陈 懋

(福建信息职业技术学院 福建福州 350000)

网络规模不断扩大、开放性不断提高，不法分子和网络黑客人数的剧增，学生及教职人员的个人信息和数据受到了许多主动或被动的人为攻击。鉴于此，各大高校开始组建校园内网，为了让校园网络可以的运行在一个相对安全的环境中，隔离来自因特网上未知和不安全的外部IP地址的访问、阻止非法用户窃取学生资料、防范和隔离有意或无意的网络攻击等行为；因此，作为一种常见的网络安全设备，防火墙和其一系列衍生产品应运而生，并且在校园网中的应用越来越广泛。

1校园网存在的安全问题

(1)学生对互联网上存在的各类免费软件充满好奇心，不时利用自己的个人电脑下载或安装软件，这些软件可能对校园网络发起试探性攻击，从而造成服务器宕机，系统无法正常运行。

(2)校园网中服务器上存储着大量的个人数据和机密文件，由于规划人员没有将服务器集群与校园网进行隔离，导致防火墙无法在内网中发挥作用；管理员的账号密码泄露时有发生，数据的保密性、可靠性得不到保障。

(3)在校园网中U盘、移动硬盘等移动设备的泛滥，并常会携带一些病毒或木马，若没有对U盘及时地进行检测和杀毒，校园网络有可能被病毒、恶意代码等感染，进而威胁到校园网内部的服务器区。

(4)在校园网络中，每天都有大量的用户通过校园内部的主机访问外网，产生大量的业务流，如果其边缘设备和核心设备是单一存在的，一旦发生突发故障可能会影响网络的稳定性、可靠性和安全性，正常的业务流量也会受到影响。

(5)在校园网中，特别在宿舍楼群的区域内，其视频点播和网络游戏等大流量应用点击率上升飞快，持续占用带宽资源，将会出现其他用于教学、实验等活动的应用带宽被占用的现象，导致教学应用网速极慢，无法正常传输教学资源。

(6)校园网中数据的存储量巨大，为了更好的长期保持数据，通常会将其备份到云存储中，但是传统的硬件防火墙对于虚拟网络的安全问题难以提供有效的保护，同时，适用于虚拟平台的防火墙推广度不高、价格昂贵，导致校园网数据存在被窃取的风险。

(7)随着招收到的教职员工和学生数量的增加，校内的建筑物也有一定的增加。为了让学生获得更好的教育资源，于是，将建立以该校为中心向四周发散的学院分部，但在假期，学生和教师通常会访问校园内网，上传和查看文件，其连接过程中无法保障数据流的安全性。

2校园网安全需求分析

2.1业务需求分析

(1)校园网络正常通信。校园网中，要实现内网用户与外部网络的安全可靠的相互连接；当外网用户或非法访问时，外部人员通过抓取数据包无法查询到真实的内部IP；在上课期间，处于教学楼范围内的用户需要进行认证方可正常上网；对于用户人数众多的网络，需要保证教学资源不被大型游戏占用；对于频繁外出的人员，需要考虑他们能否通过VPN，安全可靠的访问内部网络。

(2)网络负载均衡。校园网，上网用户数量众多，需要考虑内部网络的负载均衡；整个系统在发生故障时，大部分软件和主机仍可以正常运行；并且通过策略路由，将数据流较均匀的分摊到核心层和防火墙上，防止其中一台设备使用过度。

(3)网络安全防御。为了保护校园网内的数据安全，需要考虑服务器和数据库的安全性和可靠性，防止非法用户入侵和正常访问服务器以及数据库；当校园网发生非法入侵和病毒感染时，防火墙需要及时做出防护措施和警告，并及时反馈给管理人员；建立日志服务器，让管理人员可以及时有效的查看日志，并及时阻止不良操作和信息的入侵；据调查，用户中大部分人都拥有微信、QQ等聊天软件，所以需考虑网络攻击花样繁多、层出不穷，除了在防火墙墙上部署防御措施，也应及时更新防火墙上的防御措施。

