關鍵詞:校園網;網絡建設;網絡安全;設計。
隨著網絡技術的飛速發展,各種安全問題層出不窮,校園網頻繁遭到黑客攻擊或病毒破壞,造成了極其惡劣的社會影響和巨大的經濟損失。校園網絡安全的維護需要從網絡建設和網絡安全設計兩方面入手。
壹是基礎網絡建設。
由於校園網的特點(數據流量大,穩定性、經濟性、擴展性強)和各部門的要求(生產部門和辦公部門之間的訪問控制),我們采用以下方案:
1.網絡拓撲選擇:網絡采用星型拓撲(如圖1)。是目前應用最廣泛、最常見的局域網拓撲結構。節點具有高度的獨立性,適合將網絡診斷設備放置在中心位置。
2.組網技術的選擇:目前骨幹網常用的組網技術有快速以太網(100Mbps)、FDDI、千兆以太網(1000Mbps)、ATM(155Mbps/622Mbps)。快速以太網是壹種非常成熟的組網技術,成本低,性價比高。FDDI也是壹種成熟的組網技術,但由於技術復雜,成本高,升級困難。ATM技術已經成熟,是多媒體應用系統的理想網絡平臺,但其網絡帶寬的實際利用率很低。目前,千兆以太網已經成為壹種成熟的組網技術,其成本低於ATM網絡,有效帶寬高於ATM的622Mbps。所以我個人推薦以千兆以太網為骨幹,快速將以太網切換到桌面,形成計算機播控網絡。
第二,網絡安全設計。
1.物理安全設計為了保證校園網信息網絡系統的物理安全,除了網絡規劃、場地和環境的要求外,還需要防止系統信息在空間上的傳播。計算機系統的信息被電磁輻射截獲的案例已有多起,有理論和技術支撐的驗證工作也證實了這種截獲距離達數百甚至數公裏的恢復顯示技術給計算機系統的信息帶來了極大的危害。為了防止系統中的信息在空間傳播,通常會采取壹些物理保護措施來減少或幹擾空間信號的傳播。正常的防範措施主要在三個方面:對主機房和重要信息存儲、收發部門進行屏蔽,即建設屏蔽效率高的屏蔽室,利用其安裝運行主要設備,防止鼓、帶、高輻射設備的信號泄露。為了提高屏蔽室的效率,屏蔽室與外界的連接和聯接要采取相應的隔離措施和設計,如信號線、電話線、空調、消防線、通風、波導、關門等。抑制局域網和局域網傳輸線的傳導輻射,由於電纜傳輸輻射信息的必然性,現在采用光纜傳輸,從Modem出來的設備大多采用光電轉換接口,光纜連接到屏蔽室進行傳輸。
2.網絡資源和數據信息的安全設計* * *為了解決這個問題,我們決定采用VLAN技術和計算機網絡的物理隔離來實現。VLAN(Virtual LocalArea Network)是壹種實現虛擬工作組的新技術,它將局域網中的設備從邏輯上而不是物理上劃分成段。
IEEE於1999年頒布了802.1Q協議標準草案,用於規範VLAN實現方案。VLAN技術允許網絡管理員從邏輯上將壹個物理局域網分成不同的廣播域(或虛擬局域網,即VLAN)。每個VLAN都包含壹組具有相同要求的計算機工作站,並且具有與實際形成的局域網相同的屬性。
但是,因為是邏輯上而不是物理上劃分的,所以同壹個VLAN中的工作站不需要放在同壹個物理空間中,也就是說,這些工作站不壹定屬於同壹個物理局域網段。壹個VLAN中的廣播和單播流量不會轉發到其它VLAN。即使兩臺計算機擁有相同的網段,也沒有相同的VLAN號,各自的廣播流也不會互相轉發,從而有助於控制流量,減少設備投資,簡化網絡管理,提高網絡安全性。VLAN的提出是為了解決以太網的廣播問題和安全性。它在以太網幀的基礎上增加了壹個VLAN頭,用VLANID將用戶劃分成更小的工作組,並在不同的工作組之間限制用戶的二層訪問。每個工作組都是壹個虛擬局域網。虛擬局域網的優點是可以限制廣播範圍,組成虛擬工作組來動態管理網絡。目前,根據港口劃分VLAN是最常見的方式。很多VLAN廠商使用交換機的端口來劃分VLAN成員,設置的端口都在同壹個廣播域內。比如壹臺交換機的端口1,2,3,4,5定義為虛擬網絡AAA,同壹臺交換機的端口6,7,8構成虛擬網絡BBB。這樣做允許端口之間的通信,並允許專用網絡的升級。
