摘要
摘要:随着社会的不断发展,时代的更替,网络已经逐渐成为人们生活最必不可少的一部分。信息时代的到来,网络已走进千家万户,随时随地在人们生活中发挥着不可替代的作用。人们在享受网络带给我们的便利的同时,也遭受着网络信息安全的威胁。校园作为学生学习的场所,可以借助网络更加方便、有效地向学生 传播知识,同时校园网络安全也需要引起我们高度重视。学生是整个国家和社会的未来,为他们提供良好的学习生活环境是每个社会成员义不容辞的责任。近年来, 随着数字化教学在校园中的进一步普及,学生开始对手机等网络设备的使用。校园网络在学生生活中的使用 越来越多,涉及也越来越广泛,因此校园网络存在的问题更是要引起社会的重视,并积极采取措施进行解决。
关键词:校园网,网络安全,信息安全
1 网络设计与原则
1.1网络设计原则
1.1.1.高性能
首先采用国家标准和国际标准,其次采用广为流行的、实用的工业标准,只有这样,网络系统内部才能方便地从外部网络快速获取信息。同时还要求在授权后网络内部的部分信息可以对外开放,保证网络系统适度的开放性。这是非常重要,而且非常必要的,同时又是许多网络工程设计人员经常忽视的。我们在进行网络系统设计时,在有标准可执行的情况下,一定要严格按照相应的标准进行设计,而不要我行我素,特别是在像网线制作、结构化布线和网络设备协议支持等方面。采用开放的标准后就可以充分保障网络系统设计的延续性,即使将来当前设计人员不在校园,后来人员也可以通过标准轻松地了解整个网络系统的设计标准。保证互连简单易行。
1.1.2.可靠性和安全性
在网络系统设计时首先应该以注重实用为原则,紧密结合具体应用的实际需求。在选择具体的网络技术时一定要同时考虑当前及未来一段时间内主流应用的技术,不要一味地追求新技术和新产品,一方面新的技术和产品还有一个成熟的过程,立即选用时则可能会出现各种意想不到的问题;另一方面,最新技术的产品价格肯定非常昂贵,会造成不必要的资金浪费。
1.1.3.可扩展性
这一点非常重要,否则会造成花了高的成本购买了主档次设备却得不到相应的高性能。网络性能与网络安全一样,最终取决于网络通信链路中性能最低的那部分。这就要求在进行网络系统设计时一定要全局综合考虑各部分的性能,而不能只注重局部的性能配置。特别是交换机端口、网卡和服务器组件配置等方面。
1.1.4.标准开放性
网络系统的“可用性”通常是由网络设备(软件系统其实也有“可用性”要求)的“可用性”决定的,主要体现在服务器、交换机、路由器、防火墙等重负荷设备上。这就要求在选购这些设备时一定不要一味地贪图廉价,而要选择一些国内、外主流品牌、应用主流技术和成熟型号产品。对于这些关键设备千万不要选择那些杂牌,一方面性能和稳定性无法保障,另一方面售后服务更将是无法弥补的长久的痛。
1.1.5.对业务流量模型变化的适应性
网络安全涉及到许多方面,最明显、最重要的就是对外界入侵、攻击的检测与防护。现在的网络几乎时刻受到外界的安全威胁,稍有不慎就会被那些病毒、黑客入侵,致使整个网络陷入瘫痪。在一个安全措施完善的计算机网络中,不仅要部署病毒防护系统、防火墙隔离系统,还可能要部署入侵检测、木马查杀系统和物理隔离系统等。当然所选用系统的具体等级要根据相应网络规模大小和安全需求而定,并不一定要求每个网络系统都全面部署这些防护系统。
1.2校园网络总体设计
随着网络的逐步普及,校园网络的建设是学校信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它为现代化教学、综合信息管理和办公自动化提供基本操作平台,而且提供多种应用服务,使信息能及时、准确传送给各系统,但是同时校园网还面临各种安全威胁。内容主要包括:介绍网络安全技术分析高校网络系统存在的安全隐患校园网网络安全对策分析
1.3网络系统设计目标
了解网络安全问题的主要威胁因素,得出校园网会面临的安全威胁,设计一种网络安全模型来建立校园网的安全防御体系。结合校园网络系统存在的安全隐患,对安全防御体系和加强安全管理两方面着手进行研究,能够构建一套有效的网络安全防御体系来解决校园网主要的威胁和隐患。
1.4校园网络安全设计原则
为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
2 校园网络安全分析
2.1校园网络存在的的安全隐患
2.1.1系统软硬件的安全漏洞
目前,大多数学校都采用Windows作为其电脑的主要系统,而该系统也是在人们生活中应用最广泛的系统, 它自带服务器,TCP/IP协议、防火墙等。由于它应用广泛,人们对该系统又比较熟悉,使得这种系统极其容 易遭受外部网络攻击,造成信息泄露或资源丢失。
2.1.2网络监管不到位
