彩虹學(xué)校校園網(wǎng)網(wǎng)絡(luò)安全體系

研究與實(shí)施教育碩士：魏蕩指導(dǎo)教師：曹菡陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院2022/12/11彩虹學(xué)校校園網(wǎng)網(wǎng)絡(luò)安全體系

研究與實(shí)施教育碩士：魏蕩指導(dǎo)教師主要內(nèi)容一、課題研究的背景和現(xiàn)狀二、課題研究的目的和意義三、課題研究的主要內(nèi)容四、課題研究的總結(jié)2022/12/12主要內(nèi)容一、課題研究的背景和現(xiàn)狀2022/11/302一、課題研究的背景和現(xiàn)狀1.1Internet在國內(nèi)外的發(fā)展及日益嚴(yán)重的網(wǎng)絡(luò)安全問題

1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀

1.3國內(nèi)外進(jìn)行網(wǎng)絡(luò)安全研究的現(xiàn)狀2022/12/13一、課題研究的背景和現(xiàn)狀1.1InterInternet在國內(nèi)外的發(fā)展及現(xiàn)狀

1969年阿帕網(wǎng)誕生，1993年Internet向公眾開放，用戶數(shù)量呈指數(shù)增長，平均半年翻一番。

1994年Internet進(jìn)入我國，截止2004年底，我國的國際出口75G、上網(wǎng)用戶數(shù)9400萬、上網(wǎng)計(jì)算機(jī)4160萬。1.1Internet在國內(nèi)外的發(fā)展及日益嚴(yán)重的網(wǎng)絡(luò)安全問題

2022/12/141.1Internet在國內(nèi)外的發(fā)展及日年份事件報(bào)道數(shù)目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年來網(wǎng)絡(luò)被攻擊的統(tǒng)計(jì)表日益嚴(yán)重的網(wǎng)絡(luò)安全問題2022/12/15年份事件報(bào)道數(shù)目1988619891321990252199美國國家安全協(xié)會(huì)統(tǒng)計(jì)報(bào)道：98%的企業(yè)都曾遇過病毒感染問題，63%的企業(yè)都曾因感染病毒失去資料，80%的Web服務(wù)器受到過黑客攻擊。

日益嚴(yán)重的網(wǎng)絡(luò)安全問題2022/12/16美國國家安全協(xié)會(huì)統(tǒng)計(jì)報(bào)道：98%的企業(yè)都曾遇過病毒感染問題1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀東南校園網(wǎng)絡(luò)主干布線圖中學(xué)小學(xué)2022/12/171.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀東南校園網(wǎng)絡(luò)主干布線1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀K12服務(wù)器課件服務(wù)器VOD服務(wù)器480T兩臺(tái)510T堆疊一臺(tái)460T一臺(tái)1024一臺(tái)1024一臺(tái)1016一臺(tái)460T一臺(tái)1024一臺(tái)460T一臺(tái)3008注：“”為千兆雙絞線，“”為千兆光纜，“”為百兆雙絞線網(wǎng)絡(luò)拓?fù)鋱D2022/12/181.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀K12服務(wù)器課件服務(wù)彩虹學(xué)校近幾年添購了大量的計(jì)算機(jī)設(shè)備，使校園網(wǎng)內(nèi)計(jì)算機(jī)數(shù)量增至400余臺(tái)，并且實(shí)現(xiàn)了Internet接入。安全現(xiàn)狀廣播風(fēng)暴嚴(yán)重影響了網(wǎng)絡(luò)的性能，消耗了大量網(wǎng)絡(luò)帶寬。沒有和Internet有效隔離，校園網(wǎng)上的各種資料，都受到來自Internet直接威脅。

IP盜用和IP沖突不斷病毒的傳播和泛濫服務(wù)器的安全性差黃色、暴力、邪教等不良信息在校園網(wǎng)內(nèi)時(shí)有發(fā)現(xiàn)1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀2022/12/19彩虹學(xué)校近幾年添購了大量的計(jì)算機(jī)設(shè)備，使校園網(wǎng)內(nèi)計(jì)算機(jī)數(shù)量增虛擬局域網(wǎng)技術(shù)防火墻技術(shù)計(jì)算機(jī)病毒的預(yù)防查殺技術(shù)數(shù)據(jù)備份技術(shù)不良信息過濾技術(shù)入侵檢測技術(shù)IP地址綁定技術(shù)1.3國內(nèi)外進(jìn)行網(wǎng)絡(luò)安全研究的現(xiàn)狀

