四川万善中学网络构建.doc

宜宾职业技术学院宜宾职业技术学院 毕业论文 四川万善中学网络构建四川万善中学网络构建 系系 部部 电子信息工程系电子信息工程系 专专 业业 名名 称称 计算机与维护计算机与维护 班班 级级 网络网络 10811081 班班 姓姓 名名 罗罗 谊谊 学学 号号 200811963200811963 指指 导导 教教 师师 陈 宏 20102010 年年 0909 月月 1010 日日 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 I 四川万善中学网络构建四川万善中学网络构建 摘要摘要 科教兴国 是保证我国能够长期 稳定 高速发展的战略国策 教育信息 化是达成该战略国策的重要手段之一 以计算机网络技术为代表的信息技术以 及 Internet 的迅速以发展及普及 促进了校园网的发展 引起了传统的教育方 法和手段 教学内容 教学过程 教学模式乃至教育体制发生要本性的变革 然而校园网构建 使现代信息技术实现教育现代化 优化教育资源配置 共享 教学资源 缩小不同地域之间的教育差距 扩大教育的时空 突破学校教育和 正规教育的框框 建立起终身教育的观念和多样化的办学模式 为学学学习提 供了方便条件 使学生可以快速 全面了解国内外信息的实现不是一朝一夕的 事 需要长期的努力 请认真读读 看是否通顺 加一段 写出本文的主要论述是分析四川万善中学的实际情况 设计四 川万善中学校园网 关键词 关键词 校园网 计算机 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 II 目录目录 1 1 引引 言言 1 2 2 校园网需求分析校园网需求分析 2 2 12 1 学校网络现状分析学校网络现状分析 2 2 22 2 信息点分布需求分析信息点分布需求分析 3 2 32 3 校园校园 VLANVLAN 需求划分需求划分 3 3 3 校园网物理网络设计校园网物理网络设计 5 3 13 1 网络层次分析网络层次分析 5 3 23 2 校园网的结构规划校园网的结构规划 6 4 4 网络设备配置网络设备配置 7 4 14 1 交换机需要的数量交换机需要的数量 7 4 24 2 核心交换机说明配置核心交换机说明配置 7 4 34 3 汇聚层交换机说明配置汇聚层交换机说明配置 9 4 44 4 楼层换机说明楼层换机说明 10 4 54 5 路由器的说明与配置路由器的说明与配置 11 5 5 校园网服务器配置校园网服务器配置 13 5 15 1 网络服务设备选择配置网络服务设备选择配置 13 5 25 2 服务器具体选用服务器具体选用 13 6 6 放火墙的说明和配置放火墙的说明和配置 14 6 16 1 防火墙可以强化网络安全策略防火墙可以强化网络安全策略 14 6 26 2 对网络存取和访问进行监控审计对网络存取和访问进行监控审计 14 6 36 3 防止内部信息的外泄防止内部信息的外泄 14 7 7 网络安全控制网络安全控制 16 8 8 项目经费预算项目经费预算 17 9 9 后期服务后期服务 19 结束语结束语 20 致谢致谢 20 参考文献参考文献 20 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 1 四川万善中学网络构建四川万善中学网络构建 1 1 引引 言言 随着网络的逐步普及 校园网络的建设是学校向信息化发展的必然选择 校园网网络系统是一个非常庞大而复杂的系统 它不仅为现代化教学 综合信 息管理和办公自动化等一系列应用提供基本操作平台 而且能提供多种应用服 务 使信息能及时 准确地传送给各个系统 校园网的建成和使用 对于提高 教学和科研的质量 改善教学和科研条件 加快学校的信息化进程 开展多媒 体教学与研究以及使教学多出人才 科研多出成果有着十分重要而深远的意义 学校领导 广大师生们已经充分认识到这一点 学校未来的教育方法和手段 将是 构筑在教育信息化发展战略之上 通过加大信息网络教育的投入 开展网络化教学 开 展教育信息服务和远程教育服务等将成为未来建设的具体内容 但是 一个校园 网络的组建并不是我们想象中用几个交换机就能实现 它是一项庞大而又复杂的 工程 它需要覆盖整个校园 要将校园内的计算机 服务器和其他终端设备连接起 来 实现校园内部数据的流通 实现校园网络与互联网络的信息交流 并且它还要 涉及到网络的安全 涉及到网络的管理 因此 一个校园网络系统的组建需要从多 方面进行考虑 