🧠拓扑・全局洞察 | 🔐安全・纵深防御
📡节点・边界管控 | ⚙️架构・持续优化
目录
[1.1 DMZ 服务器区(对外门户区)](#1.1 DMZ 服务器区(对外门户区))
[1.1.1 基础业务逻辑](#1.1.1 基础业务逻辑)
[1.1.2 全域安全控制](#1.1.2 全域安全控制)
[1.2 数据中心服务区(全校核心数据库房)](#1.2 数据中心服务区(全校核心数据库房))
[1.2.1 基础业务逻辑](#1.2.1 基础业务逻辑)
[1.2.2 全域安全控制](#1.2.2 全域安全控制)
[1.3 无线网络区域(校园 WiFi 公共区域)](#1.3 无线网络区域(校园 WiFi 公共区域))
[1.3.1 基础业务逻辑](#1.3.1 基础业务逻辑)
[1.3.2 全域安全控制](#1.3.2 全域安全控制)
[1.4 本地楼宇接入区(校本部教学楼 + 宿舍楼 + 院系办公楼)](#1.4 本地楼宇接入区(校本部教学楼 + 宿舍楼 + 院系办公楼))
[1.4.1 基础业务逻辑](#1.4.1 基础业务逻辑)
[1.4.2 全域安全控制](#1.4.2 全域安全控制)
[1.5 安全管理区(全网安保指挥中心)](#1.5 安全管理区(全网安保指挥中心))
[1.5.1 基础业务逻辑](#1.5.1 基础业务逻辑)
[1.5.2 全域安全控制](#1.5.2 全域安全控制)
[1.6 多校区校内用户区(异地分校区专线接入)](#1.6 多校区校内用户区(异地分校区专线接入))
[1.6.1 基础业务逻辑](#1.6.1 基础业务逻辑)
[1.6.2 全域安全控制](#1.6.2 全域安全控制)
[1.7 合作机构区(校企 / 研究院专线接入)](#1.7 合作机构区(校企 / 研究院专线接入))
[1.7.1 基础业务逻辑](#1.7.1 基础业务逻辑)
[1.7.2 全域安全控制](#1.7.2 全域安全控制)
[1.8 互联网出口总区域(四条运营商汇聚出口)](#1.8 互联网出口总区域(四条运营商汇聚出口))
[1.8.1 基础业务逻辑](#1.8.1 基础业务逻辑)
[1.8.2 全域安全控制 + 对应等保落地](#1.8.2 全域安全控制 + 对应等保落地)
[2.1 场景 1:校内任课老师](#2.1 场景 1:校内任课老师)
[2.2 场景 2:在校大学生](#2.2 场景 2:在校大学生)
[2.3 场景 3:校外考生家长](#2.3 场景 3:校外考生家长)
[👍点赞⭐收藏 = ❤️最大支持](#👍点赞⭐收藏 = ❤️最大支持)
〇、整体概述
整套校园网参照等保 2.0 三级建设标准 设计,采用多出口互联网 + 分区域隔离 + 全域安全探针 + 集中安全管理。 全网划分为7 个独立安全分区。 类比:每个区域是独立宿舍楼 / 功能楼,楼之间设门禁安检(防火墙)、全域布满监控(威胁探针),出口统一门卫安检(下一代防火墙、负载均衡),对标等保 2.0 三级(教育行业高校通用定级)相关条款。整体拓扑如下:
全网七大安全分区定位、安全等级表:
| 分区名称 | 区域定位 | 安全等级 |
|---|---|---|
| DMZ 服务器区 | 官网、对外发布业务(公网师生访问校园门户) | 中风险(直面互联网) |
| 数据中心服务器区 | 教务、学工、一卡通、财务数据库核心区 | 最高风险(核心资产) |
| 无线网络区域 | 校园 WiFi(老师、学生手机 / 笔记本无线上网) | 中风险 |
| 本地楼宇接入区(教学楼 / 图书馆 / 宿舍楼等) | 校内师生终端有线接入(老师办公、学生机房、宿舍上网) | 普通风险 |
| 安全管理区 | 堡垒机、日志审计平台、安全感知大屏、全网探针管理平台 | 高危管控区 |
| 异地多校区校内用户区 | 异地校区师生办公终端、分校本地小型数据节点 | 普通风险 |
| 合作机构区 | 校企合作单位、合作研究院专线对接访问科研资源 | 中风险(外部互联) |
一、各安全域
1.1 DMZ 服务器区(对外门户区)
1.1.1 基础业务逻辑
