計算機專業(yè)畢業(yè)設計（論文）-XX校園局域網組成計劃及網絡安全部署1.

1、XXX學院計算機系畢業(yè)論文題目 ：XX公司局域網組成方案及網絡平安部署 姓 名： 學 號： 專 業(yè)： 班 級： 指導教師： 提交日期： 前言當今世界，各種先進的科學技術飛速開展，給人們的生活帶來了深遠的影響，它極大的改善我們的生活方式。在以計算機技術為代表的信息科技的開展更是日新月異，從各個方面影響和改變著我們的生活，而其中的計算機網絡技術的開展更為迅速，已經滲透到了我們生活的各個方面，人們已經離不開計算機網絡，并且隨著因特網的迅速普及，給我們的學習與生活條件帶來更大的方便，我們與外部世界的聯(lián)系將更加的緊密和快速。隨著人們對于信息資源共享以及信息交流的迫切需求，促使網絡技術的產生和快速開展，計

2、算機網絡的產生和使用為人類信息文明的開展帶來了革命性的變化。自1995年中國教育教研網CERNET建成后，校園網的建設已經進入到一個蓬勃開展的階段。校園網的建成和使用，對于提高教學和科研的質量、改善教學和科研條件、加快學校的信息化進程，開展多媒體教學與研究以及使教學多出人才、科研多出成果有著十分重要而深遠的意義。其主要包括各種局域網的技術思想、網絡設計方案、網絡拓撲結構、布線系統(tǒng)、Intranet/Internet的應用、網絡平安，網絡系統(tǒng)的維護等內容。1. 計算機網絡計算機網絡是指通過傳輸媒休連接的多部計算機組成的系統(tǒng)，使登錄其上的所有用戶能夠共享軟硬件資源。計算機網絡如按網絡的組建規(guī)模和延

3、伸范圍來劃分的話，可分為局域網(Local Area Network,LAN)、城域網(Metropolitan Area Network,MAN)、廣域網(Wide Area Network,WAN)。我們經常用到的因特網(Internet)屬于廣域網，校園網屬局域網。未來的網絡技術將向著使用簡單、高速快捷、多網合一、平安保密方向開展。 校園網的建設思路校園網的建設是一項非常復雜的系統(tǒng)工程，校園作為一個特殊的網絡應用環(huán)境，它的建設與使用都有其自身的特點。在選擇局域網的網絡技術時要表達開放式、分布式、平安可靠，維護簡單的原那么。校園網的建設主要應用局域網技術以及多媒體技術為主的各種網絡應用技術

4、。局域網技術是一項在20世紀70年代開展起來的計算機互聯(lián)技術，經過多年的開展，技術已經成熟，并得到了廣泛的應用，局域網技術成為網絡技術的重要組成局部。計算機多媒體技術是伴隨著多媒體信息的應用而得到迅速的計算機應用技術，在網絡環(huán)境下，多媒體得到了更快更好的應用，使我們得到了更好更多的信息。校園網是使用了局域網技術以及各種多媒體應用技術，并結合Internet應用等其它的技術來建設。使得校園網能滿足現(xiàn)代教學對信息處理的要求，使計算機的應用能對教學管理現(xiàn)代化起重要的促進作用，能實現(xiàn)信息查尋、教務管理，并與外部網絡系統(tǒng)進行交流等多種需要。 校園網的建設原那么校園網建設是一項綜合性非常強的系統(tǒng)工程，它包

5、括了網絡系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應用以及人員培訓等諸多方面。因此在校園網的建設工作中必須處理好實用與開展、建設與管理、使用與培訓等關系，從而使校園網的建設工作健康穩(wěn)定地開展。首先，校園網的建設是一個為學校教育教學活動長期效勞的工作，因此在校園網的規(guī)劃建設過程中，必須從學校長遠開展規(guī)劃出發(fā)，以效勞于教育為根本點，結合學校當前教育教學的實際需要，做出科學的規(guī)劃部署。在校園網的規(guī)劃建設中，一般學校應遵循“統(tǒng)一規(guī)劃、整體設計、分步實施的原那么。其次在校園網的建設中必須堅持硬件建設與組織管理協(xié)調開展的原那么，在重視硬件建設的同時，加強網絡的組織管理水平，不斷開發(fā)網絡的功能，從而充分

6、發(fā)揮校園網絡的成效，提高校園網對學校教育的效勞水平。 局域網簡介局域網是同一建筑、同一校園、方圓幾公里遠的地域內的專用網絡。局域網通常用來連接公司辦公室或企業(yè)內部的個人計算機和工作站，以共享軟、硬件資源。美國電氣和電子工程師協(xié)會IEEE局域網標準委員會員會曾提出局域網的一些具體特征：局域網在通信距離有一定的限制，一般在12Km的地域范圍內。比方在一個辦公樓內、一個學校等。較高傳輸率的物理通信信道也是局域網的一個主要特征，在廣域網中用 線連接的計算機一般也只有2040Kpbs的速率。因為連接線路都比擬短，中間幾乎不會愛任何干擾，所以局域網還具有始終一致的低誤碼率。局域網一般是一個單位或部門專用的

