校園網(wǎng)絡安全問題及對策

1、Anhui Vocactional & Technical College of Industry & Trade畢業(yè)論文校園網(wǎng)絡安全問題及對策The campus network security problems and countermeasures所在系院： 計算機信息工程系 專業(yè)班級： 計算機應用技術(shù)三班 學生學號： 2014030333 學生姓名： 鄭 巖 指導教師： 賀 繼 東 年 月 日安徽工貿(mào)職業(yè)技術(shù)學院畢業(yè)設計（論文）摘 要網(wǎng)絡安全的本質(zhì)是網(wǎng)絡信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網(wǎng)絡信息的存儲、傳輸和使用過程體現(xiàn)。

2、校園網(wǎng)絡安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是保證網(wǎng)絡安全的基礎，安全技術(shù)是配合安全管理的輔助措施。學校建立了一套校園網(wǎng)絡安全系統(tǒng)是必要的。本文從對校園網(wǎng)的現(xiàn)狀分析了可能面臨的威脅，從計算機的安全策略找出解決方案既用校園網(wǎng)絡安全管理加防火墻加設計的校園網(wǎng)絡安全系統(tǒng)。通過以下三個步驟來完成校園網(wǎng)絡安全系統(tǒng)：1、 建設規(guī)劃；2、 技術(shù)支持；3、 組建方案。關(guān)鍵詞：網(wǎng)絡； 安全； 設計ABSTRACTNetwork security is the essence of the safety of n

3、etwork information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process. Campus network security management is in anti-virus software, a firewall or intelligence gateway, et

4、c, the defense system to prevent from outside the campus. A firewall is a firm between inner and outer net security barrier. Safety management is the basis of network security and safety technology is the auxiliary measures with safety management. The school has established a set of campus network s

5、ecurity system is necessary.Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system. Through three steps to complete the campus

6、network security system: 1, the construction plan. 2 and technical support. 3 and construction scheme.Keyword: Network, Safe ；Design目 錄摘 要I關(guān)鍵詞：IABSTRACTIIKeyword:II引 言V第一章 校園網(wǎng)絡安全11.1 校園網(wǎng)概述11.2 校園網(wǎng)絡安全概述11.3 校園網(wǎng)絡安全現(xiàn)狀分析21.4 校園網(wǎng)絡安全威脅41.4.1 計算機病毒41.4.2 網(wǎng)絡攻擊校園網(wǎng)面臨的另一個安全威脅就是網(wǎng)絡攻擊。51.4.3 存在的安全隱患。7第二章 校園網(wǎng)絡安全策略

7、92.1 校園網(wǎng)安全管理92.2校園網(wǎng)網(wǎng)絡安全方案102.2.1事前的身份認證102.2.3事后的完整統(tǒng)計11第三章 校園網(wǎng)絡安全系統(tǒng)設計133.1 校園網(wǎng)建設需求分析133.1.1 需求分析133.1.2 關(guān)鍵設備143.1.3 校園網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)153.2 技術(shù)方案163.2.1 校園網(wǎng)的建設規(guī)劃163.2.2 組網(wǎng)技術(shù)203.2.3 網(wǎng)絡操作系統(tǒng)233.2.4 Internet接入技術(shù)233.2.5 防火墻技術(shù)23第四章 建網(wǎng)方案254.1 網(wǎng)絡組成254.1.1 網(wǎng)絡主干254.1.2 網(wǎng)絡中心254.1.3 計算機教室254.1.4 教師備課機房264.1.5 圖書館系統(tǒng)264.1.

