PAGE2校園網(wǎng)絡安全方案設計目錄268121緒論 1246841.1研究背景與意義 1209961.2本文主要研究內容 1196932校園網(wǎng)絡安全方案的關鍵技術 282112.1防火墻技術 25602.2入侵檢測技術 250192.3漏洞掃描技術 263432.4網(wǎng)絡訪問控制技術 3314643校園網(wǎng)絡安全需求分析 3260583.1需求分析 3324543.1.1網(wǎng)絡結構分析 3160263.1.2安全分析 4224523.2校園網(wǎng)安全“三元論”理念 5224903.3校園網(wǎng)絡安全模型 5136874校園網(wǎng)絡安全方案設計 62904.1校園網(wǎng)結構 6134554.2安全聯(lián)動系統(tǒng)設計 8192424.2.1安全聯(lián)動系統(tǒng)結構 8225644.2.2安全聯(lián)動系統(tǒng)配置信息 9216404.3校園骨干網(wǎng)安全性設計 9297794.3.1骨干網(wǎng)技術選擇 964604.3.2骨干網(wǎng)設備選型 1051384.3.3傳輸介質選擇 10172974.3.4路由設計策略 11325114.3.5骨干網(wǎng)冗余設計 11125814.4校園接入網(wǎng)的安全性設計 12263234.4.1接入網(wǎng)安全設計概述 12135904.4.2準入控制系統(tǒng)設計 12167294.4.3準入控制系統(tǒng)控制流程 13103984.4.4基于802.1x的認證計費系統(tǒng)設計 15151184.4.5入侵檢測設備選擇 1596524.5校園網(wǎng)安全出口設計 16204404.5.1校園網(wǎng)出口技術選擇 16254334.5.2校園網(wǎng)安全出口冗余設計 17170224.5.3防火墻選型 17106924.5.4NAT配置 18124804.6校園網(wǎng)安全防御體系流程 18175535建立校園網(wǎng)絡安全管理制度 19126055.1安全管理制度建設 19193415.2人員安全管理規(guī)范 1944955.2.1關鍵崗位人員應定期的考核 1979095.2.2安全意識教育和培訓 19159395.2.3外部人員訪問管理 2065856結論 2027544參考文獻 211緒論1.1研究背景與意義當前，網(wǎng)絡安全環(huán)境越來越復雜，安全問題越來越突出，安全事件不斷發(fā)生，當前我國各行各業(yè)的信息安全意識“不容樂觀”。在兩屆會議期間2015年，中國人民政治協(xié)商會議委員嚴望佳就信息安全提出三項建議。在3月8日全國人大常委會工作報告中，國家委員長張德江表示，今年將制定網(wǎng)絡安全法。顯然，安全問題已成為世界范圍內的熱門話題，并受到越來越多的關注。然而，與互聯(lián)網(wǎng)一樣，當前的大學校園網(wǎng)絡安全形勢不容樂觀，不可避免地面臨各種惡意信息的傳播、病毒、各種攻擊、病毒入侵等各種威脅。網(wǎng)速、拒絕服務甚至財產(chǎn)損失[1]。網(wǎng)絡安全包括一個國家的政府、軍事、經(jīng)濟、文化教育等諸多領域，需要完善的網(wǎng)絡安全保護機制來保護這些信息。隨著我國網(wǎng)絡安全漏洞的逐步暴露，建立網(wǎng)絡安全迫在眉睫，任重道遠。為大學校園網(wǎng)建立合適的安全防護方案對大學的發(fā)展至關重要。高校網(wǎng)絡安全建設是構建和諧社會、和諧校園的要求，是平安校園。在大學建立網(wǎng)絡安全有助于提升學校的形象。該大學的本科生質量評估顯著提高。一個“綠色”、安全的校園網(wǎng)絡環(huán)境將大大提升大學的形象。它可以防止重要數(shù)據(jù)和信息的破壞與丟失，避免造成經(jīng)濟損失[2]。1.2本文主要研究內容論文主要內容包括:1.詳細介紹校園網(wǎng)特點，校園網(wǎng)面臨安全威脅和信息與網(wǎng)絡安全關鍵技術。2.分析校園網(wǎng)需求分析，網(wǎng)絡安全“三位一體”的概念和PPDR動態(tài)安全模型。3、設計分層網(wǎng)絡結構和安全連接體系，進行骨干網(wǎng)安全設計、接入網(wǎng)安全設計、校園網(wǎng)安全出口設計。4、建設和完善校園網(wǎng)絡安全管理體系，包括建立安全管理機構，完善安全規(guī)章制度，管理網(wǎng)絡設備安全，管理人員安全，應對突發(fā)事件。2校園網(wǎng)絡安全方案的關鍵技術2.1防火墻技術防火墻是一種網(wǎng)絡互連設備，由計算機硬件和軟件組成，用于實施不同網(wǎng)絡之間的訪問控制。