網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計文獻(xiàn)

1、河北工業(yè)職業(yè)技術(shù)學(xué)院專項任務(wù)報告書任務(wù)題目四川農(nóng)業(yè)學(xué)院網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計系 別計算機(jī)技術(shù)系專業(yè)年級14級網(wǎng)絡(luò)技術(shù)學(xué)生姓名學(xué) 號35091403029指導(dǎo)教師車倩倩王文松 職稱高級工程師副教授完成地點(diǎn)蒼穹數(shù)碼技術(shù)股份有限公司河北分公司日 期2017-05-10 TOC o 1-5 h z 校園建筑物布局說明 1.學(xué)院概況 1.網(wǎng)絡(luò)環(huán)境分析 1校園網(wǎng)絡(luò)系統(tǒng)需求分析 2.功能需求 2.技術(shù)需求分析 3 HYPERLINK l bookmark16 o Current Document 校園網(wǎng)絡(luò)系統(tǒng)設(shè)計規(guī)劃 4.主干網(wǎng)設(shè)計 4.層次化網(wǎng)絡(luò)設(shè)計 4.網(wǎng)絡(luò)冗余設(shè)計 5.出口設(shè)計 6.IP及VLAN地址規(guī)

2、劃 7.設(shè)備選型 8 HYPERLINK l bookmark18 o Current Document 總體綜合布線系統(tǒng)的設(shè)計思路 9. 總體設(shè)計要點(diǎn) 9.設(shè)備間位置的確定 9.弱電井位置的確定 9.信息點(diǎn)的設(shè)置 9.管理間的設(shè)置 10校園綜合網(wǎng)絡(luò)安全 10.服務(wù)器的安全配置 10.防病毒軟件及技術(shù) 12.防火墻的配置 14.數(shù)據(jù)備份 15.后期網(wǎng)絡(luò)維護(hù)與培訓(xùn) 15 HYPERLINK l bookmark20 o Current Document 參考文獻(xiàn) 20河北工業(yè)職業(yè)技術(shù)學(xué)院專項任務(wù)書專項任務(wù)名稱四JI農(nóng)業(yè)學(xué)院網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計姓名柏青何 專業(yè)網(wǎng)絡(luò)技術(shù) 班級4班 學(xué)號3509140

3、3029一、任務(wù)情況描述：校園網(wǎng)是各種類型網(wǎng)絡(luò)中一大分支， 有著非常廣泛的應(yīng)用。作為 新技術(shù)的發(fā)祥地，學(xué)校、尤其是高等學(xué)校和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng) 絡(luò)最初是在校園里進(jìn)行實驗并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進(jìn)而才推向社會的。二、任務(wù)完成計劃：第一階段:3.15-3.20開始確立題目及大方向。第二階段:3.21-4.01分析學(xué)校的具體需求第三階段:4.02-4.15根據(jù)需求對網(wǎng)絡(luò)系統(tǒng)進(jìn)行規(guī)劃與設(shè)計。第四階段:4.16-5.08總體方案設(shè)計策略第五階段:5.11-5.13論文撰寫及打印準(zhǔn)備答辯。三、計劃答辯時間：2017.5.13日論文答辯實習(xí)指導(dǎo)教師（簽字）：系學(xué)生頂崗實習(xí)

4、領(lǐng)導(dǎo)小組組長（簽字）：HJi I農(nóng)業(yè)學(xué)院校園網(wǎng)絡(luò)系統(tǒng)集成方案設(shè)計設(shè)計者：柏青何指導(dǎo)教師：王文松、車倩倩一校園建筑物布局說明.學(xué)院概況四川農(nóng)業(yè)大學(xué)是一所以生物科技為特色，農(nóng)業(yè)科技為優(yōu)勢，多學(xué)科協(xié) 調(diào)發(fā)展的國家“21正程”重點(diǎn)建設(shè)大學(xué)，也是教育部本科教學(xué)工作水平評估 優(yōu)秀高?！，F(xiàn)任黨委書記鄧良基教授、校長鄭有良教授。.網(wǎng)絡(luò)環(huán)境分析四川農(nóng)業(yè)大學(xué)包括三個校區(qū)，分別是雅安、都江堰、成都三個校區(qū)； 成都區(qū)離雅安去區(qū)不遠(yuǎn)，三個校區(qū)物理上隔離。為了最大程度上對學(xué)校各 校區(qū)資源實現(xiàn)資源共享，結(jié)合考慮學(xué)校實際情況，建議各分校區(qū)與南院主 校區(qū)實現(xiàn)專線相連。本設(shè)計方案涉及成都校區(qū)的網(wǎng)絡(luò)整體規(guī)劃，實現(xiàn)了成都的具體實施方

