1、彩虹学校校园网网络安全体系研究与实施陕西师范大学计算机科学学院第2页2022-12-21主要内容第3页2022-12-21 1.1 Internet在国内外的发展及日益在国内外的发展及日益严重的网络安全问题严重的网络安全问题 1.2 彩虹学校校园网的建设历程及彩虹学校校园网的建设历程及现状现状 1.3 国内外国内外进行网络安全研究的现进行网络安全研究的现状状第4页2022-12-21Internet在国内外的发展及现状在国内外的发展及现状1969年阿帕网诞生,年阿帕网诞生,1993年年Internet向公众开放,用户数量呈指数增长,平均向公众开放,用户数量呈指数增长,平均半年翻一番。半年翻一番
2、。1994年年Internet进入我国,截止进入我国,截止2004年底,我国的国际出口年底,我国的国际出口75G、上网用户数、上网用户数9400万、上网计算机万、上网计算机4160万。万。1.1 Internet在国内外的发展及日益在国内外的发展及日益严重的网络安全问题严重的网络安全问题 第5页2022-12-21年份年份事件报道数目事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年来网络被攻击的统计表近年来网络被攻
3、击的统计表日益严重的网络安全问题日益严重的网络安全问题 第6页2022-12-21日益严重的网络安全问题日益严重的网络安全问题 第7页2022-12-211.2 彩虹学校校园网的建设历程及现状彩虹学校校园网的建设历程及现状东南校园网络主干布线图校园网络主干布线图中学小学第8页2022-12-211.2 彩虹学校校园网的建设历程及现状彩虹学校校园网的建设历程及现状K12服务器服务器课件服务器课件服务器VOD服务器服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注:“”为千兆双绞线,“”为千兆光缆,“”为百兆双绞线网络拓
4、扑图网络拓扑图第9页2022-12-21彩虹学校近几年添购了大量的计算机设备,使校园网内计算机数量增至400余台,并且实现了Internet接入。安全现状安全现状1.广播风暴严重影响了网络的性能,消耗了大量网络带宽。2.没有和Internet有效隔离,校园网上的各种资料,都受到来自Internet直接威胁。3.IP盗用和IP冲突不断4.病毒的传播和泛滥5.服务器的安全性差6.黄色、暴力、邪教等不良信息在校园网内时有发现1.2 彩虹学校校园网的建设历程及现状彩虹学校校园网的建设历程及现状第10页2022-12-21虚拟局域网技术虚拟局域网技术防火墙技术防火墙技术计算机病毒的预防查杀技术计算机病毒
5、的预防查杀技术数据备份技术数据备份技术不良信息过滤技术不良信息过滤技术入侵检测技术入侵检测技术IP地址绑定技术地址绑定技术1.3 国内外国内外进行网络安全研究的现状进行网络安全研究的现状 第11页2022-12-21二、课题研究的目的和意义二、课题研究的目的和意义第12页2022-12-21三、课题研究的主要内容三、课题研究的主要内容1.彩虹学校校园网的安全设计2.VLAN技术在彩虹学校校园网中的应用3.彩虹学校校园网防毒反黑体系的建立4.提高网络安全性的其它措施第13页2022-12-21全局(Internet和Intranet)教育行业(校园网络)彩虹学校校园网3.1 彩虹学校校园网络的安
6、全设计彩虹学校校园网络的安全设计 3.1.1 彩虹学校校园网不安全因素的分析彩虹学校校园网不安全因素的分析第14页2022-12-213.1 彩虹学校校园网络的安全设计彩虹学校校园网络的安全设计 3.1.2彩虹学校校园网的安全设计方案彩虹学校校园网的安全设计方案(1)为主控室、二级交换机机柜安装防盗报警设备、不间断电源、防雷击及通风降温设备。(2)对校园网络原有布线进行测试,在二级交换机处形成教室(或办公室)、网线和交换机端口的一一对应关系,并输入电脑进行动态管理。(3)划分VLAN,减小广播域,降低广播风暴的影响,减小网络监听的可能,为不同安全要求的VLAN提供访问控制,将不同业务性质的子网
7、隔离开。(4)采用静态IP,进行IP地址、MAC地址、交换机端口的多层次绑定,防止IP盗用、IP冲突。(5)购买一套网络杀毒软件。(6)购买一台防火墙,有效隔离内外网,并为上网计算机提供地址转换服务。第15页2022-12-213.1 彩虹学校校园网络的安全设计彩虹学校校园网络的安全设计 3.1.2安全性设计方案安全性设计方案(7)购买一套信息过滤软件,在技术上避免师生有意无意地浏览含有黄色、暴力、邪教内容的信息。(8)对校园网中的重点主机进行安全设置,去掉不必要的访问,并在所需要的网络访问周围建立访问控制,避免非法入侵。(9)及时修补系统软件和应用软件的漏洞,阻断病毒传播和黑客攻击的途径,及
