【導讀】技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。網(wǎng)絡的生命在于其安全。因此，在現(xiàn)有的技術條件下，如何構建相對可靠的校園網(wǎng)絡安全體系，就成了。校園網(wǎng)絡管理人員的一個重要課題。我們的教育也正朝著信息化、網(wǎng)絡化發(fā)展，隨著“校校通”工程的深入開。展，許多學校都投資建設了校園網(wǎng)絡并投入使用。校園網(wǎng)絡在我們的校園管理、日。常教學等方面正扮演著越來越重要的角色。但是，在我們驚嘆于網(wǎng)絡的強大功能時，還應當清醒地看到，網(wǎng)絡世界并不是一方凈土。等病毒，使人們更加深刻的認識到了網(wǎng)絡安全的重要性。更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。的安全威脅成為日益受到嚴重關注的問題。絡安全造成的經(jīng)濟損失超過170億美元。目前，這幾所院校已初步形成。截止2021年年初，教育部宣布有500多家已建立。持下，我國校園網(wǎng)建設取得了飛速發(fā)展。校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時有發(fā)生，非更改考試成績；

　　

【正文】 統(tǒng)環(huán)境來決定。 [4] 四、具體設計 根據(jù)大學校園網(wǎng)的 拓撲 結構特點及面臨的安全隱患，我們將通過瑞星防火墻、入侵 檢測、網(wǎng)絡殺毒軟件，實現(xiàn)網(wǎng)絡安全隔離、網(wǎng)絡監(jiān)控措施、網(wǎng)絡病毒的防范等安全需求，為大學校園構建統(tǒng)一、安全的網(wǎng)絡。 A：通過一臺路由器隔開外網(wǎng)（ Inter）與校園網(wǎng)，路由器中我們設置了防御外部的第一道屏障。 25 屏蔽路由器對進出內部網(wǎng)絡的所有信息進行分析，并按照一定的安全策略（信息過濾規(guī)則）對進出內部網(wǎng)絡的信息進行限制。它能根據(jù) IP 地址、 UDP 和 TCP 端口來篩選數(shù)據(jù)。如可以在路由器中實現(xiàn)對內部網(wǎng)絡在 屏蔽騰訊的所有服務，也可以對特定的黃色、暴力、黑客、游戲網(wǎng)站進行屏蔽。 B：通過 防 火墻 （裝有瑞星企業(yè)版的主機）隔離，在校園網(wǎng)絡與外界連接處實施網(wǎng)絡訪問控制。 在 Inter 與校園網(wǎng)內網(wǎng)之間部署了一臺瑞星 企業(yè)版 防火墻， 可以讓學院了解外部網(wǎng)絡用戶的身份和工作性質，提供訪問規(guī)則，并針對存取要求授予不同的權限，保證只有經(jīng)授權許可的信息才能在客戶機和服務器間流通。 其中 WWW、 Email、FTP、 DNS 服務器連接在防火墻的 DMZ 區(qū)，與內、外網(wǎng)間進行隔離，內網(wǎng)口連接校園網(wǎng)內網(wǎng)交換機，外網(wǎng)口通過路由器與 Inter 連接。 這樣， 通過 Inter 進來的外網(wǎng)用戶只能訪問到對外公開的 一些服務（如 WWW、 Email、 FTP、 DNS 等），既保護內網(wǎng)資源不被非法訪問或破壞，也阻止了內部用戶對外部不良資源的使用，并能夠對發(fā)生的安全事件進行跟蹤和審計。 具體配制規(guī)則如下： 第 一，根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則 ，如 審核 IP 數(shù)據(jù)包的內 容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自 外 網(wǎng)對校園內部網(wǎng)不必要的、非法的訪問?？傮w上遵從 “ 不被允許的服務就是被禁止 ” 的原則 。 第二，將防火墻配置成過濾掉以內部網(wǎng)絡地址進入路由器的 IP 包，這樣可以防范源地址假冒和源路 由類型的攻擊；過濾掉以非法 IP地址 離開內部網(wǎng)絡的 IP包，防止內部網(wǎng)絡發(fā)起的對外攻擊。 第三，在防火墻上建立內網(wǎng)計算機的 IP 地址和 MAC 地址的對應表，防止 IP 地址被盜用。 第四，在局域網(wǎng)的入口架設千兆防火墻，并實現(xiàn) VPN 的功能，在校園網(wǎng)絡入口處建立第一層的安全屏障， VPN 保證了管理員在家里或出差時能夠安全接入數(shù)據(jù)中心 。 26 第五，定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良 上網(wǎng) 記錄。 第六，允許通過配置網(wǎng)卡對防火墻設置，提高防火墻管理安全性。 C：在中心交換機上架設 入侵檢測系統(tǒng) （ 瑞星入侵檢測系統(tǒng) RIDS100） 。 入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，根據(jù)校園網(wǎng)絡的特點，我們采用瑞星入侵檢測系統(tǒng) RIDS100 。將 RIDS100 入侵檢測引擎接入中心交換機上， 對 處于防火墻之后 的 來自外部網(wǎng)和校園網(wǎng)內部的各種行為 的 網(wǎng)絡活動進行實時檢測 。 許多情況下，由于可以記 錄和禁止網(wǎng)絡活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和 防火墻和路由器配合工作。 