校园网网络安全论文

【摘要】随着互联网的高速发展和教育信息化进程的不断深入,校园网在高校教学、科研和管理中的作用越来越重要,同时高校校园网络安全问题也日益突出。如何提高校园网的安全性已是迫切需要解决的问题。文章从高校校园网的特点出发,分析了目前高校校园网普遍存在的安全问题,并提出了加强高校校园网安全管理的对策。下面是小编为大家整理的《校园网网络安全论文(精选3篇)》，欢迎阅读，希望大家能够喜欢。

校园网网络安全论文 篇1：

防火墙技术在校园网网络安全中的应用

摘要防火墙是校园网网络安全的一道防线，它通过控制和检测网络之间的信息交换和访问来管理校园网网络的安全。本文阐述了防火墙的类型、如何选购防火墙及防火墙在赣南医学院校园网网络安全中的应用。

关键词 防火墙 网络安全 校园网

Application of Firewall Technology in Campus Network Security

MIAO Haijun

(Ganzhou Medical College, Ganzhou, Jiangxi 341000)

Key wordsfirewall; network safe; campus network

信息技术的飞速发展，越来越多的领域需要运用互联网。如：银行、政府、公司、教学等。特别是在国家教育信息化和校校通工程的背景下，建设校园网是高校的重要任务。校园网作为连接学生、教师、科研人员和管理者的中枢神经系统，是学校采用先进的教育和管理方法的基础。然而，各种黑客、计算机病毒和非法入侵事件却威胁着高校校园网网络的安全。防火墙技术作为网络安全领域的重要技术，在校园网网络安全中起到了十分重要的作用。

防火墙(Firewall)技术不仅是抵制黑客入侵和非法访问的有效手段，而且是目前网络系统广泛应用于计算机网络安全策略的重要工具。①防火墙是安装在内部网和外部网之间的一个隔离设备，以便更好更快的识别和屏蔽不可预测的、潜在破坏性的侵入，可有效地保证网络安全，对与保护校园网的安全具有重要的意义。其实，防火墙不仅是一个分离器和限制器，而且是一个分析器，它能够有效地监控内部网和外部网之间的活动，从而保证内部网络的安全。②

1 防火墙的类型

根据防火墙的功能的不同。可分为包过滤防火墙、代理服务器防火墙、状态检测防火墙三种类型。

（1）包过滤防火墙。包过滤防火墙的主要功能是检查每个通过网络的数据包，然后读取数据包中的信息，最后根据数据包中的信息来判断这些数据包是否安全和可靠。这种防火墙以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表。这种包过滤防火墙的优点是：过滤路由器速度快、效率高、价格低、网络性能好和透明性好，易于安装和使用。然而这种防火墙也有很多的弱点。如：只能对数据包的地址和端口等网络信息进行判断，无法理解网络信息更高协议层；过滤包只对网络层和传输层得有限信息进行过滤，不能满足各种安全要求。

（2）代理服务器防火墙。代理服务器防火墙又称为应用级网关，这是因为代理服务器有应用级代理和电路级代理2种，但一般都说采用应用级代理。代理服务器防火墙在OSI 的应用层，掌握着应用系统中可用作安全决策的全部信息。代理服务器防火墙是校园内部网与外部网的隔离点，具有监视和隔绝应用层通信流的作用，因为它是通过对每种应用服务编制专门的代理程序来实现监视和隔绝作用。③这种防火墙以美国NAI公司的Gauntlet防火墙。代理服务器防火墙的优点是安全性较高，能有效防止病毒在应用层的侵入，易于配置，能提供比过滤包更详细的日志记录，可以隐藏内部IP地址等等。其缺点是网络速度变慢、不允许用户直接访问网络、对于不同协议设置要有不同的客户端软件来支持等。

