贵阳英语实验学校网络总体技术解决方案m

1第一章计算机网络系统及机房工程11第一节计算机网络系统1111用户需求分析1112校园网设计、规划1213网络设备选型1614无线网络错误未定义书签。15校园网络接入1916网络安全1917主机系统2518网络管理2819网络流量计费系统29110网络调试33111网络服务应用系统33第二节机房工程4121设计概述4122设计原则、依据4223设计范围4224机房建设的技术指标4325平面功能布置设计4326机房结构装修建议4427机房照明系统4528辅助供配电系统45229机房供电管路设计46210隐蔽部分工程46211加固部分工程47212机房安全系统47213机房消防系统47214机房灾害及防护47第二章多媒体教学系统4911需求理解49111总体要求49112子系统构成4912建设范围5013以教室为中心的多媒体教学系统50131建设理念50132多媒体教室的组成50134系统结构图51135系统特点52136多媒体教室分布表5214多媒体集群教室错误未定义书签。141多媒体集群教室分布表错误未定义书签。142多媒体集群教室的特点错误未定义书签。143教学监控系统533144资源共享系统5415微格教室54151微格教室的由来54152需求分析55153微格教室基本功能55154微格教室主要用途5616多媒体教学系统的扩展功能5617主要设备技术参数56171PC4000多媒体集中控制器56172松下PTFIX100投影机57173嘉胜GV2100数字展台58174三星SCC412AP摄像机60第三章有线电视系统6031概述6032需求分析61321分析报告61322电视信息点统计表6233设计依据及设计原则63331设计依据63332设计原则6334方案设计634341频带划分63342信号源64343前端系统64344干线传输系统65345用户分配系统66346电源集中控制系统67347HFC宽带综合业务网69348系统防雷接地与供电部分71349前端机房建设7235视频播控系统73351播控系统73352演播室系统7536系统主要测试仪器78361仪器作用78362仪器特点78363仪器技术参数7937方案配置80371主要设备选型简介8038系统结构图8539主要设备推荐品牌85第四章公共广播系统86541系统功能8642设计依据8643设计步骤8644系统设计8745调频广播87451点位分布87452系统结构88453系统特点88454系统功能89456系统电源9046定压广播90461扬声器布设90462扬声器分区92463功放确定93464系统组成及信号流程93465中心设计93466播音室设计94467广播寻呼94468系统联动94469系统电源管理944610设备选型954611关键设备性能指标95647教室内广播的解决方案9948功能实现9949系统图100第五章校园安防监控系统10051概述10052系统要求100521需求分析100522信息点统计表10153设计依据与原则104531设计依据104532设计原则10454系统设计105541摄像监控系统105542入侵报警系统111543电子巡更系统113544选用品牌主要设备简介114第六章图书馆及电子阅览室管理系统11861图书馆管理系统119611数字图书馆建设思路119612数字图书馆的总体构思1207613书馆自动化系统集成12062电子阅览室管理系统12463数字图书馆网站12664硬件要求12665推荐品牌126第七章校园智能一卡通系统12671概述127711建设目的和意义127712系统建设原则127713系统建设目标12872系统需求128721业务需求分析128722应用需求分析12973系统设计129731系统总体结构129732系统主干平台130733应用子系统130734银行转账系统131735网络环境133737系统性能指标133737卡片类型的选择13474系统功能介绍135741中心服务器135742系统管理系统135743账户管理中心136744银行转帐系统137745消费管理系统138747上机管理子系统139747考勤管理子系统141748门禁管理子系统142749公寓管理系统1437410通用收费系统14487411物品管理子系统1457412物品借记子系统1467413综合查询子系统14675系统安全性设计147751系统安全策略147752硬件实体的安全性147753数据中心的安全性147754网络环境的安全性148755应用系统的安全性148757卡片的安全性149757接入控制与安全管理149第八章综合布线系统15081需求分析150811系统需求150812信息点统计表15082设计原则、依据151821设计原则151822设计依据15183系统选型15184系统设计153848总体结构153842工作区子系统154843水平子系统1558干线子系统156845管理子系统1588设备管理子系统160985系统图16086主要产品的性能指标16081六类模块16182水平电缆16183主干光纤16284配线架16285