计算机技术专科毕业论文-校园网络安全问题及对策.doc

分分类类号号： 20122012 届专科生毕业设计届专科生毕业设计 题目：题目：校园网络安全问题及对策校园网络安全问题及对策 作作 者者 姓姓 名名： 学学 号号： 系系(院院)、 、专业专业： 计科系计算机科学与技术计科系计算机科学与技术 指指导导教教师师姓名姓名： 指指导导教教师职师职称称： 讲讲 师师 2012 年年 3 月月 27 日日 湖北创业技工学校毕业论文（设计）摘要 摘摘 要要 网络安全的本质是网络信息的安全性，包括信息的保密性、完整性、可用性、 真实性、可控性等几个方面，它通过网络信息的存储、传输和使用过程体现。校园 网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止 来自校园网外的攻击。防火墙，则是内外网之间一道牢固的安全屏障。安全管理是 保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园 网络安全系统是必要的。 本文从对校园网的现状分析了可能面临的威胁，从计算机的安全策略找出解决 方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。通过以下三个步 骤来完成校园网络安全系统：1、 建设规划；2、 技术支持；3、 组建方案。 关键词：关键词：网络； 安全； 设计 湖北创业技工学校毕业论文（设计）ABSTRACT ABSTRACT Network security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process. Campus network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defense system to prevent from outside the campus. A firewall is a firm between inner and outer net security barrier. Safety management is the basis of network security and safety technology is the auxiliary measures with safety management. The school has established a set of campus network security system is necessary. Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system. Through three steps to complete the campus network security system: 1, the construction plan. 2 and technical support. 3 and construction scheme. Keyword: Network, Safe ；Design 湖北创业技工学校毕业论文（设计） 目录 目 录 绪 论 .1 1. 校园网络安全 .2 1.1 校园网概述.2 1.2 校园网络安全概述.3 1.3 校园网络安全现状分析.3 1.4 校园网络安全威胁.5 2. 校园网络安全措施 .8 2.1 校园网络安全管理 .8 2.2 校园网络安全措施 .9 3.校园网络安全系统设计 .11 3.1 校园网建设需求分析 .11 3.1.1 需求分析 .11 3.1.2 关键设备 .12 3.1.3 校园网络拓扑 .13 3.2 技术方案 .13 3.2.1 校园网的建设规划 .13 3.2.2 组网技术 .16 3.2.3 网络操作系统 .18 3.2.4 INTERNET 接入技术.18 3.2.5 防火墙技术 .19 3.2.6 建网方案 .19 3.3 校园网的运行 .23 3.3.1 校园网的应用 .23 3.3.2 校园网的管理 .23 总 结 .25 参考文献 .26 致致 谢谢 .27 湖北创业技工学校毕业论文（设计） 绪论 - 1 - 绪绪 论论 随着网络的高速发展，网络的安全问题日益突出，近年来，黑客攻击、网络病 毒等屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工 作。但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都 存在“重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的 快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已 经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建 设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证 校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧 迫问题。 随着教育信息化的不断推进，各高等院校都相继建成了自己的校园网络并连入 互联网，校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到，随着 校园网络规模的急剧膨胀,网络用户的快速增长，尤其是校园网络所面对的使用群体 的特殊性（拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相 对淡漠） ，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校 不可回避的一个紧迫问题，解决网络安全问题刻不容缓。 湖北创业技工学校毕业论文（设计） 1.校园网络安全 - 2 - 1. 校园网络安全校园网络安全 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全 技术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全 性。