版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、Anhui Vocactional & Technical College of Industry & Trade畢業(yè)論文校園網(wǎng)絡(luò)安全問題及對策The campus network security problems and countermeasures所在系院: 計算機(jī)信息工程系 專業(yè)班級: 計算機(jī)應(yīng)用技術(shù)三班 學(xué)生學(xué)號: 學(xué)生姓名: 鄭 巖 指導(dǎo)教師: 賀 繼 東 年 月 日摘 要網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性,包括信息的保密性、完整性、可用性、真實(shí)性、可控性等幾個方面,它通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程體現(xiàn)。校園網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下,對于防
2、止來自校園網(wǎng)外的攻擊。防火墻,則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)安全系統(tǒng)是必要的。本文從對校園網(wǎng)的現(xiàn)狀分析了可能面臨的威脅,從計算機(jī)的安全策略找出解決方案既用校園網(wǎng)絡(luò)安全管理加防火墻加設(shè)計的校園網(wǎng)絡(luò)安全系統(tǒng)。通過以下三個步驟來完成校園網(wǎng)絡(luò)安全系統(tǒng):1、 建設(shè)規(guī)劃;2、 技術(shù)支持;3、 組建方案。關(guān)鍵詞:網(wǎng)絡(luò); 安全; 設(shè)計ABSTRACTNetwork security is the essence of the safety of network information, including informa
3、tion of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process. Campus network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from
4、 outside the campus. A firewall is a firm between inner and outer net security barrier. Safety management is the basis of network security and safety technology is the auxiliary measures with safety management. The school has established a set of campus network security system is necessary.Based on
5、the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system. Through three steps to complete the campus network security system: 1, the const
6、ruction plan. 2 and technical support. 3 and construction scheme.Keyword: Network, Safe ;Design目 錄摘 要I關(guān)鍵詞:IABSTRACTIIKeyword:II引 言V第一章 校園網(wǎng)絡(luò)安全11.1 校園網(wǎng)概述11.2 校園網(wǎng)絡(luò)安全概述11.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析21.4 校園網(wǎng)絡(luò)安全威脅41.4.1 計算機(jī)病毒41.4.2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個安全威脅就是網(wǎng)絡(luò)攻擊。51.4.3 存在的安全隱患。7第二章 校園網(wǎng)絡(luò)安全策略92.1 校園網(wǎng)安全管理92.2校園網(wǎng)網(wǎng)絡(luò)安全方案102.2.1事前的身份
7、認(rèn)證102.2.3事后的完整統(tǒng)計11第三章 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計133.1 校園網(wǎng)建設(shè)需求分析133.1.1 需求分析133.1.2 關(guān)鍵設(shè)備143.1.3 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)153.2 技術(shù)方案163.2.1 校園網(wǎng)的建設(shè)規(guī)劃163.2.2 組網(wǎng)技術(shù)203.2.3 網(wǎng)絡(luò)操作系統(tǒng)233.2.4 Internet接入技術(shù)233.2.5 防火墻技術(shù)23第四章 建網(wǎng)方案254.1 網(wǎng)絡(luò)組成254.1.1 網(wǎng)絡(luò)主干254.1.2 網(wǎng)絡(luò)中心254.1.3 計算機(jī)教室254.1.4 教師備課機(jī)房264.1.5 圖書館系統(tǒng)264.1.6 多媒體綜合教室264.1.7 校長辦公室及其它相關(guān)處室274.2 虛擬
8、網(wǎng)設(shè)計274.3 網(wǎng)絡(luò)軟件運(yùn)行平臺28第五章 校園網(wǎng)的運(yùn)行305.1 校園網(wǎng)的應(yīng)用305.1.1 校園網(wǎng)管理信息系統(tǒng)305.1.2校園網(wǎng)計算機(jī)教學(xué)系統(tǒng)305.1.3校園網(wǎng)站305.2 校園網(wǎng)的管理31總 結(jié)32致 謝33參考文獻(xiàn)34引 言隨著網(wǎng)絡(luò)的高速發(fā)展,網(wǎng)絡(luò)的安全問題日益突出,近年來,黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光,國家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在高校網(wǎng)絡(luò)建設(shè)的過程中,由于對技術(shù)的偏好和運(yùn)營意識的不足,普遍都存在“重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,關(guān)鍵性應(yīng)用的普及和深入,校園網(wǎng)從早先教育、科研的試驗(yàn)網(wǎng)的角色已經(jīng)轉(zhuǎn)變
9、成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò),校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題。 隨著教育信息化的不斷推進(jìn),各高等院校都相繼建成了自己的校園網(wǎng)絡(luò)并連入互聯(lián)網(wǎng),校園網(wǎng)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到,隨著校園網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長,尤其是校園網(wǎng)絡(luò)所面對的使用群體的特殊性(擁有一定的網(wǎng)絡(luò)知識、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識卻相對淡漠),如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問
10、題,解決網(wǎng)絡(luò)安全問題刻不容緩。第一章 校園網(wǎng)絡(luò)安全1.1 校園網(wǎng)概述信息技術(shù)已引起了全面而深刻的社會變革,為此,世界各國政府都對教育的發(fā)展給予了前所未有的關(guān)注,把信息化教育放到重要的位置上,紛紛提出了本國的信息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個有決定性意義的問題,而且十分重要的是,學(xué)校應(yīng)該處于影響整個社會深刻變革的中心地位。 因此校園網(wǎng)信息系統(tǒng)的建設(shè),是非常必要的,也是可行的。當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段,發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。教育信息量的不斷增多,使各級各類學(xué)校、家庭和教