2.2功能需求分析

(1)宿舍楼群。宿舍楼区学生人数众多，为了实现快速有效的上网，需配置DHCP协议，通过设定地址池自动分发IP地址，减少IP之间的冲突。在学生用户第一次从内部网络登入外网时，需要进行身份认证后，才能正常的获取外网资源。配置NAT转换，将内部地址转化成公开的NAT池中的IP地址，既保护内部地址，也减少IP消耗。由于专业的不同，每个学生的上课时间也不相同，因此需要在上课时间限制在宿舍楼内的数据传输速率，保证教学资源的正常传输。考试后，位于宿舍楼范围内的学生，可以通过个人账号和密码访问正方教务网址，对自己的成绩进行查看，并且学生账号没有访问和查看服务器的权限。

(2)教学楼群。由于在教学楼群，固定的PC较多，要想通过PC访问外网，需要进行身份认证，其账号权限设置为教师以上的用户才能够成功与外部网络进行连接。对于教学楼中的每台终端设置带宽的上限，当用户使用到一定的流量时，将对这台终端经行限速处理，但在终端重启后，重新开始累计流量的使用量。因为在教学楼中大部分的教学资料是通过ftp和QQ进行传送的，因此需要开启aspf，让数据可以在穿越防火墙。并且教学楼中的PC是与整个网络相连，需要预防非法用户通过主机访问加密文件和数据。

(3)财务处。由于在财务处的教职人员比较经常外出工作，但是一些重要的文件是不允许带出校园进行操作的。因此，需要在防火墙上建立VPN，通过GRE隧道和IPSec加密技术，实现外出人员对内部网络的访问。

(4)教务处。因为教务处的工作人员需要常年处理学校的相关事件，在学校内部需要搭建一个专属于学校的教务网址，以方便工作人员操作。在大部分情况下，教务处范围内的PC只允许访问教务网。

(5)图书馆。图书馆作为校园网内较为开放性的公共场所，其每天的产生的数据流量较大，因此需要通过NAT转换，来减少IP地址的消耗。并且作为一个学习的场所，在图书馆内的用户在通过接口上网时，网页会自动跳转到学习网站的登入界面。

(6)管理人员。由于在防火墙上开启了行为记录和安全审计，在网络正常运行时，管理人员可以通过查看防火墙日志来排查整个系统中存在的隐患。若校园网络无法正常工作，通过日志可以快速的定位系统的漏洞，方便管理人员的修复。

3方案设计

3.1网络拓扑设计

在校园内网中采用典型的三层结构，由接入层、汇聚层和核心层组成。详见图1。

(1)接入层。主要负责每个楼层和网络设备的连接，完成用户的接入与隔离，为用户提供带宽共享、VLAN划分以及访问外部网络的途径。使得数据快速交换，保证用户安全接入，减少广播风暴的发生。

(2)汇聚层。减轻核心设备的负荷。通过链路聚合，可以减少链路数，使得链路之间负载均衡。在校园内部使用OSPF和默认路由实现校园网络内部的路由选择，并且通过路由汇聚减少核心路由表的占用量。利用汇聚层将核心层和接入层进行隔离，当接入层发生变化时，减少对核心层的影响。

(3)核心层。为了使网络具有可靠性在核心层上采用双机热备，解决核心层上的单点故障，并且支持负载均衡和自动冗余链路。在核心层上设置网关，各自网段的用户可以正常获取网络资源。配置DHCP服务，通过自动下发地址，减少IP冲突。配置域名解析，使得外网用户可以访问校园官网，查询资料；

