《机电学院校园网安全策略的研究毕业论文(28页).doc》由会员分享,可在线阅读,更多相关《机电学院校园网安全策略的研究毕业论文(28页).doc(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-机电学院校园网安全策略的研究毕业论文-第 21 页辽 东 学 院 本 科 毕 业 论 文(设 计)机电学院校园网安全策略的研究The Research of Security Policy of Jidian Polytechnic Campus Network学 生 姓 名: 学 院: 专 业: 班 级: 学 号: 指 导 教 师: 审 阅 教 师: 完 成 日 期: 辽 东 学 院Eastern Liaoning University独创性说明作者郑重声明:本毕业论文(设计)是我个人在指导教师指导下进行的研究工作及取得研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,毕业论文(设计
2、)中不包含其他人已经发表或撰写的研究成果,也不包含为获得辽东学院或其他单位的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。作者签名:_ 日期:_摘 要近年来校园网发展的非常迅速,为了提高学校的教学水平和管理能力,许多高校开始对校园实行教学手法现代化和校园管理网络化的改革。随着校园网络规模的不断扩大,对校园网的安全和性能要求也越来越高。在校园里使用校园网的人数众多,网络使用者的素质却参差不齐,造成校园网出现各种各样的问题。怎样可以使校园网可以安全、稳定的被大家所使用已经成为了一个不得不解决的问题。造成这些问题的原因多种多样,但究其原因,还是
3、一些心怀不轨的人通过病毒和黑客技术扰乱了校园网的正常秩序。学校不可能让每个人都遵循校园网的秩序,那只有将校园网建设的更加安全、稳定才能最大程度的保证校园网的正常运行。本论文为机电学院设计的网络拓扑结构,采用了基于防火墙和三层交换机的网络架构,安装防火墙可以最大程度的保护校园网不收到来自外网的攻击,使用三层交换机作为校园网的核心不仅可以为校园网的稳定、快速、高效运行提供了保证,这样还可以显著改善校园网络的整体性能。本论文还对机电学院进行了具体的VLAN 划分,并对防火墙的安全策略及功能进行分析,以及三层交换机的安全策略分析,最后对校园网的安全策略进行了总结。关键词:防火墙;三层交换机;安全策略;
4、VLANThe Research of Security Policy of Jidian Polytechnic Campus NetworkAbstractIn recent years, the campus network development is very rapid, in order to improve the standard of teaching and management capacity of the school, many colleges and universities began to implement modern methods of teach
5、ing and school management reforms to the campus network. With the continuous expansion of the campus network scale, security and performance requirements of the campus network are also increasing.Large number of people using the campus network in the university, but quality of network users are unev
