彩虹學(xué)校校園網(wǎng)網(wǎng)絡(luò)安全體系

彩虹學(xué)校校園網(wǎng)網(wǎng)絡(luò)平安體系

研究與實施教育碩士：魏蕩指導(dǎo)教師：曹菡陜西師范大學(xué)計算機科學(xué)學(xué)院2024/5/51主要內(nèi)容一、課題研究的背景和現(xiàn)狀二、課題研究的目的和意義三、課題研究的主要內(nèi)容四、課題研究的總結(jié)2024/5/52一、課題研究的背景和現(xiàn)狀1.1Internet在國內(nèi)外的開展及日益嚴重的網(wǎng)絡(luò)平安問題

1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀1.3國內(nèi)外進行網(wǎng)絡(luò)平安研究的現(xiàn)狀2024/5/53Internet在國內(nèi)外的開展及現(xiàn)狀1969年阿帕網(wǎng)誕生，1993年Internet向公眾開放，用戶數(shù)量呈指數(shù)增長，平均半年翻一番。1994年Internet進入我國，截止2004年底，我國的國際出口75G、上網(wǎng)用戶數(shù)9400萬、上網(wǎng)計算機4160萬。1.1Internet在國內(nèi)外的開展及日益嚴重的網(wǎng)絡(luò)平安問題2024/5/54年份事件報道數(shù)目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年來網(wǎng)絡(luò)被攻擊的統(tǒng)計表日益嚴重的網(wǎng)絡(luò)平安問題2024/5/55日益嚴重的網(wǎng)絡(luò)平安問題2024/5/561.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀東南校園網(wǎng)絡(luò)主干布線圖中學(xué)小學(xué)2024/5/571.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀K12服務(wù)器課件服務(wù)器VOD服務(wù)器480T兩臺510T堆疊一臺460T一臺1024一臺1024一臺1016一臺460T一臺1024一臺460T一臺3008注：“”為千兆雙絞線，“”為千兆光纜，“”為百兆雙絞線網(wǎng)絡(luò)拓撲圖2024/5/58彩虹學(xué)校近幾年添購了大量的計算機設(shè)備，使校園網(wǎng)內(nèi)計算機數(shù)量增至400余臺，并且實現(xiàn)了Internet接入。平安現(xiàn)狀播送風暴嚴重影響了網(wǎng)絡(luò)的性能，消耗了大量網(wǎng)絡(luò)帶寬。沒有和Internet有效隔離，校園網(wǎng)上的各種資料，都受到來自Internet直接威脅。IP盜用和IP沖突不斷病毒的傳播和泛濫效勞器的平安性差黃色、暴力、邪教等不良信息在校園網(wǎng)內(nèi)時有發(fā)現(xiàn)1.2彩虹學(xué)校校園網(wǎng)的建設(shè)歷程及現(xiàn)狀2024/5/591.3國內(nèi)外進行網(wǎng)絡(luò)平安研究的現(xiàn)狀2024/5/510二、課題研究的目的和意義2024/5/511三、課題研究的主要內(nèi)容

2024/5/512全局〔Internet和Intranet〕

教育行業(yè)〔校園網(wǎng)絡(luò)〕

彩虹學(xué)校校園網(wǎng)

3.1彩虹學(xué)校校園網(wǎng)絡(luò)的平安設(shè)計3.1.1彩虹學(xué)校校園網(wǎng)不平安因素的分析2024/5/5133.1彩虹學(xué)校校園網(wǎng)絡(luò)的平安設(shè)計彩虹學(xué)校校園網(wǎng)的平安設(shè)計方案2024/5/5143.1彩虹學(xué)校校園網(wǎng)絡(luò)的平安設(shè)計平安性設(shè)計方案2024/5/515彩虹學(xué)校校園網(wǎng)用戶分布情況K12服務(wù)器課件服務(wù)器VOD服務(wù)器480T兩臺510T堆疊一臺460T一臺1024一臺1024一臺1016一臺460T一臺1024一臺460T一臺3008注：“”為千兆雙絞線，“”為千兆光纜，“”為百兆雙絞線彩虹學(xué)校校園網(wǎng)用戶分布很散亂，沒有一個二級交換機連著同一類用戶，少的兩三種，多的五六種用戶。2024/5/5163.2.2校園網(wǎng)用戶分析小學(xué)辦公室小學(xué)教室小學(xué)機房初中機房初中辦公室初中教室高中機房高中辦公室高中教室領(lǐng)導(dǎo)辦公室備課室職能辦公室效勞器注：1.“AB〞表示用戶A可單向訪問用戶B2.除過教室外，其余用戶都可上網(wǎng)圖五：彩虹學(xué)校校園網(wǎng)用戶訪問需求2024/5/517劃分方式的選擇

480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN劃分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN劃分；510T只支持基于策略的VLAN劃分。校園網(wǎng)的桌面級交換機1024、1016、3008級連在二級交換機的一個端口上，它們不支持VLAN劃分。2024/5/518劃分方式的選擇

