高校校園網網絡安全系統設計方案
——以博文學院校園網為例

郭寶軍

（蘭州交通大學博文學院，甘肅蘭州，730101）

1 網絡安全方案設計概述

（1）設計和保證內網的安全：為了保證學院網絡的安全，首先就要保證內部網絡的安全，它主要是實現內部網絡的安全防范。其中包括有效阻止內部人員的非法訪問，控制和處理網內的病毒傳播及對內網的攻擊等。（2）設計和保證接入網絡的安全：它主要是實現我們接入的網絡要安全，另外一些不是校園網的用戶。例如遠程用戶，出差在外的校園用戶及非本校園網內之用戶可以通過Interent來訪問我院校內的網絡資源。（3）設計和保證各區的安全：根據設計思想劃分的個相關區域的網絡安全。我們學院的校園網被分為教學樓辦公區、網絡數據中心區、廣域網連接區，學生接入區等，它主要是實現對各個劃分的安全區域進行安全防范。根據不同區域的安全要求來設計出不同的策略，保證每個區域的安全。（4）設計和保證核心數據區安全：它主要是重點保護和重點防御我院的中心數據區域，也就是對核心數據和存儲他們的區域進行安全設計。（5）設計和監管上網行為：對所有內網中的上網用戶行為監控。它主要是實現對校園網的安全管理，通過對內網用戶的上網行為進行監控，可以發現導致網絡被攻擊或者入侵的源頭，就可以對嚴重占用帶寬的行為和非法訪問進行控制和處理。

2 校園網網絡安全系統設計與實現

出口和核心部分的兩臺路由器、兩臺防火墻、以及兩臺核心交換機組成“日”字形雙平面冗余架構，設備之間均以千兆光口互聯。A、B業務之間通過雙平面隔離，同時可通過配置實現冗余備份。

網絡出口以兩臺SR6604高性能路由器作為網關，進行地址轉換，路由分發，VPN接入等功能，兩臺路由器可實現雙歸屬冗余備份。

防火墻部署在出口路由器與核心交換機之間，工作在透明模式，專門負責網絡安全過濾，兩臺防火墻組成雙機系統，同步保護兩條鏈路上的數據安全。

兩臺核心交換機之間通過光口連接組成雙機系統，支持IRF2智能彈性虛擬化技術。雙機雙上行到兩臺防火墻。S75E系列交換機支持豐富的擴展接口卡和業務卡。方便我們以后對網絡進行進一步擴展。

網管平臺直接連接在核心交換機側，在提供網絡網絡管理，設備管理，業務管理的同時。為內網接入用戶提供了安全準入服務，從最前端保障了網絡安全接入。同時，認證接入系統支持詳盡的用戶行為審計功能，支持實名制的用戶行為審計。

3 校園網可靠性網絡系統設計

為了提高可靠性，我們采用分布式體系結構。因為在分布式體系結構中，一般的設備都可以通過增加處理板來提高整體效果和性能。更主要的是我們能將不同功能分配在不同的處理板中。

采用實時熱備份技術，要依靠系統軟硬件，同樣的要是核心部件發生了故障，再軟件支持下可自動啟動備份部件。實現主備之間的倒換。為了保障網絡系統正常，不造成影響，當運行中發生設備故障時我們可以啟用備份系統。方案中設計的核心交換機如果配置冗余引擎，那核心層就可提供不間斷運行，為整個局域網的核心層做好保障。

采用關鍵部件的冗余，除了核心交換機，我們也可以把配件做備份并加以配置。即使系統發生故障，至少不至于所有功能全部失效。為此，在建設中讓我院的核心交換機都要采用雙電源、雙引擎、雙風扇等。

4 服務器系統安全設計與實現

4.1 RAID技術及應用

把多塊獨立的硬盤按不同的方式組合起來形成一個硬盤組，我們就稱之為RAID，也稱廉價磁盤冗余陣列。它是一種能提供更高的存儲性能和數據備份的技術，組成磁盤陣列的不同方式被稱之為RAID級別（RAID Levels）。數據備份用于當用戶數據損壞時恢復數據。也就是一旦用戶數據損壞，損壞的備份信息的數據恢復。保障用戶數據的安全性。總之，就是對RAID的操作我們的操作方法和對單個硬盤的一樣。

起初RAID的主要是為了節約成本，能使小容量硬盤的價格和低于一塊大容量的硬盤。而性能能實現一致。但現在RAID在這方面的作用已經很不明顯，只能發揮出多塊硬盤的優勢，能比單硬盤的速度快一點，吞吐量大一點。

4.2 雙機熱備技術

雙機熱備技術是應用在現代數據服務器上的一項技術，這種技術就是一種冗錯技術，要使服務器的數據安全可靠，能夠提高數據庫數據的安全性，就可以采用雙機熱備技術，這樣就可以讓數據永不丟失。雙機熱備份軟件MSCS能提高計算機系統可靠性，因此我們將MSCS 內置在Windows 2003 服務器版中，來實現客戶對計算機系統及應用可靠性的需求。雙機熱備技術的工作技術基礎是利用私有LAN監控主機狀態。而HA環境中的每個節點都同時監測，發生故障或一個數據庫系統不能正常工作。我們預先設置出的備用服務器將能接管這臺主機上所有應用，前端用戶就沒有任何影響。