高校校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案
——以博文學(xué)院校園網(wǎng)為例

郭寶軍

（蘭州交通大學(xué)博文學(xué)院，甘肅蘭州，730101）

1 網(wǎng)絡(luò)安全方案設(shè)計概述

（1）設(shè)計和保證內(nèi)網(wǎng)的安全：為了保證學(xué)院網(wǎng)絡(luò)的安全，首先就要保證內(nèi)部網(wǎng)絡(luò)的安全，它主要是實現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全防范。其中包括有效阻止內(nèi)部人員的非法訪問，控制和處理網(wǎng)內(nèi)的病毒傳播及對內(nèi)網(wǎng)的攻擊等。（2）設(shè)計和保證接入網(wǎng)絡(luò)的安全：它主要是實現(xiàn)我們接入的網(wǎng)絡(luò)要安全，另外一些不是校園網(wǎng)的用戶。例如遠(yuǎn)程用戶，出差在外的校園用戶及非本校園網(wǎng)內(nèi)之用戶可以通過Interent來訪問我院校內(nèi)的網(wǎng)絡(luò)資源。（3）設(shè)計和保證各區(qū)的安全：根據(jù)設(shè)計思想劃分的個相關(guān)區(qū)域的網(wǎng)絡(luò)安全。我們學(xué)院的校園網(wǎng)被分為教學(xué)樓辦公區(qū)、網(wǎng)絡(luò)數(shù)據(jù)中心區(qū)、廣域網(wǎng)連接區(qū)，學(xué)生接入?yún)^(qū)等，它主要是實現(xiàn)對各個劃分的安全區(qū)域進(jìn)行安全防范。根據(jù)不同區(qū)域的安全要求來設(shè)計出不同的策略，保證每個區(qū)域的安全。（4）設(shè)計和保證核心數(shù)據(jù)區(qū)安全：它主要是重點保護(hù)和重點防御我院的中心數(shù)據(jù)區(qū)域，也就是對核心數(shù)據(jù)和存儲他們的區(qū)域進(jìn)行安全設(shè)計。（5）設(shè)計和監(jiān)管上網(wǎng)行為：對所有內(nèi)網(wǎng)中的上網(wǎng)用戶行為監(jiān)控。它主要是實現(xiàn)對校園網(wǎng)的安全管理，通過對內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行監(jiān)控，可以發(fā)現(xiàn)導(dǎo)致網(wǎng)絡(luò)被攻擊或者入侵的源頭，就可以對嚴(yán)重占用帶寬的行為和非法訪問進(jìn)行控制和處理。

2 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)

出口和核心部分的兩臺路由器、兩臺防火墻、以及兩臺核心交換機(jī)組成“日”字形雙平面冗余架構(gòu)，設(shè)備之間均以千兆光口互聯(lián)。A、B業(yè)務(wù)之間通過雙平面隔離，同時可通過配置實現(xiàn)冗余備份。

網(wǎng)絡(luò)出口以兩臺SR6604高性能路由器作為網(wǎng)關(guān)，進(jìn)行地址轉(zhuǎn)換，路由分發(fā)，VPN接入等功能，兩臺路由器可實現(xiàn)雙歸屬冗余備份。

防火墻部署在出口路由器與核心交換機(jī)之間，工作在透明模式，專門負(fù)責(zé)網(wǎng)絡(luò)安全過濾，兩臺防火墻組成雙機(jī)系統(tǒng)，同步保護(hù)兩條鏈路上的數(shù)據(jù)安全。

兩臺核心交換機(jī)之間通過光口連接組成雙機(jī)系統(tǒng)，支持IRF2智能彈性虛擬化技術(shù)。雙機(jī)雙上行到兩臺防火墻。S75E系列交換機(jī)支持豐富的擴(kuò)展接口卡和業(yè)務(wù)卡。方便我們以后對網(wǎng)絡(luò)進(jìn)行進(jìn)一步擴(kuò)展。