8、时升级杀毒软件。(10)制定严格的口令制度,规定长度、复杂度及生存期。(11)制定完善的校园网络使用管理制度,明确校园网中各种使用者及管理者的权利和责任,以及违规后的惩罚措施。第16页2022-12-213.2.1彩虹学校校园网用户分布情况3.2 VLAN技术在彩虹学校校园网中的应用技术在彩虹学校校园网中的应用K12服务器服务器课 件 服 务课 件 服 务器器VOD服务器服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注:“”为千兆双绞线,“”为千兆光缆,“”为百兆双绞线彩虹学校校彩虹学校校园网园网用户分用户分布很散
9、乱布很散乱,没有一个二没有一个二级交换机连级交换机连着同一类用着同一类用户,少的两户,少的两三种,多的三种,多的五六种用户。五六种用户。第17页2022-12-213.2.2 校园网用户分析3.2 VLAN技术在彩虹学校校园网中的应用技术在彩虹学校校园网中的应用小学办公室小学教室小学机房初中机房初中办公室初中教室高中机房高中办公室高中教室领导办公室备课室职能办公室服务器注:1.“A B”表示用户A可单向访问用户B 2.除过教室外,其余用户都可上网图五:彩虹学校校园网用户访问需求图五:彩虹学校校园网用户访问需求第18页2022-12-213.2.3VLAN划分方式的选择 3.2 VLAN技术在彩
10、虹学校校园网中的应用技术在彩虹学校校园网中的应用480T支持基于Port、基于802.1Q tag、基于Ethernet protocol type、基于MAC address的VLAN划分,也支持Mixing Port-Based and Tagged VLAN;460T支持基于Port、基于802.1Q tag、基于MAC address的VLAN划分;510T只支持基于策略的VLAN划分。校园网的桌面级交换机1024、1016、3008级连在二级交换机的一个端口上,它们不支持VLAN划分。第19页2022-12-213.2.3VLAN划分方式的选择 3.2 VLAN技术在彩虹学校校园网中
11、的应用技术在彩虹学校校园网中的应用Win2000以上的操作系统可以轻易修改内存中的MAC地址;在共享媒介中实施基于MAC地址的VLAN使网络性能明显下降;初始化时的巨大工作量,基于MAC地址的VLAN划分方式不可选。460T基于端口划分的VLAN不支持跨交换机。从校园网用户分布情况可以看出,几乎所有的VLAN都跨交换机,基于端口的VLAN划分不不可选。所以我们选择基于802.1Qtag的VLAN划分方式对校园网进行VALN划分,510T不划分VLAN,它的问题后面再来解决。第20页2022-12-213.2.4 VLAN具体的划分 3.2 VLAN技术在彩虹学校校园网中的应用技术在彩虹学校校园
12、网中的应用VLAN NAMEVLAN IDIP ADDRESGATEWAY教师办公室教师办公室VLAN88192.168.8.X192.168.8.1教室教室VLAN22192.168.2.X192.168.2.1领导办公室领导办公室VLAN66192.168.6.X192.168.6.1服务器服务器VLAN77192.168.7.X192.168.7.1中学机房中学机房VLAN33192.168.3.X192.168.3.1小学机房小学机房VALN55192.168.5.X192.168.5.1网络设备网络设备DEFAULT1192.168.1.X192.168.1.1第21页2022-12
13、-213.2.5 校园网各VLAN间的互访关系3.2 VLAN技术在彩虹学校校园网中的应用技术在彩虹学校校园网中的应用小学机房VLAN5教室VLAN2中学机房VLAN3领导办公室VLAN6教师办公室VLAN8服务器VLAN7注:1.“AB”表示用户A可单向访问用户B 2.除过教室外,其余用户都可上网图五:彩虹学校校园网用户访问需求图五:彩虹学校校园网用户访问需求第22页2022-12-213.2.5 彩虹学校校园网各VLAN间的通信3.2 VLAN技术在彩虹学校校园网中的应用技术在彩虹学校校园网中的应用三种方式:通过外部路由器实现、通过具有路由功能的交换机实现、通过建立通信连接来实现。通过购买
14、协议钥匙来开启完全三层路由功能行不通,而基本三层的路由功能很有限,开启路由功能所有VLAN全通,关闭则全不通。先开启基本三层路由功能使所有VLAN之间互通,再利用建立访问列表禁止部分VLAN间的通信。第23页2022-12-21(1)Netscreen50防火墙的选购防火墙的选购(2)防火墙的配置防火墙的配置(3)用用“天网天网”个人防火墙保障关键主机个人防火墙保障关键主机的安全的安全 3.3 彩虹学校校园网防毒反黑体系的建立彩虹学校校园网防毒反黑体系的建立 3.3.1 防火墙防火墙技术技术的的应用应用第24页2022-12-21(4)VPN技术技术的的应用应用集团办公服务器192.168.0
