網(wǎng)絡(luò)安全大作業(yè)校園網(wǎng)絡(luò)設(shè)計(jì)

1、題 目姓名： 班級(jí)： 計(jì)算機(jī)073 學(xué)號(hào)： 07013663 姓名： 班級(jí)： 計(jì)算機(jī)073 學(xué)號(hào)： 07013610 姓名： 班級(jí)： 計(jì)算機(jī)073 學(xué)號(hào)： 07013668 （為本方案的主要負(fù)責(zé)同學(xué)）計(jì)算機(jī)與信息學(xué)院二零一零年六月一、方案背景介紹XX中學(xué)校園網(wǎng)絡(luò) 12幢樓宇約458個(gè)信息點(diǎn)。其中1幢辦公樓32個(gè)信息點(diǎn)， 3幢教學(xué)樓60個(gè)信息點(diǎn)（19+20+21=60），7幢教師宿舍樓172個(gè)信息點(diǎn)（21+21+28+28+27+36+11=172），1幢教輔用房硅步樓194個(gè)信息點(diǎn)（122+60+12=194）。主干網(wǎng)絡(luò)提供1000M帶寬，到桌面提供100M帶寬，連接15幢樓宇，校內(nèi)互聯(lián)，學(xué)校

2、各部門(mén)子系統(tǒng)連接校園主干網(wǎng)口，各網(wǎng)段內(nèi)、各網(wǎng)段之間計(jì)算機(jī)互訪和校內(nèi)資源共享；校園網(wǎng)與國(guó)際互聯(lián)網(wǎng)相連：局域網(wǎng)內(nèi)的計(jì)算機(jī)通過(guò)WWW服務(wù)器代理網(wǎng)。核心內(nèi)部網(wǎng)絡(luò)建設(shè)，包括DNS服務(wù)器、EMAIL服務(wù)器、WWW服務(wù)器、FTP服務(wù)器、BBS服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等，對(duì)外能與Internet互聯(lián)，對(duì)內(nèi)提供校內(nèi)各種局域網(wǎng)的接口，提供Internet服務(wù)，如電子郵件、遠(yuǎn)程登陸、文件傳輸、信息查詢等。提供網(wǎng)絡(luò)教學(xué)環(huán)境：網(wǎng)絡(luò)提供視頻、音頻、課件在校園網(wǎng)內(nèi)傳輸，提供視頻點(diǎn)播系統(tǒng)服務(wù)；提供辦公自動(dòng)化管理服務(wù)：進(jìn)行各類公文收發(fā)、分類的處理；提供遠(yuǎn)程用戶訪問(wèn)服務(wù)。 二、方案設(shè)計(jì)任務(wù)分工 方案設(shè)計(jì)，找資料：龔卓成,陳林滔開(kāi)題報(bào)

3、告：龔卓成，陳林滔解決方案報(bào)告撰寫(xiě)：何駿,龔卓成解決方案報(bào)告修改：何駿,陳林滔三、需求分析從對(duì)內(nèi)安全和對(duì)外安全兩個(gè)角度進(jìn)行分析:1.來(lái)自外部網(wǎng)絡(luò)的安全威脅 由于需要，網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了連接，這些連接集中在安全威脅的第一層，包括：如果內(nèi)部網(wǎng)絡(luò)和這些外部網(wǎng)絡(luò)之間的連接為直接連接，外部網(wǎng)絡(luò)則可以直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)的主機(jī)，若內(nèi)部和外部沒(méi)有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。 由于需要，學(xué)生和教師在非校區(qū)內(nèi)使用ISP撥號(hào)上網(wǎng)連接上Internet，進(jìn)入學(xué)校內(nèi)部網(wǎng)網(wǎng)絡(luò)，這時(shí)非法的internet用戶也可以通過(guò)各種手段訪問(wèn)內(nèi)部網(wǎng)絡(luò)。這種連接使學(xué)校內(nèi)部網(wǎng)絡(luò)很容易受到來(lái)自internet的攻擊。攻擊一旦發(fā)生，首先