6、en, causing a variety of problems appear the campus network. How can I make the campus safe and stable use by everyone had already become a problem. The reasons for these problems varied, but the reason is some of the bad guys by viruses and hacking techniques disrupted the normal order of the campu
7、s network. Schools cannot get everyone to follow the order of the campus network, and that only make the normal operation of the campus network construction more secure and stable to the greatest degree of assurance of the campus network.This thesis is designing for Electrical and Mechanical College
8、s network topology, using the firewall and the three-tier switch based network architecture, install a firewall can protect campus network does not receive attacks from outside the network , using three-tier switch as the core of the campus network not only provide for the campus network stability,
9、fast, efficient operation of the guarantee,it also can improve the overall performance of the campus network.This paper has also carried on the concrete VLAN(Virtual Local Area Network) division of Electrical and Mechanical College. And safe strategy and the function of firewall are analyzed, and th
10、e analysis of the three-tier switch security strategy, finally security strategy of campus network are summarizedKey Words:Firewalls;Three-tier switch;Security policies; VLAN目 录摘 要IAbstractI一、 绪论1(一) 问题的提出及研究意义11. 问题的提出12. 研究的意义1(二) 研究的现状2(三) 本文研究的目的和研究内容21. 本文研究的目的22. 本文研究的主要内容2二、 校园网络安全面对的主要问题及原因3
11、(一) 主要问题31. 漏洞与隐患32. 网络病毒泛滥33. 来自校园网内外的入侵和攻击34. 校园网硬件设备出现问题45. 校园网安全管理问题4(二) 造成这些问题的原因41. 网络结构不合理42. 网络安全维护的投入不足43. 师生对校园网安全不重视44. 网络管理员责任心不强5(三) 本章小结5三、 机电学院网络需求分析6(一) 辽宁机电职业技术学院概况6(二) 校园网络需求61. 教学功能需求62. 管理功能需求63. 数据安全需求64. 网络可靠性需求6(三) 网络设计原则7(四) 本章小结7四、 机电学院网络拓扑结构规划与安全策略设计8(一) 网络设计综述8(二) 网络设备的选择8
