校园网设计与规划_校园网的设计与规划

校园网设计与规划由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“校园网的设计与规划”。

、天 津 机 电 职 业 技 术 学 院

TIANFSDFJIN VOCATIONAL COLLEGE OF MECHANICS AND ELECTRICITY

《信息与网络安全》

大作业报告书

姓 名： 安立国 学 号： 2011333125 班 级： 计信11⑴ 指导教师： 冯 骏 完成日期： 2013.6 成 绩：

一、校园网设计与规划的指导原则...............................................3

二、校园网络中不安全的主要问题...............................................4 1.IP盗用问题...........................................................4 2.防火墙攻击............................................................4 3.Email问题............................................................4 4.各种服务器和网络设备的扫描和攻击......................................4 5.非法URL的访问问题....................................................4 6.病毒防护..............................................................5（1）实用性：........................................................5（2）先进性：........................................................5（3）开放性：........................................................5（4）安全性：........................................................5（5）可靠性：........................................................5（6）简洁性：........................................................5（7）可管理性：......................................................5

三、校园网安全的解决方法.....................................................5 1.采用入侵检测系统......................................................6（1）基于网络的入侵检测..............................................6（2）基于主机的入侵检测..............................................6 2.Web、Email、BBS的安全监测系统........................................7 3.在Linux下配置防火墙..................................................7（1）利用Linux核心中的IP链(IP Chains)规则建立包过滤防火墙。........7（2）利用IP伪装(IP Masquerade)实现内网微机透明访问Internet。.......7 4.利用Squid代理服务与防火墙规则结合构筑透明代理........................8 5.对于无法使用IP伪装方式访问Internet的特殊协议与软件采用Socks代理服务。........................................................................9 6.漏洞扫描系统..........................................................9 7.IP盗用问题的解决.....................................................9 8.利用网络监听维护子网系统安全..........................................9

四、结语....................................................................10

校园网络安全设计

网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、真实性和可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击。防火墙，则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。

一、校园网设计与规划的指导原则

校园网是我国高校基础建设的重要组成部分。充分利用和开发校园内各类信息资源，实现校园仙、大学间的资源共享，科学计算和科研合作，促进大学对外交流是校园网建设的基本宗旨。因此校园网建设必须考虑系统的先进性、开放性、稳定性、安全性可扩充性。

我院校园网由网络中心、主干网和各楼内的局域网组成。主干网以千兆以太网为主，光纤覆盖整个校区。部门级交换机根据下连的计算机数量和网络应用的级别，与中心交换机实现千兆、百兆连接。

校园网的主干网中采用的是子网过滤结构的双路由器的结构，采用Intel Expre 9300路由器作为外部路由器。该路由器直接连接Linux服务器，经Linux的包过滤防火墙后连接校园网主交换机Intel Expre 550T Routing Switch（具有路由功能，作为校园网的内部子网间的路由器）。

Linux服务器执行堡垒主机的功能，采用Red Hat Linux 7.2版作为操作系统。该系统装有单一集成的可管理的软件包，提供各种服务，包括入侵保护、性能加速、安全的VPN能力以及对外Internet访问的全面控制等。由该主机的包过滤防火墙保护内部网络免受来自Internet的侵害。过滤范围包括内部网络和堡垒主机之间的数据包，以防堡垒主机被攻占。同时，在该堡垒主机上，运行多种服务器，如：电子邮件服务器、web服务器、FTP服务器等等。

Intel Expre 550T Routing Switch实现内部路由的功能，有效地阻断内部子网间的广播包发送，最大限度地减轻了网络负担。

二、校园网络中不安全的主要问题

现阶段，我院校园网的主题架构已经成型，然而随着对网络服务要求的进一步提高，我们还要全面地解决在运行中所出现的问题，从而提供更加完善的服务。1.IP盗用问题

校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径申请得到合法的IP地址，另一部分则不然。当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。2.防火墙攻击

防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对于对外的防护而已，它对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下有70%的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。3.Email问题

由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。4.各种服务器和网络设备的扫描和攻击

有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。5.非法URL的访问问题

对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。6.病毒防护

互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。近阶段泛滥的“尼姆达病毒”就是典型的例子。因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。

建设校园网的根本目的是为学校教学、科研和管理提供先进实用的硬件支撑环境。为实现这一目的必须考虑采用先进实用的计算机技术和网络通信技术，把校园网建设成为具有高速、稳定、可靠、安全的校园财干兼顾应用服务系统，提供现场化教学、科研的办公及管理系统，同时拓展校园内多方面的应用。

