校园网安全分析及策略计算机原创论文_校园网安全及策略分析

校园网安全分析及策略计算机原创论文由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“校园网安全及策略分析”。

新 乡 学 院

毕

业

论

文

论文题目 院（系）名称 专业名称 班

级 学生姓名 学

号 指导教师姓名

校园网安全分析及策略 国际教育与交流中心 计算机网络技术 07级 张新 2007123401018 叶涛 2010年4月完成目录

内容摘要..........................................................1 关键词.............................................................1 Abstract...........................................................1 Key words..........................................................1 1.绪论.............................................................2

1.1课题背景..................................................2 1.2校园网的发展...........................................2 2.校园网发展现状与分析.............................................3 2.1校园网发展现状..............................................3 2.2校园网的安全需求............................................4 2.3校园网安全面临的威胁........................................5 3.校园网可采用的安全技术策略.......................................5 3.1防火墙部署..................................................6 3.2入侵检测系统部署..........................................6 3.3访问控制..................................................7 3.4运用虚拟局域网（VLAN）技术................................8 3.5安装补丁程序和网络版杀毒产品..............................8 4.校园网的安全设计方案.............................................9 5.校园网安全方案实施后的效果......................................11

5.1校园网安全方面..........................................11 5.2网络管理方面............................................12 5.3小结....................................................16 参考文献.........................................................18 致谢.............................................................19

内容摘要：随着网络在世界范围的普及，校园网作为服务于教育、科研和行政管理的计算机网络，实现了校园网内联网、信息共享，并与Internet互联。为教师和学生的工作、学习、生活、娱乐带来了许多便利。但校园网同时也面临着严峻的网络安全形势，本文将围针对校园网安全问题提出解决方法及策略，确保校园网正常、高效、安全的运行。

关键词：校园网 网络安全 设计

Abstract：With the popularity of the network in the world, campus network who supplies service for education, science research and administration, joins the Intranet and the Internet shares the information, It's convenient for teachers and students' work, study,living and entertainments, but also facing serious network security situation.To ensure campus network be operated normally, efficiently and safely is the problem for collages,the paper carried out a new solution.Key words:Campus network Network security Network design

1.绪论

1.1课题背景

随着Internet的迅速发展和应用的普及，计算机网络已经深入教育、政府、商业、军事等各行各业，成为社会重要的基础设施，同时网络安全问题也日益突出。

校园网作为学校信息化建设的基础设施，在教学、科研、管理和对外交流等方面都起着举足轻重的作用。随着高校网络规模的急剧膨胀，网络用户的快速增长，网络数据的急剧增加，校园网的安全问题也不断暴露出来，如病毒侵蚀、恶意软件、黑象攻击等，校园网时刻都会受到来自内部和外部的威胁与危害，针对校园网的安全向题，构建完善的网络安全体系是越来越重要。而且校园网与其它网络比具有以下一些特点:(I)校园网的数据流量大、速度快、规模大

近年来，随着高校扩招和合并，校园网的用户群体一般比较大，少则数千人、多则数万人。许多校园网已经发展为一个跨城域的网络。校园网已发展成为了一个全面信息的化阶段。多媒体教学和网络视频应用的推广对网络交换速度和数据量提出更 2 高的要求，同时也要求网络安全部件要有更快的处理速度和更高的性能。(2)校园网中的设备来源多样化、管理复杂

校园网是一个平台，面向高校的师生，校园网中的设备来源比较复杂。容易出现计算机病毒“交叉感染”，无法分清责任。(3)活跃的用户群体

高校的学生是最活跃的网络用户，对网络新技术充满好奇，面对精力充沛的高校学生，网络安全更为迫切。(4)有限的投入

校园网的后期管理容易被忽视，特别是管理和维护吧人员方面的投入明显不足，无暇顾及、也没有条件管理和维护千台、万台计算机的安全。(5)盗版资源泛滥

从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。

1.2校园网的发展

网络技术的发展，尤其是Internet的出现，使我们校园生活、学习、工作和环境发生了巨大的变化。利用学校计算机网络，采用先进的管理软件，可规范学校的管理行为，提高管理水平和工作效率；在减轻工作量的同时，利用计算机存储量大、处理快速准确的特点，为学校的决策提供准确及时的信息。在学校的办公、信息交流和通信方面充分发挥计算机网络的作用，在软件的支持下实现网上协同工作。