2022/12/110虛擬局域網(wǎng)技術(shù)1.3國內(nèi)外進(jìn)行網(wǎng)絡(luò)安全研究的現(xiàn)狀202二、課題研究的目的和意義目的：本課題針對彩虹學(xué)校校園網(wǎng)存在的網(wǎng)絡(luò)安全問題進(jìn)行研究，分析其中的不安全因素，結(jié)合國內(nèi)外對于網(wǎng)絡(luò)安全研究的現(xiàn)狀，提出彩虹學(xué)校校園網(wǎng)的網(wǎng)絡(luò)安全體系建設(shè)方案，充分利用現(xiàn)有設(shè)備，采取各種網(wǎng)絡(luò)安全技術(shù)，最大限度的合理實(shí)現(xiàn)彩虹學(xué)校校園網(wǎng)的網(wǎng)絡(luò)安全。意義：本課題的研究有助于解決彩虹學(xué)校校園網(wǎng)的網(wǎng)絡(luò)安全問題，使其真正成為彩虹學(xué)校進(jìn)行教育、教學(xué)、管理、科研以及與兄弟院校溝通交流的重要平臺(tái)。同時(shí)，本課題的研究也會(huì)對同樣受到網(wǎng)絡(luò)安全問題困擾的兄弟學(xué)校有一定的借鑒意義。2022/12/111二、課題研究的目的和意義目的：本課題針對彩虹學(xué)校校園網(wǎng)存在的三、課題研究的主要內(nèi)容

彩虹學(xué)校校園網(wǎng)的安全設(shè)計(jì)VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立提高網(wǎng)絡(luò)安全性的其它措施2022/12/112三、課題研究的主要內(nèi)容

彩虹學(xué)校校園網(wǎng)的安全設(shè)計(jì)2022/1全局（Internet和Intranet）

教育行業(yè)（校園網(wǎng)絡(luò)）

彩虹學(xué)校校園網(wǎng)

3.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)3.1.1彩虹學(xué)校校園網(wǎng)不安全因素的分析2022/12/1133.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)2022/11/30133.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)3.1.2彩虹學(xué)校校園網(wǎng)的安全設(shè)計(jì)方案(1)為主控室、二級(jí)交換機(jī)機(jī)柜安裝防盜報(bào)警設(shè)備、不間斷電源、防雷擊及通風(fēng)降溫設(shè)備。(2)對校園網(wǎng)絡(luò)原有布線進(jìn)行測試，在二級(jí)交換機(jī)處形成教室（或辦公室）、網(wǎng)線和交換機(jī)端口的一一對應(yīng)關(guān)系，并輸入電腦進(jìn)行動(dòng)態(tài)管理。(3)劃分VLAN，減小廣播域，降低廣播風(fēng)暴的影響，減小網(wǎng)絡(luò)監(jiān)聽的可能，為不同安全要求的VLAN提供訪問控制，將不同業(yè)務(wù)性質(zhì)的子網(wǎng)隔離開。(4)采用靜態(tài)IP，進(jìn)行IP地址、MAC地址、交換機(jī)端口的多層次綁定，防止IP盜用、IP沖突。(5)購買一套網(wǎng)絡(luò)殺毒軟件。(6)購買一臺(tái)防火墻，有效隔離內(nèi)外網(wǎng)，并為上網(wǎng)計(jì)算機(jī)提供地址轉(zhuǎn)換服務(wù)。2022/12/1143.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)(1)為主控室、二級(jí)交3.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)3.1.2安全性設(shè)計(jì)方案(7)購買一套信息過濾軟件，在技術(shù)上避免師生有意無意地瀏覽含有黃色、暴力、邪教內(nèi)容的信息。(8)對校園網(wǎng)中的重點(diǎn)主機(jī)進(jìn)行安全設(shè)置，去掉不必要的訪問，并在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制，避免非法入侵。(9)及時(shí)修補(bǔ)系統(tǒng)軟件和應(yīng)用軟件的漏洞，阻斷病毒傳播和黑客攻擊的途徑，及時(shí)升級(jí)殺毒軟件。(10)制定嚴(yán)格的口令制度，規(guī)定長度、復(fù)雜度及生存期。(11)制定完善的校園網(wǎng)絡(luò)使用管理制度，明確校園網(wǎng)中各種使用者及管理者的權(quán)利和責(zé)任，以及違規(guī)后的懲罰措施。2022/12/1153.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)(7)購買一套信息過濾3.2.1彩虹學(xué)校校園網(wǎng)用戶分布情況3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用K12服務(wù)器課件服務(wù)器VOD服務(wù)器480T兩臺(tái)510T堆疊一臺(tái)460T一臺(tái)1024一臺(tái)1024一臺(tái)1016一臺(tái)460T一臺(tái)1024一臺(tái)460T一臺(tái)3008注：“”為千兆雙絞線，“”為千兆光纜，“”為百兆雙絞線彩虹學(xué)校校園網(wǎng)用戶分布很散亂，沒有一個(gè)二級(jí)交換機(jī)連著同一類用戶，少的兩三種，多的五六種用戶。2022/12/1163.2.1彩虹學(xué)校校園網(wǎng)用戶分布情況3.2VLAN技術(shù)在彩3.2.2校園網(wǎng)用戶分析3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用小學(xué)辦公室小學(xué)教室小學(xué)機(jī)房初中機(jī)房初中辦公室初中教室高中機(jī)房高中辦公室高中教室領(lǐng)導(dǎo)辦公室備課室職能辦公室服務(wù)器注：1.“A

