網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計(jì)文獻(xiàn)

1、河北工業(yè)職業(yè)技術(shù)學(xué)院專(zhuān)項(xiàng)任務(wù)報(bào)告書(shū)任務(wù)題目四川農(nóng)業(yè)學(xué)院網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計(jì)系 別計(jì)算機(jī)技術(shù)系專(zhuān)業(yè)年級(jí)14級(jí)網(wǎng)絡(luò)技術(shù)學(xué)生姓名學(xué) 號(hào)35091403029指導(dǎo)教師車(chē)倩倩王文松 職稱(chēng)高級(jí)工程師副教授完成地點(diǎn)蒼穹數(shù)碼技術(shù)股份有限公司河北分公司日 期2017-05-10 TOC o 1-5 h z 校園建筑物布局說(shuō)明 1.學(xué)院概況 1.網(wǎng)絡(luò)環(huán)境分析 1校園網(wǎng)絡(luò)系統(tǒng)需求分析 2.功能需求 2.技術(shù)需求分析 3 HYPERLINK l bookmark16 o Current Document 校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)規(guī)劃 4.主干網(wǎng)設(shè)計(jì) 4.層次化網(wǎng)絡(luò)設(shè)計(jì) 4.網(wǎng)絡(luò)冗余設(shè)計(jì) 5.出口設(shè)計(jì) 6.IP及VLAN地址規(guī)

2、劃 7.設(shè)備選型 8 HYPERLINK l bookmark18 o Current Document 總體綜合布線系統(tǒng)的設(shè)計(jì)思路 9. 總體設(shè)計(jì)要點(diǎn) 9.設(shè)備間位置的確定 9.弱電井位置的確定 9.信息點(diǎn)的設(shè)置 9.管理間的設(shè)置 10校園綜合網(wǎng)絡(luò)安全 10.服務(wù)器的安全配置 10.防病毒軟件及技術(shù) 12.防火墻的配置 14.數(shù)據(jù)備份 15.后期網(wǎng)絡(luò)維護(hù)與培訓(xùn) 15 HYPERLINK l bookmark20 o Current Document 參考文獻(xiàn) 20河北工業(yè)職業(yè)技術(shù)學(xué)院專(zhuān)項(xiàng)任務(wù)書(shū)專(zhuān)項(xiàng)任務(wù)名稱(chēng)四JI農(nóng)業(yè)學(xué)院網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計(jì)姓名柏青何 專(zhuān)業(yè)網(wǎng)絡(luò)技術(shù) 班級(jí)4班 學(xué)號(hào)3509140

3、3029一、任務(wù)情況描述：校園網(wǎng)是各種類(lèi)型網(wǎng)絡(luò)中一大分支， 有著非常廣泛的應(yīng)用。作為 新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng) 絡(luò)最初是在校園里進(jìn)行實(shí)驗(yàn)并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進(jìn)而才推向社會(huì)的。二、任務(wù)完成計(jì)劃：第一階段:3.15-3.20開(kāi)始確立題目及大方向。第二階段:3.21-4.01分析學(xué)校的具體需求第三階段:4.02-4.15根據(jù)需求對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行規(guī)劃與設(shè)計(jì)。第四階段:4.16-5.08總體方案設(shè)計(jì)策略第五階段:5.11-5.13論文撰寫(xiě)及打印準(zhǔn)備答辯。三、計(jì)劃答辯時(shí)間：2017.5.13日論文答辯實(shí)習(xí)指導(dǎo)教師（簽字）：系學(xué)生頂崗實(shí)習(xí)

4、領(lǐng)導(dǎo)小組組長(zhǎng)（簽字）：HJi I農(nóng)業(yè)學(xué)院校園網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計(jì)設(shè)計(jì)者：柏青何指導(dǎo)教師：王文松、車(chē)倩倩一校園建筑物布局說(shuō)明.學(xué)院概況四川農(nóng)業(yè)大學(xué)是一所以生物科技為特色，農(nóng)業(yè)科技為優(yōu)勢(shì)，多學(xué)科協(xié) 調(diào)發(fā)展的國(guó)家“21正程”重點(diǎn)建設(shè)大學(xué)，也是教育部本科教學(xué)工作水平評(píng)估 優(yōu)秀高校?，F(xiàn)任黨委書(shū)記鄧良基教授、校長(zhǎng)鄭有良教授。.網(wǎng)絡(luò)環(huán)境分析四川農(nóng)業(yè)大學(xué)包括三個(gè)校區(qū)，分別是雅安、都江堰、成都三個(gè)校區(qū)； 成都區(qū)離雅安去區(qū)不遠(yuǎn)，三個(gè)校區(qū)物理上隔離。為了最大程度上對(duì)學(xué)校各 校區(qū)資源實(shí)現(xiàn)資源共享，結(jié)合考慮學(xué)校實(shí)際情況，建議各分校區(qū)與南院主 校區(qū)實(shí)現(xiàn)專(zhuān)線相連。本設(shè)計(jì)方案涉及成都校區(qū)的網(wǎng)絡(luò)整體規(guī)劃，實(shí)現(xiàn)了成都的具體實(shí)施方

