毕业设计（论文）-网络安全设计.doc

学校代码 学 号 12917400027 1分类号 1密 级 毕业综述网络安全设计学习中心名称张家港开放大学奥鹏学习中心18VIP专业名称计算机科学与技术学生姓名指导教师2014年9月17日 北京航空航天大学毕业设计(论文) 第 14 页网络安全设计摘 要21世纪是一个以数字化、网络化与信息化为核心的信息时代。随着计算机网络的发展，校园计算机网络的建设已成为学校建设中，上档次、上规模的一个重要标志。校园网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，而目前在各高等院校甚至在很多中学都已经建立了自己的校园网，一些学校已开始将网络节点延伸至学生寝室。即将校园网面向学生全面开放，使得学校校园网真正在教学研究及管理等各方面起到重要的作用。本文通过对校园网建设的研究，着重从校园网现状及需求分析、网络的设计、结构化的综合布线方案以及网络安全等几个方面进行了初步的探讨。关键词：网络现状；综合布线；网络安全一、概述随着计算机网络发展至二十一世纪，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet ）上相连的计算机已近达数千万台，全球有数亿人在Internet 上进行信息交换和各种业务处理。Internet 上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。 校园网是各种类型网络中一大分支，有着非常广泛的应用。作为新技术的发祥地，学校、尤其是高等学校，和网络的关系十分密切，网络最初是在校园里进行实验并获得成功的，许多网络新技术也是首先在校园网中获得成功，进而才推向社会的。另一方面，作为“高新技术孵化器”的学校，知识、人 才的资源十分丰富，比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。正因为网络与学校之间的密切关系，我国从1994年教育科研计算机网（CERNET）于1994 年正式启动以来，已与国内几百所学校相连。为广大师生及科研人员提供了一个全新的网络环境。1998年10月,中国教育科研网(CERNET)二期工程正式启动,工程到2000年二期工程完成,除达到连接1000所大学的目标外,对有条件的中小学也提供接入上网服务。的确,随着信息技术的飞速发展,中小学校园网的建设已经逐渐提到议事日程上来。但是我国目前大多数校园网上的应用还不丰富，与学校原有一些计算机业务系统还没有充分发挥，应用水平的低下是对校园网资源的极大浪费。只有提高校园网上的应用水平，才能切实提高学校各项业务水平，适应信息时代的要求。因而，如何利用当前先进的计算机技术与校园网资源，实现学校各项业务系统的集成，提高应用水平将是学校校园网建设的下一个工作重点。 校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园园区内部的Intranet 系统，对外通过路由设备接入广域网。当然校园网如果脱离了服务那也是一个空壳，只有建立起基于校园网的的各种服务系统，真正的建立起数字化校园网络，学校才能从容面对汹涌澎湃的网络教育浪潮的挑战，才能适应新世纪发展的需求。二、需求分析（一）原有校园网的分析 深圳邮电技校是一所以工科为主，多学科协调发展的高等院校，现有在校生共计5000余名。学院以行政楼（网络中心所在楼）为中心，通过单模和多模光缆连接校内各办公楼、教学楼、家属楼、实验楼和学生宿舍楼等，实现了千兆到楼，百兆到桌面，连接校内所有建筑物的快速校园网络。目前学院建有网络机房8个，校内联网计算机1000多台，校园网主干网络为1000M光缆连接，设计2000个节点，现已开通1000多个节点，校园网思科核心交换机20台，6台校园网服务器，采用思科防火墙安全防范系统，利用一台思科路由百兆对外连入教育网和电信网。经过近几年老校区的网络建设和运行，目前发现存在一些问题： 1、网络可靠性差 由于网络结构中没有设备、电源、线路等的冗余和负载均衡，中心核心设备或分中心设备故障等问题出现直接导致了大面积的网络中断，影响网络的正常运行，且每次出现问题后网管人员需要作出相应响应，网络不具有自动愈合功能。 2、网络安全性差 由于教学、办公、公共机房等的计算机管理责任不明确，以及管理不善，经常造成IP地址冲突、计算机感染病毒造成网络拥塞、国际流量异常以及资料泄密等安全事故，这些事件的发生严正影响了该校网络运行的安全性和可靠性。 