许多校园在经历一系列改革后 为了进一步提升自身实力 很多高 校都开始改建自己的校园 大量新教学楼拔地而起 在新建设的建筑大楼中一般都 布有网络线 这给校园组网带来了一定的方便 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 2 2 2 校园网需求分析校园网需求分析 2 12 1 学校网络现状分析学校网络现状分析 行政楼宿舍楼 后勤处学生处财务处 图书馆 教学楼 教室机房实验室 图 2 1 万善中学分布图 如图 2 1 表示图书馆 教学区 宿舍区 行政区所在位置 校园网的建设的核心是将信息技术与科学整合 广泛采用计算机网络 多媒体 技术作为现代教育技术手段组织教学 推进中学教育方法 教学手段和教学模式的 改革 提高学校信息化管理水平 优化教学过程 提高教学质量 并为学生学习使用 计算机网络 多媒体等现代教育技术提供一流的环境 教学区要满足网络多媒体教室以实现各种基于网络的电子教学 预留随着 多媒体技术的发展 多媒体教学 为不断普及做准备 要实现通过电子题库帮 助学生开展学习 图书馆承担图书检索系统和建设电子图书馆 要校园网上实现远程计算图 书检索和借阅 行政楼的信息管理系统提供有效的网络支持 通过学校住处管理系统可以 进行财务管理 教务管理 后勤管理等常规化管理 还可以进行综合查询及办 公自动化系统网络安全因素等 行政区也是整个校园网络的核心部分 Internet 出进口 网络中心设备设在此 实现对整个校园网的配置管理和安全监控 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 3 2 22 2 信息点分布需求分析信息点分布需求分析 校园网络中分布所需要的信息点 表 2 2 大楼分布信息点个数信息点合计网络中心的距离 后勤处 10 学生处 30 行政楼 财物处 10 50 同一楼 教室 40 机房 300 教学楼 实验室 50 390 300 米 借书室 20 电子阅览室 40 图书馆 办公室 10 70 450 米 宿舍楼教师宿舍 200200 520 米 合计 860860 1270 米 2 32 3 校园校园 VLANVLAN 需求划分需求划分 1 在进行 VLAN 的划分时要定义 VLAN IP 这就要考虑到校内计算机 IP 地址的规划 目前 IP 地址的分配手段有 1 利用子网掩码进行网络的子网化 2 保留网络地址分配和网络地址的转换 NAT 3 可变长度子网掩码 4 无类别域间路由 目前在各校园网 企业网中基本都是采用 保留网络地址分配和网络的址 的转换 的方法进行 IP 地址的规划 它可以有效的解决 IP 地址不足的问题 而且在内部采用 A 类保留地址 10 0 0 0 可以为学校 企业内部网络提供一个 很大的 IP 地址空间 结合子网掩码进行子网化设计 地址和子网空间的设计要 求不必术严格 这样可以设计变得更加简单和灵活 而且有很强的扩充性 为 后网络的升级提供有利条件 结合四川万善中学情况 采用 保留网络地址分配和网络地址的转换 的 方法来对 IP 地址进行规划 在网络内部采用 A 类保留地址 用申请的公网 IP 地址进行网络地址的转换 NAT 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 4 四川万善中学 VLAN 划分及计算机 IP 分配如下表所示 表 2 3 大楼计算机描述 VLAN IP 网关名称 后勤处 10 1 1 1 2410 1 1 1 学生处 10 1 1 2 2410 1 1 1 行政楼 财物处 10 1 1 3 2410 1 1 1 Vlan1 教室 10 1 2 1 2410 1 2 1Vlan2 机房 10 1 3 1 2410 1 3 1Vlan3 教学楼 实验室 10 1 4 1 2410 1 4 1Vlan4 借书室 10 1 5 1 2410 1 5 1 电子阅览室 10 1 5 2 2410 1 5 1 图书馆 办公室 10 1 5 3 2410 1 5 1 Vlan5 宿舍楼教师宿舍 10 1 6 1 2410 1 6 1Vlan6 2 四川万善中学网络设备和服务器 IP 分配如下表 表 2 4 设备名称IP 地址子网掩码 路由器 192 168 1 1255 255 255 0 DHCP 服务器 192 168 1 2255 255 255 0 Web 服务器 192 168 1 3255 255 255 0 DNS 服务器 192 