精品資料（2021-2022年收藏的）校園網(wǎng)規(guī)劃與設(shè)計(jì)

1、第一章：項(xiàng)目概述一、項(xiàng)目名稱：邯鄲縣第一中學(xué)校園網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)二、項(xiàng)目背景：邯鄲縣第一中學(xué)校園，校園占地104.65畝，教學(xué)樓兩棟，宿舍樓2棟，食堂2個(gè)，超市1個(gè)，60個(gè)教學(xué)班。三、項(xiàng)目目標(biāo)：建立好整個(gè)校園網(wǎng),以及維護(hù)好整個(gè)校園網(wǎng)，規(guī)劃好設(shè)計(jì)好整個(gè)校園網(wǎng)，以及對(duì)校園網(wǎng)的施工和綜合布線。以及后期的維護(hù)。四、項(xiàng)目內(nèi)容： 1.學(xué)校目前主要的網(wǎng)絡(luò)應(yīng)用包括文件共享服務(wù)，打印服務(wù)，財(cái)務(wù)管理，未來將實(shí)施internent應(yīng)用，把各大分校區(qū)連接在一起，形成網(wǎng)絡(luò)一體化，新增郵件服務(wù).2.添置新的OA系統(tǒng)，完成教學(xué)的信息的采集、處理、查詢、統(tǒng)計(jì)。對(duì)學(xué)校行政、人事、財(cái)務(wù)、工資、資產(chǎn)、檔案、宿舍的管理，以及提供必要的查

2、詢，并打印結(jié)果。3.校園接入網(wǎng)絡(luò)后，新增WWW服務(wù)4.接入中國教育科研網(wǎng)CERNET.5校園網(wǎng)要求實(shí)現(xiàn)組播業(yè)務(wù)。 6. 系統(tǒng)應(yīng)有高可靠性、安全性、可維護(hù)性和可擴(kuò)充性，要具有良好的用戶界面。7.子網(wǎng)分布：教育管理子網(wǎng)，圖書館資源子網(wǎng)，財(cái)務(wù)子網(wǎng)，科研子網(wǎng)，軟件資源子網(wǎng)【容量800G 收錄的視頻1000G】第二章：網(wǎng)絡(luò)需求分析一、校園網(wǎng)絡(luò)應(yīng)提供以下功能：1、接校內(nèi)所有教學(xué)樓、辦公樓中的PC。2、支持約1000用戶瀏覽網(wǎng)站。3、提供受存取權(quán)控制的文件、檔案查詢服務(wù)。4、提供學(xué)校自己的管理信息系統(tǒng)（MIS）。5、提供圖書，文獻(xiàn)查詢與檢索服務(wù)，增強(qiáng)校圖書館信息自動(dòng)化能力。6、建立FTP，共享教學(xué)資源，建立

3、OA,便于辦公，建立網(wǎng)絡(luò)教學(xué)高速通道，達(dá)到網(wǎng)絡(luò)教學(xué)，公共信息資源在線查詢系統(tǒng)，以及成績查詢系統(tǒng)。二、校園網(wǎng)對(duì)主機(jī)系統(tǒng)的主要要求：1、主機(jī)系統(tǒng)應(yīng)采用國際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展能力；2、主機(jī)系統(tǒng)應(yīng)具有高的可靠性，能長時(shí)間連續(xù)工作，并有容錯(cuò)措施；3、支持通用大型數(shù)據(jù)庫，如 SQL、Oracle 等；4、具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；5、能與 Internet 互聯(lián)，可提供互聯(lián)網(wǎng)的應(yīng)用，如WWW瀏覽服務(wù)。6、支持 SNMP 網(wǎng)絡(luò)管理協(xié)議，具有良好的可管理性和可維護(hù)性；三、校園系統(tǒng)設(shè)計(jì)方按應(yīng)滿足如下要求：1、網(wǎng)絡(luò)方案應(yīng)采用成熟的技術(shù)，并盡可能采用先進(jìn)的技術(shù)；2、合

