校园网的规划与设计.doc

摘 要 现代办学条件的学校必须建立完善的服务于教育教学的计算机校园网、信息库。校园网为学校的教学、管理、办公、信息交流和通讯等提供综合的网络环境。校园网的使用，使学校的教育、教学研究和管理工作跨上一个新台阶，我们可以充分利用现有计算机资源，实现信息交流和软硬件资源的共享，实现学校办公、管理、教学的现代化。校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。一个好的校园网，安全问题是至关重要的。随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。关键词：校园网、网络规划设计，网络安全目 录第一章、 前 言随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一，此时，校园网的应用系统就显得尤为重要。一方面，学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识，毫无疑问，这是学生综合素质中极为重要的一部分；另一方面，基于先进的网络平台和其上的应用系统，将极大的促进学校教育的现代化进程，实现高水平的教学和管理。*大学坐落于全国科教名城-合肥。随着互联网技术的迅猛发展，为适应社会的需求，满足教学的需要，且随着软件北楼的投入使用，软件学院在原有网络的基础上决定对校园网进行优化。网络是信息高速发展的纽带，它不但可以带给我们信息发展的前沿，还能够帮助我们查阅大量的信息，它所提供的信息资源几乎是无穷无尽的。网络作为一种研究工具的出现，极大的拓展了知识的获取范围，大大地降低了我们在每一项工作上所消耗的时间。校园网是网络技术应用于教育事业的一种体现，改善校园网不仅可以充分的提高教学质量，更能够让学生对学习产生兴趣，而且它也是管理、办公、信息交流和通信等现代化的标志。因此，对于一个学院来说，扩大校园网的规模，提高信息传输质量，增添新的设备，采用最新的技术，是事在必行的。成员介绍及分工： 本项目组一共有项目经理叶伟，业务员施文军、曹桂林、陈远涛、季军军、许金林、孙长城、陈鹏、陈正龙、叶伟、李德林十人组成。其中项目经理负责统筹安排、资料汇总和网络安全方面的设计。施文军、曹桂林对市场比较熟悉，负责用户需求部分，陈远涛、季军军的动手能力比较强，负责综合布线部分，许金林、孙长城对网络的总体把握比较好，负责网络的总体规划设计，陈鹏、陈正龙的搜索能力较强，负责网络设备的价格调查，李德林由于比较心细，负责工期的制定和费用的计算。第二章、需求分析2.1 概括*大学占地1500亩，一期工程包括：三栋教学楼，一栋实验楼，七栋宿舍楼，一栋行政楼，大礼堂及小卖部。由于学校刚刚建设，还没有校园网络，资源不能共享，相互间及与外界不能进行信息交流，亟待建设校园网。学院已具备校园数字化建设和管理的基本条件。 大学是一个小社会，网络应用类型非常复杂，信息媒体类型较多，且具有信息流猝发特点。在我院校园网建设中，应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。我院建设校园网经费比较充裕，我院依托实力雄厚的安徽新华集团斥资6亿不断完善校园建设，因此在网络技术上应该留有一定的发展空间。2.2 目的及要求建网的目的：实现大学的校园网络化，校园的教学楼、宿舍、图书馆等各个部分都能实现计算机联网，并且整个校园接入互联网，以及校园的数字化建设。建网的要求：（1）实用性和经济性充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且易管理、维护和扩展，具有最高的性价比。（2）开放性构造一个开放的网络系统，是当前世界计算机技术发展的潮流。在整个系统设计中采用的规范和设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。（3） 先进性当今计算机网络技术发展日新月异，把握不准方向则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备，以适于未来的发展和需要，做到一次规划长期受益。（4） 可扩充性所选择的联网方案及设备要能适应网络规划不断扩大的要求，以便于将来设备的扩充；要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。（5） 可靠性系统设计除采用信誉好、质量高的设备外，还采用一系列容错、冗余技术，提高整个系统的可靠性。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。（6） 安全性包括两个方面：网络用户级的安全性，数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须在网络传输时解决。