【導(dǎo)讀】技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在于其安全。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了。校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。我們的教育也正朝著信息化、網(wǎng)絡(luò)化發(fā)展，隨著“校校通”工程的深入開。展，許多學(xué)校都投資建設(shè)了校園網(wǎng)絡(luò)并投入使用。校園網(wǎng)絡(luò)在我們的校園管理、日。常教學(xué)等方面正扮演著越來(lái)越重要的角色。但是，在我們驚嘆于網(wǎng)絡(luò)的強(qiáng)大功能時(shí)，還應(yīng)當(dāng)清醒地看到，網(wǎng)絡(luò)世界并不是一方凈土。等病毒，使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要性。更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò)170億美元。目前，這幾所院校已初步形成。截止2021年年初，教育部宣布有500多家已建立。持下，我國(guó)校園網(wǎng)建設(shè)取得了飛速發(fā)展。校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生，非更改考試成績(jī)；

　　

【正文】 統(tǒng)環(huán)境來(lái)決定。 [4] 四、具體設(shè)計(jì) 根據(jù)大學(xué)校園網(wǎng)的 拓?fù)?結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，我們將通過(guò)瑞星防火墻、入侵 檢測(cè)、網(wǎng)絡(luò)殺毒軟件，實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)病毒的防范等安全需求，為大學(xué)校園構(gòu)建統(tǒng)一、安全的網(wǎng)絡(luò)。 A：通過(guò)一臺(tái)路由器隔開外網(wǎng)（ Inter）與校園網(wǎng)，路由器中我們?cè)O(shè)置了防御外部的第一道屏障。 25 屏蔽路由器對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略（信息過(guò)濾規(guī)則）對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制。它能根據(jù) IP 地址、 UDP 和 TCP 端口來(lái)篩選數(shù)據(jù)。如可以在路由器中實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)在 屏蔽騰訊的所有服務(wù)，也可以對(duì)特定的黃色、暴力、黑客、游戲網(wǎng)站進(jìn)行屏蔽。 B：通過(guò) 防 火墻 （裝有瑞星企業(yè)版的主機(jī)）隔離，在校園網(wǎng)絡(luò)與外界連接處實(shí)施網(wǎng)絡(luò)訪問(wèn)控制。 在 Inter 與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺(tái)瑞星 企業(yè)版 防火墻， 可以讓學(xué)院了解外部網(wǎng)絡(luò)用戶的身份和工作性質(zhì)，提供訪問(wèn)規(guī)則，并針對(duì)存取要求授予不同的權(quán)限，保證只有經(jīng)授權(quán)許可的信息才能在客戶機(jī)和服務(wù)器間流通。 其中 WWW、 Email、FTP、 DNS 服務(wù)器連接在防火墻的 DMZ 區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與 Inter 連接。 這樣， 通過(guò) Inter 進(jìn)來(lái)的外網(wǎng)用戶只能訪問(wèn)到對(duì)外公開的 一些服務(wù)（如 WWW、 Email、 FTP、 DNS 等），既保護(hù)內(nèi)網(wǎng)資源不被非法訪問(wèn)或破壞，也阻止了內(nèi)部用戶對(duì)外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行跟蹤和審計(jì)。 具體配制規(guī)則如下： 第 一，根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則 ，如 審核 IP 數(shù)據(jù)包的內(nèi) 容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自 外 網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)。總體上遵從 “ 不被允許的服務(wù)就是被禁止 ” 的原則 。 第二，將防火墻配置成過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的 IP 包，這樣可以防范源地址假冒和源路 由類型的攻擊；過(guò)濾掉以非法 IP地址 離開內(nèi)部網(wǎng)絡(luò)的 IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。 第三，在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的 IP 地址和 MAC 地址的對(duì)應(yīng)表，防止 IP 地址被盜用。 第四，在局域網(wǎng)的入口架設(shè)千兆防火墻，并實(shí)現(xiàn) VPN 的功能，在校園網(wǎng)絡(luò)入口處建立第一層的安全屏障， VPN 保證了管理員在家里或出差時(shí)能夠安全接入數(shù)據(jù)中心 。 26 第五，定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良 上網(wǎng) 記錄。 第六，允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性。 C：在中心交換機(jī)上架設(shè) 入侵檢測(cè)系統(tǒng) （ 瑞星入侵檢測(cè)系統(tǒng) RIDS100） 。 入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)，我們采用瑞星入侵檢測(cè)系統(tǒng) RIDS100 。將 RIDS100 入侵檢測(cè)引擎接入中心交換機(jī)上， 對(duì) 處于防火墻之后 的 來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為 的 網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè) 。 許多情況下，由于可以記 錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測(cè)系統(tǒng)是防火墻的延續(xù)。