高校校园网网络安全整体解决方案研究

高校校园网网络安全整体解决方案研究

Ｒｅｓｅａｒｃｈ　ｏｆ　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ　ｏｆ　Ｕｎｉｖｅｒｓｉｔｙ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋ

陈洪涛１

彭

克２Ｃｈｅｎ　Ｈｏｎｇｔａｏ

Ｐｅｎｇ　Ｋｅ

（１．江西师范大学校园网管理中心，　南昌

３３００２７；　２．江西建设职业技术学院信息系，　南昌

３３００３８）（１．Ｎｅｔｗｏｒｋ　Ａｄｍｉｎｉｓｔｒａｔｏｒ　Ｃｅｎｔｅｒ，　Ｊｉａｎｇｘｉ，　Ｎｏｒｍａｌ　Ｕｎｉｖｅｒｓｉｔｙ，　Ｎａｎｃｈａｎｇ

３３００２７；

２．Ｉｎｆｏｒｍａｔｉｏｎ　Ｄａｐａｒｔｍｅｎｔ，　Ｃｏｎｓｔｒｕｃｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｊｉａｎｇｘｉ，　Ｎａｎｃｈａｎｇ３３００３８）

摘

要：　针对校园网安全管理问题，对高校校园网面临的各种安全威胁，逐一进行分析，探索一套科学合理的网络安

全解决方案。

关键词：　校园网；　网络安全；　网络安全解决方案中图分类号：ＴＰ３１１　

文献标识码：Ａ

文章编号：１６７１－４７９２－（２００６）８－００４３－０３

Ａｂｓｔｒａｃｔ：　Ｔｈｉｓ　ａｒｔｉｃｌｅ　ａｎａｌｙｓｅｓ　ｔｈｅ　ｍａｎａｇｅｍｅｎｔ　ｐｒｏｂｌｅｍ　ｏｆ　ｕｎｉｖｅｒｓｉｔｙ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ，　ｉｔ　ａｎａｌｙｚｅｓ　ｅｘｉｓｔｅｎｔｐｒｏｂｌｅｍｓ　ｏｆ　ｓｅｃｕｒｉｔｙ．　Ａｄｏｐｔｉｎｇ　ｔｏ　ｍｅｔｈｏｄｓ　ｏｆ　ｓｅｃｕｒｉｔｙ　ｔｅｃｈｎｏｌｏｇｙ　ａｎｄ　ａｄｍｉｎｉｓｔｒａｔｉｏｎ　ｍａｎａｇｅ，　ｉｔ　ａｄｖａｎｃｅｓ　ｒｅｓｏｌｖｅｓｃｈｅｍｅ　ｏｆ　ｕｎｉｖｅｒｓｉｔｙ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ．

Ｋｅｙｗｏｒｄｓ：　Ｕｎｉｖｅｒｓｉｔｙ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋ；　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ；　Ｓｏｌｕｔｉｏｎ　ｆｏｒ　Ｎｅｔｗｏｒｋ　Ｓｅｃｕｒｉｔｙ０

引言

随着高校信息化水平的提高，网络在高校的办公、教学、科研、学术交流等各个领域都发挥了不可或缺的重要作用。特别是Ｉｎｔｅｒｎｅｔ的普及，为我们获得信息、传送消息提供了一条最迅捷的途径。随着网上办公系统、远程教学系统的使用，我们的各项工作都越来越依赖于网络。但是，网络的开放性与互联性为我们带来便利的同时，也引入了很多不安全的因素，例如计算机病毒、黑客入侵等等。这些都已经严重影响到了校园网的信息安全，甚至影响到校园网络的正常使用。针对这些问题，如何合理有效的部署相关安全产品，采取适当的安全技术，用较少的投入保证网络的正常运转，已成为高校网络发展过程中必须面对的问题。１

校园网网络安全面临的主要问题

随着各个高校的扩招，学校规模不断扩大，各高校的网络结构也日趋复杂化，下面我们就一个典型的高校多校区网络结构分析网络所面临的安全隐患，如图一所示。

１．１网络结构描述

这个典型的校园网拓扑结构考虑了以下几点：

①校园网分为两个校区，每个校区各有一台三层交换机，两交换机由电信铺设的专用光缆连接；

②每个校区有服务器区，与三层交换机连接，提供ＷＷＷ服务、邮件服务、ＶＯＤ服务、ＯＡ系统服务；

③网络存在多个出口：　ＣＨＩＮＡＮＥＴ和ＣＥＲＮＥＴ，网络出口在校区二。网络出口经过ＮＡＴ地址转换，由出口路由器选择电信网络或教育网进行数据包转发；

④校园网涉及用户数超过４０００，主要用于办公与科研。

１．２非法入侵威胁

高校校园网提供ＷＷＷ服务、ＥＭＡＩＬ服务、远程教学、视高校校园网网络安全整体解决方案研究

频点播等多项服务，是广大师生进行教学与科研活动的主要平台。但由于校园网的独特要求，使得校园网内的服务器对网内用户的较少，再加上操作系统本身存在的安全漏洞，这些都对校园网内的服务器群构成一定安全威胁。