B”表示用戶A可單向訪問用戶B2.除過教室外，其余用戶都可上網(wǎng)圖五：彩虹學(xué)校校園網(wǎng)用戶訪問需求2022/12/1173.2.2校園網(wǎng)用戶分析3.2VLAN技術(shù)在彩虹學(xué)校校3.2.3VLAN劃分方式的選擇

3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN劃分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN劃分；510T只支持基于策略的VLAN劃分。校園網(wǎng)的桌面級(jí)交換機(jī)1024、1016、3008級(jí)連在二級(jí)交換機(jī)的一個(gè)端口上，它們不支持VLAN劃分。2022/12/1183.2.3VLAN劃分方式的選擇3.2VLAN技術(shù)在彩虹3.2.3VLAN劃分方式的選擇

3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用Win2000以上的操作系統(tǒng)可以輕易修改內(nèi)存中的MAC地址；在共享媒介中實(shí)施基于MAC地址的VLAN使網(wǎng)絡(luò)性能明顯下降；初始化時(shí)的巨大工作量，基于MAC地址的VLAN劃分方式不可選。

460T基于端口劃分的VLAN不支持跨交換機(jī)。從校園網(wǎng)用戶分布情況可以看出，幾乎所有的VLAN都跨交換機(jī)，基于端口的VLAN劃分不不可選。所以我們選擇基于802.1Qtag的VLAN劃分方式對校園網(wǎng)進(jìn)行VALN劃分，510T不劃分VLAN，它的問題后面再來解決。2022/12/1193.2.3VLAN劃分方式的選擇3.2VLAN技術(shù)在彩虹3.2.4VLAN具體的劃分

3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用VLANNAMEVLANIDIPADDRESGATEWAY教師辦公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1領(lǐng)導(dǎo)辦公室VLAN66192.168.6.X192.168.6.1服務(wù)器VLAN77192.168.7.X192.168.7.1中學(xué)機(jī)房VLAN33192.168.3.X192.168.3.1小學(xué)機(jī)房VALN55192.168.5.X192.168.5.1網(wǎng)絡(luò)設(shè)備DEFAULT1192.168.1.X192.168.1.12022/12/1203.2.4VLAN具體的劃分3.2VLAN技術(shù)在彩虹學(xué)3.2.5校園網(wǎng)各VLAN間的互訪關(guān)系3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用小學(xué)機(jī)房VLAN5教室VLAN2中學(xué)機(jī)房VLAN3領(lǐng)導(dǎo)辦公室VLAN6教師辦公室VLAN8服務(wù)器VLAN7注：1.“AB”表示用戶A可單向訪問用戶B2.除過教室外，其余用戶都可上網(wǎng)圖五：彩虹學(xué)校校園網(wǎng)用戶訪問需求2022/12/1213.2.5校園網(wǎng)各VLAN間的互訪關(guān)系3.2VLAN技術(shù)3.2.5彩虹學(xué)校校園網(wǎng)各VLAN間的通信3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用三種方式：通過外部路由器實(shí)現(xiàn)、通過具有路由功能的交換機(jī)實(shí)現(xiàn)、通過建立通信連接來實(shí)現(xiàn)。通過購買協(xié)議鑰匙來開啟完全三層路由功能行不通，而基本三層的路由功能很有限，開啟路由功能所有VLAN全通，關(guān)閉則全不通。先開啟基本三層路由功能使所有VLAN之間互通，再利用建立訪問列表禁止部分VLAN間的通信。2022/12/1223.2.5彩虹學(xué)校校園網(wǎng)各VLAN間的通信3.2VLAN（1）Netscreen50防火墻的選購

（2）

防火墻的配置

（3）

用“天網(wǎng)”個(gè)人防火墻保障關(guān)鍵主機(jī)的安全

3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.1防火墻技術(shù)的應(yīng)用2022/12/123（1）Netscreen50防火墻的選購3.3彩虹學(xué)校校（4）VPN技術(shù)的應(yīng)用集團(tuán)辦公服務(wù)器192.168.0.88219.145.Y.Y219.145.X.X互聯(lián)網(wǎng)校園網(wǎng)服務(wù)器VLAN192.168.7.3~10網(wǎng)管ADSL校園網(wǎng)領(lǐng)導(dǎo)VLAN192.168.6.101~115(圖七)網(wǎng)管、學(xué)校和集團(tuán)之間虛擬專用網(wǎng)(VPN)2022/12/124（4）VPN技術(shù)的應(yīng)用集團(tuán)辦公服務(wù)器219.145.Y.Y安裝時(shí)應(yīng)采取的安全措施帳戶的安全設(shè)置密碼的安全設(shè)置共享的安全設(shè)置

