彩虹学校校园网网络安全体系研究与实施课件

彩虹学校校园网网络安全体系

研究与实施教育硕士：魏荡指导教师：曹菡陕西师范大学计算机科学学院2022/12/11彩虹学校校园网网络安全体系

研究与实施教育硕士：魏荡指导教师主要内容一、课题研究的背景和现状二、课题研究的目的和意义三、课题研究的主要内容四、课题研究的总结2022/12/12主要内容一、课题研究的背景和现状2022/11/302一、课题研究的背景和现状1.1Internet在国内外的发展及日益严重的网络安全问题

1.2彩虹学校校园网的建设历程及现状

1.3国内外进行网络安全研究的现状2022/12/13一、课题研究的背景和现状1.1InterInternet在国内外的发展及现状

1969年阿帕网诞生，1993年Internet向公众开放，用户数量呈指数增长，平均半年翻一番。

1994年Internet进入我国，截止2004年底，我国的国际出口75G、上网用户数9400万、上网计算机4160万。1.1Internet在国内外的发展及日益严重的网络安全问题

2022/12/141.1Internet在国内外的发展及日年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年来网络被攻击的统计表日益严重的网络安全问题2022/12/15年份事件报道数目1988619891321990252199美国国家安全协会统计报道：98%的企业都曾遇过病毒感染问题，63%的企业都曾因感染病毒失去资料，80%的Web服务器受到过黑客攻击。

日益严重的网络安全问题2022/12/16美国国家安全协会统计报道：98%的企业都曾遇过病毒感染问题1.2彩虹学校校园网的建设历程及现状东南校园网络主干布线图中学小学2022/12/171.2彩虹学校校园网的建设历程及现状东南校园网络主干布线1.2彩虹学校校园网的建设历程及现状K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线网络拓扑图2022/12/181.2彩虹学校校园网的建设历程及现状K12服务器课件服务彩虹学校近几年添购了大量的计算机设备，使校园网内计算机数量增至400余台，并且实现了Internet接入。安全现状广播风暴严重影响了网络的性能，消耗了大量网络带宽。没有和Internet有效隔离，校园网上的各种资料，都受到来自Internet直接威胁。

IP盗用和IP冲突不断病毒的传播和泛滥服务器的安全性差黄色、暴力、邪教等不良信息在校园网内时有发现1.2彩虹学校校园网的建设历程及现状2022/12/19彩虹学校近几年添购了大量的计算机设备，使校园网内计算机数量增虚拟局域网技术防火墙技术计算机病毒的预防查杀技术数据备份技术不良信息过滤技术入侵检测技术IP地址绑定技术1.3国内外进行网络安全研究的现状

2022/12/110虚拟局域网技术1.3国内外进行网络安全研究的现状202二、课题研究的目的和意义目的：本课题针对彩虹学校校园网存在的网络安全问题进行研究，分析其中的不安全因素，结合国内外对于网络安全研究的现状，提出彩虹学校校园网的网络安全体系建设方案，充分利用现有设备，采取各种网络安全技术，最大限度的合理实现彩虹学校校园网的网络安全。意义：本课题的研究有助于解决彩虹学校校园网的网络安全问题，使其真正成为彩虹学校进行教育、教学、管理、科研以及与兄弟院校沟通交流的重要平台。同时，本课题的研究也会对同样受到网络安全问题困扰的兄弟学校有一定的借鉴意义。2022/12/111二、课题研究的目的和意义目的：本课题针对彩虹学校校园网存在的三、课题研究的主要内容

