校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案

校園網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì)方案以Internet為代表的信息化浪潮席卷全球，信息HYPERLINK”/diannao/wangluo/jishu/”網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入，伴伴隨網(wǎng)絡(luò)技術(shù)的高速發(fā)展,多種各樣的安全問題也相繼出現(xiàn)，校園網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生,導(dǎo)致了極壞的社會(huì)影響和巨大的經(jīng)濟(jì)損失。維護(hù)校園網(wǎng)網(wǎng)絡(luò)安全需要從網(wǎng)絡(luò)的搭建及網(wǎng)絡(luò)安全設(shè)計(jì)方面著手.一、基本網(wǎng)絡(luò)的搭建.由于校園網(wǎng)網(wǎng)絡(luò)特性（數(shù)據(jù)流量大,穩(wěn)定性強(qiáng)，經(jīng)濟(jì)性和擴(kuò)充性）和各個(gè)部門的規(guī)定(制作部門和辦公部門間的訪問控制），我們采用下列方案：1.網(wǎng)絡(luò)拓?fù)錁?gòu)造選擇：網(wǎng)絡(luò)采用星型拓?fù)錁?gòu)造(如圖1)。它是目前使用最多,最為普遍的局域網(wǎng)拓?fù)錁?gòu)造.節(jié)點(diǎn)具有高度的獨(dú)立性,并且適合在中央位置放置網(wǎng)絡(luò)診斷設(shè)備。2。組網(wǎng)技術(shù)選擇：目前，常用的主干網(wǎng)的組網(wǎng)技術(shù)有迅速以太網(wǎng)(100Mbps）、FDDI、千兆以太網(wǎng)(1000Mbps）和ATM（155Mbps/622Mbps）。迅速以太網(wǎng)是一種非常成熟的組網(wǎng)技術(shù)，它的造價(jià)很低，性能價(jià)格比很高；FDDI也是一種成熟的組網(wǎng)技術(shù),但技術(shù)復(fù)雜、造價(jià)高，難以升級(jí);ATM技術(shù)成熟,是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺(tái),但它的網(wǎng)絡(luò)帶寬的實(shí)際運(yùn)用率很低；目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù)，造價(jià)低于ATM網(wǎng)，它的有效帶寬比622Mbps的ATM還高。因此,個(gè)人推薦采用千兆以太網(wǎng)為骨干，迅速以太網(wǎng)互換到桌面組建計(jì)算機(jī)播控網(wǎng)絡(luò).二、網(wǎng)絡(luò)安全設(shè)計(jì).1.HYPERLINK”。com/xuexifangfa/wuli/”\t”_blank”物理安全設(shè)計(jì)為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全,除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等規(guī)定之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)諸多,在理論和技術(shù)支持下的驗(yàn)證工作也證明這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，一般是在物理上采用一定的防護(hù)措施,來減少或干擾擴(kuò)散出去的空間信號(hào)。正常的防備措施重要在三個(gè)方面:對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理,即建設(shè)一種具有高效屏蔽效能的屏蔽室，用它來安裝運(yùn)行重要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄.為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)絡(luò)、連接中均要采用對(duì)應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、_blank”消防控制線,以及通風(fēng)、波導(dǎo)，門的關(guān)起等.對(duì)當(dāng)?shù)鼐W(wǎng)、局域網(wǎng)傳播線路傳導(dǎo)輻射的克制,由于電纜傳播輻射信息的不可防止性,現(xiàn)均采用光纜傳播的方式,大多數(shù)均在Modem出來的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳播。2。網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計(jì)針對(duì)這個(gè)問題，我們決定使用VLAN技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)物理隔離來實(shí)現(xiàn).VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃提成一種個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù).IEEE于1999年頒布了用以原則化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議原則草案。VLAN技術(shù)容許網(wǎng)絡(luò)管理者將一種物理的LAN邏輯地劃提成不一樣的廣播域(或稱虛擬LAN，即VLAN），每一種VLAN都包括一組有著相似需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相似的屬性。但由于它是邏輯地而不是物理地劃分，因此同一種VLAN內(nèi)的各個(gè)工作站不必放置在同一種物理空間里,即這些工作站不一定屬于同一種物理LAN網(wǎng)段。