光纤配线架16387跳线16388机柜16387工程实施安装16381信息插座和光缆芯线终端安装16382缆线敷设和终接16483机柜、配线架安装16584布线管理1668系统测试及验收167881测试验收标准167882测试仪器168883测试方案说明168884工程验收项目及内容170885竣工报告173第九章校园综合管路系统1741091设计依据17492系统管路设计174921室外管网设计174922进户管线设计175923垂直管线设计176924水平管线设计176925楼内预埋管线设计17793管路施工177931施工前的检查177932施工设计178933施工工艺179934弱电系统的电源18294弱电施工配合182941与土建专业的配合183942与电气专业的配合183第十章分步实施建议18311第一章计算机网络系统及机房工程第一节计算机网络系统11用户需求分析111项目背景贵阳英语实验学校新校区弱电工程建设以教学、科研二大中心工作的质量提高和发展为主要内容，为教学和科研提供一个良好的现代化工作条件和平台为一个主要的目标。该校包括图书馆、中学教学楼、中学教学楼、实验楼、行政中心、食堂、体育馆等建筑。学校以走读学生为主，有少量住宿生。我们先在次总体的做一次网络建设规划。在第十章详细介绍分期建设步骤。本期网络建设只主要讨论一期建设，为二期学生宿舍、中学教学楼、实验楼等网络构建预留了接口。作为一所涵盖众多功能的重点中学，将建设全新的校园计算机网络系统，让我们感到技术服务于人、技术方便于人的巨大责任，作好作精此方案更是我们义不容辞的责任，我们将为学校建立一个千兆位的技术更先进的计算机网络系统112网络总体目标该网的建设目标是建成一个以学校的教学、科研为中心覆盖全校办公系统、行政管理系统、教学系统、后勤管理等功能的计算机网络，并和INTERNET及其它外部网络相连接。该网建设的需求是办公、教学系统；信息管理系统；各部门能够共享网络上的各种软硬件资源，各种信息能在网上快速、稳定地传输；通过使用INTERNET、宽带网等系统及连接方式沟通与外界的联系；文献、数目等信息资源的检索；对系统内、外发布信息；具有完善的网络安全机制；整个系统采用开放式、标准化的结构，以利于功能的扩充和技术升级；网络能平滑过渡到新的网络技术，并支持万兆以太网。113网络功能需求网络的可靠性网络是贵阳英语实验学校新校区管理、教学信息化的基本要求，必须12能够保证长期连续的运行。网络服务质量保证（QOS）针对不同用户和不同应用可以提供不同的服务质量和传输优先级，并可以在网络带宽紧张时，丢弃低优先级的数据包，优先保证核区内的多媒体远程教学服务。校园网络具有一定的可扩展性满足贵阳英语实验学校新校区在将来年的业务系统快速增长的需要，支持万兆以大网的升级，保护用户投资。网络的安全性服务保证用户对网络资源访问的合法性。网络管理服务配置、监视、统计、管理网络的有效运行。12校园网设计、规划121网络基本构架校区校园网络的整体建设分以下几个部分校区校园主干网的建设及网络中心直管用户的校园网连接接入；校区网络中心机房的建设和基础服务系统、应用服务系统的建设；各机房所拥有子网与校园网的连接接入；网络服务监管系统作为基本的解决方案，设计要求如下1、100兆交换到桌面，高性能、全交换、三层中心智能管理，全校的三层交换中心设置在中学教学楼。网络个与各楼的子网连接采用光纤连接方式构成校园主干网，现阶段设计采用千兆主干，部分扩展到对光纤的链路聚合，并为今后的发展留有余地，可升级至万兆以太网，满足大负荷网络运行需求。2、可靠性保证和低成本协调，为了降低校园网组建费用，并保证有高的运行可靠性，校园主干网络的拓扑结构以简单为原则，路由设定以静态路由为主，采用个核心交换中心来控制新校区的网络运行，核心交换层配制采用冗余设计，对主干网络设备要求设备有长时间运行的高稳定性，并要求具有快速可靠的售后服务体系；主干网络设备的品牌选择，主要着眼于设备厂商能提供具有良好性能的设备外，还具有长期的、稳定的生存能力。本方案选择的网络产品，由于学校根据需要已经购买了核心交换机CISCOCATALYST6509交换机及三台CISCOCATALYST355024SMI接入交换机，因此这些设备不在本次预算清单内。122网络拓扑结构1314贵阳英语实验校区网络拓扑结构图INTERNET网上学习交流校园一卡通管理校园综合管理学校信息发布多媒体VOD视频点播教师教学资源库学生电子档案管理远程教育远程教育磁盘柜图书管理放火墙学生宿舍1学生宿2学生宿舍3校园核心骨干环路教学群楼1教学群楼2食堂图书馆实验楼2实验楼1小学楼群行政中心体育馆15123网络设计针对学校的应用需求，我们的网络设计方案如下（1）组网方式由于贵阳英语实验学校校区扩建工程的校园范围大、功能复杂，所以要求有主交换机和二级交换机的概念原则上在各楼栋设计一个二级交换机来完成内部的数据和图像的传输。所有交换机之间的连接采用具备三层交换机功能的千兆传输模块。整个网络系统采用层次化网络结构，即核。层、汇聚层、分布接入层整个网络要完全支持IP组播，主干网要求有QOS支持，实验楼网络中心布置一台核心交换机。（2）核心层交换机网络中心设在实验楼3层。