【大數(shù)據(jù)時代的校園網(wǎng)絡(luò)安全方案設(shè)計11000字（論文）】

PAGE2校園網(wǎng)絡(luò)安全方案設(shè)計目錄268121緒論 1246841.1研究背景與意義 1209961.2本文主要研究內(nèi)容 1196932校園網(wǎng)絡(luò)安全方案的關(guān)鍵技術(shù) 282112.1防火墻技術(shù) 25602.2入侵檢測技術(shù) 250192.3漏洞掃描技術(shù) 263432.4網(wǎng)絡(luò)訪問控制技術(shù) 3314643校園網(wǎng)絡(luò)安全需求分析 3260583.1需求分析 3324543.1.1網(wǎng)絡(luò)結(jié)構(gòu)分析 3160263.1.2安全分析 4224523.2校園網(wǎng)安全“三元論”理念 5224903.3校園網(wǎng)絡(luò)安全模型 5136874校園網(wǎng)絡(luò)安全方案設(shè)計 62904.1校園網(wǎng)結(jié)構(gòu) 6134554.2安全聯(lián)動系統(tǒng)設(shè)計 8192424.2.1安全聯(lián)動系統(tǒng)結(jié)構(gòu) 8225644.2.2安全聯(lián)動系統(tǒng)配置信息 9216404.3校園骨干網(wǎng)安全性設(shè)計 9297794.3.1骨干網(wǎng)技術(shù)選擇 964604.3.2骨干網(wǎng)設(shè)備選型 1051384.3.3傳輸介質(zhì)選擇 10172974.3.4路由設(shè)計策略 11325114.3.5骨干網(wǎng)冗余設(shè)計 11125814.4校園接入網(wǎng)的安全性設(shè)計 12263234.4.1接入網(wǎng)安全設(shè)計概述 12135904.4.2準(zhǔn)入控制系統(tǒng)設(shè)計 12167294.4.3準(zhǔn)入控制系統(tǒng)控制流程 13103984.4.4基于802.1x的認(rèn)證計費系統(tǒng)設(shè)計 15151184.4.5入侵檢測設(shè)備選擇 1596524.5校園網(wǎng)安全出口設(shè)計 16204404.5.1校園網(wǎng)出口技術(shù)選擇 16254334.5.2校園網(wǎng)安全出口冗余設(shè)計 17170224.5.3防火墻選型 17106924.5.4NAT配置 18124804.6校園網(wǎng)安全防御體系流程 18175535建立校園網(wǎng)絡(luò)安全管理制度 19126055.1安全管理制度建設(shè) 19193415.2人員安全管理規(guī)范 1944955.2.1關(guān)鍵崗位人員應(yīng)定期的考核 1979095.2.2安全意識教育和培訓(xùn) 19159395.2.3外部人員訪問管理 2065856結(jié)論 2027544參考文獻 211緒論1.1研究背景與意義當(dāng)前，網(wǎng)絡(luò)安全環(huán)境越來越復(fù)雜，安全問題越來越突出，安全事件不斷發(fā)生，當(dāng)前我國各行各業(yè)的信息安全意識“不容樂觀”。在兩屆會議期間2015年，中國人民政治協(xié)商會議委員嚴(yán)望佳就信息安全提出三項建議。在3月8日全國人大常委會工作報告中，國家委員長張德江表示，今年將制定網(wǎng)絡(luò)安全法。顯然，安全問題已成為世界范圍內(nèi)的熱門話題，并受到越來越多的關(guān)注。然而，與互聯(lián)網(wǎng)一樣，當(dāng)前的大學(xué)校園網(wǎng)絡(luò)安全形勢不容樂觀，不可避免地面臨各種惡意信息的傳播、病毒、各種攻擊、病毒入侵等各種威脅。網(wǎng)速、拒絕服務(wù)甚至財產(chǎn)損失[1]。網(wǎng)絡(luò)安全包括一個國家的政府、軍事、經(jīng)濟、文化教育等諸多領(lǐng)域，需要完善的網(wǎng)絡(luò)安全保護機制來保護這些信息。隨著我國網(wǎng)絡(luò)安全漏洞的逐步暴露，建立網(wǎng)絡(luò)安全迫在眉睫，任重道遠(yuǎn)。為大學(xué)校園網(wǎng)建立合適的安全防護方案對大學(xué)的發(fā)展至關(guān)重要。高校網(wǎng)絡(luò)安全建設(shè)是構(gòu)建和諧社會、和諧校園的要求，是平安校園。在大學(xué)建立網(wǎng)絡(luò)安全有助于提升學(xué)校的形象。該大學(xué)的本科生質(zhì)量評估顯著提高。一個“綠色”、安全的校園網(wǎng)絡(luò)環(huán)境將大大提升大學(xué)的形象。它可以防止重要數(shù)據(jù)和信息的破壞與丟失，避免造成經(jīng)濟損失[2]。1.2本文主要研究內(nèi)容論文主要內(nèi)容包括:1.詳細(xì)介紹校園網(wǎng)特點，校園網(wǎng)面臨安全威脅和信息與網(wǎng)絡(luò)安全關(guān)鍵技術(shù)。2.分析校園網(wǎng)需求分析，網(wǎng)絡(luò)安全“三位一體”的概念和PPDR動態(tài)安全模型。3、設(shè)計分層網(wǎng)絡(luò)結(jié)構(gòu)和安全連接體系，進行骨干網(wǎng)安全設(shè)計、接入網(wǎng)安全設(shè)計、校園網(wǎng)安全出口設(shè)計。4、建設(shè)和完善校園網(wǎng)絡(luò)安全管理體系，包括建立安全管理機構(gòu)，完善安全規(guī)章制度，管理網(wǎng)絡(luò)設(shè)備安全，管理人員安全，應(yīng)對突發(fā)事件。