封面成都信息工程学院课程设计校园网安全整体解决方案设计作者姓名：纪红班级：信安08.4学号：2008122127指导教师：王祖俪日期：2011年 12月10日校园网安全整体解决方案设计摘要随着计算机网络技术的飞速发展，网络技术越来受到人们的重视，它逐渐渗入到我们生活各个层面。

学校的网络系统具有一个安全健康的环境，是校园网络科学化、正规化的重要条件，也在校园网的高效运行中扮演了重要的角色。

现代校园网系统是一种基于开发式的网络环境，能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。

本设计详细分析了校园网的安全问题，本文在分析校园网原有的网络安全防范措施的基础上，针对校园网在运行中所遇到的实际问题，本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义，需求分析，系统设计，系统实现，系统调试运行，总结，及参考文献几个部分。

通过此次设计来加深我们对校园网络基本的管理与维护的了解，对于校园网建设中所用的基本设备如路由器，交换机，防火墙等了解它们在校园网中的使用情况，及基本的配置过程,对电子邮件过滤检测，入侵检测，病毒监测，防火墙设置等多方面做了相应的综合性安全解决方案。

关键字：校园网系统，管理，设置，软件维护，邮件过滤，入侵监测，防火墙目录1 引言 (1)1.1课题背景 (1)1.2高校校园网的网络现状 (1)1.3校园网安全问题分析 (2)1.4校园网安全问题存在的原因 (3)2安全解决方案设计 (4)2.1需求分析 (4)2.3网络设计原则 (4)2.4网络拓扑图 (5)2.5安全设计原则 (5)3.功能设计 (6)3.1防火墙设置 (6)3.1.1部署防火墙 (6)3.2建立入侵检测系统 (9)3.3建立漏洞管理系统 (10)3.4建立网络防病毒系统 (11)3.5IP盗用问题的解决 (11)3.6采用系统升级策略 (12)3.7利用网络监听维护子网系统安全 (13)3.8建立良好的管理体系 (13)3.9部署W EB,E MAIL,BBS的安全监测系统 (13)3.10部署内容安全管理系统 (15)3.11使用校园网用户认证计费管理系统 (15)4.代码实现部分 .......................................................................... 错误！未定义书签。

5.参考文献 (17)1 引言1.1 课题背景随着近年来网络安全事件不断地发生，安全问题也成为了IT业的一个热点，安全问题对于学校的发展也越来越重要。

安全问题已经成为影响校园网平台的稳定性和正常提供网络服务的一个严重问题，所以提升校园网络自身的安全性也成为学校增强竞争力的重要方面之一。

同样，随着网络技术的迅猛发展和因特网的普及，网络概念已不再局限于某些领域，而是深入到社会的各个组成部分，形成了一个初具规模的网络社会。

不过，同其他一些高科技类似，网络技术在丰富人们生活、产生实际的经济效益的同时，也给人们带来了诸多负面的影响。

大家可以看到，自Internet问世以来，资源共享和信息安全一直作为一对矛盾体而存在着，计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出。

局域网是互联网的一种主要的存在方式和组成部分，局域网的安全问题在某种意义上反映了几乎所有的安全问题。

学校校园网作为一个局域网，也面对这一系列的安全问题，在这里我们讲讨论一下校园网的安全措施。

1.2 高校校园网的网络现状教育的信息化是当今世界教育改革的重要思潮之一，是时代的要求，也是素质教育的需要。

学校近年来大力实施现代化教育技术工程：以电脑网络为基础，以图书馆、电教中心为信息源，以数字化为模式，提高学校教育教学的档次和质量。

目前，学校的校园网络已经初具规模：以光纤连接校内主要建筑，所有建筑内全部布线，校园网覆盖整个校园，同时校园网向上通过光纤联入中国教育科研网，并与 Internet 互联。

但是在现有的网络设备保护下校园网网络依然存在很多问题，这些问题导致校园网络不能正常的提供良好的服务，经常给用户带来困扰。

1.3 校园网安全问题分析经过长期的使用和观察，校园网还存在一下问题：1、IP盗用的问题，校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径得到合法的IP地址，另一部分则不然。

当某些没有IP地址的用户，冒用他人的合法IP地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。

2、防火墙攻击，防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对外的防护而已，他对于内部的防护则几乎不起什么作用。

然而不幸的是，一般情况下大部分的攻击是来自局域网的内部人员。

所以怎么防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。

3、Email问题，由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的Email用户发一些不良内容的信件，有时还会携带各种各样的病毒。

