李俠

摘 要 隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，各類網(wǎng)絡(luò)安全問題也逐漸顯現(xiàn)了出來。對(duì)這些問題進(jìn)行分析不難發(fā)現(xiàn)，網(wǎng)絡(luò)安全事故的發(fā)生大多是在高校之中。造成這一現(xiàn)象的主要原因就是高校校園網(wǎng)在搭建過程對(duì)安全設(shè)計(jì)考慮不到位導(dǎo)致整體網(wǎng)絡(luò)安全性下降，從而造成信息泄露等問題。想要更好的提升校園網(wǎng)的安全性就必須從搭建方式及網(wǎng)絡(luò)安全設(shè)計(jì)兩方面做起，本文將針對(duì)這兩點(diǎn)問題進(jìn)行詳細(xì)分析。本文第一部分主要結(jié)合高校網(wǎng)絡(luò)特點(diǎn)分析了校園網(wǎng)的基本搭建，第二部分則著重對(duì)具體網(wǎng)絡(luò)安全設(shè)計(jì)進(jìn)行了研究。

關(guān)鍵詞 校園網(wǎng)；搭建；網(wǎng)絡(luò)安全設(shè)計(jì)

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）198-0126-02

在互聯(lián)網(wǎng)技術(shù)不斷發(fā)展的過程中，人們對(duì)網(wǎng)絡(luò)安全這一問題的關(guān)注度也在逐漸提高，而越來越多的網(wǎng)絡(luò)安全事故的發(fā)生也表明了對(duì)這一問題進(jìn)行研究的必要性。針對(duì)本文所討論的校園網(wǎng)來說，無論是在物理上、數(shù)據(jù)上還是軟件應(yīng)用上，網(wǎng)絡(luò)安全設(shè)計(jì)都是不完善的。這些缺陷的存在將會(huì)導(dǎo)致整體系統(tǒng)的安全系數(shù)進(jìn)一步降低，校園網(wǎng)遭到攻擊的可能性也會(huì)變得更高。這樣的攻擊一旦發(fā)生，對(duì)校園網(wǎng)及校內(nèi)用戶的影響是非常大的。因此，本文將在對(duì)網(wǎng)絡(luò)基本搭建進(jìn)行討論的基礎(chǔ)上研究網(wǎng)絡(luò)安全的設(shè)計(jì)方案。

1 校園網(wǎng)搭建

首先，我們對(duì)校園網(wǎng)所具備的特點(diǎn)進(jìn)行分析。第一，因?yàn)樾@網(wǎng)是為整個(gè)學(xué)校的師生提供服務(wù)的，所以整體網(wǎng)絡(luò)流量也相對(duì)較大。第二，校園應(yīng)具備一定的穩(wěn)定性，除了日常應(yīng)用之外，校園網(wǎng)還支撐著高校內(nèi)各類科研活動(dòng)的開展，因此，這一網(wǎng)絡(luò)的穩(wěn)定性必須得到保證。我們應(yīng)在這兩點(diǎn)內(nèi)容的基礎(chǔ)上對(duì)校園網(wǎng)的搭建進(jìn)行討論。

對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇來說，本文建議，在校園網(wǎng)的構(gòu)建過程中我們應(yīng)優(yōu)先選擇星型結(jié)構(gòu)。這一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)具有易于控制、故障診斷及隔離難度低、方便服務(wù)等特點(diǎn)。將這些特點(diǎn)與校園網(wǎng)搭建的需求對(duì)應(yīng)起來我們就能發(fā)現(xiàn)，星型結(jié)構(gòu)是校園網(wǎng)內(nèi)最為適用的結(jié)構(gòu)。

針對(duì)組網(wǎng)技術(shù)的選擇來說，我們?cè)诖罱ㄐ@網(wǎng)的過程中主要從造價(jià)、帶寬、技術(shù)成熟度、升級(jí)難度等幾方面來進(jìn)行考慮。針對(duì)不同的組網(wǎng)技術(shù)來說，這些技術(shù)在優(yōu)缺點(diǎn)的表現(xiàn)上也各有不同，例如：ATM技術(shù)相對(duì)于FDDI來說在技術(shù)上的表現(xiàn)更為成熟，但帶寬的利用率卻相對(duì)較低，而千兆以太網(wǎng)卻在成本和帶寬上的表現(xiàn)都要優(yōu)于ATM技術(shù)。總體進(jìn)行比較之后，我們認(rèn)為千兆以太網(wǎng)是最適用于校園網(wǎng)的搭建的。

2 網(wǎng)絡(luò)安全設(shè)計(jì)

2.1 物理安全設(shè)計(jì)