因此，在现有的技术条件下，如何构建相对可靠的校园网络安全体系，就成了 校园网络管理人员的一个重要课题。 网络的发展极大地改变了人们的生活和工作方式，Internet 更是给人们带来了无 尽的便捷。我们的教育也正朝着信息化、网络化发展，随着“校校通”工程的深入开 展，许多学校都投资建设了校园网络并投入使用。校园网络在我们的校园管理、日 常教学等方面正扮演着越来越重要的角色。但是，在我们惊叹于网络的强大功能时， 还应当清醒地看到，网络世界并不是一方净土。 “网络天空（Worm.Netsky） ”、 “高波 （Worm.Agobot） ”、 “爱情后门（Worm.Lovgate） ”及“震荡波（Worm.Sasser） ”等病毒， 使人们更加深刻的认识到了网络安全的重要性。因此，在现有的技术条件下，如何 构建相对可靠的校园网络安全体系，就成了校园网络管理人员的一个重要课题。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全 技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统 的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、 更改、泄露，系统连续可靠正常地运行，网络服务不中断。 1.1 校园网概述校园网概述 信息技术已引起了全面而深刻的社会变革，为此，世界各国政府都对教育的发 展给予了前所未有的关注，把信息化教育放到重要的位置上，纷纷提出了本国的信 息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问 题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。 因此校园 网信息系统的建设，是非常必要的，也是可行的。主要表现在： 1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、 动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了 越来越高的要求。 2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息 计算机管理和教育信息服务的要求越来越强烈。 3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开 发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫 切需要网络环境。 湖北创业技工学校毕业论文（设计） 1.校园网络安全 - 3 - 4、现代教育改革的需要。 5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和 经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和 信息服务是完全可行的。1 1.2 校园网络安全概述校园网络安全概述 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成 的安全威胁成为日益受到严重关注的问题。根据美国 FBI 的调查，美国每年因为网 络安全造成的经济损失超过 170 亿美元。 由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通 讯而设计。所以，校园网络可能存在的安全威胁来自以下方面： 1. 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如 UNIX 服务器，NT 服务器及 Windows 桌面 PC； 2. 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验； 3. 来自内部网用户的安全威胁； 4. 缺乏有效的手段监视、评估网络系统的安全性； 5. 采用的 TCP/IP 协议族软件，本身缺乏安全性； 6. 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少， 并且，如果系统设置错误，很容易造成损失。 1.3 校园网络安全现状分析校园网络安全现状分析 随着网络技术的发展，可以说现在的大部分学校都建立了校园网络并投入使用， 这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用，但在 积极发展办公自动化、信息电子化、实现资源共享的同时，网络的安全问题越来越 成为一个非常严惩的隐患，就好像一颗定时炸弹一样，深深的埋在教育现代化的进 程中，如果这一个隐患不除，那么也许有一天，学校信息平台服务器遭到攻击而停 止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了，导致辛苦 积累的大量教育资源被破坏。比如 2003 年暴发的“震荡波、冲击波、FORM.A”等病 毒，虽没有造成很大的损失，但足以使认识到网络安全的重要性。因此，如何在现 有的条件下避免这样事件发生，搞好网络的安全工作已成了一个重要课题。 湖北创业技工学校毕业论文（设计） 1.校园网络安全 - 4 - 1997 年开始，我国校园网络建设悄然兴起。全国各省市都把建设校园网作为现 代教育的头等大事来抓。 1999 年 9 月，教育部决定正式启动国家现代远程教育工程，清华大学、浙江大 学、北京邮电大学、湖南大学等高校获准进行试点。目前，这几所院校已初步形成 了开办现代远程教育的技术手段。 各校在实践中逐渐意识到：一所学校教育质量的好坏，学术水平层次的高低， 与教学手段的先进程度有一定关系，教学手段对学校整体的发展有着直接影响。 在世界各发达国家，校园网的建设速度似乎不亚于其他如政府网的兴建速度。 现代教育的实施程度也与校园网络建设直接相关联。如美国要求所有中小学生都能 上网，都能使用电子邮件，并计划将全国 122 所一流大学与社会广泛连接，构筑一 个教育与研究的专用网络；英国提出要在 2000 年成立网上工业大学，到 2002 年所 有中小学、图书馆、学院和大学全部介入全国的学习网；新加坡提出八岁儿童能阅 读，十二岁儿童能上网。 1996 年，教育部提出要以全国 1000 所中小学校作为试点，建立起各自的校园 网络。