校园网络安全策略

校园网出口安全措施

分段式纵向防御保护

校园网出口部署了双冗余的Cisco PIX535防火墙，把校园网络分成三个隔离网段：校园内部各功能网、DMZ区、Internet。通过防火墙的隔离，防止了跨网攻击、网络间干扰等安全隐患，同时病毒的感染范围也可以得到有效的控制，使各网段的安全性大大提高。

校园网的核心交换机采用两台带有IDS模块的Catalyst 6500高性能交换机，通过IDS模块，增强对业务网的安全监控。

办公自动化网（OA）是安全的关键部分，也是产生内部安全隐患的主要环节。所以OA网采用F5 BigIP和Cisco的Pix防火墙。F5 BigIP实现OA内部服务器之间的负载均衡 ，防火墙用来分隔办公自动化系统的三层结构（即Web、Application、database），严格保护数据库的安全。

分层的横向防御保护

成功的安全解决方案应该在整个网络基础设施上采用集成化保护，而不能只考虑某些专用的安全性设备。因此，华东师范大学校园网实施了立体的集成化安全防御。整个校园网就采用了包括路由器、防火墙和交换机在内的三层集成化的安全防御。

第一层防护由边界路由器实现。边界路由器提供Internet与校园网的连接，学校的DNS服务器、WWW服务器和E-Mail服务器等一起位于PIX防火墙的DMZ区。为了对这些服务器提供有效的安全保障，防止外部用户对服务器进行非法操作，对服务器的内容进行删除、修改等破坏，必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能，可限制外部用户对各服务器进行的操作，从而防止各服务器受到来自外部的破坏。

第二层防护由PIX防火墙保障。PIX防火墙将企业内部网和外部完全分开，PIX是内部各网络子系统对外的惟一出口。通过使用PIX防火墙隔离内、外网络，更进一步保障了内部网络的安全。

PIX对所有的访问都可提供完整的记录，包括非法入侵尝试。PIX实现了从网络层到应用层的安全保护，可通过对数据包源点地址、目的地址、TCP端口号和包长等因素对通信进行控制，禁止任何非法访问。

第三层防护由交换机提供。管理人员对Catalyst 6500核心交换机部署了IDS和防火墙模块，对复杂的内部网进行有效的安全监控，这是抵御外部攻击的第三道屏障，也是防止内部攻击的有利手段。内部各网段之间采用Cisco的防火墙模块进行隔离。对于内部的服务器，则置于防火墙的保护之下，对一些重要的处室（如财务处、教务处、招生办等）也将他们位于防火墙的保护之中，校内用户无法访问这些处室的桌面机以及服务器，除非有特别的开放。

无线网络安全措施

无线网络是一个开放的网络，在安全性和易用性方面必须做出一些折中。我们的方案如下：对于每个AP，设置双SSID，其中默认的SSID使用Portal验证，首先通过AP设置各移动站之间进行端口隔离，使他们之间不能互相访问；如果用户需要访问网络，我们通过CAMS系统弹出Portal页面让用户认证，用户只有在认证通过后才能出网关进行访问。用户如果需要获得更高的安全性，则选择另外一个SSID，通过802.1x认证，在移动站以及基站之间进行数据的加密。

用户终端IP地址安全措施

目前我校师生的终端电脑采用DHCP获得IP地址，地址取得后可以无限制访问校内的资源。如果需要访问校外资源，学校“网络验证系统”自动弹出认证页面让用户完成认证。为了防止用户私自建立DHCP服务器造成网络管理的混乱，我们选用了支持DHCP Snooping功能的接入交换机，用户的IP地址分配只能来自网络中心，而不能来自非法的IP地址提供者。对于学校的职能部门，因为存在一些专用服务器，为了防止用户将IP地址手动设置成服务器的地址而造成冲突，职能部门的接入交换机全部采用支持IP SourceGuard的交换机，用户必须从DCHP服务器取得IP地址才可进行通信，私自设定IP地址将会自动被交换机禁止。

用户终端系统安全措施

用户桌面的安全包含两个方面：一个是操作系统的安全性，一个是应用程序的安全性。

针对操作系统的安全性，为了能使用户的桌面机及时获得更新的操作系统补丁，我们在校内安装了Windows更新服务器，每天凌晨定时从微软网站同步下载补丁程序，并及时下发给广大客户机。

应用程序的安全性主要在于防止机器中病毒以及恶意程序的影响，针对病毒影响，我们采用了两层安全模式：一是提供专门的网站，用户直接从网络上下载Norton的企业版客户端，安装后由Norton服务器统一下发更新病毒库更新程序；另外一个是我们在校园网出口以及各个汇聚节点放置基于集群的病毒网关，一旦发现下联的客户机有中毒的症状，则主动切断用户的连接，并将用户的Http强行定向到网络在线杀毒站点进行查杀病毒，并通过自行编写的ActiveX控件更改客户端的注册表，使Windows客户端的自动更新自动指向校内更新服务器。为了防止恶意程序的影响，我们在校内网站的醒目位置提供Windows Defender供用户下载。

服务器系统的安全措施

对于Windows操作系统的服务器，采用Windows自动更新服务预防操作系统的漏洞。对于UNIX操作系统，网络管理人员时刻关心相关厂商的网站上的补丁列表，及时为系统打上相应的补丁。

邮件系统的安全措施

学校的邮件系统采用Eyou的产品，我们在Eyou系统中内嵌了杀毒软件，对用户的邮件直接进行病毒的查杀。对于出入学校的邮件，我们采用美讯智的邮件网关，对出入学校的邮件进行垃圾邮件检查、病毒检查。