5、 案，成都區(qū)網(wǎng)絡(luò)核心區(qū)域拓?fù)鋱D如圖所示：fiiiisp電倡isp成觸腕片成*Rk洋匕升*i A n rvI .UK*-*! *16W, =. tn.甘&吐 a* HKW通夫耀片區(qū)學(xué)生IRS片區(qū)卡腎翠1111*iwnq，。SU1A新校區(qū)上校區(qū)網(wǎng)絡(luò)中心三、.=.t. *.田*恒&.a從 RhtMM阿語中心忙但I(xiàn)I I ll i里?？趯W(xué)口 二*L學(xué)生11嚙片國圖1成都校區(qū)網(wǎng)絡(luò)拓?fù)鋱D二校園網(wǎng)絡(luò)系統(tǒng)需求分析1.功能需求通過實地調(diào)查分析，校園網(wǎng)絡(luò)應(yīng)滿足如下功能需求：(1)將全校所有計算機(jī)連接到網(wǎng)絡(luò)中，滿足計算機(jī)教學(xué)科研、行政辦公 需要，具有完善的辦公事務(wù)處理能力。在網(wǎng)絡(luò)上傳輸多種應(yīng)用信息，用于 教學(xué)、教務(wù)

6、管理、通知通告、對外網(wǎng)站等應(yīng)用。(2)網(wǎng)絡(luò)管理系統(tǒng)功能完善，操作簡便，能管理到桌面臺式機(jī)。網(wǎng)絡(luò)設(shè) 立區(qū)域性安全防范措施，加載安全過濾。禁止如 P2P等占用高帶寬的技術(shù)。(3)結(jié)構(gòu)合理，技術(shù)先進(jìn)，確保3-5年內(nèi)不會更新?lián)Q代，所設(shè)計網(wǎng)絡(luò)應(yīng)該具有高可靠性和可擴(kuò)展性，具有一定的冗余，容錯能力強(qiáng)，確保信息處 理安全保密。實現(xiàn) VLAN 間的互通， 方便不同行政部門或教學(xué)部門的互訪以及網(wǎng)絡(luò)管理。連接至Internet。術(shù)需求分析路由技術(shù)：路由協(xié)議工作在OSI 參考模型的第 3 層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問

7、控制列表( Access Control List，ACL ) ，路由器還可以用來完成以路由器為中心的流量控制和過濾功能。在本工程設(shè)計中，其內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過 3 層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交 換。交換技術(shù)：現(xiàn)代交換技術(shù)還實現(xiàn)了第 3 層交換和多層交換。高層交換技術(shù)的引入不但提高了校園網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了校園網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要。VLAN 技術(shù)：虛擬局域網(wǎng) ( Virtual LAN ， VLAN ) ， VLAN 將廣播域限制在單個VLAN內(nèi)部，減小了各VLAN 間主機(jī)的廣播通信對其他VLAN 的影響。在VLAN

8、間需要通信的時候，可以利用 VLAN 間路由技術(shù)來實現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時，我們可以使用 VLAN 中繼協(xié)議( VlanTrunking Protocol ， VTP )簡化管理，它只需在單獨(dú)一臺交換機(jī)上定義所有VLAN 。然后通過VTP 協(xié)議將 VLAN 定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。防火墻技術(shù)與DMZ ：針對不同資源提供不同安全級別的保護(hù) , 還應(yīng)該構(gòu)建一個DMZ 的區(qū)域，放置一些不含機(jī)密信息的公用服務(wù)器，比如Web、 Mail 和 FTP 等。這樣來自外網(wǎng)的訪問者可以訪問 DMZ 中的服務(wù)， 但不可能接觸到存放

