高校校园网安全解决方案
高校校园网安全解决方案
概述
21、1 高校校园网络安全建设意义2第二章高校校园网络特点分析3第三章安全风险分析
53、1 物理层安全风险
53、2 网络层安全风险
53、3 系统安全风险
63、4 应用层安全风险
63、5 管理层安全风险7第四章安全需求分析
84、1 网络攻击防御需求
84、2 系统安全漏洞管理需求
84、3 网络防病毒需求
94、4 WEB应用安全需求104、5 内容安全管理需求104、6 INTERNET接入用户控制需求1
14、7 建立完善安全管理制度的需求11第五章网络安全解决方案1
25、1 高校校园网络安全建设原则1
25、2、高校校园网络安全解决方案1
35、1部署防火墙1
35、2部署入侵检测/保护系统1
35、3 部署漏洞管理系统1
55、4 部署网络防病毒系统1
75、5 部署WEB应用防护系统1
95、6 部署内容安全管理系统2
15、7 部署校园网用户认证计费管理系统2
25、8 高校校园网络安全建设分步实施建议23第一章概述
1、1 高校校园网络安全建设意义随着网络的普及和发展,高校信息化建设也在快速地进行,校园网在高校及教育系统中的作用越来越大,已经成为高校重要的基础设施,对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前,校园网络已遍及学校的各个部门,有的学校已将网络线通入学生寝室,
网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立,能促进学校实现管理网络化和教学手段现代化,对提高学校的管理水平和教学质量具有分重要的意义。但是,网络中的种种不安全因素(如病毒、黑客的非法入侵、有害信息等)也无时无刻不在威胁校园网络的健康发展,成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理,保证校园网安全、稳定、高效地运转,使其发挥应有的作用,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。第二章高校校园网络特点分析高校校园网络具有如下特点:
1、网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备。
2、校园网通常是双出口结构,分别与 Cernet、Internet 互联。
3、用户种类丰富。按用户类型可以划分为教学区(包括教学楼、图书馆、实验楼等)、办公区(包括财务处、学生处、食堂等)、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。
4、应用系统丰富。校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。高校校园网络拓扑示意图如下:第三章安全风险分析网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。风险分析是网络安全防护的基础,也是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
3、1 物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断,进而造成网络系统的阻断。包括以下内容:
1、设备被盗,被毁坏;
2、链路老化或被有意或者无意的破坏;
3、因电磁辐射造成信息泄露;
4、地震、火灾、水灾等自然灾害。
3、2 网络层安全风险网络层中的安全风险,主要指数据传输、网络边界、网络设备等所引发的安全风险。
1、数据传输风险分析数据在网络传输过程中,如果不采取保护措施,就有可能被窃听、篡改和破坏,如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。对高校而言,比较多的风险是:1)
私自将多个用户通过交换机接入网络,获得上网服务。2)
假冒合法的MA
C、IP地址获得上网服务。
2、网络边界风险分析不同的网络功能区域之间存在网络边界。如果在网络边界上没有强有力的控制,则网络之间的非法访问或者恶意破坏就无法避免。对于高校而言,整个校园网和INTERNET的网络边界存在很大风险。由于学校对INTERNET开放了WWW、EMAIL等服务,如果控制不好,这些服务器有面临黑客攻击的危险。
3、网络设备风险分析由于高校校园网络使用大量的网络设备,这些设备自身的安全性也是要考虑的问题之一,它直接关系到各种网络应用能否正常、高效地运转。交换机和路由器设备如果配置不当或者配置信息改动,会引起信息的泄露,网络瘫痪等后果。
3、3 系统安全风险系统层的安全风险主要指操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁。病毒大多也是利用了操作系统本身的漏洞。目前,高校网络中操作系统有WINDOWS系列和类UNIX系列,大都没有作过安全漏洞修补,极易遭受黑客攻击和病毒侵袭,对网络安全是一个高风险。
3、4 应用层安全风险高校校园网络中存在大量应用,如WWW服务、邮件服务、数据库服务等。在应用过程中,存在下列风险:
1、这些服务本身存在安全漏洞,容易遭受黑客攻击。当前,尤其针对WEB 应用的攻击成为趋势。
2、不对应用者的行为监管存在的风险。如学生浏览黄色,暴力网站;在论坛等发表非法言论;滥用P2P,在线视频等,严重占用网络带宽。
3、5 管理层安全风险责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。第四章安全需求分析由上可见,高校校园网中的安全风险是多样的,也需要多种技术构建综合安全防护体系,保证校园网安全。
4、1 网络攻击防御需求高校校园网络连接INTERNET,因此从安全角度看,可以划分为两大区域,内部网络和外部网络。在内外网之间必须有安全隔离措施,对数据的流动进行控制。首先内部网络是私有网络,其访问ITNERNET的流量必须隐藏真实地址,而转换为公网地址;其次,网络边界要有适当的访问控制策略,既需要控制内部网络可以访问INTERNET的流量,更需要严格控制INTERNET可以访问内部网络的流量,以防止黑客攻击和非法访问。因而只允许INTERNET访问校园网对其开放的服务,如WWW、EMAIL 等,其他服务全部禁止。对通过INTERNET 到校园内网应用如OA系统的连接,采用IPSEC VPN或者SSL VPN技术,以保证数据安全性。即使被黑客窃听,也无法解密。采用流量监听和阻断恶意流量机制,对网络进行保护。监视和分析用户及系统的活动,识别反映已知进攻的活动模式并向管理员报警。
4、2 系统安全漏洞管理需求高校有大量的应用服务器和网络设备,以及应用程序和数据库系统。众所周知,在服务器和网络设备操作系统(包括WINDOWS,类UNIX),应用协议(如TCP/IP),应用程序中,存在很多安全漏洞。蠕虫爆发、病毒、木马以及恶意代码都是利用安全漏洞对网络和系统进行攻击。如果对系统中的各种漏洞不能及时发现和修复,就有很大的被攻击的风险,造成很大的损失,例如“冲击波”蠕虫和“震荡波”蠕虫的爆发。所以要有漏洞管理机制,及时扫描和修复系统安全漏洞保护网络安全。
4、3 网络防病毒需求高校校园网用户众多,网络环境复杂,病毒入口点非常多,如何保证在整个局域网内杜绝病毒的感染、传播和发作是网络安全的一个重要问题。一个良好的网络防病毒方案应该达到如下目标:要在整个大学校园的内部网络内杜绝病毒的感染、传播和发作,整个网络内只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段。同时为了网络管理人员有效、快捷地实施和管理整个网络的防病毒体系,应能实现简易、自动、智能和强制执行防病毒策略的维护管理方式。网络实施防病毒系统应力求达到在整个内部网络系统中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系,保护校园网络免遭来自外部和内部病毒的威胁和破坏,从根本上杜绝病毒的发作和传播,有效地保护学校内部资源。同时,该方案还必须是一个使用方便的,灵活的和全自动的系统,可以完全自动的升级;可以在本网的任何地方管理全网;等等。最后,它还必须是一个易于扩充和修正的方案,能方便的适应将来网络扩充时可能的变更。特别地,校园网需要很好地防范ARP欺骗病毒。ARP欺骗病毒是目前高校校园网中比较泛滥的一种病毒,该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。A RP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到校园网络的正常运行。因此,必须有合适的措施应对ARP欺骗病毒对网络的危害,保证网络的持续可用性。
