思明区城域网网络架构模式与内网安全现状及对策思明区教师进修学校王鹭芳前言思明区教育城域网是思明区教育局为了进一步加快思明区教育信息化建设,整合三区原有不同网络结构,建设的覆盖全区教育系统的光纤网络。该城域网的建设,核心万兆及汇聚,千兆到学校,百兆到计算机终端。思明区教育城域网投入使用两年多以来,总体运行情况良好思明区教育城域网结构总出口架设防火墙和上网行为管理核心交换机汇聚交换机学校接入路由思明区教育城域网结构内网安全现状思明区教育城域网投入使用近三年,随着用户终端电脑应用的不断地增加,出口流量也随呈不断上升的趋势,网络病毒在城域网内大量传播,造成网络堵塞,严重影响教育教学工作。其中有以下这几方面:基于p2p的非法下载和上传。内网网络病毒的传播。外网的攻击和入侵,僵尸网络形成。p2p的非法下载和上传生成条件:|日期:2009-04-14-2009-04-14|时间:00:00:00-23:59:59|内网中毒故障2008-03-14后江小学反映今天早上上网很慢,系用户内网中毒产生大量数据包,引发路由器负载过重所致2008-03-13今天11中学的故障,系用户内网大规模下载达到上限的8M导致2008年高考前高考监控系统的调试,由于内网的病毒制造大量非法数据包,占用考点的网络出口带宽,是监控系统无法工作,通过关闭中毒学校的端口,后才得以正常使用。僵尸病毒的形成根据福建电信的“每日互联网络安全监控”数据报表显示,思明区教育城域网中发现部分电脑受到僵尸病毒的威胁,已经严重威胁到思明区教育城域网的网络安全。数据报表内容如下根据统计期的流量使用情况,部份学校的上传流量较大(如湖滨中学、文安小学、松柏中学、莲花中学),即对外部提供文件下载服务、大文件传输。其余学校网络流量相对保持在合理的范围内。网络传输一般采用TCP协议进行网络通道建立,若上传流量过大并造成该学校的上联供互联网使用的带宽被耗尽,则将导致学校内部访问互联网的速度大大下降。一般情况下,要获得理想的网络使用效果,应适当预留一部份空余带宽。特别地,当内网出现病毒攻击时,中毒主机会随机发送大量数据包,常见的攻击流量在70M以上(已大大超出分配给学校的互联网带宽上限值),造成学校短时间内无法访问互联网,此时PING网关测试OK,但无法PING通外网服务器IP地址(如电信DNS服务器)。导致结果区教育城域网目前所做的安全对策控制带宽架设上网行为管理架设出口防火墙带宽管理说明目前思明区教育局的电信LAN专线带宽为100Mbps,城域网内约有92余所学校及机关单位,平均每所学校能够获得的带宽约1Mbps。根据单位重要性、校园网规模对各单位能够使用的最大带宽进行约定,同时为保证办公时间能够获得比较好的上网速度,在不同时间段上采用相应的流量控制策略。带宽管理时间定义办公时间:周一至周五7:30-11:30AM01:30-6:00PM非办公时间:除办时间以外带宽控制策略A办公时间机关、中学-7M小学-5M幼儿园-2MB非办公时间各单位宽带放宽至10M生成条件:|日期:2009-04-14-2009-04-14|时间:00:00:00-23:59:59|针对内网的安全的彻底解决,将依靠全体网络的接入单位的积极配合,为把我区的教育城域网建成为一个高速,安全,健康,绿色的思明教育城域网而努力。谢谢