4、理分配帶寬，使用戶不受網(wǎng)上“塞車”的影響，主教學(xué)樓使用ADSL接入Internet，帶寬大約10 MBIT/S,需要能接入因特網(wǎng)，以及校園網(wǎng)；3、應(yīng)充分考慮未來可能的應(yīng)用，如桌面將承受大型應(yīng)用軟件和多媒體傳輸需求的壓力；4、該網(wǎng)絡(luò)方案要具有高擴(kuò)展性。能為用戶未來數(shù)目的擴(kuò)展具有調(diào)整、擴(kuò)充的手段和方法；5、該網(wǎng)絡(luò)應(yīng)是面向連接的，能夠?qū)崿F(xiàn)虛擬網(wǎng)（VLAN）連接；6、考慮對(duì)用戶現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價(jià)值；四、校園網(wǎng)對(duì)網(wǎng)絡(luò)設(shè)備的要求：1、性能；所有網(wǎng)絡(luò)設(shè)備都應(yīng)有足夠的吞吐量；2、可靠性和高可用性；應(yīng)考慮多種容錯(cuò)技術(shù)；3、可管理性；所有網(wǎng)絡(luò)設(shè)備均可用適當(dāng)?shù)木W(wǎng)管軟件進(jìn)行監(jiān)控

5、、管理和設(shè)置，采用國際統(tǒng)一的標(biāo)準(zhǔn)；五、系統(tǒng)集成所共同追求的設(shè)計(jì)目標(biāo)：1、建成一個(gè)具有高可靠性和開放性的校園網(wǎng)絡(luò)，它應(yīng)支持流行的SNMP 等網(wǎng)絡(luò)管理協(xié)議；2、采用 Internet 上的標(biāo)準(zhǔn)協(xié)議-TCP/IP 協(xié)議，提供校園內(nèi)部及面向全球的WWW服務(wù)、FTP 服務(wù)、NEWS 服務(wù)、電子郵件服務(wù)，實(shí)現(xiàn)與國際互聯(lián)網(wǎng)的完全接軌；3、同時(shí)它還應(yīng)具有支持通用大型數(shù)據(jù)庫的功能，支持多種協(xié)議，具有良好的軟件支持；4、采用模塊化結(jié)構(gòu)設(shè)計(jì)，容易升級(jí)；六、綜合布線需求分析標(biāo)準(zhǔn)綜合布線系統(tǒng)標(biāo)準(zhǔn)是一個(gè)開發(fā)系統(tǒng)標(biāo)準(zhǔn)，它支持廣泛的應(yīng)用，保護(hù)用戶以往的投資，綜合布線系統(tǒng)遵循下列標(biāo)準(zhǔn)：EIA/TIA 568 民用建筑布線標(biāo)準(zhǔn)

6、EIA/TIA 569 民用建筑通信通道及空間標(biāo)準(zhǔn) ANSI/EIA/TIA-570 住宅及商業(yè)應(yīng)用 ANSI/EIA/TIA-606 商業(yè)建筑電訊設(shè)施管理標(biāo)準(zhǔn) ANSI/EIA/TIA-607 商業(yè)建筑電訊設(shè)施接地標(biāo)準(zhǔn) TSB-67 非屏蔽雙絞線布線系統(tǒng)傳輸性能測試標(biāo)準(zhǔn) TSB-72 簡明光纖布線指導(dǎo) ISO/IEC DIS11801 建筑物通用布線系統(tǒng) IEEE802.3 10BASET-T 10M雙絞線以太網(wǎng)通信標(biāo)準(zhǔn) IEEE802.3 100BASET-T 100M雙絞線以太網(wǎng)通信標(biāo)準(zhǔn) IEEE802.3 1000BASET-T 1000M雙絞線以太網(wǎng)通信標(biāo)準(zhǔn)七、中心交換機(jī)網(wǎng)絡(luò)主干的網(wǎng)

7、絡(luò)設(shè)備選用1臺(tái)銳捷RG-S9620千兆中心路由交換機(jī)，通過光纖與各樓宇二級(jí)交換機(jī)相連，形成星型結(jié)構(gòu)千兆以太網(wǎng)的主干解決方案。它不僅可以同時(shí)滿足銅纜、多模與單模接入的共存問題，而且具有較高的無阻塞的背板速率，支持全線速交換能力，較好的擴(kuò)展性，可為邯鄲第一中學(xué)的進(jìn)一步擴(kuò)容提供快捷與低成本的升級(jí)方式。八、銳捷RG-S9620千兆中心路由交換機(jī)具有以下特點(diǎn)：1） 最小的代價(jià)滿足需求，實(shí)現(xiàn)主干網(wǎng)絡(luò)的1000M連接，同時(shí)還實(shí)現(xiàn)線速的2、3、4層交換能力。2） 實(shí)現(xiàn)VLAN劃分、應(yīng)用級(jí)負(fù)載均衡等功能，并能保證性能不受影響。3） 投入成本小，網(wǎng)絡(luò)連接易于實(shí)現(xiàn)。4） 預(yù)留一定數(shù)量的100M網(wǎng)絡(luò)端口，便于網(wǎng)絡(luò)的擴(kuò)

