构建校园网安全体系

[摘　要]　校园网络是高校课题研究发展及人才培养的必备条件，校园网络安全对整个高校的安全和稳定至关重要。本文介绍了当前校园网常见安全威胁及传统网络安全体系的不完善性，结合三层交换技术，基于虚拟局域网的校园网安全体系，建立了一个网络层的合理网络信息安全体系。

[关键词]　 VLAN;校园网;交换机;网络安全

校园规模的扩大造就了网络规模的不断膨胀。扩展网络规模时多采用在原有的网络基础上直接增加计算机数目的方法，使得网络体系变得越发复杂，对网络的治理也变得越来越困难，网内的安全系数降低，且网络资源的利用率也大大降低。此时，如何行之有效地达到其资源与安全最大化平衡成为最大的难题。本文从校园网安全角度出发，分析当前校园网常见安全威胁及传统网络安全体系的不完善性，基于目前逐渐被广泛应用的三层交换技术和虚拟局域网技术，构建一种校园网安全体系。

当前VLAN技术及其优点

VLAN(Virtual LocalArea Network)，即虚拟局域网，是一种利用工作组来逻辑划分局域网的技术，核心是网络分段。由于VLAN中成员通过交换机来通信，其成员间无法直接联系。根据不同的业务及安全级别，可以将网络分段并隔离，实现相互间的访问控制，以达到限制用户非法访问、加强内部网络管理的目的。目前，基于VLAN隔离技术的访问控制方法已在校园网安全体系中逐渐被广泛使用。 VLAN技术是在局域网内将工作站逻辑的划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了802.1Q关于VLAN的协议草案。是为了解决以太网广播问题和安全性而提出的协议。VLAN并非一种新型的网络，是包含一组端站点的逻辑上的LAN，其中的站点好像被同一网线连接在一起，而实际上可能出于LAN的不同物理网段。是一组逻辑上的设备或用户，它们就好像处于同一个物理LAN中一样相互通信，不受物理位置的限制。基于交换网络的VLAN目前大致可分为4类：基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN。基于端口的VLAN划分是最简单、最有效的划分方法，是基于交换机端口的划分方法，只需网络管理员对网络设备的交换端口进行重新分配，不需考虑该端口所连接的设备，就可将属于不同交换机端口的不同网段划分在一个VLAN中;基于MAC地址的VLAN是MAC地址的集合，允许网络用户从一个位置移动到另一个物理位置，且自动保留起所属VLAN的成员身份，是基于网络用户的，但由于MAC地址的唯一性，初始化困难，且网卡更换就必须重新配置，另外它不能防止MAC欺骗攻击，有可能受到假冒MAC地址攻击的危险。

VLAN技术的出现为设计、扩展、更改提供了更大的灵活性，主要体现如下：

(1)使网络连接更加灵活。VLAN技术能够将不同地点的不同网络用户连接起来，形成类似本地局域网一样灵活、有效的网络，大大降低了移动工作站地理位置的管理费用。还可使处于不同地理位置的站点可划分到同一个虚拟网中，不受地理位置的限制;可根据功能、项目组、应用的需要来划分用户和设备，可根据实际情况增加和减少用户。

(2)控制网络安全。VLAN中的防火墙机制在防止网络中广播过量的同时，可以将某个端口或用户赋予一个特定的VLAN组使其跨接多个交换机。方便站点的移动、增加和变化，大大提高管理动态网络的能力。由于某种原因，用户工作位置发生变化时，采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网;采用基于MAC地址VLAN技术的用户则可不作任何修改，在网上的任意位置都可上网，因为VLAN成员不是捆绑在某固定工作站上的;反过来，用户的实际位置不发生改变却变更了部门，网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。减少了日常管理开销，提供了更大的配置灵活性。

