校园网网络安全设计方案8篇

发布时间：2022-09-13 19:20:05 浏览数：次

校园网网络安全设计方案8篇校园网网络安全设计方案　郑州铁路职业技术学院毕业论文　论文题目：　校园网网络安全问题及其解决方案　作者姓名：　宋贝贝　班级学号：　网络10A1　1046330下面是小编为大家整理的校园网网络安全设计方案8篇,供大家参考。

校园网网络安全设计方案8篇

篇一：校园网网络安全设计方案

铁路职业技术学院毕业论文

　论文题目：

　校园网网络安全问题及其解决方案

　作者姓名：

　宋贝贝

　班级学号：

　网络 10A1

　 104633032

　系

　部：

　软件学院/信息工程系

　专

　业：

　计算机网络

　指导教师：

　刘开茗

　2013 年 5 月

　日

　摘

　要

　随着 Internet 的飞速发展，校园网作为高校重要的基础设施，担当着高校教学、科研、管理和对外宣传交流等许多角色。

　在我们享受着网络给教学管理带来便捷的同时，网络中的种种不安全因素也在无时无刻不在威胁校园网的健康发展，例如，病毒侵犯、保密资料外泄、黑客的非法入侵，有害信息等等。

　所以，对于校园网这个特殊而又重要的局域网来说，必须建立完备的校园网安全防护体系，不断加强校园网络的安全管理体制，保证校园网络能正常的运行以及校园内部的信息资源不受各种网络黑客的侵害，确保学生的身心健康，使学生尽可能少地接触网络上的不良信息，使他们具备一个积极向上的意识形态，并确保网络教学等活动得以正常运转。

　因此，如何在开放网络的环境中保证校园网的安全性已经成为一个及其重要并且必须要解决的问题。

　本文通过分析当今校园网网络安全问题的现状，找出校园网面临的各种威胁，列出解决校园网安全问题的关键技术，校园网安全管理和维护的措施与建议。

　关键词：

　校园网;

　网络安全;

　防火墙;

　入侵检测

　摘

　要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

　2 一、校园网网络概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

　6 1. 1 互联网的发展与安全 ......................................................................... 6 1. 2 国内网络安全现状 ............................................................................. 7 1. 3 校园网的特点 ..................................................................................... 8 1． 4

　校园网的网络构成 ......................................................................... 9 1. 4. 1 校园网网络体系结构概述 ................................................... 10 1. 4. 2 校园网系统功能构成 ........................................................... 11 1. 4. 3

　校园应用管理平台 ............................................................... 12 1. 4. 4

　典型校园网拓扑结构 ........................................................... 13 1. 4. 5

　校园网的建设目标 ............................................................... 14 二、校园网网络安全问题现状 . . . . . . . . . . . . . . . . . . . . . . . . . .

　16 2. 1

　网络的开放性带来的安全问题 ..................................................... 16 2. 2

　校园网网络安全的主要威胁因素 ................................................. 17 2. 3 校园网安全存在的缺陷 .................................................................... 18 2. 3. 1 网络自身的安全缺陷 ............................................................. 18 2. 3. 2 网络结构、配置、物理设备不安全 ..................................... 18 2. 3. 3 内部用户的安全威胁 ............................................................. 19 2. 3. 4 软件的漏洞 ............................................................................. 19

　2. 3. 5 病毒的传播 ............................................................................. 19 2. 3. 6 各种非法入侵和攻击 ............................................................. 20 三、校园网网络安全问题解决方案 . . . . . . . . . . . . . . . . . . . . . .

　3. 1

　解决校园网安全问题的关键技术 ................................................. 21 3. 1. 1 密码加密解密技术 ................................................................. 21 3. 1. 2 防火墙技术 ............................................................................. 26 3. 1. 3 防病毒技术 .............................................................................. 30 3. 1. 4 入侵检测技术 ......................................................................... 33 3. 1. 5 数据备份技术 ......................................................................... 35 3. 2

　校园网网络安全对策分析 ............................................................. 38 3. 2. 1 校园网络安全策略概述 ......................................................... 38 3. 2. 2

　网络安全系统策略的制定 ................................................... 38 3. 3 校园网安全管理和维护的措施与建议 ............................................ 40 3. 3. 1 配置高性能的防火墙产品 ..................................................... 40 3. 3. 2 网络设计、使用更合理化 ..................................................... 40 3. 3. 3 软件漏洞修复 ......................................................................... 40 3. 3. 4 防杀毒软件系统 ..................................................................... 41 3. 3. 5 配备入侵检测系统(I DS) 并建立蜜罐陷阱系统 .................. 41 3. 3. 6 系统安全风险评估 ................................................................. 41 3. 3. 7 灾难恢复计划 ......................................................................... 42 3. 3. 8 加强管理 ................................................................................. 42 四、总结：

　. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

　致谢：

　. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

　44 参考文献：

　. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

　一、校园网网络概述

　 1. 1 互联网的发展与安全计算机与通信技术推动了因特网的快速发展。

　截至 2010 年 1 月底，我国网民数量已跃居世界第一。

　互联网的普及为我们的工作和生活带来了根本性变化，人们可以通过互联网来浏览新闻、获取资料、电子邮件、存储信息、进行实时通讯；可以足不出户进行网上购物、网上股票交易，利用网上银行进行转账业务等；电子政务的推广也使得政府部门和企业进行网上办公成为可能。

　计算机网络已经渗透到了教育、文化、经济、政治、军事等各个方面。

　可以说，今天的互联网已经成为了人们生活和工作中必不可少的一部分。

　但同时近几年网络信息安全问题表现异常突出：

　网上病毒感染事件逐年增多；网络入侵攻击大幅上升，据统计表明，平均每 20 秒就有一个网络遭到入侵；网上经济诈骗成倍增长。网络安全是一个多层面的安全问题，它不仅涉及到黑客、漏洞、入侵、病毒等外来攻击安全问题，而且还涉及到保密、授权、抵赖等内部安全问题。

　目前世界上的各国正在通过采用各种技术和管理措施来保障互联网的安全，保证互联网系统的正常运行，确保网络传输和交换的数据不会发生修改、丢失和泄漏等。

　互联网网络的安全性同网络的性能、可靠性和可用性一起成为组建和运行网络不可忽视的问题。

　1. 2 国内网络安全现状计算机网络的广泛应用己经对经济、文化、教育与科学的发展产生了重要的影响，同时也不可避免地带来了一系列新的社会道德、法律问题。

　网络的快速发展使得网上资源越来越丰富，诸如电子商务、电子政务、电子税务、电子海关、网上银行、网络防伪等许多新兴业务也迅速兴起，因此，加强网络信息安全保障已成为当前的迫切任务。

　网络安全的保障能力是一个国家综合国力、经济竞争实力和生存能力的重要组成部分。

　网络安全问题解决不好将会全面地危及国家的政治、经济、文化、社会生活的各方面。

　目前我国网络安全的现状和面临的威胁主要有：

　1、计算机网络系统使用的软、硬件产品很大一部分依赖于国外产品，引进的信息技术和设备对信息安全的保护缺乏有效管理和技术改造。

　2、国内信息安全人才培养体系虽己初步形成，但随着信息化进程的加快和计算机的广泛应用，目前我国信息安全人才培养还远远不能满足国内需要。

　3、目前关于网络犯罪的法律还不健全，因特网上的犯罪对传统的法律提出了挑战。

　4、公民对信息安全意识虽然有所提高，但将实际应用中依然很少注意防范，计算机病毒、木马、黑客攻击泛滥成灾。

　1. 3 校园网的特点近几年来因 CERNET 网的发展，我国校园网的建设得到了快速的发展。

　全国绝大多数的高校建成了自己的校园网络，随着高校校园网建设工程的实施，全面提高了校园网网络通信的水平和规模，扩大了校园网的应用范围，为高校教师的教学和科研以及大学生对网络系统的应用提供了基本保障。

　校园网作为高校重要的基础设施，担当着高校教学、科研、管理和对外宣传交流等许多角色。

　因此校园网安全状况直接影响着高校的教学等活动。

　随着网络应用的深入，校园网上各种传输的数据信息量急剧增加，网络的攻击越来越多，各种各样的安全问题影响校园网的正常运行。

　同时，随着网络规模的不断扩大，网络复杂性不断增加，用户对网络性能要求的不断提高，网络安全正逐步成为网络技术发展中一个极为关键的任务，对网络的发展产生了很大的影响，成为现代网络应用中最重要的问题之一。

　因此，如何确保校园网正常、安全和高效地运行是所有高校目前面临的问题。

　高校校园网建设中面临的问题概括起来主要有以下几个方面：

　（1）

　网络日常管理维护的困境。

　随着课堂教学逐步走向网络化，学生在线学习、娱乐时间的增加必然造成校园网网络大、业务多、故障产生问题复杂，网络的安全性差、管理难度较大。

　（2）

　滥用网络资源。

　在校园网内，用户滥用网络资源的情况严重，有私自开设代理服务器非法获取网络服务的，也有校园网用户非法下载

　或上载的，甚至有的用户每天都不断网，其流量每天都达到几十个 G，占用了大量的网络带宽，影响了校园网的其它应用[4]。

　（3）

　网络安全、计费等运营问题。

　校园网中的计算机系统管理比较复杂，缺乏用户认证、授权、计费体系，安全认证存在有意无意的攻击。

　（4）

　互联网上的非法内容也形成了对网络的另一大威胁。

　不良信息的传播对正在形成世界观和人生观的大学生而言，危害是非常大的。要确保高校学生健康成长、积极向上，就必须采取措施对校园网络信息进行过滤和处理，使他们尽可能少地接触网络上的不良信息。

　对校园网来说，如不具有过滤和识别作用，不但会造成大量非法内容及邮件进入，占用大量流量资源，造成网络流量堵塞、上网速度变慢等问题。

　许多校园网是从局域网发展而来的，由于安全管理意识与资金方面的原因，它们在安全方面往往没有作太多的设置，一般往往直接面向互联网，这就给病毒、黑客提供了充分施展身手的空间，这些安全隐患发生任何一次，都会对整个网络产生致命的危害。

　因此，校园网的网络安全需求是全方位的。

　1． 4

　校园网的网络构成

　校园网的网络组成可以按照不同的标准来区分，通常可以分为按照网络的拓扑分为校园网的体系机构以及按网络的功能分为校园网的功能结构。

　1. 4. 1 校园网网络体系结构概述校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。

　因此在制定各高校的网络安全策略和实施具体的安全策略之前，透彻分析本校的校园网体系结构,网络拓扑结构，网络的路由策略，网络的区域划分， IP 及 VLAN 的规划，网络访问策略，各应用系统的功能服务对象，访问限制等等是非常必要的，其性能直接影响到网络安全策略的实施效果。

　网络体系结构是关于如何构建网络的技术，它包括两个层次的内涵。

　一是要标识出网络系统由哪些部分组成，清晰地描述出各个部分的功能、目的和特点。

　二是要描述网络各个组成部分之间的关系，如何将各个部分有机地结合在一起，形成完整的网络系统，从而保证网络有效地运转，也就是将各个部分进行集成的方式或方法。

　根据教育部《教育管理信息化标准》的要求，校园网的总体建设目标包括：

　校园网基础设施建设是我们数字化校园的基础，它的建设水平和效果直接影响到我们运行在校园网上的服务，影响到全校的教学、科研甚至影响到师生的日常生活。

　校园网的建设包括根据自身...