12、1. 核心交换机的机型82. 汇聚层交换机的机型93. 接入层交换机的选型104. 防火墙的机型10(三) 网络拓扑结构设计11(四) 校园网络 VLAN 规划设计12(五) 网络三层交换设计安全策略12(六) 本章小结14五、 防火墙和三层交换机在校园网络中的安全策略15(一) 防火墙的安全策略15(二) 防火墙在校园网中的主要功能151. 状态检测功能152. 多种过滤功能153. 地址绑定功能154. 时间段控制访问功能165. VPN功能166. 入侵检测功能167. 流量控制功能168. 支持带宽控制功能169. 日志审计功能17(三) 三层交换机的安全策略17(四) 三层交换机的主
13、要功能及配置171. VLAN的划分172. 访问控制列表193. VRRP技术194. 端口流量限制205. 端口聚合206. 路由功能217. 计费功能21(五) 本章小结21结论22参考文献23致 谢24一、 绪论(一) 问题的提出及研究意义1. 问题的提出近年来校园网发展的非常迅猛,为了提高学校的教学水平和管理能力,许多高校开始对校园实行教学手法现代化和校园管理网络化的改革。这些改革的实施让人们在校园内的业余生活变得更加充实、欢乐、多变。但是,有利即有弊。由于校园网是共享的、开放的、自由的,所以难免会有到一些居心不良的人利用病毒、木马以及黑客技术攻击校园内的计算机,让校园网内的其他用户
14、的计算机受到了一系列的安全威胁。最让人感到意外的就是,调查表明,校园网受到的攻击有75%是来自校园网络内部的,这些攻击者攻击校园网内的计算机的目的各不相同,有的是为了炫耀自己高超的电脑技术,有的是为了窃取别人的个人资料,还有的就是纯粹的想攻击破坏校园网。我们不可能让每个人都遵循校园网的秩序,我们只有将校园网建设的更加安全、稳定才能最大程度的保证校园网的正常运行。在这种情况下,怎样才能让校园网内的用户可以安全、稳定、高效的使用校园网成为了学校说面对的难题。面对这样的难题学校的网络建设和管理机构应该采取一些怎样的方式和方法呢?通常在这种情况下,一般学校都会让网管中心的老师来对其进行设计,或者与一些
15、集成商讨论来一起设计解决校园网安全的方法。辽宁机电职业技术学院作为一所高职院校,同样面临着校园网安全上的威胁。本文所研究的课题就是在这样的背景条件下所提出的,关于机电学院校园网安全策略的研究。2. 研究的意义随着更多教学应用软件的开发与使用,校园网已经被广泛地应用在我国的教育系统中,这样对校园网的安全也提出了更高的要求,一旦校园网受到了攻击,将会给学校带来非常严重的损失。由于校园网的用户群体比较大,每个用户的上网需求不同,少数用户上网行为还存在恶意性,这样使得校园网很难被管理。而且随着现在校园网络接入互联网的带宽不断的提高,为用户下载提供了方便,许多人在网络上下载的一些软件中可能隐藏木马、病毒
16、、恶意代码等后门程序,黑客们可以通过这些入侵、攻击我们的计算机,从而造成计算机以及网络的瘫痪。研究这一课题的意义不仅仅是为辽宁机电职业技术学院建设安全的校园网,更为了是给其他的一些高校建设校园网的一个参考。(二) 研究的现状近几年互联网在校园中变得越来越重要,老师教学离不开校园网,学生平时的学习、娱乐离不开互联网,随着上网人数的增加,校园网内的计算机所面临的安全威胁也呈现上升趋势。应该如何去处理这一问题,以及如何才能解决校园网的安全隐患,大部分的学校还都在理论阶段而没有进行仔细详尽的设计与规划。为了给广大师生创建良好的校园网络环境,我们需要设计出一个全面的、科学的、合理的、完整的校园网络安全策
17、略的解决方案通过考察机电学院的网管中心,我们发现机电学院的网络建设滞后于学校的整体发展。学校的网络结构不是非常完整,缺少一部分的网络硬件设备,并且所安装的应用软件也不是很多,更没有考虑到校园网络的安全1。(三) 本文研究的目的和研究内容1. 本文研究的目的本论文的研究目的是根据辽宁机电职业技术学院校园的具体情况和其校园网所面对的安全威胁,研究出一个适合于机电学院校园网的安全策略的解决办法。为机电学院校园网的网络安全系统所存在的漏洞进行完善,为机电学院设计一个基于防火墙和三层交换机的校园网拓扑结构。2. 本文研究的主要内容本文首先对目前校园网络之中存在的安全问题进行了分析,并对这些问题进行了分析