168 1 4255 255 255 0 FTP 服务器 192 168 1 5255 255 255 0 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 5 3 3 校园网物理网络设计校园网物理网络设计 3 13 1 网络层次分析网络层次分析 1 核心层 在校园网中骨干设备担负着连接各个汇聚设备的工作 同时通过设备的互 联 将分布在各物理位置的区域网络连接在一起形成一套完整的网络 由于骨 干层设备担负着整个网络的流量 骨干设备和链路的稳定性将直接影响整个网 络的可靠运行 由于骨干设备在网络中核心的位置需要高性能 所有的功能部件 电源 系 统总线 处理器模块 网络接口模块等 均可以支持热插拔和冗余热备份等特性 完成网络骨干层高速数据交换 转发以及稳定性的要求 骨干网络性能是整个 网络良好运行的基础 设计中必须保障网络及设备的高吞吐能力 保证各种业 务的高质量传输 才能使网络不成为业务开展的瓶颈 所以核心交换机网络中心选用 1000MB S 光纤 2 区域汇聚层 1 高速运送区域流量 主要工作是交换区域数据包 2 高可靠性及冗余性 3 提供故障隔离 4 较少的时延和好的可管理性 5 良好的路由交换能力 6 良好的区域汇聚能力 7 良好的万兆能力 要求汇聚设备必须是纯千兆的高性能交换机 在校园网中汇聚设备担负着网络接入层和骨干设备的连接 网络汇聚层有 着承上启下的重要任务 汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交 换以及接入和骨干之间的数据转发 作为骨干层的入口和接入层的出口 汇聚层的身份如同关卡 为保证整个 网络良好运行在汇聚层同样需要高性能 关键部件冗余等特性 另外要求汇聚 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 6 设备的有高端口密度可以直接连接大量的二层设备 提供更好的络品质 所以汇聚交换机选用 1000MB S 光纤 光纤直达楼层交换机 分到用户接插 面板上的带宽为 100MB S 用户可用带宽为 10MB S 100MB S 3 23 2 校园网的结构规划校园网的结构规划 根据学校建筑的分布及各种需求的分析 做出如下规划 1 校园网的拓扑结构应当根据学校的具体需求决定 如果对可靠性要求比 较高 应优先选择星型拓扑结构 另外考虑到校园网的覆盖范围 通常都是采 用一些混合型的结构 总线型和星型的混合等 2 网络中心与各楼之间使用千兆多模光纤 形成千兆骨干网络 3 桌面交换机和汇聚层交换机相连接 桌面交换机与计算机之间使用百兆 双绞线连接 4 DHCP Web FTP DNS 服务器连接在汇聚层交换机上 5 由于教学区 宿舍区和后勤处的网络连接基本相同 所以经过简化整个 校园网络的结构图 如下图所示 图 3 2 校园网络规划图 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 7 4 4 网络设备配置网络设备配置 根据学校规划图 学校硬件的选择这块主要包括交换机 路由器 防火墙 的选择 专业机箱和机柜的选择等其它工具和设备的选择配置 下面主要介绍以下这几种设备的选型和配置 4 14 1 交换机需要的数量交换机需要的数量 交换机的种类包括 核心交换机 汇聚层交换机 楼层交换机 其中核心 交换机 1 台存放在网络中心 汇聚层交换机和核心交换机连接直到学校各楼层 的设备间 楼层交换机也称作桌面交换机是各楼层水平工作区之间的连接交换 机 具体图下表所列 表 4 1 交换机的数量 大楼核心交换机汇聚层交换机楼层交换机 行政楼 112 教学楼 117 图书馆 13 宿舍楼 19 合计 1431 4 24 2 核心交换机说明配置核心交换机说明配置 Quidway S3900 系列智能弹性以太网交换机 以下简称 S3900 是华为公司 为设计和构建高弹性 高智能网络需求而推出的新一代以太网交换机产品 系 统采用华为公司创新的 IRF Intelligent Resilient Framework 智能弹性架 构 技术 将多台分散的设备组成统一的交换矩阵 非常适合作为关注扩展性 可靠性 安全性和易管理性的办公网 业务网和驻地网的汇聚和接入层交换机 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 8 图 4 1 Quidway S3952P SI 表 4 2 Quidway