導(dǎo)語：高校網(wǎng)絡(luò)安全防御體系研究一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1校園網(wǎng)現(xiàn)狀與問題

1.1校園網(wǎng)建設(shè)現(xiàn)狀

咸陽師范學(xué)院校園網(wǎng)絡(luò)的骨干網(wǎng)已經(jīng)達到了千兆，100M到桌面，總體分為三級架構(gòu)即核心層、匯聚層和接入層。咸陽師范學(xué)院校園網(wǎng)接入服務(wù)商是咸陽電信，其提供100M光纖寬帶服務(wù)。網(wǎng)絡(luò)提供的服務(wù)主要有：Web主頁服務(wù)、DNS域名解析服務(wù)、E-mail郵件服務(wù)、Internet接入服務(wù)、校內(nèi)網(wǎng)絡(luò)殺毒服務(wù)、辦公自動化服務(wù)等。

1.2面臨的主要問題

（1）校園網(wǎng)絡(luò)覆蓋范圍發(fā)生變化。由于近幾年招生規(guī)模的不斷擴大，學(xué)校相應(yīng)配套設(shè)施也在逐年增加，這些都必須加入校園網(wǎng)，并且原來未曾入網(wǎng)的學(xué)生宿舍也將納入網(wǎng)絡(luò)覆蓋范圍，因此必將引起網(wǎng)絡(luò)結(jié)構(gòu)的變化。（2）原有網(wǎng)絡(luò)設(shè)備也落后于發(fā)展的需要。學(xué)?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備已經(jīng)不能滿足日益發(fā)展的網(wǎng)絡(luò)需求，性能已經(jīng)遠遠低于現(xiàn)在網(wǎng)絡(luò)的發(fā)展和應(yīng)用。（3）校園網(wǎng)用戶的安全意識不強、網(wǎng)絡(luò)的管理制度不夠完善，缺少行之有效的監(jiān)控措施。（4）學(xué)院網(wǎng)絡(luò)中電腦所用的各種軟件都不可避免的存在安全隱患。這些安全隱患導(dǎo)致了網(wǎng)絡(luò)中各種不穩(wěn)定因素大量的存在。比如，各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全風(fēng)險。Internet網(wǎng)絡(luò)用戶對校園網(wǎng)存在的非法訪問或惡意入侵的風(fēng)險等。

2網(wǎng)絡(luò)安全方案設(shè)計

2.1防止內(nèi)外的攻擊威脅的入侵檢測系統(tǒng)

為了校園網(wǎng)的安全，我們可以在防火墻的基礎(chǔ)上再引進入侵檢測系統(tǒng)（IDS），作為防火墻的有益補充，這樣可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。防火墻由于性能的限制通常不能提供實時的入侵檢測能力，對于校內(nèi)用戶所做的攻擊，防火墻更是形同虛設(shè)。為了在網(wǎng)絡(luò)安全的層次和網(wǎng)絡(luò)安全區(qū)域方面進一步加強，我們可以選擇在校園網(wǎng)絡(luò)中建立一套入侵檢測系統(tǒng)。IDS入侵檢測技術(shù)是一種主動保護自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)。入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.2建立VPN系統(tǒng)

VPN即虛擬私有網(wǎng)絡(luò)技術(shù)，它的安全功能包括：通道協(xié)議、身份驗證和數(shù)據(jù)加密。VPN的工作原理是這樣的：遠程外網(wǎng)客戶機向校園網(wǎng)內(nèi)的VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機發(fā)出身份質(zhì)詢，客戶機將加密的響應(yīng)信息發(fā)送到VPN服務(wù)端，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠程訪問的權(quán)限，如果該用戶擁有遠程訪問的權(quán)限，VPN服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機和服務(wù)器公有密鑰將用來對數(shù)據(jù)進行加密。