2校園網(wǎng)絡(luò)安全方案的關(guān)鍵技術(shù)2.1防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)互連設(shè)備，由計算機硬件和軟件組成，用于實施不同網(wǎng)絡(luò)之間的訪問控制。防火墻通過過濾進出Intranet的數(shù)據(jù)來保護網(wǎng)絡(luò)，并防止可能存在惡意破壞意圖的網(wǎng)絡(luò)的信息和數(shù)據(jù)隨意進出校園網(wǎng)絡(luò)。由于防火墻是阻止黑客和病毒發(fā)起網(wǎng)絡(luò)攻擊的主要手段，因此了解如何設(shè)計和配置防火墻以提高整個網(wǎng)絡(luò)的安全級別非常重要[3]。作為網(wǎng)絡(luò)隔離器、活動限制器和行為分析器，防火墻可以通過監(jiān)控和記錄流經(jīng)校園網(wǎng)絡(luò)出口的所有活動來有效地保護內(nèi)部網(wǎng)。防火墻的主要功能是：(1防火墻是內(nèi)部網(wǎng)絡(luò)的集中監(jiān)控點?？梢赃^濾掉相對不安全的訪問行為。它增加了內(nèi)部網(wǎng)絡(luò)的安全性，因為只有那些經(jīng)過精心挑選的協(xié)議才能通過網(wǎng)絡(luò)。（2）保護內(nèi)網(wǎng)敏感信息防火墻將內(nèi)外網(wǎng)隔離，保護內(nèi)網(wǎng)敏感信息，防止內(nèi)網(wǎng)敏感信息外泄[4]。2.2入侵檢測技術(shù)入侵檢測技術(shù)是動態(tài)防御系統(tǒng)的核心技術(shù)之一。通過觀察動態(tài)行為信息、安全系統(tǒng)日志、數(shù)據(jù)審計，判斷某行為是否為入侵行為，實時響應(yīng)總體安全事件[6]。入侵檢測系統(tǒng)按技術(shù)可分為：異常檢測和誤用檢測。異常檢測模型檢測異常行為與正常主體行為之間的偏差，以確定是否存在入侵[7]。首先，我們總結(jié)了正常活動的特征，如CPU使用率、內(nèi)存使用率、文件驗證等，為主題的正常活動設(shè)置“配置文件”，將當(dāng)前主題的行為與“活動配置文件”進行比較，然后檢查是否違反統(tǒng)計法。分析判斷，如果違反了統(tǒng)計法，那么這些數(shù)據(jù)就會被認(rèn)定具有侵入性質(zhì)。誤用檢測模型是檢測用戶行為與已知入侵行為的對應(yīng)程度。當(dāng)前用戶動作與特征庫中的記錄匹配時，系統(tǒng)將當(dāng)前動作視為侵入動作，并且每一個能夠匹配到入侵者的動作都會引發(fā)警報[8]。2.3漏洞掃描技術(shù)安全漏洞是硬件、軟件和協(xié)議的設(shè)計和實現(xiàn)，或計算機網(wǎng)絡(luò)系統(tǒng)的安全策略中的缺陷和缺陷。一般來說，攻擊者在未經(jīng)管理員許可的情況下利用系統(tǒng)漏洞進行非法行為，非法訪問系統(tǒng)的某些資源，或者破壞網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵資源。一般來說，當(dāng)軟件集成時，程序員會留下后門以方便測試，從而在計算機軟件中制造潛在的安全漏洞。漏洞掃描可以主動檢測網(wǎng)絡(luò)和系統(tǒng)漏洞，大大提高校園網(wǎng)的安全等級，與入侵檢測系統(tǒng)相比，安全漏洞掃描系統(tǒng)是一個相對主動的檢測系統(tǒng)。對系統(tǒng)潛在的安全漏洞進行逐一掃描，對數(shù)據(jù)進行記錄、分析、審計，為管理員提供全面可靠的安全報告，掃描對象為服務(wù)器、交換機、數(shù)據(jù)庫、工作站等[9]。2.4網(wǎng)絡(luò)訪問控制技術(shù)網(wǎng)絡(luò)訪問控制系統(tǒng)是一系列硬件和軟件技術(shù)組合體。當(dāng)客戶端要接入網(wǎng)絡(luò)實體時，客戶端要向網(wǎng)絡(luò)訪問控制系統(tǒng)發(fā)出申請，系統(tǒng)要對用戶主機系統(tǒng)和用戶身份進行審核，當(dāng)二者都滿足安全策略時，該終端才被允許接入網(wǎng)絡(luò)實體。如果其中任何一個不符合安全策略，則設(shè)備發(fā)送的申請會被門禁系統(tǒng)拒絕，系統(tǒng)會自動采取相應(yīng)的解決方案[10]。身份認(rèn)證是當(dāng)計算機網(wǎng)絡(luò)系統(tǒng)的用戶進入系統(tǒng)或訪問具有不同保護級別的系統(tǒng)資源時，系統(tǒng)驗證用戶身份是否真實、合法和唯一的過程。身份認(rèn)證主要通過身份認(rèn)證協(xié)議和相關(guān)的軟硬件來完成。自我認(rèn)證的作用是防止不法分子進入網(wǎng)絡(luò)系統(tǒng)，防止不法分子通過各種非法操縱獲取不正當(dāng)利益，通過非法訪問受控信息惡意破壞系統(tǒng)數(shù)據(jù)完整性。網(wǎng)絡(luò)訪問控制技術(shù)是保證計算機網(wǎng)絡(luò)系統(tǒng)安全的重要措施之一[11]。3校園網(wǎng)絡(luò)安全需求分析3.1需求分析3.1.1網(wǎng)絡(luò)結(jié)構(gòu)分析現(xiàn)今，國內(nèi)高校校園網(wǎng)都采用技術(shù)成熟的網(wǎng)絡(luò)分層結(jié)構(gòu)設(shè)計思想，如圖3-1所示。圖3-1網(wǎng)絡(luò)分層結(jié)構(gòu)圖校園網(wǎng)采用核心、匯聚、接入三層整體架構(gòu)。接入交換機采用二層智能網(wǎng)管交換機，連接100M機房，匯聚層交換機實現(xiàn)大樓接入交換機互聯(lián)，每棟大樓都有匯聚交換機作為大樓的匯聚節(jié)點，匯聚層交換機連接到鏈路核心交換機。