7、，所以管理起很方便。另外局域網的拓撲結構比擬簡單，所支持連接的計算機數(shù)量也是有限的。組網時也就相對很容易連接。網絡的體系結構網絡通常按層或級的方式來組織，每一層都建立在它的下層之上。不同的網絡，層的名字、數(shù)量、內容和功能都不盡相同。但是每一層的目的都是向它的上一層提供效勞，這一點是相同的。層和協(xié)議的集合被稱為網絡體系結構。作為具體的網絡體系結構，當前重要的和使用廣泛的網絡體結構有OSI體系結構和TCP/IP體系結構。OSI是開放系統(tǒng)互連根本參考模型OSI/RMOpen System Interconnection Reference Model縮寫，它被分成7層，這7個層次分別定義了不同的功能

8、。幾乎所有的網絡都是基于這種體系結構的模型進行改良并定義的，這些層次從上到下分別是應用層、表示層、會話層、運輸層、網絡層，數(shù)據(jù)鏈路層和物理層，其中物理層是位于體系結構的最低層，它定義了OSI網絡中的物理特性和電氣特性。TCP/IPTransmission Control Protocol/Internet Protocol,傳輸控制協(xié)議和互連網協(xié)議縮寫，TCP/IP體系結構是當前應用于Internet網絡中的體系結構，它是由OSI結構演變來的，它沒有表示層，只有應用層、運輸層，網際層和網絡接口層。網絡協(xié)議網絡協(xié)議是通信雙方共同遵守的約定和標準，網絡設備必須安裝或設置各種網絡協(xié)議之后才能完成數(shù)據(jù)

9、的傳輸和發(fā)送，在校園局域網上用到的協(xié)議主要有，ICP/IP協(xié)議、IPX/SPX協(xié)議等。(1) TCP/IP協(xié)議TCP/IP協(xié)議是目前在網絡中應用得最廣泛的協(xié)議，ICP/IP實際上是一個關于Internet的標準，并隨著的Internet廣泛應用而風行全球，它也成為局域網的首選協(xié)議。TCP/IP是一種分層協(xié)議，它共被分為個4層次，大約包含近期100個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實現(xiàn)計算機系統(tǒng)之間的互連。TCP/IP協(xié)議中的核心協(xié)議有TCP傳輸控制協(xié)議、UDP用戶數(shù)據(jù)報協(xié)議和IP因特網協(xié)議TCP協(xié)議可以在網絡用戶啟動的軟件應用進程之間建立通信會話，并實現(xiàn)數(shù)據(jù)流量控制和錯誤檢測，這樣就

10、可以在不可靠的網絡上提供可靠的端到端數(shù)據(jù)傳輸。UDP協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和過失檢查，只僅僅依賴于校驗來保證可靠性。UDP不進行流量控制，沒有序列或者確認，因此它處理和傳輸數(shù)據(jù)的速度快，還被用來傳輸關鍵的網絡狀態(tài)消息。IP協(xié)議的根本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。通過IP編址約定，可以成功地將數(shù)據(jù)通過路由傳輸?shù)秸_的網絡或者子網。每個網絡站點具有一個32位的IP地址，它和48位MAC地址一起協(xié)作，完成網絡通信，IP協(xié)議也是一種無連接的協(xié)議。2超文本傳輸協(xié)議( ) (HyperText Transfer Protocol ),

11、超文本傳輸協(xié)議)是WWW瀏覽器和WWW效勞器之間的應用層協(xié)議，是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向對象的協(xié)議， 協(xié)議還是基于TCP/IP協(xié)議之上的應用層協(xié)。3文件傳輸協(xié)議(FTP)FTP(File Transfer Protocol ,文件傳輸協(xié)議)是由支持Internet文件傳輸?shù)母鞣N規(guī)那么所組成的集合。這些規(guī)那么能使網絡用戶把文件從一個主機拷貝到另一個主機上，F(xiàn)TP是采客戶/效勞器方式效勞的。4遠程登錄協(xié)議Telnet遠程登錄協(xié)議的目的是提供一個全面的、雙向的、面向8個比特字節(jié)的通信工具，其主要目標是提供終端設備與面向進程接口的標準方法，Telnet是應用層的協(xié)議，采用客戶/效勞

