【正文】 校園網(wǎng)內(nèi)的其他用戶的計(jì)算機(jī)受到 了一系列的安全威脅。 由于校園網(wǎng)的用戶群體比較大，每個(gè)用戶的上網(wǎng)需求不同， 少數(shù)用戶上網(wǎng)行為還存在惡意性，這樣使得校園網(wǎng)很難被管理。為機(jī)電學(xué)院校園網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)所存在的漏洞進(jìn)行完善，為機(jī)電學(xué)院設(shè)計(jì)一個(gè)基于防火墻和三層交換機(jī)的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)。黑客們可以通過這些漏洞入侵我們的計(jì)算機(jī)，隨著時(shí)間的推進(jìn) ,可能會有更多的漏洞被黑客們所發(fā)現(xiàn)并且對其加以利用。有一些不法分子 為了竊取學(xué)校的重要信息通過使用黑客軟件對學(xué)校的服務(wù)器進(jìn)行攻擊，對校園網(wǎng)產(chǎn)生破壞。 （二） 造成這些問題的原因 1. 網(wǎng)絡(luò)結(jié)構(gòu)不合理 校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)對于校園網(wǎng)整個(gè)網(wǎng)絡(luò)的安 全有著巨大影響，一個(gè)好的網(wǎng)絡(luò)結(jié)構(gòu)可以避免很多網(wǎng)絡(luò)問題出現(xiàn)。一個(gè)負(fù)責(zé)任的網(wǎng)絡(luò)管理員，將會使校園的網(wǎng)絡(luò)變得無懈可擊。 （二） 校園網(wǎng)絡(luò)需求 1. 教學(xué)功能需求 在教學(xué)方面，要利用網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)遠(yuǎn)程教育、視頻點(diǎn)播、教學(xué)資源共享等。因此校園網(wǎng)絡(luò)應(yīng)當(dāng)合理運(yùn)用資金，利用現(xiàn)有條件，充分實(shí)現(xiàn)教學(xué)、辦公、生活、娛樂功能，同時(shí)也應(yīng)當(dāng)具有先進(jìn)性、經(jīng)濟(jì)性、安全性，可靠性等。 神州數(shù)碼 DCRS7604 是企業(yè)級智能交換機(jī)擁有十分強(qiáng)大的功能，具有 豐富的 IPv6實(shí)現(xiàn)技術(shù)，完整的攻擊和病毒防范功能 ，完美 的體系結(jié)構(gòu)，穩(wěn)定的核心保障機(jī)制，智能靈活的性能資源調(diào)度機(jī)制，便捷安全的網(wǎng)絡(luò)管理，運(yùn)營商級的可靠性 ，支持 VLAN 配置，機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –9– 支持全雙工，支持網(wǎng)管功能 。防火墻可以關(guān)閉那些我們不常使用的端口，并且它還能禁止特定端口的流出通信 。 在地理位置上信息館與機(jī)械館相鄰，儀表館與工管館相鄰，這是學(xué)校教學(xué)的核心位置，其網(wǎng)絡(luò)速率的快慢可以直接影響學(xué)校的教學(xué)質(zhì)量，其網(wǎng)絡(luò)的安全直接影響老師的教學(xué)效果。并且，這類用戶網(wǎng)絡(luò)流量大，接入層交換機(jī)直接連接核心交換機(jī)，省去了匯聚層交換機(jī)的處理，對數(shù)據(jù)的處理速度有一定的提高。如果校園網(wǎng)不通過防火墻，而直接連接到互聯(lián)網(wǎng)上，那樣整個(gè)校園網(wǎng)都會直接暴露在互聯(lián)網(wǎng)上，校園網(wǎng)將會很容易的就遭受到攻擊。能夠充分的對經(jīng)過防火墻的數(shù)據(jù)進(jìn)行過濾，讓校園網(wǎng)的安全得到保障。 VPN 是一個(gè)構(gòu)建 在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的，同時(shí)具有私有網(wǎng)絡(luò)安全特征的網(wǎng)絡(luò)或網(wǎng)絡(luò)環(huán)境。 