在网络设计中，既要考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。2.3 功能建网的功能：（1）办公自动化（2）网络多媒体教学（3）学生自主学习（4）电子图书馆（5）电子邮件（6）远程教育（7）校园一卡通工程（8）校园移动计算（9）流量计费校园网设计应该从以下几个方面来考虑： 调查内容： .决策层需求：I 学院建设规模：约1500亩 II 计算机数量：1000余台 III 建筑物：行政楼1栋，实验楼1栋，图书馆1栋，教学楼3栋，学生宿舍7栋，大礼堂、一期商业街 IV 预测增长率：全员师生员工规划人数：20000人 V 所期望的校园网功能：能提供决策方面的主要数据 VI 对校园网的要求：性能价格比高，故障率低，尽量使用成熟、先进的技术。 VII 远程访问：需要 决策者需要了解的一次性支付费用和非一次性支付费用：耗资项目一次性费用非一次性费用网络硬件Y不间断电源（UPS）Y廉价磁盘冗余阵列Y病毒防护YY应用软件YY网络工具Y诊断工具Y电信线路费用YY职员Y维护Y培训YY.中层管理需求：I、办公需求：办公自动化，文档电子化，电子公告牌 II、管理需求：会议管理，个人信息管理，公共信息管理，公文管理，教务综合管理，图书馆自动化管理 III、远程访问：需要 办公自动化系统结构图：综合教务管理系统： 图书馆自动化管理系统：教师需求： 调查内容： I、教学要求：电子备课，资料查阅，文档打印，文档、课件上传/下载，在线答疑 II、教学活动：VOD，学生成绩登入、公布 III、自学需求：电子图书馆，资料查询 IV、远程访问：需要 学生需求： 调查内容： I、学习需求：电子文档下载，VOD，文档打印，资料查询，电子图书馆，在线答疑 II、E-mail服务:需要 III、Web服务：需要 IV、FTP服务:需要 V、远程访问：不需要 VI、学业管理：成绩查询，课程选择/调整业务需求清单：项目说明适用对象电子文档传递办公自动化教职员工E-mail电子邮件全体师生员工Web因特网信息服务全体师生员工及学院对外宣传及通知发布FTP文件共享全体师生员工VOD视频点播服务全体师生员工E-Library电子图书馆全体师生员工电子教务系统课程编排，学生选课、学生成绩发布等教务管理人员，教师，学生信息安全对敏感信息进行保护机要部门，重要文档Internet访问通过校园访问因特网全体师生员工远程访问在校外访问校内网络全体师生员工. 用户需求分析： 得到用户认可的网络，才是一个成功的网络。为了能最大限度地让用户满意，我们针对用户关心的网络问题进行了调查，得到的用户关心的服务和对用户工作重要的功能有： 1 是否能及时地从网络上找到用户需要的信息 2 网络是否有效，可靠 3 网络的适应性是否强 4 网络是不是可以升级 5 网络是否安全 6 网络是否可管理 7 网络性价比是否高 . 计算机平台需求分析：用户的应用需求离不开软件的支持，而计算机平台的好坏直接关系到用户的应用需求是否能较好实现。为了能更好地实现用户的运用需求，我们针对用户所关心的计算机平台的相关问题作了调查，得出了用户对所希望的计算机平台的一些要求：速度快、容量大、外观美观、环保、可扩充性能和可升级性高、故障率低、易于使用、便于维护。2.4 预期目标 *大学数字校园设计建设目标是，建设一个以校园办公自动化、计算机辅助教学和现代化计算机校园文化为核心，以现代网络技术为依托，技术先进，扩展性强，能覆盖校园各楼宇的校园主干网络，将学校现有的各种计算机系统联系起来，并与Internet广域网相连，形成结构合理、内外沟通的新型校园计算机网络教学系统。在此基础上建设能满足教学、科研和管理工作需要的软硬件环境，开发建设各类教学资源库与应用系统，为教师、学生及家长提供充分的网络信息服务。第三章、综合布线综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。通过它可使话音设备、数据设备、图像设备、交换设备及各种控制设备与其他信息管理系统连接起来，同时也使这些设备与外部通信网络相连。与传统的布线相比较，综合布线有很多优越性，主要表现在兼容性、开放性、灵活性、可靠性、先进性和经济性等方面。因此*大学一期网络工程采用综合布线系统。 图3.1 综合布线系统结构图3.1 规范和标准3.1.1 设计规范和标准 统一标准和规范：综合布线工程要始终执行国际、国家和行业制定的各项标准和规范，主要的标准和规范如下：（1）ANSI EIA/TIA 568 商用建筑的电信路由和空间的规定。（2）ANSI EIA/TIA 569 商用建筑标准中对电信路由和空间的规定。（3）EIA/TIA 570 家用和轻型商业通信布线标准。（4）ANSI EIA/TAT 606 配线间的管理。（5）ANSI EIA/TAT 607 屏蔽与接地。（6）ISO/IEC11801 商用建筑电信布线标准。（7）EN/50173 欧洲商用建筑电信布线标准。