3、用户管理、认证效果差 虽然学生宿舍区应用了计费认证系统，但经过近一年的运行，并没有达到预期的效果。 4、网络应用平台繁多和孤立 在校园网上运行有邮件系统一套，OA一套，教务管理系统一套，网络教学平台两套，课件开发平台一套、英语网络教学平台三套等一系列平台，但这些平台都彼此孤立和不能互相兼容，致使用户登陆每一个平台都需要输入不同的帐户和密码，特别是网络教学平台利用率极低，使投资浪费。（二）校园网的建设目标在满足校园网络需求的基础上结合当前网络的发展趋势及学校的经济状况来确定校园网设计：1、统一规划，分步实施。网络技术快速发展的特点以及学校经济承受能力决定了很多学校校园网建设无法一步到位，为了使有限的资金能够发挥最大的作用,避免重复投资造成浪费，网络设计必须分布实施。2、采用先进的成熟的技术。采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。有利于保护投资，并且有利于校园网的维护和升级。3、坚持开放性和标准化，统一网络协议。校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点，并且应采用统一的网络体系结构。4、坚持规范布线，考虑长远发展。布线系统使网络的重要基础，布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性，使网络难以管理和维护，所以必须采用标准的综合布线系统。5、建立完善的网络管理体系。必须建立健全的规章制度，采用集中统一管理的方法，以便于网络的维护和管理。6、易于使用和管理。校园网的各种软件应用项目必须易于使用，对最终用户的起点要求不能太高，一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜；系统的日常管理和维护工作要方便、简易。网络拓扑结构一经配置确定，不应轻易更改。（三）校园网的功能需求1、需求分析校园网建设方案应该完全适应校园网的需求。以提供完美的系统综合处理能力和性能为核心，要求网络带宽（包括主干层、接入层和用户层的带宽）足够高，网络能快速有效地传送IP数据包。校园网的建设不仅仅是给学校的计算机网络搭上网络平台，还要利用这些硬件、软件平台、给全校师生提供网络化的信息，这些信息包括在一期工程中完成的WWW、BBS、E-mail、FTP等Internet服务，在二期工程中就要实现全文检索、VOD视屏点播、网络音视频下载等视听服务。中学校园网是一种为学校学习活动、教学活动、科研活动和管理服务的校园内局域网络环境，且它是建构在多媒体技术和现代网络技术之上，并与因特网连接的高速现代网络。校园网络还应考虑：网络环境建设、网络畅通保障机制、网络教学资源和网络应用四个要素。建设原则是：实用性、开放性、先进性、安全可靠性、高效性、可扩展性、可管理型。本校园网设有一个网络中心，网络中心作为本校区的接入点，直接使用1000M单模光纤互联，与电信距离大约为4000左右。校园内主干采用1000M多层交换以太网，100Mbps交换到终端。男生公寓采用了10Mbps以太网，需对所有网络设备及线路进行改造，并且为了丰富学生的校园生活，提高中学生的动手能力，鼓励学生充分利用网络硬件资源和课余时间，建立自己的个人主页、学习经验交流平台、各科知识论坛等网络交流平台，是带动整个校园学生学习积极性、动手能力以及对网络技术的认识的有效途径。但是由于10Mbps局域网的速度缺陷，一个拥有上百个结点的公寓楼里，这样的速度已经无法满足同学们的网络应用需求，所以在此次规划中，将其原来的线路和交换设备全部更换为新的100Mbps快速以太网，同时与校园内其它子网进行互联，让同学们在公寓里就能够浏览到电子图书馆的所有图书资源，以及进行其它网络应用。教师办公楼网络系统需要较高的安全性，要与其它子网这间区分开，不可随意访问，以免学校重要数据丢失或被窃取，造成不必要的损失。但还要在教师与学生这间建一个交流平台，通过学校的BBS站点，及时得到学生的学习信息，加强老师与学生之间的交流，促进学生各科成绩的提高，打造一个良好的信息交流平台。学校图书馆需要安装两套功能强大的图书管理系统，第一套用于对书籍的借还和摆放；第二套电子图书馆信息系统，根据电子图书独特的特点和校园学生的数量，图书馆信息系统需要高性能的应用服务器，而电子图书文档的存储对存储系统的容量空间和数据访问速度也提出了较大的要求，以保障图书馆馆藏电子文档的扩充需求和访问速度。