计算机科学作为新兴的教育学科,随着时代的潮流,越来越受到学生们的欢迎。而学生在对这门科学进行学 习时,往往充满好奇并且跃跃欲试。他们首选的尝试对象通常都是自己所在的校园网络平台。由于学生的恶 意干扰,使学校的网关受到影响,甚至造成教师授课时网络异常、信息丢失等。同时,教师网络安全意识薄弱,对于网络异常信息丢失不以为意,非计算机专业老师更是无法判别信息问题出现的原因,仅靠对计算机硬件设施的重启来解决问题,认为是计算机硬件本身出现问题造成的,使得对于学生网络恶意攻击监管懈 怠,没有监管力度。
2.1.3外界人员恶意攻击截取学校资源
大多数高等学校既是教书育人培养人才的摇篮,也是一座科学研究所。有些外界人员会为获取利益而恶意攻 击学校网络,偷取校园资源,甚至造成校园知识系统的损坏。
2.1.4恶意病毒入侵
现如今网络时代,信息交换不可避免,而网络信息中有时会存在恶意的病毒,像熊猫烧香、木马、超级病毒 等,也许是个网络信息文件,也许是源程序代码,也有可能隐藏在U盘当中。所以,在学生获取网络资源 时,极有可能不知不觉就落入病毒的陷阱。
2.1.5校园网络的可用性问题
校园网络是供在校师生使用的局域性网络,是一种有限资源。而学校通常会出现大量学生同时在线的问题, 比如,学校的固定时段选课、学生固定时段上网络课程等,对校园网的拓扑复杂度要求极高,由此也产生了 学生无法进入系统及系统崩坏的问题。
2.2 校园网络安全问题的成因
2.2.1学校自己的网络安全系统不完善
虽然学校应用自己的局域网与外界无线网相互隔离,但是信息传递是不可避免的,学校依然需要使用外界网 络进行信息沟通,而不是一座独立的信息孤岛。以我院为例,我们的办公网络采用中国石油的局域网,大大 加强了我校的信息安全程度。同时,我们也利用无线网络加强学校的信息使用,无线网络的威胁主要存在于 与局域网在同一台计算机上使用,使外界危害信息安全因素有缝可钻,无法达到信息绝对的安全。
2.2.2师生缺乏网络安全意识
在校园中学生攻击校园网事件时有发生,更有学生在校际间相互攻击网络进行恶性比赛,造成了学校网络问 题屡有发生。而老师对于学生行为无法进行准确追责,造成教育监管漏洞。
2.2.3外界影响难以避免
有些外界人员对于自身利益的追求跨越道德底线,恶意盗取学校教育研究资源,使得资源被外泄,甚至威胁 国家安全。同时,病毒对学校网络和计算机硬件恶意攻击的事件时有发生,学生为获取信息资源打开链接或 信息文件时,携带的病毒便在该计算机上扩散,甚至污染移动硬盘造成更大的危害。而这些无法避免的危害 在校园网络肆意蔓延,严重威胁了校园的网络安全。
2.2.4校园网络拓扑程度低
由于路由器这类共享设备的局域限制,使得网络接入存在无法全覆盖的的问题。学校采用与外界相同的WIFI 设备是无法满足成千上万师生对于网络的使用要求的。
3 校园网安全设计
3.1网络总体设计
本文规划的是一个校园的网络搭建,交换机运行MSTP和VRRP协议,做冗余备份,保护链路安全。运行ospf动态路由协议,方便路由维护。使用dhcp动态分配地址,便于ip地址管理。出口采用防火墙设备,保护网络安全。同时在防火墙上做划分区域,可以让校园内网访问外网。
3.2网络功能设计
(1)校园网配置MSTP+VRRP,同时实现冗余,划分实例,让不同的vlan优先选择相应的交换机,并减少stp震荡
(2)明诚楼、慧源楼、服务区的所有用户通过配置相应的DHCP中继能自动获取地址,且DHCP服务器为AR2
(3)分校区用户也需要要自动获取地址,相应服务器为AR13,AR13配置相应的子接口为相应终端分配地址
(4)慧源楼主要配置OSPF让其相应路由器能学到相应的路由表明诚楼应用RIP协议和OSPF协议,并将RIP和OSPF路由进行双向引入,让其能与慧源楼互通
(5)FW1/FW2都配置相应的安全策略,且在FW1上放行trust到dmz的流量
(6)FW1/FW2配置相应的NAT策略,使得内网、dmz可以访问外网(百度)
(7)FW1/FW2配置相应的IPsec VPN让模拟主校区与模拟分校区之间互通,允许互通的网段为172.16.X.X/16
3.3 校园网络设计
网络的设计原则包括三方面:(1)可靠性原则:一是业务稳定运行,二是故障恢复时间快。(2)实用性和可扩展性:符合实际并且便于扩展。(3)安全性:校园网设备和链路必须具有冗余备份和内容安全性一个网络的拓扑图能够最直观的呈现这个网络的设计思想,要求任何一台设备都不能宕机,所以所有交换机必须要有双机热备冗余备份。校园的网络拓扑如下图所示。
3.4 ip地址和vlan 划分
VLAN(虚拟局域网)或虚拟局域网 (VLAN) 是一种通信技术,它在逻辑上将物理 LAN 划分为多个广播域。VLAN 中的主机可以直接相互通信,但 VLAN 不能直接通信,从而将广播数据包限制为单个 VLAN。任何一个网络基础都是IP地址,网络设计也都是从IP地址和VLAN划分开始的。划分VALN是隔离广播域最有效的方法。子网划分和vlan划分是网络最基本的组成部分。本次VLAN的划分根据需求出发每个区域划分单独的VLAN,使区域之间相互独立,更便于管理。本次设计的VLAN和IP地址划分如表2-1表2-2所示:
表2-1地址规划
实验命令这块只写了主要部分,完整命令可私信领取
