校园网安全整体解决方案设计
封面
成都信息工程学院
课程设计
校园网安全整体解决方案设计
作者姓名:纪红
班级:信安08.4
学号:2008122127
指导教师:王祖俪
日期:2011年 12月10日
校园网安全整体解决方案设计
摘要
随着计算机网络技术的飞速发展,网络技术越来受到人们的重视,它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境,是校园网络科学化、正规化的重要条件,也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境,能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。
本设计详细分析了校园网的安全问题,本文在分析校园网原有的网络安全防范措施的基础上,针对校园网在运行中所遇到的实际问题,本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调试运行,总结,及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,防火墙等了解它们在校园网中的使用情况,及基本的配置过程,对电子邮件过滤检测,入侵检测,病毒监测,防火墙设置等多方面做了相应的综合性安全解决方案。
关键字:校园网系统,管理,设置,软件维护,邮件过滤,入侵监测,防火墙
目录
1 引言 (1)
1.1课题背景 (1)
1.2高校校园网的网络现状 (1)
1.3校园网安全问题分析 (2)
1.4校园网安全问题存在的原因 (3)
2安全解决方案设计 (4)
2.1需求分析 (4)
2.3网络设计原则 (4)
2.4网络拓扑图 (5)
2.5安全设计原则 (5)
3.功能设计 (6)
3.1防火墙设置 (6)
3.1.1部署防火墙 (6)
3.2建立入侵检测系统 (9)
3.3建立漏洞管理系统 (10)
3.4建立网络防病毒系统 (11)
3.5IP盗用问题的解决 (11)
3.6采用系统升级策略 (12)
3.7利用网络监听维护子网系统安全 (13)
3.8建立良好的管理体系 (13)
3.9部署W EB,E MAIL,BBS的安全监测系统 (13)
3.10部署内容安全管理系统 (15)
3.11使用校园网用户认证计费管理系统 (15)
4.代码实现部分 .......................................................................... 错误!未定义书签。
5.参考文献 (17)
1 引言
1.1 课题背景
随着近年来网络安全事件不断地发生,安全问题也成为了IT业的一个热点,安全问题对于学校的发展也越来越重要。安全问题已经成为影响校园网平台的稳定性和正常提供网络服务的一个严重问题,所以提升校园网络自身的安全性也成为学校增强竞争力的重要方面之一。同样,随着网络技术的迅猛发展和因特网的普及,网络概念已不再局限于某些领域,而是深入到社会的各个组成部分,形成了一个初具规模的网络社会。不过,同其他一些高科技类似,网络技术在丰富人们生活、产生实际的经济效益的同时,也给人们带来了诸多负面的影响。大家可以看到,自Internet问世以来,资源共享和信息安全一直作为一对矛盾体而存在着,计算机网络资源共享的进一步加强随之而来的信息安全问题也日益突出。
局域网是互联网的一种主要的存在方式和组成部分,局域网的安全问题在某种意义上反映了几乎所有的安全问题。学校校园网作为一个局域网,也面对这一系列的安全问题,在这里我们讲讨论一下校园网的安全措施。
1.2 高校校园网的网络现状
教育的信息化是当今世界教育改革的重要思潮之一,是时代的要求,也是素质教育的需要。学校近年来大力实施现代化教育技术工程:以电脑网络为基础,以图书馆、电教中心为信息源,以数字化为模式,提高学校教育教学的档次和质量。目前,学校的校园网络已经初具规模:以光纤连接校内主要建筑,所有建筑内全部布线,校园网覆盖整个校园,同时校园网向上通过光纤联入中国教育科研网,并与 Internet 互联。但是在现有的网络设备保护下校园网网络依然存在很多问题,这些问题导致校园网络不能正常的提供良好的服务,经常给用户带来困扰。
1.3 校园网安全问题分析
经过长期的使用和观察,校园网还存在一下问题:
1、IP盗用的问题,校园网内部连接有几千台电脑,一部分电脑通过正常的申请
途径得到合法的IP地址,另一部分则不然。当某些没有IP地址的用户,冒用他人的合法IP地址时,就会造成网络内部地址的冲突,严重阻碍了合法用户的正常使用。
2、防火墙攻击,防火墙系统相关技术的发展已经比较成熟,防火墙系统很坚固,
但这只是对外的防护而已,他对于内部的防护则几乎不起什么作用。然而不幸的是,一般情况下大部分的攻击是来自局域网的内部人员。所以怎么防止来自内部的攻击是当前校园网建设中的一个非常重要的方面。
3、Email问题,由于用户安全观念的淡薄以及网上某些人的别有用心,会给校
园网的Email用户发一些不良内容的信件,有时还会携带各种各样的病毒。
因此,怎样防止有问题的信件进入校园网的Email系统也是一个待解决的问题。
4、各种服务器和网络设备的扫描和攻击,有时会有一些用户对校园网的服务器
和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务,或造成校园网不能提供正常的服务。
5、非法URL的访问的问题,对于一些反动的或不健康的站点,应当禁止校园网
用户通过校园网去访问。
6、病毒防护的问题,互联网迅猛发展使得网络运营成为社会时尚,但同时也为
病毒感染和快速传播提供了途径。病毒从网络之间传递,并在计算机没有任何防护措施的情况下运行,从而导致系统崩溃,网络瘫痪,对网络服务构成严重威胁,造成巨大损失。近阶段泛滥的“尼姆达病毒”就是典型的例子。
因此,如何让校园网更安全,防止网络遭受病毒的侵袭,已成为校园网迫切需要解决的问题。
1.4校园网安全问题存在的原因
1、虽然学校在网络入口部署了防火墙和入侵检测系统阻止了外部对学校内部网络的攻击,但是防火墙无法对学校内部从 Internet 上下载的通过 HTTP、FTP、SMTP 等形式的数据进行进一步的分析,可是一些病毒例如蠕虫病毒往往会隐藏在这些下载的文件中,一旦用户运行了这些文件,就会在整个校园网中爆发蠕虫病毒,导致网络瘫痪。
2、邮件系统保护不完善,电子邮件是学校老师和学生最常用到的功能,与此同时它也是病毒传播的重要途径。邮件病毒不但会对桌面级的系统造成如占用磁盘空间,修改或破坏文件中的数据,大量消耗系统资源等危害,还会使邮件系统本身瘫痪,消耗大量的网络资源使网络速度变慢,同时使邮件用户收到大量的垃圾邮件。
3、学校内部对 Internet 的非法访问威胁。如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;再加上使用 BT 等 P2P 软件下载电影、游戏对整个网络的带宽产生了严重的影响,使得学校的业务无法正常的开展。
4、目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。例如Windows NT/2000、Windows Server 的普遍性和可操作性使它成为最不安全的系统:自身系统安全漏洞、浏览器的漏洞、IIS 的漏洞等。
5、缺少真正意义上的功能强大的网络版杀毒软件。因为目前的杀毒软件效果不理想,或者已经被病毒干掉或者是被老师擅自卸载,而在卸载之后计算机上有的安装了盗版的杀毒软件有的没有再安装任何杀毒软件。这样一来信息办老师无法从整体上对全网的计算机进行杀毒管理和监控。图书馆、实验楼的PC机上学生经常使用U盘拷贝游戏、文档,在上课期间聊QQ、玩游戏、上网灌水聊天,甚至登陆色情、暴力、违法网站等,不务正业。图书馆、实验楼机房也病毒泛滥。虽然大部分PC都安装了还原卡,但是已经不能阻挡病毒的入侵,病毒往往能穿透还原卡和还原软件。同时大部分机器都未能及时安装系统补丁,容易被蠕虫入侵,但是目前又没有一个很好的办法来管理所有系统的补丁。
2安全解决方案设计
2.1 需求分析
针对校园网长期以来校园网络出现的各种问题,对校园网的需求提出了一下几点:
1、防止校园网外部用户对校园网内的用户进行攻击
2、校园网外部用户只能访问WWW 服务、MAIL 服务,其他服务只对校园网