彩虹学校校园网的安全设计VLAN技术在彩虹学校校园网中的应用彩虹学校校园网防毒反黑体系的建立提高网络安全性的其它措施2022/12/112三、课题研究的主要内容

彩虹学校校园网的安全设计2022/1全局（Internet和Intranet）

教育行业（校园网络）

彩虹学校校园网

3.1彩虹学校校园网络的安全设计3.1.1彩虹学校校园网不安全因素的分析2022/12/1133.1彩虹学校校园网络的安全设计2022/11/30133.1彩虹学校校园网络的安全设计3.1.2彩虹学校校园网的安全设计方案(1)为主控室、二级交换机机柜安装防盗报警设备、不间断电源、防雷击及通风降温设备。(2)对校园网络原有布线进行测试，在二级交换机处形成教室（或办公室）、网线和交换机端口的一一对应关系，并输入电脑进行动态管理。(3)划分VLAN，减小广播域，降低广播风暴的影响，减小网络监听的可能，为不同安全要求的VLAN提供访问控制，将不同业务性质的子网隔离开。(4)采用静态IP，进行IP地址、MAC地址、交换机端口的多层次绑定，防止IP盗用、IP冲突。(5)购买一套网络杀毒软件。(6)购买一台防火墙，有效隔离内外网，并为上网计算机提供地址转换服务。2022/12/1143.1彩虹学校校园网络的安全设计(1)为主控室、二级交3.1彩虹学校校园网络的安全设计3.1.2安全性设计方案(7)购买一套信息过滤软件，在技术上避免师生有意无意地浏览含有黄色、暴力、邪教内容的信息。(8)对校园网中的重点主机进行安全设置，去掉不必要的访问，并在所需要的网络访问周围建立访问控制，避免非法入侵。(9)及时修补系统软件和应用软件的漏洞，阻断病毒传播和黑客攻击的途径，及时升级杀毒软件。(10)制定严格的口令制度，规定长度、复杂度及生存期。(11)制定完善的校园网络使用管理制度，明确校园网中各种使用者及管理者的权利和责任，以及违规后的惩罚措施。2022/12/1153.1彩虹学校校园网络的安全设计(7)购买一套信息过滤3.2.1彩虹学校校园网用户分布情况3.2VLAN技术在彩虹学校校园网中的应用K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线彩虹学校校园网用户分布很散乱，没有一个二级交换机连着同一类用户，少的两三种，多的五六种用户。2022/12/1163.2.1彩虹学校校园网用户分布情况3.2VLAN技术在彩3.2.2校园网用户分析3.2VLAN技术在彩虹学校校园网中的应用小学办公室小学教室小学机房初中机房初中办公室初中教室高中机房高中办公室高中教室领导办公室备课室职能办公室服务器注：1.“A

B”表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2022/12/1173.2.2校园网用户分析3.2VLAN技术在彩虹学校校3.2.3VLAN划分方式的选择

3.2VLAN技术在彩虹学校校园网中的应用480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN划分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN划分；510T只支持基于策略的VLAN划分。校园网的桌面级交换机1024、1016、3008级连在二级交换机的一个端口上，它们不支持VLAN划分。2022/12/1183.2.3VLAN划分方式的选择3.2VLAN技术在彩虹3.2.3VLAN划分方式的选择

3.2VLAN技术在彩虹学校校园网中的应用Win2000以上的操作系统可以轻易修改内存中的MAC地址；在共享媒介中实施基于MAC地址的VLAN使网络性能明显下降；初始化时的巨大工作量，基于MAC地址的VLAN划分方式不可选。

460T基于端口划分的VLAN不支持跨交换机。从校园网用户分布情况可以看出，几乎所有的VLAN都跨交换机，基于端口的VLAN划分不不可选。所以我们选择基于802.1Qtag的VLAN划分方式对校园网进行VALN划分，510T不划分VLAN，它的问题后面再来解决。2022/12/1193.2.3VLAN划分方式的选择3.2VLAN技术在彩虹3.2.4VLAN具体的划分

3.2VLAN技术在彩虹学校校园网中的应用VLANNAMEVLANIDIPADDRESGATEWAY教师办公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1领导办公室VLAN66192.168.6.X192.168.6.1服务器VLAN77192.168.7.X192.168.7.1中学机房VLAN33192.168.3.X192.168.3.1小学机房VALN55192.168.5.X192.168.5.1网络设备DEFAULT1192.168.1.X192.168.1.12022/12/1203.2.4VLAN具体的划分3.2VLAN技术在彩虹学3.2.5校园网各VLAN间的互访关系3.2VLAN技术在彩虹学校校园网中的应用小学机房VLAN5教室VLAN2中学机房VLAN3领导办公室VLAN6教师办公室VLAN8服务器VLAN7注：1.“AB”表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2022/12/1213.2.5校园网各VLAN间的互访关系3.2VLAN技术3.2.5彩虹学校校园网各VLAN间的通信3.2VLAN技术在彩虹学校校园网中的应用三种方式：通过外部路由器实现、通过具有路由功能的交换机实现、通过建立通信连接来实现。通过购买协议钥匙来开启完全三层路由功能行不通，而基本三层的路由功能很有限，开启路由功能所有VLAN全通，关闭则全不通。先开启基本三层路由功能使所有VLAN之间互通，再利用建立访问列表禁止部分VLAN间的通信。2022/12/1223.2.5彩虹学校校园网各VLAN间的通信3.2VLAN（1）Netscreen50防火墙的选购