端口和服務(wù)的安全設(shè)置開啟安全審核策略創(chuàng)建緊急修復(fù)盤協(xié)議的安全設(shè)置

漏洞掃描3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.2校園網(wǎng)服務(wù)器的安全設(shè)置2022/12/125安裝時(shí)應(yīng)采取的安全措施3.3彩虹學(xué)校校園網(wǎng)防毒反黑體系的建選購安裝瑞星網(wǎng)絡(luò)版殺毒軟件除安裝有硬盤還原卡、全盤保護(hù)的教室終端和學(xué)生機(jī)房外，校園網(wǎng)內(nèi)所有的終端都必須安裝殺毒軟件及時(shí)升級(jí)殺毒服務(wù)器上的病毒庫每周一次全網(wǎng)查殺為系統(tǒng)打補(bǔ)丁，截?cái)嗖《緜鞑サ耐緩浇顾阶园惭b其它殺毒軟件3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.3預(yù)防查殺計(jì)算機(jī)病毒2022/12/126選購安裝瑞星網(wǎng)絡(luò)版殺毒軟件3.3彩虹學(xué)校校園網(wǎng)防毒反黑體系在校園網(wǎng)比較重要的服務(wù)器網(wǎng)段VLAN7中放置基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品S100。不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)則吻合，則入侵檢測系統(tǒng)就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接。在重要的主機(jī)（財(cái)務(wù)室電腦、教務(wù)室電腦等）上安裝基于主機(jī)的入侵檢測系統(tǒng)S120，對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行分析和判斷，如果其中主體活動(dòng)十分可疑，入侵檢測系統(tǒng)就會(huì)采取相應(yīng)措施。在校園網(wǎng)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，它們優(yōu)勢互補(bǔ)，構(gòu)架成一套完整立體的主動(dòng)防御體系。3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.4構(gòu)架立體的主動(dòng)防御體系2022/12/127在校園網(wǎng)比較重要的服務(wù)器網(wǎng)段VLAN7中放置基于網(wǎng)絡(luò)的入侵檢

校園網(wǎng)服務(wù)器選用熱插拔硬盤、RAID5格式；在服務(wù)器段VLAN7設(shè)置一臺(tái)裝有三個(gè)大容量IDE硬盤的備份PC(磁帶機(jī)的價(jià)格太高5000-50000￥)，將常用數(shù)據(jù)存儲(chǔ)在服務(wù)器硬盤，不常用的數(shù)據(jù)存儲(chǔ)在這臺(tái)PC的硬盤中；利用Win2000Sserver自帶的備份工具對服務(wù)器中的有效數(shù)據(jù)定期備份，放在備份PC的硬盤上；對教務(wù)室和財(cái)務(wù)室的電腦也要求定期備份；將學(xué)校需要保存的數(shù)據(jù)、圖像、資料每個(gè)學(xué)期末進(jìn)行一次分類、編號(hào)、整理、壓縮，然后刻成光盤存檔。3.4提高校園網(wǎng)安全性的其它措施

3.4.1數(shù)據(jù)備份2022/12/1283.4提高校園網(wǎng)安全性的其它措施

3.4.1一是加強(qiáng)對師生的信息道德培養(yǎng)和法制教育，使他們不會(huì)主動(dòng)上網(wǎng)瀏覽、下載、傳播這類信息；二是利用技術(shù)手段對校園網(wǎng)內(nèi)的信息進(jìn)行監(jiān)測，過濾含有黃色、暴力、邪教內(nèi)容的信息。要兩手抓，兩手都要硬。選用由公安部監(jiān)制的信息過濾軟件“藍(lán)眼睛智能信息過濾系統(tǒng)”,從而達(dá)到凈化校園網(wǎng)網(wǎng)絡(luò)信息的目的；當(dāng)非法網(wǎng)址被訪問或者系統(tǒng)監(jiān)測到的應(yīng)該被過濾的信息在流通時(shí)，除了中斷信息交流外，還會(huì)將相關(guān)信息記錄，以明確責(zé)任。使用網(wǎng)絡(luò)版對教師、教室、領(lǐng)導(dǎo)和備課室的電腦上傳輸?shù)男畔⑦M(jìn)行過濾，選用代理服務(wù)器版對學(xué)生機(jī)房的電腦進(jìn)行信息過濾。3.4提高校園網(wǎng)安全性的其它措施

3.4.2不良信息過濾2022/12/129一是加強(qiáng)對師生的信息道德培養(yǎng)和法制教育，使他們不會(huì)主動(dòng)上網(wǎng)瀏在防火墻內(nèi)口上捆綁IP和MAC地址在核心交換機(jī)480T上捆綁IP和MAC地址在學(xué)生機(jī)房的代理服務(wù)器上捆綁MAC和IP地址在二級(jí)交換機(jī)460T和510T上捆綁端口和MAC地址3.4提高校園網(wǎng)安全性的其它措施

