计算机网络技术毕业论文设计.doc

资源描述

个人收集整理勿做商业用途计算机网络技术专业毕业设计（论文) 校园网规划与设计 —-中、小学校园网规划与设计作者: 机关电大：省级机关电大专业：计算机网络技术年级： 2011年秋学号： 1151001457154 指导老师：刘德学 - 32 - 内容摘要自1995年中国教育教研网（CERNET）建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全，网络系统的维护等内容。各高校及其中小学都在筹备建设校园网，希望通过校园网的建设，改善办学条件，提高教学、科研和管理水平.校园网的建设对于学校来说是一项大的工程，必须精心设计、精心施工，做到经济适用,技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络. 关健词：校园网,规划,设计,网络目录内容摘要 I 目录 II 一校园网络应用需求 — 1 - 1.1 存在问题分析 - 1 - 1.2 校园网主要解决的问题 — 1 - 1.3 建设目标分析 — 1 — 1.4 需求分析 — 2 — 1。5 本章小结 — 3 — 二校园方案设计 — 4 — 2。1 拓扑结构设计 — 4 — 2。2设计思想及原则 - 4 — 2.3系统需求分析 — 6 - 2。4设备选型 - 7 - 三网络总体设计 — 10 - 3.1校园网络架构设计： — 10 — 3.2网络三层结构设计 - 10 — 3。3汇聚层设备选型 — 10 — 3.4路由器选型 — 12 — 3.5防火墙设备的选型 - 13 - 四网络地址规划及VLAN应用 - 15 — 4。1。主干网设计 - 15 - 4。2 IP地址规划 - 15 - 4。3 VLAN设计 — 16 — 4。4校园网接入Internet — 17 — 五校园网络管理及安全维护 — 18 — 5.1.威胁网络安全因素分析 — 18 — 5。2 网络安全防范措施 - 19 — 5.3 网络管理 - 19 - 5.4网络安全策略配置 - 21 — 5.5 拒绝服务的防止 — 22 - 5。6电源系统 - 22 — 5。7其校园网基本拓扑结构: - 22 — 六设计总结 — 30 - 参考文献 - 32 - 一校园网络应用需求 1.1 存在问题分析河北省邯郸市魏县车往镇第一中学是魏县直属中学，学校在校生1900余人.学校占地70亩，校园覆盖了校综合办公楼1栋,图书馆1栋，教学楼2栋，男女宿舍各1栋，食堂一处,体育馆(操场处）.学校目前仅图书馆有二十台计算机供图书管理之用，但是目前无网络连接。学生宿舍、教学楼和办公室目前尚未开通校园网络.根据以上对学校现状的分析并通过深入的了解，目前学校无法满足应用发展的需要,在教学、教育资源获取等方面的网络应用比较落后，校园的信息化相当闭塞。为学校未来的发展和保持教学的现代化、信息化带来不便，经校方研究决定,现对学校实现校园网络的初步规划. 1。2 校园网主要解决的问题鉴于学校目前状况,校园网建设过程中，主要需要解决的问题如下: ⑴ 建立校园网的主干网络，实现千兆主干，百兆到桌面，通过以上实现整个校园全网覆盖； ⑵ 解决好综合办公楼、教学楼、学生宿舍上校园网的问题,将校园网应用推入基层，满足师生员工上网需求; ⑶ 实现校园网的基本应用服务,如WEB服务，DNS服务,VOD点播服务，FTP服务； ⑷ 完善和强化用户访问校内校外资源的权限和策略管理,并进行流量、带宽和日志管理，提高校园网的可管理性； ⑸ 强化校园网的安全策略,有效地提高校园网的安全性； ⑹ 实现无线上网功能。 1。3 建设目标分析根据对学校的网络覆盖现状分析,对拟建校园网系统建设目标分析如下： ⑴ 校园主干满足应用发展的需要:考虑到学校校园网络开展视频点播、多媒体教学、远程教学等需要,我认为传输主干应采用的是1000M光纤; ⑵ 网络主机的处理能力强：学校校园网络目前开展的网络应用对主机处理能力要求不高，比如WEB服务等是一些低带宽的应用服务,随着用户数量大幅度的增加，网络应用如VOD视频点播、多媒体教学等许多高带宽和需要高处理能力的主机系统.因此，有必要提高网络主机的处理能力； ⑶ 学校的各种PC机、工作站、终端设备和局域网连接起来，并与有关广域网相连,能够获取Internet网上的教育资源； ⑷ 容错能力和安全性强,通过技术手段提高网络设备的容错能力；安装硬件防火墙、IDS、服务器防病毒、工作站防病毒软件，实现网络安全； ⑸ 实现网络的易管理性，考虑到网络设备和主机数量的不断增加，方案规划应该能够实现校园网的可扩展性核对整个网络的监控能力。 