4、4 WEB应用安全需求据权威机构IDC调查显示,Web 应用越来越丰富的同时,针对Web 服务器的攻击也与日俱增。SQL注入、网页篡改、网页挂马、应用层DDOS等安全事件,频繁发生。WEB攻击一旦得逞,将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。对于高校而言,门户网站是其对外宣传的窗口和内部交流的平台,网站的安全直接影响学校的声誉。因此,必须杜绝网页篡改,网站拒绝服务等安全事件的发生。
4、5 内容安全管理需求随着计算机网络在经济和生活各个领域的迅速普及,网络发展从连通时代到应用时代的转变,如何保证网络内容安全,净化网络环境,规范上网行为,符合国家法规要求,是广大机构迫切需要解决的问题。有
不良影响或危害的网络行为有:
1、利用工作时间,聊天、炒股、玩网络游戏等行为,影响工作效率;
2、因访问不良网站而遭受恶意代码、间谍软件及钓鱼式攻击等,影响机构网络正常运行;
3、随意使用 P2P 下载、在线视频等,严重占用网络带宽,导致正常业务无法获取足够网络资源;
4、浏览非法网站、发表敏感信息和传播非法言论,造成恶劣社会影响,并可能导致国家法律问题;
5、随意通过 EMAIL、即时通讯等方式发送敏感业务信息,导致信息外泄事件发生;根据调查数据显示,以上事件呈逐年上升趋势,导致机构工作效率降低、重要敏感信息泄露、业务应用无法正常运行、网络带宽资源滥用、不良反动言论传播甚至面临国家法律风险等,给机构造成严重的经济损失和巨大的网络信息安全风险。尤其高校作为高等教育机构的特殊性质,更需要营造健康的网络环境,屏蔽色情、暴力等不良网站;同时,对学生的上网行为也要有效监管,屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论,阻止不良信息扩散。 4、6 INTERNET接入用户控制需求高校面向学生区,家属区提供INTERNET 接入服务。对每帐户只允许接入一个用户,以便合理收费,防止非授权接入INTERNET。但在实际运营中出现以下情况:
1、利用代理服务器软件或者SOHO路由器实现多人利用同一帐号上网。
2、IP,MAC地址假冒。有的认证方式是通过IP、MAC地址确定物理端口是否合法,在认证端如果收到合法的IP和MAC地址信息就认为这是合法的用户,许多学生就会利用这种方式的弱点,把自己计算机的IP和MAC修改成合法的地址,这样自己就能使用网络资源。因此,校园网INTERNET需要一个有效的用户接入认证机制,应对代理或IP地址假冒的挑战。
4、7 建立完善安全管理制度的需求“三分技术,七分管理”。实施安全应
管理先行,安全组织体系的建设势在必行。应在学校建立网络安全建设领导委员会,该委员会应由一个主管领导,网络管理员,安全操作员等人员组成。主管领导应领导安全体系的建设实施,在安全实施过程中取得相关部门的配合。网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。
另外,在学校网络中心应建立安全专家小组,负责安全问题的重大决策。第五章网络安全解决方案由上可见,高校校园网中的安全风险是多样的,也需要多种技术构建综合安全防护体系,保证校园网安全。
5、1 高校校园网络安全建设原则高校校园网络安全建设是一个复杂、艰巨的系统工程,必须遵循如下原则,才能收到良好的效果。
1、综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施包括管理手段和技术手段。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施,制定出合理的网络安全体系结构。
2、可用性原则安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性。尽量保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性,对网络的拓扑不需要大的改变。
3、需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。高校要对自身网络的安全风险和需求进行分析,以自己财力所能承担的代价去解决尽可能全面的安全问题。
4、分步实施原则随着网络规模的扩大及应用的增加,网络安全风险也会不断增加,一劳永逸地解决网络安全问题是不现实的。同时由于实施网络安全措施需相当的费用支出,因此高校可根据财力分步实施,首先满足网络安全的基本需求,再逐渐解决更高层次的安全需求。
5、2、高校校园网络安全解决方案
5、1部署防火墙在需要隔离的网络区域之间部署防火墙。典型地,在
Internet 与校园网之间部署一台防火墙,成为内外网之间一道牢固的安全屏障。将WWW 、 MAIL 、 FTP 、 DNS 等服务器连接在防火墙的 DMZ 区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。那么,通过 Internet 进来的公众用户只能访问到对外公开的一些服务(如WWW 、 MAIL 、 FTP 、 DNS 等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上按照以下原则配置来提高网络安全性:
1、根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核 IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法 IP 地址离开内部网络的IP 包,防止内部网络发起的对外攻击。
3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表,防止 IP 地址被盗用。
4、定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
5、2部署入侵检测/保护系统防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足企业的安全需要,部署了防火墙的安全保障体系仍需要进一步完善。
传统防火墙的不足主要体现在以下几个方面:
l 防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击
代码,比如针对 WEB 服务的 Code Red 蠕虫等。l 有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。l 作为网络访问控制设备,受限于功能设计,防火墙难以识别复杂的网络攻击并保存相关信息,以协助后续调查和取证工作的开展。入侵检测系统 IDS( Intrusion Detection System)是继防火墙之后迅猛发展起来的一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象,及时识别入侵行为和未授权网络流量并实时报警。I DS 弥补了防火墙的某些设计和功能缺陷,侧重网络监控,注重安全审计,适合对网络安全状态的了解,但随着网络攻击技术的发展,IDS 也面临着新的挑战:
l IDS 旁路在网络上,当它检测出黑客入侵攻击时,攻击已到达目标造成损失。IDS 无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS 无能为力。l 蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成企业网络瘫痪,IDS 无法把攻击防御在企业网络之外。为了弥补防火墙和IDS的缺陷,入侵保护系统 IPS(Intrusion Prevention System)作为IDS的替代产品应运而生。网络入侵防御系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。通过防火墙和IPS的联合部署,高校校园网络基本上能防御内外网的从2-7层的攻击,并能审计、记录攻击行为,便于调查攻击。部署示意图如下:
5、3 部署漏洞管理系统部署漏洞管理系统,能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手,在周期的不同阶段采取不同的措施,是一个循环、周期执行的工作流程。一个相对完整的漏洞管理过程包含以下步骤:
1、对用户网络中的资产进行自动发现并按照资产重要性进行分类;
2、自动周期对网络资产的漏洞进行评估并将结果自动发送和保存;
3、采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案;
4、根据漏洞修复方案,对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避;
5、对修复完毕的漏洞进行修复确认;
6、定期重复上述步骤1-5。通过漏洞管理产品,集中、及时找出漏洞并详细了解漏洞相关信息,不需要用户每天去关注不同厂商的漏洞公告,因为各个厂商的漏洞公告不会定期发布,即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。
通过漏洞管理产品将网络资产按照重要性进行分类,自动周期升级并对网络资产进行评估,最后自动将风险评估结果自动发送给相关责任人,大大降低人工维护成本。
漏洞管理产品根据评估结果定性、定量分析网络资产风险,反映用户网络安全问题,并把问题的重要性和优先级进行分类,方便用户有效地落实漏洞修补和风险规避的工作流程,并为补丁管理产品提供相应的接口。
漏洞管理产品能够提供完整的漏洞管理机制,方便管理者跟踪、记录和验证评估的成效。漏洞管理系统包括硬件平台和管理控制台,部署在网络的核心交换机处,对整个网络中的资产提供漏洞管理功能。示意图如下:
5、4 部署网络防病毒系统在高校校园网部署网络版防病毒系统,进行全网病毒防护。网络版防病毒系统具有集中式管理、分布式杀毒的特点,非常适合大型复杂网络的部署。其应具有如下功能:l 在病毒管理服务器上,安装网络版的控制中心,在全校各个子网中安装下级子控制中心,方便管理本网段中的所有客户端。l 网络版客户端安装方法:网络版客户端有多种安装方式,对于域用户可以采用自动分发安装的方式,使域中的用户在登陆时自动安装网络版的客户端,也可采用光盘直接安装,网络共享安装;对于非域用户可以采用网络共享方式安装,也可以采用光盘直接安装。l 移动控制台功能系统管理员在任意一台电脑(与
控制中心所在的服务器联网)上安装移动控制台,管理员可通过移动控制台直接管理各种平台的服务器端/客户端。在管理员控制台上,管理员能够对上述任何一种服务器端/客户端进行直接操作:设置、查毒、杀毒、通知升级、启动/关闭实时监控等。l 升级策略首先升级控制中心,升级完毕后,客户端通过控制中心升级,这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。可以设置让控制中心每日自动升级。在客户端普通操作台可以手动升级,也可以通过设置让客户端自动升级。l 多级控制中心、自由分组通过移动控制台集中管理所有客户端,实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。具有分组功能,网络管理员能够在控制台自己所管理的机器进行合理的分组,可以对分组统一的配置、查杀等,而且也解决了在没有分组功能前,机器过多导致管理困难的问题,网络管理员会更加方便,而且会大大提高管理效率。l 全网远程报警当网络中任意一台计算机上扫描程序发现病毒时,都能够自动及时准确地把病毒信息记录并传递给网络管理员。l 全网集中管理网络中客户端安装和杀毒确保有效完成,客户端未经授权不能任意停止全网统一的杀毒行动,客户端未经授权不能任意卸载。针对校园网的网络结构及病毒特点,应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能,对校园网络中的核心应用提供多层次和强有力的保护,可以适应高校校园网复杂的应用环境,满足校园网对于全网防病毒的需求,有效解决整个校园网面临的病毒威胁。防病毒系统由服务器端和客户端组成。防病毒服务器部署在核心交换机处,需要杀毒的每个终端安装一个客户端。示意图如下:
5、5 部署WEB应用防护系统高校网络安全体系中,需要新型的技术和设备来应对WEB攻击,保证网站安全,维护高校声誉;为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。传统的边界安全设备,如防火墙,局限于自身的产品定位和防护深度,不能有效地提供针对 Web 应用攻击完善的防御能力。防火墙的不足主要体现在:
1、传统的防火墙作为访问控制设备,主要工作在 OSI 模型
三、四层,基于 IP报文进行检测。设计之初,它就无需理解 Web 应用程序语言如 HTML及 XML,也无需理解 HTTP 会话。因此,它也不可能对 HTML应用
程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的 URL 请求。恶意的攻击流量将封装为 HTTP 请求,从80或443端口顺利通过防火墙检测。
2、有一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对 Web 应用攻击的研究深度不够,只能提供非常有限的 Web应用防护,难以应对当前最大的安全威胁,如 SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题,更是无能为力。I PS(入侵检测系统)弥补了防火墙的某些缺陷,但随着网络技术和 Web应用的发展复杂化,IPS 在 WEB 专用防护领域已经开始力不从心。具体体现为:
1、安全威胁的技术根源在于安全漏洞的存在。防护仅能一定程度缓解针对Web应用的攻击。彻底消除安全隐患,需要借助 Web应用漏洞扫描工具,用以诊断 Web应用程序脆弱性。传统 IPS 设备更多从防护着手,不具备事前预防的能力。
2、针对当前泛滥的 DDoS 攻击,传统 IPS 设备仅具备基本防护功能,很难满足应用层细粒度防护的需求。
3、如果攻击者已经成功实施攻击、引发安全事件发生时,局限于攻击防护的产品定位,传统 IPS 设备不能提供补偿措施、为客户降低安全风险。Web 应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解,WAF 对来自 Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。WEB应用防火墙部署在需要保护的WWW服务器前端,示意图如下:
5、6 部署内容安全管理系统传统网络防护设备(如防火墙、入侵检测系统等)是解决网络安全问题的基础设备,其所具备的访问控制、网络攻击事件检测等功能,能够抵抗大多数来自外网的攻击;但是不能监控网络内容和已经授权的