篇二：校园网网络安全设计方案

要要网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、真实性、可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击。防火墙，则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统是必要的。本文从对校园网的现状分析了可能面临的威胁，从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。

　通过以下三个步骤来完成校园网络安全系统：1、建设规划；2、技术支持；3、组建方案。关键词：关键词：网络；安全；设计

　ABSTRACTABSTRACTABSTRACTABSTRACTABSTRACTNetwork security is the essence of the safety of network information, includinginformation of confidentiality, integrity, and availability, authenticity and controllable etc,it is through the network information storage, transport and use process. Campus networksecurity management is in anti-virus software, a firewall or intelligence gateway, etc, thedefense system to prevent from outside the campus. A firewall is a firm between innerand outer net security barrier. Safety management is the basis of network security andsafety technology is the auxiliary measures with safety management. The school hasestablished a set of campus network security system is necessary.Based on the analysis of the status of the network could face threats, from thecomputer security strategy to find solutions in the campus network security managementis designed with the campus network firewall security system. Through three steps tocomplete the campus network security system: 1, the construction plan. 2 and technicalsupport. 3 and construction scheme.Keyword:Keyword:Keyword:Keyword: Network, Safe ；Design

　目录目录绪论........................................................................................................... 11. 校园网络安全.............................................................................................21.1 校园网概述................................................................................................................21.2 校园网络安全概述....................................................................................................31.3 校园网络安全现状分析............................................................................................31.4 校园网络安全威胁..................................................................................................52. 校园网络安全措施.....................................................................................82.12.2校园网络安全管理..................................................................................................8校园网络安全措施..................................................................................................93.校园网络安全系统设计.............................................................................113.1校园网建设需求分析............................................................................................113.1.1需求分析........................................................................................................113.1.2关键设备........................................................................................................123.1.3校园网络拓扑................................................................................................133.2技术方案................................................................................................................133.2.1校园网的建设规划........................................................................................133.2.2组网技术........................................................................................................163.2.3网络操作系统................................................................................................183.2.4INTERNET 接入技术......................................................................................183.2.5防火墙技术....................................................................................................193.2.6建网方案........................................................................................................193.3校园网的运行........................................................................................................233.3.1校园网的应用................................................................................................233.3.2校园网的管理................................................................................................23总结.........................................................................................................25参考文献.........................................................................................................26致致致致谢谢谢谢.........................................................................................................27

　绪论- 1 -绪绪论论随着网络的高速发展，网络的安全问题日益突出，近年来，黑客攻击、网络病毒等屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着校园网络规模的急剧膨胀,网络用户的快速增长，尤其是校园网络所面对的使用群体的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠）

　，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。

　1.校园网络安全- 2 -1. 1. 1. 1.校园网络安全校园网络安全网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。网络的发展极大地改变了人们的生活和工作方式， Internet 更是给人们带来了无尽的便捷。我们的教育也正朝着信息化、网络化发展，随着“校校通”工程的深入开展，许多学校都投资建设了校园网络并投入使用。校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色。

　但是，在我们惊叹于网络的强大功能时，还应当清醒地看到，网络世界并不是一方净土。“网络天空（Worm.Netsky）”、“高波（Worm.Agobot）”、“爱情后门（Worm.Lovgate）”及“震荡波（Worm.Sasser）”等病毒，使人们更加深刻的认识到了网络安全的重要性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。1.11.11.11.1校园网概述校园网概述信息技术已引起了全面而深刻的社会变革，为此，世界各国政府都对教育的发展给予了前所未有的关注，把信息化教育放到重要的位置上，纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。

　因此校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。

　1.校园网络安全- 3 -3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。4、现代教育改革的需要。5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。[1]1.21.21.21.2校园网络安全概述校园网络安全概述自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国 FBI 的调查，美国每年因为网络安全造成的经济损失超过 170 亿美元。由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，校园网络可能存在的安全威胁来自以下方面：1. 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如 UNIX服务器，NT 服务器及 Windows 桌面 PC；2. 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；3. 来自内部网用户的安全威胁；4. 缺乏有效的手段监视、评估网络系统的安全性；5. 采用的 TCP/IP 协议族软件，本身缺乏安全性；6. 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。1.3校园网络安全校园网络安全现状分析现状分析随着网络技术的发展，可以说现在的大部分学校都建立了校园网络并投入使用，这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用，但在积极发展办公自动化、信息电子化、实现资源共享的同时，网络的安全问题越来越成为一个非常严惩的隐患，就好像一颗定时炸弹一样，深深的埋在教育现代化的进程中，如果这一个隐患不除，那么也许有一天，学校信息平台服务器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了，导致

　1.校园网络安全- 4 -辛苦积累的大量教育资源被破坏。比如 2003 年暴发的“震荡波、冲击波、FORM.A”等病毒，虽没有造成很大的损失，但足以使认识到网络安全的重要性。因此，如何在现有的条件下避免这样事件发生，搞好网络的安全工作已成了一个重要课题。1997 年开始，我国校园网络建设悄然兴起。全国各省市都把建设校园网作为现代教育的头等大事来抓。1999 年 9 月，教育部决定正式启动国家现代远程教育工程，清华大学、浙江大学、北京邮电大学、湖南大学等高校获准进行试点。目前，这几所院校已初步形成了开办现代远程教育的技术手段。各校在实践中逐渐意识到：一所学校教育质量的好坏，学术水平层次的高低，与教学手段的先进程度有一定关系，教学手段对学校整体的发展有着直接影响。在世界各发达国家，校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。如美国要求所有中小学生都能上网，都能使用电子邮件，并计划将全国 122 所一流大学与社会广泛连接，构筑一个教育与研究的专用网络；英国提出要在 2000 年成立网上工业大学，到 2002 年所有中小学、图书馆、学院和大学全部介入全国的学习网；新加坡提出八岁儿童能阅读，十二岁儿童能上网。1996 年，教育部提出要以全国 1000 所中小学校作为试点，建立起各自的校园网络。截止 2000 年年初，教育部宣布有 500 多家已建立。可以说，在国家政策扶持下，我国校园网建设...

篇三：校园网网络安全设计方案

园网网络安全设计方案任务书 1 、论文题目：

　校园网网络安全设计方案 2 、论文主要内容：

　（1 ）校园网安全的需求分析（2 ）校园网络安全设计原则（3 ）校园网络中不安全的主要问题（4 ）校园网络安全防范体系层次（5 ）操作系统平台的选择（7 ）校园网络安全技术 3 、进度计划：

　第一步：（）确定论文题目；第二步：（）根据论文题目进一步查找材料；第三步：（）完成论文大纲；第四步：（）完成论文，交老师审阅；第五步：（）打印论文。

　中文摘要随着信息化进程的深入和互联网的快速发展，网络化已经成为校园信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安

　全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

　校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络等方面的事务处理。

　安全性是指可靠性、保密性和数据一致性。网络安全是任何计算机网络建设必须解决的重要问题，校园网建设应把网络管理与安全放在突出地位。

　关键词：校园网，网络安全，入侵检测，病毒检测，防火墙英文摘要 A s

　i n f o r m a t i o n - b a s e d

　p r o c e s s ,

　i n - d e p t h

　a n d

　r a p i d

　d e v e l o p m e n t

　o f

　I n t e r n e t ,

　n e t w o r k i n g

　h a s

　b e c o m e

　c a m p u s

　t r e n d

　o f

　t h e

　d e v e l o p m e n t

　o f

　i n f o r m a t i o n

　t e c h n o l o g y ,

　i n f o r m a t i o n

　r e s o u r c e s

　a r e

　t h e

　g r e a t e s t

　d e g r e e

　o f

　s h a r i n g .

　H o w e v e r ,

　i m m e d i a t e l y

　f o l l o w i n g

　t h e

　d e v e l o p m e n t

　o f

　i n f o r m a t i o n

　n e t w o r k

　s e c u r i t y

　p r o b l e m

　h a s

　c o m e

　p r o t r u d i n g ,

　n e t w o r k

　s e c u r i t y

　i s s u e s

　h a v e

　b e c o m e

　t h e

　i n f o r m a t i o n

　a g e

　c h a l l e n g e s

　f a c i n g

　m a n k i n d ,

　n e t w o r k

　i n f o r m a t i o n

　s e c u r i t y

　i s s u e

　h a s

　b e c o m e

　i m p e r a t i v e ,

　i f

　n o t

　g o o d

　s o l u t i o n

　t o

　t h i s

　p r o b l e m

　i s

　b o u n d

　t o

　h i n d e r

　t h e

　i n f o r m a t i o n

　o f

　t h e

　d e v e l o p m e n t

　p r o c e s s .

　C a m p u s

　N e t w o r k

　s e c u r i t y

　i s

　i m p o r t a n t ,

　i t

　c a r r i e s

　t h e

　s c h o o l " s

　a c a d e m i c ,

　a d m i n i s t r a t i v e ,

　l o g i s t i c s ,

　b o o k s

　a n d

　r e f e r e n c e

　m a t e r i a l s ,

　f o r e i g n

　c o n t a c t s ,

　e t c .

　t r a n s a c t i o n s .

　S e c u r i t y

　r e f e r s

　t o

　t h e

　r e l i a b i l i t y ,

　c o n f i d e n t i a l i t y

　a n d

　d a t a

　c o n s i s t e n c y .

　N e t w o r k

　s e c u r i t y

　i s

　t h e

　b u i l d i n g

　o f

　a n y

　c o m p u t e r

　n e t w o r k

　m u s t

　a d d r e s s

　t h e

　i m p o r t a n t

　i s s u e

　o f

　t h e

　c a m p u s

　n e t w o r k

　c o n s t r u c t i o n

　t o

　n e t w o r k

　m a n a g e m e n t

　a n d

　s e c u r i t y

　s h o u l d

　b e

　p r o m i n e n t

　p l a c e .

　 K e y w o r d s ：c a m p u s

　n e t w o r k 、i n t r u s i o n

　d e t e c t i o n 、F i r e w a l l

　目录前言 5

　第一章校园网安全的需求分析 6

　1 . 1

　设计目标 6

　1 . 2

　设计原则 6

　第二章

　校园网不安全的主要问题及解决方法 7

　2 . 1

　 I P 盗用问题 7

　2 . 2

　防火墙攻击 7

　2 . 3

　 E m a i l 及非法 U R L 的访问问题 7

　2 . 4

　服务器和网络设备的扫描和攻击 8

　2 . 5

　病毒防护 8

　第三章

　校园网安全防范体系层次 9

　3 . 1

　物理（硬件）安全 9

　3 . 2

　逻辑安全 9

　3 . 3

　操作系统安全 9

　第四章

　软件平台的设计 1 0

　第五章

　校园网络安全的技术 1 2

　5 . 1

　入侵检测技术 1 2

　5 . 2

　防火墙技术 1 3

　5 . 3

　网络安全漏洞检测技术 6 6 6

　校园网网络安全设计方案前言校园网是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学校办公质量和效率，以促进学校整体教学水平的提高。

　校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络等方面的事务处理。

　但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

　第一章

　校园网络安全的设计需求 1 . 1

　设计的目标校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络等方面的事务处理。

　网络安全是任何计算机网络建设必须解决的重要问题，校园网建设应把网络管理与安全放在突出地位。

　1 . 2

　设计的原则随着信息化进程的深入和互联网的快速发展，网络化已经成为校园信息化的发展大趋势，信息资源也得到最大程度的共享。但是，紧随信息化发展而来的网络安全问题日渐凸出，网络安全问题已成为信息时代人类共同面临的挑战，网络信息安全问题成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

　安全性是指可靠性、保密性和数据一致性。网络安全是任何计算机网络建设必须解决的重要问题，校园网建设应把网络管理与安全放在突出地位。

　伴随着教育信息化浪潮的涌动，校园网作为学校信息化的重要基础设施，担负着学校的教学、科研、管理和对外交流等任务。为了有效地抵御来自校园网内部和外部的入侵，校园网络应建立起安全防御体系。

　第二章

　校园网络不安全的主要问题 2 . 1

　I P 盗用问题

　校园网内部连接有几千台电脑，一部分电脑通过正常的申请途径申请得到合法的 I P 地址，另一部分则不然。当某些没有 I P 地址的用户，冒用他人的合法 I P地址时，就会造成网络内部地址的冲突，严重阻碍了合法用户的正常使用。

　I P 盗用问题的解决方法：在路由器上捆绑 I P 和 M A C 地址。当某个 I P 通过路由器访问 I n t e r n e t 时，路由器要检查发出这个 I P 广播包的工作站的 M A C 是否与路由器上的 M A C 地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个 I P 广播包的工作站返回一个警告信息。

　2 . 2

　防火墙攻击防火墙系统相关技术的发展已经比较成熟，防火墙系统很坚固，但这只是对于对外的防护而已，它对于内部的防护则几乎不起什么作用。然而不幸的是，一般情况下有 7 0 % 的攻击是来自局域网的内部人员。所以怎样防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。

　防火墙技术包含动态的包过滤、应用代理服务器、用户认证、网络地址转换、预警模块、日志及计费分析等功能。可以有效地将内部网与外部网隔离开，保护校园网络不被未授权的第三方入侵。

　2 . 3

　E m a i l 及非法 U R L 的访问问题由于用户安全观念的淡薄以及网上某些人的别有用心，会给校园网的 E m a i l 用户发一些不良内容的信件，有时还会携带各种各样的病毒。因此，怎样防止有问题的信件进入校园网的 E m a i l 系统也是一个待解决的问题。

　校园网网络安全设计方案

　解决方法：在校园网的 W W W 服务器、E m a i l 服务器等各种服务器中使用网络安全监测系统，实时跟踪、监视网络，截获 I n t e r n e t 网上传输的内容，并将其还原成完整的 W W W 、E m a i l 、F T P 、T e l n e t 应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网络中心报告，采取措施。并利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图，可以对访问地址和流量进行分析，对于明显的攻击便可一目了然了。

　2 . 4

　服务器和网络设备的扫描和攻击问题有时会有一些用户对校园网的服务器和网络设备进行扫描和攻击，造成网络负载过重，致使服务器拒绝提供服务，或造成校园网不能提供正常的服务。

　 2 . 5

　病毒防护互联网迅猛发展使得网络运营成为社会时尚，但同时也为病毒感染和快速传播提供了途径。病毒从网络之间传递，并在计算机没有任何防护措施的情况下运行，从而导致系统崩溃，网络瘫痪，对网络服务构成严重威胁，造成巨大损失。

　因此，如何让校园网更安全，防止网络遭受病毒的侵袭，已成为校园网迫切需要解决的问题。物理安全是整个计算机网络系统第三章

　校园网安全防范体系层次 3 . 1

　物理（硬件）安全物理安全是整个计算机网络系统安全的前提。物理安全是保护计算机网络设备、设施及其他媒体免遭地震、水灾和火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏过程。主要包括以下几个方面：机房环境安全、通信线路安全、设备安全、电源安全等。

