校园网络安全方案的设计与实现

校园网络安全方案的设计与实现

【摘要】随着高校信息化建设的不断开展，几乎所有的高校都建立了自己的校园网，由于网络具有开放性，以及本身存在的技术弱点和人为疏忽，网络安全就成了至关重要的问题，本文从软件，硬件及管理方面阐述了解决方案。

【关键词】校园网；网络安全；防火墙；VLAN

【Abstract】With the continuous development of the University information system, almost all colleges and universities have established their own campus network. network security has become a critical issue , it is because the network has the openness and Inherent weaknesses and human negligence, this article described from the software, hardware and management solutions.

【Key words】Campus Network;Network security;Firewalls;VLAN

在当今社会，网络逐渐取代了很多传统信息通道，成为一种不可缺少的信息交换媒体应用在各个领域。然而，由于网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，网络安全就成了至关重要的问题。

随着高校信息化建设的不断开展，几乎所有的高校都建立了自己的校园网，为加快信息处理、合理配置和充分利用优质教育资源、科研和管理提供资源共享、信息交流和协同工作的平台，同时也是衡量一个高校教育信息化、现代化的重要标志。

在校园网的建设过程中，由于安全意识淡薄和资金欠缺，技术落后等多方面的原因，使得各高校普遍都存在着“轻安全、轻管理”的现象。但是随着网络规模的急剧膨胀，学生网络用户的快速增长，u盘的普及应用，校园网已经不仅仅服务于教育、科研和行政管理，它应用已经逐渐渗透到校园生活的方方面面。同时，学生是一个比较特殊的群体，他们思想单纯，心性不定，又对新鲜事物存在极大好奇心，容易受外界影响，学校有责任限制他们登陆不健康网站。在这种情况下，校园网的安全问题日益严峻起来。那么，如何在开放网络环境下保证校园网正常、安全、高效地运行就成为各个高校不可回避的一个十分重要的问题。

１．网络安全定义

网络信息安全一般分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件和运行服务安全，即保证服务的连续性、高效率。信息安全是指数据安全，包括数据加密、备份、程序等，我院主要是使用数据终端设备来进行数据信息保护的技术，如防火墙、防病毒等技术。

我们天津滨海职业学院的校园网络系统构成除了新校的十多个部门外，还包括成教的旧校区，而每一个部门或用户都有宝贵的或机密的信息，校园网络内部的信息也可以说是门类较多、丰富多彩。其中有的信息可以被外部访问，而有的信息相对外部来说是保密的。对这些信息如何去很好的管理，也是一个很重要的问题。管理作为信息安全保障三大要素之一，常常在保障信息安全的“链条”中，它成为最重要的一环。

2.校园网络的现状

2.1我校园网络的拓扑结构

天津滨海职业学院校园网作为服务于全校教育、科研和行政管理的计算机信息网络，实现了校园内局域网互通，并通过交换机与互联网相联。校园网由核心

层、汇聚层和接入层构成星型千兆以太网络，网络的设计思想是万兆可扩展，千兆为主干，百兆到桌面。核心层作为整个网络的核心，选用思科三层交换机为服务器作为这个网络数据快速转发的核心基础；接入层直接面向客户端，选用的是思科二层交互机连接不同的VLAN；汇聚层作为核心层和接入层的分界点。

校园内建筑物之间的连接选用多模光纤，以行政楼为中心，向其他建筑物辐射；楼内采用非屏双绞线缆。网络拓扑结构十分简单，网络入口在学院的网络中心，由电信光纤经过防火墙，最后到达核心交换机，再从核心交换机向四周辐射通向各个汇聚交换机。

2.2我校园网络面临的问题

我校园网的安全问题有其历史原因：在以前，主要因为意识与资金方面的原因，学校网络建设经费投入严重不足，所以就将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施。只是在内部网与互联网之间放一个防火墙就万事大吉，同时对学生上网不加限制，从而导致病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。我校园网建设中面临的问题有如下几个方面:

2.2.1硬件设备简陋

校园网的出口是网络规划和建设中需要重点考虑的问题,它关系到校园网用户对Internet访问的速度。我校网络整体结构设备简陋，现有设备技术指标低，没有路由器，路由选择由三层交换机来完成，为了提高速度，防火墙设置也不是很高。校园网建设的目的是为学校的各项工作信息化服务，提高工作效率，应强调其应用，应多购置服务器，每个服务器满足一个应用，把应用平台搭建起来，供师生逐渐熟悉，最终完全接受。

2.2.2 IP地址欺骗、盗用

现在TCP/IP协议广泛用于各种网络。但是TCP/IP协议本身就存在很多问题，几乎所有的internet协议都没有考虑安全机制。TCP/IP协议是采用物理地址来为网络节点的唯一标识，但是由于我们采用的是DHCP服务器技术，节点的IP地址是不固定的，是一个公共数据，因此攻击者可以直接修改节点的IP地址，冒充某个可信节点的IP地址，进行攻击。

2.2.3操作系统不防盗

我校大部分都使用windows操作系统，它虽然属于C2级安全操作系统，拥有用户标识、身份认证、存储控制和审计跟踪等功能，但由于整体设计的缺陷和其软件代码的巨大开发规模，系统本身存在安全漏洞也在所难免，校园网中大部分都使用盗版的操作系统，安全系数更加难以保证。人们很容易从网上获得相关的核心技术资料，特别是有关internet自身的技术资料及各类黑客软件，很容易造成网络安全问题。尤其是在学校，校园网内经常的病毒泛滥，这是因为学生的好奇心重，总在校园网内显示自己的自人能力。3.信息安全技术

由一于我校的网络设备相对简陋，所以在软件、设置问题上也受到一定局限性，好多高级安全功能没有，便无从设置，这就在网络安全方面留下了比较大的漏洞。校园网中的计算机系统的购置和管理情况也非常复杂。这样我们就必须在服务器设置，校园网络管理上多下功夫。

3.1防火墙技术

防火墙的英文名为“Firewall”，它是目前最重要的一种网络安全防护设备，从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一