高校校园网络安全系统设计方案.docx

《高校校园网络安全系统设计方案.docx》由会员分享，可在线阅读，更多相关《高校校园网络安全系统设计方案.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、高校校园网络安全系统设计方案 摘要：针对某高校校园网的智慧校园信息系统的具体需求进行了全面的分析、论证、构思，开发出了一整套结合实践、包括多种防御手段的三位一体化网络安全防御模型，构建了某高校的智慧校园信息系统结构，包括VLAN的划分，VLAN间路由、防火墙的访问控制列表和地址的转换、校园网客户端认证系统的建设及防护功能的设置（验证、授权、计费）。依据某高校校园网建设的实际情况进行了信息安全、信息防护技术分析,然后具体给出了网络安全策略在校园网应用的解决方案。经过一段时间的运行测试表明，目前该方案合理可行，能够基本满足某高校校园网的正常平稳运行需求。 关键词：网络信息安全；防火墙技术；网络病毒

2、；校园网 随着学校的发展进入快车道，由于学生人数规模急剧增加和学校办学层次显著提升，十多年之前设计的校园网无论从网络带宽、网络防护要求均无法满足现有的网络需求。为了解决校园网络的信息安全防护问题，我们应根据智慧校园网络安全防护的实际需求，在现有的网络设备基础上对该高校的校园网络安全防护进行了规划和设计。该高校三大网络活动区互联工程利用VPN技术连接，基于开放的互联网平台，完成三大网络活动区的网络安全互联，构建极速、高效、稳定的互联网络区，所以某高校数字化信息校园网的建设亟待启动。 1校园网安全系统需求分析 1.1该校园网基本概况。该高校校园主要包括南区宿舍楼网络区域、东区宿舍楼网络区域、西区行

3、政办公网络区域三个区域。三个网络区域彼此之间空间跨越大，实现网络互通的难度也是可想而知的1。经过近二十年的不懈努力，该高校三大网络区域的网络互通基本实现。校园网设计的初衷就是为了实现以数据监控为核心网络管理体系，全网网络监控管理的核心部门网络数据中心行使这一权利。1.2校园网安全设计的目标。该高校校园网络安全设计目标的基础是建立主干路由器、核心交换机和其他计算机网络信息系统设备上的。网络系统的开放式设计意味着更好的资源整合及高品质应用的能力2。1.3校园网的安全需求。该高校校园网络结构骨干结构部分是带宽为200M的中国电信网，覆盖整个校区。接入层交换机根据组网内的计算机信息点和网络应用的级别，

4、与核心层交换机实现网络连接，校园网的主干网中采取的是子网过滤结构的双路由器的布局。 2校园网络安全系统设计策略 按照该高校校园网的网络设计方案及网络安全管理的设计，该高校校园网安全设计应当分为如下几个方面:“网络管理隔离技术、网络管理实时监控技术、网络管理应对手段、网络系统漏洞监控手段、热点客户端认证技术等。”2.1网络安全系统总体规划设计。对校园网络的设计者来说，校园网整体安全管理规划是一个长期工程，校园网建设的目的就是给校园网用户提供资源共享及获取信息的通道。如何根据校园网具体需求来规划设计整体的网络安全系统，合理选择网络技术和产品，完成校园网网络安全系统设计应到达的目标。2.2该高校网络

5、拓扑结构。图校园网信息平台的建设是由不同功能的网络设备搭建而成的，整个框架是由核心路由器、核心交换机、服务器、防火墙等元素组成。“根据用户属性的不同，一类用户通过防火墙NAT转换技术选择中国电信网接入到互联网，各大兄弟院校之间通过教育网资源的方式互相联接。目前，该高校的拓扑结构呈星形，如图1所示。由于该高校校园占地面积大，校园网络架设难度较大。作为一个合格的网络设计者首先要因地制宜的规划和有计划的设计。为了方便后期校园网络的管理工作，我们首先内部核心网络与外部互联网之间配置了一台高性能锐捷系列路由器，通过一台模块化的三层交换机把整个校园网分块为六大管理模块:应用服务器群资源区、图书馆/科技中心

6、资源区、学生宿舍区资源区、公寓区/运动区资源区、行政管理网络资源区、外事活动中心网络资源区3。2.3防火墙的部署。在中国电信网、网通网、教育网等外部网络与校园网内网之间的核心层布置一台锐捷WALL1010及一台锐捷WALL2000防火墙，实现内网和外网的断绝。内网口毗连校园网内网交换机，外网口经由过程路由器与外部收集（电信网、教育网等）。在应用服务器群资源区与校外网络之间安装一台锐捷防火墙来隔绝外部网络非授权者与校内网络资源区的联系，用来保护校园网络安全4。2.4入侵检测系统。根据该高校校园网设计的具体框架及未来网络发展轨迹，在主动防御技术层面我们选择采用了混合型入侵检测来保护整个校园网的网络

7、安全。混合型入侵检测针对不同的保护对象设定主动防御措施，分别保护全网网络核心设备及接入所在网络资源服务区的主机5。在认证方面，我们采用的智能认证客户端能将网络用户的IP地址、实际网卡地址、用户登陆密码都绑定在一起，大大提高了网络使用的安全性。2.5校园网络防病毒部署。随着计算机网络技术的发展，网络病毒的爆炸传播如同洪水猛兽一般席卷网络平台，也是威胁校园网络安全的最大威胁之一。我们在计算机病毒频发的网络区域采取对应的防病毒手段，对计算机病毒频发的区域进行重点监控扫描，配置360杀毒软件，分区域对责任区进行防病毒综合管理。同时，使校园网络防病毒体系具有远程监控、集中查杀、手段丰富、在线升级等多种功