8、6 多媒體綜合教室264.1.7 校長辦公室及其它相關(guān)處室274.2 虛擬網(wǎng)設計274.3 網(wǎng)絡軟件運行平臺28第五章 校園網(wǎng)的運行305.1 校園網(wǎng)的應用305.1.1 校園網(wǎng)管理信息系統(tǒng)305.1.2校園網(wǎng)計算機教學系統(tǒng)305.1.3校園網(wǎng)站305.2 校園網(wǎng)的管理31總 結(jié)32致 謝33參考文獻34引 言隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡安全建設和管理工作。但是在高校網(wǎng)絡建設的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速

9、增長，關(guān)鍵性應用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務并重的帶有運營性質(zhì)的網(wǎng)絡，校園網(wǎng)在學校的信息化建設中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個高校不可回避的一個緊迫問題。 隨著教育信息化的不斷推進，各高等院校都相繼建成了自己的校園網(wǎng)絡并連入互聯(lián)網(wǎng)，校園網(wǎng)在學校的信息化建設中扮演了至關(guān)重要的角色。但必須看到，隨著校園網(wǎng)絡規(guī)模的急劇膨脹,網(wǎng)絡用戶的快速增長，尤其是校園網(wǎng)絡所面對的使用群體的特殊性（擁有一定的網(wǎng)絡知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證校

10、園網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網(wǎng)絡安全問題刻不容緩。V第一章 校園網(wǎng)絡安全1.1 校園網(wǎng)概述信息技術(shù)已引起了全面而深刻的社會變革，為此，世界各國政府都對教育的發(fā)展給予了前所未有的關(guān)注，把信息化教育放到重要的位置上，紛紛提出了本國的信息化教育規(guī)劃。是否在學校采用最先進的信息和傳播技術(shù)是一個有決定性意義的問題,而且十分重要的是,學校應該處于影響整個社會深刻變革的中心地位。 因此校園網(wǎng)信息系統(tǒng)的建設，是非常必要的，也是可行的。當前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，發(fā)展對學校教育現(xiàn)代

11、化的建設提出了越來越高的要求。教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息服務的要求越來越強烈。我國各級教育研究部門、軟件開發(fā)單位、教學設備供應商和各級學校不斷開發(fā)提供了各種在網(wǎng)絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡環(huán)境。計算機技術(shù)的飛速發(fā)展，使相應產(chǎn)品價格不斷下降；同時人們的認識水平和經(jīng)濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教育信息管理和信息服務是完全可行的。1.2校園網(wǎng)絡安全概述自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡遠程訪問而構(gòu)成的安全威脅成為日益受到嚴重關(guān)注的問題。根據(jù)美國FBI的調(diào)查

12、，美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過170億美元。由于校園網(wǎng)絡內(nèi)運行的主要是多種網(wǎng)絡協(xié)議，而這些網(wǎng)絡協(xié)議并非專為安全通訊而設計。操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC；防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設置錯誤，需要經(jīng)過檢驗；來自內(nèi)部網(wǎng)用戶的安全威脅；缺乏有效的手段監(jiān)視、評估網(wǎng)絡系統(tǒng)的安全性；采用的TCP/IP協(xié)議族軟件，本身缺乏安全性；應用服務的安全，許多應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。1.3 校園網(wǎng)絡安全現(xiàn)狀分析隨著網(wǎng)絡技術(shù)的發(fā)展，可以說現(xiàn)在的大部分

13、學校都建立了校園網(wǎng)絡并投入使用，這對加快信息處理、提高工作效率、實現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實現(xiàn)資源共享的同時，網(wǎng)絡的安全問題越來越成為一個非常嚴懲的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現(xiàn)代化的進程中，如果這一個隱患不除，那么也許有一天，學校信息平臺服務器遭到攻擊而停止工作、整個校園網(wǎng)絡被迫停止、學校積累的各種數(shù)據(jù)和信息被刪除了，導致辛苦積累的大量教育資源被破壞。比如2003年暴發(fā)的“震蕩波、沖擊波、FORM.A”等病毒，雖沒有造成很大的損失，但足以使認識到網(wǎng)絡安全的重要性。因此，如何在現(xiàn)有的條件下避免這樣事件發(fā)生，搞好網(wǎng)絡的安全工作已成了一