18、,从而得出了造成校园网络安全受到威胁的原因。然后根据辽宁机电职业技术学院对网络的需求,以及学校的具体地理环境,设计出具体的网络拓扑图,并对其进行具体的IP地址及VLAN的划分。最后对防火墙和三层交换机在校园网中所起到的作用进行说明。二、 校园网络安全面对的主要问题及原因(一) 主要问题校园网的用户多,规模大,人员流动量大,因此校园网的计算机系统管理起来非常复杂。校园网如果受到了安全威胁将直接的影响学校的管理、教学、科研活动等方面。有一个安全稳定的网络环境已经成为了学校正常办公的基础。目前,对校园网的安全产生威胁的主要有以下几种: 1. 漏洞与隐患目前, 校园计算机使用的最普遍的操作系统就是WI
19、NDOWS,虽然WINDOWS已经是目前最完善的操作系统了,但是WINDOWS操作系统还是存在着许多的漏洞。黑客们可以通过这些漏洞入侵我们的计算机,随着时间的推进,可能会有更多的漏洞被黑客们所发现并且对其加以利用。微软公司会不定时的发布一些补丁来修复这些漏洞,如果我们不及时对操作系统进行更新,这些漏洞就会一直存在,这些漏洞对我们的计算机来说将是很大的安全隐患。2. 网络病毒泛滥现在大家通过网络可以下载到各种资源,为大家的学习、娱乐都带来了很多方便,但其也变成了病毒传递的最快捷的途径。由于网络病毒的传播直接导致用户的隐私和重要数据外泄。网络病毒传播进入校园网,不仅会对计算机反映速率造成大幅的下降
20、,同时还会大量的消耗了网络资源,对整个校园网络产生影响。一些计算机病毒不单单通过网络进行传播,还可以通过一些学生、老师用的U盘、移动硬盘等存储设备进行传播2。3. 来自校园网内外的入侵和攻击由于校园网络和因特网相连,我们在校园网内可以直接访问因特网上的各种资源,于此同时,我们也面临着遭受来自外部网络攻击的风险。现在的黑客软件不再是那些对计算机非常精通的黑客们才会使用的了,黑客软件变得简单化,只要学习简单的教程,就可以使用黑客软件对互联网上的其他用户进行入侵和攻击。有一些不法分子为了窃取学校的重要信息通过使用黑客软件对学校的服务器进行攻击,对校园网产生破坏。校园网络是广大师生进行教学、办公、学习
21、、娱乐的主要平台,但是学校有一部分老师和同学具有一定的网络知识和黑客技术。校园网内有着大量的各种各样的资源,这些人可能对其他校园网内的用户产生好奇,会有意或者无意的对校园网内的其他用户进行攻击,这样严重的干扰了校园网络正常、安全的运行。4. 校园网硬件设备出现问题校园网所使用到的硬件设备分布在整个校区内,网络管理员无法对所有网络设备进行妥善的管理。这些设备有的暴露在外部,可能会因为人为因素或自然因素遭受到不同程度的损坏,如果某些关键的网络设备出现问题就有可能会给校园网造成一些严重的后果,甚至有可能会使校园网部分或者全部瘫痪。 5. 校园网安全管理问题校园网内的计算机数量是非常大的,如果没有一个
22、好的管理方式,随时都有可能会造成校园网内数据通信出现问题。网络管理员在校园网安全管理方面起着至关重要的作用。如果网络管理员未对校园网的防火墙、三层交换机等进行安全方面的配置,将直接影响整个校园网的安全系数3。(二) 造成这些问题的原因 1. 网络结构不合理校园网的网络结构对于校园网整个网络的安全有着巨大影响,一个好的网络结构可以避免很多网络问题出现。但是一个不好的网络结构,会让整个校园网的计算机的安全都受到威胁。因此根据学校的具体情况选择一个合理的网络结构是保证校园网络安全的前提和基础。2. 网络安全维护的投入不足在有了一个合理的网络结构情况下,也不是能够完全避免网络问题的出现,网络安全维护也
23、是保证校园网安全的重中之重。想要让网络一直保持安全稳定,就要经常对网络进行维护,但是网络维护需要一定的物力和一定的人力。然而,大多数院校在校园网络维护上的人员投入和设备投入都不是很充足,学校在校园网建设的经费往往大部分都投入到了购买网络设备上。3. 师生对校园网安全不重视一部分的学生和老师对网络安全不够重视,经常通过网络下载一些含有病毒的文件和使用携带病毒的移动存储设备,造成学校的计算机中毒,导致校园网络系统被攻击,严重干扰了校园网络安全、稳定的运行。 4. 网络管理员责任心不强每个学校的网络管理员都是对网络技术非常了解的,但是对待工作的热情、以及态度却并不相同。一个负责任的网络管理员,将会使