8、展。九、路由器路由器我們根據(jù)學(xué)校的需求結(jié)果選擇H3C RT-SR6608-H3型號(hào)的核心路由器。如下圖：核心路由器H3C RT-SR6608-H3H3C RT-SR6608-H3主要參數(shù)路由器類型開放多核企業(yè)級(jí)路由器其他控制端口Console, AUX, USB擴(kuò)展插槽18 Mpps路由器包轉(zhuǎn)發(fā)率30個(gè)路由器網(wǎng)絡(luò)協(xié)議支持靜態(tài)路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Client

9、, Telnet Server, Telnet Client, TFTP Client, FTP Server, FTP Client, 二層協(xié)議等VPN功能支持VPN防火墻功能內(nèi)置安全標(biāo)準(zhǔn)ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec機(jī)身重量50kg外觀尺寸436468308mm第三章：通信子網(wǎng)規(guī)劃設(shè)計(jì)一、拓?fù)浣Y(jié)構(gòu)邯鄲第一中學(xué)網(wǎng)絡(luò)配置系統(tǒng)圖LIU五類單孔信息點(diǎn)五類雙孔信息點(diǎn)光纖互連箱4層5層黨辦2層LIU6Ports6Ports6Ports教工辦公室教務(wù)處3層LIU財(cái)務(wù)處LIULIU機(jī)房網(wǎng)絡(luò)設(shè)備外線出入口L

10、IULIU網(wǎng)絡(luò)設(shè)備8274/W938271/5248274/W938274/W938274/W938274/W938271/5248265CG8000 Internet 集成柜服務(wù)器CHINANETCHINANETDDN專線微機(jī)房1微機(jī)房2教學(xué)樓2二、主干網(wǎng)絡(luò)設(shè)計(jì)（分解圖）三、設(shè)計(jì)說明網(wǎng)絡(luò)整體結(jié)構(gòu)為分級(jí)星型結(jié)構(gòu)，主交換機(jī)與子網(wǎng)交換機(jī)，子網(wǎng)交換機(jī)與網(wǎng)絡(luò)工作站之間都是以星型結(jié)構(gòu)連接。采用155M ATM做網(wǎng)絡(luò)主干，采用10M交換以太網(wǎng)作為普通工作站的網(wǎng)絡(luò)末端。網(wǎng)絡(luò)中心交換機(jī)采用銳捷RG-S9620主干交換機(jī)，采用8274/8271以太網(wǎng)交換機(jī)作為到桌面的10M交換機(jī)。中心交換機(jī)放置在教學(xué)大樓的主機(jī)

11、房內(nèi)。采用銳捷RG-S9620交換機(jī)，它有17個(gè)插槽，其中用戶可用14個(gè)，該方案中配置了4塊4口的155M ATM模塊，4個(gè)電源模塊。共有16個(gè)155M的ATM端口。其中10個(gè)155M的光纖口用來下連各層子網(wǎng)8274子網(wǎng)交換機(jī)，共計(jì)5臺(tái)8274以太網(wǎng)交換機(jī)，主機(jī)和Intranet服務(wù)器連在8265的155MATM光纖SC端口上，各層工作站連在5臺(tái)8274/8271交換以太網(wǎng)10M端口，網(wǎng)管工作站也連在10M交換以太口上。根據(jù)布線結(jié)構(gòu)，在一層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了4塊32端口的交換模塊，即有128個(gè)10M交換口。我們?cè)诿恳粯菍拥?274上配置了雙端口的155M的

12、ATM光纖口用來上連主干交換機(jī)8265。這樣一來，主干網(wǎng)絡(luò)的帶寬有310M。二層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。三層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。和要求的232個(gè)10M交換口還不夠，需增加1個(gè)有24個(gè)10M交換端口的交換機(jī)8271/524。這樣一來，共有248個(gè)10M交換口和1個(gè)100M交換端口。四層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。和要求的276個(gè)10M交換口還不夠，需增加

