课程设计.docx

1、课程设计课程设计课 程：网络工程综合设计题目：校园网络设计方案（网络 安全部分）设计人： 学号： 同组者： 摘 要随着技术的发展，网络已经成为了人们工作和生活的一部分，人类社会越来越多的活动都必须依赖网络来完成，因此各个高等院校基本上在校园内普及了网络的应用，以达到各种教学目的，而珠江学院也不例外。然而，伴随着珠江学院网络的应用，各种各样的网络安全问题也慢慢地出现，为此，必须采取措施来解决这些问题，实现珠江学院网络安全。这篇论文就是对校园网的远程访问方面做一个初步的解决方案。关键词:珠江学院；网络；安全；拓扑结构；VPN目 录前言1.1 校园网网络安全研究的历史及背景珠江学院在创办后也建设了校

2、园网网络。然而，校园网的普及所带来的是巨大的安全威胁，例如，病毒、拒绝服务攻击、垃圾邮件等等。这些安全问题无一不威胁着珠江学院校园网安全、稳定地运行。因此，在珠江学院的校园网中使用先进的网络安全技术，构建一个坚固的、多层次的、可靠的校园网网络安全防护体系就变得十分重要，只有为学校提供一个安全的校园网络环境，才能使得基于校园网的各项教学活动和管理活动得到充分的保障，才能令全校的师生确实地享受到校园网所带来的便利。1.2 校园网网络安全的现状和发展趋势1.2.1校园网网络安全的现状现在，各大高校基本上都已普及了校园网，但是这并不意味着校园网的建设已经十分完善了，在许多学校中，校园网的安全建设都存在

3、着各种不同的问题，其中有几点是较为普遍的，如：（1）管理方面有些学校的校园网没有建立完善的安全管理制度，信息安全组织不够健全，没有落实安全责任管理制度，难以保证网络安全管理人员尽职责去完成自己的本职工作，甚至没有建立网络安全机构，或者是缺少专门的安全人员。（2）经济方面学校对校园网网络安全不够重视，简单地认为校园网的建设只是构建好网络就行了，而没有考虑到校园网的安全问题，因此一般来说，校园网资金投入比例随着校园网的建成而逐渐地下降，影响网络安全体系的建设和升级，造成了校园网中病毒肆虐、网络被攻击、极大地消耗了网络和主机的软硬件资源，而导致系统或主机无法正常工作甚至瘫痪。（3）技术方面由于作为互

4、联网和校园网标准的TCP/IP(Transmission Control Protocol/Internet Protocol)协议集本身存在着一些不安全的因素，首先，TCP/IP协议优先考虑的是网络的互相连通，这就难免会对安全方面有所忽视，其次，协议采用明文传输数据，无法保证数据的完整性和安全性.由于网络的开放性，TCP/IP协议的完全公开，使得有些攻击者能够容易地得手。2 网络安全需求分析2.1 华南农业大学珠江学院网络状况概述华南农业大学珠江学院目前有3栋教学楼，包括7号、11号、16号，1栋行政楼3号楼，1栋系办公楼1号楼，10栋学生宿舍楼，包括5号、6号、8号、9号、10号、12号、

5、13号、14号、15号和17号楼，1栋教师宿舍4号楼，还有一个网络中心在2号楼。而其中学生宿舍为每间4-6人，同时每间宿舍配备一个网络接入口。在珠江学院中，对校园网的使用分为三种类型，第一种类型以学生宿舍对网络的使用为代表，主要用于浏览网页、资料下载、信息交流等，这是网络在一般高校中最主要也是最普遍的用途；网络中心属于第二种类型，它主要负责对整个网络进行业务层次的管理，确保能为学院中的每个用户提供网络服务；最后一种类型是包括行政楼和系办公楼对学院进行的管理活动，方便领导层对学院的行政工作、电子财务报表进行管理。而在珠江学院的整体网络结构上，学校应该是采用了星型的拓扑结构来进行网络的布线和架设。

6、2.2 华南农业大学珠江学院网络安全现状从现在的情况来看，学院已经建立起校园网络，该网络供学院办公楼、教学楼、机房、师生宿舍使用。校园网内部采用私有IP（Internet Protocol）地址，采用防火墙与外网实现隔离，通过各种网络安全技术来应对校内、校外的攻击。对学院机房、教学楼、办公楼中的用户加强来自内部病毒、蠕虫等的攻击，防止教学课件、管理资料等不被恶意篡改和删除；学生宿舍和教师宿舍中的用户可以正常的访问Internet,能够应对来自于外网的黑客入侵和病毒的攻击。但是在目前复杂多变的网络环境中校园网仍然存在着许多的风险和隐患。具体来说，在物理安全方面，网络设备和各种物理介质存在着被盗窃