（8）中华人民共和国建筑物综合布线标准建筑与建筑群综合布线系统设计规范。（9）IEEE 802.3u100Base-T网络标准。（10）IEEE 802.3z100Base-T网络标准。3.1.2 工业企业通信设计规范（1）中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程设计规范” 修订本 CECS 72：97。（2）中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程施工及验收规范”CECS 89：97。（3）市内电话线路工程施工及验收技术规范。3.2 设计范围及要求3.2.1 设计范围 *大学一期工程的网络管理中心机房位于行政楼2楼,预计一期工程包括:教学楼4栋(A,B,C,D楼)其中B楼为实验室 学生宿舍7栋(其中7号宿舍楼分为男女两部分) 行政楼一栋 大礼堂及小卖部综合建筑体一栋一期工程校园网由以上楼宇连接成校园网,各栋楼间使用光纤连接，楼内千兆到楼层，百兆到桌面，并且各楼分别需要网络布线以建设楼内局域网。3.2.2 设计规范的确定 我们为本校的校园网设计的综合布线系统将基于以下目标：（1）符合当前和长远的信息传输要求。（2）布线系统设计遵从国际（ISO/CEI11801）标准。（3）布线系统采用国际标准建议的星形拓扑结构。（4）基于100Mbps应用需要。（5）布线系统的信息出口采用国际标准的RJ45插座。（6）布线系统符合综合业务数据网的要求。（7）布线系统要立足开放原则。3.2.3 布线要求 校园网络计算机主机房位于位于行政楼二层。然后通过光缆分别连至校内的其他建筑，在各建筑内部采用五类4对5类UTP电缆连接到设备间的配线架。3.3 系统设计 3.3.1 工作区子系统的设计 工作区系统又称为服务区子系统,它是由RJ-45插座和所连接的设备组成,对于校园网的用户,基本上需求不是很大,故基本型即可。基本型,用铜芯电缆组网，每个工作区的配线电缆为一条4对双绞线,引至楼层配线架。学生宿舍信息插座安装在进房间门框附近，采用明装方式，墙面型信息插座，并选用白色，与墙体颜色相同，更加美观。插座距地面高度为35cm，根据建筑物的不同，每个房间需安装的信息插座数量也不尽相同，四人间需要一个信息插座和两个双孔面板，六人间需要一个信息插座和三个双孔面板。选用五类MAX系列信息模块，性能全部超过国际标准ISOIS 11801 的指标。系统支持语音、数据、图像等功能，能随应用的需要转向更高功能的布线系统。3.3.2 水平子系统的设计 水平子系统也称为水平布线系统。水平布线子系统是从RJ-45插座开始到布线主干的子系统。由4对5类UTP组成，能支持大多数现代化通信设备。（1） 用线采用UTP双绞线。（2） 长度不超过90米。（3） UTP双绞线布线方式采用线槽管道布线方式。3.3.3 管理子系统的设计 为了管理方便，各层的交换机统一安放在设备间的配线架，故各层交换机只需一条光缆连接即可。管理间的设计及建设应考虑一下因素：（1） 管理间位置各楼层管理间一般设置在弱电竖井内，本系统学生宿舍管理间统一设置在设备间内。（2） 管理间环境要求管理配线间要尽量保持无尘，注意防火，散热良好，每个电源插座容量不小于300W，并根据设备的要求及有关规定保证一定的温度和湿度。建议的最佳温度和湿度：温度 1626，湿度 45%65%。（3） 配线架排列管理间的配线间排列应遵守原则：进出线方便，跳线方便、尽量短，墙面布局合理、占用空间小。（4）跳线管理采用EIA/TIA 568B 接线方式，级联时若交换机无级联口，可用交叉线连接。（5）系统接地确保穿线金属管、金属线槽与桥梁之间及各配线架的金属外壳具有良好的电气连接特性，所有设备间ingredients提供接地端接子。3.3.4 干线子系统的设计 干线子系统是结构化布线系统的骨干，包括：（1） 供干线走缆走线用的垂直通道；（2） 设备间与网络接口之间的连接电缆；（3） 设备间与建筑群子系统之间的连接电缆；（4） 主设备间与计算机中心间的电缆。干线子系统的设计必须能满足当前的需求，同时又能适应今后的发展。3.3.5 设备间子系统的设计设备间子系统中的电话、数据、计算机主机设备及其保安配线设备宜设在一个房间内。设备间的位置及大小应根据设备的数量、规模、最佳网络中心等内容综合考虑确定，本方案中学生宿舍楼设备间放置在二楼。在设备间子系统的设计和安装过程中还需要考虑配备不间断电源UPS和安全因素，本方案中学生宿舍无需配备UPS。同时，建筑群的线缆进入建筑物时应有过流、过压保护设施，设备间室温保持在1027，相对湿度保持在30%80%。3.3.6 建筑群子系统的设计建筑群子系统又称户外子系统，传输介质除了各种有线设备外还包括其他无线通信手段，如微波、无线电通信等。户外电缆在进入大楼时通常在入口处经过一次转接接入户内，为避免因雷击或高压线接触给人类和设备安全带来损失，通常在转接处增加电器保护设备。