国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

論校園網基本網絡搭建及網絡安全設計

2015-03-19 20:25
網絡安全技術與應用 2015年9期
關鍵詞:網絡應用校園網以太網

0 引言

近年來,因特網日益普及,網絡應用蓬勃發(fā)展,我國校園信息化和數字化建設也快速推進,目前,校園網已成為互聯網最為活躍的網絡之一。然而隨著校園網網絡規(guī)模及應用的增加,網絡安全問題也日益凸顯,校園網被黑、被破壞、網絡中敏感數據被修改或遭泄露的事件屢有發(fā)生,對信息系統(tǒng)和用戶產生了直接威脅,同時也成為制約校園網可靠性及可用性的直接因素,因而構建一個系統(tǒng)的網絡安全體系非常必要。本文主要從基本網絡的搭建及網絡安全設計方面著手進行探討。

1 校園網基本網絡的搭建

出于對校園網網絡特性的考慮,同時響應各個部門比如制作部門、辦公部門之間交互訪問控制的要求,我們采用下列方式進行基本網絡的搭建:①在網絡拓撲結構的選擇方面,采用星型拓撲結構,網絡中各節(jié)點通過點到點的方式連接到一個中央節(jié)點即集線器或交換機上,由該中央節(jié)點向目的節(jié)點傳送信息。這種拓撲結構節(jié)點具有高度獨立性,中央節(jié)點對連接線路可逐一隔離進行故障檢測和定位,即便某一節(jié)點出現故障,也只會影響一個設備,不會對其他節(jié)點的正常工作造成影響。此外,中央節(jié)點可方便地對各個站點提供服務和網絡重新配置。②在組網技術的選擇方面,目前常用的主干網的組網技術包括快速以太網、FDDI(光纖分布式數據接口)、千兆以太網和 ATM(異步傳輸模式),其中,快速以太網技術成熟,造價低廉,性價比高;FDDI雖組網技術成熟,但技術復雜,造價高,升級難度大;ATM 技術雖成熟,但網絡寬帶實際利用率較低;千兆以太網是一種成熟的組網技術,且與ATM相比,造價更為低廉。由于以太網組網技術組網靈活、簡便,能使用多種物理介質,能以不同拓撲結構組網,因而是網絡技術的主流。為此,在進行校園網基本網絡的搭建時,我們采用千兆以太網技術,具有高帶寬1000Mbps的主干,快速以太網交換到桌面,組建計算機播控網絡,運行各種應用系統(tǒng),以便于升級與擴展,最大限度保護用戶投資。

2 校園網網絡安全方案設計

2.1 校園網網絡安全需求分析和設計思路

充分考慮學校實際情況,首先,能對校園網網絡及網絡設備進行有效的安全防護,確保網絡上數據信息傳輸、保存的有效性和安全性;應能對網絡中出現的攻擊行為進行詳細的記錄和分析,及時檢測病毒并進行防范;應能實現對校園網內全部信息的過濾、入侵行為的檢測和控制隔離。其次,需進行統(tǒng)一的安全管理,制定并嚴格執(zhí)行網絡安全管理制度,對網絡訪問行為做出規(guī)范,禁止非法用戶訪問內部數據。第三,能有效管理網絡流量,并實現對上網行為比如網游和網聊、應用下載、言論發(fā)布、網站訪問等的監(jiān)控和控制。

目前,校園一卡通系統(tǒng)是校園信息化的基礎工程,財務系統(tǒng)也是校園網絡所承載的一個重要網絡應用,這些對安全的要求都很高,因而我們以安全為中心,根據網絡業(yè)務及應用的安全需求以及未來業(yè)務發(fā)展模式對校園網網絡進行區(qū)域劃分,主要劃分為DMZ區(qū)、互聯網服務區(qū)、廣域網分區(qū)、遠程接入區(qū)、數據中心區(qū)、內部辦公區(qū)等,將各個安全區(qū)域用防火墻隔離開來,在關鍵路徑上部署入侵防御系統(tǒng),進行深度的檢測防御,對用戶的一些不必要的、非法的網絡活動行為通過非法上網識別技術進行有效的檢測分析和識別,通過阻斷、限流等手段對這些行為進行控制,并建立統(tǒng)一的安全管理平臺實現對各種設備及服務器的統(tǒng)一管理,形成全網安全事件報告和用戶行為審計報告,為掌握網絡的安全情況、對網絡進行風險評估提供幫助,另外,部署針對特殊網絡應用的安全保護系統(tǒng)和工具,比如補丁管理系統(tǒng)、漏洞掃描工具、網絡流量監(jiān)測與分析系統(tǒng)等,以更好對網絡進行安全監(jiān)測與評估。