内部用户开放。
3、考虑到易用性,所有服务器的操作系统采用Windows Server,WWW 服
务使用IIS。
4、需要防病毒系统
2.3网络设计原则
网络的先进性和实用性的原则:采用的硬软件系统既有技术的先进性,又有很高的性能价格比;网络的开放性和兼容性的原则:选择符合国际标准的网络硬软件产品,有很好的互换、扩展和升级能力;网络的灵活性和可靠性的原则:网络系统能够适应各种网络应用系统,易于今后向更先进的技术迁移,并且要有很好的容错能力;网络的可管理性和易维护性原则:配置网管软件,采用具有可管理的网络设备,以便合理规划网络资源和控制网络运行。整个网络应结构合理,层次划分清楚且具有相对独立性,便于管理和维护;网络系统的保密性和强有力的防病毒性。
2.4网络拓扑图
2.5安全设计原则
1.身份识别:身份识别是对网络用户、主机、应用、服务和资源的准确、积极的识别。实现它的标准技术包括验证协议,如RADIUS和TACACS+、Kerberos 和一次性密码工具。数字证书智能卡和目录服务等新技术正开始在身份识别解决方案中占越来越重要的作用。
2.外围安全/接入控制:它提供了控制到关键网络应用、数据和服务的接入的方法,以便只有合法用户和信息可通过网络。带接入控制列表和/或状态防火墙、以及专用防火墙设施的路由器和交换机提供了这种控制。病毒搜索器和内容过滤器等补充性工具也有助于控制网络外围。
3.数据专用性:当必须保护信息免遭窃听时,按需提供经验证的保密通信的
能力是十分重要的。有时,使用隧道技术,如GRE或L2TP来进行数据分离,可提供有效的数据私密性。然而,更高私密性要求常需要使用IPSec等数字加密技术和协议。在实施VPN时,这种添加的保护尤为重要。
4.安全监控:为确保网络安全,重要的是定期测试和监控安全准备状态。网络易损点搜索器可主动发现弱点领域,IDS可在发生安全事件时对其监控和响应。利用安全监控解决方案,机构可了解网络数据流和网络的安全状态。
5.策略管理。随着网络规模和复杂度的增加,对集中策略管理工具的需求也随之提高。带可分析截获、配置和监控安全策略状态的基于浏览器的用户界面的工具,提高了网络安全解决方案的可用性和有效性。除安全要求外,网络安全设计还必须具备网络弹性、性能和可扩展性。
3.功能设计
3.1防火墙设置
3.1.1部署防火墙
在需要隔离的网络区域之间部署防火墙。典型地,在 Internet 与校园网之间部署一台防火墙,成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、FTP 、 DNS 等服务器连接在防火墙的 DMZ 区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。那么,通过Internet 进来的公众用户只能访问到对外公开的一些服务(如 WWW 、 MAIL 、FTP 、 DNS 等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。
在防火墙设置上按照以下原则配置来提高网络安全性:1、根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核 IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则;
2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包,这样可以防范
源地址假冒和源路由类型的攻击;过滤掉以非法 IP 地址离开内部网络的 IP 包,防止内部网络发起的对外攻击;3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表,防止 IP 地址被盗用;4、定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
3.1.2防火墙配置
1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到电脑的一个空余串口上。
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3. 运行电脑Windows系统中的超级终端(HyperTerminal)程序(通常在“附件”程序组中)。对超级终端的配置与交换机或路由器的配置一样。
4. 当PIX防火墙进入系统后即显示“pixfirewall>”的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
6. 输入命令:configure terminal,进入全局配置模式,对系统进行初始化设置。
(1)防火墙上的基本配置代码如下:
pixfirewall# conf t
pixfirewall(config)# hostname pix
pix(config)# int e0
pix(config-if)# nameif inside
pix(config-if)# ip add 10.2.1.3 255.255.255.0
pix(config-if)# no shut
pix(config-if)# exit
pix(config)# int e1
pix(config-if)# nameif outside
pix(config-if)# ip add 192.168.1.3 255.255.255.0
pix(config-if)# no shut
pix(config-if)# exit
pix(config)# static (inside,outside) 192.168.1.4 10.2.1.4 netmask 255.255.255.255
pix(config)# access-list 100 permit icmp any any
pix(config)# access-group 100 in interface outside
(2)动态NAT配置,使内部地址通过全局地址访问Internet
pix(config)# int F0/0
pix (config-if)# ip nat inside
pix (config-if)#ip address 172.16.12.2 255.255.255.0
pix (config-if)# no shut
pix (config-if)# exit
pix (config)# int F1/0
pix (config-if)#ip address 192.168.12.10 255.255.255.0
pix (config-if)#ip nat outside
pix (config-if)# no shut
pix (config-if)# exit
pix (config)# ip nat pool natpool 192.168.12.2 192.168.12.10 netmask 255.255.255.0
pix (config)# ip nat inside source list 1 pool natpool
pix (config)#access-list 1 permit 172.16.12.2
防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
传统防火墙的不足主要体现在以下几个方面:防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对 WEB 服务的 Code Red 蠕虫等;有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为;作为网络访问控制设备,受限于功能设计,防火墙难以识别复杂的网络攻击并保存相关信息,以协助后续调查和取证工作的开展。
入侵检测系统 IDS( Intrusion Detection System)是继防火墙之后迅猛发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,及时识别入侵行为和未授权网络流量并实时报警。