（2）

防火墙的配置

（3）

用“天网”个人防火墙保障关键主机的安全

3.3

彩虹学校校园网防毒反黑体系的建立

3.3.1防火墙技术的应用2022/12/123（1）Netscreen50防火墙的选购3.3彩虹学校校（4）VPN技术的应用集团办公服务器192.168.0.88219.145.Y.Y219.145.X.X互联网校园网服务器VLAN192.168.7.3~10网管ADSL校园网领导VLAN192.168.6.101~115(图七)网管、学校和集团之间虚拟专用网(VPN)2022/12/124（4）VPN技术的应用集团办公服务器219.145.Y.Y安装时应采取的安全措施帐户的安全设置密码的安全设置共享的安全设置

端口和服务的安全设置开启安全审核策略创建紧急修复盘协议的安全设置

漏洞扫描3.3

彩虹学校校园网防毒反黑体系的建立

3.3.2校园网服务器的安全设置2022/12/125安装时应采取的安全措施3.3彩虹学校校园网防毒反黑体系的建选购安装瑞星网络版杀毒软件除安装有硬盘还原卡、全盘保护的教室终端和学生机房外，校园网内所有的终端都必须安装杀毒软件及时升级杀毒服务器上的病毒库每周一次全网查杀为系统打补丁，截断病毒传播的途径禁止私自安装其它杀毒软件3.3

彩虹学校校园网防毒反黑体系的建立

3.3.3预防查杀计算机病毒2022/12/126选购安装瑞星网络版杀毒软件3.3彩虹学校校园网防毒反黑体系在校园网比较重要的服务器网段VLAN7中放置基于网络的入侵检测产品S100。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合，则入侵检测系统就会发出警报或者直接切断网络的连接。在重要的主机（财务室电脑、教务室电脑等）上安装基于主机的入侵检测系统S120，对该主机的网络实时连接以及系统审计日志进行分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。在校园网中同时采用基于网络和基于主机的入侵检测系统，它们优势互补，构架成一套完整立体的主动防御体系。3.3

彩虹学校校园网防毒反黑体系的建立

3.3.4构架立体的主动防御体系2022/12/127在校园网比较重要的服务器网段VLAN7中放置基于网络的入侵检

校园网服务器选用热插拔硬盘、RAID5格式；在服务器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-50000￥)，将常用数据存储在服务器硬盘，不常用的数据存储在这台PC的硬盘中；利用Win2000Sserver自带的备份工具对服务器中的有效数据定期备份，放在备份PC的硬盘上；对教务室和财务室的电脑也要求定期备份；将学校需要保存的数据、图像、资料每个学期末进行一次分类、编号、整理、压缩，然后刻成光盘存档。3.4提高校园网安全性的其它措施

3.4.1数据备份2022/12/1283.4提高校园网安全性的其它措施

3.4.1一是加强对师生的信息道德培养和法制教育，使他们不会主动上网浏览、下载、传播这类信息；二是利用技术手段对校园网内的信息进行监测，过滤含有黄色、暴力、邪教内容的信息。要两手抓，两手都要硬。选用由公安部监制的信息过滤软件“蓝眼睛智能信息过滤系统”,从而达到净化校园网网络信息的目的；当非法网址被访问或者系统监测到的应该被过滤的信息在流通时，除了中断信息交流外，还会将相关信息记录，以明确责任。使用网络版对教师、教室、领导和备课室的电脑上传输的信息进行过滤，选用代理服务器版对学生机房的电脑进行信息过滤。3.4提高校园网安全性的其它措施

3.4.2不良信息过滤2022/12/129一是加强对师生的信息道德培养和法制教育，使他们不会主动上网浏在防火墙内口上捆绑IP和MAC地址在核心交换机480T上捆绑IP和MAC地址在学生机房的代理服务器上捆绑MAC和IP地址在二级交换机460T和510T上捆绑端口和MAC地址3.4提高校园网安全性的其它措施

3.4.3多层次地址绑定2022/12/130在防火墙内口上捆绑IP和MAC地址3.4提高校园网安全性

校园网络安全体系的建立不仅需要先进的网络安全技术，更需要严格的校园网管理制度和校园网安全意识。对师生进行相关法律、法规教育，培养他们的防毒反黑意识，制定彩虹学校校园网安全管理制度。