截止 2000 年年初，教育部宣布有 500 多家已建立。可以说，在国家政策扶 持下，我国校园网建设取得了飞速发展。但现实中，各地在建立学校校园网的过程 中又存在这样那样的问题，如有的学校建网初期就缺乏整体规划，从而导致主干网 和各子网通路不畅，或是导致后期整体效率不高；有的学校缺乏必要的网络建设监 督人员，将项目交给一些实力较弱或是责任心较差的公司全权负责，结果导致建网 质量偏低，后期维护费用偏大；还有的学校认为校园网就是一揽子计划，忽视了 后期维护和配套建设工作，从而导致后期预算偏紧，校园网难以正常运作为了解决 上述问题，在建网时应注意： 1. 校园网建设没有通用方案，每个学校应根据自身实际情况（资金和技术能力） ，设计自身的校园网络； 2. 校园网建设是一个周期较长，规模庞大的系统工程，不能一蹴而就，更不能 只考虑局部建设，而缺乏整体规划； 3. 重视对教师的培训，避免因教师素质原因导致网络应用效率不高，从而导致 资源的浪费。 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部 门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏,或被 删除或被复制，数据的安全性和自身的利益受到了严重的威胁。 校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生，非更改考试成绩； 更改英语全国四、六级统考成绩；更改考研成绩；非法盗取学校招生、分配机密等。 湖北创业技工学校毕业论文（设计） 1.校园网络安全 - 5 - 综上所述，网络必须有足够强的安全措施。无论是公众网还是校园网中，网络 的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息 的保密性、完整性和可用性。7 1.4 校园网络安全威胁校园网络安全威胁 1 计算机病毒计算机病毒 计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入 的病毒也随之运行并感染其它程序。计算机病毒种类繁多，形形色色，但就已经发 现的计算机病毒而言，其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激 发性几大特征。 破坏性是指计算机病毒可能会干扰软件的运行，或者无限制地侵占系统资源使 系统无法运行，又或者毁掉部分数据或程序，使之无法恢复，甚至可以毁坏整个系 统，导致系统崩溃。传染性则是计算机病毒能通过自我复制传染到内存、硬盘甚至 文件中。寄生性表现为病毒程序一般不独立存在而是寄生在磁盘系统区或文件中。 潜伏性则是指计算机病毒可以长时间地潜伏在文件中，在相应的触发机制出现前并 不影响计算机，但当被触发后，则后果严重。激发性是指病毒程序可以按照没计者 的要求，例如指定的日期、时间或特定的条件出现在某个点激活并发起攻击。 计算机病毒的传染性证明其具有传播性，防止病毒传播，首先必须认识其传播 途径和传播机理。计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、 携带病毒的盗版光盘的使用等传播。这时候的病毒传播还是线下传播。随着计算机 网络的发展，计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设 备中的固化病毒程序等方式实现。 病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都 存在着一定的缺陷，尤其是网络系统软件方面存在着漏洞。因此网络病毒利用软 件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。 2 网络攻击校园网面临的另一个安全威胁就是网络攻击。网络攻击校园网面临的另一个安全威胁就是网络攻击。 广义的网络攻击包括很多方面。这里结合校园网络安全的特点，重点介绍拒绝 服务(DoS，Daniel of Service)攻击。之所以介绍拒绝服务攻击，因为拒绝服务攻击 在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大为拒绝服务攻 击提供了天然条件。加之学生的好奇心的因素，导致拒绝服务攻击发生频率较高， 是危害校园网安全的重要类型之一。 湖北创业技工学校毕业论文（设计） 1.校园网络安全 - 6 - 拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备，导致被攻击网络 无法提供服务的一种攻击方式。典型的拒绝服务攻击表现为攻击者向被攻击网络大 陆发送数据从而消耗其资源、使得用户无法访问所需信息。 拒绝服务攻击的方法多样。攻击者在发起攻击时，可能采取单一手段的攻击模 式，也可能采取多种攻击手段联合使用的模式。就其攻击手段来说主要有以下几 种： 1）死亡之 Ping。早期的网络不支持大包，攻击者通过网络发送大母的大数据 包到被攻击者网络，造成网络堵塞以致瘫痪。目前的网络已经能够支持大包，这种 方式已经不再出现。 2）泪滴攻击。攻击者采用修改包片段字头的方式，使得包无法正确组装导致 网络访问失败的方式。 3 ）UDP 洪水攻击。攻击利用如 chargen 和 echo 等简单的 TCPIP 服 务相互发送大量数据以沾满带宽，从而瘫痪网络的方式。 4 ) SYN 洪水攻击。攻击者通过想服务器发送连续的 SYN 握手信息来瘫痪服务 器的攻击方式。 5 ) LAND 攻击 该攻击是让服务器自己向自己发送 SYN 握手信息已达到瘫痪 主机的目的。 6 ) Smurf 攻击。攻击者将报文地址设为 Echo 地址，这样 Echo78 地址就必须 不问断的响应该报文，使得网络带宽被侵占，从而达到瘫痪网络的目的。 7 ) Fraggle 攻击。Fraggle 攻击对 Smurf 攻击做了修改。 8 )电子邮件炸弹。通过向一台服务器大量的不间断的发送电子邮件，起到瘫痪 服务器的作用。 9 )急性消息攻击。借助机器对某些消息为进行错误校验来攻击服务器。 10)分布式拒绝服务攻击。它是威力最强大的拒绝服务攻击方式，其主要采用多 台服务器对同一网络同时发起攻击，导致该网络瞬间瘫痪。 常见的拒绝服务攻击主要有以上几种，攻击者攻击目的和攻击水平不同，选用 的方式不同。