校園網(wǎng)規(guī)劃與設(shè)計(jì)

/第一章：項(xiàng)目概述一、項(xiàng)目名稱：邯鄲縣第一中學(xué)校內(nèi)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)二、項(xiàng)目背景：邯鄲縣第一中學(xué)校內(nèi)，校內(nèi)占地104.65畝，教學(xué)樓兩棟，宿舍樓2棟，食堂2個(gè)，超市1個(gè)，60個(gè)教學(xué)班。三、項(xiàng)目目標(biāo)：建立好整個(gè)校內(nèi)網(wǎng),以及維護(hù)好整個(gè)校內(nèi)網(wǎng)，規(guī)劃好設(shè)計(jì)好整個(gè)校內(nèi)網(wǎng)，以及對(duì)校內(nèi)網(wǎng)的施工和綜合布線。以及后期的維護(hù)。四、項(xiàng)目?jī)?nèi)容：1.學(xué)校目前主要的網(wǎng)絡(luò)應(yīng)用包括文件共享服務(wù)，打印服務(wù)，財(cái)務(wù)管理，將來將實(shí)施internent應(yīng)用，把各大分校區(qū)連接在一起，形成網(wǎng)絡(luò)一體化，新增郵件服務(wù).2.添置新的OA系統(tǒng)，完成教學(xué)的信息的采集、處理、查詢、統(tǒng)計(jì)。對(duì)學(xué)校行政、人事、財(cái)務(wù)、工資、資產(chǎn)、檔案、宿舍的管理，以及供應(yīng)必要的查詢，并打印結(jié)果。3.校內(nèi)接入網(wǎng)絡(luò)后，新增WWW服務(wù)4.接入中國(guó)教化科研網(wǎng)CERNET.5．校內(nèi)網(wǎng)要求實(shí)現(xiàn)組播業(yè)務(wù)。6.系統(tǒng)應(yīng)有高牢靠性、平安性、可維護(hù)性和可擴(kuò)充性，要具有良好的用戶界面。7.子網(wǎng)分布：教化管理子網(wǎng)，圖書館資源子網(wǎng)，財(cái)務(wù)子網(wǎng)，科研子網(wǎng)，軟件資源子網(wǎng)【容量800G收錄的視頻1000G】其次章：網(wǎng)絡(luò)需求分析一、校內(nèi)網(wǎng)絡(luò)應(yīng)供應(yīng)以下功能：1、接校內(nèi)全部教學(xué)樓、辦公樓中的PC。2、支持約1000用戶閱讀網(wǎng)站。3、供應(yīng)受存取權(quán)限制的文件、檔案查詢服務(wù)。4、供應(yīng)學(xué)校自己的管理信息系統(tǒng)（MIS）。5、供應(yīng)圖書，文獻(xiàn)查詢和檢索服務(wù)，增加校圖書館信息自動(dòng)化實(shí)力。6、建立FTP，共享教學(xué)資源，建立OA,便于辦公，建立網(wǎng)絡(luò)教學(xué)高速通道，達(dá)到網(wǎng)絡(luò)教學(xué)，公共信息資源在線查詢系統(tǒng)，以及成果查詢系統(tǒng)。二、校內(nèi)網(wǎng)對(duì)主機(jī)系統(tǒng)的主要要求：1、主機(jī)系統(tǒng)應(yīng)接受國(guó)際上較新的主流技術(shù)，并具有良好的向后擴(kuò)展實(shí)力；2、主機(jī)系統(tǒng)應(yīng)具有高的牢靠性，能長(zhǎng)時(shí)間連續(xù)工作，并有容錯(cuò)措施；3、支持通用大型數(shù)據(jù)庫(kù)，如SQL、Oracle等；4、具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；5、能和Internet互聯(lián)，可供應(yīng)互聯(lián)網(wǎng)的應(yīng)用，如WWW閱讀服務(wù)。6、支持SNMP網(wǎng)絡(luò)管理協(xié)議，具有良好的可管理性和可維護(hù)性；三、校內(nèi)系統(tǒng)設(shè)計(jì)方按應(yīng)滿足如下要求：1、網(wǎng)絡(luò)方案應(yīng)接受成熟的技術(shù)，并盡可能接受先進(jìn)的技術(shù)；2、合理支配帶寬，運(yùn)用戶不受網(wǎng)上“塞車”的影響，主教學(xué)樓運(yùn)用ADSL接入Internet，帶寬大約10MBIT/S,須要能接入因特網(wǎng)，以及校內(nèi)網(wǎng)；3、應(yīng)充分考慮將來可能的應(yīng)用，如桌面將承受大型應(yīng)用軟件和多媒體傳輸需求的壓力；4、該網(wǎng)絡(luò)方案要具有高擴(kuò)展性。能為用戶將來數(shù)目的擴(kuò)展具有調(diào)整、擴(kuò)充的手段和方法；5、該網(wǎng)絡(luò)應(yīng)是面對(duì)連接的，能夠?qū)崿F(xiàn)虛擬網(wǎng)（VLAN）連接；6、考慮對(duì)用戶現(xiàn)有網(wǎng)絡(luò)的平滑過度，使學(xué)?