14、個重要課題。1997年開始，我國校園網(wǎng)絡建設悄然興起。全國各省市都把建設校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。1999年9月，教育部決定正式啟動國家現(xiàn)代遠程教育工程，清華大學、浙江大學、北京郵電大學、湖南大學等高校獲準進行試點。目前，這幾所院校已初步形成了開辦現(xiàn)代遠程教育的技術(shù)手段。各校在實踐中逐漸意識到：一所學校教育質(zhì)量的好壞，學術(shù)水平層次的高低，與教學手段的先進程度有一定關(guān)系，教學手段對學校整體的發(fā)展有著直接影響。在世界各發(fā)達國家，校園網(wǎng)的建設速度似乎不亞于其他如政府網(wǎng)的興建速度。現(xiàn)代教育的實施程度也與校園網(wǎng)絡建設直接相關(guān)聯(lián)。如美國要求所有中小學生都能上網(wǎng)，都能使用電子郵件，并計劃將全國122

15、所一流大學與社會廣泛連接，構(gòu)筑一個教育與研究的專用網(wǎng)絡；英國提出要在2000年成立網(wǎng)上工業(yè)大學，到2002年所有中小學、圖書館、學院和大學全部介入全國的學習網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。 1996年，教育部提出要以全國1000所中小學校作為試點，建立起各自的校園網(wǎng)絡。截止2000年年初，教育部宣布有500多家已建立?？梢哉f，在國家政策扶持下，我國校園網(wǎng)建設取得了飛速發(fā)展。但現(xiàn)實中，各地在建立學校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學校建網(wǎng)初期就缺乏整體規(guī)劃，從而導致主干網(wǎng)和各子網(wǎng)通路不暢，或是導致后期整體效率不高；有的學校缺乏必要的網(wǎng)絡建設監(jiān)督人員，將項目交給一些實力較

16、弱或是責任心較差的公司全權(quán)負責，結(jié)果導致建網(wǎng)質(zhì)量偏低，后期維護費用偏大；還有的學校認為校園網(wǎng)就是"一攬子"計劃，忽視了后期維護和配套建設工作，從而導致后期預算偏緊，校園網(wǎng)難以正常運作為了解決上述問題，在建網(wǎng)時應注意：1. 校園網(wǎng)建設沒有通用方案，每個學校應根據(jù)自身實際情況（資金和技術(shù)能力），設計自身的校園網(wǎng)絡；2. 校園網(wǎng)建設是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能"一蹴而就"，更不能只考慮局部建設，而缺乏整體規(guī)劃；3. 重視對教師的培訓，避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡應用效率不高，從而導致資源的浪費。隨著計算機網(wǎng)絡的廣泛使用和網(wǎng)絡之間信息傳輸量的急劇增長，

17、一些機構(gòu)和部門在得益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復制，數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時有發(fā)生，非更改考試成績；更改英語全國四、六級統(tǒng)考成績；更改考研成績；非法盜取學校招生、分配機密等。綜上所述，網(wǎng)絡必須有足夠強的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。1.4 校園網(wǎng)絡安全威脅1.4.1 計算機病毒 計算機病毒是一組通過復制自身來感染其它軟件的程序。當程序運行時，嵌入的病毒也隨之運行并感染其它程序。

18、計算機病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計算機病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。破壞性是指計算機病毒可能會干擾軟件的運行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運行，又或者毀掉部分數(shù)據(jù)或程序，使之無法恢復，甚至可以毀壞整個系統(tǒng)，導致系統(tǒng)崩潰。傳染性則是計算機病毒能通過自我復制傳染到內(nèi)存、硬盤甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨立存在而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計算機病毒可以長時間地潛伏在文件中，在相應的觸發(fā)機制出現(xiàn)前并不影響計算機，但當被觸發(fā)后，則后果嚴重。激發(fā)性是指病毒程序可以按照沒計者的要求，例如指定的日期、時間或特定的條件出現(xiàn)在

19、某個點激活并發(fā)起攻擊。計算機病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認識其傳播途徑和傳播機理。計算機病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時候的病毒傳播還是線下傳播。隨著計算機網(wǎng)絡的發(fā)展，計算機病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設備中的固化病毒程序等方式實現(xiàn)。病毒還可以利用網(wǎng)絡的薄弱環(huán)節(jié)攻擊計算機網(wǎng)絡。在現(xiàn)有的各計算機系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡系統(tǒng)軟件方面存在著漏洞。因此網(wǎng)絡病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。1.4.2 網(wǎng)絡攻擊校園網(wǎng)面臨的另一個安全威脅就是網(wǎng)絡攻擊。廣義的網(wǎng)絡攻擊