无论哪种方式，都对网络安全造成很大的危害。5 3 存在的安全隐患存在的安全隐患,以我校为例，校园网络存在的安全隐患和漏洞有以我校为例，校园网络存在的安全隐患和漏洞有: 1 ) 计算机与 Internet 相连，却没有安装相应的杀毒软件及防火墙。 2) 使用的操作系统存在安全漏洞，网络木马、病毒和黑客攻击影响到系统的安 全。校内大部分计算机系统或多或少都存在着各种的漏洞，校园网络又对社会开放， 这样一来只要接入 INTERNET 的用户就可以对校园的网络服务器进行攻击，而流行 于网络上的很多病毒如“震荡波、冲击波、尼姆达”病毒都是利用系统的漏洞来进 湖北创业技工学校毕业论文（设计） 1.校园网络安全 - 7 - 行病毒传播的，加上带毒的木马程序，一感染便驻留在你的计算机当中，在以后的 计算机启动后，木马就在机器中打开一个服务，通过这个服务将你计算机的信息、 资料向外传递。 3) 目录共享导致信息的外泄, 在校园网络中，利用在对等网中对计算机中的某 个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所 有的人都没有充分认识到当一个目录共享后，就不光是校园网内的用户可以访问到， 而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐 患。我曾经搜索过外地机器的一个 C 类 IP 网段，发现共享的机器就有十几台，而 且许多机器是将整个 C 盘、D 盘进行共享，并且在共享时将属性设置为完全共享， 且不进行密码保护，这样只要将其映射成一个网络硬盘，就能对上面的资料、文档 进行查看、修改、删除。因而对目录共享安全意识的单薄，会导致了信息的外泄。 4) 网络安全意识淡薄，校园网络上的攻击、侵入他人机器，盗用他人帐号非法 使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经 常发生、屡见不鲜，我校应用服务器和普通计算机平均一个星期会经受到数千次甚 至上万次的非常访问尝试，而其中一大部分的非法访问源自校内，说明校园网络上 的用户安全意识淡薄；另外，没有制定完善而严格的网络安全制度，各校园网在安 全管理上也没有任何标准，这也是网络安全问题泛滥的一个重要原因.由此可见，构 筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要. 宿州学院毕业论文（设计） 2.校园网络安全策略 - 8 - 2. 校园网络安全策略校园网络安全策略 校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重 视起来，才能切实构筑一个安全的校园网。 国内高校校园网的安全问题有其历史原因：在以前的网络时期，一方面因为意 识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、 轻安全、轻管理“的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大 吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。 而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次， 对整个网络都将是致命性的。 作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得越来越突出 了。一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术； 二是不断改进管理方法。 2.1 校园网安全管理校园网安全管理 针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网 关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校 的安全策略： 1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于 出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提 供最基础的保障。 2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安 全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系 统、漏洞扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可以实现对 校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效 的阻断作用，对网络的故障可以迅速定位并解决。 3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要 解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础， 否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统 一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项 应用系统提供了安全可靠的保证。 宿州学院毕业论文（设计） 2.校园网络安全策略 - 9 - 4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统 一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上 网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度 。 网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作 就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控 和管理。