1.4 需求分析学校的整个网络系统以千兆主干、百兆到桌面为总体需求原则。在总体设计方面，带宽为100M的节点的介质传输采用超五类线，音频采用五类线,视频采用同轴电缆.整个校园以计算机网络中心为核心，通过光纤，通过多星级辐射至各个主楼，从而构成整个校园网主干，各信息点的网络带宽将视其应用的性质,进行合理地分配,分为100M以及1000M等量级，也需要能够通过光纤或DDN专线与CERNET连接,以开通全部的Internet网络应用服务。从内部校园网到外部Internet的访问都要有安全审查和流量管理功能；在功能方面，结合学校的总体发展趋势，拟建立多媒体多功能教学室,图书馆计算机管理系统和电子阅览系统利用网络技术，实现多媒体信息交换、视频点播、网络会议、远程教育,兼容校内有线电视网、广播网、监控等网络系统. 实现校园全部范围内的无线上网，全网展开WEB，FTP，DNS服务；在学校设备需求方面，第三初级中学按信息点覆盖情况主要设备需求参数如下：综合办公楼 1台汇聚层交换机;4台接入层交换机；无线AP一台图书馆(网络中心） 1核心层交换机；1汇聚层交换机；3接入层交换机；服务器2台;路由器1台教学楼1 1汇聚层交换机；2台接入层交换机教学楼2 1汇聚层交换机；2台接入层交换机教学楼3 1汇聚层交换机；2台接入层交换机男生宿舍楼 1汇聚层交换机;4台接入层交换机女生宿舍楼 1汇聚层交换机;4台接入层交换机体育场（操场) 无线AP一台 1.5 本章小结本小节以魏县第一中学校园网络为基础，对网络设备，计算机设备的现状及现有网络的应用情况进行了简要介绍。通过分析发现，学校目前存在多方面急需要解决的问题，包括：主干网络的设计，网络的整体覆盖计划，应用功能的实现，用户对外界资源的安全性访问。最后对建设目标和潜在需求做了进一步的分析说明。二校园方案设计 2.1 拓扑结构设计层次型结构的提出：层次型网络设计是一种使用分层的、模块化的模型设计校园网的技术。层次型网络设计模型可以按层设计拓扑结构,每层的重点集中于特定的功能上，有利于分配和规划带宽和选择适当的系统和功能。层次型拓扑设计具有如下好处: ⑴ 减轻网络中设备的CPU负载 ⑵ 降低网络成本 ⑶ 简化每个设计元素并且易于理解 ⑷ 容易更改层次结构 ⑸ 提高设备的利用率 2.2设计思想及原则 2.2.1 设计思想校园网设计方案将从学院的实际应用出发，结合现代信息技术的发展，遵循实用，可靠，先进,安全的设计原则。对于学校，应能够满足日常的学习和教育资源的获取；并能够融合当前的网络的主干技术,使网络能够具备充分的可扩展性,同时满足校园网的易于维护性和安全性的特点。校园网示意图： 2.2。2设计原则先进性我校为计算机示范性软件学院,每名学生均配有计算机终端。为了达到最好的教学效果，所以网络速度和稳定性相应要比较高。为了能够达到最加效果，本着最小投资的原则,在本方案中决定采样华为的网络设备.这样可以最大的节约成本和最大限度的提高设备的质量。由于在校园网中存在大量的网络设备，为了保障整个网络的正常运作,学校安装了华为3Com 的网管软件来对整个网络的运作进行监控.此网管系统支持SNMP、RMON等网络管理协议，能对网络中的设备进行远程监控，通过探测每台网络设备的工作状态，来保证整个网络的可靠性。一旦网络设备出现问题，网管系统会及时准确地发现问题所在，并发出警告信息。通过此软件不但可以帮助学校网管人员及时排除故障，又能大大降低学校在网络维护费用上的支出. 可靠性软件学院校园网是长春工程学院重要的信息化建设工程，所以校园网建设的可靠性是非常重要的，因此在选型时候,明确提出要求网络设备厂商具备”自主研发和自主生产"的能力，这样才能够保证网络产品的可靠运行，同时保证后期设备的维护和升级。考虑到校园网是服务于江西大宇职业学院的广大师生的，因此我校校园网要保证网络24×7小时不间断工作. 安全性内外网通讯安全: 考虑到校园内部网络的安全性,在Internet入口处加装了华为3Com公司的防火墙，它能自动进行对不明数据包的检测，可拒绝所有未经授权的网络访问尝试，并生成实时报警和报告，避免了未经授权访问和其他来自因特网的外部威胁和黑客侵袭。另外华为公司的防火墙网站过滤功能可限制对12种分类内容的访问，保证了校园内网与因特网之间的通讯安全。网络设备安全：整个校园网络所采用的华为3Com产品都具有不同级别的密码保护，网络管理员可以根据不同的需要制定多样的安全级别来保护网络设备自身的安全性,例如指定哪种类型用户可以获得何种级别的权限、对网络设备进行哪些方面的修改等,从而最大程度地保护设备的安全. VLAN划分保证内网访问安全: 由于整个校园网节点数多达2000多个,从保证内网的访问安全和便于管理的角度考虑，对整个校园网进行了VLAN的划分。