20、包括很多方面。這里結(jié)合校園網(wǎng)絡安全的特點，重點介紹拒絕服務(DoS，Daniel of Service)攻擊。之所以介紹拒絕服務攻擊，因為拒絕服務攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因為校園網(wǎng)用戶集中度高、密度大為拒絕服務攻擊提供了天然條件。加之學生的好奇心的因素，導致拒絕服務攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。拒絕服務攻擊是通過攻擊主機、服務器、路由器等網(wǎng)絡設備，導致被攻擊網(wǎng)絡無法提供服務的一種攻擊方式。典型的拒絕服務攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。拒絕服務攻擊的方法多樣。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多

21、種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說主要有以下幾種：1死亡之Ping。早期的網(wǎng)絡不支持大包，攻擊者通過網(wǎng)絡發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡，造成網(wǎng)絡堵塞以致癱瘓。目前的網(wǎng)絡已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。2淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝導致網(wǎng)絡訪問失敗的方式。3UDP洪水攻擊。攻擊利用如chargen和echo等簡單的TCPIP服務相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡的方式。4 SYN洪水攻擊。攻擊者通過想服務器發(fā)送連續(xù)的SYN握手信息來癱瘓服務器的攻擊方式。5 LAND攻擊 該攻擊是讓服務器自己向自己發(fā)送SYN握手信息已達到癱瘓主機的目的。6

22、Smurf攻擊。攻擊者將報文地址設為Echo地址，這樣Echo78地址就必須不問斷的響應該報文，使得網(wǎng)絡帶寬被侵占，從而達到癱瘓網(wǎng)絡的目的。7. Fraggle攻擊。Fraggle攻擊對Smurf攻擊做了修改。8電子郵件炸彈。通過向一臺服務器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務器的作用。9急性消息攻擊。借助機器對某些消息為進行錯誤校驗來攻擊服務器。10分布式拒絕服務攻擊。它是威力最強大的拒絕服務攻擊方式，其主要采用多臺服務器對同一網(wǎng)絡同時發(fā)起攻擊，導致該網(wǎng)絡瞬間癱瘓。常見的拒絕服務攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網(wǎng)絡安全造成很大的危害。1

23、.4.3 存在的安全隱患。以我校為例，校園網(wǎng)絡存在的安全隱患和漏洞有:1計算機與Internet相連，卻沒有安裝相應的殺毒軟件及防火墻。2使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內(nèi)大部分計算機系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡又對社會開放，這樣一來只要接入INTERNET的用戶就可以對校園的網(wǎng)絡服務器進行攻擊，而流行于網(wǎng)絡上的很多病毒如“震蕩波、沖擊波、尼姆達”病毒都是利用系統(tǒng)的漏洞來進行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞。3目錄共享導致

24、信息的外泄, 在校園網(wǎng)絡中，利用在對等網(wǎng)中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所有的人都沒有充分認識到當一個目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。我曾經(jīng)搜索過外地機器的一個C類IP網(wǎng)段，發(fā)現(xiàn)共享的機器就有十幾臺，而且許多機器是將整個C盤、D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網(wǎng)絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。因而對目錄共享安全意識的單薄，會導致了信息的外泄。4網(wǎng)絡安全意識淡薄，校園網(wǎng)絡上的攻擊、

25、侵入他人機器，盜用他人帳號非法使用網(wǎng)絡、非法獲取未授權(quán)的文件、通過郵件等方式進行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應用服務器和普通計算機平均一個星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡上的用戶安全意識淡??；另外，沒有制定完善而嚴格的網(wǎng)絡安全制度，各校園網(wǎng)在安全管理上也沒有任何標準，這也是網(wǎng)絡安全問題泛濫的一個重要原因.由此可見，構(gòu)筑具有必要的信息安全防護體系，建立一套有效的網(wǎng)絡安全機制顯得尤其重要第二章 校園網(wǎng)絡安全策略2.1 校園網(wǎng)安全管理規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校