网络安全体系=相关法律法规+防毒反黑意识+管理制度+网络安全技术3.4提高校园网安全性的其它措施3.4.4非技术措施2022/12/131校园网络安全体系的建立不仅需要先进的网络安全1．研究了彩虹学校校园网络安全现状，分析了引起这些安全问题的因素，并针对性的提出彩虹学校校园网安全体系建设方案。2．对比分析了几种VLAN划分方式的优缺点，选择基于802.1QTAG的划分方式对彩虹学校校园网进行VLAN划分。3．完成了防火墙、杀毒防毒、信息过滤、入侵检测等软硬件的选型、安装、调试。4．提出了“多层次绑定”防止IP盗用的方法，并在彩虹学校实施证明有效。5．通过个人防火墙、入侵检测、系统安全设置等方式加强了校园网内服务器等重要单机的安全性。四、课题研究的总结2022/12/1321．研究了彩虹学校校园网络安全现状，分析了引起这些安全问题的致谢衷心感谢我的导师曹菡教授和裘国永老师，在论文的选题、调研、撰写的整个过程中，给了我严格的指导和热情的鼓励，倾注了大量的心血。感谢彩虹集团计算机中心、明智网安有限责任公司及彩虹学校电教中心的大力配合。感谢我的家人两年来给予我的理解和支持。

2022/12/133致谢2022/11/3033感谢您的聆听请多提宝贵意见2022/12/134感谢您的聆听请多提宝贵意见2022/11/3034彩虹学校校园网网络安全体系

研究与实施教育硕士：魏荡指导教师：曹菡陕西师范大学计算机科学学院2022/12/135彩虹学校校园网网络安全体系

研究与实施教育硕士：魏荡指导教师主要内容一、课题研究的背景和现状二、课题研究的目的和意义三、课题研究的主要内容四、课题研究的总结2022/12/136主要内容一、课题研究的背景和现状2022/11/302一、课题研究的背景和现状1.1Internet在国内外的发展及日益严重的网络安全问题

1.2彩虹学校校园网的建设历程及现状

1.3国内外进行网络安全研究的现状2022/12/137一、课题研究的背景和现状1.1InterInternet在国内外的发展及现状

1969年阿帕网诞生，1993年Internet向公众开放，用户数量呈指数增长，平均半年翻一番。

1994年Internet进入我国，截止2004年底，我国的国际出口75G、上网用户数9400万、上网计算机4160万。1.1Internet在国内外的发展及日益严重的网络安全问题

2022/12/1381.1Internet在国内外的发展及日年份事件报道数目19886198913219902521991406199277319931334199423401995241219962573199721341998373419999859200021756200152658近年来网络被攻击的统计表日益严重的网络安全问题2022/12/139年份事件报道数目1988619891321990252199美国国家安全协会统计报道：98%的企业都曾遇过病毒感染问题，63%的企业都曾因感染病毒失去资料，80%的Web服务器受到过黑客攻击。

日益严重的网络安全问题2022/12/140美国国家安全协会统计报道：98%的企业都曾遇过病毒感染问题1.2彩虹学校校园网的建设历程及现状东南校园网络主干布线图中学小学2022/12/1411.2彩虹学校校园网的建设历程及现状东南校园网络主干布线1.2彩虹学校校园网的建设历程及现状K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线网络拓扑图2022/12/1421.2彩虹学校校园网的建设历程及现状K12服务器课件服务彩虹学校近几年添购了大量的计算机设备，使校园网内计算机数量增至400余台，并且实现了Internet接入。安全现状广播风暴严重影响了网络的性能，消耗了大量网络带宽。没有和Internet有效隔离，校园网上的各种资料，都受到来自Internet直接威胁。

IP盗用和IP冲突不断病毒的传播和泛滥服务器的安全性差黄色、暴力、邪教等不良信息在校园网内时有发现1.2彩虹学校校园网的建设历程及现状2022/12/143彩虹学校近几年添购了大量的计算机设备，使校园网内计算机数量增虚拟局域网技术防火墙技术计算机病毒的预防查杀技术数据备份技术不良信息过滤技术入侵检测技术IP地址绑定技术1.3国内外进行网络安全研究的现状

2022/12/144虚拟局域网技术1.3国内外进行网络安全研究的现状202二、课题研究的目的和意义目的：本课题针对彩虹学校校园网存在的网络安全问题进行研究，分析其中的不安全因素，结合国内外对于网络安全研究的现状，提出彩虹学校校园网的网络安全体系建设方案，充分利用现有设备，采取各种网络安全技术，最大限度的合理实现彩虹学校校园网的网络安全。意义：本课题的研究有助于解决彩虹学校校园网的网络安全问题，使其真正成为彩虹学校进行教育、教学、管理、科研以及与兄弟院校沟通交流的重要平台。同时，本课题的研究也会对同样受到网络安全问题困扰的兄弟学校有一定的借鉴意义。2022/12/145二、课题研究的目的和意义目的：本课题针对彩虹学校校园网存在的三、课题研究的主要内容