9、在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等。 即使 DMZ 中服務(wù)器受到破壞， 也不會對內(nèi)網(wǎng)中的機(jī)密信息造成影響。鏈路聚合技術(shù)：鏈路聚合(Port Trunking)技術(shù)，支持IEEE802.3協(xié)議，是一種用在交 換機(jī)與交換機(jī)之間擴(kuò)大通信吞吐量、提高可靠性的技術(shù)，也稱為骨干連接。當(dāng)兩臺核心層交換機(jī)采用聚合鏈路Port Trunking 技術(shù)后，該技術(shù)可以使交換機(jī)之間連接最多 4 條負(fù)載均衡的冗余連接。當(dāng)某一臺核心交換機(jī)出現(xiàn)故障或核心交換機(jī)與接入層/匯聚層交換機(jī)的某一條互聯(lián)線路出現(xiàn)故障時，系統(tǒng)將通信業(yè)務(wù)快速自動切換到另一臺正常工作的核心層交換機(jī)上，以使整個網(wǎng)絡(luò)具備高容量、無阻塞、高可靠的能力。三 校園網(wǎng)絡(luò)系

10、統(tǒng)設(shè)計規(guī)劃. 主干網(wǎng)設(shè)計隨著校園網(wǎng)用戶數(shù)目與新的應(yīng)用需求不斷增加，特別是網(wǎng)上多媒體及遠(yuǎn)程教育應(yīng)用的展開，對校園網(wǎng)主干帶寬提出了新的更高的要的求因此校園網(wǎng)的主干(即核心層交換機(jī)與匯聚層交換機(jī)之間或核心層交換機(jī)與服務(wù)器之間的連接)采用千兆以太網(wǎng)技術(shù)，在距離允許的范圍內(nèi)，還應(yīng)當(dāng)盡量采用當(dāng)前性價比最好的千兆銅纜以太網(wǎng)技術(shù)， 例如 1000Base-T。 1000Mbps 以太網(wǎng)交換技術(shù)為主干，可以做到1000Mbps全光纜到二級交換機(jī)，100Mbps 到桌面。.層次化網(wǎng)絡(luò)設(shè)計根據(jù)本校網(wǎng)絡(luò)的實際情況，網(wǎng)絡(luò)層次應(yīng)包括核心層、匯聚層和接入層三個層次。接入層位于連接到網(wǎng)絡(luò)的最終用戶處，通常在用戶之間提供第 2

11、 層連接性，該層的設(shè)備必須具備具備下述功能：低交換機(jī)端口成本；高端口密 度；連接到高層的可擴(kuò)展上行鏈路；用戶接入功能，如 VLAN成員資格、 數(shù)據(jù)流和協(xié)議過濾以及服務(wù)質(zhì)量（QoS）。匯聚層將校園網(wǎng)的接入層和核心層連接起來，該層的設(shè)備必須具備下 述的功能：聚集多臺接入層設(shè)備；較高的第 3層分組處理吞吐量；使用訪 問列表和分組過濾器提供安全和基于策略的連接；連接到核心層和接入層 的高速連接具有可擴(kuò)展性和彈性。校園網(wǎng)的核心層連接所有的匯聚層設(shè)備，該層必須能夠盡可能高效地 交換數(shù)據(jù)流。該層應(yīng)具有下述功能：第 2層和第3層的吞吐量非常高；不 執(zhí)行高成本或不必要的分組處理（訪問列表層、分組過濾）；支持高可

12、用性 的冗余和彈性；高級Qos功能。成都區(qū)網(wǎng)絡(luò)設(shè)計的層次如下圖3所示：成立院片樂 RK ：* H 修*3y.H I II IL .*.* h Illi撲離幡片回Hl IMa-將收寓總春2”H-Curnirt- .d * Jt 11新校區(qū)走校區(qū)圖3網(wǎng)絡(luò)設(shè)計圖III.網(wǎng)絡(luò)冗余設(shè)計由于大學(xué)網(wǎng)絡(luò)規(guī)模巨大、涉及到的用戶很多，如果網(wǎng)絡(luò)特別是骨干網(wǎng) 絡(luò)出現(xiàn)任何的問題將導(dǎo)致很大的不良影響，因此對網(wǎng)絡(luò)的可靠性和可用性 要求很高。網(wǎng)絡(luò)的冗余設(shè)計除了選擇具有冗余設(shè)計的網(wǎng)絡(luò)設(shè)備外，網(wǎng)絡(luò)的 冗余設(shè)計也十分重要，因此，成都區(qū)與雅安校區(qū)之間采用雙鏈路相連，四 川農(nóng)業(yè)成都去和雅安區(qū)核心層可采用兩臺核心交換機(jī)，匯聚層交換機(jī)分別

