校园网网络安全典型解决方案

校园网网络安全典型解决方案

1：校园网网络环境

校园网的内部网一般由办公网、机房、教室等多个网络组成。采用三层核心交换机为这些网段提供VLAN划分，该交换机级连多个工作组级的交换机用于桌面工作站接入。同时三层核心交换机提供连接到教育网的WAN（10/100M）链路，作为校园网的外网出口。而且WWW、MAIL等服务器也直接连接到了三层核心交换机中。校园网内部网运行着办公业务系统、多媒体教学等等多种业务系统。

2：校园网网络安全需求

校园网网络安全系统是一个要求高可靠性和安全性的网络系统，若干重要的公

文信息在网络传输过程中不可泄露，如果数据被黑客修改或者删除，那么就会严重的影响工作。所以校园网网络安全系统安全产品的选型事关重大，一旦被遭受黑客攻击病毒的侵袭，将会给该学校正常的教学及业务带来严重的影响。该校园网网络安全系统方案必须遵循如下原则：

全局性原则：安全威胁来自最薄弱的环节，必须从全局出发规划安全系统。

设计时需考虑统一管理的原则。

综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，因此建立网络安全设施体系的同时必须建立相应的制度和管理体系。

均衡性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。

节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。

3:校园网网络安全整体解决方案

逻辑上，校园网网络安全系统将划分为三个区域：公共区域(DMZ)、局域网用户和外网。其中公共区域为www, mail等既需要对外部提供服务，又需要为内部提供访问服务的区域，因此有必要将这些服务器安装在单独的公共区域中，这样一来可以防止外部用户直接访问内网，降低了内网被攻破的可能性。同时也保证了重要的来自内部的对于重要服务器的攻击行为的发生。该安全系统涉及到防火墙、入侵检测、防病毒等产品。但是考虑到经费问题和学校已经部署了防火墙，此方案中利用我公司的UTM安全网关产品，它集合了入侵检测，防病毒，垃圾邮件过滤等功能，给用户提供全面解决方案的同时还为用户减少了费用。

网络安全系统整体结构如下图所示：

4:设计建议

1、利用防火墙端口设置和策略设置的灵活性防火墙的每一端口可灵活赋予

内、外或DMZ区域的定义，并且可实现多区域的重复定义。这一端口灵活设置功能为校园网络的安全设计提供了有效应用方案。校园网络可根据科研单位、教工网络应用和学生网络应用的不同情况来进行防火墙产品的多端口应用和区域灵活定义。另外，启用防火墙的特有策略设置灵活性，在不同的访问区域间进行访问控制策略的独立规划。在无论是不同内网区域间、内外区域间、不同外网区域间都制定灵活的独立策略规划来更好的实现校园网络的安全应用。

2、利用UTM安全网关的强大功能，以技术简化管理，UTM是多端口硬件设备，整合了防网络病毒、垃圾邮件过滤、网址过滤、入侵保护，提供了反复的审计日志和安全可靠的管理方式。将多层的网络安全威胁集中在一个重要的交汇点上进行防御和管理，使得技术和管理这两个因素，在网络安全的解决方案中得到平衡。在这个系统中使用UTM安全网关产品避免了重复建设和节约了经费。同时为管理者快速、准确地发现问题、解决问题提供了可靠的依据。