（2020）（安全生产）校园网安全整体解决方案设计

《（2020）（安全生产）校园网安全整体解决方案设计》由会员分享，可在线阅读，更多相关《（2020）（安全生产）校园网安全整体解决方案设计（20页珍藏版）》请在金锄头文库上搜索。

1、成成 都都 信信 息息 工工 程程 学学 院院 课课 程程 设设 计计 校园网安全整体解决方案设计校园网安全整体解决方案设计 作者姓名 作者姓名 纪纪 红红 班班 级级 信安信安 08 4 学学 号 号 2008122127 指指导导教教师师 王祖王祖俪俪 日日 期 期 2011 年年 12 月月 10 日日 封面 校园网安全整体解决方案设计校园网安全整体解决方案设计 摘摘 要要 随着计算机网络技术的飞速发展 网络技术越来受到人们的重视 它逐渐 渗入到我们生活各个层面 学校的网络系统具有一个安全健康的环境 是校园 网络科学化 正规化的重要条件 也在校园网的高效运行中扮演了重要的角色 现代校园网

2、系统是一种基于开发式的网络环境 能够保证数据输入 输出的准 确性快捷并且方便使用的网络应用系统 本设计详细分析了校园网的安全问题 本文在分析校园网原有的网络安全 防范措施的基础上 针对校园网在运行中所遇到的实际问题 本次课程设计在 管理 设置 维护几个方面阐述了对于校园网如何进行管理与维护整个设计包 括课程设计的目的与意义 需求分析 系统设计 系统实现 系统调试运行 总结 及参考文献几个部分 通过此次设计来加深我们对校园网络基本的管理 与维护的了解 对于校园网建设中所用的基本设备如路由器 交换机 防火墙 等了解它们在校园网中的使用情况 及基本的配置过程 对电子邮件过滤检测 入侵检测 病毒监测

3、防火墙设置等多方面做了相应的综合性安全解决方案 关键字 校园网系统 管理 设置 软件维护 邮件过滤 入侵监测 防火 墙 目目 录录 1 引言引言 1 1 1 课题背景 1 1 2 高校校园网的网络现状 1 1 3 校园网安全问题分析 2 1 4 校园网安全问题存在的原因 3 2 安全解决方案设计安全解决方案设计 4 2 1 需求分析 4 2 3 网络设计原则 4 2 4 网络拓扑图 5 2 5 安全设计原则 5 3 功能设计功能设计 6 3 1 防火墙设置 6 3 1 1 部署防火墙 6 3 2 建立入侵检测系统 9 3 3 建立漏洞管理系统 10 3 4 建立网络防病毒系统 11 3 5 I

4、P 盗用问题的解决 11 3 6 采用系统升级策略 12 3 7 利用网络监听维护子网系统安全 13 3 8 建立良好的管理体系 13 3 9 部署 WEB EMAIL BBS 的安全监测系统 14 3 10 部署内容安全管理系统 15 3 11 使用校园网用户认证计费管理系统 15 4 代码实现部分代码实现部分 16 5 参考文献参考文献 17 第 1 页 共 20 页 1 1 引言引言 1 1 课题背景课题背景 随着近年来网络安全事件不断地发生 安全问题也成为了 IT 业的一个热点 安全问题对于学校的发展也越来越重要 安全问题已经成为影响校园网平台的 稳定性和正常提供网络服务的一个严重问题

5、 所以提升校园网络自身的安全性 也成为学校增强竞争力的重要方面之一 同样 随着网络技术的迅猛发展和因 特网的普及 网络概念已不再局限于某些领域 而是深入到社会的各个组成部 分 形成了一个初具规模的网络社会 不过 同其他一些高科技类似 网络技 术在丰富人们生活 产生实际的经济效益的同时 也给人们带来了诸多负面的 影响 大家可以看到 自 Internet 问世以来 资源共享和信息安全一直作为一 对矛盾体而存在着 计算机网络资源共享的进一步加强随之而来的信息安全问 题也日益突出 局域网是互联网的一种主要的存在方式和组成部分 局域网的安全问题在 某种意义上反映了几乎所有的安全问题 学校校园网作为一个局