它們可以和 防火墻和路由器配合工作。 具體工作過(guò)程如下： IDS 掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)則來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)報(bào)警。 IDS 是被動(dòng)的，它監(jiān) 測(cè)你的網(wǎng)絡(luò)上所有的數(shù)據(jù)包。其目的就是撲捉危險(xiǎn)或有惡意動(dòng)作的信息包。 IDS 是按你指定的規(guī)則運(yùn)行的，記錄是龐大的，所以我們必須制定合適的規(guī)則對(duì)他進(jìn)行正確的配置，如果 IDS 沒(méi)有正確的配置，其效果如同沒(méi)有一樣。 IDS 能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了 系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 D： 漏洞掃描系統(tǒng) 采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、 交換機(jī) 等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù) 。要求每臺(tái)主機(jī)系統(tǒng)必須正確配置，為操作系統(tǒng)打夠 補(bǔ)丁 、保護(hù)好自己的密碼、關(guān)閉不需要打開的端口 。 例如：如果主機(jī)不提供諸如 FTP、 HTTP 等公共服務(wù)，盡量關(guān)閉它們。 E： 部署網(wǎng)絡(luò)版 殺毒 軟件 最理想的狀況是在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為 27 了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。 具體實(shí)現(xiàn)過(guò)程可如下操作： 在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的 Windows2021服務(wù)器安裝一個(gè)網(wǎng)絡(luò)版 殺毒軟件 系統(tǒng)中心，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。在各主機(jī)節(jié)點(diǎn)分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見(jiàn)，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件網(wǎng)站上獲取最新的升級(jí)文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將最新的升級(jí)文件分發(fā)到其它各個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自 動(dòng)對(duì)網(wǎng)絡(luò)版殺毒軟件進(jìn)行更新。采取這種升級(jí)方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個(gè)校園網(wǎng)都具有最強(qiáng)的防病毒能力；另一方面，由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是有程序來(lái)自動(dòng)、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆](méi)有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。 3. 系統(tǒng)實(shí)現(xiàn) 校園網(wǎng)布局結(jié)構(gòu) 校園比較大，建筑樓群多、布局比較分散。因此在設(shè)計(jì)校園網(wǎng)主干結(jié)構(gòu)時(shí)既要考慮到目前實(shí)際應(yīng)用有所側(cè)重，又要兼顧未來(lái)的發(fā)展需求。主干網(wǎng)以中控室為中心，設(shè)幾個(gè)主干交換節(jié)點(diǎn)，包括中控室、實(shí)驗(yàn) 樓、圖書館、教學(xué)樓、宿舍樓。中心 交換機(jī) 和主干交換機(jī)采用千兆光纖交換機(jī)。校園網(wǎng)的主干即中控室與教學(xué)樓、實(shí)驗(yàn)樓、圖書館、宿舍樓之間全部采用 8 芯室外光纜；樓內(nèi)選用進(jìn)口 6 芯室內(nèi)光纜和 5 類線。在校園 信息中心配置一臺(tái) CISCO 公司在千兆高端交換機(jī)市場(chǎng)處于領(lǐng)先地位的主干交換機(jī) Cisco catalyst 3508G XL。主要致力于高性能骨干網(wǎng)應(yīng)用，滿足快速增長(zhǎng)的校園網(wǎng)全部需 求的解決方案，這些需求包括：擴(kuò)展性、高性能、靈活性、管理性和 28 可靠性。 廣域網(wǎng)接入設(shè)備我們選取的是世界上最大的路由器生產(chǎn)商 CSICO 公司的CISCO 2600 路由器。 CISCO 2600 路由器是 CSICO 公司針對(duì)于中小型互聯(lián)網(wǎng)用戶推出的高性能廣域網(wǎng)接入設(shè)備，它提供了一個(gè)快速以太網(wǎng)端口、兩個(gè)廣域網(wǎng)接口，完全滿足學(xué)?，F(xiàn)階段的需求。 路由器通過(guò)一條 100 兆以太網(wǎng)鏈路連接到主交換機(jī)上，為學(xué)校提供高速的廣域網(wǎng)連接通道。 路由器的配置如： 網(wǎng)絡(luò)安全 設(shè)置 校園網(wǎng)系統(tǒng)的資料及文件通訊的安全問(wèn)題將成為網(wǎng)絡(luò)設(shè)計(jì)的重 要因素，我們認(rèn)為應(yīng)能安全保護(hù)學(xué)校的資料和文件通訊，防止非法用戶的訪問(wèn)和非法竊取，為了網(wǎng)絡(luò)的安全，本設(shè)計(jì)方案充分考慮到了網(wǎng)絡(luò)安全的重要性，并設(shè)計(jì)了多級(jí)安全保護(hù)策略。 Inter 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，它決定了那些內(nèi)部服務(wù)可以被外界訪問(wèn)；外界的那些人可以訪問(wèn)內(nèi)部的那些可以訪問(wèn)的服務(wù)，以及那些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。要使一個(gè)防火墻有效，所有來(lái)自和去往 的信息都必須經(jīng)過(guò)防火墻，接受防火墻的檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，并且防火墻本身也必須能夠免于滲透。 鑒于此，我們 建議使用 瑞星企業(yè)版防火墻 作為校園網(wǎng)的 主 防火墻軟件。 