安全校园网组网方案

安全校园网组网方案刘敏（黔南民族师范学院计算机科学系2003级网络2班）摘要：随着网络的普及，校园网络已深入到各大高校，网络成为高校不可缺少的一部分，但随之而来的网络安全问题也层出不穷，千变万化，如何防范和保护校园网络的安全成为了当今的人们密切关心的问题，怎么样组建好一个安全的校园网络，本文针对我院校园网提出了一套安全的组网方案，只供参考．关键词：安全校园网安全组网方案校园组网方案组网一.概述随着计算机技术,网络技术的迅猛发展,计算机网络与人们工作和生活的联系越来越紧密,特别是随着以INTERNET为代表的全球性信息化浪潮的日益高涨,网络技术的应用研究正日益普及和深入,应用领域从传统的小型业务系统逐渐向大型的关键业务系统扩展。电子邮件，IP电话，网络查询和浏览，以及电子商务技术的迅速发展，网络正在成为现代社会正常运转不可或缺的部分。然而，网络在给人们带来种种益处的同时，也向人们提出了挑战，这就是网络安全的问题。电子邮件可能被偷看，商业机密可能被窃取，政府网站可能被恶意修改等。安全日益成为影响网络效能的重要因素，而INTERNET所具有的开放性，国际性和自由性在增加应用自由度的同时，对网络安全提出了更高的要求。Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要为：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面所有这些都是网络存在的安全隐患。本文只是以我院校园规模为蓝图，所设计的网络组网方案只针对我院的实际情况而设计的．是从网络组网安全方面着手规划设计组网．二．组网方案设计１．校园规模我院目前有六栋教学楼（第一教学楼，第二教学楼．．．．），三栋实验楼（第一实验楼，第二实验楼，第三实验楼），七栋学生公寓（９栋，１０栋，１１栋．．．），一栋图书馆，一栋民研所，网络中心建在第一教学楼。由于学院的规模要扩建，所以在设计的时候要考虑到网络的扩展性。２。学校业务需求1.网络要求实用、安全、经济、稳定、可靠、可扩展性好。2.建成的学校内部局域网，可以进行网页访问、电子邮件的收发（内、外）、电子公告牌BBS、教师课件制作资料的搜索查询、图书馆管理（可进一步扩展为电子阅览室）、学校管理软件（如校长决策、总务管理、教务管理、财务管理、档案管理等）以及各种网络软件的应用运行。3.在校园内部实现资源的高度、安全共享，为教学、科研、管理提供网络服务，为计划、组织、管理与决策提供基础信息和教学手段。4.提供办公自动化，对外实现与杭州市教育网的互联。3.网络管理需求网络的管理是不可或缺的方面,网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理.高效的管理策略能提高网络的运营效率,建军网之初就应该重视这种策略。网络管理包括两个方面：第一：人为制定的管理规定和策略，用于规范工作人员操作网络的行为；第二：网络管理员得用网络设备的和网管软件提供的功能对网络进行的操作；通常说的网管主要是指第二点，它在网络规模较小，逐渐显示出它的重要性，尤其是网管策略的制定对网管的有效实施和保证网络高效运行是至关重要的。本设计主要从以下着手：①对网络进行远程管理；②我院的校园网络管理由网络中心管理；③需要有计费管理功能；④具有网络监控功能，监控网络的运行情况；⑤采用易于管理的设备和布线模式；4.校园网网络拓扑图设计网络中心拓扑结构如图：组网说明：◆采用三层结构我院网络结构拓扑采用的是星型结构,网络层次结构的划分为:核心层,汇聚层和接入层。核心层通过S8016核心交换机连接到我院网络中心机房计费服务器曙光S220XP，通过天融信4000千兆防火墙，连接华为NE05路由器与CHINANET连接。使用的操作系统包括Windowsserver2000、Linux、WindowsXP等;使用的应用软件主要包括SQLServer、IIS等。校园网建设初期，由于对安全建设投入的不足，各级网络安全缺乏统一的的安全策略。具体实施为：1、主干采用三层架构，充分利用三层交换的高性能管理，满足大容量、高速率的数据传输。2、基于三层的管理，对网络各种信息数据的处理游刃有余。3、分布式的三层提供强大的系统张力，避免了牵一发而动全身。4、处于三层的交换技术，实现网络路由管理。不但有效控制网络风暴，又能实现跨VLAN的网络连结，为网络的安全提供了强有力的保障。5、分布式的三层结构使得管理智能化，提高了管理效率。优点:分布式三层网络提供基于二层交换技术的智能网管和三层各种协议的路由选择，从而满足各种高级的网络应用需求，这是普通网络所不敢想的。