2022年某高校网络安全解决方案 .pdf
项目概述:1 学校概况2 需求调查和分析3 网络拓扑图4 主要设备选型5 综合布线系统设计6 网络安全设计7 计费系统设计8 网络管理系统精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 1 页,共 14 页1 学校概况建设目标(1) 完善计算机网络与信息中心建设, 提供更新更全的 Internet 服务功能、文件服务、素材软件下载、VOD 教学视频点播、网络视频会议、校园网站建设、校园BBS 公告公用信息的发布等达到高水平服务;(2) 为教职工对外联系交流、 查询、网络教学创造条件, 通过网络密切与国内外的学术联系, 提高学校的教学、 教研水平。 为全体教师和学生提供足够数量的联网微机、在每间教室配备大屏幕;(3) 建设校行政管理信息系统, 实现管理现代化,增强教育管理的科学性。通过实现办公自动化,提高学校各级管理的效率和水平;(4) 实现学校主要的教学、教研、管理计算机联网;建设意义随着当代信息技术的发展,随着多媒体计算机在教育教学过程中的应用越来越普遍,校园网络的建设提到了重要的议事日程。校园网建设是教育信息化建设的重要组成部分,是全面实现素质教育的重要手段,是实现教育现代化的重要标志,校园网是学校信息基础设施。校园网的规模、网络性能、应用水平和普及程度已成为衡量一所院校办学水平高低的重要标志之一。网络现状目前学校拥有计算机大约5000 多台,主要集中于实验楼、图书办公楼、校园文化中心。实验楼拥有200 台,教室单独放置,没有网络;图书办公楼有30 台,其主要功能为日常办公和学生学籍管理、财务管理,多为工作组小型网络,各个部门没有互联互通;文化中心拥有6 个计算机教室,和 12个多媒体阶梯教室,每个计算机教室拥有60 台计算精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 2 页,共 14 页机,且计算机教室独自成网,不能互通,多媒体阶梯教室各配置一台多媒体 PC,没有网络连接。综上所述:学校计算机网络覆盖率低,且现有网络不能互通。建设校园网络,创建丰富多彩的校园网络文化对于转变陈旧教育思想和观念,促进教学内容、教学方法、教学结构和教学模式的改革,加快建设教育手段和管理手段的现代化有决定性作用,尤其是对于深化基础教育改革,提高教育质量和效益,培养“ 面向现代化,面向世界,面向未来” 的创新人才更具深远的意义。2 需求调查和分析职位人数要求的服务教师200 查阅,下载资料,制作课件邮件,网络教学,记录成绩,BBS 学生4000 查阅,下载资料,邮件,BBS 教务处20 学籍管理,成绩管理,发布信息财务处20 记录学费。发布信息学生勤管中心10 邮件管理,发布信息,精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 3 页,共 14 页经分析可得到该校园网应该提供的网络服务有:电子邮件服务:主要进行师生交流、学术探讨;WWW 服务:进行对外宣传及对内的信息发布;FTP服务:用来获取学习资料及技术文档;视频点播服务:供师生娱乐;BBS 服务:提供学生,教师之间的交流的空间3 网络拓扑图4 主要设备选型中心服务器中心服务器是整个网络的核心部分。中心服务器是整个网络中网络服务的提供者,它的性能优劣直接影响整个网络的工作效率,它的不稳定又会给网络造成很大的损失。因此在服务器的选型上应考虑如下问题:精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 4 页,共 14 页1. 高可靠性2. 高效性3. 可扩展性和兼容性由于校园网数据量比较大、 访问人员比较多,同时承担了大量局域网数据的传输、服务等工作, 对服务器的容错性有较高的要求。根据容错技术的现状, 我们选用了两台美国 DEC 公司的 Prioris ZX6000 服务器。基于高能奔腾( PentiumPro)处理器的 Prioris ZX6000MP 服务器为访问客户机 /服务器应用和数据库提供了最快的、最肯定的机制, 并且配有先进的冗余功能和容错设施从而保证持续不断的高性能及配合未来的可扩充能力。特性:?具有 267MB/秒峰值带宽的双对等PCI 总线?PCI RAID 、PCI FAST WIDE SCSI 接口和 PCI 快速以太网支持?可变速冗余风扇;可选的冗余电源;七个集成的热插拔硬盘托架随机赠送。?支持 DIGITAL Windows NT 集群系统?具有数据库和文件服务的容错能力?支持所有的工业标准的操作系统?最大的可扩充性,可以有多达2.0GB ECC 内存,1TB 外存和 12 个 I/O 槽?