浅谈防火墙的研究及其在校园网中的应用____梁伟
北京华夏管理学院
毕业论文
文理学院计算机专业
课题名称浅谈校园网防火墙实用技术
学生姓名梁伟
学生班级计算机
指导老师付春霞
起讫日期 2011.2-2011.4 2011年4月23日
目录
1. 防火墙的基本原理和主要类型 (4)
1.2 包过滤式防火墙 (5)
1.3 代理式防火墙 (6)
1.4 状态检测防火墙 (6)
1.5 防火墙的主流产品 (6)
2. 防火墙在校园网中的应用 (8)
2.2 防火墙的边界防护功能 (8)
2.3 防火墙的NAT功能 (9)
2.4 防火墙的防毒功能 (9)
3. 防火墙的配置方法 (9)
3.1 配置工作站的连接 (9)
3.4 测试连通性 (12)
3.5 配置备份防火墙 (14)
3.6 配置访问控制列表和嫌疑代码过滤 (17)
4. 防火墙应用中的若干问题及改进设想 (18)
4.1 木马新技术反弹端口的问题 (18)
5.结论 (19)
6. 致谢 (19)
7. 参考文献 (19)
Campus network firewall practical techniques analysed
Abstract:
This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help.
Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology
浅谈校园网防火墙实用技术
摘要
本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。本文讨论了在校园网里使用防火墙的方法。我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。
关键词防火墙;校园网;信息安全;网络安全;拓扑;配置;实用技术
1. 防火墙的基本原理和主要类型
1.1 防火墙的基本原理
防火墙是网络安全的一种基本的设备。它安装在可信网络和未可信网络的边界处,通过设置一系列的安全访问规则,对网络之间透过防火墙的通信进行控制,检测交换的信息,禁止访问未可信网络上的某些有害的站点,防止未可信网络上的某个有害的IP攻击可信网络或者从可信网络里窃取重要信息,从而达到保护可信网络的目的。我们可以把校园网看作一个可信网络,把互联网看作一个未可信网络,把防火墙放置在校园网的出口处。此外,我们也在校园网的内部的某个重要部门的局域网到校园网的边界上,设置防火墙,以保护这个重要部门的局域
网。
一个防火墙应当具备以下功能:
内部网络和外部网络的所有的数据交换都必须经过防火墙;
提供配置完善的安全策略的机制,只有安全策略所允许的通信才可以进行,否则一律禁止;
防火墙自身的安全必须有保证,能够抵御各种对于防火墙的攻击,而保持正常工作的能力;
防火墙的管理界面友好而且功能强大。管理员能够很方便地对防火墙进行配置和管理。
防火墙的实现技术主要有包过滤式防火墙、代理式防火墙和状态检测防火墙三种类型。其工作原理各有不同的特点,下面分别做一简单的讨论。
1.2 包过滤式防火墙
包过滤防火墙是在1989年出现的一种早期的防火墙。一个在网络上传输的数据包的结构可以分为“包头”和“包体”。在“包体”部分,携带的是要传输的信息本身。在“包头”部分,携带的是关于这个数据包的性质的信息。包过滤防火墙通过对每个数据包的“包头”的检查,根据预先设定的安全策略,决定是放行该数据包还是把该数据包丢弃而终止它的旅行。
“包头”所携带的关于包的性质的信息是比较复杂的,计有:
数据包的协议类型:TCP、UDP、ICMP、IGMP等;
源IP地址和目的IP地址;
源端口号或服务和目的端口号或服务:HTTP、FTP、DNS等;
IP的选项:源路由、记录路由等;
TCP选项:SYN、ACK、FIN、RST等;
其他协议选项:ICMP ECHO、ICMP ECHO REPLY等;
数据包的流向:IN、OUT;
数据包流经的网络接口等等。
根据这些信息,可以制定安全策略。一般的包过滤防火墙都能够根据数据包的流向、源地址和目的地址、网络协议、端口号进行设置。好一些的包过滤防火墙能够设置的安全策略会更灵活一些。
1.3 代理式防火墙
代理式防火墙又称“应用级网关”。内网的用户要求对外网进行访问的时候,把访问请求发送到代理式防火墙。代理式防火墙根据预设的安全策略对用户的请求进行检查。如果该请求符合安全策略,则把访问请求转发到外网的相应站点。从外网的相应站点反馈回来的信息再由代理式防火墙转发给用户。如果此后有另外一个用户有相同的请求,则代理式防火墙将直接把刚才已经返回的信息直接发给这个用户,而不再需要到外网上重复访问。
代理式防火墙要求每一个网络服务都要启动一个相应的代理程序,这在实际上是不容易做到的。另外,代理式防火墙的工作负担相当沉重,会使得网络效率降低。从外网上只能看到一个代理防火墙,而不能访问内网的站点。如果需要对外网开放内网上的某个站点,则需要启用一个“重定向”功能,把内网的这个站点映射到防火墙的一个端口上,允许外网访问。
1.4 状态检测防火墙
状态检测防火墙在内部维护一个状态表,该状态表以会话的方式,记录内网一个数据包发起的连接请求以及后续的整个会话过程,直至会话结束。而由外网发起的连接请求数据包则全部丢弃。状态检测防火墙提供了完整的对传输层的控制,但是网络效率较低。
1.5 防火墙的主流产品
防火墙可以分为软件防火墙和硬件防火墙,软件防火墙中有一些是个人使用的低端产品,如瑞星、江民、天网等都有个人软件防火墙产品。用在校园网的防火墙主要是中档的产品。从网络效率看,硬件防火墙的表现会好一些。
防火墙主流产品有Cisco公司的Cisco Secure PIX 515-E和Cisco IOS,Check Point公司的FireWall-1 4.1 NG,Microsoft公司的ISA Server,SonicWall 公司的TELE3,NetScreen公司的5XP和208,联想公司的网御2000,东软公司的NetEye 4032,天融信公司的网络卫士NGFW4000-S以及Nokia公司的IP110等。Cisco Secure PIX防火墙是通过端到端安全服务的有机组合,提供了安全性。适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU
密集型专用代理服务器不同,它采用非UNIX、安全、实时的内置系统。NAT可提供扩展和重新配置IP网络的特性,既可利用现有IP地址,也可利用Internet 指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。
北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的,因此管理界面使用中文,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面相当直观。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。
联想网御2000千兆防火墙集成了主动式状态检测、DoS攻击防范、IPSec VPN和内容过滤、带宽管理、日志管理等功能,用户以较低成本便可拥有完善的安全措施。易于实施和管理,提供多种管理方式,支持SSL、HTTPS和SNMP协议,实现了真正的安全远程管理和集中管理。同时提供丰富的日志查询功能,日志服务器可存储10G以上的数据,完全满足大流量网络中防火墙日志管理的需要。网御2000千兆防火墙支持包括透明模式、路由模式、混合模式等多种工作模式,全面支持VLAN,支持众多网络通信协议和应用协议,适用于各种复杂网络结构和应用的接入。防拒绝服务网关,抵御SYNflood, UDPflood, ICMPflood, Tear Drop,Smurf, Land Attack, Ping Of Death等多种当今流行的DoS/DDoS攻击。网御2000千兆防火墙支持多台防火墙之间的热机备份和负载均衡,维护所有会话同步,对网络中大量的突发流量有更高的处理能力,确保多个防火墙设备正常运行并同步进行数据传输。
各种产品在功能、性能、价格、服务等方面各有特别的表现,也存在着若干差异。校园网应根据实际需要和可能,选择适当的产品。本论文的实验是在Cisco Secure PIX 515-E上进行的,因此本论文中将以此为例,并不意味着Cisco Secure PIX 515-E是校园网应用的推荐选择。
2. 防火墙在校园网中的应用
2.1 防火墙在校园网中的连接拓扑图
图1 防火墙在校园网中的连接拓扑图