15、.88219.145.Y.Y219.145.X.X互联网校园网服务器VLAN192.168.7.310网管ADSL校园网领导VLAN192.168.6.101115(图七图七)网管、学校和集团之间虚拟专用网网管、学校和集团之间虚拟专用网(VPN)第25页2022-12-21安装时应采取的安全措施帐户的安全设置密码的安全设置共享的安全设置 端口和服务的安全设置开启安全审核策略创建紧急修复盘协议的安全设置 漏洞扫描3.3 彩虹学校校园网防毒反黑体系的建立彩虹学校校园网防毒反黑体系的建立 3.3.2 校园网服务器的安全设置校园网服务器的安全设置第26页2022-12-21选购安装瑞星网络版杀毒软件除
16、安装有硬盘还原卡、全盘保护的教室终端和学生机房外,校园网内所有的终端都必须安装杀毒软件及时升级杀毒服务器上的病毒库每周一次全网查杀为系统打补丁,截断病毒传播的途径禁止私自安装其它杀毒软件3.3 彩虹学校校园网防毒反黑体系的建立彩虹学校校园网防毒反黑体系的建立 3.3.3 预防查杀计算机病毒预防查杀计算机病毒第27页2022-12-21在校园网比较重要的服务器网段VLAN7中放置基于网络的入侵检测产品S100。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合,则入侵检测系统就会发出警报或者直接切断网络的连接。在重要的主机(财务室电脑、
17、教务室电脑等)上安装基于主机的入侵检测系统S120,对该主机的网络实时连接以及系统审计日志进行分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。在校园网中同时采用基于网络和基于主机的入侵检测系统,它们优势互补,构架成一套完整立体的主动防御体系。3.3 彩虹学校校园网防毒反黑体系的建立彩虹学校校园网防毒反黑体系的建立 3.3.4 构架立体的主动防御体系构架立体的主动防御体系第28页2022-12-21 校园网服务器选用热插拔硬盘、RAID5格式;在服务器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-50000¥),将常用数据存储在服务器硬盘,
18、不常用的数据存储在这台PC的硬盘中;利用Win2000Sserver自带的备份工具对服务器中的有效数据定期备份,放在备份PC的硬盘上;对教务室和财务室的电脑也要求定期备份;将学校需要保存的数据、图像、资料每个学期末进行一次分类、编号、整理、压缩,然后刻成光盘存档。3.4 提高校园网安全性的其它措施提高校园网安全性的其它措施 3.4.1 数据备份数据备份第29页2022-12-21一是加强对师生的信息道德培养和法制教育,使他们不会主动上网浏览、下载、传播这类信息;二是利用技术手段对校园网内的信息进行监测,过滤含有黄色、暴力、邪教内容的信息。要两手抓,两手都要硬。选用由公安部监制的信息过滤软件“蓝
19、眼睛智能信息过滤系统”,从而达到净化校园网网络信息的目的;当非法网址被访问或者系统监测到的应该被过滤的信息在流通时,除了中断信息交流外,还会将相关信息记录,以明确责任。使用网络版对教师、教室、领导和备课室的电脑上传输的信息进行过滤,选用代理服务器版对学生机房的电脑进行信息过滤。3.4 提高校园网安全性的其它措施提高校园网安全性的其它措施 3.4.2 不良信息过滤不良信息过滤第30页2022-12-21在防火墙内口上捆绑在防火墙内口上捆绑IP和和MAC地址地址在核心交换机在核心交换机480T上捆绑上捆绑IP和和MAC地址地址在学生机房的代理服务器上捆绑在学生机房的代理服务器上捆绑MAC和和IP地
20、址地址在二级交换机在二级交换机460T和和510T上捆绑端上捆绑端口和口和MAC地址地址3.4 提高校园网安全性的其它措施提高校园网安全性的其它措施 3.4.3 多层次地址绑定多层次地址绑定第31页2022-12-21 校园网络安全体系的建立不仅需要先进的网络安全技术,更需要严格的校园网管理制度和校园网安全意识。对师生进行相关法律、法规教育,培养他们的防毒反黑意识,制定彩虹学校校园网安全管理制度。网络安全体系=相关法律法规+防毒反黑意识+管理制度+网络安全技术3.4 提高校园网安全性的其它措施提高校园网安全性的其它措施 3.4.4非技术措施非技术措施第32页2022-12-211研究了彩虹学校
21、校园网络安全现状,分析了引起这些安全问题的因素,并针对性的提出彩虹学校校园网安全体系建设方案。2对比分析了几种VLAN划分方式的优缺点,选择基于802.1Q TAG的划分方式对彩虹学校校园网进行VLAN划分。3完成了防火墙、杀毒防毒、信息过滤、入侵检测等软硬件的选型、安装、调试。4提出了“多层次绑定”防止IP盗用的方法,并在彩虹学校实施证明有效。5通过个人防火墙、入侵检测、系统安全设置等方式加强了校园网内服务器等重要单机的安全性。第33页2022-12-21 衷心感谢我的导师曹菡教授和裘国永老师,在论文的选题、调研、撰写的整个过程中,给了我严格的指导和热情的鼓励,倾注了大量的心血。感谢彩虹集团计算机中心、明智网安有限责任公司及彩虹学校电教中心的大力配合。感谢我的家人两年来给予我的理解和支持。2022-12-2134感谢您的聆听请多提宝贵意见
