構建基于全局安全的高校校園網絡

叢佩麗

遼寧機電職業技術學院 遼寧 118009

0 引言

隨著網絡技術的發展，高校數字校園網已經擴展傳統校園的功能，承擔著高校教學、科研、管理和服務等角色，是最終實現教育過程全面信息化建設的主導力量和堅強后盾。但由于校園網的用戶數量眾多，使用者多數不是專業人員，用戶防護意識薄弱，使校園網面臨著嚴重的安全威脅。目前，校園網的主動防御技術有：防火墻技術、入侵檢測技術和防病毒技術等，這些技術都是在網絡的某個部分進行主動防御，無法保證校園網整體安全。本文以遼寧機電職業技術學院校園網絡建設為例，依據“全局安全”的設計理念，闡述構建基于全局安全的高校校園網絡技術。

1 學院校園網絡現狀

遼寧機電職業技術學院老校區于 2000年投入運行，相繼完成了部分樓宇綜合布線工程、網絡中心建設。以 100M光纖接入方式接入INTERNET，通過防火墻實現NAT轉換，通過三層交換實現 VLAN 劃分，同時通過訪問控制列表設定學生端網絡和教師端網絡的訪問策略。南校區和北校區之間通過網通公司提供的2M數字電路實現內部通信。經過幾年的發展，已經具有下列服務功能：接入及網絡管理、數字圖書館、辦公自動化系統、WWW服務、郵件服務、網絡殺毒服務等。

在老校園網運行中，存在著以下的安全問題：

(1) 核心層采用單核心設備，不能保證網絡24*7小時不間斷工作。

(2) 存在著各種安全隱患：經常有用戶擅自更換 IP，導致合法用戶不能夠正常上網；學生擅自在局域網中假設代理軟件；在校園網中擅自假設DHCP服務器；通過這些非法手段，從而來影響校園網的正常運行，導致校園網不能夠正常運行。

(3) 由于校園網的用戶數量巨大，經常有學生使用各種攻擊手段對校園網進行攻擊和破壞，嚴重影響了網絡的安全。

2 全局安全的校園網絡總體方案

遼寧機電職業技術學院有兩個教學校區，即新校區和黃海校區(老校區)。新校區是學院的辦公主體校區，有教學、住宿、實驗及實訓場所，共計10余棟建筑物。通過雙100Mbps帶寬接入Internet，校園網采用千兆，核心設備考慮通過冗余技術加強容錯能力。

具體設計方案如圖1所示。

圖1 遼寧機電職業技術學院校園網絡建設拓撲圖

該方案在設計中，依據“全局安全”的理念，從接入層到核心層，從網絡準入到網絡準出，都采用安全機制，形成多種網絡組件聯動，全局防御。并且在網絡建成后，加強對校園網的管理和維護，培養高網絡使用者的安全意識，提高網絡防御技能等人為因素。這樣，就形成了從物理設備到人為因素的“全局安全”解決方案。

3 全局安全的校園網絡詳細部署

3.1 網絡核心區安全設計

為保證校園網絡 24*7小時不間斷服務，核心層采用雙核心架構，確保骨干網絡的可靠性。采用兩臺銳捷面向十萬兆平臺設計的S8610骨干路由交換機，其高性能，豐富的安全特性可以保證整個網絡的高速和安全運行。

3.2 網絡接入區安全設計

本網絡共劃分為7個子區域，分別是行政中心、老校區、學生宿舍A區、學生宿舍B區、展覽中心區域、機械工程館和儀器儀表館。在匯聚層根據每個子區域安全性要求不同，分別采用S7606、S7604和S7505安全接入交換機接入，在接入層采用 S2600接入。安全接入交換機同時支持 802.1X準入和Web準入，可在認證通過時動態的自動綁定用戶所使用的IP+MAC+端口，確保源IP地址和源MAC地址的真實性。

真實IP源地址帶來的價值包括：可實現完全杜絕ARP/ND欺騙問題；可防止各種源IP/MAC欺騙的網絡攻擊；可快速的定位網絡故障，從而最快速解決故障；可實現精準的網絡安全日志審計；可實現準確的基于IP地址的網絡流量計費，實現了網絡接入的安全。

