xxx校园网络规划和设计 xxx班 xxx
的多媒体综合教室。多媒体综合教室内配备有多媒体计算机、高亮度液晶投影仪、多功能视频展示台各一台,功放音响一套,其中多媒体计算机通过网卡连入校园主干网,从而方便调用网络内其它计算机上的教学资源,实现资源共享。多媒体综合教室不仅可满足正常的辅助教学活动,还可以用来举办讲座、开展培训,不失为当前形势下一种经济实惠的选择。学校可根据教学实际需要配臵一到二个多媒体综合教室。
28
xxx校园网络规划和设计 xxx班 xxx
第六章 网络安全
6.1 校园网安全隐患分析
建立校园网安全机制前,我们对校园网的安全威胁进行了详细的分析,校园网络存在的安全隐患和漏洞主要有以下几个方面:
1. 各种服务器和网络设备被扫描或攻击:
个别用户对网络服务器和网络设备进行扫描和攻击的情况时有发生,它会造成网络负载过重,服务器难以承受,甚至会使网络瘫痪。个别用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用;校园网内的学生群体是主要的OICQ用户,目前针对OICQ的黑客程序随处可见;
2. 校园网内部安全隐患:
由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁会更大一些。
3. 目前操作系统存在安全漏洞:
网络服务器安装的操作系统有Windows 2003/2008/XP、UNIX、Linux等,这些系统安全风险级别不同,例如Windows 2003的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒的温床等;UNIX由于技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、病毒等。随着校园内计算机应用的大范围普及,
37
xxx校园网络规划和设计 xxx班 xxx
接入校园网的节点数日益增多,而这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
4. 师生安全意识薄弱
可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
5. IP地址盗用问题
校园网内部连接有数千台电脑,可能不是所有电脑都配臵了合法的IP地址(如学生宿舍区),这就不能避免某些用户可能冒用他人的合法IP地址,或恶意盗用IP,造成网络内部地址的冲突,如果占用主要的服务器系统的IP地址,将会严重整个校园网的正常业务。
上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来,随着学生宿舍、教职工家属等接入校园网后,网络规模急剧增大。同时,校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。由此可见,构筑具有必要的信息安全防护体系、建立一套有效的网络安全体系和安全机制显得尤为重要。 6.2网络安全设计目标
1. 有效的访问控制
通过特定的网段及服务建立访问控制体系,实现如下目标:允许网上用户访问时,正确、迅速可达;不允许时,用户根本查找不到网络目标,从而有效地阻止其访问或攻击。
2. 集中安全漏洞检查和攻击监控
通过特定网段及服务建立的多种监控体系,应可实时检测出
38
xxx校园网络规划和设计 xxx班 xxx
绝大多数攻击并采取相应的措施(如断开连接、记录攻击过程及跟踪攻击等),并能周期性地检查安全漏洞,做到及时发现,及时防范。
3. 多层防御和完善的认证体系
建立一个良好的认证体系,可防止非法用户的攻击。应采用防火墙、服务器入侵检测软件、服务器进程监控软件等,使服务器遭到攻击或遇到故障之初就通过E-mail、电话、手机等方式在第一时间通知系统管理员。
4. 数据备份和恢复
应设计良好的备份和恢复机制,一旦数据被破坏可及时得到恢复,避免系统遭到攻击后全网瘫痪。 6.3解决方案
目前,国内外有很多非常好的防火墙软、硬件产品,其中www、E-mail、FTP、DNS服务器连接在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全),与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行跟踪和审计。 在防火墙设臵上我们按照以下原则配臵来提高网络安全性:
1. 根据校园网安全策略和安全目标,规划设臵正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必
39