S3952P SI 详细参数 基本规格 产品型号 Quidway S3952P SI 产品类型千兆安全智能三层交换机 传输速率 10 100 1000Mbps 应用层级三层 交换方式存储 转发 背板带宽 17 6Gbps 包转发率 13 2Mpps 端口结构固定端口 内存Flash 16MB SDRAM 64MB 包缓存 32MB MAC 地址表 16K 网络标准 IEEE802 3 IEEE802 3u IEEE802 3d IEEE802 3ab IEEE802 3x 传输模式全双工 网管功能 支持命令行接口 CLI 配置 支持 Telnet 远程配置 支 持通过 Console 口配置 支持 SNMP 支持 RMON1 2 3 9 组 MIB 支持华为 iManager N2000 DMS 网管系统 支 持 WEB 网管 支持系统日志 分级告警 堆叠功能能堆叠 端口参数 接口数量48 个 接口类型10 100M 电口 千兆 SFP 口 核心交换机的配置 system Quidway sysname Smain Smain int e0 1 Smain Ethernet0 1 duplex full Smain Ethernet0 1 speed l000 Smain Ethernet0 1 port link type trunk Smain Ethernet0 1 port trunk permit vlan all Smain Ethernet0 1 int e0 2 Smain Ethernet0 2 duplex full Smain Ethernet0 2 speed l000 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 9 Smain Ethernet0 2 port link type trunk Smain Ethernet0 2 port trunk permit vlan all Smain Ethernet0 2 int e0 3 Smain Ethernet0 3 duplex full Smain Ethernet0 3 speed l00 Smain Ethernet0 3 port link type trunk Smain Ethernet0 3 port trunk permit vlan all Smain Ethernet0 3 int e0 4 Smain Ethernet0 4 duplex full Smain Ethernet0 4 speed l000 Smain Ethernet0 4 port link type trunk Smain Ethernet0 4 port trunk permit vlan all Smain Ethernet0 4 int e0 5 Smain Ethernet0 5 duplex full Smain Ethernet0 5 speed l000 Smain Ethernet0 5 port link type trunk Smain Ethernet0 5 port trunk permit vlan all Smain Ethernet0 5 int e0 6 Smain Ethernet0 6 duplex full Smain Ethernet0 6 speed l000 Smain Ethernet0 6 port link type trunk Smain Ethernet0 6 port trunk permit vlan all Smain save Save current configuration to flash memory successfully 4 34 3 汇聚层交换机说明配置汇聚层交换机说明配置 华为 3COM S3528G 安全智能三层交换机是充分满足安全 IP 交换和高 QOS 保证的需求而推出的智能型以太网交换机 S3528G 交换机提供完善的路由协议 VLAN 控制 流量交换 QOS 保证的机制 以及完备的业务控制和用户管理能力 产品特点 大容量全线速的多层交换 高可靠性 丰富业务支撑能力 完备的安全 控制策略 丰富的 QOS 策略 多样的管理方式 这些智能化的特点非常适合作为关注业务管理控制和网络安全保障能力的 办公网 业务网和驻地网的汇聚三层交换机 图 4 2 华为 3COM S3528G 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 