一、前言

隨著高校信息化建設(shè)的發(fā)展，高校校園網(wǎng)普及程度越來越高，校園網(wǎng)在教學(xué)、科研、校內(nèi)政務(wù)管理方面起到了積極地作用。因此網(wǎng)絡(luò)安全越來越成為校園網(wǎng)絡(luò)成功運(yùn)行的關(guān)鍵因素，特別是隨著多協(xié)議、新業(yè)務(wù)的發(fā)展，網(wǎng)上教學(xué)、遠(yuǎn)程教育、銀校一卡通等各種應(yīng)用使教育網(wǎng)絡(luò)不再是一個(gè)封閉的網(wǎng)絡(luò)，網(wǎng)絡(luò)建設(shè)中制定網(wǎng)絡(luò)安全策略，部署相應(yīng)安全防護(hù)方案，保證校園網(wǎng)絡(luò)的安全順暢的運(yùn)行成為迫切需要解決的問題。

二、校園網(wǎng)絡(luò)安全需求分析

隨著校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，越來越多的校園網(wǎng)絡(luò)應(yīng)用開始部署，網(wǎng)絡(luò)變得從所未有的重要。網(wǎng)絡(luò)安全方案有三大挑戰(zhàn)需要解決：

其一，就是不斷增加的校園安全出口的安全威脅：（1）應(yīng)用層威脅來勢兇猛，（2）網(wǎng)頁被篡改，（3）帶寬占用，（4）服務(wù)器應(yīng)用訪問慢，（5）病毒泛濫，（6）間諜軟件泛濫。其二，就是業(yè)務(wù)系統(tǒng)集中后的數(shù)據(jù)中心安全：（1）數(shù)據(jù)共享和海量存儲的問題，（2）訪問量過大帶來的低性能問題，（3）數(shù)據(jù)訪問限制問題，（4）關(guān)鍵數(shù)據(jù)信息的安全保障問題。其三，就是校園內(nèi)網(wǎng)安全建設(shè)的煩惱，這三種安全威脅對于校園網(wǎng)絡(luò)來說十分重要。（1）內(nèi)部病毒泛濫，（2）用戶接入權(quán)限不受控制，（3）整網(wǎng)安全狀況無法掌控。

三、校園網(wǎng)絡(luò)安全方案設(shè)計(jì)

某學(xué)校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示，針對其網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)，我們提出了以下網(wǎng)絡(luò)安全解決方案。

當(dāng)校園網(wǎng)用戶訪問外網(wǎng)時(shí)，先通過校園網(wǎng)核心路由通過既定策略進(jìn)行網(wǎng)路選擇，把網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到cernet或出口防火墻。同時(shí)要注意的是出口防火墻要兼具NAT功能，滿足大流量的用戶訪問，同時(shí)也能夠高網(wǎng)路的安全。

此方案中以數(shù)據(jù)中心服務(wù)器作為安全方案的核心，構(gòu)成數(shù)據(jù)中心的三重防護(hù)。一是以安全特性較高的交換機(jī)群構(gòu)成服務(wù)器的保護(hù)基礎(chǔ)。二是通過ASIC、NP技術(shù)構(gòu)成的IPS網(wǎng)絡(luò)報(bào)文監(jiān)測系統(tǒng)，實(shí)現(xiàn)流量的清洗功能。三是利用高性能的防火墻對數(shù)據(jù)中心進(jìn)行安全加固。

骨干網(wǎng)作為校園網(wǎng)的核心網(wǎng)絡(luò)，向校內(nèi)的辦公網(wǎng)絡(luò)、學(xué)生宿舍網(wǎng)絡(luò)等源源不斷的提供安全穩(wěn)定的信息血液，保證整個(gè)學(xué)校整體業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

四、總結(jié)

校園安全網(wǎng)絡(luò)是一種全新安全架構(gòu)，其最大特點(diǎn)就是具有自我防御能力、自我愈合能力和集成協(xié)同的安全機(jī)制，不論是網(wǎng)絡(luò)系統(tǒng)本身還是網(wǎng)絡(luò)資源一旦受到諸如網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊時(shí)，能夠快速反應(yīng)，發(fā)現(xiàn)攻擊并給以阻止，發(fā)現(xiàn)病毒予以刪除，大大提高網(wǎng)絡(luò)安全性能。