神州數(shù)碼 DCFW1800SV2 防火墻 的日志管理系統(tǒng)還能夠把每天每個(gè)用戶的實(shí)際流量保存起來，在月末匯總出每個(gè)用戶的當(dāng)月總流量，極大的方便了網(wǎng)絡(luò)管理員的流 量統(tǒng)計(jì)工作。因此三層交換機(jī)在整個(gè)網(wǎng)絡(luò)中起著非常重要的作用。尤其在核心層更是有著無可取代的作用，如果沒有它，整個(gè)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)都在一個(gè)子網(wǎng)中，不僅對網(wǎng)絡(luò)安全來說是個(gè)風(fēng)險(xiǎn)，也會因?yàn)闊o法分割廣播域而形成廣播風(fēng)暴。 2. 訪問控制列表 訪問控制是網(wǎng)絡(luò)安全防范的重要安全策略。對端口流量限制還可以達(dá)到對個(gè)別用戶限制其流量，防止其過多的占用帶寬，影響其他用戶上網(wǎng)的速度。機(jī)電學(xué)院校園網(wǎng)在有了防火墻和三層交換機(jī)相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)下，基本滿足了校園網(wǎng)絡(luò)的安全策略。新設(shè)備的選型既保證了與原設(shè)備的良好兼容性，又具有著較高的性價(jià)比。在此，我向我的指導(dǎo)老師表示最誠摯的謝意！ 在此，我還要感謝寢室的同學(xué)們，沒有你們不耐其煩地對我的講解也不會有我今天最終的成果。以后還應(yīng)該多學(xué)習(xí)了解網(wǎng)絡(luò)安全方面的知識，來提高自己的水平，為以后工作打下良好的基礎(chǔ)。得出只有校園網(wǎng)擁有一個(gè)好的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是保證校 園網(wǎng)絡(luò)安全的基礎(chǔ)。 可以在組內(nèi)的端口上 進(jìn)行 配置，使這些端口 的流量自動(dòng)進(jìn)行負(fù)載均衡 。其中僅有一臺三層交換機(jī)處于活動(dòng)狀態(tài)，稱為 master；另一臺三層交換機(jī)處于備份狀態(tài)，并隨時(shí)做好接替任務(wù)的準(zhǔn)備，稱為 backup。劃分 VLAN 能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬 等一系列 問題 ， 并 提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性，節(jié)省網(wǎng)絡(luò)帶寬。對于校園網(wǎng)的每個(gè)子網(wǎng)，根據(jù)各個(gè)學(xué)院進(jìn)行 VLAN 的劃分和管理，實(shí)現(xiàn) VLAN 間的相互通信及訪問控制。使得受防火墻保護(hù)的服務(wù)器都能充分地發(fā)揮作用。防火墻通過對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)進(jìn)行收集信息并對收集來的信息進(jìn)行分析，通過分析發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否存在有被攻擊的跡象以及違反安全策略的行為 [6]。管理員通過制定IP 地址的訪問規(guī)則，就能夠確定用戶的網(wǎng)絡(luò)使用權(quán)限。 （二） 防火墻在校園網(wǎng)中的主 要功能 1. 狀態(tài)檢測功能 具有狀態(tài)檢測功能的防火墻不僅能夠完成簡單包過濾的工作外，還可以維護(hù)一個(gè)跟蹤連接狀態(tài)的列表在自己的內(nèi)存中，這個(gè)列表可以顯示要匹配的連接狀態(tài)，基于這個(gè)列表的內(nèi)容防火墻再進(jìn)行轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包的傳送。然后再根據(jù)學(xué)?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備，添加了新的網(wǎng)絡(luò)設(shè)備，并畫出了機(jī)電學(xué)院的網(wǎng)絡(luò)拓?fù)鋱D。 