11、育管理部門對教育信息計算機(jī)管理和教育信息服務(wù)的要求越來越強(qiáng)烈。我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng),并且越來越形象化、實(shí)用化,迫切需要網(wǎng)絡(luò)環(huán)境。計算機(jī)技術(shù)的飛速發(fā)展,使相應(yīng)產(chǎn)品價格不斷下降;同時人們的認(rèn)識水平和經(jīng)濟(jì)實(shí)力不斷提高。大量計算機(jī)進(jìn)入學(xué)校和家庭,使得計算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。1.2校園網(wǎng)絡(luò)安全概述自信息系統(tǒng)開始運(yùn)行以來就存在信息系統(tǒng)安全問題,通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國FBI的調(diào)查,美國每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。由于校園網(wǎng)絡(luò)內(nèi)運(yùn)行的主
12、要是多種網(wǎng)絡(luò)協(xié)議,而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。操作系統(tǒng)的安全性,目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞,如UNIX服務(wù)器,NT服務(wù)器及Windows桌面PC;防火墻的安全性,防火墻產(chǎn)品自身是否安全,是否設(shè)置錯誤,需要經(jīng)過檢驗(yàn);來自內(nèi)部網(wǎng)用戶的安全威脅;缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性;采用的TCP/IP協(xié)議族軟件,本身缺乏安全性;應(yīng)用服務(wù)的安全,許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少,并且,如果系統(tǒng)設(shè)置錯誤,很容易造成損失。1.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,這對加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享
13、都起大了無法估量的作用,但在積極發(fā)展辦公自動化、信息電子化、實(shí)現(xiàn)資源共享的同時,網(wǎng)絡(luò)的安全問題越來越成為一個非常嚴(yán)懲的隱患,就好像一顆定時炸彈一樣,深深的埋在教育現(xiàn)代化的進(jìn)程中,如果這一個隱患不除,那么也許有一天,學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了,導(dǎo)致辛苦積累的大量教育資源被破壞。比如2003年暴發(fā)的“震蕩波、沖擊波、FORM.A”等病毒,雖沒有造成很大的損失,但足以使認(rèn)識到網(wǎng)絡(luò)安全的重要性。因此,如何在現(xiàn)有的條件下避免這樣事件發(fā)生,搞好網(wǎng)絡(luò)的安全工作已成了一個重要課題。1997年開始,我國校園網(wǎng)絡(luò)建設(shè)悄然興起。全國各省市都把建設(shè)校園
14、網(wǎng)作為現(xiàn)代教育的頭等大事來抓。1999年9月,教育部決定正式啟動國家現(xiàn)代遠(yuǎn)程教育工程,清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點(diǎn)。目前,這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。各校在實(shí)踐中逐漸意識到:一所學(xué)校教育質(zhì)量的好壞,學(xué)術(shù)水平層次的高低,與教學(xué)手段的先進(jìn)程度有一定關(guān)系,教學(xué)手段對學(xué)校整體的發(fā)展有著直接影響。在世界各發(fā)達(dá)國家,校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。現(xiàn)代教育的實(shí)施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國要求所有中小學(xué)生都能上網(wǎng),都能使用電子郵件,并計劃將全國122所一流大學(xué)與社會廣泛連接,構(gòu)筑一個教育與研究的專用網(wǎng)絡(luò);英國提出要在2000
15、年成立網(wǎng)上工業(yè)大學(xué),到2002年所有中小學(xué)、圖書館、學(xué)院和大學(xué)全部介入全國的學(xué)習(xí)網(wǎng);新加坡提出八歲兒童能閱讀,十二歲兒童能上網(wǎng)。 1996年,教育部提出要以全國1000所中小學(xué)校作為試點(diǎn),建立起各自的校園網(wǎng)絡(luò)。截止2000年年初,教育部宣布有500多家已建立??梢哉f,在國家政策扶持下,我國校園網(wǎng)建設(shè)取得了飛速發(fā)展。但現(xiàn)實(shí)中,各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題,如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃,從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢,或是導(dǎo)致后期整體效率不高;有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員,將項(xiàng)目交給一些實(shí)力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé),結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低,后期維護(hù)費(fèi)用偏大;還有
16、的學(xué)校認(rèn)為校園網(wǎng)就是一攬子計劃,忽視了后期維護(hù)和配套建設(shè)工作,從而導(dǎo)致后期預(yù)算偏緊,校園網(wǎng)難以正常運(yùn)作為了解決上述問題,在建網(wǎng)時應(yīng)注意:1. 校園網(wǎng)建設(shè)沒有通用方案,每個學(xué)校應(yīng)根據(jù)自身實(shí)際情況(資金和技術(shù)能力),設(shè)計自身的校園網(wǎng)絡(luò);2. 校園網(wǎng)建設(shè)是一個周期較長,規(guī)模龐大的系統(tǒng)工程,不能一蹴而就,更不能只考慮局部建設(shè),而缺乏整體規(guī)劃;3. 重視對教師的培訓(xùn),避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高,從而導(dǎo)致資源的浪費(fèi)。隨著計算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長,一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時,其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復(fù)制,數(shù)據(jù)的安全性和自身的利益
17、受到了嚴(yán)重的威脅。校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時有發(fā)生,非更改考試成績;更改英語全國四、六級統(tǒng)考成績;更改考研成績;非法盜取學(xué)校招生、分配機(jī)密等。綜上所述,網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。1.4 校園網(wǎng)絡(luò)安全威脅1.4.1 計算機(jī)病毒 計算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時,嵌入的病毒也隨之運(yùn)行并感染其它程序。計算機(jī)病毒種類繁多,形形色色,但就已經(jīng)發(fā)現(xiàn)的計算機(jī)病毒而言,其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征