4、遭到破壞的將是辦公自動(dòng)化網(wǎng)的主機(jī)，另外，通過(guò)使用連接托管服務(wù)器網(wǎng)站與辦公自動(dòng)化網(wǎng)的DDN專線，侵入者可以繼續(xù)攻擊托管服務(wù)器網(wǎng)站部分。攻擊的手段以及可能造成的危害多種多樣。 1.對(duì)外安全分析安裝軟件、硬件防火墻，網(wǎng)絡(luò)防病毒軟件，客戶端防病毒軟件 利用代理服務(wù)器提供Internet與Intranet之間的防火墻功能 通過(guò)網(wǎng)管軟件實(shí)時(shí)記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài)。2.來(lái)自內(nèi)部網(wǎng)絡(luò)的安全威脅網(wǎng)絡(luò)上的節(jié)點(diǎn)眾多，網(wǎng)絡(luò)應(yīng)用復(fù)雜，網(wǎng)絡(luò)管理困難。這些問(wèn)題主要體現(xiàn)在安全威脅的第二和第三個(gè)層面上，具體問(wèn)題： 網(wǎng)絡(luò)的實(shí)際結(jié)構(gòu)無(wú)法控制； 網(wǎng)管人員無(wú)法及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況； 無(wú)法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊； 對(duì)于已經(jīng)或正在發(fā)

5、生的攻擊缺乏有效的追查手段； 訪問(wèn)控制的問(wèn)題2.對(duì)內(nèi)安全分析 利用VLAN的安全特性，按照學(xué)校各部分的基本工作性質(zhì)結(jié)合樓宇的分布劃分子網(wǎng)網(wǎng)段 一方面對(duì)子網(wǎng)內(nèi)信息點(diǎn)設(shè)置訪問(wèn)控制，另一方面對(duì)不同子網(wǎng)的訪問(wèn)進(jìn)行控制。 服務(wù)器訪問(wèn)控制：通過(guò)密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對(duì)服務(wù)器的訪問(wèn)，以及對(duì)辦公自動(dòng)化平臺(tái)、教務(wù)管理平臺(tái)的訪問(wèn)和管理采用有效的掃描工具，定期對(duì)網(wǎng)絡(luò)進(jìn)行掃描，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的變化，及時(shí)糾正錯(cuò)誤使用有效的工具，及時(shí)發(fā)現(xiàn)錯(cuò)誤，關(guān)閉非法應(yīng)用，保證網(wǎng)絡(luò)的安全 進(jìn)行客觀的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患，并提出切實(shí)可行的防范措施 記錄攻擊行為的全過(guò)程，為調(diào)查工作提供依

6、據(jù)網(wǎng)絡(luò)安全設(shè)計(jì)方案樓宇交換機(jī) 樓宇交換機(jī) 網(wǎng) 管交換機(jī) 桌面交換機(jī) 桌面交換機(jī) DNS對(duì)內(nèi)安全：利用VLAN的安全特性，按照學(xué)校各部分的基本工作性質(zhì)結(jié)合樓宇的分布劃分子網(wǎng)網(wǎng)段：1段，辦公樓；段，教師周轉(zhuǎn)房（1，2）；段，為臨江園2幢教師住宿樓，段為硅步樓，段為2號(hào)教師住宿樓，段為1號(hào)教師住宿樓。段為3幢教學(xué)樓。一方面對(duì)子網(wǎng)內(nèi)信息點(diǎn)設(shè)置訪問(wèn)控制，另一方面對(duì)不同子網(wǎng)的訪問(wèn)進(jìn)行控制。服務(wù)器訪問(wèn)控制：通過(guò)密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對(duì)服務(wù)器的訪問(wèn)，以及對(duì)辦公自動(dòng)化平臺(tái)、教務(wù)管理平臺(tái)的訪問(wèn)和管理對(duì)外安全：安裝軟件、硬件防火墻，網(wǎng)絡(luò)防病毒軟件，客戶端防病毒軟件；利用代理服務(wù)

7、器提供Internet與Intranet之間的防火墻功能；通過(guò)網(wǎng)管實(shí)時(shí)記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài)。網(wǎng)絡(luò)可靠性設(shè)計(jì)：網(wǎng)絡(luò)主干采用基于樹(shù)型的多星型結(jié)構(gòu)，使之具有鏈路冗余特性，能使樹(shù)型中有一線路出現(xiàn)故障時(shí)，只有本線路出故障，其它網(wǎng)絡(luò)部分仍然能正常運(yùn)行。接入Internet：采用DDN接入。DDN是英文Digital Data Network的縮寫(xiě)，這是隨著數(shù)據(jù)通信業(yè)務(wù)發(fā)展而迅速發(fā)展起來(lái)的一種新型網(wǎng)絡(luò)。基于端口的虛網(wǎng)劃分；利用VIAN國(guó)際標(biāo)準(zhǔn)802.1Q，實(shí)現(xiàn)跨交換機(jī)的VLAN，通過(guò)IEEE802.1d協(xié)議所支持的生成樹(shù)技術(shù)（Spanning Tree），實(shí)現(xiàn)各中繼之間的負(fù)載均衡；采用VLANPruning技

