校园网网络安全设计方案.pdf

校园网网络安全方案设计校园网网校园网网络络安全安全设计设计方案方案以以 InternetInternet 为为代表的信息化浪潮席卷全球代表的信息化浪潮席卷全球,信息信息网网络络技技术术的的应应用日用日益普及和深入益普及和深入,伴随着网伴随着网络络技技术术的高速的高速发发展展,各种各各种各样样的安全的安全问题问题也相也相继继出出现现,校园网被“黑”或被病毒破坏的事件屡有校园网被“黑”或被病毒破坏的事件屡有 发发生生,造成了极坏的社会影响和巨造成了极坏的社会影响和巨大的大的经济损经济损失。失。维护维护校园网网校园网网络络安全需要从网安全需要从网络络的搭建及网的搭建及网络络安全安全设计设计方面方面着手。着手。一、一、基本网基本网络络的搭建。的搭建。由于校园网网由于校园网网络络特性特性(数据流量大数据流量大,稳稳定性定性强强,经济经济性和性和扩扩充性充性)和各和各个部个部门门的要求的要求(制作部制作部门门和和办办公部公部门间门间的的访问访问控制控制),),我我们们采用下列方案采用下列方案:1.1.网网络络拓扑拓扑结结构构选择选择:网网络络采用星型拓扑采用星型拓扑结结构构(如如图图 1)1)。它是目前。它是目前使用最多使用最多,最最为为普遍的普遍的局域网局域网拓扑拓扑结结构。构。节节点具有高度的独立性点具有高度的独立性,并且适合在并且适合在中央位置放置网中央位置放置网络诊络诊断断设备设备。2.2.组组网技网技术选择术选择:目前目前,常用的主干网的常用的主干网的 组组网技网技术术有快速以太网有快速以太网(100Mbps)(100Mbps)、FDDIFDDI、千兆以太网、千兆以太网(1000Mbps)(1000Mbps)和和 ATM(155Mbps/622Mbps)ATM(155Mbps/622Mbps)。快速。快速以太网是一种非常成熟的以太网是一种非常成熟的组组网技网技术术,它的造价很低它的造价很低,性能价格比很高性能价格比很高;FDDI;FDDI 也也是一种成熟的是一种成熟的组组网技网技术术,但技但技术术复复杂杂、造价高、造价高,难难以升以升级级;ATM;ATM 技技术术成熟成熟,是多是多媒体媒体应应用系用系统统的理想网的理想网络络平台平台,但它的网但它的网络带宽络带宽的的实际实际利用率很低利用率很低;目前千兆目前千兆以太网已成以太网已成 为为一种成熟的一种成熟的 组组网技网技 术术,造价低于造价低于ATMATM 网网,它的有效它的有效 带宽带宽 比比622Mbps622Mbps 的的 ATMATM 还还高。因此高。因此,个人推荐采用千兆以太网个人推荐采用千兆以太网为为骨干骨干,快速以太网交快速以太网交换换到桌面到桌面组组建建计计算机算机播控网播控网络络。二、网二、网络络安全安全设计设计。1.1.物理物理安全安全设计设计 为为保保证证校园网信息网校园网信息网络络系系统统的物理安全的物理安全,除在网除在网络络规规划和划和场场地、地、环环境等要求之外境等要求之外,还还要防止系要防止系统统信息在空信息在空间间的的扩扩散。散。计计算机系算机系统统通通过电过电磁磁辐辐射使信息被截射使信息被截获获而失密的案例已而失密的案例已经经很多很多,在理在理论论和技和技术术支持下的支持下的验证验证工作也工作也证实这证实这种截取距离在几百甚至可达千米的复原种截取距离在几百甚至可达千米的复原显显示技示技术给计术给计算机算机系系统统信息的保密工作信息的保密工作带带来了极大的危害。来了极大的危害。