哈尔滨商业大学校园网始建于1998年，为学校的教学、科研工作发挥了很大作用。随着时间的推移，特别是随着教育信息化工作的深入开展，校园网的规划、扩建、改造、完善则是继续教育系统信息化的关键。目前学校共有3个校区：坐落在江南道里区通达街的老校区（D校区）、坐落在松北区学院路的老校区（B、C校区），以及现在松北的新校区（A校区），三个校区彼此之间距离很远，尤其是D区和A区之间横跨松花江，使彼此之间的工作、学术活动等非常不方便。

分布式的组网特征

早期老校区的校园网络中，我们主要是共用内部教育系统主机资源，共享简单数据库，多以二层交换为主，很少有三层应用，存在安全、无业务增值能力等方面的问题。此次学校校园网建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠等功能。我们的任务是建设新校区、联通老校区同时还要考虑兼容老产品不造成浪费。

本着“高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性”的设计原则，本次A校区解决方案使网络分为三个层次：核心层、汇聚层、接入层。校园网核心层采用两台华为核心路由交换机Quidway S8512互相作为冗余热备份，并与江南S8505万兆交换互联，通过千兆双链路与BC区的C6506交换机互联，实现了全网的万兆核心，双千兆链路汇聚的整网互联。

哈尔滨商业大学校园网秉承全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的专访性能和扩充能力；实现MPLS、IPv6的分布式线速转发，并以10G的NP实现线速NAT、Webswitch等高性能业务，在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性，汇聚层采用S5516交换机，可与核心交换机之间采用双千兆链路捆绑，从而保证了校园网核心的带宽要求。

针对各个教学楼，采用S5516设备做汇聚，实现双千兆到大楼。实现对用户的接入认证、用户管理和业务质量保证，为用户提供高速上网、视频点播、门户业务等多种业务，能对用户进行有效管理，保证网络安全可靠，并提供多种计费方式，为校园网络的建设和管理提供新的方式。

组网结构如图：

动静结合保障网络安全

分布式的网络构造特征使得更多的师生能共享更多的资源，在哈尔滨商业大学的网络上有着非常活跃的数字化应用，然而这也潜藏了更多的安全隐患。在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

在数据和数字资源日益成为数字校园的核心的过程中，我们深切体会到保障网络的安全是数字校园的重要环节。根据多年的工作经验，我们总结出：为了保证网络安全平稳地运行，确保用户安全合法地浏览网页，我们应做到：第一，实现硬件网络安全产品合理应用及搭配；第二，了解网络攻击，认真制定有针对性的策略。

硬件御外

防火墙与入侵检测系统(IDS)联动，可以对网络进行动静结合的保护，对网络行为进行细颗粒的检查，并对网络内外两个部分都进行可靠管理。防火墙与日志分析系统联动，可以解决防火墙在大量日志数据的存储管理和数据分析上的不足。

基于以上的系统模型，我们主要考虑了以下的联动互操作：

防火墙和漏洞扫描系统之间的互操作：漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。它的局限性在于当它发现漏洞时，它本身不能自动修补漏洞，在安全产品不具备联动性能的情况下，一般需要管理员的人工干预才能修补发现的安全漏洞。这样，在发现漏洞与修补好漏洞之间存在一个时间差，在这个时间间隔里，如果发现风险级别很高的漏洞又不能采取其它任何补救措施，系统的安全就会面临极大的威胁。在这种情况下，就可以请求防火墙的协作，即当扫描系统检测到存在安全漏洞时，可以及时通知防火墙采取相应措施。

防火墙和入侵检测系统之间的互操作：入侵检测系统(IDS)是一种主动的网络安全防护措施，它从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击。入侵检测系统在发现入侵后，会及时做出一些相对简单的响应，包括记录事件和报警等。显然，这些入侵检测系统自动进行的操作，对于网络安全来说远远不够。因此，入侵检测系统需要与防火墙进行协作，请求防火墙及时切断相关的网络连接。

所以防火墙和IDS的功能特点和局限性决定了它们彼此非常需要对方，且不可能相互取代，原因在于防火墙侧重于控制，IDS侧重于主动发现入侵的信号。而且，它们本身所具有的强大功效仍没有充分发挥。例如，IDS检测到一种攻击行为，如不能及时有效地阻断或者过滤，这种攻击行为仍将对网络应用造成损害；没有IDS，一些攻击会利用防火墙合法的通道进入网络。因此，防火墙和IDS之间十分合适建立紧密的联动关系，以将两者的能力充分发挥出来，相互弥补不足，相互提供保护。从信息安全整体防御的角度出发，这种联动是十分必要的，极大地提高了网络安全体系的防护能力。

软件防内

硬件加软件的网络安全产品绝大部分是进行对外防范的，对内部的一些合法用户的攻击无法进行判断及防范。网络安全调查结果显示，内部攻击网络占攻击总量的80%。所以我们应当认真制定有针对性的策略：明确安全对象，设置强有力的安全保障体系；有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使；还必须做到未雨稠缪，预防为主，将重要的数据备份并时刻注意系统运行状况。

针对众多令人担心的网络安全问题，我们对全校各院系及相关行政单位提出要求：

第一，提高安全意识。

不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序；

尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站上下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描；

密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易被识破。将常用的密码设置为不同，防止被人查出一个，连带到重要密码。重要密码最好经常更换；

及时下载安装系统补丁程序；

不随便运行黑客程序，不少这类程序运行时会发出你的个人信息；

在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱。

第二，使用防毒、防黑等防火墙软件。

防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。

第三，设置代理服务器，隐藏自已的IP地址。

保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。

第四，将防毒、防黑客当成日常例行工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。

第五，由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。

    第六，对于重要的个人资料做好严密的保护，并养成资料备份的习惯。