8、術(shù)來(lái)優(yōu)化交換網(wǎng)絡(luò)中廣播對(duì)網(wǎng)絡(luò)性能的影響；網(wǎng)絡(luò)管理方案設(shè)計(jì)：根據(jù)學(xué)校和服務(wù)器應(yīng)用模式及全網(wǎng)范圍資源集中管理的原則，建立網(wǎng)管中心（中心機(jī)房），統(tǒng)一網(wǎng)絡(luò)中的交換設(shè)備的管理配置，虛網(wǎng)設(shè)計(jì)和配置，各種服務(wù)建立等。建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對(duì)重要部門(mén)和信息，嚴(yán)格做好開(kāi)機(jī)查毒，及時(shí)備份數(shù)據(jù).對(duì)計(jì)算機(jī)用戶的安全教育、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念，提高計(jì)算機(jī)用戶的安全意識(shí).對(duì)計(jì)算機(jī)用戶不斷進(jìn)行法制教育，包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、保密法、數(shù)

9、據(jù)保護(hù)法等，明確計(jì)算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù)，自覺(jué)遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開(kāi)原則、信息利用原則和資源限制原則，自覺(jué)地和一切違法犯罪的行為作斗爭(zhēng)，維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全，維護(hù)信息系統(tǒng)的安全。除此之外，還應(yīng)教育計(jì)算機(jī)用戶和全體工作人員，應(yīng)自覺(jué)遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運(yùn)行維護(hù)和管理制度、計(jì)算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度。網(wǎng)管工作站對(duì)全網(wǎng)所有交換設(shè)備和路由設(shè)備進(jìn)行統(tǒng)一管理、配置和維護(hù)；進(jìn)行故障隔離、分析、統(tǒng)計(jì)、報(bào)警、設(shè)置；網(wǎng)管軟件采用圖形化界面，支持廣泛的網(wǎng)管平臺(tái)。物理安全

10、層面：對(duì)計(jì)算機(jī)系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲(chóng)害、振動(dòng)和沖擊、電氣干擾等方面執(zhí)行設(shè)備所規(guī)定的標(biāo)準(zhǔn)機(jī)房場(chǎng)地環(huán)境的選擇計(jì)算機(jī)系統(tǒng)選擇一個(gè)合適的安裝場(chǎng)所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計(jì)算機(jī)房場(chǎng)地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場(chǎng)地抗電磁干擾性，避開(kāi)強(qiáng)振動(dòng)源和強(qiáng)噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。 機(jī)房的安全防護(hù)為了防止未經(jīng)過(guò)授權(quán)的個(gè)人或者團(tuán)體篡改數(shù)據(jù)盜竊計(jì)算機(jī)設(shè)備，應(yīng)做到物理訪問(wèn)控制來(lái)識(shí)別訪問(wèn)用戶的身份，并對(duì)其合法性進(jìn)行驗(yàn)證；其次，對(duì)來(lái)訪者必須限定其活動(dòng)范圍；第三，要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈，以防止

11、非法暴力入侵；第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。五、總結(jié)擁有一個(gè)高水準(zhǔn)的校園網(wǎng)，必將促進(jìn)校園網(wǎng)絡(luò)應(yīng)用向WWW、E-mail、FTP的更高層次應(yīng)用發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，引發(fā)了學(xué)校各項(xiàng)工作的深刻變革。高性能校園網(wǎng)的建設(shè)大大提高了學(xué)校的管理水平，為師生員工更好地進(jìn)行教學(xué)、科研等提供了先進(jìn)的平臺(tái)，極大地推動(dòng)了學(xué)校的信息化建設(shè)。統(tǒng)一平臺(tái)、整合資源，將很多原來(lái)劃分在不同部門(mén)、不同系統(tǒng)的應(yīng)用放在一個(gè)同時(shí)兼具高度靈活性、穩(wěn)固的校園網(wǎng)平臺(tái)上，產(chǎn)生出巨大的協(xié)同效應(yīng)，甚至從根本上改變了原有的教育模式。同時(shí)進(jìn)一步利用這個(gè)平臺(tái)有效整合學(xué)校內(nèi)部資源，以信息化促進(jìn)學(xué)校內(nèi)外部業(yè)務(wù)統(tǒng)一、流程優(yōu)化。隨著校園網(wǎng)基礎(chǔ)建設(shè)的加強(qiáng)及學(xué)校信息化程度的提高，學(xué)校最終將迎來(lái)科學(xué)管理和教學(xué)的新時(shí)代。 計(jì)算機(jī)網(wǎng)絡(luò)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面