防火墻通過過濾進出Intranet的數(shù)據(jù)來保護網(wǎng)絡，并防止可能存在惡意破壞意圖的網(wǎng)絡的信息和數(shù)據(jù)隨意進出校園網(wǎng)絡。由于防火墻是阻止黑客和病毒發(fā)起網(wǎng)絡攻擊的主要手段，因此了解如何設計和配置防火墻以提高整個網(wǎng)絡的安全級別非常重要[3]。作為網(wǎng)絡隔離器、活動限制器和行為分析器，防火墻可以通過監(jiān)控和記錄流經(jīng)校園網(wǎng)絡出口的所有活動來有效地保護內部網(wǎng)。防火墻的主要功能是：(1防火墻是內部網(wǎng)絡的集中監(jiān)控點?？梢赃^濾掉相對不安全的訪問行為。它增加了內部網(wǎng)絡的安全性，因為只有那些經(jīng)過精心挑選的協(xié)議才能通過網(wǎng)絡。（2）保護內網(wǎng)敏感信息防火墻將內外網(wǎng)隔離，保護內網(wǎng)敏感信息，防止內網(wǎng)敏感信息外泄[4]。2.2入侵檢測技術入侵檢測技術是動態(tài)防御系統(tǒng)的核心技術之一。通過觀察動態(tài)行為信息、安全系統(tǒng)日志、數(shù)據(jù)審計，判斷某行為是否為入侵行為，實時響應總體安全事件[6]。入侵檢測系統(tǒng)按技術可分為：異常檢測和誤用檢測。異常檢測模型檢測異常行為與正常主體行為之間的偏差，以確定是否存在入侵[7]。首先，我們總結了正常活動的特征，如CPU使用率、內存使用率、文件驗證等，為主題的正?；顒釉O置“配置文件”，將當前主題的行為與“活動配置文件”進行比較，然后檢查是否違反統(tǒng)計法。分析判斷，如果違反了統(tǒng)計法，那么這些數(shù)據(jù)就會被認定具有侵入性質。誤用檢測模型是檢測用戶行為與已知入侵行為的對應程度。當前用戶動作與特征庫中的記錄匹配時，系統(tǒng)將當前動作視為侵入動作，并且每一個能夠匹配到入侵者的動作都會引發(fā)警報[8]。2.3漏洞掃描技術安全漏洞是硬件、軟件和協(xié)議的設計和實現(xiàn)，或計算機網(wǎng)絡系統(tǒng)的安全策略中的缺陷和缺陷。一般來說，攻擊者在未經(jīng)管理員許可的情況下利用系統(tǒng)漏洞進行非法行為，非法訪問系統(tǒng)的某些資源，或者破壞網(wǎng)絡系統(tǒng)的關鍵資源。一般來說，當軟件集成時，程序員會留下后門以方便測試，從而在計算機軟件中制造潛在的安全漏洞。漏洞掃描可以主動檢測網(wǎng)絡和系統(tǒng)漏洞，大大提高校園網(wǎng)的安全等級，與入侵檢測系統(tǒng)相比，安全漏洞掃描系統(tǒng)是一個相對主動的檢測系統(tǒng)。對系統(tǒng)潛在的安全漏洞進行逐一掃描，對數(shù)據(jù)進行記錄、分析、審計，為管理員提供全面可靠的安全報告，掃描對象為服務器、交換機、數(shù)據(jù)庫、工作站等[9]。2.4網(wǎng)絡訪問控制技術網(wǎng)絡訪問控制系統(tǒng)是一系列硬件和軟件技術組合體。當客戶端要接入網(wǎng)絡實體時，客戶端要向網(wǎng)絡訪問控制系統(tǒng)發(fā)出申請，系統(tǒng)要對用戶主機系統(tǒng)和用戶身份進行審核，當二者都滿足安全策略時，該終端才被允許接入網(wǎng)絡實體。如果其中任何一個不符合安全策略，則設備發(fā)送的申請會被門禁系統(tǒng)拒絕，系統(tǒng)會自動采取相應的解決方案[10]。身份認證是當計算機網(wǎng)絡系統(tǒng)的用戶進入系統(tǒng)或訪問具有不同保護級別的系統(tǒng)資源時，系統(tǒng)驗證用戶身份是否真實、合法和唯一的過程。身份認證主要通過身份認證協(xié)議和相關的軟硬件來完成。自我認證的作用是防止不法分子進入網(wǎng)絡系統(tǒng)，防止不法分子通過各種非法操縱獲取不正當利益，通過非法訪問受控信息惡意破壞系統(tǒng)數(shù)據(jù)完整性。網(wǎng)絡訪問控制技術是保證計算機網(wǎng)絡系統(tǒng)安全的重要措施之一[11]。3校園網(wǎng)絡安全需求分析3.1需求分析3.1.1網(wǎng)絡結構分析現(xiàn)今，國內高校校園網(wǎng)都采用技術成熟的網(wǎng)絡分層結構設計思想，如圖3-1所示。圖3-1網(wǎng)絡分層結構圖校園網(wǎng)采用核心、匯聚、接入三層整體架構。接入交換機采用二層智能網(wǎng)管交換機，連接100M機房，匯聚層交換機實現(xiàn)大樓接入交換機互聯(lián)，每棟大樓都有匯聚交換機作為大樓的匯聚節(jié)點，匯聚層交換機連接到鏈路核心交換機。