2.3網(wǎng)絡(luò)防病毒平臺的建立

目前，計算機病毒的種類與傳播媒介日益繁多，病毒更主要是通過網(wǎng)絡(luò)共享文件、電子郵件及Internet/Intranet進行傳播。計算機病毒防護已經(jīng)成為計算機網(wǎng)絡(luò)系統(tǒng)安全策略中的重要手段。鑒于校園網(wǎng)內(nèi)部行政及辦公部門數(shù)據(jù)資較為重要，所以配備病毒防護軟件是十分重要的。為了減輕病毒更新及軟件維護的繁重工作量，一般應(yīng)采用企業(yè)版防病毒軟件作為防病毒整體解決方案。企業(yè)版防病毒軟件，除了提供在工作站的防病毒程序外，更在服務(wù)器上提供了管理程序(對所有工作站的防病毒軟件進行中央控管)以及軟件分發(fā)（Deployment）程序，從而解決了“防病毒軟件統(tǒng)一安裝”及“病毒碼統(tǒng)一更新”兩大難題。

2.4科學(xué)的流量控制策略

隨著校園規(guī)模的不斷擴大，在校師生員工的逐漸增多，為了滿足老師和學(xué)生的上網(wǎng)需要，就要通過對網(wǎng)絡(luò)設(shè)施的提升來擴大校園網(wǎng)的規(guī)模，出口帶寬也不斷在增加，各種網(wǎng)絡(luò)應(yīng)用也更加的豐富。但是寶貴的帶寬卻被流媒體和軟件的下載大量占用了，甚至影響到學(xué)校正常的網(wǎng)絡(luò)應(yīng)用。當(dāng)然，導(dǎo)致校園網(wǎng)絡(luò)異常流量的因素還有很多，有病毒木馬等有害程序，有網(wǎng)絡(luò)教學(xué)軟件錯誤使用，設(shè)備線路故障，最主要的還是P2P軟件的使用。

3總結(jié)

目前高校校園網(wǎng)絡(luò)普遍存在網(wǎng)絡(luò)連接形勢復(fù)雜、網(wǎng)絡(luò)設(shè)備種類數(shù)量繁多、使用的操作系統(tǒng)平臺不統(tǒng)一等諸多問題，同時高校師生作為一個特殊的使用網(wǎng)絡(luò)的群體，其用戶與一般局域網(wǎng)用戶不同，網(wǎng)絡(luò)高手眾多，對于技術(shù)的嘗試性、好奇性、新鮮感，時時考驗著校園網(wǎng)絡(luò)的安全。本文根據(jù)當(dāng)前咸陽師范學(xué)院校園網(wǎng)的現(xiàn)狀和當(dāng)前網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢，提出了校園網(wǎng)建設(shè)方案，相關(guān)的工作包括：（1）通過需求分析，提出了校園網(wǎng)絡(luò)架構(gòu)的升級設(shè)計，其主要特征是核心層線路的冗余及各核心交換機的功能區(qū)域的劃分。（2）針對網(wǎng)絡(luò)安全的實際需求，提出了安全技術(shù)要求及具體的設(shè)計方案，包括入侵檢測、VPN技術(shù)、病毒防護、存儲備份等。本文應(yīng)用網(wǎng)絡(luò)系統(tǒng)工程思想，在對咸陽師范學(xué)院校園網(wǎng)進行整體規(guī)劃的基礎(chǔ)上，緊緊圍繞基礎(chǔ)網(wǎng)絡(luò)安全暢通、出口網(wǎng)絡(luò)安全暢通和數(shù)據(jù)、服務(wù)的安全穩(wěn)定進行了研究、分析和設(shè)計。論文在網(wǎng)絡(luò)工程改造、技術(shù)選型、出口線路設(shè)計及重要設(shè)備的選型上進行了較為詳細(xì)的分析，重點突出。學(xué)校網(wǎng)絡(luò)的建設(shè)是一項復(fù)雜的系統(tǒng)工程，其要求統(tǒng)一考慮，長遠規(guī)劃，保證技術(shù)的先進性和可擴展性。在下一步的網(wǎng)絡(luò)建設(shè)中，將根據(jù)所建立的網(wǎng)絡(luò)架構(gòu)和安全模型，不斷完善網(wǎng)絡(luò)方案，在網(wǎng)絡(luò)建設(shè)、實施和運行過程中不斷完善和優(yōu)化，并希望能夠建立一個完善的網(wǎng)絡(luò)安全評估體系。

本文作者：趙衛(wèi)工作單位：咸陽師范學(xué)院網(wǎng)絡(luò)管理中心