本科毕业设计机电学院校园网安全策略的研究.docx
《本科毕业设计机电学院校园网安全策略的研究.docx》由会员分享,可在线阅读,更多相关《本科毕业设计机电学院校园网安全策略的研究.docx(22页珍藏版)》请在冰豆网上搜索。
本科毕业设计机电学院校园网安全策略的研究
辽东学院本科毕业论文(设计)
机电学院校园网安全策略的研究
TheResearchofSecurityPolicyofJidianPolytechnic
CampusNetwork
学生姓名:
学院:
专业:
班级:
学号:
指导教师:
审阅教师:
完成日期:
辽东学院
EasternLiaoningUniversity
独创性说明
作者郑重声明:
本毕业论文(设计)是我个人在指导教师指导下进行的研究工作及取得研究成果。
尽我所知,除了文中特别加以标注和致谢的地方外,毕业论文(设计)中不包含其他人已经发表或撰写的研究成果,也不包含为获得辽东学院或其他单位的学位或证书所使用过的材料。
与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。
作者签名:
___________日期:
_____________
摘要
近年来校园网发展的非常迅速,为了提高学校的教学水平和管理能力,许多高校开始对校园实行教学手法现代化和校园管理网络化的改革。
随着校园网络规模的不断扩大,对校园网的安全和性能要求也越来越高。
在校园里使用校园网的人数众多,网络使用者的素质却参差不齐,造成校园网出现各种各样的问题。
怎样可以使校园网可以安全、稳定的被大家所使用已经成为了一个不得不解决的问题。
造成这些问题的原因多种多样,但究其原因,还是一些心怀不轨的人通过病毒和黑客技术扰乱了校园网的正常秩序。
学校不可能让每个人都遵循校园网的秩序,那只有将校园网建设的更加安全、稳定才能最大程度的保证校园网的正常运行。
本论文为机电学院设计的网络拓扑结构,采用了基于防火墙和三层交换机的网络架构,安装防火墙可以最大程度的保护校园网不收到来自外网的攻击,使用三层交换机作为校园网的核心不仅可以为校园网的稳定、快速、高效运行提供了保证,这样还可以显著改善校园网络的整体性能。
本论文还对机电学院进行了具体的VLAN划分,并对防火墙的安全策略及功能进行分析,以及三层交换机的安全策略分析,最后对校园网的安全策略进行了总结。
关键词:
防火墙;三层交换机;安全策略;VLAN
TheResearchofSecurityPolicyofJidianPolytechnicCampusNetwork
Abstract
Inrecentyears,thecampusnetworkdevelopmentisveryrapid,inordertoimprovethestandardofteachingandmanagementcapacityoftheschool,manycollegesanduniversitiesbegantoimplementmodernmethodsofteachingandschoolmanagementreformstothecampusnetwork.Withthecontinuousexpansionofthecampusnetworkscale,securityandperformancerequirementsofthecampusnetworkarealsoincreasing.
Largenumberofpeopleusingthecampusnetworkintheuniversity,butqualityofnetworkusersareuneven,causingavarietyofproblemsappearthecampusnetwork.HowcanImakethecampussafeandstableusebyeveryonehadalreadybecomeaproblem.Thereasonsfortheseproblemsvaried,butthereasonissomeofthebadguysbyvirusesandhackingtechniquesdisruptedthenormalorderofthecampusnetwork.Schoolscannotgeteveryonetofollowtheorderofthecampusnetwork,andthatonlymakethenormaloperationofthecampusnetworkconstructionmoresecureandstabletothegreatestdegreeofassuranceofthecampusnetwork.
ThisthesisisdesigningforElectricalandMechanicalCollege’snetworktopology,usingthefirewallandthethree-tierswitchbasednetworkarchitecture,,installafirewallcanprotectcampusnetworkdoesnotreceiveattacksfromoutsidethenetwork,usingthree-tierswitchasthecoreofthecampusnetworknotonlyprovideforthecampusnetworkstability,fast,efficientoperationoftheguarantee,italsocanimprovetheoverallperformanceofthecampusnetwork.