　对于任何计算机网络系统，物理安全都是必须要考虑的重要问题，物理安全措施包括安全制度、数据备份、辐射防护、屏幕口令保护、隐藏销毁、状态检测、报警确认、应急恢复、加强机房管理、运行管理、安全组织和人事管理等手段。物理安全是相对的，在设计物理安全方案时，要综合考虑需要保护的硬件、软件及其信息价值，从而采用适当的物理保护措施。计算机系统的逻辑安全 3 . 2

　逻辑安全计算机系统的逻辑安全主要通过口令密码、权限控制等方法来实现。可以限制连续登录的次数或限制连续登录的时间间隔；可以用加密软件保护存储在计算机系统中的信息；通过身份验证技术限制对存储于计算机系统中文件的访问。此外可以通过一些安全软件跟踪可疑的未授权的访问企图。

　3 . 3

　操作系统安全操作系统是计算机中最基本、最重要的软件，是计算机系统安全的基础。操作系统安全主要包括用户权限控制和安全漏洞修复等内容。

　操作系统是软件平台的核心，网络操作系统所具备的功能和性能决定了网络系统的整体水平，同时也决定了应用及技术的发展方向。

　联网安全主要通过以下安全措施来实现访问控制：用来保护计算机和网络资源不被非授权使用。

　通信安全：用来保证数据的保密性和完整性，以及各通信方的可信赖性。

　第四章

　软件平台的设计

　操作系统是软件平台的核心，网络操作系统所具备的功能和性能决定了网络系统的整体水平，同时也决定了应用及技术的发展方向。根据实际情况和需求，我们选择 L I N U X 作为服务器操作系统平台。

　L i n u x 是一套免费使用和自由传播的类 U n i x 操作系统，这个系统是由全世界各地的成千上万的程序员设计和实现的。它以高效性和灵活性著称。并且能够在P C 计算机上实现全部的 U n i x 特性，具有多任务、多用户的能力。L i n u x 之所以受到广大计算机爱好者的喜爱，主要原因有两个，一是它属于自由软件，用户不用支付任何费用就可以获得它和它的源代码，并且可以根据自己的需要对它进行必要的修改。另一个原因是，它具有 U n i x 的全部功能。

　L i n u x 具有以下主要特性：

　1 . 开放性：

　开放性是指系统遵循世界标准规范，特别是遵循开放系统互连（O S I ）国际标准。凡遵循国际标准所开发的硬件和软件，都能彼此兼容，可方便地实现互连。

　2 . 多用户：

　多用户是指系统资源可以被不同用户各自拥有使用，即每个用户对自己的资源（例如：文件、设备）有特定的权限，互不影响。L i n u x 和 U n i x 都具有多用户的特性。

　 3 . 多任务：

　多任务是现代计算机的最主要的一个特点。它是指计算机同时执行多个程序，而且各个程序的运行互相独立。

　4 . 良好的用户界面：L i n u x 向用户提供了两种界面：用户界面和系统调用。

　5 . 设备独立性：

　设备独立性是指操作系统把所有外部设备统一当作成文件来看待，只要安装它们的驱动程序，任何用户都可以像使用文件一样，操纵、使用这些设备，而不必知道它们的具体存在形式。

　6 . 提供了丰富的网络功能：完善的内置网络是 L i n u x 的一大特点。L i n u x 在通信和网络功能方面优于其他操作系统。

　其他操作系统不包含如此紧密地和内核结合在一起的连接网络的能力，也没有内置

　校园网网络安全设计方案这些联网特性的灵活性。而 L i n u x 为用户提供了完善的、强大的网络功能。

　7 . 可靠的系统安全：L i n u x 采取了许多安全技术措施，包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等，这为网络多用户环境中的用户提供了必要的安全保障。

　8 . 良好的可移植性：

　可移植性是指将操作系统从一个平台转移到另一个平台使它仍然能按其自身的方式运行的能力。

　L i n u x 是一种可移植的操作系统，能够在从微型计算机到大型计算机的任何环境中和任何平台上运行。

　可移植性为运行 L i n u x 的不同计算机平台与其他任何机器进行准确而有效的通信提供了手段，不需要另外增加特殊的和昂贵的通信接口。

　第五章

　校...

篇四：校园网网络安全设计方案

大学硕士学位论文校园网网络安全方案设计与实现姓名：黄欣申请学位级别：硕士专业：计算机技术指导教师：赵志刚；李承林201204

　校园网网络安全方案设计与实现摘要校园网是高校信息化建设的重要支撑平台，负责各种网络资源的推广、传播与应用，是非常重要的基础设施。近几年各个高校的发展空前，各种管理系统、电子数据信息传输，使管理者意识到，一个安全的校园网网络非常重要，校园网的最大用户是学生，人数众多，求知欲强，校园网网络的安全，对于维持整个校园的正常教学秩序有着极其重要的意义。针对目前网络安全的现状以及其发展趋势，特别是广西农业职业技术学院校园网安全的现状，迫切需要建立更加安全的网络安全管理平台，以应对不断增多的师生用户，以及越来越复杂的应用需求。因此，建设与部署一个稳定、可靠、高速、安全的校园网，采用各种实用的安全技术，构建立体的、全方位的网络安全防御体系结构，实现全局安全是一个很迫切的课题。本文分析介绍了校园网当前主要的网络安全的各种实用技术，比如对病毒的防治、数据的过滤与预警、漏洞的发现与修复、身份认证与访问控制等，在网络系统安全理论的指导下，分析当前农职院校园网的现状与不足，结合校园网网络建设需求与原则，提出广西农业职业技术学院网络安全体系结构的构建，包括主干网的安全设计、安全防护系统设计、出口安全设计、以及统一的身份认证系统的设计，在具体实现中，应用了ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ技术，ＩＤＳ与防火墙联动，出口策略路由技术，以及ＤＥＳ技术在身份认证中的具体应用，本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行测试分析。关键字：校园网网络安全，防火墙，网络层，身份认证，联动

　ＴｈｅＤｅｓｉｇｎａｎｄＩｍｐｌｅｍｅｎｔｏｆＣａｍｐｕｓＮｅｔｗｏｒｋＳｅｃｕｒｉｔｙＡＢＳＴＲＡＣＴＷｉｔｈｔｈｅｒａｐｉｄｌｙｄｅｖｅｌｏｐｍｅｎｔｏｆｔｈｅＩｎｔｅｒｎｅｔ，ｔｈｅｃａｍｐｕｓｎｅｔｗｏｒｋｃｒｉｔｉｃａｌｉｎｆｒａｓｔｒｕｃｔｕｒｅａｓａｉｎｃｏｌｌｅｇｅｓａｓｓｕｍｅｓｎｅｗｔｅｃｈｎｏｌｏｇｙａｐｐｌｉｃａｔｉｏｎａｎｄｒｅｃｅｎｔｐｒｏｍｏｔｉｏｎｆｕｎｃｔｉｏｎ．Ｉｎｙｅａｒｓ，ｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆｍａｎｙｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｓａｎｄｅｌｅｃｔｒｏｎｉｃｄａｔａｃｏｌｌｅｇｅｓｔｒａｎｓｍｉｓｓｉｏｎａｒｅｍａｎｙｍａｎａｇｅｒｓｕｓｅｒｓｕｎｐｒｅｃｅｄｅｎｔｅｄｉｎｖａｒｉｏｕｓｏｆａｗａｒｉｎｇｔｈａｔａａｎｄｕｎｉｖｅｒｓｉｔｉｅｓ，ＳＯａｒｅｓａｆｅｃａｍｐｕｓｓｔｕｄｅｎｔｓ・ｎｅｔｗｏｒｋｉｓｖｅｒｙｉｍｐｏｒｔａｎｔ．ＴｈｅｌａｒｇｅｓｔｏｆＣａｍｐｕｓｎｅｔｗｏｒｋａｒｅＢｅｃａｕｓｅｔｈｅｎｕｍｂｅｒｏｆｔｈｅｕｓｅｒｓｉｓｎｕｍｅｒｏｕｓｔｏａｎｄｔ１１ｅｙａｌｌｔｈｉｒｓｔｆｏｒｋｎｏｗｌｅｄｇｅ，ｉｔｈａｓｔｈｅｘｔｒｅｍｅｌｙｖｉｔａｌｓｉｇｎｉｆｉｃａｎｃｅｍａｉｎｔａｉｎｎｏｒｍａｌｏｒｄｅｒｏｆｔｈｅｃａｍｐｕｓｔｅａｃｈｉｎｇ．Ｉｎｖｉｅｗｏｆｔｈｅｃｕｒｒｅｎｔｌｙｎｅｔｗｏｒｋｓｅｃｕｒｉｙｓｔａｔｕｓｔｒｅｎｄｅｎｃｙ，ｅｓｐｅｃｉａｌｌｙｆｏｒｔｈｅａｎｄｔｈｅｄｅｖｅｌｏｐｍｅｎｔＧｕａｎｇｘｉａｃａｍｐｕｓｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎｉｎｔｈｅｔｏＶｏｃａｔｉｏｎａｌａｎｄＴｅｃｈｎｉｃａＣｏｌｌｅｇｅｏｆＡｇｒｉｃｕｌｔｕｒｅ，ｉｔｉｓｕｒｇｅｎｔｎｅｅｄｅｓｔａｂｌｉｓｈｍｏｒｅｓｅｃｕｒｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｍａｎａｇｅｍｅｎｔｐｌａｔｆｏｒｍｗｉｔｈｍａｎｙｓｅｃｕｒｉｔｙｃａｎｐｒｏｔｅｃｔｉｖｅｍｅａｎｓ．Ｓｏｔｈａｔｍａｎｙｎｅｔｗｏｒｋａｔｔａｃｋｉｎｇｏｒｂｅｆａｓｔａｃｔｉｖｅｌｙｄｅｆｅｎｓｅｄａｔｔｈｅｓｔａｒｔｏｆｔｈｅｓｐｒｅａｄｉｎｆｅｃｔｉｏｎｂｅｆｏｒｅｔｈｅｎｅｔｗｏｒｋ．Ｗｉｔｈｔｈｅｉｎｃｒｅａｓｉｎｇｉｓｕｍｂｅｒｏｆｔｈｅｃａｍｐｕｓｎｅｔｗｏｒｋｕｓｅｒｓ，ｔｈｅｓｃａｌｅｏｆｔｈｅｃａｍｐｕｓｎｅｔｗｏｒｋｏｕｔｔｏｆｒｅｄｂｅｃｏｍｉｎｇｍｏｒｅａｎｄｍｏｒｅｄｅｖｅｌｏｐｅｄ．Ｉｔｉｓａｖｅｒｙｉｍｐｏｒａｎｔｔｏｐｉｃｈｏｗｔｏｄｅｓｉｇｎａｎｄｃｏｎｓｔｒｕｃｔａｓａｆｅｃａｍｐｕｓｎｅｔｗｏｒｋ．ｃａｍｐｕｓｎｅｔｗｏｒｋＴｈｉｓｐａｐｅｒｉｎｔｒｏｄｕｃｅｓｔｈｅｃｕｒｒｅｎｔｌｙｍａｉｎｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙＩＩ

　ｔｅｃｈｎｏｌｏｇｙ，ｉｎｃｌｕｄｉｎｇｔｈｅｆｉｒｅｗａｌｌｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｉｎｔｒｕｓｉｏｎｄｅｔｅｃｉｏｎｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｓｅｃｕｒｉｔｙｖｕｌｎｅｒａｂｉｌｉｔｙｓｃａｎｎｉｎｇｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｎｅｔｗｏｒｋａｃｃｅｓｓｉｎｇｃｏｎｔｒｏｌｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｔｅｃｈｎｏｌｏｇｙｉｎｔｅｃｈｎｏｌｏｇｙ，ｖｉｒｕｓｐｒｅｖｅｎｔｉｏｎａｎｄｃｕｒｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｓｙｓｔｅｍ．Ｉｎｔｈｅｎｅｔｗｏｒｋｓｙｓｔｅｍｓｅｃｕｒｉｔｙｔｈｅｏｒｙ，ｕｎｄｅｒｔｈｅｇｕｉｄａｎｃｅｏｆｔｈｅａｎａｌｙｓｉｓｏｆｔｈｅｃｕｒｒｅｎｔａｇｒｉｃｕｌｔｕｒｅｖｏｃａｔｉｏｎａｌ—ｔｅｃｂ血ｃａｌｃｏｌｌｅｇｔｈｅｓｔａｔｕｓｑｕｏｂｕｉｌｄｉｎｇｕｐａａｎｄｄｅｆｅｃｔｓｏｆｔｈｅｃａｍｐｕｓｓｔｒｕｃｔｕｒｅｎｅｔｗｏｒｋ，ｉｔｈａｓｐｕｔｆｏｒｗａｒｄｔｏｓｅｃｕｒｉｔｙｓｙｓｔｅｍｉｎｔｈｅＧｕａｎｇｘｉＡｇｒｉｃｕｌｔｕｒａｌＶｏｃａｔｉｏｎａｌＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅ．ｉｎｃｌｕｄｉｎｇｔｈｅｂａｃｋｂｏｎｅｏｆｔｈｅｓａｆｅｔｙｄｅｓｉｇｎ，ｓａｆｅｙｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍｓｙｓｔｅｍｄｅｓｉｇｎ，ｓａｆｅｔｙｄｅｓｉｇｎ，ａｎｄｄｅｓｉｇｎ．Ｉｎｅｘｐｏｒｔｔｈｅｕｎｉｔｙｏｆｔｈｅｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｔｈｅｓｐｅｃｉｆｉｃｉｍｐｌｅｍｅｎｔａｔｉｏｎ，ａｐｐｌｉｅｄｔｈｅＡＣＬ，ＶＬＡＮ，ＶＲＲＰｔｅｃｈｎｏｌｏｇｙ，ＩＤＳＤＥＳａｎｄｆｉｒｅｗａｌｌｌｉｎｋａｇｅ，ｅｘｐｏｒｔｉｎｓｔｒａｔｅｇｙｒｏｕｔｉｎｇｔｅｃｈｎｏｌｏｇｙ，ａｎｄｔｅｃｈｎｏｌｏｇｙｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｉｎｔｈｅｓｐｅｃｉｆｉｃａｐｐｌｉｃａｔｉｏｎ，ｔｈｉｓｐａｐｅｒａｌｓｏｔｏｕｎｉｅｔｈｅｅｆｆｅｃｔａｆｔｅｒＫＥＹｔｅｓｔｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｓｙｓｔｅｍｉｎｄｅｔａｉｌａｂｏｕｔｔｈｅｐｌａｎａｎｄｔｈｅａａｎａｌｙｓｉｓ．ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ，Ｆｉｒｅｗａｌｌ，Ｎｅｔｗｏｒｋｌａｙｅｒ，ＩｄｅｎｔｉｔｙＷＯＲＤＳ：Ｃａｍｐｕｓａｕｔｈｅｎｔｉｃａｔｉｏｎ，ＬｉｎｋａｇｅＨＩ