防火墻的具體配置步驟如下： 1. 將防火墻的 Console端口用一條防火墻自帶的串行電纜連接到 電腦的一個(gè)空余串口上 。 2. 打開 PIX 防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。 3. 運(yùn)行電腦 Windows 系統(tǒng)中的超級(jí)終端（ HyperTerminal）程序（通常在 “ 附件 ” 程序組中）。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣 。 29 4. 當(dāng) PIX 防火墻進(jìn)入系統(tǒng)后即顯示 “pixfirewall” 的提示符，這就證明防火墻 已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。 5. 輸入命令： enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為： pixfirewall。 6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。 （ 1） . 首先配置防火墻的網(wǎng)卡參數(shù)（以只有 1 個(gè) LAN 和 1 個(gè) WAN 接口的防火墻配置為例） Interface ether0 auto 0 號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為 WAN 網(wǎng)卡， “auto”選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ether1 auto （ 2） . 配置防火墻內(nèi)、外部網(wǎng)卡的 IP 地址 IP address inside ip_address mask Inside 代表內(nèi)部網(wǎng)卡 IP address outside ip_address mask outside 代表外部網(wǎng)卡 （ 3） . 指定外部網(wǎng)卡的 IP 地址范圍： global 1 ip_addressip_address （ 4） . 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址： nat 1 ip_address mask （ 5） . 配置某些控制選項(xiàng)： conduit global_ip port[port] protocol foreign_ip [mask] 其中， global_ip：指的是要控制的地址； port：指的是所作用的端口， 0代表所有端口； protocol：指的是連接協(xié)議，比如： TCP、 UDP 等； foreign_ip：表示可訪問(wèn)的 global_ip 外部 IP 地址； mask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。 7. 配置保存： wr mem 8. 退 出當(dāng)前模式 30 此命令為 exit，可以任何用戶模式下執(zhí)行，執(zhí)行的方法也相當(dāng)簡(jiǎn)單，只輸入命令本身即可。它與 Quit 命令一樣。下面三條語(yǔ)句表示了用戶從配置模式退到特權(quán)模式，再退到普通模式下的操作步驟。 pixfirewall(config) exit pixfirewall exit pixfirewall 9. 查看當(dāng)前用戶模式下的所有可用命令： show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。 10. 查看端口狀態(tài)： show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射 :show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。 25 總 結(jié) 沒(méi)有安全保證的校園網(wǎng)絡(luò)就像沒(méi)有剎車的車子跑在高速公路上?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)校園網(wǎng)絡(luò)中師生的工作和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無(wú)處不在。但在享受高科技帶來(lái)的便捷同時(shí)，我們需要清醒的認(rèn)識(shí)到，網(wǎng)絡(luò)安全問(wèn)題的日益嚴(yán)重也越來(lái)越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，校 園網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問(wèn)題，校園網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展 . 本文分析了校園網(wǎng)絡(luò)面臨的主要危害，并針對(duì)危害提出了相應(yīng)的安全解決措施。文中分析認(rèn)為，校園網(wǎng)絡(luò)安全重點(diǎn)在防病毒和防攻擊。為此．文中針對(duì)病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性，提出了校園網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施，基本能夠解決校園網(wǎng)絡(luò)面臨威脅風(fēng)險(xiǎn)，從而建構(gòu)一個(gè)安全、高效的網(wǎng)絡(luò)。 26 【參考文獻(xiàn)】 [1]徐亞鳳 . 解析校園網(wǎng)絡(luò)的安全及管理 . 牡丹江大學(xué)學(xué)報(bào) . 2021， 17(8)： 118— 125 [2]鄭春 . 軟硬件結(jié)合的校園網(wǎng)安全策略 . 軟件導(dǎo)刊 . 2021， 7(8)： 181— 183． [3]江鐵 . 高校校園網(wǎng)安全策略設(shè)計(jì) . 科技信息 . 2021， 20： 422— 423． [4]孫力 . 淺談校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用 [J] 甘肅科技， 2021（ 09） 27 致 謝 在畢業(yè)論文即將完成之際，我要深深地感謝我的指導(dǎo)老師 侯傳宇。他對(duì)我給予了極大地關(guān)心和信任，使我不斷得到了理論和實(shí)踐上的精心指導(dǎo)，使我認(rèn)識(shí)我的不足之處和平時(shí)所忽略的缺點(diǎn)。侯老師以其嚴(yán) 謹(jǐn)?shù)闹螌W(xué)態(tài)度時(shí)時(shí)教育、激勵(lì)著我，使我有信心、有能力攻克一個(gè)個(gè)難點(diǎn)。侯老師的言傳身教是我終身受益。 衷心感謝我的父母。多年來(lái)是他們養(yǎng)育了我，是他們?cè)谖镔|(zhì)和精神上給予我莫大支持和鼓勵(lì)。他們是我努力求學(xué)的堅(jiān)強(qiáng)后