综合布线实训设计方案.doc

肇庆科技学院高要校区网络综合布线技术课程实践设计第四组校园网络综合布线设计方案目录前言第一章 校园网需求分析21.1: 学校背景.21.2: 用户需求21.3: 用户分析21.4: 网络功能3第二章 网络结构设计52.1: 信息点分布图52.2: 网络拓扑结构.62.3: IP地址的规划及VLAN设计7第三章 综合布线系统设计.73.1: 工作区（Work Location）子系统.83.2: 水平(Horizontal)子系统.93.3: 管理间(Administration)子系统的103.4: 垂直干线(Backone)子系统.103.5: 设备间(Equipment)子系统 .103.6: 建筑群(Campus)子系统11第四章 楼宇建筑平面图114-1: 学校整体建筑平面图124-2: 学生宿舍楼16-17的平面图.134-3: 教学区3-9栋的平面图134-4: 图书馆4楼平面图.14第五章 网络安全设计.155.1: 计算机网络安全方案设计与实现概述.165.2: 计算机网络安全方案设计并实现.165.2.1: 桌面安全系统165.2.2: 病毒防护系统.175.2.3: 动态口令身份认证系统.175.2.4: 访问控制“防火墙”175.2.5: 信息加密、信息完整性校验 185.2.6: 安全审计系统 185.2.7: 入侵检测系统IDS195.2.8: 漏洞扫描系统195.3: 结束语19第六章 网络安装设备206.1: 工作区子系统206.2: 管理间子系统216.3: 垂直干线子系统22第七章 网络设备验收237.1: 设备安装与测试237.1.1: 网络设备的安装237.1.2: 网络设备的测试231.传输介质测试232.网络接入设备的测试243.网络的维护与故障诊断247.2: 施工工期计划表247.3: 工程验收申请257.4: 合同项目清单25前言我国目前大多数校园网上的应用还不丰富，与学校原有一些计算机业务系统还没有充分发挥，应用水平的低下是对校园网资源的极大浪费。只有提高校园网上的应用水平，才能切实提高学校各项业务水平，适应时代的要求。因而，如何利用当前先进的计算机技术与校园网资源，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。第一章：校园网需求分析1.1学校背景 学院占地面积1020亩，校舍总建筑面积31万多平方米。目前有7座教学楼、14座学生宿舍楼和7座作用楼等建筑群。将这些建筑群纳入为一个校园网，校园网接入带宽2000M，端口数9748个，总的信息点大约达到10000左右，信息节点的分布也比较分散。将涉及到教学楼、学生宿舍楼、艺术楼、图书馆、食堂、生活楼等，主控室设在教学楼一楼。而教学楼、实验楼和图书馆则为信息点密集区1.2用户需求现在学校开展了很多网络化教学，很多课程或课件都要通过访问页面来获取。学生希望在任意时间在学校的任何地点访问课程主页和课件资源，并进行提交作业等活动。同时，师生希望能有更便利的条件访问校园网上提供的其他资源。但端口数量有一定的限制。一般来说，有线局域网中在如教室、图书馆、会议室等地方不可能布设太多信息点，随着以后学生中笔记本电脑的普及和现代化教学的普及，这些地方往往在同一时刻有大量的电脑，而目前的有线校园网没有办法使学生们在这些区域上网。而采用无线方式，在端口上连接无线接入点，不需布线就可以轻松从个端口扩展到成百上千个端口的应用。随着学校的办学层次的提高，学校的学术氛围也日益浓厚，各种学术活动越来越多地在学校举行。除此之外，学校每年也都会举办一些其他的活动，如运动会、人才交流活动等。由于这些应用的特殊性和灵活性，有线局域网将不能满足校园网的需求。所以很有必要使用无线局域网技术对原有的有线网络进一步扩充，使校园的每个角落都处在网络中，形成真正意义上的校园网。结合校园网的认证计费系统，实现了校园网极高的安全控制策略。对于我校在楼宇内采用接入方式对办公室、会议室、校园广阔地进行无线网络覆盖。而对于学校两部则通过室外网桥连接方式实现网络互通。无线局域网作为一个有限局域网的补充和完善，在校园网建设中将会有更好的应用。我们在构建无线局域网时可以根据不同的需求选择不同的接入方式这将使无线局域网技术得到更好的应用。校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学校办公质量和效率，以促进学校整体教学水平的提高，加强学校与学校之间的资源共享。（1）连接校内所有教学楼、实验楼、办公楼等各建筑中的计算机（2）同时支持约2000用户浏览Internet。（3）提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：提供基本的Interent网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论，电子公告牌、域名服务等。提供校内各个管理机构的办公自动化。提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。