10 表 4 3 华为 3COM S3528G 详细参数 基本规格 产品型号 S3528G 产品类型千兆以太网交换机 传输速率 10 100 1000Mbps 应用层级三层 交换方式存储 转发 背板带宽 32Gbps 包转发率 9 6Mpps 端口结构固定端口 内存Flash 16MB SDRAM 64MB 包缓存 32MB MAC 地址表 12K 网络标准 IEEE 802 1D IEEE 802 1w IEEE 802 1s 网络协议 10 100 1000 传输模式全双工 网管功能 支持命令行接口 CLI 配置 支持 Telnet 远程配置 支 持通过 Console 口配置 支持 SNMP 堆叠功能能堆叠 接口数量24 个 接口类型 10 100BASE T 1000BASE GBIC 汇聚层交换机主要配置行政楼交换机 引列说明其它的交换机的配置 system Enter system view return to user view with Ctrl Z Quidway sysname Sxingzhengqu Sxingzhengqu interface Ethernet0 1 Sxingzhengqu Ethernet0 1 duplex full Sxingzhengqu Ethernet0 1 speed l000 Sxingzhengqu Ethernet0 1 quit Sxingzhengqu vlan 5 Sxingzhengqu vlan5 port e0 2 to e0 8 Sxingzhengqu vlan5 interface e0 1 Sxingzhengqu Ethernet0 1 port link type trunk Sxingzhengqu Ethernet0 1 port trunk permit vlan all Sxingzhengqu Ethernet0 1 save Save current configuration to flash memory successfully 4 44 4 楼层换机说明楼层换机说明 采用华为 Quidway S2403TP EA 系列运营级接入交换机 以下简称 S2300 是华为公司为满足以太网多业务承载需要 面向精品城域网和企业网而推出的 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 11 新一代运营级以太网接入交换机 适应各种以太接入场景 Quidway S2403TP EA 基于新一代高性能硬件和华为公司统一的 VRP Versatile Routing Platform 软件 可为用户提供丰富灵活的业务特性 有效地提高产品可运营 可管理和业务扩展能力 具备优异的防雷能力和安全特性 支持强大的 ACL 功 能 支持 QINQ 支持 1 1 和 N 1 VLAN 交换功能 满足 VLAN 灵活部署的需求 表 4 4 Quidway S2403TP EA 详细参数 基本规格 产品型号 S2403TP EA 产品类型 运营级接入交换机 传输速率 10 100 1000Mbps 应用层级二层 交换方式存储 转发 背板带宽 19 2Gbps 包转发率 6 55Mpps 端口结构非模块化 内存Flash 16MB SDRAM 64MB 包缓存 32MB MAC 地址表 8K 网络标准IEEE 802 3 IEEE 802 3u IEEE 网络协议 10 100 1000 传输模式全双工 半双工自适应 网管功能 支持 CLI 配置 支持 Telnet 远程配置 支持 SNMP V1 V2 V3 支持 RMON 支持集群管理 HGMP V2 支持 SSH v1 v2 堆叠功能能堆叠 接口数量24 个 接口类型 10 100BASE T 1000BASE GBIC 4 54 5 路由器的说明与配置路由器的说明与配置 采用华为 Quidway AR28 31 路由器主要用于核心交换机与 Internet 连接 实现静态路由 访问控制列表 限制内网的访问功能 图 4 3 华为 Quidway AR28 31 表 4 5 华为 Quidway AR28 31 路由器详细参数 基本规格 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 12 路由器类型 多业务路由器 端口结构 模块化 网络协议 DHCP VLAN IPX DLSw RIP 