1 校园网络安全威胁1.1校园网简介珠海大学的校园网承载着学校的教务、行政、教学、图书资料、对外联络等方面事的务处理，它的安全状况影响着学校的教学、教务、行政管理、对外交流等活动。

在珠海大学网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加。

潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。

1.2网络攻击及缺陷校园网受到的攻击以及安全方面的缺陷主要有：1.有害信息的传播校园网与Internet融为一体，师生都可以通过校园网络在自己的机器上进入Internet。

目前Internet上充斥着各种信息。

有些有毒的信息违反人类的道德标准和有关法律法规，对师生的危害非常大。

如果安全措施不好，会让这些信息在校园内传播。

2.病毒破坏通过网络传播的病毒无论实在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。

特别是在学校接入广域网后，为外界病毒进入学校大开方便之门，下载的程序和电子邮件都有可能带有病毒，而且网络病毒的变异速度加快，攻击机理复杂，必须不断更新病毒库。

3.恶意入侵学校涉及的机密不是很多，来自外部的非法访问的可能性要少一些，关键是内部的非法访问。

一些学生可能会通过入侵的手段破坏教务系统，扰乱教学工作秩序。

4.恶意破坏对计算机硬件系统和软件系统的恶意破坏，这包括对网络设备和网络系统两个方面的破坏。

网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等，它们分布在整个校园内，不可能24小时专人看管，故意的或非故意的某些破坏，会造成校园网络全部或部分瘫痪。

另一方面是利用黑客技术对校园网络系统进行破坏。

表现在以下几个方面：对学校网站的主页面进行修改，破坏学校的形象；向服务器发送大量信息使整个网络瘫痪；利用学校的邮件服务器转发各种非法信息等。

5.口令入侵通过网络监听非法得到用户口令，或使用口令的穷举攻击非法获得口令入侵，破坏网络。

2 校园网网络拓扑结构珠海大学的校园网由四个物理区域组成：办公大楼、图书馆大楼、实验楼、教学楼。

在整个网络中，各信息点按功能又划分为行政办公、实验教室、普通教室、中心管理机房、电子阅览室等不同区域，各区域与互联网连接的目的也是不一样的，对特定区域，与互联网连接将受到一定限制。

校园网采用千兆到楼，百兆到桌面的全交换网络系统，覆盖到实验楼、行政楼、图书馆、广播楼、教学楼，共计光纤链路10余条，交换机80余台，网络信息点2800多个。

整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证软件、网络版杀毒软件。

当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。

因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。

根据校园网的需求分析及建设目标，本设计方案采用交换式千兆以太网作为主干，百兆交换到桌面。

网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式连接。

3 安全策略及部署图3.1安全策略1. 采用漏洞扫描技术，对重要网络设备进行风险评估，保证信息系统尽量在最优的状况下运行。

2. 采用各种安全技术，构筑防御系统，主要有：（1） 防火墙技术：在网络的对外接口，采用防火墙技术，在网络层进行访问控制。

（2） NAT 技术：隐藏内部网络信息。

（3） VPN 技术：虚拟专用网是企业在因特网等公共网络上的延伸，通过一个私有的信道在公共网络上创建一个安全的私有连接，它通过安全的数据信道将远程教师、企业合作的网络连接起来，构成一个扩展的校园网，在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络中。

公共网络似乎只由本网络在独占使用，而事实上并非如此。

（4） 网络加密技术：采用网络加密技术，对公网中传输的IP 包进行加密和封装，实现数据传输的保密性、完整性。

它可解决网络在公网中的数据传输安全性问题，也可解决远程用户访问内网的安全性问题。

（5）认证：提供基于身份的认证，并在各种认证机制中可选择使用。

（6）多层次多级别的企业级的防病毒的系统：采用多层次多级别的企业级的防病毒系统，对病毒实现全面的保护。

（7）网络的实时监测：采用入侵检测系统，对主机和网络进行监测和预警，进一步提高网络防御外来攻击的能力。

3．实时响应与回复：制定和完善安全管理制度，提高对网络攻击等实时响应与恢复能力。

4. 建立分层管理和各级别安全管理中心。

3.2安全部署示意图4 设备选型及说明4.1美国Cisco Catalyst 6506在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国Cisco公司的Catalyst 6506作为数据网络系统的内部核心交换机，Catalyst 6506是大容量的具有高交换能力的第三层模块化交换机，Catalyst 6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。

