論校園網建設的安全設計

危光輝

[摘 要]現在高校校園網絡系統隨著招生規模的增加,網絡系統變得越來越大,結構也越來越復雜,許多高校校園網建設初期對網絡安全重視度不夠,網絡安全布防不規范,給安全體系帶來了極大的挑戰。本文通過首先分析了校園網普遍存在的安全問題,然后結合大學校園網絡的安全需求,論述了建立大學校園網絡安全系統的解決措施。

[關鍵詞]計算機網絡 防火墻 網絡安全 網絡設計

[中圖分類號]G72[文獻標識碼]A[文章編號]1007-9416(2009)12-0009-02

1引言

本文通過對一些高校校園網絡的調查,分析網絡運行狀況,發現高校校園網絡主要存在這樣一些現象:網絡不穩定,時常斷網,不能正常訪問internet;由于外網線路,外部路由器等引起外部用戶不能正常訪問學校網站;由于帶寬不夠造成網絡反應速度緩慢;常受外部攻擊,內網數據受非授權訪問,資源濫用,病毒感染等等情況常有發生。上述問題己嚴重影響到校園網的正常應用。文本針對這些問題,設計了建立網絡安全系統的解決措施,包括外網的安全訪問;網絡結構的安全設計:主干安全設計、子網安全隔離;網絡服務的安全管理:防火墻控制、病毒防治、登錄控制、使用硬盤保護卡及其它安全措施等。

2 外網的安全訪問

利用校園網站對外進行宣傳是展現現代高校形象的重要方式,校園網必然地要與公眾網絡相連接,由于現在網絡攻擊手段日益增多,如何確保高校的信息資源、校內數據資料的安全保密是一個重要的問題。要保證外網在任何時候都能訪問到學校的Web站點,又需要禁止所有來自外網用戶對學校內部的重要數據的訪問,應該對校園網采用了屏蔽子網模式設計,專門為學校對外提供的Web服務器,FTP服務器和Mail服務器等提供一個DMZ區域,并對Web,FTP,Mail,DNS等服務器采用雙機熱備策略實現服務器的冗余以提高安全性和可靠性。同時,為了避免外部路由器、防火墻的單點失效及外網線路,ISP等引起的故障,可以采用鏈路備份技術:可申請兩條外網通信鏈路,一條為100M甚至1000M帶寬的光纖鏈路,另申請一條低價的2M ADSL作為備份,一旦主鏈路出了問題,可自動切換到備份鏈路上,當主鏈路故障未恢復前,可以保證學校主要部門訪問外部網絡不致中斷,從而保證了外網接入和訪問的安全性和可靠性。

3 網絡結構的安全設計

要解決一個網絡的安全問題,絕不能只是將各種網絡安全設備作簡單的布署和堆切,也不是簡單的安裝殺毒軟件等就可以解決,必須有安全的網絡結構設計作為前提:主干安全設計和子網安全隔離設計。

3.1 主干安全設計

校園內網主干安全性和可靠性的高低,是評判一個校園網是否安全的重要標準。對于校園內部網絡骨干,為了提高網絡的穩定性和高速反應的性能,應該采用雙核心技術,比如可采用兩臺Cisco Catalyst6509核心交換機,并以網關負載均衡協議GLBP技術進行冗余設計,既保證了交換帶寬,又保證了鏈路的冗余。從核心層到各分布層交換機,可以采用以千兆光纖作為干路,使用3對光纖冗余的方式,從網絡管理中心的核心交換機的千兆端口分別連接至校園內各辦公大樓、教學大樓、實驗大樓等分布層交換機,采用3對光纖冗余的設計方式可以解決鏈路損壞時線路檢修導致長時間內網絡不通的情況。

3.2 子網安全隔離

通常一個大學內的應用點眾多,地址位置十分分散,并且對網絡安全性也有不同的要求,所以需要劃分子網以便管理。劃分子網的原則有兩個:一是從安全性角度,二是從地理位置,主機數量的角度。首從安全性上考慮:在學校職能部門中,對安全性要求較高的主要有校長辦公室,黨支部辦公室,人事處,財務處等,每個部分需要劃分一個子網,以利于與其它網段隔離,提高安全性,而如校工會,校團委等對安全性要求一般的部門,可以劃分在一個子網內;然后結合地理位置、使用對象、主機數量等綜合考慮劃分子網,然后對各子網間互訪進行策略設計,比如采用分布式防火墻,以及訪問控制列表ACL,以及端口、IP、MAC相綁定以杜絕非法盜用及非法訪問。

4 網絡服務的安全保障

校園網應用系統的多樣性,復雜性,開放性,終端分布的不均勻性,極易遭受黑客,惡性軟件,非法授權的入侵與攻擊,以及存在有越權訪問服務器數據或網絡設備等問題,即使使用了再好的高性能的網絡設備,如果沒有對網絡進行安全設計以及良好的管理,那么也可能在很短的時間內,輕則變得極其緩慢,重則數據丟失,網絡崩潰。在設計校園網時,可以采用以下方式來提升網絡的安全性:

4.1 防火墻控制

防火墻是在內網與外網之間構筑的一道安全屏障,用于保護內網中的信息不受來自外網的非法侵犯。根據本文前面所述,校園網內外網連接采用屏蔽子網模式,可以在DMZ區與內網之間的防火墻使用比CiscoPIX系列防火墻安全性更高的Cisco適應性安全產品ASA(Adaptive Security Appliance);DMZ區與外網之間可使用Cisco PIX Firewall 535系列防火墻,并在防火墻上只開啟有限的端口,如訪問網站,文件服務器和電子郵件服務器的端口,禁用其它端口以提高DMZ區中服務器和內網數據的安全性。

4.2 病毒防治

網絡服務器是計算機網絡的中心,是網絡的支柱。網絡癱瘓的—個重要標志就是網絡服務器癱瘓。網絡服務器—旦被擊垮,造成的損失是災難性的、難以挽回和無法估量的。但計算機病毒有別于一般的網絡攻擊,不可能靠安裝防火墻等設備來防治。針對網絡服務器的病毒防治方法,可以使用防病毒可裝載模塊(NLM),以提供實時掃描病毒的能力,并結合利用在服務器上的插防毒卡技術,從而切斷病毒進一步傳播的途徑,同時,在學校的信息管理中心人員,應該在學校培養起集體防毒意思,制定出防病毒管理機制,變被動為主動,從根本上保護網絡系統的安全運行。

4.3 登錄控制

對能登到重要的服務器、交換機和路由器等網絡設備的用戶,應該專門配置進行集中驗證的radius服務器進行身份認證,針對每個有權訪問學校重要數據,如財務數據,招生信息數據以及學院的重要決策等,根據身份或角色的不同,應該分別設置不同訪問權限,分配不同的賬號,并對登錄時間,地點,用戶帳號等進行了控制,特別針對帳號進行管理,要求定期修改口令,設置口令的長度以及拒絕純數字口令等。

4.4 使用硬盤保護卡

針對不需要經常安裝新軟件的終端,如圖書館電子閱覽室,應該采用了硬盤保護卡,如果被病毒感染,重啟之后即可恢復正常。

4.5 其它安全措施

如定期數據的備份,數據鏡像,對重要數據的加密保存,操作系統漏洞補丁檢測等等技術綜合應用,以提高校園網重要數據的安全性和可靠性。

[參考文獻]

[1] 黎連業,張維.防火墻及其應用技術[M].清華大學出版社.

[2] 許治坤,王偉,郭添森,楊冀龍.網絡滲透技術[M].電子工業出版社,2005-5-11.

[3] 謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社,2003.