1 RIP 2 OSPF BGP 传输速率 10 100Mbps 固定的广域网接口 同 异步接口 ISDN BRI S T 接口 AUX 口 固定的局域网接口 2 个以太网口 其他端口 Console 包转发率 90 100Kpps 内置防火墙 是 Qos 支持 支持 支持 VPN 支持 扩展模块 3 处理器 MPC8245 300MHz 内存 FLASH 32MB SDRAM 缺省 128MB 最大 256MB 网络管理 纠错 Console RMON SNMP TELNET 楼层交换机主要配置 引列说明其它楼层交换机的配置 system Enter system view return to user view with Ctrl Z Quidway sysname lntuHLD lntuHLD super passwrod lntuhld lntuHLD Ethernet0 int s0 lntuHLD Serial0 ip address192 168 1 1 255 255 255 0 lntuHLD Serial0 quit lntuHLD nat address group 192 168 1 10 192 168 1 254 pool1 lntuHLD interface s0 lntuHLD Serial0 nat outbound 2 address group pool lntuHLD Serial0 nat server global 192 168 1 2 inside 10 1 1 1ftp tcp lntuHLD Serial0 nat server global 192 168 1 3 inside10 1 1 2 www tcp lntuHLD Serial0 nat server global192 168 1 4 inside 10 1 1 3 smtp udp 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 13 5 5 校园网服务器配置校园网服务器配置 5 15 1 网络服务设备选择配置网络服务设备选择配置 在校园网络中 由于使用的用户众多 需要多台服务器来处理客户机的服 务请求 且每台服务器完成的任务各不相同 因此 根据服务器所完成的任务 不同 将服务器分为一下几类 DHCP 服务器 Web 服务器 DNS 服务器 FTP 服 务器 由于服务器的特殊性 使得服务器需要可靠稳定和经济耐用 所以在选 用服务器的同时 我们由这两个方面考虑 第一 可靠稳定 我们选用了不间 断电源两个 以防断电引起的网络瘫痪和不可以使用的故障 还选用了服务器 专业机柜及套件 避免了因为杂乱摆放导致管理难 维护难的一些问题 鉴于 万善中学的经济现状良好和需求 特选购 HP 机架式服务器 其具有良好的性价 比 并将所有服务器装如一标准 19 英寸机柜中 5 25 2 服务器具体选用服务器具体选用 表 5 2 服务器具体选用 产品名称品牌及型号 详描配置数 量 台 备注 DNS 服务 器 HP ProLiant ML110 G6 578931 AA5 XEON3 0G 1M 512MBPC2 3200EC CDDR2 2 73G 286714 B22 SCSI 热插 拔硬盘 集成 U320 SmartArray 6i 阵列控制器 3 5 软驱 CD 光驱 1000M 网卡 460 瓦 1 1 冗余 电源 1 机架式 FTP 服务 器 HP ML110 G6 XEON MP2 83G 4M 2 集成 U320 SmartArray6i 阵列控制器 64MB 缓存 可选 128MB 电池保护写缓存 4 512MDDR 1600ECC 2 个 900 1300W 1 机架式 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 14 热插拔电源 348114 B21 5 个 Web 服务 器 HP ML110 G6 XEON MP2 83G 4M 2 集成 U320 SmartArray6i 阵列控制器 64MB 缓存 可选 128MB 电池保护写缓存 4 512MDDR 1600ECC 2 个 900 1300W 热插拔电源 348114 B21 5 个 1 机架式 DHCP 服务器 HP ML110 G6 XEON MP2 83G 4M 2 集成 U320 SmartArray6i 阵列控制器 64MB 缓存 可选 128MB 电池保护写缓存 