（3）状态检测防火墙。状态检测防火墙采用了状态检测包过滤的技术，吸收了包过滤防火墙和代理服务器防火墙的优点，因此，这种防火墙性能好，安全系数高，适应性强和扩展性好。因为状态检测防火墙在网关上使用了执行网络安全策略的软件模块，所以称之为监测引擎。监测引擎在不影响网络正常运行的情况下，通过采用抽取有关数据的方法对来监测各层的网络通令，抽取状态信息, 并动态地保存起来。把保存起来的信息作为以后执行安全策略的参考。因为监测引擎支持多种网络协议和应用程序, 所以易于实现应用和服务的扩充。这种类型防火墙的优点是: 主动拒绝违规访问、性能好、安全系数高、适应性强和扩展性好。缺点是：配置较为复杂、使网络速度降低。

2 防火墙的选择

不同的防火墙有不同的优点，因此，我们在建构自己公司或单位的网络时, 就必须选择一个比较合适的防火墙。在选购防火墙时，我们应注意以下方面:

（1）防火墙自身的安全性防。防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。防火墙技术的本质特征是一种被动防御、静态安全的网络安全手段，能够防护网络已知的威胁和已知的恶意。我们把防火墙都安装在Windows NT 系统等一般的操作系统上，不仅防火墙在主机上执行防火墙软件，操作系统本身的原有程序也在运行。如果防火墙主机上所执行的软件出现安全漏洞， 那么防火墙本身也将受到威胁。此时，黑客容易取得防火墙上的控制权。黑客取得防火墙上的控制权之后，任何的防火墙控制机制都可能失效。

（2）防火墙的稳定性。防火墙的稳定性是非常重要的。有些商家在防火墙尚未最后定型或经过严格的大量测试就被推向了市场，由于防火墙处于网络进出口处, 其稳定性直接影响到网络的正常运行,其稳定性比较差。稳定性差的防火墙产品会使“信息监控”经常发生乱拦截现象。如把正常的浏览访问当作恶意攻击而被拦截掉。防火墙日志功能失效。

（3）防火墙自身的良好性能。防火墙不仅能够很好地保护内部网络的安全，还应该具有优良的整体性能。数据通过率是表示防火墙性能的参数，因为不同类型的防火墙具有不同的功能，而不同功能的防火墙对其工作量和系统资源都有不同的要求，因此数据在通过防火墙时会产生延时。自然数据通过率越高，防火墙性能越好。

（4）防火墙的灵活性。笔者认为防火墙的灵活性应体现在以下方面：能够升级与扩展，支持大量协议。随着科技的发展，各个厂家间的夜竞争越来越激烈。若要长久拥有客源，在生产防火墙的时候，就必须考虑到防火墻产品本身的的规模和功能。它的规模和功能不仅能够适应内部网络的规模的变化，还要适应安全策略的变化。

3 防火墙在校园网中的应用

防火墙是校园网网络安全的一道防线，它通过控制和检测网络之间的信息交换和访问来管理校园网网络的安全。防火墙的主要作用有过滤出入网络的数据,强化安全策略；对出入网络的访问行为进行管理和控制；对不安全的服务进行限制或拦截,尽可能不暴露内部网络；有效的纪录通过防火墙的信息内容和活动等方面。因此，在网络拓扑上，防火墙常常安装在网络的出口和不同的安全等级的结合点之间。如内部网络和互联网的出口链路处。

根据学校校园网的安全需求和实际情况，赣南医学院采购了天融信NGFW4000-UF(TG-5464)防火墙。它是NGFW4000-UF系列防火墙的高端产品，是集成防火墙、VPN、带宽管理、防病毒、内容过滤等多功能的综合性网关产品，具有高性能、高可靠性、高安全性的特点，适用于金融、电信、教育等大型网络系统，特别是网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。NGFW4000-UF系列防火墙通过模块化结构设计来高了产品性能、灵活性、高效性和安全性。

与其它的防火墙相比，天融信NGFW4000-UF(TG-5464)防火墙致力于网络的安全性，并且管理容易。主要的设备功能有预防计算机上病毒、入侵检测、过滤垃圾邮件、过滤网页的内容、检测Dos、检测DDoS、管理SNMP、管理WEB等等。主要特点是网络端口的适用性强，最大配置为12个接口,其中4个千兆COMBO口(每个COMBO口为两个互斥的千兆口——SFP插槽和100/1000电口可灵活选择)；6个千兆SFP插槽；2个10/100/1000BASE-T接口(1个专用HA口，1个管理口)；没有用户数量的限制；支持DoS和DDoS入侵检测；支持VPN；支持SNMP、WEB、命令行、远程管理。