本区域是学校面向互联网的对外窗口,所有校外考生、家长、往届学生通过家里手机、外网电脑访问学校官网、招生简章、校外成绩查询系统,所有对外发布类服务器 统一集中部署在 DMZ。硬性规则:DMZ 服务器禁止主动向内网数据中心发起连接,只能由内网业务按需单向同步数据过来,从源头防止网站被攻陷后黑客顺势攻入内网核心库。
**路径:**公网用户→运营商线路→出口设备→DMZ 防火墙→DMZ 服务器。
1.1.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 域边界下一代防火墙 | 接待大厅门禁闸机,只放行网页 80/443 端口,封禁远程桌面、数据库连接等高危端口 | ✅对应等保:访问控制(3.1.1)、边界防护(3.2.1),限制区域间非法访问。 |
| 网站 WAF + 网页安全监测 | 网站专属巡逻保安,7×24 小时盯防 SQL 注入、XSS 跨站、网页篡改、爬虫 CC 攻击 | ✅对应等保:入侵防范(3.2.2)、恶意代码防范,及时发现 Web 攻击。 |
| 独立 VLAN 逻辑隔离 | 大厅内部隔间划分,官网、招生系统、查询系统互相隔离,单个网站中毒不牵连同区域其他服务 | ✅对应等保:区域划分(3.1.2),不同安全域逻辑隔离。 |
1.2 数据中心服务区(全校核心数据库房)
1.2.1 基础业务逻辑
相当于学校存放学籍、财务、一卡通 全部机密资料的保险柜库房,全校老师录入成绩、教务排课、学生缴学费、校园卡消费 的数据最终全部落盘存储在这里。校内各院系、分校区终端想要调取数据,不能直连数据库,请求流量必须经过边界防火墙层层安检,合规放行后才可访问。
1.2.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 边界增强下一代防火墙 | 库房专属防盗门,采用 IP 白名单机制,仅放开授权院系网段,陌生 IP 全部拦在门外 | ✅等保:访问控制、重要资源边界隔离。 |
| 数据库审计系统 | 库房全程记录仪,所有增删改查 SQL 操作逐条记录,批量导出上万条学生信息、删库操作实时短信告警,日志留存超 6 个月 | ✅等保:安全审计(3.3.1),数据库操作日志留存≥6 个月。 |
| 数据防泄漏 DLP + 防病毒网关 | 进出库房安检消毒台,识别身份证号、学籍号、缴费明细等敏感信息,拦截批量外发隐私数据,数据包落地前查杀勒索病毒 | ✅等保:恶意代码防范。 |
| 区域部署潜伏威胁探针 2 | 库房门口监控,镜像全量进出流量,捕捉黑客内网横向漫游、暴力破解数据库行为,异常数据实时上传安全管理平台 | ✅等保:入侵检测、集中安全监测。 |
1.3 无线网络区域(校园 WiFi 公共区域)
1.3.1 基础业务逻辑
覆盖食堂、教学楼、操场、图书馆全场景无线 AP,老师带笔记本移动上课、学生手机上网全部接入本区域,无线流量统一汇聚至区域交换机后上联核心,可按需访问校内资源或者互联网。因为无线属于开放式接入,极易出现私接黑 AP、陌生设备蹭网风险,因此单独划域隔离。
1.3.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 无线域边界防火墙 | 公共活动区围栏,无线网段与校内办公有线网段彻底隔离,防止蹭网终端扫描内网设备 | ✅等保:无线网络安全管控、访问权限划分。 |
| 无线终端准入认证(账号 + 密码) | 进入园区实名制登记,师生必须用工号 / 学号认证入网,非法设备无法连上校园 WiFi | ✅等保:终端接入管控、身份鉴别 |
| AP 接入管控,拦截私接无线路由器 | 严查私自搭建黑 WiFi 小黑点,发现私接 AP 直接封禁端口 | ✅等保:非法接入防范 |
1.4 本地楼宇接入区(校本部教学楼 + 宿舍楼 + 院系办公楼)
1.4.1 基础业务逻辑
分为三大子片区:行政院系办公区、教学机房区、学生宿舍区 ,是校内有线终端 最大聚集地。任课老师办公室电脑、机房上机学生 PC、宿舍学生台式机全部接入楼层接入交换机,再逐层汇聚上联校园核心交换机。片区分别部署潜伏威胁探针 3、4、5,分片监控内网流量。
