彩虹学校校园网网络安全体系

彩虹学校校园网网络平安体系

研究与实施教育硕士：魏荡指导教师：曹菡陕西师范大学计算机科学学院2023/9/21主要内容一、课题研究的背景和现状二、课题研究的目的和意义三、课题研究的主要内容四、课题研究的总结2023/9/22一、课题研究的背景和现状1.1Internet在国内外的开展及日益严重的网络平安问题

1.2彩虹学校校园网的建设历程及现状1.3国内外进行网络平安研究的现状2023/9/23Internet在国内外的开展及现状1969年阿帕网诞生，1993年Internet向公众开放，用户数量呈指数增长，平均半年翻一番。1994年Internet进入我国，截止2004年底，我国的国际出口75G、上网用户数9400万、上网计算机4160万。1.1Internet在国内外的开展及日益严重的网络平安问题2023/9/24年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年来网络被攻击的统计表日益严重的网络平安问题2023/9/25美国国家平安协会统计报道：98%的企业都曾遇过病毒感染问题，63%的企业都曾因感染病毒失去资料，80%的Web效劳器受到过黑客攻击。

日益严重的网络平安问题2023/9/261.2彩虹学校校园网的建设历程及现状东南校园网络主干布线图中学小学2023/9/271.2彩虹学校校园网的建设历程及现状K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线网络拓扑图2023/9/28彩虹学校近几年添购了大量的计算机设备，使校园网内计算机数量增至400余台，并且实现了Internet接入。平安现状播送风暴严重影响了网络的性能，消耗了大量网络带宽。没有和Internet有效隔离，校园网上的各种资料，都受到来自Internet直接威胁。IP盗用和IP冲突不断病毒的传播和泛滥效劳器的平安性差黄色、暴力、邪教等不良信息在校园网内时有发现1.2彩虹学校校园网的建设历程及现状2023/9/29虚拟局域网技术防火墙技术计算机病毒的预防查杀技术数据备份技术不良信息过滤技术入侵检测技术IP地址绑定技术1.3国内外进行网络平安研究的现状2023/9/210二、课题研究的目的和意义目的：本课题针对彩虹学校校园网存在的网络平安问题进行研究，分析其中的不平安因素，结合国内外对于网络平安研究的现状，提出彩虹学校校园网的网络平安体系建设方案，充分利用现有设备，采取各种网络平安技术，最大限度的合理实现彩虹学校校园网的网络平安。意义：本课题的研究有助于解决彩虹学校校园网的网络平安问题，使其真正成为彩虹学校进行教育、教学、管理、科研以及与兄弟院校沟通交流的重要平台。同时，本课题的研究也会对同样受到网络平安问题困扰的兄弟学校有一定的借鉴意义。2023/9/211三、课题研究的主要内容

彩虹学校校园网的平安设计VLAN技术在彩虹学校校园网中的应用彩虹学校校园网防毒反黑体系的建立提高网络平安性的其它措施2023/9/212全局〔Internet和Intranet〕

教育行业〔校园网络〕

彩虹学校校园网

3.1彩虹学校校园网络的平安设计3.1.1彩虹学校校园网不平安因素的分析2023/9/2133.1彩虹学校校园网络的平安设计彩虹学校校园网的平安设计方案(1)为主控室、二级交换机机柜安装防盗报警设备、不间断电源、防雷击及通风降温设备。(2)对校园网络原有布线进行测试，在二级交换机处形成教室〔或办公室〕、网线和交换机端口的一一对应关系，并输入电脑进行动态管理。(3)划分VLAN，减小播送域，降低播送风暴的影响，减小网络监听的可能，为不同平安要求的VLAN提供访问控制，将不同业务性质的子网隔离开。(4)采用静态IP，进行IP地址、MAC地址、交换机端口的多层次绑定，防止IP盗用、IP冲突。(5)购置一套网络杀毒软件。(6)购置一台防火墙，有效隔离内外网，并为上网计算机提供地址转换效劳。2023/9/2143.1彩虹学校校园网络的平安设计平安性设计方案(7)购置一套信息过滤软件，在技术上防止师生有意无意地浏览含有黄色、暴力、邪教内容的信息。(8)对校园网中的重点主机进行平安设置，去掉不必要的访问，并在所需要的网络访问周围建立访问控制，防止非法入侵。(9)及时修补系统软件和应用软件的漏洞，阻断病毒传播和黑客攻击的途径，及时升级杀毒软件。(10)制定严格的口令制度，规定长度、复杂度及生存期。(11)制定完善的校园网络使用管理制度，明确校园网中各种使用者及管理者的权利和责任，以及违规后的惩罚措施。2023/9/215彩虹学校校园网用户分布情况3.2VLAN技术在彩虹学校校园网中的应用K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线彩虹学校校园网用户分布很散乱，没有一个二级交换机连着同一类用户，少的两三种，多的五六种用户。2023/9/2163.2.2校园网用户分析3.2VLAN技术在彩虹学校校园网中的应用小学办公室小学教室小学机房初中机房初中办公室初中教室高中机房高中办公室高中教室领导办公室备课室职能办公室效劳器注：1.“AB〞表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2023/9/217划分方式的选择

3.2VLAN技术在彩虹学校校园网中的应用480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN划分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN划分；510T只支持基于策略的VLAN划分。校园网的桌面级交换机1024、1016、3008级连在二级交换机的一个端口上，它们不支持VLAN划分。2023/9/218划分方式的选择