ThispaperhasalsocarriedontheconcreteVLAN(VirtualLocalAreaNetwork)divisionofElectricalandMechanicalCollege.Andsafestrategyandthefunctionoffirewallareanalyzed,andtheanalysisofthethree-tierswitchsecuritystrategy,finallysecuritystrategyofcampusnetworkaresummarized
KeyWords:
Firewalls;Three-tierswitch;Securitypolicies;VLAN
1、绪论
(1)问题的提出及研究意义
1.问题的提出
近年来校园网发展的非常迅猛,为了提高学校的教学水平和管理能力,许多高校开始对校园实行教学手法现代化和校园管理网络化的改革。
这些改革的实施让人们在校园内的业余生活变得更加充实、欢乐、多变。
但是,有利即有弊。
由于校园网是共享的、开放的、自由的,所以难免会有到一些居心不良的人利用病毒、木马以及黑客技术攻击校园内的计算机,让校园网内的其他用户的计算机受到了一系列的安全威胁。
最让人感到意外的就是,调查表明,校园网受到的攻击有75%是来自校园网络内部的,这些攻击者攻击校园网内的计算机的目的各不相同,有的是为了炫耀自己高超的电脑技术,有的是为了窃取别人的个人资料,还有的就是纯粹的想攻击破坏校园网。
我们不可能让每个人都遵循校园网的秩序,我们只有将校园网建设的更加安全、稳定才能最大程度的保证校园网的正常运行。
在这种情况下,怎样才能让校园网内的用户可以安全、稳定、高效的使用校园网成为了学校说面对的难题。
面对这样的难题学校的网络建设和管理机构应该采取一些怎样的方式和方法呢?
通常在这种情况下,一般学校都会让网管中心的老师来对其进行设计,或者与一些集成商讨论来一起设计解决校园网安全的方法。
辽宁机电职业技术学院作为一所高职院校,同样面临着校园网安全上的威胁。
本文所研究的课题就是在这样的背景条件下所提出的,关于机电学院校园网安全策略的研究。
2.研究的意义
随着更多教学应用软件的开发与使用,校园网已经被广泛地应用在我国的教育系统中,这样对校园网的安全也提出了更高的要求,一旦校园网受到了攻击,将会给学校带来非常严重的损失。
由于校园网的用户群体比较大,每个用户的上网需求不同,少数用户上网行为还存在恶意性,这样使得校园网很难被管理。
而且随着现在校园网络接入互联网的带宽不断的提高,为用户下载提供了方便,许多人在网络上下载的一些软件中可能隐藏木马、病毒、恶意代码等后门程序,黑客们可以通过这些入侵、攻击我们的计算机,从而造成计算机以及网络的瘫痪。
研究这一课题的意义不仅仅是为辽宁机电职业技术学院建设安全的校园网,更为了是给其他的一些高校建设校园网的一个参考。
(2)研究的现状
近几年互联网在校园中变得越来越重要,老师教学离不开校园网,学生平时的学习、娱乐离不开互联网,随着上网人数的增加,校园网内的计算机所面临的安全威胁也呈现上升趋势。
应该如何去处理这一问题,以及如何才能解决校园网的安全隐患,大部分的学校还都在理论阶段而没有进行仔细详尽的设计与规划。
为了给广大师生创建良好的校园网络环境,我们需要设计出一个全面的、科学的、合理的、完整的校园网络安全策略的解决方案
通过考察机电学院的网管中心,我们发现机电学院的网络建设滞后于学校的整体发展。
学校的网络结构不是非常完整,缺少一部分的网络硬件设备,并且所安装的应用软件也不是很多,更没有考虑到校园网络的安全[1]。
(3)本文研究的目的和研究内容
1.本文研究的目的
本论文的研究目的是根据辽宁机电职业技术学院校园的具体情况和其校园网所面对的安全威胁,研究出一个适合于机电学院校园网的安全策略的解决办法。
为机电学院校园网的网络安全系统所存在的漏洞进行完善,为机电学院设计一个基于防火墙和三层交换机的校园网拓扑结构。
2.本文研究的主要内容
本文首先对目前校园网络之中存在的安全问题进行了分析,并对这些问题进行了分析,从而得出了造成校园网络安全受到威胁的原因。