内部正常网络访问行为。然而,相对于网络层安全,由正常网络应用行为导致的安全事件,更加隐蔽,不易察觉,所以损失也更加巨大。因此,我们还需要细粒度的应用层和内容层策略控制。实现这个目标的新技术就是内容安全管理。内容安全管理系统设计目标旨在通过对网络通信内容、网络行为和流量进行分析、过滤和控制,实现对网站访问、邮件收发、P2P 下载、论坛、在线视频等事件的全面有效管理。通过内容安全管理,高校可以营造健康的网络环境,屏蔽色情、暴力等不良网站;对学生的上网行为有效监管,屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论,阻止不良信息扩散;加强对P2P等应用的流量管理,保障网络资源合理使用。内容安全管理系统部署为串联在核心交换机通往INTERNET的链路上,示意图如下:
5、7 部署校园网用户认证计费管理系统部署校园网用户认证计费管理系统,对提供了INTERNET接入服务的学生和家属进行身份认证和计费管理。通过计费网关和智能交换机802、1X协议的配合,完成合法用户的认证,防止代理私接;MA
C、IP地址假冒。在实现了802、1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分配到的IP地址,因此他即使假冒合法用户的MAC地址也无法伪造IP地址,也就无法冒充合法用户访问网络资源。对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的。当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者还是无法进入网络系统。
对于假冒IP地址的情况由于802、1X采用了基于二层的认证方式,因此,当采用动态地址分配方案时,只有用户认证通过后,才能够分配到IP网络地址。
对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证,也不会与正在使用该地址的合法用户发生地址冲突。
认证计费网关串联在INTERNET出口处,在需要认证的PC上安装身份认证客户端。示意图如下:
5、8 高校校园网络安全建设分步实施建议网络安全建设是一个逐渐深入的过程,也是一个需求不断变化的过程。其建设也不是一促而就,而是分步实施的过程。高校应根据其财力和目标分阶段进行网络安全建设,特提出下面分步实施建议:
1、建议在网络安全建设初期,部署防火墙和网络防病毒系统,作到对网络安全的基本防护。有INTENET接入服务的,可以部署计费和身份认证系统。
2、随着对攻击防御的深度要求,可以部署入侵检测/防御系统,和防火墙配合,基本作到对攻击的深度防护。
3、下一阶段,可以部署漏洞管理系统,防护从治标到治本转变。
4、最后进入对安全的高级防护阶段,可以部署WEB应用防火墙和内容安全管理系统。
校园无线局域网设计方案和安全防范
网络教育学院 本科生毕业论文 题目:校园无线局域网的设计方案学习中心: 层次: 专业: 年级: 学号: 学生: 指导教师: 完成日期:
内容摘要 校园网已经成为校园生活的重要组成部分,成为教师和学生获取资源和信息的主要途径之一。目前多数校园网均是建立在有线网络基础之上,随着信息技术的飞速发展,“随时随地获取信息”已成为广大师生们的新需求。但是,传统的有线校园网存在着诸多“网络盲点”,比如在图书馆、大型会议室、体育馆等许多不宜网络布线的场馆设施如何联网?在教室、实验室等场合如何突破网络节点限制、实现多人同时上网的问题? 随着无线技术的迅速发展,无线技术在各行各业得到广泛的应用。从应用需求方面考虑,无线网络很适合学校的一些不易于网络布线的场所应用。 本文介绍了校园无线局域网的应用需求,以及校园无线局域网的设计思路。对校园无线局域网作出了物理和逻辑上的设计。该设计方案既考虑了无线技术本身的特点,同时也考虑了校园网的应用和日后的升级需求。是一个可以灵活部署、易于扩展、高性价比的校园无线局域网设计。 关键词无线技术局域网 IEEE802.11 校园网
目录 第一章 WLAN在校园的应用概述 (1) 第二章校园网WLAN应用需求 (1) 第三章校园网WLAN设计思想 (3) 3.1 校园网WLAN设计原则 (3) 3.2 校园网WLAN设计思想 (4) 第四章校园网WLAN建设方案 (4) 4.1 物理设计 (4) 4.2 有线部分物理独立组网 (6) 4.3 无线覆盖方案 (7) 4.3.1覆盖区域 (7) 4.3.2设计指标、原则及覆盖方式 (7) 4.3.3室内覆盖 (8) 4.3.4室外覆盖 (11) 4.4 逻辑设计 (14) 4.4.1 SSID和VLAN (14) 4.4.2地址和路由 (16) 4.4.2.1 无线用户接入地址和路由规划 (16) 4.4.2.2 无线网络地址和路由规划 (16) 4.4.2.3 IPv6规划考虑 (17) 4.4.2.4认证和计费 (19) 第五章解决方案的设计亮点 (20) 5.1 高性能的IPv6和IPv4无线接入 (20) 5.2 基于个人用户的运营管理 (20) 5.3 支持数据、语音等多种业务,有其它智能业务扩展能力 (20) 5.4 满足校园特点的安全和可靠性 (21) 5.5 满足生产、运营网络要求的运维和管理 (21) 5.6 支持用户全网漫游 (21) 5.7 灵活部署、易于扩展、高性价比 (22)
校园网信息安全调查报告
2015 黄永乐 20132310 2015/12/30
目录 一.安财校园网现景 (3) 1.1 校园网建设过程 (3) 1.2 校园网完善 (5) 1.3 校园网安全设备 (6) 二.校园网安全建设 (7) 2.2 制度健全管理规范,确保网络管理有章可循 (8) 2.3 培养网络安全意识 (8) 2.4 强化网络系统安全隐患防范应对措施 (9) 2.5 定期系统安全监测 (10) 三.信息安全技术 (11) 3.1 隔离控制 (11) 3.2 杀毒软件 (12) 3.3 过滤邮件 (12) 3.4 入侵检测 (14) 3.5 VLAN技术 (15) 3.6 数据备份 (16) 四.校园网建设建议 (17) 4.1 延迟断网时间 (17) 4.2 提高校园网网速 (17) 4.3 何时校园网免费能实施 (17) 4.4 校园网保护学生隐私 (18)
摘要: 随着计算机网络技术的飞速发展,校园网普遍应用于高校信息数据管理,在接入Internet 同时,确保校园网安全至关重要,校园网安全故障需要及时排除,安全隐患更需严加防范。针对高校校园网网络系统现状,提出了强化校园网安全隐患防范对策。 关键词: 校园网络; 网络安全; 防范对策 一.安财校园网现景 1.1 校园网建设过程 信息化建设2001年以来,我校陆续建设了演播厅、学术报告厅贺多媒体教师150多间,所有媒体教室都和校园网相连,教师可以使用网络提供的数字图书资源、精品课程资源、多媒体课件资源等从事教育教学活动。 2007年一期数字化校园的总体建设目标:建设我校的信息标准,实现信息标准到应用过程的权限管理,制度满足应用变化的信息标准的实施规范。建设数字化校园公共平台,即综合信息门户,统一身份认证平台和数据交换与共享平台,实现用户整合、应用整合和数据整合。实现用户权限管理、统一身份认证、应用整合管理、单点登录贺
某高校校园网建设设计方案设计
科技学院 二○一三~二○一四学年第一学期 计算机网络大作业 校园网建设方案设计 班级:电子Z1111 学号: 姓名:
二○一四年一月目录
1.需求分析 1.1网络发展与需求 伴随着计算机、通信和多媒体等技术的发展,使得网络应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个具有先进性的、高速的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。作为校园网,需要连接多少个节点,怎样合理使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中,怎样使整个网络上的节点相互连通,这些问题仅仅是校园网需要解决问题中的一部分,更重要的问题是如何将这些资源有序地组织起来,需要实现什么功能,以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园部、校园与外部进行信息沟通的体系,建立满足教学、科研和管理需求的计算机环境,为学校各种人员提供充分的网络信息服务,在网络环境中进行教学、研究、收集信息等工作。为了使大学能够具有良好的网络环境为更多的学生和老师服务,设计并实现了大学校园网络。 校园需要的基本功能有: ●计算机教学,包括多媒体教学和远程教学; ●网络下载、网络聊天等; ●电子系统:主要进行与同行交往、开展技术合作、学术交流等活动; ●文件传输FTP:主要利用FTP 服务获取重要的科技资料和技术文挡; ●INTERNET 服务:学校可以建立自己的主页,利用外部网页进行学校宣传, 提供各类咨询信息等,利用部网页进行管理,例如发布通知、收集学生意见
