校园网系统安全方案

PAGEPAGE1课程设计成绩评价表指导老师评阅成绩表课程设计成绩评价表学习与工作态度（30%）选题的价值与意义（10%）文献综述（10%）研究水平与设计能力（20%）课程设计说明说（论文）撰写质量（20%）学术水平与创新（10%）总分指导老师签名：年月日课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况答辩评分评分项目分值评价参考标准评分总分优良中及格差选题的价值与意义1098764文献综述1098764研究水平与设计能力201917151310课程设计说明书（论文）撰写质量201917151310学术水平与创新1098764答辩效果302825221915是否同意论文（设计）通过答辩□同意□不同意答辩小组成员签名答辩小组组长签名：年月日课程设计成绩评定表成绩汇总评分项目评分比例分数课程设计总分指导老师评分50%答辩小组评分50%封面 封面成都信息工程学院课程设计题目：校园网的安全整体解决方案设计作者姓名：班级：学号：日期：2010年12月18日作者签名：第10页共12页 校园网的安全整体解决方案设计摘要随着计算机网络技术的飞速发展，网络技术越来越受到人们的重视，它已逐渐渗入我们生活各个层面，当然学校这个小集体也被包括在内。目前许多学校都已经建立了校园网，并通过各种方式与国际互联网相连，校园网已经成为学校教学、科研和管理的重要渠道，并已经改变了人们的生活和学习方式，成为人们进行信息交流的基本工具。而且，校园网作为高校信息化建设的基础设施，在各学校也得到了极大的发展。随着校园网规模急剧扩大、网络用户数量快速增多、校园网的开放程度日益增加，校园网的安全问题也就显得愈发突出了。可以说，校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题，如何保证校园网的安全运行，已成为当前许多高校信息化建设的当务之急。本方案就是为了解决校园网由于安全建设严重滞后，使得其在建设初期就埋下了安全隐患，投入运行后，又疏于安全管理而引起的安全问题。希望通过此方案能够使校园网能够成为高速、稳定、安全可靠的网络。关键字：计算机网络；校园网；安全；解决方目录TOC\o"1-3"\h\u1.引言 11.1国内高校校园网发展历史 11.2国内高校校园网现状 12.高校校园网需求分析 22.1网络高性能高稳定可靠的需求 22.2网络安全的需求 22.2.1高校面临的严重网络形势 22.2.1网络安全一定是全方位的安全 32.3方便运营的管理的需求 33.高校校园网问题解决方案 43.1骨干网络高性能高稳定可靠 43.2有效的安全措施 53.2.1访问控制 53.2.2防火墙与IDS联合使用 53.2.3漏洞扫描系统 63.2.4安装补丁程序和杀毒软件 63.2.5使用虚拟局域网(VLAN)技术 73.2.6关闭不需要的端口 73.2.7系统日志功能 73.2.8智能高效的数据设计 7结论 9参考文献 101.引言1.1国内高校校园网发展历史高校校园网一直是国内Internet发展的领头羊。1994年7月，中国教育和科研计算机网CERNET示范工程启动。也就是同一年，清华北大等顶尖大学建成了自己的校园网，事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的16年间，无论是高校校园网的网络技术，还是高校校园网的关注要点，大致可以分为三个阶段。

第一阶段是基础设施建设时期，时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用：以太网技术，FDDI，ATM网络技术。在这个阶段，由于校园网应用的技术比较繁杂，而且业务相对单一，因此，这一阶段，主要关注网络的连通性和兼容性，即如何保证校园网的连通，和各种不同网络技术的兼容和融合。

第二阶段是应用平台建设时期，时间大约是从2000年到2005年。这期间，随着网络技术的发展，各种应用也开始出现并发展迅速，包括BBS、WWW、FTP、E-mail，以及近两年流行的BT下载、视音频业务等等，这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV，更是被成为带宽的杀手级应用。与此同时，网络技术--特别是以太网技术迅猛发展，1000M以太网已经步入校园，万兆标准也已经公布。结合实际应用和网络技术来看，这个阶段主要关注：带宽和应用。

第三个阶段是信息资源建设时期。时间从2005年至今，乃至今后几年时间内。近两年，万兆以太网已经开始在高校校园网中规模化应用，下一代以太网标准也已经确立为10万兆标准。同时，随着cernet2的启动，IPV6技术也已经在校园网中实验并逐步应用。1.2国内高校校园网现状校园网作为高校信息化建设的基础设施，在各高校也得到了极大的发展。随着校园网规模急剧扩大、网络用户数量快速增多、校园网的开放程度日益增加，校园网的安全问题也就显得愈发突出了，纵观这两年整个网络世界，安全事件频发：冲击波、震荡波、ARP攻击等等。所以，安全可信成为了高校校园网当前关注的要点。

