校园网安全体系设计及实践

校园网安全体系的设计与实践。

摘要：本文对校园网安全需求进行了分析，提出了网络安全产品的选购原则，并采用网络安全分层防护理论，设计了一个较完善安全体系，通过部署相应安全设备和实施有效的管理策略，得到了良好的实施结果，提升了校园网的安全性。

关键词：校园网安全体系管理策略。

1. 前言。

当前互联网的安全形势非常严峻，各种网络攻击、病毒、漏洞不断涌现，对校园网的稳定运行造成很大威胁。在这样的安全形势下，靠单一的安全产品已无法保证校园网的安全，只有根据校园网的具体情况，设计完善安全体系，部署完善的安全设备，并执行有效的安全管理制度，才能一定程度上保障校园网的整体安全。广东理工职业学院的校园网络由于缺乏相应的安全措施、设备，以及受网络拓扑结构的限制，该校园网的计算机常遇到病毒攻击及上网缓慢等问题，为提高校园网的可用性，需要部署一系列安全产品及措施，来构建一个相对完整的校园网安全体系，提高校园网的安全性与稳定性。

2. 校园网安全需求。

根据木桶理论的基本原理，校园网的整体安全水平取决于校园网中最薄弱的环节，最薄弱的环节往往会导致校园网的崩溃。要保障校园网的整体安全，需根据校园网的具体情况，如：网络拓扑结构、提供服务应用、接入客户端的类型等，结合当前的主流安全技术，部署一整套的安全设备，并配合一套执行有效的安全管理制度，方能在一定程度上保障校园网的整体安全。

本文作者通过对当前主流校园网安全的技术进行调研分析，并借鉴多所校园网的成功案例，以及与多家专业安全公司技术人员的深入技术交流，得到校园网安全系统的主要需求有：

1）高性能的多口千兆硬件防火墙：具备完善的多出口机制和灵活策略路由功能，保证对外的网络服务器正常高速运行，以及与电信学生宿舍网的互连访问权限控制。

2）高稳定性的流量控制产品：该控制设备来对校园网用户的网络行为进行合理限制，例如：对网络应用、并发连接数和带宽等进行管理，以合理使用校园网宝贵的出口带宽。

3）接入控制系统及智能网络管理系统：部署具有较完善功能的智能网络管理软件对入网计算机的入网许可及安全性（是否安装防病毒及最新补丁）进行检查并加以控制，该系统也可与流量整形系统结合，采用行为管理系统来实现。

4）网络版防病毒系统：对所有入网办公用机及机房管理机安装网络版防病毒软件来提高入网计算机安全，提高整网安全。

5）高性能的x86服务器：用于部署基础网络及管理服务，如：dns服务、文件服务、网络管理系统、日志系统等。

以上需求是针对保障校园网络基本安全提出的，若在条件允许情况下，应加以部署如：入侵防御系统，热备防火墙，网页防篡改系统等。

3. 校园网安全体系规划设计。

3.1 基本原则。

根据调研结果和我校的实际需求，制定的校园网安全产品选购原则有：

（1）稳定性原则：对于校园网安全产品而言，特别是防火墙、流量整形产品，其直接部署在校园网的核心，稳定性无疑是最为重要的，应确保能长时间的稳定运行。安全产品的的性能和质量直接关系到整个校园网络的系统稳定性，所以在选购时必须把其可靠性放在首位。

2）主流化原则：主流化是指技术先进、市场占有率大的主流品牌产品。技术先进意味其性能和功能处于领先的地位，不会容易被淘汰，可用期长；主流品牌说明产品的功能和性能满足了当前主流的各种技术指标，产品成熟可靠，保证了产品的可用性。

符合该原则的产品由于使用广泛，相关的技术资料、技术服务和培训机会容易获取。

3）服务好原则：校园网安全产品的服务应细致周到。网络安全产品在应用复杂的校园网中使用，容易出现一些技术问题，需要有专人不断进行维护和升级；同时，攻击手段的层出不穷，与防病毒软件一样，网络安全产品也需要不断进行升级来完善。

4）可扩展性原则：校园网安全产品的选购应充分考虑可扩展性，特别是中山校区还处于建设初期，建筑物及入网计算机将不断增加，更应考虑系统的可扩展性。对应某些核心设备，如：

防火墙、流量控制设备等，由于其升级不易，在购置时应适当考虑性能冗余，其性能指标应能满足未来几年网络规模拓展后的需求。

5）性能**比原则：性能与**比是一个重要的原则，在性能同等的情况之下，应选择**低的产品。

3.2校园网安全体系的设计。

计算机网络系统是一个分层次的拓扑结构，网络的安全防护也需要采用分层次的拓扑防护措施，完整的网络安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具等，创建一个比单一防护更加有效的综合的保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度，从而大大减少了他们对网络信息系统的攻击。