全校共享软件库服务，避免重复投资，发挥最大效益。提供良好的教学和科研条件。经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快获得最新教学成果及技术合作等创造良好的信息通路。1.3用户分析(1)兼容性所谓兼容性是指其设备或程序可以用于多种系统中的特性。综合布线系统将话音信号、数据信号与监控设备的图象信号的配线经过统一的规划和设计，采用相同的传输介质、信息插座、交连设备、适配器等，把这些性质不同信号综合到一套标准的布线系统中。这样与传统布线系统相比，可节约大量的物质、时间和空间。在使用时，用户可不用定义某个工作区的信息插座的具体应用，只把某种终端设备接入这个信息插座，然后在管理间和设备间的交连设备上做相应的跳线操作，这个终端设备就被接入到自己的系统中。(2)开放性传统的布线方式，用户选定了某种设备，也就选定了与之相适应的布线方式和传输介质。如果更换另一种设备，那原来的布线系统就要全部更换。这样的话就增加了很多麻烦和投资。综合布线系统由于采用开放式的体系结构，符合多种国际上流行的标准，它几乎对所有著名的厂商都是开放的，如：IBM、DEC、SUN的计算机设备，AT&TNTNEC等交换机设备。并对几乎所有的通信协议也是开放的，如EIA-232-D，RS-422，RS-423，ETHERNET，TOKENRING，FDDI，CDDE，ISDN，ATM等。 (3)灵活性综合布线系统中，由于所有信息系统皆采用相同的传输介质、物理星形拓扑结构，因此所有的信息通道都是通用的。每条信息通道可支持电话、传真、多用户终端。10Base-T工作站及令牌环工作站（采用5类连接方案，可支持100Base-T及ATM等）所有设备的开通及更改均不需改变系统布线，只需增减相应的网络设备以及进行必要的跳线管理即可。另外，系统组网也可灵活多样，甚至在同一房间可有多用户终端，10Base-T工作站、令牌环工作站并存，为用户组织信息提供了必要条件。(4)可靠性综合布线系统采用高品质的材料和组合压接的方式构成一套高标准的信息通道。所有器件均通过UL、CSA及ISO认证，每条信息通道都要采用物理星形拓扑结构，点到点端接，任何一条线路故障均不影响其它线路的运行，同时为线路的运行维护及故障检修提供了极大的方便，从而保障了系统的可靠运行。各系统采用相同传输介质，因而可互为备用，提高了备用冗余。 先进性综合布线系统采用光纤与双绞线混布方式，极为合理地构成一套完整的布线系统。所有布线均采用世界上最新通信标准，信息通道均按B-ISDN 设计标准，按八芯双绞线配置，通过5类双绞线，数据最大速率可达155Mbps，对于特殊用户需求可把光纤铺到桌面（Fiber-to theDesk）。干线光缆可设计为500M带宽，为将来的发展提供了足够的裕量。通过主干通道可同时传输多路实时多媒体信息，同时物理星形的布线方式为将来发展交换式的网络奠定了坚实基础。 (5)经济性传统的布线方式，各个布线系统是互补兼容，每个系统都是独立设计、独立布线，因而每增加一个弱点子系统都要安装一套新的线缆、新的管线，不能混合布线，费用增加很大。综合布线系统虽然初始投资比较大，但当系统个数增杰时，因其布线系统是相互钱蓉的，都采用相同的传输介质、接插件、桥架和管线，故以后投资会很少了。而且它可以降低用户诚信布局火灾设备搬迁变更费用。此外，综合布线系统的维护费用极低。1.4网络功能（1）信息传递。 这是校园网络最基本的功能之一，用来实现电脑与电脑之间传递各种信息，使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器，可以为整个校园网络提供各类教学资源，并对这些资源进行综合管理。 （2）信息资源共享。（3）方便教学。 网络可以进行图、文、声并茂的多媒体教学，可以取代语言实验室进行更生动的语言教学，提供一个良好教学环境。校园网络方便、不但可以在校园内进行网络教学，还很容易和外界大型网络连接，形成更大范围的网络交互学习环境。（4）为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境。（5）为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平。 （6）为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境。 （7）为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式。 第二章：网络结构设计2.1：信息点分布图及数量统计校园比较大，建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重，又要兼顾未来的发展需求。主干网以中控室为中心，设几个主干交换节点，包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用千兆光纤交换机。