【正文】 校園網(wǎng)內(nèi)的其他用戶的計算機受到 了一系列的安全威脅。 由于校園網(wǎng)的用戶群體比較大，每個用戶的上網(wǎng)需求不同， 少數(shù)用戶上網(wǎng)行為還存在惡意性，這樣使得校園網(wǎng)很難被管理。為機電學(xué)院校園網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)所存在的漏洞進行完善，為機電學(xué)院設(shè)計一個基于防火墻和三層交換機的校園網(wǎng)拓撲結(jié)構(gòu)。黑客們可以通過這些漏洞入侵我們的計算機，隨著時間的推進 ,可能會有更多的漏洞被黑客們所發(fā)現(xiàn)并且對其加以利用。有一些不法分子 為了竊取學(xué)校的重要信息通過使用黑客軟件對學(xué)校的服務(wù)器進行攻擊，對校園網(wǎng)產(chǎn)生破壞。 （二） 造成這些問題的原因 1. 網(wǎng)絡(luò)結(jié)構(gòu)不合理 校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)對于校園網(wǎng)整個網(wǎng)絡(luò)的安 全有著巨大影響，一個好的網(wǎng)絡(luò)結(jié)構(gòu)可以避免很多網(wǎng)絡(luò)問題出現(xiàn)。一個負責(zé)任的網(wǎng)絡(luò)管理員，將會使校園的網(wǎng)絡(luò)變得無懈可擊。 （二） 校園網(wǎng)絡(luò)需求 1. 教學(xué)功能需求 在教學(xué)方面，要利用網(wǎng)絡(luò)技術(shù)實現(xiàn)遠程教育、視頻點播、教學(xué)資源共享等。因此校園網(wǎng)絡(luò)應(yīng)當(dāng)合理運用資金，利用現(xiàn)有條件，充分實現(xiàn)教學(xué)、辦公、生活、娛樂功能，同時也應(yīng)當(dāng)具有先進性、經(jīng)濟性、安全性，可靠性等。 神州數(shù)碼 DCRS7604 是企業(yè)級智能交換機擁有十分強大的功能，具有 豐富的 IPv6實現(xiàn)技術(shù)，完整的攻擊和病毒防范功能 ，完美 的體系結(jié)構(gòu)，穩(wěn)定的核心保障機制，智能靈活的性能資源調(diào)度機制，便捷安全的網(wǎng)絡(luò)管理，運營商級的可靠性 ，支持 VLAN 配置，機電學(xué)院校園網(wǎng)安全策略的研究 –9– 支持全雙工，支持網(wǎng)管功能 。防火墻可以關(guān)閉那些我們不常使用的端口，并且它還能禁止特定端口的流出通信 。 在地理位置上信息館與機械館相鄰，儀表館與工管館相鄰，這是學(xué)校教學(xué)的核心位置，其網(wǎng)絡(luò)速率的快慢可以直接影響學(xué)校的教學(xué)質(zhì)量，其網(wǎng)絡(luò)的安全直接影響老師的教學(xué)效果。并且，這類用戶網(wǎng)絡(luò)流量大，接入層交換機直接連接核心交換機，省去了匯聚層交換機的處理，對數(shù)據(jù)的處理速度有一定的提高。如果校園網(wǎng)不通過防火墻，而直接連接到互聯(lián)網(wǎng)上，那樣整個校園網(wǎng)都會直接暴露在互聯(lián)網(wǎng)上，校園網(wǎng)將會很容易的就遭受到攻擊。能夠充分的對經(jīng)過防火墻的數(shù)據(jù)進行過濾，讓校園網(wǎng)的安全得到保障。 VPN 是一個構(gòu)建 在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的，同時具有私有網(wǎng)絡(luò)安全特征的網(wǎng)絡(luò)或網(wǎng)絡(luò)環(huán)境。 神州數(shù)碼 DCFW1800SV2 防火墻 的日志管理系統(tǒng)還能夠把每天每個用戶的實際流量保存起來，在月末匯總出每個用戶的當(dāng)月總流量，極大的方便了網(wǎng)絡(luò)管理員的流 量統(tǒng)計工作。因此三層交換機在整個網(wǎng)絡(luò)中起著非常重要的作用。尤其在核心層更是有著無可取代的作用，如果沒有它，整個網(wǎng)絡(luò)內(nèi)的所有計算機都在一個子網(wǎng)中，不僅對網(wǎng)絡(luò)安全來說是個風(fēng)險，也會因為無法分割廣播域而形成廣播風(fēng)暴。 2. 訪問控制列表 訪問控制是網(wǎng)絡(luò)安全防范的重要安全策略。對端口流量限制還可以達到對個別用戶限制其流量，防止其過多的占用帶寬，影響其他用戶上網(wǎng)的速度。