核心層和匯聚層使用強大的三層交換機，核心層交換機的先進特性、吞吐量和可靠性是校園網(wǎng)最重要的方面之一。校園網(wǎng)通常是適合分層網(wǎng)絡設計的大型計算機網(wǎng)絡，整體網(wǎng)絡拓撲結構清晰易維護。在層次結構中，每一層都實現(xiàn)了特定的功能，每一層都使用互補的協(xié)議來實現(xiàn)全網(wǎng)的高速接入、可靠運行、安全可靠。3.1.2安全分析相關機構對校園網(wǎng)安全事件進行統(tǒng)計分析發(fā)現(xiàn)，校園網(wǎng)面臨的安全風險中，校園網(wǎng)內隱藏的網(wǎng)絡安全風險占校園網(wǎng)安全風險的60%以上?？梢?，必須注意維護內網(wǎng)的安全。因此，防御網(wǎng)絡內部攻擊的方法已成為校園網(wǎng)絡安全的研究熱點。校園網(wǎng)的安全問題主要包括系統(tǒng)安全和數(shù)據(jù)安全，一是防止黑客攻擊和病毒傳播，二是防止未經(jīng)授權的數(shù)據(jù)訪問。結合校園網(wǎng)大學的實際需求，在保證校園網(wǎng)高速穩(wěn)定運行的條件下，可以對整個校園網(wǎng)進行網(wǎng)絡控制和存儲控制，區(qū)分不同的安全級別。不同的安全域分級管理，每個安全部門根據(jù)不同的安全級別實施不同的安全策略。大學校園網(wǎng)是具有代表性的大型三層交換網(wǎng)絡，為了校園網(wǎng)的高速穩(wěn)定運行，需要對每一層進行技術分析、設備選型和傳輸介質選型。分層結構對每個子網(wǎng)實施不同的安全策略，提高整個校園網(wǎng)的安全性。針對校園網(wǎng)存在的安全問題，我們根據(jù)漏洞的嚴重程度和敏感信息的安全級別，提供關鍵的安全防御。3.2校園網(wǎng)安全“三元論”理念校園網(wǎng)安全“三元論”的理念是做好戰(zhàn)略、技術、管理三要素，達到校園網(wǎng)安全的目的。安全策略是構建和運營校園網(wǎng)絡安全的基礎。全面的安全策略需要一系列準備工作。技術、標準等，最終建立適合學校校園網(wǎng)的安全策略。安全技術是解決校園網(wǎng)絡安全挑戰(zhàn)的重要保障，安全技術體現(xiàn)在安全產(chǎn)品、安全工具、勞動力素質、應用服務等方面。安全管理是保障校園網(wǎng)絡安全的關鍵問題。學校要特別注意安全組織建設、安全管理人員的培養(yǎng)和專業(yè)技術人員的培養(yǎng)，確保安全戰(zhàn)略的有效實施。考慮到校園網(wǎng)絡環(huán)境安全事件多發(fā)的問題，“三元論”概念的引入為有效解決校園網(wǎng)絡安全問題提供了清晰思路。3.3校園網(wǎng)絡安全模型PPDR動態(tài)安全模型由保護、檢測、響應和修復四個部分組成。按照安全策略的指引，這四部分構成一個動態(tài)的、完整的循環(huán)安全系統(tǒng)，及時將相對不安全的系統(tǒng)狀態(tài)調和到最安全的系統(tǒng)狀態(tài)，最大限度地保護信息和網(wǎng)絡系統(tǒng)安全。安全策略是模型的核心，是成本和效率之間的平衡，是為保護整個網(wǎng)絡免受攻擊而采取的各種預防措施的總和。保護、檢測和響應可以根據(jù)安全策略的指導來實施，如圖3-2所示。圖3-2PDRR安全模型圖PPDR安全模型的思想：是按照安全策略的指引，綜合運用多種保護工具，通過流量統(tǒng)計、模式匹配、異常分析以及主機和應用進行安全檢測和有效評估安全態(tài)勢——基于的方法。當系統(tǒng)檢測到異?；顒訒r，會根據(jù)整體安全策略及時有效的響應，將系統(tǒng)狀態(tài)調整到最低級別，盡可能保護系統(tǒng)安全。4校園網(wǎng)絡安全方案設計4.1校園網(wǎng)結構高校校園網(wǎng)一般屬于大型校園網(wǎng)，對于規(guī)模大、集中度高的校園網(wǎng)絡，采用客戶機和服務器(C/S)模式。校園網(wǎng)采用以路由交換技術為主的網(wǎng)絡分層結構，每個層次分別實現(xiàn)不同業(yè)務功能。如圖4-1所示。圖4-1高校校園網(wǎng)總體網(wǎng)絡圖在網(wǎng)絡的層次結構中，每一層都實現(xiàn)了一組特定的特性，雖然每一層的協(xié)議選擇不同，但每個協(xié)議必須是互補的。1、核心層設計由于核心層是由大容量交換機、路由器或路由交換機組成的骨干網(wǎng)，校園網(wǎng)的核心層稱為校園骨干網(wǎng)。核心層的主要任務是交換數(shù)據(jù)包，完成網(wǎng)絡聚合節(jié)點之間的互連，負責數(shù)據(jù)的高效傳輸、交換、轉發(fā)和路由分發(fā)。