1.4.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 边界下一代防火墙 | 域边界,采用 IP 白名单机制,仅放开合适的网段,陌生 IP 全部拦在门外 | ✅等保:访问控制、边界隔离。 |
| 接入交换机 IP+MAC 端口绑定 | 每个工位固定座位,电脑和端口绑定,外来电脑不能随便插网线上内网 | ✅等保:终端接入安全管控 |
| 片区潜伏威胁探针 3/4/5 | 各个楼栋楼道监控,实时抓取终端挖矿外联、病毒内网横向扩散、端口扫描行为,异常 IP 联动出口防火墙拉黑 | ✅等保:内网异常行为监测、入侵防范 |
| 内网上网行为管理 AC | 楼栋管理员,记录终端上网行为,上课时段限制学生访问游戏、影音网站 | ✅等保:用户行为审计 |
1.5 安全管理区(全网安保指挥中心)
1.5.1 基础业务逻辑
整网安全大脑,堡垒机、集中日志服务器、全网安全感知平台 统一部署于此。所有运维工程师不能直连交换机、防火墙、服务器,必须统一在本区域通过堡垒机登录操作 ;全网所有安全设备、网络设备日志统一汇总存储,各类探针上报的告警数据全部在安全大屏 集中展示。片区还部署潜伏威胁探针1。
1.5.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 运维堡垒主机 | 运维唯一值班室入口,账号分级分权,普通运维没有权限访问财务、数据库设备,全操作录像存档 | ✅等保:运维访问管控(3.3.2)、特权账号管理。 |
| 集中日志审计服务器 | 全校区事件记录本,收集防火墙、AC、交换机、服务器全量日志,存储周期大于 6 个月 | ✅等保:集中安全审计,日志留存合规 |
| 安全感知平台 + 潜伏威胁探针 1 | 安保总监控大屏,汇总全校区 7 组探针 上报风险,联动出口防火墙一键阻断攻击源 IP ,对接云端情报同步新型病毒特征 | ✅等保:集中安全监测、威胁预警处置 |
1.6 多校区校内用户区(异地分校区专线接入)
1.6.1 基础业务逻辑
异地分校区通过运营商专线链路 接入本部校园核心网,分校老师办公、机房上机需要访问本部教务系统、互联网资源,流量全部经由专线进出;分区部署潜伏威胁探针 6、7,专门监控跨专线流量。
1.6.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 专线边界防火墙 | 跨校区通道检查站,白名单仅放开教务、科研系统访问权限,阻断跨网段随意漫游 | ✅等保:广域专线边界访问控制 |
| 分校区上网行为管理 AC | 分校上网管理员,管控师生外网访问内容,留存全量上网日志 | ✅等保:上网行为审计 |
| 片区探针 6/7 | 跨线路监控,防止分校电脑中毒后病毒顺着专线传染本部内网 | ✅等保:跨区域流量安全监测 |
1.7 合作机构区(校企 / 研究院专线接入)
1.7.1 基础业务逻辑
校外合作单位通过独立物理专线 接入校园网,合作单位工作人员仅需访问校内指定科研服务器 ,严禁触碰学籍、财务等核心数据中心资源,本区域采用双层防火墙做纵深隔离。
1.7.2 全域安全控制
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 双层下一代防火墙(内外两道门禁) | 会客区双重安检,外层防火墙拦外部攻击,内层防火墙精细化权限,只放行指定科研 IP 与端口 | ✅等保:第三方外联边界防护、最小授权访问 |
| 单独 VLAN 隔离合作机构网段 | 来访人员专属独立小院,无法路由至校内其他任何业务区域 | ✅等保:第三方接入网络分区隔离 |
1.8 互联网出口总区域(四条运营商汇聚出口)
1.8.1 基础业务逻辑
全校进出互联网 唯一主干道,师生访问外网、公网用户访问 DMZ 网站全部经过本区域,电信 / 联通 / 移动 / 教育科研网四条链路做冗余,单条链路故障自动切换备用线路。
