導語：高校校園網絡安全系統設計方案一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：針對某高校校園網的智慧校園信息系統的具體需求進行了全面的分析、論證、構思，開發出了一整套結合實踐、包括多種防御手段的三位一體化網絡安全防御模型，構建了某高校的智慧校園信息系統結構，包括VLAN的劃分，VLAN間路由、防火墻的訪問控制列表和地址的轉換、校園網客戶端認證系統的建設及防護功能的設置（驗證、授權、計費）。依據某高校校園網建設的實際情況進行了信息安全、信息防護技術分析,然后具體給出了網絡安全策略在校園網應用的解決方案。經過一段時間的運行測試表明，目前該方案合理可行，能夠基本滿足某高校校園網的正常平穩運行需求。

關鍵詞：網絡信息安全；防火墻技術；網絡病毒；校園網

隨著學校的發展進入快車道，由于學生人數規模急劇增加和學校辦學層次顯著提升，十多年之前設計的校園網無論從網絡帶寬、網絡防護要求均無法滿足現有的網絡需求。為了解決校園網絡的信息安全防護問題，我們應根據智慧校園網絡安全防護的實際需求，在現有的網絡設備基礎上對該高校的校園網絡安全防護進行了規劃和設計。該高校三大網絡活動區互聯工程利用VPN技術連接，基于開放的互聯網平臺，完成三大網絡活動區的網絡安全互聯，構建極速、高效、穩定的互聯網絡區，所以某高校數字化信息校園網的建設亟待啟動。

1校園網安全系統需求分析

1.1該校園網基本概況。該高校校園主要包括南區宿舍樓網絡區域、東區宿舍樓網絡區域、西區行政辦公網絡區域三個區域。三個網絡區域彼此之間空間跨越大，實現網絡互通的難度也是可想而知的[1]。經過近二十年的不懈努力，該高校三大網絡區域的網絡互通基本實現。校園網設計的初衷就是為了實現以數據監控為核心網絡管理體系，全網網絡監控管理的核心部門網絡數據中心行使這一權利。1.2校園網安全設計的目標。該高校校園網絡安全設計目標的基礎是建立主干路由器、核心交換機和其他計算機網絡信息系統設備上的。網絡系統的開放式設計意味著更好的資源整合及高品質應用的能力[2]。1.3校園網的安全需求。該高校校園網絡結構骨干結構部分是帶寬為200M的中國電信網，覆蓋整個校區。接入層交換機根據組網內的計算機信息點和網絡應用的級別，與核心層交換機實現網絡連接，校園網的主干網中采取的是子網過濾結構的雙路由器的布局。