中心交换为千兆光纤连接，包括核心交换机和分布层交换机之间的连接，及到中心服务器的连接。贵阳英语实验学校新校区的核心层交换机CISCOCATALYST6509，该交换机支持万兆以太网，为以后的升级做好了准备。在此基础上，考虑到核心层的重要性，设计时我们充分考虑了核心交换机的可扩充性。（3）汇聚层交换机结合学校的需求，我们选择了CISCO公司专门为汇聚层设计的355012G交换机我们在行政中心、教学楼等配置了355012G交换机作为汇聚层。汇聚层在每幢建筑的设备间里，可用千兆多模光纤上联模块通过多模光纤和网络中心相连，下面用千兆多模光纤模块和分布接入层交换机相联。（4）分布层交换机分布层交换机以基本楼群为基础，它应满足下要求IEEE8021XIEEE8021WIEEE8023X10BASETX和1000BASET端口的全双工IEEE8021D生成树协议IEEE8021PCOS优先级IEEE8021QVLAN1000BASEX（GBIC）1000BASESX1000BASELX/LH1000BASEZX在此基础上，我们建议采用线路上的备份，每个楼层接入交换机都有备份线缆。124网段规划设计1241概述若在计算机网络中各部门的分布比较复杂，为了满足不同部门的需求，控制网上流量和增强安全性，可将相近的部门划分在同一个VLAN中，利用VLAN之间不能相互通信的特点，实现各网段的隔离。1、VLAN的作用VLAN技术简化了网络的管理，因为它使管理人员能按照共同的爱好、组织关系或者安全16策略来分组用户，而不是按照共同的物理位置来分组。子网地址分配给虚拟局域网，而不是分配给物理的局域网段。由于在大多数部门中，虚拟局域网的数目都大大少于局域网段的数目，所以地址管理变得更为简化。虚拟局域网还可以通过减少广播或多点广播的开销，提高网络效率一个MACLAYER（媒体访问控制层）的“多点广播（MULTICAST）操作”可以从一个站点到达同一虚拟局域网内的其它站点，而VLAN之间的路由器阻止了多点广播进一步到达别的虚拟局域网。这样，站点就无需再浪费资源去处理从其它不相关组发来的多点广播信息包。、VLAN的划分VLAN的划分主要有基于OSI的第二层的划分和基于OSI的第三层的划分。第二层划分有按端口划分和按MAC地址划分；第三层划分有按网络协议（如IP和IPX）和按子网地址划分等。基于端口的划分是最简单也是最普通的实观VLAN的方法，它能够进行多种协议的数据通信。其缺点是属于静态VLAN的范畴，当更换端口时须对VLAN的端口重新配置，维护不方便。基于MAC的划分使用网卡的48位以太网地址。当交换端口时不须对VLAN重新配置，但若网卡损坏并更换新网卡时，由于每块网卡的地址不一样；技须对VLAN重新配置。第三层划分基于网络协议或IP地址，当更换端口或网卡时；均不须对VLAN重新配置，对VLAN的管理比较方便。1242同段设计校园主干网建议使用私有地地址，公共服务网段部分使用CERNET和其它ISP分配的IP地址，原则上内网的用户使用PROXY（或NAT）进行INTERNET的访问，在公共网段设计时要求能方便满足多种出口线路的连接；用户的访问记录LOG文件由专设的服务器保存，其贮存容量要满足天的国家法定要求；每接（或相邻楼区）作为一个独立的子网，划入一个VLAN，分配一个类的子网地址，由网络中心的核心交换机完成子网间的三层交换；一个类子网内若有网络机房存在，网络机房应设主独立的类子网段，并通过三层交换与所在楼的主交换机连接，这样杜绝了伪造其它网段地址的可能；校园网应具备安全、可靠的用户接入多种控制及认证策略，固定用户可采用MAC地址和地址在交换机端口捆绑方式（也可采用端口用户认证接入控制方式），流动用户采用端口用户认证接入控制方式，用户认证接入协议应采用标准的协议，现配置的主干网的各交换机均支持8021X用户安全控制协议，与RADIUS服务器相配合实现对用户的认证、授权和计费等功能，以保证校园网络的安全性和可管理性。13网络设备选型131中心交换机网络中心交换机我们选择CATALYST6509。CATALYST6509是一种功能强大的校园网主干交换机，使网络管理者能方便的监督和管理网络，同时，又能将主于网带宽提升到千兆速度。CATALYST6509交换机是具有个扩展插槽的机箱式第三层交换机。其配置非常灵活、买用，同时提供了极好的性能和经济合理的价位，他们建立在一个功能强大且绝对无阻塞的、可缩放到720G交换17速率的交换背板上。可选的扩展模块包括、端口的千兆以太网口模块，、端口的TX扩展模块等。CATALYST6509交换机同时提供了增强的网络传输能力，例如IP路由、服务质量（QOS）、分级传送和组播。网络管理员能够随时通过任意一个端口配置以上功能，以消除传统路由器的瓶颈，设置优先级给不同类型的网络传输及保证某些应用的流量带宽，如视频传输。CATALYST6509交换机提供主交换机间的快速交换通道，到分布层千兆位以太网交换机、防火墙和服务器群（其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、服务器等）、网管终端的高速连接，重要的服务器及主于链路均可采用千兆模块进行生成树（）冗余键路连接。