5、 案，成都區(qū)網(wǎng)絡(luò)核心區(qū)域拓?fù)鋱D如圖所示：fiiiisp電倡isp成觸腕片成*Rk洋匕升*i A n rvI .UK*-*! *16W, =. tn.甘&吐 a* HKW通夫耀片區(qū)學(xué)生IRS片區(qū)卡腎翠1111*iwnq，。SU1A新校區(qū)上校區(qū)網(wǎng)絡(luò)中心三、.=.t. *.田*恒&.a從 RhtMM阿語(yǔ)中心忙但I(xiàn)I I ll i里專(zhuān)口學(xué)口 二*L學(xué)生11嚙片國(guó)圖1成都校區(qū)網(wǎng)絡(luò)拓?fù)鋱D二校園網(wǎng)絡(luò)系統(tǒng)需求分析1.功能需求通過(guò)實(shí)地調(diào)查分析，校園網(wǎng)絡(luò)應(yīng)滿(mǎn)足如下功能需求：(1)將全校所有計(jì)算機(jī)連接到網(wǎng)絡(luò)中，滿(mǎn)足計(jì)算機(jī)教學(xué)科研、行政辦公 需要，具有完善的辦公事務(wù)處理能力。在網(wǎng)絡(luò)上傳輸多種應(yīng)用信息，用于 教學(xué)、教務(wù)

6、管理、通知通告、對(duì)外網(wǎng)站等應(yīng)用。(2)網(wǎng)絡(luò)管理系統(tǒng)功能完善，操作簡(jiǎn)便，能管理到桌面臺(tái)式機(jī)。網(wǎng)絡(luò)設(shè) 立區(qū)域性安全防范措施，加載安全過(guò)濾。禁止如 P2P等占用高帶寬的技術(shù)。(3)結(jié)構(gòu)合理，技術(shù)先進(jìn)，確保3-5年內(nèi)不會(huì)更新?lián)Q代，所設(shè)計(jì)網(wǎng)絡(luò)應(yīng)該具有高可靠性和可擴(kuò)展性，具有一定的冗余，容錯(cuò)能力強(qiáng)，確保信息處 理安全保密。實(shí)現(xiàn) VLAN 間的互通， 方便不同行政部門(mén)或教學(xué)部門(mén)的互訪以及網(wǎng)絡(luò)管理。連接至Internet。術(shù)需求分析路由技術(shù)：路由協(xié)議工作在OSI 參考模型的第 3 層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問(wèn)

7、控制列表( Access Control List，ACL ) ，路由器還可以用來(lái)完成以路由器為中心的流量控制和過(guò)濾功能。在本工程設(shè)計(jì)中，其內(nèi)網(wǎng)用戶(hù)不僅通過(guò)路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶(hù)之間也通過(guò) 3 層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交 換。交換技術(shù)：現(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引入不但提高了校園網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿(mǎn)足了不同類(lèi)型網(wǎng)絡(luò)應(yīng)用程序的需要。VLAN 技術(shù)：虛擬局域網(wǎng) ( Virtual LAN ， VLAN ) ， VLAN 將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN 間主機(jī)的廣播通信對(duì)其他VLAN 的影響。在VLAN

8、間需要通信的時(shí)候，可以利用 VLAN 間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，我們可以使用 VLAN 中繼協(xié)議( VlanTrunking Protocol ， VTP )簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN 。然后通過(guò)VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。防火墻技術(shù)與DMZ ：針對(duì)不同資源提供不同安全級(jí)別的保護(hù) , 還應(yīng)該構(gòu)建一個(gè)DMZ 的區(qū)域，放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、 Mail 和 FTP 等。這樣來(lái)自外網(wǎng)的訪問(wèn)者可以訪問(wèn) DMZ 中的服務(wù)， 但不可能接觸到存放