(4)边缘设备。根据防火墙的特性，将校园网络划分为多个安全区域，拒绝外来用户访问校园内网。为保证边缘设备的可靠性和网络内部的安全性，防止在运行过程中突发故障，导致数据流量无法正常通行，将在边界防火墙上采用双机热备。当校园网络被攻击或受到网络入侵时，采取防护措施，对僵尸、木马等入侵行为做出警告，并将检测到的行为及时反馈给管理人员。及时输出真实有效的网络事件日志和流量统计报告，让管理员快速有效的了解校园网络。在教学楼上课的同学需要通过AAA认证，确认用户身份才能获取网络资源。由于校园网中用户基数大，用于视频和大型游戏的带宽占有量多，对于教学流量无法保证其传输速率，因此需要配置策略，保证教学流量的传输。由于在正常情况下，在两台防火墙是一直处于工作状态，若所有的数据都涌向一台防火墙则会使得网络带宽拥挤，因此为了让用户有良好的上网体验，在两台防火墙都正常运行的情况下，在核心层上配置策略让财务处和图书馆的内部主机走FW1的通道，教学楼和学生宿舍内的主机走FW2的通道，并且通过SSH和IPSec使得校外人员可以快速安全的访问校园内部网络。

图1 网络拓扑设计

3.2 IP规划

IP规划详见表1。

表1 IP规划表

4实施结果分析

4.1测试DHCP服务是否实现

(1)测试方案。随机挑选校园网内部主机，选择自动分配IP地址，使用ipconfig命令进行查看。

(2)预期结果。IP地址获取成功，如图2。

图2 图书馆内终端IP地址获取成功

4.2测试内网用户能否正常访问外网

(1)测试方案。随机挑选校园网内部主机，通过ping命令进行测试。

(2)预期结果。校园内部的主机可以正常访问外网。如图3所示。

图3 内部主机访问外网IP地址

4.3测试防火墙的负载均衡

(1)测试方案。在内网用户访问外网的过程中，使用ping命令测试外网地址218.1.1.2，同时对核心层和内网主机上的接口进行抓包或tracert 跟踪，查看内网的数据走向，如图4所示。

(2)预期结果。财务处和图书馆的内部主机走FW1的通道，教学楼和学生宿舍内的主机走FW2的通道。

图4 在防火墙1上可以追踪到来之图书馆内网的IP地址

4.4测试外出人员是否可以通过GRE通道访问财务部主机

(1)测试方案。在防火墙正常运行的情况下，外出人员访问财务部主机，通过抓取防火墙上的报文或通过tracert命令查看报文的传输路径，而其他部门的人员没有权限使用GRE通道。

(2)预期结果。外出人员通过GRE通道访问财务部主机，如图5、图6所示。

图5 使用财务处主机联通外出人员

图6 GRE隧道创建成功

4.5测试校园网内部的管理人员能否正常访问服务器集群

(1)测试方案。在校园网正常运行的情况下，由管理人员发出请求，向服务器发送ping命令，除管理人员之外其他身份的用户无法访问服务器。

(2)预期结果。只有管理员能够与服务器ping通，如图7、图8所示。

图7 在正常情况下，管理员可以访问服务器

图8 其他用户无法访问服务器集群

4.6测试位于危险网段的用户能否正常上网

(1)测试方案。在校园网正常运行的情况下，通过ping命令查看危险用户能否正常上网。

(2)预期结果。危险用户无法正常访问外网，如图9、图10所示。

图9 位于黑名单里的用户访问外网

图10 在代码界面查看192.168.4.0网段被拒绝访问外网

5结论

在应用过程中，采用了路由模式将防火墙部署在网络边缘，通过使用双机备份和链路聚合来提高网络的安全可靠性，加快数据传输和解决单点故障的问题。采用多出口选路规则，隔离外部人员非法访问教务网，保证教务网上数据的可靠性和正确性。通过策略路由使得内网到外网的访问过程中负载均衡，有效解决大波流量对单边防火墙访问的问题，通过实现带宽管理，解决流量堵塞问题。最后在防火墙上部署防御攻击，可以有效防止DDos攻击、对网络入侵行为进行警告。

其不足之处在于，没有实现安全可靠的SSH远程登入和上网认证系统，并且在防火墙上BGP的部署没有成功实现，导致数据交换较为缓慢。在负载均衡方面没有做到智能选路，同时，由于个人的网络基础知识不够扎实，所以对其论述和分析不够深入，研究只停留在表面，还需继续深入学习。在模拟器中，暂时无法对网络攻击进行检测，对其应用只停留在初始阶段。此外，在对于校园网建设中防火墙的应用，其设计和建设过程只是一些个人的见解。