图1是防火墙在校园网中典型的连接方法。防火墙的外网接口连接到互联网,内网接口连接到校园网,xtra接口连接到校园网上的服务器群。防火墙在网络边界上,一方面抵御来自互联网的种种对于校园网特别是校园网的服务器群的攻击,另一方面也防止来自校园网内部的对服务器群的攻击。服务器群为校园网和互联网上的用户提供各种服务,同时屏蔽掉各种超出权限的请求,以及防止敏感信息的泄漏。
2.2 防火墙的边界防护功能
校园网有几个显著的特点,对于制定安全策略,维护网络安全具有一定的意义。首先是校园网的用户数目极其庞大,有许多是万人以上的高校,这是一些企业的网络所不能相比的。上网人数的众多和集中,会对网络造成一定的冲击。校园网的用户以青年学生为主,网上行为十分活跃,这和一些政府机关的网络是不同的。如何对网上行为做出规范和管理,是网络安全的一个课题。校园网的用户都有相
当的文化水准,有些还是网络技术的内行,而且一些住校的学生在夜晚有大量的时间,有可能在内部发起对校园网的攻击,这是和一些部门或者网吧的情况很不相同的。
因此,在校园网的边界以及校园网服务器群的边界,使用防火墙来实施边界防护,是十分必要的。防火墙虽然不能完全杜绝各种安全隐患,但是毕竟能够在一定程度上降低对校园网安全的威胁。
上面图1给出了防火墙在校园网边界防护中的典型用法,但是并不意味着校园网中就只有这一个防火墙。实际上,为了安全起见,校园网内部是要进一步划分为更多层次的局部网络的,各个局部网络之间都有防火墙相互隔离,或者使用VLAN 技术相互隔离。通常情况下,各学区、各院系要相互隔离,办公、科研、教学、生活各系统也要相互隔离。具体情况视实际需要而定。
2.3 防火墙的NAT功能
在校园网中,有一部分子网是不希望外界了解它的网络结构和信息资源的。这一部分子网有必要用防火墙的NAT功能来实现IP地址的转换。IP地址转换之后,在外网上只能看到内网的某个主机的IP地址的映射,而不能得到它真正的IP 地址。
地址转换NAT的另外一个意义是有效地利用分配给学校的IP资源。当IP资源比较紧张,而用户数目又十分庞大的时候,NAT是一个有效的解决办法。
2.4 防火墙的防毒功能
传统的防火墙几乎没有对病毒的防御功能。一些最新的防火墙产品已经把防毒技术结合到防火墙中去了。例如天融信公司网络卫士防火墙4000在内核上实现了对病毒防护。SonicWALL公司的TELE3防火墙也具有一定的防毒功能。
3. 防火墙的配置方法
不同厂家不同型号的防火墙的配置方法是不完全一样的。我在林海[2]主任的网络基础实验室里,按照杨义先[1]先生的实验指导书的方法,学习对CISCO PIX防火墙的配置,其步骤如下:
3.1 配置工作站的连接
首先把配置工作站和防火墙用Console连接起来,方法是Console线的RJ45端
插在CISCO PIX防火墙的Console口上,Console线的串口端插在计算机的串口上。
然后在计算机上单击“开始”→“程序”→“附件”→“通信”→“超级终端”,在弹出窗口“新建连接”的文本输入框里输入“名称”为“dd1”,“确定”后在弹出窗口里选择串口为“com1”,按“确定”。接下来在弹出窗口里配置串口“com1”的参数“每秒位数”=9600,“数据位”=8,“奇偶检验”=无,“停止位”=1,“数据流控制”=硬件,按“确定”,进入“超级终端”窗口。
图2 超级终端界面
3.2 接口的基本连接和配置
现在,按照图3的IP地址分配在超级终端窗口里来配置防火墙各口的IP地址。
图3 实验中配置的防火墙网络拓扑图
在超级终端窗口输入命令“enable”,按回车再输入密码,即进入特权模式,显示提示符为“PIX515#”。输入命令“configure terminal”,进入配置模式,提示符为“PIX515(configure)#”。为防火墙各端口设置名称和优先级,命令为
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 xtra security50
然后为防火墙各口配置IP地址,命令为
ip address outside 15.1.1.2 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address xtra 12.1.1.1 255.255.255.0
配置完毕后检查其结果是否正确,命令为
show ip
在超级终端窗口里显示
System IP Addresses:
ip address outside 15.1.1.2 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address xtra 12.1.1.1 255.255.255.0
结果无误。接下来就可以配置内、外和Xtra网络的全局地址了。
3.3 配置全局IP地址
首先用全局命令配置外网的IP地址池,命令为
global (outside) 1 15.1.1.10 -15.1.1.25 netmask 255.255.255.0
然后用全局命令配置xtra网的IP地址池,命令为
global (xtra) 1 12.1.1.4 -12.1.1.20 netmask 255.255.255.0
最后用地址转换命令配置内网的IP地址范围,命令为
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
还可以为内外网的连同设置一条静态路由,例如
route outside 0 0 15.1.1.22
配置完毕后要检查一下配置是否正确。先检查全局地址,命令为
show global
显示结果为
global (outside) 1 15.1.1.10 -15.1.1.25 netmask 255.255.255.0
global (xtra) 1 12.1.1.4 -12.1.1.20 netmask 255.255.255.0
再检查转换地址,命令为
show nat
显示结果为
nat (inside) 1 10.1.1.0 255.255.255.0 0 0
最后检查静态路由,命令为
show route
显示结果为
route 0.0.0.0 0.0.0.0 15.1.1.22 OTHER static
检查无误之后,就可以用clear xlate命令使配置生效,键入
clear xlate
一切顺利,现在,我们就可以把配置保存下来了,命令是
write memory
屏幕显示
Building con figuration…
Cryptochecksum:9483c870465a2be2bb611f100e3940ab
[OK]
3.4 测试连通性
上面,我们已经用超级终端上的行命令对防火墙的3个端口及其所连接的网络的IP地址进行了配置和做了静态的检查。现在,我们要动态地发送数据包,来测
试3个网络之间的连通性。为此,我们先输入一个命令,设置允许icmp和ping 包通过防火墙,命令是
conduit permit icmp any any
先在超级终端上用ping命令测试防火墙各个端口的连通性。键入
ping inside 10.1.1.1
内网端口的响应为
10.1.1.1 response received … 0ms
10.1.1.1 response received … 0ms
10.1.1.1 response received … 0ms
键入
ping outside 15.1.1.2
外网端口的响应为
15.1.1.2 response received … 0ms
15.1.1.2 response received … 0ms
15.1.1.2 response received … 0ms
键入
ping xtra 12.1.1.1
xtra网端口的响应为
12.1.1.1 response received … 0ms
12.1.1.1 response received … 0ms
12.1.1.1 response received … 0ms
测试完各个端口的连通性之后,接着在超级终端上用ping命令测试防火墙各个端口所连接的网络的连通性。键入
ping inside 10.1.1.3
内网的响应为
10.1.1.3 response received … 0ms
10.1.1.3 response received … 0ms
10.1.1.3 response received … 0ms
键入
ping outside 15.1.1.22
外网的响应为
15.1.1.22 response received … 0ms
15.1.1.22 response received … 0ms
15.1.1.22 response recei ved … 0ms
键入
ping xtra 12.1.1.5
xtra网的响应为
12.1.1.5 response received … 0ms
12.1.1.5 response received … 0ms