從概念上來說，物理安全設(shè)計(jì)就是指在網(wǎng)絡(luò)搭建之初通過一定的物理手段來提升網(wǎng)絡(luò)整體的安全性、避免病毒及黑客的攻擊。在互聯(lián)網(wǎng)技術(shù)不斷發(fā)展的影響之下，網(wǎng)絡(luò)攻擊的方式也在一定程度上發(fā)生了轉(zhuǎn)變，我們無法預(yù)測(cè)下一次攻擊的時(shí)間、地點(diǎn)和具體形式。對(duì)于這樣的問題來說，只有針對(duì)網(wǎng)絡(luò)增設(shè)一定物理防護(hù)手段才能從根本上避免網(wǎng)絡(luò)安全問題的出現(xiàn)。對(duì)于本文所討論的校園網(wǎng)來說，屏蔽室的建立能很好的對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行保護(hù)。除了保護(hù)內(nèi)部信息之外，在信息傳輸?shù)目剂可?，光纜傳輸?shù)氖褂媚芨玫妮o助屏蔽室發(fā)揮其自身作用。

2.2 數(shù)據(jù)安全設(shè)計(jì)

數(shù)據(jù)的傳輸與共享是否足夠安全是我們對(duì)整體網(wǎng)絡(luò)安全性進(jìn)行考察主要指標(biāo)之一。對(duì)于校園網(wǎng)來說，這一系統(tǒng)內(nèi)總的數(shù)據(jù)量相對(duì)來說要更大一些，因此，我們必須借助一些新型技術(shù)來保證數(shù)據(jù)自身的安全性。VLAN技術(shù)的出現(xiàn)和應(yīng)用很好的解決了這些問題。這一技術(shù)是將網(wǎng)絡(luò)中的不同設(shè)備分為不同的工作組，并以網(wǎng)段的形式展開工作。在這一過程中，組與組之間是互相獨(dú)立的，兩臺(tái)設(shè)備之間的數(shù)據(jù)傳輸并不會(huì)互相影響。顯然，這樣的處理方式要比傳統(tǒng)的數(shù)據(jù)傳輸方式更易于管理和操作，安全性也更高。

2.3 應(yīng)用安全設(shè)計(jì)

針對(duì)于校園網(wǎng)內(nèi)用戶所使用的各類應(yīng)用及用戶的具體操作來說，如果我們不能通過一定的手段進(jìn)行管控，那么整體系統(tǒng)就很有可能受到病毒或其他黑客攻擊的影響。針對(duì)這一問題，本文主要從以下兩方面進(jìn)行說明：

第一，借助病毒防護(hù)技術(shù)。針對(duì)病毒的防護(hù)來說，我們是非常被動(dòng)的，只有通過殺毒軟件的安裝及日常的病毒查殺來進(jìn)行防范。

第二，借助防火墻技術(shù)。這一技術(shù)的核心是將來自外界互聯(lián)網(wǎng)中的不安全因素隔絕起來，避免校園網(wǎng)內(nèi)部受到影響。通過這兩種技術(shù)的應(yīng)用，我們就可以隔絕一大部分來自互聯(lián)網(wǎng)的不安全因素，從而保證校園網(wǎng)內(nèi)部的信息安全。

2.4 遠(yuǎn)程接入安全設(shè)計(jì)

在校園網(wǎng)中，許多教職員工和學(xué)生們都需要通過遠(yuǎn)程訪問的模式來進(jìn)行教學(xué)資源的訪問，這也就要求在校園網(wǎng)的搭建過程之中能夠構(gòu)建一個(gè)具有安全性、穩(wěn)定性以及良好移動(dòng)性的遠(yuǎn)程網(wǎng)絡(luò)接入系統(tǒng)。而進(jìn)行校園的遠(yuǎn)程接入安全設(shè)計(jì)過程之中，借助于虛擬專用網(wǎng)（SSL VPN）技術(shù)，則能夠很好的滿足遠(yuǎn)程訪問的各種需求，并具備有經(jīng)濟(jì)性強(qiáng)、擴(kuò)展性良好以及接入安全性高等諸多優(yōu)勢(shì)。在應(yīng)用該技術(shù)時(shí)，客戶端無需進(jìn)行特殊安全軟件的安裝，只需要通過瀏覽器來進(jìn)行SSL VPN網(wǎng)關(guān)的直接訪問，然后進(jìn)行用戶名和密碼的輸入，就能夠直接對(duì)校園網(wǎng)內(nèi)部的各種應(yīng)用資源進(jìn)行訪問。而在進(jìn)行設(shè)備選擇的過程之中，還需要同時(shí)考慮到運(yùn)行的穩(wěn)定性能以及性價(jià)比這兩個(gè)方面的因素。