13、2個(gè)有24個(gè)10M交換端口的交換機(jī)8271/524。這樣一來，共有272個(gè)10M交換口和2個(gè)100M交換端口。五層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。和要求的278個(gè)10M交換口還不夠，需增加2個(gè)有24個(gè)10M交換端口的交換機(jī)8271/524。這樣一來，共有272個(gè)10M交換口和2個(gè)100M交換端口。整個(gè)網(wǎng)絡(luò)的Intranet服務(wù)器，它通過155M ATM連接在主干交換機(jī)8265上，為全校的師生提供WWW服務(wù)、E-mail服務(wù)、FTP服務(wù)等。整個(gè)網(wǎng)絡(luò)的網(wǎng)管工作站采用一臺(tái)IBMRS/6000 43P，它通過10M交換以太口連至

14、8274，采用TME10 Netview網(wǎng)管軟件實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的配置管理、工作狀態(tài)監(jiān)控等功能，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的全面管理。整個(gè)網(wǎng)絡(luò)共配備16個(gè)155M ATM端口，1144個(gè)10M交換以太口，5個(gè)100M快速交換以太口。其中，10個(gè)155M ATM端口用于和下級(jí)交換機(jī)互連，6個(gè)155M ATM端口用于連接服務(wù)器或主機(jī)。8265上還有11個(gè)插槽可供以后擴(kuò)展。WEB服務(wù)器視頻服務(wù)器數(shù)據(jù)庫/數(shù)據(jù)服務(wù)器網(wǎng)管工作站教學(xué)樓教學(xué)樓2教工1微機(jī)室室微機(jī)室2教工2教務(wù)處財(cái)務(wù)室黨辦Internet四、分布層/接入層設(shè)計(jì)使用防火墻分割內(nèi)部網(wǎng)和外部網(wǎng)，限制級(jí)別訪問內(nèi)部WEB服務(wù)器，財(cái)務(wù)數(shù)據(jù)，以及OA系統(tǒng)。防火墻采用天融

15、信的NGFW4000-E-VPN(E)。面向中心骨干機(jī)構(gòu)和復(fù)雜的高端流量環(huán)境。擁有內(nèi)置的IPSEC加密、Web頁面包護(hù)和負(fù)載均衡雙機(jī)熱備，提供強(qiáng)大的功能和安全保障。流量控制區(qū)域位置業(yè)務(wù)類型流量(Mbit/s)節(jié)點(diǎn)數(shù)教學(xué)主樓辦公自動(dòng)化1 0 120財(cái)務(wù)部辦公自動(dòng)化15教務(wù)處辦公自動(dòng)化130黨辦辦公自動(dòng)化15微機(jī)室A教學(xué)10100微機(jī)室B教學(xué)10100教工1Internet10100教工2、3Internet10100網(wǎng)絡(luò)總體目標(biāo)和設(shè)計(jì)原則名稱IP網(wǎng)段子網(wǎng)掩碼網(wǎng)關(guān)教學(xué)一號(hào)樓00教學(xué)二號(hào)樓192.168.1.

16、10101實(shí)驗(yàn)室54黨辦54教務(wù)處54財(cái)務(wù)部54教工辦公室154教工辦

17、公室254教工辦公室354網(wǎng)絡(luò)中心機(jī)房第四章：網(wǎng)絡(luò)安全設(shè)計(jì)校園網(wǎng)絡(luò)安全威脅一、 計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。二、 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一

18、個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時(shí)，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說主要有以下幾種：1）死亡之Ping。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。3 ）UDP洪水攻擊。攻擊利用如chargen和echo等簡單的TCPIP服務(wù)相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。4 ) SYN洪水攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的SYN

19、握手信息來癱瘓服務(wù)器的攻擊方式。5 ) LAND攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息已達(dá)到癱瘓主機(jī)的目的。6 ) Smurf攻擊。攻擊者將報(bào)文地址設(shè)為Echo地址，這樣Echo78地址就必須不問斷的響應(yīng)該報(bào)文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。7 ) Fraggle攻擊。Fraggle攻擊對(duì)Smurf攻擊做了修改。8 )電子郵件炸彈。通過向一臺(tái)服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。9 )急性消息攻擊。借助機(jī)器對(duì)某些消息為進(jìn)行錯(cuò)誤校驗(yàn)來攻擊服務(wù)器。10)分布式拒絕服務(wù)攻擊。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多臺(tái)服務(wù)器對(duì)同一網(wǎng)絡(luò)同時(shí)發(fā)起攻擊，導(dǎo)致