13、 用兩條線路接到這兩臺核心交換機(jī)上，即可實現(xiàn)線路的冗余。冗余設(shè)計如圖 4：圖 4 冗余設(shè)計圖. 出口設(shè)計為了給校園網(wǎng)用戶提供一個快速穩(wěn)定訪問外部網(wǎng)絡(luò)的通道，本方案設(shè)計采用雙出口設(shè)計，一條通過本地ISP接入Chinanet,另一條接入Cernet,以滿足學(xué)校辦公的需求。設(shè)計如圖 5 所示：圖5出口設(shè)計圖5.IP及VLAN地址規(guī)劃采用/8的私有IP地址段，為校園網(wǎng)絡(luò)提供充裕的主機(jī)地址并 采用基于端口的VLAN劃分方法。單個VLAN可以使用多個地址段。VLAN 的劃分基于各部門職能或機(jī)房數(shù)量。其中南校區(qū)IP地址段和北校區(qū)IP地址 段分別為/16與1020.0/16,以下為南校區(qū)IP地址與VLAN詳細(xì)

14、劃 分如圖：表1 IP地址與VLAN詳細(xì)劃分VLAN 號VLAN名稱IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說明1duomeiti/24多媒體2yhjxl/24一號教學(xué)樓3yhljf/23一號樓機(jī)房4ehjxl/23二號教學(xué)樓5shjxl/23三號教學(xué)樓6tsdjyls/24圖書館電子閱覽室7sxqhl/24實訓(xùn)7號樓6.設(shè)備選型校園網(wǎng)絡(luò)主干為千兆網(wǎng)絡(luò)，百兆交換到桌面，保障所有用戶同時調(diào)用 服務(wù)資源時都能快速、流暢，充分發(fā)揮多媒體課室教學(xué)的作用同時保證所 有用戶同時上網(wǎng)順暢，使校園網(wǎng)絡(luò)的功能發(fā)揮得淋漓盡致。為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即華為公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的

15、好處是可以實 現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補(bǔ)充。下面就介紹本案例中的設(shè)備型號及參數(shù)等信息：6 設(shè)備型號及參數(shù)四 總體綜合布線系統(tǒng)的設(shè)計思路. 總體設(shè)計要點(diǎn)四川農(nóng)業(yè)學(xué)院綜合布線系統(tǒng)的設(shè)計，將滿足高帶寬需求的計算機(jī)網(wǎng)絡(luò)的互聯(lián)，采用適應(yīng) FDDI ，快速以太網(wǎng)， ATM 網(wǎng)，支持萬兆以太網(wǎng)等高速數(shù)據(jù)信息交換的主干網(wǎng)。我們對四川農(nóng)業(yè)學(xué)院綜合布線系統(tǒng)進(jìn)行了設(shè)計。根據(jù)設(shè)計劃分，雅安區(qū)所屬計算機(jī)機(jī)房在三層計算機(jī)機(jī)房，都江堰區(qū)所屬計算機(jī)機(jī)房在三層網(wǎng)絡(luò)機(jī)房，成都去所屬計算機(jī)網(wǎng)絡(luò)中心機(jī)房在三層網(wǎng)絡(luò)機(jī)房，計算機(jī)網(wǎng)絡(luò)中心機(jī)房內(nèi)設(shè)置核心層網(wǎng)絡(luò)交換機(jī)，光纖配線架、服務(wù)器等設(shè)備。大樓整個網(wǎng)絡(luò)系統(tǒng)采用高性價比的六類綜合

