网络安全大作业 校园网络设计.pdf

《网络安全大作业 校园网络设计.pdf》由会员分享，可在线阅读，更多相关《网络安全大作业 校园网络设计.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、题题目目姓名：姓名：姓名：姓名：姓名：姓名：班级：班级：计算机计算机 073073学号：学号：07013663 07013663班级：班级：计算机计算机 073073学号：学号：07013610 07013610班级：班级：计算机计算机 073073学号：学号：07013668 07013668计算机与信息学院计算机与信息学院二零一零年六月二零一零年六月（为本方案的主要负责同学）（为本方案的主要负责同学）一、方案背景介绍一、方案背景介绍XXXX 中学校园网络中学校园网络1212 幢楼宇约幢楼宇约 458458 个信息点。其中个信息点。其中 1 1 幢办公楼幢办公楼 3232 个信息点，个信息点

2、，3 3 幢教学楼幢教学楼6060 个信息点（个信息点（19+20+21=6019+20+21=60），7 7 幢教师宿舍楼幢教师宿舍楼 172172 个信息点个信息点（21+21+28+28+27+36+11=17221+21+28+28+27+36+11=172），1 1 幢教辅用房硅步楼幢教辅用房硅步楼 194194 个信息点个信息点（122+60+12=194122+60+12=194）。主干网络提供主干网络提供 1000M1000M 带宽，到桌面提供带宽，到桌面提供 100M100M 带宽，连接带宽，连接 1515 幢楼宇，校幢楼宇，校内互联，内互联，学校各部门子系统连接校园主干网口

3、，学校各部门子系统连接校园主干网口，各网段内、各网段内、各网段之间计各网段之间计算机互访和校内资源共享；算机互访和校内资源共享；校园网与国际互联网相连：局域网内的计算机通过校园网与国际互联网相连：局域网内的计算机通过 WWWWWW 服务器代理服务器代理网。网。核心内部网络建设，包括核心内部网络建设，包括 DNSDNS 服务器、服务器、EMAILEMAIL 服务器、服务器、WWWWWW 服务器、服务器、FTPFTP服务器、服务器、BBSBBS 服务器、数据库服务器等，对外能与服务器、数据库服务器等，对外能与 InternetInternet 互联，对内互联，对内提供校内各种局域网的接口，提供提供

4、校内各种局域网的接口，提供 InternetInternet 服务，如电子邮件、远程登服务，如电子邮件、远程登陆、文件传输、信息查询等。陆、文件传输、信息查询等。提供网络教学环境：网络提供视频、提供网络教学环境：网络提供视频、音频、课件在校园网内传输，提供视音频、课件在校园网内传输，提供视频点播系统服务；频点播系统服务；提供办公自动化管理服务：进行各类公文收发、分类的处理；提供办公自动化管理服务：进行各类公文收发、分类的处理；提供远程用户访问服务。提供远程用户访问服务。二、方案设计任务分工二、方案设计任务分工方案设计，找资料：龚卓成方案设计，找资料：龚卓成,陈林滔陈林滔开题报告：龚卓成，陈林滔

5、开题报告：龚卓成，陈林滔解决方案报告撰写：何骏解决方案报告撰写：何骏,龚卓成龚卓成解决方案报告修改：何骏解决方案报告修改：何骏,陈林滔陈林滔三、需求分析三、需求分析从对内安全和对外安全两个角度进行分析从对内安全和对外安全两个角度进行分析:1.1.来自外部网络的安全威胁来自外部网络的安全威胁由于需要，由于需要，网络与外部网络进行了连接，网络与外部网络进行了连接，这些连接集中在安全威胁的第一这些连接集中在安全威胁的第一层，层，包括：包括：如果内部网络和这些外部网络之间的连接为直接连接，如果内部网络和这些外部网络之间的连接为直接连接，外部网外部网络则可以直接访问内部网络的主机，络则可以直接访问内部网

6、络的主机，若内部和外部没有隔离措施，若内部和外部没有隔离措施，内部系内部系统较容易遭到攻击。统较容易遭到攻击。由于需要，学生和教师在非校区内使用由于需要，学生和教师在非校区内使用 ISPISP 拨号上网连接上拨号上网连接上 InternetInternet，进入学校内部网网络，这时非法的进入学校内部网网络，这时非法的 internetinternet 用户也可以通过各种手段访用户也可以通过各种手段访问内部网络。问内部网络。这种连接使学校内部网络很容易受到来自这种连接使学校内部网络很容易受到来自 internetinternet 的攻击。的攻击。攻击一旦发生，攻击一旦发生，首先遭到破坏的将是办公

7、自动化网的主机，首先遭到破坏的将是办公自动化网的主机，另外，另外，通过使通过使用连接托管服务器网站与办公自动化网的用连接托管服务器网站与办公自动化网的 DDNDDN 专线，专线，侵入者可以继续攻击侵入者可以继续攻击托管服务器网站部分。攻击的手段以及可能造成的危害多种多样。托管服务器网站部分。攻击的手段以及可能造成的危害多种多样。1.1.对外安全分析对外安全分析安装软件、硬件防火墙，网络防病毒软件，客户端防病毒软件安装软件、硬件防火墙，网络防病毒软件，客户端防病毒软件利用代理服务器提供利用代理服务器提供 InternetInternet 与与 IntranetIntranet 之间的防火墙功能之