中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆；楼内选用进口6芯室内光缆和5类线。根据学校的实际应用，配服务器7台，用途如下：主服务器2台：装有Solaris操作系统，负责整个校园网的管理，教育资源管理等。其中一台服务器装有DNS服务，负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统，负责整个校园网中各个用户的邮件管理。WWW服务器1台：装有Linux操作系统，负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器，用PHP语言进行开发，连接MYSQL数据库，形成了完整的动态网站。电子阅览服务器1台：多媒体资料的阅览、查询及文件管理等；教师备课服务器1台：教师备课、课件制作、资料查询等文件管理以及Proxy服务等。光盘服务器1台：负责多媒体光盘及视频点播服务。图书管理服务器1台：负责图书资料管理。在充分考虑学校未来的应用，整个校园的信息节点设计为25000个左右。交换机总数约2000台左右，其中主干交换机5台，配有千兆光纤接口。原有计算机机房通过各自的交换机接入最近的主交换节点，并配成多媒体教学网。INTERNET接入采用路由器接ISDN方案，也可选用DDN专线。可保证多用户群的数据浏览和下载。从考虑计算机信息点。校园网各建筑物信息点分布情况，总计算机信息点为25000个。该信息点的分4J设计已经考虑了今后的网络发展的需要，信息点的数量已经预留了一定的数量：大楼功能分布信息点信息点合计网络中心的距离图书馆学生阅览室10180在同一栋楼电子阅览室50网络中心10借书室10办公室100教学区教室300920250m多媒体教室20计算机实训机房600行政区财务处30120200m人事处30教务处20招生就业20保安室20宿舍区学生宿舍2000020600250m老师宿舍500教授公寓100本科校区教学区20010001000m实训中心200实训机房600艺术楼办公室511525m实训机房100会议室10体育馆设备管理机房1010250m生活区商场和店铺2020200m饭堂一楼二楼1010150m合计229757625m2.2：网络拓扑结构据用户需求分析，决定某学院的校园网络采用综合型网络拓扑结构。学院网络中心的核心路由交换机为中心点（图书馆），A、B、C、D区学生宿舍的核心交换通过6芯单模光纤链路连接网络中心核心路由交换机，教工区的核心交换机也通过单模光纤链路连接网络中心核心路由交换机。每幢学生宿舍和教工宿舍都分配一个带有光纤模块的三层交换机，每幢教学楼配备终端交换机。校园网网络拓扑结构，如图所示：2.3：IP地址的规划及VLAN设计在设计IP地址方案之前，应考虑以下几个问题: l 是否将网络用真实地址连入Internet。 l 是否将网络划分为若干子网以方便网络管理。 l 是采用静态IP地址分配还是动态IP地址分配。 l 每个子网现在规划多少个信息点。 l 每个子网将来会增加多少个信息点。综上所述，现将各区域IP划分如下：办公行政楼：将连到教师办公室的交换机端口划分为VLAN2，将连到行政办公室的交换机端口划分为VLAN3，每台计算机手工设置静态IP地址，DNS为66 6,网关，子网掩码为，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为-。行政办公室IP范围为:20教师办公室IP范围为:2054教学楼：将VLAN4VLAN67分别划分给每一间教室，每台计算机手工设置静态IP地址，DNS为66 6,网关, 子网掩码为，在网络中心的路由器上设置动态NAT共享上网，公网的IP段为-01楼的IP范围为 62楼的IP范围为 723楼的IP范围为 384楼的IP范围为 945楼的IP范围为 49计算机室16的IP划分如下表：计算机室服务器IP教师机学生机/249/242/241/24/240/242/241/243/241/242/241/244/242/242/241/245/243/242/241/246/244/242/241/24学生宿舍区：将VLAN 68 到 VLAN 73分别划分给学生宿舍楼A的10-15栋，将VLAN 74 到 VLAN 79分别加划分给学生宿舍楼B的16-21栋。其IP地址由网络中心的将路由器设为DHCP服务器，设其IP段为55 子网掩码为自动分配给学生宿舍区。在网络中心的路由器上设置动态NAT上网，公网的IP段为1-0。图书馆：将连到电子阅览室的交换机端口划分为VLAN80，每台计算机手工设置静态IP地址，DNS为66 6,网关, 子网掩码为。在网络中心的路由器上设置动态NAT共享上网，在网络中心的路由器上设置动态NAT共享上网，以及设置静态NAT，绑定知网公网地址。公网的IP段为1-5。电子阅览室的IP为-3将VLAN81VLAN84分别划分给FTP、校内论坛和教学网站、学校官方网站，手动设置IP，在网络中心的路由器上设置静态NAT，绑定学校官方网站公网地址。第三章 综合布线系统设计综合布线系统（GCS，Generic Cabling System）是针对计算机与通信的配线系统而设计的，它可满足各种不同的计算机与通信的要求。