关于我校网络建设的安全分析

关于我校网络建设的安全分析

随着网络的高速发展，网络的安全问题日益突出，近年来，黑客攻击、网络病毒等屡屡曝光美国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是，在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在‘‘重技术、轻安全、轻管理’’的倾向。随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体。

随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨涨，网络用户的快速增长，尤其是校园网络所面对的使用群体的特征性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律的意识相对淡泊），如何保证校园网络能正常的运行不受各种网络的侵害成为各个高校不可回避的一个紧迫问题。

我校安徽财经大学（Anhui University Of Finance）位于安徽省蚌埠市，是一所以经、管、法学为主，跨文学、理学、工学、史学、艺术学八大学科门类，面向全国招生、就业的多科性高等财经院校，是安徽省重点建设的大学。学校于1959年5月始建于安徽合肥，时名为安徽财贸学院。2004年5月，经教育部批准，学校更名为安徽财经大学；同年9月，学校迁入龙湖东校区。学校现有交通路校区、龙湖西校区、龙湖东校区三个校区，占地总面积1014050平方米，固定资产总值742503万元，图书藏量201.3万册，各类中、外文期刊1700余种。如此庞大的学校拥有者自己独立的校园网络，也有着过万的用户，那么校园网络安全是必不可缺的，为此，我们特别去校园网络机房做了一项调查去查找我校校园网络的安全漏斗并加以提出意见。

提到校园网络，我们必须了解什么是校园网络。信息技术樱井引起了全面而深刻的社会变革，为此，世界各国政府都对教育的发展给予了前所未有的关注，把新计划教育放到重要的位置上，纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题，而且十分重要的是，学校应该处于影响整个社会深刻变革的中心地位。因此校园网络信息系统的建设是很有必要的，我校校园网建设主要体现在一下几个方面：

1、当前校园网络信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和习作工作的阶段。

2、教育信息量不断增多，学校对教育信息服务极度重视。 3、提供了各种在网络上运行的软件以及多媒体系统，并且越来越形象化、实用化。

什么是校园网络安全？

网络安全是一门涉及计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息化等多种学科的综合性学科。网络的生命在于其安全性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了

校园网络管理人员的一个重要课题。

我们学校目前网络建设概况：我校园网一期工程于2001年10月份建成并投入运行，至2005年结束。一期校园网网络投资800多万元，组建了网络中心，配置了Cisco 6509骨干千兆交换机一台，Cisco 4507 汇聚交换机俩台，锐捷RG-S6506 汇聚交换机俩台，Cisco 3602路由器一台，一台SUN450作为数据库服务器，一台SUN250作为邮件服务器，另一台SUN250作为DNS服务器，一台HP3000作为www服务器，在校园网的各个楼宇（如综合楼、实验楼、办公楼、图书馆等）购买了25台Cisco3550-48、40台锐捷S3750-48交换机作为接入交换机，一期校园网已经初具规模；二期校园网改造工程项目于2006年3月启动，由于网络需求的不断扩大，原有的设计能力远远不能满足日益增长的教学，科研和管理的需要，2006年6月，对校园网进行升级，改造，并在龙湖东校区的图书馆新建网络中心核心机房，同时购买核心交换机Cisco7609俩台，Cisco6509一台，IBM 560Q小型机一台，IBM DS4800光纤存储一台，H3C IP存储器一台，各类服务器20多台。实现了东西校区双核心交换机万兆高速互连，千兆到楼，百兆到桌面。目前，已布设信息点25400个；已开通建筑物80栋；三个校区工铺设光缆63.5公里，提供了多种网络服务：目前校园网对外出口有三条：一条100兆光纤与安徽省教育科研网互连，另外俩条100兆光纤连接到Internet，使我校的对外出口带宽达到300兆，实现了与中国教育科研网，Internet的高速互连。满足了本科教育的网络规模和覆盖范围。具有如下一些特点：

1、网络规模大，设备多。从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备。

2、校园网通常是双出口结构，分别与 Cernet、Internet 互联。

3、用户种类丰富。按用户类型可以划分为教学区（包括教学楼、图书馆、实验楼等）、办公区（包括财务处、学生处、食堂等）、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。