9、在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等。 即使 DMZ 中服務(wù)器受到破壞， 也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。鏈路聚合技術(shù)：鏈路聚合(Port Trunking)技術(shù)，支持IEEE802.3協(xié)議，是一種用在交 換機(jī)與交換機(jī)之間擴(kuò)大通信吞吐量、提高可靠性的技術(shù)，也稱(chēng)為骨干連接。當(dāng)兩臺(tái)核心層交換機(jī)采用聚合鏈路Port Trunking 技術(shù)后，該技術(shù)可以使交換機(jī)之間連接最多 4 條負(fù)載均衡的冗余連接。當(dāng)某一臺(tái)核心交換機(jī)出現(xiàn)故障或核心交換機(jī)與接入層/匯聚層交換機(jī)的某一條互聯(lián)線路出現(xiàn)故障時(shí)，系統(tǒng)將通信業(yè)務(wù)快速自動(dòng)切換到另一臺(tái)正常工作的核心層交換機(jī)上，以使整個(gè)網(wǎng)絡(luò)具備高容量、無(wú)阻塞、高可靠的能力。三 校園網(wǎng)絡(luò)系

10、統(tǒng)設(shè)計(jì)規(guī)劃. 主干網(wǎng)設(shè)計(jì)隨著校園網(wǎng)用戶(hù)數(shù)目與新的應(yīng)用需求不斷增加，特別是網(wǎng)上多媒體及遠(yuǎn)程教育應(yīng)用的展開(kāi)，對(duì)校園網(wǎng)主干帶寬提出了新的更高的要的求因此校園網(wǎng)的主干(即核心層交換機(jī)與匯聚層交換機(jī)之間或核心層交換機(jī)與服務(wù)器之間的連接)采用千兆以太網(wǎng)技術(shù)，在距離允許的范圍內(nèi)，還應(yīng)當(dāng)盡量采用當(dāng)前性?xún)r(jià)比最好的千兆銅纜以太網(wǎng)技術(shù)， 例如 1000Base-T。 1000Mbps 以太網(wǎng)交換技術(shù)為主干，可以做到1000Mbps全光纜到二級(jí)交換機(jī)，100Mbps 到桌面。.層次化網(wǎng)絡(luò)設(shè)計(jì)根據(jù)本校網(wǎng)絡(luò)的實(shí)際情況，網(wǎng)絡(luò)層次應(yīng)包括核心層、匯聚層和接入層三個(gè)層次。接入層位于連接到網(wǎng)絡(luò)的最終用戶(hù)處，通常在用戶(hù)之間提供第 2

11、 層連接性，該層的設(shè)備必須具備具備下述功能：低交換機(jī)端口成本；高端口密 度；連接到高層的可擴(kuò)展上行鏈路；用戶(hù)接入功能，如 VLAN成員資格、 數(shù)據(jù)流和協(xié)議過(guò)濾以及服務(wù)質(zhì)量（QoS）。匯聚層將校園網(wǎng)的接入層和核心層連接起來(lái)，該層的設(shè)備必須具備下 述的功能：聚集多臺(tái)接入層設(shè)備；較高的第 3層分組處理吞吐量；使用訪 問(wèn)列表和分組過(guò)濾器提供安全和基于策略的連接；連接到核心層和接入層 的高速連接具有可擴(kuò)展性和彈性。校園網(wǎng)的核心層連接所有的匯聚層設(shè)備，該層必須能夠盡可能高效地 交換數(shù)據(jù)流。該層應(yīng)具有下述功能：第 2層和第3層的吞吐量非常高；不 執(zhí)行高成本或不必要的分組處理（訪問(wèn)列表層、分組過(guò)濾）；支持高可

12、用性 的冗余和彈性；高級(jí)Qos功能。成都區(qū)網(wǎng)絡(luò)設(shè)計(jì)的層次如下圖3所示：成立院片樂(lè) RK ：* H 修*3y.H I II IL .*.* h Illi撲離幡片回Hl IMa-將收寓總春2”H-Curnirt- .d * Jt 11新校區(qū)走校區(qū)圖3網(wǎng)絡(luò)設(shè)計(jì)圖III.網(wǎng)絡(luò)冗余設(shè)計(jì)由于大學(xué)網(wǎng)絡(luò)規(guī)模巨大、涉及到的用戶(hù)很多，如果網(wǎng)絡(luò)特別是骨干網(wǎng) 絡(luò)出現(xiàn)任何的問(wèn)題將導(dǎo)致很大的不良影響，因此對(duì)網(wǎng)絡(luò)的可靠性和可用性 要求很高。網(wǎng)絡(luò)的冗余設(shè)計(jì)除了選擇具有冗余設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備外，網(wǎng)絡(luò)的 冗余設(shè)計(jì)也十分重要，因此，成都區(qū)與雅安校區(qū)之間采用雙鏈路相連，四 川農(nóng)業(yè)成都去和雅安區(qū)核心層可采用兩臺(tái)核心交換機(jī)，匯聚層交換機(jī)分別