8、间的防火墙功能通过网管软件实时记录网络的运行状态。通过网管软件实时记录网络的运行状态。2.2.来自内部网络的安全威胁来自内部网络的安全威胁网络上的节点众多，网络上的节点众多，网络应用复杂，网络应用复杂，网络管理困难。网络管理困难。这些问题主要体现在这些问题主要体现在安全威胁的第二和第三个层面上，具体问题：安全威胁的第二和第三个层面上，具体问题：网络的实际结构无法控制；网络的实际结构无法控制；网管人员无法及时了解网络的运行状况；网管人员无法及时了解网络的运行状况；无法了解网络的漏洞和可能发生的攻击；无法了解网络的漏洞和可能发生的攻击；对于已经或正在发生的攻击缺乏有效的追查手段；对于已经或正在发生

9、的攻击缺乏有效的追查手段；访问控制的问题访问控制的问题2.2.对内安全分析对内安全分析利用利用 VLANVLAN 的安全特性，按照学校各部分的基本工作性质结合楼宇的分布的安全特性，按照学校各部分的基本工作性质结合楼宇的分布划分子网网段划分子网网段一方面对子网内信息点设置访问控制，一方面对子网内信息点设置访问控制，另一方面对不同子网的访问进行控另一方面对不同子网的访问进行控制。制。服务器访问控制：通过密码、口令（不定期修改、定期保存密码与口令）服务器访问控制：通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，等禁止非授权用户对服务器的访问，以及对办公自动化平台、以及

10、对办公自动化平台、教务管理平教务管理平台的访问和管理台的访问和管理采用有效的扫描工具，采用有效的扫描工具，定期对网络进行扫描，定期对网络进行扫描，发现网络结构的变化，发现网络结构的变化，及时及时纠正错误纠正错误使用有效的工具，及时发现错误，关闭非法应用，保证网络的安全使用有效的工具，及时发现错误，关闭非法应用，保证网络的安全进行客观的网络风险评估，进行客观的网络风险评估，及时发现网络中的安全隐患，及时发现网络中的安全隐患，并提出切实可行并提出切实可行的防范措施的防范措施记录攻击行为的全过程，为调查工作提供依据记录攻击行为的全过程，为调查工作提供依据四、四、网网络安全设计方案络安全设计方案楼 宇

11、 交 换 机桌 面 交 换 机楼 宇 交 换 机网管交 换 机桌 面 交 换 机DNSDNS对内安全：对内安全：a)a)利用利用 VLANVLAN 的安全特性，的安全特性，按照学校各部分的基本工作性质结合楼宇的按照学校各部分的基本工作性质结合楼宇的分布划分子网网段：分布划分子网网段：192.168.10192.168.10 段，办公楼；段，办公楼；192.168.20192.168.20 段，教师周转房段，教师周转房（1 1，2 2）；192.168.30192.168.30 段，为临江园段，为临江园 2 2 幢教师住宿楼，幢教师住宿楼，192.168.40192.168.40 段为硅步段为硅

12、步楼，楼，192.168.50192.168.50 段为段为 2 2 号教师住宿楼，号教师住宿楼，192.168.60192.168.60 段为段为 1 1 号教师住宿楼。号教师住宿楼。192.168.70192.168.70 段为段为 3 3 幢教学楼。一方面对子网内信息点设置访问控制，另一幢教学楼。一方面对子网内信息点设置访问控制，另一方面对不同子网的访问进行控制。方面对不同子网的访问进行控制。b)b)服务器访问控制：通过密码、口令（不定期修改、定期保存密码与服务器访问控制：通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、教务管口令）等

13、禁止非授权用户对服务器的访问，以及对办公自动化平台、教务管理平台的访问和管理理平台的访问和管理对外安全：对外安全：安装软件、硬件防火墙，网络防病毒软件，客户端防病毒软件；利用代安装软件、硬件防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供理服务器提供 InternetInternet 与与 IntranetIntranet 之间的防火墙功能；之间的防火墙功能；通过网管实时记录通过网管实时记录网络的运行状态。网络的运行状态。网络可靠性设计：网络可靠性设计：网络主干采用基于树型的多星型结构，网络主干采用基于树型的多星型结构，使之具有链路冗余特性，使之具有链路冗余特性，能使树型中能使树型

14、中有一线路出现故障时，只有本线路出故障，其它网络部分仍然能正常运行。有一线路出现故障时，只有本线路出故障，其它网络部分仍然能正常运行。接入接入 InternetInternet：采用采用 DDNDDN 接入。接入。DDNDDN 是英文是英文 Digital Data NetworkDigital Data Network 的缩写，这是随着数据的缩写，这是随着数据通信业务发展而迅速发展起来的一种新型网络。通信业务发展而迅速发展起来的一种新型网络。基于端口的虚网划分；基于端口的虚网划分；利用利用 VIANVIAN 国际标准国际标准 802.1Q802.1Q，实现跨交换机的，实现跨交换机的 VLAN