IDS 弥补了防火墙的某些设计和功能缺陷,侧重网络监控,注重安全审计,适合对网络安全状态的了解,但随着网络攻击技术的发展,IDS 也面临着新的挑战:IDS 旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。IDS 无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS 无能为力;蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS 无法把攻击防御在企业网络之外。
为了弥补防火墙和IDS的缺陷,入侵保护系统 IPS(Intrusion Prevention System)作为IDS的替代产品应运而生。网络入侵防御系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
部署漏洞管理系统,能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手,在周期的不同阶段采取不同的措施,是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤:1.对用户网络中的
资产进行自动发现并按照资产重要性进行分类;自动周期对网络资产的漏洞进行评估并将结果自动发送和保存;3.采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案;4.根据漏洞修复方案,对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避;对修复完毕的漏洞进行修复确认;6.定期重复上述步骤 1-5。
通过漏洞管理产品,集中、及时找出漏洞并详细了解漏洞相关信息,不需要用户每天去关注不同厂商的漏洞公告,因为各个厂商的漏洞公告不会定期发布,即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。通过漏洞管理产品将网络资产按照重要性进行分类,自动周期升级并对网络资产进行评估,最后自动将风险评估结果自动发送给相关责任人,大大降低人工维护成本。漏洞管理产品根据评估结果定性、定量分析网络资产风险,反映用户网络安全问题,并把问题的重要性和优先级进行分类,方便用户有效地落实漏洞修补和风险规避的工作流程,并为补丁管理产品提供相应的接口。漏洞管理产品能够提供完整的漏洞管理机制,方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台,部署在网络的核心交换机处,对整个网络中的资产提供漏洞管理功能。
3.4建立网络防病毒系统
在高校校园网部署网络版防病毒系统,进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点,非常适合大型复杂网络的部署。其应具有如下功能:在病毒管理服务器上,安装网络版的控制中心,在全校各个子网中安装下级子控制中心,方便管理本网段中的所有客户端。
网络版客户端安装方法:网络版客户端有多种安装方式,对于域用户可以采用自动分发安装的方式,使域中的用户在登陆时自动安装网络版的客户端,也可采用光盘直接安装,网络共享安装;对于非域用户可以采用网络共享方式安装,也可以采用光盘直接安装。
3.5 IP盗用问题的解决
在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
在路由器上绑定IP和MAC地址:
R1(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
R1 (config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机能访问任意主机
R1 (config)permit any host 0009.6bc4.d4bf
#定义所有主机能访问MAC地址为0009.6bc4.d4bf的主机
R1 (config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
R1 (config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机能访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机能访问IP地址为192.168.0.1的主机
R1 (config-if )interface Fa0/0
#进入设置具体端口的模式
R1 (config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
R1 (config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
3.6采用系统升级策略
首先升级控制中心,升级完毕后,客户端通过控制中心升级,这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控制中心每日自动升级。在客户端普通操作台可以手动升级,也可以通过设置让客户端自动升级。
通过移动控制台集中管理所有客户端,实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能,网络管理员能够在控制台自己所管理的机器进行合理的分组,可以对分组统一的配置、查杀等,而且也解决了在没有分组功能前,机器过多导致管理困难的问题,网络管理员会更加方便,而且会大大提高管理效率。
3.7利用网络监听维护子网系统安全
对于校园网外部的入侵可以通过安装防火墙来解决,但是对于校园网内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。在子网内若干计算机或服务器上安装该监听软件,这样可以防止某些较高水平?“黑客”会觉察到他所在的服务器正在被监听,将检测计算机也破坏掉。简历几个监听程序相互间的联系。如果在一段时间内听不到其中一台或几台计算机发出的信息,其它服务器也会发出警报,另外,不允许任何账号的远程登陆。
3.8建立良好的管理体系
都说三分技术七分管理,为了网络中客户端安装和杀毒确保有效完成,客户端未经授权不能任意停止全网统一的杀毒行动,客户端未经授权不能任意卸载,建立良好的管理制度是保证系统正常运行的必要条件。
针对校园网的网络结构及病毒特点,应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能,对校园网络中的核心应用提供多层次和强有力的保护,可以适应高校校园网复杂的应用环境,满足校园网对于全网防病毒的需求,有效解决整个校园网面临的病毒威胁。
防病毒系统由服务器端和客户端组成。防病毒服务器部署在核心交换机处,需要杀毒的每个终端安装一个客户端。
3.9部署Web,Email,BBS的安全监测系统
高校网络安全体系中,需要新型的技术和设备来应对WEB攻击,保证网站安全,维护高校声誉;为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。
传统的边界安全设备,如防火墙,局限于自身的产品定位和防护深度,不能有效地提供针对 Web 应用攻击完善的防御能力。防火墙的不足主要体现在:1、传统的防火墙作为访问控制设备,主要工作在 OSI 模型三、四层,基于 IP报文进行检测。设计之初,它就无需理解 Web 应用程序语言如 HTML及 XML,也无需理解 HTTP 会话。因此,它也不可能对 HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。恶意的攻击流量将封装为 HTTP 请求,从 80或 443端口顺利通过防火墙检测。2、有一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够,只能提供非常有限的 Web 应用防护,难以应对当前最大的安全威胁,如 SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题,更是无能为力。
Web 应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解,WAF 对来自 Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