在進(jìn)行組網(wǎng)方式的選擇過程中，就需要根據(jù)該學(xué)校校園網(wǎng)的實(shí)際運(yùn)行狀況，來通過多種模式對(duì)用戶們進(jìn)行VPN功能的提供，比如業(yè)務(wù)保護(hù)功能以及數(shù)據(jù)加密功能等等。通過單臂部署模式的應(yīng)用，能夠直接將需要訪問的內(nèi)部網(wǎng)絡(luò)應(yīng)用資源牽引到SSL VPN網(wǎng)絡(luò)上面，然后在進(jìn)行認(rèn)證的基礎(chǔ)上分配權(quán)限。用戶們通過這些權(quán)限的應(yīng)用也就能夠借助于遠(yuǎn)程接入的模式來進(jìn)行校園網(wǎng)中各種內(nèi)部資源的訪問。因此說該遠(yuǎn)程接入安全設(shè)計(jì)模式能夠給予用戶們提供一個(gè)相對(duì)安全的VPN通路，并確保整個(gè)校園網(wǎng)的運(yùn)行穩(wěn)定性以及使用安全性。

2.5 進(jìn)行邊界安全設(shè)計(jì)

在將不同安全級(jí)別的網(wǎng)絡(luò)進(jìn)行連接時(shí)，也就會(huì)導(dǎo)致網(wǎng)絡(luò)邊界的產(chǎn)生，其也是保障校園網(wǎng)網(wǎng)絡(luò)安全性的重要基礎(chǔ)?，F(xiàn)階段網(wǎng)絡(luò)邊界上所需要面臨的安全威脅包含有病毒、木馬以及泄密等多種影響。為了確保校園網(wǎng)的網(wǎng)絡(luò)安全性，也就需要在結(jié)合校園網(wǎng)安全分區(qū)的基礎(chǔ)上，將防火墻、殺毒系統(tǒng)、網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)以及入侵防御系統(tǒng)等多項(xiàng)安全防護(hù)功能進(jìn)行有機(jī)的結(jié)合，然后形成一個(gè)各系統(tǒng)間互相配合協(xié)同的邊界安全設(shè)計(jì)方案。

在網(wǎng)絡(luò)的入口位置來進(jìn)行防火墻的部署，其能夠很好的避免IP欺騙或者盜用等問題的發(fā)生，而在防火墻上面加載病毒防護(hù)系統(tǒng)的模式，還能夠?qū)W(wǎng)絡(luò)入口處的安全威脅進(jìn)行自動(dòng)檢測(cè)以及防御。借助于網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的運(yùn)行，可以對(duì)校園網(wǎng)的實(shí)際應(yīng)用情況進(jìn)行監(jiān)測(cè)分析，并能夠在安全問題出現(xiàn)的第一時(shí)間內(nèi)加以解決。為了保障系統(tǒng)運(yùn)行的安全性，也就需要在應(yīng)用層同時(shí)進(jìn)行如前檢測(cè)系統(tǒng)以及入侵防御系統(tǒng)的部署工作，并需要將其作為防火墻的有效補(bǔ)充，這樣也就能夠?qū)υ撔@網(wǎng)中的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，并防止惡意流量對(duì)于該校園網(wǎng)運(yùn)行安全性的影響。

3 結(jié)論

綜上所述，在互聯(lián)網(wǎng)的發(fā)展過程中，影響網(wǎng)絡(luò)安全的因素也逐漸多了起來，對(duì)校園網(wǎng)的構(gòu)建方式和網(wǎng)絡(luò)安全設(shè)計(jì)進(jìn)行研究是非常有必要的。本文首先通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇和組網(wǎng)技術(shù)的選擇兩方面對(duì)校園網(wǎng)的搭建進(jìn)行了介紹，第二部分則通過物理安全設(shè)計(jì)、數(shù)據(jù)安全設(shè)計(jì)以及應(yīng)用安全設(shè)計(jì)3方面內(nèi)容論述了針對(duì)于校園網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)策略?？偟膩碚f，在校園網(wǎng)的搭建和應(yīng)用過程中我們必須將網(wǎng)絡(luò)安全問題重視起來，并根據(jù)各個(gè)高校的實(shí)際情況進(jìn)行整體網(wǎng)絡(luò)系統(tǒng)的構(gòu)建。

參考文獻(xiàn)

[1]朱洪偉.論校園網(wǎng)基本網(wǎng)絡(luò)搭建及網(wǎng)絡(luò)安全設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（9）：27-28.

[2]梁濤.試論基于校園網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)分析[J].數(shù)字技術(shù)與應(yīng)用，2012（11）：193.

[3]于洪一.淺析校園網(wǎng)絡(luò)搭建及安全設(shè)計(jì)[J].黑龍江科技信息，2011（16）：90.endprint