和建议等。 ●图书馆的访问系统,用于计算机查询、计算机检索、计算机阅读等; ●对带宽的要求:音频信号和视频信号对网络带宽要求最严的数据信号,而且突发性很大,在网络中要时的和高质量的传输。当网络规模比较大,网络用户比较多,网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时,往往会对网络带宽带来压力,令网络带宽不堪负荷,造成网络拥塞,严重时会导致阻塞,使网络通信停顿。为了解决网络拥塞问题,必须对各种网络技术进行选择,以符合用户对网络实际应用所提出的各项要求,以最高的性价比,实现网络功能。 1.2现有基本状况介绍 学校有如下设施以及具体状况: 图书馆、院系部门到计算机网络中心之间的距离大于500米
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.360docs.net/doc/1a14369107.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.360docs.net/doc/1a14369107.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.360docs.net/doc/1a14369107.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.360docs.net/doc/1a14369107.html,
5
无线网络在校园网中的应用毕业论文
无线网络在校园网中的应用毕业论文 目录 一无线网络技术介绍 (3) 1 无线网络技术基本概念 (3) 2 无线网络的协议标准 (4) 二无线网络的应用 (7) 1 无线网络的特点与优势 (7) 2无线局域网拓扑结构 (8) 3无线网络通信安全 (11) 4无线网络的应用场合 (13) 三无线网络设备 (14) 1 无线网卡 (14) 2 无线AP (14) 3无线路由 (16) 4无线网桥 (17) 5无线天线 (18) 四校园网中的无线网络 (21) 1无线校园网概述 (21) 2校园网应用需求分析 (22) 3无线校园网方案产品选择 (23) 4 无线校园网关键技术 (23) 5无线校园网可行性分析 (26) 6网络设计原则 (26) 7无线校园网网络拓扑图 (27) 8无线校园网实施方案 (28) 9无线校园网安全方案 (32) 五无线校园网应用分析 (33) 1雪中送炭的无线网络 (33) 2画龙点睛的无线网络 (34) 3无处不在的校园网 (34) 总结 (35) 结束语 (36) 参考文献 (37)
一无线网络技术介绍 1 无线网络技术基本概念 WLAN是Wireless Local Area Network的缩写,指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使网络的构建和终端的移动更加灵活。 无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。 但是,仅仅从缆线这个角度来看待无线局域网是不够的——无线局域网已经重新定义了局域网。联接不仅仅是连接,“本地”的计量单位也从米延伸到了公里。基础设施不需要再埋在地下或隐藏在墙里,它已经能够随着公司的发展而移动或变化。 2 无线网络的协议标准 目前常用的无线网络标准主要有美国IEEE(电机电子工程师协会,
学校校园网络及信息安全管理制度
学校园网络及信息安全管理制度 学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理条例。 第一章总则 1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。 3、校园网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。 6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。 第二章网络安全管理细则 1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。 2、校园网由学校电教处统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由电教处分配的IP地址,网络管理员对入网计算机和使用者进行及时、
某高校校园网建设的方案设计.doc
苏州科技学院 二○一三~二○一四学年第一学期 计算机网络大作业 校园网建设方案设计 班级:电子Z1111 学号: 姓名: 二○一四年一月
目录
1.需求分析 1.1网络发展与需求 伴随着计算机、通信和多媒体等技术的发展,使得网络应用更加丰富。同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。因此需要一个具有先进性的、高速的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。作为校园网,需要连接多少个节点,怎样合理使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中,怎样使整个网络上的节点相互连通,这些问题仅仅是校园网需要解决问题中的一部分,更重要的问题是如何将这些资源有序地组织起来,需要实现什么功能,以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系,建立满足教学、科研和管理需求的计算机环境,为学校各种人员提供充分的网络信息服务,在网络环境中进行教学、研究、收集信息等工作。为了使延安大学能够具有良好的网络环境为更多的学生和老师服务,设计并实现了延安大学校园网络。 校园需要的基本功能有: ●计算机教学,包括多媒体教学和远程教学; ●网络下载、网络聊天等; ●电子邮件系统:主要进行与同行交往、开展技术合作、学术交流等活动; ●文件传输 FTP:主要利用 FTP 服务获取重要的科技资料和技术文挡; ●INTERNET 服务:学校可以建立自己的主页,利用外部网页进行学校宣传, 提供各类咨询信息等,利用内部网页进行管理,例如发布通知、收集学生意见和建议等。 ●图书馆的访问系统,用于计算机查询、计算机检索、计算机阅读等; ●对带宽的要求:音频信号和视频信号对网络带宽要求最严的数据信号,而且突发性很大,在网络中要求实时的和高质量的传输。当网络规模比较大,网络用户比较多,网络中的多个用户同时发起音频、视频信号和其它各种数据信号的传输时,往往会对网络带宽带来压力,令网络带宽不堪负荷,造成网络拥塞,严重时会导致阻塞,使网络通信停顿。为了解决网络拥塞问题,必须对各种网络技术
大学校园网设计方案组图
最佳校园工程设计帖-某大学校园网设计方案(组图) 概述 总设计师:讲师 机构:国家重点大学院校 校园占地面积:146.57万平方米 校舍建筑面积:1070875.64平方米 教职工人数:2000 学生总数::1.7万余人 网络面临的挑战:建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。 关键网络系统:3640路由器、2950 24口交换机(2950-24)、3550交换机、4006交换机