3.4.3多層次地址綁定2022/12/130在防火墻內(nèi)口上捆綁IP和MAC地址3.4提高校園網(wǎng)安全性

校園網(wǎng)絡(luò)安全體系的建立不僅需要先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，更需要嚴(yán)格的校園網(wǎng)管理制度和校園網(wǎng)安全意識(shí)。對師生進(jìn)行相關(guān)法律、法規(guī)教育，培養(yǎng)他們的防毒反黑意識(shí)，制定彩虹學(xué)校校園網(wǎng)安全管理制度。

網(wǎng)絡(luò)安全體系=相關(guān)法律法規(guī)+防毒反黑意識(shí)+管理制度+網(wǎng)絡(luò)安全技術(shù)3.4提高校園網(wǎng)安全性的其它措施3.4.4非技術(shù)措施2022/12/131校園網(wǎng)絡(luò)安全體系的建立不僅需要先進(jìn)的網(wǎng)絡(luò)安全1．研究了彩虹學(xué)校校園網(wǎng)絡(luò)安全現(xiàn)狀，分析了引起這些安全問題的因素，并針對性的提出彩虹學(xué)校校園網(wǎng)安全體系建設(shè)方案。2．對比分析了幾種VLAN劃分方式的優(yōu)缺點(diǎn)，選擇基于802.1QTAG的劃分方式對彩虹學(xué)校校園網(wǎng)進(jìn)行VLAN劃分。3．完成了防火墻、殺毒防毒、信息過濾、入侵檢測等軟硬件的選型、安裝、調(diào)試。4．提出了“多層次綁定”防止IP盜用的方法，并在彩虹學(xué)校實(shí)施證明有效。5．通過個(gè)人防火墻、入侵檢測、系統(tǒng)安全設(shè)置等方式加強(qiáng)了校園網(wǎng)內(nèi)服務(wù)器等重要單機(jī)的安全性。四、課題研究的總結(jié)2022/12/1321．研究了彩虹學(xué)校校園網(wǎng)絡(luò)安全現(xiàn)狀，分析了引起這些安全問題的致謝衷心感謝我的導(dǎo)師曹菡教授和裘國永老師，在論文的選題、調(diào)研、撰寫的整個(gè)過程中，給了我嚴(yán)格的指導(dǎo)和熱情的鼓勵(lì)，傾注了大量的心血。感謝彩虹集團(tuán)計(jì)算機(jī)中心、明智網(wǎng)安有限責(zé)任公司及彩虹學(xué)校電教中心的大力配合。感謝我的家人兩年來給予我的理解和支持。

2022/12/133致謝2022/11/3033感謝您的聆聽請多提寶貴意見2022/12/134感謝您的聆聽請多提寶貴意見2022/11/3034彩虹學(xué)校校園網(wǎng)網(wǎng)絡(luò)安全體系

研究與實(shí)施教育碩士：魏蕩指導(dǎo)教師：曹菡陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院2022/12/135彩虹學(xué)校校園網(wǎng)網(wǎng)絡(luò)安全體系

研究與實(shí)施教育碩士：魏蕩指導(dǎo)教師主要內(nèi)容一、課題研究的背景和現(xiàn)狀二、課題研究的目的和意義三、課題研究的主要內(nèi)容四、課題研究的總結(jié)2022/12/136主要內(nèi)容一、課題研究的背景和現(xiàn)狀2022/11/302一、課題研究的背景和現(xiàn)狀1.1Internet在國內(nèi)外的發(fā)展及日益嚴(yán)重的網(wǎng)絡(luò)安全問題

1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀

1.3國內(nèi)外進(jìn)行網(wǎng)絡(luò)安全研究的現(xiàn)狀2022/12/137一、課題研究的背景和現(xiàn)狀1.1InterInternet在國內(nèi)外的發(fā)展及現(xiàn)狀

1969年阿帕網(wǎng)誕生，1993年Internet向公眾開放，用戶數(shù)量呈指數(shù)增長，平均半年翻一番。

1994年Internet進(jìn)入我國，截止2004年底，我國的國際出口75G、上網(wǎng)用戶數(shù)9400萬、上網(wǎng)計(jì)算機(jī)4160萬。1.1Internet在國內(nèi)外的發(fā)展及日益嚴(yán)重的網(wǎng)絡(luò)安全問題

2022/12/1381.1Internet在國內(nèi)外的發(fā)展及日年份事件報(bào)道數(shù)目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年來網(wǎng)絡(luò)被攻擊的統(tǒng)計(jì)表日益嚴(yán)重的網(wǎng)絡(luò)安全問題2022/12/139年份事件報(bào)道數(shù)目1988619891321990252199美國國家安全協(xié)會(huì)統(tǒng)計(jì)報(bào)道：98%的企業(yè)都曾遇過病毒感染問題，63%的企業(yè)都曾因感染病毒失去資料，80%的Web服務(wù)器受到過黑客攻擊。