为此提出一条总原则：“分期建设；逐步实施；先教学系统后扩展应用；精选设备；软件配套。”具体说来有以下几条原则必须考虑；

（1）实用性：校园网建设强网络系统与网络应用以应用推动建设，重视信息资源的开发、利用和效果。

（2）先进性：主干采用先进成熟的网络技术和产品，适应大量数据和多媒体信息传输、处理、交换的需要，使网络具有较强的生命力。

（3）开放性：网络系统支持有国际和国家标准，支持异构型边缘子网互联与集成，易于网络的扩充和升级，使有限的投资得到保护。

（4）安全性：对网上信息提供多层次的、基于策略的安全保护措施。（5）可靠性：网络机构、网络设备、网络系统与应用系统间接口、供应商的产品与服务的信誉等，均具可靠性。

（6）简洁性：网络拓扑结构简洁，硬件和软件按需要进行灵活配置。（7）可管理性：采用较先进的管理软件，实现全网的检测、资源分配、负荷调节、故障定位等功能，并具有良好的人-机操作界面。

三、校园网安全的解决方法

现阶段，由于我院校园网已有较完善的网络系统架构，因此，在保证现有网络工作顺通的同时，再进行开发和完善是解决校园网网络安全的最佳选择。现提出以下解决方法。1.采用入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在校园网中采用入侵检测技术，最好采用混合入侵检测。需要从两方面来着手-基于网络的入侵检测和基于主机的入侵检测。（1）基于网络的入侵检测

该检测主要通过定期使用专用的网络监视软件分析网络数据流量、主要数据内容来完成，例如使用Intel Expre 550T Routing Switch所带的专用管理用具Intel Device View对交换机、端口间的每秒输出包、输入包、广播包的数量进行统计，若发现网络中有某台机器的流量超过正常值，则表示该主机可能感染了某种病毒导致不停地向网络中发出各种进攻。前不久出现的“红色代码II”就可以用此方法进行入侵检测。感染了此病毒的主机将会建立300个线程不定时随机生成IP地址作为攻击目标发出攻击，这样的主机在网络流量监视中是显而易见的。另外，当得知某端口的主机网络流量出现异常时，也可使用专用的网络数据监视器对其发出和接受的数据进行具体监视，例如使用微软SMS(System Manager Server)所带的网络监视器利用SNMP协议对某端口出入数据进行详细分析，可统计出该主机具体是哪种协议、哪个端口所发的数据最多，以及具体的数据内容。例如监视某台感染有“红色代码II”的NT服务器时，则会发现目标端口为80(HTTP)的TCP协议通讯量极高。（2）基于主机的入侵检测

该项检测主要通过防火墙日志以及各种服务软件的日志统计来完成，例如在日志中统计出某时间段服务器接收到来自同一地址的嗅包数量超过一定数值，那么就该考虑是否要在防火墙中加入一条拒绝规则了。又如在FTP服务器中发现某时段某用户登录失败次数超过100次以上，这就表示极可能有黑客在用穷举法试图破译某FTP用户的密码。2.Web、Email、BBS的安全监测系统

在校园网的WWW服务器、Email服务器等各种服务器中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的WWW、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网络中心报告，采取措施。并利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图，可以对访问地址和流量进行分析，对于明显的攻击便可一目了然了。3.在Linux下配置防火墙

防火墙是一种行之有效且应用广泛的网络安全机制，能够有效防止Internet上的不安全因素蔓延到局域网内部。防火墙从原理上可以分为两大类：包过滤（Packet Filtering）型和代理服务（Proxy Service）型。根据我校具体情况，采用如下防火墙配置方案：

（1）利用Linux核心中的IP链(IP Chains)规则建立包过滤防火墙。

规则具体如下：

① #先用-F 选项清除掉所有规则

② #假设服务器内网IP为192.168.0.22，公有IP为210.77.217.82。将服务器在内网的地址除开放DNS、POP3、Route、FTP、Telnet、Web、SMTP外其他服务全部封死

③ #服务器对外仅提供POP3、FTP、Web、SMTP服务

使用IP链规则建立防火墙的主要原因并不是因为它是免费软件，而是因为IP链规则是一套直接编译在Linux核心中的防火墙，其运行效率是其他外挂在操作系统上的软件防火墙所无法比拟的，因此假若希望在流量较大网络接口安设防火墙，而又不想购买昂贵的硬件防火墙时，采用IP链规则建立包过滤防火墙是一个不错的选择。

（2）利用IP伪装(IP Masquerade)实现内网微机透明访问Internet。

IP伪装是NAT(Network Addre Translation网络地址转换)的一种方式，即当内网的机器需要访问Internet时，具有IP伪装功能的服务器会将内部网络使用的非公有IP伪装成同一个公有IP访问Internet，这就可以使内网用户可以透明地访问Internet而不用安装任何客户端软件，减少了许多不必要的麻烦。使用该方式可使大部分软件直接访问Internet，例如使用SMTP、IMAP、POP协议的邮件客户端软件、使用UDP协议的ICQ、OICQ、Real Player、Windows Media Player软件等，而且用户使用内网任何一台微机都可以直接用“Ping”命令测试与Internet的连接，网络测试十分方便。IP伪装是Linux的一项网络功能，具体实现方法如下：