12、器模式工作的，Telnet不僅允許用戶登錄到遠端主機上，還允許用執(zhí)行遠端主機的命令，這樣用戶就能以極小的網絡資源代價完成大型的網絡應用。2. 常用網絡設備網絡設備主要是指硬件系統(tǒng)，各種網絡設備之間是有著相互關聯(lián)而不是相互獨立的，每一局部在網絡中有著不同的作用，缺一不可，只有把這些設備通過一定的形式連起來才能組成一個完整的網絡系統(tǒng)，網絡設備主要包括網卡、集線器、交換機、路由器、傳輸介質等。 網卡網卡簡稱NIC，也網絡適配卡或網絡接口卡，網卡作為計算機與網絡連接的接口，是不可缺少的網絡設備之一。無論是雙絞線網絡、同軸電纜網絡還是光纜網絡，都必須借助于相應類型的網卡才能實現(xiàn)與計算機的連接，是計算機與

13、局域網相互連接的惟一接口。每塊網卡上都有一個世界惟一的ID號，也就是MACMedia Access Control地址，計算機在連入網絡之后，就是依靠這個ID號才能實現(xiàn)在不同計算機之間的通信和信息交換。網卡有很多種，不同類型的網絡需要使用不同種類的網卡，不同速度的網絡需求也要使用不同的網卡。如根據(jù)帶寬來分的話，有10Mbit/s網卡、10/100Mit/s自適應網卡和1000Mbit/s網卡；如按總線分，有ISA總線、PCI總線、PCMCIA總線網卡等。從目前校園網建設的實際情況來看，工作站網卡選擇PCI總線的10M/100Mbit/s自適應網卡最適合。 交換機交換機，也稱交換式集線器，是專門

14、設計的，使各計算機能夠相互高速通信的獨享帶寬的網絡設備。作為高性能的集線設備，隨著價格的不斷降低，交換機已逐步取代了集線器而成為集線設備的首選。由交換機構建的交換式網絡系統(tǒng)不僅擁有高速的傳輸速率，而且交換延時很小，使得信息的傳輸效率大大提高，適合于大數(shù)據(jù)量并且使用非常頻繁的網絡通信，被廣泛應用于各種類型的多媒體和數(shù)據(jù)傳輸網絡。交換機具有很強的網絡管理功能，它能自動根據(jù)網絡通信的使用情況來動態(tài)管理網絡，因為交換機采用了獨享網絡帶寬的設計。 路由器路由器除了有連接不同的網絡物理分支和不同的通信媒介、過濾和隔離網絡數(shù)據(jù)流及建立路由表，還有控制和管理復雜的路徑、控制流量、分組分段、防止網絡風暴及在網絡

15、分支之間提供平安屏障層等到功能。根據(jù)路由設備的組成可以分為軟路由和硬路由。根據(jù)路由表的設置方式可以將路由器分為靜態(tài)的和動態(tài)的。路由器工作在網絡層，因此它可以在網絡層交換和路由數(shù)據(jù)幀，訪問的是對方的網絡地址。當數(shù)據(jù)幀到達路由器后，路由器查看數(shù)據(jù)幀的目標地址，并在路由表查看到達目標地址的路徑，根據(jù)路徑的代價，選擇一條最正確的路徑，然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標地址。 傳輸介質網絡要求把各個獨立的計算機連接起來的，這樣就必然要求有一種介質將計算機連接起來，這就是傳輸介質，局域網的傳輸介質可分為有線介質和無線介質兩種，一般情況下都是用有線介質的，因為它的穩(wěn)定性高，連接可靠，無線介質只是在特殊環(huán)境下才

16、使用的傳輸方式。常用的有線介質主要有以下幾類。(1) 同軸電纜同軸電纜以硬銅線為芯，外包一層絕緣材料。這層絕緣材料用密織的網狀導體環(huán)繞，網外又覆蓋一層保護性材料。同軸電纜有許多種不同的規(guī)格，最常用是細同軸電纜和粗同軸電纜。細同軸電纜主要用于建筑物內的網絡連接，而粗同軸電纜那么常用于建筑物間相連。它們的區(qū)別在于粗同軸電纜屏蔽更好，能傳輸更遠的距離。同軸電纜是由中心導體、絕緣材料層、網狀織物構成的屏蔽層以及外部隔離材料層組成，其結構如圖1所示。(2) 雙絞線雙絞線是綜合布線工程中最常用的一種傳輸介質。雙絞線由兩根具有絕緣保護層的銅導線組成。把兩根絕緣的銅導線按一定密度互相絞在一起，可降低信號干擾的

17、程度，每一根導線在傳輸中輻射的電波會被另一根線上發(fā)出的電波抵消，與其他傳輸介質相比，雙絞線在傳輸距離、信道寬度和數(shù)據(jù)傳輸速度等方面均受到一定限制，但價格較為低廉。目前，雙絞線可分為非屏蔽雙絞線和屏蔽雙絞線。 雙絞線的結構如圖2如示：雙絞線就是用RJ-45的小晶頭加網線連接網卡與其它通迅設備的線覽。所謂的交叉法就是：在雙絞線接入RJ-45接頭時的跳線順序，一端有EIA/TIA 568A標準，一端用EIA/TIA 568B標準下面分別對兩個標準再詳細說一下：A標準：綠白-綠， 橙白-藍，藍白-橙，棕白-棕B標準：橙白-橙，綠白-藍，藍白-綠，棕白-棕。(3) 光纖光纖是一種直接為50100um的柔