20、該網(wǎng)絡(luò)瞬間癱瘓。常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對(duì)網(wǎng)絡(luò)安全造成很大的危害。5三、 存在的安全隱患,以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有:1 ) 計(jì)算機(jī)與Internet相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對(duì)社會(huì)開放，這樣一來只要接入INTERNET的用戶就可以對(duì)校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的，加上帶毒的木

21、馬程序，一感染便駐留在你的計(jì)算機(jī)當(dāng)中，在以后的計(jì)算機(jī)啟動(dòng)后，木馬就在機(jī)器中打開一個(gè)服務(wù)，通過這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞。3) 目錄共享導(dǎo)致信息的外泄, 在校園網(wǎng)絡(luò)中，利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但可以說幾乎所有的人都沒有充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。我曾經(jīng)搜索過外地機(jī)器的一個(gè)C類IP網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái)，而且許多機(jī)器是將整個(gè)C盤、D盤進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映

22、射成一個(gè)網(wǎng)絡(luò)硬盤，就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。因而對(duì)目錄共享安全意識(shí)的單薄，會(huì)導(dǎo)致了信息的外泄。4) 網(wǎng)絡(luò)安全意識(shí)淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡薄；另外，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問題泛濫的一個(gè)重要原因.由此可見，構(gòu)筑具有必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)

23、制顯得尤其重要.。四、 校園網(wǎng)絡(luò)安全策略校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐庾R(shí)與資金方面的原因，以及對(duì)技術(shù)的偏好和運(yùn)營意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理“的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。作為高等院校，如何構(gòu)筑相對(duì)可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突

24、出了。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。五、 校園網(wǎng)安全管理針對(duì)目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識(shí)與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點(diǎn)是高校的安全策略：1、規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對(duì)于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。2、配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病

25、毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。3、解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。4、嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受

26、到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。5、根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺(tái)網(wǎng)絡(luò)安全管理制度，網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。2六、 校園網(wǎng)絡(luò)安全措施前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。七、殺毒軟件。殺毒產(chǎn)品的部署. 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳

27、播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能.。（1）在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。（2）在各辦公室分別安裝殺毒軟件的客戶端。（3）安裝完殺毒軟件，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。（4）網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。八、 采用VLAN技術(shù)。VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作

28、站邏輯的劃分成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。九、內(nèi)容過濾器。內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識(shí)服務(wù)拒絕的工具。同時(shí)，可以限制外來的垃圾郵件。十、 防火墻。在與Internet相連的每一臺(tái)電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:(1) 根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要

29、的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則.(2）禁止訪問系統(tǒng)級(jí)別的服務(wù)( 如HTTP , FTP等)。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。(3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認(rèn)識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。(4）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。(5）允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性.十一、入侵檢測

30、。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的安全管理能力提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施。十二、漏洞掃描。隨著軟件規(guī)模的不斷增大系統(tǒng)中的安全漏洞或“后門”也不可避免地存在因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報(bào)告，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。十三、 數(shù)據(jù)加密。數(shù)據(jù)加密是核心的對(duì)策，是保障數(shù)據(jù)安全最基本的

31、技術(shù)措施和理論基礎(chǔ)。十四、加強(qiáng)網(wǎng)絡(luò)安全管理。加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。 第五章：網(wǎng)絡(luò)實(shí)施一、工程實(shí)施內(nèi)容按照預(yù)定方案，在具體施工過程中將按照如下順序進(jìn)行。1、 布線設(shè)計(jì) ：根據(jù)學(xué)院需求具體情況，完成布線設(shè)計(jì)配置方案，并在校方確認(rèn)后，進(jìn)一步完成建筑的管線設(shè)計(jì)或修正。2、 銅纜施工：進(jìn)行銅纜及相關(guān)管線的布放、安裝。3、 光纜施工：對(duì)光纜及相關(guān)管線的安裝進(jìn)行督導(dǎo)。4、 線路測試：工程完工后，將選用BICC公司認(rèn)定的專用儀器對(duì)系統(tǒng)進(jìn)行導(dǎo)通、接續(xù)測試，并提交測試證明報(bào)告。5、 系統(tǒng)聯(lián)調(diào)：在系統(tǒng)