，F(xiàn)有陳舊設(shè)備盡量保持較好的利用價(jià)值；四、校內(nèi)網(wǎng)對(duì)網(wǎng)絡(luò)設(shè)備的要求：1、性能；；全部網(wǎng)絡(luò)設(shè)備都應(yīng)有足夠的吞吐量；2、牢靠性和高可用性；應(yīng)考慮多種容錯(cuò)技術(shù)；3、可管理性；全部網(wǎng)絡(luò)設(shè)備均可用適當(dāng)?shù)木W(wǎng)管軟件進(jìn)行監(jiān)控、管理和設(shè)置，接受國(guó)際統(tǒng)一的標(biāo)準(zhǔn)；五、系統(tǒng)集成所共同追求的設(shè)計(jì)目標(biāo)：1、建成一個(gè)具有高牢靠性和開放性的校內(nèi)網(wǎng)絡(luò)，它應(yīng)支持流行的SNMP等網(wǎng)絡(luò)管理協(xié)議；2、接受Internet上的標(biāo)準(zhǔn)協(xié)議--TCP/IP協(xié)議，供應(yīng)校內(nèi)內(nèi)部及面對(duì)全球的WWW服務(wù)、FTP服務(wù)、NEWS服務(wù)、電子郵件服務(wù)，實(shí)現(xiàn)和國(guó)際互聯(lián)網(wǎng)的完全接軌；3、同時(shí)它還應(yīng)具有支持通用大型數(shù)據(jù)庫(kù)的功能，支持多種協(xié)議，具有良好的軟件支持；4、接受模塊化結(jié)構(gòu)設(shè)計(jì)，簡(jiǎn)潔升級(jí)；六、綜合布線需求分析標(biāo)準(zhǔn)綜合布線系統(tǒng)標(biāo)準(zhǔn)是一個(gè)開發(fā)系統(tǒng)標(biāo)準(zhǔn)，它支持廣泛的應(yīng)用，愛惜用戶以往的投資，綜合布線系統(tǒng)遵循下列標(biāo)準(zhǔn)：EIA/TIA568民用建筑布線標(biāo)準(zhǔn)EIA/TIA569民用建筑通信通道及空間標(biāo)準(zhǔn)ANSI/EIA/TIA-570住宅及商業(yè)應(yīng)用ANSI/EIA/TIA-606商業(yè)建筑電訊設(shè)施管理標(biāo)準(zhǔn)ANSI/EIA/TIA-607商業(yè)建筑電訊設(shè)施接地標(biāo)準(zhǔn)TSB-67非屏蔽雙絞線布線系統(tǒng)傳輸性能測(cè)試標(biāo)準(zhǔn)TSB-72簡(jiǎn)明光纖布線指導(dǎo)ISO/IECDIS11801建筑物通用布線系統(tǒng)IEEE802.310BASET-T10M雙絞線以太網(wǎng)通信標(biāo)準(zhǔn)IEEE802.3100BASET-T100M雙絞線以太網(wǎng)通信標(biāo)準(zhǔn)IEEE802.31000BASET-T1000M雙絞線以太網(wǎng)通信標(biāo)準(zhǔn)七、中心交換機(jī)網(wǎng)絡(luò)主干的網(wǎng)絡(luò)設(shè)備選用1臺(tái)銳捷RG-S9620千兆中心路由交換機(jī)，通過光纖和各樓宇二級(jí)交換機(jī)相連，形成星型結(jié)構(gòu)千兆以太網(wǎng)的主干解決方案。它不僅可以同時(shí)滿足銅纜、多模和單模接入的共存問題，而且具有較高的無堵塞的背板速率，支持全線速交換實(shí)力，較好的擴(kuò)展性，可為邯鄲第一中學(xué)的進(jìn)一步擴(kuò)容供應(yīng)快捷和低成本的升級(jí)方式。八、銳捷RG-S9620千兆中心路由交換機(jī)具有以下特點(diǎn)：最小的代價(jià)滿足需求，實(shí)現(xiàn)主干網(wǎng)絡(luò)的1000M連接，同時(shí)還實(shí)現(xiàn)線速的2、3、4層交換實(shí)力。實(shí)現(xiàn)VLAN劃分、應(yīng)用級(jí)負(fù)載均衡等功能，并能保證性能不受影響。投入成本小，網(wǎng)絡(luò)連接易于實(shí)現(xiàn)。預(yù)留確定數(shù)量的100M網(wǎng)絡(luò)端口，便于網(wǎng)絡(luò)的擴(kuò)展。九、路由器路由器我們依據(jù)學(xué)校的需求結(jié)果選擇

H3CRT-SR6608-H3型號(hào)的核心路由器。如下圖：核心路由器H3CRT-SR6608-H3H3CRT-SR6608-H3主要參數(shù)路由器類型開放多核企業(yè)級(jí)路由器其他限制端口Console,AUX,USB擴(kuò)展插槽≥18Mpps路由器包轉(zhuǎn)發(fā)率30個(gè)路由器網(wǎng)絡(luò)協(xié)議支持靜態(tài)路由,RIPv1/v2、RIPng,OSPFv2/v3,BGP、BGP4+,IS-IS、ISISv6,支持DHCPServer,DHCPRelay,DHCPClient,DNSClient,IPv6,NTPServer,NTPClient,TelnetServer,TelnetClient,TFTPClient,FTPServer,FTPClient,二層協(xié)議等VPN功能支持VPN防火墻功能內(nèi)置平安標(biāo)準(zhǔn)ACL,TCP,AAA,RADIUS,HWTACACS,IKE,PKI,RSA,SSH1.5/2.0,IPSec機(jī)身重量＜50kg外觀尺寸436×468×308mm第三章：通信子網(wǎng)規(guī)劃設(shè)計(jì)一、拓?fù)浣Y(jié)構(gòu)邯鄲第一中學(xué)邯鄲第一中學(xué)網(wǎng)絡(luò)配置系統(tǒng)圖LIU五類單孔信息點(diǎn)五類雙孔信息點(diǎn)光纖互連箱4層5層黨辦2層LIU6Ports6Ports6Ports教工辦公室教務(wù)處3層LIU財(cái)務(wù)處LIULIU機(jī)房網(wǎng)絡(luò)設(shè)備外線出入口LIULIU網(wǎng)絡(luò)設(shè)備8274/W938271/5248274/W938274/W938274/W938274/W938271/5248265CG8000Internet集成柜服務(wù)器CHINANETCHINANETDDN專線微機(jī)房1微機(jī)房2教學(xué)樓2二、主干網(wǎng)絡(luò)設(shè)計(jì)（分解圖）三、設(shè)計(jì)說明網(wǎng)絡(luò)整體結(jié)構(gòu)為分級(jí)星型結(jié)構(gòu)，主交換機(jī)和子網(wǎng)交換機(jī)，子網(wǎng)交換機(jī)和網(wǎng)絡(luò)工作站之間都是以星型結(jié)構(gòu)連接。接受155MATM做網(wǎng)絡(luò)主干，接受10M交換以太網(wǎng)作為一般工作站的網(wǎng)絡(luò)末端。網(wǎng)絡(luò)中心交換機(jī)接受銳捷RG-S9620主干交換機(jī)，接受8274/8271以太網(wǎng)交換機(jī)作為到桌面的10M交換機(jī)。中心交換機(jī)放置在教學(xué)大樓的主機(jī)房?jī)?nèi)。接受銳捷RG-S9620交換機(jī)，它有17個(gè)插槽，其中用戶可用14個(gè)，該方案中配置了4塊4口的155MATM模塊，4個(gè)電源模塊。共有16個(gè)155M的ATM端口。其中10個(gè)155M的光纖口用來下連各層子網(wǎng)8274子網(wǎng)交換機(jī)，共計(jì)5臺(tái)8274以太網(wǎng)交換機(jī)，主機(jī)和Intranet服務(wù)器連在8265的155MATM光纖SC端口上，各層工作站連在5臺(tái)8274/8271交換以太網(wǎng)10M端口，網(wǎng)管工作站也連在10M交換以太口上。依據(jù)布線結(jié)構(gòu)，在一層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了4塊32端口的交換模塊，即有128個(gè)10M交換口。我們?cè)诿恳粯菍拥?274上配置了雙端口的155M的ATM光纖口用來上連主干交換機(jī)8265。這樣一來，主干網(wǎng)絡(luò)的帶寬有310M。二層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。三層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。和要求的232個(gè)10M交換口還不夠，需增加1個(gè)有24個(gè)10M交換端口的交換機(jī)8271/524。這樣一來，共有248個(gè)10M交換口和1個(gè)100M交換端口。四層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。和要求的276個(gè)10M交換口還不夠，需增加2個(gè)有24個(gè)10M交換端口的交換機(jī)8271/524。這樣一來，共有272個(gè)10M交換口和2個(gè)100M交換端口。五層樓放置了1臺(tái)IBM以太網(wǎng)交換機(jī)8274/W93，共配置了7塊32端口的交換模塊，即有224個(gè)10M交換口。和要求的278個(gè)10M交換口還不夠，需增加2個(gè)有24個(gè)10M交換端口的交換機(jī)8271/524。這樣一來，共有272個(gè)10M交換口和2個(gè)100M交換端口。整個(gè)網(wǎng)絡(luò)的Intranet服務(wù)器，它通過155MATM連接在主干交換機(jī)8265上，為全校的師生供應(yīng)WWW服務(wù)、E-mail服務(wù)、FTP服務(wù)等。整個(gè)網(wǎng)絡(luò)的網(wǎng)管工作站接受一臺(tái)IBMRS/600043P，它通過10M交換以太口連至8274，接受TME10Netview網(wǎng)管軟件實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的配置管理、工作狀態(tài)監(jiān)控等功能，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的全面管理。