6、域网 也面对 这一系列的安全问题 在这里我们讲讨论一下校园网的安全措施 1 2 高校校园网的网络现状高校校园网的网络现状 教育的信息化是当今世界教育改革的重要思潮之一 是时代的要求 也是 素质教育的需要 学校近年来大力实施现代化教育技术工程 以电脑网络为基 础 以图书馆 电教中心为信息源 以数字化为模式 提高学校教育教学的档 次和质量 目前 学校的校园网络已经初具规模 以光纤连接校内主要建筑 所有建筑内全部布线 校园网覆盖整个校园 同时校园网向上通过光纤联入中 国教育科研网 并与 Internet 互联 但是在现有的网络设备保护下校园网网 络依然存在很多问题 这些问题导致校园网络不能正常的提供

7、良好的服务 经 常给用户带来困扰 第 2 页 共 20 页 1 3 校园网安全问题分析校园网安全问题分析 经过长期的使用和观察 校园网还存在一下问题 1 IP 盗用的问题 校园网内部连接有几千台电脑 一部分电脑通过正常的申 请途径得到合法的 IP 地址 另一部分则不然 当某些没有 IP 地址的用户 冒用他人的合法 IP 地址时 就会造成网络内部地址的冲突 严重阻碍了合 法用户的正常使用 2 防火墙攻击 防火墙系统相关技术的发展已经比较成熟 防火墙系统很坚 固 但这只是对外的防护而已 他对于内部的防护则几乎不起什么作用 然 而不幸的是 一般情况下大部分的攻击是来自局域网的内部人员 所以怎么 防止

8、来自内部的攻击是当前校园网建设中的一个非常重要的方面 3 Email 问题 由于用户安全观念的淡薄以及网上某些人的别有用心 会给校 园网的 Email 用户发一些不良内容的信件 有时还会携带各种各样的病毒 因此 怎样防止有问题的信件进入校园网的 Email 系统也是一个待解决的问 题 4 各种服务器和网络设备的扫描和攻击 有时会有一些用户对校园网的服务 器和网络设备进行扫描和攻击 造成网络负载过重 致使服务器拒绝提供服 务 或造成校园网不能提供正常的服务 5 非法 URL 的访问的问题 对于一些反动的或不健康的站点 应当禁止校园 网用户通过校园网去访问 6 病毒防护的问题 互联网迅猛发展使得网

9、络运营成为社会时尚 但同时也 为病毒感染和快速传播提供了途径 病毒从网络之间传递 并在计算机没有 任何防护措施的情况下运行 从而导致系统崩溃 网络瘫痪 对网络服务构 成严重威胁 造成巨大损失 近阶段泛滥的 尼姆达病毒 就是典型的例子 因此 如何让校园网更安全 防止网络遭受病毒的侵袭 已成为校园网迫切 需要解决的问题 第 3 页 共 20 页 1 4 校园网安全问题存在的原因校园网安全问题存在的原因 1 虽然学校在网络入口部署了防火墙和入侵检测系统阻止了外部对学校内部网 络的攻击 但是防火墙无法对学校内部从 Internet 上下载的通过 HTTP FTP SMTP 等形式的数据进行进一步的分析

10、 可是一些病毒例如蠕虫病 毒往往会隐藏在这些下载的文件中 一旦用户运行了这些文件 就会在整个校 园网中爆发蠕虫病毒 导致网络瘫痪 2 邮件系统保护不完善 电子邮件是学校老师和学生最常用到的功能 与此同 时它也是病毒传播的重要途径 邮件病毒不但会对桌面级的系统造成如占用磁 盘空间 修改或破坏文件中的数据 大量消耗系统资源等危害 还会使邮件系 统本身瘫痪 消耗大量的网络资源使网络速度变慢 同时使邮件用户收到大量 的垃圾邮件 3 学校内部对 Internet 的非法访问威胁 如浏览黄色 暴力 反动等网站 以及由于下载文件可能将木马 蠕虫 病毒等程序带入校园内网 再加上使用 BT 等 P2P 软件下载

11、电影 游戏对整个网络的带宽产生了严重的影响 使得学 校的业务无法正常的开展 4 目前使用的操作系统存在安全漏洞 对网络安全构成了威胁 例如 Windows NT 2000 Windows Server 的普遍性和可操作性使它成为最不安全的系统 自身 系统安全漏洞 浏览器的漏洞 IIS 的漏洞等 5 缺少真正意义上的功能强大的网络版杀毒软件 因为目前的杀毒软件效果不 理想 或者已经被病毒干掉或者是被老师擅自卸载 而在卸载之后计算机上有 的安装了盗版的杀毒软件有的没有再安装任何杀毒软件 这样一来信息办老师 无法从整体上对全网的计算机进行杀毒管理和监控 图书馆 实验楼的 PC 机上 学生经常使用 U