三层交换机支持流行的路由协议，把二层交换与路由器的优点有机地结合起来；三层交换可以针对IP地址进行控制，使组建大型局域网络变得更加便捷。分布式三层，可管理到每一个基层网络，大大减少了骨干负担。网络管理能力是均衡的，取代了头大身子小的堆叠式、大容量、高背板带宽、价格昂贵的中心式管理核心网络架构。在完成同样甚至更高级的功能情况下，设备的总体造价反而更加低廉。◆划分子网实行校园网划分子网划分，将会使网络性能大为改善，安全性大大提高，管理更加方便。我院校园网的主干交换机升级为千兆三层交换机，该交换机支持虚拟子网划分，为我院校园网划分虚拟子网创造了条件。在校园网划分虚拟子网时，我们采用了基于端口的VLAN划分方法。根据各部门工作性质、资源共享、各部门计算机与学生计算机分开的原则，划分VLAN。为了学校信息安全，允许学生计算机访问校园网公用服务器及上互联网，但禁止学生计算机访问学校各部门管理服务器及各教师计算机。将我院网络分为三个区：教学区，实验区和学生公寓区，其中教学区又再划分一，二，三幢为一个区；四，五，六幢为一个区，这样的划分考虑以后教学楼的扩建后网络的扩展；每个区都有核心层，汇聚层和接入层。四个核心层通过S8016核心交换机连接到我院网络中心机房计费服务器曙光S220XP，再经过天融信4000千兆防火墙，连接华为NE05路由器与CHINANET连接。采用星型网络拓扑结构，各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的站点，数据的安全性和优先级容易控制，易实现网络监控，但中心节点的故障会引起整个网络瘫痪。◆安全措施在我院网络与外网连接的入口添加了天融信4000千兆防火墙，有得于过滤外网病毒入侵等带来的危害；在计费服务器与核心交换机之间又添加了千兆防火墙，这是为了防内部网络对服务器的攻击，目前在网络安全方面，都存在着外网和内网的攻击，而内网的威胁占了大部分，所以主要考虑的还是内网的危害。◆硬件防火墙措施防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet之间地任何活动，保证了内部网络地安全；在物理实现上，防火墙是位于网络特殊位置地以组硬件设备――路由器、计算机或其他特制地硬件设备。防火墙可以是独立地系统，也可以在一个进行网络互连地路由器上实现防火墙。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构：（1）屏蔽路由器：又称包过滤防火墙。（2）双穴主机：双穴主机是包过滤网关的一种替代。（3）主机过滤结构：这种结构实际上是包过滤和代理的结合。（4）屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。◆软件防火墙措施安装网络版杀毒软件为加强学校的计算机的防毒工作，我院应购买正版的杀毒软件企业版如瑞星等，学校各主要服务器都安装该杀毒软件，各服务器定期自动更新病毒库；同时推荐学校的办公用机安装使用该杀毒软件，校园网上的计算机安装了该软件后，计算机自动从校园网上杀毒服务器升级病毒库，减少了用户升级杀毒软件的麻烦。对于安装其它杀毒软件的用户，我们要求他们定期更新杀毒软件，在病毒高发期，我们及时发出通告，提醒大家更新杀毒软件。◆网络设备清单S8016核心交换机曙光S220XP服务器天融信4000千兆防火墙华为NE05路由器华为S3026汇聚交换机华为S2403汇聚交换机华为S2024接入层交换机港湾H5010汇聚层交换机上图中，红色连接线表示光纤接入，黑色表示双绞线接入5.实验楼子网6学生公寓子网由于图书馆的规模较小，将其与学生公寓一起划分为一个子网。7教学楼子网为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术，提高学生的素质，改革课堂教学模式。8.小结校园网安全是校园网建设的重要组成部分，是伴随校园计算机网络的不断发展出现的问题,只有更好地解决好这一问题,校园网络才能更加稳步健康地发展,从而更好地为学校的各项工作提供更加快捷可靠的网络服务。为保证校园网的正常运行，根据我校校园网的实际情况，我们采取了一系列的安全措施，取得较好的效果。同时，我们的工作还存在许多不足，在今后的工作中,我们应更加重视网络安全问题,不断学习网络安全基础理论及安全技术,加强对校园网用户的安全意识的教育和安全技术的培训，提高我校校园网整体安全防范能力，保证校园计算机网络安全稳定地运转