论校园网建设安全设计.docVIP

论校园网建设安全设计 　　[摘 要]现在高校校园网络系统随着招生规模的增加,网络系统变得越来越大,结构也越来越复杂,许多高校校园网建设初期对网络安全重视度不够,网络安全布防不规范,给安全体系带来了极大的挑战。本文通过首先分析了校园网普遍存在的安全问题,然后结合大学校园网络的安全需求,论述了建立大学校园网络安全系统的解决措施。 　　[关键词]计算机网络 防火墙 网络安全 网络设计 　　[中图分类号]G72[文献标识码]A[文章编号]1007-9416(2009)12-0009-02 　　 　　1引言 　　 　　本文通过对一些高校校园网络的调查,分析网络运行状况,发现高校校园网络主要存在这样一些现象:网络不稳定,时常断网,不能正常访问internet;由于外网线路,外部路由器等引起外部用户不能正常访问学校网站;由于带宽不够造成网络反应速度缓慢;常受外部攻击,内网数据受非授权访问,资源滥用,病毒感染等等情况常有发生。上述问题己严重影响到校园网的正常应用。文本针对这些问题,设计了建立网络安全系统的解决措施,包括外网的安全访问;网络结构的安全设计:主干安全设计、子网安全隔离;网络服务的安全管理:防火墙控制、病毒防治、登录控制、使用硬盘保护卡及其它安全措施等。 　　 　　2 外网的安全访问 　　 　　利用校园网站对外进行宣传是展现现代高校形象的重要方式,校园网必然地要与公众网络相连接,由于现在网络攻击手段日益增多,如何确保高校的信息资源、校内数据资料的安全保密是一个重要的问题。要保证外网在任何时候都能访问到学校的Web站点,又需要禁止所有来自外网用户对学校内部的重要数据的访问,应该对校园网采用了屏蔽子网模式设计,专门为学校对外提供的Web服务器,FTP服务器和Mail服务器等提供一个DMZ区域,并对Web,FTP,Mail,DNS等服务器采用双机热备策略实现服务器的冗余以提高安全性和可靠性。同时,为了避免外部路由器、防火墙的单点失效及外网线路,ISP等引起的故障,可以采用链路备份技术:可申请两条外网通信链路,一条为100M甚至1000M带宽的光纤链路,另申请一条低价的2M ADSL作为备份,一旦主链路出了问题,可自动切换到备份链路上,当主链路故障未恢复前,可以保证学校主要部门访问外???网络不致中断,从而保证了外网接入和访问的安全性和可靠性。 　　 　　3 网络结构的安全设计 　　 　　要解决一个网络的安全问题,绝不能只是将各种网络安全设备作简单的布署和堆切,也不是简单的安装杀毒软件等就可以解决,必须有安全的网络结构设计作为前提:主干安全设计和子网安全隔离设计。 　　3.1 主干安全设计 　　校园内网主干安全性和可靠性的高低,是评判一个校园网是否安全的重要标准。对于校园内部网络骨干,为了提高网络的稳定性和高速反应的性能,应该采用双核心技术,比如可采用两台Cisco Catalyst6509核心交换机,并以网关负载均衡协议GLBP技术进行冗余设计,既保证了交换带宽,又保证了链路的冗余。从核心层到各分布层交换机,可以采用以千兆光纤作为干路,使用3对光纤冗余的方式,从网络管理中心的核心交换机的千兆端口分别连接至校园内各办公大楼、教学大楼、实验大楼等分布层交换机,采用3对光纤冗余的设计方式可以解决链路损坏时线路检修导致长时间内网络不通的情况。 　　3.2 子网安全隔离 　　通常一个大学内的应用点众多,地址位置十分分散,并且对网络安全性也有不同的要求,所以需要划分子网以便管理。划分子网的原则有两个:一是从安全性角度,二是从地理位置,主机数量的角度。首从安全性上考虑:在学校职能部门中,对安全性要求较高的主要有校长办公室,党支部办公室,人事处,财务处等,每个部分需要划分一个子网,以利于与其它网段隔离,提高安全性,而如校工会,校团委等对安全性要求一般的部门,可以划分在一个子网内;然后结合地理位置、使用对象、主机数量等综合考虑划分子网,然后对各子网间互访进行策略设计,比如采用分布式防火墙,以及访问控制列表ACL,以及端口、IP、MAC相绑定以杜绝非法盗用及非法访问。 　　 　　4 网络服务的安全保障 　　 　　校园网应用系统的多样性,复杂性,开放性,终端分布的不均匀性,极易遭受黑客,恶性软件,非法授权的入侵与攻击,以及存在有越权访问服务器数据或网络设备等问题,即使使用了再好的高性能的网络设备,如果没有对网络进行安全设计以及良好的管理,那么也可能在很短的时间内,轻则变得极其缓慢,重则数据丢失,网络崩溃。在设计校园网时,可以采用以下方式来提升网络的安全性: 　　4.1 防火墙控制 　　防火墙是在内网与外网之间构筑的一道安全屏障,用于保护内网中的信息不受来自外网的非法侵犯。根据本文前面所述,校园网内外网连接采用