为为了防止系了防止系统统中的信息在空中的信息在空间间上的上的扩扩散散,通常是在物理上采取一定的防通常是在物理上采取一定的防护护措施措施,来减少或干来减少或干扰扩扰扩散出去的空散出去的空间间信信号。号。正常的防范措施主要在三个方面正常的防范措施主要在三个方面:对对主机房及重要信息存主机房及重要信息存储储、收收发发部部门进门进行屏蔽行屏蔽处处理理,即建即建设设一个具有高效屏蔽效能的屏蔽室一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要用它来安装运行主要设设备备,以防止磁鼓、磁以防止磁鼓、磁带带与高与高辐辐射射设备设备等的信号外泄。等的信号外泄。为为提高屏蔽室的效能提高屏蔽室的效能,在在屏蔽室与外界的各屏蔽室与外界的各 项联项联系、系、连连接中均要采取相接中均要采取相应应的隔离措施和的隔离措施和设计设计,如信号如信号1校园网网络安全方案设计线线、电话线电话线、空、空调调、消防消防控制控制线线,以及通以及通风风、波、波导导,门门的关起等。的关起等。对对本地网本地网、局域网局域网传输线传输线路路传导辐传导辐射的抑制射的抑制,由于由于电缆传输辐电缆传输辐射信息的不可避免性射信息的不可避免性,现现均均采用光采用光缆传输缆传输的方式的方式,大多数均在大多数均在 ModemModem 出来的出来的设备设备用光用光电转换电转换接口接口,用光用光缆缆接出屏蔽室外接出屏蔽室外进进行行传输传输。2.2.网网络络共享共享资资源和数据信息安全源和数据信息安全设计设计 针对这针对这个个问题问题,我我们们决定使用决定使用VLANVLAN 技技术术和和计计算机网算机网络络物理隔离来物理隔离来实现实现。VLAN(VirtualVLAN(Virtual LocalAreaLocalArea Network)Network)即虚即虚拟拟局域网局域网,是一种通是一种通过过将局域网内的将局域网内的设备逻辑设备逻辑地而不是物理地划分成一地而不是物理地划分成一个个网段从而个个网段从而实现实现虚虚拟拟工作工作组组的新的新兴兴技技术术。IEEEIEEE 于于 19991999 年年颁颁布了用以布了用以标标准化准化 VLANVLAN 实现实现方案的方案的 802.1Q802.1Q 协议标协议标准草案。准草案。VLANVLAN 技技术术允允许许网网络络管理者将一个物理的管理者将一个物理的 LANLAN 逻辑逻辑地划分成不同的广地划分成不同的广播域播域(或称虚或称虚拟拟LAN,LAN,即即VLAN),VLAN),每一个每一个VLANVLAN都包含一都包含一组组有着相同需求的有着相同需求的计计算机算机工作站工作站,与物理上形成的与物理上形成的 LANLAN 有着相同的属性。有着相同的属性。但由于它是但由于它是逻辑逻辑地而不是物理地划分地而不是物理地划分,所以同一个所以同一个 VLANVLAN 内的各个工内的各个工作站无作站无须须放置在同一个物理空放置在同一个物理空间间里里,即即这这些工作站不一定属于同一个物理些工作站不一定属于同一个物理 LANLAN网段。网段。一个一个 VLANVLAN 内部的广播和内部的广播和单单播流量都不会播流量都不会转发转发到其它到其它 VLANVLAN 中中,即使是两即使是两台台计计算机有着同算机有着同样样的网段的网段,但是它但是它们们却没有相同的却没有相同的 VLANVLAN 号号,它它们们各自的广播各自的广播流也不会相互流也不会相互转发转发,从而有助于控制流量、减少从而有助于控制流量、减少设备设备投投资资、简简化网化网络络管理、提管理、提高网高网络络的安全性。的安全性。