天融信NGFW4000-UF(TG-5464)防火墙，是天融信公司推出的新一代高性能防火墙。它采用SoC (System on Chip) 技术，具有芯片设计、网络通信、安全防御等多方面的技术优势，能够给校园网的网络提供最有效的安全保护。

将天融信NGFW4000-UF(TG-5464)防火墙部署在校园网的核心交换器和路由器之间，目的是将互联网和学校的内部网络分离开来。天融信NGFW4000-UF(TG-5464)防火墙的入侵检测系统支持Dos和DDoS，能够减少病毒的潜伏期，保障网络的安全性。

4 小结

防火墙是保护校园网网络安全运行的第一道防线，部署防火墙的目的是为了保障校园网网络的安全运行。由于防火墙无法防护内部网络用户的攻击、完全防止传送已感染病毒的软件或文件、法防范数据驱动型的攻击、不能防备新的网络安全问题等本身的缺陷。因此，仅在校园网内部的入口处部署防火墙系统是远远不能保障整个校园网网络系统的安全。校园网的环境复杂，如果防火墙结合入侵检测技术、安全扫描技术、身份认证技术和访问控制技术等安全技术，将能更好的的保障网络的安全。总之，防火墙是网络安全的第一道重要的安全砸门，如何提高防火墙的防护能力和保障计算机系统的安全运行是一个随着网络技术的发展而不断研究的课题。

注释

①卢津榕,玛宝坤.解读黑客一黑客是怎样炼成的[M].北京:希望電子出版社,2001.

②景晓军.智能信息安全[M].北京:国防工业出版社,2006.

③张旭.高校校园网防火墙技术的应用研究[J].电脑编程技巧与维护,2010(14).

作者：缪海君

校园网网络安全论文 篇2：

高校校园网网络安全问题分析与对策①

【摘要】随着互联网的高速发展和教育信息化进程的不断深入,校园网在高校教学、科研和管理中的作用越来越重要,同时高校校园网络安全问题也日益突出。如何提高校园网的安全性已是迫切需要解决的问题。文章从高校校园网的特点出发,分析了目前高校校园网普遍存在的安全问题,并提出了加强高校校园网安全管理的对策。

【关键词】校园网 安全问题 分析 对策

高校是计算机网络诞生的摇篮,也是最早应用网络技术的地方。校园网是当代高校重要基础设施之一,是促进学校提升教学质量、提高管理效率和加强对外交流合作的重要平台,校园网的安全状况直接影响着学校的各项工作。在校园网建设初期,网络安全问题可能还不突出,但随着应用的不断深入和用户的不断增加,高校校园网上的数据信息急剧增长,各种各样的安全问题层出不穷。“校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标”[1],校园网络安全已经引起了各高校的高度重视。本文对高校校园网的安全问题进行了分析,并探讨了加强高校校园网安全管理的对策。

1 高校校园网安全问题分析

1.1 高校校园网的特点

与其它局域网相比,高校校园网自身的特点导致网络安全问题严重、安全管理复杂。其特点可以概括为两个方面:

(1)用户群体的特点。高校校园网用户群体以高校学生为主。一方面,用户数量大、网络水平较高。随着高校的扩招,现在各高校的在校学生规模越来越大,校园网用户少则几千,多则几万,而且往往比较集中。高校学习以自主性学习为主,决定了高校学生可供自主支配的时间宽裕。通过学习,高校学生普遍掌握了一定的计算机基础知识和网络知识,其计算机水平比普通商业用户要高,而且他们对网络新技术充满好奇,勇于尝试,通常是最活跃的网络用户。另一方面,用户网络安全意识、版权意识普遍较为淡薄。高校学生往往对网络安全问题的严重后果认识不足、理解不深,部分学生甚至还把校园网当成自己的“练兵场”,在校园网上尝试各种攻击技术。另外,由于资金不足和缺乏版权意识等原因,导致高校学生在校园网上大量使用盗版软件和盗版资源。攻击技术的尝试和盗版软件的传播既占用了大量的网络带宽,又给网络安全带来了极大的隐患。