综合布线系统是由6个独立的子系统所组成，采用星形结构，可使任何一个子系统独立地进入GCS系统中。这6个子系统为：3.1 工作区（Work Location）子系统3.2 水平(Horizontal)子系统3.3 管理间(Administration)子系统的3.4 垂直干线(Backone)子系统3.5 设备间(Equipment)子系统3.6 建筑群(Campus)子系统整体图示如下：3.1 工作区(Work Location)子系统它就是工作区（各个办公室）内终端设备连接到信息插座之间的设备组成，包括信息插座、连接软线、适配器等。按照需求设置一孔至四孔信息插座，八芯信息插座用于计算机系统，四芯插座用于电话，信息插座和电源插座之间的距离应在30cm以上。3.2 水平(Horizontal)子系统 水平子系统是布置在同一楼层上，一端接在信息插座上，另一段接在层配线间的跳线架上，它的功能是将干线子系统线延伸到用户工作区。水平子系统主要采用4对非屏蔽双绞线（UTP），它能支持大多数现代通讯设备，在某些要求宽带传输时，可采用“光纤到桌面”的方案。档水平区间面积相当大时，在这个区间可能有一个或者多个卫星接线间，水平线除了要端接到设备间外，还要通过卫星接线间，把终端接到信息出口处。3.3 管理间(Administration)子系统它是干线子系统和水平子系统的桥梁，同时又可为同层组网提供条件。其中包括双绞线跳线架、跳线（有快接式跳线和简易跳线之分）。在需要有光纤的布线系统中，还应有光纤跳线架和光纤跳线。当终端设备位置或局域网的结构变化时，只要改变跳线方式即可解决，而不需要重新布线。因此骑着管理各层的水平布线连接相应网络设备的作用。3.4 垂直干线(Backone)子系统它是由主设备间（如计算机房、程控交换机房）至各层管理间。它采用大对数的电缆馈线或光缆，两端分别接在设备间和管理间的跳线架上，为建筑物提供干线电缆路由。3.5 设备间(Equipment)子系统它是采用卡接式配线架连接主机和网络设备。是由设备间的电缆、连续跳线架及相关支撑硬件、防雷电保护装置等构成。它可以说是整个配线系统的中心单元，因此它的布放、选型及环境条件的考虑恰当与否，直接影响到将来信息系统的正常运行以及维护和使用的灵活性，比较理想的设置是把计算机房、交换机房等设备间设计在同一楼层中，这样既便于管理、又节省投资。当然也可根据建筑物的具体情况设计多个设备间。3.6 建筑群(Campus)子系统 它是将多个建筑物的数据通信信号连接一体的布线系统。它采用可架空安装或沿地下电缆管道（或直埋）敷设的铜缆和光缆，以及防止电缆的浪涌电压进入建筑的电气保护装置。第四章：楼宇建筑平面图4.1学校整体建筑平面图如图4-1所示。4.2学生宿舍楼16-17的平面图如图4-2示。4.3教学区3-9栋的平面图如4-3所示。4.4图书馆4楼平面图如4-4所示。 4-1：学校整体建筑平面图 4-2：学生宿舍楼16-17的平面图 4-3：教学区3-9栋的平面图 4-4：图书馆4楼平面图信息点的分布：综合布线系统中考虑到房间的功能，教室暂不考虑安排语音信息点。各楼宇信息点的分布需求如下：1： 图书馆：图书馆的四楼的办公室和借阅办公室各布1个数据点和1个语音点，共2个数据点，2个语音点；二楼到三楼没层各2间办公室，每间办公室布1个数据点，1个语音点，共8个数据点和8个语音点；电子阅览室每间20台计算机，共8间，加上服务器和管理机共170台计算机，布170个数据点；另外每个书库布1个数据点，共8个数据点。共188个数据点和10个语音点。2：教学楼：每层有2间多媒体教室，每间布2个数据点，共20个数据点；每层2间办公室，每间布1个数据点和1个语音点，共10个数据点和10个语音点。共30个数据点和10个语音点。3：学生宿舍：每个宿舍布1个数据点，1个语音点，每栋共200个数据点和200个语音点。共2栋宿舍楼，故共有400个数据点和400个语音点。第五章：网络安全设计计算机网络安全建设是涉及我国经济、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息，在对网络系统详细的需求分析基础上，依照计算机网络安全设计目标和计算机网络安全系统的总体规划，设计了一个完整的、立体的、多层次的网络安全防御体系。 5.1计算机网络安全方案设计与实现概述 ： 影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 5.2计算机网络安全方案设计并实现 5.2.1桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器（CPU）、加密运算协处理器（CAU）、只读存储器（ROM），随机存储器（RAM）、电可擦除可编程只读存储器（E2PROM）等，以及固化在ROM内部的芯片操作系统COS（Chip Operating System）、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。 