　广西大掌３爿蔓硕士掣明立论文校园网网鲤Ｈ融全方案设计与实现第一章绪论１．１课题的研究背景当今信息化在社会各领域中的广泛应用，人类的生活工作已经完全依赖信息技术，在学校在教育领域也是不可或缺的一部分，而校园网是高校信息化的最重要的支撑平台，在学校软件资源建设、应用服务的开发与应用、日常教学管理的开展，都起着非常重要的作用，是不可缺少的校园基础设施。网络技术越发展，网络应用的深入，由于网络协议的开放性【ｌ】，系统的通用和由于管理意识与资金方面的原因，管理的疏漏，使校园网面临着不可预测的威胁和攻击，网络进攻手段现在呈现出多式多样的趋势。在高校信息化的大潮中，作为传输数字信息最关键的载体一校园网，正起着越来越重要的作用，无论是在日常教学管理还是学校教学质量的提升上，都有非常重要的意义【２】【３】。目前，随着网络的规模越来越大，结构更加复杂，应用更加多样化，对我们校园网的性能提出更高的要求。面对以上需求，尤其是近几年在校园里大规模的安全事件的接连发生的，让人们对网络信息安全的重要性有了更深刻的体会【４】。因此，建设与部署一个稳定、可靠、高速、安全的校园网，是当前迫切解决的课题。１．２课题的研究意义校园网作为校园网络化建设不可缺少的支撑平台，承担着学校教学、管理、科研以及软件资源库、应用服务群、一卡通等应用的环境支持，也是学校校园网内外资源共享、交流访问的重要方式【５】。作为学院数字信息传输最重要的载体，校园网的安全自然就面对着各种威胁，主要有网络设备的破坏以及网络中传输的数据信息的危害。前者主要是破坏设备的软件系统、干扰运行；后者则是：越权非法访问、假冒合法用户、木马与病毒、窃听数据等。除此外，对校园网另外一个威胁体现在无法对网络数据进行自主识别与过滤，比如电信网络，上面有大量的资源，这些资源鱼龙混杂、良莠不齐，我们却无法进行有针对性的处理，以至占用大量网络带宽，造成数据堵塞，严重影响用户体验。同时由于我们目前我国的网络管理制度还有待完善，网站上众多严重影响学生身体健康、心理成长的内容，诸如暴力、反动、色情之类，导致非常恶劣的后果【６】。校园网在高校的数字化、信息化、自动化中发挥着越来越重要的作用，直接影响到

　ｇ－西大掌工程訇ｎｂ掣啊立供瞄≮ 校园网网络安全方案设计与实现学院管理水平的提高与教学质量提升，同时也是高校之间实力竞争的一个关键点。但是，由于意识与资金方面的原因，许多高校常常只是在内部网与互联网之间放一个防火墙就了事，直接面对互联网，随着校园网规模曰趋扩大、应用环境日趋复杂，从而成为病毒、木马以及黑客的目标，导致校园网内木马病毒泛滥、黑客入侵攻击时有发生、信息被纂改、服务遇拒绝等均成现列７１。可见，针对各种安全事故，采取行之有效的措施去应对，主动防范，从而确保校园网安全、稳定、高效、可靠运转，是我们每个学校迫切需要重视的问题。本课题首先拿目前流行的各种安全防护技术分析，结合自己单位实际，提出广西农业职业技术学院的目标，在我院构建一个安全、可靠、高效、稳定的校园网。在此基础上，并应用多种安全技术，构建我院网络安全防御体系，为学院信息化、办公自动化、数字资源化提供坚实的硬件平台。在具体实现中，应用了ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ技术，ＩＤＳ与防火墙联动，出口策略路由技术，以及ＤＥＳ技术在身份认证中的具体应用，本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行ｉ贝９试分析，在单位实现一个“可看、可管、可控＂安全网络。１．３网络安全的国内外研究现状当今世界在网络信息安全技术方面，美国、以色列、法国、瑞士、等国家走在前列，原因在于这些国家芯片技术相当发达，经过长时间的沉积，在技术上具有优势；另外由于这些国家在信息安全技术应用方面起步很早，也应用非常广泛。他们在漏洞扫描、病毒查杀、入侵检测、防火墙技术、身份认证等领域处于领先地位。众所周知，美国在计算机硬件或者软件水平均执全球之牛耳，计算机最重要的三大部分，操作系统、微处理器和数据库差不多被美国产品所垄断。在美国，由于拥有全球最先进的主：于网，而该主干网连接众多美国大学，所以它们的校园网也非常先进，在计算机应用的水平也比普遍高一些。比如斯坦福大学，在１９８２年，就投入数亿美元，由惠普、ＳＵＮ等公司部署在世界首屈一指的智能校园网系统。我国计算机网络起步很慢，最先是北京计算机应用研究所在１９８７年开通ｘ．２５链路连接德国。到９０年代，中国教育科研网开始组建，首先是由北京大学、清华大学等校园网为基础，迅速得到壮大，发展为国家四大主干网络中一员。Ｃｅｍｅｔ是国家投资、各高校作为分节点接入，教育部统一管理，在校园应用最广泛的计算机互联网络，同时也成为学校重要的基础设施。

　广西大掌工程司ｎｂ掌位‘论’文校园网网络安全方案设计与实现当前，我国在校园网建设与网络技术应用方面处于地位的是北京大学和清华大学。它们均建设于９０年代前后，他们校园网及相关的应用系统开发与应用已有２０多年，规模在全国范围内都是处于前列，光纤互连所有楼宇，无信息孤岛，当前信息点均超过４万，在线人线也超过１５０００人。全国其它１５００多所高校中，绝大部份已经建设好单位的校园网。随着学校规模的增大，学校内部开设了更多的系、院等二层单位，所以建成的校园网又向更大规模发展。近几年，国家也加大西部地区的扶持，在校园网等基础设施建设中也投入了大量的人力和精力，进一步促进中西部高校的发展。由于我国在网络信息安全技术方面的研究与产业起步较晚，这几年虽然发展很快，但是由于基础差，时间短，整体布局不合理，缺乏顶层设计，没有相应的信息安全产业。目前在我国网络信息安全面临的主要威胁是【９Ｊ：（１）没有掌握计算机网络安全方面的核心技术和软件。（２）在信息安全的意识方面，还有待提高。（３）网络安全防范机制不完善，好多单位目前随便开通了网络，但还没有建设相应的响应机制。（４）有关网络犯罪方面相关的法律，还急需健全。（５）网络飞速发展需要大量网络管理人才，但目前急缺，需要大量培养。１．４论文的内容及结构安排论文主要来源于广西农业职业技术学院校园网三期规划与建设项目，通过对当今保障网络安全的各种技术研究，主要包括：防火墙技术、密码验证和入侵检测技术等技术，分析了农职院校园网的安全现状与不足，结合校园网网络建设需求与原则，提出广西农业职业技术学院网络安全体系结构的构建，包括主干网的安全设计、安全防护系统设计、出口安全设计、以及统一的身份认证系统的设计，在具体实现中，应用了ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ技术，ＩＤＳ与防火墙联动，出口策略路由技术，以及ＤＥＳ技术在身份认证中的具体应用，本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行测试分析。第一章：绪论。对论文的选题背景、研究意义进行说明，对国内外在网络安全领域的研究现状进行了介绍，并给出了论文的主要内容与层次结构。第二章：高校校园网的网络安全概述。介绍了网络安全的定义以及确保网络安全的各种防护措施，包括病毒木马防治，数据包的过滤、入侵预警及漏洞扫描、身份认证及访问控制等，并对这些安全防护技术的发展趋势进行分析。第三章：农职院校园网安全方案的分析与设计。首先对农职院校园网的现状进行分

　广西大掌工程硕士掌位论文校园网网络安全方案设计与实现析，找出成因；其次给出我院网络安全的需求，并基于这些需求，制定好校园网的设计原则，以及方案设计的目标。第四章：校园网网络安全设计与实现。介绍农职院校园网安全体系结构的构建，包括主干网的安全、安全防护系统、出口安全、以及统一的身份认证等设计与实现并对方案实施后进行测试分析。第五章：论文小结及进一些工作的方向。对论文已完成的工作进行小结，并介绍进下步工作的目标与方向。１．５论文的创新点本文来源于学校校园网的升级改造项目，作为项目的技术主要负责人，参加了整个方案的设计，以及具体的部署与应用。在整个项目中，最大的特点是对各种技术的应用，能综合应用各种安全技术，来构建安全、稳定、高效、可靠的校园网，通过实现主干网的安全、安全防御系统的实现、出口安全的实现以及统一身份认证系统的实现，构成了我院校园网立体化，全局性的网络安全防护体系结构，通过认证服务器平台实现全网统一管理，从而实现校园网“可看、可管、可控＂。在此次论文研究中，首先能够对学院校园网的现状与不足进行分析，找到各种威胁的成因，从来得出来自我院校园网最真实的需求，然后再根据设计原则制定方案目标。这样保证了方案的合理性，设计的科学性。其次在具体实施上，我们从学院实际需求出发，以“实用、够用”为指导原则选择设备，同时综合应用各种安全技术来实现校园网的立体化、全局性安全，为以后的管理、改造、维护和下一步的应用服务的完善奠定了很好的基础。经过改造后的校园网，具有以下特色：１、建设了更稳定、可靠的校园主干网，为全网数据交换提供高质量的平台，克服以前设备老旧、性能低下特点，为以后校园网网络业务丰富奠定了很好的基础。２、利用ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ等安全技术简单实现病毒防治、流量控制、上网时间控制，不同业务的隔离，核心交换机的冗余备份以及负载均衡。３、通过ＩＤＳ与防火墙相互联动，构成一个主动防御与静态过滤相结合的安防系统，实现网络数据安全。４、在核心、出口等理念重要位置采用冗余备份理念，关键设备都有备份，从而克解决单点故障引起的断网问题，同时在双链路的出口，使用策略路由技术，使不同目的４

　广西大掌工程硕士掌位论文．．—————————————————————————————————————————————————————————————————————一竺！竺竺竺竺！竺兰竺竺竺！兰的数据包各行其道，提高效率，且实现负载均衡。５、对所有校园网用户终端，实现接入安全认证，并通过相关技术管理和控制，可以轻松定位安全问题的源头并处理；通过其它设备与认证服务器联动，统一管理各种安防设备及用户，实现全网‘‘可观、可管、可控＂的一体化网络安全体系。

　广西大掌】耀司Ｅｂ掌位论文校园网网络安全方案设计与实现第二章校园网网络安全技术２．１计算机网络安全综述针对计算机安全的陈述，国际标准化委员会和我国均给出了类似的定义，前者定义为：通过各种安全手段保障计算机软、硬件的数据不会由于恶意、偶然等种种原因而导致被破坏、纂改、泄露，这些安全手段包括数据处理系统的构建、应用各种安全技术及管理；后者则直接定义为：通过安全技术对计算机数据、软件、硬件的保护，从而确保不受偶然性或者故意的因素破坏、纂改、泄露，实现系统稳定运行。由以上定义可知，计算机网络安全应该由以下方面构成：网络操作系统、各种服务器等软件的安全；人员管理的安全：网络互联所关联的链路安全及网络运行的连接安全等。它的安全性由人员安全意识、数据的安全性、及通信链路的可靠性决定。网络安全研究领域非常广，包括网络上数据的安全而采用的技术、相关的理论研究，它还是应用数学、通信安全、密码技术、网络技术等学科的综合。作为非常强调创新性与自主性的学科，它要求我们对多种技术的灵活运用、在顶层设计上坚持自主创新，从来得出整体的、严密的、可靠的安全方案。２．２网络安全的发展趋势Ｅｌ前在全球范围中，各种病毒、木马无孔不入，变种速度快，传播能力强，目的性明确，是当前网络安全面临着的最大的问题。在不断发展的网络安全领域中，如何利用各种安全防护技术来面对不种的威胁，确保网络的保密性、完整性和可用性ｆＨⅡ１２１，是当前网络安全建设的重大问题，也是安全领域最重要的课题。２．２．１网络的安全威胁安全技术的飞速发展及信息化高速迈进，给我们日常生活带来极大便利的同时，也让网络安全的情势越来越严峻。在网络时时刻刻都会发生网络攻击事件，通过对近年比较典型的事件研究，我们发现，网络攻击手段由以前的单点式向综合式、复杂化、多样化、立体化演变【１３１。当前的病毒、木马、蠕虫都不是孤立攻击的，往往集成于一体，多样化攻击，同时利用各种软、硬件本身有漏洞进行攻击，特别是基于局域网内部的攻击是新的趋势，已经逐渐演变成以经济利益为目标的黑色产业，并...