18、軟的、能傳導光波的介質，一般由玻璃制造。光纖分為：傳輸點模數(shù)類分單模光纖(Single Mode Fiber)和多模光纖(Multi Mode Fiber)。單模光纖的纖芯直徑很小，在給定的工作波長上只能以單一模式傳輸，傳輸頻帶寬，傳輸容量大。多模光纖是在給定的工作波長上，能以多個模式同時傳輸?shù)墓饫w，與單模光纖相比，多模光纖的傳輸性能較差。光纖通信系統(tǒng)的根本構成如圖3所示：3. 效勞器校園網中的效勞器主有數(shù)據(jù)庫效勞器和代理效勞器，數(shù)據(jù)效勞器與代理效勞器主要是面向校園網內部用戶的效勞，對來自Internet的用戶效勞也很多，主要是對校園網內部用戶進行Internet代理效勞。目前，絕大多數(shù)校園網

19、都要求內部效勞用戶通過代理訪問Internet，這樣內部用戶就不能直接訪問Internet，同時代理效勞器保存著內部用戶訪問Internet的日志，以作為記費的依據(jù)。由于用戶數(shù)量非常大，也非常集口中，所以在選型代理效勞器時，主要考慮的是要有較大的容量、較高的處理速度和較高的穩(wěn)定性，一般來說都選用大型效勞器作為代理效勞器。 設備選型效勞器端。選擇微軟的效勞器端集成軟件包括了WindowsNT.IIS.FrontPage.SQL Server.Exchange server.Systems Management Server。Proxy Server以及一個統(tǒng)的客戶/效勞器軟件安裝程序。其中,WI

20、NDOW XP作為網絡的根底,提供文件和打印機共享，通信Internet連接和應用程序效勞：:IIS提供WWW和FTP效勞;FrontPage提供網頁制作工具和Web管理;Index server提供Email時間規(guī)劃和集成的群件性能；SNA Server提供主機數(shù)據(jù)和應用的連接能力；Systems Management集中地管理這個分布式的環(huán)境;Proxy Server提供防火墻功能，有效地將校園網與公共Internet別離，并有效地提供客戶訪問Internet的通路。(2) 客戶端 選用以上，它提供了組用戶訪問Web，所有本地文件和校園網絡上所有文件的集成方法。3.2 DNS效勞器DNS是

21、域名 HYPERLINK :/ qqread /tag/2102/index.html t _blank 系統(tǒng) (Domain Name System)的縮寫，是一種組織成域層次結構的計算機和網絡效勞命名系統(tǒng)。DNS 命名用于 HYPERLINK :/ qqread /z/tcp_ip/index.html t _blank TCP/IP網絡，如 HYPERLINK :/ qqread /tag/2624/index.html t _blank Internet，用來通過用戶友好的名稱定位計算機和效勞。當用戶在應用程序中輸入DNS 名稱時，DNS效勞可以將此名稱 HYPERLINK :/ qq

22、read /tag/3374/index.html t _blank 解析為與此名稱相關的其他信息，如IP地址。域名系統(tǒng)為一個分布式數(shù)據(jù)庫,它使本地負責控制整個分布式數(shù)據(jù)庫的局部段,每一段中的數(shù)據(jù)通過客戶，效勞器模式在整個網絡上均可存取，通過采用復制技術和緩存技術使得整個數(shù)據(jù)庫可靠的同時，又擁有良好的性能。域名效勞器包含數(shù)據(jù)庫的局部段的信息，并可提供被稱之為解析器的客戶來訪問。3.3 Web效勞器在Internet時代，外部主頁的發(fā)布已經成為樹立公司形象的一個重要手段，而內部主頁也成為公司管理的主要方式。但是，要想實現(xiàn)這些功能，首先應該把我們的機器配置成為一臺強大的Web Server。IIS

23、InternetInformationServer作為當今流行的Web效勞器之一，提供了強大的Internet和Intranet效勞功能。郵件效勞器EMAIL(電子郵件)效勞是目前INTERNET中應用最廣泛和使用最頻繁的一項效勞，而在局域網INTRANET中也是一項重要的應用。在局域網構建一個內部的EMAIL效勞器，可以大大加快內部公文的快速傳送，而且大大降低了通信費用。4效勞器配置方案4.1 DNS效勞器的設置1、翻開DNS控制臺：選“開始菜單程序管理工具DNS。2、建立域名“映射IP地址“的主機記錄。建立“com區(qū)域：選“DNSWY你的效勞器名正向搜索區(qū)域右鍵新建區(qū)域，然后根據(jù)提示選“標

