校园网络安全系统的设计方案设计

校园网络安全设计方案

10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力

随着因特网的迅速发展，校园网的建设日益普遍。而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击，还有内部的攻击。所以，在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。

防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。

防火墙的概念：通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，并且本身具有较强的抗攻击能力。

防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。

防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许

防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP 地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校园网的一切活动。

校园网络在设置时应从下面几个方面入手：（1）入侵检测：具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NA T模式和透明模式。我们选择的是透明模式，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。在透明模式下，接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。（3）策略设置：防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。（4）管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和命令行界面，我们选择为通过web方式和java 等程序编写的图形化界面进行远程管理。（5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。千兆防火墙还

会达到几个G的性能。要充分进行性价比的考虑。（7）用户认证：要建立完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式，对于内部网络的安全又多了一层保障。

产品选择：CiscoPIX515防火墙

产品特点：CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技术，运行PIX操作系统，是一种实时的嵌入式强化系统，可以消除安全漏洞和性能降级损耗。

假如拓扑图如下（图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口，路由器的左口为f0/1，右口为f0/0.）：

要求：（1）对防火墙、路由器进行基本的命令配置，使得内网的所有机器能访问外网。（2）所有内网的主机出口使用防火墙对外的全局地址202.161.1.2（3）所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机，此主机对外公开地址为202.161.1.5，允许对此主机进行www、ftp。

其中防火墙的配置：

设置端口安全级别：

nameif e0 outside sec0

nameif e1 inside sec100

设置端口参数：

interface e0 auto

interface e1 auto

配置内外网的IP地址：

Ip add outside 192.168.3.1

Ip add inside 192.168.2.2

设置指向内外网的静态路由：

Nat (inside) 1 0 0

Global (outside) 1 202.161.1.2

Route outside 0.0.0.0 0.0.0.0 192.168.3.2

拓扑图如下：

办公教学网络海甸主校区(3.0万学生)

H3C 12508

教育网

400-1000M

公共应用平台、数据库

公网

学生宿舍网络

教工区网络S7506

H3C S3600

2

00-1000M (相距15

0公里

)

10000M

1000M

1000M

100M

100M

计费网关

路由器

100-20

0M (相距

15

公里)1000M

公网

儋州校区

网络中心H3C9508

100M

儋州校区(1.0万学生)

办公教学网络

1000M

学生宿舍网络

2000M

3928P-SI

路由器

计费网关

6506R 教工宿舍网络

(电信

ADSL)

城西校区(0.5万学生)

城西校区网络中心6506R

办公教学网络

教工学生宿舍网络(电信LAN)

3928P-SI 100M

100M

1000M 200-500M

VPN

什么是VPN ？

虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。VPN 属于远程访问技术，简单地说就是利用公网链路架设私有网络。

VPN----海南大学应用科技学院

VPN 的特点

安全保障：通过一条隧道，加密技术对数据进行加密，以保证数据安全性和私有性。