校园网络安全设计方案10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力随着因特网的迅速发展，校园网的建设日益普遍。

而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。

校园网络的安全不仅有来自外部的攻击，还有内部的攻击。

所以，在校园网建设中使用安全技术是刻不容缓的。

现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。

防火墙:防火墙是一种将内部网和公众网分开的方法。

它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。

防火墙的概念：通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。

防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。

它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，并且本身具有较强的抗攻击能力。

防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。

防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP 地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校园网的一切活动。

校园网络在设置时应从下面几个方面入手：（1）入侵检测：具有黑客普通攻击的实时检测技术。

实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。

并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。

（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NA T模式和透明模式。

我们选择的是透明模式，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。

所有接口运行起来都像是同一网络中的一部分。

此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。

在透明模式下，接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。

（3）策略设置：防火墙可以提供具有单个进入和退出点的网络边界。

由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。

策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。

可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。

（4）管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和命令行界面，我们选择为通过web方式和java 等程序编写的图形化界面进行远程管理。

（5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。

（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。

千兆防火墙还会达到几个G的性能。

要充分进行性价比的考虑。

（7）用户认证：要建立完善的用户认证机制，可以指定内部用户必须经过认证，方可访问不可信网络。

防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动，可以使用内建用户数据库、外部Raduis数据库或IP/MAC绑定等多种认证方式，对于内部网络的安全又多了一层保障。

产品选择：CiscoPIX515防火墙产品特点：CiscoPIX515是业界性能最高的防火墙之一。

这种防火墙模块基于PIX技术，运行PIX操作系统，是一种实时的嵌入式强化系统，可以消除安全漏洞和性能降级损耗。

假如拓扑图如下（图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口，路由器的左口为f0/1，右口为f0/0.）：要求：（1）对防火墙、路由器进行基本的命令配置，使得内网的所有机器能访问外网。

（2）所有内网的主机出口使用防火墙对外的全局地址202.161.1.2（3）所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机，此主机对外公开地址为202.161.1.5，允许对此主机进行www、ftp。

其中防火墙的配置：设置端口安全级别：nameif e0 outside sec0nameif e1 inside sec100设置端口参数：interface e0 autointerface e1 auto配置内外网的IP地址：Ip add outside 192.168.3.1Ip add inside 192.168.2.2设置指向内外网的静态路由：Nat (inside) 1 0 0Global (outside) 1 202.161.1.2Route outside 0.0.0.0 0.0.0.0 192.168.3.2拓扑图如下：办公教学网络海甸主校区(3.0万学生)H3C 12508教育网400-1000M公共应用平台、数据库公网学生宿舍网络教工区网络S7506H3C S3600200-1000M (相距150公里)10000M1000M1000M100M100M计费网关路由器100-200M (相距15公里)1000M公网儋州校区网络中心H3C9508100M儋州校区(1.0万学生)办公教学网络1000M学生宿舍网络2000M3928P-SI路由器计费网关6506R 教工宿舍网络(电信ADSL)城西校区(0.5万学生)城西校区网络中心6506R办公教学网络教工学生宿舍网络(电信LAN)3928P-SI 100M100M1000M 200-500MVPN什么是VPN ？虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。

定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。

VPN 属于远程访问技术，简单地说就是利用公网链路架设私有网络。

VPN----海南大学应用科技学院VPN 的特点安全保障：通过一条隧道，加密技术对数据进行加密，以保证数据安全性和私有性。

服务质量保证：为不同要求用户提供不同等级质量的服务可扩充性，灵活性：支持Internet和Extrane任何类型的数据流可管理性：可以从用户和运营商角度进行管理VPN所用的技术：实现VPN作重要的是在公网上建立虚拟信道。

而IP隧道的建立可以是在第二层链路层。

也可以是在第三层网络层。

第二层主要是PPP连接。

如PPTP，L2TP第三层是IPSec。

加解密技术数据通信中一项比较成熟的技术，VPN可直接利用现有技术进行数据加密解密密钥管理技术主要任务是如何在公用数据网上安全的传递密钥而不被窃取身份认证技术使用者名称和密码或卡片的认证方式校园中的VPNVPN应用在外部网络传输控制层保障学校不同校区之间可靠、安全、高速的交换数据以及资源信息的共享。

