導語：高校網絡安全防御體系研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1校園網現狀與問題

1.1校園網建設現狀

咸陽師范學院校園網絡的骨干網已經達到了千兆，100M到桌面，總體分為三級架構即核心層、匯聚層和接入層。咸陽師范學院校園網接入服務商是咸陽電信，其提供100M光纖寬帶服務。網絡提供的服務主要有：Web主頁服務、DNS域名解析服務、E-mail郵件服務、Internet接入服務、校內網絡殺毒服務、辦公自動化服務等。

1.2面臨的主要問題

（1）校園網絡覆蓋范圍發生變化。由于近幾年招生規模的不斷擴大，學校相應配套設施也在逐年增加，這些都必須加入校園網，并且原來未曾入網的學生宿舍也將納入網絡覆蓋范圍，因此必將引起網絡結構的變化。（2）原有網絡設備也落后于發展的需要。學校現有的網絡設備已經不能滿足日益發展的網絡需求，性能已經遠遠低于現在網絡的發展和應用。（3）校園網用戶的安全意識不強、網絡的管理制度不夠完善，缺少行之有效的監控措施。（4）學院網絡中電腦所用的各種軟件都不可避免的存在安全隱患。這些安全隱患導致了網絡中各種不穩定因素大量的存在。比如，各種操作系統以及應用系統自身的漏洞帶來的安全風險。Internet網絡用戶對校園網存在的非法訪問或惡意入侵的風險等。

2網絡安全方案設計

2.1防止內外的攻擊威脅的入侵檢測系統

為了校園網的安全，我們可以在防火墻的基礎上再引進入侵檢測系統（IDS），作為防火墻的有益補充，這樣可有效地防止來自網絡內外的攻擊。防火墻由于性能的限制通常不能提供實時的入侵檢測能力，對于校內用戶所做的攻擊，防火墻更是形同虛設。為了在網絡安全的層次和網絡安全區域方面進一步加強，我們可以選擇在校園網絡中建立一套入侵檢測系統。IDS入侵檢測技術是一種主動保護自己免受攻擊的網絡安全技術。入侵檢測技術能夠幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高信息安全基礎結構的完整性。

2.2建立VPN系統

VPN即虛擬私有網絡技術，它的安全功能包括：通道協議、身份驗證和數據加密。VPN的工作原理是這樣的：遠程外網客戶機向校園網內的VPN服務器發出請求，VPN服務器響應請求并向客戶機發出身份質詢，客戶機將加密的響應信息發送到VPN服務端，VPN服務器根據用戶數據庫檢查該響應，如果賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問的權限，如果該用戶擁有遠程訪問的權限，VPN服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。

2.3網絡防病毒平臺的建立

目前，計算機病毒的種類與傳播媒介日益繁多，病毒更主要是通過網絡共享文件、電子郵件及Internet/Intranet進行傳播。計算機病毒防護已經成為計算機網絡系統安全策略中的重要手段。鑒于校園網內部行政及辦公部門數據資較為重要，所以配備病毒防護軟件是十分重要的。為了減輕病毒更新及軟件維護的繁重工作量，一般應采用企業版防病毒軟件作為防病毒整體解決方案。企業版防病毒軟件，除了提供在工作站的防病毒程序外，更在服務器上提供了管理程序(對所有工作站的防病毒軟件進行中央控管)以及軟件分發（Deployment）程序，從而解決了“防病毒軟件統一安裝”及“病毒碼統一更新”兩大難題。

2.4科學的流量控制策略

隨著校園規模的不斷擴大，在校師生員工的逐漸增多，為了滿足老師和學生的上網需要，就要通過對網絡設施的提升來擴大校園網的規模，出口帶寬也不斷在增加，各種網絡應用也更加的豐富。但是寶貴的帶寬卻被流媒體和軟件的下載大量占用了，甚至影響到學校正常的網絡應用。當然，導致校園網絡異常流量的因素還有很多，有病毒木馬等有害程序，有網絡教學軟件錯誤使用，設備線路故障，最主要的還是P2P軟件的使用。

3總結

目前高校校園網絡普遍存在網絡連接形勢復雜、網絡設備種類數量繁多、使用的操作系統平臺不統一等諸多問題，同時高校師生作為一個特殊的使用網絡的群體，其用戶與一般局域網用戶不同，網絡高手眾多，對于技術的嘗試性、好奇性、新鮮感，時時考驗著校園網絡的安全。本文根據當前咸陽師范學院校園網的現狀和當前網絡技術的發展趨勢，提出了校園網建設方案，相關的工作包括：（1）通過需求分析，提出了校園網絡架構的升級設計，其主要特征是核心層線路的冗余及各核心交換機的功能區域的劃分。（2）針對網絡安全的實際需求，提出了安全技術要求及具體的設計方案，包括入侵檢測、VPN技術、病毒防護、存儲備份等。本文應用網絡系統工程思想，在對咸陽師范學院校園網進行整體規劃的基礎上，緊緊圍繞基礎網絡安全暢通、出口網絡安全暢通和數據、服務的安全穩定進行了研究、分析和設計。論文在網絡工程改造、技術選型、出口線路設計及重要設備的選型上進行了較為詳細的分析，重點突出。學校網絡的建設是一項復雜的系統工程，其要求統一考慮，長遠規劃，保證技術的先進性和可擴展性。在下一步的網絡建設中，將根據所建立的網絡架構和安全模型，不斷完善網絡方案，在網絡建設、實施和運行過程中不斷完善和優化，并希望能夠建立一個完善的網絡安全評估體系。

本文作者：趙衛工作單位：咸陽師范學院網絡管理中心