18、。破壞性是指計算機(jī)病毒可能會干擾軟件的運(yùn)行,或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行,又或者毀掉部分?jǐn)?shù)據(jù)或程序,使之無法恢復(fù),甚至可以毀壞整個系統(tǒng),導(dǎo)致系統(tǒng)崩潰。傳染性則是計算機(jī)病毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計算機(jī)病毒可以長時間地潛伏在文件中,在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計算機(jī),但當(dāng)被觸發(fā)后,則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒計者的要求,例如指定的日期、時間或特定的條件出現(xiàn)在某個點(diǎn)激活并發(fā)起攻擊。計算機(jī)病毒的傳染性證明其具有傳播性,防止病毒傳播,首先必須認(rèn)識其傳播途徑和傳播機(jī)理。計算機(jī)病毒最初傳播
19、主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時候的病毒傳播還是線下傳播。隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展,計算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計算機(jī)系統(tǒng)中都存在著一定的缺陷,尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此網(wǎng)絡(luò)病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。1.4.2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個安全威脅就是網(wǎng)絡(luò)攻擊。廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn),重點(diǎn)介紹拒絕服務(wù)(DoS,Daniel of Service)攻擊。之所以介紹拒絕
20、服務(wù)攻擊,因?yàn)榫芙^服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大為拒絕服務(wù)攻擊提供了天然條件。加之學(xué)生的好奇心的因素,導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高,是危害校園網(wǎng)安全的重要類型之一。拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備,導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時,可能采取單一手段的攻擊模式,也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說主要有以下幾種:1死亡之Ping。早期的網(wǎng)絡(luò)不支持大包,攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大
21、數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò),造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包,這種方式已經(jīng)不再出現(xiàn)。2淚滴攻擊。攻擊者采用修改包片段字頭的方式,使得包無法正確組裝導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。3UDP洪水攻擊。攻擊利用如chargen和echo等簡單的TCPIP服務(wù)相互發(fā)送大量數(shù)據(jù)以沾滿帶寬,從而癱瘓網(wǎng)絡(luò)的方式。4 SYN洪水攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的SYN握手信息來癱瘓服務(wù)器的攻擊方式。5 LAND攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息已達(dá)到癱瘓主機(jī)的目的。6 Smurf攻擊。攻擊者將報文地址設(shè)為Echo地址,這樣Echo78地址就必須不問斷的響應(yīng)該報文,使得網(wǎng)絡(luò)帶寬被侵占,從而達(dá)到
22、癱瘓網(wǎng)絡(luò)的目的。7. Fraggle攻擊。Fraggle攻擊對Smurf攻擊做了修改。8電子郵件炸彈。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件,起到癱瘓服務(wù)器的作用。9急性消息攻擊。借助機(jī)器對某些消息為進(jìn)行錯誤校驗(yàn)來攻擊服務(wù)器。10分布式拒絕服務(wù)攻擊。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式,其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊,導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。常見的拒絕服務(wù)攻擊主要有以上幾種,攻擊者攻擊目的和攻擊水平不同,選用的方式不同。無論哪種方式,都對網(wǎng)絡(luò)安全造成很大的危害。1.4.3 存在的安全隱患。以我校為例,校園網(wǎng)絡(luò)存在的安全隱患和漏洞有:1計算機(jī)與Internet相連,卻沒有安裝相應(yīng)的殺毒軟
23、件及防火墻。2使用的操作系統(tǒng)存在安全漏洞,網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內(nèi)大部分計算機(jī)系統(tǒng)或多或少都存在著各種的漏洞,校園網(wǎng)絡(luò)又對社會開放,這樣一來只要接入INTERNET的用戶就可以對校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的,加上帶毒的木馬程序,一感染便駐留在你的計算機(jī)當(dāng)中,在以后的計算機(jī)啟動后,木馬就在機(jī)器中打開一個服務(wù),通過這個服務(wù)將你計算機(jī)的信息、資料向外傳遞。3目錄共享導(dǎo)致信息的外泄, 在校園網(wǎng)絡(luò)中,利用在對等網(wǎng)中對計算機(jī)中的某個目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個方法。但可以說幾
24、乎所有的人都沒有充分認(rèn)識到當(dāng)一個目錄共享后,就不光是校園網(wǎng)內(nèi)的用戶可以訪問到,而是連在網(wǎng)絡(luò)上的各臺計算機(jī)都能對它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。我曾經(jīng)搜索過外地機(jī)器的一個C類IP網(wǎng)段,發(fā)現(xiàn)共享的機(jī)器就有十幾臺,而且許多機(jī)器是將整個C盤、D盤進(jìn)行共享,并且在共享時將屬性設(shè)置為完全共享,且不進(jìn)行密碼保護(hù),這樣只要將其映射成一個網(wǎng)絡(luò)硬盤,就能對上面的資料、文檔進(jìn)行查看、修改、刪除。因而對目錄共享安全意識的單薄,會導(dǎo)致了信息的外泄。4網(wǎng)絡(luò)安全意識淡薄,校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器,盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮,我校
25、應(yīng)用服務(wù)器和普通計算機(jī)平均一個星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試,而其中一大部分的非法訪問源自校內(nèi),說明校園網(wǎng)絡(luò)上的用戶安全意識淡??;另外,沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度,各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn),這也是網(wǎng)絡(luò)安全問題泛濫的一個重要原因.由此可見,構(gòu)筑具有必要的信息安全防護(hù)體系,建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要第二章 校園網(wǎng)絡(luò)安全策略2.1 校園網(wǎng)安全管理規(guī)范出口管理,實(shí)施校園網(wǎng)的整體安全架構(gòu),必須解決多出口的問題。對于出口進(jìn)行規(guī)范統(tǒng)一的管理,使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備,在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)