网络解决办法: 对校园网系统整体方案设计 对访问层交换机进行配置 对分布层交换机进行配置 对核心层交换机进行配置 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个校园网系统进行诊断 分析: 路由、交换与远程访问技术不仅仅是思科的课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用,其实,课程中的每个章节都对应着实际工程中的每个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,我们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。 路由技术:路由协议工作在参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(,),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 交换技术:传统意义上的数据交换发生在模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(,)的概念。将广播域限制在单个内部,减小了各间主机的广播通信对其他的影响。在间需要通信的时候,可以利用间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用中继协议(,)简化管理,它只需在单独一台交换机上定义所有。然后通过协议将定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中,也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
校园无线网络的应用与设计实现
目录 一无线网络技术介绍 (3) 1 无线网络技术基本概念 (3) 2 无线网络的协议标准 (4) 二无线网络的应用 (7) 1 无线网络的特点与优势 (7) 2无线局域网拓扑结构 (9) 3无线网络通信安全 (11) 4无线网络的应用场合 (13) 三无线网络设备 (14) 1 无线网卡 (14) 2 无线AP (15) 3无线路由 (17) 4无线网桥 (18) 5无线天线 (19) 四校园网中的无线网络 (21) 1无线校园网概述 (21) 2校园网应用需求分析 (22) 3无线校园网方案产品选择 (24) 4 无线校园网关键技术 (24) 5无线校园网可行性分析 (27) 6网络设计原则 (27) 7无线校园网网络拓扑图 (28) 8无线校园网实施方案 (29) 9无线校园网安全方案 (33) 总结................................................... 结束语.................................................... 参考文献.................................................. 无线网络在校园网中的应用 摘要 校园网已经成为校园生活的重要组成部分,是教职员工和学生获取资
源和信息的主要途径。它将校园里的院系、学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,在教育系统中具有重要的作用。目前,越来越多的学生拥有笔记本电脑,在教室、实验室、图书馆、大型会议室、体育馆、室外广场等场合如何突破网络节点限制、实现多人同时上网的问题在应用中不可避免。 无线网络解决方案能有效缓解校园网建设中存在的传统有线网络无法解决的难题,无线网络技术具有无缝三维覆盖、可移动通讯等优点,弥补了有线网络的不足。如果校园网中采用无线接人,这一切都会发生很大的变化。 由于无线局域网技术和无线产品的成熟,无线网络已经被越来越多的用户接受,在教育培训领域,越来越多的计算机网络系统设计师将无线网络吸纳成为一个必不可少的环节,无论是校园内部信息点的分布设计、校园内建筑物的网络连接,还是学校本部和分部的联网,无线网络产品均有惊人的用武之地。此外,无线网络环境的引入,为崭新的无线多媒体提供了应用平台,从而将教育信息化建设带入一个崭新的天地。 本毕业设计课题将主要以校园无线网的建设来展开论证,从中可能用到各种技术资料及实施方案为设计导向,为校园无线网的建设提供理论依据和实践指导。 关键字:无线网络、校园网、网络协议、无线路由、无线AP、WLAN 引言 学生们一边坐在草地上,惬意的喝着饮料,一边通过无线网络与专家、老师进行网上讨论,访问图书馆电子资源;课堂上老师和学生可以通过
高校网络信息安全存在的问题与对策研究
高校网络信息安全存在的问题与对策研究 1高校网络信息安全中存在的隐患 1.1操作系统中存在的安全问题 当前,UNIX, WINDOWS等是使用较为广泛的网络操作系统,但是这些操作系统中仍然存在着一系列安全问题,越来越多的新型计算机病毒是借助操作系统的漏洞来传染一些病毒。如果没有及时更新操作系统,对各种漏洞进行弥补,虽然已经将防毒软件安装在计算机上,但是仍然会感染病毒。 1.2病毒带来的危害 计算机系统是否能够正常运行会受到计算机病毒的影响,同时计算机病毒还会破坏系统软件、文件系统等,严重的情况下还会导致整个计算机系统瘫痪,最终威胁到高校校园网络的安全。 1.3黑客的攻击 大多数黑客不会自己分析以及操作系统,也不会自己编写工具,但是他们却会合理的运用自己手中的工具,端口扫描、监听等是黑客入侵的最常用的手法。 1.4不良信息的传播 在校园网络中接入互联网之后,教师与老师都可以借助校园网络进入到互联网中。当前,互联网上信息是多种多样的,各种各样的网站也是比较多的。这些不良的信息与法律法规中规定的内容不相符,不利于帮助学生形成正确的价值观。
1.5人员的安全意识淡薄 近几年来,在计算机信息技术的快速发展下,政府越来越重视高校的信息化建设,在政府的支持下校园网络得到了普及。同时随着网络端口的增多,越来越多的人开始上网,但是学校却没有在管理网络安全中投入较多的物力以及人力,这就导致网络信息中存在着安全隐患。 1.6其它高技术失窃密存在的隐患 当前,有一部分敌对势力窃取我国的经济、政治以及军事等机密信息的手段越来越多。例如:监听计算机等,这些手段可以监听到一些秘密信息,或者还会扰乱系统的正常运行。 2产生高校网络信息安全隐患的原因 2.1高校网络的速度较快、规模较大最早的宽带网络就是指高校网络,并且校园网络最初的宽带会受到因特网技术的影响。一般情况下,校园网络的用户群体较大,并且比较密集,正是由于这两个特点,网络安全问题一直存在着。 2.2高校网络中存在着较为复杂的计算机系统 在校园网络中,构建计算机系统以及管理计算机中存在着复杂,例如:通常情况下,学生寝室中的电脑都是自己花钱买的,并且都是自己进行维护;院系一部分老师的电脑也是自己买的,并且没有专门为其进行维护;然而学校统一购买的电脑会安排技术人员来对其维护,这种情况导致为所有的端口安装防病毒软件是存在着一定的问题。 2.3用户群体较为活跃 最为活跃的网络用户就是指高等院校的学生,这些学生对网络技术
高校校园网及网络设备配置整体解决方案
高校校园网整体解决方案 第一部分前言: 高校校园网一直是国内Internet发展的领头羊。1994年7月,中国教育和科研计算机网CERNET示范工程启动。也就是同一年,清华北大等顶尖大学建成了自己的校园网,事实上这些网络也是中国Internet的开端。高校校园网从1994年的启动建立到现在的13年间,无论是高校校园网的网络技术,还是高校校园网的关注要点,大致可以分为三个阶段。 第一阶段是基础设施建设时期,时间大约从1994年到2000年。这期间各种网络技术在高校同时都有应用:以太网技术,FDDI,ATM网络技术。在这个阶段,由于校园网应用的技术比较繁杂,而且业务相对单一,因此,这一阶段,主要关注网络的连通性和兼容性,即如何保证校园网的连通,和各种不同网络技术的兼容和融合。 第二阶段是应用平台建设时期,时间大约是从2000年到2005年。这期间,随着网络技术的发展,各种应用也开始出现并发展迅速,包括BBS、WWW、FTP、E-mail,以及近两年流行的BT下载、视音频业务等等,这些应用都对带宽提出了挑战。另一个在此阶段发展迅速的校园网应用就是IPTV,更是被成为带宽的杀手级应用。与此同时,网络技术--特别是以太网技术迅猛发展,1000M以太网已经步入校园,万兆标准也已经公布。结合实际应用和网络技术来看,这个阶段主要关注:带宽和应用。 第三个阶段是信息资源建设时期。时间从2005年至今,乃至今后几年时间内。近两年,万兆以太网已经开始在高校校园网中规模化应用,下一代以太网标准也已经确立为10万兆标准。同时,随着cernet2的启动,IPV6技术