32、的線路測試后，選擇若干站點(diǎn)，對(duì)外部連接網(wǎng)絡(luò)設(shè)備進(jìn)行連通測試，并提供測試報(bào)告。6、 工程驗(yàn)收：完成上述兩項(xiàng)測試后，雙方簽字認(rèn)定工程驗(yàn)收完畢，并由工程方完成有關(guān)BICC 15年質(zhì)保體系的認(rèn)證工作。7、 文檔：工程驗(yàn)收后，工程方將以文本或磁盤文件方式，向校方提供系統(tǒng)設(shè)計(jì)與方案配置、施工記錄等在內(nèi)的文檔。第六章：網(wǎng)絡(luò)設(shè)備清單一、資源設(shè)備清單項(xiàng)目設(shè)備名稱產(chǎn)品型號(hào)描述單位數(shù)量價(jià)格13COM Switch 40073C168017槽機(jī)箱個(gè)16W53CB9EP9930W 交流電源個(gè)130003CB9EME管理模塊塊130003CB9FG24T24口48Gbps交換引擎塊130003CB9RF12R12口10/

33、100M多層交換模塊塊130003CB9LG9MC9口千兆交換模塊塊260002SuperStack II Switch 3300MM3C1698824口10/100M端口,3個(gè)堆疊端口臺(tái)630003SuperStack II Switch 3300SM3C1698724口10/100M端口,1個(gè)1000BASE-SX端口,1個(gè)堆疊端口臺(tái)9100004SuperStack II Switch 3300XM3C1698524口10/100M端口,1個(gè)堆疊端口臺(tái)9100005SuperStack II Switch 33003C1698112口10/100M端口,1個(gè)堆疊端口臺(tái)2500006Swi

34、tch Matrix Cable3C16965堆疊線纜條17二、布線材料清單1、主干光纖部分材料清單項(xiàng)目說明單位數(shù)量價(jià)格16芯室外鎧裝多模光纜（50/125）米2010100502600A 24口機(jī)架式光纖接線盒個(gè)26003600A 24口ST耦合器面板個(gè)240004蓋板個(gè)25100A3 12口墻裝式光纖接線盒個(gè)8610AST 6口耦合器面板塊87100A3 蓋板塊88C2000-A-2 ST光纖耦合器個(gè)969P2020C-C-125 STII多模光纖頭個(gè)9610FL2EP-SC-10 ST-SC光纖跳線（雙工）條1611D-182038 STII光纖消耗材料套212光纖端接個(gè)9613光纜鋪設(shè)

35、工程費(fèi)米20102、UTP部分材料清單項(xiàng)目說明單位數(shù)量11061004CSL W1000超五類雙絞線箱1412PM2150B-24 24口配線架個(gè)53PM2150B-48 48口配線架個(gè)144MPS100BH-262超五類信息模塊個(gè)7195雙口面板塊7196D8CM-5B 1.5米超五類跳線（機(jī)柜里用）條7197D8CM-7B 2米超五類跳線（工作區(qū)用）條7198底盒個(gè)7199國產(chǎn)機(jī)柜（新奇生）個(gè)310掛墻式機(jī)柜（新奇生）個(gè)511布線工程費(fèi)（含耗材）點(diǎn)719服務(wù)器項(xiàng)目設(shè)備名稱產(chǎn)品型號(hào)描 述單位數(shù)量價(jià)格1WEB服務(wù)器HP ProLiant DL580 G5 451993-AA1標(biāo)配處理器 4顆處理器二級(jí)緩存8MB主板芯片組 Intel 7300 芯片組擴(kuò)展插槽PCI-Express 插槽（多達(dá) 11 個(gè)可用）；標(biāo)配 8 個(gè)插槽內(nèi)存類型DDR2內(nèi)存容量 8G光驅(qū)標(biāo)配薄型 DVD 光驅(qū)配薄型 DVD 光驅(qū)標(biāo)配支持8 個(gè) SFF SAS/SATA，最多可支持16個(gè)SFF SAS/SATA服務(wù)器處理器主頻CPU核心2.93GHz四核1 個(gè)串行端口、1 個(gè)定位設(shè)備（鼠標(biāo)）、1 個(gè)正面視頻接口、1 個(gè)背面視頻接口、1 個(gè)鍵盤、共 6 個(gè) USB 2.0 端口：正面 2 個(gè)；背面 2 個(gè)內(nèi)部 2 個(gè)；1 個(gè) iL