智慧校园网络建设与网络安全研究
来源:用户上传
作者:王振
摘要:网络是构建智慧校园的建设基础,也是搭建智慧应用的平台,与此同时校园中的网络安全问题也频频出现,对校园服务的运行造成损失和不良影响。在充分汲取当前成熟网络通信技术的前提下,该文从校园网络的需求分析人手,为智慧校园网络搭建提出架构性框架,也为校园网络部署和无线覆盖提出具体技术方案,而后针对网络安全问题分析当前的主流网络安全防护策略,最后基于智慧校园网络部署,分析智慧校园应用的方向。
关键词:网络需求;网络架构;无线网络;网络安全
中图分类号:C434
文献标识码:A
文章编号:1009-3044(2020)29-0067-03
1 智慧校园网络需求
在网络信息不断发展的今天,校园网络已成为学校集教学、科研、办公等综合性网络,是实现智慧校园的重要基础设施之一。在为师生提供便捷化网络服务、丰富学生精神生活、开阔学生的眼界、推动教育改革发展等方面起到了至关重要的作用。以现在的技术发展水平,端点千兆光纤可以作为校园网络建设的标配。同时,智慧校园对无线网络的需求日益高涨,有了无线网络的无死角覆盖,教师可以充分开展信息化教学,丰富教学模式,提升学生学习体验并增加互动教学。
校园网络需求包括快速稳定的上网环境、控制网速分配避免网速失衡、用户管理、收费管理、地址管理和行为管理(进行大数据分析)、无线网络无死角覆盖、高效健壮的网络架构(便于后期维护、升级)、支持IPv6协议、使用便捷性、网络安全、网络服务质量(传输的带宽、数据的丢包率、传送的时延)等需求。从根据需求用户种类可以把校园网的用户群分为以下几种。
I)DMZ区:即网络“隔离区”(Demilitarized Zone)。它是为了解决外网用户不能跨过防火墙去访问内部资源的问题,方便外网用户访问校园Web服务器、FTP服务器和论坛等而划分DMZ区。
2)教学办公区:教学部分主要包括教室多媒体网络,可范文校内外所有资源,办公部分包括OA、人事管理、财务管理、物资管理、校园新闻等。
3)实验区:参与实验课程的师生对网络的需求较集中,例如实验教师学生经常需要使用网络科研平台的实验数据用于开展实验教学。
4)宿舍区:师生宿舍主要需求在于聊天、学习、视频及互动游戏。对网速和网络便捷登录管理有要求。
5)服务器区:包括web服务器、文件服务器、数据中心、存储区域、应用服务器等一系列核心服务区;该区域对安全性要求极高。
2 校园网络建设
2.1 网络布局及架构
首先要考虑的问题是关于学院校园网络构架的设计,总体性的结构图即设计校园基础网络拓扑图。框架设计中要充分考虑结构的安全性、高效性、稳定性以及后期的维护升级便捷性。以此来应对技术和需求的发展。当下,较为稳定的网络架构模式当属三层網络构架模式,即核心层、汇聚层与接入层。以现今的技术发展,三层的相关设备都要支持IPv6协议和多协议标签交换MPLS技术,以迎接IPv6的普及并提升安全性。最大化满足网速需求,可实现“接入层千兆”,进而“汇聚层万兆”“核心层十万兆”的高速三层网络构架。
1)核心层:对外与互联网服务提供商连接,采用lOOGE核心交换机双机热备。
2)汇聚层:依据校园内建筑位置和终端使用量进行交换机配置,对上衔接核心交换机。
3)接人层:承载终端设备的接人,根据终端数量配置接人层交换机,对上衔接汇聚层交换机。
虽然FTTH(光纤)时代已经到来,但根据校园网络有“分区域密集”的使用特点,网络设计可采用FTTB( Fiber To TheBuilding,即“光纤到楼”)模式。它采用光纤直接通到大楼,再用双绞线接到网口或AP的方式。如图1所示。
一般校园网络中要配置两台核心交换机以此来确保实现双机热备功能。主核心有故障直接切换到备核心,增加网络运行稳定性。另一作用是两台核心同时运行还可以做成负载模式,进而确保网速稳定和加大网络带宽。
关于布线的选择,可采用PON(Passive Optical Network:无源光纤网络),PON是接入网方式的未来发展方向,已经在社会上得到广泛认同,其在满足用户带宽需求和稳定性的同时,在设备成本和运维治理开销方面,其费用也相对较低。目前,有两个颇为引人注目的PON标准已正式发布,其中一个是ITU/FSAN制定的Gigabit PON(GPON)标准,另一个是由IEEE802.3ah工作组制定的Ethenet PON(EPON)标准‘”。现就EPON与GPON的性能进行对比分析。EPON和GPON各有千秋,从性能指标上GPON要优于EPON,但是EPON拥有了时间和成本上的优势,GPON正在迎头赶上。这两种技术标准在未来市场中会同时存在,客户根据自身需求进行选择。如果客户更关注成本,而对安全性和网络服务质量要求不高,则EPON更加适合。反之,如果客户对安全性和网络服务质量有较高要求,则更适合GPON。校园的核心服务对安全性要求很高,故而GPON会更加适合高职院校。