12.1.1.5 response received … 0ms
最后,我们用内网、外网和xtra网上的计算机,发送ping命令来测试各个网络彼此之间的连通性。例如我们要测试内网上的计算机(10.1.1.3)到外网的计算机(15.1.1.22)的连通性,就可以在内网上的计算机(10.1.1.3)上键入行命令
C:\> ping 15.1.1.22
在内网上的计算机(10.1.1.3)的屏幕上可以看到外网的计算机(15.1.1.22)的响应
Reply from 15.1.1.22: bytes=32 time<10ms TTL=64
Reply from 15.1.1.22: bytes=32 time<10ms TTL=64
Reply from 15.1.1.22: bytes=32 time<10ms TTL=64
Ping statistics for 15.1.1.22:
Packets: Sent=4, Received=4, Lost=0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum=10ms, Maximum=10ms, Average=10ms
用同样的方法可以测试外网到内网、内网到xtra网、xtra网到内网、外网到xtra 网、xtra网到外网的连通性。
3.5 配置备份防火墙
CISCO PIX防火墙具备有冗余功能。当主防火墙正常工作的时候,备份防火墙处
在待机状态。当主防火墙失效的时候,备份防火墙则自动从待机状态转入工作状态。现在,我们就来配置这个备份防火墙。
图4 防火墙的冗余
同样,在超级终端输入进入配置状态的命令
configure terminal
则提示符变成
PIX515 (config)#
命名防火墙的故障处理接口为ethernet3,并设置其优先级
nameif ethernet3 failover security15
配置该接口的网络速率
interface ethernet3 auto
配置该接口的IP地址
address failover 11.1.1.10
主防火墙的故障处理接口failover配置完了,现在来配置备份防火墙的各个接口。但是,配置备份防火墙的命令仍然是从连接在主防火墙的超级终端上发出的。
命令为
failover ip address failover 11.1.1.11
failover ip address xtra 12.1.1.11
failover ip address outside 15.1.1.3
failover ip address inside 10.1.1.11
将配置结果保存起来
write memory
现在,把备份防火墙在物理上与主防火墙连接起来,然后启动备份防火墙,刚才所做的配置就自动传输到备份防火墙了。连接的方法是:两个防火墙的failover 直接相连,而备份防火墙的内、外、xtra 三个接口分别与主防火墙的内、外、xtra 三个网络相连。
备份防火墙已经配置好并且启动了,用下面的命令来静态地检查失效保护功能是否正常:
show failover
显示为
Failover On
Cable status: Normal
Reconnect timeout 0:00:15
Poll frequency 5 seconds
This host: Primary - Active
Active time: 11545 (sec)
Interface failover (11.1.1.10): Normal
Interface xtra (12.1.1.1): Normal (Waiting)
Interface outside (15.1.1.2): Link Down (Waiting)
Interface inside (10.1.1.1): Link Down (Waiting)
Other host: Secondary - Standby
Active time: 45 (sec)
Interface failover (11.1.1.11): Normal
Interface xtra (12.1.1.11): Link Down (Waiting)
Interface outside (15.1.1.3): Link Down (Waiting)
Interface inside (10.1.1.11): Link Down (Waiting)
显示结果表明,主防火墙在工作状态,备份防火墙在待机状态。
最后,我们把主防火墙关掉,动态地检查备份防火墙是否自动转入工作状态。关掉主防火墙之后,把超级终端到主防火墙的Console连线拔下来,插到备份防火墙的Console口上。然后在超级终端输入命令
show failover
结果显示备份防火墙的状态是Active,说明它已经接替主防火墙的工作了。3.6 配置访问控制列表和嫌疑代码过滤
我们可以通过配置防火墙的访问控制列表ACL来禁止或者允许某些IP地址之间的访问,通过对网络端口的配置来过滤使用该端口的嫌疑代码。
配置访问控制列表ACL的步骤是:
在终端配置模式下输入下列命令,确保防火墙此时没有设置访问控制列表和列表组:
show access-list
show access-group
在隐含状态下,没有明确允许的访问被一概禁止。现在试着用内网的计算机(10.1.1.3)访问外网的计算机(15.1.1.22),结果是不能访问。
现在我们来创建inside、outside、xtra三个访问列表组,并分别用于三个接口:access-group inside in interface inside
access-group outside in interface outside
access-group xtra in interface xtra
然后为各个访问列表组添加相应的表项。
对于outside组,键入命令
access-list outside permit tcp any host 15.1.1.22 eq ftp
这条命令的意思是,允许任意的IP主机访问15.1.1.12上的FTP服务器。
对于inside组,键入命令
access-list inside permit icmp any any
这条命令的意思是,允许任意的IP主机发出的ICMP包通过防火墙发往任意的
IP主机。
设置之后可以用show命令来检查访问控制列表,以及计算机实际通信进行测试。要过滤掉嫌疑代码,可以用下列命令来封闭某个端口的某项服务:
filter java 80 0 0 0
然后用show命令来查看过滤命令列表:
show filter
我们还可以使用日志来监视透过防火墙的行为。设置日志有效的命令是:logging buffered debugging
我们用下列命令来查看日志:
show logging
通过日志发现非正常行为,即可采取相应的防护措施。
4. 防火墙应用中的若干问题及改进设想
4.1 用户安全意识薄弱,绕过防火墙的问题
防火墙是校园网安全的基本设备。在使用中,由于用户的安全意识薄弱,也会使得防火墙形同虚设。最常见的问题有:
网络管理员未能正确设置访问控制列表,开发过多的IP和开发过多的服务。在这种情况下是很容易受到攻击的。为了避免受到过多的攻击,目前不需要的IP 和服务应当全部关闭,只有在确实需要的时候才把它们打开。
有些用户在校园网内自行通过其他途径连接到互联网。这些途径没有经过防火墙,当然得不到防火墙的保护。解决的办法是尽量改进工作保证校园网的畅通,并且通过宣传,避免用户另辟蹊径。
还有一个经常发生的情况是,用户把在家里或外面使用的受到了病毒感染的移动存储设备例如USB带到校园网里来使用,把病毒感染到校园网里来。这种行为防火墙是阻挡不了的。解决的办法是在用户在校园网内的主机上安装病毒防护软件,对任何从外面带进来的移动存储设备都做一次查杀。
4.1 木马新技术反弹端口的问题
我们在封闭了某个端口之后,能有效地阻断使用该端口的嫌疑代码。但是新一代的木马已经具有了“反弹端口”的功能,它能随时变换,使用尚未封闭的端口。解决这个问题需要进一步的智能化的防火墙,以及配合其他的有效的防护措施,比如使用“隔离网闸”等新技术。
5.结论
我在学校计算机房工作多年,但是对于防火墙的应用只是有一些粗浅的概念。通过撰写毕业论文,我加强了学习,明白了防火墙的基本原理和主要类型,对当前市场的主流产品有一定的了解。我学到了在校园网里使用防火墙的方法。并且通过动手实验,按照指导书我能够完成对防火墙的配置。实践能力有了很大的提高,对我今后的工作会有切实的帮助。
6. 致谢
本次设计能够顺利完成,我首先要感谢一些发表书籍的老师们和我的指导老师,使我少走了许多弯路,节省了大量的时间,可以这么快的完成。可以说,我的毕业设计的顺利完成凝聚着导师的大量心血.