圖 高安全級別用戶網(wǎng)絡(luò)通信流程圖 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –13– 如上圖所示 ：安全級別為高的用戶想要連接到網(wǎng)絡(luò)，必須經(jīng)過防火墻、核心交換機(jī)、匯聚層三層交換機(jī)、接入層交換機(jī)，外部的網(wǎng)絡(luò)想要對其攻擊要經(jīng)過重重的防御。 圖 神州數(shù)碼 DCFW1800SV2 防火墻 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –11– （三） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 根據(jù)學(xué)校地理?xiàng)l件，將整個(gè)校園分為七個(gè)部分，分別是網(wǎng)絡(luò)控制中心、行政樓、信息館 /機(jī)械館、 儀表館 /工管館、展覽中心、圖書館、學(xué)生宿舍。 圖 神州數(shù)碼 DCRS565028 三層交換機(jī) 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –10– 3. 接入層交換機(jī)的選型 接入層交換機(jī)可以選擇二層交換機(jī)，但是必須要滿足 100Mbps 轉(zhuǎn)發(fā)速率，支持VLAN 劃分，并且可以根據(jù)數(shù)據(jù)包中的 MAC 地址信息進(jìn)行轉(zhuǎn)發(fā)，并自己內(nèi)部的一個(gè)地址表中把這些 MAC 地址與對應(yīng)的端口記錄下來。 遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園主要包括以下幾個(gè)部分：網(wǎng)絡(luò)控制中心、行政中心、信息館 /機(jī)械館、儀表館 /工管館、展覽中心、學(xué)生宿舍、圖書館。校園網(wǎng)的安全系統(tǒng)必須保證服務(wù)器不會受到來自網(wǎng)絡(luò)的非法攻擊。在校學(xué)生人數(shù)為 7216 人，教師人數(shù)為 395 人，設(shè)有機(jī)械工程系、自動(dòng)控制工程系、信息工程系、黃海汽車工程學(xué)院、北方黃金珠寶學(xué)院、基礎(chǔ)教學(xué)部、思想政治理論課教學(xué)科研部、體育教學(xué)部共 8 個(gè)教學(xué)單位。想要讓網(wǎng)絡(luò)一直保持安全穩(wěn)定 ,就要經(jīng)常對網(wǎng)絡(luò)進(jìn)行維護(hù)，但是網(wǎng)絡(luò)維護(hù)需要一定的物力和一定的人力。這些設(shè)備有的暴露在外部，可能會因?yàn)槿藶?因素或自然因素遭受到不同程度的損壞 ,如果某些關(guān)鍵的網(wǎng)絡(luò)設(shè)備出現(xiàn)問題就有可能會給校園網(wǎng)造成一些嚴(yán)重的后果，甚至有可能會使校園網(wǎng)部分或者全部癱瘓。 網(wǎng)絡(luò)病毒傳播進(jìn)入校園網(wǎng)，不僅會對計(jì)算機(jī) 反映速率造成大幅的下降， 同時(shí)還 會大量的 消耗了網(wǎng)絡(luò)資源 ，對整個(gè)校園網(wǎng)絡(luò)產(chǎn)生影響。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –3– 二、 校園網(wǎng)絡(luò)安全面對的主要問題及原因 （一） 主要問題 校園網(wǎng)的用戶多，規(guī)模大，人員流動(dòng)量大，因此校園網(wǎng)的計(jì)算機(jī)系統(tǒng)管理起來非常復(fù)雜。應(yīng)該如何去處理這一問題，以及如何才能解決校園網(wǎng)的安全隱患，大部分的學(xué)校還都在理論階段而沒有進(jìn)行仔細(xì)詳盡的設(shè)計(jì)與規(guī)劃。面對這樣的難題學(xué)校的網(wǎng)絡(luò)建設(shè)和管理機(jī)構(gòu)應(yīng)該采取一些怎樣的方式和方法 呢？ 