选择Catalyst 3548作为外网交换机。

可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过10/100M自适应通道接入到Cisco Catalyst 3524和Catalyst 3548交换机上。

选择Catalyst 3524和Catalyst 3548作为计算机网络系统的二级汇聚交换机，为终端用户提供10/100M到桌面。

选择Cisco 3662作为计算机网络系统DDN、ISDN访问路由器，既可以满足上级单位Internet的DDN、ISDN接入的需求，又可以满足继续扩展的需求。

同时Cisco 3662作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。

网络核心层：用一台Cisco的高端三层交换机Catalyst 6506作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。

其中配置两个电源同时供电，彼此分担负荷并互为备份。

一块WS-X6K-S1A-MSFC2交换引擎是交换机的心脏，它控制交换机的寻址、数据转发、模块控制等。

Catalyst6506交换机引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力，利用Cisco特有的Netflow技术，完全满足核心线性三层交换的能力。

另一块WS-X6408-GBIC 的8端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直接连入到核心层设备上去。

汇聚层：在分配线间分别设立Cisco Catalyst 3524和Catalyst 3548作为计算机网络系统汇聚层设备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备Catalyst 6506上去，终端用户可以通过超5类UTP线缆连接到各层交换机中去，可以实现10/100M的自适应通道连接到局域网中去。

接入层；在网络接入层中我们选用了一台Cisco 3660路由器作为广域互连和外部用户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能：1.ADSL接入方式。

2. FTTX+LAN接入方式。

4.2趋势科技网络防毒墙1200-S型Network VirusWall 1200提供任何其它设备厂商无法比拟的安全保护功能。

它能全面准确地阻止网络蠕虫及其对漏洞的利用。

它通过阻止不兼容的设备进入网络以防止感染病毒。

它同样还可以在病毒爆发期间隔离受感受的网络段，并自动进行远程清除。

Network VirusWall 1200根据局域网（LAN）或专用虚拟网（VPN）网段的网络流量进行部署，解决威胁网络安全的蠕虫问题。

采用标准的10/100 Base-T 接口，可以承担最大256位用户的一个网段的保护。

5 安全配置及说明5.1操作系统安全配置物理安全服务器应放置在安装了监视器的隔离房间内，并且监视器应当保留１５天以内的录像记录。

另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。

停止Guest帐号将Guest帐号停止掉，任何时候不允许Guest帐号登录系统并给Guest帐号加上一个复杂的密码，修改Guest帐号属性，设置拒绝远程访问。

限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号，等等。

用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。

更改管理员帐号名称在Windows 2000系统中管理员Administrator帐号是不能被停用的，应修改管理员帐户并建立一个名为Administrator的普通用户，将其权限设置为最低，并且加上一个复杂密码。

设置陷阱账号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

更改文件共享的默认权限将共享文件的权限从“Everyon"更改为"授权用户”，”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。

安全密码好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。

安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。

屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。

NTFS分区把服务器的所有分区都改成NTFS格式。

NTFS文件系统要比FAT、FAT32的文件系统安全得多。

防病毒软件Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。

设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。

同时一定要注意经常升级病毒库。

备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。

备份完资料后，把备份盘防在安全的地方。

5.2应用服务器系统配置服务器系统配置安装操作系统后，安装装杀毒软件和系统漏洞补丁，并升级病毒库对系统进行全面扫描。

删除Windows Server 2003默认共享，启用windows连接防火墙，只开放web服务，修改磁盘权限并设置本地安全策略。

IIS配置让asp脚本以system权限运行：修改asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"；防止asp木马：删除system32\scrrun.dll/e/d guests和system32\shell32.dll/e/d guests文件；解决HTTP500内部错误：iis http500内部错误大部分原因主要是由于iwam账号的密码不同步造成的。