１．３恶意代码威胁

恶意代码的威胁包括计算机病毒以及利用系统漏洞的各种恶意攻击。其中，计算机病毒特别是蠕虫病毒是近年来影响计算机网络的主要威胁。病毒主要有两个来源，从传入的病毒，以及内网病毒。由于局域网内用户众多，而且缺乏统一的管理，因此很容易造成计算机病毒的传播。近几年，网络蠕虫以及利用ＲＰＣ等漏洞进行攻击的冲击波、振荡波等病毒，已经严重威胁了高校网络各项应用的正常使用。例如：由于计算机中毒，造成各项网络服务无法使用；　由于局域网内计算机中毒，产生大量数据包，冲击网络出口的硬件网关等网络设备，引起网络阻塞、网关死机甚至交换设备死机，造成网络的瘫痪。

２网络安全技术

２．１防火墙技术

２．１．１硬件防火墙

硬件防火墙主要用于对网络中的数据访问进行，提供对系统的访问控制和集中的安全管理，防止不安全的数据访问和服务。比如：　用户对内网服务器的访问。传统的硬件防火墙采用分组过滤或包过滤技术，工作在网络七层模型的下三层。随着流过滤等新技术的应用，目前的防火墙已经可以进行应用层的策略部署。利用硬件防火墙，可以在内网实现ＤＭＺ区的划分、ＮＡＴ地址转换等功能。目前，硬件防火墙按照实现技术可分为三类：　包过滤防火墙、应用代理服务器和状态检测防火墙。按其实现架构划分，又可分为以下三类：　基于通用处理器的工控机架构（ＰＣ架构）防火墙、基于ＮＰ技术的硬件防火墙、基于ＡＳＩＣ芯片的硬件防火墙。工控机架构最大的优点是灵活性好，但在大数据流量的网络环境中处理效率不理想。在千兆数据流量的网络中，ＮＰ和ＡＳＩＣ芯片架构将成为硬件防火墙的发展方向。

２．１．２软件防火墙

软件防火墙成本较低，安装方便，使用简单，能够满足个人用户单机防护的基本需求。包括防止黑客攻击、保证信息安全、监测计算机运行状况等功能。

２．１．３ＶＰＮ

ＶＰＮ（Ｖｉｒｔｕａｌ　Ｐｒｉｖａｔｅ　Ｎｅｔｗｏｒｋ）将物理分布在不同地点的网络通过公用骨干网，尤其是Ｉｎｔｅｒｎｅｔ连接形成一个虚拟子网。根据其功能的不同，ＶＰＮ又可分为用于实现单位内部异地分支机构安全互联的Ｉｎｔｒａｎｅｔ　ＶＰＮ，以及与其他合作伙伴安全互联的Ｅｘｔｒａｎｅｔ　ＶＰＮ。同时，ＶＰＮ技术还提供了数据加密、身份认证等技术，为处于异地的多个大学校区安全互联提供了技术保证。ＶＰＮ的实现方式有多种，主要分硬件与软件两大类，硬件中又有专用ＶＰＮ网关以及带ＶＰＮ功能的防火墙等。

２．２防病毒技术

２．２．１硬件防病毒

硬件防病毒产品主要有硬件防病毒网关、带病毒过滤功能的防火墙等，主要用于网络的入口处，采用内嵌的内容过滤、病毒过滤技术，对经过该设备的多种协议的数据进行扫描，并提供强大的审计与监控功能。能有效的防止从流入的病毒、蠕虫的攻击。由于硬件设备具有高速、稳定、不易受攻击等优点，硬件防病毒技术正逐渐成为一种趋势，被集成到交换机等常用网络设备中。

２．２．２软件防病毒

针对网络病毒的泛滥，合理的部署网络版杀毒软件，从源头控制病毒的扩散，能够有效的降低蠕虫等病毒的危害程度，降低病毒造成的损失。在选择网络版杀毒软件时，病毒库的升级速度、客户端的资源占用情况、软件的易操作性以及是否有强大的管理功能都是我们需要考虑的因素。

２．３ＩＤＳ和ＩＰＳ技术

入侵检测系统（ＩＤＳ）是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”（参见国标ＧＢ／Ｔ１８３３６）。入侵检测系统只对网络上不安全的操作进行报警，与路由器或防火墙联动后，也可以进行数据的阻断。但是，由于ＩＤＳ系统的被动性以及识别的准确性不高，因此在使用中仍存在很多问题。

入侵防护系统（ＩＰＳ）采用行为规则技术，在发现攻击事件时，立即进行阻断。而且，它能够执行一些应用层的访问策略，对来自正常端口的攻击进行有效防护。

３校园网网络安全整体解决方案

３．１网络安全整体解决方案需要考虑的因素

针对校园网内用户的特殊情况，网络用户大部分是学校

６８的各教学、科研、行政机关的教师和管理人员，我们不能对用户作过多的。因此，方案的制定必须依据以下原则进行：

①对用户的硬件要求较低；

②尽可能利用原有设备，充分发挥原有设备的技术潜力。同时考虑添置设备的先进性和可扩展性，为今后网络的不断发展创造良好的条件；

③因为校园网涉及的用户数量较多，使用全网管理软件或全网部署的网络版杀毒软件，都会给网络管理带来巨大的负担，因此只能采取软硬件结合、多种手段相互配合的方式，才能达到最佳的效果。