核心層和匯聚層使用強大的三層交換機，核心層交換機的先進特性、吞吐量和可靠性是校園網(wǎng)最重要的方面之一。校園網(wǎng)通常是適合分層網(wǎng)絡(luò)設(shè)計的大型計算機網(wǎng)絡(luò)，整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)清晰易維護。在層次結(jié)構(gòu)中，每一層都實現(xiàn)了特定的功能，每一層都使用互補的協(xié)議來實現(xiàn)全網(wǎng)的高速接入、可靠運行、安全可靠。3.1.2安全分析相關(guān)機構(gòu)對校園網(wǎng)安全事件進行統(tǒng)計分析發(fā)現(xiàn)，校園網(wǎng)面臨的安全風(fēng)險中，校園網(wǎng)內(nèi)隱藏的網(wǎng)絡(luò)安全風(fēng)險占校園網(wǎng)安全風(fēng)險的60%以上。可見，必須注意維護內(nèi)網(wǎng)的安全。因此，防御網(wǎng)絡(luò)內(nèi)部攻擊的方法已成為校園網(wǎng)絡(luò)安全的研究熱點。校園網(wǎng)的安全問題主要包括系統(tǒng)安全和數(shù)據(jù)安全，一是防止黑客攻擊和病毒傳播，二是防止未經(jīng)授權(quán)的數(shù)據(jù)訪問。結(jié)合校園網(wǎng)大學(xué)的實際需求，在保證校園網(wǎng)高速穩(wěn)定運行的條件下，可以對整個校園網(wǎng)進行網(wǎng)絡(luò)控制和存儲控制，區(qū)分不同的安全級別。不同的安全域分級管理，每個安全部門根據(jù)不同的安全級別實施不同的安全策略。大學(xué)校園網(wǎng)是具有代表性的大型三層交換網(wǎng)絡(luò)，為了校園網(wǎng)的高速穩(wěn)定運行，需要對每一層進行技術(shù)分析、設(shè)備選型和傳輸介質(zhì)選型。分層結(jié)構(gòu)對每個子網(wǎng)實施不同的安全策略，提高整個校園網(wǎng)的安全性。針對校園網(wǎng)存在的安全問題，我們根據(jù)漏洞的嚴(yán)重程度和敏感信息的安全級別，提供關(guān)鍵的安全防御。3.2校園網(wǎng)安全“三元論”理念校園網(wǎng)安全“三元論”的理念是做好戰(zhàn)略、技術(shù)、管理三要素，達(dá)到校園網(wǎng)安全的目的。安全策略是構(gòu)建和運營校園網(wǎng)絡(luò)安全的基礎(chǔ)。全面的安全策略需要一系列準(zhǔn)備工作。技術(shù)、標(biāo)準(zhǔn)等，最終建立適合學(xué)校校園網(wǎng)的安全策略。安全技術(shù)是解決校園網(wǎng)絡(luò)安全挑戰(zhàn)的重要保障，安全技術(shù)體現(xiàn)在安全產(chǎn)品、安全工具、勞動力素質(zhì)、應(yīng)用服務(wù)等方面。安全管理是保障校園網(wǎng)絡(luò)安全的關(guān)鍵問題。學(xué)校要特別注意安全組織建設(shè)、安全管理人員的培養(yǎng)和專業(yè)技術(shù)人員的培養(yǎng)，確保安全戰(zhàn)略的有效實施。考慮到校園網(wǎng)絡(luò)環(huán)境安全事件多發(fā)的問題，“三元論”概念的引入為有效解決校園網(wǎng)絡(luò)安全問題提供了清晰思路。3.3校園網(wǎng)絡(luò)安全模型PPDR動態(tài)安全模型由保護、檢測、響應(yīng)和修復(fù)四個部分組成。按照安全策略的指引，這四部分構(gòu)成一個動態(tài)的、完整的循環(huán)安全系統(tǒng)，及時將相對不安全的系統(tǒng)狀態(tài)調(diào)和到最安全的系統(tǒng)狀態(tài)，最大限度地保護信息和網(wǎng)絡(luò)系統(tǒng)安全。安全策略是模型的核心，是成本和效率之間的平衡，是為保護整個網(wǎng)絡(luò)免受攻擊而采取的各種預(yù)防措施的總和。保護、檢測和響應(yīng)可以根據(jù)安全策略的指導(dǎo)來實施，如圖3-2所示。圖3-2PDRR安全模型圖PPDR安全模型的思想：是按照安全策略的指引，綜合運用多種保護工具，通過流量統(tǒng)計、模式匹配、異常分析以及主機和應(yīng)用進行安全檢測和有效評估安全態(tài)勢——基于的方法。當(dāng)系統(tǒng)檢測到異?；顒訒r，會根據(jù)整體安全策略及時有效的響應(yīng)，將系統(tǒng)狀態(tài)調(diào)整到最低級別，盡可能保護系統(tǒng)安全。4校園網(wǎng)絡(luò)安全方案設(shè)計4.1校園網(wǎng)結(jié)構(gòu)高校校園網(wǎng)一般屬于大型校園網(wǎng)，對于規(guī)模大、集中度高的校園網(wǎng)絡(luò)，采用客戶機和服務(wù)器(C/S)模式。校園網(wǎng)采用以路由交換技術(shù)為主的網(wǎng)絡(luò)分層結(jié)構(gòu)，每個層次分別實現(xiàn)不同業(yè)務(wù)功能。如圖4-1所示。圖4-1高校校園網(wǎng)總體網(wǎng)絡(luò)圖在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，每一層都實現(xiàn)了一組特定的特性，雖然每一層的協(xié)議選擇不同，但每個協(xié)議必須是互補的。1、核心層設(shè)計由于核心層是由大容量交換機、路由器或路由交換機組成的骨干網(wǎng)，校園網(wǎng)的核心層稱為校園骨干網(wǎng)。核心層的主要任務(wù)是交換數(shù)據(jù)包，完成網(wǎng)絡(luò)聚合節(jié)點之間的互連，負(fù)責(zé)數(shù)據(jù)的高效傳輸、交換、轉(zhuǎn)發(fā)和路由分發(fā)。