彩虹学校校园网的安全设计VLAN技术在彩虹学校校园网中的应用彩虹学校校园网防毒反黑体系的建立提高网络安全性的其它措施2022/12/146三、课题研究的主要内容

彩虹学校校园网的安全设计2022/1全局（Internet和Intranet）

教育行业（校园网络）

彩虹学校校园网

3.1彩虹学校校园网络的安全设计3.1.1彩虹学校校园网不安全因素的分析2022/12/1473.1彩虹学校校园网络的安全设计2022/11/30133.1彩虹学校校园网络的安全设计3.1.2彩虹学校校园网的安全设计方案(1)为主控室、二级交换机机柜安装防盗报警设备、不间断电源、防雷击及通风降温设备。(2)对校园网络原有布线进行测试，在二级交换机处形成教室（或办公室）、网线和交换机端口的一一对应关系，并输入电脑进行动态管理。(3)划分VLAN，减小广播域，降低广播风暴的影响，减小网络监听的可能，为不同安全要求的VLAN提供访问控制，将不同业务性质的子网隔离开。(4)采用静态IP，进行IP地址、MAC地址、交换机端口的多层次绑定，防止IP盗用、IP冲突。(5)购买一套网络杀毒软件。(6)购买一台防火墙，有效隔离内外网，并为上网计算机提供地址转换服务。2022/12/1483.1彩虹学校校园网络的安全设计(1)为主控室、二级交3.1彩虹学校校园网络的安全设计3.1.2安全性设计方案(7)购买一套信息过滤软件，在技术上避免师生有意无意地浏览含有黄色、暴力、邪教内容的信息。(8)对校园网中的重点主机进行安全设置，去掉不必要的访问，并在所需要的网络访问周围建立访问控制，避免非法入侵。(9)及时修补系统软件和应用软件的漏洞，阻断病毒传播和黑客攻击的途径，及时升级杀毒软件。(10)制定严格的口令制度，规定长度、复杂度及生存期。(11)制定完善的校园网络使用管理制度，明确校园网中各种使用者及管理者的权利和责任，以及违规后的惩罚措施。2022/12/1493.1彩虹学校校园网络的安全设计(7)购买一套信息过滤3.2.1彩虹学校校园网用户分布情况3.2VLAN技术在彩虹学校校园网中的应用K12服务器课件服务器VOD服务器480T两台510T堆叠一台460T一台1024一台1024一台1016一台460T一台1024一台460T一台3008注：“”为千兆双绞线，“”为千兆光缆，“”为百兆双绞线彩虹学校校园网用户分布很散乱，没有一个二级交换机连着同一类用户，少的两三种，多的五六种用户。2022/12/1503.2.1彩虹学校校园网用户分布情况3.2VLAN技术在彩3.2.2校园网用户分析3.2VLAN技术在彩虹学校校园网中的应用小学办公室小学教室小学机房初中机房初中办公室初中教室高中机房高中办公室高中教室领导办公室备课室职能办公室服务器注：1.“A

B”表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2022/12/1513.2.2校园网用户分析3.2VLAN技术在彩虹学校校3.2.3VLAN划分方式的选择

3.2VLAN技术在彩虹学校校园网中的应用480T支持基于Port、基于802.1Qtag、基于Ethernetprotocoltype、基于MACaddress的VLAN划分，也支持MixingPort-BasedandTaggedVLAN；460T支持基于Port、基于802.1Qtag、基于MACaddress的VLAN划分；510T只支持基于策略的VLAN划分。校园网的桌面级交换机1024、1016、3008级连在二级交换机的一个端口上，它们不支持VLAN划分。2022/12/1523.2.3VLAN划分方式的选择3.2VLAN技术在彩虹3.2.3VLAN划分方式的选择

3.2VLAN技术在彩虹学校校园网中的应用Win2000以上的操作系统可以轻易修改内存中的MAC地址；在共享媒介中实施基于MAC地址的VLAN使网络性能明显下降；初始化时的巨大工作量，基于MAC地址的VLAN划分方式不可选。