篇五：校园网网络安全设计方案

. 1设计原则 1.

　充分满足现在以及未来3-5年内的网络需求，既要保证校园网能很好的为学校服务，又要保护学校的投资。

　强大的安全管理措施，四分建设、六分管理，管理维护的好坏是校园网正常运行的关键 3.

　在满足学校的需求的前提下，建出自己的特色 1. 2网络建设需求网络的稳定性要求

　整个网络需要具有高度的稳定性，能够满足不同用户对网络访问的不同要求网络高性能需求

　整个网络系统需要具有很高的性能，能够满足各种流媒体的无障碍传输，保证校园网各种应用的畅通无阻

　认证计费效率高，对用户的认证和计费不会对网络性能造成瓶颈网络安全需求

　防止 IP 地址冲突

　非法站点访问过滤

　非法言论的准确追踪

　恶意攻击的实时处理

　记录访问日志提供完整审计网络管理需求

　需要方便的进行用户管理，包括开户、销户、资料修改和查询

　需要能够对网络设备进行集中的统一管理

　需要对网络故障进行快速高效的处理 2. 1校园网现网拓扑图

　整个网络采用二级的网络架构：

　核心、接入。

　核心采用一台 RG－S4909，负责整个校园网的数据转发，同时为接入交换机 S1926F+、内部服务器提供百兆接口。

　网络出口采用 RG-WALL1200防火墙。

　原有网络设备功能较少，无法进行安全防护，已经不能满足应用的需求。

　2. 2校园网设备更新方案

　方案一：

　不更换核心设备

　核心仍然采用锐捷网络 S4909交换机，在中校区增加一台 SAM 服务器，部署 SAM 系统，同时东校区和西校区各用3台 S2126G 替换原有 S1926F+, 其中汇聚交换机各采用一台新增的 S2126G，剩余的两台 S2126G 用于加强对关键机器的保护，中校区的网络结构也做相应的调整，采用现有的两台 S2126G 做为汇聚设备，其它交换机分别接入这两台交换机，从而实现所有汇聚层交换机都能进行安全控制，重点区域在接入层进行安全控制的网络布局。

　2. 3骨干网络设计骨干网络由 RG-S8606构成，核心交换机 RG-S8606主要具有5特性：

　整个骨干网采用千兆双规线路的设计，二条线路通过 VRRP 冗余路由协议和 OSPF 动态路由协议实现负载分担和冗余备份，以后，随着网络流量的增加，可以将链路升级到万兆。

　 CPP 即 CPU Protect Policy， RG-S8606采用硬件来实现， CPP 提供管理模块和线卡 CPU 的保护功能，对发往CPU 的数据流进行带宽限制（总带宽、 QOS 队列带宽、类型报文带宽）

　，这样，对于 ARP 攻击的数据流、针对CPU 的网络攻击和病毒数据流， RG-S8606分配给其的带宽非常的有限，不会影响其正常工作。

　由于锐捷10万兆产品 RG-S8606采用硬件的方式实现，不影响整机的运行效率现在的网络需要更安全、需要为不同的业务提供不同的处理优先级，这样，大量的 ACL 和 QOS 需要部署，需要核心交换机来处理，而这些应用属于对交换机硬件资源消耗非常大的，核心交换机 RG-S8606通过在交换机的每一个用户端口上增加一个 FFP(快速过滤处理器) ，专门用来处理 ACL 和 QOS，相当于把交换机的每一个端口

　都变成了一台独立的交换机，可以保证在非常复杂的网络环境中核心交换机的高性能。

　 1、网络病毒的防范病毒产生的原因：

　某校园网很重要的一个特征就是用户数比较多，会有很多的 PC 机缺乏有效的病毒防范手段，这样，当用户在频繁的访问 INTERNET 的时候，通过局域网共享文件的时候，通过 U 盘，光盘拷贝文件的时候，系统都会感染上病毒，当某个学生感染上病毒后，他会向校园网的每一个角落发送，发送给其他用户，发送给服务器。

　病毒对校园网的影响：

　校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗，用户正常的网络访问得不到响应，办公平台不能使用；资源库、 VOD 不能点播； INTERNET 上不了，学生、老师面临着看着丰富的

　校园网资源却不能使用的尴尬境地。

　 2、防止 IP、 MAC 地址的盗用 IP、 MAC 地址的盗用的原因：

　某校园网采用静态 IP 地址方案，如果缺乏有效的 IP、 MAC 地址管理手段，用户可以随意的更改 IP 地址，在网卡属性的高级选项中可以随意的更改 MAC 地址。

　如果用户有意无意的更改自己的 IP、 MAC 地址，会引起多方冲突，如果与网关地址冲突，同一网段内的所有用户都不能使用网络；如果恶意用户发送虚假的 IP、 MAC 的对应关系，用户的大量上网数据包都落入恶意用户的手中，造成 ARP 欺骗攻击。

　IP、 MAC 地址的盗用对校园网的影响：

　在用户看来，校园网络是一个很不可靠是会给我带来很多麻烦的网络，因为大量的 IP、 MAC 冲突的现象导致了用户经常不能使用网络上的资源，而且，用户在正常工作和学习时候，自己的电脑上会经常弹出 MAC 地址冲突的对话框。

　由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏，用户会尽量减少网络的使用，这样，学生、老师对校园网以及网络中心的信心会逐渐减弱，投入几百万的校园网也就不能充分发挥其服务于教学的作用，造成很大程度上的资源浪费。

　3、安全事故发生时候，需要准确定位到用户安全事故发生时候，需要准确定位到用户原因：

　国家的要求：

　2002年，朱镕基签署了 282号令，要求各大 INTERNET 运营机构（包括高校）

　必须要保存60天的用户上网记录，以待相关部门审计。

　校园网正常运行的需求：

　如果说不能准确的定位到用户，学生会在网络中肆无忌弹进行各种非法的活动，会使得校园网变成“黑客”娱乐的天堂，更严重的是，如果当某个学生在校外的某个站点发布了大量涉及政治的言论，这时候公安部门的网络信息安全监察科找到我们的时候，我们无法处理，学校或者说网络中心只有替学生背这个黑锅。

　4、安全事故发生时候，不能准确定位到用户的影响：

　一旦发生这种涉及到政治的安全事情发生后，很容易在社会上广泛传播，上级主管部门会对学校做出处理；同时也会大大降低学校在社会上的影响力，降低家长、学生对学校的满意度，对以后学生的招生也是大有影响的。

　5、用户上网时间的控制无法控制学生上网时间的影响：

　如果缺乏有效的机制来限制用户的上网时间，学生可能会利用一切机会上网，会旷课。

　学生家长会对学校产生强烈的不满，会认为学校及其的不负责任，不是在教书育人。

　这对学校的声誉以及学校的长期发展是及其不利的。

　6、用户网络权限的控制

　在校园网中，不同用户的访问权限应该是不一样的，比如学生应该只能够访问资源服务器，上网，不能访问办公网络、财务网络。

　办公网络的用户因该不能访问财务网络。

　因此，需要对用户网络权限进行严格的控制。

　7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如 MAC FLOOD、 SYN FLOOD、 DOS 攻击、扫描攻击、 ARP 欺骗攻击、流量攻击、非法组播源、非法 DHCP 服务器及 DHCP 攻击、窃取交换机的管理员密码、发送大量的广播报文，这些攻击的存在，会扰乱网络的正常运行，降低了校园网的效率。

　 2.4.2.1 安全到边缘的设计思想用户在访问网络的过程中，首先要经过的就是交换机，如果我们能在用户试图进入网络的时候，也就是在接入层交换机上部署网络安全无疑是达到更好的效果。

　2.4.2.2 全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全，安全不是某一个设备的事情，应该让网络中的所有设备都发挥其安全功能，互相协作，形成一个全民皆兵的网络，最终从全局的角度把控网络安全。

　2.4.2.3 全程安全的设计思想

　用户的网络访问行为可以分为三个阶段，包括访问网络前、访问网络的时候、访问网络后。

　对着每一个阶段，都应该有严格的安全控制措施。

　2.4.3 某校园网网络安全方案锐捷网络结合 SAM 系统和交换机嵌入式安全防护机制设计的特点，从三个方面实现网络安全：

　事前的准确身份认证、事中的实时处理、事后的完整审计。

　2.4.3.1 事前的身份认证对于每一个需要访问网络的用户，我们需要对其身份进行验证，身份验证信息包括用户的用户名/密码、用户 PC 的 IP 地址、用户 PC 的 MAC 地址、用户 PC 所在交换机的 IP 地址、用户PC 所在交换机的端口号、用户被系统定义的允许访问网络的时间，通过以上信息的绑定，可以达到如下的效果：

　每一个用户的身份在整个校园网中是唯一，避免了个人信息被盗用.

　当安全事故发生的时候，只要能够发现肇事者的一项信息比如 IP 地址，就可以准确定位到该用户，便于事情的处理。

　只有经过网络中心授权的用户才能够访问校园网，防止非法用户的非法接入，这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。

　2.4.3.2 网络攻击的防范

　 1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒，通过部署扩展的 ACL，能够对这些病毒所使用的 TCP、 UDP 的端口进行防范，一旦某个用户不小心感染上了这种类型的病毒，不会影响到网络中的其他用户，保证了校园网网络带宽的合理使用。

　2、未知网络病毒的防范对于未知的网络病毒，通过在网络中部署基于数据流类型的带宽控制功能，为不同的网络应用分配不同的网络带宽，保证了关键应用比如 WEB、课件资源库、邮件数据流有足够可用的带宽，当新的病毒产生时，不会影响到主要网络应用的运行，从而保证了网络的高可用性。

　3、防止 IP 地址盗用和 ARP 攻击通过对每一个 ARP 报文进行深度的检测，即检测 ARP 报文中的源 IP 和源 MAC 是否和端口安全规则一致，如果不一致，视为更改了 IP 地址，所有的数据包都不能进入网络，这样可有效防止安全端口上的 ARP 欺骗，防止非法信息点冒充网络关键设备的 IP（如服务器）

　，造成网络通讯混乱。

　4、防止假冒 IP、 MAC 发起的 MAC Flood\SYN Flood 攻击通过部署 IP、 MAC、端口绑定和 IP+MAC 绑定（只需简单的一个命令就可以实现）

　。

　并实现端口反查功能，追查源 IP、 MAC 访问，追查恶意用户。

　有效的防止通过假冒源 IP/MAC 地址进行网络的攻击，进一步增强网络的安全性。

　5、非法组播源的屏蔽锐捷产品均支持 IMGP 源端口检查，实现全网杜绝非法组播源，指严格限定 IGMP 组播流的进入端口。

　当 IGMP 源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口。

　当 IGMP 源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口；而从非路由连接口进入的视频流被视为是非法的，将被丢弃。

　锐捷产品支持 IGMP 源端口检查，有效控制非法组播，实现全网杜绝非法组播源，更好地提高了网络的安全性和全网的性能，同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势，而且也是网络带宽合理的分配所必须的。

　同时IGMP 源端口检查，具有效率更高、配置更简单、更加实用的特点，更加适用于校园运营网络大规模的应用环境。

　6、对 DOS 攻击，扫描攻击的屏蔽通过在校园网中部署防止 DOS 攻击，扫描攻击，能够有效的避免这二种攻击行为，节省了网络带宽，避免了网络设备、服务器遭受到此类攻击时导致的网络中断。

　2.4.3.3 事后的完整审计当用户访问完网络后，会保存有完备的用户上网日志纪录，包括某个用户名，使用那个 IP 地址， MAC 地址是多少，通过那一台交换机的哪一个端口，什么时候开始访问网络，什么时候结束，产生了多少流量。

　如果安全事故发生，可以通过查询该日志，来唯一的确定该用户的身份，便于了事情的处理。

　2.5 网络管理设计网络管理包括设备管理、用户管理、网络故障管理 2.5.1 网络用户管理网络用户管理见网络运营设计开户部分 2.5.2 网络设备管理网络设备的管理通过 STARVIEW 实现，主要提供以下功能，这些功能也是我们常见的解决问

　题的思路：

　1、网络现状及故障的自动发现和了解 STARVIEW 能自动发现网络拓扑结构，让网络管理员对整个校园网了如指掌，对于用户私自挂接的 HUB、交换机等设备能及时地发现，提前消除各种安全隐患。

　对于网络中的异常故障，比如某台交换机的 CPU 利用率过高，某条链路上的流量负载过大，STARVIEW 都可以以不同的颜色进行显示，方便管理员及时地发现网络中的异常情况。

　 2、网络流量的查看 STARVIEW 在网络初步异常的情况下，能进一步的察看网络中的详细流量，从而为网络故障的定位提供了丰富的数据支持。

　 3、网络故障的信息自动报告 STARVIEW 支持故障信息的自动告警，当网络设备出现故障时，会通过 TRAP 的方式进行告警，网络管理员的界

　面上能看到各种故障信息，这些信息同样为管理员的故障排除提供了丰富的信息。

　 4、设备面板管理 STARVIEW 的设备面板管理能够很清楚的看到校园中设备的面板，包括端口数量、状态等等，同时可以很方便

　的登陆到设备上，进行配置的修改，完善以及各种信息的察看。

　 5、 RGNOS 操作系统的批量升级校园网很大的一个特点就是规模大，需要使用大量的接入层交换机，如果需要对这些交换机进行升级，一台一台的操作，会给管理员的工作带来很大的压力， STARVIEW 提供的操作系统的批量升级功能，能够很方便的一次对所有的相同型号的交换机进行升级，加大的较少了网络管理员的工作量。

　 2. 5. 3网络故障管理随着校园网用户数的增多，尤其是宿舍网运营的开始，用户网络故障的排除会成为校园网管理工作的重点和难点，传统的网络故障解决方式主...