它的設(shè)計要注意兩點：第一，它不在核心層實現(xiàn)網(wǎng)絡(luò)策略，盡量避免在核心層配置路由的復(fù)雜性，第二，核心層的所有設(shè)備必須有足夠的可達(dá)性。2.匯聚層的設(shè)計匯聚層是核心層和接入層的邊界層。匯聚層主要用于集中各種接入服務(wù)，除了本地數(shù)據(jù)的交換和轉(zhuǎn)發(fā)外，還可以通過高速接口將數(shù)據(jù)傳輸?shù)胶诵膶?，進行更廣泛的數(shù)據(jù)路由和處理。匯聚層的主要設(shè)計包括隔離拓?fù)浣Y(jié)構(gòu)的變化改變，通過路由聚合控制路由表的大小，匯聚網(wǎng)絡(luò)流量。匯聚層從下層匯聚接入層交換機的數(shù)據(jù)，通過上層高速接口將數(shù)據(jù)傳輸?shù)胶诵慕粨Q機，上層和下層相連。3、接入層設(shè)計接入層為用戶提供對網(wǎng)絡(luò)本地網(wǎng)絡(luò)的訪問，實現(xiàn)工作組與匯聚層的連接，用戶可以通過局域網(wǎng)方式、以太網(wǎng)交換機、撥號方式接入網(wǎng)絡(luò)。或無線模式。接入層是網(wǎng)絡(luò)終端設(shè)備連接到網(wǎng)絡(luò)的直接信息點。接入層的基本設(shè)計是：將流量帶入網(wǎng)絡(luò)，控制接入，執(zhí)行網(wǎng)絡(luò)策略，允許接入層流量入網(wǎng)。4.2安全聯(lián)動系統(tǒng)設(shè)計4.2.1安全聯(lián)動系統(tǒng)結(jié)構(gòu)安全聯(lián)動系統(tǒng)結(jié)構(gòu)圖，如圖4-2所示。圖4-2安全聯(lián)動方案拓?fù)浣Y(jié)構(gòu)圖路由和交換部分的集成配置和管理在路由中文WEB界面中實現(xiàn)。通過路由設(shè)置在安全交換機上實現(xiàn)“MAC+IP+端口”綁定，自動轉(zhuǎn)發(fā)和管理交換機，攔截ARP病毒。路由功能是網(wǎng)絡(luò)監(jiān)控和策略轉(zhuǎn)發(fā)。路由器可以自動識別、配置和優(yōu)化安全連接交換機。當(dāng)路由器檢測到校園的內(nèi)網(wǎng)受到SYNFLOODDDoS攻擊時，會自動調(diào)度交換機封鎖該端口，封鎖攻擊源，并實施斷網(wǎng)懲罰，保障整個網(wǎng)絡(luò)的安全穩(wěn)定。安全聯(lián)鎖開關(guān)的功能是執(zhí)行策略和協(xié)同工作。接受路由部分的綜合管理，強制執(zhí)行內(nèi)網(wǎng)信息路由分析下發(fā)的安全規(guī)則和管理策略，降低每個硬件端口和每個IP的安全性。從入網(wǎng)之初就控制和限制每個用戶的行為，防止非法用戶進入網(wǎng)絡(luò)?？刂坪戏ㄓ脩魧W(wǎng)絡(luò)資源的合理使用，防止網(wǎng)絡(luò)帶寬資源的大量消耗和濫用，阻斷網(wǎng)絡(luò)關(guān)閉。當(dāng)用戶有異常流量和惡意信息時，及時阻斷網(wǎng)絡(luò)連接和服務(wù)，在每個交換機端口下阻斷ARP欺騙，有效防止病毒傳播和網(wǎng)絡(luò)攻擊。有效防止物理環(huán)路，抑制復(fù)雜網(wǎng)絡(luò)中的廣播風(fēng)暴。安全聯(lián)動系統(tǒng)可以通過路由器方便地查看、配置和管理內(nèi)網(wǎng)的所有安全聯(lián)動交換機。當(dāng)用戶的網(wǎng)絡(luò)發(fā)生病毒或惡意攻擊時，系統(tǒng)會自動響應(yīng)，無需人工干預(yù)，讓用戶的數(shù)據(jù)、語音、視頻等應(yīng)用程序繼續(xù)正常運行。4.2.2安全聯(lián)動系統(tǒng)配置信息安全主要是配置在接入層，接入層阻止防洪攻擊。interfaceFastEthernetl/2//端口fl/2switchportaccessvlan20//打開端口spanning-treeportfast//啟用portfastspanning-treebpduguardenable//啟用bpduguard功能spanning-treebpdufilterenable//啟用bpdufilter功能switchportport-security//打開安全端口switchportport-securitymac-addresssticky//匯聚級Mac地址在接入交換機的配置中，在全局模式下，對連接主機的端口要啟用portfast和bpduguard功能。啟用portfast功能后，端口的狀態(tài)會從BLOCKING直接進入到fortyarding，能夠大大縮短一個端口從連接到轉(zhuǎn)發(fā)的周期。啟用portfastbpduguard功能，當(dāng)portfast端口收到bpdu時，會自動關(guān)閉端口，可以避免網(wǎng)絡(luò)邊緣非法連接。4.3校園骨干網(wǎng)安全性設(shè)計目前，校園網(wǎng)骨干網(wǎng)的主要安全問題包括：網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)出口設(shè)計、擴容升級、網(wǎng)絡(luò)性能和流量控制。校園網(wǎng)的安全問題嚴(yán)重影響了整個校園網(wǎng)的安全運行，根據(jù)校園網(wǎng)的實際情況，為保證校園網(wǎng)的正常運行，這些問題應(yīng)該在接下來解決學(xué)習(xí)。4.3.1骨干網(wǎng)技術(shù)選擇在技局域網(wǎng)。