另外,我还要感谢那些网上的朋友和同学,他们毫不吝啬的将自己所掌握的知识拿出来资源共享。通过这次毕业设计,我体会很多,学会是一回事,会用则就是另一回事了.以前感到自己专业技能还可以,但真正到用的时候就发现了很多缺陷,发现自己其实差距很大,还不能适应工作.为我今后指明了努力方向.
再一次,我向多方面支持和帮助过我的人表示由衷的感谢!
7. 参考文献
[1] 崔宝江、周亚建、杨义先、钮心忻? 信息安全实验指导? 北京:国防工业出版社, 2005
[2] 林海、杨晨光、顾巧论、许彦? 计算机网络安全? 北京:高等教育出版社, 2002
[3] 张琳、李璇华、高徐娇、任晓娟? 网络组建、管理与安全? 北京:人民邮电出版社, 2000
[4] Merike Kaeo著,潇湘工作室译? 网络安全性设计? 北京:科学出版社, 2000
[5] 黎洪松、裘晓峰? 网络系统集成技术及其应用? 北京:科学出版社, 1999
[6] 黄云聪、严望佳? 网络安全基础? 北京:清华大学出版社, 1999
校园网在大学英语教学中的应用
校园网在大学英语教学中的应用
校园网在大学英语教学中的应用 一、校园网在英语教学中实现的功能和产生的作用 ?功能和作用 ?资源库功能 校园网中的英语自主学习平台提供了丰富的英语学习资源,包括了英语教学中的听、说、读、写、译五个方面,内容丰富多样,不仅可以加深学生对知识的理解,拓宽学生的视野,还可以部分地代替单一的传统教学模式。 ?自主学习功能 网络资源以其灵活、开放、资源丰富、趣味性强等特点,使它在开发学习者 自主学习能力方面有很大优势。网络资源能够刺激学生去学习,它能满足不 同层次学生的不同学习需求。另外,开放的学习机会也是网络资源的优势所 在。 ?互动交流功能 网络是一种通讯工具。通过电子论坛,处于异地的师生利用网络可以实现同 步或异步交流。电子论坛在同一空间营造出一个相对个性化的教学环境,使 每个学生都可与教师充分交流,使个性化教学成为可能。在学生提问,老师 回答的同时,其他的同学也可以就此问题进行讨论,这样不仅可以实现简单 提问--回答过程,还可以培养学生讨论、交流、合作的学习模式,使得全年 级或全校范围的学生之间可以进行提问、解答、讨论,以达到集思广益,资 源共享。这样既摆脱了时间、空间上的限制,也可以缓解人力方面的不足,使教师和学生、学生和学生之间可同时传播大量信息,大大提高了教学质量 和效率。 ?反馈评价功能 BBS电子论坛可以记录学生提出的问题,为教师了解和分析学生的知识掌握情况提供了新的资料来源。同时,教师通过对学生提出的问题进行评估,将具有普遍意义的问题,拿到课堂上进行讲解,使所有学生都能够受益。由此,为进一步优化教学,提高教学质量打下基础。 ?信息功能 教师可以发布信息,指导各种课程相关活动,确定新的学习任务,进行教学指导。 ?发展趋势 在丰富和完善校园网络学习资源的基础之上,我们可以进一步利用网络,开 设网上课程。除了校内的自主学习课程之外,还可以开设远程教育课程、培 训课程和一些趣味性课程等。 二、校园网上拥有的英语教学资源 校园网上的英语教学资源主要包括以下几个方面: 网上教室、综合训练、在线测试、实用英语、中外 文化、课外学习、
校园网络资源服务器解决方案
校园网络资源服务器解决方案 目前,大型校园网被越来越多的各类大学或重点中学采用。D-Link大型校园网方案就是根据大规模校园网络的需求特点推出的运营型解决方案。 针对大型学校的网络规模和应用层次,D-Link解决方案的主干采用了千兆位三层交换技术,网络中心用核心路由交换机连接,向下实现千兆到桌面,向上则灵活接入城域网和Internet,建立了完整的分布式路由交换体系。 部署网络核心 在此方案中选用了D-Link DES-7600核心路由交换机。 首先,DES-7600采用240Gbps的交换背板,能够在只有5U高度的模块化机箱中最大提供448个快速以太网端口加4个千兆端口或60个千兆端口。支持CWDM(粗波分复用)光纤链路,提供单根光缆8个千兆主干链接,从而使网络容量大幅扩展。 其次,DES-7600的1个机箱可同时支持两片交换控制模块,并且在两片交换控制模块上实现了负载均衡,而且还支持冗余的电源和风扇,所有的模块都支持热插拔,保证网络7×24×365不间断运行。DES-7600提供基于硬件的无缝保护系统(HPS)和虚拟路由器冗余协议(VRRP)。另外,D-Link DES-7600交换机支持生成树/快速生成树、端口聚合等标准链路冗余功能特性。 再次,D-Link DES-7600提供了基于策略的IP过滤功能,支持NAT、RADIUS、TACACS/TACACS+认证方式,部署了与电信级网络同等的可靠性和冗余特性,DES-7600是关键任务网络大多数需求点的理想选择。 从网络中心到各分中心 接入层交换机选用D-Link千兆三层交换机DGS-3324SRi。DGS-3324SRi可堆叠6台DGS-3324SR交换机,内置24个千兆铜缆端口,8个组合式SFP插槽,120Gbps堆叠带宽,支持冗余电源。 DGS-3324SRi交换机是一款功能丰富的三层交换机,既可以作为堆叠主交换机,又可以作为有24口铜缆及光纤连接的高端口密度千兆交换机。这款交换机可以作为高性能的扩展交换构架和D-Link的DGS-3324SR堆叠交换机一起工作,并且把堆叠互连带宽从20Gbps 提高到120Gbps。 从分中心到建筑物终端 这一步骤直接影响到终端用户在使用和管理中的感受,因此采用了D-Link新近推出的一款可堆叠三层交换机DGS-3324SR,其背板带宽可达88Gbps,拥有4个小型SPF(Mini GBIC) 插槽端口、2个10G堆叠专用端口,另外还有24个10/100/1000M铜缆端口,每个铜缆端口均支持自适应与MDI/MDI-X缆线自适应。
校园网络需求分析报告
校园网络需求分析 一. 网络环境需求分析 校园网的建设能促进教师和学生尽快提高应用信息技术的水平,为学生提供了一个实践的环境,为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。校园网是学校进行教学改革、推行素质教育的一种必不可少的工具,是学校现代化信息管理的基础,也提供了学校与外界交流的窗口。然而,校园网络管理应用系统支持的是一个不断多元化的网络应用系统设备组合,用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的,自觉而透明的,从而具备较强的扩展性。所以,这需要学校和我们共同设计建成一个先进的多媒体校园网络系统而努力。这方面的需求不同学校有着明显不同,大体都可以分为,教学、办公、服务这四方面应用。如对教学、科研方面的网络设计应考虑稳定、扩展、安全等问题;办公、服务等带宽是要着重考虑的方面,所以学校应该根据自己的实际情况来考虑网络的结构,及安全问题。 二. 网络目标需求分析 2.1网络设计需求分析 学院的校园网建设目标是:实现校内数据资源共享,并能与INTERNET相连,使得校内多个信息点计算机通过校内网能访问INTERNET。在此基础上能满足教学、科研和管理工作的需要,并能开发建设各类教学资源库与应用系统,为教师、学生及住户提供充分的网路信息服务。建设好网络在能满足当前实际需求的基础上,其功能和规模还要能适应未来校园网的升级改造和后期工程的建设 2.2网络功能需求分析 1、信息交流:提供Internet连接及校内信息服务; 2、教学服务:多媒体教学资源、电子备课、电子阅览、远程教学; 3、学生学习:网上学习、班级网页、成绩反馈; 4、学校管理: 无纸化办公、成绩管理、学籍管理、财务管理、图书馆管理、后勤管理等。 2.3组网技术分析 在校园网校区网络的建设中,主干网选择何种网络技术对网络建设的成功与否
防火墙技术原理及其在校园网中的应用方案设计
网络与信息管理课程论文 通信3G二班李项京 2011年11月29号