先进的 256 位四路交叉访问内存结构?具有先进的可管理性, 集成 I2C 接口,通过操作控制员控制面板可监视系统状态 /报警,借助 DIGITAL 享有声誉的 SERVERWORKS 管理程序进行监视。为了加强网络中心的容错性我们采用双机热备份的方案,核心交换机选型的产品线很多,适合千兆网主干的产品有系列、系列、系列、系列等。网络系统需要在可靠性、扩充能力等方面具有很好的性能并且必须支持多层交换,系列具有高端口密度和很好的网络交换性能, 但不能支持多层交换, 所以不能满足需要; 系列推出很早, 是一个成熟稳定的产品, 其交换性能和对新型技术的兼容能力要逊色一些,它也不是本次校园网设计首选;系列从性能、 技术都能满足校园网的需要, 而系列由于具有更高要求的关键企业的关键应用,对用户而言性能价格比不如, 因此本次设计选用系列作为校园网的中心交换机。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 5 页,共 14 页()系列中心交换机的主要性能:的底板带宽;的多层交换;个插槽,但最多可有个用户插槽;()支持模板端口千兆位以太网;端口以太网;端口以太网;端口以太网或;()多层交换机模块设计在网络中心选用一台中心交换机,配置一个热冗余电源、一块交换引擎、一块多层交换模块、两块端口千兆网端口、由于交换引擎上还具有个千兆口, 因此设备具有个可用的千兆口,主干交换机上还配置一块端口自适应端口,方便连接机房及本层的终端。分布层交换机选型选择分布层交换机要更具各子网的需求而定:()教学子网:校园网建网的目的之一是利用计算机网络实现多媒体教学。在教学过程中,大量传送的是文本、图像和部分视频等数据,对速度要求较高,所以设计时推荐所有教学用端口全部采用交换式100M 以太网口;()办公子网:办公子网主要面向学校的各级领导以及各职能部门,办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作。只有网络数据传输快, 才能更好地提高办公效率。 同时,办公计算机应该能够达到支持视频传送的要求。鉴于办公子网将支持视频功能,设计推荐采用交换式100M端口;(3)娱乐子网:宿舍区子网即在学生宿舍内部联网,学生可以直接浏览学校发布的信息及查阅一些电子文档,也可以在宿舍接收老师的远程教学,后勤子网主要为食堂提供售饭一卡通计费系统等,由于宿舍区覆盖范围较广, 故在宿舍精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 6 页,共 14 页区设一个网络分中心, 以减少至网络中心的光纤数量。 在宿舍区网络分中心内配置一台 CISCO3508中心交换机,并通过光纤与网络中心直接相连。所以选择各子网的交换机时, 通过整个网管系统将各个子网划分在不同的虚拟子网中, 这样既满足了各子网与主干网的连接,又减少了投资、 方便了管理。各子网的工作组交换机均选择CISCO 的 catalyst 3500XL 系列交换机中的3548和 3548接入层层交换机选型为了满足大量计算机的接入网络,我们需要交换机要有大量的端口,特别是在校园网中,用户量大!所以我们学则的1 924系列交换机。它具有 24 各固定以太网端口。5 综合布线系统设计系统设计本系统遵循ISO/IEC 11801:11801 、GB/T 50312-2007 、GB/T 50311-2007 标准设计。采用普天超5 类 50/125 微妙光纤解决方案,整个布线系统由工作区子系统,水平干线子系统,管理间子系统,主干子系统,设备间子系统,建筑群子系统等六个子系统构成。工作区子系统工作区子系统主要由各个工作区域构成,主要包括终端连接跳线、信息插座和终端设备如计算机、电话等,以上均为超五类配置。信息座有墙上型、地面型、桌上型等多种。根据各工作区信息点位置的不同,应选择相应的信息插座。 本方案采用墙面型插座,安装时根据装潢的具体情况,可安装在墙面上,也可安装在隔断上。每个信息插座旁边要求有1-2 个单相电源插座以供计算机设备使用, 信息插座与电源插座间距不得小于20cm, 信息插座的位置一般放在离地30cm 的地方 ,方便、美观且考虑防尘、 防水。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 7 页,共 14 页水平布线子系统水平布线子系统水平子系统是指从各配线架到工作站各信息插座的线路。采用普天的超五类四芯 UTP( 非屏蔽双绞线 )这种配置现存的和已规划的系统,为将来网络重组也提供了最大的灵活性。 它达到了国际EIA/TIA的五类标准。 即满足现在的需要, 也满足不断发展变化的要求。