網(wǎng)管平臺直接連接在核心交換機(jī)側(cè)，在提供網(wǎng)絡(luò)網(wǎng)絡(luò)管理，設(shè)備管理，業(yè)務(wù)管理的同時。為內(nèi)網(wǎng)接入用戶提供了安全準(zhǔn)入服務(wù)，從最前端保障了網(wǎng)絡(luò)安全接入。同時，認(rèn)證接入系統(tǒng)支持詳盡的用戶行為審計功能，支持實名制的用戶行為審計。

3 校園網(wǎng)可靠性網(wǎng)絡(luò)系統(tǒng)設(shè)計

為了提高可靠性，我們采用分布式體系結(jié)構(gòu)。因為在分布式體系結(jié)構(gòu)中，一般的設(shè)備都可以通過增加處理板來提高整體效果和性能。更主要的是我們能將不同功能分配在不同的處理板中。

采用實時熱備份技術(shù)，要依靠系統(tǒng)軟硬件，同樣的要是核心部件發(fā)生了故障，再軟件支持下可自動啟動備份部件。實現(xiàn)主備之間的倒換。為了保障網(wǎng)絡(luò)系統(tǒng)正常，不造成影響，當(dāng)運行中發(fā)生設(shè)備故障時我們可以啟用備份系統(tǒng)。方案中設(shè)計的核心交換機(jī)如果配置冗余引擎，那核心層就可提供不間斷運行，為整個局域網(wǎng)的核心層做好保障。

采用關(guān)鍵部件的冗余，除了核心交換機(jī)，我們也可以把配件做備份并加以配置。即使系統(tǒng)發(fā)生故障，至少不至于所有功能全部失效。為此，在建設(shè)中讓我院的核心交換機(jī)都要采用雙電源、雙引擎、雙風(fēng)扇等。

4 服務(wù)器系統(tǒng)安全設(shè)計與實現(xiàn)

4.1 RAID技術(shù)及應(yīng)用

把多塊獨立的硬盤按不同的方式組合起來形成一個硬盤組，我們就稱之為RAID，也稱廉價磁盤冗余陣列。它是一種能提供更高的存儲性能和數(shù)據(jù)備份的技術(shù)，組成磁盤陣列的不同方式被稱之為RAID級別（RAID Levels）。數(shù)據(jù)備份用于當(dāng)用戶數(shù)據(jù)損壞時恢復(fù)數(shù)據(jù)。也就是一旦用戶數(shù)據(jù)損壞，損壞的備份信息的數(shù)據(jù)恢復(fù)。保障用戶數(shù)據(jù)的安全性?？傊?，就是對RAID的操作我們的操作方法和對單個硬盤的一樣。

起初RAID的主要是為了節(jié)約成本，能使小容量硬盤的價格和低于一塊大容量的硬盤。而性能能實現(xiàn)一致。但現(xiàn)在RAID在這方面的作用已經(jīng)很不明顯，只能發(fā)揮出多塊硬盤的優(yōu)勢，能比單硬盤的速度快一點，吞吐量大一點。

4.2 雙機(jī)熱備技術(shù)

雙機(jī)熱備技術(shù)是應(yīng)用在現(xiàn)代數(shù)據(jù)服務(wù)器上的一項技術(shù)，這種技術(shù)就是一種冗錯技術(shù)，要使服務(wù)器的數(shù)據(jù)安全可靠，能夠提高數(shù)據(jù)庫數(shù)據(jù)的安全性，就可以采用雙機(jī)熱備技術(shù)，這樣就可以讓數(shù)據(jù)永不丟失。雙機(jī)熱備份軟件MSCS能提高計算機(jī)系統(tǒng)可靠性，因此我們將MSCS 內(nèi)置在Windows 2003 服務(wù)器版中，來實現(xiàn)客戶對計算機(jī)系統(tǒng)及應(yīng)用可靠性的需求。雙機(jī)熱備技術(shù)的工作技術(shù)基礎(chǔ)是利用私有LAN監(jiān)控主機(jī)狀態(tài)。而HA環(huán)境中的每個節(jié)點都同時監(jiān)測，發(fā)生故障或一個數(shù)據(jù)庫系統(tǒng)不能正常工作。我們預(yù)先設(shè)置出的備用服務(wù)器將能接管這臺主機(jī)上所有應(yīng)用，前端用戶就沒有任何影響。