13、 用兩條線路接到這兩臺(tái)核心交換機(jī)上，即可實(shí)現(xiàn)線路的冗余。冗余設(shè)計(jì)如圖 4：圖 4 冗余設(shè)計(jì)圖. 出口設(shè)計(jì)為了給校園網(wǎng)用戶(hù)提供一個(gè)快速穩(wěn)定訪問(wèn)外部網(wǎng)絡(luò)的通道，本方案設(shè)計(jì)采用雙出口設(shè)計(jì)，一條通過(guò)本地ISP接入Chinanet,另一條接入Cernet,以滿(mǎn)足學(xué)校辦公的需求。設(shè)計(jì)如圖 5 所示：圖5出口設(shè)計(jì)圖5.IP及VLAN地址規(guī)劃采用/8的私有IP地址段，為校園網(wǎng)絡(luò)提供充裕的主機(jī)地址并 采用基于端口的VLAN劃分方法。單個(gè)VLAN可以使用多個(gè)地址段。VLAN 的劃分基于各部門(mén)職能或機(jī)房數(shù)量。其中南校區(qū)IP地址段和北校區(qū)IP地址 段分別為/16與1020.0/16,以下為南校區(qū)IP地址與VLAN詳細(xì)

14、劃 分如圖：表1 IP地址與VLAN詳細(xì)劃分VLAN 號(hào)VLAN名稱(chēng)IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明1duomeiti/24多媒體2yhjxl/24一號(hào)教學(xué)樓3yhljf/23一號(hào)樓機(jī)房4ehjxl/23二號(hào)教學(xué)樓5shjxl/23三號(hào)教學(xué)樓6tsdjyls/24圖書(shū)館電子閱覽室7sxqhl/24實(shí)訓(xùn)7號(hào)樓6.設(shè)備選型校園網(wǎng)絡(luò)主干為千兆網(wǎng)絡(luò)，百兆交換到桌面，保障所有用戶(hù)同時(shí)調(diào)用 服務(wù)資源時(shí)都能快速、流暢，充分發(fā)揮多媒體課室教學(xué)的作用同時(shí)保證所 有用戶(hù)同時(shí)上網(wǎng)順暢，使校園網(wǎng)絡(luò)的功能發(fā)揮得淋漓盡致。為了實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計(jì)方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即華為公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的

15、好處是可以實(shí) 現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。下面就介紹本案例中的設(shè)備型號(hào)及參數(shù)等信息：6 設(shè)備型號(hào)及參數(shù)四 總體綜合布線系統(tǒng)的設(shè)計(jì)思路. 總體設(shè)計(jì)要點(diǎn)四川農(nóng)業(yè)學(xué)院綜合布線系統(tǒng)的設(shè)計(jì)，將滿(mǎn)足高帶寬需求的計(jì)算機(jī)網(wǎng)絡(luò)的互聯(lián)，采用適應(yīng) FDDI ，快速以太網(wǎng)， ATM 網(wǎng)，支持萬(wàn)兆以太網(wǎng)等高速數(shù)據(jù)信息交換的主干網(wǎng)。我們對(duì)四川農(nóng)業(yè)學(xué)院綜合布線系統(tǒng)進(jìn)行了設(shè)計(jì)。根據(jù)設(shè)計(jì)劃分，雅安區(qū)所屬計(jì)算機(jī)機(jī)房在三層計(jì)算機(jī)機(jī)房，都江堰區(qū)所屬計(jì)算機(jī)機(jī)房在三層網(wǎng)絡(luò)機(jī)房，成都去所屬計(jì)算機(jī)網(wǎng)絡(luò)中心機(jī)房在三層網(wǎng)絡(luò)機(jī)房，計(jì)算機(jī)網(wǎng)絡(luò)中心機(jī)房?jī)?nèi)設(shè)置核心層網(wǎng)絡(luò)交換機(jī)，光纖配線架、服務(wù)器等設(shè)備。大樓整個(gè)網(wǎng)絡(luò)系統(tǒng)采用高性?xún)r(jià)比的六類(lèi)綜合