26、園網(wǎng)絡安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎的保障。配備完整系統(tǒng)的網(wǎng)絡安全設備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡安全控制和監(jiān)管設備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡的故障可以迅速定位并解決。解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認證系統(tǒng) 。校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身

27、份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡安全管理制度 。 網(wǎng)絡安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡的監(jiān)控和管理。2.2校園網(wǎng)網(wǎng)絡安全方案 2.2.1事前的身份認證對于每一個需要訪問網(wǎng)絡

28、的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果：每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。只有經(jīng)過網(wǎng)絡中心授權(quán)的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。圖2-1 網(wǎng)絡授權(quán)中心2.2.2網(wǎng)絡攻擊的防范對于常見的比如

29、沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的ACL，能夠?qū)@些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關(guān)鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的

30、數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關(guān)鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的

31、，交換機把它們轉(zhuǎn)發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。2.2.3事后的完整統(tǒng)計當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪

32、問網(wǎng)絡，什么時候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。圖2-2 用戶上網(wǎng)日志第三章 校園網(wǎng)絡安全系統(tǒng)設計3.1 校園網(wǎng)建設需求分析3.1.1 需求分析局域網(wǎng)最大的特點就是可以實現(xiàn)資源的最佳利用,如:共享磁盤設備、打印機等,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺共享打印機上進行打印;當然也可以借助Wingate或Sygate等軟件多機共享一臺Modem上網(wǎng)；或者通過代理服務器連上Internet，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為：10Mbps網(wǎng)卡（ISA 插口或PCI插口）、100Mbps PCI插口網(wǎng)卡、

33、10Mbps/100Mbps自適應網(wǎng)卡和千兆網(wǎng)卡。目前10Mbps ISA插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于10Mbps ISA插口網(wǎng)卡的網(wǎng)絡傳輸速率低，且占用大量的CPU資源，只適應于那些對速度要求不高的局域網(wǎng)，因此用100Mbps PCI插口的網(wǎng)卡或者10Mbps/100Mbps自適應網(wǎng)卡，夠適應于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進行多媒體信息傳輸?shù)膽铆h(huán)境。BNC口是用細同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口，RJ45的接口酷似電話線的接口，但網(wǎng)絡線使用的是8芯的接頭，使用RJ45的缺點是架設成本高，但安裝和維護較為方便，

34、因此我們一般使用RJ45接口。集線器 (HUB):根據(jù)微機的數(shù)量,利用 HUB構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB的處理速率遠遠低于通信線路的傳輸速度 ,從而造成瓶頸問題。因此有條件的話可選用交換機。一個 Hub所組成的域稱為沖突域 ,也就是說 ,網(wǎng)絡上任何一臺計算機在收發(fā)數(shù)據(jù)時 ,其他所有計算機都能夠收到 ,且這些計算機不能同時進行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞(CSMA/ CD協(xié)議會阻止碰撞 )。此外每臺接入 Hub的計算機 ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應用。學校校園

35、網(wǎng)是為學校師生提供教學、管理、科研和綜合信息服務的寬帶多媒體網(wǎng)絡；是學校信息化教學環(huán)境的基礎設施和實現(xiàn)各項管理的物質(zhì)基礎；是建立遠程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項靈魂工程。其設計方案應注意以下原則：實用性校園網(wǎng)設計應能滿足學校目前對網(wǎng)絡應用的要求，充分實現(xiàn)學校內(nèi)部管理、教學和科研的網(wǎng)絡化、信息化的要求，使網(wǎng)絡的整體性能盡快得到充分的發(fā)揮，并且便于掌握。可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡結(jié)構(gòu)較為復雜，同時在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率)，提高容錯設計，支持故障檢測和恢復，

36、可管理性強。統(tǒng)一性在系統(tǒng)的設計過程中，堅持"三統(tǒng)一"，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口。先進性在系統(tǒng)的開發(fā)過程中，既能滿足當前院校對網(wǎng)絡的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活變通，以便適應客戶的其他要求。3.1.2 關(guān)鍵設備在產(chǎn)品選購之前一定要經(jīng)過認真的分析，這次參與組網(wǎng)的機構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡系統(tǒng)的內(nèi)部核心交換機，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標足以滿足網(wǎng)絡目前的需求。選擇Cata

