校園網網絡安全與管理研究

楊 凱，李桂青

（1.武漢音樂學院，湖北 武漢 430000；2.曲阜師范大學，山東 濟寧 272000）

0 引 言

校園網是一個集計算機網絡技術、辦公自動化、信息管理及信息發(fā)布等功能于一體的綜合信息平臺，是一個服務器、網絡設備、終端及眾多用戶組成的局域網，通過有線方式和無線方式實現數據傳輸和信息共享。但是，網絡病毒、黑客入侵及管理不善等使校園網面臨著嚴重威脅[1]。針對校園網目前存在的安全隱患，本文重點研究和設計了合理穩(wěn)定的網絡拓撲結構，整體實現了網絡拓撲結構的健壯性，并實現了負載均衡。

1 校園網安全解決方案

1.1 安全架構設計

網絡基礎架構設計和網絡信息安全是相互依存的，因此規(guī)劃校園網整體網絡和信息安全系統方案時，需引入新的層次型網絡和信息安全區(qū)域模型。

根據校園網網絡實際應用，可分為3個層次，由上到下分別對應由高到低3個防護等級（核心層、隔離層及接入層）。每個防護等級中的設備采用類似的安全防護功能[2]。

（1）核心層：設置安全等級為高，主要對應校園網核心設備。

（2）隔離層：設置安全等級為中，主要是各種數據轉發(fā)設備。

（3）接入層：設置安全等級為低，主要存放各種網絡接入設備。

對整個校園網采取分層分級別防護，可有效增加安全系數。外部入侵需多層破解，增加了攻擊難度，為主動防御爭取了時間。

1.2 校園網設計

校園網網絡建設不僅要滿足學校的現狀需求，而且要符合國家規(guī)定的校園網建設標準。同時，需充分考慮網絡的健壯性，不能出現單一節(jié)點，避免其中一臺網絡設備性能下降或出現網絡故障影響校園網正常辦公[3]。此外，校園網的安全防范既要做到避免外網攻擊，又要做到避免內網攻擊，拓撲設計如圖1所示。

由圖1可知，核心交換區(qū)、內網接入區(qū)、互聯網區(qū)及服務器等組成了一個完整可行的校園網。

2 校園網安全功能詳細設計

該校園網中主要使用IP Sec 虛擬專用網技術、NAT技術、靜態(tài)路由協議技術、防火墻技術及LACP技術等。

2.1 虛擬專用網技術

考慮在公共網絡中傳輸數據的不安全性，引入了IP Sec VPN。對使用的數據隧道進行加密，可實現公共網絡傳遞私有數據，相當于在共有網絡中建立一個私有專用網[4]。

具體實現步驟和代碼如下：

（1）配置組屬性的查詢模式

WHmusic(conf i g)#aaa new-model //啟用

WHmusic(conf i g)#aaa authentication login yk local //定義一個名叫yk登陸認證，使用本地數據庫進行驗證

WHmusic(config)#aaa authorization network yk1 local //命名yk1，對yk的事件授權

WHmusic(config)#username cisco password 0 cisco//創(chuàng)建用戶名密碼

（2）配置IKE（ISAKMP）策略，IPSec第一階段配置

WHmusic(conf i g)#crypto isakmp policy 10 //創(chuàng)建IKE策略10

WHmusic(conf i g-crypto)#encryption 3des //采用3des加密方式

圖1 校園網整體網絡拓撲圖

WHmusic(conf i g-crypto)#hash md5 //使用md5哈希散列算法

WHmusic(config-crypto)#authentication pre-share //采用預共享密鑰的認證方式

WHmusic(conf i g-crypto)#group 2 //指定密鑰的位數

（3）定義EzVPN client連接后自動分配的地址池

WHmusic(config)#ip local pool ez 192.168.129.10 192.168.129.100

（4）配置用戶組策略

WHmusic(conf i g)#crypto isakmp client conf i guration group wuhanmusic //配置組和密碼

WHmusic(conf i g-crypto)#key ykwh

WHmusic(conf i g-crypto)#pool yk

（5）配置Ipsec交換集，IPSec第二階段配置

WHmusic(conf i g)#crypto ipsec transform-set wh esp-3des esp-md5-hmac //配置交換集twh，設置esp加密算法3des，esp的完整性用哈希算法md5來保證

WHmusic(config)#crypto dynamic-map ezmap 10 //動態(tài)加密圖

WHmusic(config-crypto-map)#set transform-set tim//tim與lmmap關聯

（6）關聯認證信息

對VPN進行認證，授權配置，list是調用上面AAA配置名，liming是客戶端保密圖的名字，lmmap為動態(tài)保密圖的名字，最后動態(tài)加密圖必須有靜態(tài)綁定。

WHmusic(config)#crypto map liming client authentication list yk

WHmusic(config)#crypto map liming isakmp authorization list yk1

WHmusic(config)#crypto map liming client conf i guration address respond //客戶端響應服務器

WHmusic(config)#crypto map liming 10 ipsecisakmp dynamic lmmap

（7）應用crypto map

WHmusic(conf i g-if)#crypto map tom //綁定到接口

2.2 NAT技術

為解決內部網絡使用私有地址主機和因特網上使用公有地址主機的通信問題，必須進行網絡地址轉換（NAT），即通信時把私有地址轉換成因特網上合法的公有地址[5]。

NAT技術結合ACL技術可對訪問公網的源地址進行訪問控制，即內網網絡管理中心樓的機器出于安全考慮，不允許訪問互聯網，可通過ACL具體配置，代碼如下：

WHmusic(config)#access-list 10 deny 192.168.70.0 0.0.0.255

//拒絕地址為192.168.70.0網段的數據包通過

WHmusic(conf i g)#access-list 10 permit any //允許其他網段地址的數據包通過

WHmusic(config)#ip nat inside source list 10 interface Serial0/3/0 overload //表示以端口復用方式，將訪問控制列表10中的私有地址轉換為路由器外部接口的合法IP地址

WHmusic(conf i g)#interface FastEthernet0/0 //進入接口并配置ip地址

WHmusic(config-if)#ip address 192.168.129.2 255.255.255.0

WHmusic(conf i g-if)#ip nat inside //指定NAT的內部轉換接口

WHmusic(conf i g)#interface Serial0/3/0 //進入接口并配置ip地址

WHmusic(config-if)#ip address 158.18.18.1 255.255.255.252

WHmusic(conf i g-if)#ip nat outside //指定NAT的外部轉換接口，此接口翻譯為內部全局地址到達外部網絡

3 結 論

該校園網安全設計是基于當前校園網網絡功能進行改進，考慮了核心層的冗余備份和服務器群的安全性，并設計了三層安全防護措施。該設計的不足之處在于模擬器的功能有限，審計和統計管理等功能無法實現，需在后期實際應用中進行擴展。