校园网改造升级中出口的建设和安全策略研究与实践.pdfVIP

sYs sEcuR．TY 系统安全 j73 校园网改造升级中出口的建设和 安全策略研究与实践 郭惠丽 李倩倩 张 蕾 (广东纺织职业技术学院 佛山 528041) 摘要 ：本文主要针对我院新旧校区校 园网升级改造 中的建设及安全做 了探讨，重点对新旧 校 区出口的建设方案、设备选择、安全部署做 了阐述，提出了旧校 区改造升级 中出口应该建设 的5个方面，新校区的出口建设，并对整个校区出口做 了两方面的安全部署选择。 关键词：校园网；改造升级 ；出口；网络引擎；安全策略 1．2NAT性能挑战 1现状分析 校园网网内用户访 问外网需要进行NAT(网络地址 高校校园网的建设主要历经三个层面，1、网络链 转换 )。由于运营商分配的地址有限，我院出口设备需 路搭建：从干兆网络组建将过渡到万兆，构建畅通的网 要进行海量的NAT，因此，出口设备的NAT性能成为了 络链路；2、在网路上实施各种应用，是校园教学与管 决定校园上网速度的重要因素。 理步入信息化、数字化航程i3、加强网络链路安全、 1．3安全防御挑战 稳定、高效运行，集成、兼容各类异构应用靠近同一平 近几年来 ，随着网络带宽迅速增长，网络威胁也 台，方便访问。目前，我院正在部署实施第三阶段，网 随之大幅增加，如攻击、扫描、入侵、DDOS攻击、蠕 络整体的构建从过去的传统3层次 (核心层、汇聚层、 虫病毒攻击、恶意软件、垃圾邮件等。出口设备需要防 接入层 )步入5层次建设阶段 ：核心层 (万兆核心、 范校外网络威胁的攻击或入侵。校园网络带宽越大，网 IPV4平滑过渡到IPV6)、汇聚层、接入层、出口层、数 络威胁可能造成的危害也就越大，出口设备的安全防御 据层：其中出口层大都以防火墙加路由器的方式构建； 面临着空前挑战。 数据层包含校园全部应用服务器及存储。众所周知，高 1．4流量控制挑战 校 目前接入的网络至少有2个：internet与cernet，有的 目前，校园内P2P应用 (BT、电骡、迅雷、网络电 高校为保证各校区方便使用校园网还同时接入3个，外 视等 )已经普及。这些应用 占用了大量的网络资源，结 加一个两校区互联 ，为了鼓励社会资金引入校园，学生 果造成正常应用得不到保障。 宿舍会考虑单独由ISP负责建设，但与校园网要互联。 1．5内容审计挑战 出口层的负担很重。因此，我院校园网络在升级改造中 出口设备要为海量的NA丁f故记录、写 日志，以满足 针对出口的建设及安全策略面I临以下挑战。 政府对相关内容的审计要求。开启 日志功能会严重影响 1．1多出口支持挑战 性能，并使本来就难以承担海量NATI作的路由器的性 我校 目前是以100M电信及10M教育网作为出口线 能进一步降低。 路，带宽不够高，这就给教育网访问公网，运营商网访 1．65可靠挑战 问教育网带来瓶颈，同时新校区还有第三个网络出口， 校园网出口区域处于特殊位置，因此，校园网出 为此，需要采用多出口支持来提高访问速度。 口的不可用会导致整个校园网成为信息孤岛，如何保证 74 lsYssEcuRT。Y系统安全 出口设备的高可靠?如何保证出口网络线路的可靠，7是 为此，对于旧校区出口平台，针对上面的分析， 校园网管理者必须面对的问题。