構(gòu)建基于全局安全的高校校園網(wǎng)絡(luò)

叢佩麗

遼寧機(jī)電職業(yè)技術(shù)學(xué)院 遼寧 118009

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，高校數(shù)字校園網(wǎng)已經(jīng)擴(kuò)展傳統(tǒng)校園的功能，承擔(dān)著高校教學(xué)、科研、管理和服務(wù)等角色，是最終實(shí)現(xiàn)教育過程全面信息化建設(shè)的主導(dǎo)力量和堅(jiān)強(qiáng)后盾。但由于校園網(wǎng)的用戶數(shù)量眾多，使用者多數(shù)不是專業(yè)人員，用戶防護(hù)意識(shí)薄弱，使校園網(wǎng)面臨著嚴(yán)重的安全威脅。目前，校園網(wǎng)的主動(dòng)防御技術(shù)有：防火墻技術(shù)、入侵檢測(cè)技術(shù)和防病毒技術(shù)等，這些技術(shù)都是在網(wǎng)絡(luò)的某個(gè)部分進(jìn)行主動(dòng)防御，無(wú)法保證校園網(wǎng)整體安全。本文以遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)建設(shè)為例，依據(jù)“全局安全”的設(shè)計(jì)理念，闡述構(gòu)建基于全局安全的高校校園網(wǎng)絡(luò)技術(shù)。

1 學(xué)院校園網(wǎng)絡(luò)現(xiàn)狀

遼寧機(jī)電職業(yè)技術(shù)學(xué)院老校區(qū)于 2000年投入運(yùn)行，相繼完成了部分樓宇綜合布線工程、網(wǎng)絡(luò)中心建設(shè)。以 100M光纖接入方式接入INTERNET，通過防火墻實(shí)現(xiàn)NAT轉(zhuǎn)換，通過三層交換實(shí)現(xiàn) VLAN 劃分，同時(shí)通過訪問控制列表設(shè)定學(xué)生端網(wǎng)絡(luò)和教師端網(wǎng)絡(luò)的訪問策略。南校區(qū)和北校區(qū)之間通過網(wǎng)通公司提供的2M數(shù)字電路實(shí)現(xiàn)內(nèi)部通信。經(jīng)過幾年的發(fā)展，已經(jīng)具有下列服務(wù)功能：接入及網(wǎng)絡(luò)管理、數(shù)字圖書館、辦公自動(dòng)化系統(tǒng)、WWW服務(wù)、郵件服務(wù)、網(wǎng)絡(luò)殺毒服務(wù)等。

在老校園網(wǎng)運(yùn)行中，存在著以下的安全問題：

(1) 核心層采用單核心設(shè)備，不能保證網(wǎng)絡(luò)24*7小時(shí)不間斷工作。

(2) 存在著各種安全隱患：經(jīng)常有用戶擅自更換 IP，導(dǎo)致合法用戶不能夠正常上網(wǎng)；學(xué)生擅自在局域網(wǎng)中假設(shè)代理軟件；在校園網(wǎng)中擅自假設(shè)DHCP服務(wù)器；通過這些非法手段，從而來影響校園網(wǎng)的正常運(yùn)行，導(dǎo)致校園網(wǎng)不能夠正常運(yùn)行。

(3) 由于校園網(wǎng)的用戶數(shù)量巨大，經(jīng)常有學(xué)生使用各種攻擊手段對(duì)校園網(wǎng)進(jìn)行攻擊和破壞，嚴(yán)重影響了網(wǎng)絡(luò)的安全。

2 全局安全的校園網(wǎng)絡(luò)總體方案

遼寧機(jī)電職業(yè)技術(shù)學(xué)院有兩個(gè)教學(xué)校區(qū)，即新校區(qū)和黃海校區(qū)(老校區(qū))。新校區(qū)是學(xué)院的辦公主體校區(qū)，有教學(xué)、住宿、實(shí)驗(yàn)及實(shí)訓(xùn)場(chǎng)所，共計(jì)10余棟建筑物。通過雙100Mbps帶寬接入Internet，校園網(wǎng)采用千兆，核心設(shè)備考慮通過冗余技術(shù)加強(qiáng)容錯(cuò)能力。

具體設(shè)計(jì)方案如圖1所示。

圖1 遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)建設(shè)拓?fù)鋱D

該方案在設(shè)計(jì)中，依據(jù)“全局安全”的理念，從接入層到核心層，從網(wǎng)絡(luò)準(zhǔn)入到網(wǎng)絡(luò)準(zhǔn)出，都采用安全機(jī)制，形成多種網(wǎng)絡(luò)組件聯(lián)動(dòng)，全局防御。并且在網(wǎng)絡(luò)建成后，加強(qiáng)對(duì)校園網(wǎng)的管理和維護(hù)，培養(yǎng)高網(wǎng)絡(luò)使用者的安全意識(shí)，提高網(wǎng)絡(luò)防御技能等人為因素。這樣，就形成了從物理設(shè)備到人為因素的“全局安全”解決方案。