26、安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞,一般包括:防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外,通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網(wǎng)絡(luò)的故障可以迅速定位并解決。解決用戶上網(wǎng)身份問題,建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題,而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ),否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之,只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng),才能徹底的解決用戶上網(wǎng)身份問題,同時也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。嚴(yán)格規(guī)范上網(wǎng)場所的管理,集
27、中進(jìn)行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn),而且,合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控,上網(wǎng)行為的日志要集中保存在中心服務(wù)器上,保證了這個記錄的法律性和準(zhǔn)確性。根據(jù)相關(guān)部門的要求,配備專門的安全管理人員,出臺網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的,現(xiàn)狀還是“道高一尺,魔高一丈”,因此管理的工作就愈發(fā)重要和艱巨,必須要做到及時進(jìn)行漏洞修補(bǔ)和定期詢檢,保證對網(wǎng)絡(luò)的監(jiān)控和管理。2.2校園網(wǎng)網(wǎng)絡(luò)安全方案 2.2.1事前的身份認(rèn)證對于每一個需要訪問網(wǎng)絡(luò)的用戶,我們需要對其身份進(jìn)行驗(yàn)證,身份驗(yàn)證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在
28、交換機(jī)的IP地址、用戶PC所在交換機(jī)的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡(luò)的時間,通過以上信息的綁定,可以達(dá)到如下的效果:每一個用戶的身份在整個校園網(wǎng)中是唯一,避免了個人信息被盜用.當(dāng)安全事故發(fā)生的時候,只要能夠發(fā)現(xiàn)肇事者的一項(xiàng)信息比如IP地址,就可以準(zhǔn)確定位到該用戶,便于事情的處理。只有經(jīng)過網(wǎng)絡(luò)中心授權(quán)的用戶才能夠訪問校園網(wǎng),防止非法用戶的非法接入,這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡(luò)病毒、黑客程序的通道。圖2-1 網(wǎng)絡(luò)授權(quán)中心2.2.2網(wǎng)絡(luò)攻擊的防范對于常見的比如沖擊波、振蕩波等對網(wǎng)絡(luò)危害特別嚴(yán)重的網(wǎng)絡(luò)病毒,通過部署擴(kuò)展的ACL,能夠?qū)@些病毒所使用的TCP、UDP的端口進(jìn)行防范,一旦
29、某個用戶不小心感染上了這種類型的病毒,不會影響到網(wǎng)絡(luò)中的其他用戶,保證了校園網(wǎng)網(wǎng)絡(luò)帶寬的合理使用。對于未知的網(wǎng)絡(luò)病毒,通過在網(wǎng)絡(luò)中部署基于數(shù)據(jù)流類型的帶寬控制功能,為不同的網(wǎng)絡(luò)應(yīng)用分配不同的網(wǎng)絡(luò)帶寬,保證了關(guān)鍵應(yīng)用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬,當(dāng)新的病毒產(chǎn)生時,不會影響到主要網(wǎng)絡(luò)應(yīng)用的運(yùn)行,從而保證了網(wǎng)絡(luò)的高可用性。通過對每一個ARP報文進(jìn)行深度的檢測,即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致,如果不一致,視為更改了IP地址,所有的數(shù)據(jù)包都不能進(jìn)入網(wǎng)絡(luò),這樣可有效防止安全端口上的ARP欺騙,防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP(如服務(wù)器),造成網(wǎng)絡(luò)通訊混
30、亂。通過部署IP、MAC、端口綁定和IP+MAC綁定(只需簡單的一個命令就可以實(shí)現(xiàn))。并實(shí)現(xiàn)端口反查功能,追查源IP、MAC訪問,追查惡意用戶。有效的防止通過假冒源IP/MAC地址進(jìn)行網(wǎng)絡(luò)的攻擊,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。銳捷產(chǎn)品均支持IMGP源端口檢查,實(shí)現(xiàn)全網(wǎng)杜絕非法組播源,指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時,從任何端口進(jìn)入的視頻流均是合法的,交換機(jī)會把它們轉(zhuǎn)發(fā)到已注冊的端口。當(dāng)IGMP源端口檢查打開時,只有從路由連接口進(jìn)入的視頻流才是合法的,交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊的端口;而從非路由連接口進(jìn)入的視頻流被視為是非法的,將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查,有效
31、控制非法組播,實(shí)現(xiàn)全網(wǎng)杜絕非法組播源,更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能,同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應(yīng)用多元化和潮流下具有明顯的優(yōu)勢,而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時IGMP源端口檢查,具有效率更高、配置更簡單、更加實(shí)用的特點(diǎn),更加適用于校園運(yùn)營網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。2.2.3事后的完整統(tǒng)計當(dāng)用戶訪問完網(wǎng)絡(luò)后,會保存有完備的用戶上網(wǎng)日志紀(jì)錄,包括某個用戶名,使用那個IP地址,MAC地址是多少,通過那一臺交換機(jī)的哪一個端口,什么時候開始訪問網(wǎng)絡(luò),什么時候結(jié)束,產(chǎn)生了多少流量。如果安全事故發(fā)生,可以通過查詢該日志,來唯一的確定該用戶的身份,便于了事情的處理。圖2
32、-2 用戶上網(wǎng)日志第三章 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計3.1 校園網(wǎng)建設(shè)需求分析3.1.1 需求分析局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用,如:共享磁盤設(shè)備、打印機(jī)等,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺共享打印機(jī)上進(jìn)行打印;當(dāng)然也可以借助Wingate或Sygate等軟件多機(jī)共享一臺Modem上網(wǎng);或者通過代理服務(wù)器連上Internet,享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為:10Mbps網(wǎng)卡(ISA 插口或PCI插口)、100Mbps PCI插口網(wǎng)卡、10Mbps/100Mbps自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。目前10Mbps ISA插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額,但由
