园区网络系统安全设计方案

Vol.28No.2

Feb.2012

赤峰学院学报（自然科学版）Journal of Chifeng University （Natural Science Edition ）网络的日新月异，对实现资源共享、加快信息处理、信息资源分配和提高工作效率都在不同层度起到了不可估量的作用.但是，自互联网问世以来，信息安全与资源共享一直处于相对矛盾的状态，随着网络资源共享的进一步推广和加强，网络安全问题也日益突出.一个园区网络经常不可避免地受到恶意软件、病毒、黑客入侵等的安全威胁和攻击，造成数据篡改丢失、

网络瘫痪、系统崩溃等一系列严重后果.因此，如何确保园区网络正常、高效和相对安全地运行是所有企业园区、高校校园网都面临的问题，保证网络安全问题势在必行.

目前主流绝大数网络系统均采用一种分层次的拓扑结构，因此分层次的网络安全防护对园区网络来说也显得十分必要，即一个完整的园区网络安全设计方案应该覆盖网络的各个层次，同时必须考虑到安全管理等人为因素.根据当前园区网络的应用现状和网络的结构，本文提出一个分接入层、汇聚层、核心层、系统应用层和安全管理多个层次的安全设计方案.1接入层安全设计

1.1

物理层安全

物理安全是指保护计算机网络设备、设施以及

其它媒体免遭地震、水灾、火灾等自然环境事故以及人为操作失误或错误导致的破坏过程.物理层安全是保证网络系统安全的前提，在实践过程中，根据Sage Research 的一项研究，可达80%的网络故

障都归结于物理层连接.针对网络物理层存在的各种安全隐患，改善校园网的物理环境，主要需要做如下几项工作：（1）温度控制，增加湿度控制；完善防雷和防静电措施等保证设备环境良好；（2）对物理层实时监控，监视所有物理层链接，确保当发生故障时，管理员迅速了解故障位置并恢复故障；（3）保障和完善主机房电源供应，确保备用电源切换正常；（4）与保安等相关保全部门合作，监控保障通信线缆安全.1.2

使用虚拟局域网实现网络隔离

虚拟局域网VLAN （Virtual local area network ）是一种将局域网设备从逻辑上划分成多个网段，从而实现虚拟工作组的数据交换技术.通过VLAN 技术，网管可以根据实际应用需求，把同一个物理实际局域网中的用户从逻辑上划分成多个不同的广播域，这划分出的每个广播域即VLAN.不同的VLAN 是不能相互通信的，若需要通信必需得经过三层路由转发，这样从某种程度说保证了安全性.同时广播和组播流量也被限定在自己VLAN 中，不会转发到其它VLAN 中.

园区网可以根据网络用途或者不同楼宇和地理位置合理VLAN 划分，调整相关网络拓扑，使学生宿舍区、

网络中心、服务器群区、办公区等区域更明确的划分，这更有利于安全策略的实现和网络管理.例如宿舍楼每一楼层可以单独划到一个VLAN.VLAN 间相互通信可在汇聚层通过路由实现.通过

园区网络系统安全设计方案

商伶俐

（安徽农业大学

信息与计算机学院，安徽

合肥230036）

摘要：互联网的普及和大型企业园区、校园网络建设的不断发展，对加快信息处理、资源共享、充分利用资源和提高工作效率都起了不可估量的作用.但随着病毒的泛滥、

网络入侵的多样化、以及黑客的增多，园区网络的安全已成为不容忽视的问题，如何在开放网络环境中保证网络系统的安全性已经成为当今十分迫切的问题.本文针对园区网络中可能存在的安全风险，提出了多层次的园区网络安全系统的设计方案.

关键词：园区网络；虚拟局域网；访问控制列表；虚拟专用网中图分类号：TP393

文献标识码：A

文章编号：1673-260X （2012）02-0135-03

第28卷第2期（上）

2012年2月135--

在接入交换机上对VLAN进行配置，这样就完成校园网最基本的局域网的划分，以保证整个网络的正常运行，同时为防火墙系统、访问控制的部署打下坚实的基础.

2汇聚层安全设计

2.1采用访问控制技术

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包.ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等.这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制.园区网络的出口安全控制上通常应用ACL，在实施ACL后，园区网络出口安全策略可以得到有效实现.对于园区网络来说，计算机病毒的危害是巨大的，因为传播速度快，往往来不及控制.例如，蠕虫病毒、“冲击波”病毒等病毒数据的传播，面临种种病毒威胁，可在分析病毒原理后，在接入层或汇聚层交换机上配置相关的ACL 关闭相关端口如4444、135、139等.

2.2进行传输链路备份

传输链路的备份是提高网络系统安全性可用性的实用方法.当前的相关流行技术中最为广泛的为链路聚合（Link Aggregation）技术.链路聚合技术提供了某一条传输线路内部的冗余机制，几条链路聚合的链路彼此互为冗余备份.链路聚合技术其原理是使两台网络设备间的数条物理链路从逻辑上合并成一条逻辑上的数据链路.例如将主备交换机之间物理链路Link a、Link b和Link c聚合成一条聚逻辑链路.这条链路在逻辑上一条完整的链路，对上层服务来说其内部组成和数据传输都是透明的.聚合链路的内部物理链路同时完成数据收发并且互相备份.只要其中一条物理链路仍在正常工作，这条聚合的传输链路就不会断路.如Link a与Link b先后断路，通过它们的数据会立即通过Link c传输，从而确保了两台设备间的通信不会中断.

3核心层安全设计

3.1防火墙技术

防火墙是一种隔离控制的技术，在某个机构网络与不安全网络之间设立一些障碍，阻碍对信息资源的非法访问，使用防火墙还可以阻止机密信息资源从企业的内部网络中被非法偷取输出.园区网络为了保护信息系统的安全性，在内部网与互联间安设防火墙软件.企业的信息系统采用有选择性的接收方法应用于来自互联网的访问.它能够容许或者禁止一类详细的IP地址访问，还能够接收或者拒绝TCP/IP上某一类具体的应用.若在任意某一台IP主机上有需要一些禁止的信息资源或危险陌生的用户，则能够通过设置使用防火墙过滤掉从这个主机发送出的包.若某个企业只是应用互联网的电子邮件和WWW服务器向外部提供信息资源，那就能在防火墙上设置使只有这两类的应用数据包能够通过.对于路由器来说，这不仅需要分析IP层的信息，而且还需要进一步认识TCP传输层甚至是应用层信息来进行取舍.

3.2VPN的应用

VPN--虚拟专用网（Virtual Private Network）是专用网络在公共网络如Internet上的扩展.VPN 通过私有隧道技术在公共网络上仿真一条点到点的专线，从而达到安全的数据传输目的.虚拟专用网不是真的专用网络，但却能够实现专用网络的功能.虚拟专用网的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术.在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的.目前在园区网络建设中可采用两大远程安全接入技术，IPSec VPN和SSL VPN技术，同时组网来满足内外用户的需求.通过相关技术，可以使用IP机制仿真出一个私有的广域网，通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术.

4系统应用层安全设计

4.1系统安全设计

该层次的安全问题主要来自网络内使用的操作系统的安全，主要表现在三方面，一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁.

针于操作系统可能存在的安全问题，需要进行下列工作：（1）安装补丁.没有一个操作系统是绝对安全的，任何操作系统都会有这样或那样的漏洞(Bug)，保障操作系统安全的办法只有通过不断打补丁才能实现.为了保障Windows系列操作系统的安

136 --