3 全局安全的校園網(wǎng)絡(luò)詳細(xì)部署

3.1 網(wǎng)絡(luò)核心區(qū)安全設(shè)計(jì)

為保證校園網(wǎng)絡(luò) 24*7小時(shí)不間斷服務(wù)，核心層采用雙核心架構(gòu)，確保骨干網(wǎng)絡(luò)的可靠性。采用兩臺(tái)銳捷面向十萬(wàn)兆平臺(tái)設(shè)計(jì)的S8610骨干路由交換機(jī)，其高性能，豐富的安全特性可以保證整個(gè)網(wǎng)絡(luò)的高速和安全運(yùn)行。

3.2 網(wǎng)絡(luò)接入?yún)^(qū)安全設(shè)計(jì)

本網(wǎng)絡(luò)共劃分為7個(gè)子區(qū)域，分別是行政中心、老校區(qū)、學(xué)生宿舍A區(qū)、學(xué)生宿舍B區(qū)、展覽中心區(qū)域、機(jī)械工程館和儀器儀表館。在匯聚層根據(jù)每個(gè)子區(qū)域安全性要求不同，分別采用S7606、S7604和S7505安全接入交換機(jī)接入，在接入層采用 S2600接入。安全接入交換機(jī)同時(shí)支持 802.1X準(zhǔn)入和Web準(zhǔn)入，可在認(rèn)證通過時(shí)動(dòng)態(tài)的自動(dòng)綁定用戶所使用的IP+MAC+端口，確保源IP地址和源MAC地址的真實(shí)性。

真實(shí)IP源地址帶來的價(jià)值包括：可實(shí)現(xiàn)完全杜絕ARP/ND欺騙問題；可防止各種源IP/MAC欺騙的網(wǎng)絡(luò)攻擊；可快速的定位網(wǎng)絡(luò)故障，從而最快速解決故障；可實(shí)現(xiàn)精準(zhǔn)的網(wǎng)絡(luò)安全日志審計(jì)；可實(shí)現(xiàn)準(zhǔn)確的基于IP地址的網(wǎng)絡(luò)流量計(jì)費(fèi)，實(shí)現(xiàn)了網(wǎng)絡(luò)接入的安全。

3.3 網(wǎng)絡(luò)出口區(qū)安全設(shè)計(jì)

采用專用的網(wǎng)絡(luò)出口設(shè)備串聯(lián)在一起，性能高并各司其職，成熟穩(wěn)定。采用一臺(tái)校園網(wǎng)專用的出口設(shè)備NPE50，其強(qiáng)大的 NAT和策略路由功能，特別適合大型校園網(wǎng)的出口應(yīng)用；部署一臺(tái)應(yīng)用控制引擎 ACE3000來控制網(wǎng)絡(luò)應(yīng)用對(duì)出口帶寬的應(yīng)用情況，保證關(guān)鍵業(yè)務(wù)的通暢，進(jìn)而提高網(wǎng)絡(luò)出口帶寬的利用率，提高網(wǎng)絡(luò)的使用體驗(yàn)；同時(shí)通過一臺(tái)千兆防火墻1600T和園區(qū)骨干交換機(jī)相連，能夠屏蔽來自外部的攻擊，便于實(shí)施各種安全策略，DMZ區(qū)用來放置像WEB等對(duì)外發(fā)布的應(yīng)用服務(wù)器。同時(shí)部署專用的VPN網(wǎng)關(guān)WALL V160E，根據(jù)實(shí)際的需求為校外訪問者或內(nèi)部人員的校外接入提供權(quán)限和簡(jiǎn)單、安全的SSL VPN的接入方式。

3.4 制定完善的管理制度

(1) 加強(qiáng)對(duì)硬件設(shè)施的管理

網(wǎng)絡(luò)設(shè)備、光纜和雙絞線等硬件設(shè)施構(gòu)成了校園網(wǎng)的硬件基礎(chǔ)，如果遭到了破壞，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，所以要加強(qiáng)管理。實(shí)施責(zé)任分工制，校園網(wǎng)核心設(shè)備由現(xiàn)代教育技術(shù)中心負(fù)責(zé)，系部樓內(nèi)設(shè)備由各系部管理員負(fù)責(zé)，校內(nèi)鋪設(shè)的光纜等設(shè)施由保衛(wèi)部負(fù)責(zé)。每個(gè)負(fù)責(zé)的部門制定管理制度，并且制度上墻。

