网络安全技术——校园网安全建设

• 本文为网络安全技术大作业报告，研究校园网安全建设，欢迎指正
• 项目背景

1.1 校园网络安全背景

随着信息技术的快速发展，校园网络已经成为教育、科研和管理的重要平台。校园网络的普及极大地提高了教育的效率和质量，但同时也带来了一系列安全问题。首先，网络攻击的威胁日益增加。黑客利用各种手段对校园网络进行攻击，包括但不限于DDOS攻击、SQL注入、跨站脚本攻击等，这些攻击可能导致校园网络服务中断，影响正常的教学和科研活动。

其次，数据泄露问题也日益严重。校园网络中存储了大量的敏感信息，如学生的个人信息、教师的研究成果等。一旦这些信息被非法获取，不仅会侵犯个人隐私，还可能对学校的声誉和师生的权益造成损害。此外，恶意软件的传播也是校园网络安全面临的挑战之一。恶意软件包括病毒、木马、勒索软件等，它们通过各种渠道传播，一旦感染校园网络，可能导致数据丢失、系统瘫痪等严重后果。

除了技术层面的威胁，校园网络安全还面临着管理上的挑战。许多学校在网络安全管理上缺乏有效的制度和规范，网络安全意识不强，技术防护措施不足，这些都为网络攻击和数据泄露提供了可乘之机。此外，随着移动设备的普及，校园网络的接入点增多，管理难度也随之增加。

• 需求分析

3.1 网络架构分析

1. 1. 1. 互联网服务供应商 (ISP)：ISP为学校网络提供了关键的互联网连接，是学校与外部网络沟通的桥梁。通过边界路由器（R），ISP与学校内部网络实现了稳定的数据传输。
      2. 边界路由器（R）：位于学校网络的边缘，负责管理进出网络的数据流量。它利用DHCP协议为内部设备自动分配IP地址，并设置ACL来筛选掉恶意流量，以保障网络安全。此外，边界路由器还配置了静态NAT，允许外部用户仅能访问学校网站。
      3. 服务器层 (COM)：学校内部的服务器层部署了Web服务器、FTP服务器和DNS服务器，为学生和教职工提供了丰富的网络服务。其中，Web服务器通过NAT转换技术，将内网地址192.168.10.1映射为公网地址103.32.56.77，允许外部用户通过80端口访问学校网站。
      4. 核心交换层 (AC1)：负责连接不同楼宇的汇聚交换机 (SWT)，提供高速数据传输。使用 VLAN 技术将网络划分成多个虚拟网络，例如 VLAN100、VLAN200、VLAN70 等，提高网络安全性。配置静态 NAT 转换，将内网 IP 地址转换为外网 IP 地址，使内部设备能够访问互联网。
      5. 汇聚交换层 (SWT)：位于网络架构的中间层，负责将来自接入层的流量有效地汇聚到核心交换层（AC1）。通过VLAN技术，SWT将网络划分为多个独立的区域，如办公楼、教学楼、宿舍楼和图书馆，方便管理和维护。
      6. 接入层 (SWT、AP1-4)：接入层设备负责为校园内的用户设备提供有线和无线网络接入服务。它们连接了用户设备，如电脑(PC1, PC2, PC3, PC4)、手机(Cellphone1、Cellphone、Cellphone3、Cellphone4)、笔记本电脑(STA1,、STA2、STA3、STA4)和其他终端( Client1、Client2、Client3、Client4)，使用户能够方便地接入学校网络并访问互联网和其他网络资源。使用 VLAN 技术将用户划分到不同的网络区域，例如办公楼 VLAN20、教学楼 VLAN30、宿舍楼VLAN40和图书馆 VLAN50 。
      7. 用户终端设备：电脑 (PC1, PC2, PC3, PC4,)、手机 (Cellphone1、Cellphone2、Cellphone3、Cellphone4) 、笔记本电脑 (STA1,、STA2、STA3、STA4) 和其他终端( Client1、Client2、Client3、Client4)。

3.2 边界安全分析

当前，校园网的WEB网站部署在一台服务器上，通过路由器进行一对一NAT映射到公网。尽管此架构能够基本满足网站对外提供服务的需求，但在网络安全建设方面存在较多边界安全风险。

3.2.1 当前存在的边界安全风险

（1）开放端口风险

①HTTP（端口80）：