另一方面,随着校园网络管理观念从服务角色到运营角色的转变,认证计费管理系统在网络中的位置日益重要,它也是实现运营管理的关键。认证计费管理系统应为每个上网用户提供准确、翔实的计费数据;并且应为校园网络运营管理部门提供便捷、灵活的认证计费方案。认证计费系统应支持Web方式认证、PPPOE认证、基于端口或基于MAC地址的802.lx等多种认证方式,方便运行部门选择。可以完成用户的身份验证、访问授权、上网控制、计费信息采集、用户管理、计费管理、费用结算以及营业点受理和客户查询服务等多种功能[2]。从模块上划分,可以分为认证及计费信息实时采集模块、数据库模块、管理模块、账务模块。从功能上划分,可以分为认证功能、计费功能、管理功能以及账目结算功能[3]。为了实现计费功能的便利化使用普及,计费认证方式应采用Web方式实现,这种认证方式可以为校园网络用户带来更加便捷的体验。 2.2 无线网络部署方案
随着移动互联设备以及各种无线办公设备普及,校园网络应将无线网络作为有线网络的延伸和补充,实施全园区统一覆盖和无缝衔接。与此同时,无线网络的铺设是利用已有的有线网络结构,实现对终端设备的网络覆盖。校园将所有区域进行无线覆盖,包括教学楼、实验楼、办公楼、餐厅、教生公寓、操场及所有室外区域。根据实际需求和前沿的无线网络技术,定如下方案。
整个校园将借助已有成熟的有线网络结构,在此基础上拓展无线网络部署。终端应采用支持Wi-Fi 6协议的AP,Wi-Fi 6部署成本低,具有高密接入的功能,并且向下兼容无线设备。当今的无线网络协议发展趋势是更高速更稳定802.11协议族,AP应选用最新协议,该协议会向下兼容老旧协议设备,方便移动设备入网。采用瘦AP+AC组网模式,室内AP为支持802.llax标准(及向下兼容)的无线接人点,同时接人层可选择PoE交换机简化供电;室外为支持802.llac wave2标准的室外型无线接入点,适用于场馆、操场等高密覆盖场景。同时面向校园部署高性能无线接入控制器(AC,Access controller)。用AC对校园内的所有AP集中管理和控制,统一监控并配置AP;高性能AP具有漫游引导、无损续传功能,为校园内移动用户带来良好体验,同时为校园移动设备部署和升级提供基础,全校师生可以采用“用户名+密码”的方式实现网络接人,如图2所示。
无线用户接入WLAN利用Portal认证的方式,可以配合认证计费系统进行基于Web方式的身份认证,实现便捷的网络用户计费管理[4]。
3 校园网络安全
随着校园服务应用的不断增加,网络接人方式多样,接人设备种类繁多;网络安全问题逐渐凸显。其在整个网络中的角色日益重要,全方位地分析潜在网络威胁是防患的前提,网络威胁主要包括:远程访问链接、网速分配不均、外网攻击、病毒和木马的传播、内部用户的不安全访问行为;针对这些问题有以下一些解决途径。
1)划分DMZ区
DMZ( Demilitarized Zone)区翻译为隔离区,该区除具有方便外网用户访问校园Web服务器、FTP服务器和论坛等功能外,还具有介于非安全系统与安全系统之间的缓冲作用。该缓冲区一般会放置校园门户服务器、文件服务器等用于校外用户和远程办公相关的服务。这些服务信息相对公开,不具有保密性,位于校园内部网络和外部网络之间。正是因为这种设置,减少了对内部网站的访问,增加了内部信息的安全性,是一种低成本、高效的网络安全方式。
2)智能防火墙
传统的防火墙可以实现对已知的、受过签名的威胁进行阻断和防御,而目前的大部分攻击程序更新较快,并且隐匿于加密的数据中进行网络传播;智能防火墙出现在防御已签名的攻击基础上,联合调动其他网络安全设备,可实现主动防御,拦截未知风险的攻击行为。与此同时,相对于传统防火墙,智能防火墙的性能大大提高,应对高频、未知的攻击表现更加稳定。
3)安全接入网关
