網(wǎng)絡(luò)安全大作業(yè)校園網(wǎng)絡(luò)設(shè)計

1、題 目姓名： 班級： 計算機(jī)073 學(xué)號： 07013663 姓名： 班級： 計算機(jī)073 學(xué)號： 07013610 姓名： 班級： 計算機(jī)073 學(xué)號： 07013668 （為本方案的主要負(fù)責(zé)同學(xué)）計算機(jī)與信息學(xué)院二零一零年六月一、方案背景介紹XX中學(xué)校園網(wǎng)絡(luò) 12幢樓宇約458個信息點(diǎn)。其中1幢辦公樓32個信息點(diǎn)， 3幢教學(xué)樓60個信息點(diǎn)（19+20+21=60），7幢教師宿舍樓172個信息點(diǎn)（21+21+28+28+27+36+11=172），1幢教輔用房硅步樓194個信息點(diǎn)（122+60+12=194）。主干網(wǎng)絡(luò)提供1000M帶寬，到桌面提供100M帶寬，連接15幢樓宇，校內(nèi)互聯(lián)，學(xué)校

2、各部門子系統(tǒng)連接校園主干網(wǎng)口，各網(wǎng)段內(nèi)、各網(wǎng)段之間計算機(jī)互訪和校內(nèi)資源共享；校園網(wǎng)與國際互聯(lián)網(wǎng)相連：局域網(wǎng)內(nèi)的計算機(jī)通過WWW服務(wù)器代理網(wǎng)。核心內(nèi)部網(wǎng)絡(luò)建設(shè)，包括DNS服務(wù)器、EMAIL服務(wù)器、WWW服務(wù)器、FTP服務(wù)器、BBS服務(wù)器、數(shù)據(jù)庫服務(wù)器等，對外能與Internet互聯(lián)，對內(nèi)提供校內(nèi)各種局域網(wǎng)的接口，提供Internet服務(wù)，如電子郵件、遠(yuǎn)程登陸、文件傳輸、信息查詢等。提供網(wǎng)絡(luò)教學(xué)環(huán)境：網(wǎng)絡(luò)提供視頻、音頻、課件在校園網(wǎng)內(nèi)傳輸，提供視頻點(diǎn)播系統(tǒng)服務(wù)；提供辦公自動化管理服務(wù)：進(jìn)行各類公文收發(fā)、分類的處理；提供遠(yuǎn)程用戶訪問服務(wù)。 二、方案設(shè)計任務(wù)分工 方案設(shè)計，找資料：龔卓成,陳林滔開題報

3、告：龔卓成，陳林滔解決方案報告撰寫：何駿,龔卓成解決方案報告修改：何駿,陳林滔三、需求分析從對內(nèi)安全和對外安全兩個角度進(jìn)行分析:1.來自外部網(wǎng)絡(luò)的安全威脅 由于需要，網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了連接，這些連接集中在安全威脅的第一層，包括：如果內(nèi)部網(wǎng)絡(luò)和這些外部網(wǎng)絡(luò)之間的連接為直接連接，外部網(wǎng)絡(luò)則可以直接訪問內(nèi)部網(wǎng)絡(luò)的主機(jī)，若內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。 由于需要，學(xué)生和教師在非校區(qū)內(nèi)使用ISP撥號上網(wǎng)連接上Internet，進(jìn)入學(xué)校內(nèi)部網(wǎng)網(wǎng)絡(luò)，這時非法的internet用戶也可以通過各種手段訪問內(nèi)部網(wǎng)絡(luò)。這種連接使學(xué)校內(nèi)部網(wǎng)絡(luò)很容易受到來自internet的攻擊。攻擊一旦發(fā)生，首先

4、遭到破壞的將是辦公自動化網(wǎng)的主機(jī)，另外，通過使用連接托管服務(wù)器網(wǎng)站與辦公自動化網(wǎng)的DDN專線，侵入者可以繼續(xù)攻擊托管服務(wù)器網(wǎng)站部分。攻擊的手段以及可能造成的危害多種多樣。 1.對外安全分析安裝軟件、硬件防火墻，網(wǎng)絡(luò)防病毒軟件，客戶端防病毒軟件 利用代理服務(wù)器提供Internet與Intranet之間的防火墻功能 通過網(wǎng)管軟件實時記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài)。2.來自內(nèi)部網(wǎng)絡(luò)的安全威脅網(wǎng)絡(luò)上的節(jié)點(diǎn)眾多，網(wǎng)絡(luò)應(yīng)用復(fù)雜，網(wǎng)絡(luò)管理困難。這些問題主要體現(xiàn)在安全威脅的第二和第三個層面上，具體問題： 網(wǎng)絡(luò)的實際結(jié)構(gòu)無法控制； 網(wǎng)管人員無法及時了解網(wǎng)絡(luò)的運(yùn)行狀況； 無法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊； 對于已經(jīng)或正在發(fā)

5、生的攻擊缺乏有效的追查手段； 訪問控制的問題2.對內(nèi)安全分析 利用VLAN的安全特性，按照學(xué)校各部分的基本工作性質(zhì)結(jié)合樓宇的分布劃分子網(wǎng)網(wǎng)段 一方面對子網(wǎng)內(nèi)信息點(diǎn)設(shè)置訪問控制，另一方面對不同子網(wǎng)的訪問進(jìn)行控制。 服務(wù)器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、教務(wù)管理平臺的訪問和管理采用有效的掃描工具，定期對網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的變化，及時糾正錯誤使用有效的工具，及時發(fā)現(xiàn)錯誤，關(guān)閉非法應(yīng)用，保證網(wǎng)絡(luò)的安全 進(jìn)行客觀的網(wǎng)絡(luò)風(fēng)險評估，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患，并提出切實可行的防范措施 記錄攻擊行為的全過程，為調(diào)查工作提供依