24、準主要區(qū)域、在“名稱處輸入“com。如下列圖：建立“abc域：選“com右鍵新建域，在“鍵入新域名處輸入“abc。建立“admin主機。選“abc右鍵新建主機，“名稱處為“admin，“IP地址處輸入“IP地址，再按“添加主機。DNS效勞是許多效勞的根底，所以配置一臺Linux Server應該從DNS開始，并要從一開始就對你的效勞器配置成什么樣子有一個整體的把握，這樣才能保證配置之間能夠相互協(xié)調，防止錯誤的發(fā)生。4.2 IIS的安裝在Windows XP中，IIS并不是默認安裝的，而是作為可選的組件，現(xiàn)在我們要建站，就可以選擇安裝他們，方法很簡單，放入XP光盤，然后運行光盤，在運行界面中選擇

25、添加組件，或者翻開控制面板然后翻開添加或者刪除文件，選擇添加Windows組件。在彈出對話框中選擇internet 信息效勞(IIS)。然后點擊確定安裝就可以了。(1)Web網站的架設在控制面板中翻開“管理工具-“internet 信息效勞:大家可能都看到了上圖有個“默認網站選項，你既可以修改默認的Web站點為你的新站點，也可以重新命名一個新的Web站點，方法是在默認網站上點擊鼠標右鍵選擇重命名然后輸入你想要的名字，大家可以自己隨意修改。(2)IIS關于Web HYPERLINK :/product.yesky /catalog/850/ t _blank 效勞器的配置要想網站順利運行還得配置

26、IIS,在命名后的站點上點擊鼠標右鍵選擇屬性如圖：在上圖的主目錄中定義網頁內容的來源，默認如上圖，本地路徑可以根據(jù)你的需要設置，一般從平安性角度上考慮不要設置在系統(tǒng)分區(qū)，可以在另外的分區(qū)重新建立一個路徑。如上圖在網站選項框中可以設置網站的描述，指定的IP地址，連接超時的時間，這些都可以根據(jù)愛好隨意設置，重點說一下日志紀錄，一個好的網管必須養(yǎng)成經常觀察日志的習慣，只有這樣，才能保證計算機網絡的平安性。點擊日志設置的屬性如下列圖：設置日志屬性，一般新建日志時間設置為每小時，下面可以設置日志文件目錄，不建議使用默認路徑。設置“文檔：確?！皢⒂媚J文檔一項已選中，再增加需要的默認文檔名并相應調整搜索順

27、序即可。此項作用是，當在瀏覽器中只輸入域名或IP地址后，系統(tǒng)會自動在“主目錄中按“次序由上到下尋找列表中指定的文件名，如能找到第一個那么調用第一個；否那么再尋找并調用第二個、第三個如果“主目錄中沒有此列表中的任何一個文件名存在，那么顯示找不到文件的出錯信息。如果需要，可再增加虛擬目錄，如下列圖：3)啟動Web站點上述設置后，網站就可以啟動了，在站點上點擊右鍵選擇啟動，然后在瀏覽器里輸入剛剛指向的網址，就可以瀏覽自己制作的網頁了。4 、3郵件效勞器安裝DNS效勞器在WindowsServer2003系統(tǒng)中沒有安裝DNS效勞器。創(chuàng)立區(qū)域配置DNS效勞器向導。創(chuàng)立“區(qū)域名稱向導頁。創(chuàng)立 “動態(tài)更新向

28、導頁。完成配置，結束“xyz 區(qū)域的創(chuàng)立過程和DNS效勞器的安裝配置過程。安裝POP3和SMTP效勞組件、安裝SMTP效勞組件安裝完成。配置DNS翻開DNS，點開正向查找，點擊xyz ,新建主機，如下列圖：寫本機IP地址設置POP3效勞工作端口號，保持默認值110即可見圖3。五、建立郵箱。zhangfan客戶端配置請手動配置你的客戶端：郵件發(fā)送成功學生作品集XXX作品XXX作品XXX作品XXX作品XXX作品舉例：小型網絡規(guī)劃組建局域網時需要進行網絡地址規(guī)劃。我們把這個網絡劃分為3個網絡：第一個網絡信息點為100個信息點需要7個主機位：1126可用，用于需要100個點的網絡0|0000000 給

29、主機位 25 1|0|000000第二個網絡信息點為2個需要兩個主機位129190可用用于需要50個點的網絡給主機位 26第三個網絡信息點為50個需要6個主機位193和194可用，用戶需要2個點的串行鏈路30給主機位1|1|0000|00VLSM：Variable Length Subnet Mask100個信息點2個信息點50個信息點。需要7個主機位只需要2個主機位需要6個主機位解：C類地址 (1) 為2個信息點 2個主機位子網地址：(00000000)主機地址：(00000001)-2 (00111110)播送地址：1