降低网络搭建成本，简化管理。

设计方案目前实现VPN主要有两种方式：IPSec VPN 和SSL VPN如果只是想实现高效不同校区之间网络到网络的连接，可以选择IPSec VPN如果想实现终端到站点之间的传输可以选择SSL VPN各校区和主校区之间通过专线连接。

而每个校区都通过路由器连接到具有VPN功能的防火墙。

而路由器还有专门的VPN隧道和防火墙相连。

防火墙连接到外面的Internet。

同时校园网还连接至外面的教育科研网中。

这样校外的老师和出差的老师都可以通过VPN访问校园网，还可以访问校内图书馆资源，内部教务信息VPN----海南大学应用科技学院Si办公教学网络海甸主校区(3.0万学生)H3C 12508教育网400-1000M公共应用平台、数据库公网学生宿舍网络教工区网络S7506H3C S3600200-1000M(相距150公里)10000M1000M1000M100M100M计费网关SiSi路由器100-200M (相距15公里)1000MSiSi公网儋州校区网络中心H3C9508100M儋州校区(1.0万学生)办公教学网络1000M学生宿舍网络2000M3928P-SI路由器计费网关6506R 教工宿舍网络(电信ADSL)城西校区(0.5万学生)城西校区网络中心6506R办公教学网络教工学生宿舍网络(电信LAN)3928P-SI 100M100M1000MSi200-500M防火墙防火墙Si路由器VPN 服务器配置在服务器上右击，选择配置启用路由和远程访问进入配置向导，在公共设置中选择虚拟专用网络服务器 远程客户协议对话框中选择TCP/IP 协议选下一步这一步会选择一个服务器所使用的Internet 连接，可以选已建立好的拨号连接或通过制定网卡进行连接，按下一步这一步回答你如何对远程客户机分配IP 地址，除非你安装DHCP 服务器，否则选择指定一个IP 地址的范围根据提示选择你要分配给客户机的IP 地址（此IP 地址要和服务器的IP 地址在同一个网段） 最后选择“不，我现在不想设置此服务器的RADIUS ”即可完成最后的设置 VPN 客户端配置在开始—附件—通讯，选择新疆连接向导 点击下一步选择“建立一个您的工作位置的网络连接” 选择“虚拟专用网络连接”，单击下一步 为连接输入一个名字“xxx ”，单击下一步 选择不拨此初始连接，单击下一步输入连接设备服务器的IP 地址，单击完成双击刚建立的“xxx ”连接，在连接窗口中选择属性选择安全属性页，选择高级（自定义设置），单击设置在“数据加密”中选择“可选加密”（没有加密也可以连接）在“允许这些协议”选中“质询握手身份验证协议（CHAP）”单击确定选择“网络”属性页，在VPN类型选择“L2TP VPN”确定“Internet协议TCP/IP”被选中单击确定，保存所做的修改防病毒：一、防病毒服务器：首先选择ServerProtect软件特点：集中式网域管理、三层式结构执行远程管理、实施扫描、病毒代码更新、工作管理导向作业、病毒活动记录报告、病毒事件的通知、内建完整的说明功能在网络中心增加一台服务器，预装windows 20XX server，并在服务器上安装ServerProtect 的信息服务器及管理控制台，作为ServerProtect的管理中心，从管理控制台在每一台服务器上安装ServerProtect的标准服务器防毒墙具体配置：1、配置下载源——一般把“趋势科技更新服务器”设置为下载源2、配置预设下载——将下载频率设为“每天”3、配置通知信息——配置通知类型，并发送给谁4、配置扫描设置——分为实时扫描、立即扫描、预设扫描通过ServerProtect的不熟，有效的保护校园网中的关键服务器受到病毒入侵，今儿切断了病毒通过服务器在校园网中的传播二、客户机安装网络版防毒软件：首先选择OfficeScan：针对企业网络环境设计，提供企业用户网络客户机的病毒防护工作，安装也企业中的一台防病毒服务器，可通过浏览器进行所有的设定及配置，能够通过网络为没太计算机安装客户端，无须在客户端操作，简单方便，提供实时病毒防护及监控能力在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端，通过“客户机打包程序”和WEB页面等方法安装校园内的客户机。