12、 盘拷贝游戏 文档 在上课期间聊 QQ 玩游戏 上网灌水聊天 甚至登陆色情 暴力 违法网站等 不务正业 图书馆 实验楼机房也病毒泛 滥 虽然大部分 PC 都安装了还原卡 但是已经不能阻挡病毒的入侵 病毒往往 能穿透还原卡和还原软件 同时大部分机器都未能及时安装系统补丁 容易被 蠕虫入侵 但是目前又没有一个很好的办法来管理所有系统的补丁 第 4 页 共 20 页 2 2 安全解决方案设计安全解决方案设计 2 1 需求分析需求分析 针对校园网长期以来校园网络出现的各种问题 对校园网的需求提出了一下几 点 1 防止校园网外部用户对校园网内的用户进行攻击 2 校园网外部用户只能访问 WWW 服务 MA

13、IL 服务 其他服务只对校园网 内部用户开放 3 考虑到易用性 所有服务器的操作系统采用 Windows Server WWW 服 务使用 IIS 4 需要防病毒系统 2 3 网络设计原则网络设计原则 网络的先进性和实用性的原则 采用的硬软件系统既有技术的先进性 又 有很高的性能价格比 网络的开放性和兼容性的原则 选择符合国际标准的网 络硬软件产品 有很好的互换 扩展和升级能力 网络的灵活性和可靠性的原 则 网络系统能够适应各种网络应用系统 易于今后向更先进的技术迁移 并 且要有很好的容错能力 网络的可管理性和易维护性原则 配置网管软件 采 用具有可管理的网络设备 以便合理规划网络资源和控制网

14、络运行 整个网络 应结构合理 层次划分清楚且具有相对独立性 便于管理和维护 网络系统的 保密性和强有力的防病毒性 第 5 页 共 20 页 2 4 网络拓扑图网络拓扑图 2 5 安全设计原则安全设计原则 1 身份识别 身份识别是对网络用户 主机 应用 服务和资源的准确 积极的识别 实现它的标准技术包括验证协议 如 RADIUS 和 TACACS Kerberos 和一次性密码工具 数字证书智能卡和目录服务等新技术 正开始在身份识别解决方案中占越来越重要的作用 2 外围安全 接入控制 它提供了控制到关键网络应用 数据和服务的接入 的方法 以便只有合法用户和信息可通过网络 带接入控制列表和 或状态

15、防火 墙 以及专用防火墙设施的路由器和交换机提供了这种控制 病毒搜索器和内 容过滤器等补充性工具也有助于控制网络外围 3 数据专用性 当必须保护信息免遭窃听时 按需提供经验证的保密通信 第 6 页 共 20 页 的能力是十分重要的 有时 使用隧道技术 如 GRE 或 L2TP 来进行数据分离 可提供有效的数据私密性 然而 更高私密性要求常需要使用 IPSec 等数字加 密技术和协议 在实施 VPN 时 这种添加的保护尤为重要 4 安全监控 为确保网络安全 重要的是定期测试和监控安全准备状态 网络易损点搜索器可主动发现弱点领域 IDS 可在发生安全事件时对其监控和 响应 利用安全监控解决方案 机

16、构可了解网络数据流和网络的安全状态 5 策略管理 随着网络规模和复杂度的增加 对集中策略管理工具的需求 也随之提高 带可分析截获 配置和监控安全策略状态的基于浏览器的用户界 面的工具 提高了网络安全解决方案的可用性和有效性 除安全要求外 网络 安全设计还必须具备网络弹性 性能和可扩展性 3 3 功能设计功能设计 3 1 防火墙设置防火墙设置 3 1 1 部署防火墙部署防火墙 在需要隔离的网络区域之间部署防火墙 典型地 在 Internet 与校园网 之间部署一台防火墙 成为内外网之间一道牢固的安全屏障 将 WWW MAIL FTP DNS 等服务器连接在防火墙的 DMZ 区 与内 外网间进行隔离 内 网口连接校园网内网交换机 外网口通过路由器与 Internet 连接 那么 通 过 Internet 进来的公众用户只能访问到对外公开的一些服务 如 WWW MAIL FTP DNS 等 既保护内网资源不被外部非授权用户非法访问或破 坏 也可以阻止内部用户对外部不良资源的滥用 并能够对发生在网络中的安 全事件进行跟踪和审计 在防火墙设置上按照以下原则配置来提高网络安全性 1 根据校园网安全