16、布線系統(tǒng)。數(shù)據(jù)主干采用八芯多模光纜，端接設(shè)備采用機(jī)柜式光纖配線架，能夠滿足現(xiàn)在先進(jìn)的千兆主干傳輸?shù)囊螅瑫r也能滿足未來更高帶寬的網(wǎng)絡(luò)需求。數(shù)據(jù)采用六類4 對非屏蔽雙絞線銅纜。配線間內(nèi)水平千兆對絞線端接采用 48 口模塊式配線架。.設(shè)備間位置的確定計算機(jī)網(wǎng)絡(luò)機(jī)房，須要落實其各自的位置，以實現(xiàn)綜合布線線工程。.弱電井位置的確定弱電井作為弱電管線的主要通道，不僅要方便管理，而且還要注意水平走線的距離等問題。我們根據(jù)河北河北工業(yè)職業(yè)技術(shù)學(xué)院的設(shè)計圖紙和招標(biāo)要求，認(rèn)為弱電井的設(shè)置可以滿足系統(tǒng)的需要。.信息點(diǎn)的設(shè)置數(shù)據(jù)信息點(diǎn)的設(shè)計部分，我司認(rèn)為，考慮到河北工業(yè)職業(yè)技術(shù)學(xué)院的系統(tǒng)的要求，數(shù)據(jù)插座全部采用六

17、類非屏蔽信息模塊，采用國際標(biāo)準(zhǔn) 86 型預(yù)埋盒安裝，采用雙孔、單孔或四孔信息面板，光纖到機(jī)柜，采用 LC 或者SC接口模塊安裝.管理間的設(shè)置管理間設(shè)置各樓層，負(fù)責(zé)樓層信息點(diǎn)的配線管理，連接主干光纜以及水平光纜的配線架，總體設(shè)計思路如圖 7圖7管理間的設(shè)置五校園綜合網(wǎng)絡(luò)安全.服務(wù)器的安全配置信息安全風(fēng)險分析隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶迅速增加，風(fēng) 險變得更加嚴(yán)重和復(fù)雜。原來由單個計算機(jī)安全事故引起的損害可能傳播 到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對 Internet安全政策的認(rèn)識不足，這些風(fēng)險正日益嚴(yán)重，信息安全可以從以下 幾個方面來理解：(1)安全需求

18、與目標(biāo)針對信息系統(tǒng)所面臨的安全分析，通過可能造系統(tǒng)安全的五個部分， 如何進(jìn)行有效的防范，需從五方面進(jìn)行：針對管理級安全：須建立一套完整可行的信息安全管理制度，通過 有效的系統(tǒng)管理工具，實現(xiàn)系統(tǒng)的安全運(yùn)行管理與維護(hù)；對應(yīng)用級安全：須加強(qiáng)網(wǎng)絡(luò)防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、 數(shù)據(jù)加密、身份認(rèn)證等，通過一系列信息安全軟硬件設(shè)備建設(shè)安全防護(hù)體 系；針對系統(tǒng)級安全：須加強(qiáng)對服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫的運(yùn)行監(jiān)測， 加強(qiáng)系統(tǒng)補(bǔ)丁的管理，通過雙機(jī)(或兩套系統(tǒng))的形式保證核心系統(tǒng)運(yùn)行， 當(dāng)發(fā)生故障時，能及時的提供備用系統(tǒng)和恢復(fù)；針對網(wǎng)絡(luò)級安全：須保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運(yùn)行穩(wěn)定，對核心 層的網(wǎng)絡(luò)設(shè)備和線路提供

19、雙路的冗余；針對物理級安全：須保證數(shù)據(jù)的安全和系統(tǒng)的及時恢復(fù)，加強(qiáng)數(shù)據(jù) 的遠(yuǎn)程異地備份和系統(tǒng)的異地容災(zāi)。(2)全面的信息網(wǎng)絡(luò)安全體系設(shè)計區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對外接口 (互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任 網(wǎng)絡(luò))，在對外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過防火墻實現(xiàn)內(nèi)外網(wǎng)的隔 離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻實現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為； 通過防火墻驗證訪問內(nèi)部的用戶身份、訪問權(quán)限等； 通過入侵防護(hù)檢測訪問者的訪問行為；因為數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進(jìn)行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣P