通常在這種情況下，一般學(xué)校都會讓網(wǎng)管中心的老師來對其進(jìn)行設(shè)計(jì)，或者與一些集成商討論來一起設(shè)計(jì)解決校園網(wǎng)安全的方法。Security policies。 在校園里使用校園網(wǎng)的人數(shù)眾多，網(wǎng)絡(luò)使用者的素質(zhì)卻參差不齊，造成校園網(wǎng)出現(xiàn)各種各樣的問題。與我一同工作的同志對本研究 所做的貢獻(xiàn)均已在論文中做了明確的說明并表示了謝意。 本論文還對機(jī)電學(xué)院進(jìn)行了具體的 VLAN 劃分，并對防火墻的安全策略及 功能進(jìn)行分析，以及三層交換機(jī)的安全策略分析，最后對校園網(wǎng)的安全策略進(jìn)行了總結(jié)。最讓人感到意外的就是，調(diào)查表明，校園網(wǎng)受到的攻擊有 75%是來自校園網(wǎng)絡(luò)內(nèi)部的，這些攻擊者攻擊校園網(wǎng)內(nèi)的計(jì)算機(jī)的目的各不相同，有的是為了炫耀自己高超的電腦技術(shù)，有的是為了竊取別人的個(gè)人資料，還有的就是純粹的想攻擊破壞校園網(wǎng)。而且隨著現(xiàn)在校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的帶寬不斷的提高，為用戶下載提供了方便，許多人在網(wǎng)絡(luò)上下載的一些軟件中可能隱藏木馬、病毒、惡意代碼等后門程序，黑客們可以通過這些入侵、攻擊我們的計(jì)算機(jī)，從而造成計(jì)算機(jī)以及網(wǎng)絡(luò)的癱瘓。 2. 本文研究的主要內(nèi)容 本文首先對目前校園網(wǎng)絡(luò)之中存在的安全問題進(jìn)行了分析， 并對這些問題進(jìn)行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。微軟公司會不定時(shí)的發(fā)布一些補(bǔ)丁來修復(fù)這些漏洞，如果我們不及時(shí)對操作系統(tǒng)進(jìn)行更新 ,這些漏洞就會一直存在，這些漏洞對我們的計(jì)算機(jī)來說將是很大的安全隱患。 校園網(wǎng)絡(luò)是廣大師生進(jìn)行教學(xué)、辦公、學(xué)習(xí)、娛樂的主要平臺 ,但是學(xué)校有一部分老師和同學(xué)具有一定的網(wǎng)絡(luò)知識和黑客技術(shù)。但是一個(gè)不好的網(wǎng)絡(luò)結(jié)構(gòu)，會讓整個(gè)校園網(wǎng)的計(jì)算機(jī)的安全都受到威脅。一個(gè)責(zé)任心不強(qiáng)的網(wǎng)絡(luò)管理員，將會使校園的網(wǎng)絡(luò)面臨著各種各樣的危險(xiǎn) [4]。建立教學(xué)資源庫供老師分享其課件、試題、資料等。在保證網(wǎng)絡(luò)可靠的前提下，在原有的網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上添加性價(jià)比最好的設(shè)備。 神州數(shù)碼 DCRS7604 三層交換機(jī)為校園網(wǎng)的穩(wěn)定、快速、高效運(yùn)行提供了保證。防火墻還會對所有流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描與檢測，這樣可以阻止許多來自外界網(wǎng)絡(luò)的攻擊，以此來保護(hù)校園網(wǎng)內(nèi)的計(jì)算機(jī)。在考慮網(wǎng)絡(luò)設(shè)備利用率最大化，并且取得的效果最好，將信息館的接入層交換機(jī) DCS360026C 與機(jī)械館的接入層交換機(jī) DCS360026C 連到一個(gè)三層交換機(jī)DCRS565028 上，將儀表館的接入層交換機(jī) DCS360026C 與工管館的接入層交換機(jī)機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –12– DCS360026C 連到一個(gè)三層交換機(jī) DCRS565028 上，再將這兩個(gè)三層交換機(jī)連到網(wǎng)絡(luò)中心的核心交換機(jī)上。 