37、lyst 3548作為外網(wǎng)交換機?？梢酝ㄟ^千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Catalyst 3524和Catalyst 3548作為計算機網(wǎng)絡系統(tǒng)的二級匯聚交換機，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機網(wǎng)絡系統(tǒng)DDN、ISDN訪問路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴展的需求。同時Cisco 3662作為計算機網(wǎng)絡系統(tǒng)的撥號服務器，提供分支機構(gòu)的撥號接入。 網(wǎng)絡核心層：用一臺Cis

38、co的高端三層交換機Catalyst 6506作為整個交換系統(tǒng)的核心，由網(wǎng)絡中心網(wǎng)絡管理員統(tǒng)一調(diào)度，從而使計算機網(wǎng)絡系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡通信平臺。其中配置兩個電源同時供電，彼此分擔負荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力，利用Cisco特有的Netflow技術(shù)，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC

39、的8端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網(wǎng)管工作站及網(wǎng)絡應用服務器都直接連入到核心層設備上去。 匯聚層：在分配線間分別設立Cisco Catalyst 3524和Catalyst 3548作為計算機網(wǎng)絡系統(tǒng)匯聚層設備，匯聚層設備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設備Catalyst 6506上去，終端用戶可以通過超5類UTP線纜連接到各層交換機中去，可以實現(xiàn)10/100M的自適應通道連接到局域網(wǎng)中去。接入層；在網(wǎng)絡接入層中我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實現(xiàn)各自功能：1.ADSL接入方式。2. FT

40、TX+LAN接入方式。 3.1.3 校園網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)根據(jù)校園網(wǎng)的需求分析及建設目標，本設計方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。網(wǎng)絡拓撲采用星型樹結(jié)構(gòu)，網(wǎng)絡中心的交換機使用堆疊方式連接。 圖3-1（網(wǎng)絡拓撲結(jié)構(gòu)）3.2 技術(shù)方案3.2.1 校園網(wǎng)的建設規(guī)劃校園網(wǎng)建設作為一項復雜的系統(tǒng)工程，與任何一項工程建設一樣，在開始建設前都要根據(jù)工程的特點事先進行詳細的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設質(zhì)量以及今后網(wǎng)絡能否可靠運行都有直接的關(guān)系，因此要特別認真地進行系統(tǒng)規(guī)劃。對于校園網(wǎng)來說，必須對技術(shù)和教育的發(fā)展前景有著清醒的認識，只有這樣，才能從很好地為校園網(wǎng)進行合理

41、的規(guī)劃。1 校園網(wǎng)的應用特點 隨著現(xiàn)代化教學活動的開展和與國內(nèi)外教學機構(gòu)交往的增多，對通過網(wǎng)絡進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡建設成為現(xiàn)代教育機構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點： 高速的局域網(wǎng)連接-校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設重點，由于參與網(wǎng)絡應用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項基本要求； 信息結(jié)構(gòu)多樣化-校園網(wǎng)應用分為電子教學（多媒體教室、電子圖書館等）、學校管理和遠程通訊（遠程教學、互聯(lián)網(wǎng)接入）

42、三大部分內(nèi)容：電子教學包含大量多媒體信息，學校管理以數(shù)據(jù)庫為主，遠程通訊則多為WWW方式，因此數(shù)據(jù)成分復雜，不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求； 操作方便，易于管理-校園網(wǎng)面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)化； 經(jīng)濟實用-學校對網(wǎng)絡建設的投入有限，因此要求建成的網(wǎng)絡應經(jīng)濟實用，具備很高的性能價格比。 2校園網(wǎng)的需求分析 在著手設計一個校園網(wǎng)或者計算機局域網(wǎng)時，其主要依據(jù)就是網(wǎng)絡用戶（學校）的需求及將要建設的網(wǎng)絡系統(tǒng)的特點。通過對實際需要進行細致的分析，才能確定系統(tǒng)的總體目標和近期目標。需求分析是如何設計、建設和應用校園網(wǎng)的關(guān)鍵。在完成校園網(wǎng)