CATALYST6509利用平台、电源、控制引擎、交换矩阵和集成网络服务冗众性提供秒的状态故障切换，提供应用和服务连续性统一在一起的融合网络环境，减少关键业务数据和服务的中断。设计如下在图书楼一层的校网络中心放置一台CATALYST6509骨干交换机，CATALYST6509交换机有两个引擎插槽和七个网络模块插槽，配上一个个具有第三层功能的思科引擎WSSUP720，配MEMC6KCPTFL64M内存，将可用的系统带宽提高到720GBPS，配上双电源实现电源冗余。网管中心要与分布层二级中心实现千兆光纤冗余备份连接，中心的6509提供个光纤接口与各分布层交换机连接；暂时在中心交换机上配置个卡，个卡与各分布层交换机连接，配置个卡与提供与老校区的连接。因而在6509上加三块端口千兆位以太网模块WS一X，有个千兆口；再加一块端口的千兆铜缆模块T提供与服务器的连接。这样，6509上还剩余个网络模块插槽，还有较大的扩展空间。132汇聚层交换机结合学校的需求，我们选择了CISCO公司专门为汇聚层设计的3550系列交换机。由于行政中心、18号教学楼内光纤公布点较多，故分别设置了汇聚层，配置了355012G几系列天换机。汇聚层在每幢建筑的设备间里，放置若干台355012G交换机，可用千兆光纤上联模块通过光纤和网络中心相连。CISCOCATALYST3550系列智能以太网交换机是一种新型的企业级可堆叠多层交换机，可提供高可用性、可扩展性、安全性和可改进网络运营的管理能力。凭借一系列快速以大网和千兆位以太同配置，CATALYST3550系列可作为中型企业布线室的强大访问层交换机和中型网络的骨干网交换机。客户现可部署网络范围内智能服务，如高级服务质量（QOS）、限速、CISCO安全访问控制列表、多播管理和高性能路由选择，并与此同时保持了传统LAN交换的简便性，这在市场上堪称是首开先河。CATALYST3550内部嵌有CISCO集群管理套件（CMS）软件，使用户能使用标准WEB测览器同时配置多台CATALYST交换机并对其进行纠错。CISCOCMS软件提供新配置向导，因而能大大简化综合应用和网络内服务的实施。CATALYST355012G交换机个基于的千兆位以大网端口和个10/100/1000BASET端口；15RU特点181通过高级服务质量和限速实现网络控制CATALYST3550提供了先进的第三层细化QOS特性，以保证实现网络流量的分类、排序，并以最好的方式避免拥塞。在包进入共享缓冲器之前，CATALYST3550系列智能以太网交换机可以对进入的包进行分类、再分类、策略处理（确定包是流向还是来自预定用户，并对包采取行动）、作标记。包分类使网络设备能区分各种流量，并根据第层和第层QOS字段实施策略。2通过高性能路由选择支持的网络可扩展性3通过CISCO访问控制参数提高网络安全性特性说明24GBPS交换矩阵结构第2、3层12GBPS最大传送速率64字节包17MPPS传送速率所有端口共享4MB内存体系结构标准IEEE8021X（计划在未来的软件中支持）IEEE8021W（计划在未来的软件中支持）IEEE8021S（计划在未来的软件中支持）IEEE8023X10BASET、100BASET、1000BASET端口的全双工IEEE8021D生成树协议IEEE8021PCOS优先级IEEE8021QVLANIEEE802310BASET规范IEEE8023U100BASETX规范IEEE8023AB1000BASET规范IEEE8023Z1000BASEX1000BASEXGBIC1000BASESX1000BASELX/LH1000BASEZXRMONI和II标准SNMPV1和SNMPV2C133分布接入层交换机各楼栋接入层交换机均选用355024/48SMI系列交换机。交换机性能同上。食堂及体育馆等楼栋由于信息点数较少，故选用CISCOCATALYST2950G系列交换机。固定安装的线速快速以太网桌面交换机CISCOCATALYST2950G系列，可以为局域网（LAN）提供极佳的性能和功能。这些独立的、10100自适应交换机能够提供增强的服务质量（QOS）和组播管理特性，所有的这些都由易用、基于WEB的CISCO集群管理套件（CMS）和集成CISCOIOS软件来进行管理。带有101001000BASET上行链路的CISCOCATALYST2950G铜线千兆位，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够利用现有的类铜线从快速以太网升级到更高性能的千兆位以大网主干。19由于CATALYST2950G具备88GBPS的交换背板和最大44GBPS的数据吞吐率，所以在它把终端工作站和用户连接到公司的LAN上时可以在各个端口提供线连连接性能。CATALYST2950G交换机支持性能增强特性，如FASTETHERCHANNEL（快速以太通道）和GIGABITETHERCHANNEL（千兆位以太通道）技术，可在CATALYST2950G交换机、路由器和服务器之间提供最大4GBPS的高性能带宽。