网络中的各节点按相同职能部门或者相同的应用划分到同一个VLAN当中，不同VLAN之间的用户是不能互相访问的。譬如学校领导和普通教师之间,由于职能的差异，互相之间数据不能共享，因此将他们划分到不同的VLAN当中，这样不会造成数据的错误传播以及不必要的数据泄漏，并能有效避免广播风暴的形成. 2.3系统需求分析不同应用及数据流所占用贷款分析: 基础信息服务约占用 100MB; 视频电话、网络会议、数字音频约占用 100~600M 视频流媒体播放 500~1000M WWW、FTP、E-Mail服务约占用 10M 文件传输、Internet访问约占用 15M 由以上数据可以看出如果满足所有应用要求，单个用户所独占的网络带宽必须在 10M 以上,加上网络上固有的广播风暴，设计目标是使单用户在某一个时间独占的带宽不小于100M。这样就足以实现网络视频播放、计算机网络和各种网络服务合一，而且也符合现今主流的10M/100M自适应网络的要求。 2。4设备选型 2.4。1核心层设备选型：核心层是校园网互联网络的高速交换主干，用来实现远程站点之间的优化传输，对协调校园网的通信非常重要。核心层负责完成网络各汇聚节点之间的互联及高效的数据传输、交换、转发及路由分发.核心层结构有以下特点: 提供高可靠性和冗余性；提供故障隔离；迅速适应升级；提供较少的滞后和较好的可管理性；具有有限和一致的直径。目前校园网核心层设备一般采用万兆核心以太网交换机，万兆以太网交换机构成了网络的骨干部分。核心交换机还可以下接许多百兆或千兆交换机作为汇聚层交换机,汇聚层交换机在通过100Mbps传输介质连接工作站。一般核心层设备采用高性能的交换网芯片以及高性能的网络处理器芯片，要求有极高的系统总吞吐量和背板容量，可支持多个千兆端口. 网络核心层设备的拟态网交换机应具有以下功能：高可靠性大容量高密度线速转发性能完善的QoS功能完善的安全机制强大的业务能力 2.4.2汇聚层及设备的选取汇聚层设备的选取：网络汇聚层是网络接入层和核心层之间的分界层,包括园区主干网络及所有连接的路由器。汇聚层负责将各种接入业务集中起来,除了进行局部数据的交换、转发以外，还能通过高速接口将数据传输到核心层，在更大范围内进行数据的路由以及处理。汇聚层多下将接入层交换机的数据进行汇聚，对上通过高速接口将数据传输到核心交换机上，起到承上启下的作用。设计汇聚层时根据汇聚层的主要功能，应考虑到以下几点：汇聚层设备要有足够的带宽；具有三层和多层交换特性；具有灵活多样的业务能力；必须具有冗余和负载均衡能力; 汇聚层设备要进行VLAN之间的通信，因此一般为支持三层或三层以上的多层交换设备，汇聚层设备的多层以太网交换机应具备以下特点：支持三层交换对上连接提供多种千兆端口模块化组网支持丰富的二层协议完善的安全机制丰富的QoS支持实用方便的网管能力接入层设备的选取：接入层为用户提供多网络本地网段的访问，它的主要作用事将工作组与汇聚层连接起来，主要完成逻辑网络分段、基于工作组或LAN隔离广播通信量以及在多个CPU之间分布服务. 介入层设备位于网络的末端,对下提供对工作站的接入，对上连接到汇聚层交换机.接入层设备提供各种标准接口将数据接入到网络中，完成基于业务系统之间的隔离和安全性控制、认证管理等功能。网络接入层设备应具有如下特点: 提供各种不同数量的100Mbps端口到用户，提供1000Mbps或1Gbps（电口、光口）上行端口到上层交换机；高性能，低成本,所有端口支持全线速二层交换；支持标准以太网协议，支持丰富的业界标准,充分考虑兼容现有网络设施；网络设备可扩展性好，可平滑升级；支持丰富的业务特性，如VLAN、VLAN Trunk、链路聚合、端口镜像、QOS多播、安全特性等; 方便实用的网管。三网络总体设计 3.1校园网络架构设计： 1。校园网的拓补结构基本上是混合型的,它是由星型、总线型等典型拓补结构组成，在现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单，扩展性高，成本低和可管理性好等优点；而校园网在分层布线主要采用树型结构；每个房间的计算机连接到本层的集线器或交换机，然后每层的集线器或交换机在连接到本楼出口的交换机或路由器，各个楼的交换机或路由器再连接到校园网的通信网中，由此构成了校园网的拓补结构。当然这其中还有对网络整体结构的设计，如vlan的划分，各不同区域的细划分都需要根据学校情况来定。 2.校园网络中心以及各分校区均通过2M E1光纤或ADSL接入Internet。对于我们画定的区域如图书馆、宿舍等，都可以通过100M交换口连入校园网，而各个终端可以采用10/100M共享式端口. 