校園網(wǎng)在設(shè)計上必須具備以下特點，以保證滿足要求，并在建成后保證網(wǎng)絡(luò)長期具有強可用性和一定的先進特性。骨干網(wǎng)絡(luò)一直承受著從快速以太網(wǎng)升級到當(dāng)前千兆以太網(wǎng)并很快升級到10千兆以太網(wǎng)的壓力。10G以太網(wǎng)設(shè)備具有高帶寬、低時延、網(wǎng)絡(luò)管理簡單等特點，非常適合建設(shè)校園骨干網(wǎng)。如今，10Gigabit以太網(wǎng)的成本已大幅下降。所以，只要多投入一點錢建設(shè)10G以太網(wǎng)，性能就會比千兆以太網(wǎng)提高10倍。由于校園網(wǎng)信息化手段的應(yīng)用越來越多，10G以太網(wǎng)的使用在很長一段時間內(nèi)都不會繼續(xù)升級和擴展[12]。4.3.2骨干網(wǎng)設(shè)備選型在服務(wù)器平臺設(shè)計方面，SUN服務(wù)器與惠普服務(wù)器或國產(chǎn)聯(lián)想、浪潮服務(wù)器具有良好的開放性和互聯(lián)性，可以作為服務(wù)器硬件的選擇。在主機系統(tǒng)部署中選擇UNIX和WindowsNT的組合，使用UNIX服務(wù)器作為外部WWW服務(wù)器、FTP、PROXY、DNS服務(wù)器和網(wǎng)絡(luò)管理工作站，提供NT服務(wù)器作為數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器。輔助交換機通過千兆光纖與骨干交換機相連，形成星型拓?fù)洌虼斯歉删W(wǎng)具有更好的可擴展性和可管理性，可以達(dá)到100M到桌面。系統(tǒng)所有用戶的IP地址規(guī)劃統(tǒng)一在網(wǎng)絡(luò)中心。對于連接到公共網(wǎng)絡(luò)的用戶，需要IP地址轉(zhuǎn)換(NAT)。換句話說，它將內(nèi)部私有地址轉(zhuǎn)換為公共IP地址。這樣做的好處是不僅節(jié)省了有限的公網(wǎng)IP地址資源，還可以保護內(nèi)部網(wǎng)絡(luò)不受外界的影響，有助于管理網(wǎng)絡(luò)安全。核心層交換機應(yīng)選擇滿足未來10G應(yīng)用平臺，兼容下一代IPv6，并為服務(wù)器、防火墻、入侵檢測等設(shè)備提供負(fù)載均衡功能，完善的安全防護體系，滿足未來網(wǎng)絡(luò)安全應(yīng)用[13]。4.3.3傳輸介質(zhì)選擇光纜在信號傳輸方面的優(yōu)勢使其成為校園網(wǎng)建設(shè)和維護中保證網(wǎng)絡(luò)正常高速運行的必要選擇。光纖比電纜具有優(yōu)勢，因為它們不受發(fā)動機啟動或停電的影響。由于光纖不受電磁場干擾，通過光纖傳輸?shù)男盘柋茹~線傳輸?shù)男盘柛逦?。三者相比，光纖的信號衰減最小，遠(yuǎn)距離轉(zhuǎn)發(fā)，每30km必須安裝一個中繼器，銅線每5km必須安裝一個中繼器。光纖與其他傳輸介質(zhì)相比具有無可比擬的可擴展性，可以充分滿足未來網(wǎng)絡(luò)的需求，使光纖成為未來寬帶網(wǎng)絡(luò)的理想基礎(chǔ)介質(zhì)。因此，光纖是建設(shè)校園骨干網(wǎng)的理想選擇，當(dāng)今大多數(shù)校園網(wǎng)骨干網(wǎng)都采用光纖作為傳輸介質(zhì)[14]。4.3.4路由設(shè)計策略路由設(shè)計應(yīng)遵循以下原則：應(yīng)該盡量減少配置核心層路由的復(fù)雜度，使用路由器分組優(yōu)化特性，使用路由聚合來減小核心層路由表的大小。不得使用默認(rèn)路由到達(dá)內(nèi)部主機，而可以使用默認(rèn)路由到達(dá)外部主機。校園網(wǎng)安全聯(lián)動方式中最重要的協(xié)議是OSPF，它在校園網(wǎng)的安全設(shè)計中扮演著重要的角色。OSPF是由Internet工程任務(wù)組(IETF)的內(nèi)部網(wǎng)關(guān)協(xié)議工作組為IP網(wǎng)絡(luò)開發(fā)的路由協(xié)議。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議。OSPF路由器用于收集相關(guān)的鏈路狀態(tài)數(shù)據(jù)信息，并根據(jù)特定算法計算到每個節(jié)點的最短路徑。OSPF將自治域劃分為若干個子域，相應(yīng)的路徑選擇方法有兩種。目標(biāo)地址在不同的領(lǐng)域。使用間隔路由。動態(tài)路由協(xié)議用于路由器在網(wǎng)絡(luò)中動態(tài)尋找最優(yōu)路由，使所有路由器擁有相同的路由表。一般來說，路由協(xié)議決定了數(shù)據(jù)包在網(wǎng)絡(luò)上的路徑。路由協(xié)議消息在路由器之間傳遞。路由協(xié)議允許路由器與其他路由器通信以修改和維護路由表[15]。4.3.5骨干網(wǎng)冗余設(shè)計采用兩臺思科推出的核心三層交換機通過單模光纖連接，通過鏈路冗余和設(shè)備冗余的方式，提高校園網(wǎng)絡(luò)的安全性。如圖4-3所示。圖4-3校園網(wǎng)骨干網(wǎng)安全設(shè)計圖采用備份冗余和鏈路冗余，避免校園網(wǎng)核心設(shè)備和骨干鏈路單點故障，強行中斷網(wǎng)絡(luò)用戶的正常應(yīng)用。如果核心層的交換設(shè)備或通信鏈路發(fā)生故障，備份設(shè)備或備份鏈路會立即激活，防止單點故障中斷網(wǎng)絡(luò)通信。此外，需要對網(wǎng)絡(luò)上的所有關(guān)鍵數(shù)據(jù)進行熱備份，以便在發(fā)生事故時實現(xiàn)災(zāi)難恢復(fù)和緩解[16]。