33、于10Mbps ISA插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低,且占用大量的CPU資源,只適應(yīng)于那些對速度要求不高的局域網(wǎng),因此用100Mbps PCI插口的網(wǎng)卡或者10Mbps/100Mbps自適應(yīng)網(wǎng)卡,夠適應(yīng)于用戶比較多,網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn)行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。BNC口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口,RJ45的接口酷似電話線的接口,但網(wǎng)絡(luò)線使用的是8芯的接頭,使用RJ45的缺點(diǎn)是架設(shè)成本高,但安裝和維護(hù)較為方便,因此我們一般使用RJ45接口。集線器 (HUB):根據(jù)微機(jī)的數(shù)量,利用 HUB構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因
34、HUB的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問題。因此有條件的話可選用交換機(jī)。一個 Hub所組成的域稱為沖突域 ,也就是說 ,網(wǎng)絡(luò)上任何一臺計算機(jī)在收發(fā)數(shù)據(jù)時 ,其他所有計算機(jī)都能夠收到 ,且這些計算機(jī)不能同時進(jìn)行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞(CSMA/ CD協(xié)議會阻止碰撞 )。此外每臺接入 Hub的計算機(jī) ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計算機(jī) CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應(yīng)用。學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò);是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ);是
35、建立遠(yuǎn)程教育體系的基本保證;是提高全民素質(zhì)的重要手段;也是一項(xiàng)靈魂工程。其設(shè)計方案應(yīng)注意以下原則:實(shí)用性校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求,充分實(shí)現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求,使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮,并且便于掌握??煽啃孕@網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜,同時在部分子系統(tǒng)中存在較高的技術(shù)性,因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行,具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率),提高容錯設(shè)計,支持故障檢測和恢復(fù),可管理性強(qiáng)。統(tǒng)一性在系統(tǒng)的設(shè)計過程中,堅持三統(tǒng)一,即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。先進(jìn)性在系統(tǒng)的開發(fā)過程中,既能滿足當(dāng)前院校
36、對網(wǎng)絡(luò)的應(yīng)用需求,又可以在將來需要擴(kuò)展的時候,能方便地擴(kuò)展,保護(hù)目前的所有投資;設(shè)計的配置可以靈活變通,以便適應(yīng)客戶的其他要求。3.1.2 關(guān)鍵設(shè)備在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析,這次參與組網(wǎng)的機(jī)構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī),Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī),Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)??梢酝ㄟ^千兆的光纖鏈路連接到核心交換機(jī),而所有的用戶終端可以通過10/100M自適應(yīng)通道接入到Cisco Cata
37、lyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機(jī),為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問路由器,既可以滿足上級單位Internet的DDN、ISDN接入的需求,又可以滿足繼續(xù)擴(kuò)展的需求。同時Cisco 3662作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號服務(wù)器,提供分支機(jī)構(gòu)的撥號接入。 網(wǎng)絡(luò)核心層:用一臺Cisco的高端三層交換機(jī)Catalyst 6506作為整個交換系統(tǒng)的核心,由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度,從而使計算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個具有整合的千兆以太網(wǎng)
38、主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺。其中配置兩個電源同時供電,彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟,它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力,利用Cisco特有的Netflow技術(shù),完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。 匯聚層:在分配線間分別設(shè)立Cisco
39、 Catalyst 3524和Catalyst 3548作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備,匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去,終端用戶可以通過超5類UTP線纜連接到各層交換機(jī)中去,可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。接入層;在網(wǎng)絡(luò)接入層中我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān),其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能:1.ADSL接入方式。2. FTTX+LAN接入方式。 3.1.3 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo),本設(shè)計方案采用交換式千兆以太網(wǎng)作為主干,百兆交換到桌面。網(wǎng)絡(luò)拓