VLANVLAN 是是为为解决以太网的广播解决以太网的广播问题问题和安全性而提出的和安全性而提出的,它在它在以太网以太网帧帧的基的基础础上增加了上增加了 VLANVLAN 头头,用用 VLANIDVLANID 把用把用户户划分划分为为更小的工作更小的工作组组,限限制不同工作制不同工作组间组间的用的用户户二二层层互互访访,每个工作每个工作组组就是一个虚就是一个虚拟拟局域网。局域网。虚虚拟拟局域局域网的好网的好处处是可以限制广播范是可以限制广播范围围,并能并能够够形成虚形成虚拟拟工作工作组组,动态动态管理网管理网络络。从目。从目前来看前来看,根据端口来划分根据端口来划分 VLANVLAN 的方式是最常用的一种方式。的方式是最常用的一种方式。许许多多 VLANVLAN 厂商都厂商都利用交利用交换换机的端口来划分机的端口来划分 VLANVLAN 成成员员,被被设设定的端口都在同一个广播域中。例定的端口都在同一个广播域中。例如如,一个交一个交换换机的机的 1,2,3,4,51,2,3,4,5 端口被定端口被定义为义为虚虚拟拟网网 AAA,AAA,同一交同一交换换机的机的 6,7,86,7,8端口端口组组成虚成虚拟拟网网 BBBBBB。这样这样做允做允许许各端口之各端口之间间的通的通讯讯,并允并允许许共享型网共享型网络络的升的升级级。但是但是,这这种划分模式将虚种划分模式将虚拟拟网网络络限制在了一台交限制在了一台交换换机上。机上。第二代端口第二代端口VLANVLAN 技技术术允允许许跨越多个交跨越多个交换换机的多个不同端口划分机的多个不同端口划分 VLAN,VLAN,不同交不同交换换机上的若机上的若干个端口可以干个端口可以组组成同一个虚成同一个虚拟拟网。网。以交以交换换机端口来划分网机端口来划分网络络成成员员,其配置其配置过过程程简单简单明了。明了。2校园网网络安全方案设计3.3.计计算机病毒算机病毒、黑客以及黑客以及电电子子邮邮件件应应用用风险风险防控防控设计设计 我我们们采用防病采用防病毒技毒技术术,防火防火墙墙技技术术和入侵和入侵检测检测技技术术来解决相关的来解决相关的问题问题。防火防火墙墙和入侵和入侵检测还检测还对对信息的安全性、信息的安全性、访问访问控制方面起到很大的作用。控制方面起到很大的作用。第一第一,防病毒技防病毒技术术。病毒伴随着。病毒伴随着计计算机系算机系统统一起一起发发展了十几年展了十几年,目前目前其形其形态态和入侵途径已和入侵途径已 经发经发生了巨大的生了巨大的 变变化化,几乎每天都有新的病毒出几乎每天都有新的病毒出 现现在在INTERNETINTERNET 上上,并且借助并且借助 INTERNETINTERNET 上的信息往来上的信息往来,尤其是尤其是 EMAILEMAIL 进进行行传传播播,传传播播速度极其快。速度极其快。计计算机黑客常用病毒算机黑客常用病毒夹带恶夹带恶意的程序意的程序进进行攻行攻击击。为为保保护护服服务务器和网器和网络络中的工作站免受到中的工作站免受到 计计算机病毒的侵害算机病毒的侵害,同同时为时为了建立一个集中有效地病毒控制机制了建立一个集中有效地病毒控制机制,天下天下论论文网需要文网需要应应用基于网用基于网络络的防病的防病毒技毒技术术。这这些技些技术术包括包括:基于网关的防病毒系基于网关的防病毒系统统、基于服基于服务务器的防病毒系器的防病毒系统统和和基于桌面的防病毒系基于桌面的防病毒系统统。