對于大學(xué)校園網(wǎng)的骨干設(shè)備選型，根據(jù)網(wǎng)絡(luò)規(guī)模選擇合適的交換設(shè)備，根據(jù)大中型終端用戶的需求選擇可靠性和高性能的核心三層交換機。對于小分區(qū)，請選擇滿足用戶需求的安全開關(guān)。4.4校園接入網(wǎng)的安全性設(shè)計4.4.1接入網(wǎng)安全設(shè)計概述接入網(wǎng)主要解決校園內(nèi)各建筑物用戶的計算機接入問題，接入網(wǎng)安全策略的優(yōu)劣也影響著校園網(wǎng)的性能。因此，在制定接入網(wǎng)安全策略時，還要考慮以下幾點：1.通過在接入層建立虛擬局域網(wǎng)（VLAN），減少廣播風(fēng)暴對關(guān)鍵交換機的影響。2、可以在接入交換機中實現(xiàn)訪問控制列表功能，在不影響整個網(wǎng)絡(luò)性能的情況下，過濾掉進入網(wǎng)絡(luò)實體的異常流量。3、基于運營商在小區(qū)局域網(wǎng)安全策略方面的成功經(jīng)驗，接入網(wǎng)管理分兩部分實施。實施802.1x標(biāo)準(zhǔn)，在學(xué)生公寓實施WEB。以及家庭區(qū)域的門戶標(biāo)準(zhǔn)，防止非法用戶訪問。4.4.2準(zhǔn)入控制系統(tǒng)設(shè)計終端門禁系統(tǒng)通過對接入終端的強制認(rèn)證，保證校園網(wǎng)的安全。端點準(zhǔn)入控制應(yīng)用方案的框架由三個邏輯組件組成：訪問請求、策略實現(xiàn)和策略決策，如圖4-4所示。圖4-4終端準(zhǔn)入控制系統(tǒng)的邏輯結(jié)構(gòu)圖訪問請求組件是一組軟件，其中包括多個安全組件，用于收集最終用戶憑證和安全狀態(tài)信息并將收集到的信息傳輸?shù)竭B接的網(wǎng)絡(luò)實體。當(dāng)端點用戶申請訪問受保護的網(wǎng)絡(luò)時，該組件負(fù)責(zé)協(xié)商網(wǎng)絡(luò)并建立連接，為用戶端點提供身份驗證代理，收集端點的完整性指標(biāo)，并將收集到的信息返回給網(wǎng)絡(luò)。策略執(zhí)行組件充當(dāng)網(wǎng)絡(luò)實體的策略執(zhí)行點并控制訪問端點級別和訪問權(quán)限。從端點收集的信息被發(fā)送到?jīng)Q策組件，以確定采取什么行動?；诓呗詻Q策組件的決策，策略實施組件選擇允許、隔離、限制或拒絕端點申請的訪問請求。交換機、路由器、防火墻等設(shè)備支持基于C/S的訪問控制和認(rèn)證協(xié)議（802.1x）、動態(tài)主機配置協(xié)議（DHCP）和遠(yuǎn)程用戶撥入認(rèn)證，可以在實際網(wǎng)絡(luò)配置中使用。系統(tǒng)（RADIUS）和互聯(lián)網(wǎng)協(xié)議安全（IPSec）等[17]。決策組件是系統(tǒng)的核心，實現(xiàn)用戶管理、安全策略管理、健康評估等功能?；谟脩舻膽{證和收集到的安全狀態(tài)信息，策略決策組件確定是否允許計算機進入網(wǎng)絡(luò)并向策略執(zhí)行設(shè)備發(fā)送控制決策。4.4.3準(zhǔn)入控制系統(tǒng)控制流程準(zhǔn)入控制系統(tǒng)控制流程，如圖4-5所示。圖4-5準(zhǔn)入控制系統(tǒng)的控制流程圖準(zhǔn)入控制系統(tǒng)的控制流程即802.1x認(rèn)證過程，可以按照上圖中的序列號進行驗證。當(dāng)用戶申請接入網(wǎng)絡(luò)實體時，安全客戶端進程根據(jù)安全策略收集終端和用戶的安全狀態(tài)信息，將信息封裝成協(xié)議發(fā)送給接入交換機。接入交換機收到信息后，將其分為兩部分處理：實現(xiàn)對用戶身份信息的Radius封裝，然后發(fā)送給身份認(rèn)證服務(wù)器進行認(rèn)證。實施終端接入認(rèn)證，身份認(rèn)證服務(wù)器將認(rèn)證結(jié)果通知管理平臺。安全管理平臺確定并發(fā)布經(jīng)過認(rèn)證的安全策略，并下發(fā)給接入交換機執(zhí)行。如果客戶端不符合策略，設(shè)備將被隔離并進入隔離區(qū)進行維修。安全聯(lián)動設(shè)備實時采集和檢測網(wǎng)絡(luò)中的所有安全事件，并反饋給安全管理平臺。認(rèn)證成功后，終端被歸類為網(wǎng)絡(luò)對象，提供正常的網(wǎng)絡(luò)功能[18]。如果與網(wǎng)絡(luò)實體相連的終端設(shè)備不符合安全策略，接入交換機將終端從網(wǎng)絡(luò)的正常區(qū)域劃分到隔離區(qū)域，隔離用戶開始從終端下載必要的修復(fù)程序.收容區(qū)安全維修系統(tǒng)。隔離區(qū)修復(fù)完成后，端點再次請求網(wǎng)絡(luò)連接，準(zhǔn)入控制系統(tǒng)重新評估端點，只有端點和用戶ID符合安全策略后，用戶才能訪問網(wǎng)絡(luò)[19]。4.4.4基于802.1x的認(rèn)證計費系統(tǒng)設(shè)計有些大學(xué)校園網(wǎng)用戶需要計費，有些則不需要。根據(jù)用戶群體的多樣化需求，校園網(wǎng)具有提供接入認(rèn)證和計費，以及提供接入認(rèn)證但不計費兩種方式。大學(xué)校園網(wǎng)認(rèn)證計費系統(tǒng)結(jié)構(gòu)如圖4-6所示。圖4-6CNAS系統(tǒng)架構(gòu)圖身份驗證和計費系統(tǒng)(CNAS)可以使用擴展的802.1x和RADIUS協(xié)議。802.1x標(biāo)準(zhǔn)定義了一種基于C/S模式限制非授權(quán)用戶網(wǎng)絡(luò)訪問的方法，擴展的802.1x用戶可以通過IP或MAC綁定、IP自動分配等方式限制用戶訪問。