3.3 網絡出口區安全設計

采用專用的網絡出口設備串聯在一起，性能高并各司其職，成熟穩定。采用一臺校園網專用的出口設備NPE50，其強大的 NAT和策略路由功能，特別適合大型校園網的出口應用；部署一臺應用控制引擎 ACE3000來控制網絡應用對出口帶寬的應用情況，保證關鍵業務的通暢，進而提高網絡出口帶寬的利用率，提高網絡的使用體驗；同時通過一臺千兆防火墻1600T和園區骨干交換機相連，能夠屏蔽來自外部的攻擊，便于實施各種安全策略，DMZ區用來放置像WEB等對外發布的應用服務器。同時部署專用的VPN網關WALL V160E，根據實際的需求為校外訪問者或內部人員的校外接入提供權限和簡單、安全的SSL VPN的接入方式。

3.4 制定完善的管理制度

(1) 加強對硬件設施的管理

網絡設備、光纜和雙絞線等硬件設施構成了校園網的硬件基礎，如果遭到了破壞，網絡安全將受到嚴重威脅，所以要加強管理。實施責任分工制，校園網核心設備由現代教育技術中心負責，系部樓內設備由各系部管理員負責，校內鋪設的光纜等設施由保衛部負責。每個負責的部門制定管理制度，并且制度上墻。

(2) 安裝殺毒軟件

在校園網上設置服務器，安裝網絡版殺毒軟件，支持客戶端在線升級。由校園網管理員負責將安全的重要性和在線升級方法制定成文件，共享在內網中，要求老師定期進行升級，機房中機器的升級由學生管理員負責，教師管理員定期進行抽查。

(3) 加強對學生的安全教育

學生是校園網的主要使用對象，也是對校園網存在最大威脅的團體。部分學生缺乏安全意識與知識，不能對個人電腦進行安全防護，造成病毒傳播；部分學生對攻擊技術感興趣，使用自學的各種攻擊手段對校園網進行攻擊，類似行為都對校園網安全造成了威脅。

為了保護校園網安全，首先要進行主動防御。采用802.1X準入和Web準備技術，要求每個學生接入校園網都要進行賬號申請，驗證成功后方可進行訪問，保證專號專用；在邊界防火墻上設置策略，過濾不健康網站，保證不良信息不能進入校園網；在IDS上進行監測，隨時發現安全隱患，并進行解決。eLog軟件與出口設備連動實現上網日志的記錄與查找，采用銳捷SNC網絡管理軟件，可以基于WEB集中對全網的網絡設備做發現、管理維護和監控。

對學生進行安全教育，以“加強安全意識，共建和諧綠色網絡”為主題，開展多次全方位的網絡文化宣傳活動。聘請網絡安全工程師面向全院師生進行安全專題講座；系部組織“綠色網絡”宣傳競賽活動；班級開展“安全網絡，人人有責”主題班會等。通過這樣一系列活動的開展，增強學生的網絡安全意識，提高安全防護知識，為共建全局安全的校園網絡貢獻自己的一份力量。

4 結束語

遼寧機電職業技術學院基于全局安全設計理念的校園網工程自施工完成投入使用以來，網絡運行質量很高，出色的為教學、科研、管理等提供了服務，為學院的信息化建設提供了堅實的平臺。但是信息技術的發展日新月異，各種攻擊技術和病毒也會層出不窮，本學院的校園網管理水平也要同步提高。

[1]劉文清.校園網的安全與防護策略研究[J].電腦開發與應用.2011.

[2]黃欣,趙志剛.基于全局安全的高校校園網絡設計方案[J].電腦知識與技術.2011.

[3]張俊蘭,郭金平.高校校園網設計方案[J].延安大學學報.2010.

[4]黃柯佳.校園網信息安全優化方案探討[J].通信與信息技術.2011.

[5]劉建波.關于構建和諧安全數字化校園的思考[J].高等教育研究(成都).2011.