目前的校园网大多数是纯三层的交换网络。由于交换机都具有三层功能，汇聚层一般已经可以与接入层归纳为一个层次.各楼层和各楼之间的交换设备都直接上连到核心设备上。 3。2网络三层结构设计校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速互联,核心层由1个核心节点组成，包括教学区区域、服务器群；汇聚层设在每栋楼上,每栋楼设置一个汇聚节点，汇聚层为高性能“小核心”型交换机，根据各个楼的配线间的数量不同，可以分别采用1台或是2台汇聚层交换机进行汇聚，为了保证数据传输和交换的效率，现在各个楼内设置三层楼内汇聚层，楼内汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性；接入层为每个楼的接入交换机,是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计，以满足需求。 3。3汇聚层设备选型通常将位于接入层和核心层之间的部分称为分布层或汇聚层，汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较,需要更高的性能，更少的接口和更高的交换速率。汇聚层交换机选择华为CISCO WS—C2960G-48。整个校园共用4台汇聚层交换机，使用千兆光纤与核心交换机相连。表2—3 CISCO WS-C2960G-48参数 CISCO WS-C2960G-48主要参数产品外观交换机类型智能交换机应用层级二层内存 64MB 传输速率 10Mbps/100Mbps/1000Mbps 网络标准 IEEE 802。3、IEEE 802。3u、IEEE 802.1x、IEEE 802.1Q、IEEE 802。1p、IEEE 802.1D、IEEE 802.1s、IEEE 802。1w、IEEE 802。3ad、IEEE 802。3z、IEEE 802。3 端口结构非模块化端口数量 44 接口介质 10/100Base—T,10/100/1000Base-Tx/SFP 传输模式全双工/半双工自适应交换方式存储-转发背板带宽 32Gbps 包转发率 39Mpps VLAN支持支持 QOS支持支持网管支持支持网管功能 Web浏览器，SNMP,CLI MAC地址表 8K 模块化插槽数 4 指示面板每端口状态:连接完整性、禁用、活动、速度、全双工,系统状态:系统、RPS、链路状态、链路双工、链路速度电源 100VAC—240VAC、50Hz/60Hz，1.3-0.8A 环境标准工作温度:0℃-45℃、工作湿度：10%-85%（非冷凝）、存储温度：-25℃-70℃、存储湿度:10%—85％（非冷凝）尺寸（mm) 328*445＊44 重量（Kg） 5.4 价格￥2.2万 3.4路由器选型 CISCO 7206VXR参数 CISCO 7206VXR基本参数路由器外观路由器类型模块化接入路由器端口结构模块化网络协议 IEEE 802。3，SDN;密标准AH（MD5),ESP（Null,DES，3DES,ARC4,proprietary fast encoding,+MD5/HMAC,-MD5）;PPP（PAP,CHAP，LCP，IPCP,MLPPP) 固定的广域网接口可选广域接口WIC卡固定的局域网接口 10/100Base—T/TX 其他端口控制端口 RS—232 内置防火墙是 Qos支持支持支持VPN 支持扩展模块 6 处理器 225、263或350MHz（MIPS RISC) 内存最大512MB 网络管理 Cisco ClickStart,SNMP 适用环境工作温度:0℃-40℃、工作湿度：10％—90％、存储温度：—20℃—65℃ 电源电源电压：1 认证 100-240V 尺寸 431＊426*133 重量 22.7Kg 价格￥3.5万 3.5防火墙设备的选型固定接口 1个配置口（CON） 1个备份口（AUX) 2个10/100/1000M以太网口（支持光口或者电口） 2个10/100/1000M以太网口(支持电口) 插槽 2个MIM插槽，可选的接口模块包括1FE/2FE/4FE/1GE/2GE FLASH 16MB SDRAM 缺省：512MB 最大:1GB 外型尺寸（H ×W×D) 44 x 436mm x420mm 重量 6kg 电源模块输入交流主机:100-240V ；50/60Hz 直流主机：—48V－-60V 输出电压：12V AAA服务 RADIUS认证 HWTACACS认证域认证 CHAP验证 PAP验证防火墙包过滤基础和扩展的访问控制列表基于接口的访问控制列表基于时间段的访问控制列表动态包过滤 ASPF应用层报文过滤应用层协议：FTP、HTTP、SMTP、RTSP、H。