校園網絡安全策略

校園網出口安全措施

分段式縱向防御保護

校園網出口部署了雙冗余的Cisco PIX535防火墻，把校園網絡分成三個隔離網段：校園內部各功能網、DMZ區、Internet。通過防火墻的隔離，防止了跨網攻擊、網絡間干擾等安全隱患，同時病毒的感染范圍也可以得到有效的控制，使各網段的安全性大大提高。

校園網的核心交換機采用兩臺帶有IDS模塊的Catalyst 6500高性能交換機，通過IDS模塊，增強對業務網的安全監控。

辦公自動化網（OA）是安全的關鍵部分，也是產生內部安全隱患的主要環節。所以OA網采用F5 BigIP和Cisco的Pix防火墻。F5 BigIP實現OA內部服務器之間的負載均衡 ，防火墻用來分隔辦公自動化系統的三層結構（即Web、Application、database），嚴格保護數據庫的安全。

分層的橫向防御保護

成功的安全解決方案應該在整個網絡基礎設施上采用集成化保護，而不能只考慮某些專用的安全性設備。因此，華東師范大學校園網實施了立體的集成化安全防御。整個校園網就采用了包括路由器、防火墻和交換機在內的三層集成化的安全防御。

第一層防護由邊界路由器實現。邊界路由器提供Internet與校園網的連接，學校的DNS服務器、WWW服務器和E-Mail服務器等一起位于PIX防火墻的DMZ區。為了對這些服務器提供有效的安全保障，防止外部用戶對服務器進行非法操作，對服務器的內容進行刪除、修改等破壞，必須對外部訪問的操作進行嚴格控制。利用Cisco路由器所具有的防火墻功能，可限制外部用戶對各服務器進行的操作，從而防止各服務器受到來自外部的破壞。

第二層防護由PIX防火墻保障。PIX防火墻將企業內部網和外部完全分開，PIX是內部各網絡子系統對外的惟一出口。通過使用PIX防火墻隔離內、外網絡，更進一步保障了內部網絡的安全。

PIX對所有的訪問都可提供完整的記錄，包括非法入侵嘗試。PIX實現了從網絡層到應用層的安全保護，可通過對數據包源點地址、目的地址、TCP端口號和包長等因素對通信進行控制，禁止任何非法訪問。

第三層防護由交換機提供。管理人員對Catalyst 6500核心交換機部署了IDS和防火墻模塊，對復雜的內部網進行有效的安全監控，這是抵御外部攻擊的第三道屏障，也是防止內部攻擊的有利手段。內部各網段之間采用Cisco的防火墻模塊進行隔離。對于內部的服務器，則置于防火墻的保護之下，對一些重要的處室（如財務處、教務處、招生辦等）也將他們位于防火墻的保護之中，校內用戶無法訪問這些處室的桌面機以及服務器，除非有特別的開放。

無線網絡安全措施

無線網絡是一個開放的網絡，在安全性和易用性方面必須做出一些折中。我們的方案如下：對于每個AP，設置雙SSID，其中默認的SSID使用Portal驗證，首先通過AP設置各移動站之間進行端口隔離，使他們之間不能互相訪問；如果用戶需要訪問網絡，我們通過CAMS系統彈出Portal頁面讓用戶認證，用戶只有在認證通過后才能出網關進行訪問。用戶如果需要獲得更高的安全性，則選擇另外一個SSID，通過802.1x認證，在移動站以及基站之間進行數據的加密。

用戶終端IP地址安全措施

目前我校師生的終端電腦采用DHCP獲得IP地址，地址取得后可以無限制訪問校內的資源。如果需要訪問校外資源，學校“網絡驗證系統”自動彈出認證頁面讓用戶完成認證。為了防止用戶私自建立DHCP服務器造成網絡管理的混亂，我們選用了支持DHCP Snooping功能的接入交換機，用戶的IP地址分配只能來自網絡中心，而不能來自非法的IP地址提供者。對于學校的職能部門，因為存在一些專用服務器，為了防止用戶將IP地址手動設置成服務器的地址而造成沖突，職能部門的接入交換機全部采用支持IP SourceGuard的交換機，用戶必須從DCHP服務器取得IP地址才可進行通信，私自設定IP地址將會自動被交換機禁止。

用戶終端系統安全措施

用戶桌面的安全包含兩個方面：一個是操作系統的安全性，一個是應用程序的安全性。

針對操作系統的安全性，為了能使用戶的桌面機及時獲得更新的操作系統補丁，我們在校內安裝了Windows更新服務器，每天凌晨定時從微軟網站同步下載補丁程序，并及時下發給廣大客戶機。

應用程序的安全性主要在于防止機器中病毒以及惡意程序的影響，針對病毒影響，我們采用了兩層安全模式：一是提供專門的網站，用戶直接從網絡上下載Norton的企業版客戶端，安裝后由Norton服務器統一下發更新病毒庫更新程序；另外一個是我們在校園網出口以及各個匯聚節點放置基于集群的病毒網關，一旦發現下聯的客戶機有中毒的癥狀，則主動切斷用戶的連接，并將用戶的Http強行定向到網絡在線殺毒站點進行查殺病毒，并通過自行編寫的ActiveX控件更改客戶端的注冊表，使Windows客戶端的自動更新自動指向校內更新服務器。為了防止惡意程序的影響，我們在校內網站的醒目位置提供Windows Defender供用戶下載。

服務器系統的安全措施

對于Windows操作系統的服務器，采用Windows自動更新服務預防操作系統的漏洞。對于UNIX操作系統，網絡管理人員時刻關心相關廠商的網站上的補丁列表，及時為系統打上相應的補丁。

郵件系統的安全措施

學校的郵件系統采用Eyou的產品，我們在Eyou系統中內嵌了殺毒軟件，對用戶的郵件直接進行病毒的查殺。對于出入學校的郵件，我們采用美訊智的郵件網關，對出入學校的郵件進行垃圾郵件檢查、病毒檢查。