将LAN移植到千兆速度CATALYST2950T24为桌面连接准备了两个固定101001000BASET（铜线千兆位以太网）上行链路端口，同时还有24个10100端口。这样，中等规模的公司就能够把他们的LAN升级到更高性能的千兆位以太网，而每端口的成本增加量并不大。同新型CATALYST355012T多层千兆位以太网交换机连接时，CATALYST2950T24交换机可为那些需要升级快速以大网主干的中等市场客户提供一个集成的铜线千兆位以太网解决方案。14校园网络接入贵阳英语实验学校要求统一出口，出口接INTERNET。小学教学楼群二级网络中心是选用作为核心交换机，而校区的核心层交换机选择了万兆交换机，配置了可扩展到GBPS的背板带宽的引擎，能够提供高速的数据传输和交换，因此对支持流媒体、视频会议、远程教学等服务上具有更明显的优势，因此建议将网络出口转移到新校区。小学教学楼群的核心网络交换机通过光纤连接到新校区的上，因此小学教学楼群的网络服务如INTERNET等均通过来完成。15网络安全校园网络环境基本情况如下（1）操作系统平台包括WINDOWS2000SERVERPROFESSIONAL、WINDOWSNTSERVERWORKSTATION；（2）主要应用系统有系统、服务器、服务器等；（3）网络管理员负责保障网络和服务的正常运行，保护网络核心资源不受破坏。网络管理人员的规模未定。校园网用户主要分三类（1）外部访问者；（）教职员工；（）在校学生，三类用户有着不同的网络行为特征和安全风险因素，分析这些访问者的行为，可以更好的制定网络安全策略。外部访问者一主要是访问校园网提供的服务，群体行为特征不明显，少量访问者有攻击性；教职员工一以校园网为工具，用于研究课题和办公。部分教师有较高的网络知识。攻击性相对较少；在校学生一这一群体是最活跃的网络用户，很多学生具有很高的网络水平和学习能力，极强烈的好奇心和争胜欲望，为了炫耀或者学习实践，对网络有比较大的攻击性。网络管理者面临的压力主要来自20（1）校园网应用的深度和广度；（2）网络用户行为的多样性；（3）服务失效引发的问题等。校园网中数据库服务器、文件服务器、系统和电子图书馆等服务系统是核心资源，需要特别保护其不受攻击和破坏。在校园网络环境下，需要考虑如下需求（1）网络隔离访问控制隔离校园网与外部网络（CERNETCHINANET/INTERNET）之间的信息传递；隔离校园网络内部的核心资源，对敏感网络和服务特别保护；控制校园网络用户对INTERNET的访问；（2）对计算机病毒防范控制计算机病毒对数据、系统和网络服务的破坏；过滤INTERNET引邮件和网页中的有害代码；（3）数据备份与高可用性对关键数据的备份保护；对不可中断服务的系统与数据的高可用性设计；（4）漏洞扫描与修补检查系统和服务漏洞，并根据检测工具提供的方法进行漏洞修补；检测网络设备不正确的或存在安全风险的配置；（5）网络安全培训对一般用户的网络安全使用培训；对网络管理员的安全管理培训；161网络安全设计对于整个系统我们从以下几个方面对系统进行安全设计网络运行安全为保障网络功能的相应实现，安全系统需要具有备份与恢复、计算机病毒防治、电磁兼容等功能。建议选用公安部认证的网络版杀毒软件进行计算机病毒防治。备份与恢复本系统内部网络使用了两台服务器互相冗余作为数据库服务器因此在避免人为物理操作失误，以各种物理手段进行违法犯罪行为导致的网络信息的破坏、丢失等方面满足系统的要求。电源系统选用一台对整个系统供电，平时由市电通过后向系统供电，当市电切断后由后备电池继续供电。计算机病毒防治计算机病毒防治包括预防病毒、检测病毒和消除病毒采用国家公安部批准的查毒软件适时查毒、杀毒，包括服务器和各客户端的定期查毒、杀毒，并及时更新病毒库。访问控制本系统网络管理员对用户进行文件和数据才作权限进行限制，主要防范用户的越权访问。在网络与远程网络之间的接口处配置的安全保密产品（防火墙等）进行网络安全保护。处理21秘密级信息的涉密系统，访问按照用户类别、信息类别控制；针对不同的应用系统，结合身份鉴别措施来实现。地址管理校园网应具备安全、可靠的用户接入多种控制及认证策略，固定用户可采用地址和层交换机地址在交换机端口捆绑方式，在此接入层交换机完成地址捆绑，核心层交换机完成地址与交换机地址捆绑。对于流动用户，可采用端口用户认证接入控制方式，用户认证接入协议应采用标准的协议，做到用户定位，进行用户接入控制，以保证校园网络的安全性和可管理性；对于计算机房，通过分配独立的同段地址，由机房自行完成以路由方式接入校园网，这样机房可自行进行管理控制，减轻网管中下的管理工作量，同时又能有效安全控制机房的校园网接入。162网络安全措施防火墙控制网络出口杀毒软件KILL安全胄甲，对整个系统进行病毒防护和内容过滤；1非法访问非法用户在非法进入系统后能够窃取各客户端或服务器端的资料，造成泄密事件的发生，因此对于非法访问的防范将是系统防护的重中之重，在系统来采用针对性的措施时，系统的受威胁等级为高。针对非法用户企图通过远程登录的方式进入本部系统，本系统在与外部的连接处架设防火墙、安装网络审计系统加以控制。针对非法用户企图通过客户端进入系统，涉密系统可以通过身份认证系统将非法用户阻挡在网络之外。针对非法用户企图通过服务器端进入系统。