本方案建筑群子系统布线方式采用地下管道敷设方式，这种方式提供了最佳的机械保护，且电缆的敷设和扩充都很容易，能保持道路和建筑物的外貌整齐。3.4 具体布线 图3.4 校园平面图图3.4所示为*大学校园平面图，各栋建筑物使用光缆连接到网络中心。图3为7号楼男生宿舍楼楼层平面图，楼高6层，每层有27个房间， 其中北面13间，南面14间，共162个房间，女士宿舍共156个房间。7号楼为四人间，每个房间安装一个进户信息插座和 2 个双孔信息面板，供学生连入网络。宿舍信息点信息插座双孔信息面板7号楼（男）1621623247号楼（女）1561563123号楼为女生宿舍，普通六人间，楼高6层，每层北面三间卫生间，1楼北面楼梯占据两间房间的位置，北面有16个房间，南面18个房间，一楼以上，南面北面都是18个房间。每个房间安装一个进户信息插座和 3 个双孔信息面板，供学生连入网络。楼层房间信息点信息插座双孔信息面板134313193236333399336333399436333399536333399636333399第四章、校园网络总体规划设计4.1 项目设计原则本系统需遵循以下原则。1 标准化：遵循EIA/TIA 568要求，并符合国内现行通用的电气标准。2 开放性和兼容性：整个布线体系的接口要全部采用国际标准，能连接不同厂家不同型号的计算机、交换机、传真机及其他电子设备终端，并且能支持不同的网络结构及应用。3先进性：当今计算机网络技术发展日新月异，把握不准方向则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下尽量采用国际先进成熟的网络技术和设备，以适于未来的发展和需要，做到一次规划长期受益。4可靠性：本设计中所应用的产品都要求是经国际权威机构认证并经过严格考验的材料。5实用性和经济性：从保护原有的设备投资和能够完全满足现实需求的角度出发，充分集成现有的各种计算机和网络设备，使建设的系统适用、安全、可靠且易管理、维护和扩展，具有最高的性价比。6易用性：网络系统的硬件设备和软件程序易于安装、管理和维护。各种主要网络设备，比如核心交换机、汇聚交换机、接入交换机、服务器、大功率长延时UPS等设备均支持流行的网管系统，以方便用户管理、配置网络系统。7可扩展性：本设计为网络的进一步发展留有扩展的余地，因此我们选用主流产品和技术。我们选择兼容性好的产品，以便后期扩展。8安全性：包括两个方面：网络用户级的安全性，数据传输级的安全性。网络用户级的安全性应在网络的操作系统中予以考虑，而数据传输的安全性则必须在网络传输时解决。在网络设计中，既要考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。4.2 主干网设计4.3 图书馆网络设计4.4 宿舍局域网设计4.5 教学楼区网络设计4.6 学院礼堂网络4.7 IP地址的分配地点楼层号vlan号ip网段ip首地址ip末地址子网掩码行政楼1.2层543.4层3545.6层454行政楼无线网1.2层5543.4层6545.6层754A楼1层854 2层 9543层10544层1545层154B楼1层1354 2层 14543层15544层16545层1754B楼15层1854C楼1层1954 2层 20543层2544层2545层2354C楼（多媒体）15层2454D楼1层2554 2层 26543层27544层2854D楼（多媒体）14层29541号宿舍楼1层30542层 3543层3544层33545层34546层35542号宿舍楼1层36542层 37543层38544层39545层40546层4543号宿舍楼1层4542层 43543层44544层45545层46546层47544号宿舍楼1层48542层 49543层50544层5545层5546层53545号宿舍楼1层54542层 55543层56544层57545层58546层59546号宿舍楼1层60542层 6543层6544层63545层64546层65547号宿舍楼1层66542层 67543层68544层69545层70546层754翰林、小卖部1、2层 754链路vlan全网7354管理vlan全网25454第五章、 设备选型5.1 服务器IBM服务器 X346-8840-I05 服务器的组成：2路Intel? Xeon? 处理器(1MB L2 缓存)、EM64T优化、快速400MHz PC2-3200 DDR2 内存、集成双10/100/1000 以太网、支持可选的IBM Remote Supervisor Adapter II Slim Line 卡。服务器的优点：346 提供杰出的性能、可用性和可扩展性 - 采用空间紧凑的2U 机柜设计。它最适用于网络环境或空间紧凑的数据中心中需要大量存储的应用程序和数据。x346 采用最新的Intel Xeon 处理器技术，旨在为客户提供满足当前业务需求和今后增长需要的计算功能。