防火墙技术原理及其在校园网中的应用方案设计 摘要:详细介绍了防火墙的原理和实现方法,结合实际从校园防火墙的设计方案中论证防火墙在校园网中的应用的必要性。 关键词:防火墙,校园网防火墙设计 一、引言: 1、网络安全分析 互联网的发展已经深入到社会生活的各个方面。对个人而言,互联网改变了人们的生活方式;对企业而言,互联网改变了企业传统的营销方式及其内部管理机制。虽然一切便利都源于互联网,但是一切安全隐患也来自互联网。互联网设计之初,只考虑到相互的兼容和互通,并没有考虑到随之而来的一系列安全问题,伴随互联网的迅速发展,网络安全问题越来越严峻。 计算机网络犯罪所造成的经济损失令人吃惊。仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。在全球平均每二十秒就发生一次网上入侵事件。1998年起,一连串的网络非法入侵改变了中国网络安全犯罪“一片空白”的历史。据公安部的资料,近期每年中国破获电脑黑客案件数百起,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。与计算机病毒相类似,黑客攻击方法的种类不断增加,总数已达近千种。 那么,影响网络安全的主要因素有哪些呢?从技术的角度归纳起来,主要有以下几点: 黑客的攻击黑客技术不再是一种高深莫测的技术,并逐渐被越来越多的人掌握。目前,世界上有20多万个免费的黑客网站,这些站点从系统漏洞入手,介绍网络攻击的方法和各种攻击软件的使用,这样,系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,这些都使得黑客攻击具有隐蔽性好,“杀伤力”强的特点,构成了网络安全的主要威胁。 网络的缺陷因特网在设计之初对共享性和开放性的强调,使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输,基本没有考虑安全问题,故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷,从而构成了对网络安全的重要隐患。
校园网现状及运用发展
校园网现状及运用发展 The Standardization Office was revised on the afternoon of December 13, 2020
仪征市新城中学校园网现状及运用发展 教育现代化已全面启动,全市各校均在大力提高学校的信息技术应用能力,努力构建新型实用的数字校园,在这样一个大的背景下,我校校园网络也已经初具规模,现在就我校的现状及发展做一些探讨。 一、我校校园网建设指导思想: 1、依托校园网平台宣传学校办学特色和办学成就,扩大学校对外影响力。 2、构建资源型校园网,以教学资源建设为中心,服务于教育教学。 3、提升校园网信息管理功能,实现学校管理信息化。 4、整合校内外优势资源,在学习交流中提高自身,努力将我校校园网建设成为具有品牌效应的网站。 二、我校校园网现状: 我校校园网络采用星型结构拓扑,楼宇间采用光纤相连,可支持百兆的应用需求。我校目前拥有web服务器一台,主要用于架设学校网站;FTP服务器一台,用于教师的文件存储(有容量大小限制);我校校园网实现了结构模块化、上传下载、远程管理等自动化管理功能,构建了教师论坛、教师博客等板块。学校校园网站、FTP服务为校园办公和教育教学带来了极大的便利,取得了显着成效。 在今年的上半年,我校又进行了网络安全方面的调整,原来整个校区都是在一个网段内,经常受到ARP的攻击,导致网络速度非常的慢,现在经过调整,每个办公室都在一个单独的网段内,ARP的攻击已经不能对学校造成很大的影响。 三、我校校园网建设规划: (一)硬件投入是基础,专人负责是保障 数字校园需要建立在以校园网、计算机、多媒体设备的基础上实施,因此需要特别重视现代教育技术设备的投入,我校应将继续投入设备争取全面启用邮件服务,文件服务,网络统一杀毒服务,ISA代理上网服务,,补丁服务,互联网上网监控服务,数据库服务,VPN等服务等,这是打造数字校园的前提条件。 另外,信息化建设是系统复杂的工作,必须由专人统筹协调开展工作。只有设立专职人员,才能为打造数字校园提供充足的智力支持。 (二)、大力提升教师队伍信息化意识和素养 数字校园的建设需要教育理念、教育体制、教学模式的变革,数字校园的功能能否得到充分发挥,取决于师资队伍的信息化意识和素养。我校应不断强化管理,根据实际制定了一系列规章制度,如《信息中心工作职责》、《电教设备使用管理制度》等,明确要求,落实责任,对教师在课堂教学中使用现代教育计算机手段提出明确的要求,以规范的管理促进课堂教学信息化。 另外要建立高素质的教师队伍,保证信息技术的可持续发展。着力建设三支队伍:一支保证学校可持续发展的高素质的专业化信息技术团队,一支信息技术应用
简单校园网设计与实现
****课程设计说明书 学院名称:计算机与信息工程学院班级名称:网工131 学生姓名:***** 学号:2013211509 题目:简单校园网的设计与实现指导教师 姓名:****** 起止日期:2015.06.23-2015.06.25
计算机网络课程设计任务书
正文部分 1.选题背景 随着现代化教学活动的开展和与国内外教学机构交往的增多,对通过Internet网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥学生的创造力,校园网络建设成为现代教育机构的必然选择。 本校园网是学校发展的重要基础设施,是提高学校教学和科研水平不可缺少的支撑环境。校园网一方面它为学校提供各种本地网络应用,另一方面它是沟通学校校园网内外部网络的桥梁。 通过实践和结合有关学校网络的实际情况进行了系统分析,我们就校园网的建设构建比较切实可行的设计方案。根据小组的实地调查,我校现占地1500余亩,现有在校生14000多名,教职员工800多名。学校主要建筑分布如下图1-1所示。 图1-1学校主要建筑分布图 2.方案论证 本校园网将采用三层交换技术,三层交换机技术与传统的路由技术不同,传统的路由技术是通过一定的路由算法来选择到达各个子网的最佳路径,实现路由选择和网络的
互连;而三层交换机技术是利用第三层(网络层)中的IP数据的包头信息来加强二层交换,以便解决路由技术中转发效率较低的技术“瓶颈”。本校园网的组建中,中心(核心)交换机选择支持三层交换技术的交换机,同一VLAN之间的数据包传输直接由内网普通交换机来实现,不需要经过核心交换机,不同VLAN之间的数据包传输则经过三层交换机实现交换技术,可以减轻核心交换机的负担,提高网络利用效率。 在搭建网络环境时,使用了服务器连接核心交换机,三层交换机也可通过路由器连接外网进行通信,在局域网内二层交换机使用六个普通交换机分给不同的建筑,每个建筑内使用一台主机代表一个部门,同一个部门划分为一个独立的子网,一个子网使用一个vlan,交换机之间采用交叉线通过trunk链路进行网内、网间数据传输,交换机与主机之间采用直通线相连。 3.过程论述 3.1校园网IP地址规划 根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,将IP 地址规划遵循如下原则来设计: (1)服务器区采用私IP地址,NAT后供人员远程访问; (2)与internet 互联设备IP地址采用真实IP地址; (3)部分内部互连采用私有IP地址。 3.2校园网络拓扑图 参考上述设计方案,通过Tracket Packer仿真软件实现方案的具体规划,使用相应的网络配置命令,模拟真实的校园网网络环境,使用了一个三层交换机,一个服务器,六个普通交换机,十二台主机,交换机与主机之间使用直通线相连,交换机与交换机之间使用交叉线相连。具体的校园网模拟环境如下图3-2所示。
防火墙在校园网中的应用
第一章绪论 1.1引言 科学技术的飞速发展,人们已经生活在信息时代。计算机技术和网络技术深入到社会的各个领域,因特网把“地球村”的居民紧密地连在了一起。近年来因特网的飞速发展,给人们的生活带来了全新地感受,人类社会各种活动对信息网络地依赖程度已经越来越大。然而,凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。 1.2研究现状 因特网提供给人们的不仅仅是精彩,还无时无刻地存在各种各样的危险和陷阱。对此,我们既不能对那些潜在的危险不予重视,遭受不必要的损失;也不能因为害怕某些危险而拒绝因特网的各种有益的服务,对个人来说这样会失去了了解世界、展示自己的场所,对企业来说还失去了拓展业务、提高服务、增强竞争力的机会。不断地提高自身网络的安全才是行之有效地办法。 1.3课题意义 安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当局域网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术如图1-1。 图1-1防火墙(Firewall)技术图