也已经在校园网中实验并逐步应用。当基础设施、应用平台建设之后,信息资源的丰富与否决定了校园网络的真正价值。当信息资源充分丰富后,人们的工作、学习、生活、娱乐完全离不开网络,网络的安全与可信又成为头等重要的问题。纵观这两年整个网络世界,安全事件频发:冲击波、震荡波、ARP攻击等等。所以,安全可信成为了高校校园网当前关注的要点。 简单来说,对于校园网:丰富的应用是关键,而稳定可靠的网络是基础,完善的安全和管理手段是保障。 第二部分高校校园网现状分析: 前面简单回顾了高校校园网的发展历程,这可以作为当前校园网建设大方向的一个参考。下面结合高校校园网的建设,分析一下高校网络建设中普遍存在的需求: 1、随时随地接入的需求 首先,高校师生对于网络接入有着强烈的需求。原因有二:一方面,随着近年来国家对高等教育的大力发展和支持,高校在校生人数普遍呈现上升趋势。另一方面,是由于国家经济实力的增强,技术的发展带来的低成本,导致电脑的普及率也越来越高(据不完全统计,在很多的高校,台式/PC的拥有率可以达到70%)。 其次,在部分热点区域,或者难以布线的区域需要一种切实可行的高性价比的接入方式。也就是采用无线作为补充或者备份。比如广场/操场、体育馆、阅览室、会议室、阶梯教室等,这些区域对于笔记本用户需要能够提供接入服务,而这时有线接入是行不通的。又比如校内的某栋较偏远的办公楼或者某几栋家属楼,上网用户有限,进行独立布线成本较高,所以,同样需要进
校园网安全整体解决方案设计
封面 成都信息工程学院 课程设计 校园网安全整体解决方案设计 作者姓名:纪红 班级:信安08.4 学号:2008122127 指导教师:王祖俪 日期:2011年 12月10日
校园网安全整体解决方案设计 摘要 随着计算机网络技术的飞速发展,网络技术越来受到人们的重视,它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境,是校园网络科学化、正规化的重要条件,也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境,能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。 本设计详细分析了校园网的安全问题,本文在分析校园网原有的网络安全防范措施的基础上,针对校园网在运行中所遇到的实际问题,本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调试运行,总结,及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,防火墙等了解它们在校园网中的使用情况,及基本的配置过程,对电子邮件过滤检测,入侵检测,病毒监测,防火墙设置等多方面做了相应的综合性安全解决方案。 关键字:校园网系统,管理,设置,软件维护,邮件过滤,入侵监测,防火墙
目录 1 引言 (1) 1.1课题背景 (1) 1.2高校校园网的网络现状 (1) 1.3校园网安全问题分析 (2) 1.4校园网安全问题存在的原因 (3) 2安全解决方案设计 (4) 2.1需求分析 (4) 2.3网络设计原则 (4) 2.4网络拓扑图 (5) 2.5安全设计原则 (5) 3.功能设计 (6) 3.1防火墙设置 (6) 3.1.1部署防火墙 (6) 3.2建立入侵检测系统 (9) 3.3建立漏洞管理系统 (10) 3.4建立网络防病毒系统 (11) 3.5IP盗用问题的解决 (11) 3.6采用系统升级策略 (12) 3.7利用网络监听维护子网系统安全 (13) 3.8建立良好的管理体系 (13) 3.9部署W EB,E MAIL,BBS的安全监测系统 (13) 3.10部署内容安全管理系统 (15) 3.11使用校园网用户认证计费管理系统 (15) 4.代码实现部分 .......................................................................... 错误!未定义书签。 5.参考文献 (17)
校园无线网络设计方案
潍坊学院计算机工程学院 课程设计说明书 课程名称:网络系统集成综合设计 设计项目:无线校园网方案设计 学生姓名:潘彬彬 学号: 专业:网络工程 班级:2011级2班 指导教师:赵艳杰 2014 年9 月 一、任务与具体要求 设计一套较为完整的无线网络,以满足学校师生教学、办公、娱乐以及无线应急等项目。 二、设计说明书包括的内容 1、需求分析 2、无线网络的具体设计与实现 3、网络安全防护措施 三、应完成的图纸 四、评语及成绩 指导教师(签字)_____________ ________年____月____日
目录 一、前言...................................................... 1.1概述 ............................................................................................................................................... 1.2需求分析 ....................................................................................................................................... 1.2.1建设背景............................................................................................................................. 1.2.2总体建设目标..................................................................................................................... 1.2.3具体实施目标..................................................................................................................... 1.3校园无线网在教育中的发展与应用............................................................................................ 1.3.1教学网络............................................................................................................................. 1.3.2图书馆网络......................................................................................................................... 