16、布線系統(tǒng)。數(shù)據(jù)主干采用八芯多模光纜，端接設(shè)備采用機(jī)柜式光纖配線架，能夠滿(mǎn)足現(xiàn)在先進(jìn)的千兆主干傳輸?shù)囊?，同時(shí)也能滿(mǎn)足未來(lái)更高帶寬的網(wǎng)絡(luò)需求。數(shù)據(jù)采用六類(lèi)4 對(duì)非屏蔽雙絞線銅纜。配線間內(nèi)水平千兆對(duì)絞線端接采用 48 口模塊式配線架。.設(shè)備間位置的確定計(jì)算機(jī)網(wǎng)絡(luò)機(jī)房，須要落實(shí)其各自的位置，以實(shí)現(xiàn)綜合布線線工程。.弱電井位置的確定弱電井作為弱電管線的主要通道，不僅要方便管理，而且還要注意水平走線的距離等問(wèn)題。我們根據(jù)河北河北工業(yè)職業(yè)技術(shù)學(xué)院的設(shè)計(jì)圖紙和招標(biāo)要求，認(rèn)為弱電井的設(shè)置可以滿(mǎn)足系統(tǒng)的需要。.信息點(diǎn)的設(shè)置數(shù)據(jù)信息點(diǎn)的設(shè)計(jì)部分，我司認(rèn)為，考慮到河北工業(yè)職業(yè)技術(shù)學(xué)院的系統(tǒng)的要求，數(shù)據(jù)插座全部采用六

17、類(lèi)非屏蔽信息模塊，采用國(guó)際標(biāo)準(zhǔn) 86 型預(yù)埋盒安裝，采用雙孔、單孔或四孔信息面板，光纖到機(jī)柜，采用 LC 或者SC接口模塊安裝.管理間的設(shè)置管理間設(shè)置各樓層，負(fù)責(zé)樓層信息點(diǎn)的配線管理，連接主干光纜以及水平光纜的配線架，總體設(shè)計(jì)思路如圖 7圖7管理間的設(shè)置五校園綜合網(wǎng)絡(luò)安全.服務(wù)器的安全配置信息安全風(fēng)險(xiǎn)分析隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶(hù)迅速增加，風(fēng) 險(xiǎn)變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播 到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì) Internet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重，信息安全可以從以下 幾個(gè)方面來(lái)理解：(1)安全需求

18、與目標(biāo)針對(duì)信息系統(tǒng)所面臨的安全分析，通過(guò)可能造系統(tǒng)安全的五個(gè)部分， 如何進(jìn)行有效的防范，需從五方面進(jìn)行：針對(duì)管理級(jí)安全：須建立一套完整可行的信息安全管理制度，通過(guò) 有效的系統(tǒng)管理工具，實(shí)現(xiàn)系統(tǒng)的安全運(yùn)行管理與維護(hù)；對(duì)應(yīng)用級(jí)安全：須加強(qiáng)網(wǎng)絡(luò)防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、 數(shù)據(jù)加密、身份認(rèn)證等，通過(guò)一系列信息安全軟硬件設(shè)備建設(shè)安全防護(hù)體 系；針對(duì)系統(tǒng)級(jí)安全：須加強(qiáng)對(duì)服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)的運(yùn)行監(jiān)測(cè)， 加強(qiáng)系統(tǒng)補(bǔ)丁的管理，通過(guò)雙機(jī)(或兩套系統(tǒng))的形式保證核心系統(tǒng)運(yùn)行， 當(dāng)發(fā)生故障時(shí)，能及時(shí)的提供備用系統(tǒng)和恢復(fù)；針對(duì)網(wǎng)絡(luò)級(jí)安全：須保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運(yùn)行穩(wěn)定，對(duì)核心 層的網(wǎng)絡(luò)設(shè)備和線路提供

19、雙路的冗余；針對(duì)物理級(jí)安全：須保證數(shù)據(jù)的安全和系統(tǒng)的及時(shí)恢復(fù)，加強(qiáng)數(shù)據(jù) 的遠(yuǎn)程異地備份和系統(tǒng)的異地容災(zāi)。(2)全面的信息網(wǎng)絡(luò)安全體系設(shè)計(jì)區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對(duì)外接口 (互聯(lián)網(wǎng)接口、上級(jí)門(mén)、下級(jí)單位、同級(jí)部門(mén)、第三方關(guān)聯(lián)單位等其它非信任 網(wǎng)絡(luò))，在對(duì)外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過(guò)防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔 離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過(guò)防火墻實(shí)現(xiàn)訪問(wèn)控制，控制內(nèi)部用戶(hù)的上網(wǎng)行為； 通過(guò)防火墻驗(yàn)證訪問(wèn)內(nèi)部的用戶(hù)身份、訪問(wèn)權(quán)限等； 通過(guò)入侵防護(hù)檢測(cè)訪問(wèn)者的訪問(wèn)行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?duì)數(shù)據(jù)進(jìn)行加密，可以通過(guò)防火墻的VPN模塊或?qū)Ｓ玫腣P