1.3 网络安全技术 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。 网络安全技术分为:虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。 其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan,但是其安全漏洞相对更多,如IP sweep, teardrop, sync-flood, IP spoofing攻击等。 防火墙枝术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。防火墙的分类有包过滤型、地址转换型、代理型、以及检测型。 病毒防护技术是指阻止病毒的传播、检查和清除病毒、对病毒数据库进行升级、同时在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装 入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的技术。是一种用于检测计算机网络中违反安全策略行为的技术。 安全扫描技术是为管理员能够及时了解网络中存在的安全漏洞,并采取相应防范措施,从而降低网络的安全风险而发展起来的一种安全技术。 认证和数字签名技术,其中的认证技术主要解决网络通讯过程中通讯双方的身份认可,而数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 VPN技术就是在公网上利用随到技术来传输数据。但是由于是在公网上进行传输数据,所以有一定的不安全性。 应用系统的安全技术主要有域名服务、Web Server应用安全、电子邮件系统安全和操作系统安全。 1.4 防火墙介绍 防火墙(Firewall)是一种网络边防产品,是在可信网络与不可信网络之间构筑的一道防线,是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙监控可信网络和不可信网络之间的访问渠道,防止外部网络的危险蔓延到内部网络上。 从而是一种获取安全的形象说法,它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙的基本功能是对网络通信进行筛选和屏蔽,以防止未经授权的访问进出计算机网络,具体表现为:过滤进出网络数据;管理进出网络访问;封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警等。防火墙外形如图1-2:
校园网客户端使用说明
附件: 校园网客户端使用说明 目录 一、电脑客户端安装说明 (2) 1.选择上网方式-有线、无线:选择完成下面其中一步即可。 (2) 2.打开非校内网页:如百度(https://www.360docs.net/doc/7c3151347.html,) (2) 3.在http://172.16.94.34页面点击下载对应系统的客户端 (3) 4.安装客户端 (3) 二、登陆客户端:学号/手机号/工号+@xnzf1(最后一位是数字1) (4) 三、关于充值缴费:请打开自服务系统 (5) 四、安卓手机或者安卓平板安装客户端说明: (7) 1.连接上无线网络: (7) 2.安装安卓客户端:点击安装客户端,并信任程序! (8) 3.登陆客户端: (8) 五、苹果手机或者苹果平板客户端安装说明: (8) 1.连接上无线网络: (8) 2.安装苹果客户端:点击安装客户端,并信任程序! (9) 3.登陆客户端: (9) 六、常见故障解决办法 (10) 任何问题,请先按如下步骤处理,如果不行,在按对应问题根据以下解决方法解决 10 系统未准备好,请检查网络连通性。 (10) 弹出提示:发现您正在使用以下代理软件: (10) 弹出提示:发现您修改了网卡MAC地址。 (11) 登陆后,一直处于正在登陆状态,无法成功登陆。然后提示“连接认证服务器超时”。 14 客户端页面无法自动显示,通知栏出现两个客户端图标(一个彩色一个黑白)。 15 弹出提示:https://www.360docs.net/doc/7c3151347.html,运行环境初始化失败105。 (15) 能登上客户端,但是打不开网页! (15) Win客户端提示“找不到drcomfigure文件” (16) 经常掉线,但无任何提示 (16) 七、校园网使用路由器设置方法 (16) 关闭路由功能(AP模式) (16) 关闭DHCP服务器 (16) 设置路由器信号名称、连接密码 (16) 举例:设置无线路由器方法 (16)
校园网建设和应用情况
校园网建设和应用情况 我校自2000年建校以来,投入了大量资金全面构建数字化校园网络,大力推进全校师生对校园网资源的有效应用。到目前为止,已经建设好以万兆主干网络为基础平台,以校园网应用为主线,以实现广泛的教育资源共享、提高教育教学的现代化水平为目的学校校园网络。 一、校园主干网络及基本情况 1、出口情况: 我校校园网络现有因特网出口3.3G,其中联通线路3条,移动线路2条。 2、校园网建设情况: 我校建立了标准的网络中心,采用基于万兆以太网作为校园网骨干,防火墙采用Hillstone SG-6000-M8260,核心交换机采用锐捷的RG-12010模块化交换机,具备高容量、无阻塞、优质的管理能力和易扩展等特点。汇聚层交换机和主干核心交换机之间通过万兆和千光纤连接,汇聚层交换机采用的全部为万兆级别高性能交换机,组成快速以太工作组网。我校现有信息点10000多个,网络交换机合计500多台,网络信息点覆盖全校所有教室、办公室、电子阅览室、机房等,网络扩展到整个校园。另外我校校园网所有上网用户(含学生)全部实名制上网,使用的认证设备为城市热点https://www.360docs.net/doc/7c3151347.html,2166,使用的审计设备是网康ns25000。 二、网络服务器和教学用计算机情况 我校在不断加大网络硬件投入的同时,还针对教学资源网络平台建设的需求单独划拨了经费,购买了专门为教学资源平台使用的服务
器、磁盘阵列等,今先后购买了IBM3850等高性能服务器10多台、高性能磁盘阵列6台、高性能小型机1台以及其它必须的网络设备,并全面实现了硬件资源的虚拟化。这些硬件的建设为我校教学资源平台的建设提供了良好的支持,使我校的教学资源为我校学生提供了良好的服务。学校现有教学用网络机房20余个,560台的大型电子阅览室一个。在日常办公和管理中基本实现办公和教学的自动化和无纸化,计算机和校园网络功能利用率较高。教师人人配置笔记本电脑,广泛运用现代教育技术手段,实现计算机辅助教学,极大的提高了课堂教学效率。 三、校园网管理和资源应用情况 (一)教学管理信息化、网络化 教学管理是我校教学中的一个重要环节,它直接影响着教学质量与管理水平,而校园网络为教学管理提供了先进的技术支持与应用环境。校园网改进了教学信息原来的手工收集与整理方式,信息能及时、准确、全面地反映实际情况,提高了教学信息的传递与反馈速度,各教学行政部门、教学秘书及学生可以在同一平台上进行沟通,并且学校领导可以随时掌握教学工作中各个环节的动态信息,使学校的各项决策更加科学化、规范化。 2009年开始我校建设了数字化校园。通过数字化校园的建设,针对数据交换需求,搭建数据整合与清洗平台,将教务系统、选修课、图书馆电子资源等教学平台有机的结合到一期,实现校内系统的数据资原共享。搭建统一身份认证管理,实现系统单点登录。搭建统一信息门户平台,实现为师生提供一站式的信息服务。搭建统一支付平台,实现网上缴纳校内的各类小额项目费用。最终为学生从进校、在校学习直至毕业离校的整个过程提供一系列信息服务;为教职工提供一个高效、快捷的服务平台;为学校的教学和科研提供一个资源共享的平台。
校园网络的设计与仿真V5.0
题目(中文) (英文)
摘要 随着internet技术的快速进步,根据国家科教兴国的策略,众多的学校合并,联网,共享资源;使它们互连起来成为一个整体满足教学、科研、办公自动化和信息化建设的需求。结合实际及当前成熟的网络技术,我们规划设计了一个具有高可靠性和开放性的校园网络。本设计可以方便的将学校的各个办公室、计算机机房和网络设备连接起来、把各教学楼有机的连接起来,使校园内所有的计算机互相之间能进行访问,达到资源共享、适应新形式下基于INTERNET的远程教育需要。在这次设计中,我们使用了思科路由器交换机模拟器Packet Tracer 仿真模拟了中学校园网的规划设计并做设计方案。在设计中运用了NAT,DHCP,RIP,ACL,GRE-VPN,STP端口安全等网络技术,满足了学校对校园网的各种需求。 关键词:远程教育、办公自动化、地址转换NAT、DHCP