2 2.2 校园网络安全措施校园网络安全措施 前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发 起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞， 从而达到网络安全。 1、杀毒软件。、杀毒软件。 杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局 域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染 和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个 网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查 杀等多种功能.。 （1）在学校网络中心配置一台高效的 Windows2000 服务器安装一个杀毒软件 的系统中心，负责管理校内网点的计算机。 （2）在各办公室分别安装杀毒软件的客户端。 （3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的 设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 （4）网络中心负责整个校园网的升级工作。 2、采用、采用 VLAN 技术。技术。 VLAN 技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作 组的技术。VLAN 技术根据不同的应用业务以及不同的安全级别，将网络分段并进 行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。 3、内容过滤器。、内容过滤器。 宿州学院毕业论文（设计） 2.校园网络安全策略 - 10 - 内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以 限制外来的垃圾邮件。 4、防火墙。、防火墙。 在与 Internet 相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的 安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性: (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来 自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被 禁止”的原则. (2）禁止访问系统级别的服务( 如 HTTP , FTP 等)。局域网内部的机器只允许 访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口 服务，比如网络游戏或者视频语音电话软件提供的服务。 (3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的 IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证 你在局域网中正常使用网络服务（如文件、打印机共享）功能。 (4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性. 5、入侵检测。、入侵检测。 入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员 的安全管理能力提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外 网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检 测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出 实时报警，使网络管理员能够及时采取应对措施。 6、漏洞扫描。、漏洞扫描。 随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存 在因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并 写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。 7、数据加密。、数据加密。 数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。 8、加强网络安全管理。、加强网络安全管理。 宿州学院毕业论文（设计） 2.校园网络安全策略 - 11 - 加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和 普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。6 宿州学院毕业论文（设计） 3.校园网络安全系统设计 - 11 - 3. 校园网络安全系统设计校园网络安全系统设计 安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校 建立了一套校园网络安全系统，制定详细的安全管理制度，如机房管理制度、病毒 防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算 机网络安全知识培训，或发放常见病毒解决方案等。 3.1 校园网建设需求分析校园网建设需求分析 3.1.1 需求分析需求分析 局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等, 从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印; 当然也可以借助 Wingate 或 Sygate 等软件多机共享一台 Modem 上网；或者通过代 理服务器连上 Internet，享受非一般的速度。网卡根据传输速率可分为：10Mbps 网 卡（ISA 插口或 PCI 插口） 、100Mbps PCI 插口网卡、10Mbps/100Mbps 自适应网卡 和千兆网卡。