460T基于端口划分的VLAN不支持跨交换机。从校园网用户分布情况可以看出，几乎所有的VLAN都跨交换机，基于端口的VLAN划分不不可选。所以我们选择基于802.1Qtag的VLAN划分方式对校园网进行VALN划分，510T不划分VLAN，它的问题后面再来解决。2022/12/1533.2.3VLAN划分方式的选择3.2VLAN技术在彩虹3.2.4VLAN具体的划分

3.2VLAN技术在彩虹学校校园网中的应用VLANNAMEVLANIDIPADDRESGATEWAY教师办公室VLAN88192.168.8.X192.168.8.1教室VLAN22192.168.2.X192.168.2.1领导办公室VLAN66192.168.6.X192.168.6.1服务器VLAN77192.168.7.X192.168.7.1中学机房VLAN33192.168.3.X192.168.3.1小学机房VALN55192.168.5.X192.168.5.1网络设备DEFAULT1192.168.1.X192.168.1.12022/12/1543.2.4VLAN具体的划分3.2VLAN技术在彩虹学3.2.5校园网各VLAN间的互访关系3.2VLAN技术在彩虹学校校园网中的应用小学机房VLAN5教室VLAN2中学机房VLAN3领导办公室VLAN6教师办公室VLAN8服务器VLAN7注：1.“AB”表示用户A可单向访问用户B2.除过教室外，其余用户都可上网图五：彩虹学校校园网用户访问需求2022/12/1553.2.5校园网各VLAN间的互访关系3.2VLAN技术3.2.5彩虹学校校园网各VLAN间的通信3.2VLAN技术在彩虹学校校园网中的应用三种方式：通过外部路由器实现、通过具有路由功能的交换机实现、通过建立通信连接来实现。通过购买协议钥匙来开启完全三层路由功能行不通，而基本三层的路由功能很有限，开启路由功能所有VLAN全通，关闭则全不通。先开启基本三层路由功能使所有VLAN之间互通，再利用建立访问列表禁止部分VLAN间的通信。2022/12/1563.2.5彩虹学校校园网各VLAN间的通信3.2VLAN（1）Netscreen50防火墙的选购

（2）

防火墙的配置

（3）

用“天网”个人防火墙保障关键主机的安全

3.3

彩虹学校校园网防毒反黑体系的建立

3.3.1防火墙技术的应用2022/12/157（1）Netscreen50防火墙的选购3.3彩虹学校校（4）VPN技术的应用集团办公服务器192.168.0.88219.145.Y.Y219.145.X.X互联网校园网服务器VLAN192.168.7.3~10网管ADSL校园网领导VLAN192.168.6.101~115(图七)网管、学校和集团之间虚拟专用网(VPN)2022/12/158（4）VPN技术的应用集团办公服务器219.145.Y.Y安装时应采取的安全措施帐户的安全设置密码的安全设置共享的安全设置

端口和服务的安全设置开启安全审核策略创建紧急修复盘协议的安全设置

漏洞扫描3.3

彩虹学校校园网防毒反黑体系的建立

3.3.2校园网服务器的安全设置2022/12/159安装时应采取的安全措施3.3彩虹学校校园网防毒反黑体系的建选购安装瑞星网络版杀毒软件除安装有硬盘还原卡、全盘保护的教室终端和学生机房外，校园网内所有的终端都必须安装杀毒软件及时升级杀毒服务器上的病毒库每周一次全网查杀为系统打补丁，截断病毒传播的途径禁止私自安装其它杀毒软件3.3

彩虹学校校园网防毒反黑体系的建立

3.3.3预防查杀计算机病毒2022/12/160选购安装瑞星网络版杀毒软件3.3彩虹学校校园网防毒反黑体系在校园网比较重要的服务器网段VLAN7中放置基于网络的入侵检测产品S100。不停地监视网段中的各种数据包。对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合，则入侵检测系统就会发出警报或者直接切断网络的连接。在重要的主机（财务室电脑、教务室电脑等）上安装基于主机的入侵检测系统S120，对该主机的网络实时连接以及系统审计日志进行分析和判断，如果其中主体活动十分可疑，入侵检测系统就会采取相应措施。在校园网中同时采用基于网络和基于主机的入侵检测系统，它们优势互补，构架成一套完整立体的主动防御体系。3.3

彩虹学校校园网防毒反黑体系的建立

3.3.4构架立体的主动防御体系2022/12/161在校园网比较重要的服务器网段VLAN7中放置基于网络的入侵检

校园网服务器选用热插拔硬盘、RAID5格式；在服务器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-5000