计算机网络将使教学模式上有比较大突破，原来的老师、学生和网络三者之间的关系将发生变化，教师不再是知识的惟一拥有者和权威者，把知识传授给学生。学生应是学习的主体，校园网为学生的探索式学习提供情景和资源，老师只作为学习的指导者。在教学过程中将采用网络技术、多媒体技术，利用网络上丰富的教学资源，激发学生的学习兴趣，提高教学质量。多媒体技术将文本、声音、图像、动画和视频技术融为一体，使的教学活动变得生动且形式多变，从而提高学生学习的积极性、效率和效果。

高校校园网早期应用主要局限于行政办公、后勤、教学与计算中心，分离性较大，大部分采用企业网模式。而现在大部分高校在规划校园网时已计划将网络覆盖至学生宿舍区以及教师家属区，向在校学生及教职工提供园区内部互连以及Internet接入 3 服务。

2.校园网的发展现状与分析

2.1校园网现状

校园网络作为学校重要的基础设施，其安全状况直接影响着学校的教学活动，校园网网络上各种信息数据急剧的增加，校园网络信息安全面临严峻问题。

校园网网络信息十分丰富，网络用户的活动也非常活跃，校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等等，这些无论是涉及个人隐私或利益的信息，还是学校行政办公的文档信息，以及用于政治宣传和管理的信息都需要进行完整性、真实性保护和控制，这就需要对进出校园网的访问行为进行必要的、有效性的控制，封堵某些禁止的行为和业务，避免损失。

校园网络系统中接入着成百上千台计算机，这些计算机的操作系统各种各样，通常分布在不同的物理位置，由不同的用户操作，用于不同的用途，由于这些差异，使得校园网网络中计算机中的漏洞问题十分严重。因为使用者的安全意识不强，或者采取措施不及时造成的损失在校园网网内时有发生，因此采用安全、及时的漏洞扫描技术对校园网网络中的系统漏洞进行扫描，在攻击发生之前发现网络和系统中的漏洞，并及时采取措施进行修复，可以进一步提高校园网络信息安全保障水平。

校园网接入互联网以后，用户通过校园网进入互联网。网络上的各种信息良荞不齐，色情、暴力、邪教内容的网站泛滥，对正在形成世界观和人生观的学生来说，有可能还不能正确地对待这类内容，这些违反人类道德标准和有关法律法规的有毒信息对他们危害极大，如果信息安全措施不好，不仅会有部分学生进入这些网站，还可能在校园内传播这类不良信息。

校园网网络的方便快捷同时也为病毒的肆意传播留下可能，下载的程序和电子邮件都有可能带有病毒。通过网络传播病毒无论在传播速度，还是破坏性和传播范围等方面都是单机病毒不能比拟的。大量病毒传播不仅占用网络资源，而且破坏服务器或单机，最终影响整个学校网络系统的正常运作，严重的还可能造成校园网网络的瘫痪，因此邮件监控和防病毒工作也是校园网络信息安全的一个重要方面。

教育信息化、校园网络化作为网络时代的教育方式和教育环境，己经成为教育发展的方向。随着各高校网络规模的急剧膨胀、网络用户的快速增长，校园网网络信息 4 安全问题已经成为当前各高校网络建设中不可忽视的首要问题。随着网络技术的发展与普及，校园网早已成为现代化教育建设的基础设施，校园网建设己经不仅仅只是局限于实现网络内部资源共享和外部信息互换。各学校为了能够实现以网养网，对网络设计提出了更高的要求，可运营、更安全、更实用成了今天对校园网络关注的焦点。

2.2校园网安全需求

第一，高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网己意识的淡薄，而另一方面，高校学生—这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，70%来自高校网络内部，如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。

第二，网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤;其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护,要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障;最后，要充分考虑全局统一的安全部署，需要能够从接入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全架构。