整個(gè)網(wǎng)絡(luò)共配備16個(gè)155MATM端口，1144個(gè)10M交換以太口，5個(gè)100M快速交換以太口。其中，10個(gè)155MATM端口用于和下級(jí)交換機(jī)互連，6個(gè)155MATM端口用于連接服務(wù)器或主機(jī)。8265上還有11個(gè)插槽可供以后擴(kuò)展。WEB服務(wù)器視頻服務(wù)器數(shù)據(jù)庫(kù)/數(shù)據(jù)服務(wù)器WEB服務(wù)器視頻服務(wù)器數(shù)據(jù)庫(kù)/數(shù)據(jù)服務(wù)器網(wǎng)管工作站教學(xué)樓教學(xué)樓2教工1微機(jī)室室微機(jī)室2教工2教務(wù)處財(cái)務(wù)室黨辦Internet運(yùn)用防火墻分割內(nèi)部網(wǎng)和外部網(wǎng)，限制級(jí)別訪問內(nèi)部WEB服務(wù)器，財(cái)務(wù)數(shù)據(jù)，以及OA系統(tǒng)。防火墻接受天融信的NGFW4000-E-VPN(E)。面對(duì)中心骨干機(jī)構(gòu)和困難的高端流量環(huán)境。擁有內(nèi)置的IPSEC加密、Web頁(yè)面包護(hù)和負(fù)載均衡雙機(jī)熱備，供應(yīng)強(qiáng)大的功能和平安保障。流量限制區(qū)域位置業(yè)務(wù)類型流量(Mbit/s)節(jié)點(diǎn)數(shù)教學(xué)主樓辦公自動(dòng)化10120財(cái)務(wù)部辦公自動(dòng)化15教務(wù)處辦公自動(dòng)化130黨辦辦公自動(dòng)化15微機(jī)室A教學(xué)10100微機(jī)室B教學(xué)10100教工1Internet10100教工2、3Internet10100網(wǎng)絡(luò)總體目標(biāo)和設(shè)計(jì)原則名稱IP網(wǎng)段子網(wǎng)掩碼網(wǎng)關(guān)教學(xué)一號(hào)樓教學(xué)二號(hào)樓試驗(yàn)室~54黨辦~54教務(wù)處~54財(cái)務(wù)部~54教工辦公室1~54教工辦公室2~54教工辦公室3~54網(wǎng)絡(luò)中心機(jī)房第四章：網(wǎng)絡(luò)平安設(shè)計(jì)校內(nèi)網(wǎng)絡(luò)平安威逼一、計(jì)算機(jī)病毒計(jì)算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)覺的計(jì)算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛藏性和激發(fā)性幾大特征。二、網(wǎng)絡(luò)攻擊校內(nèi)網(wǎng)面臨的另一個(gè)平安威逼就是網(wǎng)絡(luò)攻擊。拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時(shí)，可能實(shí)行單一手段的攻擊模式，也可能實(shí)行多種攻擊手段聯(lián)合運(yùn)用的模式。就其攻擊手段來說．主要有以下幾種：1）死亡之Ping。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。2）淚滴攻擊。攻擊者接受修改包片段字頭的方式，使得包無法正確組裝．導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。3）UDP洪水攻擊。攻擊利用如chargen和echo等簡(jiǎn)潔的TCP／IP服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。4)SYN洪水攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的SYN握手信息來癱瘓服務(wù)器的攻擊方式。5)LAND攻擊該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息．已達(dá)到癱瘓主機(jī)的目的。6)Smurf攻擊。攻擊者將報(bào)文地址設(shè)為Echo地址，這樣Echo78地址就必需不問斷的響應(yīng)當(dāng)報(bào)文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。7)Fraggle攻擊。Fraggle攻擊對(duì)Smurf攻擊做了修改。8)電子郵件炸彈。通過向一臺(tái)服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。9)急性消息攻擊。借助機(jī)器對(duì)某些消息為進(jìn)行錯(cuò)誤校驗(yàn)來攻擊服務(wù)器。10)分布式拒絕服務(wù)攻擊。