目前 10Mbps ISA 插口的网卡仍以其低廉的价格占有市场的一定份额， 但由于 10Mbps ISA 插口网卡的网络传输速率低，且占用大量的 CPU 资源，只适应 于那些对速度要求不高的局域网，因此用 100Mbps PCI 插口的网卡或者 10Mbps/100Mbps 自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进 行多媒体信息传输的应用环境。 BNC 口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45 是采用双绞线作 为传输媒介的一种网卡接口，RJ45 的接口酷似电话线的接口，但网络线使用的是 8 芯的接头，使用 RJ45 的缺点是架设成本高，但安装和维护较为方便，因此我们一般 使用 RJ45 接口。集线器 (HUB):根据微机的数量,利用 HUB 构成星形结构 ,在工作 站较多的情况下 ,会因 HUB 的处理速率远远低于通信线路的传输速度 ,从而造成瓶 颈问题。因此有条件的话可选用交换机。一个 Hub 所组成的域称为冲突域 ,也就是 说 ,网络上任何一台计算机在收发数据时 ,其他所有计算机都能够收到 ,且这些计算 机不能同时进行数据的收发 ,否则会发生碰撞(CSMA/ CD 协议会阻止碰撞 )。此外 每台接入 Hub 的计算机 ,都要检测接收到的数据目的地址 ,以确认是否是收到自己 的通信信息 ,因此计算机 CPU 占用率高 ,全网通信效率低 ,只适用于小型工作组级 别应用。 宿州学院毕业论文（设计） 3.校园网络安全系统设计 - 12 - 学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体 网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程 教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。其设计方 案应注意以下原则： 实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管 理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥， 并且便于掌握。 可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技 术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的 MTBF(平均无故障 工作时间)和极低的 MTBR(平均无故障率)，提高容错设计，支持故障检测和恢复， 可管理性强。 统一性在系统的设计过程中，坚持三统一，即统一规划、统一标准、统一出 口。 先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在 将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活 变通，以便适应客户的其他要求。 3.1.2 关键设备关键设备 在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国 Cisco 公司的 Catalyst 6506 作为数据网络系统的内部核心交换机，Catalyst 6506 是大容量 的具有高交换能力的第三层模块化交换机，Catalyst 6506 的交换容量以及端口数量 等技术指标足以满足网络目前的需求。选择 Catalyst 3548 作为外网交换机。可以通 过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过 10/100M 自适应 通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交换机上。选择 Catalyst 3524 和 Catalyst 3548 作为计算机网络系统的二级汇聚交换机，为终端用户提供 10/100M 到 桌面。选择 Cisco 3662 作为计算机网络系统 DDN、ISDN 访问路由器，既可以满足 上级单位 Internet 的 DDN、ISDN 接入的需求，又可以满足继续扩展的需求。同时 Cisco 3662 作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。 网络核心层：用一台 Cisco 的高端三层交换机 Catalyst 6506 作为整个交换系统 的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整 合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电 源同时供电，彼此分担负荷并互为备份。一块 WS-X6K-S1A-MSFC2 交换引擎是交 换机的心脏，它控制交换机的寻址、数据转发、模块控制等。 Catalyst6506 交换机 引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力， 宿州学院毕业论文（设计） 3.校园网络安全系统设计 - 13 - 利用 Cisco 特有的 Netflow 技术，完全满足核心线性三层交换的能力。另一块 WS- X6408-GBIC 的 8 端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管 工作站及网络应用服务器都直接连入到核心层设备上去。 汇聚层：在分配线间分别设立 Cisco Catalyst 3524 和 Catalyst 3548 作为计算机网 络系统汇聚层设备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备 Catalyst 6506 上去，终端用户可以通过超 5 类 UTP 线缆连接到各层交换机中去，可 以实现 10/100M 的自适应通道连接到局域网中去。 接入层；在网络接入层中我们选用了一台 Cisco 3660 路由器作为广域互连和外 部用户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能： 1. ADSL 接入方式。 2. FTTX+LAN 接入方式。 