学院校园网安全由校园网前端设备防火墙及路由器设备完成信息过滤及防护措施,主要分为两部分:一、内网到服务器,外网到内网;二、校园内部网络通过SAM系统对入网用户身份进行控制,确保合法用户才能进入校园内部网络。
(一)防火墙上联广域网络区域中的出口核心RSR-04E路由器,下联校园内部网络的核心RG-S6810E交换机,校园网服务器群部署在防火墙的DMZ区域中。由于防火墙的存在,可以实现如下功能:
1、屏蔽公网用户对校园内网用户的攻击;
2、可以屏蔽公网用户对校园网服务器群的攻击;
3、可以屏蔽校园网内部用户对校园网服务器群的攻击;
(二)以上的功能实现由防火墙完成,主要通过防火墙上的规则设置控制,相关规则描述如下:
1、校园网中的内网和公网用户只能访问DMZ区WEB服务器的TCP80端口;
2、校园网中的内网用户只能访问SAM系统服务器的8080端口;
3、校园网中的网络设备管理IP网段只能访问SAM系统服务器的UDP1812和UDP1813端口;
4、校园网中的网络设备管理IP网段只能访问网管系统服务器的UDP161和UDP162端口;
5、校园网中的内网用户可以访问公网资源;
(三)防火墙URL过滤功能(通过域名限制访问的网站):
1、进入防火墙WEB 配置界面,选择策略->URL 阻断 ;
3、进入类别选项增加用户定义类别, 增加阻断列表到该类别;
5、进入防火墙策略->规则修改规则的类别 增加设定的类别到规则选项后应用;
二、核心路由器设备规则
核心路由器负责连接教育网和网通,在核心路由器上设置静态路由指向教育网,默认路由指向网通,开启NAT地址转换功能;核心交换机的NAT地址转换功能后,可以屏蔽网通用户访问校园网络内网用户,起到了一定的安全作用。