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要接受多臺(tái)服務(wù)器對(duì)同一網(wǎng)絡(luò)同時(shí)發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對(duì)網(wǎng)絡(luò)平安造成很大的危害。[5]三、存在的平安隱患,以我校為例，校內(nèi)網(wǎng)絡(luò)存在的平安隱患和漏洞有:1)計(jì)算機(jī)和Internet相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。2)運(yùn)用的操作系統(tǒng)存在平安漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的平安。校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校內(nèi)網(wǎng)絡(luò)又對(duì)社會(huì)開放，這樣一來只要接入INTERNET的用戶就可以對(duì)校內(nèi)的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行于網(wǎng)絡(luò)上的許多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計(jì)算機(jī)當(dāng)中，在以后的計(jì)算機(jī)啟動(dòng)后，木馬就在機(jī)器中打開一個(gè)服務(wù)，通過這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞。3)書目共享導(dǎo)致信息的外泄,在校內(nèi)網(wǎng)絡(luò)中，利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)書目設(shè)置共享進(jìn)行資料的傳輸和共享是人們常接受的一個(gè)方法。但可以說幾乎全部的人都沒有充分相識(shí)到當(dāng)一個(gè)書目共享后，就不光是校內(nèi)網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。這也成了數(shù)據(jù)資料平安的一個(gè)隱患。我曾經(jīng)搜尋過外地機(jī)器的一個(gè)C類IP網(wǎng)段，發(fā)覺共享的機(jī)器就有十幾臺(tái)，而且許多機(jī)器是將整個(gè)C盤、D盤進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼愛惜，這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤，就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。因而對(duì)書目共享平安意識(shí)的單薄，會(huì)導(dǎo)致了信息的外泄。4)網(wǎng)絡(luò)平安意識(shí)淡薄，校內(nèi)網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法運(yùn)用網(wǎng)絡(luò)、非法獲得未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事務(wù)經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和一般計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬次的特殊訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校內(nèi)網(wǎng)絡(luò)上的用戶平安意識(shí)淡??；另外，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)平安制度，各校內(nèi)網(wǎng)在平安管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)平安問題泛濫的一個(gè)重要緣由.由此可見，構(gòu)筑具有必要的信息平安防護(hù)體系，建立一套有效的網(wǎng)絡(luò)平安機(jī)制顯得尤其重要.。四、校內(nèi)網(wǎng)絡(luò)平安策略校內(nèi)網(wǎng)的平安威逼既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實(shí)構(gòu)筑一個(gè)平安的校內(nèi)網(wǎng)。