0 引言

近年来，因特网日益普及，网络应用蓬勃发展，我国校园信息化和数字化建设也快速推进，目前，校园网已成为互联网最为活跃的网络之一。然而随着校园网网络规模及应用的增加，网络安全问题也日益凸显，校园网被黑、被破坏、网络中敏感数据被修改或遭泄露的事件屡有发生，对信息系统和用户产生了直接威胁，同时也成为制约校园网可靠性及可用性的直接因素，因而构建一个系统的网络安全体系非常必要。本文主要从基本网络的搭建及网络安全设计方面着手进行探讨。

1 校园网基本网络的搭建

出于对校园网网络特性的考虑，同时响应各个部门比如制作部门、办公部门之间交互访问控制的要求，我们采用下列方式进行基本网络的搭建：①在网络拓扑结构的选择方面，采用星型拓扑结构，网络中各节点通过点到点的方式连接到一个中央节点即集线器或交换机上，由该中央节点向目的节点传送信息。这种拓扑结构节点具有高度独立性，中央节点对连接线路可逐一隔离进行故障检测和定位，即便某一节点出现故障，也只会影响一个设备，不会对其他节点的正常工作造成影响。此外，中央节点可方便地对各个站点提供服务和网络重新配置。②在组网技术的选择方面，目前常用的主干网的组网技术包括快速以太网、FDDI（光纤分布式数据接口）、千兆以太网和 ATM（异步传输模式），其中，快速以太网技术成熟，造价低廉，性价比高；FDDI虽组网技术成熟，但技术复杂，造价高，升级难度大；ATM 技术虽成熟，但网络宽带实际利用率较低；千兆以太网是一种成熟的组网技术，且与ATM相比，造价更为低廉。由于以太网组网技术组网灵活、简便，能使用多种物理介质，能以不同拓扑结构组网，因而是网络技术的主流。为此，在进行校园网基本网络的搭建时，我们采用千兆以太网技术，具有高带宽1000Mbps的主干，快速以太网交换到桌面，组建计算机播控网络，运行各种应用系统，以便于升级与扩展，最大限度保护用户投资。

2 校园网网络安全方案设计

2.1 校园网网络安全需求分析和设计思路

充分考虑学校实际情况，首先，能对校园网网络及网络设备进行有效的安全防护，确保网络上数据信息传输、保存的有效性和安全性；应能对网络中出现的攻击行为进行详细的记录和分析，及时检测病毒并进行防范；应能实现对校园网内全部信息的过滤、入侵行为的检测和控制隔离。其次，需进行统一的安全管理，制定并严格执行网络安全管理制度，对网络访问行为做出规范，禁止非法用户访问内部数据。第三，能有效管理网络流量，并实现对上网行为比如网游和网聊、应用下载、言论发布、网站访问等的监控和控制。

目前，校园一卡通系统是校园信息化的基础工程，财务系统也是校园网络所承载的一个重要网络应用，这些对安全的要求都很高，因而我们以安全为中心，根据网络业务及应用的安全需求以及未来业务发展模式对校园网网络进行区域划分，主要划分为DMZ区、互联网服务区、广域网分区、远程接入区、数据中心区、内部办公区等，将各个安全区域用防火墙隔离开来，在关键路径上部署入侵防御系统，进行深度的检测防御，对用户的一些不必要的、非法的网络活动行为通过非法上网识别技术进行有效的检测分析和识别，通过阻断、限流等手段对这些行为进行控制，并建立统一的安全管理平台实现对各种设备及服务器的统一管理，形成全网安全事件报告和用户行为审计报告，为掌握网络的安全情况、对网络进行风险评估提供帮助，另外，部署针对特殊网络应用的安全保护系统和工具，比如补丁管理系统、漏洞扫描工具、网络流量监测与分析系统等，以更好对网络进行安全监测与评估。

2.2 远程接入安全设计

在校园内，教职工、学生都会存在远程访问教学资源的需求，另一方面，校园网网络设备和一卡通厂家、银行等有关合作伙伴也有远程维护的需求，这就需要建立具有安全性、稳定性、移动性的远程网络接入。针对上述问题，决定采用SSL VPN（虚拟专用网）技术，该技术应用成熟，组网灵活，经济性和扩展性强，接入安全，能在一定程度上满足远程访问需求。整个 SSL VPN设计方案基于B/S架构，客户端无需安装特殊软件，当需要远程接入时，通过浏览器可直接访问SSL VPN网关，输入用户名和密码即可访问内部网络应用资源。在设备选择方面，应选择性价比高、稳定性能好的设备。

对于组网方式的选择，可结合学校实际情况选用在线部署或单臂部署的方案。在线部署是在网络出口处部署网关，网关串行接入网络为用户提供VPN功能，比如数据加密功能、业务保护功能等。单臂部署是在网络内部部署网关旁路，将要访问的内部网络应用资源的远程用户牵引到SSL VPN网络上并对其进行认证，根据认证信息，分配相应权限，用户根据这些权限在实现远程接入的情况下，对校园网的内部资源进行访问，该模式也为客户提供了一个相对安全的VPN通路。

2.3 边界安全设计

将不同安全级别的网络连接起来就产生了网络边界，网络边界安全是校园网网络安全的基础。网络边界上的安全威胁包括泄密、入侵、病毒、木马等，根据校园网安全分区，提出以防火墙、防病毒系统、网络安全监控系统和入侵防御系统为主以及各个系统之间相互结合的边界安全设计方案。将防火墙部署在网络出口位置，以有效防护IP欺骗或盗用、端口扫描、DDoS攻击等，并提供一系列安全措施；在防火墙上加载防病毒系统，对网络出口处的安全威胁进行检测和主动防御；设置网络安全监控系统，进行校园网网络流量的监控，分析网络应用情况；在应用层部署入侵检测系统和入侵防御系统作为防火墙的补充，建议采用在线部署的方式布置入侵防御系统，直接对网络流量进行检测，主动阻断恶意流量。比如银行网注重数据安全，只能允许银行通信网关访问银行网络，建议设计双网卡的银行网关，通过双向身份认证（对传送的数据包加校验码）、加密（对传送数据进行加密处理）和报文认证（根据银行要求把数据打包成ISO8583格式报文）保障相关数据安全。

2.4 数据中心安全设计

数据中心安全实际上就是数据的安全，安全威胁主要包括面向应用层和网络层的攻击。我们采用三层保护、多层防御的设计思路，第一层主要基于链路层的网络交换机构成网络层面的安全保护，第二层安全保护是在应用层、保护层、会话层部署入侵防御系统，实现对网络报文的深度检测，第三层安全保护是在数据中心网络接入入口处即网络层和传输层部署防火墙，以允许的IP地址访问数据库，并设置黑、白名单控制应用程序或人员对数据库的访问，实现对数据中心网络边界的安全保护。当然，还要遵循分区规划、分层部署的原则，即根据网络设备所实现的功能的不同以及各层对安全需求的不同进行区域划分，将不同区域部署为面向客户应用的 Web服务器层、应用层和数据库层，从安全访问控制、入侵防御、应用加速等方面进行网络安全设计。

3 结语

总之，随着校园网网络规模及应用的增加，网络安全问题也日益凸显，在建设校园网基本网络时，我们不仅要考虑用户需求，还要考虑网络的安全性能，笔者认为要保证网络系统完整性、可用性、可控性与可审查性，就必须提出科学合理、有针对性、可行性强的网络安全设计方案，加强物理安全、数据信息安全以及风险防控的设计，以构建一个系统的安全网络系统，确保校园网络的安全稳定。