在校园网的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。在这里可以采取如下方法:用一台PC机通过集掀起连接在网络的关键网段上,修改网卡的接收方式,就能接收到这个网段上传输的所有信息。采用这种方式对原有网络的传输性能没有影响。系统基本上通过两部分组成。一部分为监控器,主要负责如实的记录下网络上的传输数据,并将其存成硬盘上的文件,交给第二部分后台分析其进行处理。第二部分为后台分析器,负责对前台监控器记录下的数据进行处理,将前台监控器截获的数据拼装、还原成应用层的完整内容。然后在数据库中添加相应的纪录。监控器可以采用一台装有两块仪态网卡的PC机,采用Linux操作系统。分析器可以有一台安装了Windows NT的PC机承担,运用SQL Server等软件共
同开发。这样可以对进入站内的各种信息进行检测,这样可以过滤email等非法信息。同时也可以进行设置,对邮件中的病毒进行检测。从而阻止病毒进入局域网。
3.10部署内容安全管理系统
传统网络防护设备(如防火墙、入侵检测系统等)是解决网络安全问题的基础设备,其所具备的访问控制、网络攻击事件检测等功能,能够抵抗大多数来自外网的攻击;但是不能监控网络内容和已经授权的内部正常网络访问行为。然而,相对于网络层安全,由正常网络应用行为导致的安全事件,更加隐蔽,不易察觉,所以损失也更加巨大。因此,我们还需要细粒度的应用层和内容层策略控制。实现这个目标的新技术就是内容安全管理。
内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制,实现对网站访问、邮件收发、P2P 下载、论坛、在线视频等事件的全面有效管理。
通过内容安全管理,高校可以营造健康的网络环境,屏蔽色情、暴力等不良网站;对学生的上网行为有效监管,屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论,阻止不良信息扩散;加强对P2P等应用的流量管理,保障网络资源合理使用。
3.11 使用校园网用户认证计费管理系统
部署校园网用户认证计费管理系统,对提供了INTERNET接入服务的学生和家属进行身份认证和计费管理。通过计费网关和智能交换机802.1X协议的配合,完成合法用户的认证,防止代理私接;MAC、IP地址假冒。
在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。
对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分配到的IP地址,因此他即使假冒合法用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源。
对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的。
当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者还是无法进入网络系统。
对于假冒IP地址的情况由于802.1X采用了基于二层的认证方式,因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址。
对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证,也不会与正在使用该地址的合法用户发生地址冲突。
认证计费网关串联在INTERNET出口处,在需要认证的PC上安装身份认证客户端。
4.总结
Internet是一个资源的网络,其中拥有的信息资源几乎覆盖所有的领域。Internet面向人类的社会,世界上数以亿计的人们利用它进行通信和信息共享,通过发送和接收电子邮件,或和其他人的计算机建立连接、参加各种讨论组并免费使用各种信息资源实现信息共享。大学建设自己的校园网络有助于大学生接触最新信息,拓展认知。该设计方案是针对大学校园的实际情况进行现状以及需求分析,制定出的适合本校的校园网络设计方案。方案设计网络的三层结构的设计,网络拓扑,网络安全域管理,综合布线等。学校校园网络安全、稳定、快速发展,网内的数据资料实现安全管理、合理、有效的存储和备份,从而会有利于提高学校校园网内教学资源的传送速度,节省时间,提高教学质量,为我国教育事业的发展插上有力的翅膀。校园网络技术的发展解决了中国教育信息化进程中的应用,将有利于为我国培养出更多的栋梁之才。
此外,通过本次的网络设计,使我学到了不少东西,学习了常见的网络设备。
交换机和路由器,防火墙等,还学习了相关的配置设置。弥补了以前因为上课听讲不够专心露掉的许多知识的不足
5.参考文献
费晶,陈元,王丽娜.信息系统的安全与保密[M].清华大学出版社.1999
Lars Klander.挑战黑客-网络安全的最终解决方案[M].电子工业出版社,2000 李亚恒,唐毅.网络安全监测系统.计算机工程.2001
校园网络规划设计方案
校园网络设计方案
第一章建网原则 实际上,我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况,严重脱离中国的国情和经济发展现状,要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮,重点中学和好一点的乡镇中小学开始全面装备286、386计算机,当时的计算机每台近两万元左右,使用不到两年,软件升级,WINDOS全面取代DOS系统,286、386计算机全面淘汰(由此全国又损失数百亿元).这时候486计算机全面登场,并立即淘汰,586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中,就不停的跟在后面赶,不停的被淘汰,由于有些学校领导片面追求时髦、面子,而给学校和国家造成了无法估计的损失。 现在教育部提出:一定的时间内在国内普及信息技术教育,实行"校校通"工程;可是由于一些大的计算机厂家在不停的炒作,进行误导,使得我们有些学校校长、少数教育领导干部头脑发热起来了,认为:校校通就是校园网,校园网就是计算机网;学校为了完成上面下达的任务,不顾本校的实际情况,不顾当地的实际情况,大规模的建
设计算机网,造成学校大量负债,而这个所谓的校园网自从建立起 来后就面临着淘汰,为什么呢?目前,我国大部份的学校连基本的广播网、有线电视网都没有,有的学校的教师连计算机的最简单的常识也没有,更谈不上如何使用它们。在上述情况下,我们在进行校园网建设的过程中应该保持清醒的头脑,花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善,而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式:图像,声音,文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲,广播系统传播的范围最广。从设备的增值性来看:最实用的是计算机,其次是教育系统应用软件和广播系统。因此,我们在建校园网时,应先从简易经济和适用的系统做起,再建计算。 第二章校园网的规划设计 2.1校园网建设核心 随着网络规模的扩大和用户数量迅速增加,并且由于院校合并形成了分布于多个校区的校园网,网络结构日趋复杂,网络结点数剧
校园网安全设计与分析
校园网安全隐患分析 校园内网安全分析 1、BUG影响 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在去年一段时期、冲击波病毒比较盛行, 冲击波”这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS (Denial of service) 攻击, 使多个国家的互联网也受到相当影响。 2、设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。 3、设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等) , 防止黑客取得硬件设备的控制权。许多网管往往由于没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单易猜, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。 4、管理漏洞 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一但有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设成本网段的网关地址, 这会导致整个学生机房无法正常访问外网。 5、无线局域网的安全威胁 利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点: 未经授权使用网络服务 由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服