所以，在对出口等重点区域进行安全部署的同时，要更加全面的考虑安全问题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅局部加强某个单点的安全强度的手段。根据校园网的需求和现状，校园网在安全方面要满足以下几点安全需求:(I)校园网禁止外部非校园网用户未经许可访问内部的数据，实现内部网络和重要服务器数据的安全防护。

(2)校园网内部各部门，个人之间网络访问进行控制，各部门，个人之间在未经授权的情况下，不能相互访问，实现网络的隔离。

(3)加强网络监控，实现对涉及重要服务器数据的攻击行为的纪录与分析。

(4)加强网络病毒的防范。

(5)加强安全管理，对校园网内部访问进行规范化。

2.3校园网安全面临的威胁

校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面 5 临如下的安全威胁：

(I)各种操作系统以及应用系统自身的漏洞带来的安全威胁；(2)Internet网络用户对校园网存在非法访问或恶意入侵的威胁；

(3)来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网；

(4)内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；

(5)内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；

(6)校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见；

(7)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁；

3.校园网可采用的安全技术策略

3.1防火墙技术

防火墙是网络安全的一种防护手段，它是位于两个信任程度不同的软件或硬件设备之间的组合，对两个网络之间的通信进行控制，通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，防止外部网络不安全的信息流入内部网络和限制内部网络的重要信息流到外部网络，以达到保护系统安全的目的。

防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。防火墙是一种按某种规则对专网和互联网, 或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离), 从而阻断不希望发生的网络间通信的系统。部署防火墙技术, 构筑内外网之间的安全屏障, 可以有效地将内部网与外部网隔离开来, 保护校园网络不受未经授权的第三方侵入。通过Internet 进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS 等), 既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用, 并能够对发生在网络中的安全事件进行跟踪和审计。现在有许多基于硬件或软件的防火墙, 如华为、神州数码、联想、瑞星等厂商的产品。防火墙技术有一些局限性。防火墙不能防范不经过它的攻击，不能防止来自网络内部的攻击和安全问题，不具备实时监控入侵的能力，不能防止策略配置不当或错误配置引起的安全威胁，不能防止受病毒感染的文件的传输，不能防止利用服务器系统和网络协议漏洞进行的攻击，不能防止数据驱动式的攻击，不能够防止内部合法用户的主动泄密行为，不能防止本身的安全漏洞威胁。

防火墙作为第一道安全防线，部署防火墙无疑可以保护校园网网络系统的安全，但是由于防火墙本身的局限性，仅仅在校园网内部网络入口处部署防火墙系统还不能完全有效的保护整个校园网网络系统的信息安全。3.2入侵检测系统部署

入侵检测系统为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段，入侵检测系统已经成为网络信息安全架构中必要的附加手段。

入侵检测系统通常被认为是防火墙之后的第二道安全闸门，部署于防火墙之后，对网络活动进行实时检测，是防火墙的延续和合理补充。入侵监测系统可以记录和禁止网络活动，可以和防火墙、路由器配合工作，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的处理，实现对网络信息的实时保护。入侵检测系统通过帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应等)，提高了信息安全基础结构的完整性。入侵检测系统从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统通过扫描当前网络的活动，监视和记录网络的流量，并根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。入侵检测系统可以完成监视、分析用户及系统活动，系统构造和弱点的审计，识别反映已知进攻的活动模式并向相关人士报警，评估重要系统和数据文件的完整性，操作系统的审计跟踪管理，并识别用户违反安全策略的行为等等任务。

在校园网络中部署入侵检测系统，能够有效防御各种攻击，控制网络资源滥用，利用该系统的日志，还可以部分分析出用户的上网行为，可以进一步保证校园网的稳定运行、保障网络系统的信息安全。

根据对校园网网络信息安全的风险分析，入侵防护安全需求的重点是校园网的中心服务器群和网络骨干区域。通过入侵检测设备对核心交换机的流量进行监控，从而实现入侵检测的功能。一般采用具备入侵防护与入侵检测功能相结合的产品就可以满 7 足需求。