2.高校校园网需求分析2.1网络高性能高稳定可靠的需求首先是网络的高性能。高校校园网中用户数在不断增加，并且随着网络应用技术的不断丰富，高校校园网应用也愈发复杂，例如FTP、VOD点播等大数据量的访问，尤其目前流行的P2P的应用产生了巨大的网络流量，如何高速进行网络传输，对网络设备的性能提出了很高的要求。实际情况中，依然有很多高校使用的设备是集中式表查询和集中式转发模式的。由于这些设备性能不足，常常导致网速很慢。其次是网络的稳定可靠。未来的社会是电子信息的社会，当前随着校内师生员工的工作、科研、学习、生活、娱乐越来越离不开网络，网络的稳定可靠性就显得越来越重要。但是在应用丰富的同时，网络环境也变得异常恶劣。近两年，安全攻击事件呈指数级上升而网络攻击所需要的知识却越来越弱化，各种网络攻击工具在网络上可以随时下载。这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。目前，在高校使用的设备中还存在大量早期采购的设备，这些设备在启用了安全规则情况下性能急剧下降--在受到网络攻击或病毒泛滥的时候，CPU利用率居高不下，设备性能稳定性降低，很可能造成死机。2.2网络安全的需求2.2.1高校面临的严重网络形势(1)来自硬件系统的安全威胁硬件的安全问题也可以分为两种，一种是物理安全，一种是设置安全。物理安全是指由于物理设备的放置不合适或者防范不得力，使得服务器、交换机、路由器等网络设备，光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受意外事故或人为破坏，造成校园网不能正常运行。设置安全是指在设备上进行必要的安全设置(如服务器、交换机的密码等)，防止黑客取得硬件设备的远程控制权。(2)来自校园网内部的威胁由于内部用户对网络的结构和应用模式都比较了解，特别是在校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有数据显示，目前校园网所遭受的攻击有90%是来自校园网络内部。(3)来自Internet的威胁Internet网上网站众多，然而各个网站的制作水平各不相同导致安全级别也不一样。一些防御薄弱的网站经常被黑客所利用导致访问的用户所在网络被攻击。(4)系统或软件的漏洞目前使用的操作系统和应用软件都存在安全漏洞，对网络安全构成了威胁。而且现在许多从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,这些软件的使用也可能被攻击者侵入和利用。(5)管理方面的问题随着计算机信息系统的不断发展，用户的核心业务越来越依赖于信息系统的可靠运行，信息系统中的关键业务数据已经成为用户最为重要的资产。因此，对关键的业务数据进行备份保护刻不容缓。但是当前绝大多数国内高校，对于关键数据，比如财务资料、学籍/档案、学术论文等资料都还没有进行有效的备份或容灾。一旦数据毁坏/丢失，后果不堪设想。2.2.1网络安全一定是全方位的安全首先，网络出口、数据中心、服务器等重点区域要做到安全过滤；其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从准入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全构架。

2.3方便运营的管理的需求首先，校园网需要进行合理的运营。第一、校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支；第二、根据各校的情况，进行合理的运营收费，依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。当然，学校不是运营商，运营的模式和业务流程并不清晰。而学校收费和学生缴费又是一对天然的矛盾，当前不少学校采用的运营模式与学校实际的情况差距太大，无法有效杜绝学生逃避收费等问题一直困扰着学校的网管人员。

(2)其次，有效的管理可以从用户管理和设备管理两方面来看。

对于用户管理，最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。事前的认证和定位是指可严格实现用户身份识别，根据用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口号、用户所在VLAN的灵活组合，来识别用户身份。将网络中的虚拟用户和生活中的真实用户相对应；事中的实时处理是指对于正在使用网络的用户，如果出现私自拨号上网、使用代理、更改IP地址等，认证计费系统会强制用户下线。对于感染病毒，出现安全事件的用户，结合全局安全通过安全联动来进行隔离、阻断和修复，以保证校园网的安全。事后的日志审计是指记录用户上网的详细信息（包括用户名、IP、MAC等）及完整的用户访问外网的记录（包括源IP、目的IP、源端口、目的端口、访问时间），一旦出现安全事件，可以进行快速完整的审计，迅速定位到个人。