一種VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,雖然是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段,不過它們卻沒有相似的VLAN號(hào),它們各自的廣播流也不會(huì)互相轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為處理以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增長(zhǎng)了VLAN頭，用VLANID把顧客劃分為更小的工作組，限制不一樣工作組間的顧客二層互訪，每個(gè)工作組就是一種虛擬局域網(wǎng).虛擬局域網(wǎng)的好處是可以限制廣播范圍,并可以形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。從目前來看，根據(jù)端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都運(yùn)用互換機(jī)的端口來劃分VLAN組員，被設(shè)定的端口都在同一種廣播域中.例如,一種互換機(jī)的1，2,3，4，5端口被定義為虛擬網(wǎng)AAA，同一互換機(jī)的6，7,8端口構(gòu)成虛擬網(wǎng)BBB.這樣做容許各端口之間的通訊，并容許共享型網(wǎng)絡(luò)的升級(jí)。不過，這種劃分模式將虛擬網(wǎng)絡(luò)限制在了一臺(tái)互換機(jī)上。第二代端口VLAN技術(shù)容許跨越多種互換機(jī)的多種不一樣端口劃分VLAN，不一樣互換機(jī)上的若干個(gè)端口可以構(gòu)成同一種虛擬網(wǎng)。以互換機(jī)端口來劃分網(wǎng)絡(luò)組員,其配置過程簡(jiǎn)樸明了.3.計(jì)算機(jī)病毒、黑客以及電子郵件應(yīng)用風(fēng)險(xiǎn)防控設(shè)計(jì)我們采用防病毒技術(shù)，防火墻技術(shù)和入侵檢測(cè)技術(shù)來處理有關(guān)的問題.防火墻和入侵檢測(cè)還對(duì)信息的安全性、訪問控制方面起到很大的作用。第一,防病毒技術(shù).病毒伴伴隨計(jì)算機(jī)系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天均有新的病毒出目前INTERNET上，并且借助INTERNET上的信息往來,尤其是EMAIL進(jìn)行傳播，傳播速度極其快。計(jì)算機(jī)黑客常用病毒夾帶惡意的程序進(jìn)行襲擊.為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受到計(jì)算機(jī)病毒的侵害,同步為了建立一種集中有效地病毒控制機(jī)制,天下論文網(wǎng)需要應(yīng)用基于網(wǎng)絡(luò)的防病毒技術(shù)。這些技術(shù)包括：基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如，我們準(zhǔn)備在主機(jī)上統(tǒng)一安裝網(wǎng)絡(luò)防病毒產(chǎn)品套間，并在計(jì)算機(jī)信息網(wǎng)絡(luò)中設(shè)置防病毒中央控制臺(tái),從控制臺(tái)給所有的網(wǎng)絡(luò)顧客進(jìn)行防病毒軟件的分發(fā),從而到達(dá)統(tǒng)一升級(jí)和統(tǒng)一管理的目的.安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不僅可以做到主機(jī)防備病毒，同步通過主機(jī)傳遞的文獻(xiàn)也可以防止被病毒侵害，這樣就可以建立集中有效地防病毒控制系統(tǒng)，從而保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全。形成的整體拓?fù)鋱D。第二，防火墻技術(shù).企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備,專門用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別,訪問控制，安全審計(jì),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT），IDS，VPN,應(yīng)用代理等功能，保護(hù)內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò)，處理內(nèi)部計(jì)算機(jī)信息網(wǎng)絡(luò)出入口的安全問題。校園網(wǎng)的某些信息不能公布于眾，因此必須對(duì)這些信息進(jìn)行嚴(yán)格的保護(hù)和保密,因此要加強(qiáng)外部人員對(duì)校園網(wǎng)網(wǎng)絡(luò)的訪問管理，杜絕敏感信息的泄漏。通過防火墻,嚴(yán)格控制外來顧客對(duì)校園網(wǎng)網(wǎng)絡(luò)的訪問,對(duì)非法訪問進(jìn)行嚴(yán)格拒絕.防火墻可以對(duì)校園網(wǎng)信息網(wǎng)絡(luò)提供多種保護(hù),包括:過濾掉不安全的服務(wù)和非法訪問,控制對(duì)特殊站點(diǎn)的訪問,提供監(jiān)視INTERNET安全和預(yù)警，系統(tǒng)認(rèn)證，運(yùn)用日志功能進(jìn)行訪問狀況分析等.通過防火墻,基本可以保證抵達(dá)內(nèi)部的訪問都是安全的可以有效防止非法訪問，保護(hù)重要主機(jī)上的數(shù)據(jù),提高網(wǎng)絡(luò)完全性.校園網(wǎng)網(wǎng)絡(luò)構(gòu)造分為各部門局域網(wǎng)（內(nèi)部安全子網(wǎng))和同步連接內(nèi)部網(wǎng)絡(luò)并向外提供多種網(wǎng)絡(luò)服務(wù)的安全子網(wǎng)。防火墻的拓?fù)錁?gòu)造圖。內(nèi)部安全子網(wǎng)連接整個(gè)內(nèi)部使用