整个校园通讯网络功能相对复杂，涉及各个领域，如软件、经济、政治、科研、学术等的信息资源共享系统，人事管理、财务管理、教务管理、科研管理、档案管理、外事管理、医疗管理、后勤管理等学校信息管理系统和MAIL系统等。不同应用对服务器要求不同，为此，建议将各个不相关应用服务分开部署，以获得较好的性能和管理、维护的方便。而校园管理应用的数据对学校的整体教学与运营来说至关重要，对存储系统的高可用性、可管理性以及数据安全都提出了较高的要求。通过一系列的调查总结出学校总体目标，根据学校现有资金情况，利用先进实用的计算机技术和网络通信技术，把学校内所有的局域网、网段和单机终端都连接起来，组成个分布式网络系统。再通过校园网与外部CERNET和Internet连接，向下覆盖全校，分享国内外因特网的计算机信息资源，并建立基于校园网的网络应用系统。2、校园网需求分类（1）功能应用需求：电子图书馆功能；网络办公管理功能；网络多媒体教学功能；系统管理和维护功能；Internet/Intranet信息服务功能；虚拟ADSL拨号认证和计费服务；WWW、FTP、Email、VOD服务；（2）网络管理需求 虚拟网的划分：在内部主干网上要求作到能够划分跨越物理子网的虚拟网，以便使各种网段（尤其是办公网）的划分不受地理区域的限制；基于端口的虚拟网的划分，将不同的部门、楼宇划分成不同的虚拟网（VLAN），如图书馆，办公楼，实验楼，学生公寓等，并有效地限制网间广播，控制网间访问；虚拟网管理：对虚拟网的配置可以通过网络中心“交换机管理服务器”进行集中的控制管理，以便随时进行扩充、迁移等调整；设备及端口管理：对主干网上所有网络设备及连接局域网的所有端口可以进行集中的控制管理；网络检测：对主干网的运行状态和故障进行集中检测、报警、统计。上网计费管理：对校园网内终端Internet接入采用“ADSL虚拟拨号+接入计费管理器”的计费解决方案。（3）网络安全需求划分内部网和外部网：所有向Internet提供的信息发布服务放在外部网上，如Web服务器、Email服务器，所有校内应用放在内部网上，如VOD服务器、交换机管理服务器等，内部网与外部网之间设置防火墙以保证内部网的安全；内部网的各个子网之间的互访可以控制，通过配置交换机端口访问控制列表（Access-List）允许或阻断某些网段和主机的访问，杜绝非授权的访问；（4）广域网连接需求分析校园主干网广域网的连接需求主要表现在：能够通过电信总代理服务器出口与国际互联网连接，至少提供100Mbps的带宽；满足大量数据交换所需，能够与Cernet连接，与国内各个重点中学，单位交流信息；（四）校园网的建设原则1、系统性。 校园网是一个复杂的系统，校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看等。任何一项工作都从全局、长远的角度出发，体现整体最优性。 2、先进性、实用性。 校园网规划、设计尽可能地采用先进技术，同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里，不考虑技术的先进性，无疑会形成建成不久即面临淘汰的局面。而一味追求先进，不考虑技术的成熟性，将存在巨大的风险。因为先进性是以大量的资金投入为代价的。另一方面，一味追求先进，以至脱离自己的实际需求，也是没有实际意义的。 3、开放性、发展性。 系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口，有良好的兼容性，以利于网络的维护、扩展、升级及与外界的沟通。既要满足现在和未来五年的用户需求，又要考虑将来向更为先进的技术实现低成本平滑地升级过渡。 4、安全性。 系统具有多层次的安全控制手段，完善的安全管理体系，防止受到黑客攻击和破坏。 5、易用性、可靠性。 系统要求设计简单，层次清晰，软、硬件设备性能优良，功能完善，运行稳定、可靠，易于维护。 6、经济性。 系统设计和资金投向合理，体现良好的性能价格比。力争少花钱，多办事。 7、统一规划，分步实施。 学校经费十分有限，一次性拿出大笔资金使网络建设一步到位是不现实的，也没有这个必要。因为网络建设本身不仅是硬件建设，更重要的是软件建设和实际应用，而软件建设和实际应用需要逐步地依据需求的增长来完成。另一方面，整个网络系统也必须随着网络技术的发展不断地扩展和升级，需要连续的资金投入。但有些关键性的基础设施必须一步到位，如综合布线系统、主要网络设备、服务器及操作系统软件等。 