40、撲采用星型樹結(jié)構(gòu),網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 圖3-1(網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu))3.2 技術(shù)方案3.2.1 校園網(wǎng)的建設(shè)規(guī)劃校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程,與任何一項(xiàng)工程建設(shè)一樣,在開始建設(shè)前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析,它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行都有直接的關(guān)系,因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對于校園網(wǎng)來說,必須對技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識,只有這樣,才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。1 校園網(wǎng)的應(yīng)用特點(diǎn) 隨著現(xiàn)代化教學(xué)活動的開展和與國內(nèi)外教學(xué)機(jī)構(gòu)交往的增多,對通過網(wǎng)絡(luò)進(jìn)行信息交流的需求越來越迫切,為促進(jìn)教學(xué)、方便管理和進(jìn)
41、一步發(fā)揮師生的創(chuàng)造力,校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng),以園區(qū)局域網(wǎng)為主,一個基本的校園網(wǎng)具有以下的特點(diǎn): 高速的局域網(wǎng)連接-校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò),因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn),由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多,而且信息中包含大量多媒體信息,故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求; 信息結(jié)構(gòu)多樣化-校園網(wǎng)應(yīng)用分為電子教學(xué)(多媒體教室、電子圖書館等)、學(xué)校管理和遠(yuǎn)程通訊(遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入)三大部分內(nèi)容:電子教學(xué)包含大量多媒體信息,學(xué)校管理以數(shù)據(jù)庫為主,遠(yuǎn)程通訊則多為WWW方式,因此數(shù)據(jù)成分復(fù)雜,不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求;
42、 操作方便,易于管理-校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員,應(yīng)用和管理應(yīng)簡便易行,界面友好,不宜太過專業(yè)化; 經(jīng)濟(jì)實(shí)用-學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限,因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用,具備很高的性能價格比。 2校園網(wǎng)的需求分析 在著手設(shè)計一個校園網(wǎng)或者計算機(jī)局域網(wǎng)時,其主要依據(jù)就是網(wǎng)絡(luò)用戶(學(xué)校)的需求及將要建設(shè)的網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)。通過對實(shí)際需要進(jìn)行細(xì)致的分析,才能確定系統(tǒng)的總體目標(biāo)和近期目標(biāo)。需求分析是如何設(shè)計、建設(shè)和應(yīng)用校園網(wǎng)的關(guān)鍵。在完成校園網(wǎng)的需求分析之后,就要對整個校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計。校園網(wǎng)具體的需求分析有如下幾點(diǎn):(1) 總體目標(biāo)對于一個校園網(wǎng)來說,系統(tǒng)的總體目標(biāo)就是在
43、一個時期內(nèi),當(dāng)校園網(wǎng)完全建設(shè)好后所要達(dá)到的功能和具有的規(guī)模。一般來說,一個校園網(wǎng)系統(tǒng)總體目標(biāo)是分步實(shí)施的,包括功能的分步實(shí)施和規(guī)模的分步實(shí)施。主要原因是受資金的限制(這是在建設(shè)校園網(wǎng)時普遍遇到的問題)和技術(shù)發(fā)展的影響(因?yàn)殡S著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,校園網(wǎng)總會有進(jìn)行升級的需求)。因此我們在設(shè)計一個校園網(wǎng)時,要充分考慮到對已有校園網(wǎng)資源的再次利用,又要考慮到將來對校園網(wǎng)進(jìn)一步的升級改造。(2)近期目標(biāo)近期目標(biāo)就是根據(jù)實(shí)際需求來設(shè)計和建設(shè)校園網(wǎng),使建設(shè)好后的校園網(wǎng)能滿足實(shí)際需求所應(yīng)有的功能和規(guī)模,同時又要考慮將來能對校園網(wǎng)進(jìn)一步的升級改造或者是后期工程的建設(shè),系統(tǒng)近期目標(biāo)是需求分析的重點(diǎn)。3 網(wǎng)
44、絡(luò)結(jié)構(gòu)設(shè)計 校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計和邏輯設(shè)計,在完成結(jié)構(gòu)設(shè)計后才能對網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計對于整個網(wǎng)絡(luò)系統(tǒng)來說是十分重要的,它設(shè)計的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實(shí)現(xiàn)以及網(wǎng)絡(luò)是否能滿足網(wǎng)絡(luò)的需求。(1)物理設(shè)計根據(jù)需求分析,可以知道整個校園網(wǎng)信息點(diǎn)的數(shù)目,同時也知道這些信息點(diǎn)在整個校園內(nèi)的分布情況。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后,就應(yīng)該考慮如何把校園內(nèi)的信息點(diǎn)連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等,網(wǎng)絡(luò)系統(tǒng)所使用來連接各種網(wǎng)絡(luò)設(shè)備的傳輸介質(zhì)也是需要考慮的問題。(2)邏輯設(shè)計網(wǎng)絡(luò)的邏輯設(shè)計主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分,通過實(shí)際的網(wǎng)絡(luò)物理連
45、接,依據(jù)實(shí)際需求來實(shí)現(xiàn)虛擬網(wǎng)絡(luò)(VLAN)的設(shè)置。無論從網(wǎng)絡(luò)的安全性和IP地址的可管理性來考慮,還是從有效利用IP地址資源的角度來考慮,將整個校園網(wǎng)劃分為多個子網(wǎng)網(wǎng)段并對IP地址資源進(jìn)行有效管理都是十分必要的。4網(wǎng)絡(luò)技術(shù) 學(xué)校建設(shè)校園網(wǎng)有許多需要考慮的問題,如網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇、網(wǎng)絡(luò)產(chǎn)品的選擇、網(wǎng)絡(luò)服務(wù)器的選擇以及操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全等方面。下面根據(jù)前面介紹過的各種網(wǎng)絡(luò)技術(shù)來進(jìn)行校園網(wǎng)組建技術(shù)的選擇。(1) 網(wǎng)絡(luò)技術(shù)類型網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)遵循高可靠性、技術(shù)先進(jìn)、開放性、成熟標(biāo)準(zhǔn)、易于擴(kuò)展、可維護(hù)性好等原則,并充分考慮性能價格比和今后技術(shù)的發(fā)展。要求系統(tǒng)兼容性