3.2VLAN技术在彩虹学校校园网中的应用Win2000以上的操作系统可以轻易修改内存中的MAC地址；在共享媒介中实施基于MAC地址的VLAN使网络性能明显下降；初始化时的巨大工作量，基于MAC地址的VLAN划分方式不可选。460T基于端口划分的VLAN不支持跨交换机。从校园网用户分布情况可以看出，几乎所有的VLAN都跨交换机，基于端口的VLAN划分不不可选。所以我们选择基于802.1Qtag的VLAN划分方式对校园网进行VALN划分，510T不划分VLAN，它的问题后面再来解决。2023/9/2193.2.4VLAN具体的划分

3.2VLAN技术在彩虹学校校园网中的应用VLANNAMEVLANIDIPADDRESGATEWAY教师办公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1领导办公室VLAN66192.168.6.X192.168.6.1服务器VLAN77192.168.7.X192.168.7.1中学机房VLAN33192.168.3.X192.168.3.1小学机房VALN55192.168.5.X192.168.5.1网络设备DEFAULT1192.168.1.X192.168.1.12023/9/2203.2.5校园网各VLAN间的互访关系3.2VLAN技术在彩虹学校校园网中的应用小学机房VLAN5教室VLAN2中学机房VLAN3领导办公室VLAN6教师办公室VLAN8服务器VLAN7注：1.“AB”表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2023/9/2213.2.5彩虹学校校园网各VLAN间的通信3.2VLAN技术在彩虹学校校园网中的应用三种方式：通过外部路由器实现、通过具有路由功能的交换机实现、通过建立通信连接来实现。通过购置协议钥匙来开启完全三层路由功能行不通，而根本三层的路由功能很有限，开启路由功能所有VLAN全通，关闭那么全不通。先开启根本三层路由功能使所有VLAN之间互通，再利用建立访问列表禁止局部VLAN间的通信。2023/9/222〔1〕Netscreen50防火墙的选购

〔2〕防火墙的配置

〔3〕用“天网〞个人防火墙保障关键主机的平安

3.3

彩虹学校校园网防毒反黑体系的建立

3.3.1防火墙技术的应用2023/9/223〔4〕VPN技术的应用集团办公服务器192.168.0.88219.145.Y.Y219.145.X.X互联网校园网服务器VLAN192.168.7.3~10网管ADSL校园网领导VLAN192.168.6.101~115(图七)网管、学校和集团之间虚拟专用网(VPN)2023/9/224安装时应采取的平安措施帐户的平安设置密码的平安设置共享的平安设置端口和效劳的平安设置开启平安审核策略创立紧急修复盘协议的平安设置漏洞扫描3.3彩虹学校校园网防毒反黑体系的建立3.3.2校园网效劳器的平安设置2023/9/225选购安装瑞星网络版杀毒软件除安装有硬盘复原卡、全盘保护的教室终端和学生机房外，校园网内所有的终端都必须安装杀毒软件及时升级杀毒效劳器上的病毒库每周一次全网查杀为系统打补丁，截断病毒传播的途径禁止私自安装其它杀毒软件3.3

彩虹学校校园网防毒反黑体系的建立

3.3.3预防查杀计算机病毒2023/9/226在校园网比较重要的效劳器网段VLAN7中放置基于网络的入侵检测产品S100。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规那么吻合，那么入侵检测系统就会发出警报或者直接切断网络的连接。在重要的主机〔财务室电脑、教务室电脑等〕上安装基于主机的入侵检测系统S120，对该主机的网络实时连接以及系统审计日志进行分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。在校园网中同时采用基于网络和基于主机的入侵检测系统，它们优势互补，构架成一套完整立体的主动防御体系。3.3

彩虹学校校园网防毒反黑体系的建立

3.3.4构架立体的主动防御体系2023/9/227校园网效劳器选用热插拔硬盘、RAID5格式；在效劳器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-50000￥)，将常用数据存储在效劳器硬盘，不常用的数据存储在这台PC的硬盘中；利用Win2000Sserver自带的备份工具对效劳器中的有效数据定期备份，放在备份PC的硬盘上；对教务室和财务室的电脑也要求定期备份；将学校需要保存的数据、图像、资料每个学期末进行一次分类、编号、整理、压缩，然后刻成光盘存档。3.4提高校园网平安性的其它措施

3.4.1数据备份2023/9/228一是加强对师生的信息道德培养和法制教育，使他们不会主动上网浏览、下载、传播这类信息；二是利用技术手段对校园网内的信息进行监测，过滤含有黄色、暴力、邪教内容的信息。要两手抓，两手都要硬。选用由公安部监制的信息过滤软件“蓝眼睛智能信息过滤系统〞,从而到达净化校园网网络信息的目的；当非法网址被访问或者系统监测到的应该被过滤的信息在流通时，除了中断信息交流外，还会将相关信息记录，以明确责任。使用网络版对教师、教室、领导和备课室的电脑上传输的信息进行过滤，选用代理效劳器版对学生机房的电脑进行信息过滤。3.4提高校园网平安性的其它措施

3.4.2不良信息过滤2023/9/229在防火墙内口上捆绑IP和MAC地址在核心交换机480T上捆绑IP和MAC地址在学生机房的代理效劳器上捆绑MAC和IP地址在二级交换机460T和510T上捆绑端口和MAC地址3.4提高校园网平安性的其它措施

3.4.3多层