【文章內(nèi)容簡(jiǎn)介】 個(gè)網(wǎng)絡(luò)都將是致命性的。 作為高等院校，如何構(gòu)筑相對(duì)可靠的校園網(wǎng)絡(luò)安全體系問(wèn)題，變得越來(lái)越突出了。一般來(lái)說(shuō)，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。 校園網(wǎng)安全管理 針對(duì)目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識(shí)與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來(lái)自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點(diǎn) 是 高校的安全策略： 規(guī)范出口管理，實(shí)施校園 網(wǎng)的整體安全架構(gòu)，必須解決多出口的問(wèn)題。對(duì)于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過(guò)配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問(wèn)和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。 解決用戶上網(wǎng)身份問(wèn)題，建立全校統(tǒng)一的身份認(rèn) 證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問(wèn)題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問(wèn)題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問(wèn)題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 9 嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理 。上網(wǎng)用戶不但要通過(guò)統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。 根據(jù)相關(guān)部門的要求，配 備專門的安全管理人員，出臺(tái)網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是 “道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須 要 做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理 。 [2] 校園網(wǎng)絡(luò)安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過(guò)網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來(lái)對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。 殺毒軟件。 殺毒產(chǎn)品 的 部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、 傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能 .。 （ 1）在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的 Windows2020 服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。 （ 2）在各辦公室分別安裝 殺毒軟件的 客戶端。 （ 3）安裝完 殺毒軟件 ，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒 。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。 采用 VLAN 技術(shù)。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶非法訪問(wèn)的目的。 內(nèi)容過(guò)濾器。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 10 內(nèi)容過(guò)濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無(wú)意識(shí)服務(wù)拒絕的工具。同時(shí)，可以限制外來(lái)的垃圾郵件。 防火墻。 在與 Inter 相連的每一臺(tái)電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以 下原則配置來(lái)提高網(wǎng)絡(luò)安全性 : (1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則 . (2）禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù) ( 如 HTTP , FTP 等 )。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問(wèn)文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你 就必須正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認(rèn)識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來(lái)，哪些是從互聯(lián)網(wǎng)來(lái)，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。 (4）定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測(cè)。 入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法， 檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測(cè)系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施。 漏洞掃描。 隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報(bào)告，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。 數(shù)據(jù)加密。 數(shù)據(jù)加密是核心的對(duì)策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。 加強(qiáng)網(wǎng)絡(luò)安全管理。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 11 加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn) 和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。 [6]宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 11 3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)安全 系統(tǒng) ，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行，并定期對(duì)校內(nèi)教師進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，或發(fā)放常見病毒解決方案等。 校園網(wǎng)建設(shè)需求分析 需求分析 局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用 ,如 :共享磁盤設(shè)備、打印機(jī)等 ,從 而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件 ,并可在任何一臺(tái)共享打印機(jī)上進(jìn)行打印 。當(dāng)然也可以借助 Wingate 或 Sygate 等軟件多機(jī)共享一臺(tái) Modem 上網(wǎng)；或者通過(guò)代理服務(wù)器連上 Inter，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為： 10Mbps網(wǎng)卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口網(wǎng)卡、 10Mbps/100Mbps 自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價(jià)格占有市場(chǎng)的一定份額，但由于 10Mbps ISA 插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU 資源，只適應(yīng) 于那些對(duì)速度要求不高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者10Mbps/100Mbps 自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn)行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。 BNC 口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。 RJ45 是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口， RJ45 的接口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是 8芯的接頭，使用 RJ45 的缺點(diǎn)是架設(shè)成本高，但安裝和維護(hù)較為方便，因此我們一般使用 RJ45 接口。集線器 (HUB):根據(jù)微機(jī)的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況 下 ,會(huì)因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問(wèn)題。因此有條件的話可選用交換機(jī)。一個(gè) Hub 所組成的域稱為沖突域 ,也就是說(shuō) ,網(wǎng)絡(luò)上任何一臺(tái)計(jì)算機(jī)在收發(fā)數(shù)據(jù)時(shí) ,其他所有計(jì)算機(jī)都能夠收到 ,且這些計(jì)算機(jī)不能同時(shí)進(jìn)行數(shù)據(jù)的收發(fā) ,否則會(huì)發(fā)生碰撞 (CSMA/ CD 協(xié)議會(huì)阻止碰撞 )。此外每臺(tái)接入 Hub 的計(jì)算機(jī) ,都要檢測(cè)接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計(jì)算機(jī) CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級(jí)別應(yīng)用。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 12 學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué) 、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。其設(shè)計(jì)方案應(yīng)注意以下原則： 實(shí)用性校園網(wǎng)設(shè)計(jì)應(yīng)能滿足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的 MTBF(平均無(wú)故障工作時(shí)間 )和極低的 MTBR(平均無(wú)故障率 )，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。 統(tǒng)一性在系統(tǒng)的設(shè)計(jì)過(guò)程中，堅(jiān)持 三統(tǒng)一 ，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。 先進(jìn)性在系統(tǒng)的開發(fā)過(guò)程中，既能滿足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來(lái)需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求。 關(guān)鍵設(shè)備 在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó) Cisco公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)， Catalyst 6506 是大容量的具有高交換能力的第三層模塊化交換機(jī)， Catalyst 6506 的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇 Catalyst 3548 作為外網(wǎng)交換機(jī)?？梢酝ㄟ^(guò)千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶終端可以通過(guò) 10/100M 自適應(yīng)通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機(jī)上。選擇 Catalyst 3524 和Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶提供 10/100M 到桌面。選擇 Cisco 3662 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) DDN、 ISDN 訪問(wèn)路由器，既可以滿足上級(jí)單位 Inter 的 DDN、 ISDN 接入的需求，又可以滿足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。 網(wǎng)絡(luò)核心層：用一臺(tái) Cisco 的高端三層交換機(jī) Catalyst 6506 作為整個(gè)交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。一塊 WSX6KS1AMSFC2 交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506 交換機(jī)引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 13 利用 Cisco 特有的 Netflow 技術(shù)，完全滿足核心線性三層交換的能力。另一塊WSX6408GBIC 的 8 端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。 匯聚層：在分配線間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過(guò)光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備 Catalyst 6506 上去，終端用戶可以通過(guò)超 5 類 UTP 線纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn) 10/100M 的自適應(yīng)通道連接到局域網(wǎng)中去。 接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺(tái) Cisco 3660 路由器作為廣域互連和外部用戶撥號(hào)訪問(wèn)網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能： 1. ADSL 接入方式。 2. FTTX+LAN 接入方式。 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 根據(jù)校園網(wǎng)的 需求分析及建設(shè)目標(biāo)，本設(shè)計(jì)方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 技術(shù)方案 校園網(wǎng)的建設(shè)規(guī)劃 校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程，與任何一項(xiàng)工程建設(shè)一樣，在開始建設(shè)宿州學(xué)院畢業(yè)論文（設(shè)計(jì)）