叢佩麗

遼寧機電職業(yè)技術(shù)學(xué)院 遼寧 118009

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，高校數(shù)字校園網(wǎng)已經(jīng)擴展傳統(tǒng)校園的功能，承擔著高校教學(xué)、科研、管理和服務(wù)等角色，是最終實現(xiàn)教育過程全面信息化建設(shè)的主導(dǎo)力量和堅強后盾。但由于校園網(wǎng)的用戶數(shù)量眾多，使用者多數(shù)不是專業(yè)人員，用戶防護意識薄弱，使校園網(wǎng)面臨著嚴重的安全威脅。目前，校園網(wǎng)的主動防御技術(shù)有：防火墻技術(shù)、入侵檢測技術(shù)和防病毒技術(shù)等，這些技術(shù)都是在網(wǎng)絡(luò)的某個部分進行主動防御，無法保證校園網(wǎng)整體安全。本文以遼寧機電職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)建設(shè)為例，依據(jù)“全局安全”的設(shè)計理念，闡述構(gòu)建基于全局安全的高校校園網(wǎng)絡(luò)技術(shù)。

1 學(xué)院校園網(wǎng)絡(luò)現(xiàn)狀

遼寧機電職業(yè)技術(shù)學(xué)院老校區(qū)于 2000年投入運行，相繼完成了部分樓宇綜合布線工程、網(wǎng)絡(luò)中心建設(shè)。以 100M光纖接入方式接入INTERNET，通過防火墻實現(xiàn)NAT轉(zhuǎn)換，通過三層交換實現(xiàn) VLAN 劃分，同時通過訪問控制列表設(shè)定學(xué)生端網(wǎng)絡(luò)和教師端網(wǎng)絡(luò)的訪問策略。南校區(qū)和北校區(qū)之間通過網(wǎng)通公司提供的2M數(shù)字電路實現(xiàn)內(nèi)部通信。經(jīng)過幾年的發(fā)展，已經(jīng)具有下列服務(wù)功能：接入及網(wǎng)絡(luò)管理、數(shù)字圖書館、辦公自動化系統(tǒng)、WWW服務(wù)、郵件服務(wù)、網(wǎng)絡(luò)殺毒服務(wù)等。

在老校園網(wǎng)運行中，存在著以下的安全問題：

(1) 核心層采用單核心設(shè)備，不能保證網(wǎng)絡(luò)24*7小時不間斷工作。

(2) 存在著各種安全隱患：經(jīng)常有用戶擅自更換 IP，導(dǎo)致合法用戶不能夠正常上網(wǎng)；學(xué)生擅自在局域網(wǎng)中假設(shè)代理軟件；在校園網(wǎng)中擅自假設(shè)DHCP服務(wù)器；通過這些非法手段，從而來影響校園網(wǎng)的正常運行，導(dǎo)致校園網(wǎng)不能夠正常運行。

(3) 由于校園網(wǎng)的用戶數(shù)量巨大，經(jīng)常有學(xué)生使用各種攻擊手段對校園網(wǎng)進行攻擊和破壞，嚴重影響了網(wǎng)絡(luò)的安全。

2 全局安全的校園網(wǎng)絡(luò)總體方案

遼寧機電職業(yè)技術(shù)學(xué)院有兩個教學(xué)校區(qū)，即新校區(qū)和黃海校區(qū)(老校區(qū))。新校區(qū)是學(xué)院的辦公主體校區(qū)，有教學(xué)、住宿、實驗及實訓(xùn)場所，共計10余棟建筑物。通過雙100Mbps帶寬接入Internet，校園網(wǎng)采用千兆，核心設(shè)備考慮通過冗余技術(shù)加強容錯能力。