7、、被毁坏而导致的信息泄露或数据丢失的可能，电磁辐射也可能造成数据信息被窃取；在网络通信方面有线路窃听、篡改网上传输信息、中断网络通信或滥用网络通信带宽、非法访问网络设备等，而在校园网中，滥用网络带宽现象比较严重；在网络管理方面，威胁的存在有多种形式，如误用管理权、安全配置不当、泄露敏感用户名及口令等，这些都会对学校网络的安全构成极大的威胁。2.3 华南农业大学珠江学院网络安全需求根据上述对珠江学院的网络安全现状分析，提出珠江学院的网络安全需求：（1）各个建筑物之间需要进行访问控制一般情况下不能通过内网直接互相访问，以保证每个安全区域的独立性，防止网络威胁的大范围扩散，便于进行管理。这需要把学校

8、分为5个局部区域，包括办公楼、学校机房、学生宿舍、教师宿舍和图书馆等。而在其中，办公楼和学校机房只可以上学校局域网，不可以连接外网，学生宿舍和教师宿舍只可以上外网而不能够上学校局域网。（2）采用VLAN(Virtual Local Area Network)技术对学校的局域网进行划分和配置，使不同的VLAN之间不能互相访问，从而增强局域网的安全性，含有敏感数据的用户组就可以与网络的其余部分相隔离，降低泄露机密信息的可能性。（3）采用VPN(Virtual Private Network)技术把需要经过公共网传递的报文加密后再经由互联网发送，可以在不可信任的公共网络上构建一条专用的安全通道，增强

9、数据在珠江学院网络传输的安全性。在节假日的时候，可以为师生提供安全的远程访问，使他们即使在校园之外也能够方便地使用学校的内部网络资源，例如图书馆所收藏的电子书或是其他的一些学习材料等等。（4）采用IDS(Intrusion Detection Systems)入侵检测系统在网络安全保障体系中发挥的作用是通过检测技术来发现系统中企图违背安全策略的行为，例如发现受保护系统中的入侵行为或异常行为；检验安全保护措施的有效性；分析受保护系统所面临的威胁；可以为网络安全策略的制订提供重要指导等等。3 珠江学院网络安全设计方案3.1 珠江学院网络整体设计方案在珠江学院网络的建设中，采用分布式三层结构，即把校

10、园网分为三个不同的层次架构，包括核心层、分布层和接入层。在这三层中，核心层是整个珠江学院校园网络的中心，虽然逻辑上来说核心层指的是中心的一个核心结点或中心交换机，但在实际运作中可以分布到几个物理结点，而它的主要功能是连接和汇聚各个交换机的数据流量，保证网络的安全以及网络负载的平衡。分布层，或者称为汇聚层，主要负责各个接入层的接入，有着“承上启下”的作用，所有接入层的数据都经过分布层到达核心层，所以分布层的架构对校园网数据的传输和安全起着很关键的作用。而处于整个层次结构最底层的接入层主要用于为珠江学院校园网用户提供网络接口。3.2 珠江学院网络安全方案设计原则 根据珠江学院的具体情况考虑，网络安

11、全的建设方案在设计是应该尽量做到统一规划，注重实用，适当超前，一次达到较为先进的水平。而要满足上述的要求，应该遵循以下的几点原则：（1）整体性原则。在安全建设中，要注意把安全方案设计当作一个整体来考虑，应用系统工程理论指导安全设计的过程，而不是把安全设计分为一个个单独的个体技术或产品去考虑，除了这些软件、硬件之外，还必须把人这个因素考虑进去，只有这样才能使得最终的安全方案真正地发挥它应有的效果。（2）实用性原则。比较其它的大型企业或者政府机关的网络来说，珠江学院网络的安全需求相对较低，还需要考虑到成本的问题，因此在校园网的安全建设中，应该注重实用性，并且兼顾先进性，而无须使用成本过于高昂的技术