为了设计出最短的电缆布线路由, 降低布线的费用, 同时也为了设计出满足用户要求的路由 , 减少数据信息在传输中的损耗和干扰, 我们建议采用金属线槽, 尽量减少弯曲, 与强电等干扰源平行时保持20cm 以上的距离。我们关注与水平布线相关的问题, 如吊顶金属线槽的走向及尺寸, 墙面金属管道的直径及走向, 地板下金属通道的大小及走向。为了抑制电缆中的EMI 噪声 ,必须采用屏蔽法:金属管道接地。为了:减少感应的电压和信号辐射;保护在规定范围内的线路不受外界产生的EMI 的干扰。管理子系统管理子系统由配线架、机柜所组成,在配线架上使用色标来区分水平线缆和连接在配线架上的设备端接线缆。本管理间语音、 数据系统管理为互连管理方式,系统语音管理点设在设备间。在管理间采用标准19 英寸标准机柜安装配线架,该种安装方式可便于系统的使用、维护、维修等,并且可保护系统的设备免受外界环境的影响延长系统的使用寿命。19英寸标准机柜在机柜箱体表面进行喷塑处理。按国家标准外表面达到2 级,内表面达到4级。亚光喷塑表面,色泽均匀。 机柜箱体表面平整度在1 平方米面积内不超过1 毫米。 门与门框的缝隙不超过1.2 毫米,且四周缝隙均保持一致。能够保证十年内在外观、性能等方面保持原有质量水平。机柜外壳颜色为灰色。由于管理间内要安装网络设备,因此管理间需进行必要的装修或同等条件的办公室内,并配备照明设备以便于设备维护,同时为保证网络的可靠运行,管理间内应配备三组独立供电的 220V 电源插座。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 8 页,共 14 页主干子系统主干子系统是整个建筑物综合布线系统的一部分,它提供建筑物内综合布线系统的主干电缆,它必须能满足当前的系统需求,又能适应今后的发展。通常由大对数铜缆和光缆组成,它的一端接在设备机房的主配线架上,另一端接在分配线间的分配线架上。设备子系统设备子系统由主配线架、设备间中的跳线电缆、适配器组成,它把主配线架与各种不同设备互连起来,如网络设备、程控交换机等。建筑群子系统各楼可采用光纤和主楼进行互连。建筑群数据主干建议采用八芯单光纤进行连接,具有冗余性和可扩充性。整个系统综合采用统一标准的配线组和模块化结构统一布线、一次完成。它的每一个子系统都是一个相互独立的单元组,改变任何一个子系统、不影响其他子系统的正常运作。6 网络安全设计鉴于学校自身的特点, 系统的可靠性及安全性尤其重要,遵循本系统设计原则中两点,制定出以下细则:系统的安全性,由于学校自身的特点,系统必须具有较高的安全保密性能,本系统应针对不同的对象、 环境、防止非法侵入和机密泄露, 避免灾难性事件的发生。?环境安全性主要是网络、微机所在环境的安全性,所以在主机房的设计方面一定要在UPS电源保障、通风设备、消防设备、烟火预警、监控等方面要考虑周全,按照国家标准进行设计,避免灾难性事件的发生。?设备安全性精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 9 页,共 14 页所选用的网络设备 ,服务器、微机设备,其质量必须稳定可靠、服务过硬,并能通过美国 FCC CLASS B 级标准,尽可能地减少电磁泄漏量,以保证数据和人体的安全性。?应用系统设计安全性所选的网络操作系统、 数据库开发平台工具必须能够提供多级安全机制,如多级口令、备份、数据恢复等。2.系统的可靠性对于学校来说, 一个系统的正常运行尤为重要, 一旦在关键时刻系统出现过障率小,便于维护。在系统结构设计中应充分考虑到网络的负载,尽可能避免网络瓶颈, 以及对过障点的隔离作用。?物理结构上采用双环树型和星型拓扑结构,其单点的过障不会对其他工作点产生、影响。?对于数据的安全可靠性,可以采用如服务器镜像、RAID 5 磁盘阵列、联机磁带备份等手段来提高网络数据的可靠性为提高网络的安全性所作的措施:1出口安全接入路由器上的 NAT 设置由于目前 IP 地址资源非常短缺,不能给校园网的所以用户都分配一个公网IP 地址,为了解决这个问题,在接入路由器上启用NAT 功能将更好的解决这一问题。接入路由器上的 ACL 设置路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。 路由器上的访问控制列表ACL 是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。对ACL 的设置包括一下几个方面:对外屏蔽简单网管协议SNMP 对外屏蔽远程登录协议Telnet 对外屏蔽其他不安全的协议或服务精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 10 页,共 14 页针对 DOS DDOS 攻击保护路由器自身安全接入路由器防火墙的开启接入路由器上配备防火墙, 为了保护整个校园网和路由器本身,路由器上的防火墙要开启。