因此，怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。

4、各种服务器和网络设备的扫描和攻击，有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。

5、非法URL的访问的问题，对于一些反动的或不健康的站点，应当禁止校园网用户通过校园网去访问。

6、病毒防护的问题，互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。

病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。

近阶段泛滥的“尼姆达病毒”就是典型的例子。

因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。

1.4校园网安全问题存在的原因1、虽然学校在网络入口部署了防火墙和入侵检测系统阻止了外部对学校内部网络的攻击，但是防火墙无法对学校内部从 Internet 上下载的通过 HTTP、FTP、SMTP 等形式的数据进行进一步的分析，可是一些病毒例如蠕虫病毒往往会隐藏在这些下载的文件中，一旦用户运行了这些文件，就会在整个校园网中爆发蠕虫病毒，导致网络瘫痪。

2、邮件系统保护不完善，电子邮件是学校老师和学生最常用到的功能，与此同时它也是病毒传播的重要途径。

邮件病毒不但会对桌面级的系统造成如占用磁盘空间，修改或破坏文件中的数据，大量消耗系统资源等危害，还会使邮件系统本身瘫痪，消耗大量的网络资源使网络速度变慢，同时使邮件用户收到大量的垃圾邮件。

3、学校内部对 Internet 的非法访问威胁。

如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；再加上使用 BT 等 P2P 软件下载电影、游戏对整个网络的带宽产生了严重的影响，使得学校的业务无法正常的开展。

4、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。

例如Windows NT/2000、Windows Server 的普遍性和可操作性使它成为最不安全的系统:自身系统安全漏洞、浏览器的漏洞、IIS 的漏洞等。

5、缺少真正意义上的功能强大的网络版杀毒软件。

因为目前的杀毒软件效果不理想，或者已经被病毒干掉或者是被老师擅自卸载，而在卸载之后计算机上有的安装了盗版的杀毒软件有的没有再安装任何杀毒软件。

这样一来信息办老师无法从整体上对全网的计算机进行杀毒管理和监控。

图书馆、实验楼的PC机上学生经常使用U盘拷贝游戏、文档，在上课期间聊QQ、玩游戏、上网灌水聊天，甚至登陆色情、暴力、违法网站等，不务正业。

图书馆、实验楼机房也病毒泛滥。

虽然大部分PC都安装了还原卡，但是已经不能阻挡病毒的入侵，病毒往往能穿透还原卡和还原软件。

同时大部分机器都未能及时安装系统补丁，容易被蠕虫入侵，但是目前又没有一个很好的办法来管理所有系统的补丁。

2安全解决方案设计2.1 需求分析针对校园网长期以来校园网络出现的各种问题，对校园网的需求提出了一下几点：1、防止校园网外部用户对校园网内的用户进行攻击2、校园网外部用户只能访问WWW 服务、MAIL 服务，其他服务只对校园网内部用户开放。

3、考虑到易用性，所有服务器的操作系统采用Windows Server，WWW 服务使用IIS。

4、需要防病毒系统2.3网络设计原则网络的先进性和实用性的原则：采用的硬软件系统既有技术的先进性，又有很高的性能价格比；网络的开放性和兼容性的原则：选择符合国际标准的网络硬软件产品，有很好的互换、扩展和升级能力；网络的灵活性和可靠性的原则：网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并且要有很好的容错能力；网络的可管理性和易维护性原则：配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。

整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护；网络系统的保密性和强有力的防病毒性。

2.4网络拓扑图2.5安全设计原则1.身份识别：身份识别是对网络用户、主机、应用、服务和资源的准确、积极的识别。

实现它的标准技术包括验证协议，如RADIUS和TACACS＋、Kerberos 和一次性密码工具。

数字证书智能卡和目录服务等新技术正开始在身份识别解决方案中占越来越重要的作用。

2.外围安全/接入控制：它提供了控制到关键网络应用、数据和服务的接入的方法，以便只有合法用户和信息可通过网络。

带接入控制列表和/或状态防火墙、以及专用防火墙设施的路由器和交换机提供了这种控制。

病毒搜索器和内容过滤器等补充性工具也有助于控制网络外围。

3.数据专用性：当必须保护信息免遭窃听时，按需提供经验证的保密通信的能力是十分重要的。

有时，使用隧道技术，如GRE或L2TP来进行数据分离，可提供有效的数据私密性。

然而，更高私密性要求常需要使用IPSec等数字加密技术和协议。

在实施VPN时，这种添加的保护尤为重要。

4.安全监控：为确保网络安全，重要的是定期测试和监控安全准备状态。

网络易损点搜索器可主动发现弱点领域，IDS可在发生安全事件时对其监控和响应。

利用安全监控解决方案，机构可了解网络数据流和网络的安全状态。

5.策略管理。

随着网络规模和复杂度的增加，对集中策略管理工具的需求也随之提高。

带可分析截获、配置和监控安全策略状态的基于浏览器的用户界面的工具，提高了网络安全解决方案的可用性和有效性。

除安全要求外，网络安全设计还必须具备网络弹性、性能和可扩展性。

3.功能设计3.1防火墙设置3.1.1部署防火墙在需要隔离的网络区域之间部署防火墙。

典型地，在 Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。