它的設計要注意兩點：第一，它不在核心層實現(xiàn)網(wǎng)絡策略，盡量避免在核心層配置路由的復雜性，第二，核心層的所有設備必須有足夠的可達性。2.匯聚層的設計匯聚層是核心層和接入層的邊界層。匯聚層主要用于集中各種接入服務，除了本地數(shù)據(jù)的交換和轉發(fā)外，還可以通過高速接口將數(shù)據(jù)傳輸?shù)胶诵膶?，進行更廣泛的數(shù)據(jù)路由和處理。匯聚層的主要設計包括隔離拓撲結構的變化改變，通過路由聚合控制路由表的大小，匯聚網(wǎng)絡流量。匯聚層從下層匯聚接入層交換機的數(shù)據(jù)，通過上層高速接口將數(shù)據(jù)傳輸?shù)胶诵慕粨Q機，上層和下層相連。3、接入層設計接入層為用戶提供對網(wǎng)絡本地網(wǎng)絡的訪問，實現(xiàn)工作組與匯聚層的連接，用戶可以通過局域網(wǎng)方式、以太網(wǎng)交換機、撥號方式接入網(wǎng)絡?；驘o線模式。接入層是網(wǎng)絡終端設備連接到網(wǎng)絡的直接信息點。接入層的基本設計是：將流量帶入網(wǎng)絡，控制接入，執(zhí)行網(wǎng)絡策略，允許接入層流量入網(wǎng)。4.2安全聯(lián)動系統(tǒng)設計4.2.1安全聯(lián)動系統(tǒng)結構安全聯(lián)動系統(tǒng)結構圖，如圖4-2所示。圖4-2安全聯(lián)動方案拓撲結構圖路由和交換部分的集成配置和管理在路由中文WEB界面中實現(xiàn)。通過路由設置在安全交換機上實現(xiàn)“MAC+IP+端口”綁定，自動轉發(fā)和管理交換機，攔截ARP病毒。路由功能是網(wǎng)絡監(jiān)控和策略轉發(fā)。路由器可以自動識別、配置和優(yōu)化安全連接交換機。當路由器檢測到校園的內網(wǎng)受到SYNFLOODDDoS攻擊時，會自動調度交換機封鎖該端口，封鎖攻擊源，并實施斷網(wǎng)懲罰，保障整個網(wǎng)絡的安全穩(wěn)定。安全聯(lián)鎖開關的功能是執(zhí)行策略和協(xié)同工作。接受路由部分的綜合管理，強制執(zhí)行內網(wǎng)信息路由分析下發(fā)的安全規(guī)則和管理策略，降低每個硬件端口和每個IP的安全性。從入網(wǎng)之初就控制和限制每個用戶的行為，防止非法用戶進入網(wǎng)絡?？刂坪戏ㄓ脩魧W(wǎng)絡資源的合理使用，防止網(wǎng)絡帶寬資源的大量消耗和濫用，阻斷網(wǎng)絡關閉。當用戶有異常流量和惡意信息時，及時阻斷網(wǎng)絡連接和服務，在每個交換機端口下阻斷ARP欺騙，有效防止病毒傳播和網(wǎng)絡攻擊。有效防止物理環(huán)路，抑制復雜網(wǎng)絡中的廣播風暴。安全聯(lián)動系統(tǒng)可以通過路由器方便地查看、配置和管理內網(wǎng)的所有安全聯(lián)動交換機。當用戶的網(wǎng)絡發(fā)生病毒或惡意攻擊時，系統(tǒng)會自動響應，無需人工干預，讓用戶的數(shù)據(jù)、語音、視頻等應用程序繼續(xù)正常運行。4.2.2安全聯(lián)動系統(tǒng)配置信息安全主要是配置在接入層，接入層阻止防洪攻擊。interfaceFastEthernetl/2//端口fl/2switchportaccessvlan20//打開端口spanning-treeportfast//啟用portfastspanning-treebpduguardenable//啟用bpduguard功能spanning-treebpdufilterenable//啟用bpdufilter功能switchportport-security//打開安全端口switchportport-securitymac-addresssticky//匯聚級Mac地址在接入交換機的配置中，在全局模式下，對連接主機的端口要啟用portfast和bpduguard功能。啟用portfast功能后，端口的狀態(tài)會從BLOCKING直接進入到fortyarding，能夠大大縮短一個端口從連接到轉發(fā)的周期。啟用portfastbpduguard功能，當portfast端口收到bpdu時，會自動關閉端口，可以避免網(wǎng)絡邊緣非法連接。4.3校園骨干網(wǎng)安全性設計目前，校園網(wǎng)骨干網(wǎng)的主要安全問題包括：網(wǎng)絡管理、網(wǎng)絡安全、網(wǎng)絡出口設計、擴容升級、網(wǎng)絡性能和流量控制。校園網(wǎng)的安全問題嚴重影響了整個校園網(wǎng)的安全運行，根據(jù)校園網(wǎng)的實際情況，為保證校園網(wǎng)的正常運行，這些問題應該在接下來解決學習。