323（Q。931，H。245， RTP/RTCP）传输层协议：TCP、UDP 防攻击特性 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击防范 ARP主动反向查询 TCP报文标志位不合法攻击防范超大ICMP报文攻击防范地址/端口扫描的防范 DoS/DDoS攻击防范 ICMP重定向或不可达报文控制功能 Tracert报文控制功能带路由记录选项IP报文控制功能静态和动态黑名单功能 MAC和IP绑定功能透明防火墙基于MAC的访问控制列表邮件/网页/应用层过滤邮件过滤 SMTP邮件地址过滤 SMTP邮件标题过滤 SMTP邮件内容过滤网页过滤 HTTP URL过滤 HTTP内容过滤应用层过滤 Java Blocking ActiveX Blocking SQL注入攻击防范四网络地址规划及VLAN应用 4.1。主干网设计为了满足应用需求，在本设计方案中使用了万兆核心，主干线路采用了4芯62.5μm多模室内用光缆，汇聚层到接入层采用了6类1000M非屏蔽双交线连接主干网络。 4。2 IP地址规划所谓IP地址就是给每一个直接与Internet相连的主机分配一个在全世界范围惟一的网络地址。目前，大多使用的是32位的IPv4地址，寻址时路由器先按IP地址中的网络号net-id把网络找到；当找到目的网络后，再用ARP协议用主机号host－id找到主机.实际上，由于一台主机可能有多个IP地址，因此IP地址只是标志了一台计算机的某个接口。网络拓扑结构: 计算机网络拓扑结构一般有总线结构、星型结构、环形结构和网状结构等。在以太网实际布线时，适宜选用树形结构，通过多级的HUB或交换机分级链接。这样，个别网点出现故障不会影响全局.并具有可靠性高、可扩展性好、易于管理等优点. 在本次设计中我们采用了B类IPV4网络地址作为校园网私网IP，以便于以后校园网电脑增多，IP需求量也越日增多。校园网内部由教学楼、寝室楼组成，其中教学楼中又分为学生区和办公区两个部分，具体信息点分布如上。为了达到最好的网络质量和方便管理，一共分为五个网段。其中第一网段为网络管理中心、共10个信息点，第二网段为交换机设备、共70个IP，第三网段为教学区、共1354个信息节点，第四网段为学生生活区、共668个信息节点,第五网段为综合办公区、共86个信息节点, IP地址网络号：子网淹码网络中心： 172.16。0。1～172。16。0.100 172.16.0.0/24 255。255.255.0 交换机： 172.16.1.1~172。16。1.254 172.16。1.0/24 255。255.255。0 路由/交换: 172.16。1.5～172.16。1。6 255。255.255.252 教学区： 172。16。9。1~172。16.15。254 172.16。9.0/21 255.255.248.0 生活区： 172。16.6.1~172.16。7。254 172。16。6.0/22 255.255。252。0 综合办公区： 172。16。0。129~172.16.0。254 172。16.0.128/25 255.255.255.128 4.3 VLAN设计虚拟网络（VLAN，Virtual Local Area Network）技术在校园网络中起到举足轻重的作用,应为VLAN技术可以提高校园网的效率和安全性，便于对用户的管理。一方面，如果将相互之间通信最多的用户群分配在一个VLAN中,就可以保证通信最多的用户之间使用二层交换协议，而性质不同、通信量较少的用户之间则采用三层交换协议通信，这无疑大大提高了网络的效率；另一方面，一个VLAN就是一个独立的广播域，VLAN之间是互相隔离的,应此确保了网络的安全保密性，可以进行网络用户的分类管理。 VLAN可以根据功能、用途、工作组及应用等因素将用户逻辑上划分为一个相对独立的网络,使一个可跨域不同网段、不同网络、不同位置的端到端网络。VLAN的技术优势主要体现在以下几个方面：增加了网络连接的灵活性；控制网络上的广播；加强了网络的安全性; 网络管理简单、直观；根据VLAN在交换机上的实现方式，VLAN分为基于端口的VLAN、基于MAC地址的VLAN、基于网络地址的VLAN、基于用户的VLAN,其中后三者为动态VLAN。在本方案中我们采用了基于端口的静态VLAN，详细情况请参照图2.3-1. 4。4校园网接入Internet 在信息化飞速发展的今天需要考虑校园网与互联网的连接问题。