20、N設(shè)備建立VPN通道。目前，大部分防火墻的功能差異并 不太大，性能成為選擇防火墻的主要指標(biāo)，市場上的防火墻根據(jù)架構(gòu)的不同，可分為三大類：ASIC芯片、NP架構(gòu)、傳統(tǒng)的X86架本勾,ASIC芯片級 的防火墻把大部分處理通過芯片來完成，不再占用 CPU資源，具有更好的 處理性能。建立多層次、全方面的防病毒系統(tǒng)1、根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng) 2、根據(jù)病毒傳播的途徑，在網(wǎng) 關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時進(jìn)行有效的 病毒防護(hù)3、在內(nèi)部交換層，通過硬件的網(wǎng)絡(luò)防毒墻對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn) 行檢測，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲、惡意攻擊行為的防護(hù)，保護(hù)內(nèi)部

21、網(wǎng)絡(luò)的穩(wěn)定與暢通。 單機(jī)的問題并不能對網(wǎng)絡(luò)造成嚴(yán)重的問題，網(wǎng)絡(luò)中斷 或癱瘓造成的損失是巨大的。加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來自外部和內(nèi)部的攻 擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。重點(diǎn)加強(qiáng)核心系統(tǒng) 的安全防護(hù)；對操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時的安裝補(bǔ)丁為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計，并 對交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。同時，把安裝重要應(yīng)用系統(tǒng)的服務(wù) 器進(jìn)行雙機(jī)熱備所有數(shù)據(jù)通過磁盤陣列或磁帶機(jī)進(jìn)行存儲、備份、對于網(wǎng) 站系統(tǒng)，可以通過主頁防篡改系統(tǒng)、防 DOS攻擊系統(tǒng)加強(qiáng)對網(wǎng)站

22、的防護(hù).防病毒軟件及技術(shù)1)防病毒體系設(shè)計思路為了構(gòu)建一個強(qiáng)壯、有效的防病毒體系，再分析了校園網(wǎng)絡(luò)架構(gòu)及相 關(guān)應(yīng)用之后，針對潛在的病毒傳播威脅，趨勢科技建議采用結(jié)合產(chǎn)品、防御策略、服務(wù)為一體的防病毒體系。由于校園網(wǎng)防病毒管理具有明顯的地域性，為了方便集中管理，需要有一套切實可行的集中管理機(jī)制，以方便管理員實時掌控全市防病毒狀況。同時還要求按分支機(jī)構(gòu)進(jìn)行權(quán)限分派管理，不同分支機(jī)構(gòu)的管理人員在中央控管體系中只能夠管理到本分支機(jī)構(gòu)范圍內(nèi)的防病毒軟件，包括防病毒策略設(shè)定、病毒碼及掃描引擎升級等。2) 產(chǎn)品部署建議根據(jù)計算機(jī)網(wǎng)絡(luò)潛在的病毒威脅分析，結(jié)合趨勢科技全系列防毒產(chǎn)品的特性，由點(diǎn)及面，全方位部署，

23、徹底截斷病毒入侵的所有途徑。3) 服務(wù)器防護(hù)趨勢科技防毒墻服務(wù)器版ServerProtect趨勢科技Serverprotect可以對Windows 2000/NT、Novell、 NertWare或 Linux Redhat 網(wǎng)絡(luò)上的檔案服務(wù) 器，提供全面性的病毒防護(hù)。ServerProtect是通過直覺的、可攜式的主控臺 來操作，它提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報告 和防毒配置等功能。策略：防毒軟件可通過單一的主控臺來管理；安裝時可以依照網(wǎng)域分組，同時替多部服務(wù)器進(jìn)行安裝；利用集中式報表，管理人員可以監(jiān)看整個網(wǎng)絡(luò)的狀態(tài)；通過Task Manager,管理人員可以輕松地完成

24、各種病毒維 護(hù)工作，例如設(shè)定掃毒模式、更新病毒碼和程序、編輯病毒報告，以及設(shè)定實時掃描的參數(shù)等。自動下載和分發(fā)病毒碼、掃毒引擎和程序文件；支持MPLS VPN 和IPSec等VPN ;網(wǎng)絡(luò)層防病毒，產(chǎn)品簡介：Trend MicroTM Network VirusWallTM 是基于網(wǎng)絡(luò)層， 針對企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的設(shè)備。可協(xié)助公司企業(yè)防止 ARP 病毒攻擊，在爆發(fā)病毒疫情時隔絕高危險的網(wǎng)絡(luò)脆弱環(huán)節(jié)，在網(wǎng)絡(luò)層部署由趨勢科技提供的安全防御策略，并能在缺乏防毒保護(hù)的設(shè)備等潛在感染源連接網(wǎng)絡(luò)時，予以隔離和清除。不同于只監(jiān)測安全威脅或提供信息的安全解決方案， NetworkVirusWall協(xié)助企業(yè)采

