彩虹学校校园网网络安全体系

彩虹学校校园网网络平安体系

研究与实施教育硕士：魏荡指导教师：曹菡陕西师范大学计算机科学学院2024/5/51主要内容一、课题研究的背景和现状二、课题研究的目的和意义三、课题研究的主要内容四、课题研究的总结2024/5/52一、课题研究的背景和现状1.1Internet在国内外的开展及日益严重的网络平安问题

1.2彩虹学校校园网的建设历程及现状1.3国内外进行网络平安研究的现状2024/5/53Internet在国内外的开展及现状1969年阿帕网诞生，1993年Internet向公众开放，用户数量呈指数增长，平均半年翻一番。1994年Internet进入我国，截止2004年底，我国的国际出口75G、上网用户数9400万、上网计算机4160万。1.1Internet在国内外的开展及日益严重的网络平安问题2024/5/54年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年来网络被攻击的统计表日益严重的网络平安问题2024/5/55日益严重的网络平安问题2024/5/561.2彩虹学校校园网的建设历程及现状东南校园网络主干布线图中学小学2024/5/571.2彩虹学校校园网的建设历程及现状K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线网络拓扑图2024/5/58彩虹学校近几年添购了大量的计算机设备，使校园网内计算机数量增至400余台，并且实现了Internet接入。平安现状播送风暴严重影响了网络的性能，消耗了大量网络带宽。没有和Internet有效隔离，校园网上的各种资料，都受到来自Internet直接威胁。IP盗用和IP冲突不断病毒的传播和泛滥效劳器的平安性差黄色、暴力、邪教等不良信息在校园网内时有发现1.2彩虹学校校园网的建设历程及现状2024/5/591.3国内外进行网络平安研究的现状2024/5/510二、课题研究的目的和意义2024/5/511三、课题研究的主要内容

2024/5/512全局〔Internet和Intranet〕

教育行业〔校园网络〕

彩虹学校校园网

3.1彩虹学校校园网络的平安设计3.1.1彩虹学校校园网不平安因素的分析2024/5/5133.1彩虹学校校园网络的平安设计彩虹学校校园网的平安设计方案2024/5/5143.1彩虹学校校园网络的平安设计平安性设计方案2024/5/515彩虹学校校园网用户分布情况K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线彩虹学校校园网用户分布很散乱，没有一个二级交换机连着同一类用户，少的两三种，多的五六种用户。2024/5/5163.2.2校园网用户分析小学办公室小学教室小学机房初中机房初中办公室初中教室高中机房高中办公室高中教室领导办公室备课室职能办公室效劳器注：1.“AB〞表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2024/5/517划分方式的选择

480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN划分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN划分；510T只支持基于策略的VLAN划分。校园网的桌面级交换机1024、1016、3008级连在二级交换机的一个端口上，它们不支持VLAN划分。2024/5/518划分方式的选择

Win2000以上的操作系统可以轻易修改内存中的MAC地址；在共享媒介中实施基于MAC地址的VLAN使网络性能明显下降；初始化时的巨大工作量，基于MAC地址的VLAN划分方式不可选。460T基于端口划分的VLAN不支持跨交换机。从校园网用户分布情况可以看出，几乎所有的VLAN都跨交换机，基于端口的VLAN划分不不可选。所以我们选择基于802.1Qtag的VLAN划分方式对校园网进行VALN划分，510T不划分VLAN，它的问题后面再来解决。2024/5/5193.2.4VLAN具体的划分

VLANNAMEVLANIDIPADDRESGATEWAY教师办公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1领导办公室VLAN66192.168.6.X192.168.6.1服务器VLAN77192.168.7.X192.168.7.1中学机房VLAN33192.168.3.X192.168.3.1小学机房VALN55192.168.5.X192.168.5.1网络设备DEFAULT1192.168.1.X192.168.1.12024/5/5203.2.5校园网各VLAN间的互访关系小学机房VLAN5教室VLAN2中学机房VLAN3领导办公室VLAN6教师办公室VLAN8服务器VLAN7注：1.“AB”表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2024/5/5213.2.5彩虹学校校园网各VLAN间的通信三种方式：通过外部路由器实现、通过具有路由功能的交换机实现、通过建立通信连接来实现。通过购置协议钥匙来开启完全三层路由功能行不通，而根本三层的路由功能很有限，开启路由功能所有VLAN全通，关闭那么全不通。先开启根本三层路由功能使所有VLAN之间互通，再利用建立访问列表禁止局部VLAN间的通信。2024/5/5222024/5/523集团办公服务器192.168.0.88219.145.Y.Y219.145.X.X互联网校园网服务器VLAN192.168.7.3~10网管ADSL校园网领导VLAN192.168.6.101~115(图七)网管、学校和集团之间虚拟专用网(VPN)2024/5/524安装时应采取的平安措施帐户的平安设置密码的平安设置共享的平安设置端口和效劳的平安设置开启平安审核策略创立紧急修复盘协议的平安设置漏洞扫描3.3彩虹学校校园网防毒反黑体系的建立3.3.2校园网效劳器的平安设置2024/5/525选购安装瑞星网络版杀毒软件除安装有硬盘复原卡、全盘保护的教室终端和学生机房外，校园网内所有的终端都必须安装杀毒软件及时升级杀毒效劳器上的病毒库每周一次全网查杀为系统打补丁，截断病毒传播的途径禁止私自安装其它杀毒软件3.3

彩虹学校校园网防毒反黑体系的建立

3.3.3预防查杀计算机病毒2024/5/526在校园网比较重要的效劳器网段VLAN7中放置基于网络的入侵检测产品S100。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规那么吻合，那么入侵检测系统就会发出警报或者直接切断网络的连接。在重要的主机〔财务室电脑、教务室电脑等〕上安装基于主机的入侵检测系统S120，对该主机的网络实时连接以及系统审计日志进行分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。在校园网中同时采用基于网络和基于主机的入侵检测系统，它们优势互补，构架成一套完整立体的主动防御体系。3.3

彩虹学校校园网防毒反黑体系的建立

3.3.4构架立体的主动防御体系2024/5/527校园网效劳器选用热插拔硬盘、RAID5格式；在效劳器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-50000￥)，将常用数据存储在效劳器硬盘，不常用的数据存储在这台PC的硬盘中；利用Win2000Sserver自带的备份工具对效劳器中的有效数据定期备份，放在备份PC的硬盘上；对教务室和财务室的电脑也要求定期备份；将学校需要保存的数据、图像、资料每个学期末进行一次分类、编号、整理、压缩，然后刻成光盘存档。3.4提高校园网平安性的其它措施

3.4.1数据备份2024/5/5283.4提高校园网平安性的其它措施

3.4.2不良信息过滤2024/5/5293.4提高校园网平安性的其它措施

3.4.3多层次地址绑定2024/5/530202