小型校園網改進思路探究

呂宏強

中共寶雞市委黨校 陜西 721001

0 前言

現有的校園網是在前幾年ADSL上網的基礎上擴充為光纖而來的，用的網絡設備都是不可網管的，性能較差，安全性較低。一般都是用寬帶路由作為網絡的網關、DHCP服務器和 DNS服務器。內網服務器通過交換機與客戶機相連，處于一個網段，為了方便管理在內網不配置 DNS服務器，訪問內網WEB服務器是通過IP地址來完成，也很少搭建FTP服務。

1 改進思路一：配置單獨的DHCP和DNS服務器減輕路由的負擔

方法相對很簡單，需要指定相應的網段、IP地址池、網關、DNS，或者為特殊主機保留的IP地址。以圖1為例，網段為192.168.1.0，網關為192.168.1.254，首選DNS為192.168.1.252，IP地址池以網絡中的主機數為依據，比所有的主機總數多就行，如最多100臺主機時可以指定為192.168.1.1至192.168.1.100。

圖1 改進思路一網絡拓撲圖

由于傳統方案中路由承擔的服務角色太多影響網絡的效率和安全性，為此，可以將路由所承擔的 DHCP和 DNS服務分離出來，由專門的服務器來完成，這一方面可以減輕路由的承擔；另一方面也便于對服務器的集中管理，便于以后網絡的升級。

1.1 網絡拓撲圖

將寬帶路由的DHCP和DNS服務分離出來，用一個服務器來承擔，以減輕其通信負擔。配置的DHCP服務可以實現內網的IP地址自動獲取，配置的DNS服務可以實現內網HTTP服務的域名訪問和內網訪問外網 WEB站點。配置的FTP服務可以實現內網的各種教學資源的共享使用(如圖1)。

1.2 服務配置

DHCP配置：用中檔客戶機就可以實現DHCP服務的需求，操作系統最好是 Windows Server 2003。DHCP的配置

DNS配置：DNS服務對硬件的要求不是很高，可以和DHCP服務配置在一臺服務器機上。對于DNS的配置可以創建WEB服務器(WWW.AAA.COM=192.168.1.253)和 FTP服務器(FTP.AAA.COM=192.168.1.253)的正向作用域和反向作用域，配置DNS的轉發器，指向ISP提供的DNS服務器(如陜西電信可指定 61.134.1.4)。這樣當內網用戶訪問時，通過DNS解析后，如果是內網就會通過IP地址直接訪問，如果是外網就會通過網關去訪問外網。同時 DNS配置后就啟動了DNS緩存服務功能，在工作過程中能夠大減少內網對外網的訪問(主要是DNS解析的訪問)，從而提高通信效率。

WEB/FTP服務配置：首先，在DNS服務器上創建WEB和FTP所對應的正向作用域(由域名到IP的解析)和反向作用域(由 IP到域名的解析)；其次，在服務器上安裝 Windows Server 2003操作系統，并安裝IIS服務。創建基于主機頭的虛擬WEB站點和FTP站點，指定相應的訪問目錄和訪問權限。完成后就能夠在內網上通過域名訪問 WEB(URL=HTTP://WWW.AAA.COM)和FTP(URL=FTP://FTP. AAA.COM)服務。

安全防護措施配置：在DHCP/DNS服務器和WEB/FTP服務器上安裝桌面防火墻和殺毒軟件，以提高服務器的安全防護能力。

1.3 優點

內網的DHCP和DNS不再由路由來承擔，而是由專門的服務器來承擔，這樣有利于減輕路由的負擔，同時內網的WEB和FTP兩種服務均可以采用域名來訪問，方便了用戶對內網的訪問。

1.4 缺點

安全性不高，內網服務器和客戶機還是在同一網段，安全性方面和傳統的方案沒有多大提高。同時桌面防病毒軟件防護能力有限，不能起到有效的防護，特別是對于基于局域網傳播的病毒(如ARP)防護力度很差。

2 改進思路二：采用代理服務器，增加內網的安全

改進思路一雖然將路由的部分服務角色分離出來，但是對于網絡的安全防護沒有改進多少，不便于安裝基于網絡訪問的防火墻，內網服務器也無法對外發布。改進思路二在思路一的基礎上增加了堡壘主機，起到內外網絡隔離的作用，對網絡的安全具有一定的作用。下面對改進思路二作簡單的說明。

2.1 網絡拓撲圖

代理服務器采用雙網卡的堡壘主機來增加網絡的安全性。堡壘主機的作用主要有：Internet防火墻、Web緩存服務器以及內網服務器發布等。雙網卡的堡壘主機一個網卡與路由相連，IP地址與路由的LAN口IP在同一網段，如圖可設為192.168.1.253；另一網卡與內網交換機相連，IP地址與內網IP在同一網段，如圖可設為192.168.2.254，此IP也是內網用戶的網關IP。此思路內外網通過堡壘主機進行了隔離，同時 DHCP/DNS由內網的專門服務器承擔也減輕了路由的負擔，這樣不僅提高了網絡的效率和安全性，也便于維護管理(如圖 2)。