20、N設(shè)備建立VPN通道。目前，大部分防火墻的功能差異并 不太大，性能成為選擇防火墻的主要指標(biāo)，市場(chǎng)上的防火墻根據(jù)架構(gòu)的不同，可分為三大類(lèi)：ASIC芯片、NP架構(gòu)、傳統(tǒng)的X86架本勾,ASIC芯片級(jí) 的防火墻把大部分處理通過(guò)芯片來(lái)完成，不再占用 CPU資源，具有更好的 處理性能。建立多層次、全方面的防病毒系統(tǒng)1、根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶(hù)機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng) 2、根據(jù)病毒傳播的途徑，在網(wǎng) 關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁(yè)、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的 病毒防護(hù)3、在內(nèi)部交換層，通過(guò)硬件的網(wǎng)絡(luò)防毒墻對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn) 行檢測(cè)，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲(chóng)、惡意攻擊行為的防護(hù)，保護(hù)內(nèi)部

21、網(wǎng)絡(luò)的穩(wěn)定與暢通。 單機(jī)的問(wèn)題并不能對(duì)網(wǎng)絡(luò)造成嚴(yán)重的問(wèn)題，網(wǎng)絡(luò)中斷 或癱瘓?jiān)斐傻膿p失是巨大的。加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個(gè)網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來(lái)自外部和內(nèi)部的攻 擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。重點(diǎn)加強(qiáng)核心系統(tǒng) 的安全防護(hù)；對(duì)操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對(duì)核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并 對(duì)交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。同時(shí)，把安裝重要應(yīng)用系統(tǒng)的服務(wù) 器進(jìn)行雙機(jī)熱備所有數(shù)據(jù)通過(guò)磁盤(pán)陣列或磁帶機(jī)進(jìn)行存儲(chǔ)、備份、對(duì)于網(wǎng) 站系統(tǒng)，可以通過(guò)主頁(yè)防篡改系統(tǒng)、防 DOS攻擊系統(tǒng)加強(qiáng)對(duì)網(wǎng)站

22、的防護(hù).防病毒軟件及技術(shù)1)防病毒體系設(shè)計(jì)思路為了構(gòu)建一個(gè)強(qiáng)壯、有效的防病毒體系，再分析了校園網(wǎng)絡(luò)架構(gòu)及相 關(guān)應(yīng)用之后，針對(duì)潛在的病毒傳播威脅，趨勢(shì)科技建議采用結(jié)合產(chǎn)品、防御策略、服務(wù)為一體的防病毒體系。由于校園網(wǎng)防病毒管理具有明顯的地域性，為了方便集中管理，需要有一套切實(shí)可行的集中管理機(jī)制，以方便管理員實(shí)時(shí)掌控全市防病毒狀況。同時(shí)還要求按分支機(jī)構(gòu)進(jìn)行權(quán)限分派管理，不同分支機(jī)構(gòu)的管理人員在中央控管體系中只能夠管理到本分支機(jī)構(gòu)范圍內(nèi)的防病毒軟件，包括防病毒策略設(shè)定、病毒碼及掃描引擎升級(jí)等。2) 產(chǎn)品部署建議根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)潛在的病毒威脅分析，結(jié)合趨勢(shì)科技全系列防毒產(chǎn)品的特性，由點(diǎn)及面，全方位部署，

23、徹底截?cái)嗖《救肭值乃型緩健?) 服務(wù)器防護(hù)趨勢(shì)科技防毒墻服務(wù)器版ServerProtect趨勢(shì)科技Serverprotect可以對(duì)Windows 2000/NT、Novell、 NertWare或 Linux Redhat 網(wǎng)絡(luò)上的檔案服務(wù) 器，提供全面性的病毒防護(hù)。ServerProtect是通過(guò)直覺(jué)的、可攜式的主控臺(tái) 來(lái)操作，它提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報(bào)告 和防毒配置等功能。策略：防毒軟件可通過(guò)單一的主控臺(tái)來(lái)管理；安裝時(shí)可以依照網(wǎng)域分組，同時(shí)替多部服務(wù)器進(jìn)行安裝；利用集中式報(bào)表，管理人員可以監(jiān)看整個(gè)網(wǎng)絡(luò)的狀態(tài)；通過(guò)Task Manager,管理人員可以輕松地完成