篇六：校园网网络安全设计方案

建没与管理高校校园网网络安全解决方案探索余建( 三明学院网络信息中心，福建三明365004)摘要：信息化进程的深入和互联网的快速发展，校园网络化成为大学信息化建设的发展趋势，中国教育和科研计算机网的建设直接引导和推动了高校校园网的建设和普及。完善信息安全和网络安全体系。加强信息安全和网络安全意识。既是互联网使用单位的法定义务，也是教育信息化发展的迫切需要。通过分析校园网安全威胁的原因、状况、设计维护校园网安全的方案．进一步探索加强高校教育系统信息安全和网络安全管理，预防和打击各种网上违纪、违法行为的重要途径。关键词：防火墙局域罔CERN ET病毒校园网信息系统是校园网的数字神经中枢，CERN ET( 中国教育和科研计算机网) 的建设直接引导和推动了高校校园网的建设和普及。截至目前．这一网络已经通达内地的170个城市．联网的教育机构和科研单位达900多个．联网主机130万台。网络用户800多万，成为国内仅次于中国电信的第二大互联网络．信息资源也得到最大程度的共享。然而紧随信息化发展而来的网络安全问题日渐突出．校园网络安全问题已成为信息时代高校共同面临的挑战．保障网络信息安全成为当务之急．如果不很好地解决这个问题．必将阻碍高校信息化发展的进程。一、校园网网络结构和应用系统概述校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERN ET的接入以及远程移动办公用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台：图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览：办公自动化局域网是教职员工自动化办公的平台．可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统。校园外网的服务器群构成了校园网的服务系统。一般包括DN S、W eb、兀1P、PRO XY以及M AIL、认证计费、O A服务等。外部网实现了校园网与CERN ET及IN TERN ET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。二、校园网安全威胁分析校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的安全威胁：( 1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁：( 2) Intem et网络用户对校园网存在非法访问或恶意入侵的威胁：( 3) 来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校圊内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网：( 4) 内部用户对Intem et的非法访问威胁，如浏览黄色、暴力、反动等网站。以及由于下载文件可能将木马、蠕虫、病毒等程序带人校园内网；( 5) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DO S／DDO S攻击，导致网络及服务不可用：( 6) 校园网内的学生群体是主要的O ICQ ( O pen ICQ )用户．目前针对O ICQ 的黑客程序随处可见：( 7) 可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。三、校园网安全方案设计上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来．随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。同时。校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了cIhi naEducal i on响1 87

　嘲络建没与管理枝硒同m 临的隐忠＆相n加剧知刚l 所示比较丁占追的校同同拓扑结挎。肇nt罔拽“ J 从物理、最境、哪崭、二1三喾莓口t覃：__· 一1一L—叫一--I—一_：_一一■_二J～。—一【气兰=]～。—一lkii三J 4州厦管理五十艋次骨忻和设I}适弁于校吲网的安全建一2一片兰议方案、。厂’4i i l l · 州：=圈1校固网拓扑结构1轴理‘物理屡的安全七要包括环境、设备及线蹄的安全。该层次的安全包括垴信线路的安全物理设备的安全、机房音空的宣全等．物理层的安全蕾要体现在：通信线路的可靠性( 线路备甜嘲瞽软件、传输介质) ，软硬件设备安全性( 替换设备，拆卸设备，增加设备)．设备的备份，肪灾害能力、防f二扰能力设备的运行环境(温度、湿度、烟尘)．不问断电弹雠障等、系统中0或机房的建设应遵照：G B50173—93( Etl 子¨ 算机凯脐设计规范) GB2887—89( {十算机站场地安全登求’ 及G[t2887—89( ff算机站场地技术条件) 的蛋求，在设备集中的精理科寰裴干扰器防止由于设备辐射造成的fi g泄黼．2}#}空缓层次的蟹垒问碰束自删络内使用的操作系统的安全．知Vl i n, j ow 自2000 W i⋯d-2003等。主嚣裘现在j方面一足操作系统奉身的缺陷带柬的小安全阁索．上盟包括身份认证济问牲制最坑酣翻等．二址对样n系统的￡全配置¨ 题：=址精击对擞怍系缱的戚耕，系统艋#型解决的≈晰干井种操作系缱数据库及棚戈产品的宣仝漏洞和府击盐成竹威胁解决帕杖术手段主要打“ 下n种( 1) 采川主m 加同手段埘主机加嘲，如升％、CJ 补J关闭不需璺的端n童装系毒轼件等f2l 采川tm 访Ⅻ控制手段加强对上帆的访问控制：( 3) 安装I．IXU X吱U N IX系统做服务器增加系统安全性能，踮*l l l l tIHI J I*3目捧屡安奎接旧叫中局域嘲艘目鞍多撤据需要多十网络可能要i 棚联接。芷屉这种多同的Ⅱ联使我们对嘲络层的安争掣妊度璃觇．定义一个同络或各阿络内不同安全等级的部分为f同的安争域。安全域之间的连接处叫H 络边抖。FⅢ}· 口讨沧m 下儿方断的网络层安全防护。(1)多吲缔出LI应用。授同同一般会分办公区和学生宿舍Ⅸ两个场所．学生宿舍区的H 络往往会由于学巾乱F戴等地成旃毒的恶意触播。为了避免学生宿音K的网络影响到办公R的网络．我们可“ 栗用多个也Ij ．即学生宿舍K个出n办公区一个m u。这样双方E不影响．也水会影响对方的网建。( 2) 划丹安全子网( VLAN ) 。如果同局域阿山有小同等级的直全蛾可u通过赳分子同爰vuN 鹋矗强加“ 访问控制．如在教学局域同中学生机房和多煤体机房之间可“ 通过划分子网米控制不允许学生机房的机器访问多媒体机房的机器。( 3) 加强网络边界的访叫控制。安全等级差别较大的边界需要采崩防火墙来控制。如校园内网较同外阿和Intem 《t之问利用防火墙进行访问控制和内容过滤。可有敢地解决需求中提到的多种威胁。胁火墙的主要目的是控制数据组．只允许合法流通过。其特征是在网络边界i -建i 相应的网络通信监控系统即防火墙米达到保障同蠕安全的目的。防火墙技术假设敬保护网络具有明确的边界和服务并且假设用崭信息的威胁主要来自外部阿络而不是内部阿络它通过建Ⅱ一档套规则和系统策略来检测，限制、更改穿越防火墙的数据谶实现内部网络的保护。罘用防火墙安全技术适☆丁々外部网络相对独立且坩络服务类型相对有限的同络系统而枝同阿正属此犁敞要实现幢园同的安全应采用防火墙技术f4)防止内外的攻击威胁。在每个安全城内或客个安全域之间安装^侵幢测系统( ID S) 可有效地防止来自网络内外的攻．h，(5)定期的网络安全性检测实现持续蟹± ：利用附删扫描器( Scannerl 定期对最统进{r安全性洋怙置时&残安全隐患并实施修补· Ⅱ达到网络的帽对持续安仝(6)建立网络胁病毒系统。在拉阳网中安装同络版的防毒乐缱．集中控制、杼理矗采嘲络中暇务器、终端的病毒保护全阿小梭病毒任害。4盅m 暑安奎应用层的安垒措施主要冉“ 下儿点

　网络建没与管理基于L2TP／I PSec的VPN 技术在校园网中的研究和应用杨剑宁( 云南师范大学商学院网络中心，云南昆明650106)摘要：本文分析了L2TP协议的安全隐患和IPSec协议的强安全性，指出在L2TP隧道中。利用IPSec协议封装负载数据，可构建安全性能更强的虚拟专用网络，并根据基于L2TP／IPSec协议的VPN 系统的特点，本文从校园网应用角度探讨了VPN 技术在校园网校区之间、服务器管理、远程接入等方面的应用，分析了目前存在的问题及解决方案展望。关键词：VPNL2TPIPSec校园网安全性一、引言随着计算机网络技术的快速发展、数据通信的日益频繁、学校信息化建设步伐的加快．校园网已经成为学校信息化建设的重要组成部分。对于校园网络的管理者来说，如何更为安全、有效、方便地对其进行管理，始终是一个重要的话题。一般情况下．学校在建设校园网时．通常是将校园外部网络与校园内部网络进行物理隔离或逻辑隔离．使外网无法访问未经许可的内网资源．即使许可外部访问，也是常规性质的访问，但一些对安全级别要求更高的服务则不能使用常规许可．这样必然导致网络管理员在校外无法更为安全有效地管理校园网络，且对校内众多的服务器、交换机等网络设备的管理以及跨校区、跨网段等资源访问无法提供安全保障。虚拟专用网( VPN ) 就是一种既可保障安全、又可保障网络开放的低廉易行的解决方案，通过采用加密、认证、隧道和协议封装等技术构筑了一条安全通道．从而使得敏感信息在开放的公用网络上安全传输成为可能．应用VPN ．可以使网络管理员在任何地方，通过连接公用网络的终端访问校园内部并对校周网络实行安全化的管理，也可使普通用户和网络管理员通过内部专用网络．连接资源区域和管理区域，加强网络管理、应用的安全性、灵活性、经济性、扩展性。· —卜—--卜-+—+· —+一—· ● 一-+· —■ 一—· —卜--卜· —卜· —卜· -卜—· ● 一--_一-—+—-—}—-_——+．——+—-+-+· —· 卜-—卜· +· +-+-+-+· —卜· +-—卜—+—+-+-+· +-+( 1) 各应用系统自身的加固；( 2) 建立身份认证系统( 实名制) ；( 3) 建立安全审计系统：( 4) 建立备份系统；( 5) 建立日志访问系经统；5．管理层安全实现管理层的安全主要注意以下几点：( 1) 建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。( 2) 建立、健全安全管理体制。校园网用户较多。一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。( 3) 提高全员的安全意识。信息安全和网络安全事关师生身心健康。事关教育健康发展，事关国计民生和事t会稳定。完善信息安全和网络安全体系，加强信息安全和网络安全意识．既是互联网使用单位的法定义务．也是教育信息化发展的迫切需要。为进一步加强我国高校教育系统信息安全和网络安全管理。预防和打击各种网上违纪、违法行为，有效推动我国高校教育网络建设与应用健康有序发展。四、结束语由于互联网络的开放性和通信协议的安全缺陷．以及在网络环境巾数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易泄露和被破坏。网络受到的安全攻击非常严重．因此建立有效的网络安全防范体系就更为迫切。实际上．保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则．更重要的是必须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本原则．分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。参考文献：【1l 锐捷打造全局化GSN 网络安全解决方案fDB，0U 。赛迪网，http：／／teeh．cci dnet．corn／art／1084／20081l 10／1610467j ．htm l【2】防火墙的配置与技巧【DB／O L]．赛迪网，http：／／securi ty．cci dnet．com ／pub／htm l ／teeh／fi rew al l ／i ndex．htmchi naEauc, a的nInfo189