3.1.3 校园网网络拓扑结构校园网网络拓扑结构 根据校园网的需求分析及建设目标，本设计方案采用交换式千兆以太网作为主 干，百兆交换到桌面。网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式 连接。 3.2 技术方案技术方案 3.2.1 校园网的建设规划校园网的建设规划 校园网建设作为一项复杂的系统工程，与任何一项工程建设一样，在开始建设 宿州学院毕业论文（设计） 3.校园网络安全系统设计 - 14 - 前都要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都 直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系，因此要特 别认真地进行系统规划。对于校园网来说，必须对技术和教育的发展前景有着清醒 的认识，只有这样，才能从很好地为校园网进行合理的规划。 1 校园网的应用特点 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通过网络进行 信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥师生的创造力， 校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统，以园区 局域网为主，一个基本的校园网具有以下的特点： 高速的局域网连接-校园网的核心为面向校园内部师生的网络，因此园区局域 网是该系统的建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量 多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求； 信息结构多样化-校园网应用分为电子教学（多媒体教室、电子图书馆等） 、学 校管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多 媒体信息，学校管理以数据库为主，远程通讯则多为 WWW 方式，因此数据成分复 杂，不同类型数据对网络传输有不同的质量需求； 操作方便，易于管理-校园网面向不同知识层次的教师、学生和办公人员，应 用和管理应简便易行，界面友好，不宜太过专业化； 经济实用-学校对网络建设的投入有限，因此要求建成的网络应经济实用，具 备很高的性能价格比。 2校园网的需求分析 在着手设计一个校园网或者计算机局域网时，其主要依据就是网络用户（学校） 的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析，才能确定 系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在 完成校园网的需求分析之后，就要对整个校园进行物理结构和逻辑结构的设计。校 园网具体的需求分析有如下几点： （1） 总体目标 对于一个校园网来说，系统的总体目标就是在一个时期内，当校园网完全建设 好后所要达到的功能和具有的规模。一般来说，一个校园网系统总体目标是分步实 施的，包括功能的分步实施和规模的分步实施。主要原因是受资金的限制（这是在 建设校园网时普遍遇到的问题）和技术发展的影响（因为随着计算机网络技术的飞 速发展，校园网总会有进行升级的需求） 。因此我们在设计一个校园网时，要充分考 虑到对已有校园网资源的再次利用，又要考虑到将来对校园网进一步的升级改造。 （2）近期目标 近期目标就是根据实际需求来设计和建设校园网，使建设好后的校园网能满足 宿州学院毕业论文（设计） 3.校园网络安全系统设计 - 15 - 实际需求所应有的功能和规模，同时又要考虑将来能对校园网进一步的升级改造或 者是后期工程的建设，系统近期目标是需求分析的重点。 3 网络结构设计 校园网络结构设计主要是进行网络的物理设计和逻辑设计，在完成结构设计后 才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的，它 设计的成功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。 （1）物理设计 根据需求分析，可以知道整个校园网信息点的数目，同时也知道这些信息点在 整个校园内的分布情况。当我们确定网络控制中心的位置后，就应该考虑如何把校 园内的信息点连到网络控制中心以及各种设备的连接速率和网络使用的拓扑结构等， 网络系统所使用来连接各种网络设备的传输介质也是需要考虑的问题。 （2）逻辑设计 网络的逻辑设计主要考虑校园网的 IP 子网网段的划分，通过实际的网络物理连 接，依据实际需求来实现虚拟网络(VLAN)的设置。无论从网络的安全性和 IP 地址 的可管理性来考虑，还是从有效利用 IP 地址资源的角度来考虑，将整个校园网划分 为多个子网网段并对 IP 地址资源进行有效管理都是十分必要的。 4网络技术 学校建设校园网有许多需要考虑的问题，如网络技术的选择、网络拓扑结构的 选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管 理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术 的选择。 (1) 网络技术类型 网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、 可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好， 易于平滑连接，避免网络瓶颈。 当前达到或超过 100Mbps 的高速网络技术主要有：快速以太网、FDDI、千兆 以太网、ATM 交换网。FDDI 是几年前十分流行的高速网络技术，虽然技术十分成 熟，但网络管理复杂且成本较高，现已被逐渐淘汰。ATM 是比较先进的网络技术， 它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较 强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用事因端口价 格过高，难以大规模采用。以太网是种成熟的、质优价廉的网络技术，其标准已制 定完备。经过多年发展，形成了完善的 10Mbps、100Mbps 和千兆以太网技术，同时 还由共享式的网络发展成为交