall can protect campus work does not receive attacks from outside the work , using threetier switch as the core of the campus work not only provide for the campus work stability, fast, efficient operation of the guarantee,it also can improve the overall performance of the campus work. This paper has also carried on the concrete VLAN（ Virtual Local Area Network） division of Electrical and Mechanical College. And safe strategy and the function of firewall are analyzed, and the analysis of the threetier switch security strategy, finally security strategy of campus work are summarized Key Words： Firewalls。 這些改革的實施讓人們在校園內(nèi)的業(yè)余生活變得更加充實、歡樂、多變。 我們不可能讓每個人都遵循校園網(wǎng)的秩序，我們只有將校園網(wǎng)建設的更加安全、穩(wěn)定才能最大程度的保證校園網(wǎng)的正常運行。本文所研究的課題就是在這樣的背景條件下所提出的，關(guān)于機電學院校園網(wǎng)安全策略的研究。 機電學院校園網(wǎng)安全策略的研究 –2– 研究這一課題的意義不僅僅是為遼寧機電職業(yè)技術(shù)學院建設安全的校園網(wǎng)，更為了是給其他的一些高校建設校園網(wǎng)的一個參考。學校的網(wǎng)絡結(jié)構(gòu)不是非常完整，缺少一部分的網(wǎng)絡硬件設備，并且所安裝的應用軟件也不是很多，更沒有考慮到校園網(wǎng)絡的安全 [1]。然后根據(jù)遼寧機電職業(yè)技術(shù)學院對網(wǎng)絡的需求，以及學校的具體地理環(huán)境，設計出具體的網(wǎng)絡拓撲圖，并對其進行具體的IP 地 址及 VLAN 的劃分。有一個安全穩(wěn)定的網(wǎng)絡環(huán)境已經(jīng)成為了學校正常辦公的基礎。 2. 網(wǎng)絡病毒泛濫 現(xiàn)在大家通過網(wǎng)絡可以下載到各種資源，為大家的學習、娛樂都帶來了很多方便 ，但其 也變成了病毒傳遞的最快捷的途徑。 3. 來自校園網(wǎng)內(nèi)外的入侵和攻擊 由于校園網(wǎng)絡和因特網(wǎng)相連 ,我們在校園網(wǎng)內(nèi)可以直接訪問因特網(wǎng)上的各種資源 ,于此同時，我們也面臨著遭受來自外部網(wǎng)絡攻擊的風險。校園網(wǎng)內(nèi)有著大量的各種各樣的資源，這些人可能對其他校園網(wǎng)內(nèi)的用戶產(chǎn)生好奇，會有意或者無意的對校園網(wǎng)內(nèi)的其他用戶進行攻擊，這樣嚴重的干擾了校園網(wǎng)絡正常、安全的運行。網(wǎng)絡管理員在校園網(wǎng)安全管理方面起著至關(guān)重要的作用。因此根據(jù)學校的具體情況選擇一個合理的網(wǎng)絡結(jié)構(gòu)是保證校園網(wǎng)絡安全的前提和基礎。 3. 師生對校園網(wǎng)安全不重視 一部分的學生和老師對網(wǎng)絡安全不夠重視，經(jīng)常通過網(wǎng)絡下載一些含有病毒的文件和使用攜帶病毒的移動存儲設備 ,造成學校的計算機中毒，導致校園網(wǎng)絡系統(tǒng)被攻擊 ,嚴重干擾了校園網(wǎng)絡安全、穩(wěn)定的運行。 （三） 本章小結(jié) 本章首先闡述了目前校園網(wǎng)所面對的主要問題，并對這些問題進行了分析，從而得出了造成校園網(wǎng)絡安全受到威脅的原因。 隨著近些年學校的發(fā)展，師生數(shù)量的增長，原有的網(wǎng)絡的安全性和性能都不足以滿足現(xiàn)在學校對校園網(wǎng)的要求。 2. 管理功能需求 在管理方面，可以在校園網(wǎng)內(nèi)建立網(wǎng)上辦公系統(tǒng)、教務管理系統(tǒng)、學生管理系統(tǒng)等一系列方便學校管 理的系統(tǒng)。這就要求校園網(wǎng)必須擁有一定的可靠性，在網(wǎng)絡中有設備出現(xiàn)故障時，在鏈路中要有冗余備份，來保證校園網(wǎng)的正常運行。 （四） 本章小結(jié) 本章對遼寧機電職業(yè)技術(shù)學院的概況進行了介紹，并給出了其校園網(wǎng)絡的需求情況以及設計原則。 1. 核心交換機的機型 核心交換機是網(wǎng)絡的高速主干設備，核心層需要為匯聚層和接入層提供大量的數(shù)據(jù)，盡可能快的交換包，需要高速轉(zhuǎn)發(fā)數(shù)據(jù)流量。 圖 神州數(shù)碼 DCRS7604 三層交換機 2. 匯聚層交換機的機型 匯聚層作為多臺接入層交換機的匯聚點，那些來自接入層交換機的所有通信量全部由匯聚層交換機來處 理，然后再將通信數(shù)據(jù)傳到核心層交換機。在機電學院原來的網(wǎng)絡設備中有神州數(shù)碼 DCS360026C，同樣為了節(jié)約資源節(jié)省資金，所以本方案中接入層交換機選用神州數(shù)碼 DCS360026C。它還可以對那些經(jīng)常攻擊校園網(wǎng)絡的 IP 地址進行禁止通信的設置，來阻止攻擊者對校園網(wǎng)的攻擊。下圖為機電學院的網(wǎng)絡結(jié)構(gòu)拓撲圖： W E B 服務 器郵 件 服務 器服 務 器 管 理 機 管 理 機行 政 樓機 械 館 / 信 息 館機 械 系信 息 系儀 表 館 / 工 管 館自 控 系工 管 系行 政 中 心系 部 教 務 處展 覽 中 心學 生 宿 舍I n t e r n e t防 火 墻 D C F W 1 8 0 0 S V 2百 兆 光 纖千 兆 光 纖雙 絞 線網(wǎng) 絡 中 心D C R S 7 6 0 4D C R S 7 6 0 4D C R S 5 6 5 0 2 8D C R S 5 6 5 0 2 8D C R S 5 6 5 0 2 8D C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 C圖 書 館圖 網(wǎng)絡拓撲圖 行政樓是行政中心和系部教務處的所在是校園的核心，其網(wǎng)絡速率的快慢直接影響學校的辦公質(zhì)量，其網(wǎng)絡的安全直接關(guān)系學校的利益。 （四） 校園網(wǎng)絡 VLAN 規(guī)劃設計 其中，對于整個校園規(guī)劃來講，核心交換機起著最重要的功能之一就是對于 VLAN 的劃分。 對于安全級別為中的用戶，其它們的網(wǎng)絡數(shù)據(jù)的外部與內(nèi)部通信流程圖如下： 圖 中安全級別用戶網(wǎng)絡通信流程圖 如上圖所示 ：與安全級別為高的用戶相比，安全級別為中的用戶 少了單獨的三層交換機。但是通過核心交換機和匯聚層的三層交換機，如果哪部分網(wǎng)絡出現(xiàn)異常，網(wǎng)絡管理員也 可以根據(jù) VLAN 的不同找到出問題的部分。最后對校園網(wǎng)三層交換設計策略進行了具體的說明?？梢哉f防火墻就是校園網(wǎng)的一道門，只有打開這道門才能進入校園網(wǎng)內(nèi)，因此防火墻是保證校園網(wǎng)安全的重中之重。對校園網(wǎng)來說，狀態(tài)檢測不但能提高網(wǎng)絡的安全性，還能增強網(wǎng)絡的性能。