4、应用系统丰富。校园网单位众多，有很多基于局域网的应用，子系统众多，我校有教务系统，图书馆管理系统，学生档案管理系统，财务系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用，如WWW、E-MAIL等，需要和INTERNET的交互。各种应用服务器，如DNS，WWW，E-MAIL，FTP等与核心交换机高速连接，对内外网提供服务。

同时具有非常完备的硬件设施，主要有一下设备： 1、Web应用防火墙

生产厂家：天存信息

型号：iWall应用防火墙WAF 1000

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。

一、产品概述

通常，网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据（如URL、参数、链接、Cookie、请求行、头部信息、载荷等），区分正常用户访问Web应用和攻击者的恶意行为，对攻击行为进行实时阻断和报警。

iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。

iWall应用防火墙在安全防护体系中的位置和作用如下图所示：

二、工作原理

iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查，确保所有攻击行为被拒之门外。

天存HTTP安全模型采用匹配引擎和安全规则分离的方式。其工作过程如下所示：

三、产品特性 1.二阶段检查

漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。由于天存复杂匹配引擎支持多阶段多流程处理，因此天存核心规则集可以使用二阶段检查技术：对99%的正常访问可以初查后快速通过，对初查不合格的1%的可疑访问可以复杂匹配，精确识别。

2.加扰去除

黑客为了绕过应用安全程序或系统的检测，往往将攻击数据加扰（增加噪声）后提交。天存核心规则集可以有效识别和剔除加扰数据，包括：识别并压缩空格、识别并替换注释、大小写转换等。

3.编码识别

由于黑客攻击或者应用自身的需要，请求数据可能采用各种方式进行编码。天存核心规则集可以识别多种编码数据并进行解码，包括：HTML实体解码、URL解码、Unicode解码等。

4.多规则支持

支持任意多个规则集，可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集，并对其中的任意规则进行单独忽略，实现细粒度的安全配置。 四、优点特点分析

全面防御WEB应用层攻击如下图所示：

Iwall WAF1000的优点和特点为：iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。 iWall应用防火墙使用了Web服务器核心内嵌机制、独立引擎规则驱动、数据预处理、两阶段模型、复杂匹配等多种先进技术，大幅减少误判和漏报，达到准确性和效率的平衡，并提供良好的用户自定义和扩充性。

2、 内网防火墙

内网防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其

他外部网络互相隔离、限制网络互访用来保护内部网络。我们学校内网防火墙使用的是HilStone（山石网科）的SG-6000 M3108和SG-6000 X7180。两台防火墙均属于山石网科下一代防火墙——千兆桌面型，下面将分别进行介绍：

1、内网防火墙 SG-6000 M3108 生产厂家：山石网科 型号：SG-6000 M3108

1.内网防火墙 SG-6000 X7180

生产厂家：山石网科 型号：SG-6000 X7180 2.两者综合概述

SG-6000是Hillstone公司全新推出的新一代多核安全网关系列产品。其基于角色、深度应用的多核Plus?G2安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3108处理能力高达1/2Gbps，广泛适用于企业分支、中小企业等机构，可部署在网络的主要结点及Internet出口，为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSLVPN、应用带宽管理、病毒过滤、入侵防御、网页访问控制等安全服务。产品亮点： （1）安全可视化

网络可视化：通过StoneOS?内置的网络流量分析模块，用户可以图形化了解设备的使用状况、带宽的使用情况以及流量的趋势，随时、随地监控自己的网络，从而对流量进行优化和精细化的管理。

接入可视化：StoneOS?基于角色的管理(RBNS)模块，让网络接入更加精细和直观化，实现了对接入用户更加人性化的管理，摆脱了过去只能通过IP地址来控制的尴尬，可以实时地监控、管理用户接入的状态，资源的分配，从而使网络资源的分配更加合理和可控化。 应用可视化：StoneOS?内置独创的应用识别模块，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，即使加密过的数据流也能应付自如。StoneOS?识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用，应用特征库通过网络服务可以实时更新。