8、能。要完成“速度快、效果好”的综合防病毒部署措施，应该采取以下操作步骤：在学校网络资源核心区系统中心配置360企业版杀毒软件。该款安全防护产品拥有强大的管控能力，能为校园网络安全提供多种管理模式及安全策略。在各二级学院、基础课部、下属单位等衍生二级管理用户上分别安装360杀毒软件网络版客户端，在系统运行或关闭时候设置二种模式进行杀毒检测。网络技术中心对计算机病毒重灾区（如公用计算机机房、实验室等）的计算机终端机安装冰点一键还原系统来降低计算机病毒传播的风险并且在上述区域封闭U盘等传输媒介的传输接口。2.6建立安全管理制度。在高等学校校园网络管理中，安全责任应该时时刻刻警钟长鸣。为保障校园网络安

9、全，必须制定出一系列的校园网络安全管理制度。在庞大的高校数字校园综合系统中（如教学成绩管理系统、OA无纸化办公系统等），因为上述管理系统在高校的重要作用，“如何保障这些管理系统能安全、高校、平稳的运行，是十分考验校园网络安全系统设计者的智慧的。”保障校园网数据传输的安全性是整个校园网在最开始设计及具体实施的过程不可忽视的因素。在数据传输的过程中，传输数据的丢失及信息数据的被恶意修改常常能给整个网络系统的安全带来灾难性的损失。 3该高校校园网络系统设计的对比分析 3.1VPN技术与云数据的对比分析。在该高校校园网络综合设计中，采用了多种网络安全技术手段，诸如VNP远程接入技术、防火墙技术、IDS

10、主动防御技术、网络安全环境综合治理等等。上述技术在一定程度上能保证该高校校园网络安全防护的基本要求，但是在信息技术高速发展的现今科技时代，该高校校园网络安全形式的越来越来严峻。我们对该高校现在的网络设备资源及网络安全防护手段进行综合分析后，可以发现这些技术以及网络设备与主流技术、功能上的作用都相去甚远。笔者认为，该高校现有的VNP远程接入技术、防火墙产品选择上与现有前沿网络技术在先进性上还存在一定的差距。为了更好的完善该高校整体校园网络安全系统的设计，我们着重对VNP技术、防火墙产品的采购上进行对比分析6。目前该高校不同网络区域间的网络互联采用的相对来说较为传统的VPN技术，对比武汉市其他同类

11、兄弟高校实现网络互通工程采用的大数据、云数据校园网等技术来说的话，确实在先进性、功能性、安全性上已经与时代脱轨了。针对VPN远程接入接入技术在实际应用中的不足之处，笔者有幸跟随学校网络技术中心工作人员一行对武汉两所兄弟院校对建设信息通信夏可为：高校校园网络安全系统的设计方案及论述智慧校园经验进行了观摩学习，笔者从中也收获甚多。以武汉某大学的智慧教室建设为例，如下图3某大学智慧教室网络拓扑图。某大学的智慧校园的建设时期对智慧教室的每个要素之间的连接考虑的都很全面，也为我们在未来该高校智慧校园建设时提供了弥足珍贵的经验。如下图4某大学智慧教室要素设计图所示。总而言之，VPN技术与云数据在功能性上、

12、安全性、效率性上已经全面落后。某高校因为其办学的特殊性，建设成本的投入是设计者不得不考虑的因素，但是建设该高校云数据智慧校园已是大势所趋。3.2现有防火墙与主流防火墙的对比分析。目前该高校在防火墙设置方面采取在中国电信网、网通网、教育网等外部网络与校园网内网之间的核心层布置一台锐捷WALL1010及一台锐捷WALL2000防火墙的技术手段用以实现内网和外网的断绝。随着时间的跨越，之前布置的防火墙技术在数据包监控、上网流量管控方面的功能已经落后于目前防火墙主流技术。迄今为止，主流防火墙技术都是采用双端数据监控模式技术。我们对现有的防火墙设备和主流防火墙设备做了一个对比分析，如表1防火墙之间的参数

13、对比。在之前的该高校校园网络安全防护技术规划设计时，我们布置的锐捷系列防火墙在应对校内外网络不稳定因素的冲击时显得力不从心。如果在不考虑建设成本因素，思科ASA5500防火墙完全能满足该高校目前的校园网络安全防护需求，在未来的网络设备升级扩容时，我们将会对锐捷系列防火墙进行换代，力争做到保障该高校校园网络安全的万无一失。 4结语 现今在高等学校校园网络智慧化建设过程通过实践及认证出来的信息安全系列问题已经是刻不容缓了，需请广大高校网络资源管理者的高度重视20。在构建高校信息资源系统体系的时候，特别是为这类大型网络搭建安全防护技术的同时，一定要从校园网的实际需求出发，多种防护手段相结合运用。在网络传输层的最底层仅仅布置一台防火墙显然不是明智之举，还要辅助以入侵检测系统、数据加密等技术来合力完成高校类大型网络安全信息的建设。 第9页 共9页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页第 9 页 共 9 页