24、校园的网络变得无懈可击。一个责任心不强的网络管理员,将会使校园的网络面临着各种各样的危险4。(三) 本章小结本章首先阐述了目前校园网所面对的主要问题,并对这些问题进行了分析,从而得出了造成校园网络安全受到威胁的原因。三、 机电学院网络需求分析(一) 辽宁机电职业技术学院概况辽宁机电职业技术学院校园学院占地面积500余亩,建筑总面积12.98万平方米。在校学生人数为7216人,教师人数为395人,设有机械工程系、自动控制工程系、信息工程系、黄海汽车工程学院、北方黄金珠宝学院、基础教学部、思想政治理论课教学科研部、体育教学部共8个教学单位。现开设仪器仪表、自动化技术、机械加工技术、材料成型技术、无
25、损检测技术、汽车工程、黄金珠宝加工、工业设计、计算机应用、制造类服务业、应用语言等辽宁11个专业群,51个专业(方向)。随着近些年学校的发展,师生数量的增长,原有的网络的安全性和性能都不足以满足现在学校对校园网的要求。需要设计新的校园网络规划,来提高校园网的安全性和性能。(二) 校园网络需求1. 教学功能需求在教学方面,要利用网络技术实现远程教育、视频点播、教学资源共享等。建立教学资源库供老师分享其课件、试题、资料等。2. 管理功能需求在管理方面,可以在校园网内建立网上办公系统、教务管理系统、学生管理系统等一系列方便学校管理的系统。3. 数据安全需求因为校园内连接着学校的各种服务器,所以对数据
26、能否安全的存储和传送是非常重要的。校园网的安全系统必须保证服务器不会受到来自网络的非法攻击。4. 网络可靠性需求校园网每时每刻都在处理大量的数据,如果校园网系统如果出现故障,将会给学校带来很严重的损失。这就要求校园网必须拥有一定的可靠性,在网络中有设备出现故障时,在链路中要有冗余备份,来保证校园网的正常运行。(三) 网络设计原则机电学院校园网络除满足最基本的实现校园内部网络通信,连接外部网络,能够实现资源共享,还应当能够为在此校区的老师和学生提供丰富的多媒体教学手段。因此校园网络应当合理运用资金,利用现有条件,充分实现教学、办公、生活、娱乐功能,同时也应当具有先进性、经济性、安全性,可靠性等。
27、在保证网络可靠的前提下,在原有的网络设备的基础上添加性价比最好的设备。(四) 本章小结本章对辽宁机电职业技术学院的概况进行了介绍,并给出了其校园网络的需求情况以及设计原则。四、 机电学院网络拓扑结构规划与安全策略设计(一) 网络设计综述每个校园网的拓扑结构都是不同的,根据辽宁机电职业技术学院的网络需求分析,为其设计出一个基于防火墙和三层交换技术的网络系统结构,在增加少量新设备的条件下提高校园整体网络系统的性能和安全性。辽宁机电职业技术学院校园主要包括以下几个部分:网络控制中心、行政中心、信息馆/机械馆、仪表馆/工管馆、展览中心、学生宿舍、图书馆。并根据机电学院的具体情况对其校园网络子网络部分的
28、需求进行分析,并总结出校园个区域部分的需求,如下表:表4.1 校园各区域节点部分需求地点节点数安全性速度要求网络控制中心一般高高行政中心一般高高信息馆/机械馆多高一般仪表馆/工管馆多高一般学生宿舍多一般一般图书馆多一般一般展览中心少一般一般(二) 网络设备的选择根据辽宁机电职业机电技术学院现有的网络设备情况,不足以完成本设计,因此我们需要现有设备的基础上对网络设备进行添加。1. 核心交换机的机型核心交换机是网络的高速主干设备,核心层需要为汇聚层和接入层提供大量的数据,尽可能快的交换包,需要高速转发数据流量。通过各种产品之间对比,考虑到校园网的稳定性、扩展性、兼容性,根据辽宁机电职业学院规模及应
29、用需求,所以本方案决定选用神舟数码DCRS-7604三层交换机作为核心交换机。神州数码DCRS-7604是企业级智能交换机拥有十分强大的功能,具有丰富的IPv6实现技术,完整的攻击和病毒防范功能,完美的体系结构,稳定的核心保障机制,智能灵活的性能资源调度机制,便捷安全的网络管理,运营商级的可靠性,支持VLAN配置,支持全双工,支持网管功能。神州数码DCRS-7604三层交换机为校园网的稳定、快速、高效运行提供了保证。图4.1神州数码DCRS-7604三层交换机2. 汇聚层交换机的机型汇聚层作为多台接入层交换机的汇聚点,那些来自接入层交换机的所有通信量全部由汇聚层交换机来处理,然后再将通信数据传