具體工作過程如下： IDS 掃描當前網(wǎng)絡的活動，監(jiān)視和記錄網(wǎng)絡的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量，提供實時報警。 IDS 是被動的，它監(jiān) 測你的網(wǎng)絡上所有的數(shù)據(jù)包。其目的就是撲捉危險或有惡意動作的信息包。 IDS 是按你指定的規(guī)則運行的，記錄是龐大的，所以我們必須制定合適的規(guī)則對他進行正確的配置，如果 IDS 沒有正確的配置，其效果如同沒有一樣。 IDS 能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了 系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應），提高了信息安全基礎結構的完整性。 D： 漏洞掃描系統(tǒng) 采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、 交換機 等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù) 。要求每臺主機系統(tǒng)必須正確配置，為操作系統(tǒng)打夠 補丁 、保護好自己的密碼、關閉不需要打開的端口 。 例如：如果主機不提供諸如 FTP、 HTTP 等公共服務，盡量關閉它們。 E： 部署網(wǎng)絡版 殺毒 軟件 最理想的狀況是在整個局域網(wǎng)內杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，應該在整個網(wǎng)絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為 27 了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。 具體實現(xiàn)過程可如下操作： 在學校網(wǎng)絡中心配置一臺高效的 Windows2021服務器安裝一個網(wǎng)絡版 殺毒軟件 系統(tǒng)中心，負責管理校園網(wǎng)內所有主機網(wǎng)點的計算機。在各主機節(jié)點分別安裝網(wǎng)絡版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡版后，在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便起見，由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到殺毒軟件網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它各個主機網(wǎng)點的客戶端與服務器端，并自 動對網(wǎng)絡版殺毒軟件進行更新。采取這種升級方式，一方面確保校園網(wǎng)內的殺毒軟件的更新保持同步，使整個校園網(wǎng)都具有最強的防病毒能力；另一方面，由于整個網(wǎng)絡的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。 3. 系統(tǒng)實現(xiàn) 校園網(wǎng)布局結構 校園比較大，建筑樓群多、布局比較分散。因此在設計校園網(wǎng)主干結構時既要考慮到目前實際應用有所側重，又要兼顧未來的發(fā)展需求。主干網(wǎng)以中控室為中心，設幾個主干交換節(jié)點，包括中控室、實驗 樓、圖書館、教學樓、宿舍樓。中心 交換機 和主干交換機采用千兆光纖交換機。校園網(wǎng)的主干即中控室與教學樓、實驗樓、圖書館、宿舍樓之間全部采用 8 芯室外光纜；樓內選用進口 6 芯室內光纜和 5 類線。在校園 信息中心配置一臺 CISCO 公司在千兆高端交換機市場處于領先地位的主干交換機 Cisco catalyst 3508G XL。主要致力于高性能骨干網(wǎng)應用，滿足快速增長的校園網(wǎng)全部需 求的解決方案，這些需求包括：擴展性、高性能、靈活性、管理性和 28 可靠性。 廣域網(wǎng)接入設備我們選取的是世界上最大的路由器生產(chǎn)商 CSICO 公司的CISCO 2600 路由器。 CISCO 2600 路由器是 CSICO 公司針對于中小型互聯(lián)網(wǎng)用戶推出的高性能廣域網(wǎng)接入設備，它提供了一個快速以太網(wǎng)端口、兩個廣域網(wǎng)接口，完全滿足學?，F(xiàn)階段的需求。 路由器通過一條 100 兆以太網(wǎng)鏈路連接到主交換機上，為學校提供高速的廣域網(wǎng)連接通道。 路由器的配置如： 網(wǎng)絡安全 設置 校園網(wǎng)系統(tǒng)的資料及文件通訊的安全問題將成為網(wǎng)絡設計的重 要因素，我們認為應能安全保護學校的資料和文件通訊，防止非法用戶的訪問和非法竊取，為了網(wǎng)絡的安全，本設計方案充分考慮到了網(wǎng)絡安全的重要性，并設計了多級安全保護策略。 Inter 防火墻能增強機構內部網(wǎng)絡的安全性，它決定了那些內部服務可以被外界訪問；外界的那些人可以訪問內部的那些可以訪問的服務，以及那些外部服務可以被內部人員訪問。要使一個防火墻有效，所有來自和去往 的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防火墻必須只允許授權的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。 鑒于此，我們 建議使用 瑞星企業(yè)版防火墻 作為校園網(wǎng)的 主 防火墻軟件。 防火墻的具體配置步驟如下： 1. 