6、據(jù)網(wǎng)絡(luò)安全設(shè)計方案樓宇交換機(jī) 樓宇交換機(jī) 網(wǎng) 管交換機(jī) 桌面交換機(jī) 桌面交換機(jī) DNS對內(nèi)安全：利用VLAN的安全特性，按照學(xué)校各部分的基本工作性質(zhì)結(jié)合樓宇的分布劃分子網(wǎng)網(wǎng)段：1段，辦公樓；段，教師周轉(zhuǎn)房（1，2）；段，為臨江園2幢教師住宿樓，段為硅步樓，段為2號教師住宿樓，段為1號教師住宿樓。段為3幢教學(xué)樓。一方面對子網(wǎng)內(nèi)信息點(diǎn)設(shè)置訪問控制，另一方面對不同子網(wǎng)的訪問進(jìn)行控制。服務(wù)器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、教務(wù)管理平臺的訪問和管理對外安全：安裝軟件、硬件防火墻，網(wǎng)絡(luò)防病毒軟件，客戶端防病毒軟件；利用代理服務(wù)

7、器提供Internet與Intranet之間的防火墻功能；通過網(wǎng)管實時記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài)。網(wǎng)絡(luò)可靠性設(shè)計：網(wǎng)絡(luò)主干采用基于樹型的多星型結(jié)構(gòu)，使之具有鏈路冗余特性，能使樹型中有一線路出現(xiàn)故障時，只有本線路出故障，其它網(wǎng)絡(luò)部分仍然能正常運(yùn)行。接入Internet：采用DDN接入。DDN是英文Digital Data Network的縮寫，這是隨著數(shù)據(jù)通信業(yè)務(wù)發(fā)展而迅速發(fā)展起來的一種新型網(wǎng)絡(luò)?；诙丝诘奶摼W(wǎng)劃分；利用VIAN國際標(biāo)準(zhǔn)802.1Q，實現(xiàn)跨交換機(jī)的VLAN，通過IEEE802.1d協(xié)議所支持的生成樹技術(shù)（Spanning Tree），實現(xiàn)各中繼之間的負(fù)載均衡；采用VLANPruning技

8、術(shù)來優(yōu)化交換網(wǎng)絡(luò)中廣播對網(wǎng)絡(luò)性能的影響；網(wǎng)絡(luò)管理方案設(shè)計：根據(jù)學(xué)校和服務(wù)器應(yīng)用模式及全網(wǎng)范圍資源集中管理的原則，建立網(wǎng)管中心（中心機(jī)房），統(tǒng)一網(wǎng)絡(luò)中的交換設(shè)備的管理配置，虛網(wǎng)設(shè)計和配置，各種服務(wù)建立等。建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴(yán)格做好開機(jī)查毒，及時備份數(shù)據(jù).對計算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計算機(jī)的管理功能、加強(qiáng)計算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念，提高計算機(jī)用戶的安全意識.對計算機(jī)用戶不斷進(jìn)行法制教育，包括計算機(jī)安全法、計算機(jī)犯罪法、保密法、數(shù)

9、據(jù)保護(hù)法等，明確計算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù)，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護(hù)計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全，維護(hù)信息系統(tǒng)的安全。除此之外，還應(yīng)教育計算機(jī)用戶和全體工作人員，應(yīng)自覺遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運(yùn)行維護(hù)和管理制度、計算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度。網(wǎng)管工作站對全網(wǎng)所有交換設(shè)備和路由設(shè)備進(jìn)行統(tǒng)一管理、配置和維護(hù)；進(jìn)行故障隔離、分析、統(tǒng)計、報警、設(shè)置；網(wǎng)管軟件采用圖形化界面，支持廣泛的網(wǎng)管平臺。物理安全

10、層面：對計算機(jī)系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面執(zhí)行設(shè)備所規(guī)定的標(biāo)準(zhǔn)機(jī)房場地環(huán)境的選擇計算機(jī)系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機(jī)房場地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性，避開強(qiáng)振動源和強(qiáng)噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。 機(jī)房的安全防護(hù)為了防止未經(jīng)過授權(quán)的個人或者團(tuán)體篡改數(shù)據(jù)盜竊計算機(jī)設(shè)備，應(yīng)做到物理訪問控制來識別訪問用戶的身份，并對其合法性進(jìn)行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈，以防止

11、非法暴力入侵；第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。五、總結(jié)擁有一個高水準(zhǔn)的校園網(wǎng)，必將促進(jìn)校園網(wǎng)絡(luò)應(yīng)用向WWW、E-mail、FTP的更高層次應(yīng)用發(fā)展。計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，引發(fā)了學(xué)校各項工作的深刻變革。高性能校園網(wǎng)的建設(shè)大大提高了學(xué)校的管理水平，為師生員工更好地進(jìn)行教學(xué)、科研等提供了先進(jìn)的平臺，極大地推動了學(xué)校的信息化建設(shè)。統(tǒng)一平臺、整合資源，將很多原來劃分在不同部門、不同系統(tǒng)的應(yīng)用放在一個同時兼具高度靈活性、穩(wěn)固的校園網(wǎng)平臺上，產(chǎn)生出巨大的協(xié)同效應(yīng)，甚至從根本上改變了原有的教育模式。同時進(jìn)一步利用這個平臺有效整合學(xué)校內(nèi)部資源，以信息化促進(jìn)學(xué)校內(nèi)外部業(yè)務(wù)統(tǒng)一、流程優(yōu)化。隨著校園網(wǎng)基礎(chǔ)建設(shè)的加強(qiáng)及學(xué)校信息化程度的提高，學(xué)校最終將迎來科學(xué)管理和教學(xué)的新時代。 計算機(jī)網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面