30、到核心层交换机。根据学校校园网需求设计,汇聚层交换机应该采用支持三层交换技术和VLAN技术的交换机,以达到网络隔离和分段的目的,在机电学院原来的网络设备中有神州数码DCRS5650-28三层交换机,为了节约资源节省资金,以及使校园网稳定流畅运行,我们继续使用神州数码DCRS5650-28三层交换机作为校园网的汇聚层交换机。图4.2神州数码DCRS5650-28三层交换机3. 接入层交换机的选型接入层交换机可以选择二层交换机,但是必须要满足100Mbps转发速率,支持VLAN 划分,并且可以根据数据包中的MAC地址信息进行转发,并自己内部的一个地址表中把这些MAC地址与对应的端口记录下来。二层交
31、换机的价格较便宜并且端口较多。在机电学院原来的网络设备中有神州数码DCS3600-26C,同样为了节约资源节省资金,所以本方案中接入层交换机选用神州数码DCS3600-26C。图4.3神州数码DCS3600-26C二层交换机4. 防火墙的机型在校园网内的所有计算机想要与外界网络进行网络通信都必须经过防火墙。防火墙可以关闭那些我们不常使用的端口,并且它还能禁止特定端口的流出通信。防火墙还会对所有流经它的网络通信进行扫描与检测,这样可以阻止许多来自外界网络的攻击,以此来保护校园网内的计算机。它还可以对那些经常攻击校园网络的IP地址进行禁止通信的设置,来阻止攻击者对校园网的攻击。由于在机电学院原来的
32、网络设备中没有使用到防火墙设备,因此本方案选用可以和其他网络设备更好的配合的神州数码DCFW-1800S-V2作为本方案的防火墙。图4.4神州数码DCFW-1800S-V2防火墙(三) 网络拓扑结构设计根据学校地理条件,将整个校园分为七个部分,分别是网络控制中心、行政楼、信息馆/机械馆、仪表馆/工管馆、展览中心、图书馆、学生宿舍。其中,以网络控制中心为整个网络拓扑结构的核心,防火墙、服务器、核心交换机等构建校园网的重要设备全部都在网络中心。下图为机电学院的网络结构拓扑图:图 4.5 网络拓扑图行政楼是行政中心和系部教务处的所在是校园的核心,其网络速率的快慢直接影响学校的办公质量,其网络的安全直
33、接关系学校的利益。因此在行政楼用神州数码DCRS5650-28三层交换机与网络中心的核心交换机相连,在通过二层交换机DCS3600-26C连接到行政中心和系教务处,这样可以大幅的提高网络效率和处理能力。在地理位置上信息馆与机械馆相邻,仪表馆与工管馆相邻,这是学校教学的核心位置,其网络速率的快慢可以直接影响学校的教学质量,其网络的安全直接影响老师的教学效果。在考虑网络设备利用率最大化,并且取得的效果最好,将信息馆的接入层交换机DCS3600-26C与机械馆的接入层交换机DCS3600-26C连到一个三层交换机DCRS5650-28上,将仪表馆的接入层交换机DCS3600-26C与工管馆的接入层交
34、换机DCS3600-26C连到一个三层交换机DCRS5650-28上,再将这两个三层交换机连到网络中心的核心交换机上。(四) 校园网络 VLAN 规划设计其中,对于整个校园规划来讲,核心交换机起着最重要的功能之一就是对于VLAN 的划分。本设计 VLAN 规划如下:表 4.2 VLAN 规划表单位网段子网掩码安全级别VLAN网络中心192.168.0.1-192.168.3.25426高VLAN10行政中心192.168.4.1-192.168.7.25426高VLAN20系部教务处192.168.8.1-192.168.11.25426高VLAN30机械馆192.168.12.1-192.1
35、68.15.25426高VLAN40信息馆192.168.16.1-192.168.19.25426高VLAN50工管馆192.168.20.1-192.168.23.25426高VLAN60仪表馆192.168.24.1-192.168.27.25426高VLAN70图书馆192.168.28.1-192.168.31.25426中VLAN80学生宿舍192.168.32.1-192.168.45.25426中VLAN90展览中心192.168.46.1-192.168.49.25426中VLAN100(五) 网络三层交换设计安全策略在网络结构设计中,我们可以看出来,对于那些对网络的安全性要