5.2.2病毒防护系统 基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。 （a)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及E-mail，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。 （b)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。 （c)客户端防毒。采用趋势科技的OfficeScan。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受Windows域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯Web的部署方式。 （d)集中控管TVCS。管理员可以通过此工具在整个企业范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，TVCS在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。 5.2.3动态口令身份认证系统 动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。 5.2.4访问控制“防火墙” 单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。 通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。 5.2.5信息加密、信息完整性校验 为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。 SJW-22网络密码机系统组成 网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。 本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。 中心管理器（软件）:是一个安装于中心管理平台（Windows系统）上的对全网的密码机设备进行统一管理的系统软件。 5.2.6安全审计系统 根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。 安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。 在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。 本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。 汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。 （1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。 文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。 主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。 （2)资源监控系统主要有四类功能。监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。监视键盘:在用户指定的时间段内，截获Host Sensor Program用户的所有键盘输入，用户实时控制键盘截获的开始和结束。 监测监控RAS连接：在用户指定的时间段内，记录所有的RAS连接信息。用户实时控制ass连接信息截获的开始和结束。当gas连接非法时，系统将自动进行报警或挂断连接的操作。 监测监控网络连接：在用户指定的时间段内，记录所有的网络连接信息(包括:TCP， UDP，NetBios）。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。 单位内网中安全审计系统采集的数据来源于安全计算机，所以应在安全计算机安装主机传感器，保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台，需要安装600个传感器。 5.2.7入侵检测系统IDS 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。 根据网络流量和保护数据的重要程度，选择IDS探测器（百兆）配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其他网络违规活动。 