　高校校园网网络安全解决方案探索高校校园网网络安全解决方案探索作者：余建作者单位：

　本文链接：http://d.g.wanfangdata.com.cn/Conference_7279869.aspx三明学院网络信息中心,福建三明 365004

篇七：校园网网络安全设计方案

章、某校园网方案设计原则与需求 1.1 设计原则 1. 充分满足现在以及未来 3-5 年内的网络需求既要保证校园网能很好的为学校服务又要保护学校的投资。

　强大的安全管理措施四分建设、六分管理管理维护的好坏是校园网正常运行的关键在满足学校的需求的前提下建出自己的特色 2. 3. 1.2 网络建设需求网络的稳定性要求

　 整个网络需要具有高度的稳定性能够满足不同用户对网络访问的不同要求网络高性能需求  整个网络系统需要具有很高的性能 能够满足各种流媒体的无障碍传输 保证校园网各种应用的畅通无阻认证计费效率高对用户的认证和计费不会对网络性能造成瓶颈  网络安全需求  防止 IP 地址冲突     非法站点访问过滤非法言论的准确追踪恶意攻击的实时处理记录访问日志提供完整审计网络管理需求    需要方便的进行用户管理包括开户、销户、资料修改和查询需要能够对网络设备进行集中的统一管理需要对网络故障进行快速高效的处理

　第二章、某校园网方案设计 2.1 校园网现网拓扑图

　整个网络采用二级的网络架构核心、接入。

　核心采用一台 RGS4909负责整个校园网的数据转发同时为接入交换机 S1926F+、内部服务器提供百兆接口。网络出口采用 RG-WALL1200 防火墙。原有网络设备功能较少无法进行安全防护已经不能满足应用的需求。

　2.2 校园网设备更新方案

　方案一不更换核心设备

　核心仍然采用锐捷网络 S4909 交换机在中校区增加一台 SAM 服务器部署 SAM 系统同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G剩余的两台 S2126G 用于加强对关键机器的保护中校区的网络结构也做相应的调整采用现有的两台 S2126G 做为汇聚设备其它交换机分别接入这两台交换机从而实现所有汇聚层交换机都能进行安全控制重点区域在接入层进行安全控制的网络布局。

　方案二更换核心设备

　核心采用一台锐捷网络面向 10 万兆平台设计的多业务 IPV6 路由交换机 RG-S8606负责整个校园网的数据转发。在中校区增加一台 SAM 服务器部署 SAM 系统同时东校区和西

　校区各用 3 台 S2126G 替换原有 S1926F+。将原有的 S4909 放到东校区做为汇聚设备下接三台 S2126G 实现安全控制其它二层交换机分别接入相应的 S2126G。西校区汇聚采用一台 S2126G剩余两台 S2126G 用于保护重点机器其它交换机接入对应的 S2126G。中校区的网络结构也做相应的调整采用现有的两台 S2126G 做为汇聚设备其它交换机分别接入这两台交换机 从而实现所有汇聚层交换机都能进行安全控制 重点区域在接入层进行安全控制的网络布局。

　2.3 骨干网络设计骨干网络由 RG-S8606 构成核心交换机 RG-S8606 主要具有 5 特性

　1、骨干网带宽设计千兆骨干可平滑升级到万兆整个骨干网采用千兆双规线路的设计 二条线路通过 VRRP 冗余路由协议和 OSPF 动态路由协议实现负载分担和冗余备份以后随着网络流量的增加可以将链路升级到万兆。

　2、骨干设备的安全设计CSS 安全体系架构

　 3、CSS 之硬件 CPP CPP 即 CPU Protect PolicyRG-S8606 采用硬件来实现CPP 提供管理模块和线卡 CPU 的保护功能对发往 CPU 的数据流进行带宽限制总带宽、QOS 队列带宽、类型报文带宽 这样对于 ARP 攻击的数据流、针对 CPU 的网络攻击和病毒数据流RG-S8606 分配给其的带宽非常的有限不会影响其正常工作。

　由于锐捷 10 万兆产品 RG-S8606 采用硬件的方式实现不影响整机的运行效率 4、CSS 之 SPOH 技术现在的网络需要更安全、需要为不同的业务提供不同的处理优先级这样大量的 ACL 和QOS 需要部署需要核心交换机来处理而这些应用属于对交换机硬件资源消耗非常大的核心交换机 RG-S8606 通过在交换机的每一个用户端口上增加一个 FFP(快速过滤处理器)专门用来处理 ACL 和 QOS相当于把交换机的每一个端口都变成了一台独立的交换机可以保证在非常复杂的网络环境中核心交换机的高性能。

　骨干设备的稳定性设计三平面分离技术数据平面、管理平面、控制平面分离的设计思想交换机中的数据类型可以分为三大类 数据平面各种二层\三层\组播\ACL\QOS 数据管理平面通过 TELNET、SNMP 对设备进行管理维护的数据流控制平面各种协议比如 STP、ARP、OSPF、RIP 交互的数据流 RG-S8606 通过将三个平面进行分离可以保证在数据流量非常大、网络异常比如有回路、有大量攻击数据流、OSPF 协议无法收敛的情况下管理员仍然可以通过各种网络管理方式登陆到网络设备上通过察看接口状态、日志纪录、协议的信息可以发现网络中存在的问题关闭有问题的端口、停止异常的协议从而达到了在线排除网络故障、在不重启交换机的情况下让其恢复正常。极大的提高了网络的稳定性。

　 2.4 网络安全设计 2.4.1 某校园网网络安全需求分析 1、网络病毒的防范病毒产生的原因某校园网很重要的一个特征就是用户数比较多会有很多的 PC 机缺乏有效的病毒防范手段这样当用户在频繁的访问 INTERNET 的时候通过局域网共享文件的时候通过 U 盘光盘拷贝文件的时候系统都会感染上病毒当某个学生感染上病毒后他会向校园网的每一个角落发送发送给其他用户发送给服务器。

　病毒对校园网的影响校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗 用户正常的网络访问得不到响应 办公平台不能使用 资源库、 VOD 不能点播 INTERNET上不了学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。

　 2、防止 IP、MAC 地址的盗用 IP、MAC 地址的盗用的原因某校园网采用静态 IP 地址方案如果缺乏有效的 IP、MAC地址管理手段 用户可以随意的更改 IP 地址 在网卡属性的高级选项中可以随意的更改 MAC地址。如果用户有意无意的更改自己的 IP、MAC 地址会引起多方冲突如果与网关地址冲突 同一网段内的所有用户都不能使用网络 如果恶意用户发送虚假的 IP、 MAC 的对应关系用户的大量上网数据包都落入恶意用户的手中造成 ARP 欺骗攻击。

　IP、MAC 地址的盗用对校园网的影响在用户看来校园网络是一个很不可靠是会给我带来很多麻烦的网络 因为大量的 IP、 MAC 冲突的现象导致了用户经常不能使用网络上的资源而且用户在正常工作和学习时候自己的电脑上会经常弹出 MAC 地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏 用户会尽量减少网络的使用这样学生、老师对校园网以及网络中心的信心会逐渐减弱投入几百万的校园网也就不能充分发挥其服务于教学的作用造成很大程度上的资源浪费。

　3、安全事故发生时候需要准确定位到用户安全事故发生时候需要准确定位到用户原因  国家的要求2002 年朱镕基签署了 282 号令要求各大 INTERNET 运营机构包括高校必须要保存 60 天的用户上网记录以待相关部门审计。

　 校园网正常运行的需求 如果说不能准确的定位到用户 学生会在网络中肆无忌弹进行各种非法的活动会使得校园网变成“黑客”娱乐的天堂更严重的是如果当某个学生在校外的某个站点发布了大量涉及政治的比如***的言论 这时候公安部门的网络信息安全监察科找到我们的时候 我们无法处理 学校或者说网络中心只有替学生背这个黑锅。

　4、安全事故发生时候不能准确定位到用户的影响 一旦发生这种涉及到政治的安全事情发生后 很容易在社会上广泛传播 上级主管部门会对学校做出处理同时也会大大降低学校在社会上的影响力降低家长、学生对学校的满意度对以后学生的招生也是大有影响的。

　5、用户上网时间的控制无法控制学生上网时间的影响如果缺乏有效的机制来限制用户的上网时间学生可能会利用一切机会上网会旷课。学生家长会对学校产生强烈的不满会认为学校及其的不负责任不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。

　6、用户网络权限的控制在校园网中 不同用户的访问权限应该是不一样的 比如学生应该只能够访问资源服务器上网不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此需要对用户网络权限进行严格的控制。

　7、各种网络攻击的有效屏蔽校园网中常见的网络攻击比如 MAC FLOOD、SYN FLOOD、DOS 攻击、扫描攻击、ARP 欺骗攻击、流量攻击、非法组播源、非法 DHCP 服务器及 DHCP 攻击、窃取交换机的管理员密码、发送大量的广播报文这些攻击的存在会扰乱网络的正常运行降低了校园网的效率。

　 2.4.2 某校园网网络安全方案设计思想 2.4.2.1 安全到边缘的设计思想用户在访问网络的过程中 首先要经过的就是交换机 如果我们能在用户试图进入网络的时候也就是在接入层交换机上部署网络安全无疑是达到更好的效果。

　2.4.2.2 全局安全的设计思想锐捷网络提倡的是从全局的角度来把控网络安全 安全不是某一个设备的事情 应该让网络中的所有设备都发挥其安全功能互相协作形成一个全民皆兵的网络最终从全局的角度把控网络安全。

　2.4.2.3 全程安全的设计思想

　用户的网络访问行为可以分为三个阶段包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段都应该有严格的安全控制措施。

　2.4.3 某校园网网络安全方案锐捷网络结合 SAM 系统和交换机嵌入式安全防护机制设计的特点从三个方面实现网络安全事前的准确身份认证、事中的实时处理、事后的完整审计。

　2.4.3.1 事前的身份认证对于每一个需要访问网络的用户 我们需要对其身份进行验证 身份验证信息包括用户的用户名/密码、用户 PC 的 IP 地址、用户 PC 的 MAC 地址、用户 PC 所在交换机的 IP 地址、用户 PC 所在交换机的端口号、用户被系统定义的允许访问网络的时间通过以上信息的绑定可以达到如下的效果   每一个用户的身份在整个校园网中是唯一避免了个人信息被盗用. 当安全事故发生的时候只要能够发现肇事者的一项信息比如 IP 地址就可以准确定位到该用户便于事情的处理。

　 只有经过网络中心授权的用户才能够访问校园网 防止非法用户的非法接入 这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。

　2.4.3.2 网络攻击的防范 1、常见网络病毒的防范对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒通过部署扩展的ACL能够对这些病毒所使用的 TCP、UDP 的端口进行防范一旦某个用户不小心感染上了这种类型的病毒不会影响到网络中的其他用户保证了校园网网络带宽的合理使用。

　2、未知网络病毒的防范对于未知的网络病毒 通过在网络中部署基于数据流类型的带宽控制功能 为不同的网络应用分配不同的网络带宽保证了关键应用比如 WEB、课件资源库、邮件数据流有足够可用的带宽当新的病毒产生时不会影响到主要网络应用的运行从而保证了网络的高可用性。

　3、防止 IP 地址盗用和 ARP 攻击通过对每一个 ARP 报文进行深度的检测即检测 ARP 报文中的源 IP 和源 MAC 是否和端口安全规则一致如果不一致视为更改了 IP 地址所有的数据包都不能进入网络这样可有效防止安全端口上的 ARP 欺骗防止非法信息点冒充网络关键设备的 IP如服务器 造成网络通讯混乱。

　4、防止假冒 IP、MAC 发起的 MAC Flood\SYN Flood 攻击通过部署 IP、MAC、端口绑定和 IP+MAC 绑定只需简单的一个命令就可以实现 。并实现端口反查功能追查源 IP、MAC 访问追查恶意用户。有效的防止通过假冒源 IP/MAC 地址进行网络的攻击进一步增强网络的安全性。

　5、非法组播源的屏蔽锐捷产品均支持 IMGP 源端口检查 实现全网杜绝非法组播源 指严格限定 IGMP 组播流的进入端口。当 IGMP 源端口检查关闭时从任何端口进入的视频流均是合法的交换机会把它们转发到已注册的端口。当 IGMP 源端口检查打开时只有从路由连接口进入的视频流才是合法的 交换机把它们转发向已注册的端口 而从非路由连接口进入的视频流被视为是非法的将被丢弃。锐捷产品支持 IGMP 源端口检查有效控制非法组播实现全网杜绝非法组播源 更好地提高了网络的安全性和全网的性能 同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势而且也是网络带宽合理的分配所必须的。同时 IGMP 源端口检查具有效率更高、配置更简单、更加实用的特点更加适用于校园运营网络大规模的应用环境。

　6、对 DOS 攻击扫描攻击的屏蔽通过在校园网中部署防止 DOS 攻击扫描攻击能够有效的避免这二种攻击行为节省了网络带宽避免了网络设备、服务器遭受到此类攻击时导致的网络中断。

　2.4.3.3 事后的完整审计当用户访问完网络后...

