基于校园网边界网络安全的研究与实现

基于校园网边界网络安全的研究与实现[1];;;[1];;;[1];;;[1];;;[1];;;[1];;;[1];;;[1];;;[1];;;内容摘要：随着信息科技的飞速发展，校园网的应用建设和规模也越来越大，而与此同时，飞速发展的互联网应用技术也给校园网的网络安全提出了越来越严峻的考验，互联网对校园网的攻击策略和手段也层出不穷，但归根结底，其流量和手段都需要从校园网与互联网的界限进行流入流出。所以怎样部署稳固校园网的界限网络安全设备，打造界限网络安全体系，进而为校园网提供一个安全可靠的上网环境是该文研究的重点。[1];;;[1];;;[1];;;[1];;;[1];;;本文关键词语：界限网络；校园网；安全[1];;;[1];;;[1];;;[1];;;[1];;;TP393.1A[1];;;[1];;;[1];;;[1];;;[1];;;1009-3044〔2020〕25-0075-02[1];;;[1];;;[1];;;[1];;;[1];;;1前言[1];;;[1];;;[1];;;[1];;;[1];;;校园网络是打造高校“数字校园〞“智慧校园〞的载体，而校园网络的安全则是所有校园网络和应用系统建设的前提条件[1]。当下，大多数学校对于投入了大量资金用于网络环境的建设，已经构成了良好的网络环境和应用体系，校园网的数字化应用已经遍及师生日常生活的各个方面。但随着云效劳技术和大数据技术的不断发展，校园网的信息安全问题也日益突出，尤其是在校园网界限附近，交换机、路由器、防火墙等设备所面临的考验形势变得非常严峻，网络安全威胁日益复杂，攻击来源层出不穷、攻击手段种类繁多、攻击目的多种多样、攻击危害也愈加严重[2]。这就要求学校对校园网的安全防护工作不仅仅要求能够防御网络攻击，更要求预先防患未然，将网络安全隐患排挤于校园网之外[3]。本文是通过阐述学校的界限网络安全体系，界限网络安全设备的部署情况，通过各个安全设备的联动运行能够有效防御当下问题较为突出的Web漏洞及网络攻击威胁，实现学校各个应用系统的安全、可靠和可控，进而建立比较安全的网络环境来保障教学效劳质量和师生上网安全[4-5]。[1];;;[1];;;[1];;;[1];;;[1];;;2研究背景[1];;;[1];;;[1];;;[1];;;[1];;;当下，大多数学校均部署了较为完善的界限网络安全设备来保障校内网络安全，当用户通过在校园内部网络进行访问互联网的时候，其数据包经过界限网络安全设备时经过层层审计来保障数据安全，同时也将互联网进行广泛传播的网络风暴、病毒等隔离出校园网之外，使校园内网构成了一个相对封闭安全的上网环境[6]。本文所指界限网络安全设备重要是指学校的校园网出口至核心交换机到的网络设备，重要有网络出口防火墙设备、入侵防御系统设备、多业务控制网关、负载平衡设备等设备共同保障网络的安全运行。这些网络安全设备的联动使用一方面能够抵御网络病毒、DDos攻击，端口攻击、回绝效劳攻击、提权攻击等的网络攻击手段，另一方面还能够自动监测学校内部系统的安全漏洞和学校外部网络的网络隐患，到达预先防备的效果。进而更好地保障校园网的网络安全。[1];;;[1];;;[1];;;[1];;;[1];;;3系统设计方案[1];;;[1];;;[1];;;[1];;;[1];;;3.1系统总体设计框架[1];;;[1];;;[1];;;[1];;;[1];;;校園网界限网络安全顾名思义把有着不同安全级其余校园网和外界互联网相连接，并通过在校园网网络界限处部署相应的软硬件设备来设置的安全防御办法，一方面保障校园内部合法用户合法的访问外界互联网，另一方面过滤掉非法访问和恶性攻击行为，进而建立起比较稳定、可靠的安全防御体系。当前天津师范大学核心交换机由两台万兆交换机虚拟化为一个核心进行负责，在核心交换机和互联网串联部署出口网关、出口防火墙、负载平衡设备、抗DDoS系统、IPS等安全设备，同时在学校的核心交换机旁单臂部署了BRAS设备、VPN网关系统、上网行为管理系统、日志审计系统、DNS系统、网络缓存系统、流量清洗系统等。通过这些系统的部署，能够有效地实现抵御外来网络攻击，审视用户上网行为，检测校园内部系统的网络漏洞等功能。其重要设备的部署拓扑图如此图1所示。该部署方式既能减少了学校骨干网络上的安全设备，同时也为界限网络安全体系的进一步的强健提供了较好的兼容性和可扩展性。[1];;;[1];;;[1];;;[1];;;[1];;;3.2串联网络安全设备[1];;;[1];;;[1];;;[1];;;[1];;;串联的网络安全设备必需实现高转发速度、高稳定性、高安全性、高兼容性以及高智能性，同时也需要实时地对病毒数据库进行更新。串联的网络安全设备对校园网提供了环境感悟功能，实现对安全策略的制订，病毒入侵的自动防御，病毒风险的隔绝，异常流量的监控，恶意文件的监测，IP地址的隔离，数据库升级等功能。[1];;;[1];;;[1];;;[1];;;[1];;;出口防火墙〔Firewall〕无疑是最主要的界限网络安全设备，也是校园网安全体系的第一道防线。