联大校园网安全需求

信息保障与安全

    姓名：      

    学号：

    班级：  

    指导教师：

一．联大校园方案简介

联大与中国网通对联大光纤互联建设，学校共投入1300万元，由网通公司整体规划、整体施工，中国网通负责VPN网络建设、网络系统集成和应用系统集成。建成的网络不仅是对因特网的访问，更重要的是学校整体的信息化建设要构建在这个网上。学校的办公、财务、教学都要依赖和依靠这个网，这是一个整体的网上联 合大学。另外，从安全保密性角度考虑，MPLS VPN技术也是最好的。而采用这种技术投入的费用要比自主铺设光纤经济得多。

    北京联大校园网采取的是“整体规划、分步建设”的规划方针。各校区间的互联互通采用的链路资源是中国网通的城域网光纤链路，利用网通提供的MPLS VPN服务。各校区通过10M链路连接到中国网通城域网，校中心通过100M链路连接到网通城域网，借助城域网的双环结构和MPLS VPN技术，使联大校园网在逻辑拓扑上形成一个全网状网络拓扑，有别于常见的星形拓扑结构。因而某种程度上可以说，北京联合大学校园网是一个城域网。

   1．整个园区网总共4500个节点。各个学院采用千兆以太网技术，使用核心层、汇聚层、访问层模型建设成相对的“千兆到楼层，百兆到桌面”的园区网络结 构，依据各学院的实际业务需求、信息应用需求，建设各自专有的信息网络中心，提供针对性的网络服务和网络应用内容；建设学院级网络管理中心，对本院的网络 设施的管理和维护提供服务。

   2.网络拓扑图

3.联大校园建筑物分布图（南院）

  校园主体有篮球场，足球场，教学楼，实验楼，办公楼各一个，宿舍楼两栋，具体分布图如下：

4．联大网络中心

  北京联合大校园网以校本部为中心，辐射12个校区，形成“一主十一辅”的网络结构，覆盖了16所学院。校院之间的互联采用了中国网通的光纤链路资源，借助城域网的双环结构和MPLS／VPN技术在逻辑上形成一个全网状网络拓扑，从某种程度上说北京联合大学校园网是一千城域网。

北京联合大学校园网总共9000多个节点。每个校区都采用千兆以太网技术，全线部署了AVAYA公司的园区网络产品和DELL公司的全系列的服务器、存储设备，形成“干兆到楼层，百兆到桌面”的园区网络结构；同时各校区的园区网络又不是完全的，在校本部设有整个校园网的网络管理中心，同时又是INTERNET出口，不仅为整个网络提供各种基础应用服务，还建设了基于资源共享、提供各种统一的信息应用系统的数据资源中心，覆盖学校的办公、教务、教学、财务、图书资源等各个方面。

二．校园网基础环境的安全需求

  中心机房  为保证信息化功能的安全、稳定、高效运行，保证计算机及网络设备的使用寿命和良好安全的运行状态，有必要对计算机及网络运行环境的电力供应、温度、湿度、漏水等诸多环境变量，空调、新风等诸多设备运行状态变量，进行24小时实时监测与智能化调节控制，以保证网络运行环境的稳定与网络软硬件资源、设备甚至人员的安全

开机时机房的温度及湿度要求：

                级别

级别

 1) 漏水保护：对于机房顶上楼层有水系管道或用水层面，机房设计考虑特殊防水防漏措施。机房专用空调、给排水管、内墙与外窗之间的防水隔离带做防水处理，防水区域内有下水管。

2）保温吸音：对机房的墙面、天花板吊顶、地板及地板下均采用高档的保温材料。

有人值守的主机房，在电子信息设备停机时，在主操作员位置测量的噪声值应小于65dB(A)。

主机房内磁场干扰环境场强不应大于800A/m。

主机房内无线电干扰场强，在频率为0.15一10OOMHz 时，不应大于126dB 。

在电子信息设备停机条件下，主机房地板表面垂直及水平向的振动加速度值，不应大于500mm/s。

机房配电采用三相五线制，接地采用TN-S方式。

主机房内绝缘体的静电电位不应大于1kV。

照明：机房＝500LX，辅助机房＝300LX，应急照明＝30LX。

接地电阻<1Ω，零地压降<1V。

机房要求防火、防水、防尘、防害、防盗、防雷、防静电、隔热、保温。

主机房宜铺设防静电活动地板。活动地板的高度应根据电缆布线和空调要求确定;活动地板下空间只做为电缆布线使用时，地板高度不宜小于20Omm;如既作为电缆布线，又作为空调静压箱时，地板高度不宜小于300mm 。