然后根据辽宁机电职业技术学院对网络的需求,以及学校的具体地理环境,设计出具体的网络拓扑图,并对其进行具体的IP地址及VLAN的划分。
最后对防火墙和三层交换机在校园网中所起到的作用进行说明。
2、
校园网络安全面对的主要问题及原因
(1)主要问题
校园网的用户多,规模大,人员流动量大,因此校园网的计算机系统管理起来非常复杂。
校园网如果受到了安全威胁将直接的影响学校的管理、教学、科研活动等方面。
有一个安全稳定的网络环境已经成为了学校正常办公的基础。
目前,对校园网的安全产生威胁的主要有以下几种:
1.漏洞与隐患
目前,校园计算机使用的最普遍的操作系统就是WINDOWS,虽然WINDOWS已经是目前最完善的操作系统了,但是WINDOWS操作系统还是存在着许多的漏洞。
黑客们可以通过这些漏洞入侵我们的计算机,随着时间的推进,可能会有更多的漏洞被黑客们所发现并且对其加以利用。
微软公司会不定时的发布一些补丁来修复这些漏洞,如果我们不及时对操作系统进行更新,这些漏洞就会一直存在,这些漏洞对我们的计算机来说将是很大的安全隐患。
2.网络病毒泛滥
现在大家通过网络可以下载到各种资源,为大家的学习、娱乐都带来了很多方便,但其也变成了病毒传递的最快捷的途径。
由于网络病毒的传播直接导致用户的隐私和重要数据外泄。
网络病毒传播进入校园网,不仅会对计算机反映速率造成大幅的下降,同时还会大量的消耗了网络资源,对整个校园网络产生影响。
一些计算机病毒不单单通过网络进行传播,还可以通过一些学生、老师用的U盘、移动硬盘等存储设备进行传播[2]。
3.来自校园网内外的入侵和攻击
由于校园网络和因特网相连,我们在校园网内可以直接访问因特网上的各种资源,于此同时,我们也面临着遭受来自外部网络攻击的风险。
现在的黑客软件不再是那些对计算机非常精通的黑客们才会使用的了,黑客软件变得简单化,只要学习简单的教程,就可以使用黑客软件对互联网上的其他用户进行入侵和攻击。
有一些不法分子为了窃取学校的重要信息通过使用黑客软件对学校的服务器进行攻击,对校园网产生破坏。
校园网络是广大师生进行教学、办公、学习、娱乐的主要平台,但是学校有一部分老师和同学具有一定的网络知识和黑客技术。
校园网内有着大量的各种各样的资源,这些人可能对其他校园网内的用户产生好奇,会有意或者无意的对校园网内的其他用户进行攻击,这样严重的干扰了校园网络正常、安全的运行。
4.校园网硬件设备出现问题
校园网所使用到的硬件设备分布在整个校区内,网络管理员无法对所有网络设备进行妥善的管理。
这些设备有的暴露在外部,可能会因为人为因素或自然因素遭受到不同程度的损坏,如果某些关键的网络设备出现问题就有可能会给校园网造成一些严重的后果,甚至有可能会使校园网部分或者全部瘫痪。
5.校园网安全管理问题
校园网内的计算机数量是非常大的,如果没有一个好的管理方式,随时都有可能会造成校园网内数据通信出现问题。
网络管理员在校园网安全管理方面起着至关重要的作用。
如果网络管理员未对校园网的防火墙、三层交换机等进行安全方面的配置,将直接影响整个校园网的安全系数[3]。
(2)造成这些问题的原因
1.网络结构不合理
校园网的网络结构对于校园网整个网络的安全有着巨大影响,一个好的网络结构可以避免很多网络问题出现。
但是一个不好的网络结构,会让整个校园网的计算机的安全都受到威胁。
因此根据学校的具体情况选择一个合理的网络结构是保证校园网络安全的前提和基础。
2.网络安全维护的投入不足
在有了一个合理的网络结构情况下,也不是能够完全避免网络问题的出现,网络安全维护也是保证校园网安全的重中之重。
想要让网络一直保持安全稳定,就要经常对网络进行维护,但是网络维护需要一定的物力和一定的人力。
然而,大多数院校在校园网络维护上的人员投入和设备投入都不是很充足,学校在校园网建设的经费往往大部分都投入到了购买网络设备上。
3.师生对校园网安全不重视
一部分的学生和老师对网络安全不够重视,经常通过网络下载一些含有病毒的文件和使用携带病毒的移动存储设备,造成学校的计算机中毒,导致校园网络系统被攻击,严重干扰了校园网络安全、稳定的运行。
4.网络管理员责任心不强
每个学校的网络管理员都是对网络技术非常了解的,但是对待工作的热情、以及态度却并不相同。
一个负责任的网络管理员,将会使校园的网络变得无懈可击。