出口防火墙是通过分析ARP数据包并配置相应的NAT访问策略来保卫校内的端口、效劳、程序、系统、以及应用数据库，能够及时发现并处理内外网络的可能存在或者已经存在的系统隐患和网络攻击。防火墙能够实现集中地安全管理、制订履行策略、设立访问控制列表、访问转发、端口映射等功能，其工作方式重要包含包过滤、状况检测、应用代理三种方式。包过滤通过检测防火墙的运行状况来预先编纂其运行的访问策略；状况检测是通过读取并分析ARP数据包来分析访问状况来确定该系统应用程序能否允许连接；应用代理是使用的代理程序来分析基于的特定类型协议的流量来实现对应用层的管理和监控。[1];;;[1];;;[1];;;[1];;;[1];;;入侵防御系统〔IPS〕是对出口防火墙安全防护的一种补充，是实现校园网安全访问的“双保险〞。IPS是通过流检技术来采集和监听系统的运行情况和数据的传输情况，预先自动地对数据源进行检测并阻断那些具非法或异常的数据传输。IPS重要防护针对防火墙相对防护较弱的应用层面的网络攻击和风险漏洞，具有对校园网的网络环境、应用系统、程序内容的深度感悟能力，以及对未知风险的防患能力，通过IPS探针的方式对数据包进行异常协议辨别、病毒库特征匹配、异常流量检测，将用户登录信息、应用系统信息、应用部署位置和应用地址、应用或站点访问频率等多种信息进行关联，使用白名单访问策略，建立校园网访问的白环境，进而实现对应用系统的端口、状况和行为的精细化管理，并精确辨别用户异常行为。[1];;;[1];;;[1];;;[1];;;[1];;;负载平衡设备〔SLB〕重要是针对不同效劳器的性能和配置的差别进行合理有效地分配带宽、任务和资源，进而保障各个效劳器高效稳定的运行。原则上来说SLB并不属于安全设备，但其可以以针对效劳器进行定向的过滤数据包和应用攻击，隔离协议和网络攻击，进而实现故障处理，流量分析的功能。SLB能够针对DNS、代理效劳器、地址转换网关、网络地址转换进行优化和调度。SLB实现的机制重要包含数据采集、阈值设定和效劳器迁移三个方面，即SLB动态确实定进行负载平衡的阀值，当负载信息进行收集并分析后假如触发阀值机制后便将资源迁移到其他效劳器。伴随着云平台技术的发展和虚拟机的广泛应用，SLB在校园网环境中发挥了不可替代的作用。[1];;;[1];;;[1];;;[1];;;[1];;;3.3旁挂网络安全设备[1];;;[1];;;[1];;;[1];;;[1];;;旁挂的网络安全设备相对而言在界限安全功能上大多是起着检测和辅助作用，但也发挥着至关主要的作用，一方面能够减轻骨干网络安全设备和带宽带来的压力，另一方面提升校园网系统和应用运行效率，为校园网提供了愈加实时全面的安全防护。旁挂的网络安全设备重要实现异常流量进行检测、网络数据的缓存、日志的审计和存储、上网行为的监管和控制等功能，进而实现“检测与控制相分离，引擎特征相统一〞的理念。[1];;;[1];;;[1];;;[1];;;[1];;;BRAS〔多业务控制网关〕为校园网提供互联网和教育网的宽带接入效劳和多业务运行方案。BRAS汇总整个校园网的用户流量，通过兼容多种协议和方式来接入各个系统的管理网关、控制网关和认证网关，知足不同用户和应用系统对传输容量和带宽利的精细化要求和颗粒度管理。[1];;;[1];;;[1];;;[1];;;[1];;;VPN网关系统为互联网接入到校园网提供了一条隐私、安全的数据加密隧道来实现校外用户访问校内网资源的功能。VPN系统通过SSL协议对数据行为加密，并使用LDAP协议进行认证，使不同用户通过VPN访问只能获得访问相应的地址的权限，进而保障校园网安全。[1];;;[1];;;[1];;;[1];;;[1];;;上网行为管理系统针对所有访问校内网用户的行为提供智能精准的行为分析、数据审计、网站访问过滤、应用程序控制以及流量资源管理等功能，可视可控的展示访问人员的身份、终端、内容、应用程序等内容，规范用户的入网行为，提升网络安全防护，信息安全管理和风险防备的能力。[1];;;[1];;;[1];;;[1];;;[1];;;日志审计系统能够实时的收集各个界限网络安全系统以及其他应用程序产生的流量和数据，对此进行统一规范化的记录、存储和备份，并提供灵敏方便的日志查询机制。日志审计系统还能够配合其他安全设备对数据进行分析，设立访问策略，对异常行为建立报警机制。[1];;;[1];;;[1];;;[1];;;[1];;;异常流量检测系统在核心交换机上配置镜像的方式来获取数据，通过探针式流量检测技术实现基于数据流特征的攻击类型检测，通过对IP地址、端口号、协议号等产生的分流信数据的监测和分析，提供异常流量发现、异常行为监测、设备性能告警监测和网络攻击报警等功能。[1];;;[1];;;[1];;;[1];;;[1];;;4结束语[1];;;[1];;;[1];;;[1];;;[1];;;打造界限网络安全体系能够有效地抵御校内外针对校园网基于出口的网络攻击，解决当下来自网络内外部对安全带来的各种威胁，实现多条理、多應用的防护功能。当然，任何一种设备和体系都无法保障网络安全的万无一失，我们