(2)校园网建设和管理的特点。一方面,校园网建设需要投入大量的经费,少则几百万,多则几千万,而高校的经费普遍是比较紧张的,有限的投入往往用于扩展网络规模、增加网络应用这些师生都能看到成果的方面,而往往忽视或轻视师生不容易看到成果的网络安全方面。由于投入少,缺少必要的网络安全管理设备和软件,致使管理和维护出现困难。另一方面,各高校为了学校的教学、科研、管理以及学生学习生活的需要,目前基本上都建立了千兆主干、百兆桌面,甚至万兆主干、千兆桌面的校园网,高带宽的校园网给校园网用户带来了方便,但同时也大大增加了网络完全管理的难度。

1.2 当前高校校园网面临的主要网络安全问题和威胁

(1)安全漏洞。校园网内普遍存在用户操作系统漏洞和应用软件安全漏洞,这些漏洞影响用户系统的正常使用和网络的正常运行,对网络安全构成严重的威胁,一旦被黑客或病毒利用,甚至有可能导致灾难性的后果。

(2)病毒和攻击。网络病毒发病和传播速度极快,而许多校园网用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,不仅严重地危害到了用户计算机安全,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。同时外来的攻击和内部用户的攻击越来越多、危害越来越大,已经严重影响到了校园网的正常使用。

(3)滥用网络资源。在校园网内,用户滥用网络资源的情况严重,有私自开设代理服务器,非法获取网络服务的,也有校园网用户非法下载或上载的,甚至有的用户每天都不断网,其流量每天都达到几十个G,占用了大量的网络带宽,影响了校园网的其它应用。

(4)不良信息的传播。不良信息的传播对正在形成世界观和人生观的大学生而言,危害是非常大的。网络上的信息良莠不齐,其中有违反人类道德标准或法律法规的,如果不对这些信息加以过滤和处理,学生就会有在校园网内浏览淫秽、赌博、暴力等不健康网页的机会。要确保高校学生健康成长、积极向上,就必须采取措施对校园网络信息进行过滤和处理,使他们尽可能少地接触网络上的不良信息。

(5)垃圾邮件。垃圾邮件对校园网的破坏性很大,它占用网络带宽,造成邮件服务器拥塞,进而降低整个网络的运行效率,同时也是网络病毒、攻击和不良信息传播的重要途径之一。现在虽然很多高校都建立了电子邮件服务器为校园网用户提供邮件服务,但由于缺乏邮件过滤软件以及缺少限制邮件转发的相关管理制度,使邮件服务器成为了垃圾邮件的攻击对象和中转站,大大增大了校园网的网络流量,浪费了大量的校园网带宽,造成校园网用户收发邮件速度慢,甚至导致邮件服务器崩溃。

(6)恶意破坏。恶意破坏主要是指对网络设备和网络系统的破坏。设备破坏是指对网络硬件设备的破坏。现在各高校校园网的设备数量多、类型杂、分布比较分散,管理起来非常困难,个别用户可能出于某些目的,会有意或无意地将它们损坏。系统破坏是指利用黑客技术对校园网络各系统进行破坏,如:修改或删除网络设备的配置文件、篡改学校主页等等。而这两个方面的破坏均会影响校园网的安全运行,造成校园网络全部或部分瘫痪,甚至造成网络安全事故。

2 加强高校校园网安全管理的对策

高校校园网络安全管理是一项复杂的系统工程,要提高网络安全,必须根据实际情况,从多个方面努力。

2.1 加强网络安全管理制度建设

“三分技术、七分管理”,网络安全尤为如此。各高校要根据校园网的实际情况,制定并严格执行有效的安全管理制度。如:校园网网络安全管理制度、网络主干管理与维护制度、校园网非主干维护制度、网络安全管理岗位职责、网络运行管理制度、主页维护管理制度、校园网信息发布与管理制度、病毒防治管理制度、重要数据备份与管理制度等。此外,为更加有效控制和减少校园网络的内部隐患,各高校必须制定网络行为规范和违反该规范的具体处罚条例。