內(nèi)網(wǎng)之間高安全級別用戶與中安全級別用戶通信流程圖如下： 圖 高安全級別用戶與中安全級別用戶內(nèi)網(wǎng)通信流程圖 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –14– 如上圖所示：校園網(wǎng)內(nèi)網(wǎng)的用戶之間相互通信，不同 VLAN 間通信是不通過防火墻的，防火墻無法起到保護(hù)作用。防火墻就是將校園的內(nèi)部網(wǎng)絡(luò)與外界的不可信的公共網(wǎng)分離開。 3. 地址綁定功能 地址綁定就是將主機(jī) IP 地址和網(wǎng)卡的 MAC 地址一一對應(yīng)起來。對于這一點(diǎn) 神州數(shù)碼 DCFW1800SV2 防火墻 是采用安全的加密算法和傳輸體制來完成的。 8. 支持帶寬控制功能 帶寬控制功能可以根據(jù)校園網(wǎng)的用戶級別進(jìn)行分類，對不同類別的用戶進(jìn)行不一樣的帶寬控制，限制其數(shù)據(jù)包的發(fā)送速率，達(dá)到保證網(wǎng)絡(luò)穩(wěn)定的目的。 整個(gè)校園網(wǎng)的核心是由兩臺核心交換機(jī) 神州數(shù)碼 DCRS7604 三層交換機(jī)組成，其主要負(fù)責(zé)將校園網(wǎng)絡(luò)各部分的總數(shù)據(jù)流進(jìn)行匯聚和分流。雖然使用傳統(tǒng)的路由器可以防止形成廣播風(fēng)暴，但是路由器的性能卻不是很好。訪問控制列表是應(yīng)用在接口的指令列表，它可以起到控制網(wǎng)絡(luò)流量、流向的作用，并且保護(hù)網(wǎng)絡(luò)中的設(shè)備。下面以一個(gè)端口為例，進(jìn)行端口流量限制的配置： hexin(config) interface e 3/8 hexin(configif3/8) portname TO WEB hexin(config) interface e8 hexin(configif8) speedduplex 10full hexin(config) flowcontrol hexin(config) interface e 3/8 hexin(configif3/8) enable 5. 端口聚合 由于兩臺交換機(jī)之間相互連接，有多條冗余鏈路，使用端口聚合技術(shù)，可以把一組物理端口聯(lián)合起來，變成一個(gè)邏輯的鏈路通道。防火墻可以抵御來自外部網(wǎng)絡(luò)的入侵、攻擊。接著再對機(jī)電學(xué)院的各個(gè)部分進(jìn)行了詳細(xì)的網(wǎng)絡(luò)地址設(shè)置以及 VLAN 劃分。正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。 本文雖然完成了對機(jī)電學(xué)院的校園網(wǎng)絡(luò)安全策略研究，但是由于個(gè)人經(jīng)驗(yàn)尚淺，對校園網(wǎng)的設(shè)計(jì)還 不夠?qū)I(yè)，在網(wǎng)絡(luò)設(shè)備的具體配置及校園網(wǎng)絡(luò)優(yōu)化上還有進(jìn)一步的改進(jìn)空間。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –22– 結(jié)論 本論文從目前校園網(wǎng)所面對的各種問題出發(fā)，分析出了造成這些問題的原因。 提升冗余等級，只要不是 每條鏈路都壞掉，兩臺交換機(jī)之間就能互相通信。在本設(shè)計(jì)中使用 VRRP 技術(shù)將校園網(wǎng)的一組三層交換機(jī)組織成一個(gè)虛擬三層交換機(jī)，稱之為一個(gè)備份組。 （四） 三層交換機(jī)的主要功能及配置 1. VLAN 的劃分 說起三層交換機(jī)的功能首先要說的就是 VLAN 的劃分，三層交換機(jī)可以對網(wǎng)絡(luò)中的每個(gè)子網(wǎng)進(jìn)行詳細(xì)的 VLAN 劃分，劃分完 VLAN 每個(gè)子網(wǎng)都有對應(yīng)的 VLAN 名，可以使網(wǎng)絡(luò)管理園更好的對校園 網(wǎng)進(jìn)行管理。神州數(shù)碼 DCRS565028 三層交換機(jī)提供本地第三層交換和路由功能。神州