36、求很高的用户,他们所处的内部网络与外部网络之间想要实现网络数据通信的时候,其流程如下图所示,图中我们可以看到虚线所圈起来一部分,这一部分在整个网络数据通信的过程中主要起到了一个保护通信数据安全的作用5。图 4.6 高安全级别用户网络通信流程图如上图所示:安全级别为高的用户想要连接到网络,必须经过防火墙、核心交换机、汇聚层三层交换机、接入层交换机,外部的网络想要对其攻击要经过重重的防御。并且,网络管理员还可以根据需求对三层交换机进行安全配置,这样可以最大程度上的提升其安全级别,因此,即使是用户的网络安全意识不强,其网络安全防御能力也是很强的。对于安全级别为中的用户,其它们的网络数据的外部与内部通
37、信流程图如下:图 4.7 中安全级别用户网络通信流程图如上图所示:与安全级别为高的用户相比,安全级别为中的用户少了单独的三层交换机。因为中级别用户对安全性的要求不高,没有安装汇聚层的三层交换机是为了节省资金。并且,这类用户网络流量大,接入层交换机直接连接核心交换机,省去了汇聚层交换机的处理,对数据的处理速度有一定的提高。内网之间高安全级别用户与中安全级别用户通信流程图如下:图 4.8 高安全级别用户与中安全级别用户内网通信流程图如上图所示:校园网内网的用户之间相互通信,不同VLAN间通信是不通过防火墙的,防火墙无法起到保护作用。但是通过核心交换机和汇聚层的三层交换机,如果哪部分网络出现异常,网
38、络管理员也可以根据VLAN的不同找到出问题的部分。(六) 本章小结本章对辽宁机电职业技术学院进行了具体的网络规划设计,首先将学校整体分为了网络控制中心、行政中心、信息馆/机械馆、仪表馆/工管馆、展览中心、学生宿舍、图书馆等几部分,并对这几部分的节点数量、安全性要求、速度要求进行了调查。然后再根据学校现有的网络设备,添加了新的网络设备,并画出了机电学院的网络拓扑图。接下来还对校园的各个部分进行了具体的IP地址和VLAN的划分。最后对校园网三层交换设计策略进行了具体的说明。五、 防火墙和三层交换机在校园网络中的安全策略(一) 防火墙的安全策略在辽宁机电职业技术学院的网络结构设计中,防火墙是校园网络
39、与互联网通信的出口。如果校园网不通过防火墙,而直接连接到互联网上,那样整个校园网都会直接暴露在互联网上,校园网将会很容易的就遭受到攻击。防火墙就是将校园的内部网络与外界的不可信的公共网分离开。可以说防火墙就是校园网的一道门,只有打开这道门才能进入校园网内,因此防火墙是保证校园网安全的重中之重。神州数码 DCFW-1800S-V2 防火墙是一款十分优秀的防火墙设备,可以充分的保障校园网内部不会遭受到来自外部网络的入侵。(二) 防火墙在校园网中的主要功能1. 状态检测功能具有状态检测功能的防火墙不仅能够完成简单包过滤的工作外,还可以维护一个跟踪连接状态的列表在自己的内存中,这个列表可以显示要匹配的
40、连接状态,基于这个列表的内容防火墙再进行转发或拒绝数据包的传送。这样那些受保护网络发出的数据包的状态信息会被防火墙的状态表所记录,然后返回的受保护网络的数据包会与防火墙的状态表进行对比,防火墙进行分析判断只有通过的才能被放行。对校园网来说,状态检测不但能提高网络的安全性,还能增强网络的性能。2. 多种过滤功能神州数码DCFW-1800S-V2防火墙除了支持包过滤功能,还支持内容过滤、命令过滤、URL过滤、色情网站过滤、文件过滤、文件长度过滤、邮件过滤、邮件长度过滤等多种过滤功能。能够充分的对经过防火墙的数据进行过滤,让校园网的安全得到保障。3. 地址绑定功能地址绑定就是将主机IP地址和网卡的M
41、AC地址一一对应起来。在广域网中,它的主要作用是保护合法用户的IP地址不让非法用户所盗用;在局域网中,主要用来防止内部用户之间的地址欺骗。地址绑定功能方便了校园网内部网络的管理,由于每块网卡的MAC地址都是固定的,经过地址绑定后,IP地址就与计算机或用户的对应关系固定起来。管理员通过制定IP地址的访问规则,就能够确定用户的网络使用权限。4. 时间段控制访问功能用户可根据单位或个人的工作时间设置网络服务的开放时段,从而限制网络的开放程度,降低网络风险及运行费用,方便了校园网络管理员的管理,增加了网络系统的安全性。5. VPN功能随着Internet的发展,特别是由于电子商务、网上金融等的推波助澜