日益嚴(yán)重的網(wǎng)絡(luò)安全問題2022/12/140美國國家安全協(xié)會(huì)統(tǒng)計(jì)報(bào)道：98%的企業(yè)都曾遇過病毒感染問題1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀東南校園網(wǎng)絡(luò)主干布線圖中學(xué)小學(xué)2022/12/1411.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀東南校園網(wǎng)絡(luò)主干布線1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀K12服務(wù)器課件服務(wù)器VOD服務(wù)器480T兩臺(tái)510T堆疊一臺(tái)460T一臺(tái)1024一臺(tái)1024一臺(tái)1016一臺(tái)460T一臺(tái)1024一臺(tái)460T一臺(tái)3008注：“”為千兆雙絞線，“”為千兆光纜，“”為百兆雙絞線網(wǎng)絡(luò)拓?fù)鋱D2022/12/1421.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀K12服務(wù)器課件服務(wù)彩虹學(xué)校近幾年添購了大量的計(jì)算機(jī)設(shè)備，使校園網(wǎng)內(nèi)計(jì)算機(jī)數(shù)量增至400余臺(tái)，并且實(shí)現(xiàn)了Internet接入。安全現(xiàn)狀廣播風(fēng)暴嚴(yán)重影響了網(wǎng)絡(luò)的性能，消耗了大量網(wǎng)絡(luò)帶寬。沒有和Internet有效隔離，校園網(wǎng)上的各種資料，都受到來自Internet直接威脅。

IP盜用和IP沖突不斷病毒的傳播和泛濫服務(wù)器的安全性差黃色、暴力、邪教等不良信息在校園網(wǎng)內(nèi)時(shí)有發(fā)現(xiàn)1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀2022/12/143彩虹學(xué)校近幾年添購了大量的計(jì)算機(jī)設(shè)備，使校園網(wǎng)內(nèi)計(jì)算機(jī)數(shù)量增虛擬局域網(wǎng)技術(shù)防火墻技術(shù)計(jì)算機(jī)病毒的預(yù)防查殺技術(shù)數(shù)據(jù)備份技術(shù)不良信息過濾技術(shù)入侵檢測技術(shù)IP地址綁定技術(shù)1.3國內(nèi)外進(jìn)行網(wǎng)絡(luò)安全研究的現(xiàn)狀

2022/12/144虛擬局域網(wǎng)技術(shù)1.3國內(nèi)外進(jìn)行網(wǎng)絡(luò)安全研究的現(xiàn)狀202二、課題研究的目的和意義目的：本課題針對彩虹學(xué)校校園網(wǎng)存在的網(wǎng)絡(luò)安全問題進(jìn)行研究，分析其中的不安全因素，結(jié)合國內(nèi)外對于網(wǎng)絡(luò)安全研究的現(xiàn)狀，提出彩虹學(xué)校校園網(wǎng)的網(wǎng)絡(luò)安全體系建設(shè)方案，充分利用現(xiàn)有設(shè)備，采取各種網(wǎng)絡(luò)安全技術(shù)，最大限度的合理實(shí)現(xiàn)彩虹學(xué)校校園網(wǎng)的網(wǎng)絡(luò)安全。意義：本課題的研究有助于解決彩虹學(xué)校校園網(wǎng)的網(wǎng)絡(luò)安全問題，使其真正成為彩虹學(xué)校進(jìn)行教育、教學(xué)、管理、科研以及與兄弟院校溝通交流的重要平臺(tái)。同時(shí)，本課題的研究也會(huì)對同樣受到網(wǎng)絡(luò)安全問題困擾的兄弟學(xué)校有一定的借鑒意義。2022/12/145二、課題研究的目的和意義目的：本課題針對彩虹學(xué)校校園網(wǎng)存在的三、課題研究的主要內(nèi)容

彩虹學(xué)校校園網(wǎng)的安全設(shè)計(jì)VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立提高網(wǎng)絡(luò)安全性的其它措施2022/12/146三、課題研究的主要內(nèi)容

彩虹學(xué)校校園網(wǎng)的安全設(shè)計(jì)2022/1全局（Internet和Intranet）

教育行業(yè)（校園網(wǎng)絡(luò)）

彩虹學(xué)校校園網(wǎng)