三、校园网络设计（一）层次化设计如图3.1所示，一个层次化设计的网络有三个层：核心层（用于提供站点之间的最佳数据传输）、分布层（提供基于策略的连接）、接入层（将终端用户接入网络）。图3.1 网络层次结构图1、核心层核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性：高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。当网络中使用路由器时，从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。在一个层次化网络中，应该具有一致的网络直径。也就是说，通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的，从网络上任一终端到主干上的服务器的距离也应该是一样的。限定网络的直径，能够提供可预见的性能，排除故障也容易一些。分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络，因为它们不影响原有的站点的通信。2、分布层分布层是网络接入层和核心层的“中介”。分布层具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。3、接入层接入层向本地网段提供用户接入。在校园网中，接入层的特征是交换式或共享带宽式局域网。在接入层中，减少同一以太网段上的用户计算机的数量能够向工作组提供高速带宽。（二）教学子网的设计教学子网在应用中主要的数据流是多媒体数据，包括高质量的图像、图形、数据、实时语音和视频流传输等，因此在网络建设时应考虑多媒体信息的特点，如信息量大、要求多媒体传输延迟低、抖动小等，同时要考虑网络的并发信息控制能力等诸多因素，合理设计教学子网的网络架构（如图3.2所示）1、全面支持教学多媒体应用，包括多媒体教学、多媒体教学资源浏览、多媒体备课、在线学习、在线考试评测和教学反馈等应用。2、教学子网和资源子网采用100MB全交换，满足教学中多媒体数据传输需求。3、多媒体网络教室、多功能教室和多媒体备课室等教学专网作为校园网中的第三层次模块，可独立建设，也可以通过二层交换机或核心交换机构成教学子网和资源子网。图3.2 教学子网示意图（三）办公子网的设计 办公子网是实现办公自动化，校内公文可以快速的流通。实现教务信息管理，对各种和教务相关的信息，如课程安排、任课教师安排等。通过办公子网提供面向学校的各级领导以及各职能部门的多种服务，实现学院现代化管理。要求网络数据传输比较快，以提高工作效率；另外还要支持视频传输，网络要有足够的带块。办公子网有打印要求，网络中配备打印服务器。图3.3 办公子网示意图（四）图书馆子网的设计 图书馆是学院的文献信息中心，为适应信息化社会的需求，最大限度地揭示和发挥图书馆的信息资源，图书馆子网建设和规划要适应社会的需求，适应院校的改革和发展需要和适应数字化图书馆的发展趋势。 图书馆子网采用星型拓扑结构（如图3.4）外部与校园主干网相连，内部则使用自适应式交换机（100Mbps/10Mbps）连接，从而形成快速、高效的图书馆内部局域网络 。集服务器与光盘塔于一体，拥有在WWW方式下进行数据浏览的最新科技，能够确保在internet上进行拨号和网络方式检索功能，终端机能满足Windows95以上的操作系统，方能更进一步确保图书馆子网的快速、高效。 图3.4 图书馆子网示意图（五）宿舍区子网及后勤子网等的设计为了使学生在宿舍里也能方便自如D的上网、学习科研、交流信息，校园网需要与各宿舍信息点相连，提供各种类型的服务，为学生提供高质量的网络服务，避免滥用网络带来的危害，学校对宿舍子网提出了认证、计费功能的要求，本方案采用基于802.1X的计费管理模式，另外为了防止某一工作站过多使用网络资源，通过访问层交换机的带宽限制功能，使得每个端口的带宽限制在一定范围内。在宿舍楼的楼层交换机选择方面可根据不同学校的实际情况，选取不同档次的设备。1、当学校允许学生宿舍之间的计算机可以互访、同时也不需要对所有设备进行统一管理时，楼层交换机可根据具体用户数决定选用基本型交换机。2、在一些大型的学生宿舍楼里，当学校既需要对网络中每一台设备进行统一集中的控制管理，同时又需要对每个宿舍用户实现必要的隔离时，楼层交换机可根据具体用户数决定选用千兆网管型交换机。（1） 宿舍子网采用100MB交换，对每个一般用户的带宽加以限制以防止某台工作站大量占用网络资源现象（2） 支持802.1