入侵防护需求主要防御的方面包括防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对校园网重要网络区域和服务器群造成的安全损失，提高校园网络的整体抗攻击能力;防御来自网络内部的威胁，阻止蠕虫、网络病毒爆发对校园网络重要网络区域和服务器群的破坏，保障校园网络的正常运行;有效控制校园网络资源的滥用情况，阻止用户因使用各种即时通讯软件、P2P下载、网络在线游戏以及在线视频而影响网络的正常运行，通过净化网络流量，实现网络加速;监测和防护校园网络系统中重要区域和服务器群的安全运行，全面把握安全状态，以便于及时发现可能的安全攻击，防止安全事件的发生，保证整个校园网系统的网络信息安全。

3.3访问控制

访问控制的主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户帐户的缺省限制检查等。当用户进入网络后, 网络系统就赋予这一用户一定的访问权限, 用户只能在其权限内进行操作。这样, 就保证网络资源不被非法访问和非法使用。访问控制必须遵从最小特权原则, 即用户在其合法的访问授权之外而无其他的访问特权, 以保证有效防止网络因超权限访问而造成的损失。

账号和密码保护可以说是系统的第一道防线, 目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统, 那么前面的防卫措施几乎就没有作用, 所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

系统管理员密码的位数一定要多, 至少应该在8位以上, 而且不要设置成容易猜测的密码, 如自己的名字、出生日期等。对于普通用户, 设置一定的账号管理策略, 如各种开机口令、登陆口令、共享权限口令等等, 并强制用户每个月更改一次密码。对于一些不常用的账户要关闭, 比如匿名登录账号。

3.4 运用虚拟局域网(VLAN)技术

VLAN(Virtual Local Area Network)即虚拟局域网, 是一种通过将局域网内的设备逻辑地(而不是物理地)划分成一个个网段从而实现虚拟工作组的新兴技术。采用交换式局域网技术(ATM或以太交换)的校园网络, 可以用VLAN 技术来加强内部网络管理。VLAN 技术的核心是网络分段, 根据不同的应用业务以及不同的安全级别, 8 将网络分段并进行隔离, 实现相互间的访问控制, 可以达到限制用户非法访问的目的。

3.5安装补丁程序和网络版杀毒产品

操作系统都有漏洞, 作为网络系统管理员就有责任及时地将“补丁”(Patch)打上。大部分校园网服务器使用的是微软的Windows NT/2000 操作系统, 因为使用的人特别多, 所以发现的Bug 也特别多, 同时,蓄意攻击它们的人也特别多。微软公司为了弥补操作系统的安全漏洞, 在其网站上提供了许多补丁, 可以到网上下载并安装相关升级包。计算机病毒的特点是具有非授权的可执行性、隐蔽性好、感染性强、潜伏得深、破坏性广泛、有条件地触发而发作、新病毒层出不穷等。计算机病毒的危害多种多样。病毒程序会消耗资源使网络速度变慢;病毒会干扰、改变用户终端的图像或声音, 使用户无法正常工作: 有些病毒还会破坏文件、存储器、软件和硬件。使部分网络瘫痪有些病毒会在硬盘上设置远程共享区, 形成后门, 为黑客大开方便之门。目前, 大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件;同时, 在网络版的杀毒软件使用中, 必须要定期或及时升级杀毒软件。

安全防范体系的建立不是一劳永逸的，校园网络自身的情况不断变化，新的安全问题不断涌现，必须根据情况的变化和现有体系中暴露出的一些问题，不断对此体系进行及时的维护和更新，保证网络安全防范体系的良性发展，确保它的有效性和先进性。

4.校园网安全设计方案

针对上述分析当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。同时，校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。下图是比较普遍的校园网拓扑结构。基于此图，我将从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。

1．物理层安全

物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线行为。2.系统安全

系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：

①用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；

②用主机访问控制手段加强对主机的访问控制； 3．网络层安全

校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：

①划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及 10 VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。

②加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁

③防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。

④定期的网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。

⑤建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。

4．应用层安全

应用层的安全措施主要有以下几点：

①应用系统自身的加固； ②建立身份验证系统； ③建立审计系统； ④建立备份系统； 5． 管理层安全

实现管理层的安全主要注意以下几点：

① 建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。

② 建立、健全安全管理体制。校园网用户较多，一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。③ 提高全员的安全意识。