5.2.8漏洞扫描系统 本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户，I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品，就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描，可以实现和IDS、防火墙联动，尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。 联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。 在防火墙处部署联动扫描系统，在部门交换机处部署移动式扫描仪，实现放火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。 5.3结束语 随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案，应建立在对网络风险分析的基础上，结合系统的实际应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固化为一个模式，用这个模子去套所有的信息系统。 本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的网络安全防御体系。第六章：网络安装设备6.1: 工作区子系统：工作区子系统是一个从信息插座延伸至终端设备的区域。 工作区子系统是一个从信息插座延伸至终端设备的区域。工作区布线要求相对简单,这样就容易移动、添加和变更设备。该子系统包括水平配线系统的信息插座、连接信息插座和终端设备的跳线以及适配器。工作区的每个信息插座都应该支持电话机、数据终端、计算机及监视器等终端设备，同时，为了便于管理和识别，有些厂家的信息插座做成多种颜色：黑、白、红、蓝、绿、黄，这些颜色的设置应符合TIA/EIA 606标准。水平子系统：水平子系统指从楼层配线间至工作区用户信息插座（）。由用户信息插座、水平电缆、配线设备等组成。综合布线中水平子系统是计算机网络信息传输的重要组成部分。采用星型拓扑结构，一般由对UTP线缆构成，如果有磁场干扰或是信息保密时，可用屏蔽双绞线，高带宽应用时，可用光缆。每个信息点均需连接到管理子系统距离：90m（295ft）。指从管理间子系统中的 配线架的JACK端口至工作区的信息插座的电缆长度。工作区的patch cord、连接设备的patch cord、cross-connection线的总长度不能超过10M，因为双绞线的传输距离是一百米。水平布线系统施工是综合布线系统中最大量的工作，在建筑物施工完成后，不易变更，通常都采取“水平布线一步到位”的原则。因此要施工严格， 保证链路性能。 综合布线的水平线缆可采用五类、超五类双绞线、也可采用屏蔽双绞线。超五类双绞线屏蔽双绞线6.2：管理间子系统：管理间为连接其他子系统提供手段，它是连接垂直干线子系统和水平干线子系统的设备，其主要设备是配线架、HUB、交换机和机柜、电源等设备。 管理子系统设置在楼层配线房间，是水平系统电缆端接的场所，也是主干系统电缆端接的场所；由大楼主配线架、楼层分配线架、跳线、转换插座等组成。用户可以在管理子系统中更改、增加、交接、扩展线缆，用于改变线缆路由。建议采用合适的线缆路由和调整件组成管理子系统。 管理子系统提供了与其他子系统连接的手段，使整个布线系统与其连接的设备和器件构成一个有机的整体。调整管理子系统的交接则可安排或重新安排线路路由，因而传输线路能够延伸到建筑物内部各个工作区，是综合布线系统灵活性的集中体现。配线架交换机6.3: 垂直干线子系统：垂直干线子系统布线的建筑方式：预埋管路、电缆竖井和上升房（又称交接间或干线间）。 垂直干线子系统通常是由主设备间（如计算机房、程控交换机房）提供建筑中最重要的铜线或光纤线主干线路,是整个大楼的信息交通枢纽。一般它提供位于不同楼层的设备间和布线框间的多条联接路径，也可连接单层楼的大片地区。ST-LC光纤跳线FC-FC光纤跳线第七章 网络设备验收7.1、设备安装与测试7.1.1：网络设备的安装1、有源设备的安装（光站，放大器，供电器）无源设备的安装（野外过电器件，野外不过电器件，室内器件）2、光接收机的安装 （1）光接收机宜采用箱体安装方式。安装箱分两种：附墙式和落地式（箱内留有电池及逆变电源位置）。对管道管孔敷设电缆时，相应的放大器和分支分配器的安装均用落地式安装箱。 （2）测试口及未使用的输出端口要安装75欧姆终端电阻。在安装时，光接收机的相关过电短接跳接线应全部取下并紧密固定在光接收机机壳的内表面，调试时根据需要加装。 （3）光接收机宜在建筑物背光侧安装，避免阳光直接照射。7.1.2：网络设备的测试1、传输介质测试局域网的安装是从传输介质开始的。传输介质就是网线，是网络的基础部分，其本身的质量以及安装质量都直接影响到网络能否正常运行。因此网络测试首先从网线开始。（1）双绞线测试 目前，局域网中使用最多的是双绞线。因而，如何检测安装的双绞线是否合格，能否支持将来的高速网络，用户的投资是否能得到保护等关键问题都需要进一步的测试。（2）认证测试 所谓认证测试是指双绞线除了正确的连接外还要满足有关的标