采用活动地板下作为静压箱时，活动地板下的楼板或地面应采取保温措施，维护结构宜采取防结露措施。

主机房净高应根据机房面积、机柜高度及空调和通风要求确定,不宜小于2.6米

普通机房

  由于机房内的设备大部分均由半导体元器件组成，它们作时会产生大量热量，如果没有有效的措施及时散热，循环积累的温度就会加速设备老化，导致设备出现故障，过低的室温又会便印刷线路板等老化发脆、断裂;相对湿度过低容易产生静电干扰，过高又会使设备内部焊点及接插件等电阻值增大，造成接触不良;为此，机房内应配备高效、低噪音、低振动、有足够容量的空调设备，使温湿度尽可能符合《电子计算机机房设计规范》的有关要求，一般空调参数为:温度，夏季23士2℃，冬季20士2℃;湿度45%~65%;同时应安装通风换气设备，使机房有一个清新的操作环境。

三．综合布线

  整个机房的布线主干与外线在1层的电信间进行接驳、转接，机房内的点则在网络机房进行接驳、转接。

工作区子系统要求：工作区子系统由数据中心各部分构成。工作区子系统传输介质采用6A布线系统和万兆单/多模光纤系统。可支持语音数据、数字信号、视频信号等终端设备的连接。信息点布放到各个机柜位，数量根据机柜用途决定。

水平线缆子系统要求：水平线缆子系统由配线间至各个工作区之间的电缆构成，传输介质采用超六类万兆非屏蔽双绞线和万兆单/多模光纤。要求双绞线缆的长度都严格控制在90米之内，以保证信息的有效传输。水平子系统采用符合EIA/TIA568-B2等国际标准批准的超六类UTP铜缆指标值，超六类水平线缆要求必须为标准圆形电缆的外形结构；所有超六类水平线缆还要求具有LSZH防火等级并符合IEC60332-3A标准，以保证系统具有一定的防火能力；铜缆信息点为超六类配置，具有较高的性能价格比，既考虑到经济性又兼顾到将来的网络发展需求。光缆主干要求实现万兆在850nm窗口处有效带宽为4700MHz@850nm以上，在850nm处可以支持万兆以太网速率达550米及支持1000Base-SX超过1100米距离，同时又可向下兼容目前的1G，100Mbps，10Mbps以太网应用。室外型OM3光缆要求提供世界著名的第三方测试机构如UL或ETL等的关于OM3光缆的DMD测试的技术认证证书，主干单模/多模光缆外皮均要求满足IEC标准的OFNP高阻燃认证，并要求国际知名第三方测试实验室如UL或ETL等的认证证书。

配线间子系统要求：配线间子系统由主配线架和各公共设备组成，其主要功能是将各种公共设备与主配线架连接起来。各网段使用的线缆颜色不同并用标签标明单、多膜光纤颜色要区分并用标签标明。

干线子系统要求：干线子系统是主馈电缆。干线子系统是指大楼外部总进线至2层网络机房。

布线系统线槽：机房间及机房内线槽位置、规格根据各房间机柜进行设计，综合布线线槽采用喷塑封闭式金属线槽，地板下安装。涉密网线槽采用喷塑封闭式金属线槽，地板下或吊顶内安装。

电缆（ZRVV）：

核心交换机

  校园网交换机，这种交换机应用相对较少，主要应用于较大型网络，且一般作为网络的骨干交换机。这种交换机具有快速数据交换能力和全双工能力，可提供容错等智能特性，还支持扩充选项及第三层交换中的虚拟局域网（VLAN）等多种功能。

  这种交换机通常用于分散的校园网而得名，其实它不一定要应用校园网络中，只表示它主要应用于物理距离分散的较大型网络中。因为校园网比较分散，传输距离比较长，所以在骨干网段上，这类交换机通常采用光纤或者同轴电缆作为传输介质，交换机当然也就需提供SC光纤口和BNC或者AUI同轴电缆接口。

  为防止核心交换机出现故障而引起网络的瘫痪，所以校园网应该有一台备用交换机，在主交换机正常工作的情况下备用交换机不工作，一旦主交换机出现故障，备用交换机将立刻承担起主交换机的任务。直至主交换机恢复正常工作。

核心交换机较高的可靠性和性能，不仅保障了骨干网高速转发通信和性能优化，而且通过防防攻击策略，可以提高校园网的安全性。在核心交换机中，我们主要需要注意解决以下几个问题：

（1）MAC／CAM攻击防范

（2）DHCP攻击防范

（3）ARP攻击防范

这3个安全防范对于校园网络来说是非常重要的：

1）MAC／CAM攻击防范：交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后，流量以洪泛方式发送到所有接口，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

2）DHCP攻击防范：采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，随之存在的隐患有DHCP server的冒充、DHCP server的Dos攻击、用户随便指定地址而造成网络地址冲突。

3）ARP攻击防范：ARP攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续小断的发出伪造ARP响应包就能更改目标主机ARP缓存中的IP—MAC条目，造成网络中断或中间人攻击。