42、,Internet缺少对网络安全呢在支持的固有弱点正越来越明显地显露出来。而虚拟专用网,即VPN技术是解决Internet安全问题的重要手段之一。VPN是一个构建在公共网络基础设施上的,同时具有私有网络安全特征的网络或网络环境。对于这一点神州数码 DCFW-1800S-V2 防火墙是采用安全的加密算法和传输体制来完成的。这样不但会大大降低网络设备的成本,还能够使数据通信更加安全。6. 入侵检测功能入侵检测功能就是防火墙对入侵行为的发觉。防火墙通过对计算机网络系统中的关键点进行收集信息并对收集来的信息进行分析,通过分析发现网络系统中是否存在有被攻击的迹象以及违反安全策略的行为6。为了尽可能的提高
43、防火墙的运行效率,神州数码DCFW-1800S-V2防火墙本身集成了入侵检测系统,可以检测部分常见的攻击及非法扫描7。7. 流量控制功能神州数码 DCFW-1800S-V2 防火墙具有实时检测用户流量的功能。它能够对不同用户,每天分配固定的流量,当这个用户通过防火墙对外通信时,防火墙会对用户所产生的流量进行统计,当累计到固定限额时,防火墙会立即切断该用户的对外访问,这对于某些异常的访问可以起到很好的控制作用。神州数码 DCFW-1800S-V2 防火墙的日志管理系统还能够把每天每个用户的实际流量保存起来,在月末汇总出每个用户的当月总流量,极大的方便了网络管理员的流量统计工作。8. 支持带宽控制
44、功能带宽控制功能可以根据校园网的用户级别进行分类,对不同类别的用户进行不一样的带宽控制,限制其数据包的发送速率,达到保证网络稳定的目的。提供带宽管理,保证关键业务的服务质量,是神州数码 DCFW-1800S-V2 防火墙的一项重要功能7。神州数码防火墙支持带宽控制,通过合理配置、分配带宽资源,使网络资源得到合理、充分的使用。使得受防火墙保护的服务器都能充分地发挥作用。9. 日志审计功能从安全的角度将,审计日志主要是起到抗抵赖的作用的,因为防火墙的审计日志记录了用户的网络使用情况,如果有人对校园网络进行了入侵、攻击等一系列的非法行为,攻击时我们没有发现,在事后我们可以通过对审计日志的查询,了解其
45、使用网络的信息,据此对这样的主机设置防范措施,以防再次遭到攻击8。(三) 三层交换机的安全策略在辽宁机电职业技术学院的网络架构中,有核心层、汇聚层、接入层等三个层次。在核心层和汇聚层都是使用的三层交换机。因此三层交换机在整个网络中起着非常重要的作用。整个校园网的核心是由两台核心交换机 神州数码DCRS-7604三层交换机组成,其主要负责将校园网络各部分的总数据流进行汇聚和分流。两台核心交换机之间相互连接,这样可以组成一个冗余的网络结构,保证两台核心交换机即使有一台出现问题,校园也能正常运行。神州数码DCRS5650-28三层交换机提供本地第三层交换和路由功能。对于校园网的每个子网,根据各个学院
46、进行 VLAN 的划分和管理,实现 VLAN 间的相互通信及访问控制。校园网络的接入层由 神州数码DCS-3600-26C二层交换机构成。接入层交换机的主要功能是为用户提供大量的网络接口9。三层交换机在诸多网络设备中起着至关重要的作用,无论是核心层还是在汇聚层,我们都需要用到三层交换机。尤其在核心层更是有着无可取代的作用,如果没有它,整个网络内的所有计算机都在一个子网中,不仅对网络安全来说是个风险,也会因为无法分割广播域而形成广播风暴。虽然使用传统的路由器可以防止形成广播风暴,但是路由器的性能却不是很好。而三层交换机既有路由的功能,又有着路由器所无法比拟的性能。(四) 三层交换机的主要功能及配置1. VLAN的划分说起三层交换机的功能首先要说的就是VLAN的划分,三层交换机可以对网络中的每个子网进行详细的VLAN划分,划分完VLAN每个子网都有对应的VLAN名,可以使网络管理园更好的对校园网进行管理。划分VLAN能够为局域网解决冲突域、广播域、带宽等一系列问题,并提高整个网络系统的安全性,节省网络带宽。VLAN还为我们提供了一定的安全机制,可以控制广播组的大小和位置,限制特定用户的访问,甚至还能锁定网络成员的MAC