校园网络安全设计方案

2024年5月25日发(作者：)

校园网络安全设计方案

10网工2班 组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力

随着因特网的迅速发展，校园网的建设日益普遍。而在高校中，如何能够保证校园网络

的安全运行,同时又能提供丰富的网络资源,达到办公、教学及学生上网的多种需求已成为了

一个难题。校园网络的安全不仅有来自外部的攻击，还有内部的攻击.所以，在校园网建设

中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行

为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我

校的网络安全方案.

防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他

网络之间进行的信息存取、传递操作。

防火墙的概念:通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，

是一种有效的网络安全策略.防火墙提供信息安全服务，设置在被保护内部网络的安全与不

安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网

络的安全。它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络

的信息流,并且本身具有较强的抗攻击能力。

防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火

墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主

机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个

人防火墙、混合防火墙。

防火墙的安全策略：(1）所有从内到外和从外到内的数据包都必须经过防火墙（2)只有

被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁

止所有服务，除非是必须的服务才被允许

防火墙的设计:(1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接

到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户

提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站（5)要求具备防

IP地址欺骗和IP地址盗用功能（6）要求具备记账和审计功能，能有效记录校园网的一切活

动。

校园网络在设置时应从下面几个方面入手:(1）入侵检测：具有黑客普通攻击的实时检

测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC—MP flood、UDP flood、

Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其

它方式通知系统管理员。（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作

模式，路由模式、NAT模式和透明模式。我们选择的是透明模式，防火墙过滤通过防火墙

的封包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一

网络中的一部分.此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下，

接口的IP地址被设置为0。0。0。0， 防火墙对于用户来说是可视或透明的。(3）策略设置：

防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此

可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、

排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些

用户和信息能进入和离开以及它们进入和离开的时间和地点.（4）管理界面:管理一个防火墙

的方法一般来说有两种：图形化界面和命令行界面，我们选择为通过web方式和java等程

序编写的图形化界面进行远程管理。(5）内容过滤:面对当前互联网上的各种有害信息,我们

的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。

（6）防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟

可能通过防火墙的最大数据流量,以bps为单位，从几十兆到几百兆不等。千兆防火墙还会

达到几个G的性能。要充分进行性价比的考虑。（7）用户认证：要建立完善的用户认证机

制，可以指定内部用户必须经过认证，方可访问不可信网络。防火墙可以限定只有授权用户

可以通过防火墙进行一些有限制的活动,可以使用内建用户数据库、外部Raduis数据库或

IP/MAC绑定等多种认证方式，对于内部网络的安全又多了一层保障。

产品选择：CiscoPIX515防火墙

产品特点： CiscoPIX515是业界性能最高的防火墙之一。这种防火墙模块基于PIX技

术，运行PIX操作系统，是一种实时的嵌入式强化系统，可以消除安全漏洞和性能降级损

耗。

假如拓扑图如下(图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、

右口为e0口，路由器的左口为f0/1，右口为f0/0。）:

要求:（1）对防火墙、路由器进行基本的命令配置，使得内网的所有机器能访问外网。(2）

所有内网的主机出口使用防火墙对外的全局地址202.161.1.2(3)所有的外网的主机只能访问

内网的IP地址为192.168。1.10的主机，此主机对外公开地址为202.161.1。5，允许对此主

机进行www、ftp。

其中防火墙的配置：

设置端口安全级别:

nameif e0 outside sec0

nameif e1 inside sec100

设置端口参数：

interface e0 auto

interface e1 auto

配置内外网的IP地址:

Ip add outside 192。168.3.1

Ip add inside 192.168.2.2

设置指向内外网的静态路由：

Nat (inside) 1 0 0

Global （outside) 1 202.161.1.2

Route outside 0。0.0.0 0。0。0.0 192。168。3.2

拓扑图如下：

VPN

什么是VPN？

虚拟专用网络（Virtual Private Network ,简称VPN）指的是在公用网络上建立专用网络的

技术。定义为通过一个公用网络(通常是因特网）建立一个临时的、安全的连接，是一条穿

过混乱的公用网络的安全、稳定的隧道.VPN属于远程访问技术，简单地说就是利用公网链

路架设私有网络。

VPN的特点

安全保障：通过一条隧道，加密技术对数据进行加密，以保证数据安全性和私有性。

服务质量保证：为不同要求用户提供不同等级质量的服务

可扩充性,灵活性：支持Internet和Extrane任何类型的数据流

可管理性：可以从用户和运营商角度进行管理

VPN所用的技术：实现VPN作重要的是在公网上建立虚拟信道。而IP隧道的建立可以是

在第二层链路层。也可以是在第三层网络层.第二层主要是PPP连接。如PPTP,L2TP

第三层是IPSec。