46、好,易于平滑連接,避免網(wǎng)絡(luò)瓶頸。當(dāng)前達(dá)到或超過100Mbps的高速網(wǎng)絡(luò)技術(shù)主要有:快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。FDDI是幾年前十分流行的高速網(wǎng)絡(luò)技術(shù),雖然技術(shù)十分成熟,但網(wǎng)絡(luò)管理復(fù)雜且成本較高,現(xiàn)已被逐漸淘汰。ATM是比較先進(jìn)的網(wǎng)絡(luò)技術(shù),它采用信元交換方式,以很高的速率在任意兩點(diǎn)間建立直接的虛擬通信鏈路,有較強(qiáng)的傳輸質(zhì)量控制能力,特別適合于多媒體信息的傳輸。但在實(shí)際使用事因端口價格過高,難以大規(guī)模采用。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價廉的網(wǎng)絡(luò)技術(shù),其標(biāo)準(zhǔn)已制定完備。經(jīng)過多年發(fā)展,形成了完善的10Mbps、100Mbps和千兆以太網(wǎng)技術(shù),同時還由共享式的網(wǎng)絡(luò)發(fā)展成為交換式的以太網(wǎng),具
47、備與FDDI、ATM網(wǎng)絡(luò)融合的多種方法與規(guī)范。從技術(shù)上看,以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地,是一種能夠到長期使用和發(fā)展的技術(shù),另外以太網(wǎng)還可以在不同速率之間平滑升級,不會有網(wǎng)絡(luò)協(xié)議和規(guī)范上的障礙。綜全以上對高速網(wǎng)絡(luò)技術(shù)的分析,我認(rèn)為在當(dāng)前校園網(wǎng)的建設(shè)中應(yīng)以建設(shè)和使用100Mbps快速以太網(wǎng)為主,在局部主干上使用千兆技術(shù)進(jìn)行連接。(2) 網(wǎng)絡(luò)拓?fù)涞倪x擇當(dāng)前在局域網(wǎng)的建設(shè)中,主要應(yīng)用的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型。在總線型網(wǎng)絡(luò)中,由于各計算機(jī)共享一條通信電纜,而且不需要額外的通信設(shè)備,因此,可以節(jié)約組網(wǎng)費(fèi)用。但是其缺點(diǎn)也是十分明顯的,網(wǎng)絡(luò)中的任何一個節(jié)點(diǎn)出現(xiàn)故障,都將導(dǎo)致整個網(wǎng)絡(luò)癱瘓,這與在網(wǎng)絡(luò)建設(shè)要
48、求網(wǎng)絡(luò)具有高可靠性和沉佘性不相符,因此使用總線型拓?fù)浣Y(jié)構(gòu)建設(shè)的網(wǎng)絡(luò)已趨于淘汰,在新的網(wǎng)絡(luò)建設(shè)中不應(yīng)再使用。環(huán)型拓?fù)浣Y(jié)構(gòu)是令牌環(huán)網(wǎng)絡(luò)技術(shù)所常用的一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),環(huán)型結(jié)構(gòu)的缺點(diǎn)與總線型的缺點(diǎn)是差不多的,也是一種不太常用的網(wǎng)絡(luò)拓?fù)?。?dāng)前在各種網(wǎng)絡(luò)系統(tǒng)的建設(shè)中使用最多的是星型拓?fù)浣Y(jié)構(gòu),雖然星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)在布線和網(wǎng)絡(luò)設(shè)備的花費(fèi)多一些,不過目前各種硬件設(shè)備已經(jīng)非常便宜了,這種花費(fèi)是可以承受的。因而它的優(yōu)點(diǎn)也是十分突出的,主要是當(dāng)網(wǎng)絡(luò)中某個節(jié)點(diǎn)出現(xiàn)故障時不會影響整個網(wǎng)絡(luò)的運(yùn)行,這使得網(wǎng)絡(luò)從總體上可以提供高度的可靠性和沉佘性,這個性能十分適合校園網(wǎng)這種應(yīng)用環(huán)境,也是校園網(wǎng)的建設(shè)中必須要求做到的。圖3-2
49、(網(wǎng)絡(luò)結(jié)構(gòu))3.2.2 組網(wǎng)技術(shù) 組網(wǎng)技術(shù)就是在有了網(wǎng)絡(luò)的設(shè)計方案和各種網(wǎng)絡(luò)設(shè)備之后,怎樣把不同的網(wǎng)絡(luò)設(shè)備按設(shè)計方案的要求連接起來所用到的各種技術(shù)。組網(wǎng)絡(luò)技術(shù)在整個網(wǎng)絡(luò)的建設(shè)過程中是最重要的階段之一,它直接關(guān)系到建設(shè)出來的網(wǎng)絡(luò)系統(tǒng)能否達(dá)到設(shè)計要求,能不能投入使用這樣嚴(yán)重的問題,如在組網(wǎng)中有不按規(guī)范和標(biāo)準(zhǔn)來施工的話,建出的網(wǎng)絡(luò)系統(tǒng)的質(zhì)量是達(dá)不到設(shè)計要求,是不能滿足用戶需求的。組網(wǎng)技術(shù)主要包括:布線系統(tǒng)、Internet接入技術(shù)、防火墻等。1布線系統(tǒng)設(shè)計 結(jié)構(gòu)化布線系統(tǒng)的組成:網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行主要取決于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路,對于網(wǎng)絡(luò)系統(tǒng)來說,采用結(jié)構(gòu)化布線系統(tǒng)能夠很好地滿足需求,特別是從計算機(jī)網(wǎng)絡(luò)
50、系統(tǒng)可靠運(yùn)行的角度來說,布線系統(tǒng)的可靠性決定了網(wǎng)絡(luò)系統(tǒng)通信信道的可靠性,它是計算機(jī)網(wǎng)絡(luò)系統(tǒng)可靠運(yùn)行的前提。整個布線系統(tǒng)主要包含光纖布線和室內(nèi)綜合布線系統(tǒng)。布線系統(tǒng)的主要是依據(jù)建筑物的分布圖,國際商務(wù)建筑線纜標(biāo)準(zhǔn)(TIA/ELA 586A )和建筑與建筑物綜合布線系統(tǒng)工程設(shè)計規(guī)范來設(shè)計的。使用結(jié)構(gòu)化布線工程設(shè)計的布線系統(tǒng)具有實(shí)用性、靈活性、可擴(kuò)充性以及真正的開放性。一次性布線,可保證在十五到二十年之內(nèi),其系統(tǒng)性能不會下降,功能也不會落后,真正達(dá)到一次投資,長期受益。建成后的結(jié)構(gòu)化布線系統(tǒng)將具有滿足多種計算機(jī)網(wǎng)絡(luò)系統(tǒng)(10/100/1000M Switch、FDDI、ATM)對線路的要求,不僅能實(shí)
51、現(xiàn)計算機(jī)端口的靈活配置,而且方便計算機(jī)網(wǎng)絡(luò)的平滑升級和擴(kuò)充。 光纖布線主要是用在建筑物之間或樓層之間,這些建筑的距離一般都比較遠(yuǎn),超出了雙絞線的連接距離,具體情況要看信息點(diǎn)的分布和數(shù)量以及對網(wǎng)絡(luò)帶寬的要求來決定。室內(nèi)布線采用5類(超5類)非屏蔽雙絞線進(jìn)行布線。整個布線工程分為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng),建筑子系統(tǒng)和管理子系統(tǒng)來施工的。 工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座的連線和信息插座所組成,通過插座即可以引出電話也可以連接數(shù)據(jù)終端,在RJ-45插座內(nèi)不僅可以插入數(shù)據(jù)通信通用的RJ-45接頭,也可以插入電話機(jī)專用的RJ-45插頭。 水平子系統(tǒng)是將樓層配線間路延伸到用戶工作區(qū),并連向
52、各個信息插座。線纜由配線間進(jìn)入房間后,可走天花板或橋架,以走暗線的原則走線。電纜橋架應(yīng)高出地面2.2米以上,橋架頂部距頂棚或其他障礙物不應(yīng)小于0.3m。橋架寬度不宜小于0.10m,橋架內(nèi)橫斷面的填充率應(yīng)小于50%。結(jié)構(gòu)化系統(tǒng)的布線是放射型的,線纜量較大,所以線槽量的計算是很重要的,按照標(biāo)準(zhǔn)的線槽設(shè)計方法,應(yīng)根據(jù)水平線的外徑來確定線槽的容量,即:線槽的橫截面積=水平線截面積之和*3 。 垂直主干子系統(tǒng)用于連接樓層配線室,垂直干纜系統(tǒng)的安裝主要是由一連串通過地板對準(zhǔn)配線間的垂直豎井組成的,可以連接摟層間的配線室。垂直子系統(tǒng)的連接可用多根雙絞線形成集束穿過豎井進(jìn)入水平子系統(tǒng),外用線槽以保護(hù)和固定。