4 512MDDR 1600ECC 2 个 900 1300W 热插拔电源 348114 B21 5 个 1 机架式 6 6 放火墙的说明和配置放火墙的说明和配置 防火墙是网络安全的屏障 一个防火墙 作为阻塞点 控制点 能极大 地提高一个内部网络的安全性 并通过过滤不安全的服务而降低风险 由于只 有经过精心选择的应用协议才能通过防火墙 所以网络环境变得更安全 如防 火墙可以禁止诸如众所周知的不安全的 NFS 协议进出受保护网络 这样外部的 攻击者就不可能利用这些脆弱的协议来攻击内部网络 防火墙同时可以保护网 络免受基于路由的攻击 如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向 路径 防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员 6 16 1 防火墙可以强化网络安全策略防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置 能将所有安全软件 如口令 加密 身份认证 审计等 配置在防火墙上 与将网络安全问题分散到各个主机上相 比 防火墙的集中安全管理更经济 例如在网络访问时 一次一密口令系统和 其它的身份认证系统完全可以不必分散在各个主机上 而集中在防火墙一身上 6 26 2 对网络存取和访问进行监控审计对网络存取和访问进行监控审计 如果所有的访问都经过防火墙 防火墙就能记录下这些访问并作出日志记 录 同时也能提供网络使用情况的统计数据 当发生可疑动作时 防火墙能进 行适当的报警 并提供网络是否受到监测和攻击的详细信息 另外 收集一个 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 15 网络的使用和误用情况也是非常重要的 首先的理由是可以清楚防火墙是否能 够抵挡攻击者的探测和攻击 并且清楚防火墙的控制是否充足 而网络使用统 计对网络需求分析和威胁分析等而言也是非常重要的 6 36 3 防止内部信息的外泄防止内部信息的外泄 通过利用防火墙对内部网络的划分 可实现内部网和重点网段的隔离 从 而限制了局部重点或敏感网络安全问题对全局网络造成的影响 再者 秘密是 内部网络非常关心的问题 一个内部网络中不引人注意的细节可能包含了有关 安全的线索而引起外部攻击者的兴趣 甚至因此而暴漏了内部网络的某些安全 漏洞 使用防火墙就可以隐蔽那些透漏内部细节如 Finger DNS 等服务 Finger 显示了主机的所有用户的注册名 真名 最后登录时间和使用 shell 类 型等 但是 Finger 显示的信息非常容易被攻击者所获悉 攻击者可以知道一个 系统使用的频繁程度 这个系统是否有用户正在连线上网 这个系统是否在被 攻击时引起注意等等 防火墙可以同样阻塞有关内部网络中的 DNS 信息 这样 一台主机的域名和 IP 地址就不会被外界所了解 除了安全作用 防火墙还支持具有 Internet 服务特性的企业内部网络技术 体系 VPN 通过 VPN 将企事业单位在地域上分布在全世界各地的 LAN 或专用子 网 有机地联成一个整体 不仅省去了专用通信线路 而且为信息共享提供了 技术保障 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 16 7 7 网络安全控制网络安全控制 1 对端口 APP 检查防止 ARP 攻击 2 对端口安全 MAC 动态地址锁 MAC 地址静态绑定 3 交换设备 BPDU Guard 功能 过滤非法 BPDU 报文 防止 STP 攻击交换机 4 端口安全 端口静态绑定 自动绑定 IP 和 MAC 地址防止 DOS 攻击 5 智能安全到边缘 多种 ACL 满足不同网络应用 过滤病毒 6 对网络病毒的防范 采用设置 ACL 对病毒进行过滤 使用的汇聚 核心 交换机都支持 SPOH 通过端口独立的 FFP 进行 ACL 处理 网络设备性能不受设 置 ACL 数目影响 宜宾职业技术学院电子信息工程系 四川万善中学网络构建 17 8 8 项目经费预算项目经费预算 采用各种设备价格与数量 如表 8 1 所示 表 8 1 设备报价 名 称型 号单价 元 数量 台 总价钱 元 核心交换机 Quidway S3952P SI790017900 汇聚交换机 Quidway 3COM S3528G6200424800 楼层交换机 Quidway S2403TP E路由器 Quidway AR