國(guó)內(nèi)高校校內(nèi)網(wǎng)的平安問題有其歷史緣由：在以前的網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐庾R(shí)和資金方面的緣由，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕平安、輕管理“的傾向，經(jīng)常只是在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬事大吉，有些學(xué)校甚至干脆連接互聯(lián)網(wǎng)，這就給病毒、黑客供應(yīng)了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些平安隱患只要發(fā)生一次，對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。作為高等院校，如何構(gòu)筑相對(duì)牢靠的校內(nèi)網(wǎng)絡(luò)平安體系問題，變得越來越突出了。一般來說，構(gòu)筑校內(nèi)網(wǎng)絡(luò)平安體系，要從兩個(gè)方面著手：一是接受先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。五、校內(nèi)網(wǎng)平安管理針對(duì)目前高校校內(nèi)網(wǎng)平安現(xiàn)狀的相識(shí)和理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防衛(wèi)體系下，對(duì)于防止來自校內(nèi)網(wǎng)外的攻擊已經(jīng)足夠。以下五點(diǎn)是高校的平安策略：1、規(guī)范出口管理，實(shí)施校內(nèi)網(wǎng)的整體平安架構(gòu)，必需解決多出口的問題。對(duì)于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校內(nèi)網(wǎng)絡(luò)平安體系能夠得以實(shí)施。為校內(nèi)網(wǎng)的平安供應(yīng)最基礎(chǔ)的保障。2、配備完整系統(tǒng)的網(wǎng)絡(luò)平安設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置確定的統(tǒng)一網(wǎng)絡(luò)平安限制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過配置平安產(chǎn)品可以實(shí)現(xiàn)對(duì)校內(nèi)網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以快速定位并解決。3、解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)。校內(nèi)網(wǎng)絡(luò)必需要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校內(nèi)網(wǎng)絡(luò)平安體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)覺了平安問題也大多只能不了了之，只有建立了基于校內(nèi)網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校內(nèi)信息化的各項(xiàng)應(yīng)用系統(tǒng)供應(yīng)了平安牢靠的保證。4、嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和精確性。5、依據(jù)相關(guān)部門的要求，配備特地的平安管理人員，出臺(tái)網(wǎng)絡(luò)平安管理制度，網(wǎng)絡(luò)平安的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱難，必需要做到剛好進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。[2]六、校內(nèi)網(wǎng)絡(luò)平安措施前述各種網(wǎng)絡(luò)平安威逼，都是通過網(wǎng)絡(luò)平安缺陷和系統(tǒng)軟硬件漏洞來對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威逼，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管實(shí)力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)平安。七、殺毒軟件。殺毒產(chǎn)品的部署.在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方實(shí)行相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能.。（1）在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。（2）在各辦公室分別安裝殺毒軟件的客戶端。