Abstract With the rapid advancement of internet technology, according to the national strategy of rejuvenating the country, many of the school consolidation, networking, sharing of resources; make them interconnected as a whole to meet the needs of teaching, research, office automation and information construction. Combined with practical and current mature network technology, we plan to design a high reliability and openness of the campus network. This design can easily be each school's office, computer room and network devices connected together, the various school buildings organically linked, so that all the computers on campus can be accessed from each other, sharing resources, adapt to the new form based on INTERNET distance education needs. In this design, we used Cisco routers and switches simulator Packet Tracer simulation of the high school campus network planning and design and make design. Use of NAT, DHCP, RIP, ACL, GRE-VPN, STP port security and other networking technologies in the design to meet the various needs of the school campus network. Keywords: distance education, office automation, address translation NAT, DHCP
校园网防火墙设计
网络系统设计之防火墙设计 防火墙——需求分析 1、首先分析网络拓扑结构和需要保护的内容 网络拓扑结构是否存在不合理 总线型拓扑结构的缺点: (1) 总线拓扑的网不是集中控制,故障检测需在网上各个站点进行,使故障诊断困难。 (2) 如果传输介质损坏整个网络将不可瘫痪。 (3) 在总线的干线基础上扩充,可采用中继器,但此时需重新配置,包括电缆长度的剪 裁,终端 器的调整等。 (4) 接在总线上的站点要有介质访问控制功能,因此站点必须具有智能,从而增加了站 点的硬件 和软件费用。 (5) 所有的工作站通信均通过一条共用的总线,导致实时性很差。 环型拓扑的缺点: (1) 扩充环的配置比较困难,同样要关掉一部分已接入网的站点也不容易。 (2) 由于信息是串行穿过多个节点环路接口,当节点过多时,影响传输效率,使网络响 应时间变长。但当网络确定时,其延时固定,实时性强。 (3) 环上每个节点接到数据后,要负责将它发送至环上,这意味着要同时考虑访问控制 协议。节点发送数据前,必须事先知道传输介质对它是可用的。 环型网结构比较适合于实时信息处理系统和工厂自动化系统。 FDDI(Fiber Distributed Data Interface)是环型结构的一种典型网络,在二十世纪九十年代中期,就已达到100Mbps 至200Mbps 的传输速率。但在近期,该种网络没有什么发展,已经很少采用。 树型网的缺点: (1) 除叶节点及其相连的链路外,任何一个工作站或链路产生故障都会影响整个网络系 统的正常运行。 (2) 对根的依赖性太大,如果根发生故障,则全网不能正常工作。因此这种结构的可靠 性问题和星型结构相似。 星型结构的缺点: (1) 一条通信线路只被该线路上的中央节点和一个站点使用,因此线路利用率不高; (2) 中央节点负荷太重,而且当中央节点产生故障时,全网不能工作,所以对中央节点 的可靠性和冗余度要求很高。 (3) 电缆长度和安装:星型拓扑中每个站点直接和中央节点相连,需要大量电缆,电缆 沟、维护、安装等一系列问题会产生,因此而增加的费用相当可观。 星型拓扑结构广泛应用于网络中智能集中于中央节点的场合。从目前的趋势看,计算机的发展已从集中的主机系统发展到大量功能很强的微型机和工作站,在这种环境下,星
关于校园网使用心得体会
关于校园网使用心得体会 我认为当前的各种教学媒体和手段应该是各有长处的,在教学过程中应该让它们都有机会来充分展示各自的特长,做到优势互补。 校园网是一种重要的教育教学工具,它在师生的认知、交流及学校的管理等过程中都具有很多良好的特性,但我们不能因此就排拆其他教学手段的使用,而应该让各种媒体和教学手段的特长能恰到好处地得到发挥。因此,我们在进行教室环境的设计时不但配备了电脑、白板等现代化的教学设施,而且继续保留了传统的黑板。这不仅仅是我们出于要应付停电这样的实际情况的考虑,更重要的是体现了我们对正确发挥各种教学手段优势的思考。我们认为,使用现代化的教学设施并不是要全面取代一切的传统教学手段,实际上也是不可能完全取代的,因为并不是所有的教学内容都需要采用多媒体或电脑来进行“辅助”才能获得最好的教学效果,相反的,如果能根据学科的特点及不同的教学内容,恰当地选用合理的教学媒体和手段,往往可能还会收到更好的效果。 在现实生活中,一种工具如能被大众所普遍接受并乐于使用,往往都具有易于使用并能给实际工作和生活带来一定的方便和效益等特点,否则就可能是很难得以普及和推广的。校园网作为一种先进和重要的教育教学工具,其中要实
现的一个重要目的就是要让各种资源做到广泛的共享。 要真正让师生们在备课和教学等过程中乐于使用,避免使设备变成为一种摆设,很重要的一个方面就是取决于能否让师生们拥有既是内容丰富实用又能方便灵活获取的各种教学素材等资源。较专业性的教育教学软件资源库目前正在构建并会在不久的将来向师生们全面提供,所有这些资源的构建都将以方便和满足教师在备课、教学、提高工作效益和学生在基于网络的个性化自主学习等过程中的实际需要为重要目标,并将会随着校园网应用的不断深入而进行及时的充实、更新和完善,它们将有效地促使着“让师生们广泛、自觉并真正地乐于使用校园网”这个设计目标的实现。 要让校园网成为全体师生及校友间进行日常信息交流和相互沟通的重要场所人类社会是需要交流的,网络的另一个重要作用就是要满足人们在信息时代下实现跨越时空的快捷、方便、广泛的沟通和交流的需要,这也是网络的二大主要功能之一。要让观念在‘高效率、轻负担’的良好感受中自然形成 我认为,在环境、资源等良好的外部条件基本形成之后,影响人们实际使用的主要因素就是人的观念问题,特别是全体教师的观念问题,这个问题如果不能有效的得到解决,现代化的教育技术和设施就不但难以给他们带来什么好处,而且还会造成教育资源的严重浪费,并最终将导致校园网建设
防火墙分析及校园网防火墙选择
防火墙分析及校园网防火墙选择 主流防火墙分析报告 一.防火墙产品类型发展趋势 防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。 (一.)包过滤防火墙 传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。 (二.)应用代理防火墙 应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代
理过渡以方便用户的使用。 (三.)混合型防火墙(Hybrid) 由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。 (四.)全状态检测防火墙(Full State Inspection) 这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据Checkpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。 (五.)自适应代理防火墙 这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需
计算机网络技术在教育教学中的运用