一个责任心不强的网络管理员,将会使校园的网络面临着各种各样的危险[4]。
(3)本章小结
本章首先阐述了目前校园网所面对的主要问题,并对这些问题进行了分析,从而得出了造成校园网络安全受到威胁的原因。
3、机电学院网络需求分析
(1)辽宁机电职业技术学院概况
辽宁机电职业技术学院校园学院占地面积500余亩,建筑总面积12.98万平方米。
在校学生人数为7216人,教师人数为395人,设有机械工程系、自动控制工程系、信息工程系、黄海汽车工程学院、北方黄金珠宝学院、基础教学部、思想政治理论课教学科研部、体育教学部共8个教学单位。
现开设仪器仪表、自动化技术、机械加工技术、材料成型技术、无损检测技术、汽车工程、黄金珠宝加工、工业设计、计算机应用、制造类服务业、应用语言等辽宁11个专业群,51个专业(方向)。
随着近些年学校的发展,师生数量的增长,原有的网络的安全性和性能都不足以满足现在学校对校园网的要求。
需要设计新的校园网络规划,来提高校园网的安全性和性能。
(2)校园网络需求
1.教学功能需求
在教学方面,要利用网络技术实现远程教育、视频点播、教学资源共享等。
建立教学资源库供老师分享其课件、试题、资料等。
2.管理功能需求
在管理方面,可以在校园网内建立网上办公系统、教务管理系统、学生管理系统等一系列方便学校管理的系统。
3.数据安全需求
因为校园内连接着学校的各种服务器,所以对数据能否安全的存储和传送是非常重要的。
校园网的安全系统必须保证服务器不会受到来自网络的非法攻击。
4.网络可靠性需求
校园网每时每刻都在处理大量的数据,如果校园网系统如果出现故障,将会给学校带来很严重的损失。
这就要求校园网必须拥有一定的可靠性,在网络中有设备出现故障时,在链路中要有冗余备份,来保证校园网的正常运行。
(3)网络设计原则
机电学院校园网络除满足最基本的实现校园内部网络通信,连接外部网络,能够实现资源共享,还应当能够为在此校区的老师和学生提供丰富的多媒体教学手段。
因此校园网络应当合理运用资金,利用现有条件,充分实现教学、办公、生活、娱乐功能,同时也应当具有先进性、经济性、安全性,可靠性等。
在保证网络可靠的前提下,在原有的网络设备的基础上添加性价比最好的设备。
(4)本章小结
本章对辽宁机电职业技术学院的概况进行了介绍,并给出了其校园网络的需求情况以及设计原则。
4、
机电学院网络拓扑结构规划与安全策略设计
(1)网络设计综述
每个校园网的拓扑结构都是不同的,根据辽宁机电职业技术学院的网络需求分析,为其设计出一个基于防火墙和三层交换技术的网络系统结构,在增加少量新设备的条件下提高校园整体网络系统的性能和安全性。
辽宁机电职业技术学院校园主要包括以下几个部分:
网络控制中心、行政中心、信息馆/机械馆、仪表馆/工管馆、展览中心、学生宿舍、图书馆。
并根据机电学院的具体情况对其校园网络子网络部分的需求进行分析,并总结出校园个区域部分的需求,如下表:
表4.1校园各区域节点部分需求
地点
节点数
安全性
速度要求
网络控制中心
一般
高
高
行政中心
一般
高
高
信息馆/机械馆
多
高
一般
仪表馆/工管馆
多
高
一般
学生宿舍
多
一般
一般
图书馆
多
一般
一般
展览中心
少
一般
一般
(2)网络设备的选择
根据辽宁机电职业机电技术学院现有的网络设备情况,不足以完成本设计,因此我们需要现有设备的基础上对网络设备进行添加。
1.核心交换机的机型
核心交换机是网络的高速主干设备,核心层需要为汇聚层和接入层提供大量的数据,尽可能快的交换包,需要高速转发数据流量。
通过各种产品之间对比,考虑到校园网的稳定性、扩展性、兼容性,根据辽宁机电职业学院规模及应用需求,所以本方案决定选用神舟数码DCRS-7604三层交换机作为核心交换机。
神州数码DCRS-7604是企业级智能交换机拥有十分强大的功能,具有丰富的IPv6实现技术,完整的攻击和病毒防范功能,完美的体系结构,稳定的核心保障机制,智能灵活的性能资源调度机制,便捷安全的网络管理,运营商级的可靠性,支持VLAN配置,支持全双工,支持网管功能。
神州数码DCRS-7604三层交换机为校园网的稳定、快速、高效运行提供了保证。
图4.1神州数码DCRS-7604三层交换机
2.汇聚层交换机的机型