网络机房建成专用机房，同时采用电子门锁限制非法用户的进入。针对合法用户以未授权的方式越权操作，如进入数据库或进行读写操作；本部的身份认证系统将限制合法用户的操作权限。采用了上述方法进行安全保护后系统的受威胁等级降低。1防火墙我们建议采用东方龙马WLMFW300防火墙。（）体系结构安全的网络结构龙马卫士防火墙标准配置时提供四个网络接口，能够将网络信息划分为不同的安全通道，基于每个安全通道定义不同的安全策略。22内部网是被保护的网络，它不对外开放，也不对外提供任何服务，所以外部用户检测不到它的地址，也难以对它进行攻击。DMZ区又称非军事化区，它对外提供服务，系统开放的信息都放在该区，由于它的开放性，就使它成为黑客们攻击的对象，但由于它与内部网是隔离开的，所以即使因为服务器因为其自身漏洞（如溢出漏洞）受到了攻击也不会危及内部网。除图示防火墙的三个接口另外一个接口可以作为管理接。，对防上墙的所有设置都通过该接口进行。它通过加密的信息通道，只对防火墙进行设置和操作，为防火墙的安全提供了保证。龙马卫士防火墙四个网络接口相对独立，方便管理员监视和查询网络故障。管理员能够通过管理程序实现对四个网络接口间的通讯进行访问控制，并提供内部监控，日志审计等功能。当然，上述结构只是我们根据典型用户环境提出的建议，用户安全可以根据自身的实际情况灵活地使用防火墙的各个网络接口。龙马卫士防火墙的基本功能如下国内首创的以用户为核心的设计思想，支持认证、授权、记帐（AAA）功能实时的连接状态监控功能，通过规则表与连接状态表共同配合，提高了系统的性能和安全性。动态过滤技术，根据实际应用的需要，为合法的访问连接动态地打开所需的端口，如H323、视频会议等应用，在连接结束的时候，自动地关闭相应的端口。支持8021Q标准、支持独特的安全通道控制机制，利用基于接口到接口的安全策略建立安全通道，对数据流的走向进行灵活严格的控制地址盗用自动探测技术，自动监视内部地址资源的使用情况地址与地址绑定，能够自动搜索局域网内所有地址对应的地址灵活多样的网络地址转换，提供对任意接口的地址转换，并且，无论防火墙工作在何种模式（路由，透明，混合）下，都能实现功能提供多线程，多会话的高性能透明代理技术，使系统可以对出入防火墙的所有应用层连接进行统一的管理，处理速度快，处理会话多，保证了系统的高效性深入的级访问控制支持短信过滤支持PPPOE，支持、等拨号接入方式。提供流量控制和分析功能，能根据需要控制出入防火墙各个区域的流量支持带宽管理强大的入侵检测功能，支持与第三方IDS系统的互动支持基于的本地管理与远程管理，管理采用加密技术，防止恶意攻击者使用网络监听工具窃取信息，远程用户可以直接对防火墙进行管理，配置抗攻击和自我保护能力，可以防范外部黑客的攻击支持双机热备份，提供可靠的容错热待机功能审计和报警功能，可提供所有的网络访问活动情况，同时具备对可疑的和有提供操作简单的图形化用户界面对防火墙进行配置关键技术认证、授权、记帐（）动态过滤技术灵活多样的网络地址转换（）深入的级信息过滤23带宽管理基于的远程管理抗攻击和自我保护能力秒级双机热备份国际标准的日志格式操作简单的图形化用户界面系统功能指标列表产品类型（防火墙、软件、硬件设备）硬件防火墙类型（包过滤、状态检测、代理）状态检测代理包过滤工作方式（路由模式、桥模式）路由模式、桥模式、混合模式内部配置操作系统专有操作系统支持的LAN接口类型10/100BASETXVLAN支持支持网络特性支持的非IP协议IPX、NETBEUI建立VPN通道的协议IKE、IPSEC、L2TP可以在VPN中使用的协议AH、ESP、IKE、LDAP、X509、X500支持的VPN加密算法DES、3DES、RC5、DSS、RSA、国家许可专用算法除了VPN以外，加密的其他用途远程管理、登陆管理IKE支持VPNPKI支持支持的认证方法口令、OTP、LDAP、NTDOMAIN、KERBEROS、PAM、PAP/CHAP、MSCHAP、RADIUS列出支持的认证标准RADIUS支持数字证书X509认证支持支持的认证算法MD4、MD5、SHA1提供的内容过滤类型URL内容过滤，短信过滤能防御的攻击类型ABNORMAL_ICMP、ICMP_FLOOD、ICMP_FRAGMENT、PING_OF_DEATH、ABNOMAL_TCP等多种防御功能防止ACTIVEX、JAVA、COOKIES、JAVASCRIPT侵入支持支持的代理类型HTTP、SMTP、TELNET、POP3、FTP代理NAT功能一对多，多对一，一对一，多对多提供入侵实时警告支持安全特性提供实时入侵防范支持管理员权限分级四级管理功能集中管理（多个防火墙）支持24支持SNMP监视和配置支持本地管理方式串口远程管理方式GUI流量管理支持带宽管理支持负载均衡特性支持服务器负载均衡失败恢复特性（FAILURE）双机热备高可用性数据同步支持防火墙处理完整日志的方法审计存储的上限与日志数据库的硬盘空间有关。