2校園網絡安全系統設計策略

按照該高校校園網的網絡設計方案及網絡安全管理的設計，該高校校園網安全設計應當分為如下幾個方面:“網絡管理隔離技術、網絡管理實時監控技術、網絡管理應對手段、網絡系統漏洞監控手段、熱點客戶端認證技術等?！?.1網絡安全系統總體規劃設計。對校園網絡的設計者來說，校園網整體安全管理規劃是一個長期工程，校園網建設的目的就是給校園網用戶提供資源共享及獲取信息的通道。如何根據校園網具體需求來規劃設計整體的網絡安全系統，合理選擇網絡技術和產品，完成校園網網絡安全系統設計應到達的目標。2.2該高校網絡拓撲結構。圖校園網信息平臺的建設是由不同功能的網絡設備搭建而成的，整個框架是由核心路由器、核心交換機、服務器、防火墻等元素組成?！案鶕脩魧傩缘牟煌?，一類用戶通過防火墻NAT轉換技術選擇中國電信網接入到互聯網，各大兄弟院校之間通過教育網資源的方式互相聯接。目前，該高校的拓撲結構呈星形，如圖1所示。由于該高校校園占地面積大，校園網絡架設難度較大。作為一個合格的網絡設計者首先要因地制宜的規劃和有計劃的設計。為了方便后期校園網絡的管理工作，我們首先內部核心網絡與外部互聯網之間配置了一臺高性能銳捷系列路由器，通過一臺模塊化的三層交換機把整個校園網分塊為六大管理模塊:應用服務器群資源區、圖書館/科技中心資源區、學生宿舍區資源區、公寓區/運動區資源區、行政管理網絡資源區、外事活動中心網絡資源區[3]。2.3防火墻的部署。在中國電信網、網通網、教育網等外部網絡與校園網內網之間的核心層布置一臺銳捷WALL1000及一臺銳捷WALL2000防火墻，實現內網和外網的斷絕。內網口毗連校園網內網交換機，外網口經由過程路由器與外部收集（電信網、教育網等）。在應用服務器群資源區與校外網絡之間安裝一臺銳捷防火墻來隔絕外部網絡非授權者與校內網絡資源區的聯系，用來保護校園網絡安全[4]。2.4入侵檢測系統。根據該高校校園網設計的具體框架及未來網絡發展軌跡，在主動防御技術層面我們選擇采用了混合型入侵檢測來保護整個校園網的網絡安全。混合型入侵檢測針對不同的保護對象設定主動防御措施，分別保護全網網絡核心設備及接入所在網絡資源服務區的主機[5]。在認證方面，我們采用的智能認證客戶端能將網絡用戶的IP地址、實際網卡地址、用戶登陸密碼都綁定在一起，大大提高了網絡使用的安全性。2.5校園網絡防病毒部署。隨著計算機網絡技術的發展，網絡病毒的爆炸傳播如同洪水猛獸一般席卷網絡平臺，也是威脅校園網絡安全的最大威脅之一。我們在計算機病毒頻發的網絡區域采取對應的防病毒手段，對計算機病毒頻發的區域進行重點監控掃描，配置360殺毒軟件，分區域對責任區進行防病毒綜合管理。同時，使校園網絡防病毒體系具有遠程監控、集中查殺、手段豐富、在線升級等多種功能。要完成“速度快、效果好”的綜合防病毒部署措施，應該采取以下操作步驟：在學校網絡資源核心區系統中心配置360企業版殺毒軟件。該款安全防護產品擁有強大的管控能力，能為校園網絡安全提供多種管理模式及安全策略。在各二級學院、基礎課部、下屬單位等衍生二級管理用戶上分別安裝360殺毒軟件網絡版客戶端，在系統運行或關閉時候設置二種模式進行殺毒檢測。網絡技術中心對計算機病毒重災區（如公用計算機機房、實驗室等）的計算機終端機安裝冰點一鍵還原系統來降低計算機病毒傳播的風險并且在上述區域封閉U盤等傳輸媒介的傳輸接口。2.6建立安全管理制度。在高等學校校園網絡管理中，安全責任應該時時刻刻警鐘長鳴。為保障校園網絡安全，必須制定出一系列的校園網絡安全管理制度。在龐大的高校數字校園綜合系統中（如教學成績管理系統、OA無紙化辦公系統等），因為上述管理系統在高校的重要作用，“如何保障這些管理系統能安全、高校、平穩的運行，是十分考驗校園網絡安全系統設計者的智慧的?！北Ｕ闲@網數據傳輸的安全性是整個校園網在最開始設計及具體實施的過程不可忽視的因素。在數據傳輸的過程中，傳輸數據的丟失及信息數據的被惡意修改常常能給整個網絡系統的安全帶來災難性的損失。

