校园网络安全体系设计

[摘要]校园网络是高校课题研究发展及人才培养的必备条件,校园网络安全对整个高校的安全和稳定至关重要。本文介绍了当前校园网常见安全威胁及传统网络安全体系的不完善性,结合三层交换技术,基于虚拟局域网的校园网安全体系,建立了一个网络层的合理网络信息安全体系。

[关键词]虚拟局域网;校园网;交换机;网络安全

校园规模的扩大造就了网络规模的不断膨胀。扩展网络规模时多采用在原有的网络基础上直接增加计算机数目的方法,使得网络体系变得越发复杂,对网络的治理也变得越来越困难,网内的安全系数降低,且网络资源的利用率也大大降低。此时,如何行之有效地达到其资源与安全最大化平衡成为最大的难题。另外系统漏洞的存在成为网络安全的首要问题，发现并及时修补漏洞是每个网络管理人员主要任务。当然，从系统中找到发现漏洞不是我们一般网络管理人员所能做的，但是及早地发现有报告的漏洞，并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法，就是经常登录各有关网络安全网站，对于我们有使用的软件和服务，应该密切关注其程序的最新版本和安全信息，一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够，以至于过了几年，还能扫描到机器存在许多漏洞。在校园网中服务器，为用户提供着各种的服务，但是服务提供的越多，系统就存在更多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭，只向公众提供了他们所需的基本的服务。最典型的是，我们在校园网服务器中对公众通常只提供WEB服务功能，而没有必要向公众提供FTP功能，这样，在服务器的服务配置中，我们只开放WEB服务，而将FTP服务禁止。如果要开放FTP功能，就一定只能向可能信赖的用户开放，因为通过FTP用户可以上传文件内容，如果用户目录又给了可执行权限，那么，通过运行上传某些程序，就可能使服务器受到攻击。所以，信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。本文从校园网安全角度出发,分析当前校园网常见安全威胁及传统网络安全体系的不完善性,基于目前逐渐被广泛应用的三层交换技术和虚拟局域网技术,构建一种校园网安全体系。

1当前VLAN技术及其优点

VLAN(Virtual LocalArea Network),即虚拟局域网[1],是一种利用工作组来逻辑划分局域网的技术,核心是网络分段。由于VLAN中成员通过交换机来通信,其成员间无法直接联系。根据不同的业务及安全级别,可以将网络分段并隔离,实现相互间的访问控制,以达到限制用户非法访问、加强内部网络管理的目的。目前,基于VLAN隔离技术的访问控制方法已在校园网安全体系中逐渐被广泛使用。目前主要有基于端口、基于MAC地址、基于第3层和基于策略四种VLAN,其隔离技术有以下几方面优点:

a)使网络连接更加灵活。VLAN技术能够将不

同地点的不同网络用户连接起来,形成类似本地局域网一样灵活、有效的网络,大大降低了移动工作站地理位置的管理费用。

b)控制网络安全。VLAN中的防火墙机制在防止网络中广播过量的同时,可以将某个端口或用户赋予一个特定的VLAN组使其跨接多个交换机。

c)使网络安全性加强。VLAN是一个单独的广播域相互隔离,大大提高了网络利用率,确保网络保密性。

2基于VLAN的校园网安全架构设计

使用传统网络安全技术时不断出现的漏洞及系统缺陷仍然威胁着它的安全,这里引入VLAN技术,就笔者参与建设的某高校网络建设安全体系构架做一次实例分析。

2.1校园网络特点分析

随着教学逐渐走向数字化、网络化、多媒体化,校园网逐渐成为学校师生学习生活的一部分。其特点为:

a)从学校角度看,校园网业务项目多、开放性强,子网数目多且分散,故障定位复杂,网络维护及管理难度大不言而喻。

b)从使用人员看,存在一定比例年龄偏大的教师与偏小的学生,网络使用不当时有发生,使其运行环境存在风险。

c)从校园网管理来看,由于计算机购置和配置情况复杂,配置程度不可能统一;缺乏相应安全管理措施及管理人员,安全责任难于到位成为普遍现象。

d)从校园网本身特点看,随着网络基础设施的不断完善,其网络传输能力、承载能力及接口方式、用户数目都在不断发生变化,要保证网络稳定性及可靠性,都需要先进的设备及管理维护方式。

2.2校园网络拓扑结构

根据以太网五种主要拓扑结构:总线型、星型、环型、网状型及树形。这里采用星型,以网络中心为中心向外扩张,内部网络采用典型的树型拓扑结构,结合三层网络架构,即核心层、汇聚层和接入层[2]。根据网络范围限制可以划分为内网和外网。外网为校园网外网络,即与校园网相连的外部公网。根据位置地点及功能可将内网划分为以下区域:网络中心、主教学区(包括主教学楼及多媒体中心)、办公区(包括实验楼、后勤保卫处、财务处等)、图书馆。另由于客观原因,学生宿舍没有接入校园网,但列入规划设计。主教学区教学实验区包括所有机房,为起到有效隔离和病毒防控效果,每个机房划分为一个VLAN网络;办公区整体为一个VLAN网络;网络中心服务器群重要设备属于一个VLAN网络[3]。重点考虑内部网络物理安全和各区域及区域间信息访问控制,禁止外部用户非法访问内网。

三层网络架构及访问控制列表的配置

使用内置防火墙的锐捷NBR2000路由器。核心层采用两台锐捷RG-6506组成双核心,提供强大的交换能力及冗余备份,汇聚层采用STAR-S3550公司交换设备,分别连接到两台核心设备上,以提高网络稳定性。接入层采用锐捷公司的网管接入层交换机,与汇聚层交换机相连,可以很好的进行接入控制。办公室间使用TP-LINK连接各工作站。核心层交换机与防火墙相连,再由路由连接到Internet。

为使局域网更加安全,可以配置访问控制列表,使用安全策略。将各个虚拟局域网进行分隔,设置访问许可。首先重点过滤网络病毒;然后在交换机上使用访问控制列表,限制可操作交换机的IP地址;在对服务器设置访问控制权限,以替代防火墙功能;最后应用访问控制列表,指定特定IP地址。

综上所述,将虚拟局域网技术与三层交换技术结合使用,可以为校园网络安全体系构建带来理想的安全保障。这里采用核心、汇聚、接入三层结构,对不同功能子网进行有效隔离,防止病毒及故障的蔓延。对虚拟局域网规划管理,划分权限,反之非法入侵及内部网络病毒攻击,以保证网络安全、系统安全和信息安全。

校园网安全体系是一个系统性工程,不仅需要传统的防火墙、入侵检测、访问控制等等技术,还需要从安全需求上考虑,构建合理的管理制度,使用相应的安全技术及手段。只有将两种相结合,校园网的高效、通用、安全才能得以实现。另外,由于校园网是一种非常实际的局域网体系,法规建设和诚信建设等人员管理都不可或缺。在加强安全防御意思的同时,我们也得建立相应的管理制度,以保证其健康、有序、正常运行。