一但接入互联网,就会涉及到很多管理、安全等方面的问题,校园网除了接入CERNET以外，还同时选择了中国网通作为出口接入点，校园网有两条出口，一个是光纤接入教育网，另一个是中国网通100Mbps专线。考虑到IP地址匮乏的原因校园网内部采用NAT地址装换方式提供Internet访问服务。 NAT的主要功能包括以下几个方面：转换内部局部地址。在内部局部地址和内部全局地址之间建立映射关系；内部全局地址复用.可以通过润许TCP连接或UDP会话中的原端口进行转换而节省内部全局地址,用各个内部主机的TCP或UDP端口号区别；TCP负载均衡.对于某些外部网络发起的与内部网络的通信数据流，可以为其配置一种目的地址转换得动态形式. 五校园网络管理及安全维护校园网的安全威胁主要来源于两大块，一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计，威胁校园网安全的攻击行为大概有40％左右是来自于网络内部，如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。 5.1.威胁网络安全因素分析计算机网络安全受到的威胁包括： 1.“黑客”的攻击； 2。计算机病毒； 3. 拒绝服务攻击（Denial of Service Attack）. 安全威胁的类型： 1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。　　2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的。　　3、破坏数据的完整性.指使用非法手段，删除、修改、重发某些重要信息,以干扰用户的正常使用。　　4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正常运行方法,减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源，使有严格响应时间要求的服务不能及时得到响应。　　5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性非常高，而且用户很难防范。　　6、软件的漏洞和“后门".软件不可能没有安全漏洞和设计缺陷，这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件编程人员为了方便而设置的，一般不为外人所知,可是一旦“后门”被发现，网络信息将没有什么安全可言.如Windows的安全漏洞便有很多。　　7、电磁辐射。电磁辐射对网络信息安全有两方面影响.一方面,电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致信息泄露。 5。2 网络安全防范措施在不改变原有网络结构的基础上实现多种信息安全，保障校园内部网络安全，我们选购了一套网络安全防范设备. 1 瑞星杀毒软件网络版 1。 360超强病毒查杀 2. 智能主动防御 3. 增强型全网漏洞管理 4。强大的网络管理能力是网络安全的基础部署、控制、执行、升级、报告和日志、二次开发。 5. 兼容多种平台 6. 一体化智能服务体系 5。3 网络管理网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。网络管理的内容: （1）网络故障管理；(2) 网络配置管理；(3) 网络性能管理；（4）网络计费管理；(5）网络安全管理. 网络管理的手段: 在校园网络管理方面,为了便于校园网络管理人员的管理及维护，我们选购Quidview网络管理软件.Quidview网络管理软件基于灵活的组件化结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”. Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台,并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。 1．网络集中监视 Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。 2．故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。 3。性能监控 Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据. 4．服务器监视管理服务器是企业IP架构中的重要组成部分，通过Quidview,可实现服务器与设备的统一管理。 