機電學(xué)院校園網(wǎng)在有了防火墻和三層交換機相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)下，基本滿足了校園網(wǎng)絡(luò)的安全策略。新設(shè)備的選型既保證了與原設(shè)備的良好兼容性，又具有著較高的性價比。在此，我向我的指導(dǎo)老師表示最誠摯的謝意！ 在此，我還要感謝寢室的同學(xué)們，沒有你們不耐其煩地對我的講解也不會有我今天最終的成果。以后還應(yīng)該多學(xué)習(xí)了解網(wǎng)絡(luò)安全方面的知識，來提高自己的水平，為以后工作打下良好的基礎(chǔ)。得出只有校園網(wǎng)擁有一個好的網(wǎng)絡(luò)拓撲結(jié)構(gòu)是保證校 園網(wǎng)絡(luò)安全的基礎(chǔ)。 可以在組內(nèi)的端口上 進行 配置，使這些端口 的流量自動進行負載均衡 。其中僅有一臺三層交換機處于活動狀態(tài)，稱為 master；另一臺三層交換機處于備份狀態(tài)，并隨時做好接替任務(wù)的準(zhǔn)備，稱為 backup。劃分 VLAN 能夠為局域網(wǎng)解決沖突域、廣播域、帶寬 等一系列 問題 ， 并 提高整個網(wǎng)絡(luò)系統(tǒng)的安全性，節(jié)省網(wǎng)絡(luò)帶寬。對于校園網(wǎng)的每個子網(wǎng)，根據(jù)各個學(xué)院進行 VLAN 的劃分和管理，實現(xiàn) VLAN 間的相互通信及訪問控制。使得受防火墻保護的服務(wù)器都能充分地發(fā)揮作用。防火墻通過對計算機網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點進行收集信息并對收集來的信息進行分析，通過分析發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否存在有被攻擊的跡象以及違反安全策略的行為 [6]。管理員通過制定IP 地址的訪問規(guī)則，就能夠確定用戶的網(wǎng)絡(luò)使用權(quán)限。 （二） 防火墻在校園網(wǎng)中的主 要功能 1. 狀態(tài)檢測功能 具有狀態(tài)檢測功能的防火墻不僅能夠完成簡單包過濾的工作外，還可以維護一個跟蹤連接狀態(tài)的列表在自己的內(nèi)存中，這個列表可以顯示要匹配的連接狀態(tài)，基于這個列表的內(nèi)容防火墻再進行轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包的傳送。然后再根據(jù)學(xué)校現(xiàn)有的網(wǎng)絡(luò)設(shè)備，添加了新的網(wǎng)絡(luò)設(shè)備，并畫出了機電學(xué)院的網(wǎng)絡(luò)拓撲圖。 圖 高安全級別用戶網(wǎng)絡(luò)通信流程圖 機電學(xué)院校園網(wǎng)安全策略的研究 –13– 如上圖所示 ：安全級別為高的用戶想要連接到網(wǎng)絡(luò)，必須經(jīng)過防火墻、核心交換機、匯聚層三層交換機、接入層交換機，外部的網(wǎng)絡(luò)想要對其攻擊要經(jīng)過重重的防御。 圖 神州數(shù)碼 DCFW1800SV2 防火墻 機電學(xué)院校園網(wǎng)安全策略的研究 –11– （三） 網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計 根據(jù)學(xué)校地理條件，將整個校園分為七個部分，分別是網(wǎng)絡(luò)控制中心、行政樓、信息館 /機械館、 儀表館 /工管館、展覽中心、圖書館、學(xué)生宿舍。 圖 神州數(shù)碼 DCRS565028 三層交換機 機電學(xué)院校園網(wǎng)安全策略的研究 –10– 3. 接入層交換機的選型 接入層交換機可以選擇二層交換機，但是必須要滿足 100Mbps 轉(zhuǎn)發(fā)速率，支持VLAN 劃分，并且可以根據(jù)數(shù)據(jù)包中的 MAC 地址信息進行轉(zhuǎn)發(fā)，并自己內(nèi)部的一個地址表中把這些 MAC 地址與對應(yīng)的端口記錄下來。 遼寧機電職業(yè)技術(shù)學(xué)院校園主要包括以下幾個部分：網(wǎng)絡(luò)控制中心、行政中心、信息館 /機械館、儀表館 /工管館、展覽中心、學(xué)生宿舍、圖書館。校園網(wǎng)的安全系統(tǒng)必須保證服務(wù)器不會受到來自網(wǎng)絡(luò)的非法攻擊。