與802.1x完全兼容。該方案的設(shè)定點是：1。接入交換機連接Radius服務(wù)器的端口和上行端口必須設(shè)置為非受控端口，這樣用戶才能與服務(wù)器正常通信，經(jīng)過認(rèn)證的用戶可以通過上行訪問網(wǎng)絡(luò)。港口資源。2.接入交換機連接用戶的端口必須設(shè)置為控制端口，實現(xiàn)對接入用戶的控制，用戶必須通過認(rèn)證后才能訪問網(wǎng)絡(luò)資源。4.4.5入侵檢測設(shè)備選擇對于高校校園網(wǎng)內(nèi)各個部門子網(wǎng)，根據(jù)部門內(nèi)關(guān)鍵數(shù)據(jù)的安全級別高低，制定不同的安全策略，如圖4-7所示。圖4-7虛擬入侵檢測系統(tǒng)圖這是因為校園網(wǎng)中必須部署入侵檢測系統(tǒng)、準(zhǔn)入控制系統(tǒng)等安全設(shè)備，在安全策略服務(wù)器的控制下實現(xiàn)各種網(wǎng)絡(luò)安全設(shè)備的互通。校內(nèi)：檢測能力全面，簡單易用，提供字典攻擊檢測、密碼猜測檢測、系統(tǒng)攻擊檢測、木馬、蠕蟲、病毒檢測等各種攻擊行為的檢測。易于使用和升級，靈活，可生成多種格式的報表，方便管理員使用[20]。4.5校園網(wǎng)安全出口設(shè)計4.5.1校園網(wǎng)出口技術(shù)選擇校園網(wǎng)出口是Internet和校園網(wǎng)之間的接口，即內(nèi)網(wǎng)和外網(wǎng)之間的接口。在確定了校園網(wǎng)的基本結(jié)構(gòu)和內(nèi)部設(shè)備之后，還需要考慮整個校園網(wǎng)的出口。建設(shè)校園網(wǎng)的目的是共享內(nèi)部資源，利用外部網(wǎng)絡(luò)資源。因此，當(dāng)校園網(wǎng)接入互聯(lián)網(wǎng)時，校園網(wǎng)用戶希望能夠使用互聯(lián)網(wǎng)的所有功能，此時就需要以全接入方式接入互聯(lián)網(wǎng)，讓校園網(wǎng)網(wǎng)絡(luò)用戶可以收發(fā)電子郵件、傳輸文件、使用萬維網(wǎng)等都可以輕松完成[21]。4.5.2校園網(wǎng)安全出口冗余設(shè)計大學(xué)校園網(wǎng)絡(luò)的出口通常采用現(xiàn)在廣泛使用的雙出口方案。核心交換機通過防火墻與外網(wǎng)相連，兩臺核心交換機采用冗余方式連接，兩臺防火墻相互備份。當(dāng)內(nèi)部用戶訪問外部網(wǎng)絡(luò)時，根據(jù)CoreRouting中制定的策略路由選擇數(shù)據(jù)包轉(zhuǎn)發(fā)路徑，常用的E-Mail（E-Mail）和教育網(wǎng)絡(luò)流量通過CERNET出口進入網(wǎng)絡(luò)。在安全出口設(shè)計中，防火墻有效地用于檢測下一跳是否正常工作，自動檢測兩條出口鏈路是否可用。由于出口導(dǎo)致的單點故障。安全出口設(shè)計如圖4-8。圖4-8安全出口圖4.5.3防火墻選型在校園網(wǎng)出口選用CiscoSecurityPIX防火墻，是思科推出的基于三層交換的大規(guī)模園區(qū)網(wǎng)絡(luò)解決方案的防火墻。實時嵌入式系統(tǒng)還可以進一步增強CiscoSecurePIX防火墻的安全性。主要功能包括虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)關(guān)以及擴展的預(yù)防和檢測功能。4.5.4NAT配置網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是將IP數(shù)據(jù)包標(biāo)頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。網(wǎng)絡(luò)地址轉(zhuǎn)換屬于接入廣域網(wǎng)（WAN）技術(shù)，是一種將私有地址轉(zhuǎn)換為合法IP地址的轉(zhuǎn)換技術(shù)，廣泛應(yīng)用于不同類型的Internet訪問方式和不同類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美解決了IP地址不足的問題，還可以有效防止來自網(wǎng)絡(luò)外部的攻擊，隱藏和保護網(wǎng)絡(luò)內(nèi)部的計算機。NAT允許多臺計算機共享一個外部IP地址。端口重映射NAT將連接的內(nèi)部IP地址和端口映射到具有新端口號的外部IP地址。新端口號允許NAT將返回流量與原始流量相關(guān)聯(lián)[22]。4.6校園網(wǎng)安全防御體系流程構(gòu)建智能校園網(wǎng)安全防御體系，需要對各種安全威脅、安全技術(shù)、安全工具、網(wǎng)絡(luò)拓?fù)浜透鞣N安全系統(tǒng)進行分析，對網(wǎng)絡(luò)進行準(zhǔn)確的安全風(fēng)險評估，配置詳細(xì)、具體的網(wǎng)絡(luò)系統(tǒng)策略，集成多種安全工具協(xié)同工作，構(gòu)建完善的安全防御體系，如圖4-9所示。圖4-9安全防御體系流程圖5建立校園網(wǎng)絡(luò)安全管理制度5.1安全管理制度建設(shè)（1）《學(xué)院校園網(wǎng)絡(luò)信息安全組織體系和職責(zé)》和：包括安全策略、安全態(tài)勢評估、信息資產(chǎn)、運維、IT設(shè)備漏洞評估與加固、病毒防護、安全審計與監(jiān)控、配置變更、補丁管理、賬號密碼與權(quán)限管理等制定《學(xué)院校園網(wǎng)絡(luò)信息安全管理辦法》。