审计耗尽后的措施室转储，告警，自动删除日志报表生成方式专用根据（GUI）警告通知机制声音、EMAIL、报警软件提供审计报表饼图、直方图、详细报表、IP提供实时统计支持日志分级紧急、警报、错误、警告、通知、消息、调试、不记录日志日志种类配置更改、系统、一般消息、包过滤、代理服务、入侵检测、认证网关、PKI、IKE、IPSEC日志备份数据库备份第三方日志分析软件支持日志审计和报表功能WEBTRENDS支持印刷文档有电子文档有文档与帮助在线文档有获得的国内有关部门许可证类别及号码公安部许可证XKC33177；国家信息安全认证证书CNISTEC2000TYP061；国家保密局涉密信息系统安全保密评测中心证书1623KILL防病毒系统通过对多家网络防病毒软件产品的性能、价格、服务的比较，我们建议校方选用冠群金展的KILL系列产品。结合用户的需求情况，建议选用套KILLFORWINDOWS2000SERVER/NT。双机备价系统的主、从服务器上均安装KILLFORWINDOWS2000SERVER/NT；在网络工作站上安装KILLFORWIN95/98/2000客户端。网络防病毒实现方案描述服务器的病毒防护KILL系列反病毒软件采用的是服务器客尸端的构架。服务器端能对WINDOWSNT、NETWARE、DOMINO/NOTES、MACHTOSH等操作平台进行病毒防护。在本系统中，通过安装KILLFORNT/2000SERVER，实现对所有双机热备份服务器的病毒防护。客户端的病毒防护KILL系列反病毒软件网络版服务器端可支持无限客户端。也就是说，客户端可以按照25许可协议时又据网络的要求随意扩展。客户端的安装可以从本机安装，也可以从服务器端进行自动远程安装（KILLFORWINDOWSNTWORKSTATION的远程安装和KILLFORWINDOWSNTSERVER的远程安装过程一样）。配置好网络用户的登录设置后，只要该网络用户从网络中的未安装KILL客户端的工作站登录到服务器（该服务器需要配置相应的用户登录脚本并将相对应的KILL客户端软件的安装文件放置在相应的目录并共享），KILL客户端软件将自动安装到该工作站，下次从这台工作站登录时，KILL会检查工作站是否已安装KILL客户端软件。这样就能够确保每一台工作站都得到KILL反病毒软件的保护。KILL客户端软件安装到工作站后，将提示用户重新启动计算机以使服务启动，同时启动KILL实时监控器保护进出该工作站文件的安全。一旦服务器端和客户端软件都已安装完毕，KILL的网络防毒构架即宣告全部完成，KILL的安装过程已经在实时保护您的系统安全。KILL反病毒系统的主要性能（1）全方位立体网络防病毒体系，包括服务器的病毒防护客户端病毒防护对电子邮件进行病毒防护对INTERNET网关进行病毒防护对INTRANET内网的保护（2）KILL能够对付目前世界上流行的各种病毒及其变种，并可在一定条件下检测出未知病毒代码KILL提供了查杀病毒的一系列解决方案。查毒的方式有快速扫描、完全扫描、评论扫描，KILL采用了虚拟技术和启发式技术，其探试引擎可对未知病毒进行扫描。KILL提供的多种扫描方式能满足不同的用户需求，特别是在目前病毒传染越来越隐蔽的情况下具有极其强大的扫描功能。至于压缩文件，KILL能对大多数流行的压缩格式进行扫描，如ZIP、ZIPEXE、ARJ、ARJEXE、CAB、LHA、MIME、UUE等，尤其是对WINDOWS系统采用较多的CAB格式，KILL能100地进行检测，此外，KILL还能对多重压缩格式进行扫描和处理。KILL提供多种杀毒方式报告、清除、清除前复制、彻底清除、重命名、这些杀毒方式能够充分地保证文件和系统的安全，杜绝误报、误杀和对文件的破坏，在杀毒过程中用户可以选择最适合自己应用的方式。（3）对于最新出现的病毒，KILL研发中心有最快的响应速度，KILL的全球监测网能最先获得新病毒的信息并加以处理。（4）实时和定时扫描功能。（5）方便的病毒防护管理功能。KILL能够实现统一安装、统一配置、集中式日志管理具体包括对于广域网络反病毒系统的远程安装功能，包括远程安装所有的服务器和客户端。对于系统服务器和工作站病毒扫描工作的统一管理功能。对系统中的工作站和服务器进行集中管理，同时还可以远程设置扫描作业和扫描选项。对于重要服务器和工作站病毒扫描工作的定点管理功能，同时可以远程设置扫描作业和扫描选项。对于网络中所有计算机，KILL防病毒系统的自动升级功能；包括对网络中所有服务器和客户端的自动升级。（6）KILL具有自校验功能26（7）强大的报警功能（8）方便的升级和维护功能、对新病毒的快速反应能力。（9）KILL的系统资源占用率极低，不超过系统资源的（10）KILL能够与微软流行的备份软件协调地工作，在备份系统中实现数据的无毒备份。16主机系统161概述服务器是整个网络的核心部分。服务器是整个网络中服务的提供者，它的性能优劣直接影响整个网络的工作效率，它的不稳定又会给网络造成很大的损失。因此在服务器的选型上应考虑如下问题高可靠性高效性可扩展性和兼容性校园网公共基础服务器，基本上采用IA架构的服务器，以降低设备投资，但要求服务器配置能满足大量用户的并发访问需求；作为基本设计原则，每台服务器以提供12项服务为宜，访问行为及控制方式相差较多的服务系统建议将教师用服务器与学生用服务器分离；为了方便服务器的集中化管理，采用有150米远距离控制的KVM设备进行服务器的远程管理，多服务器的分散性管理问题也得到解决，更重要的是可取消服务系统的远程登录管理，又能相对远程的管理控制；使安全性大大提高；其它的应用服务系统可根据需要选择合适的服务器、操作系统和开发相应的应用软件；162中心服务器数据库服务器本系统选用HPDL580G2台做为网络系统的数据库服务器，根据本校的实际情况，考虑将一卡通数据库系统也在本服务器上运行。