1、前 言随着Internet的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学
2、校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。校园网网络的安全十分重要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。关键词 :校园网、网络安全、管理及维护策略、防火墙。目录前言1摘要3一、课程设计目的意义5二、需求分析51、虚拟网52、管理与维护63、网络安全6
3、(1)防火墙技术6(2)建立网络入侵侦测系统64、反病毒防御7三、方案设计71、设计原则72、安全策略83、安全服务84、拓扑结构图9四、方案的实施101、在管理方面102、在技术方面103、定期做好备份工作104、定期做好网络杀毒工作11五、结束语11附录一:参考文献12摘要某校园网由三个物理区域:教学办公大楼、图书馆大楼、学生教工宿舍构成。在整个网络中,各信息点按功能又划分为行政办公、电子网络教室、中心管理机房、普通教室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖东西两院、艺术附中以及各个家属
4、区,共计光纤链路40余条,交换机250余台,网络信息点一万多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证计费管理软件、网络版杀毒软件。核心采用锐捷RG-6810E高性能三层管理交换机,汇聚采用锐捷三层交换机,接入桌面采用锐捷21系列。现有的WEB服务器,“一卡通”数字系统,OA办公管理系统,教务管理系统,图书管理系统,流媒体服务器,网络杀毒服务器,为全院教学科研、管理和生活等方面提供了良好的Internet应用服务。校园主接入主干网如下:图1 校园网接入主干图校园网承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理,它的安全状况直接影响着学校
5、的教学、科 研、行政管理、对外交流等活动。在网络建成的初期,安全问题可能还不突出随着应用的深入校园网上各种数据会急剧增加、访问增多潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。校园网受到的攻击以及安全方面的缺陷主要有: (1)有害信息的传播 校园网与Internet融为一体,师生都可以通过校园网络在自己的机器上进人Internet。目前Internet上充斥各种海量信据息,散布违犯四项基本原则、有关色情、暴力、三俗内容的文章、网页、网站比较多。这些有毒的信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非 常大。(2)病毒破坏 通过网络传播的病毒无论是在
6、传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接人广域网后。为外面病毒进入学校大开方便之门,下载的程序和电子邮件都可能带有病毒。而且网络病毒的变异速度快,攻击机理复杂,必须不断更新病毒库。 (3)恶意入侵学校涉及的机密不是很多,来自外部的非法访问的可能性要少一些关键是内部的非法访问。一些学生可能会通过非 正常的手段获得习题的答案,使正常的教学练习失去意义。更有甚者有的学生可能在考前获得考试内容,严重地破坏了学校的管理秩序或者破坏教务系统恶意更改成绩,扰乱教学工作程序。 (4)恶意破坏对计算机硬件系统和软件系统的恶意破坏,这包括对网络设备和网络系统两个方面的破坏。网络设备
7、包括服务器、交换机、集线器、路由器、通信媒体、工作站等,它们分布在整个校园内,不可能24小时专人看管, 以避免故意的或非故意的某些破坏。会造成校园网络全部或部分瘫痪。另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象:向服务器发送大量信息使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息等。 (5)口令入侵用户非法获得口令入侵,破坏网络。一、课程设计目的意义了解计算机网络工程设计的一般过程,明确计算机网络设计的基本原则;通过网络设备的配置,能了解网络安全管理与维护设置的功能,掌握网络设备的配置方法和配置操作。通过对校园网的调研,
8、能了解网络安全管理与维护在校园中的具体应用,并在现有条件下进行简单的模拟。了解网络安全管理与维护在校园网中的应用情况,制定一个应用方案,在现有实验设备的基础上来实现这个方案。本次课程设计让我们有了一个既动手又动脑,独立实践的机会,将理论和实际有机的结合起来,锻炼了我们分析、解决实际问题的能力。通过从了解设备功能、掌握设计原理到应用原理,利用设备解决实际问题这样一个循序渐进的过程,培养自己理论与实践相结合的能力。二、需求分析在校园网的网络安全管理及维护中,设计方案应从以下几个方面进行需求分析:1、虚拟网虚拟网主要作用和目的是:解决主干网内网络站点的增加、删除、移动等操作,方便网络的维护和管理。可
9、以建立不受地理位置限制的,覆盖整个校园的相互具有一定独立性的网络或者逻辑子网,即虚拟网。利用虚拟网可以有效的管理和限制不同子网之间的访问,各部门可以各自占用一个独立的虚拟网,整个虚拟网是可升级的、可扩展的。根据校园网的实际需求,各类人员可以在相应逻辑子网内开展工作。网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。2、管理与维护 校园主干网是覆盖整个园区的网络,其组成结构相当复杂,而科技的进步和教育形势的发展又要求校园网具有延伸性和扩展性。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。网络管理要求解决的问题包括: (1)虚拟网管理、分配。目前
10、的虚拟网主要基于局域网交换端口,如果一个部门扩展新的入网地点,新的扩展将改变交换机端口设置。网络管理借助相应的管理软件来解决该问题。(2)对所有网络设备端口的监视和管理。对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭,整个网络的故障检测,故障自动报警功能,整个网络性能的统计和分析报告,甚至收费。按照这些网络管理的需求,应采用基于GUI(图形用户界面)的网络管理软件来实现。3、网络安全 校园网络安全主要有以下要求:各个部门访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。 对安全
11、问题主要有以下考虑:校园网应该是一个开放的系统,它不像政府或商业公司的网络一样具有极高的安全保密性;但校园网应该安全的,它应具备抵御恶意攻击的能力,一些科研成果也不是对任何人都开放的。利用虚拟网技术和防火墙技术可以较为合理地解决安全与开放的问题。在校园网的网络安全管理及维护中,建立单机版反病毒防御体系,设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵,提供防范、检测手段和对攻击作出反应,采取自动抗击措施,对保证网络安全及维护是很有必要的。(1)防火墙技术为整个网络筑起一道高墙,将黑客及未授权的用户拒于门外。(2)建立网络入侵侦测系统在MIS系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫
12、痪的主要防御方法,是在网络中安装网络入侵侦测系统(IDS)。系统可以实时监控网段的流量,发现有攻击特征的行为后,立即报警,并且可以阻断该会话,阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后,入侵侦测系统(IDS)应分别检测各自的应用网段4、反病毒防御由于基层的网络与局域网通过光纤连接在一起,各个应用系统在它们之间有信息传递,为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,应在基层网络和局域网有业务关系的单机上安装反病毒软件。这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,要求程序定时进行扫描,既保证了重点网络的安全,又降低了校园网在防病毒方面的投资。三、方
13、案设计1、设计原则 针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;(7)分步实施原则:分级管理 分步实施。 2、安全策略采用漏洞扫描技术,对重要网络设备进行风险评估,保证
14、信息系统尽量在最优的状况下运行。采用各种安全技术,构筑防御系统,主要有:(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。(2)2NAT技术:隐藏内部网络信息。(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的信道在公共网络上创建一个安全的私有连接。它通过安全的数据信道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。建立分层管理和各级安全管理中心。 3、安全服务网络是个