15、VLAN，通过，通过 IEEE802.1dIEEE802.1d 协议所支协议所支持的生成树技术（持的生成树技术（Spanning TreeSpanning Tree），实现各中继之间的负载均衡；，实现各中继之间的负载均衡；采用采用 VLANPruningVLANPruning 技术来优化交换网络中广播对网络性能的影响；技术来优化交换网络中广播对网络性能的影响；网络管理方案设计：网络管理方案设计：根据学校和服务器应用模式及全网范围资源集中管理的原则，根据学校和服务器应用模式及全网范围资源集中管理的原则，建立网管中心建立网管中心（中（中心机房）心机房），统一网络中的交换设备的管理配置，虚网设计和配

16、置，各种服务建立，统一网络中的交换设备的管理配置，虚网设计和配置，各种服务建立等。等。建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据道德修养。对重要部门和信息，严格做好开机查毒，及时备份数据.对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管的管理功能、加强计算机及网络的立法和执法力度等方面。加强

17、计算机安全管理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识理、加强用户的法律、法规和道德观念，提高计算机用户的安全意识.对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、对计算机用户不断进行法制教育，包括计算机安全法、计算机犯罪法、保密法、数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵数据保护法等，明确计算机用户和系统管理人员应履行的权利和义务，自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及

18、网络系统的安全，制原则，自觉地和一切违法犯罪的行为作斗争，维护计算机及网络系统的安全，维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自维护信息系统的安全。除此之外，还应教育计算机用户和全体工作人员，应自觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护觉遵守为维护系统安全而建立的一切规章制度，包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。理制度、专机专用和严格分工等管理制度。网管工作站对全网所有交换设备和

19、路由设备进行统一管理、配置和维护；进行网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护；进行故障隔离、分析、统计、报警、设置；网管软件采用图形化界面，支持广泛的故障隔离、分析、统计、报警、设置；网管软件采用图形化界面，支持广泛的网管平台。网管平台。物理安全层面：物理安全层面：对计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、对计算机系统的安全环境条件，包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面执行设备所规定的标准振动和冲击、电气干扰等方面执行设备所规定的标准机房场地环境的选择机房场地环境的选择计算机系统选择一个合适的安装场所十分重要。

20、它直接影响到系统的安全性和计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗可靠性。选择计算机房场地，要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的电磁干扰性，避开强振动源和强噪声源，并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。下层或隔壁。还要注意出入口的管理。机房的安全防护机房的安全防护为了防止未经过授权的个人或者团体篡改数据盗窃计算机设备，应做到物理访为了防止未经过授权的个人或者团体篡改数据盗窃计算机设备，应做到物理访问

21、控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须问控制来识别访问用户的身份，并对其合法性进行验证；其次，对来访者必须限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防限定其活动范围；第三，要在计算机系统中心设备外设多层安全防护圈，以防止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。止非法暴力入侵；第四设备所在的建筑物应具有抵御各种自然灾害的设施。五、总结五、总结拥有一个高水准的校园网，必将促进校园网络应用向拥有一个高水准的校园网，必将促进校园网络应用向 WWWWWW、E-mailE-mail、FTPFTP 的更高的更高层次应用发展。计算机网

22、络技术的发展，引发了学校各项工作的深刻变革。高层次应用发展。计算机网络技术的发展，引发了学校各项工作的深刻变革。高性能校园网的建设大大提高了学校的管理水平，为师生员工更好地进行教学、性能校园网的建设大大提高了学校的管理水平，为师生员工更好地进行教学、科研等提供了先进的平台，极大地推动了学校的信息化建设。统一平台、整合科研等提供了先进的平台，极大地推动了学校的信息化建设。统一平台、整合资源，将很多原来划分在不同部门、不同系统的应用放在一个同时兼具高度灵资源，将很多原来划分在不同部门、不同系统的应用放在一个同时兼具高度灵活性、稳固的校园网平台上，产生出巨大的协同效应，甚至从根本上改变了原活性、稳固

23、的校园网平台上，产生出巨大的协同效应，甚至从根本上改变了原有的教育模式。同时进一步利用这个平台有效整合学校内部资源，以信息化促有的教育模式。同时进一步利用这个平台有效整合学校内部资源，以信息化促进学校内外部业务统一、流程优化。随着校园网基础建设的加强及学校信息化进学校内外部业务统一、流程优化。随着校园网基础建设的加强及学校信息化程度的提高，学校最终将迎来科学管理和教学的新时代。程度的提高，学校最终将迎来科学管理和教学的新时代。计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方计算机网络安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从

24、整体上进行把握。网络安全解决方案是面的因素，安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、综合各种计算机网络信息系统安全技术，将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、病毒防护技术、入侵检测技术、安全扫描技术等综合起来，形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须协调一致的网络安全防护体系。我们必须做到管理和技术并重，安全技术必须结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定结合安全措施，并加强计算机立法和执法的力度，建立备份和恢复机制，制定相应的安全标准。相应的安全标准。