校園網基本網絡搭建及網絡安全設計分析
摘要:伴隨著Internet的日益普及,網絡應用的蓬勃發(fā)展,網絡信息資源的安全備受關注。校園網網絡中的主機可能會受到非法入侵者的攻擊,網絡中的敏感數據有可能泄露或被修改,保證網絡系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網絡拓撲結構和網組技術對校園網網絡進行搭建,通過物理、數據等方面的設計對網絡安全進行完善是解決上述問題的有效措施。
關鍵詞:校園網;網絡搭建;網絡安全;設計。
以Internet為代表的信息化浪潮席卷全球,信息網絡技術的應用日益普及和深入,伴隨著網絡技術的高速發(fā)展,各種各樣的安全問題也相繼出現,校園網被“黑”或被病毒破壞的事件屢有發(fā)生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網絡安全需要從網絡的搭建及網絡安全設計方面著手。
一、 基本網絡的搭建。
由于校園網網絡特性(數據流量大,穩(wěn)定性強,經濟性和擴充性)和各個部門的要求(制作部門和辦公部門間的訪問控制),我們采用下列方案:
1. 網絡拓撲結構選擇:網絡采用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的局域網拓撲結構。節(jié)點具有高度的獨立性,并且適合在中央位置放置網絡診斷設備。
2.組網技術選擇:目前,常用的主干網的組網技術有快速以太網(100Mbps)、FDDI、千兆以太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統(tǒng)的理想網絡平臺,但它的網絡帶寬的實際利用率很低;目前千兆以太網已成為一種成熟的組網技術,造價低于ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦采用千兆以太網為骨干,快速以太網交換到桌面組建計算機播控網絡。
二、網絡安全設計。
1.物理安全設計 為保證校園網信息網絡系統(tǒng)的物理安全,除在網絡規(guī)劃和場地、環(huán)境等要求之外,還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統(tǒng)信息的__帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.網絡共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網絡物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其它VLAN中,即使是兩臺計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發(fā),從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的,它在以太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態(tài)管理網絡。從目前來看,根據端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員,被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。
但是,這種劃分模式將虛擬網絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們采用防病毒技術,防火墻技術和入侵檢測技術來解決相關的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統(tǒng)一起發(fā)展了十幾年,目前其形態(tài)和入侵途徑已經發(fā)生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,并且借助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護服務器和網絡中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下論文網需要應用基于網絡的防病毒技術。這些技術包括:基于網關的防病毒系統(tǒng)、基于服務器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如,我們準備在主機上統(tǒng)一安裝網絡防病毒產品套間,并在計算機信息網絡中設置防病毒中央控制臺,從控制臺給所有的網絡用戶進行防病毒軟件的分發(fā),從而達到統(tǒng)一升級和統(tǒng)一管理的目的。安裝了基于網絡的防病毒軟件后,不但可以做到主機防范病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統(tǒng),從而保證計算機網絡信息安全。形成的整體拓撲圖。
第二,防火墻技術。企業(yè)防火墻一般是軟硬件一體的網絡安全專用設備,專門用于TCP/IP體系的網絡層提供鑒別,訪問控制,安全審計,網絡地址轉換(NAT),IDS,,應用代理等功能,保護內部局域網安全接入INTERNET或者公共網絡,解決內部計算機信息網絡出入口的安全問題。
校園網的一些信息不能公布于眾,因此必須對這些信息進行嚴格的保護和保密,所以要加強外部人員對校園網網絡的訪問管理,杜絕敏感信息的泄漏。通過防火墻,嚴格控制外來用戶對校園網網絡的訪問,對非法訪問進行嚴格拒絕。防火墻可以對校園網信息網絡提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊站點的訪問,提供監(jiān)視INTERNET安全和預警,系統(tǒng)認證,利用日志功能進行訪問情況分析等。通過防火墻,基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問,保護重要主機上的數據,提高網絡完全性。校園網網絡結構分為各部門局域網(內部安全子網)和同時連接內部網絡并向外提供各種網絡服務的安全子網。防火墻的拓撲結構圖。
內部安全子網連接整個內部使用的計算機,包括各個VLAN及內部服務器,該網段對外部分開,禁止外部非法入侵和攻擊,并控制合法的對外訪問,實現內部子網的安全。共享安全子網連接對外提供的WEB,EMAIL,FTP等服務的計算機和服務器,通過映射達到端口級安全。外部用戶只能訪問安全規(guī)則允許的對外開放的服務器,隱藏服務器的其它服務,減少系統(tǒng)漏洞。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網絡(第4版)[M].北京:清華大學出版社,2008.8.
[2]袁津生,吳硯農。 計算機網絡安全基礎[M]. 北京:人民郵電出版社,2006.7.
[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.