24、各種病毒維 護(hù)工作，例如設(shè)定掃毒模式、更新病毒碼和程序、編輯病毒報(bào)告，以及設(shè)定實(shí)時(shí)掃描的參數(shù)等。自動(dòng)下載和分發(fā)病毒碼、掃毒引擎和程序文件；支持MPLS VPN 和IPSec等VPN ;網(wǎng)絡(luò)層防病毒，產(chǎn)品簡(jiǎn)介：Trend MicroTM Network VirusWallTM 是基于網(wǎng)絡(luò)層， 針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的設(shè)備。可協(xié)助公司企業(yè)防止 ARP 病毒攻擊，在爆發(fā)病毒疫情時(shí)隔絕高危險(xiǎn)的網(wǎng)絡(luò)脆弱環(huán)節(jié)，在網(wǎng)絡(luò)層部署由趨勢(shì)科技提供的安全防御策略，并能在缺乏防毒保護(hù)的設(shè)備等潛在感染源連接網(wǎng)絡(luò)時(shí)，予以隔離和清除。不同于只監(jiān)測(cè)安全威脅或提供信息的安全解決方案， NetworkVirusWall協(xié)助企業(yè)采

25、取準(zhǔn)確、快速的安全措施，并且主動(dòng)偵測(cè)、預(yù)防圍堵 與進(jìn)行善后清理。當(dāng)企業(yè)在網(wǎng)絡(luò)的各網(wǎng)段之間部署 Network VirusWall之后， 即可大幅降低安全威脅、網(wǎng)絡(luò)宕機(jī)時(shí)間以疫情管理的負(fù)擔(dān)。同時(shí)， Network VirusWall支持趨勢(shì)科技的企業(yè)安全防護(hù)策略(Enterprise ProtectionStrategy)。4) NVW提供以下主要功能： 防止ARP欺騙主動(dòng)免疫，識(shí)別攻擊者發(fā)送的 ARP欺騙包，并阻止發(fā)送被動(dòng)防護(hù)，保 護(hù)終端免受ARP欺騙包影響網(wǎng)絡(luò)流量偵測(cè)與網(wǎng)絡(luò)病毒過(guò)濾在網(wǎng)絡(luò)層清除帶毒數(shù)據(jù)包；分析網(wǎng)絡(luò)數(shù)據(jù)流量，定位可疑計(jì)算機(jī)；使 用智能型規(guī)則，提供關(guān)于網(wǎng)絡(luò)病毒疫情的早期預(yù)警信息隔

26、離薄弱環(huán)節(jié)偵測(cè)帶有安全漏洞的計(jì)算機(jī)，預(yù)防病毒利用網(wǎng)絡(luò)上的薄弱環(huán)節(jié)入侵；爆發(fā)病毒疫情時(shí)，阻止未安裝相關(guān)補(bǔ)丁程序的計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)資源強(qiáng)制實(shí)施安全策略隔離特定IP地址段.防火墻的配置安裝位置：局域網(wǎng)與路由器之間；WWW服務(wù)器與托管機(jī)房局域網(wǎng)之間；(1)局域網(wǎng)防火墻作用：實(shí)現(xiàn)單向訪問(wèn)，允許局域網(wǎng)用戶(hù)訪問(wèn)Internet資源，但是嚴(yán)格限制 Internet用戶(hù)對(duì)局域網(wǎng)資源的訪問(wèn)；通過(guò)防火墻，將整個(gè)局域網(wǎng)劃分Internet, DMZ區(qū)，內(nèi)網(wǎng)訪問(wèn)區(qū)這三 個(gè)邏輯上分開(kāi)的區(qū)域，有利于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理；局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護(hù)之下，只要通過(guò)防火墻設(shè)置的修改， 就能有限絕大部分防止來(lái)自 In

27、ternet 上的攻擊， 網(wǎng)絡(luò)管理員只需要關(guān)注DMZ 區(qū)對(duì)外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞；通過(guò)防火墻的過(guò)濾規(guī)則， 實(shí)現(xiàn)端口級(jí)控制， 限制局域網(wǎng)用戶(hù)對(duì)Internet的訪問(wèn)；進(jìn)行流量控制，確保重要業(yè)務(wù)對(duì)流量的要求；通過(guò)過(guò)濾規(guī)則， 以時(shí)間為控制要素， 限制大流量網(wǎng)絡(luò)應(yīng)用在上班時(shí)間的使用。通過(guò)防火墻的過(guò)濾規(guī)則，限制 Internet 用戶(hù)對(duì) WWW 服務(wù)器的訪問(wèn)，將訪問(wèn)權(quán)限控制在最小的限度，在這種情況下網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注 WWW 應(yīng)用服務(wù)軟件的安全漏洞；通過(guò)過(guò)濾規(guī)則，對(duì)遠(yuǎn)程更新的時(shí)間、來(lái)源(通過(guò)IP 地址)進(jìn)行限制。.數(shù)據(jù)備份數(shù)據(jù)資源是一個(gè)單位的最為重要資源，一但數(shù)據(jù)

