郭寶軍

（蘭州交通大學(xué)博文學(xué)院，甘肅蘭州，730101）

1 網(wǎng)絡(luò)安全方案設(shè)計(jì)概述

（1）設(shè)計(jì)和保證內(nèi)網(wǎng)的安全：為了保證學(xué)院網(wǎng)絡(luò)的安全，首先就要保證內(nèi)部網(wǎng)絡(luò)的安全，它主要是實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全防范。其中包括有效阻止內(nèi)部人員的非法訪問(wèn)，控制和處理網(wǎng)內(nèi)的病毒傳播及對(duì)內(nèi)網(wǎng)的攻擊等。（2）設(shè)計(jì)和保證接入網(wǎng)絡(luò)的安全：它主要是實(shí)現(xiàn)我們接入的網(wǎng)絡(luò)要安全，另外一些不是校園網(wǎng)的用戶。例如遠(yuǎn)程用戶，出差在外的校園用戶及非本校園網(wǎng)內(nèi)之用戶可以通過(guò)Interent來(lái)訪問(wèn)我院校內(nèi)的網(wǎng)絡(luò)資源。（3）設(shè)計(jì)和保證各區(qū)的安全：根據(jù)設(shè)計(jì)思想劃分的個(gè)相關(guān)區(qū)域的網(wǎng)絡(luò)安全。我們學(xué)院的校園網(wǎng)被分為教學(xué)樓辦公區(qū)、網(wǎng)絡(luò)數(shù)據(jù)中心區(qū)、廣域網(wǎng)連接區(qū)，學(xué)生接入?yún)^(qū)等，它主要是實(shí)現(xiàn)對(duì)各個(gè)劃分的安全區(qū)域進(jìn)行安全防范。根據(jù)不同區(qū)域的安全要求來(lái)設(shè)計(jì)出不同的策略，保證每個(gè)區(qū)域的安全。（4）設(shè)計(jì)和保證核心數(shù)據(jù)區(qū)安全：它主要是重點(diǎn)保護(hù)和重點(diǎn)防御我院的中心數(shù)據(jù)區(qū)域，也就是對(duì)核心數(shù)據(jù)和存儲(chǔ)他們的區(qū)域進(jìn)行安全設(shè)計(jì)。（5）設(shè)計(jì)和監(jiān)管上網(wǎng)行為：對(duì)所有內(nèi)網(wǎng)中的上網(wǎng)用戶行為監(jiān)控。它主要是實(shí)現(xiàn)對(duì)校園網(wǎng)的安全管理，通過(guò)對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行監(jiān)控，可以發(fā)現(xiàn)導(dǎo)致網(wǎng)絡(luò)被攻擊或者入侵的源頭，就可以對(duì)嚴(yán)重占用帶寬的行為和非法訪問(wèn)進(jìn)行控制和處理。

2 校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

出口和核心部分的兩臺(tái)路由器、兩臺(tái)防火墻、以及兩臺(tái)核心交換機(jī)組成“日”字形雙平面冗余架構(gòu)，設(shè)備之間均以千兆光口互聯(lián)。A、B業(yè)務(wù)之間通過(guò)雙平面隔離，同時(shí)可通過(guò)配置實(shí)現(xiàn)冗余備份。

網(wǎng)絡(luò)出口以兩臺(tái)SR6604高性能路由器作為網(wǎng)關(guān)，進(jìn)行地址轉(zhuǎn)換，路由分發(fā)，VPN接入等功能，兩臺(tái)路由器可實(shí)現(xiàn)雙歸屬冗余備份。

防火墻部署在出口路由器與核心交換機(jī)之間，工作在透明模式，專門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全過(guò)濾，兩臺(tái)防火墻組成雙機(jī)系統(tǒng)，同步保護(hù)兩條鏈路上的數(shù)據(jù)安全。

兩臺(tái)核心交換機(jī)之間通過(guò)光口連接組成雙機(jī)系統(tǒng)，支持IRF2智能彈性虛擬化技術(shù)。雙機(jī)雙上行到兩臺(tái)防火墻。S75E系列交換機(jī)支持豐富的擴(kuò)展接口卡和業(yè)務(wù)卡。方便我們以后對(duì)網(wǎng)絡(luò)進(jìn)行進(jìn)一步擴(kuò)展。

網(wǎng)管平臺(tái)直接連接在核心交換機(jī)側(cè)，在提供網(wǎng)絡(luò)網(wǎng)絡(luò)管理，設(shè)備管理，業(yè)務(wù)管理的同時(shí)。為內(nèi)網(wǎng)接入用戶提供了安全準(zhǔn)入服務(wù)，從最前端保障了網(wǎng)絡(luò)安全接入。同時(shí)，認(rèn)證接入系統(tǒng)支持詳盡的用戶行為審計(jì)功能，支持實(shí)名制的用戶行為審計(jì)。