在廣域網(wǎng)中，它的主要作用是保護合法用戶的 IP 地址不讓非法用戶所盜用；在局域網(wǎng)中，主要用來防止內(nèi)部用戶之間的地址欺騙。 5. VPN 功能 隨著 Inter 的發(fā)展，特別是由于電子商務、網(wǎng)上金融等的推波助瀾， Inter 缺少對網(wǎng)絡安全呢在支持的固有弱點正越來越明顯地顯露出來。這樣不但會大大降低網(wǎng)絡設備的成本，還能夠使數(shù)據(jù)通信更加安全。 7. 流量控制功能 神州數(shù)碼 DCFW1800SV2 防火墻 具有實時檢測用戶流量的功能。提供帶寬管理，保證關(guān)鍵業(yè)務的服務質(zhì)量，是 神州數(shù)碼 DCFW1800SV2 防火墻 的一項重要功能 [7]。 （三） 三層交換機的安全策略 在遼寧機電職業(yè)技術(shù)學院的網(wǎng)絡架構(gòu)中，有核心層、匯聚層、接入層等三個層次。 兩臺核心交換機之間相互連接，這樣可以組成一個冗余的網(wǎng)絡結(jié)構(gòu)，保證兩臺核心交換機即使有一臺出現(xiàn)問題，校園也能正常運行。接入層交換機的主要功能是為用戶提供大量的網(wǎng)絡接口 [9]。而三層交換機既有路由的功能，又有著路由器所無法比擬的性能。 這樣，就 成功 限制了未經(jīng)安全許可的用戶對網(wǎng)絡的使用 [10]。以下是對核心三層交換機的標準訪問控制列表配置： hexinShow Accesslists Standard IP access list 5 permit permit hexinShow Run interface FastEther0/0 ip address ip accessgroup 5 in duplex auto speed auto interface FastEther0/1 ip address ip accessgroup 5 out duplex auto speed auto 3. VRRP 技術(shù) VRRP 是一種容錯協(xié)議，適用于支持廣播的局域網(wǎng)。 下面是對本設計的兩臺核心三層交換機進行 VRRP 的配置命令： hexin1interface FastEther0/0 BackUP ip address 機電學院校園網(wǎng)安全策略的研究 –20– duplex auto speed auto vrrp 3 ip vrrp 3 priority 105 hexin2interface FastEther0/0 MASTER ip address duplex auto speed auto vrrp 3 ip vrrp 3 priority 110 4. 端口流量限制 我們可以通過三層交換機對每個子網(wǎng)的端口進行流量的限制，當一個端口的流量過大，超過了其處理能力時，就會產(chǎn)生端口堵塞。這樣配置有以下幾個優(yōu)點： 可以增加帶寬，帶寬為這幾條物理鏈路的總和。 7. 計費功能 神舟數(shù)碼 DCRS7604 三層交換機具有計費功能， 校園網(wǎng)有計費的需求，因為三層交換機可以識別數(shù)據(jù)包中的 IP 地址信息，因此可以統(tǒng)計 校園網(wǎng)內(nèi)用戶連接互聯(lián)網(wǎng)所使用 的數(shù)據(jù)流量， 學校 可以按流量 對用戶進行計費 ，也可以統(tǒng)計 校園網(wǎng)內(nèi)用戶 連接在 互聯(lián)網(wǎng) 上的時間， 學校也可以 按時 間 對用戶 進行計費。三層交換機對學校的各部分進行 VLAN 劃分后，可以把學校的各部分相互隔離起來，即使某部分網(wǎng)絡出現(xiàn)問題，也不會影響其他部分的網(wǎng)絡。為機電學院設計出了具體的網(wǎng)絡拓撲結(jié)構(gòu)。最后對網(wǎng)絡拓撲結(jié)構(gòu)的安全核心部分防火墻和三層交換機的功能和安全策略進行了總結(jié)。齊智敏老師作為一名優(yōu)秀的、經(jīng)驗豐富的教師。