路由器

连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 路由器英文名Router，路由器是互联网络的枢纽、"交通"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。

由系统管理员事先设置好固定的路径表称之为静态（static）路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。

路由器（Router）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源 站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。

路由器工作原理图：

事实上，路由器除了上述的路由选择这一主要功能外，还具有网络流量控制功能。有的路由器仅支持单一协议，但大部分路由器可以支持多种协议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会 降低路由器的性能。因此，我们以为，支持多协议的路由器性能相对较低。用户购买路由器时，需要根据自己的实际情况，选择自己需要的网络协议的路由器。

从过滤网络流量的角度来看，路由器的作用与交换机和网桥 非常相似。但是与工作在网络物理层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划分成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。

防火墙

   所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制 尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷 贝、毁坏你的重要信息。

校园网采用防火墙，它的初始配置也是通过控制端口（Console）与PC机的串口连接，再通过超级终端（HyperTerminal）程序进行选项配置。也可以通过telnet和Tffp配置方式进行高级配置，但必需先由Console将防火墙的这些功能打开。

防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马纪，而且要看到一旦防火墙被攻破，它的状态 如何? 按级别来分，它应有这样四种状态：a.未受伤害能够继续正常工作；b.关闭并重新启动，同时恢复到正常工作状态；c.关闭并禁止所有的数据通行；d.关闭 并允许所有的数据通行。 

　　前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。3.防火墙必须进行动态维护 

　　防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动 态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch) 产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

防火墙的安全防护性能依赖的因素很多。防火墙并非万能，它最多只能防护经过其本身的非法访问和攻击，而对不经防火墙的访问和攻击则为力。从技术来讲，绕过防火墙进入网络并非不可能。

五．计算机设备

主机（服务器）

  服务器英文名称为“Server”，指的是在网络环境中为客户机（Client）提供各种服务的、特殊的专用计算机。在网络中，服务器承 担着数据的存储、转发、发布等关键任务，是各类基于客户机／服务器（C／S）模式网络中不可或缺的重要组成部分。

数据存储

  数据库服务器我们采用了高性能、高可靠性和高可用的四路企业级服务器浪潮NC2000，并配置5块热插拔SCSI硬盘做了RAID 5对关键数据进行保护，作为校园网的数据中心，满足全校的教学、办公、管理等业务的数据信息请求，存放学校的关键数据和信息，不停顿的为学生和教职工提供全方位的数据库服务，能够轻松承受突发的并发访问。

六．系统软件

1.操作系统安全

    物理安全

　　服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。

    停止Guest帐号

　      在［计算机管理］中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。

    用户数量

　　去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。

2.数据库管理系统安全，权限，备份与恢复

 （1）采用复杂的数据模型表示数据结构，数据冗余小，易扩充，实现了数据共享。

（2）具有较高的数据和程序性，数据库的性有物理性和逻辑性。

（3）数据库系统为用户提供了方便的用户接口。

（4）数据库系统提供4个方面的数据控制功能，分别是并发控制、恢复、完整性和安全性。数据库中各个应用程序所使用的数据由数据库系统统一规定，按照一定的数据模型组织和建立，由系统统一管理和集中控制。

（5）增加了系统的灵活性。

七．应用软件安全

1.用户权限

就是用户的权利，即用一个帐户登录后,有些功能可以使用，有些功能无法使用，这就是管理员对其设置的权限,只有附合权限的人才可以使用对应的功能。权限就是权利的范围。

校园网络中，用户权限最大的是管理人员，能对登录的人员的权利进行设置或进行一些特定操作，其次是教师，最次是同学，同学只能进行简单的上网浏览下载等简单操作。

2.web服务器端安全

3.Web服务器端的安全

WEB服务器也称为WWW(WORLD WIDE WEB)服务器，主要功能是提供网上信息浏览服务。 WWW 是 Internet 的多媒体信息查询工具，是 Internet 上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来 Internet 迅速发展，且用户数量飞速增长。

1、保证数据库的安全

2、保证网络连接的正常快速

 客户端（Client）或称为用户端，是指与服务器相对应，为客户提供本地服务的程序。除了一些只在本地运行的应用程序之外，一般安装在普通的客户机上，需要与服务端互相配合运行。因特网发展以后，较常用的用户端包括了如万维网使用的网页浏览器，收寄电子邮件时的电子邮件客户端，以及即 时通讯的客户端软件等。对于这一类应用程序，需要网络中有相应的服务器和服务程序来提供相应的服务，如数据库服务，电子邮件服务等等，这样在客户机和服务器端，需要建立特定的通信连接，来保证应用程序的正常运行。

个人总结：通过本次实训，我了解了一个校园网络安全的相关知识，并且对校园网络有了更深一层的了解，此次实训也把我在课上的知识整合成为一个整体，相信此次实训的知识会在我以后的工作学习中起到一定的作用