汇聚层作为多台接入层交换机的汇聚点,那些来自接入层交换机的所有通信量全部由汇聚层交换机来处理,然后再将通信数据传到核心层交换机。
根据学校校园网需求设计,汇聚层交换机应该采用支持三层交换技术和VLAN技术的交换机,以达到网络隔离和分段的目的,在机电学院原来的网络设备中有神州数码DCRS5650-28三层交换机,为了节约资源节省资金,以及使校园网稳定流畅运行,我们继续使用神州数码DCRS5650-28三层交换机作为校园网的汇聚层交换机。
图4.2神州数码DCRS5650-28三层交换机
3.接入层交换机的选型
接入层交换机可以选择二层交换机,但是必须要满足100Mbps转发速率,支持VLAN划分,并且可以根据数据包中的MAC地址信息进行转发,并自己内部的一个地址表中把这些MAC地址与对应的端口记录下来。
二层交换机的价格较便宜并且端口较多。
在机电学院原来的网络设备中有神州数码DCS3600-26C,同样为了节约资源节省资金,所以本方案中接入层交换机选用神州数码DCS3600-26C。
图4.3神州数码DCS3600-26C二层交换机
4.防火墙的机型
在校园网内的所有计算机想要与外界网络进行网络通信都必须经过防火墙。
防火墙可以关闭那些我们不常使用的端口,并且它还能禁止特定端口的流出通信。
防火墙还会对所有流经它的网络通信进行扫描与检测,这样可以阻止许多来自外界网络的攻击,以此来保护校园网内的计算机。
它还可以对那些经常攻击校园网络的IP地址进行禁止通信的设置,来阻止攻击者对校园网的攻击。
由于在机电学院原来的网络设备中没有使用到防火墙设备,因此本方案选用可以和其他网络设备更好的配合的神州数码DCFW-1800S-V2作为本方案的防火墙。
图4.4神州数码DCFW-1800S-V2防火墙
(3)网络拓扑结构设计
根据学校地理条件,将整个校园分为七个部分,分别是网络控制中心、行政楼、信息馆/机械馆、仪表馆/工管馆、展览中心、图书馆、学生宿舍。
其中,以网络控制中心为整个网络拓扑结构的核心,防火墙、服务器、核心交换机等构建校园网的重要设备全部都在网络中心。
下图为机电学院的网络结构拓扑图:
图4.5网络拓扑图
行政楼是行政中心和系部教务处的所在是校园的核心,其网络速率的快慢直接影响学校的办公质量,其网络的安全直接关系学校的利益。
因此在行政楼用神州数码DCRS5650-28三层交换机与网络中心的核心交换机相连,在通过二层交换机DCS3600-26C连接到行政中心和系教务处,这样可以大幅的提高网络效率和处理能力。
在地理位置上信息馆与机械馆相邻,仪表馆与工管馆相邻,这是学校教学的核心位置,其网络速率的快慢可以直接影响学校的教学质量,其网络的安全直接影响老师的教学效果。
在考虑网络设备利用率最大化,并且取得的效果最好,将信息馆的接入层交换机DCS3600-26C与机械馆的接入层交换机DCS3600-26C连到一个三层交换机DCRS5650-28上,将仪表馆的接入层交换机DCS3600-26C与工管馆的接入层交换机DCS3600-26C连到一个三层交换机DCRS5650-28上,再将这两个三层交换机连到网络中心的核心交换机上。
(4)校园网络VLAN规划设计
其中,对于整个校园规划来讲,核心交换机起着最重要的功能之一就是对于VLAN的划分。
本设计VLAN规划如下:
表4.2VLAN规划表
单位
网段
子网掩码
安全级别
VLAN
网络中心
192.168.0.1-192.168.3.254
26
高
VLAN10
行政中心
192.168.4.1-192.168.7.254
26
高
VLAN20
系部教务处
192.168.8.1-192.168.11.254
26
高
VLAN30
机械馆
192.168.12.1-192.168.15.254
26
高
VLAN40
信息馆
192.168.16.1-192.168.19.254
26
高
VLAN50
工管馆
192.168.20.1-192.168.23.254
26
高
VLAN60
仪表馆
192.168.24.1-192.168.27.254
26
高
VLAN70
图书馆
192.168.28.1-192.168.31.254
26
中
VLAN80
学生宿舍
192.168