校園網(wǎng)基本網(wǎng)絡搭建及網(wǎng)絡安全設計分析

1、校園網(wǎng)基本網(wǎng)絡搭建及網(wǎng)絡安全設計分析摘要：伴隨著internet的日益普及，網(wǎng)絡應用的蓬勃發(fā)展，網(wǎng)絡信息資源的安全備受關注。校園網(wǎng)網(wǎng)絡中的主機可能會受到非法入侵者的攻擊，網(wǎng)絡中的敏感數(shù)據(jù)有可能泄露或被修改，保證網(wǎng)絡系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網(wǎng)絡拓撲結構和網(wǎng)組技術對校園網(wǎng)網(wǎng)絡進行搭建，通過物理、數(shù)據(jù)等方面的設計對網(wǎng)絡安全進行完善是解決上述問題的有效措施。關鍵詞：校園網(wǎng)；網(wǎng)絡搭建；網(wǎng)絡安全；設計。以internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡技術的應用日益普及和深入，伴隨著網(wǎng)絡技術的高速發(fā)展，各種各樣的安全問題也相繼出現(xiàn)，校園網(wǎng)被“黑”或被病毒破

2、壞的事件屢有發(fā)生，造成了極壞的社會影響和巨大的經(jīng)濟損失。維護校園網(wǎng)網(wǎng)絡安全需要從網(wǎng)絡的搭建及網(wǎng)絡安全設計方面著手。一、 基本網(wǎng)絡的搭建。由于校園網(wǎng)網(wǎng)絡特性（數(shù)據(jù)流量大，穩(wěn)定性強，經(jīng)濟性和擴充性）和各個部門的要求（制作部門和辦公部門間的訪問控制），我們采用下列方案：1. 網(wǎng)絡拓撲結構選擇：網(wǎng)絡采用星型拓撲結構（如圖1）。它是目前使用最多，最為普遍的局域網(wǎng)拓撲結構。節(jié)點具有高度的獨立性，并且適合在中央位置放置網(wǎng)絡診斷設備。2.組網(wǎng)技術選擇：目前，常用的主干網(wǎng)的組網(wǎng)技術有快速以太網(wǎng)（100mbps）、fddi、千兆以太網(wǎng)（1000mbps）和atm（155mbps/622mbps）。快速以太網(wǎng)是一種

3、非常成熟的組網(wǎng)技術，它的造價很低，性能價格比很高；fddi也是一種成熟的組網(wǎng)技術，但技術復雜、造價高，難以升級；atm技術成熟，是多媒體應用系統(tǒng)的理想網(wǎng)絡平臺，但它的網(wǎng)絡帶寬的實際利用率很低；目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術，造價低于atm網(wǎng)，它的有效帶寬比622mbps的atm還高。因此，個人推薦采用千兆以太網(wǎng)為骨干，快速以太網(wǎng)交換到桌面組建計算機播控網(wǎng)絡。二、網(wǎng)絡安全設計。待添加的隱藏文字內(nèi)容31.物理安全設計 為保證校園網(wǎng)信息網(wǎng)絡系統(tǒng)的物理安全，除在網(wǎng)絡規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術支持

4、下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面：對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、空調(diào)、消防控制線，以及通風、波導，門的關起等。對本地網(wǎng) 、局域網(wǎng)傳輸線路傳導輻射的抑制，由于電纜傳輸輻射信息的不可

5、避免性，現(xiàn)均采用光纜傳輸?shù)姆绞?，大多?shù)均在modem出來的設備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進行傳輸。2.網(wǎng)絡共享資源和數(shù)據(jù)信息安全設計 針對這個問題，我們決定使用vlan技術和計算機網(wǎng)絡物理隔離來實現(xiàn)。vlan（virtual localarea network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。ieee于1999年頒布了用以標準化vlan實現(xiàn)方案的802.1q協(xié)議標準草案。vlan技術允許網(wǎng)絡管理者將一個物理的lan邏輯地劃分成不同的廣播域（或稱虛擬lan，即vlan），每一個vlan都包含一組有著相同需求的計算機工