2.2 做好物理安全防护

物理安全防护是指通过采用辐射防护、屏幕口令、状态检测、报警确认、应急恢复等手段保护网络服务器等计算机系统、网络交换路由等网络设备和网络线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误以及人为干扰和搭线攻击的破坏②。如:将防火墙、核心交换机以及各种重要服务器等重要设备尽量放在核心机房进行集中管理;将光纤等通信线路实行深埋、穿线或架空,防止无意损坏;将核心设备、主干设备以及接入交换机等设备落实到人,进行严格管理。物理安全防护是确保校园网络系统正常工作、免受干扰破坏的最基本手段。

2.3 加强对用户的教育和培训

通过网络安全教育使用户对校园网络所面临的各类威胁有较为系统、全面的认识,明确这些威胁对他们的危害,增强他们的网络安全意识,让所有校园网用户都来关心、关注网络安全。通过对校园网用户的培训,使他们能尽量保证自己使用的计算机安全,能处理一些简单的安全问题,从而减少网络安全事故的发生。遇到网络安全问题时,能做好记录并及时向有关部门报告。

2.4 提高网络管理人员技术水平

高水平的网络管理人员能够根据校园网的实际安全状况,通过对校园网的重要资源设置使用权限与口令、通过对相应网络安全设备尤其是核心设备进行系统配置以有效地保证校园网系统的安全。因此要保证校园网的安全运行,就需要培养一支具有较高安全管理意识的网络管理员队伍,提高他们维护网络安全的警惕性和应对各种攻击的能力。各高校要从两个方面着手:一是要加强对现有网络管理技术人员的培训,提高他们应对网络安全问题的能力和水平;二是要引进高水平的网络安全管理技术人员,提升网络管理技术人员整体技术水平。

2.5 规范出口、入口管理

为适应管理和工作的需要,现在高校校园网都有多个网络出口(如:教育网、电信网等),要实施校园网的整体安全策略,首先就要对多出口进行统一管理,以解决校园网多出口带来的安全问题,使校园网络安全体系能够得以实施,为校园网的安全提供最基础的保障,如:不同出口间的隔离,封锁病毒端口,阻止入侵者的攻击,应用ACL拒绝IP地址欺骗等。

2.6 配备网络安全设备或系统

为减少来自校园网内外的攻击和破坏,需要在校园网中配置必要的网络安全设备,如网络入侵保护系统、主页防篡改系统、防火墙、网络防病毒系统、漏洞扫描系统、内容过虑系统、补丁升级系统、服务器的安全监测系统等等。通过配置网络安全设备,能够实现对校园网络的控制和监管,能够阻断大量的非法访问,能够过滤来自网络的不健康数据信息,能够帮助网络管理员在发生网络故障时迅速定位。充分利用好这些网络安全设备可以大大提高校园网的安全级别。

2.7 建立全校统一的身份认证系统

身份认证系统是整个校园网络安全体系的基础,是校园网上信息安全的第一道屏障,是保证校园网内各应用系统安全运行的依靠。各高校要建立基于校园网络的全校统一身份认证系统,对校园网用户上网进行身份认证。这样不仅可以阻止非法用户的上网行为,而且也能统一监控合法户上网的行为。

2.8 建立更安全的电子邮件系统

目前有些优秀的电子邮件安全系统具有强大的高准确率和低误报率,独特的策略模块可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确率接近百分之百。各高校要多方分析、比较,选择优秀的电子邮件安全系统保证校园网的邮件系统安全,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等安全隐患的现状。

2.9 做好备份和应急处理

对校园网来说,一套完整的备份和恢复方案是迫切需要的。备份既指对校园网重要数据的备份,也指核心设备和线路的备份[3]。对网页服务器,要配置网页防篡改系统,以防止网页被更改;对校园网中的核心设备的系统配置要进行备份,以便设备出故障时能及时恢复;对校园网中的核心线路要留有冗余,以便线路出故障时能立即启用冗余线路以保证校园网络主干的运行。应急响应是校园网整体安全的重要组成部分,各高校的校园网络管理部门要制定网络安全的有关应急处理措施和制度,以保证在出现网络安全问题时要及时按照应急处理措施处理以减少损失。

3 结束语

校园网的安全管理是一项复杂的系统工程,没有一劳永逸的安全措施。各高校要在校园网的建设和管理过程中及时分析校园网中的安全问题,并研究方法,制订措施,确保校园网正常、高效、安全地运行,为学校的教学、管理和科研服好务。

参考文献

[1] 沙桂兰.浅谈校园网络安全控制策略[M],电脑知识与技术.2007,3.