HPDL580G2服务器上均建议配置INTELXEON24GHZ512K1块；1GBDIMM（4X256MB）；18GWIDEULTRASCSI3SCSI硬盘2块；73GWIDEULTRASCSI3SCSI硬盘2块；40CDROM；144M软驱；二个INTELPRO1000XT铜线网卡；冗余电源2600W既能满足对容量的要求，又能有足够的备用磁盘，能非常好的满足计算机系统的应用需求。163应用服务器1631MAIL服务器EMAIL服务器是校园网中最忙的服务器之一，而且用户的信件数据在不断的变化，对27用户做备份没有多少作用，但作为网络管理部门来说要绝对保证用户信件的安全性和私密性。作为一台EMAIL服务器，首先要将系统数据和用户数据分开存贮管理，特别用户数据需要使用磁盘阵列客错存贮。其次，不能将ENLAIL用户作为系统用户来处理，否则管理不当，会造成极大的安全性问题。再则，每个用户、每封EMAIL要建立单独的目录、文件来存贮，以确保用户数据的安全对于用户的邮件接收处理，我们只提供POP3方式，主要是考虑到服务器的存贮空间必定有限，用户在收信时及时清除保存在服务器内的数据，转移保存到用户自己的机器上，可以提高信件的安全性，提高信件接收的可靠性（如果某用户的限定的存贮空间满了以后，就不能再正常接收新的邮件），也可减轻网管的压九邮件的接收，只要通过互联网络，任何地方都能接收，方便了用户的移动性要求，对于邮件的发送，只限制在校园网络范围内才能享用，出了校园网是不能利用校园的EMAIL服务器来发邮件，这样的限制方便了管理，并消除了被垃圾邮件发送者利用的可能性，使自己有EMAIL服务器不会被其他网络部门记上黑名单，安全性大大提高，可管理性好。邮件服务器的配置及其可扩展性邮件服务器配置由于邮件服务功能是校园网的主要服务功能之一，用户数非常多，对服务的要求也非常随机。在选型邮件服务器时，主要考虑的是要有较高的处理速度和较大的容量本方案选择HPDL380G3，建议配置为INTELXEON24GHZ512K1块，1GBDIMM（4256MB），182GWIDEULTRASCSI3SCSI硬盘2块，48CDROM，144M软驱，二个INTELPRO1000XT铜线网卡，冗余电源2500W。1632WEB/DNS服务器做为向最终用户提供的一个重要应用，系统必须使用一个高速、稳定、功能强大的WEB服务器产品。WEB服务器的主要特性如下允许根据客户主机名或IP地址限制访问；允许用厂认证来限制某些文档的访问；支持WINDOWSNT95，NETWARE5X；支持可靠的日志文件；支持PROXY服务；支持SSL，SSI；统一的配置文件，所有配置均可放在HTTPDCONF文件中；支持NETSCAPESHA1密码加密类型；当负载增加时，服务器会快速生成子进程来处理，从而提高系统响应能力。在选型WEB服务器时，主要考虑的是稳定性，对速度和容量没有特殊的要求。在此我们选选择WEB服务器与DNS服务器共用。DNS服务器的功能，就是将网域名称转换成IP地址。单独一台DNS服务器，并不知道世界上所有的IP地址；可是它可以向其他服务器询问自己所不知道的地址DNS服务器将所询问的IP地址回应给使用者，如果解析失败就向客户机报告所询问的名称在数据表中找不到。INTERNET发展到今天，DNS已经成为不可缺少的一个重要组成部分。ISP必须通过建立多个城名服务器来完成对越来越多的节点的城名解析。通常必须建立所控制的域的主域名服务器，作为授权的城名服务器WEB城名服务器的配置及其可扩展性由于DNS服务器是整个校园网中非常重要的服务器，我们要连到INTERNET上的任何一个站点都离不开DNS服务器；如果DNS不能正常工作；整个校园网内部的用户就得28不到来自INTERNET的服务，所以在选型DNS服务器时，要求具有较快的响应速度、较高的稳定性，对容量没有特殊的要求。本方案选择HPDL380G3，建议配置为INTELXEON24GHZ512K1块，1GBDIMM（4256MB），182GWIDEULTRASCSI3SCSI硬盘2块，48CDROM，144M软驱，二个INTELPRO1000XT铜线网卡，冗余电源2500W。1633行政管理（OA）服务器行政管理服务系统主要是学校行政信息中心的办公自动化系统，要求稳定性较好。在此选择HPDL380G3。建议配置为INTELXEON24GHZ512K1块；1GBDIMM（4256MB）；182GWIDEULTRASCSI3SCSI硬盘2块；73GWIDEULTRASCSI3SCSI硬盘二块；48CDROM；144M软驱；二个INTELPRO1000XT铜线网卡；冗余电源2500W。1634图书管理服务器图书管理系统服务器由于数据量大，暂时配置HPDL580G2服务器两台做