(3)使网络安全性加强。VLAN是一个单独的广播域相互隔离，大大提高了网络利用率，确保网络保密性。

2　基于VLAN的校园网安全架构设计

使用传统网络安全技术时不断出现的漏洞及系统缺陷仍然威胁着它的安全，这里引入VLAN技术，就笔者参与建设的某高校网络建设安全体系构架做一次实例分析。

2.1　校园网络特点分析

随着教学逐渐走向数字化、网络化、多媒体化，校园网逐渐成为学校师生学习生活的一部分。其特点为：

(1)从学校角度看，校园网业务项目多、开放性强，子网数目多且分散，故障定位复杂，网络维护及管理难度大不言而喻。

(2)从使用人员看，存在一定比例年龄偏大的教师与偏小的学生，网络使用不当时有发生，使其运行环境存在风险。

(3)从校园网管理来看，由于计算机购置和配置情况复杂，配置程度不可能统一;缺乏相应安全管理措施及管理人员，安全责任难于到位成为普遍现象。

(4)从校园网本身特点看，随着网络基础设施的不断完善，其网络传输能力、承载能力及接口方式、用户数目都在不断发生变化，要保证网络稳定性及可靠性，都需要先进的设备及管理维护方式。

2.2　校园网络拓扑结构

根据以太网五种主要拓扑结构:总线型、星型、环型、网状型及树形。这里采用星型，以网络中心为中心向外扩张，内部网络采用典型的树型拓扑结构，结合三层网络架构，即核心层、汇聚层和接入层。根据网络范围限制可以划分为内网和外网。外网为校园网外网络，即与校园网相连的外部公网。根据位置地点及功能可将内网划分为以下区域:网络中心、主教学区(包括主教学楼及多媒体中心)、办公区(包括实验楼、后勤保卫处、财务处等)、图书馆。另由于客观原因，学生宿舍没有接入校园网，但列入规划设计。主教学区教学实验区包括所有机房，为起到有效隔离和病毒防控效果，每个机房划分为一个VLAN网络;办公区整体为一个VLAN网络;网络中心服务器群重要设备属于一个VLAN网络。重点考虑内部网络物理安全和各区域及区域间信息访问控制，禁止外部用户非法访问内网。

2.3　三层网络架构及访问控制列表的配置

使用内置防火墙的锐捷NBR2000路由器。核心层采用两台锐捷RG-6506组成双核心，提供强大的交换能力及冗余备份，汇聚层采用STAR-S3550公司交换设备，分别连接到两台核心设备上，以提高网络稳定性。接入层采用锐捷公司的网管接入层交换机，与汇聚层交换机相连，可以很好的进行接入控制。办公室间使用TP-LINK连接各工作站。核心层交换机与防火墙相连，再由路由连接到Internet。

为使局域网更加安全，可以配置访问控制列表，使用安全策略。将各个虚拟局域网进行分隔，设置访问许可。首先重点过滤网络病毒;然后在交换机上使用访问控制列表，限制可操作交换机的IP地址;在对服务器设置访问控制权限，以替代防火墙功能;最后应用访问控制列表，指定特定IP地址。

综上所述，将虚拟局域网技术与三层交换技术结合使用，可以为校园网络安全体系构建带来理想的安全保障。这里采用核心、汇聚、接入三层结构，对不同功能子网进行有效隔离，防止病毒及故障的蔓延。对虚拟局域网规划管理，划分权限，反之非法入侵及内部网络病毒攻击，以保证网络安全、系统安全和信息安全。校园网安全体系是一个系统性工程，不仅需要传统的防火墙、入侵检测、访问控制等等技术，还需要从安全需求上考虑，构建合理的管理制度，使用相应的安全技术及手段。只有将两种相结合，校园网的高效、通用、安全才能得以实现。另外，由于校园网是一种非常实际的局域网体系，法规建设和诚信建设等人员管理都不可或缺。在加强安全防御意思的同时，我们也得建立相应的管理制度，以保证其健康、有序、正常运行。

参考资料：

1. VLAN技术在校园网中的应用 襄樊职业技术学院学报 - 2008， 7(3)

2.基于VLAN技术的校园网络优化设计 中国科技信息 - 2007(13)

3.校园网络建设方案与策略 电脑知识与技术(技术论坛) - 2005(5)

转载请注明来自：http://www.uuqikan.com/jisuanjiwangluolw/2304.html