[2] 高冰.网络安全措施探讨[M],东北财经大学学报.2003,4.

[3] 林涛.网络安全与管理[M].北京:电子工业出版社.2005.

[4] www.eol.cn 中国教育在线.

作者：聂多均

校园网网络安全论文 篇3：

基于应用视角实施校园网网络安全架构的改进

摘 要：随着高校网络建设的加速，校园网的安全问题越来越严重，比如缺乏统筹设计和一些安全防护和管理手段。文章以江苏信息职业技术学院的网络安全架构改进作为真实案例，分析了网络安全方面的不足，提出了对网络安全架构优化的思路和办法并进行解决，最后进行了总结和归纳，为兄弟院校提供一定参考价值。

关键词：网络安全;应用组;安全隔离

1 高校校园网网络安全架构不足

随着应用的不断增长和用户使用需求的不断提升，近年来江苏信息职业技术学院校园网进行了改造和升级。学院完成了校园网的整体改造与升级，搭建了大二层扁平化的校园网架构，大幅提升校园网的整体性能，解决了校园网接入端管控困难、运维复杂等问题[1]。

江苏信息职业技术学院传统优先满足性能而构建网络架构[2]，随着网络性能的提升，网络安全问题也相应产生，从互联网到内部应用服务器的不可控访问手段也在增加，来自互联网的威胁也变得多种多样。因此，如何相应地提升网络安全防护手段，成为网络安全管理者必须考虑的问题。

高校网络建设的资金压力比较大，优先配备防火墙作为第一道关卡，内部以BRAS和高性能核心交换机作为数据转发承载所有应用的转发。网络应用发布的数量随着软件系统大量上线和虚拟化技术的应用而成倍增长。

1.1 网络安全方面的现状缺陷

学院数据中心与校园网直接互联，虽然在互联网出口已架设第一道防火墙进行安全管理，但数据中心将面临来自互联网的安全威胁。由于数据中心与校园网未做安全隔离，无法有效防护来自校园网内部的攻击和威胁[3]。

1.2 应用安全方面的不足

内部应用随着这些年数字化校园的大力发展，各应用系统互相之间未进行有效隔离，一旦对外发布应用主机被入侵，该主机就有可能成为“肉机”，对内部其他应用进行入侵和攻击。随着校园网发展，大量的网络设备、主机信息化设备，由第三方人员共同运维，而学院对于这些运维操作无法有效管理，包括运维人员权限过大、管理员账号滥用、运维操作无法有效监督，出了问题也无法追溯。

2 基于应用视角的资产梳理

经过多年的建设，江苏信息职业技术学院网络防护也在不断优化。针对不同应用划分不同区域，目前近200台实体和虚拟服务器，主要提供数据中心、信息门户、云桌面、一卡通、财务教务等多个类别的应用。之前分配单一网段导致这些服务器容易互相干扰，安全隐患很大，现在按照不同类别的应用将各系统的应用分开[4]，如表1所示。

技术构建的方式原則上采用分区分域的设计思路，将应用组的区域进行如下划分。

2.1 外网DMZ应用区域

隔离区（Demilitarized Zone，DMZ）应用区域，应将对网上办公、办事大厅、网站等的对外发布服务器规划在此区域中。由于要面向从互联网访问学校应用的用户，在此需要与对内、核心数据库进行隔离，一方面防止信息泄露，另一方面防止SQL注入攻击或渗透行为跳转到内部。

2.2 对内应用区域

对内应用区域，将仅需要在内网访问的应用，例如一卡通消费和多媒体教室平台等，在此需要着重考虑与外部区域进行有效隔离，重点防范内部非授权访问和内部发起的安全攻击事件[5]。