30、3 (2) 為50個信息點 6個主機位子網地址: 4(01000000)主機地址；5 (01000001)-26 (01111110)播送地址：27(3) 為100個信息點 7個主機位子網地址: 92(11000000)主機地址范圍；93(11000001)-54 (11111110)播送地址: 55網絡IP地址“規(guī)劃為私有IP地址區(qū)域的局部是，還有一些特殊的如127局部、169局部

31、、D類E類的224-255局部，主要分為ABC三類，以下是覆蓋范圍：A類：.0 - 55，標誰的子網掩碼是(按子網掩碼的另一種標注方法是/8，就是將子網掩碼換算成二進制后，從左數(shù)起8個1)B類： - 55，標誰的子網掩碼是(按子網掩碼的另一種標注方法是/16，就是將子網掩碼換算成二進制后，從左數(shù)起16個1)C類： - 55，標誰的子網掩碼是(按子網掩碼的另一種標注方法是/24，就是將子網掩碼換算成二進制后，從左數(shù)起2

32、4個1) ，好的網絡圖應包含連接不同網段的各種網絡設備的信息，比方路由器、網橋、網關的位置、IP地址，并用相應的網絡地址標注各網段。IP地址類型第一字節(jié)十進制范圍二進制固定最高位二進制網絡位二進制主機位A類012708位24位B類1281911016位16位C類19222311024位8位D類2242391110組播地址E類2402551111保存試驗使用學校網絡平安及其對策第一章 系統(tǒng)平安系統(tǒng)平安包括主機和效勞器的運行平安，主要措施有反病毒。入侵檢測、審計分析等技術。1 反病毒技術： 計算機病毒是引起計算機故障、破壞計算機數(shù)據(jù)的程序，它能夠傳染其它程序，并進行自我復制，特別是要網絡環(huán)境下，計

33、算機病毒有著不可估量的威脅性和破壞力，因此對計算機病毒的防范是校園網絡平安建設的一個重要環(huán)節(jié)，具體方法是使用防病毒軟件對效勞器中的文件進行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程 HYPERLINK :/ 教育中心配置的金山毒霸進行實時監(jiān)控，效果不錯。2 入侵檢測 ：入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網絡或計算機系統(tǒng)中的假設干關鍵點收集信息并對它們進行分析，從中發(fā)現(xiàn)是否有違反平安策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的平安管理能力，及時對系統(tǒng)進行平安防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統(tǒng)

34、的活動；檢查系統(tǒng)的配置和操作系統(tǒng)的日志；發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等。 從目前來看系統(tǒng)漏洞的存在成為網絡平安的首要問題，發(fā)現(xiàn)并及時修補漏洞是每個網絡管理人員主要任務。當然，從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網絡管理人員所能做的，但是及早地發(fā)現(xiàn)有報告的漏洞，并進行升級補丁卻是我們應該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法，就是經常登錄各有關網絡平安網站，對于我們有使用的軟件和效勞，應該密切關注其程序的最新版本和平安信息，一旦發(fā)現(xiàn)與這些程序有關的平安問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠，以至于過了幾年，還能掃描到機器存在許多漏洞。在校園網中效勞器，為用戶提供著各種的效勞

35、，但是效勞提供的越多，系統(tǒng)就存在更多的漏洞，也就有更多的危險。因此從平安角度考慮，應將不必要的效勞關閉，只向公眾提供了他們所需的根本的效勞。最典型的是，我們在校園網效勞器中對公眾通常只提供WEB效勞功能，而沒有必要向公眾提供FTP功能，這樣，在效勞器的效勞配置中，我們只開放WEB效勞，而將FTP效勞禁止。如果要開放FTP功能，就一定只能向可能信賴的用戶開放，因為通過FTP用戶可以上傳文件內容，如果用戶目錄又給了可執(zhí)行權限，那么，通過運行上傳某些程序，就可能使效勞器受到攻擊。所以，信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網絡不平安的一個因素。3 審計監(jiān)控技術：審計是記錄用戶使用計算機網絡系統(tǒng)進行所

36、有活動的過程，它是提高平安性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對平安事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產生的破壞性行為。 因此，除使用一般的網管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外，還應使用目前已較為成熟的網絡監(jiān)控設備，以便對進出各級局域網的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。第二章 網絡平安四原那么1需求、風險、代價平衡的

37、原那么 對任一網絡，絕對平安難以到達，也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等)，并對網絡面臨的威脅及可能承當?shù)娘L險進行定性與定量相結合的分析，然后制定標準和措施，確定本系統(tǒng)的平安策略。 2 綜合性、整體性原那么 應用系統(tǒng)工程的觀點、方法，分析網絡的平安及具體措施。平安措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高平安產品等)。一個較好的平安措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網絡中的地位和影響