新的IBM Extended Design Architecture 计划很明显的集成在其2U机柜设计中， x346 提供令人印象深刻的可扩展性，包括双处理器支持、高达16GB的内存和6个高性能、热插拔硬盘驱动器托架、以及支持内置磁带备份的能力。如果您需要在机柜密集的环境中实现高性能2路处理、大容量内置存储和卓越的可管理性均衡， x346 足以胜任。5.2 防火墙为了保证网络的安全，在连接Internet的路由器端口处安置了一台CISCO PIX-515E硬件防火墙，用以防止外界对内部系统的攻击。在服务器内又安置了中国网软件防火墙，对整个网络系统安全进行监控，并可有效地阻挡从局域网内部对系统的攻击。品名：CISCO PIX-515E设备类型：百兆级防火墙并发连接数：12000网络吞吐量(MPPS)：188安全过滤带宽(MB)：100用户数量限制：无用户数量限制VPN支持：支持5.3 机柜1） 欧美式的设计风格，精良品质，专业打造。2） 万德机柜采用优质冷轧钢板材，严格的磷酸盐防腐蚀处理，整体喷粉均采用韩国进口粉面。各项指标均达到国际安全保护标准。3） 全柜采用拼装式结构，整体承重500KG，前后侧门均可拆卸，维护更加轻松，柜内通过四根可调承重立柆解决了各种设备因尺寸差异而产生的安装问题，符合19英寸工业标准。4） 友好U值提示，宽敞的安装空间，使您安装各种网络设备及布线时更加简便。5.4 路由器图6.4 CISCO 3750VXR路由器 产 品 参 数 详 细 信 息基本规格DRAM内存 (MB)：512 Flash内存 (MB)：512 设备类型：非模块化路由器 处理器：225、263或350MHz（MIPS RISC） 固定的广域网接口：可选广域接口WIC卡 支持扩展模块数：4 控制端口：RS-232 支持网络协议：IEEE 802.3，ISDN；加密标准AH（MD5），ESP（Null，DES，3DES，ARC4，proprietary fast encoding，+MD5/HMAC，-MD5）；PPP （PAP，CHAP，LCP，IPCP，MLPPP）； 支持的网管协议：Cisco ClickStart，SNMP 是否内置防火墙：是 是否支持VPN：是 是否支持Qos：是 电源电压 (V)：100-240 电源功率 (W)：150 重量 (kg)：3.6 长度 (mm)：445宽度 (mm)：301 高度 (mm)：44工作温度 ()：0 - 40 工作湿度：10% - 90% 存储温度 ()：-20 - 65 存储湿度：10% - 90%5.5 交换机图6.5 CISCO WS-C2950T-24交换机 产 品 性 能 指 标基本规格设备类型：快速以太网交换机 内存：16MB DRAM和8MB闪存交换方式：存储-转发 背板带宽（Gbps）：8.8包转发率：6.6Mpps VLAN支持：支持MAC地址表：8000网络标准：IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全双工操作,IEEE 802.1D生成树协议,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX规范 ,IEEE 802.3u 100BaseTx规范,IEEE 802.3 10BaseTx规范传输速率(Mbps)：10/100/1000端口类型：10/100Base-T,10/100/1000Base-T 端口数：24模块化插槽数：2是否支持全双工：全双工 堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMP MIB扩展，桥接MIB(RFC 1493)额定电压（V）：100 to 127/200 to 240 VAC 额定功率（W）：30重量(Kg)：3.0 长度(mm)：445宽度(mm)：242 高度(mm)：44工作温度（）：-5 45 工作湿度：10% - 95%工作高度（米）：3000 存储温度（）：-25 - 70存储湿度：10% - 95% 存储高度（米）：45005.6 PC机联想 启天M4280AMDAthlon 3800+处理器 正版WINDOWS XP HOME SP2512MB DDRII533 160G SATA(7200转) 16X DVD扬天M系列机型是专为注重品质的商业企业用户设计的一款主流商务数字办公平台电脑。拥有领先的结构设计、创新的应用功能，无论从人性化使用的角度，还是从安全防护、易用管理的方面都为用户周到设想，安全密钥让您不再为数据信息的安全而担心；独有的一键彻底查杀病毒让您从此远离病毒侵扰；文件管理能够及时拯救重要文件免除意外丢失的风险，这些业界独创的领先功能和设计都致力于为用户搭建一个稳定、高效、安全的数字办公平台！第六章、 网络安全与防护技术6.1 计算机网络安全计算机网络安全问题是一个错综复杂的问题，它涉及到系统故障以及有意无意的破坏等。