25、取準(zhǔn)確、快速的安全措施，并且主動偵測、預(yù)防圍堵 與進(jìn)行善后清理。當(dāng)企業(yè)在網(wǎng)絡(luò)的各網(wǎng)段之間部署 Network VirusWall之后， 即可大幅降低安全威脅、網(wǎng)絡(luò)宕機(jī)時間以疫情管理的負(fù)擔(dān)。同時， Network VirusWall支持趨勢科技的企業(yè)安全防護(hù)策略(Enterprise ProtectionStrategy)。4) NVW提供以下主要功能： 防止ARP欺騙主動免疫，識別攻擊者發(fā)送的 ARP欺騙包，并阻止發(fā)送被動防護(hù)，保 護(hù)終端免受ARP欺騙包影響網(wǎng)絡(luò)流量偵測與網(wǎng)絡(luò)病毒過濾在網(wǎng)絡(luò)層清除帶毒數(shù)據(jù)包；分析網(wǎng)絡(luò)數(shù)據(jù)流量，定位可疑計算機(jī)；使 用智能型規(guī)則，提供關(guān)于網(wǎng)絡(luò)病毒疫情的早期預(yù)警信息隔

26、離薄弱環(huán)節(jié)偵測帶有安全漏洞的計算機(jī)，預(yù)防病毒利用網(wǎng)絡(luò)上的薄弱環(huán)節(jié)入侵；爆發(fā)病毒疫情時，阻止未安裝相關(guān)補(bǔ)丁程序的計算機(jī)訪問網(wǎng)絡(luò)資源強(qiáng)制實施安全策略隔離特定IP地址段.防火墻的配置安裝位置：局域網(wǎng)與路由器之間；WWW服務(wù)器與托管機(jī)房局域網(wǎng)之間；(1)局域網(wǎng)防火墻作用：實現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問Internet資源，但是嚴(yán)格限制 Internet用戶對局域網(wǎng)資源的訪問；通過防火墻，將整個局域網(wǎng)劃分Internet, DMZ區(qū)，內(nèi)網(wǎng)訪問區(qū)這三 個邏輯上分開的區(qū)域，有利于對整個網(wǎng)絡(luò)進(jìn)行管理；局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護(hù)之下，只要通過防火墻設(shè)置的修改， 就能有限絕大部分防止來自 In

27、ternet 上的攻擊， 網(wǎng)絡(luò)管理員只需要關(guān)注DMZ 區(qū)對外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞；通過防火墻的過濾規(guī)則， 實現(xiàn)端口級控制， 限制局域網(wǎng)用戶對Internet的訪問；進(jìn)行流量控制，確保重要業(yè)務(wù)對流量的要求；通過過濾規(guī)則， 以時間為控制要素， 限制大流量網(wǎng)絡(luò)應(yīng)用在上班時間的使用。通過防火墻的過濾規(guī)則，限制 Internet 用戶對 WWW 服務(wù)器的訪問，將訪問權(quán)限控制在最小的限度，在這種情況下網(wǎng)絡(luò)管理員可以忽略服務(wù)器系統(tǒng)的安全漏洞，只需要關(guān)注 WWW 應(yīng)用服務(wù)軟件的安全漏洞；通過過濾規(guī)則，對遠(yuǎn)程更新的時間、來源(通過IP 地址)進(jìn)行限制。.數(shù)據(jù)備份數(shù)據(jù)資源是一個單位的最為重要資源，一但數(shù)據(jù)