３．２网络安全整体解决方案

（１）入口硬件防火墙

ＶＰＮ通道：由于ＯＡ系统的应用，很多教师都要求能够从通过安全的网络通道连接到校园网，利用校园网内的资源，更方便的进行网上办公。硬件防火墙的ＶＰＮ功能就满足了这一需求。

Ｈ３２３协议和ＱＯＳ支持：　由于视频点播服务的使用，很多高校都提供了优秀课程的视频点播服务，从实现流畅的视频点播也成为校园网络建设中需要考虑的问题。特别是远程视频会议的使用，对防火墙都提出了新的要求。为了保证流畅的视频传输，防火墙需要支持Ｈ３２３协议，并提供ＱＯＳ流量控制功能。

（２）交换机设置：　ＶＬＡＮ划分和访问控制列表

ＶＬＡＮ划分：　当处于同一个网络的设备不断增多，网络上产生的广播数据也不断增加。一般来说，设备数量大于４００台后，就容易形成广播风暴，造成网络传输延时甚至引起网络设备的连接中断。将接入层交换机按使用单位的不同划分为多个ＶＬＡＮ，能够有效的降低广播风暴的影响，同时也保证了信息的安全。

访问控制列表ＡＣＬ（ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｌｉｓｔ）是Ｉｎｔｅｒｎｅｔ接入设备——路由器的一项重要功能，目前有许多交换机也具备了这一功能。通过访问控制列表，我们可以根据数据报中的不同信息特征，有选择的放行或阻断数据报。在访问控制列表中，可以选择将数据的源地址、目的地址、端口等信息综合在一起，制定科学的访问控制策略。例如：　针对常见的网络攻击和蠕虫病毒，可以在接入层交换机设置以下访问控制列表，并应用到接入层的每个端口，达到病毒传播的目的。以ＣＩＳＣＯ２９５０交换机为例，可进行如下设置：

ｉｐ　ａｃｃｅｓｓ－ｌｉｓｔ　ｅｘｔｅｎｄｅｄ　ａｃｃｅｓｓｌｉｓｔｎａｍｅ

ｄｅｎｙ　　　ｔｃｐ　ａｎｙ　ａｎｙ　ｅｑ　１３７

ｄｅｎｙ　　　ｔｃｐ　ａｎｙ　ａｎｙ　ｅｑ　１３８

ｄｅｎｙ　　　ｔｃｐ　ａｎｙ　ａｎｙ　ｅｑ　１３５

ｄｅｎｙ　　　ｕｄｐ　ａｎｙ　ａｎｙ　ｅｑ　１３５

ｄｅｎｙ　　　ｔｃｐ　ａｎｙ　ａｎｙ　ｅｑ　４４５

ｄｅｎｙ　　　ｕｄｐ　ａｎｙ　ａｎｙ　ｅｑ　４４５

ｄｅｎｙ　　　ｕｄｐ　ａｎｙ　ａｎｙ　ｅｑ　１４３４

ｄｅｎｙ　　　ｔｃｐ　ａｎｙ　ａｎｙ　ｅｑ　１４３４

ｐｅｒｍｉｔ　ｉｐ　ａｎｙ　ａｎｙ

ｅｘｉｔ

（３）网络监控

利用ＳＯＬＡＲＷＩＮＤＳ等网络监控工具，对核心层、汇聚层和

接入层的交换设备进行实时监控，包括流量变化情况、ＣＰＵ

占用情况等。及时发现网络流量及设备的异常变化，及早发

现网络中的病毒传播或网络攻击现象，从而为我们找到病毒

源或攻击源，维护网络正常运行创造条件。

此外，在关键区域部署网络版杀毒软件，采用集中管理

与分级管理相结合的管理模式；　部署ＳＵＳ补丁分发服务器，

及时给客户机安装系统补丁；　定期进行网络的漏洞扫描和安

全评估。

４结束语

由于网络应用的不断增加，ＤＨＣＰ技术的应用，远程教学

的开展，这些都对校园网的安全管理提出了更高的要求。随

着ＭＡＣ地址绑定、ＩＰＳ、ＡＳＩＣ等技术手段不断成熟，各种基

于应用层的过滤设备不断涌现，为更好地解决这类问题提供

了很多好的思路。只有综合使用各种技术手段，加强管理，

才能实现多层次、高效率的安全网络，为高校的建设做出更

大的贡献。

参考文献

［１］胡道元，闵京华．网络安全［Ｍ］．北京：清华大学出版

社，　２００４．

［２］Ｒｕｓｓｅｌｌ　Ｌｕｓｉｇｎａｎ，Ｏｌｉｖｅｒ　Ｓｔｅｕｄｌｅｒ，Ｊａｃｑｕ．ＣＩＳＣＯ

网络安全管理［Ｍ］．北京：中国电力出版社，２００１．

高

校

校

园

网

网

络

安

全

整

体

解

决

方

案

研

究

６９