3 校園網(wǎng)可靠性網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)

為了提高可靠性，我們采用分布式體系結(jié)構(gòu)。因?yàn)樵诜植际襟w系結(jié)構(gòu)中，一般的設(shè)備都可以通過(guò)增加處理板來(lái)提高整體效果和性能。更主要的是我們能將不同功能分配在不同的處理板中。

采用實(shí)時(shí)熱備份技術(shù)，要依靠系統(tǒng)軟硬件，同樣的要是核心部件發(fā)生了故障，再軟件支持下可自動(dòng)啟動(dòng)備份部件。實(shí)現(xiàn)主備之間的倒換。為了保障網(wǎng)絡(luò)系統(tǒng)正常，不造成影響，當(dāng)運(yùn)行中發(fā)生設(shè)備故障時(shí)我們可以啟用備份系統(tǒng)。方案中設(shè)計(jì)的核心交換機(jī)如果配置冗余引擎，那核心層就可提供不間斷運(yùn)行，為整個(gè)局域網(wǎng)的核心層做好保障。

采用關(guān)鍵部件的冗余，除了核心交換機(jī)，我們也可以把配件做備份并加以配置。即使系統(tǒng)發(fā)生故障，至少不至于所有功能全部失效。為此，在建設(shè)中讓我院的核心交換機(jī)都要采用雙電源、雙引擎、雙風(fēng)扇等。

4 服務(wù)器系統(tǒng)安全設(shè)計(jì)與實(shí)現(xiàn)

4.1 RAID技術(shù)及應(yīng)用

把多塊獨(dú)立的硬盤(pán)按不同的方式組合起來(lái)形成一個(gè)硬盤(pán)組，我們就稱之為RAID，也稱廉價(jià)磁盤(pán)冗余陣列。它是一種能提供更高的存儲(chǔ)性能和數(shù)據(jù)備份的技術(shù)，組成磁盤(pán)陣列的不同方式被稱之為RAID級(jí)別（RAID Levels）。數(shù)據(jù)備份用于當(dāng)用戶數(shù)據(jù)損壞時(shí)恢復(fù)數(shù)據(jù)。也就是一旦用戶數(shù)據(jù)損壞，損壞的備份信息的數(shù)據(jù)恢復(fù)。保障用戶數(shù)據(jù)的安全性。總之，就是對(duì)RAID的操作我們的操作方法和對(duì)單個(gè)硬盤(pán)的一樣。

起初RAID的主要是為了節(jié)約成本，能使小容量硬盤(pán)的價(jià)格和低于一塊大容量的硬盤(pán)。而性能能實(shí)現(xiàn)一致。但現(xiàn)在RAID在這方面的作用已經(jīng)很不明顯，只能發(fā)揮出多塊硬盤(pán)的優(yōu)勢(shì)，能比單硬盤(pán)的速度快一點(diǎn)，吞吐量大一點(diǎn)。

4.2 雙機(jī)熱備技術(shù)

雙機(jī)熱備技術(shù)是應(yīng)用在現(xiàn)代數(shù)據(jù)服務(wù)器上的一項(xiàng)技術(shù)，這種技術(shù)就是一種冗錯(cuò)技術(shù)，要使服務(wù)器的數(shù)據(jù)安全可靠，能夠提高數(shù)據(jù)庫(kù)數(shù)據(jù)的安全性，就可以采用雙機(jī)熱備技術(shù)，這樣就可以讓數(shù)據(jù)永不丟失。雙機(jī)熱備份軟件MSCS能提高計(jì)算機(jī)系統(tǒng)可靠性，因此我們將MSCS 內(nèi)置在Windows 2003 服務(wù)器版中，來(lái)實(shí)現(xiàn)客戶對(duì)計(jì)算機(jī)系統(tǒng)及應(yīng)用可靠性的需求。雙機(jī)熱備技術(shù)的工作技術(shù)基礎(chǔ)是利用私有LAN監(jiān)控主機(jī)狀態(tài)。而HA環(huán)境中的每個(gè)節(jié)點(diǎn)都同時(shí)監(jiān)測(cè)，發(fā)生故障或一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)不能正常工作。我們預(yù)先設(shè)置出的備用服務(wù)器將能接管這臺(tái)主機(jī)上所有應(yīng)用，前端用戶就沒(méi)有任何影響。