6、作站，與物理上形成的lan有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個vlan內(nèi)的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬于同一個物理lan網(wǎng)段。一個vlan內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其它vlan中，即使是兩臺計算機有著同樣的網(wǎng)段，但是它們卻沒有相同的vlan號，它們各自的廣播流也不會相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。vlan是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了vlan頭，用vlanid把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域

7、網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡。從目前來看，根據(jù)端口來劃分vlan的方式是最常用的一種方式。許多vlan廠商都利用交換機的端口來劃分vlan成員，被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)aaa，同一交換機的6，7，8端口組成虛擬網(wǎng)bbb。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡的升級。但是，這種劃分模式將虛擬網(wǎng)絡限制在了一臺交換機上。第二代端口vlan技術允許跨越多個交換機的多個不同端口劃分vlan，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡成員，其配置過程簡單明了。3.計算機病毒、黑客

8、以及電子郵件應用風險防控設計 我們采用防病毒技術，防火墻技術和入侵檢測技術來解決相關的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。第一，防病毒技術。病毒伴隨著計算機系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天都有新的病毒出現(xiàn)在internet上，并且借助internet上的信息往來，尤其是email進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。為保護服務器和網(wǎng)絡中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，天下論文網(wǎng)需要應用基于網(wǎng)絡的防病毒技術。這些技術包括：基于網(wǎng)關的防病毒系統(tǒng)、基于服務器的

9、防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如，我們準備在主機上統(tǒng)一安裝網(wǎng)絡防病毒產(chǎn)品套間，并在計算機信息網(wǎng)絡中設置防病毒中央控制臺，從控制臺給所有的網(wǎng)絡用戶進行防病毒軟件的分發(fā)，從而達到統(tǒng)一升級和統(tǒng)一管理的目的。安裝了基于網(wǎng)絡的防病毒軟件后，不但可以做到主機防范病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統(tǒng)，從而保證計算機網(wǎng)絡信息安全。形成的整體拓撲圖。第二，防火墻技術。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡安全專用設備，專門用于tcp/ip體系的網(wǎng)絡層提供鑒別，訪問控制，安全審計，網(wǎng)絡地址轉(zhuǎn)換（nat），ids，vpn，應用代理等功能，保護內(nèi)部局域網(wǎng)安全接入in

10、ternet或者公共網(wǎng)絡，解決內(nèi)部計算機信息網(wǎng)絡出入口的安全問題。校園網(wǎng)的一些信息不能公布于眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網(wǎng)網(wǎng)絡的訪問管理，杜絕敏感信息的泄漏。通過防火墻，嚴格控制外來用戶對校園網(wǎng)網(wǎng)絡的訪問，對非法訪問進行嚴格拒絕。防火墻可以對校園網(wǎng)信息網(wǎng)絡提供各種保護，包括：過濾掉不安全的服務和非法訪問，控制對特殊站點的訪問，提供監(jiān)視internet安全和預警，系統(tǒng)認證，利用日志功能進行訪問情況分析等。通過防火墻，基本可以保證到達內(nèi)部的訪問都是安全的可以有效防止非法訪問，保護重要主機上的數(shù)據(jù)，提高網(wǎng)絡完全性。校園網(wǎng)網(wǎng)絡結構分為各部門局域網(wǎng)（內(nèi)部安全子網(wǎng)）和同時連接內(nèi)部網(wǎng)絡并向外提供各種網(wǎng)絡服務的安全子網(wǎng)。防火墻的拓撲結構圖。內(nèi)部安全子網(wǎng)連接整個內(nèi)部使用的計算機，包括各個vlan及內(nèi)部服務器，該網(wǎng)段對外部分開，禁止外部非法入侵和攻擊，并控制合法的對外訪問，實現(xiàn)內(nèi)部子網(wǎng)的安全。共享安全子網(wǎng)連接對外提供的web，email，ftp等服務的計算機和服務器，通過映射達到端口級安全。外部用