网络安全防护分层如表1所示：

表1 网络安全防护分层表。

校园网安全体系的建设，其中很大部分是安全策略及制度的制定及实施，其所涉及的范畴很大，特别是网络安全体系的分层表中的物理、应用、数据、管理层的安全，除了需要一定安全设备外，安全策略与制度的建设与执行也是非常重要。

3.3 网络安全拓扑结构设计。

校园网的安全是一个整体，其各层次及所有设备之间应尽量做到紧密结合，相互联动，从而构建一个有机结合的安全体。为实现该目标，在产品选型时应充分考虑的网络拓扑结构，及所选购产品之间的联动性，如：行为管理设备应与客户端安全软件相互结合，对不符合安全条件的计算机只允许访问安全升级服务区域，而不允许访问互联网。

根据校园网的拓扑结构，结合相关的安全体系理论研究及安全体系的设计理念，设计出能较好满足网络安全需求的系统拓扑图。

3.4设计要点及主要设备选型。

1）通过部署高性能防火墙，对不安全区域、dmz区、电信学生宿舍网和广州校区校园网等进行有效的访问权限控制，保证校园网的基本安全。防火墙的选型重点是要求其产品成熟稳定，有较多的高校应用案例，通过有关技术参数的比较分析，选出了阿姆瑞特防火墙作为首先设备。

2）部署流量控制设备，对校园网用户的上网行为进行有效控制，p2p类应用对出口带宽滥用将得到有效遏制，且利用上网缓存功能，在提升校园网用户上网速度体验的同时，其上网行为也将得到有效审计和记录。目前校园网流量控制主要是对ｐ２ｐ流量进行管理，通过调研及试用，比较适合我校应用的是深信服的上网行为管理网关，除了具有完善的上网行为、流量控制和上网加速功能外，还具有完善的审计功能及准入功能。

3）对所有办公电脑及机房管理机安装网络版的防病毒软件，提高全网安全性。在校园网中部署网络版的防病毒软件是非常必要的，通过对市场主流网络版防病毒软件：趋势、赛门铁克、卡巴斯基、mcafee、瑞星、江民、金山等进行对比分析，根据防毒能力、本地化情况、服务等方面进行对比分析，拟使用趋势的企业版防病毒软件。

4）尽快做到三层下发和细化子网，并通过部署高安全性的二层半智能交换机实现硬件防arp欺骗，提高网络的稳定性和安全性。

通过部署以上安全设备，配合有效的安全管理制度，将形成一个初步完善的校园网安全体系。

4. 设备部署及实施效果。

4.1 校园网安全体系的部署策略。

1）对防火墙部署完善安全规则，并细化控制各服务器的开放端口，严格控制各区域之间访问权限。

2）在应用控制网关上，实施合理的上网行为管理，对p2p类应用进行严格控制，并应用上网加速功能。

3）对应用控制网关日志进行60天的日志记录。

4）实施准入控制方案，对用户入网合法性进行验证，对部分固定用户采取免验证绑定策略，新接入用户及临时用户需通过验证方能访问互联网。

5）实施接入客户端安全性检测，只有安装好防病毒及系统补丁的服务器方能正常访问互联网，否则只能访问内网的防病毒及wsus补丁服务器；

6）对服务器的部署严格安全防护措施，严格检测其部署应用的安全性。

7）加强对数据安全的管理，制定有效可行的备份恢复方案。

8）建立并严格执行规章制度的策略。

4.2 实施效果。

通过安全系统的部署，校园网的安全性、可用性将得到保证，主要效果有：

1）初步形成校园网整体安全体系，从接入、网络到边界，或是客户端、服务器和网络设备，都部署相应的防护安全措施。

2）校园网用户行为得到有效管理，实现对校园网用户上网行的有效管理审计、记录和上网加速。

3）校园网出口流量得到合理控制，网络服务质量和用户上网体验得到保障。

4）提升网络及接入端的管理水平，加强了对客户端的网络接入控制及其安全性控制。

5）校园网的安全性、稳定性、可用性，及服务器、客户端的安全性都得到得到保障，从而提升整个校园网的网络服务质量。

5 结语。在当前不安全的网络环境下，要保证校园网的应用与服务，构建完善的校园网安全体系是非常必要的，本文通过对校园网安全实例进行分析，提出了网络安全产品的选购原则，利用网络安全分层防护理论，设计了一个较完善的网络安全体系，并通过部署相应安全设备及实施合理有效的管理策略，在实际使用环境中得到较好的应用效果，较好提升了校园网的服务质量。本文所设计并实施的安全体系对目前校园网普遍存在的安全问题提出一种具有较高借鉴价值的解决思路，网络安全形势不断发展，安全管理策略也应不断更新，方能不断提升网络安全管理水平。

校园网安全体系设计及实践

网络安全大作业校园网络设计

网络安全大作业校园网络设计

11学校校园网络及信息安全管理制度

其他用户还读了