2.3 内部数据中心区域

核心数据区域，通过第二道物理防火墙配合虚拟机防护软件针对应用组进行横向隔离。在此要重点考虑数据防泄密的问题，严防各应用组之间内部的非必要访问。将各类应用组的数据库服务器分别隔离在此区域，仅信任外网DMZ区域的页面服务器可访问该区域对应服务器的数据库端口，可以极大提升网络安全防护等级。

以上各区域之间由于在功能上相对独立，便于网络安全设备的部署和安全策略的精细化管理，可最大限度地减少应用组之间的干扰，减少不同应用组之间的随意访问。同时，将这些系统的页面与数据库分离，构建一个专门的外网DMZ区域，在出口防火墙上通过控制策略来管控数据的互访。

3 基于应用的网络安全架构改进

在基于应用组划分不同的安全域后，逐步对数据中心服务器进行安全优化，建立全新的数据中心安全防护架构，如图1所示。

具体过程：增加网络安全设备实现不同安全域的隔离，补足网络安全管理设备，为管理人员提供多种辅助手段。

（1）在数据中心与校园网之间架设防火墙，作为数据中心的第二道防线。通过该防火墙将校园网和数据中心安全隔离，配合防火墙安全策略，抵御来自互联网以及校园网内部的安全风险。

（2）在出口防火墙构建外网应用区，将数据中心对外发布应用的主机迁移至该区，实现对外发布应用和校园网内部应用、数据库隔离区分，降低对内部应用主机直接访问的风险。

（3）在数据中心区域部署数据库审计系统，实现学院核心应用数据库登陆、修改、删除等操作的记录、审计、溯源，实现应用数据库有限管控和安全运维。

（4）在数据中心区域部署堡垒机，第三方运维人员均通过堡垒机进行设备运维，无须直接接触设备进行运维，通过堡垒机统一分配管理账号和权限，并可由堡垒机对运维人员运维过程进行记录和审计，实现运维可管、可控、可溯源、精细化管理。

（5）增加并迁移网站应用级入侵防御系统（Web Application Firewall，WAF），迁移至外网应用区防护页面服务器。

（6）增加虚拟化平台安全防护，在虚拟机池中根据不同应用组进行隔断，进一步阻断黑客可能的攻击。

4 安全架构改进完成后的总结

江苏信息职业技术学院通过规划的网络安全项目实施，网络安全优化初见成效，主要有如下几个值得借鉴的成果：

（1）应用与数据安全隔离，对外发布应用端和内部数据库端相互隔离。

（2）用户与数据安全隔离，所有校内内网用户与数据中心和网络应用服务器形成隔离。

（3）整个网络的可管、可控、可溯源的运维，构建一个异构设备多重保障的安全防护体系。

（4）便捷、高效的数据保护，通过自动备份软件保证重要数据的实时拷贝。

5 结语

安全防护架构的优化無法一劳永逸，随着网络攻击技术的发展也需要不断改进。通过完善网络安全架构工作的完成，未来可满足3～5年安全防护需求。但安全风险和威胁也在不断多样，因此网络安全建设将是一个长期建设、逐步优化、不断修正的过程。

作者简介：陶浩（1981— ），男，浙江绍兴人，工程师，硕士;研究方向：以太网网络应用，网络安全。

图1 网络安全防护体系

[参考文献]

[1]汤丽丽.计算机网络安全在大数据系统的应用[J].电子技术与软件工程，2019（20）：186-187.

[2]陈慧，张常泉，罗志琼.浅析网络安全问题及其防范措施[J].科技风，2019（30）：104，111.

[3]叶水勇，王艳，方军，等.基于VCF纵向虚拟技术网络架构优化的探索与实践[J].国网技术学院学报，2019（4）：33-36，40.

[4]张葛.计算机网络安全现状和防御技术分析[J].山东工业技术，2019（4）：141.

[5]谭雄胜，黄鹤.计算机网络安全中防火墙技术的应用研究[J].数字技术与应用，2019（1）：211，213.

Improvement of campus network security architecture based on application perspective： taking Jiangsu Vocational College of Information Technology as an example

Tao Hao

（Jiangsu Vocational College of Information Technology， Wuxi 214153， China）

Key words：network security; application group; security isolation

作者：陶浩