圖2 改進思路二網絡拓撲圖

2.2 服務配置

DHCP/DNS配置：同思路一，網段為192.168.2.0，網關為192.168.2.254，DNS為192.168.2.252。

WEB/FTP配置：同思路一，WEB服務器(WWW.AAA.COM=192.168.2.253)和FTP服務器(FTP.AAA.COM=192.168.2.253)。

防火墻配置：在堡壘主機上安裝防火墻軟件ISA2004，并設置相應的網絡規則和防火墻策略，以達到對內網的訪問控制和安全防護作用。

2.3 優點

①安全性較高：通過堡壘主機使得內網和外網得到有效的隔離，保障了內網的安全，也可以避免內網中的客戶機受到外網的攻擊。

②網絡效率較高：堡壘主機具有 Web緩存服務器的作用，可以大大提高內網訪問外網的效率。

2.4 缺點

①改進成本較大和管理難度較高：此思路要增添堡壘主機和ISA2004軟件，同時對網絡管需要較專業的網管員來完成。

②安全性不高：內網服務器和內網用戶同處于一個網段，服務器的安全不能得到很好的保障，安全性不高。

3 改進思路三：構建DMZ區，增加內網的安全性

改進思路二采用雙網卡的堡壘主機作為代理服務器，這有利于網絡安全的提高，但是對于內網的WEB/FTP服務器與用戶在同一網段，不便于服務的安全管理，為此思路三在雙網卡的基礎上采用三網卡的堡壘主機，將內網的WEB/FTP服務器規劃在DMZ區，將內網、外網和服務器網段分離開來，達到很好的防護效果。下面對改進思路三作簡單的說明。

3.1 網絡拓撲圖

采用三網卡的堡壘主機來增加網絡的安全性。堡壘主機的連接情況如圖3所示：一個網卡連接路由，IP地址可設為192.168.1.253；另一網卡與內網交換機相連，IP地址可設為192.168.2.254，此IP也是內網用戶的網關IP；第三個網卡與DMZ區相連，IP地址可設為192.168.3.254，此IP是DMZ區服務器的外網網關IP。在堡壘主機上安裝ISA2004網關防火墻。對于網絡設備交換機和路由器，可采用專業的產品(如思科、華為)，這更能增加網絡的安全性和可管理性。

圖3 改進思路三網絡拓撲圖

3.2 服務配置

DHCP/DNS配置：DHCP/DNS服務器部署在內網，配置方法同思路二。網段為192.168.2.0，內網網關為192.168.2.254，DNS為192.168.2.253。

WEB/FTP配置：WEB/FTP服務器部署在DMZ區，配置方法類同思路二。WEB服務器(WWW.AAA.COM=192.168.3.252)和FTP服、務器(FTP.AAA.COM=192.168.3.253)。

防火墻配置：在堡壘主機上安裝防火墻軟件 ISA2004，并設置相應的網絡訪問規則，使得內網用戶可以訪問外網和DMZ區；外網和DMZ不能訪問內網，但可以互相訪問，并設置相應的防火墻策略，以達到對內網的訪問控制和安全防護作用。同時還可以將DMZ區的服務器向外網發布，以便外網客戶的訪問。

3.3 優點

①安全性高：通過DMZ使得內網服務器和客戶機在不同的網段，增強了服務器的安全性。同時通過ISA2004使得內網的訪問得到很好的控制，也保證了客戶機的安全。這樣可以有效防護內網客戶機的安全，同時DMZ區的服務器的安全性也受到堡壘主機的防護。

②拓展性強：構建DMZ不僅可以提高網絡安全性，還有利于網絡的拓展升級，如用DMZ區的服務器承擔學校外網網站服務，可以減少網站服務器托管費用。

③管理性強：網絡設備采用專業的可網管的產品，可以進行更加細致和專業的管理，如可以對內網劃分VLAN以減小網絡廣播的影響，同時可以有效防止類似ARP病毒對局域網大范圍的傳播和攻擊。專業的網絡設備還可以通過網絡進行遠程管理和維護。

3.4 缺點

①改進成本較大：此思路要增添堡壘主機和ISA2004軟件，還要增加相應的專業網絡設，改進成本較大。

②管理難度較高：網絡管理需要懂ISA2004和專業網絡設備維護管理的專業網管員來完成。

4 結束語

網絡安全的防護與網絡的結構緊密相關，不同的結構具有不同的安全防護作用。對于不同需求的學?？梢詫⒁陨蠋追N思路作為改進網絡時的一個參考，本著提高網絡效率，增加網絡安全性的原則去進行改進。

[1] 蔡磊.小型局域網級網實戰.電子工業出版社.2001.

[2] 劉曉輝.圖解局域網構建與實戰.北京科海電子出版社.2006.

[3] 美Jeffey R.Shapiro.Windows Server 2003寶典.電子工業出版社.2004.

[4] 王達.網管員必讀——網絡應用.電子工業出版社.2006.