计算机网络技术在教育教学中的运用 摘要:在当今信息技术迅猛发展的趋势下,中学信息技术教师如何在教育教学中发挥作用是一个新的问题,就此做了一些探讨。当今信息技术发展呈现出极其迅猛的趋势,如量子器件、生物芯片、真空微电子技术、纳米技术、微电子机械系乃至贮量达到每立方毫米100万G的生物芯片等;数字技术促进音视频、通信和计算机技术的融合,出现了业务上相互渗透、汇合;传感技术、测量技术与通信技术相结合而产生的遥感技术,更使人感知信息的能力得到进一步的加强。“高速大容量”“综合集成”“网络化”是必然趋势。人类将全面进入信息时代。信息将成为知识经济社会中最重要的资源和竞争要素。信息技术也必将适应于现代社会的需求,变得更加灵活,更加融合于现代社会,更加满足于人们的生活。 关键词:信息技术;教师;作用 在二十一世纪的今天,电脑网络教学——是教育教学改革的需要,是适应现代化教学的需要。电脑网络教学也是素质教育的一个重要环节,新课程改革的需要。有关电脑网络教学的问题,在我近两年来电脑教学实践中摸索并探究一些经验和问题。下面来谈谈自己的一点看法。 一、教师素质必须提高 现代化的教育手段给教师提出一个新的任务,那就是随着科学技术的发展教师的素质也在随之提高,以达到与时代同步,适应社会的发展需要。电脑网络教学在中小学《信息技术》课程中的应用,促使教师必须掌握和运用电脑技术,一方面提高本身素质,另一方面可以拓宽学生的思维想象能力,让学生插上想象的翅膀,培养新世纪的德、智、体、美、劳全面合格人才。 我在教信息技术课程的过程中,也遇到很多困难。如,在多媒体电脑教室给学生上课时,有时学生机操作系统出故障,缺少某一程序,电脑无法启动,就得重新安装操作系统,那就是进行网络拷贝。对这一技术,我刚开始接触,操作时不是很熟练,通过同事指导,自己虚心学习后,基本上运用自如。从此看来,光是掌握电脑的一般操作还是不够的,还得对电脑在正常使用中,学会软硬件的维护和维修的技能技巧。才能真正把多媒体电脑网络教室充分发挥它的作用。 我在信息技术课程教学过程中,按照《信息技术》课本的内容,简明扼要的说明主要内容后,最主要是让学生自己多操作,多练习,在操作中掌握要领,在操作中掌握技能技巧,让学生动手动脑,充分发挥学生的想象能力和创新能力。在网络知识海洋中自由地飞翔,打开知识宝库的大门,去探索知识的宝库,找到自己要学习的知识,这就是头脑风暴——根据问题,去寻找问题的多个答案。 二、作为信息技术课程的教学实施者的作用 中学信息技术课程的主要任务是培养学生良好的信息素养,让学生了解和掌握信息技术的基本知识和技能;了解信息技术的发展及其应用对人类日常生活和科学技术的影响。通过信息技术课程使学生具有信息获取、传输、处理和应用的能力,教育学生正确认识和理解与信息技术相关的文化、伦理和社会等问题,负责任地使用信息技术。作为信息技术课程教学实施者,信息技术教师在教学设计中应该充分考虑到学生在认知能力上的差别,充分考虑到现今信息技术的发展来进行课程的开发与建设,努力使学生具备自主探索学习信息技术的能力。信息技术教师应该积极参与到新课程改革的实践中去,运用信息技术研究创造性学习
校园网网络构建方案设计与实现
一、实验目的: (1 )计算机网络是一门实践性较强的技术,课堂教学应该和实践环节紧密结合。应该通过计算机网络实验培养学生具有独立进行计算机网络架构和设计能力,提高学生的网络设备使 用水平,以及将理论与实践相结合的能力。 (2)培养学生一定的自学能力和独立分析问题、解决问题的能力。包括学会自己分析解决问题的方法,对设计中遇到的问题,能通过独立思考、查阅工具书、参考文献,寻找解决方案。 (3 )初步掌握计算机网络分析和设计的基本方法。通过分析具体设计任务,确定方案,画出具体的网络拓扑结构图,并写出具体配置步骤情况,提交正式课程设计总结报告打印及电 子稿一份; (4)培养学生分析、解决问题的能力; (5)提高学生的软件文档写作能力。 二、实验器材: 路由器若干,交换机若干,PC机若干,线缆若干。 三、实验任务及要求: (1)校园网或园区网方案设计; (2)要求有拓扑图和路由器或交换机配置; (3)要用到VLAN, NAT; (4 )结合实验室条件,完成需求分析; (5)列出实验所需设备,完成网络拓扑结构图; (6)利用Cisco packet tracer软件仿真,模拟实验环境下完成设备的具体配置; (7 )调试验证 四、需求分析:随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的, 也是可行的。主要表现在: (1)当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。 (2)教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾 驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按 照自己的速度发展。 (3 )我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。 (4)现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法, 教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网 络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问, 校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问 题的基本工具。 (5)随着经济发展,我国各级学校对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断
浅谈防火墙的研究及其在校园网中的应用____梁伟
北京华夏管理学院 毕业论文 文理学院计算机专业 课题名称浅谈校园网防火墙实用技术 学生姓名梁伟 学生班级计算机 指导老师付春霞 起讫日期 2011.2-2011.4 2011年4月23日
目录 1. 防火墙的基本原理和主要类型 (4) 1.2 包过滤式防火墙 (5) 1.3 代理式防火墙 (6) 1.4 状态检测防火墙 (6) 1.5 防火墙的主流产品 (6) 2. 防火墙在校园网中的应用 (8) 2.2 防火墙的边界防护功能 (8) 2.3 防火墙的NAT功能 (9) 2.4 防火墙的防毒功能 (9) 3. 防火墙的配置方法 (9) 3.1 配置工作站的连接 (9) 3.4 测试连通性 (12) 3.5 配置备份防火墙 (14) 3.6 配置访问控制列表和嫌疑代码过滤 (17) 4. 防火墙应用中的若干问题及改进设想 (18) 4.1 木马新技术反弹端口的问题 (18) 5.结论 (19) 6. 致谢 (19) 7. 参考文献 (19)
Campus network firewall practical techniques analysed Abstract: This paper lists the firewall basic principles and major types, and the current market a mainstream product. This article discussed in the method of using a firewall network. I combined with itself in the school of computer rooms, many years work experience in accordance with instructions for hands-on experiment, complete steps of the firewall configuration. Through the study, the practice ability has improved a lot, on my future will have practical help. Keywords: firewall; Campus network; Information security; Network security; Topology; Configuration; Practical technology 浅谈校园网防火墙实用技术 摘要 本文列举了防火墙的基本原理和主要类型,以及当前市场的主流产品。本文讨论了在校园网里使用防火墙的方法。我结合自己在学校计算机房的多年工作经验,按照指导书的步骤动手实验,完成对防火墙的配置。通过学习,实践能力有了很大的提高,对我今后的工作会有切实的帮助。 关键词防火墙;校园网;信息安全;网络安全;拓扑;配置;实用技术