对于设备管理，需要的是统一有效的网络管理系统。能够直观全面地监控整个网络和各种设备的运行状态，记录和深入分析网络流量，及时报告各种故障和性能问题，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前进行预测。

高校用户数和网络节点数众多，因此难以一体化管理众多的设备和用户，出现网络故障无法快速定位、IP地址盗用、IP地址冲突等问题日益严重，如何利用有限的人力物力对网络进行高效管理也成为学校考虑的着重点。3.高校校园网问题解决方案3.1骨干网络高性能高稳定可靠骨干网最重要的就是稳定可靠性。影响骨干网稳定可靠的因素有很多，但是最主要的有三个方面：设备本身、网络架构、安全保障。只有这三个方面都没问题了，才会形成稳固健壮的骨干网络。

网络核心作为全网的心脏，向学校的教学办公、学生宿舍以及各种应用系统（在线点播、电子邮件、WEB服务等）源源不断的提供安全稳定的信息血液，保证整个学校相关业务的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。整网采用万兆多核心、万兆/千兆骨干、千兆/百兆到桌面的设计理念。高吞吐量，线速转发的核心路由器和三层交换机，所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证了网络的高效运转。骨干设备双核心双链路，或者核心成环之后，相互之间互为容错备份，并在核心交换机中采用关键模块冗余设计（双电源冗余等）。核心和汇聚之间采用双链路连接，一旦数据传输的活动链路失效以后可以自动切换到另一条链路，保障数据的正常转发。这样，从全网架构上，核心层双链路交换系统不存在单点故障，是一种高级别交换完全冗余的容错方案，这样即使其中一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的极短的时间内启用备份恢复数据传递，从而保证网络系统的高可靠性、稳定性的运行。3.2有效的安全措施3.2.1访问控制访问控制的主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名和口令的识别与验证、用户帐号的缺省限制检查等。当用户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。用户在其合法的访问授权之外无其他的访问特权，有效防止了网络因超权限访问而造成的损失。目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么所有的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。3.2.2防火墙与IDS联合使用防火墙是构建整个网络安全体系的核心，它位于内部网和外部网之间，成为内外网之间一道牢固的安全屏障，其中WWW、MAIL、FTP、DNS等对外服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过防火墙与Internet连接。通过Internet进来的公众用户只能访问到对外公开的一些服务，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。对于校园网而言，不但要防御外部的攻击还要考虑内部的攻击。但是，防火墙毕竟只是被动防御，因此，必须加强与IDS（入侵检测系统）的联动。IDS所采用的不是被动防御的策略，而是主动监视、检测和识别正在进行的或已经成功的入侵行为，并及时报告给网络管理者。由于IDS系统除了报告外，本身不能对入侵采取任何的防御措施。所以网络中心通过IDS和防火墙的联动来实现入侵防御，当IDS发现攻击企图后，它会通知防火墙将攻击来源的IP地址或端口禁掉。这种联动方式集合了IDS和防火墙的优点，从而能主动地阻挡入侵，降低非法入侵造成的损失。3.2.3漏洞扫描系统解决网络中安全问题，首先要清楚网络中存在哪些安全隐患、漏洞。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不够的。解决的方案是，寻找一种能查找网络安全漏洞、评估风险并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。而且也可以采用目前先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。3.2.4安装补丁程序和杀毒软件任何操作系统都有漏洞，大部分校园网服务器使用的操作系统都有漏洞，蓄意攻击它们的人也特别多，作为网络系统管理员就有责任及时对系统进行升级。在校园网防病毒方案中，系统管理员最终要达到的一个目标就是，要在整个网络中杜绝病毒的感染和传播。为了实现这个目标，系统管理员应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络病毒成为威胁网络安全的重要因素，如何防止网络病毒也就成为校园网安全必须考虑的重要问题，因此必须在校园网上安装网络版的杀毒软件才能满足要求。3.2.5使用虚拟局域网(VLAN)技术VLAN(VirtualLocalAreaNetwork)即虚拟局域网，是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术。VLAN技术的核心是网络分段，根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。采用交换式局域网技术的校园网络，可以用VLAN技术来加强内部网络管理。3.2.6关闭不需要的端口服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于完全不用的服务，可以完全关闭；对于要使用的服务，应开通其服务。另外，还要关掉没有必要开的TCP端口。3.2.7系统日志功能针对各种网络攻击和安全威胁进行日志记录，采用统一的格式，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息，方案中所能提供的日志包括：