具體設(shè)計方案如圖1所示。

圖1 遼寧機電職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)建設(shè)拓撲圖

該方案在設(shè)計中，依據(jù)“全局安全”的理念，從接入層到核心層，從網(wǎng)絡(luò)準入到網(wǎng)絡(luò)準出，都采用安全機制，形成多種網(wǎng)絡(luò)組件聯(lián)動，全局防御。并且在網(wǎng)絡(luò)建成后，加強對校園網(wǎng)的管理和維護，培養(yǎng)高網(wǎng)絡(luò)使用者的安全意識，提高網(wǎng)絡(luò)防御技能等人為因素。這樣，就形成了從物理設(shè)備到人為因素的“全局安全”解決方案。

3 全局安全的校園網(wǎng)絡(luò)詳細部署

3.1 網(wǎng)絡(luò)核心區(qū)安全設(shè)計

為保證校園網(wǎng)絡(luò) 24*7小時不間斷服務(wù)，核心層采用雙核心架構(gòu)，確保骨干網(wǎng)絡(luò)的可靠性。采用兩臺銳捷面向十萬兆平臺設(shè)計的S8610骨干路由交換機，其高性能，豐富的安全特性可以保證整個網(wǎng)絡(luò)的高速和安全運行。

3.2 網(wǎng)絡(luò)接入?yún)^(qū)安全設(shè)計

本網(wǎng)絡(luò)共劃分為7個子區(qū)域，分別是行政中心、老校區(qū)、學(xué)生宿舍A區(qū)、學(xué)生宿舍B區(qū)、展覽中心區(qū)域、機械工程館和儀器儀表館。在匯聚層根據(jù)每個子區(qū)域安全性要求不同，分別采用S7606、S7604和S7505安全接入交換機接入，在接入層采用 S2600接入。安全接入交換機同時支持 802.1X準入和Web準入，可在認證通過時動態(tài)的自動綁定用戶所使用的IP+MAC+端口，確保源IP地址和源MAC地址的真實性。

真實IP源地址帶來的價值包括：可實現(xiàn)完全杜絕ARP/ND欺騙問題；可防止各種源IP/MAC欺騙的網(wǎng)絡(luò)攻擊；可快速的定位網(wǎng)絡(luò)故障，從而最快速解決故障；可實現(xiàn)精準的網(wǎng)絡(luò)安全日志審計；可實現(xiàn)準確的基于IP地址的網(wǎng)絡(luò)流量計費，實現(xiàn)了網(wǎng)絡(luò)接入的安全。

3.3 網(wǎng)絡(luò)出口區(qū)安全設(shè)計

采用專用的網(wǎng)絡(luò)出口設(shè)備串聯(lián)在一起，性能高并各司其職，成熟穩(wěn)定。采用一臺校園網(wǎng)專用的出口設(shè)備NPE50，其強大的 NAT和策略路由功能，特別適合大型校園網(wǎng)的出口應(yīng)用；部署一臺應(yīng)用控制引擎 ACE3000來控制網(wǎng)絡(luò)應(yīng)用對出口帶寬的應(yīng)用情況，保證關(guān)鍵業(yè)務(wù)的通暢，進而提高網(wǎng)絡(luò)出口帶寬的利用率，提高網(wǎng)絡(luò)的使用體驗；同時通過一臺千兆防火墻1600T和園區(qū)骨干交換機相連，能夠屏蔽來自外部的攻擊，便于實施各種安全策略，DMZ區(qū)用來放置像WEB等對外發(fā)布的應(yīng)用服務(wù)器。同時部署專用的VPN網(wǎng)關(guān)WALL V160E，根據(jù)實際的需求為校外訪問者或內(nèi)部人員的校外接入提供權(quán)限和簡單、安全的SSL VPN的接入方式。

3.4 制定完善的管理制度

(1) 加強對硬件設(shè)施的管理

網(wǎng)絡(luò)設(shè)備、光纜和雙絞線等硬件設(shè)施構(gòu)成了校園網(wǎng)的硬件基礎(chǔ)，如果遭到了破壞，網(wǎng)絡(luò)安全將受到嚴重威脅，所以要加強管理。實施責任分工制，校園網(wǎng)核心設(shè)備由現(xiàn)代教育技術(shù)中心負責，系部樓內(nèi)設(shè)備由各系部管理員負責，校內(nèi)鋪設(shè)的光纜等設(shè)施由保衛(wèi)部負責。每個負責的部門制定管理制度，并且制度上墻。