随着当今网络业务的迅速发展,校园必须扩展其内网应用服务资源和数据资源的访问领域,以满足越来越多的远程接人需求,比如分支机构接人、合作伙伴接人、学生接入、教职工接人、移动办公接人、居家办公接人等[5]。网络环境方面包括分支机构网络、合作伙伴的网络接人,还有分散的、未受有效管理的家庭网络以及公共Wi-Fi、移动网络接入;使用的接入设备类型也越来越丰富,除了传统的固定接入终端(包括PC和便携机)外,智能终端设备接入校园网络的需求也逐步增强;安全接入网关的接人便能应对这些接人需求;同时安全接入网关应提供快速及时的业务能力,确保各种复杂的网络环境以及使用不同接人终端合法用户的接人,能够快速方便安全地访问内网校园信息资源,同时确保校园内网的安全性。先进的智能网关还可以抵御DoS/DDoS攻击,通过对大量的攻击数据进行分析和计算,可快速响应来自外部的恶意攻击。
4)上网行为管理系统
上网行为管理系统面向校园数据中心以及各类无线非经营性场所,系统一般包括对多种应用程序控制、审计和优化等功能,为校园运营管理部门提供精准、详细的用户上网行为管理解决方案。该上网行为管理系统应精准识别炒股软件、视频平台软件、P2下载、游戏等多种应用,还应具备多级、灵活的管理方式,精确阻断、多级流控实现稳定带宽的目的。同时,这种系统应包括灵活、细致、小粒度的应用管理和详尽的日志、报表记录功能,帮助提升网络管理工作效率、营造安全办公环境。
5)入侵防御系统
目前较为主流的攻击方式是APT( Advanced PersistentThreat,高级持续性威胁)攻击,这种攻击可以校园网络为目标,针对校园发动网络攻击和侵袭。其目标是访问校园网络、获取数据,并长期地秘密监视目标计算机系统。APT攻击已经成为网络安全必须考虑的隐患。因其独特的攻击方式和手段,传统的安全防御工具无法有效防御。典型的APT攻击,在实施APT攻击的过程中,共有以下八个步骤:(1)外部侦查;(2)渗透;(3)内部侦查;(4)扩大访问;(5)收集数据;(6)数据窃取;(7)命令与控制;(8)擦除痕迹f6]。一旦攻入校园内部,黑客能在校园内部持续横向渗透,收集敏感信息并回传,造成巨大的损失;故而校园需配置专业入侵防御系统加以应对。
6)VPN网关
无论是教职工、校园合作企业还是学校的监督管理部门都有访问校园内部资源的需求,满足这些需求则需要部署支持虚拟专用网(VPN)的安全接入网关。VPN技术具有接人安全、低成本、灵活度高等特点,可以满足远程访问的需求。登录VPN可采用Web页面方式登录,通过浏览器直接访问的方式最为简单,用户无须安装软件即可使用,输入统一管理的账号和密码即可安全地访问校园内部网络资源。应选取VPN领域品牌可靠,功能完善,性能稳定的设备进行部署。智能安全接入网关应支持多种VPN接人类型,包括SSL VPN、IPSec VPN、GREVPN、L2TP VPN,帮助客户部署一体化VPN解决方案,根据实际的业务需求选择最适用的VPN技术来满足安全接人需求。总结以上如表1所示。
4 结束语
网络行为监控及管理可实现行为分析,通过大数据分析师生网络行为习惯,进而指导教学、教育活动;改善教学方式方法并且引导学生的学习兴趣,进而提升教学水平。与此同时,随着物联网技术发展,终端设备可达到全天候、智能化水平,物联网借助快捷安全的网络实现校园终端人性化智能响应;为校园安保、后勤保驾护航。与此同时,校园网络管理部门随着观念、技术不断提升,应该由“网络服务角色”提升到“网络运营角色”,提升网络运营效率和收益。大数据、物联网、网络运营借助完善的校园网络可实现校园从“数字时代”到“智能时代”的跨越。智慧校园借助网络已从服务层面提升到数据分析层面,为学校的科研、教学和学生管理提供数据支撑,是各方面改革决策的依据,最终达到提升校园管理水平、提升学校核心竞争力、全面提高学生综合素质的目标。
参考文献:
[1]陈红雁,宽带接入新模式[Jl.城市建设理论研究(电子版),2011(27).
[2]金巧娟,高校电子阅览室在有偿服务机制下的建设管理策略[J].中国科技信息,2008(9):150-151,153.
[3]郭东,鄭烇,殷保群,等.基于P2P媒体内容分发网络中分布式节点的设计和实现[Jl,电信科学,2008,24(8):45-49.
[4]张伶.中职院校校园无线网络方案的研究与设计[D].郑州:郑州大学,2017.
[5]刘清毅.浅谈防火墙在网络安全中应用[Jl.电子测试,2015(3):71-73.
[6]刘之滨,王通,刘书勇.基于APT攻击全过程的检测技术框架[C]//全国信息安全等级保护技术大会,2015.
【通联编辑:代影】
转载注明来源:https://www.xzbu.com/8/view-15358702.htm