28、丟失所造成的損失是無(wú)法彌補(bǔ)的。因此必須加對(duì)數(shù)據(jù)的保存和備份?，F(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過(guò)磁盤(pán)陣列來(lái)完成，但是，磁盤(pán)陣列的穩(wěn)定性是不能保證的。一般情況，可以通過(guò)磁帶機(jī)對(duì)磁盤(pán)陣列的數(shù)據(jù)進(jìn)行再次備份也可以通過(guò)另一臺(tái)磁盤(pán)陣列進(jìn)行數(shù)據(jù)的相互備份通過(guò)專(zhuān)用的備份軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)、文件資源、應(yīng)用系統(tǒng)及整個(gè)的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份并提供相應(yīng)用恢復(fù)方案為防止地震、火災(zāi)、雷電等自然災(zāi)害，須將重要數(shù)據(jù)在異地進(jìn)行備份，如果系統(tǒng)的運(yùn)行不能中斷，就需要在異地進(jìn)行系統(tǒng)的容災(zāi).后期網(wǎng)絡(luò)維護(hù)與培訓(xùn)在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)、改進(jìn)，以達(dá)到動(dòng)態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。安全服務(wù)

29、分為以下幾類(lèi)：網(wǎng)絡(luò)拓?fù)浞治龇?wù)對(duì)象：整個(gè)網(wǎng)絡(luò)服務(wù)周期：半年一次服務(wù)內(nèi)容：根據(jù)網(wǎng)絡(luò)的實(shí)際情況，繪制網(wǎng)絡(luò)拓?fù)鋱D；分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見(jiàn)。服務(wù)作用：針對(duì)網(wǎng)絡(luò)的整體情況，進(jìn)行總體、框架性分析。一方面，通過(guò)網(wǎng)絡(luò)拓?fù)浞治?，能夠形成網(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料；另一方面，通過(guò)整體的安全性分析，能夠找出網(wǎng)絡(luò)設(shè)計(jì)上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中可能產(chǎn)生的安全問(wèn)題。中心機(jī)房管理制度制定以及修改服務(wù)對(duì)象：中心機(jī)房服務(wù)周期：半年一次服務(wù)內(nèi)容：協(xié)助用戶(hù)制訂并修改機(jī)房管理制度。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登

30、記制度等。服務(wù)作用：嚴(yán)格控制中心機(jī)房的人員進(jìn)出、設(shè)備進(jìn)出并及時(shí)登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運(yùn)行。操作系統(tǒng)補(bǔ)丁升級(jí)服務(wù)對(duì)象：服務(wù)器、工作站、終端服務(wù)周期：不定期服務(wù)內(nèi)容：一旦出現(xiàn)重大安全補(bǔ)丁，及時(shí)更新所有相關(guān)系統(tǒng)；出現(xiàn)大型補(bǔ)丁(如微軟的SP) ，及時(shí)更新所有相關(guān)系統(tǒng)；服務(wù)作用：通過(guò)及時(shí)、有效的補(bǔ)丁升級(jí)，能夠有效防止局域網(wǎng)主機(jī)和服務(wù)器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡(luò)蠕蟲(chóng)病毒對(duì)網(wǎng)絡(luò)的整體影響，增加網(wǎng)絡(luò)帶寬的有效利用率。防病毒軟件病毒庫(kù)定期升級(jí)服務(wù)對(duì)象：防病毒服務(wù)器、安裝防病毒客戶(hù)端的終端服務(wù)周期：每周一次服務(wù)內(nèi)容：防病毒服務(wù)器通過(guò)Internet 更新病毒庫(kù)；防病毒服務(wù)器強(qiáng)制所有在線客戶(hù)端更新病毒庫(kù)；服務(wù)作用：通過(guò)不斷升級(jí)病毒庫(kù)確保防病毒軟件能夠及時(shí)發(fā)現(xiàn)新的病毒。服務(wù)器定期掃描、加固服務(wù)對(duì)象：服務(wù)器服務(wù)周期：半年一次服務(wù)內(nèi)容：使用專(zhuān)用的掃描工具，在用戶(hù)網(wǎng)絡(luò)管理人員的配合，對(duì)主要的服務(wù)器進(jìn)行掃描。服務(wù)作用：找出對(duì)應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞；找出服務(wù)器對(duì)應(yīng)應(yīng)用服務(wù)中存在的系