Win2000以上的操作系統(tǒng)可以輕易修改內(nèi)存中的MAC地址；在共享媒介中實施基于MAC地址的VLAN使網(wǎng)絡(luò)性能明顯下降；初始化時的巨大工作量，基于MAC地址的VLAN劃分方式不可選。460T基于端口劃分的VLAN不支持跨交換機。從校園網(wǎng)用戶分布情況可以看出，幾乎所有的VLAN都跨交換機，基于端口的VLAN劃分不不可選。所以我們選擇基于802.1Qtag的VLAN劃分方式對校園網(wǎng)進行VALN劃分，510T不劃分VLAN，它的問題后面再來解決。2024/5/5193.2.4VLAN具體的劃分

VLANNAMEVLANIDIPADDRESGATEWAY教師辦公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1領(lǐng)導(dǎo)辦公室VLAN66192.168.6.X192.168.6.1服務(wù)器VLAN77192.168.7.X192.168.7.1中學(xué)機房VLAN33192.168.3.X192.168.3.1小學(xué)機房VALN55192.168.5.X192.168.5.1網(wǎng)絡(luò)設(shè)備DEFAULT1192.168.1.X192.168.1.12024/5/5203.2.5校園網(wǎng)各VLAN間的互訪關(guān)系小學(xué)機房VLAN5教室VLAN2中學(xué)機房VLAN3領(lǐng)導(dǎo)辦公室VLAN6教師辦公室VLAN8服務(wù)器VLAN7注：1.“AB”表示用戶A可單向訪問用戶B2.除過教室外，其余用戶都可上網(wǎng)圖五：彩虹學(xué)校校園網(wǎng)用戶訪問需求2024/5/5213.2.5彩虹學(xué)校校園網(wǎng)各VLAN間的通信三種方式：通過外部路由器實現(xiàn)、通過具有路由功能的交換機實現(xiàn)、通過建立通信連接來實現(xiàn)。通過購置協(xié)議鑰匙來開啟完全三層路由功能行不通，而根本三層的路由功能很有限，開啟路由功能所有VLAN全通，關(guān)閉那么全不通。先開啟根本三層路由功能使所有VLAN之間互通，再利用建立訪問列表禁止局部VLAN間的通信。2024/5/5222024/5/523集團辦公服務(wù)器192.168.0.88219.145.Y.Y219.145.X.X互聯(lián)網(wǎng)校園網(wǎng)服務(wù)器VLAN192.168.7.3~10網(wǎng)管ADSL校園網(wǎng)領(lǐng)導(dǎo)VLAN192.168.6.101~115(圖七)網(wǎng)管、學(xué)校和集團之間虛擬專用網(wǎng)(VPN)2024/5/524安裝時應(yīng)采取的平安措施帳戶的平安設(shè)置密碼的平安設(shè)置共享的平安設(shè)置端口和效勞的平安設(shè)置開啟平安審核策略創(chuàng)立緊急修復(fù)盤協(xié)議的平安設(shè)置漏洞掃描3.3彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立3.3.2校園網(wǎng)效勞器的平安設(shè)置2024/5/525選購安裝瑞星網(wǎng)絡(luò)版殺毒軟件除安裝有硬盤復(fù)原卡、全盤保護的教室終端和學(xué)生機房外，校園網(wǎng)內(nèi)所有的終端都必須安裝殺毒軟件及時升級殺毒效勞器上的病毒庫每周一次全網(wǎng)查殺為系統(tǒng)打補丁，截斷病毒傳播的途徑禁止私自安裝其它殺毒軟件3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.3預(yù)防查殺計算機病毒2024/5/526在校園網(wǎng)比較重要的效勞器網(wǎng)段VLAN7中放置基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品S100。不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果數(shù)據(jù)包與入侵檢測系統(tǒng)中的某些規(guī)那么吻合，那么入侵檢測系統(tǒng)就會發(fā)出警報或者直接切斷網(wǎng)絡(luò)的連接。在重要的主機〔財務(wù)室電腦、教務(wù)室電腦等〕上安裝基于主機的入侵檢測系統(tǒng)S120，對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行分析和判斷，如果其中主體活動十分可疑，入侵檢測系統(tǒng)就會采取相應(yīng)措施。在校園網(wǎng)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，它們優(yōu)勢互補，構(gòu)架成一套完整立體的主動防御體系。3.3

彩虹學(xué)校校園網(wǎng)防毒反黑體系的建立

3.3.4構(gòu)架立體的主動防御體系2024/5/527校園網(wǎng)效勞器選用熱插拔硬盤、RAID5格式；在效勞器段VLAN7設(shè)置一臺裝有三個大容量IDE硬盤的備份PC(磁帶機的價格太高5000-50000￥)，將常用數(shù)據(jù)存儲在效勞器硬盤，不常用的數(shù)據(jù)存儲在這臺PC的硬盤中；利用Win2000Sserver自帶的備份工具對效勞器中的有效數(shù)據(jù)定期備份，放在備份PC的硬盤上；對教務(wù)室和財務(wù)室的電腦也要求定期備份；將學(xué)校需要保存的數(shù)據(jù)、圖像、資料每個學(xué)期末進行一次分類、編號、整理、壓縮，然后刻成光盤存檔。3.4提高校園網(wǎng)平安性的其它措施

3.4.1數(shù)據(jù)備份2024/5/5283.4提高校園網(wǎng)平安性的其它措施

3.4.2不良信息過濾2024/5/5293.4提高校園網(wǎng)平安性的其它措施

3.4.3多層次地址綁定2024/5/530202