5．设备配置文件管理当网络规模较大时,网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件.这样就给网络管理员管理、维护网络带来一定的困难。 Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪. 6。设备软件升级管理 Quidview提供完善的设备软件备份升级控制机制。使用Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时，可以利用Quidview集中备份设备运行软件,然后进行批量升级。升级之后,可以使用Quidview进行升级结果验证，确保升级操作万无一失。 7.集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。 8. 堆叠管理 Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。 9。故障定位与地址反查针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具-—路径跟踪和端口环回测试;当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障. 10。 RMON管理 RMON管理根据RFC1757定义的标准RMON—MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。 5.4网络安全策略配置安全接入和配置：安全接入和配置是指在物理（控制台)或逻辑(telnet）端口接入网络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供安全性.限制远程访问的安全设置方法如下表19 安全接入和配置方法访问方式保证网络设备安全的方法备注 Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟进入特权exec和设备配置级别的命令行配置Radius来记录logon/logout时间和操作活动；配置至少一个本地账户作应急之用 telnet访问采用ACL限制，指定从特定的IP地址来进行telnet访问；配置Radius安全纪录方案；设置超时限制 SSH访问激活SSH访问，从而允许操作员从网络的外部环境进行设备安全登陆 WEB管理访问取消Web管理功能 SNMP访问常规的SNMP访问是用ACL限制从特定IP地址来进行SNMP访问；记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全，建议更改缺省的SNMP Commutiy子串设置不同账号通过设置不同的账号的访问权限，提高安全性 5.5 拒绝服务的防止网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值，若多于这个临界值,则丢弃多余的TCP SYN数据包；防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast）和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。访问控制: 1 允许从内网访问internet，端口全开放。 2 允许从公网到DMZ（非军事）区的访问请求:WEB服务器只开放80端口，mail服务器只开放25和110端口。 4 禁止从公网到内部区的访问请求，端口全关闭。 5 允许从内网访问DMZ（非军事）区，端口全开放 6 允许从DMZ（非军事）区访问internet，端口全开放 7 禁止从DMZ（非军事）区访问内网,端口全关闭。 5.6电源系统为保证网络系统的安全运转及电源发生故障时重要数据的储存,须配置具有高可靠性的UPS电源。为此，在网络中心配置了一套山特C3KVA/2100W的UPS电源。 5。7其校园网基本拓扑结构：设备配置方案（1)路由器 f1端口接外网端口（172。16。46。252/24），f 0端口接内网端口（192。168。1。1/24）. Config t Hostname 2624 Enable secret level 15 0 star Line vty 0 4 ！设置Telnet密码 Login Pass star Exit Interface f 1 Ip address 172.16.46。252 255。255。255。0 No shut Ip nat outside ！定义外部接口 Exit

展开阅读全文