5.安全方案实施后的效果

校园网在实施全局安全方案后，校园网在安全方面和管理方面都有大的改善。5.1校园网安全方面

校园网在实施了全局安全防御系统后实现了校园网全局的安全部署，包括:全部学 生宿舍、教师宿舍、机房和办公区域。

全局安全防御系统可以对所有安全事件、网络病毒攻击行为、用户行为和用户主 11 机安全信息进行深入分析和全局监控。通过这种实时全网侦测，可以在第一时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络:在发现安全问题后能自动对用户进行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流该系统部署完成后，对网络内的安全事件和网络病毒进行了有效抑止。

另外，通过校园网全局安全防御系统的主机信息获取和完整性(HostIntegrity)检测，能够清楚网络中的应用情况，并约定用户主机的准入标准，比如:校园网用户可以安装什么软件，禁止安装何种软件。这一方面，获取的主机信息可以为校园网管理的决策提供判断依据。另一方面，从侧面体现了学院网络中心的职责转变，从单一的维护向对网络平台的可靠运行负责的转变，其中就涉及对网络相应规则、制度的制定。

此外，通过校园网全局安全防御系统先进的“免疫型”防ARP欺骗改击手段，能够彻底解决ARP攻击带来的安全漏洞和断网事件的发生。过去，我们只有在某个区域发生断网之后，才去判断是否是ARP欺骗，并进行手工处理。若用户未能完全杀毒，极可能又会引起该区域的网络中断。由于校园网全局安全防御系统自动的ARP防范，网络中心的老师再也不用为了一个小小的欺骗犯愁了，而是可以将大量的时间和精力投入到更有意义的事情中去。

5.1.1完善的主机完整性检测

校园网全局安全防御系统通过获取接入网络的主机信息(软件安装情况、硬件配置、网络信息)来了解主机的情况，管理员通过对主机的安全状态进行判断后，即可制定出对应的主机完整性即HI(Host Integrity)规则，来保障主机必须/禁止安装哪些软件、必须/禁止开启嘟些服务、必须/禁止运行哪些进程以及管理注册表中对应键值的数值，通过这些检测，对主机的安全情况有了一个细致的检测，同时，在检测失败后，给出用户如何修复不安全因素的解决方法，同时，对用户的上网行为进行限制，例如只允许访问修复服务器去下载补丁或这相关软件。通过主机完整性检测的启用，保障了用户安装并开启必须的防范软件和服务，同时对病毒所引起的注册表修改等行为也可以有效的恢复，最重要的是，通过这些行为与网络控制的结合，使得用户必须通过主机完整性检测才能入网，否则就是无法上网办公，保障了安全手段的强制 12 性，也将不安全因素排除在了网外。如图5-1

图5-1 SMP的主机完整性(HI)检测

5.1.2安全的联动防范网络攻击

在校园网的全局安全解决方案中，除了传统的入侵检测设备IDS的加入外，还加入了IDS跟安全管理平台SMP的联动，在发现安全事件之后，可以及时准 确的定位到攻击的发起者，并通过下发安全策略、警告消息和修复程序来制止攻击者保护被攻击者，必要时可以通过定位攻击者采取行政手段。在ARP病毒防 范方面，全局安全防御通过安全网关、安全智能交换机、SMP和SU之间的联动，实现了网关的绑定，ARP表的静态维护，客户端IP-MAC的绑定，通过多重工 事的立体防御。

第一重:网关防御，如图5-2 13

网关防御的实现过程如下:(1)SMP通过SAM学习已通过认证的合法用户的IP-MAC对应关系.(2)SMP将用户的ARP信息通知相应网关。(3)网关生成对应用户的可信任ARP表项。通过网关防御可以实现以下效果:(1)攻击者冒充用户IP对网关进行欺骗。

(2)真正的用户已经在网关的可信任ARP表项中，欺骗行为失败。

可信任ARP是全局安全防御系统功能专署的表项。通过联动SMP，动态学 习己通过认证的用户ARP，保障合法用户的上网质量。可信任ARP是一种介于 静态和动态ARP之间的地址表项。与静态ARP不同，可信任ARP也有老化机 制，过期自动删除;可信任ARP有专门预留的地址空间，不会被动态ARP所修 改。可信任ARP能够自动检测用户是否在线。可信任ARP老化时，会自动检侧用户在线情况，如果用户在线，会自动恢复生存周期。