3.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)3.1.1彩虹學(xué)校校園網(wǎng)不安全因素的分析2022/12/1473.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)2022/11/30133.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)3.1.2彩虹學(xué)校校園網(wǎng)的安全設(shè)計(jì)方案(1)為主控室、二級(jí)交換機(jī)機(jī)柜安裝防盜報(bào)警設(shè)備、不間斷電源、防雷擊及通風(fēng)降溫設(shè)備。(2)對校園網(wǎng)絡(luò)原有布線進(jìn)行測試，在二級(jí)交換機(jī)處形成教室（或辦公室）、網(wǎng)線和交換機(jī)端口的一一對應(yīng)關(guān)系，并輸入電腦進(jìn)行動(dòng)態(tài)管理。(3)劃分VLAN，減小廣播域，降低廣播風(fēng)暴的影響，減小網(wǎng)絡(luò)監(jiān)聽的可能，為不同安全要求的VLAN提供訪問控制，將不同業(yè)務(wù)性質(zhì)的子網(wǎng)隔離開。(4)采用靜態(tài)IP，進(jìn)行IP地址、MAC地址、交換機(jī)端口的多層次綁定，防止IP盜用、IP沖突。(5)購買一套網(wǎng)絡(luò)殺毒軟件。(6)購買一臺(tái)防火墻，有效隔離內(nèi)外網(wǎng)，并為上網(wǎng)計(jì)算機(jī)提供地址轉(zhuǎn)換服務(wù)。2022/12/1483.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)(1)為主控室、二級(jí)交3.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)3.1.2安全性設(shè)計(jì)方案(7)購買一套信息過濾軟件，在技術(shù)上避免師生有意無意地瀏覽含有黃色、暴力、邪教內(nèi)容的信息。(8)對校園網(wǎng)中的重點(diǎn)主機(jī)進(jìn)行安全設(shè)置，去掉不必要的訪問，并在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制，避免非法入侵。(9)及時(shí)修補(bǔ)系統(tǒng)軟件和應(yīng)用軟件的漏洞，阻斷病毒傳播和黑客攻擊的途徑，及時(shí)升級(jí)殺毒軟件。(10)制定嚴(yán)格的口令制度，規(guī)定長度、復(fù)雜度及生存期。(11)制定完善的校園網(wǎng)絡(luò)使用管理制度，明確校園網(wǎng)中各種使用者及管理者的權(quán)利和責(zé)任，以及違規(guī)后的懲罰措施。2022/12/1493.1彩虹學(xué)校校園網(wǎng)絡(luò)的安全設(shè)計(jì)(7)購買一套信息過濾3.2.1彩虹學(xué)校校園網(wǎng)用戶分布情況3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用K12服務(wù)器課件服務(wù)器VOD服務(wù)器480T兩臺(tái)510T堆疊一臺(tái)460T一臺(tái)1024一臺(tái)1024一臺(tái)1016一臺(tái)460T一臺(tái)1024一臺(tái)460T一臺(tái)3008注：“”為千兆雙絞線，“”為千兆光纜，“”為百兆雙絞線彩虹學(xué)校校園網(wǎng)用戶分布很散亂，沒有一個(gè)二級(jí)交換機(jī)連著同一類用戶，少的兩三種，多的五六種用戶。2022/12/1503.2.1彩虹學(xué)校校園網(wǎng)用戶分布情況3.2VLAN技術(shù)在彩3.2.2校園網(wǎng)用戶分析3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用小學(xué)辦公室小學(xué)教室小學(xué)機(jī)房初中機(jī)房初中辦公室初中教室高中機(jī)房高中辦公室高中教室領(lǐng)導(dǎo)辦公室備課室職能辦公室服務(wù)器注：1.“A

B”表示用戶A可單向訪問用戶B2.除過教室外，其余用戶都可上網(wǎng)圖五：彩虹學(xué)校校園網(wǎng)用戶訪問需求2022/12/1513.2.2校園網(wǎng)用戶分析3.2VLAN技術(shù)在彩虹學(xué)校校3.2.3VLAN劃分方式的選擇

3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN劃分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN劃分；510T只支持基于策略的VLAN劃分。校園網(wǎng)的桌面級(jí)交換機(jī)1024、1016、3008級(jí)連在二級(jí)交換機(jī)的一個(gè)端口上，它們不支持VLAN劃分。2022/12/1523.2.3VLAN劃分方式的選擇3.2VLAN技術(shù)在彩虹3.2.3VLAN劃分方式的選擇

3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用Win2000以上的操作系統(tǒng)可以輕易修改內(nèi)存中的MAC地址；在共享媒介中實(shí)施基于MAC地址的VLAN使網(wǎng)絡(luò)性能明顯下降；初始化時(shí)的巨大工作量，基于MAC地址的VLAN劃分方式不可選。

460T基于端口劃分的VLAN不支持跨交換機(jī)。從校園網(wǎng)用戶分布情況可以看出，幾乎所有的VLAN都跨交換機(jī)，基于端口的VLAN劃分不不可選。所以我們選擇基于802.1Qtag的VLAN劃分方式對校園網(wǎng)進(jìn)行VALN劃分，510T不劃分VLAN，它的問題后面再來解決。2022/12/1533.2.3VLAN劃分方式的選擇3.2VLAN技術(shù)在彩虹3.2.4VLAN具體的劃分