43、的需求分析之后，就要對整個校園進行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設計。校園網(wǎng)具體的需求分析有如下幾點：（1） 總體目標對于一個校園網(wǎng)來說，系統(tǒng)的總體目標就是在一個時期內(nèi)，當校園網(wǎng)完全建設好后所要達到的功能和具有的規(guī)模。一般來說，一個校園網(wǎng)系統(tǒng)總體目標是分步實施的，包括功能的分步實施和規(guī)模的分步實施。主要原因是受資金的限制（這是在建設校園網(wǎng)時普遍遇到的問題）和技術(shù)發(fā)展的影響（因為隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展，校園網(wǎng)總會有進行升級的需求）。因此我們在設計一個校園網(wǎng)時，要充分考慮到對已有校園網(wǎng)資源的再次利用，又要考慮到將來對校園網(wǎng)進一步的升級改造。（2）近期目標近期目標就是根據(jù)實際需求來設計和建設校園網(wǎng)，使建

44、設好后的校園網(wǎng)能滿足實際需求所應有的功能和規(guī)模，同時又要考慮將來能對校園網(wǎng)進一步的升級改造或者是后期工程的建設，系統(tǒng)近期目標是需求分析的重點。3 網(wǎng)絡結(jié)構(gòu)設計 校園網(wǎng)絡結(jié)構(gòu)設計主要是進行網(wǎng)絡的物理設計和邏輯設計，在完成結(jié)構(gòu)設計后才能對網(wǎng)絡設備進行選型。網(wǎng)絡結(jié)構(gòu)設計對于整個網(wǎng)絡系統(tǒng)來說是十分重要的，它設計的成功與否都直接影響網(wǎng)絡的使用功能的實現(xiàn)以及網(wǎng)絡是否能滿足網(wǎng)絡的需求。（1）物理設計根據(jù)需求分析，可以知道整個校園網(wǎng)信息點的數(shù)目，同時也知道這些信息點在整個校園內(nèi)的分布情況。當我們確定網(wǎng)絡控制中心的位置后，就應該考慮如何把校園內(nèi)的信息點連到網(wǎng)絡控制中心以及各種設備的連接速率和網(wǎng)絡使用的拓撲結(jié)構(gòu)等

45、，網(wǎng)絡系統(tǒng)所使用來連接各種網(wǎng)絡設備的傳輸介質(zhì)也是需要考慮的問題。（2）邏輯設計網(wǎng)絡的邏輯設計主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分，通過實際的網(wǎng)絡物理連接，依據(jù)實際需求來實現(xiàn)虛擬網(wǎng)絡(VLAN)的設置。無論從網(wǎng)絡的安全性和IP地址的可管理性來考慮，還是從有效利用IP地址資源的角度來考慮，將整個校園網(wǎng)劃分為多個子網(wǎng)網(wǎng)段并對IP地址資源進行有效管理都是十分必要的。4網(wǎng)絡技術(shù) 學校建設校園網(wǎng)有許多需要考慮的問題，如網(wǎng)絡技術(shù)的選擇、網(wǎng)絡拓撲結(jié)構(gòu)的選擇、網(wǎng)絡產(chǎn)品的選擇、網(wǎng)絡服務器的選擇以及操作系統(tǒng)、網(wǎng)絡應用服務、網(wǎng)絡管理及網(wǎng)絡安全等方面。下面根據(jù)前面介紹過的各種網(wǎng)絡技術(shù)來進行校園網(wǎng)組建技術(shù)的選擇。(1) 網(wǎng)