12、和设备。（3）分步实施原则。应当明确随着网络技术的不断发展，各种新的网络攻击和安全漏洞也会不断涌现，想要一次性地解决校园网的安全问题是不现实的，因此要分步建设，考虑每一时期的技术、资金和需求因素，按照这些因素逐渐地建设、完善校园网。（4）可扩展性原则。可扩展性既是指在安全体系建成之后，不仅能够满足现阶段的安全需求，还要能满足将来技术发展和设备扩充带来的要求，这其实也意味着网络同时还具备标准化，即使用的各种协议、设备都是按照标准的方式、方法来设立的，还有要求要有开放性，即为未来新出现的安全技术和设备留下一定的接口，以便迎接以后的系统升级。（5）多重保护原则。既是要求在珠江学院的网络安全建设中的安

13、全保护措施不止一个，而是要有多个安全措施，以保证即使一层安全防护失效，其它的安全措施也能够对安全威胁继续起着作用。3.2.1 珠江学院网络拓扑结构图图3.1 珠江学院网络拓扑结构图3.3 珠江学院网络IP地址编址方案3.3.1 局域网IP分配VLAN ID网段 IP网关IP描述2192.168.1.0/25192.168.1.1图书馆3192.168.2.0/24192.168.2.17号教学楼4192.168.3.0/24192.168.3.116号教学楼5192.168.4.0/23192.168.4.14-6栋宿舍6192.168.6.0/22192.168.6.110-13栋宿舍719

14、2.168.7.0/22192.168.7.114-15栋宿舍8192.168.8.0/22192.168.8.117-18栋宿舍9192.168.10.0/24192.168.6.11-3办公楼10192.168.11.0/24192.168.7.14-6办公楼11192.168.12.0/23192.168.8.11号实验楼12192.168.13.0/23192.168.9.12号实验楼4 珠江学院内网安全解决方案 4.1 珠江学院校园网内网安全建设原则珠江学院校园网络安全建设是一个复杂、艰巨的系统工程，必须遵循如下原则，才能收到良好的效果。（1）综合性、整体性原则应用系统工程的观点、方

15、法，分析网络的安全及具体措施。安全措施包括管理手段和技术手段。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施，制定出合理的网络安全体系结构。 （2）可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性。尽量保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性，对网络的拓扑不需要大的改变。（3）需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。珠江学院要对自身网络的安全风险和需求进行分析，以自己财力所能承担的代价去解决尽可能全面的安全问题。（4）分步实施

16、原则随着网络规模的扩大及应用的增加，网络安全风险也会不断增加，一劳永逸地解决网络安全问题是不现实的。同时由于实施网络安全措施需相当的费用支出，因此珠江学院可根据财力分步实施，首先满足网络安全的基本需求，再逐渐解决更高层次的安全需求。4.2. 珠江学院校园内网安全解决方案4.2.1部署防火墙在需要隔离的网络区域之间部署防火墙。典型地，在 Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与 Internet 连接。那么

17、，通过 Internet 进来的公众用户只能访问到对外公开的一些服务（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性： （1）根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。（2）将防火墙配置成过滤掉以内部网络地址进入路由器的

18、IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击。 （3）在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用。（4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 4.2.2部署入侵检测/保护系统防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 传统防火墙的不足主要体现在以下几个方面： （1）防火墙作为访问控制设备，无法检测

19、或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务的 Code Red 蠕虫等。（2）有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为。 （3）作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。入侵检测系统 IDS（ Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。 IDS 弥补了防火墙的某些设计和功能缺陷，侧

20、重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战： （1）IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力。 （2）蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外。为了弥补防火墙和IDS的缺陷，入侵保护系统 IPS（Intrusion Prevention System）作为IDS的替代产品应运而生。网络入侵防

21、御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。通过防火墙和IPS的联合部署，珠江学院校园网络基本上能防御内外网的从2-7层的攻击，并能审计、记录攻击行为，便于调查攻击。部署示意图如下： 图5 部署示意图4.2.3 部署漏洞管理系统部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤： 1.对用户网络中的资产进行自

22、动发现并按照资产重要性进行分类； 2.自动周期对网络资产的漏洞进行评估并将结果自动发送和保存； 3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案； 4.根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避； 5.对修复完毕的漏洞进行修复确认； 6.定期重复上述步骤 1-5。通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。 通过漏洞管理产品将网络资产按照

23、重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。 漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。 漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。示意图如下：图6 漏洞管理功能图4.2.4 部署网络防病毒系统在珠江学院校园网部署网络版防病毒系统，进行全网病毒防