例如例如,我我们们准准备备在主机上在主机上统统一安装网一安装网络络防病毒防病毒产产品套品套间间,并在并在计计算机信息网算机信息网络络中中设设置防病毒中央控制台置防病毒中央控制台,从控制台从控制台给给所有的网所有的网络络用用户进户进行防病毒行防病毒软软件的分件的分发发,从而达到从而达到统统一升一升级级和和统统一管理的目的。一管理的目的。安装了基于安装了基于网网络络的防病毒的防病毒软软件后件后,不但可以做到主机防范病毒不但可以做到主机防范病毒,同同时时通通过过主机主机传递传递的文件的文件也可以避免被病毒侵害也可以避免被病毒侵害,这样这样就可以建立集中有效地防病毒控制系就可以建立集中有效地防病毒控制系统统,从而保从而保证计证计算机网算机网络络信息安全。形成的整体拓扑信息安全。形成的整体拓扑图图。第二第二,防火防火墙墙技技术术。企企业业防火防火墙墙一般是一般是软软硬件一体的网硬件一体的网络络安全安全专专用用设设备备,专门专门用于用于 TCP/IPTCP/IP 体系的网体系的网络层络层提供提供鉴别鉴别,访问访问控制控制,安全安全审计审计,网网络络地址地址转换转换(NAT),IDS,VPN,(NAT),IDS,VPN,应应用代理等功能用代理等功能,保保护护内部内部局域网安全局域网安全接入接入 INTERNETINTERNET 或或者公共网者公共网络络,解决内部解决内部计计算机信息网算机信息网络络出入口的安全出入口的安全问题问题。校园网的一些信息不能公布于众校园网的一些信息不能公布于众,因此必因此必须对这须对这些信息些信息进进行行严严格的格的保保护护和保密和保密,所以要加所以要加强强外部人外部人员对员对校园网网校园网网络络的的访问访问管理管理,杜杜绝绝敏感信息的敏感信息的泄漏。通泄漏。通过过防火防火墙墙,严严格控制外来用格控制外来用户对户对校园网网校园网网络络的的访问访问,对对非法非法访问进访问进行行严严格拒格拒绝绝。防火。防火墙墙可以可以对对校园网信息网校园网信息网络络提供各种保提供各种保护护,包括包括:过滤过滤掉不安全掉不安全的服的服务务和非法和非法访问访问,控制控制对对特殊站点的特殊站点的访问访问,提供提供监视监视 INTERNETINTERNET 安全和安全和预预警警,系系统认证统认证,利用日志功能利用日志功能进进行行访问访问情况分析等。通情况分析等。通过过防火防火墙墙,基本可以保基本可以保证证到到达内部的达内部的访问访问都是安全的可以有效防止非法都是安全的可以有效防止非法访问访问,保保护护重要主机上的数据重要主机上的数据,提提高网高网络络完全性。校园网网完全性。校园网网络结络结构分构分为为各部各部门门局域网局域网(内部安全子网内部安全子网)和同和同时连时连接内部网接内部网络络并向外提供各种网并向外提供各种网络络服服务务的安全子网。防火的安全子网。防火墙墙的拓扑的拓扑结结构构图图。内部安全子网内部安全子网连连接整个内部使用的接整个内部使用的计计算机算机,包括各个包括各个 VLANVLAN 及内部服及内部服务务器器,该该网段网段对对外部分开外部分开,禁止外部非法入侵和攻禁止外部非法入侵和攻击击,并控制合法的并控制合法的对对外外访问访问,3校园网网络安全方案设计实现实现内部子网的安全。共享安全子网内部子网的安全。共享安全子网连连接接对对外提供的外提供的 WEB,EMAIL,FTPWEB,EMAIL,FTP 等服等服务务的的计计算机和服算机和服务务器器,通通过过映射达到端口映射达到端口级级安全。安全。外部用外部用户户只能只能访问访问安全安全规则规则允允许许的的对对外开放的服外开放的服务务器器,隐隐藏服藏服务务器的其它服器的其它服务务,减少系减少系统统漏洞。漏洞。4