在校學(xué)生人數(shù)為 7216 人，教師人數(shù)為 395 人，設(shè)有機械工程系、自動控制工程系、信息工程系、黃海汽車工程學(xué)院、北方黃金珠寶學(xué)院、基礎(chǔ)教學(xué)部、思想政治理論課教學(xué)科研部、體育教學(xué)部共 8 個教學(xué)單位。想要讓網(wǎng)絡(luò)一直保持安全穩(wěn)定 ,就要經(jīng)常對網(wǎng)絡(luò)進行維護，但是網(wǎng)絡(luò)維護需要一定的物力和一定的人力。這些設(shè)備有的暴露在外部，可能會因為人為 因素或自然因素遭受到不同程度的損壞 ,如果某些關(guān)鍵的網(wǎng)絡(luò)設(shè)備出現(xiàn)問題就有可能會給校園網(wǎng)造成一些嚴重的后果，甚至有可能會使校園網(wǎng)部分或者全部癱瘓。 網(wǎng)絡(luò)病毒傳播進入校園網(wǎng)，不僅會對計算機 反映速率造成大幅的下降， 同時還 會大量的 消耗了網(wǎng)絡(luò)資源 ，對整個校園網(wǎng)絡(luò)產(chǎn)生影響。 機電學(xué)院校園網(wǎng)安全策略的研究 –3– 二、 校園網(wǎng)絡(luò)安全面對的主要問題及原因 （一） 主要問題 校園網(wǎng)的用戶多，規(guī)模大，人員流動量大，因此校園網(wǎng)的計算機系統(tǒng)管理起來非常復(fù)雜。應(yīng)該如何去處理這一問題，以及如何才能解決校園網(wǎng)的安全隱患，大部分的學(xué)校還都在理論階段而沒有進行仔細詳盡的設(shè)計與規(guī)劃。面對這樣的難題學(xué)校的網(wǎng)絡(luò)建設(shè)和管理機構(gòu)應(yīng)該采取一些怎樣的方式和方法 呢？ 通常在這種情況下，一般學(xué)校都會讓網(wǎng)管中心的老師來對其進行設(shè)計，或者與一些集成商討論來一起設(shè)計解決校園網(wǎng)安全的方法。Security policies。 在校園里使用校園網(wǎng)的人數(shù)眾多，網(wǎng)絡(luò)使用者的素質(zhì)卻參差不齊，造成校園網(wǎng)出現(xiàn)各種各樣的問題。與我一同工作的同志對本研究 所做的貢獻均已在論文中做了明確的說明并表示了謝意。 本論文還對機電學(xué)院進行了具體的 VLAN 劃分，并對防火墻的安全策略及 功能進行分析，以及三層交換機的安全策略分析，最后對校園網(wǎng)的安全策略進行了總結(jié)。最讓人感到意外的就是，調(diào)查表明，校園網(wǎng)受到的攻擊有 75%是來自校園網(wǎng)絡(luò)內(nèi)部的，這些攻擊者攻擊校園網(wǎng)內(nèi)的計算機的目的各不相同，有的是為了炫耀自己高超的電腦技術(shù)，有的是為了竊取別人的個人資料，還有的就是純粹的想攻擊破壞校園網(wǎng)。而且隨著現(xiàn)在校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的帶寬不斷的提高，為用戶下載提供了方便，許多人在網(wǎng)絡(luò)上下載的一些軟件中可能隱藏木馬、病毒、惡意代碼等后門程序，黑客們可以通過這些入侵、攻擊我們的計算機，從而造成計算機以及網(wǎng)絡(luò)的癱瘓。 2. 本文研究的主要內(nèi)容 本文首先對目前校園網(wǎng)絡(luò)之中存在的安全問題進行了分析， 并對這些問題進行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。微軟公司會不定時的發(fā)布一些補丁來修復(fù)這些漏洞，如果我們不及時對操作系統(tǒng)進行更新 ,這些漏洞就會一直存在，這些漏洞對我們的計算機來說將是很大的安全隱患。 校園網(wǎng)絡(luò)是廣大師生進行教學(xué)、辦公、學(xué)習(xí)、娛樂的主要平臺 ,但是學(xué)校有一部分老師和同學(xué)具有一定的網(wǎng)絡(luò)知識和黑客技術(shù)。但是一個不好的網(wǎng)絡(luò)結(jié)構(gòu)，會讓整個校園網(wǎng)的計算機的安全都受到威脅。一個責(zé)任心不強的網(wǎng)絡(luò)管理員，將會使校園的網(wǎng)絡(luò)面臨著各種各樣的危險 [4]。建立教學(xué)資源庫供老師分享其課件、試題、資料等。在保證網(wǎng)絡(luò)可靠的前提下，在原有的網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上添加性價比最好的設(shè)備。 神州數(shù)碼 DCRS7604 三層交換機為校園網(wǎng)的穩(wěn)定、快速、高效運行提供了保證。