構(gòu)建完整的安全體系，在設(shè)計、實施、修改和維護生命周期中實現(xiàn)安全系統(tǒng)自保。（2）與《學(xué)院校園網(wǎng)絡(luò)管理辦法》合作制定《學(xué)院校園網(wǎng)絡(luò)信息安全管理流程》。（3）制定《學(xué)院校園網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)技術(shù)安全規(guī)范》，包括：IP網(wǎng)絡(luò)安全管理規(guī)范、防火墻配置標(biāo)準(zhǔn)、系統(tǒng)安全規(guī)范、數(shù)據(jù)庫系統(tǒng)安全配置標(biāo)準(zhǔn)、Windows系統(tǒng)安全配置標(biāo)準(zhǔn)、應(yīng)用系統(tǒng)安全規(guī)范和應(yīng)急技術(shù)安全規(guī)范。（4）制定保密協(xié)議，包括第三方人身安全保密協(xié)議和在職員工保密協(xié)議。隨著網(wǎng)絡(luò)環(huán)境的改善，使用合法手段挫敗非法企圖，網(wǎng)絡(luò)安全只會變得更好。如今的網(wǎng)絡(luò)環(huán)境越來越復(fù)雜，無論是企業(yè)局域網(wǎng)還是學(xué)校校園，對網(wǎng)絡(luò)的安全要求都非常高，完善的網(wǎng)絡(luò)安全管理體系保證了網(wǎng)絡(luò)的良好運行。5.2人員安全管理規(guī)范5.2.1關(guān)鍵崗位人員應(yīng)定期的考核對不同崗位的工作人員考核不同側(cè)重的安全知識以及安全操作技能，并作為工作人員是否稱職的參考。5.2.2安全意識教育和培訓(xùn)全校師生必須自覺承擔(dān)責(zé)任，培養(yǎng)安全意識。定期舉辦講座或信息安全競賽，提高全校師生的安全意識和安全知識。安全知識：大多數(shù)計算機都受到流行的、未打補丁的軟件的攻擊，這些經(jīng)常被利用的軟件應(yīng)該立即修復(fù)。12306泄露用戶信息、各種系統(tǒng)或網(wǎng)站不要使用同一個密碼。對關(guān)鍵崗位員工要有計劃的安全培訓(xùn)，包括：安全意識、安全政策和操作規(guī)程。5.2.3外部人員訪問管理應(yīng)為外部維護顧問、臨時工、助理和外部服務(wù)人員定義活動范圍。關(guān)鍵區(qū)域外部人員的邏輯訪問必須以書面形式提交并獲得批準(zhǔn)，并且必須有專人監(jiān)督或陪同整個過程并記錄訪問，一般不允許黨員來訪。如有必要，必須有書面申請由內(nèi)部人員運行，并將過濾結(jié)果提供給第三方人員進行審核。如有必要，對上述過程進行風(fēng)險評估和記錄，并針對該風(fēng)險采取必要的安全補救措施。6結(jié)論一旦發(fā)生校園網(wǎng)絡(luò)安全事件，造成的社會影響是巨大的。需要結(jié)合校園網(wǎng)的特點和安全威肋、的規(guī)律，針對各種攻擊事件，我們提出了校園網(wǎng)絡(luò)安全事件的預(yù)防和解決方案?；诖髮W(xué)校園網(wǎng)建設(shè)，設(shè)計了適合大學(xué)校園網(wǎng)的網(wǎng)絡(luò)安全基礎(chǔ)平臺，并探討了相關(guān)技術(shù)。本論文主要完成以下任務(wù)：1。分析大學(xué)校園網(wǎng)絡(luò)面臨的常見威脅和來源。2.分析保障校園網(wǎng)安全的“三元論”理論和PPDR網(wǎng)絡(luò)安全動態(tài)模型，明確校園網(wǎng)安全管理平臺實現(xiàn)的基本功能3.闡明校園網(wǎng)絡(luò)安全管理平臺的實現(xiàn)，采用網(wǎng)絡(luò)層設(shè)計的思想，設(shè)計了大學(xué)校園網(wǎng)絡(luò)結(jié)構(gòu)和安全聯(lián)動系統(tǒng)，并描述了相關(guān)的網(wǎng)絡(luò)安全技術(shù)。校園網(wǎng)絡(luò)安全管理和突發(fā)事件應(yīng)急處置的宗旨，建立健全安全管理制度，建立分級安全組織，明確各部門職責(zé)分工和現(xiàn)場監(jiān)督制度。新型校園網(wǎng)安全解決方案最突出的特點就是安全，與現(xiàn)在的校園網(wǎng)相比，它具有以下特點：（1）采用終端安全接入系統(tǒng)等更豐富的安全組件，保障校園接入；（2）骨干網(wǎng)安全設(shè)計和安全出口設(shè)計分別采用核心設(shè)備冗余和鏈路冗余設(shè)計，使網(wǎng)絡(luò)能夠避免損壞。業(yè)務(wù)中斷，網(wǎng)絡(luò)具有自愈能力3.針對校園網(wǎng)內(nèi)不同部門的不同保密級別，建立不同的安全策略4.分級管理組織和差異化用戶根據(jù)用戶群體的不同需求提供有針對性的培訓(xùn)內(nèi)容。本文設(shè)計大數(shù)據(jù)時代GS校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案，主要是針對當(dāng)前高校校園網(wǎng)普遍面臨的安全問題，側(cè)重于網(wǎng)絡(luò)基礎(chǔ)平臺的構(gòu)建，對校園網(wǎng)內(nèi)豐富的應(yīng)用服務(wù)還缺少有針對性的安全措施，這將作為下一步研究的方向。參考文獻[1]關(guān)德君.校園網(wǎng)絡(luò)信息安全及防護策略研究[J].無線互聯(lián)科技,2021,18(07):29-30.[2]羅偉.高校校園網(wǎng)絡(luò)信息安全問題及防護策略探析[J].河南財政稅務(wù)高等專科學(xué)校學(xué)報,2019,33