大学校园网设计方案组图
最佳校园工程设计帖-某大学校园网设计方案(组图) 概述 总设计师:讲师 机构:国家重点大学院校 校园占地面积:146.57万平方米 校舍建筑面积:1070875.64平方米 教职工人数:2000 学生总数::1.7万余人 网络面临的挑战:建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。 关键网络系统:3640路由器、2950 24口交换机(2950-24)、3550交换机、4006交换机
网络解决办法: 对校园网系统整体方案设计 对访问层交换机进行配置 对分布层交换机进行配置 对核心层交换机进行配置 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个校园网系统进行诊断 分析: 路由、交换与远程访问技术不仅仅是思科的课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用,其实,课程中的每个章节都对应着实际工程中的每个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,我们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。 路由技术:路由协议工作在参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(,),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 交换技术:传统意义上的数据交换发生在模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(,)的概念。将广播域限制在单个内部,减小了各间主机的广播通信对其他的影响。在间需要通信的时候,可以利用间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用中继协议(,)简化管理,它只需在单独一台交换机上定义所有。然后通过协议将定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中,也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素
校园网网络安全设计方案
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
校园网方案设计拓扑图
校园网方案设计拓扑图 导语:拓扑图是对面实体符号图形的简单化与规则化表示,并借此图形显示量化信息,图形大小一般与实体面积无关。以下本人为大家介绍校园网方案设计拓扑图文章,欢迎大家阅读参考! 校园网方案设计拓扑图随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。根据校方要求,总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。 校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,
并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。 根据校园网络项目,我们应该充分考虑学校的实际情况,注重设备选型的性能价格比,采用成熟可靠的技术,为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划,在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展,最大程度地保护学校的投资。学校借助校园网的建设,可充分利用丰富的网上应用系统及教学资源,发挥网络资源共享、信息快捷、无地理限制等优势,真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下: 采用千兆以太网技术,具有高带宽1000Mbps 速率的主干,100Mbps 到桌面,运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求,且易于升级和扩展,最大限度的保护用户投资; 网络设备选型为国际知名产品,性能稳定可靠、技术先进、产品系列全及完善的服务保证; 采用支持网络管理的交换设备,足不出户即可管理配置整个网络。 提供国际互联网ISDN 专线接入,实现与各公共网的连接;
某大学校园网规划与设计(自动保存的)
某大学校园网规划与设计 一、问题分析: 在网络信息时代的今天,面向新的需求和挑战,为了学校的科研、教学、管理的技术水平,为研究开发和培养高层次人才建立现代化平台,几乎所有高校都建立了基于Intranet/Internet技术的高速多媒体校园网。 整个高速多媒体校园网建设原则是"经济高效、领先实惠",既要领先一步,具有发展余地,又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的参与性以及积极性。校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统的开放性、可持续发展性,便于以后集成视频会议、视频点播等高层次教学功能。 2. 解决方案提出及论证 校园网建设已逐渐成为信息化时代高校优先考虑的课题,这与我国倡导的素质教育息息相关。本设计从某大学建设校园网的过程中,着重论述了校园网设计方案的研究与实施过程。本方案首先就某大学校园网设计建设的相关知识技术要求作了必要的介绍,然后重点就综合设计方案的多方面展开论述,并给出具体的实施方案和设备选型。 学校现有3栋教学楼,每栋最高5层,每层最多200台PC机,宿舍楼共30栋,每栋最高7楼,每层最多1000台PC机,办公楼最高3层,每层30台PC机。
本方案实现以学校教学楼为中心的34幢建筑物,拟包括办公楼50个信息点、教学楼100个信息点以及宿舍300个信息点(总共450个信息点),以超5类布线标准的局域网结构化布线。按照EIA/TIA568B(国际商用建筑物布线系统标准)设计要求,不仅要选择符合国际标准的布线材料和设备,而且要按照其标准进行设计和施工。根据招标方要求,拟选择符合国际标准的著名的布线厂商----美国AMP公司的产品和技术。 为建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP等网络管理协议;采用Internet上的标准协议--TCP/IP协议,提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务,实现与国际互联网的完全接轨;同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;采用模块化结构设计,容易升级;还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。 3. 所需设备描述、网络拓扑及简要配置方案 一、校园局域网建设项目结构化布线设计 (1)结构化布线系统 结构化布线系统是建筑物或建筑群内的传输网络,它既能使数据通信设备、交换设备和其他信息管理系统彼此连接,也能使这些设备与外部通信网络相互连接,包括建筑物到外部网络线路上的连线点,与工作区的数据终端之间的所有电缆,以及相关联的布线部件。一个良好的结构化布线系统对其服务的设备有一定的独立性,并能互连许多不同的通信设备如数据终端、PC和主机以及公共系统装置。一般布线系统有六个子系统组成:建筑群间子系统,设备间子系统,管理区子系统,垂直(主干)子系统,水平子系统,工作区子系统。