38、作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡平安應遵循整體平安性原那么，根據(jù)規(guī)定的平安策略制定出合理的網絡平安體系結構。 3可用性原那么 平安措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了平安性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 4 分步實施原那么：分級管理，分步實施。 由于網絡系統(tǒng)及其應用擴展范圍廣闊，隨著網絡規(guī)模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡平安問題是不現(xiàn)實的。同時由于實施信息平安措施需相當?shù)馁M用支出。因此分步實施，即可滿足網

39、絡系統(tǒng)及信息平安的根本需求，亦可節(jié)省費用開支。第三章 影響網絡平安的主要因素計算機網絡平安的威脅主要來自外部網絡和內部網絡兩個方面,根據(jù)國內相關學者的研究總結,影響因素主要包括以下幾點:網絡協(xié)議存在漏洞(主要指通信協(xié)議和通信軟件系統(tǒng)不完善,給各種不平安因素的入侵留下了隱患);操作系統(tǒng)本身存在平安漏洞;網絡的開放性和廣域性設計使得數(shù)據(jù)的保密難度較大;無線系統(tǒng)中的電磁泄露(無線通信系統(tǒng)中的數(shù)據(jù)以電磁波的形式在空中進行傳播,存在電磁波泄露,且易被截獲);計算機病毒入侵(大量涌現(xiàn)的病毒在網上傳播極快,給全球范圍的網絡平安帶來了巨大災難);網絡黑客的惡意攻擊;網上犯罪人員對網絡的非法使用及破壞;信息平安

40、防范技術和管理制度的不健全;自然災害以及意外事故的損害等。破壞的方法主要有:利用TCP/IP直接破壞;利用操作系統(tǒng)間接登陸入侵;對用戶計算機中的系統(tǒng)內置文件進行有目的的更改;利用路徑可選實施欺騙;使用竊聽裝置或監(jiān)視工具對所傳播的信息進行非法檢測和監(jiān)聽等,以上是保障計算機網絡平安所時常面臨的威脅性因素,及進行威脅的一般損害方法。對這些威脅性因素和方法的了解有助于我們做好相關網絡平安保障,以便于我們更好地利用網絡效勞于我們的生產、生活與工作。 具體表達在：1信息泄密。主要表現(xiàn)為網絡上的信息被竊聽,這種僅竊聽而不破壞網絡中傳輸信息的網絡侵犯者被稱為消極侵犯者。2信息被篡改。這是純粹的信息破壞,這樣的

41、網絡侵犯被稱為積極侵犯者。積極侵犯者截取網上的信息包,并對之進行更改使之失效,或者成心添加一些有利于自已的信息,起到信息誤導的作用,其破壞作用最大。3傳輸非法信息流。只允許用戶同其它用戶進行特定類型的通信,但禁止其它 類型的通信,如允許 HYPERLINK :/ 電子郵件傳輸而禁止檔傳送。4網絡資源的錯誤使用。如不合理的資源訪問控制,一些資源有可能被偶然或成心 地破壞。5非法使用網絡資源。非法用戶登錄進入系統(tǒng)使用網絡資源,造成資源的消耗,損害了合法用戶的利益。6環(huán)境影響。 HYPERLINK :/ 自然環(huán)境和社會環(huán)境對計算機網絡都會產生極大的不良影響。如惡劣的天氣、災害、事故會對網絡造成損害和

42、影響。7軟件漏洞。軟件漏洞包括以下幾個方面:操作系統(tǒng)、數(shù)據(jù)庫及應用軟 件、TCP/IP協(xié)議、網絡軟件和效勞、密碼設置等的平安漏洞。這些漏洞一旦遭受計算機病毒攻擊,就會帶來災難性的后果。8人為平安因素。除了技術層面上的原因外,人為的因素也構成了目前較為突出的平安因素,無論系統(tǒng)的功能是多么強大或者配備了多少平安設施,如果管理人員不按規(guī)定正確地使用,甚至人為露系統(tǒng)的關鍵信息,那么其造成的平安后果是難以量的。這主要表現(xiàn)在管理措施不完善,平安意識薄,管理人員的誤操作等。第四章 防范網絡平安的做法網絡平安是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的因素或者惡意的攻擊而遭到破壞、更改、泄漏,

43、確保系統(tǒng)能連續(xù)、可靠、正常地運行,網絡效勞不中斷。其中最重要的是指網絡上的信息平安。 現(xiàn)在有很多人認為在網絡中只要使用了一層平安就夠了,事實并不是這樣,一層根本擋不住病毒和黑客的侵襲。接下來我將逐點介紹網絡平安的多點做法。 第一、物理平安。除了要保證要有計算機鎖之外,更多的要注意防火,要將電線和網絡放在比擬隱蔽的地方。我們還要準備UPS,以確保網絡能夠以持續(xù)的電壓運行,在電子學中,峰值電壓是一個非常重要的概念,峰值電壓高的時候可以燒壞電器,迫使網絡癱瘓,峰值電壓最小的時候,網絡根本不能運行。使用UPS可以排除這些意外。另外要做好防老鼠咬壞網線。 第二、進行訪問控制管理。訪問控制是計算機網絡保護