为了确保计算机网络安全，需要采取物理措施、管理措施和技术等多方面措施。计算机网络安全的保护对象主要是数据、资源（硬件资源和软件资源）和声誉（用户形象）。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术及理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。6.1.1 计算机网络安全的目的和功能1、网络安全的目的计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资源和信息资源的安全。影响计算机网络安全的因素主要有以下几种：实体安全、运行安全、数据安全、软件安全和通信安全。2、网络安全的功能和措施计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解决措施。因为计算机的安全与反安全会一直地进行下去，故要使计算机网络具有较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理与法律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网络的整体防护水平。 加强计算机安全管理的法规建设，建立和健全各项规章制度是保障计算机网络安全的重要一环。利用制定人员的管理制度，加强人员审查，在组织管理上避免单独操作，操作与设计分离等制度和措施降低了作案的可能性。6.1.2 网络安全的潜在威胁安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性使用所造成的危害。安全威胁可分为故意威胁和偶然威胁，所谓偶然威胁是指由偶然因素造成的威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和主动威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。主动威胁包括信息进行故意的修改（如改动某次金融会议中货币的数量）。1、 基本威胁信息安全的基本目标是实现信息的机密性、机密性、完整性、可用性以及资源的合法性使用。常见的4种基本威胁是：信息泄露、完整性破坏、拒绝服务和非法使用。 2、主要的可实现威胁主要的可实现威胁可以分为渗入威胁和植入威胁。主要的渗入威胁有：假冒、旁路控制和授权侵犯。 主要的植入威胁有：特洛伊木马（Torjan Horse）和陷门。 3、潜在威胁通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。通过调查分析可知，下面几种威胁是最主要的威胁：授权侵犯、假冒、旁路控制、特洛伊木马、陷门和媒体清理等。6.1.3 网络安全的策略当安全具体化时，它有一定范围，这个范围便是属于某个组织的处理和通信资源的集合，称为安全区域。在某一个安全区域内，应该有一个关于安全问题的总体目标和规划，这就是安全策略。以下是几种常见的网络安全策略：（是抽象策略，不是具体策略）（1）最小特权原则。（2）多道防线。（3）阻塞点。（4）最薄弱环节。（5）失效保护机制。（6）普通参与。（7）防御多样化。6.2 防火墙技术防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。6.2.1 防火墙的概念“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个能把互联网与内部网隔开的屏障。6.2.2 防火墙的作用和特性1、防火墙的作用（1）防火墙能强化安全策略（防火墙是阻塞点）。（2）防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。（3）防火墙能限制暴露用户点，隐藏内部信息。（4）防火墙是一个安全策略的检查站。（5）防火墙有转换地址功能（IP地址）。2、防火墙的特性（1）所有内部对外部的通信都必须通过防火墙，反之亦然。（2）只有按安全策略所定义的授权，通信才允许通过。（3）防火墙本身是抗入侵的 。（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，尽可能将安全措施都集中在这一点上。（5）防火墙可以强制安全策略的实施。（6）防火墙不能防范恶意的内部知情者。（7）防火墙不能防范不通过它的连接。（8）防火墙不能防御所有的威胁。（9）防火墙不能防范和消除网络上的PC机的病毒。6.2.3 实现防火墙的主要技术1、数据包过滤技术数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。2、应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登