(2) 安裝殺毒軟件

在校園網(wǎng)上設(shè)置服務(wù)器，安裝網(wǎng)絡(luò)版殺毒軟件，支持客戶端在線升級。由校園網(wǎng)管理員負責將安全的重要性和在線升級方法制定成文件，共享在內(nèi)網(wǎng)中，要求老師定期進行升級，機房中機器的升級由學(xué)生管理員負責，教師管理員定期進行抽查。

(3) 加強對學(xué)生的安全教育

學(xué)生是校園網(wǎng)的主要使用對象，也是對校園網(wǎng)存在最大威脅的團體。部分學(xué)生缺乏安全意識與知識，不能對個人電腦進行安全防護，造成病毒傳播；部分學(xué)生對攻擊技術(shù)感興趣，使用自學(xué)的各種攻擊手段對校園網(wǎng)進行攻擊，類似行為都對校園網(wǎng)安全造成了威脅。

為了保護校園網(wǎng)安全，首先要進行主動防御。采用802.1X準入和Web準備技術(shù)，要求每個學(xué)生接入校園網(wǎng)都要進行賬號申請，驗證成功后方可進行訪問，保證專號專用；在邊界防火墻上設(shè)置策略，過濾不健康網(wǎng)站，保證不良信息不能進入校園網(wǎng)；在IDS上進行監(jiān)測，隨時發(fā)現(xiàn)安全隱患，并進行解決。eLog軟件與出口設(shè)備連動實現(xiàn)上網(wǎng)日志的記錄與查找，采用銳捷SNC網(wǎng)絡(luò)管理軟件，可以基于WEB集中對全網(wǎng)的網(wǎng)絡(luò)設(shè)備做發(fā)現(xiàn)、管理維護和監(jiān)控。

對學(xué)生進行安全教育，以“加強安全意識，共建和諧綠色網(wǎng)絡(luò)”為主題，開展多次全方位的網(wǎng)絡(luò)文化宣傳活動。聘請網(wǎng)絡(luò)安全工程師面向全院師生進行安全專題講座；系部組織“綠色網(wǎng)絡(luò)”宣傳競賽活動；班級開展“安全網(wǎng)絡(luò)，人人有責”主題班會等。通過這樣一系列活動的開展，增強學(xué)生的網(wǎng)絡(luò)安全意識，提高安全防護知識，為共建全局安全的校園網(wǎng)絡(luò)貢獻自己的一份力量。

4 結(jié)束語

遼寧機電職業(yè)技術(shù)學(xué)院基于全局安全設(shè)計理念的校園網(wǎng)工程自施工完成投入使用以來，網(wǎng)絡(luò)運行質(zhì)量很高，出色的為教學(xué)、科研、管理等提供了服務(wù)，為學(xué)院的信息化建設(shè)提供了堅實的平臺。但是信息技術(shù)的發(fā)展日新月異，各種攻擊技術(shù)和病毒也會層出不窮，本學(xué)院的校園網(wǎng)管理水平也要同步提高。

[1]劉文清.校園網(wǎng)的安全與防護策略研究[J].電腦開發(fā)與應(yīng)用.2011.

[2]黃欣,趙志剛.基于全局安全的高校校園網(wǎng)絡(luò)設(shè)計方案[J].電腦知識與技術(shù).2011.

[3]張俊蘭,郭金平.高校校園網(wǎng)設(shè)計方案[J].延安大學(xué)學(xué)報.2010.

[4]黃柯佳.校園網(wǎng)信息安全優(yōu)化方案探討[J].通信與信息技術(shù).2011.

[5]劉建波.關(guān)于構(gòu)建和諧安全數(shù)字化校園的思考[J].高等教育研究(成都).2011.