2.2 遠程接入安全設計

在校園內,教職工、學生都會存在遠程訪問教學資源的需求,另一方面,校園網網絡設備和一卡通廠家、銀行等有關合作伙伴也有遠程維護的需求,這就需要建立具有安全性、穩(wěn)定性、移動性的遠程網絡接入。針對上述問題,決定采用SSL VPN(虛擬專用網)技術,該技術應用成熟,組網靈活,經濟性和擴展性強,接入安全,能在一定程度上滿足遠程訪問需求。整個 SSL VPN設計方案基于B/S架構,客戶端無需安裝特殊軟件,當需要遠程接入時,通過瀏覽器可直接訪問SSL VPN網關,輸入用戶名和密碼即可訪問內部網絡應用資源。在設備選擇方面,應選擇性價比高、穩(wěn)定性能好的設備。

對于組網方式的選擇,可結合學校實際情況選用在線部署或單臂部署的方案。在線部署是在網絡出口處部署網關,網關串行接入網絡為用戶提供VPN功能,比如數據加密功能、業(yè)務保護功能等。單臂部署是在網絡內部部署網關旁路,將要訪問的內部網絡應用資源的遠程用戶牽引到SSL VPN網絡上并對其進行認證,根據認證信息,分配相應權限,用戶根據這些權限在實現遠程接入的情況下,對校園網的內部資源進行訪問,該模式也為客戶提供了一個相對安全的VPN通路。

2.3 邊界安全設計

將不同安全級別的網絡連接起來就產生了網絡邊界,網絡邊界安全是校園網網絡安全的基礎。網絡邊界上的安全威脅包括泄密、入侵、病毒、木馬等,根據校園網安全分區(qū),提出以防火墻、防病毒系統(tǒng)、網絡安全監(jiān)控系統(tǒng)和入侵防御系統(tǒng)為主以及各個系統(tǒng)之間相互結合的邊界安全設計方案。將防火墻部署在網絡出口位置,以有效防護IP欺騙或盜用、端口掃描、DDoS攻擊等,并提供一系列安全措施;在防火墻上加載防病毒系統(tǒng),對網絡出口處的安全威脅進行檢測和主動防御;設置網絡安全監(jiān)控系統(tǒng),進行校園網網絡流量的監(jiān)控,分析網絡應用情況;在應用層部署入侵檢測系統(tǒng)和入侵防御系統(tǒng)作為防火墻的補充,建議采用在線部署的方式布置入侵防御系統(tǒng),直接對網絡流量進行檢測,主動阻斷惡意流量。比如銀行網注重數據安全,只能允許銀行通信網關訪問銀行網絡,建議設計雙網卡的銀行網關,通過雙向身份認證(對傳送的數據包加校驗碼)、加密(對傳送數據進行加密處理)和報文認證(根據銀行要求把數據打包成ISO8583格式報文)保障相關數據安全。

2.4 數據中心安全設計

數據中心安全實際上就是數據的安全,安全威脅主要包括面向應用層和網絡層的攻擊。我們采用三層保護、多層防御的設計思路,第一層主要基于鏈路層的網絡交換機構成網絡層面的安全保護,第二層安全保護是在應用層、保護層、會話層部署入侵防御系統(tǒng),實現對網絡報文的深度檢測,第三層安全保護是在數據中心網絡接入入口處即網絡層和傳輸層部署防火墻,以允許的IP地址訪問數據庫,并設置黑、白名單控制應用程序或人員對數據庫的訪問,實現對數據中心網絡邊界的安全保護。當然,還要遵循分區(qū)規(guī)劃、分層部署的原則,即根據網絡設備所實現的功能的不同以及各層對安全需求的不同進行區(qū)域劃分,將不同區(qū)域部署為面向客戶應用的 Web服務器層、應用層和數據庫層,從安全訪問控制、入侵防御、應用加速等方面進行網絡安全設計。

3 結語

總之,隨著校園網網絡規(guī)模及應用的增加,網絡安全問題也日益凸顯,在建設校園網基本網絡時,我們不僅要考慮用戶需求,還要考慮網絡的安全性能,筆者認為要保證網絡系統(tǒng)完整性、可用性、可控性與可審查性,就必須提出科學合理、有針對性、可行性強的網絡安全設計方案,加強物理安全、數據信息安全以及風險防控的設計,以構建一個系統(tǒng)的安全網絡系統(tǒng),確保校園網絡的安全穩(wěn)定。

猜你喜歡
網絡應用校園網以太網
基于1500以太網養(yǎng)豬場的智能飼喂控制系統(tǒng)的設計與實現
數字化校園網建設及運行的幾點思考
交通領域中面向D2D的5G通信網絡應用探析
試論最大匹配算法在校園網信息提取中的應用
基于VRRP和MSTP協議實現校園網高可靠性
NAT技術在校園網中的應用
談實時以太網EtherCAT技術在變電站自動化中的應用
網絡應用識別系統(tǒng)的研究與實現
淺談EPON與工業(yè)以太網在貴遵高速公路中的應用
新媒體視閾下青少年網絡應用行為探析