防火墻還會對所有流經(jīng)它的網(wǎng)絡(luò)通信進行掃描與檢測，這樣可以阻止許多來自外界網(wǎng)絡(luò)的攻擊，以此來保護校園網(wǎng)內(nèi)的計算機。在考慮網(wǎng)絡(luò)設(shè)備利用率最大化，并且取得的效果最好，將信息館的接入層交換機 DCS360026C 與機械館的接入層交換機 DCS360026C 連到一個三層交換機DCRS565028 上，將儀表館的接入層交換機 DCS360026C 與工管館的接入層交換機機電學(xué)院校園網(wǎng)安全策略的研究 –12– DCS360026C 連到一個三層交換機 DCRS565028 上，再將這兩個三層交換機連到網(wǎng)絡(luò)中心的核心交換機上。 內(nèi)網(wǎng)之間高安全級別用戶與中安全級別用戶通信流程圖如下： 圖 高安全級別用戶與中安全級別用戶內(nèi)網(wǎng)通信流程圖 機電學(xué)院校園網(wǎng)安全策略的研究 –14– 如上圖所示：校園網(wǎng)內(nèi)網(wǎng)的用戶之間相互通信，不同 VLAN 間通信是不通過防火墻的，防火墻無法起到保護作用。防火墻就是將校園的內(nèi)部網(wǎng)絡(luò)與外界的不可信的公共網(wǎng)分離開。 3. 地址綁定功能 地址綁定就是將主機 IP 地址和網(wǎng)卡的 MAC 地址一一對應(yīng)起來。對于這一點 神州數(shù)碼 DCFW1800SV2 防火墻 是采用安全的加密算法和傳輸體制來完成的。 8. 支持帶寬控制功能 帶寬控制功能可以根據(jù)校園網(wǎng)的用戶級別進行分類，對不同類別的用戶進行不一樣的帶寬控制，限制其數(shù)據(jù)包的發(fā)送速率，達到保證網(wǎng)絡(luò)穩(wěn)定的目的。 整個校園網(wǎng)的核心是由兩臺核心交換機 神州數(shù)碼 DCRS7604 三層交換機組成，其主要負責(zé)將校園網(wǎng)絡(luò)各部分的總數(shù)據(jù)流進行匯聚和分流。雖然使用傳統(tǒng)的路由器可以防止形成廣播風(fēng)暴，但是路由器的性能卻不是很好。訪問控制列表是應(yīng)用在接口的指令列表，它可以起到控制網(wǎng)絡(luò)流量、流向的作用，并且保護網(wǎng)絡(luò)中的設(shè)備。下面以一個端口為例，進行端口流量限制的配置： hexin(config) interface e 3/8 hexin(configif3/8) portname TO WEB hexin(config) interface e8 hexin(configif8) speedduplex 10full hexin(config) flowcontrol hexin(config) interface e 3/8 hexin(configif3/8) enable 5. 端口聚合 由于兩臺交換機之間相互連接，有多條冗余鏈路，使用端口聚合技術(shù)，可以把一組物理端口聯(lián)合起來，變成一個邏輯的鏈路通道。防火墻可以抵御來自外部網(wǎng)絡(luò)的入侵、攻擊。接著再對機電學(xué)院的各個部分進行了詳細的網(wǎng)絡(luò)地址設(shè)置以及 VLAN 劃分。正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。 本文雖然完成了對機電學(xué)院的校園網(wǎng)絡(luò)安全策略研究，但是由于個人經(jīng)驗尚淺，對校園網(wǎng)的設(shè)計還 不夠?qū)I(yè)，在網(wǎng)絡(luò)設(shè)備的具體配置及校園網(wǎng)絡(luò)優(yōu)化上還有進一步的改進空間。 機電學(xué)院校園網(wǎng)安全策略的研究 –22– 結(jié)論 本論文從目前校園網(wǎng)所面對的各種問題出發(fā)，分析出了造成這些問題的原因。 提升冗余等級，只要不是 每條鏈路都壞掉，兩臺交換機之間就能互相通信。在本設(shè)計中使用 VRRP 技術(shù)將校園網(wǎng)的一組三層交換機組織成一個虛擬三層交換機，稱之為一個備份組。 （四） 三層交換機的主要功能及配置 1. VLAN 的劃分 說起三層交換機的功能首先要說的就是 VLAN 的劃分，三層交換機可以對網(wǎng)絡(luò)中的每個子網(wǎng)進行詳細的 VLAN 劃分，劃分完 VLAN 每個子網(wǎng)都有對應(yīng)的 VLAN 名，可以使網(wǎng)絡(luò)管理園更好的對校園 網(wǎng)進行管理。神州數(shù)碼 DCRS565028 三層交換機提供本地第三層交換和路由功能。神州