5 网络的测试维护及网络的安全管理
5.1 网络安全分析
校园主干网是覆盖多幢大楼的园区网络,组成了一个具有相当复杂的计算机网络。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。校园网络安全主要考虑以下几方面要求:各个部门、系所访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。
对安全问题的考虑主要是两个方面:校园网应该是一个开放的系统,它不需要与政府或商业公司的一样的网络安全保密性;校园网应该安全的,它不应该受到恶意的攻击而无法运行,一些科研成果也不应该对任何人都开放。主要利用虚拟网技术和防火墙技术来合理解决安全与开放的问题。校园网的安全威胁既有来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。
作为高等院校,如何构筑相对可靠的校园网络安全体系问题,变得越来越突出了。一般来说,构筑校园网络安全体系,要从两个方面着手:一是采用先进的技术;二是不断改进管理方法。 5.2 校园网安全的隐患
由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理各自为政,缺乏上网的有效监控和日志,上网用户的身份无法唯一识别,存在极大的安全隐患。
同时,校园网电子邮件系统极不完善,无任何安全管理和监控的手段。网络病毒泛滥,造成网络性能急剧下降,重要数据丢失。因此缺乏集中管理、
第 18 页 共 28 页
统一升级、统一监控的针对网络的防病毒体系。此外,校园网络上的用户网络安全意识淡薄,没有制订完善的网络安全管理制度。校园网常见的风险: 普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行;外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;内部用户的攻击行为,这些行为给校园网造成了不良的影响,损害了学校的声誉;校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用;垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。 5.3 解决策略
注意以下几个方面的管理:加强CERNET安全管理措施;加强校园网安全管理措施;加强校园网的安全管理工作需要从管理和技术两个方面综合考虑:首先,加强校园网安全管理政策建设。其次,加强安全组织建设。具体解决方案如下:
(1)基本防护体系(包过滤防火墙+NAT+计费)
用户需求:全部或部分满足以下各项,即解决内外网络边界安全,防止外部攻击,保护内部网络;解决内部网安全问题,隔离内部不同网段,建立VLAN ;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;支持安全服务器网络SSN ;通过IP地址与MAC地址对应防止IP欺骗;基于IP地址计费;基于IP地址的流量统计与限制;基于IP地址的黑白名单。防火墙运行在安全操作系统之上,防火墙为独立硬件,防火墙无IP地址。
解决方案:采用网络卫士防火墙PL FW1000。
第 19 页 共 28 页
(2)标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)
用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项,即提供应用代理服务,隔离内外网络;用户身份鉴别;权限控制;基于用户计费;基于用户的流量统计与控制;基于WEB的安全管理;支持VPN及其管理;支持透明接入;具有自身保护能力,防范对防火墙的常见攻击。
解决方案:(1)选用网络卫士防火墙PL FW2000 ;(2)防火墙基本配置+网络加密机(IP协议加密机)。
(3)强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控)
用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项,即网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备),操作系统安全性检测,网络监控与入侵检测
解决方案:选用网络卫士防火墙PL FW2000+网络安全分析系统+网络监控器
第 20 页 共 28 页
6 可行性分析
6.1 技术可行性分析
校园网是建构在多媒体技术和现代网络技术之上的为教学、科研、管理服务并与因特网连接的校园内局域网络环境,是一种教育科研网络。计算机网络毕竟是个新生事物,在各方面还不尽人所知,不顾自身需求和经济实力而一掷千金的事例层出不穷。究其原因,多数为对校园网工程的具体事项了解不够,作为一项庞大的系统工程,校园网工程事关学校的发展大计,必须慎重考虑。根据可行性分析其网络符合以下几方面:
兼顾先进性和实用性:既要保证先进性,适应新技术发展的潮流,选用的设备应技术先进且成熟,市场占有率高,网络上的管理和应用系统具有先进的客户机/服务器或Browser/Web Server/Database多层计算结构模式,能够支持多媒体信息传输,也要注重实用和成效,紧密结合具体应用的需求;
注重开放性和可扩充性:网络通信协议和接口符合国际标准,并应是今后发展的主流,网络软硬件设备应支持广泛流行的协议标准TCP/IP、HTTP、LDAP、SSL、SNMP、RMON等,从而保证与其它系统或异构网络互连,具有良好的开放性和兼容性。网络易于升级扩展,易于增添新设备、新用户,网络和软硬件都应具有良好的可伸缩性,以适应应用规模和负载的变化,并随着未来需求的增长能不断延展和扩充;
注意安全与可管理性:采用成熟的技术,软硬件应具有良好的可靠性,提供不少于设备制造商规定的质量保证,数据的存贮和访问应具有灵活而又坚固的安全机制,确保信息安全与保密。随着网络规模扩大和系统复杂程度的增加,网络管理维护和故障排除任务就变得越来越重要,设计方案应提供先进的体系结构和完善的网络管理工具,使网络易于管理和维护。
网络系统的设计现在大多采用层次化的设计方法,首先对整个网络的功
第 21 页 共 28 页