3該高校校園網絡系統設計的對比分析

3.1VPN技術與云數據的對比分析。在該高校校園網絡綜合設計中，采用了多種網絡安全技術手段，諸如VNP遠程接入技術、防火墻技術、IDS主動防御技術、網絡安全環境綜合治理等等。上述技術在一定程度上能保證該高校校園網絡安全防護的基本要求，但是在信息技術高速發展的現今科技時代，該高校校園網絡安全形式的越來越來嚴峻。我們對該高?，F在的網絡設備資源及網絡安全防護手段進行綜合分析后，可以發現這些技術以及網絡設備與主流技術、功能上的作用都相去甚遠。筆者認為，該高校現有的VNP遠程接入技術、防火墻產品選擇上與現有前沿網絡技術在先進性上還存在一定的差距。為了更好的完善該高校整體校園網絡安全系統的設計，我們著重對VNP技術、防火墻產品的采購上進行對比分析[6]。目前該高校不同網絡區域間的網絡互聯采用的相對來說較為傳統的VPN技術，對比武漢市其他同類兄弟高校實現網絡互通工程采用的大數據、云數據校園網等技術來說的話，確實在先進性、功能性、安全性上已經與時代脫軌了。針對VPN遠程接入接入技術在實際應用中的不足之處，筆者有幸跟隨學校網絡技術中心工作人員一行對武漢兩所兄弟院校對建設信息通信夏可為：高校校園網絡安全系統的設計方案及論述智慧校園經驗進行了觀摩學習，筆者從中也收獲甚多。以武漢某大學的智慧教室建設為例，如下圖3某大學智慧教室網絡拓撲圖。某大學的智慧校園的建設時期對智慧教室的每個要素之間的連接考慮的都很全面，也為我們在未來該高校智慧校園建設時提供了彌足珍貴的經驗。如下圖4某大學智慧教室要素設計圖所示。總而言之，VPN技術與云數據在功能性上、安全性、效率性上已經全面落后。某高校因為其辦學的特殊性，建設成本的投入是設計者不得不考慮的因素，但是建設該高校云數據智慧校園已是大勢所趨。3.2現有防火墻與主流防火墻的對比分析。目前該高校在防火墻設置方面采取在中國電信網、網通網、教育網等外部網絡與校園網內網之間的核心層布置一臺銳捷WALL1000及一臺銳捷WALL2000防火墻的技術手段用以實現內網和外網的斷絕。隨著時間的跨越，之前布置的防火墻技術在數據包監控、上網流量管控方面的功能已經落后于目前防火墻主流技術。迄今為止，主流防火墻技術都是采用雙端數據監控模式技術。我們對現有的防火墻設備和主流防火墻設備做了一個對比分析，如表1防火墻之間的參數對比。在之前的該高校校園網絡安全防護技術規劃設計時，我們布置的銳捷系列防火墻在應對校內外網絡不穩定因素的沖擊時顯得力不從心。如果在不考慮建設成本因素，思科ASA5500防火墻完全能滿足該高校目前的校園網絡安全防護需求，在未來的網絡設備升級擴容時，我們將會對銳捷系列防火墻進行換代，力爭做到保障該高校校園網絡安全的萬無一失。

4結語

現今在高等學校校園網絡智慧化建設過程通過實踐及認證出來的信息安全系列問題已經是刻不容緩了，需請廣大高校網絡資源管理者的高度重視[20]。在構建高校信息資源系統體系的時候，特別是為這類大型網絡搭建安全防護技術的同時，一定要從校園網的實際需求出發，多種防護手段相結合運用。在網絡傳輸層的最底層僅僅布置一臺防火墻顯然不是明智之舉，還要輔助以入侵檢測系統、數據加密等技術來合力完成高校類大型網絡安全信息的建設。

參考文獻：

[1]霍福華.網絡安全技術及策略在校園網中的應用研究[J].安徽電子信息職業技術學院學報,2017,16(04):46-47+52.

[2]向磊.網絡安全技術在校園網中的應用[J].信息與電腦(理論版),2017，18(15):205-207.

[3]何書義.網絡安全技術在校園網中的應用[J].通訊世界,2017，16(02):72-73.

[4]龔玉.網絡安全管理技術在中職校園網中的應用[J].中國管理信息化,2016,19(24):144-145.

[5]張雯,李婧.防火墻技術及其在校園網絡安全中的應用[J].科技展望,2016,26(24):4.

[6]黃超,王勇.VPN技術在校園網絡安全體系中的應用研究[J].網絡安全技術與應用,2016,23(08):77+79.

作者:夏可為 單位:仙桃職業學院