(2) 安裝殺毒軟件

在校園網(wǎng)上設(shè)置服務(wù)器，安裝網(wǎng)絡(luò)版殺毒軟件，支持客戶端在線升級(jí)。由校園網(wǎng)管理員負(fù)責(zé)將安全的重要性和在線升級(jí)方法制定成文件，共享在內(nèi)網(wǎng)中，要求老師定期進(jìn)行升級(jí)，機(jī)房中機(jī)器的升級(jí)由學(xué)生管理員負(fù)責(zé)，教師管理員定期進(jìn)行抽查。

(3) 加強(qiáng)對(duì)學(xué)生的安全教育

學(xué)生是校園網(wǎng)的主要使用對(duì)象，也是對(duì)校園網(wǎng)存在最大威脅的團(tuán)體。部分學(xué)生缺乏安全意識(shí)與知識(shí)，不能對(duì)個(gè)人電腦進(jìn)行安全防護(hù)，造成病毒傳播；部分學(xué)生對(duì)攻擊技術(shù)感興趣，使用自學(xué)的各種攻擊手段對(duì)校園網(wǎng)進(jìn)行攻擊，類似行為都對(duì)校園網(wǎng)安全造成了威脅。

為了保護(hù)校園網(wǎng)安全，首先要進(jìn)行主動(dòng)防御。采用802.1X準(zhǔn)入和Web準(zhǔn)備技術(shù)，要求每個(gè)學(xué)生接入校園網(wǎng)都要進(jìn)行賬號(hào)申請(qǐng)，驗(yàn)證成功后方可進(jìn)行訪問，保證專號(hào)專用；在邊界防火墻上設(shè)置策略，過濾不健康網(wǎng)站，保證不良信息不能進(jìn)入校園網(wǎng)；在IDS上進(jìn)行監(jiān)測(cè)，隨時(shí)發(fā)現(xiàn)安全隱患，并進(jìn)行解決。eLog軟件與出口設(shè)備連動(dòng)實(shí)現(xiàn)上網(wǎng)日志的記錄與查找，采用銳捷SNC網(wǎng)絡(luò)管理軟件，可以基于WEB集中對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備做發(fā)現(xiàn)、管理維護(hù)和監(jiān)控。

對(duì)學(xué)生進(jìn)行安全教育，以“加強(qiáng)安全意識(shí)，共建和諧綠色網(wǎng)絡(luò)”為主題，開展多次全方位的網(wǎng)絡(luò)文化宣傳活動(dòng)。聘請(qǐng)網(wǎng)絡(luò)安全工程師面向全院師生進(jìn)行安全專題講座；系部組織“綠色網(wǎng)絡(luò)”宣傳競(jìng)賽活動(dòng)；班級(jí)開展“安全網(wǎng)絡(luò)，人人有責(zé)”主題班會(huì)等。通過這樣一系列活動(dòng)的開展，增強(qiáng)學(xué)生的網(wǎng)絡(luò)安全意識(shí)，提高安全防護(hù)知識(shí)，為共建全局安全的校園網(wǎng)絡(luò)貢獻(xiàn)自己的一份力量。

4 結(jié)束語(yǔ)

遼寧機(jī)電職業(yè)技術(shù)學(xué)院基于全局安全設(shè)計(jì)理念的校園網(wǎng)工程自施工完成投入使用以來，網(wǎng)絡(luò)運(yùn)行質(zhì)量很高，出色的為教學(xué)、科研、管理等提供了服務(wù)，為學(xué)院的信息化建設(shè)提供了堅(jiān)實(shí)的平臺(tái)。但是信息技術(shù)的發(fā)展日新月異，各種攻擊技術(shù)和病毒也會(huì)層出不窮，本學(xué)院的校園網(wǎng)管理水平也要同步提高。

[1]劉文清.校園網(wǎng)的安全與防護(hù)策略研究[J].電腦開發(fā)與應(yīng)用.2011.

[2]黃欣,趙志剛.基于全局安全的高校校園網(wǎng)絡(luò)設(shè)計(jì)方案[J].電腦知識(shí)與技術(shù).2011.

[3]張俊蘭,郭金平.高校校園網(wǎng)設(shè)計(jì)方案[J].延安大學(xué)學(xué)報(bào).2010.

[4]黃柯佳.校園網(wǎng)信息安全優(yōu)化方案探討[J].通信與信息技術(shù).2011.

[5]劉建波.關(guān)于構(gòu)建和諧安全數(shù)字化校園的思考[J].高等教育研究(成都).2011.