（3）安裝完殺毒軟件，在管理員限制臺(tái)對(duì)網(wǎng)絡(luò)中全部客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證全部客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。（4）網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校內(nèi)網(wǎng)的升級(jí)工作。八、接受VLAN技術(shù)。VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)依據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的平安級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問限制，可以達(dá)到限制用戶非法訪問的目的。九、內(nèi)容過濾器。內(nèi)容過濾器是有效愛惜網(wǎng)絡(luò)系免于誤用和無意識(shí)服務(wù)拒絕的工具。同時(shí)，可以限制外來的垃圾郵件。十、防火墻。在和Internet相連的每一臺(tái)電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道堅(jiān)實(shí)的平安屏障。在防火墻設(shè)置上依據(jù)以下原則配置來提高網(wǎng)絡(luò)平安性:(1)依據(jù)校內(nèi)網(wǎng)平安策略和平安目標(biāo)，規(guī)劃設(shè)置正確的平安過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校內(nèi)內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則.(2）禁止訪問系統(tǒng)級(jí)別的服務(wù)(如HTTP,FTP等)。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。運(yùn)用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件供應(yīng)的服務(wù)。(3）假如你在局域網(wǎng)中運(yùn)用你的機(jī)器，那么你就必需正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能相識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常運(yùn)用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。(4）定期查看防火墻訪問日志，剛好發(fā)覺攻擊行為和不良上網(wǎng)記錄。(5）允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理平安性.十一、入侵檢測(cè)。入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)應(yīng)付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的平安管理實(shí)力．提高信息平安基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，運(yùn)用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異樣現(xiàn)象，并記錄有關(guān)事務(wù)。入侵檢測(cè)系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠剛好實(shí)行應(yīng)對(duì)措施。十二、漏洞掃描。隨著軟件規(guī)模的不斷增大．系統(tǒng)中的平安漏洞或“后門”也不行避開地存在．因此，應(yīng)接受先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行平安檢查，并寫出詳細(xì)的平安性分析報(bào)告，剛好地將發(fā)覺的平安漏洞打上“補(bǔ)丁”。十三、數(shù)據(jù)加密。數(shù)據(jù)加密是核心的對(duì)策，是保障數(shù)據(jù)平安最基本的技術(shù)措施和理論基礎(chǔ)。十四、加強(qiáng)網(wǎng)絡(luò)平安管理。加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)平安學(xué)問的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。第五章：網(wǎng)絡(luò)實(shí)施一、工程實(shí)施內(nèi)容依據(jù)預(yù)定方案，在詳細(xì)施工過程中將依據(jù)如下依次進(jìn)行。布線設(shè)計(jì)：依據(jù)學(xué)院需求詳細(xì)狀況，完成布線設(shè)計(jì)配置方案，并在校方確認(rèn)后，進(jìn)一步完成建筑的管線設(shè)計(jì)或修正。