校园网络安全系统方案设计
校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。 经调查,现有校园网络拓扑图如下: 1.1.2应用和信息点
1.2.现有安全技术 1.操作系统和应用软件自身的身份认证功能,实现访问限制。 2.定期对重要数据进行备份数据备份。 3.每台校园网电脑安装有防毒杀毒软件。 1.3.安全需求 1.构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。 二.安全设计 1.1设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备
校园网设计方案(完美版)
校园网设计方案(此文档为word格式,可任意修改编辑!)方案1:
一个完整的校园网建设主要包括两个内容:技术方案设计;应用信息系统资源建设。 技术方案设计主要包括:结构化布线与设备选择、网络技术选型等;应用信息系统资源建设主要包括:内部信息资源建设、外部信息资源建设等。这里我们介绍网络技术选型。 一、网络技术选型设计 校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。 1.校园网络中心的设计 网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。 (a)主干网络的设计 主干网络采用联想新推出的LS-5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机,它提供8个插槽,可选插8联的10/100Base-TX、2联的100Base-FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。
同时可以选择MS-5103千兆位以太网模块(SX/MM/850nm,0-350m)或MS-5104千兆以太网模块(LX/SM/1310nm,0-6km)与下面的各个子网通过千兆位的链路相连。 (b)校园网与Internet的互连: 推荐采用局域网专线接入方式,此方式需要配备路由器等设备,租用专线DDN或帧中继(Frame Relay),也可申请ISDN专线并向CERNET 管理部门申请IP地址及注册域名,以专线方式连入Internet,并提供防火墙、计费管理等功能。 本方案选用联想的LR-2501路由器,具有1个局域网(LAN),2个广域网(WAN)和1个控制台。支持帧中继(Frame-Relay)、X.25、PPP、HDLC协议。 (c)远程访问服务 采用联想LA-220和LA-240访问服务器,安装在本地局域网中,通过1至4个调制解调器(或ISD TA)和1至4根电话线,即可为远程访问人员提供拨号上网服务,远程用户只需拥有1个调制解调器和1根电话线,通过拨接LA-220或LA-240上所连接的电话号码,就可以登录访问。
校园网网络安全方案设计.
目录 第一章校园网安全隐患分析 (3 1.1校园内网安全分析 (3 1.1.1 软件层次安全 (3 1.1.2设备物理安全 (3 1.1.3设备配置安全 (3 1.1.4 管理层次安全 (4 1.1.5 无线局域网的安全威胁 (4 1.2校园外网安全分析 (5 1.2.1黑客攻击 (5 1.2.2不良信息传播 (6 1.2.3病毒危害 (6 第二章设计简介及设计方案论述 (7 2.1校园网安全措施 (7 2.1.1防火墙 (7 2.1.2防病毒 (8 2.1.3无线网络安全措施 (10 2.2 H3C无线校园网的安全策略 (12 2.2.1可靠的加密和认证、设备管理 (12
2.2.2用户和组安全配置 (12 2.2.3非法接入检测和隔离 (13 2.2.4监视和告警 (14 第三章详细设计 (15 3.1 ISA软件防火墙的配置 (15 3.1.1基本配置 (16 3.1.2限制学校用机的上网 (16 3.1.3检测外部攻击及入侵 (16 3.1.4校园网信息过滤配置 (17 3.1.5网络流量的监控 (17 3.1.6无线局域网安全技术 (17 3.2物理地址(MAC过滤 (18 3.2.1服务集标识符( SSID 匹配 (18 3.2.2端口访问控制技术和可扩展认证协议 (20 第一章校园网安全隐患分析 1.1校园内网安全分析 1.1.1 软件层次安全 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这
些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进 行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。 1.1.2设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。 1.1.3设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于 没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。 1.1.4 管理层次安全 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园 网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网
xx大学校园网设计方案(课程设计经典方案)全解
湖南机电职业技术学院 毕业设计 校园网的规划与设计 设计方案 作者姓名欧阳贝伦 所属系部信息工程学院 指导教师吴勇 专业班级计算机网络技术网络1301班
目录 1.1网络设计原则 3 1.2网络需求分析 3 2网络设计解决方案 4 2.1网络系统结构规划 4 2.1.1接入层 4 2.1.2汇聚层 5 2.1.3核心层 5 2.1.4远程接入区域 5 2.2网络拓扑设计 5 2.3网络IP地址规划 6 2. 3.1IP地址合理规划的意义 6 2.4网络设计技术方案特点7 3网络设计技术分析7 3.1校园网络技术分类7 3.2校园网交换技术8 3.3路由技术9 3.4广域网接入技术9 4 设备的选型10 5 投资预算11 6综合布线工程规划12 4.1工程概况12 4.2施工原则12 7总结体会13
1网络设计原则与需求分析 1.1 网络设计原则 ?实用性与先进性 根据学校实际情况和特点,在设计中特别强调实用性与先进性的结合,应采用成熟的网络技术,保证校园网实用;跟踪国际网络技术的新发展,设计技术先进的网络。在保证校园网可靠、实用、先进的基础上,可以提供研究先进网络技术的科研环境,方便学校的科研与开发。 ?开放性与标准化 整个校园网的设计采用开放性的网络体系,以方便网络的升级、扩展和互联。同时,在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化。 ?可靠性与安全性 在校园网的设计中,主要考虑两个层次:一是整个网络的可靠性与安全性,采用高可靠性高安全性的网络体系结构;二是网络设备的安全性和可靠性,主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 ?经济性与可扩充性 在满足学校需求的前提下,选用性能价格比高的网络设备和服务器。采用的网络架构和设备,应充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资。 1.2 网络需求分析 湖南机电职业技术学院作为一所高等院校,必须建成一个集学校行政、办公、教学以及师生宿舍上网于一体的校园网络系统。具体需求如下: 管理层需求 (1)办公需求:办公自动化,文档电子化,电子公告牌 (2)E-mail 服务 (3)远程访问 (4)管理需求:会议管理,个人信息管理,公共信息管理, 公文管理,教务综合管理,以及图书馆自动化管理。 教师需求 (1)教学要求:电子备课,资料查阅,文档打印,文档、课件上传/下载,在线答疑(2)教学活动:VOD(或将来需要),学生成绩登入、公布 (3)自学需求:电子图书馆,资料查询 (4)远程访问 (5)E-mail 服务