3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用VLANNAMEVLANIDIPADDRESGATEWAY教師辦公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1領(lǐng)導(dǎo)辦公室VLAN66192.168.6.X192.168.6.1服務(wù)器VLAN77192.168.7.X192.168.7.1中學(xué)機(jī)房VLAN33192.168.3.X192.168.3.1小學(xué)機(jī)房VALN55192.168.5.X192.168.5.1網(wǎng)絡(luò)設(shè)備DEFAULT1192.168.1.X192.168.1.12022/12/1543.2.4VLAN具體的劃分3.2VLAN技術(shù)在彩虹學(xué)3.2.5校園網(wǎng)各VLAN間的互訪關(guān)系3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用小學(xué)機(jī)房VLAN5教室VLAN2中學(xué)機(jī)房VLAN3領(lǐng)導(dǎo)辦公室VLAN6教師辦公室VLAN8服務(wù)器VLAN7注：1.“AB”表示用戶A可單向訪問用戶B2.除過教室外，其余用戶都可上網(wǎng)圖五：彩虹學(xué)校校園網(wǎng)用戶訪問需求2022/12/1553.2.5校園網(wǎng)各VLAN間的互訪關(guān)系3.2VLAN技術(shù)3.2.5彩虹學(xué)校校園網(wǎng)各VLAN間的通信3.2VLAN技術(shù)在彩虹學(xué)校校園網(wǎng)中的應(yīng)用三種方式：通過外部路由器實(shí)現(xiàn)、通過具有路由功能的交換機(jī)實(shí)現(xiàn)、通過建立通信連接來實(shí)現(xiàn)。通過購買協(xié)議鑰匙來開啟完全三層路由功能行不通，而基本三層的路由功能很有限，開啟路由功能所有VLAN全通，關(guān)閉則全不通。先開啟基本三層路由功能使所有VLAN之間互通，再利用建立訪問列表禁止部分VLAN間的通信。2022/12/1563.2.5彩虹學(xué)校校園網(wǎng)各VLAN間的通信3.2VLAN（1）Netscreen50防火墻的選購

（2）

防火墻的配置

（3）

用“天網(wǎng)”個(gè)人防火墻保障關(guān)鍵主機(jī)的安全

3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.1防火墻技術(shù)的應(yīng)用2022/12/157（1）Netscreen50防火墻的選購3.3彩虹學(xué)校校（4）VPN技術(shù)的應(yīng)用集團(tuán)辦公服務(wù)器192.168.0.88219.145.Y.Y219.145.X.X互聯(lián)網(wǎng)校園網(wǎng)服務(wù)器VLAN192.168.7.3~10網(wǎng)管ADSL校園網(wǎng)領(lǐng)導(dǎo)VLAN192.168.6.101~115(圖七)網(wǎng)管、學(xué)校和集團(tuán)之間虛擬專用網(wǎng)(VPN)2022/12/158（4）VPN技術(shù)的應(yīng)用集團(tuán)辦公服務(wù)器219.145.Y.Y安裝時(shí)應(yīng)采取的安全措施帳戶的安全設(shè)置密碼的安全設(shè)置共享的安全設(shè)置

端口和服務(wù)的安全設(shè)置開啟安全審核策略創(chuàng)建緊急修復(fù)盤協(xié)議的安全設(shè)置

漏洞掃描3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.2校園網(wǎng)服務(wù)器的安全設(shè)置2022/12/159安裝時(shí)應(yīng)采取的安全措施3.3彩虹學(xué)校校園網(wǎng)防毒反黑體系的建選購安裝瑞星網(wǎng)絡(luò)版殺毒軟件除安裝有硬盤還原卡、全盤保護(hù)的教室終端和學(xué)生機(jī)房外，校園網(wǎng)內(nèi)所有的終端都必須安裝殺毒軟件及時(shí)升級(jí)殺毒服務(wù)器上的病毒庫每周一次全網(wǎng)查殺為系統(tǒng)打補(bǔ)丁，截?cái)嗖《緜鞑サ耐緩浇顾阶园惭b其它殺毒軟件3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.3預(yù)防查殺計(jì)算機(jī)病毒2022/12/160選購安裝瑞星網(wǎng)絡(luò)版殺毒軟件3.3彩虹學(xué)校校園網(wǎng)防毒反黑體系在校園網(wǎng)比較重要的服務(wù)器網(wǎng)段VLAN7中放置基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品S100。不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)則吻合，則入侵檢測系統(tǒng)就會(huì)發(fā)出警報(bào)或者直接切斷網(wǎng)絡(luò)的連接。在重要的主機(jī)（財(cái)務(wù)室電腦、教務(wù)室電腦等）上安裝基于主機(jī)的入侵檢測系統(tǒng)S120，對該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行分析和判斷，如果其中主體活動(dòng)十分可疑，入侵檢測系統(tǒng)就會(huì)采取相應(yīng)措施。在校園網(wǎng)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)，它們優(yōu)勢互補(bǔ)，構(gòu)架成一套完整立體的主動(dòng)防御體系。3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.4構(gòu)架立體的主動(dòng)防御體系2022/12/161在校園網(wǎng)比較重要的服務(wù)器網(wǎng)段VLAN7中放置基于網(wǎng)絡(luò)的入侵檢

校園網(wǎng)服務(wù)器選用熱插拔硬盤、RAID5格式；在服務(wù)器段VLAN7設(shè)置一臺(tái)裝有三個(gè)大容量IDE硬盤的備份PC(磁帶機(jī)的價(jià)格太高5000-5000