24、护。网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。其应具有如下功能：（1）在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。（2）网络版客户端安装方法 网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装。（3）移动控制台功能 系统管理员在任意一台电脑（与控制中心所在的服务器联网）上安装移动控制台，管理员可通过移动控制台直接管理各种平台的服务器端/客户端

25、。在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置、查毒、杀毒、通知升级、启动/关闭实时监控等。（4）升级策略首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控制中心每日自动升级。在客户端普通操作台可以手动升级，也可以通过设置让客户端自动升级。（5）多级控制中心、自由分组 通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置

26、、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。（6）全网远程报警当网络中任意一台计算机上扫描程序发现病毒时，都能够自动及时准确地把病毒信息记录并传递给网络管理员。（7）全网集中管理网络中客户端安装和杀毒确保有效完成，客户端XX不能任意停止全网统一的杀毒行动，客户端XX不能任意卸载。针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护，可以适应珠江学院校园网复杂的应用环境，满足校

27、园网对于全网防病毒的需求，有效解决整个校园网面临的病毒威胁。防病毒系统由服务器端和客户端组成。防病毒服务器部署在核心交换机处，需要杀毒的每个终端安装一个客户端。示意图如下：图7 防病毒系统4.2.5 部署WEB应用防护系统珠江学院网络安全体系中，需要新型的技术和设备来应对WEB攻击，保证网站安全，维护珠江学院声誉；为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。传统的边界安全设备，如防火墙，局限于自身的产品定位和防护深度，不能有效地提供针对 Web 应用攻击完善的防御能力。防火墙的不足主要体现在：（1）、传统的防火墙作为访问控制设备，主要工作在 OSI 模型三、四层，基于 I

28、P报文进行检测。设计之初，它就无需理解 Web 应用程序语言如 HTML及 XML，也无需理解 HTTP 会话。因此，它也不可能对 HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。恶意的攻击流量将封装为 HTTP 请求，从 80或 443端口顺利通过防火墙检测。 （2）、有一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够，只能提供非常有限的 Web应用防护，难以应对当前最大的安全威胁，如 SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题，更是无能为力。 IPS（入

29、侵检测系统）弥补了防火墙的某些缺陷，但随着网络技术和 Web应用的发展复杂化，IPS 在 WEB 专用防护领域已经开始力不从心。具体体现为：（1）、安全威胁的技术根源在于安全漏洞的存在。防护仅能一定程度缓解针对 Web应用的攻击。彻底消除安全隐患，需要借助 Web应用漏洞扫描工具，用以诊断 Web应用程序脆弱性。传统 IPS 设备更多从防护着手，不具备事前预防的能力。（2）、针对当前泛滥的 DDoS 攻击，传统 IPS 设备仅具备基本防护功能，很难满足应用层细粒度防护的需求。（3）、如果攻击者已经成功实施攻击、引发安全事件发生时，局限于攻击防护的产品定位，传统 IPS 设备不能提供补偿措施、为

30、客户降低安全风险。Web 应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同，WAF 工作在应用层，因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解，WAF 对来自 Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。WEB应用防火墙部署在需要保护的WWW服务器前端，示意图如下：图8 Web 应用防火墙4.2.6 部署内容安全管理系统传统网络防护

31、设备（如防火墙、入侵检测系统等）是解决网络安全问题的基础设备，其所具备的访问控制、网络攻击事件检测等功能，能够抵抗大多数来自外网的攻击；但是不能监控网络内容和已经授权的内部正常网络访问行为。然而，相对于网络层安全，由正常网络应用行为导致的安全事件，更加隐蔽，不易察觉，所以损失也更加巨大。因此，我们还需要细粒度的应用层和内容层策略控制。实现这个目标的新技术就是内容安全管理。内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制，实现对网站访问、邮件收发、P2P 下载、论坛、在线视频等事件的全面有效管理。通过内容安全管理，珠江学院可以营造健康的网络环境，屏蔽色情、暴力等不良网站；对学生的上网行为有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散；加强对P2P等应用的流量管理，保障网络资源合理使用。内容安全管理系统部署为串联在核心交换机通往INTERNET的链路上，示意图如下：图9 内容安全管理系统4.2.7 部署校园网用户认证计费管理系统部署校园网用户认证计费管理系统，对提供了INTERNET接入服务的学生和教工进行身份认证和计费管理。通过计费网关和智能交换机802.1X协议的配合，完成