但是,這種分區模式將虛擬網絡限制在壹臺交換機上。第二代VLAN技術允許將VLAN劃分到多個交換機的不同端口上,不同交換機上的幾個端口可以形成同壹個虛擬網絡。按交換機端口劃分網絡成員的配置過程簡單明了。
3.計算機病毒、黑客和電子郵件應用程序風險防控設計我們利用反病毒技術、防火墻技術和入侵檢測技術來解決相關問題。防火墻和入侵檢測在信息安全和訪問控制方面也發揮著巨大的作用。
第壹,殺毒技術。十多年來,病毒壹直伴隨著計算機系統發展。目前,它們的形式和入侵路線已經發生了很大的變化。幾乎每天都有新的病毒出現在網絡上,它們借助網絡上的信息交流,尤其是電子郵件進行傳播,傳播速度極快。電腦黑客經常使用病毒和惡意程序進行攻擊。
為了保護網絡中的服務器和工作站免受計算機病毒的侵害,建立集中有效的病毒控制機制,紙網需要應用基於網絡的防病毒技術。這些技術包括:基於網關的反病毒系統、基於服務器的反病毒系統和基於桌面的反病毒系統。比如我們準備在主機上安裝網絡防病毒產品套件,在計算機信息網絡中設置防病毒中央控制臺,從控制臺向所有網絡用戶分發防病毒軟件,達到統壹升級、統壹管理的目的。安裝基於網絡的防病毒軟件後,不僅可以使主機防病毒,還可以防止主機傳輸的文件被病毒入侵,從而建立集中有效的防病毒控制系統,確保計算機網絡信息安全。形成了整體拓撲圖。
第二,防火墻技術。企業防火墻壹般是壹種集軟硬件於壹體的網絡安全專用設備,專門用於TCP/IP系統的網絡層,提供認證、訪問控制、安全審計、網絡地址轉換(NAT)、入侵檢測系統、應用代理等功能。,保護內部局域網接入互聯網或公共* * *網絡,解決內部計算機信息網絡出入口的安全問題。
校園網的壹些信息是不能對外公布的,所以必須嚴格保護和保密。因此,必須加強外部人員對校園網的訪問管理,防止敏感信息的泄露。通過防火墻,嚴格控制外來用戶對校園網的訪問,嚴格拒絕非法訪問。防火墻可以為校園網信息網絡提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊網站的訪問,提供監控互聯網安全和預警,系統認證,使用日誌功能分析訪問。通過防火墻,可以基本保證對內部的訪問是安全的,可以有效防止非法訪問,保護重要主機上的數據,提高網絡完整性。校園網的網絡結構分為各部門局域網(內部安全子網)和同時連接內部網絡並向外部提供各種網絡服務的安全子網。防火墻拓撲結構圖。
內部安全子網連接內部使用的整個計算機,包括所有VLAN和內部服務器。該網段對外開放,禁止外部非法入侵和攻擊,控制合法外部訪問,實現內部子網的安全。* * *將提供WEB、EMAIL、FTP等服務的計算機和服務器連接到壹個安全的子網中,通過映射實現端口級安全。外部用戶只能訪問安全規則允許的對外開放的服務器,以隱藏服務器的其他服務,減少系統漏洞。
參考資料:
安德魯·塔南鮑姆。計算機網絡(第四版)[M]。北京:清華大學出版社,2008.8。
[2]袁金生,吳彥農。計算機網絡安全基礎[M]。北京:人民郵電出版社,2006.7。
[3]中國IT實驗室。VLAN與技術[J/OL],2009。