銅纜施工：進(jìn)行銅纜及相關(guān)管線的布放、安裝。光纜施工：對(duì)光纜及相關(guān)管線的安裝進(jìn)行督導(dǎo)。線路測(cè)試：工程完工后，將選用BICC公司認(rèn)定的專用儀器對(duì)系統(tǒng)進(jìn)行導(dǎo)通、接續(xù)測(cè)試，并提交測(cè)試證明報(bào)告。系統(tǒng)聯(lián)調(diào)：在系統(tǒng)的線路測(cè)試后，選擇若干站點(diǎn)，對(duì)外部連接網(wǎng)絡(luò)設(shè)備進(jìn)行連通測(cè)試，并供應(yīng)測(cè)試報(bào)告。工程驗(yàn)收：完成上述兩項(xiàng)測(cè)試后，雙方簽字認(rèn)定工程驗(yàn)收完畢，并由工程方完成有關(guān)BICC15年質(zhì)保體系的認(rèn)證工作。文檔：工程驗(yàn)收后，工程方將以文本或磁盤文件方式，向校方供應(yīng)系統(tǒng)設(shè)計(jì)和方案配置、施工記錄等在內(nèi)的文檔。第六章：網(wǎng)絡(luò)設(shè)備清單一、資源設(shè)備清單項(xiàng)目設(shè)備名稱產(chǎn)品型號(hào)描述單位數(shù)量?jī)r(jià)格13COMSwitch40073C168017槽機(jī)箱個(gè)16W53CB9EP9930W溝通電源個(gè)130003CB9EME管理模塊塊130003CB9FG24T24口48Gbps交換引擎塊130003CB9RF12R12口10/100M多層交換模塊塊130003CB9LG9MC9口千兆交換模塊塊260002SuperStackIISwitch3300MM3C1698824口10/100M端口,3個(gè)堆疊端口臺(tái)630003SuperStackIISwitch3300SM3C1698724口10/100M端口,1個(gè)1000BASE-SX端口,1個(gè)堆疊端口臺(tái)9100004SuperStackIISwitch3300XM3C1698524口10/100M端口,1個(gè)堆疊端口臺(tái)9100005SuperStackIISwitch33003C1698112口10/100M端口,1個(gè)堆疊端口臺(tái)2500006SwitchMatrixCable3C16965堆疊線纜條17二、布線材料清單1、主干光纖部分材料清單項(xiàng)目說明單位數(shù)量?jī)r(jià)格16芯室外鎧裝多模光纜（50/125）米2010100502600A24口機(jī)架式光纖接線盒個(gè)26003600A24口ST耦合器面板個(gè)240004蓋板個(gè)25100A312口墻裝式光纖接線盒個(gè)8610AST6口耦合器面板塊87100A3蓋板塊88C2000-A-2ST光纖耦合器個(gè)969P2020C-C-125STII多模光纖頭個(gè)9610FL2EP-SC-10ST-SC光纖跳線（雙工）條1611D-182038STII光纖消耗材料套212光纖端接個(gè)9613光纜鋪設(shè)工程費(fèi)米20102、UTP部分材料清單項(xiàng)目說明單位數(shù)量11061004CSLW1000超五類雙絞線箱1412PM2150B-2424口配線架個(gè)53PM2150B-4848口配線架個(gè)144MPS100BH-262超五類信息模塊個(gè)7195雙口面板塊7196D8CM-5B1.5米條7197D8CM-7B2米條7198底盒個(gè)7199國(guó)產(chǎn)機(jī)柜（新奇 生）個(gè)310掛墻式機(jī)柜（新奇 生）個(gè)511布線工程費(fèi)（含耗材）點(diǎn)719服務(wù)器項(xiàng)目設(shè)備名稱產(chǎn)品型號(hào)描述單位數(shù)量?jī)r(jià)格1WEB服務(wù)器HPProLiantDL580G5451993-AA1標(biāo)配處理器4顆

處理器二級(jí)緩存 8MB

主板芯片組Intel7300芯片組

擴(kuò)展插槽

PCI-Express插槽（多達(dá)11個(gè)可用）；標(biāo)配8個(gè)插槽

內(nèi)存類型DDR2

內(nèi)存容量8G

光驅(qū) 標(biāo)配薄型DVD光驅(qū)

配薄型DVD光驅(qū) 標(biāo)配支持8個(gè)SFFSAS/SATA，最多可支持16個(gè)SFFSAS/SATA

服務(wù)器處理器主頻

CPU核心 2.93GHz

四核

1個(gè)串行端口、1個(gè)定位設(shè)備（鼠標(biāo)）、1個(gè)正面視頻接口、1個(gè)背面視頻接口、1個(gè)鍵盤、共6個(gè)USB2.0端口：正面2個(gè)；背面2個(gè)內(nèi)部2個(gè)；1個(gè)iLO2遠(yuǎn)程管理端口；2個(gè)RJ-45網(wǎng)絡(luò)接口臺(tái)1200002數(shù)據(jù)/