將防火墻的 Console端口用一條防火墻自帶的串行電纜連接到 電腦的一個空余串口上 。 2. 打開 PIX 防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。 3. 運行電腦 Windows 系統(tǒng)中的超級終端（ HyperTerminal）程序（通常在 “ 附件 ” 程序組中）。對超級終端的配置與交換機或路由器的配置一樣 。 29 4. 當 PIX 防火墻進入系統(tǒng)后即顯示 “pixfirewall” 的提示符，這就證明防火墻 已啟動成功，所進入的是防火墻用戶模式。可以進行進一步的配置了。 5. 輸入命令： enable,進入特權用戶模式，此時系統(tǒng)提示為： pixfirewall。 6. 輸入命令： configure terminal,進入全局配置模式，對系統(tǒng)進行初始化設置。 （ 1） . 首先配置防火墻的網(wǎng)卡參數(shù)（以只有 1 個 LAN 和 1 個 WAN 接口的防火墻配置為例） Interface ether0 auto 0 號網(wǎng)卡系統(tǒng)自動分配為 WAN 網(wǎng)卡， “auto”選項為系統(tǒng)自適應網(wǎng)卡類型 Interface ether1 auto （ 2） . 配置防火墻內、外部網(wǎng)卡的 IP 地址 IP address inside ip_address mask Inside 代表內部網(wǎng)卡 IP address outside ip_address mask outside 代表外部網(wǎng)卡 （ 3） . 指定外部網(wǎng)卡的 IP 地址范圍： global 1 ip_addressip_address （ 4） . 指定要進行轉換的內部地址： nat 1 ip_address mask （ 5） . 配置某些控制選項： conduit global_ip port[port] protocol foreign_ip [mask] 其中， global_ip：指的是要控制的地址； port：指的是所作用的端口， 0代表所有端口； protocol：指的是連接協(xié)議，比如： TCP、 UDP 等； foreign_ip：表示可訪問的 global_ip 外部 IP 地址； mask：為可選項，代表要控制的子網(wǎng)掩碼。 7. 配置保存： wr mem 8. 退 出當前模式 30 此命令為 exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當簡單，只輸入命令本身即可。它與 Quit 命令一樣。下面三條語句表示了用戶從配置模式退到特權模式，再退到普通模式下的操作步驟。 pixfirewall(config) exit pixfirewall exit pixfirewall 9. 查看當前用戶模式下的所有可用命令： show，在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。 10. 查看端口狀態(tài)： show interface，這個命令需在特權用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射 :show static，這個命令也須在特權用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當前靜態(tài)地址映射情況。 25 總 結 沒有安全保證的校園網(wǎng)絡就像沒有剎車的車子跑在高速公路上?；ヂ?lián)網(wǎng)絡的飛速發(fā)展，對校園網(wǎng)絡中師生的工作和學習已經(jīng)產(chǎn)生了深遠的影響，網(wǎng)絡在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識到，網(wǎng)絡安全問題的日益嚴重也越來越成為網(wǎng)絡應用的巨大阻礙，校 園網(wǎng)絡安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡安全問題，校園網(wǎng)絡的應用才能健康、高速的發(fā)展 . 本文分析了校園網(wǎng)絡面臨的主要危害，并針對危害提出了相應的安全解決措施。文中分析認為，校園網(wǎng)絡安全重點在防病毒和防攻擊。為此．文中針對病毒的特點和網(wǎng)絡攻擊的特性，提出了校園網(wǎng)絡的相應措施。采用上述措施，基本能夠解決校園網(wǎng)絡面臨威脅風險，從而建構一個安全、高效的網(wǎng)絡。 26 【參考文獻】 [1]徐亞鳳 . 解析校園網(wǎng)絡的安全及管理 . 牡丹江大學學報 . 2021， 17(8)： 118— 125 [2]鄭春 . 軟硬件結合的校園網(wǎng)安全策略 . 軟件導刊 . 2021， 7(8)： 181— 183． [3]江鐵 . 高校校園網(wǎng)安全策略設計 . 科技信息 . 2021， 20： 422— 423． [4]孫力 . 淺談校園網(wǎng)絡安全技術的應用 [J] 甘肅科技， 2021（ 09） 27 致 謝 在畢業(yè)論文即將完成之際，我要深深地感謝我的指導老師 侯傳宇。他對我給予了極大地關心和信任，使我不斷得到了理論和實踐上的精心指導，使我認識我的不足之處和平時所忽略的缺點。侯老師以其嚴 謹?shù)闹螌W態(tài)度時時教育、激勵著我，使我有信心、有能力攻克一個個難點。侯老師的言傳身教是我終身受益。 衷心感謝我的父母。多年來是他們養(yǎng)育了我，是他們在物質和精神上給予我莫大支持和鼓勵。他們是我努力求學的堅強后