构建基于全局安全的高校校园网络

丛佩丽

辽宁机电职业技术学院 辽宁 118009

0 引言

随着网络技术的发展，高校数字校园网已经扩展传统校园的功能，承担着高校教学、科研、管理和服务等角色，是最终实现教育过程全面信息化建设的主导力量和坚强后盾。但由于校园网的用户数量众多，使用者多数不是专业人员，用户防护意识薄弱，使校园网面临着严重的安全威胁。目前，校园网的主动防御技术有：防火墙技术、入侵检测技术和防病毒技术等，这些技术都是在网络的某个部分进行主动防御，无法保证校园网整体安全。本文以辽宁机电职业技术学院校园网络建设为例，依据“全局安全”的设计理念，阐述构建基于全局安全的高校校园网络技术。

1 学院校园网络现状

辽宁机电职业技术学院老校区于 2000年投入运行，相继完成了部分楼宇综合布线工程、网络中心建设。以 100M光纤接入方式接入INTERNET，通过防火墙实现NAT转换，通过三层交换实现 VLAN 划分，同时通过访问控制列表设定学生端网络和教师端网络的访问策略。南校区和北校区之间通过网通公司提供的2M数字电路实现内部通信。经过几年的发展，已经具有下列服务功能：接入及网络管理、数字图书馆、办公自动化系统、WWW服务、邮件服务、网络杀毒服务等。

在老校园网运行中，存在着以下的安全问题：

(1) 核心层采用单核心设备，不能保证网络24*7小时不间断工作。

(2) 存在着各种安全隐患：经常有用户擅自更换 IP，导致合法用户不能够正常上网；学生擅自在局域网中假设代理软件；在校园网中擅自假设DHCP服务器；通过这些非法手段，从而来影响校园网的正常运行，导致校园网不能够正常运行。

(3) 由于校园网的用户数量巨大，经常有学生使用各种攻击手段对校园网进行攻击和破坏，严重影响了网络的安全。

2 全局安全的校园网络总体方案

辽宁机电职业技术学院有两个教学校区，即新校区和黄海校区(老校区)。新校区是学院的办公主体校区，有教学、住宿、实验及实训场所，共计10余栋建筑物。通过双100Mbps带宽接入Internet，校园网采用千兆，核心设备考虑通过冗余技术加强容错能力。

具体设计方案如图1所示。

图1 辽宁机电职业技术学院校园网络建设拓扑图

该方案在设计中，依据“全局安全”的理念，从接入层到核心层，从网络准入到网络准出，都采用安全机制，形成多种网络组件联动，全局防御。并且在网络建成后，加强对校园网的管理和维护，培养高网络使用者的安全意识，提高网络防御技能等人为因素。这样，就形成了从物理设备到人为因素的“全局安全”解决方案。

3 全局安全的校园网络详细部署

3.1 网络核心区安全设计

为保证校园网络 24*7小时不间断服务，核心层采用双核心架构，确保骨干网络的可靠性。采用两台锐捷面向十万兆平台设计的S8610骨干路由交换机，其高性能，丰富的安全特性可以保证整个网络的高速和安全运行。

3.2 网络接入区安全设计

本网络共划分为7个子区域，分别是行政中心、老校区、学生宿舍A区、学生宿舍B区、展览中心区域、机械工程馆和仪器仪表馆。在汇聚层根据每个子区域安全性要求不同，分别采用S7606、S7604和S7505安全接入交换机接入，在接入层采用 S2600接入。安全接入交换机同时支持 802.1X准入和Web准入，可在认证通过时动态的自动绑定用户所使用的IP+MAC+端口，确保源IP地址和源MAC地址的真实性。

真实IP源地址带来的价值包括：可实现完全杜绝ARP/ND欺骗问题；可防止各种源IP/MAC欺骗的网络攻击；可快速的定位网络故障，从而最快速解决故障；可实现精准的网络安全日志审计；可实现准确的基于IP地址的网络流量计费，实现了网络接入的安全。

3.3 网络出口区安全设计

采用专用的网络出口设备串联在一起，性能高并各司其职，成熟稳定。采用一台校园网专用的出口设备NPE50，其强大的 NAT和策略路由功能，特别适合大型校园网的出口应用；部署一台应用控制引擎 ACE3000来控制网络应用对出口带宽的应用情况，保证关键业务的通畅，进而提高网络出口带宽的利用率，提高网络的使用体验；同时通过一台千兆防火墙1600T和园区骨干交换机相连，能够屏蔽来自外部的攻击，便于实施各种安全策略，DMZ区用来放置像WEB等对外发布的应用服务器。同时部署专用的VPN网关WALL V160E，根据实际的需求为校外访问者或内部人员的校外接入提供权限和简单、安全的SSL VPN的接入方式。

3.4 制定完善的管理制度

(1) 加强对硬件设施的管理

网络设备、光缆和双绞线等硬件设施构成了校园网的硬件基础，如果遭到了破坏，网络安全将受到严重威胁，所以要加强管理。实施责任分工制，校园网核心设备由现代教育技术中心负责，系部楼内设备由各系部管理员负责，校内铺设的光缆等设施由保卫部负责。每个负责的部门制定管理制度，并且制度上墙。

(2) 安装杀毒软件

在校园网上设置服务器，安装网络版杀毒软件，支持客户端在线升级。由校园网管理员负责将安全的重要性和在线升级方法制定成文件，共享在内网中，要求老师定期进行升级，机房中机器的升级由学生管理员负责，教师管理员定期进行抽查。

(3) 加强对学生的安全教育

学生是校园网的主要使用对象，也是对校园网存在最大威胁的团体。部分学生缺乏安全意识与知识，不能对个人电脑进行安全防护，造成病毒传播；部分学生对攻击技术感兴趣，使用自学的各种攻击手段对校园网进行攻击，类似行为都对校园网安全造成了威胁。

为了保护校园网安全，首先要进行主动防御。采用802.1X准入和Web准备技术，要求每个学生接入校园网都要进行账号申请，验证成功后方可进行访问，保证专号专用；在边界防火墙上设置策略，过滤不健康网站，保证不良信息不能进入校园网；在IDS上进行监测，随时发现安全隐患，并进行解决。eLog软件与出口设备连动实现上网日志的记录与查找，采用锐捷SNC网络管理软件，可以基于WEB集中对全网的网络设备做发现、管理维护和监控。

对学生进行安全教育，以“加强安全意识，共建和谐绿色网络”为主题，开展多次全方位的网络文化宣传活动。聘请网络安全工程师面向全院师生进行安全专题讲座；系部组织“绿色网络”宣传竞赛活动；班级开展“安全网络，人人有责”主题班会等。通过这样一系列活动的开展，增强学生的网络安全意识，提高安全防护知识，为共建全局安全的校园网络贡献自己的一份力量。

4 结束语

辽宁机电职业技术学院基于全局安全设计理念的校园网工程自施工完成投入使用以来，网络运行质量很高，出色的为教学、科研、管理等提供了服务，为学院的信息化建设提供了坚实的平台。但是信息技术的发展日新月异，各种攻击技术和病毒也会层出不穷，本学院的校园网管理水平也要同步提高。

[1]刘文清.校园网的安全与防护策略研究[J].电脑开发与应用.2011.

[2]黄欣,赵志刚.基于全局安全的高校校园网络设计方案[J].电脑知识与技术.2011.

[3]张俊兰,郭金平.高校校园网设计方案[J].延安大学学报.2010.

[4]黄柯佳.校园网信息安全优化方案探讨[J].通信与信息技术.2011.

[5]刘建波.关于构建和谐安全数字化校园的思考[J].高等教育研究(成都).2011.