校园网络简单设计方案
杭州职业技术学院 2003 年4月 摘要 本组网主要完成对杭州职业技术学院校内网络的组网,步线组网及解决方案。 论文主要介绍了杭州职业技术学院的组网,所要完成的是组网的整个过程。重点的说明了校园网的设计思想、难点技术和解决方案。 1.引言说明了校园网建设的目标。 2.校园网的设计需求,简明介绍了杭州职业技术学院的设计需求。及接点数和大概的组网思路。 3.组网拓扑图 关键字:组网,方案,拓扑图,校园网 目录 第一章引言…………………………………………………… 第二章需求分析……………………………………………… 第三章校园网的设计需求…………………………………… 第四章 2.1网管中心………………………………… 2.2 行政管理中心…………………………… 2.3 教学楼…………………………………… 2.4 实验楼…………………………………… 2.5 图书管…………………………………… 第五章网拓扑图……………………………………………… 第六章设计说明……………………………………………… 5.1系统概述…………………………………………… 5.2主干网络设计………………………………… 5.3技术参数………………………………………… 第六章结束语………………………………………………… 致谢……………………………………………………………… 参考资料………………………………………………………… 引言 在网络信息时代的今天,面向新的需求和挑战,为了学校的科研、教学、管理的技术水平,为研究开发和培养高层次人才建立现代化平台,Intranet/Internet技术的高速多媒体校园网。 整个高速多媒体校园网建设原则是"经济高效、领先实惠",既要领先一步,具有发展余地,又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的参与性以及积极性。 校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统的开放性、可持续发展性,便于以后集成视频会议、视频点播等高层次教学功能。 筹划校园网要讨论三个要素,无论是校外连网还是校内连网,要较好地发挥校园网的作用都要涉及三个要素:运载基础设施、运载设施和运载信息。 需求分析 杭州职业技术学院校园网一般为大中等规模的组网,节点数一般300到500个,网络应用也较中型校园网复杂,对通信的要求也较高,因此已经要求百兆交换到桌面,并要求支持多媒体的应用。 所以该校园网网络中心采用FlexHammer24交换机进行堆叠,提供高密度的10/100M自适应端口,二级节点交换机根据具体情况选择μHammer2或μHammer24交换机,对多媒体教室、电子阅览室等需要多媒体应用、要求较大带宽的二级节点则选用μHammer24交换机,提供10/100M兆端口接入用户桌面。普通教室选用μHammer2交换机,提供10M/100m端口接入用户桌面。 FlexHammer和μHammer交换机还具有划分VLAN的功能,使各部门的局域网可自成体系,隔离了广播风
基于校园网网络安全管理与维护课程设计报告
摘要 (3) 前言 (4) 一、课程设计目的意义 (6) 二、需求分析 (6) 1、虚拟网 (6) 2、管理与维护 (6) 3、网络安全 (7) 1、防火墙技术 (7) 2、建立网络入侵侦测系统 (7) 3、反病毒防御 (7) 三、方案设计 (8) 1、设计原则 (8) 2、安全策略 (8) 3、安全服务 (9) 4、拓扑结构图 (9) 四、方案的实施 (10) 1、在管理方面 (10) 2、在技术方面 (10) 3、定期做好备份工作 (10) 4、定期做好网络杀毒工作 (10) 五、结束语 (11) 附录一:参考文献 (12)
随着互联网络的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。 随着网络的高速发展,网络的安全问题日益突出,黑客攻击、网络病毒等层不出穷,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。 校园网网络的安全十分重要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。 关键词:校园网、网络安全、管理及维护策略、防火墙。
校园网络安全设计方案
校园网络安全设计方案 10网工2班组员:张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力 随着因特网的迅速发展,校园网的建设日益普遍。而在高校中,如何能够保证校园网络的安全运行,同时又能提供丰富的网络资源,达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击,还有内部的攻击。所以,在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面,设计我校的网络安全方案。 防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。 防火墙的概念:通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合,是一种有效的网络安全策略。防火墙提供信息安全服务,设置在被保护内部网络的安全与不安全的外部网络之间,其作用是阻断来自外部的、针对内部网络的入侵和威胁,保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口,根据安全策略控制出入网络的信息流,并且本身具有较强的抗攻击能力。 防火墙的分类:按软件与硬件的形式,防火墙分为软件防火墙、硬件防火墙和芯片防火墙;按防火墙的技术,总体分为包过滤型和应用代理型两大类;按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙;按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。 防火墙的安全策略:(1)所有从内到外和从外到内的数据包都必须经过防火墙(2)只有被安全策略允许的数据包才能通过防火墙(3)防火墙本身要有预防入侵的功能(4)默认禁止所有服务,除非是必须的服务才被允许 防火墙的设计:(1)保障校园内部网主机的安全,屏蔽内部网络,禁止外部网用户连接到内部网(2)只向外部用户提供HTTP、SMTP和POP等有限的服务(3)向内部记账用户提供所有Internet服务,但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP 地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能,能有效记录校园网的一切活动。 校园网络在设置时应从下面几个方面入手:(1)入侵检测:具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。(2)工作模式选择:目前市面上的防火墙都会具备三种不同的工作模式,路由模式、NAT模式和透明模式。我们选择的是透明模式,防火墙过滤通过防火墙的封包,而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2(第二层)交换机或桥接器。在透明模式下,接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。(3)策略设置:防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点,因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。(4)管理界面:管理一个防火墙的方法一般来说有两种:图形化界面和命令行界面,我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。(5)内容过滤:面对当前互联网上的各种有害信息,我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。(6)防火墙的性能考虑:防火墙的性能对于一个防火墙来说是至关重要的,它决定了每秒钟可能通过防火墙的最大数据流量,以bps为单位,从几十兆到几百兆不等。千兆防火墙还