4.3.1骨干網(wǎng)技術選擇在技局域網(wǎng)。校園網(wǎng)在設計上必須具備以下特點，以保證滿足要求，并在建成后保證網(wǎng)絡長期具有強可用性和一定的先進特性。骨干網(wǎng)絡一直承受著從快速以太網(wǎng)升級到當前千兆以太網(wǎng)并很快升級到10千兆以太網(wǎng)的壓力。10G以太網(wǎng)設備具有高帶寬、低時延、網(wǎng)絡管理簡單等特點，非常適合建設校園骨干網(wǎng)。如今，10Gigabit以太網(wǎng)的成本已大幅下降。所以，只要多投入一點錢建設10G以太網(wǎng)，性能就會比千兆以太網(wǎng)提高10倍。由于校園網(wǎng)信息化手段的應用越來越多，10G以太網(wǎng)的使用在很長一段時間內都不會繼續(xù)升級和擴展[12]。4.3.2骨干網(wǎng)設備選型在服務器平臺設計方面，SUN服務器與惠普服務器或國產(chǎn)聯(lián)想、浪潮服務器具有良好的開放性和互聯(lián)性，可以作為服務器硬件的選擇。在主機系統(tǒng)部署中選擇UNIX和WindowsNT的組合，使用UNIX服務器作為外部WWW服務器、FTP、PROXY、DNS服務器和網(wǎng)絡管理工作站，提供NT服務器作為數(shù)據(jù)庫服務器和應用服務器。輔助交換機通過千兆光纖與骨干交換機相連，形成星型拓撲，因此骨干網(wǎng)具有更好的可擴展性和可管理性，可以達到100M到桌面。系統(tǒng)所有用戶的IP地址規(guī)劃統(tǒng)一在網(wǎng)絡中心。對于連接到公共網(wǎng)絡的用戶，需要IP地址轉換(NAT)。換句話說，它將內部私有地址轉換為公共IP地址。這樣做的好處是不僅節(jié)省了有限的公網(wǎng)IP地址資源，還可以保護內部網(wǎng)絡不受外界的影響，有助于管理網(wǎng)絡安全。核心層交換機應選擇滿足未來10G應用平臺，兼容下一代IPv6，并為服務器、防火墻、入侵檢測等設備提供負載均衡功能，完善的安全防護體系，滿足未來網(wǎng)絡安全應用[13]。4.3.3傳輸介質選擇光纜在信號傳輸方面的優(yōu)勢使其成為校園網(wǎng)建設和維護中保證網(wǎng)絡正常高速運行的必要選擇。光纖比電纜具有優(yōu)勢，因為它們不受發(fā)動機啟動或停電的影響。由于光纖不受電磁場干擾，通過光纖傳輸?shù)男盘柋茹~線傳輸?shù)男盘柛逦Ｈ呦啾?，光纖的信號衰減最小，遠距離轉發(fā)，每30km必須安裝一個中繼器，銅線每5km必須安裝一個中繼器。光纖與其他傳輸介質相比具有無可比擬的可擴展性，可以充分滿足未來網(wǎng)絡的需求，使光纖成為未來寬帶網(wǎng)絡的理想基礎介質。因此，光纖是建設校園骨干網(wǎng)的理想選擇，當今大多數(shù)校園網(wǎng)骨干網(wǎng)都采用光纖作為傳輸介質[14]。4.3.4路由設計策略路由設計應遵循以下原則：應該盡量減少配置核心層路由的復雜度，使用路由器分組優(yōu)化特性，使用路由聚合來減小核心層路由表的大小。不得使用默認路由到達內部主機，而可以使用默認路由到達外部主機。校園網(wǎng)安全聯(lián)動方式中最重要的協(xié)議是OSPF，它在校園網(wǎng)的安全設計中扮演著重要的角色。OSPF是由Internet工程任務組(IETF)的內部網(wǎng)關協(xié)議工作組為IP網(wǎng)絡開發(fā)的路由協(xié)議。OSPF是一種基于鏈路狀態(tài)的路由協(xié)議。OSPF路由器用于收集相關的鏈路狀態(tài)數(shù)據(jù)信息，并根據(jù)特定算法計算到每個節(jié)點的最短路徑。OSPF將自治域劃分為若干個子域，相應的路徑選擇方法有兩種。目標地址在不同的領域。使用間隔路由。動態(tài)路由協(xié)議用于路由器在網(wǎng)絡中動態(tài)尋找最優(yōu)路由，使所有路由器擁有相同的路由表。一般來說，路由協(xié)議決定了數(shù)據(jù)包在網(wǎng)絡上的路徑。路由協(xié)議消息在路由器之間傳遞。路由協(xié)議允許路由器與其他路由器通信以修改和維護路由表[15]。4.3.5骨干網(wǎng)冗余設計采用兩臺思科推出的核心三層交換機通過單模光纖連接，通過鏈路冗余和設備冗余的方式，提高校園網(wǎng)絡的安全性。如圖4-3所示。圖4-3校園網(wǎng)骨干網(wǎng)安全設計圖采用備份冗余和鏈路冗余，避免校園網(wǎng)核心設備和骨干鏈路單點故障，強行中斷網(wǎng)絡用戶的正常應用。如果核心層的交換設備或通信鏈路發(fā)生故障，備份設備或備份鏈路會立即激活，防止單點故障中斷網(wǎng)絡通信。