53、建筑子系統(tǒng)是在各棟建筑物之間的相互連接,組成一個較大的建筑群綜合布線系統(tǒng)。這一部分布線系統(tǒng)可以采用架空電纜、直埋電纜或地下管道內(nèi)穿電纜,或者是這三者的任何組合,具體使用看施工現(xiàn)場而定。建筑子系統(tǒng)一般都采用光纖進(jìn)行連接。 管理子系統(tǒng)設(shè)置在配線設(shè)備和機(jī)房內(nèi),管理子系統(tǒng)由配線間、輸入/輸出(I/O)設(shè)備等組成。管理子系統(tǒng)提供了與其他子系統(tǒng)連接手段,整個綜合布線系統(tǒng)及其連接的設(shè)備、器件等構(gòu)成一個有機(jī)的整體。管理子系統(tǒng)內(nèi)有部分主干布線和部分水平線的機(jī)械終端,為無源或有源或用于兩個系統(tǒng)連接的設(shè)備提供設(shè)施。3 2布線系統(tǒng)的測試 在結(jié)構(gòu)化布線完工后,必須對整個系統(tǒng)進(jìn)行測試后才能投入使用,以保證系統(tǒng)能達(dá)到設(shè)計要
54、求。測試主要依據(jù)TIA/EIA 568A以及建筑及建筑群結(jié)構(gòu)化布線系統(tǒng)工程驗(yàn)收規(guī)范來進(jìn)行,測試內(nèi)空包括線纜的長度、接線圖、信號衰減、近端串?dāng)_、信噪比等。其中最重要的技術(shù)指標(biāo)是衰減端串?dāng)_,它直接影響著雙絞線的傳輸性能。 3.2.3 網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)NOS(Network Operating System)是在計算機(jī)操作系統(tǒng)的基礎(chǔ)上,加上一些具有實(shí)現(xiàn)網(wǎng)絡(luò)訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議,是使網(wǎng)絡(luò)上各計算機(jī)能夠方便有效地共享網(wǎng)絡(luò)資源、為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)軟件和規(guī)程的集合。目前主要的網(wǎng)絡(luò)操作系統(tǒng)有NetWare、Unix、Linix和Windows NT/2003。在校園網(wǎng)中
55、一般情況下都用Windows NT/2003網(wǎng)絡(luò)操作系統(tǒng),因?yàn)樗菆D形化的操作界面、使用簡單、安全可靠,以及和普及率很高Windows系列單機(jī)操作系統(tǒng)的兼容性很好。 3.2.4 Internet接入技術(shù) 如果校園網(wǎng)不能和Internet連接的話,就不能是一個完整的網(wǎng)絡(luò),也不能充分利用Internet網(wǎng)上的大量信息資源。因此校園網(wǎng)和Internet的連接技術(shù)就顯得十分重要了,它關(guān)系到校園網(wǎng)與外部網(wǎng)絡(luò)能能否進(jìn)行可靠的連接。當(dāng)前適合校園網(wǎng)與Internet的寬帶連接方式主要有ADSL和光纖專線接入。ADSL是一種非對稱的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸技術(shù),它的一個明顯優(yōu)勢是經(jīng)濟(jì)上實(shí)用。ADSL寬帶線路通過ADSL
56、 Modem接入Internet代理服務(wù)器的網(wǎng)卡上的,不過ADSL專線的接入是用傳統(tǒng)的模擬電話雙絞線線路布線不很規(guī)范,線路質(zhì)量不夠好,達(dá)不到高速傳輸?shù)囊?,目前它只用在一些中小型網(wǎng)絡(luò)。光纖接入是一種在校園網(wǎng)建設(shè)中普遍使用的一種技術(shù),它是通過構(gòu)建專用的Internet服務(wù)器來實(shí)現(xiàn)的,在服務(wù)器上運(yùn)行各種網(wǎng)絡(luò)服務(wù)軟件,為校園內(nèi)部的用戶提供Internet的接入服務(wù)。光纖接入的優(yōu)點(diǎn)是可提供比較高的網(wǎng)絡(luò)帶寬和穩(wěn)定性,但它的連接較為復(fù)雜。3.2.5 防火墻技術(shù) 防火墻是計算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱,它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪,用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡單的可
57、以只用路由器實(shí)現(xiàn),復(fù)雜的則可以用主機(jī)甚至一個子網(wǎng)來實(shí)現(xiàn),設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對特殊站點(diǎn)的訪問以及提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。由于網(wǎng)絡(luò)具有天生的開放性,所以有許多防范功能的防火墻也有一些防范不到的地方,如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。因此,防火墻只能是一種整體安全防范政策的一部分。實(shí)現(xiàn)防火墻技術(shù)從層次上大概可以分為報文過濾和應(yīng)用層網(wǎng)關(guān)。報文過濾是在IP層實(shí)現(xiàn)的,它的原理是根據(jù)報文的源IP地址、目的IP地址、源端口、目的端口報文信息來判斷是否允許報文通過,因此它可以只用路由器完成。在用應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的防火墻有多種方式,如應(yīng)用代理報務(wù)器和網(wǎng)地址轉(zhuǎn)換器等。在校園網(wǎng)中大部分的應(yīng)用都是內(nèi)部網(wǎng)絡(luò)用戶,而內(nèi)部用戶通常具有較大的訪問權(quán)限,因此局域網(wǎng)絡(luò)系統(tǒng)的安全是整個網(wǎng)絡(luò)系統(tǒng)安全中最重要的部分。但相對而言,內(nèi)部的安全問題是可以預(yù)測的,并可據(jù)此制定相應(yīng)的防范措施。第四章 建網(wǎng)方案4.1 網(wǎng)絡(luò)組成 4.1.1 網(wǎng)絡(luò)主干基于當(dāng)前信息技術(shù)發(fā)展形勢及經(jīng)濟(jì)實(shí)用可持續(xù)發(fā)展原
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 高考語文作文主題講解之 科技倫理
- 五年級下冊音樂表格教案
- 人教版八年級上音樂教案
- (統(tǒng)考版)2023版高考化學(xué)一輪復(fù)習(xí)第四章非金屬及其化合物第1講碳、硅及其化合物學(xué)生用書
- 住宅小區(qū)綠化改造工程合同
- 企事業(yè)單位泔水處理合同
- 乳制品運(yùn)輸合同簽訂策略
- 射擊館裝修合同樣本
- 保健品原料運(yùn)輸合同樣本
- 博物館裝修合同終止協(xié)議書
- 2025屆“皖南八?!备呷谝淮未舐?lián)考物理試卷(含答案解析)
- 2024-2030年中國民用航空機(jī)場建設(shè)行業(yè)市場運(yùn)行分析及前景趨勢與投融資研究報告
- 2025屆泰安市高三語文上學(xué)期10月份考試卷附答案解析
- 第三單元 小數(shù)除法(單元測試)-2024-2025學(xué)年五年級上冊數(shù)學(xué)人教版
- 宮頸癌介入治療及護(hù)理
- 重慶市渝北區(qū)六校聯(lián)考2024屆九年級上學(xué)期期中考試數(shù)學(xué)試卷(含答案)
- 川教版(2019) 五年級上冊1小節(jié) 廣播火箭發(fā)射 教學(xué)設(shè)計
- 古詩詞誦讀《無衣》課件+2024-2025學(xué)年統(tǒng)編版高中語文選擇性必修上冊
- 2024-2030年電競酒店產(chǎn)業(yè)發(fā)展分析及發(fā)展趨勢與投資前景預(yù)測報告
- 英語語言學(xué)(山東大學(xué))智慧樹知到答案2024年山東大學(xué)(威海)
- 2024-2030年中國花生脫殼機(jī)行業(yè)市場發(fā)展趨勢與前景展望戰(zhàn)略分析報告
評論
0/150
提交評論