校园网网络构建方案设计与实现
一、实验目的: (1)计算机网络是一门实践性较强的技术,课堂教学应该和实践环节紧密结合。应该通过计算机网络实验培养学生具有独立进行计算机网络架构和设计能力,提高学生的网络设备使用水平,以及将理论与实践相结合的能力。 (2)培养学生一定的自学能力和独立分析问题、解决问题的能力。包括学会自己分析解决问题的方法,对设计中遇到的问题,能通过独立思考、查阅工具书、参考文献,寻找解决方案。 (3)初步掌握计算机网络分析和设计的基本方法。通过分析具体设计任务,确定方案,画出具体的网络拓扑结构图,并写出具体配置步骤情况,提交正式课程设计总结报告打印及电子稿一份; (4)培养学生分析、解决问题的能力; (5)提高学生的软件文档写作能力。 二、实验器材: 路由器若干,交换机若干,PC机若干,线缆若干。 三、实验任务及要求: (1)校园网或园区网方案设计; (2)要求有拓扑图和路由器或交换机配置; (3)要用到VLAN,NAT; (4)结合实验室条件,完成需求分析; (5)列出实验所需设备,完成网络拓扑结构图; (6)利用Cisco packet tracer软件仿真,模拟实验环境下完成设备的具体配置; (7)调试验证 四、需求分析: 随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的,也是可行的。主要表现在: (1)当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。 (2)教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。 (3)我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。 (4)现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问
高校校园网设计方案(2)
高校校园网设计方 案(2)
《网络工程设计与应用》实习报告 课题设计:高校校园网设计方案班级: 姓名: 学号: 指导教师: 完成日期:
目录 摘要.............................................................................错误!未定义书签。引言............................................................................................................. .. (3) 第一章、校园网需求分析 (4) 1.1项目背景 (4) 1.2需求分析 (4) 1.2.1网络信息点分布 (5) 1.2.2应用系统需求分析 (5) 1.3当前的网络现状....................................................................................................... (5) 第二章、拓扑图及IP地址分配 (6) 2.1网络拓扑结构图 (6) 2.2 IP地址分配及子网划分 (6)
2.3校园网络系统方案设计总体思路 (7) 第三章、校园网综合设计 (7) 3.1校园网建设原则.................................................................................................................... (7) 3.2校园网建设目标 (8) 3.3校园网建设技术需求 (9) 3.3.1网络系统 (9) 3.3.2主流网络传输技术 (9) 3.3.3网络互联技术 (9)
校园网络安全设计方案范本
校园网络安全设计 方案
校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,当前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。 经调查,现有校园网络拓扑图如下: 1.1.2应用和信息点 楼号该楼用 途每层 主机 层数每栋 信息 实现功能
1.2.现有安全技术 1.操作系统和应用软件自身的身份认证功能,实现访问限制。2.定期对重要数据进行备份数据备份。 3.每台校园网电脑安装有防毒杀毒软件。 1.3.安全需求 1.构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,经过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题,才能够排除网络中最大的安全隐患,内网安全管理体系能够从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。 二.安全设计 1.1设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:1.网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,特别是多用户网络系统自身的复杂性、资
校园网组建方案设计
WORD格式校园网络设计方案 学院: 姓名: 学号: 班级: 指导老师: 2013年4月
1前言 (3) 2.需求分析 (3) 2.1网络需求分析 (3) 2.2校园网建设原则 (4) 2.3技术需求 (4) 2.3网络拓扑图 (5) 3.网络总体设计方案 (6) 3.1网络主干设计 (6) 3.2应用系统及软件 (6) 3.3网络传输介质 (6) 4综合布线 (7) 4.1规范和标准........................错误!未定义书签。 4.2设计范围及要求....................错误!未定义书签。 4.3干线子系统的设计 (7) 5.总结 (7)
1前言 校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及 Internet技术等为基础建立起来的计算机网络,一方面连接学校内部子网和分散于校园各 处的计算机,另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是,不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络,而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具,是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点,校园网必须有大量先进实用的应用软件来支撑,软硬件的充分结合是校园网发挥作用的前提。 4.需求分析 2.4网络需求分析 经分析,本校园网的应用需求如下: 建立以计算中心为核心,连接校园各楼宇的校园主干网络。要求主干网带宽达到 1000Mpbs。 按校园用户的需求,划分相应的子网,以方便网络管理、提高网络性能。各子网的带宽至少达到100Mpbs。 在整个校园网内实现资源共享,为教学、科研、管理提供服务。 建立基于网络的教育管理及办公自动化系统,实现行政、教学、教务、科研、后勤、财务等日常事务的网络化管理。 建立网络教学系统,提供教师电子备课、课件制作、网络考试、自动教学评估等功能。 建立安全、高速的Internet应用,实现内外互通。 提供常用的Internet应用,包括学校网站、邮件系统、文件传输等。 为校园网提高一定的安全保障,防止黑客入侵和破坏,保证校园网安全。 为校园网提供简单有效的网络管理措施,实现对整个校园网的管理和控制。 为校园网提供相应的容错功能,防止在校园网出现故障时导致整个网络瘫痪。 校内的基本应用有:WWWSERVER、SQLSERVER、MAILSERVER、VODSERVER、FTPSERVER、 教务系统、精品课程、视频会议实况转播、杀毒服务器、学生管理系统、教务管理系统、网络课程、等。