篇八：校园网网络安全设计方案

网网络规划与设计方案

　题

　目大学校园网网络规划与设计

　学生姓名

　张风娟

　学

　号

　2009303501231

　专业班级

　 09 级网络二班

　指导教师

　成静

　设计时间

　 2011 年 6 月

　前言 1.1 某高校背景某高校是一所极具现代意识、以现代化教学为特色的公办高校。

　为了推进教育学信息化和现代化学校计划在校内建立校园内部网并通过千兆位链路连接与国际互联网相连。

　根据学校的要求我们按照“统一规划、讲究实效、安全可靠”的原则进行某高校园网综合系统设计 以满足校园内计算机网络系统的需要。

　对于某高校来说由于将有越来越多的资料信息和管理平台放到校园网上 越来越多的用户使用校园网 校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。

　我 XX 公司与XX 公司一起通过专场技术交流会、XX 认证培训、项目设计和方案论证等形式为某高校提供了良好的服务。

　校园网发挥的作用

　为全校教师、科研人员、管理人员、学生提供一个先进的计算机网络环境

　并将计算机引入教学、科研、管理和学习等各个领域改善学校教学科研、管理和学习环境提高其水平熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段有利于培养面向世界、面向未来的高层次人才。某高校着重进行了校园网的接入并与电化教室相结合配合多媒体设备使该校的信息化建设跨上了一个新台阶。

　一、用户需求分析信息化建设目标的建设不但应考虑现有的硬件、软件同时还应考虑学校教师的信息化教育能力不但网络要建起来软件也要贴近应用同时还应加强教师培训才能逐步实现教育由应试教育转向素质教育转化。

　项目总体目标是建立物理上覆盖学校教学楼与办公楼的千兆主干校园网百兆交换到桌面使学校所有部门的网络和计算机都能够方便地连接到网络配置必要的计算机网络设备、布线设备和辅料为学校的教学、管理和研究提供服务。

　本项目的需求可概括为如下几部分

　一个学校内用户众多对信息的安全有一定的要求各楼层的分布情况如下 11 号楼图书馆

　对图书馆内各类图书进行管理对图书资料进行处理。

　建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。

　2综合楼实验室和办公楼 主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护管理中心内设有网站、电子邮箱、精品课程、FTP 资源、办公系统以及视频点播等服务器。

　32 号楼、3 号楼、4 号楼教学楼 主要是多媒体教室各二级学院办公室二、网络结构拓扑图

　三、网络综合布线 1 实用性能支持多种数据通信、多媒体技术及信息管理系统等能够实现现在和未来技术的发展。

　2 灵活性任意信息点能够连接不同类型的设备如微机、打印机、终端、服务器、监视器等。

　3 开放性能支持任何厂家的任意网络产品支持任意网络结构如总线型、星型、环形等。

　4)

　模块化所有的接插件都是积木式的标准件方便使用、管理和扩充。

　5)

　扩展性实施后的综合布线系统是可扩充的以便将来有更大需求时能够容易将设备安装接入。

　6 经济性一次性投资长期受益维护费用低是整体投资达到最少。

　依据这些原则可以确定该学校的综合布线拓扑结构应该为星型保证综合布线系统的灵活性和扩展性。由于有几栋教学楼 所以本方案设计包括综合布线的所有子系统。

　3.2 结构化布线系统结构化布线划成 6 个部分工作区子系统、水平子系统、垂直子系统、设备间子系统、建筑群子系统。

　⑵ 水平子系统设计水平子系统也称为水平干线子系统 它是从工作区的信息插座开始到管理间子系统的配线架。结构一般为星型结构它与垂直子系统的区别在于水平子系统总是在一个楼层上仅与信息插座、管理间连接。在综合布线系统中水平子系统通常由 4 对 UTP(非屏蔽双绞线组成。在高带宽应用时可以采用光缆。水平子系统连接管理子系统至工作区包括水平布线、信息插座、电缆终端及交换。

　水平干线子系统的设计涉及到水平子系统的传送介质和部件集成主要有 4 点

　1 确定线路走向。

　2 确定线缆、槽、管的数量和类型。

　3 确定线缆的类型和长度。

　4 订购电缆和线缆。

　电缆的用量可以用以下公式进行计算

　每层楼的用线量 C=【0.55×L+S)+6]×N

　L本楼层离管理间最远信息点距离。

　 S本楼层离管理间最近信息点的距离。

　 N: 本楼层信息点的总数。

　 0.55备用系数。

　 6端接容差。

　缆长度按每信息点平均线长 55 米计算 并考虑到用户工作区跳线所需线缆用量总共需要双绞线 15 箱305 米/箱 。水平线缆将干线线缆延伸到用户工作区.在本项目中设计采用的是 Lucent 公司 8 芯非屏蔽双绞线( UTP )是符合 EIA/TIA 568A 标准的超五类线双绞线 1061004CSL+。它在传输数据时 可以在 150 米范围内具有标准 10Mbps 的传输速率在 100 米内保证 155Mbps 的传输速率。此外它也可以传输各种 70V 直流电压及在相应的距离下传输 10MHZ 及 100MHZ 频率以内的弱电信号. ⑷ 垂直干线子系统垂直子系统也称垂直干线子系统或骨干子系统它提供建筑物的主干线缆负责连接管理子系统到设备子系统的子系统目前的设计中一般使用光缆。它也提供了建物垂直干线电缆的走线方式。

　垂直干线子系统主要用于连接一栋大楼内部的各配线间提供网络主干连接。

　三、设备选型 a. 中心交换机实现与总部的广域路由实现本地不同 VLAN 之间的局域路由 实现对网络各

　种数据包的 QoS 控制。本方案采用两台三层的交换机可以实现链路的冗余当其中的一台出现问题不会导致整个网络的瘫痪这就是网络的稳定性。还可以在三层交换机上启用并且为每个指定根网桥另外一台三层交换机为它的备份根网桥当根网桥的链路断开数据可以通过备份根网桥转发出去。在两台三层交换机之间配置以太网通道可以提高链路带宽。

　b. 根据对该学校情况的了解原来 4 间电脑室的主交换机 Intel 530 在使用时会出现流量阻塞的情况并且无法与 CISCO 核心交换机做 Trunk。因此在次工程中我们建议用 CISCO 2950-48 与现有的 Intel530 交换机互换并与核心交换机做两路 100Mb/s Trunk使链路带宽增加到 200Mb/s可满足教学的要求。而原来的 Intel530 可作为综合楼的二级交换机使用。

　CISCO Catalyst 2950 系列工作组交换机 Catalyst 2950 系列交换机属于快速以太网桌面交换机 CISCO Catalyst 2900 系列可以为局域网LAN提供极佳的性能和功能。

　些独立的、10/100Mb/s 自适应交换机能够提供增强的服务质量QoS和组播管理特性所有的这些都由易用、基于 Web 的 CISCO 集群管理套件CMS和集成 CISCO IOS 软件来进行管理。带有 10/100/1000Mbase-T 上行链路的 CISCO Catalyst 2950 千兆位铜线可为中等规模的公司和企业分支机构办公室提供理想的解决方案 以使他们能够利用现有的 5 类铜线从快速以太网升级到更高性能的千兆位以太网主干。

　Catalyst 2900 系列常见的产品包括12 个 10/100M 端口独立式24 个 10/100端口独立式 24 个 10/100M 端口加 2 个 100Base-FX 端口 12 个端口加 2 个 GBIC端口24 个 10/100 端口加 2 个 10/100/1000Base-T 端口。

　主要特性包括  线速第二层交换功能。

　 带 GBIC 口的 2950 系列可以通过在 GBIC GigaStack 模块堆叠每交换机组最多可堆叠 16 台。

　 支持 802.1p。

　 支持 802.1Q VLAN、ISL VLAN。

　 支持 EtherChannel链路会聚.  支持 802.1P STP 协议。

　 支持 SNMP、Telnet、RMON、Web 等方式进行网管。

　网络拓扑图如下

　(5)IP 地址分配及 VLAN 划分 IP 地址分配策略 IP 地址范围项目备注 IP 地址类型选择网关地址网络设备 IP DNS 地址网络中心服务器 IP 内部工作站 IP 网管备用 IP 内部使用 Internet 保留 IP类子网172.16.x..y/24 172.16.1.253/24 172.16.1.1172.16.1.20 见设备 IP 地址表 172.16.1.21172.16.1.40 172.16.x.100172.16.x..200 172.16.1.50172.16.1.70

　设备 IP 地址表

　Vod.hnjc.edu.cn/主机名

　VOD 服务

　IP:172.16.1.2/24 GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254 IP:172.16.1.1/24

　 DNS 服务

　Mail.hnjc.edu.cn/主机名

　Web Mail 服务

　GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254. IP:172.16.1.1/24 GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254 Smtp.hnjc.edu.cn/主机名

　SMTP 服务

　Pop.hnjc.edu.cn/主机名

　POP3 服务

　www.hnjc.edu.cn/主机名

　HTTP 服务

　ftp.hnjc.edu.cn/主机名

　FTP 服务

　 VLAN 划分端口 Cisco2948G-L3网管中心核心交换机网管 IP172.16.1.254/24 18 9 10 11 12 13---18

　19--20 48

　 VLAN 功能描述 Vlan ID      6 7 8 9 10 11 12 13 14~19 VLAN ID 说明 2、3、4、5、6、7、8、9 连接到综合楼学生机主交换机上行端口 1、10 1、11 1、12 1、13 1、14、15、16、17、18、19 119

　连接到办公室交换机上行端口连接到教学楼 1 图书馆交换机连接到教学楼 2 的教师办公室交换机连接到教学楼 3 的教师办公室交换机连接到宿舍楼的第四层的交换机连接到另外一台三层交换机的以太网通道连接到路由器上的接口网段 IP 172.16.1.0/24 172.16.2.0/24 172.16.3.0/24 172.16.4.0/24 172.16.5.0/24 172.16.6.0/24 172.16.7.0/24 172.16.8.0/24 172.16.9.0/24 172.16.10.0/24 172.16.11.0/24 172.16.12.0/24 172.16.13.0/24 172.16.14~19.0/24 网关 IP 172.16.1.254/24 172.16.2.254/24 172.16.3.254/24 172.16.4.254/24 172.16.5.254/24 172.16.6.254/24 172.16.7.254/24 172.16.8.254/24 172.16.9.254/24 172.16.10.254/24 172.16.11.254/24 172.16.12.254/24 172.16.13.254/24 172.16.14.254~172.16.19.254/24 描述综合楼中心机房网管综合楼学生机房交换机电脑室 1 综合楼学生机房交换机电脑室 2 综合楼学生机房交换机电脑室 3 综合楼学生机房交换机电脑室 4 综合楼学生机房交换机电脑室 5 综合楼学生机房交换机电脑室 6 综合楼学生机房交换机电脑室 7 综合楼学生机房交换机电脑室 8 综合楼办公室教学楼 1 教学楼 2 教学楼 3 宿舍楼

　(6)交换机的配置 VLNA 分别在网管中心的 Cisco2948G-L3 核心交换机、学生机房的Cisco2950 交换机、教学楼的 Cisco2950 交换机、综合楼办公室的 Cisco2950交换机。

　中心交换机 2948G-L3 的配置 a.设置 Hostname 及口令

　Switch>en

　 Switch#config t

　 Switch(config)#Hostname Cisco3L-2948

　 Cisco3L-2948(config) #enable password hnjc

　 Cisco3L-2948(config) #enable secret hnjc1

　 Cisco3L-2948(config) #end

　 Cisco3L-2948 (config) #line console 0

　 Cisco3L-2948(config-line)# password Cisco3L-2948

　 Cisco3L-2948(config-line)# login

　 Cisco3L-2948(config-line)#line vty 0 4

　 Cisco3L-2948(config-line)#password cisco2948

　Cisco3L-2948(config-line)#login

　 Cisco3L-2948(config-line)#end

　 Cisco3L-2948# c. 创建 Vlan 如下 d. Switch>en Switch#config t

　 Switch(config)#Hostname Cisco3L-2948

　 Cisco3L-2948(config)#exit

　 Cisco3L-2948 #vlan database Cisco3L-2948 (vlan)#vtp mode server Cisco3L-2948 (vlan)#vtp domain certral1 Cisco3L-2948 (vlan)#vlan 2 name JF1 Cisco3L-2948 (vlan)#vlan 3 name JF2 Cisco3L-2948 (vlan)#vlan 4 name JF3 Cisco3L-2948 (vlan)#vlan 5 name JF4 Cisco3L-2948 (vlan)#vlan 6 name JF5 Cisco3L-2948 (vlan)#vlan 7 name JF6 Cisco3L-2948 (vlan)#vlan 8 name JF7 Cisco3L-2948 (vlan)#vlan 9 name JF8 Cisco3L-2948 (vlan)#vlan 10 name BGS Cisco3L-2948 (vlan)#vlan 11name JXL1 Cisco3L-2948 (vlan)#vlan 12name JXL2 Cisco3L-2948 (vlan)#vlan 13 name JXL3 Cisco3L-2948 (vlan)#vlan 14 name SSL1 Cisco3L-2948 (vlan)#vlan 15 name SSL2 Cisco3L-2948 (vlan)#vlan 16 name SSL3 Cisco3L-2948 (vlan)#vlan 17 name SSL4 Cisco3L-2948 (vlan)#vlan 18 name SSL5 Cisco3L-2948 (vlan)#vlan 19 name SSL6 Cisco3L-2948 (vlan)#apply Apply completed.

　Cisco3L-2948 (vlan)#exit Cisco3L-2948# 创建 VLAN 的 IP 地址并...

推荐访问:校园网网络安全设计方案网络安全校园网设计方案