28、丟失所造成的損失是無法彌補(bǔ)的。因此必須加對數(shù)據(jù)的保存和備份。現(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過磁盤陣列來完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。一般情況，可以通過磁帶機(jī)對磁盤陣列的數(shù)據(jù)進(jìn)行再次備份也可以通過另一臺磁盤陣列進(jìn)行數(shù)據(jù)的相互備份通過專用的備份軟件實現(xiàn)對數(shù)據(jù)庫、文件資源、應(yīng)用系統(tǒng)及整個的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份并提供相應(yīng)用恢復(fù)方案為防止地震、火災(zāi)、雷電等自然災(zāi)害，須將重要數(shù)據(jù)在異地進(jìn)行備份，如果系統(tǒng)的運(yùn)行不能中斷，就需要在異地進(jìn)行系統(tǒng)的容災(zāi).后期網(wǎng)絡(luò)維護(hù)與培訓(xùn)在安全服務(wù)方案中，采用不同的安全服務(wù)，定期對網(wǎng)絡(luò)進(jìn)行檢測、改進(jìn)，以達(dá)到動態(tài)增進(jìn)網(wǎng)絡(luò)安全性，最大限度發(fā)揮安全設(shè)備作用的目的。安全服務(wù)

29、分為以下幾類：網(wǎng)絡(luò)拓?fù)浞治龇?wù)對象：整個網(wǎng)絡(luò)服務(wù)周期：半年一次服務(wù)內(nèi)容：根據(jù)網(wǎng)絡(luò)的實際情況，繪制網(wǎng)絡(luò)拓?fù)鋱D；分析網(wǎng)絡(luò)中存在的安全缺陷并提出整改建議意見。服務(wù)作用：針對網(wǎng)絡(luò)的整體情況，進(jìn)行總體、框架性分析。一方面，通過網(wǎng)絡(luò)拓?fù)浞治?，能夠形成網(wǎng)絡(luò)整體拓?fù)鋱D，為網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)日常管理等管理行為提供必要的技術(shù)資料；另一方面，通過整體的安全性分析，能夠找出網(wǎng)絡(luò)設(shè)計上的安全缺陷，找到各種網(wǎng)絡(luò)設(shè)備在協(xié)同工作中可能產(chǎn)生的安全問題。中心機(jī)房管理制度制定以及修改服務(wù)對象：中心機(jī)房服務(wù)周期：半年一次服務(wù)內(nèi)容：協(xié)助用戶制訂并修改機(jī)房管理制度。制度內(nèi)容涉及人員進(jìn)出機(jī)房的登記制度、設(shè)備進(jìn)出機(jī)房的登記制度、設(shè)備配置修改的登

30、記制度等。服務(wù)作用：嚴(yán)格控制中心機(jī)房的人員進(jìn)出、設(shè)備進(jìn)出并及時登記設(shè)備的配置更新情況，有助于網(wǎng)絡(luò)核心設(shè)備的監(jiān)控，確保網(wǎng)絡(luò)的正常運(yùn)行。操作系統(tǒng)補(bǔ)丁升級服務(wù)對象：服務(wù)器、工作站、終端服務(wù)周期：不定期服務(wù)內(nèi)容：一旦出現(xiàn)重大安全補(bǔ)丁，及時更新所有相關(guān)系統(tǒng)；出現(xiàn)大型補(bǔ)丁(如微軟的SP) ，及時更新所有相關(guān)系統(tǒng)；服務(wù)作用：通過及時、有效的補(bǔ)丁升級，能夠有效防止局域網(wǎng)主機(jī)和服務(wù)器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡(luò)蠕蟲病毒對網(wǎng)絡(luò)的整體影響，增加網(wǎng)絡(luò)帶寬的有效利用率。防病毒軟件病毒庫定期升級服務(wù)對象：防病毒服務(wù)器、安裝防病毒客戶端的終端服務(wù)周期：每周一次服務(wù)內(nèi)容：防病毒服務(wù)器通過Internet 更新病毒庫；防病毒服務(wù)器強(qiáng)制所有在線客戶端更新病毒庫；服務(wù)作用：通過不斷升級病毒庫確保防病毒軟件能夠及時發(fā)現(xiàn)新的病毒。服務(wù)器定期掃描、加固服務(wù)對象：服務(wù)器服務(wù)周期：半年一次服務(wù)內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡(luò)管理人員的配合，對主要的服務(wù)器進(jìn)行掃描。服務(wù)作用：找出對應(yīng)服務(wù)器操作系統(tǒng)中存在的系統(tǒng)漏洞；找出服務(wù)器對應(yīng)應(yīng)用服務(wù)中存在的系