此外，需要對網(wǎng)絡上的所有關鍵數(shù)據(jù)進行熱備份，以便在發(fā)生事故時實現(xiàn)災難恢復和緩解[16]。對于大學校園網(wǎng)的骨干設備選型，根據(jù)網(wǎng)絡規(guī)模選擇合適的交換設備，根據(jù)大中型終端用戶的需求選擇可靠性和高性能的核心三層交換機。對于小分區(qū)，請選擇滿足用戶需求的安全開關。4.4校園接入網(wǎng)的安全性設計4.4.1接入網(wǎng)安全設計概述接入網(wǎng)主要解決校園內各建筑物用戶的計算機接入問題，接入網(wǎng)安全策略的優(yōu)劣也影響著校園網(wǎng)的性能。因此，在制定接入網(wǎng)安全策略時，還要考慮以下幾點：1.通過在接入層建立虛擬局域網(wǎng)（VLAN），減少廣播風暴對關鍵交換機的影響。2、可以在接入交換機中實現(xiàn)訪問控制列表功能，在不影響整個網(wǎng)絡性能的情況下，過濾掉進入網(wǎng)絡實體的異常流量。3、基于運營商在小區(qū)局域網(wǎng)安全策略方面的成功經(jīng)驗，接入網(wǎng)管理分兩部分實施。實施802.1x標準，在學生公寓實施WEB。以及家庭區(qū)域的門戶標準，防止非法用戶訪問。4.4.2準入控制系統(tǒng)設計終端門禁系統(tǒng)通過對接入終端的強制認證，保證校園網(wǎng)的安全。端點準入控制應用方案的框架由三個邏輯組件組成：訪問請求、策略實現(xiàn)和策略決策，如圖4-4所示。圖4-4終端準入控制系統(tǒng)的邏輯結構圖訪問請求組件是一組軟件，其中包括多個安全組件，用于收集最終用戶憑證和安全狀態(tài)信息并將收集到的信息傳輸?shù)竭B接的網(wǎng)絡實體。當端點用戶申請訪問受保護的網(wǎng)絡時，該組件負責協(xié)商網(wǎng)絡并建立連接，為用戶端點提供身份驗證代理，收集端點的完整性指標，并將收集到的信息返回給網(wǎng)絡。策略執(zhí)行組件充當網(wǎng)絡實體的策略執(zhí)行點并控制訪問端點級別和訪問權限。從端點收集的信息被發(fā)送到?jīng)Q策組件，以確定采取什么行動?；诓呗詻Q策組件的決策，策略實施組件選擇允許、隔離、限制或拒絕端點申請的訪問請求。交換機、路由器、防火墻等設備支持基于C/S的訪問控制和認證協(xié)議（802.1x）、動態(tài)主機配置協(xié)議（DHCP）和遠程用戶撥入認證，可以在實際網(wǎng)絡配置中使用。系統(tǒng)（RADIUS）和互聯(lián)網(wǎng)協(xié)議安全（IPSec）等[17]。決策組件是系統(tǒng)的核心，實現(xiàn)用戶管理、安全策略管理、健康評估等功能。基于用戶的憑證和收集到的安全狀態(tài)信息，策略決策組件確定是否允許計算機進入網(wǎng)絡并向策略執(zhí)行設備發(fā)送控制決策。4.4.3準入控制系統(tǒng)控制流程準入控制系統(tǒng)控制流程，如圖4-5所示。圖4-5準入控制系統(tǒng)的控制流程圖準入控制系統(tǒng)的控制流程即802.1x認證過程，可以按照上圖中的序列號進行驗證。當用戶申請接入網(wǎng)絡實體時，安全客戶端進程根據(jù)安全策略收集終端和用戶的安全狀態(tài)信息，將信息封裝成協(xié)議發(fā)送給接入交換機。接入交換機收到信息后，將其分為兩部分處理：實現(xiàn)對用戶身份信息的Radius封裝，然后發(fā)送給身份認證服務器進行認證。實施終端接入認證，身份認證服務器將認證結果通知管理平臺。安全管理平臺確定并發(fā)布經(jīng)過認證的安全策略，并下發(fā)給接入交換機執(zhí)行。如果客戶端不符合策略，設備將被隔離并進入隔離區(qū)進行維修。安全聯(lián)動設備實時采集和檢測網(wǎng)絡中的所有安全事件，并反饋給安全管理平臺。認證成功后，終端被歸類為網(wǎng)絡對象，提供正常的網(wǎng)絡功能[18]。如果與網(wǎng)絡實體相連的終端設備不符合安全策略，接入交換機將終端從網(wǎng)絡的正常區(qū)域劃分到隔離區(qū)域，隔離用戶開始從終端下載必要的修復程序.收容區(qū)安全維修系統(tǒng)。隔離區(qū)修復完成后，端點再次請求網(wǎng)絡連接，準入控制系統(tǒng)重新評估端點，只有端點和用戶ID符合安全策略后，用戶才能訪問網(wǎng)絡[19]。4.4.4基于802.1x的認證計費系統(tǒng)設計有些大學校園網(wǎng)用戶需要計費，有些則不需要。根據(jù)用戶群體的多樣化需求，校園網(wǎng)具有提供接入認證和計費，以及提供接入認證但不計費兩種方式。大學校園網(wǎng)認證計費系統(tǒng)結構如圖4-6所示。