2通信子网安全VLAN 技术根据 VLAN 划分的手段与设备支持的功能,我们建议以国际标准的802.1Q 的通用标记来实现虚拟网络的划分。 至于网络划分的策略手段我们考虑以下几种划分方法:(1)根据端口定义对于校方的网络我们主要采用这种方式进行VLAN 的划分。(2)根据 MAC 地址定义对于校内讲课用的机动电脑, 就可以采用这种方式进行VLAN 划分,终端不论走到任何信息点, 同过判定移动终端的MAC 地址,都能使该机器进入相应的网络。(3)根据 IP 广播组划分以上说的每种划分方法的侧重点不同,所达到的效果也不近相同。 根据校园网的实际应用情况, 减少网络复杂性的考虑, 我们采用基于端口大方式简单的划分 VLAN ,所有的 VLAN 通过第三层交换机来共享网络中心的系统资源。对于不同级别的用户进行划分, 对于内部的应用, 根据安全的级别与业务的种类进行端口划分。其它的划分方式根据具体的情况进行特殊的划分,比如我们可以部分采用广播组划分的方式, 这种方法对校内来讲可以对于VOD 系统的应用来实现网络视频广播, 对接受视频广播的终端加入到同一网络中,有效地抑制广播, 也提高了网络的利用率。生成树协议( STP)的开启当校园网内网络交换机数量的增多、交换机间链路增加时, 交换网络的复杂性可能会造成交换环路的问题,这时就需要在各交换机上运行生成树协议来解决。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 11 页,共 14 页3管理 VLAN 的配置通过设置管理 VLAN ,可以对整个校园网内的所有交换机进行管理,不用亲自到每个交换机前去检查交换机的配置信息,这样即安全又方便。7 计费系统设计根据常用的计费系统选择一种计费方式目前常见计费系统的计费方式包括以下几种: .包月制一每用户在某个应用上每月付固定费用。.按时间计费一计费的单位可以是以用户使用分钟数计算。.按交易计费一根据用户使用服务的交易次数计费。.按流量计费一根据用户使用的网络流量进行计费。.按服务质量计费一根据给用户提供的服务的QoS 计算费用。.固定费用加浮动费用方式。8 网络管理系统一个大型的网络系统离开网络管理功能将严重影响网络运行性能,浪费网络资源,造成大量不必要的重复维护工作。特别在学校校园系统的企业网中, 存在大量用户, 各用户以不同的业务关系或其他关系相对独立地组成各局域网子系统,依靠其子系统的支撑平台,进行数据信息的交流; 各子系统之间凭借广域网通道连接,完成日常工作中远程信息交流,这种分布式的工作方式保证了各子系统运行的独立性,从而相应提高了校园网系统运行的可靠性,但相对分散的的处理方式使资源共享性和透明性受到抑制,各子系统外用户对非本部门的资源的利用较困难,同时由于教学行业工作特殊性限制,信息流量在局部范围内的突发精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 12 页,共 14 页传送相当频繁,将会导致某些信息通道的瓶颈,造成运行中断。除了资源的分散性和流量的不可预测性外,将来结构的多种化和分布式使网络整体维护工作相当困难。针对以上实际情况, 网络管理系统应主要对网络资源的配置管理、过障管理、性能管理、记帐管理、安全管理等方面有全面有效的解决方案。考虑到无论是广域网还是局域网,基本采用CISCO 公司的设备,因此,我们选择 CISCO 公司的 CISCO WORKS 作整个网络的管理软件。它是基于SNMP 的网络管理软件,可把一切支持SNMP 的网络设备纳入管理范围。CISCO WORKS 具有强大的网络管理功能,主要包括以下几项内容:1. 网络设备的监视?能够自动检测网络上的所有设备?监视支持 SNMP 协议的 HUB 的所有端口的通道信息, 能够得到它的利用率、错误率等信息?动态监视和显示交换机每个端口的通信信息?能够绘制整个网络的逻辑拓扑结构?支持 TRAP 和 POOL 的工作方式?能够在屏幕上绘制HUB 的图形及每个端口的状态1. 网络设备的设置精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 13 页,共 14 页通过此软件可以对交换机、路由器、集中器及其它设备修改其配置信息,方便了网络设备的管理。2. 过障预警当网络出现性能问题或过障时,能够通知管理者及时处理。精选学习资料 - - - - - - - - - 名师归纳总结 - - - - - - -第 14 页,共 14 页