第二重:用户端防御，如图5-3 14

用户端防御的实现方法如下:(1)在SMP上设置网关的正确IP-MAC对应信息。(2)用户认证通过，SMP将网关的ARP信息下传至SUo(3)SU静态绑定网关的ARP o 通过用户端防御，可以实现以下效果:(1)攻击者冒充网关欺骗合法用户。

(2)用户已经静态绑定网关地址，欺骗攻击无效。

第三重:交换机非法报文过滤，如图5-4

交换机非法报文过滤，是通过S21和29系列交换机的安全功能来实现的，具体实现方法如下:(1)用户认证通过后，21交换机会在接入端口上绑定用户的IP-MAC对应信 息。(2)21交换机对报文的源地址进行检查，对非法的攻击报文一律丢弃处理。(3)该操作不占用交换机CPU资源，直接由端口芯片处理。图S-4 ARP防御的第三重—交换机非法报文过滤 交换机非法报文过滤可以实现以下的效果:(1)攻击者伪造源IP和MAC地址发起攻击。(2)报文不符合绑定规则，被交换机丢弃。

通过以上的三重立体ARP防护方法，解决了ARP欺骗中的网关型欺骗，中间人欺骗以及ARP泛洪攻击，给我们的局域网带来更加干净的网络环境。

5.2网络管理方面

5.2.1入网身份验证

作为全局安全的身份基础平台，SAM系统实现了苏州托普信息职业技术学 院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.1 x技 术，实现了对用户的身份和IP, MAC、交换机端口、交换机IP等信息严格绑定，一旦出现安全事件，可迅速追查到人。SAM系统提供的完善的计费运营功能，为校园网运营提供了足够的数据支撑。通过该系统的部署，有效的防止了IP地 址盗用，极大的减轻了校园网管理的运营负担，并为全局网络安全提供了基础身 份平台。如下图5-5，5-5份认证

而入网身份验证的多元素绑定，也有效的杜绝了IP地址冲突现象的发生，只有用自己的IP才能登陆上网，而通过用户漫游功能，也实现了用户在不同地 区认证上网的需求。如图5-6 16

5-6网身份验证多元素绑定

5.2.2防非法外联

通过SAM的防非法外联功能，可以限制接入主机的拨号、架设代理的功能，防止不受控的上网行为发生，将危险置之网外，如图5-3

图

5-7加接入控制组

5.3小结

随着网络的普及，校园网给教师和老师的学习、生活、工作和院校的管理带来了很大的便利，但随之而来，也产生了许多问题。校园网系统庞大，设备来源多，管理复杂，师生的安全意识不强，管理层资金短缺，各种操作系统以及应用系统自身的漏洞等诸多因素导致了校园网的不安全，如信息的泄露，非法用户入侵，黑客攻击等。17 因此，校园网的安全问题越来越受关注。本文分析了校园网的现状及对校园网安全造成威胁的诸多因素，从而提出了校园网安全设计方案，解决了校园网的安全问题。参考文献

[1]刘永华，解圣庆，张凤云。局域网组建、管理与维护[M]北京：清华大学出版社。

[2]刘钦创。网络安全技术与应用[J]2006.2.1期

[3]贾铁军，王坚，沈学东。网络安全技术及应用实践教程[M]北京：机械工业出版社，2009.2 [4]赵安军，徐邦海。网络安全及应用[M]北京：北京人民出版社。[5]田宝玉。计算机网络与信息安全[M] 北京：北京邮电大学出版社。[6]刘钦创。现代计算机。[J]2006.3.25 期

致谢

首先感谢叶涛老师在我论文的选题、写作过程中给予的细致关心和指导。在论文的选题和研究方面，叶老师提出了很多指导性的意见，很受启发。

感谢学院三年来的授业解惑，使我在专业技术方面得到了很大的提高，开阔了视野，为今后的工作打下了良好的基础。

感谢新乡学院的同学们，大家一起学习，一起探讨，互相帮助合作，度过了充实快乐的时光。

最后，再次向所有帮助和关心过我的人们表示由衷的感谢!

张新

2010年4月12日