44、的一種常見手段和方法,所謂訪問控制是指授予不同的主體不同的訪問權限。不同主體依據(jù)自身獲得的相關權限進行相關數(shù)據(jù)或信息的處理,從而實現(xiàn)數(shù)據(jù)和相關信息資源的平安。口令是進行訪問控制最簡單最常見的一種形式。只要很好地對相關口令進行保護,非授權用戶就難以越權使用相關信息資源?？诹畹脑O置一般應防止使用簡單易猜的生日、 號碼等數(shù)字,而應應用英文字母、標點符號、漢語拼音、空格等及其組合,以增加口令的復雜性并借此提高口令的平安性,在進行不同的系統(tǒng)登陸時應設置和使用不同的登陸口令,且應對相關口令進行定期更改,以保證口令的平安性。第三、打補丁。要及時的對系統(tǒng)補丁進行更新,大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進來的,例

45、如今年五一風行全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以要及時對系統(tǒng)和應用程序打上最新的補丁,例如IE、OUTLOOK、SQL、OFFICE等應用程序。另外要把那些不需要的效勞關閉,例如TELNET,還有關閉Guset賬號等。第四、安裝防病毒軟件。 病毒掃描就是對機器中的所有檔和郵件內容以及帶有.exe的可執(zhí)行文件進行掃描,掃描的結果包括去除病毒,刪除被感染文件,或將被感染文件和病毒放在一隔離文件夾里面。要對全網的機器從網站效勞器到郵件效勞器到檔效勞器到客戶機都要安裝殺毒軟件,并保持最

46、新的病毒庫。因為病毒一旦進入計算機,它會瘋狂的自我復制,遍布全網,造成的危害巨大,甚至可以使得系統(tǒng)崩潰,喪失所有的重要資料。所以至少每周一次對全網的計算機進行集中殺毒,并定期的去除隔離病毒的文件夾。第五、應用程序。 超過一半都是通過 HYPERLINK :/ 電子郵件進來的,所以除了在郵件效勞器上安裝防病毒軟件之外,還要對PC機上的outlook防護,用戶要提高警惕性,當收到那些無標題的郵件,或是不認識的人發(fā)過來的,或是全是 HYPERLINK :/ 英語例如什么happy99,money,然后又帶有一個附件的郵件,建議用戶最好直接刪除,不要去點擊附件,因為百分之九十以上是病毒。除了不去查看這

47、些郵件之外,用戶還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。 很多黑客都是通過用戶訪問網頁的時候進來的。用戶可能碰到過這種情況,當翻開一個網頁的時候,會不斷的跳出非常多窗口,關都關不掉,這就是黑客已經進入了你的計算機,并試圖控制你的計算機。所以用戶要將IE的平安性調高一點,經常刪除一些cookies和脫機檔,還有就是禁用那些Active X的控件。 第六、代理效勞器。 代理效勞器最先被利用的目的是可以加速訪問用戶經常看的網站,因為代理效勞器都有緩沖的功能,在這里可以保存一些網站與IP地址的對應關系。 代理效勞器的優(yōu)點是可以隱藏內網的機器,這樣可以防止黑客的直接攻擊,另外可以節(jié)

48、省公網IP。缺點就是每次都要經由效勞器,這樣訪問速度會變慢。另外當代理效勞器被攻擊或者是損壞的時候,其余計算機將不能訪問 HYPERLINK :/ 網絡。第七、防火墻 防火墻是指設置在不同網絡(如可信任的 HYPERLINK :/ 企業(yè)內部網和不可信任的公共網)或網絡平安域之間的一系列部件的組合。它可通過監(jiān)測、限制及更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽內部網絡的信息、結構和運行狀況,以此來實現(xiàn)網絡的平安保護。 在邏輯上,防火墻是一個別離器,一個限制器,也是一個分析器,它有效地監(jiān)控了內部網和Internet之間的任何活動,保證了內部網絡的平安。 防火墻根本上是一個獨立的進程或一組緊密結合的進程,控制經過防火墻的網絡應用程序的通信流量。一般來說,防火墻置于公共網絡(如Internet)入口處。它的作用是確保一個單位內的網絡與Internet之間所有的通信均符合該單位的平安策略。防火墻能有效地防止外來的入侵,它在網絡系統(tǒng)中的作用是: 1控制進出網絡的信息流向和信息包; 2提供使用和流量的日志和審計; 3隱藏內部IP地址及網絡結構的細節(jié); 4提供虛擬專用網(VPN)功能。 防火墻技術的 HYPERLINK :/ 開展方向:目前防火墻在平安性、效率和功能方面還存在一定矛盾。防火墻的技術結構,一般來說平安性高的效率較低,或者效率高的平安性較差。未來的