1.8.2 全域安全控制 + 对应等保落地
| 安全措施 | 通俗比喻 | 等保条款 |
|---|---|---|
| 链路负载均衡 | 多车道分流调度,智能分配四条宽带流量,故障自动切换链路 | ✅等保:通信链路冗余可靠性要求 |
| 出口下一代防火墙 | 学校正门总安检,抵御互联网 DDoS 洪水攻击、木马外联、恶意域名访问,过滤网页病毒 | ✅等保:互联网边界入侵防范、DDoS 防护 |
| 全网出口 AC 上网行为管理 | 全校上网规则管理员,统一管控外网访问黑名单 | ✅等保:全网用户访问行为审计 |
二、访问者视角数据流
2.1 场景 1:校内任课老师
**场景:**校内任课老师在办公室内网电脑,登录教务系统查询本班学生成绩。
**上行请求数据流:**老师电脑→教务数据库。逐环节防护
- 老师办公 PC→楼层接入交换机:交换机校验 IP/MAC 绑定关系,同科室 VLAN 隔离,禁止其他科室终端跨 VLAN 探测
- (旁路检测)片区潜伏威胁探针:镜像复制本次访问流量,后台核查终端是否存在异常发包、中毒扫描
- 汇聚交换机→校园核心交换机→内网 AC 上网行为:校验老师工号实名权限,记录本次访问日志
- 数据中心边界下一代防火墙:匹配白名单,确认该老师 IP 拥有教务系统访问权限,拦截异常端口报文
- 数据中心防病毒网关:数据包消杀,剔除携带病毒、注入攻击的恶意载荷
- (旁路检测)数据库审计旁路:预记录本次 SQL 查询语句,开启访问留痕
- 教务应用服务器→后台数据库,调取对应学生成绩数据
**下行回包数据流:**成绩数据原路返回老师电脑,逐层校验。数据库调出成绩数据→DLP 校验是否存在批量导出全量学籍隐私数据→数据库审计记录回包日志→防病毒网关二次查杀数据包→数据中心防火墙校验回包合法性→核心交换机→片区探针留存回包流量日志→AC 记录文件下载行为→接入交换机→老师电脑页面展示成绩。
2.2 场景 2:在校大学生
**场景:**宿舍笔记本连接校园 WiFi,访问互联网查找课程论文资料。
- 笔记本接入校园无线 AP→无线汇聚交换机→无线域边界防火墙:隔离无线网与校内有线办公网段,阻断无线终端扫描内网服务器
- 校园核心交换机→全网出口 AC:过滤游戏、非法网站,记录上网行为日志,限制 P2P 高速下载占用带宽
- 出口下一代防火墙:拦截恶意域名、网页捆绑病毒,拦截 CC 异常访问
- 链路负载均衡:自动优选空闲运营商线路→运营商骨干网→互联网
- 外网资源回包原路逐层安检、过滤后,最终展示在学生笔记本浏览器。
2.3 场景 3:校外考生家长
**场景:**家中手机公网环境,访问学校官网查询招生简章。
- 家长手机→运营商公网链路→校园出口负载均衡→出口下一代防火墙:拦截爬虫、CC 恶意高频访问、端口扫描
- DMZ 区域边界防火墙:仅放行网页 80、443 端口,拦截数据库、远程访问等非法请求
- WAF 网站防护旁路:实时检测访问报文是否携带 SQL 注入、网页篡改攻击
- DMZ 官网服务器:读取招生数据,封装回包,原路逐层安检后返回家长手机页面。
三、整体安全总结
整体安全建设 & 对应等保大类汇总表:
| 安全建设维度 | 落地实现内容 | 对应等保核心要求 |
|---|---|---|
| 安全域纵深隔离 | 7 大区域全边界防火墙隔离,分域划 VLAN,第三方、分校区独立设防 | 等保网络架构、区域划分、访问控制要求 |
| 全链路安全审计 | 堡垒机运维审计、数据库审计、全网日志集中存储、上网行为审计全闭环,日志留存>6 个月 | 等保安全审计全条款落地 |
| 全域威胁监测 | 全校区多点位潜伏威胁探针 + 安全感知平台 + 云端情报联动,内网 + 外网全流量可视可预警 | 等保入侵防范、集中安全监测 |
| 互联网边界防护 | 多链路负载 + 出口防火墙 + AC 三层防护,抗 DDoS、病毒过滤、上网管控 | 等保互联网边界安全防护 |
| 第三方接入管控 | 合作机构、异地分校专线双层边界防护,最小权限准入 | 等保第三方互联安全管理 |
👍点赞⭐收藏 = ❤️最大支持