① #启用 IP 转发

② #建立 NAT 规则，令局域网中地址为 192.168.*.* 且其目标地址不在 192.168.*.* 范围内的机器伪装为本机 Internet 有效 IP地址后进行转发。

但该方式并不一定可以使所有连接Internet的软件成功使用，TCP/IP协议的天生缺陷使得极少部分软件无法使用该方式访问Internet，例如当内部网络中某台微机希望连接Internet上的一台FTP服务器，而对方的FTP服务器禁用了或根本不支持被动方式连接，那么连接后就无法上传或下载任何数据，此时则需要使用其他方式连接了。例如后面提到的的Socks代理。4.利用Squid代理服务与防火墙规则结合构筑透明代理

使用IP链规则可以使内网的主机不需要做任何设置就可以访问Web，但其缺点就是当内网数台主机先后访问Internet上某一站点时，第一台将该站点的主页以及页面中的图像从Internet下载到本机，而其它几台访问时也要重复相同的操作，即从Internet下载了同样的内容，这样的重复劳动自然会浪费相当多的带宽，而使用具有Web缓存(Web cache)的代理服务器便可解决此问题。在第一台主机访问该站点时代理服务软件将此网页的内容缓存到本地硬盘，而后其他主机再次访问该站时，代理服务器只是检测该网页是否有更新，若无更新便直接将本机的缓存传送过去，这样既可以节省带宽又有效地提高了上网速度。例如Linux上的Squid代理服务就是一套高效快速的代理服务软件。但麻烦的就是必须在每台机器上设置Web 代理服务器，此时可以简单地使用IP链规则来省略这一操作，即在规则中加入一条转递规则，将访问任何地址80(HTTP)端口的封装包都强制转发到Linux服务器上安装的代理服务器侦听端口。即：#假设Squid代理服务的侦听端口为3128 /sbin/ipchains-A input-i eth0-d 0/0 80-p TCP-j REDIRECT 3128 /sbin/ipchains-A input-i eth0-d 0/0 3128-p TCP-j REDIRECT 这样使内网任何用户访问Internet前都令其通过代理服务器后再访问，不仅有效地加快了上网速度，又可以利用Squid代理服务过滤掉内网无效访问和攻击，实现了透明代理。

5.对于无法使用IP伪装方式访问Internet的特殊协议与软件采用Socks代理服务。

Socks是一组是用客户端/服务器端结构的Proxy协议。Socks的软件组成包含Socks服务器程序及Socks客户端应用程序库。用户的应用程序只要支持Socks协议就能通过Socks代理服务器连接到防火墙外的网络。6.漏洞扫描系统

解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。7.IP盗用问题的解决

在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。8.利用网络监听维护子网系统安全

对于校园网外部的入侵可以通过安装防火墙来解决，但是防火墙对于校园网 9 内部的侵袭则无能为力。在这种情况下，可以采用这样的方法：为校园网内部的各个子网做一个具有一定功能的审计文件，为管理人员分析内部网络的运作状态提供依据。

总之，通过以上方法，以及校园网中的原有网络安全措施，基本上可以建立一套相对完整的网络安全系统。不过，网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术，如密码技术等，结合在一起，才能生成一个高效、通用、安全的网络系统。

计算机网络系统的基础是布线系统，它在整个网络系统投资中只占5%，但因为布线问题而造成的网络故障却占50%以上；另一方面在于布线几乎是永久性的工程，一旦完成再进行改动将十分困难，而且投资将比初期安装高几点。所以应采用最先进的思想和技术

设计布线系统，以满足现阶段以及未来十数年发展的需求；必须统一规划、设计，建设高质量的布线系统，灵活支持环型、总线型、星型以及将来可能出现的网状网，为将来灵活构造校园组网方式在校园网络发展的战略上具有十分重要的义。采用全星型分级拓扑结构的综合布线系统独立于网络实际拓扑，支持现有的ISO880*/IEEE80*协议族所定义的结构结构，就本校建设经验这是最好的选择，具体拓扑如图1.为保障未来15～20年布线系统对网络技术的支持，综合布线水平子系统应尽可能采用目前最新标准定义的系统等级。对具有分院和建筑楼群分散的校园，网络主干应选用光缆，超长距离应考虑单模光缆，以保证支持未来高速IP骨干。对数据流量有特殊要求的场所如：服务器群、视频会议中心等可考虑光缆到桌面。特别是在布线系统设计中，信息点分布尽可能考虑5～10年人员变动、建筑物改造等因素，尽量提高投资效益比。这样结构化综合布线的优势才可能得到最大程度的发挥。

四、结语

在网络安全日益影响到校园网运行的情况下,我们不能够去保障校园网绝对的安全,只能说我们要尽一切可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识,安装最新的防病毒软件和病毒防火墙, 10 不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,把校园网不安全因素降到最少。只有通过不断地努力,我们的校园网才能够在比较安全的环境下工作,才能充分发挥它的优势,更好地为我们的教育事业服务。