圖4-6CNAS系統(tǒng)架構圖身份驗證和計費系統(tǒng)(CNAS)可以使用擴展的802.1x和RADIUS協(xié)議。802.1x標準定義了一種基于C/S模式限制非授權用戶網(wǎng)絡訪問的方法，擴展的802.1x用戶可以通過IP或MAC綁定、IP自動分配等方式限制用戶訪問。與802.1x完全兼容。該方案的設定點是：1。接入交換機連接Radius服務器的端口和上行端口必須設置為非受控端口，這樣用戶才能與服務器正常通信，經(jīng)過認證的用戶可以通過上行訪問網(wǎng)絡。港口資源。2.接入交換機連接用戶的端口必須設置為控制端口，實現(xiàn)對接入用戶的控制，用戶必須通過認證后才能訪問網(wǎng)絡資源。4.4.5入侵檢測設備選擇對于高校校園網(wǎng)內各個部門子網(wǎng)，根據(jù)部門內關鍵數(shù)據(jù)的安全級別高低，制定不同的安全策略，如圖4-7所示。圖4-7虛擬入侵檢測系統(tǒng)圖這是因為校園網(wǎng)中必須部署入侵檢測系統(tǒng)、準入控制系統(tǒng)等安全設備，在安全策略服務器的控制下實現(xiàn)各種網(wǎng)絡安全設備的互通。校內：檢測能力全面，簡單易用，提供字典攻擊檢測、密碼猜測檢測、系統(tǒng)攻擊檢測、木馬、蠕蟲、病毒檢測等各種攻擊行為的檢測。易于使用和升級，靈活，可生成多種格式的報表，方便管理員使用[20]。4.5校園網(wǎng)安全出口設計4.5.1校園網(wǎng)出口技術選擇校園網(wǎng)出口是Internet和校園網(wǎng)之間的接口，即內網(wǎng)和外網(wǎng)之間的接口。在確定了校園網(wǎng)的基本結構和內部設備之后，還需要考慮整個校園網(wǎng)的出口。建設校園網(wǎng)的目的是共享內部資源，利用外部網(wǎng)絡資源。因此，當校園網(wǎng)接入互聯(lián)網(wǎng)時，校園網(wǎng)用戶希望能夠使用互聯(lián)網(wǎng)的所有功能，此時就需要以全接入方式接入互聯(lián)網(wǎng)，讓校園網(wǎng)網(wǎng)絡用戶可以收發(fā)電子郵件、傳輸文件、使用萬維網(wǎng)等都可以輕松完成[21]。4.5.2校園網(wǎng)安全出口冗余設計大學校園網(wǎng)絡的出口通常采用現(xiàn)在廣泛使用的雙出口方案。核心交換機通過防火墻與外網(wǎng)相連，兩臺核心交換機采用冗余方式連接，兩臺防火墻相互備份。當內部用戶訪問外部網(wǎng)絡時，根據(jù)CoreRouting中制定的策略路由選擇數(shù)據(jù)包轉發(fā)路徑，常用的E-Mail（E-Mail）和教育網(wǎng)絡流量通過CERNET出口進入網(wǎng)絡。在安全出口設計中，防火墻有效地用于檢測下一跳是否正常工作，自動檢測兩條出口鏈路是否可用。由于出口導致的單點故障。安全出口設計如圖4-8。圖4-8安全出口圖4.5.3防火墻選型在校園網(wǎng)出口選用CiscoSecurityPIX防火墻，是思科推出的基于三層交換的大規(guī)模園區(qū)網(wǎng)絡解決方案的防火墻。實時嵌入式系統(tǒng)還可以進一步增強CiscoSecurePIX防火墻的安全性。主要功能包括虛擬專用網(wǎng)絡(VPN)網(wǎng)關以及擴展的預防和檢測功能。4.5.4NAT配置網(wǎng)絡地址轉換(NAT)是將IP數(shù)據(jù)包標頭中的IP地址轉換為另一個IP地址的過程。網(wǎng)絡地址轉換屬于接入廣域網(wǎng)（WAN）技術，是一種將私有地址轉換為合法IP地址的轉換技術，廣泛應用于不同類型的Internet訪問方式和不同類型的網(wǎng)絡中。原因很簡單，NAT不僅完美解決了IP地址不足的問題，還可以有效防止來自網(wǎng)絡外部的攻擊，隱藏和保護網(wǎng)絡內部的計算機。NAT允許多臺計算機共享一個外部IP地址。端口重映射NAT將連接的內部IP地址和端口映射到具有新端口號的外部IP地址。新端口號允許NAT將返回流量與原始流量相關聯(lián)[22]。4.6校園網(wǎng)安全防御體系流程構建智能校園網(wǎng)安全防御體系，需要對各種安全威脅、安全技術、安全工具、網(wǎng)絡拓撲和各種安全系統(tǒng)進行分析，對網(wǎng)絡進行準確的安全風險評估，配置詳細、具體的網(wǎng)絡系統(tǒng)策略，集成多種安全工具協(xié)同工作，構建完善的安全防御體系，如圖4-9所示。