1.3.3行政办公网络..................................................................................................................... 1.3.4教工、学生宿舍网络......................................................................................................... 1.3.5无线应急网络..................................................................................................................... 二、校园无线网的设计方案...................................... 2.1概述 ............................................................................................................................................... 2.2 WLAN 的工作机制...................................................................................................................... 2.3硬件设备的选购............................................................................................................................ 2.3.1核心交换机的选购............................................................................................................. 2.3.2 POE交换机的选购 ............................................................................................................ 2.3.3光纤收发器的选购............................................................................................................. 2.3.4服务器的选购..................................................................................................................... 2.3.5无线路由器的选购............................................................................................................. 2.4校园无线网设计分析.................................................................................................................... 2.4.1设计原则............................................................................................................................. 2.5设计方案 ....................................................................................................................................... 2.5.1主要拓朴图......................................................................................................................... 2.5.2校园无线网络的三种典型应用及解决方案..................................................................... 三、安全防范.................................................. 3.1概述 ............................................................................................................................................... 3.2无线局域网的安全认证................................................................................................................ 3.2.1开放认证............................................................................................................................. 3.2.2共享密钥认证..................................................................................................................... 3.3安全运维管理................................................................................................................................ 3.4无线安全问题及对应策略............................................................................................................ 四、结束语.................................................... 五、参考文献..................................................
意识形态之学校校园网络及信息安全管理制度
学校校园网络及信息安全管理制度 学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理条例。 第一章总则 1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。 3、校园网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。 6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。 第二章网络安全管理细则 1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运