圖4-9安全防御體系流程圖5建立校園網(wǎng)絡安全管理制度5.1安全管理制度建設（1）《學院校園網(wǎng)絡信息安全組織體系和職責》和：包括安全策略、安全態(tài)勢評估、信息資產(chǎn)、運維、IT設備漏洞評估與加固、病毒防護、安全審計與監(jiān)控、配置變更、補丁管理、賬號密碼與權限管理等制定《學院校園網(wǎng)絡信息安全管理辦法》。構建完整的安全體系，在設計、實施、修改和維護生命周期中實現(xiàn)安全系統(tǒng)自保。（2）與《學院校園網(wǎng)絡管理辦法》合作制定《學院校園網(wǎng)絡信息安全管理流程》。（3）制定《學院校園網(wǎng)絡信息安全網(wǎng)絡技術安全規(guī)范》，包括：IP網(wǎng)絡安全管理規(guī)范、防火墻配置標準、系統(tǒng)安全規(guī)范、數(shù)據(jù)庫系統(tǒng)安全配置標準、Windows系統(tǒng)安全配置標準、應用系統(tǒng)安全規(guī)范和應急技術安全規(guī)范。（4）制定保密協(xié)議，包括第三方人身安全保密協(xié)議和在職員工保密協(xié)議。隨著網(wǎng)絡環(huán)境的改善，使用合法手段挫敗非法企圖，網(wǎng)絡安全只會變得更好。如今的網(wǎng)絡環(huán)境越來越復雜，無論是企業(yè)局域網(wǎng)還是學校校園，對網(wǎng)絡的安全要求都非常高，完善的網(wǎng)絡安全管理體系保證了網(wǎng)絡的良好運行。5.2人員安全管理規(guī)范5.2.1關鍵崗位人員應定期的考核對不同崗位的工作人員考核不同側重的安全知識以及安全操作技能，并作為工作人員是否稱職的參考。5.2.2安全意識教育和培訓全校師生必須自覺承擔責任，培養(yǎng)安全意識。定期舉辦講座或信息安全競賽，提高全校師生的安全意識和安全知識。安全知識：大多數(shù)計算機都受到流行的、未打補丁的軟件的攻擊，這些經(jīng)常被利用的軟件應該立即修復。12306泄露用戶信息、各種系統(tǒng)或網(wǎng)站不要使用同一個密碼。對關鍵崗位員工要有計劃的安全培訓，包括：安全意識、安全政策和操作規(guī)程。5.2.3外部人員訪問管理應為外部維護顧問、臨時工、助理和外部服務人員定義活動范圍。關鍵區(qū)域外部人員的邏輯訪問必須以書面形式提交并獲得批準，并且必須有專人監(jiān)督或陪同整個過程并記錄訪問，一般不允許黨員來訪。如有必要，必須有書面申請由內部人員運行，并將過濾結果提供給第三方人員進行審核。如有必要，對上述過程進行風險評估和記錄，并針對該風險采取必要的安全補救措施。6結論一旦發(fā)生校園網(wǎng)絡安全事件，造成的社會影響是巨大的。需要結合校園網(wǎng)的特點和安全威肋、的規(guī)律，針對各種攻擊事件，我們提出了校園網(wǎng)絡安全事件的預防和解決方案。基于大學校園網(wǎng)建設，設計了適合大學校園網(wǎng)的網(wǎng)絡安全基礎平臺，并探討了相關技術。本論文主要完成以下任務：1。分析大學校園網(wǎng)絡面臨的常見威脅和來源。2.分析保障校園網(wǎng)安全的“三元論”理論和PPDR網(wǎng)絡安全動態(tài)模型，明確校園網(wǎng)安全管理平臺實現(xiàn)的基本功能3.闡明校園網(wǎng)絡安全管理平臺的實現(xiàn)，采用網(wǎng)絡層設計的思想，設計了大學校園網(wǎng)絡結構和安全聯(lián)動系統(tǒng)，并描述了相關的網(wǎng)絡安全技術。校園網(wǎng)絡安全管理和突發(fā)事件應急處置的宗旨，建立健全安全管理制度，建立分級安全組織，明確各部門職責分工和現(xiàn)場監(jiān)督制度。新型校園網(wǎng)安全解決方案最突出的特點就是安全，與現(xiàn)在的校園網(wǎng)相比，它具有以下特點：（1）采用終端安全接入系統(tǒng)等更豐富的安全組件，保障校園接入；（2）骨干網(wǎng)安全設計和安全出口設計分別采用核心設備冗余和鏈路冗余設計，使網(wǎng)絡能夠避免損壞。業(yè)務中斷，網(wǎng)絡具有自愈能力3.針對校園網(wǎng)內不同部門的不同保密級別，建立不同的安全策略4.分級管理組織和差異化用戶根據(jù)用戶群體的不同需求提供有針對性的培訓內容。本文設計大數(shù)據(jù)時代GS校園網(wǎng)絡安全系統(tǒng)設計方案，主要是針對當前高校校園網(wǎng)普遍面臨的安全問題，側重于網(wǎng)絡基礎平臺的構建，對校園網(wǎng)內豐富的應用服務還缺少有針對性的安全措施，這將作為下一步研究的方向。參考文獻[1]關德君.校園網(wǎng)絡信息安全及防護策略研究[J].無線互聯(lián)科技,2021,18(07):29-30.[2]羅偉.高校校園網(wǎng)絡信息安全問題及防護策略探析[J].河南財政稅務高等?？茖W校學報,2019,33