46、絡技術(shù)類型網(wǎng)絡系統(tǒng)的建設應遵循高可靠性、技術(shù)先進、開放性、成熟標準、易于擴展、可維護性好等原則，并充分考慮性能價格比和今后技術(shù)的發(fā)展。要求系統(tǒng)兼容性好，易于平滑連接，避免網(wǎng)絡瓶頸。當前達到或超過100Mbps的高速網(wǎng)絡技術(shù)主要有：快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。FDDI是幾年前十分流行的高速網(wǎng)絡技術(shù)，雖然技術(shù)十分成熟，但網(wǎng)絡管理復雜且成本較高，現(xiàn)已被逐漸淘汰。ATM是比較先進的網(wǎng)絡技術(shù)，它采用信元交換方式，以很高的速率在任意兩點間建立直接的虛擬通信鏈路，有較強的傳輸質(zhì)量控制能力，特別適合于多媒體信息的傳輸。但在實際使用事因端口價格過高，難以大規(guī)模采用。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價廉

47、的網(wǎng)絡技術(shù)，其標準已制定完備。經(jīng)過多年發(fā)展，形成了完善的10Mbps、100Mbps和千兆以太網(wǎng)技術(shù)，同時還由共享式的網(wǎng)絡發(fā)展成為交換式的以太網(wǎng)，具備與FDDI、ATM網(wǎng)絡融合的多種方法與規(guī)范。從技術(shù)上看，以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地，是一種能夠到長期使用和發(fā)展的技術(shù)，另外以太網(wǎng)還可以在不同速率之間平滑升級，不會有網(wǎng)絡協(xié)議和規(guī)范上的障礙。綜全以上對高速網(wǎng)絡技術(shù)的分析，我認為在當前校園網(wǎng)的建設中應以建設和使用100Mbps快速以太網(wǎng)為主，在局部主干上使用千兆技術(shù)進行連接。(2) 網(wǎng)絡拓撲的選擇當前在局域網(wǎng)的建設中，主要應用的拓撲結(jié)構(gòu)有總線型、環(huán)型和星型。在總線型網(wǎng)絡中，由于各計算機共享一條通信電

48、纜，而且不需要額外的通信設備，因此，可以節(jié)約組網(wǎng)費用。但是其缺點也是十分明顯的，網(wǎng)絡中的任何一個節(jié)點出現(xiàn)故障，都將導致整個網(wǎng)絡癱瘓，這與在網(wǎng)絡建設要求網(wǎng)絡具有高可靠性和沉佘性不相符，因此使用總線型拓撲結(jié)構(gòu)建設的網(wǎng)絡已趨于淘汰，在新的網(wǎng)絡建設中不應再使用。環(huán)型拓撲結(jié)構(gòu)是令牌環(huán)網(wǎng)絡技術(shù)所常用的一種網(wǎng)絡拓撲結(jié)構(gòu)，環(huán)型結(jié)構(gòu)的缺點與總線型的缺點是差不多的，也是一種不太常用的網(wǎng)絡拓撲。當前在各種網(wǎng)絡系統(tǒng)的建設中使用最多的是星型拓撲結(jié)構(gòu)，雖然星型拓撲結(jié)構(gòu)的網(wǎng)絡在布線和網(wǎng)絡設備的花費多一些，不過目前各種硬件設備已經(jīng)非常便宜了，這種花費是可以承受的。因而它的優(yōu)點也是十分突出的，主要是當網(wǎng)絡中某個節(jié)點出現(xiàn)故障時不

49、會影響整個網(wǎng)絡的運行，這使得網(wǎng)絡從總體上可以提供高度的可靠性和沉佘性，這個性能十分適合校園網(wǎng)這種應用環(huán)境，也是校園網(wǎng)的建設中必須要求做到的。圖3-2（網(wǎng)絡結(jié)構(gòu)）3.2.2 組網(wǎng)技術(shù) 組網(wǎng)技術(shù)就是在有了網(wǎng)絡的設計方案和各種網(wǎng)絡設備之后，怎樣把不同的網(wǎng)絡設備按設計方案的要求連接起來所用到的各種技術(shù)。組網(wǎng)絡技術(shù)在整個網(wǎng)絡的建設過程中是最重要的階段之一，它直接關(guān)系到建設出來的網(wǎng)絡系統(tǒng)能否達到設計要求，能不能投入使用這樣嚴重的問題，如在組網(wǎng)中有不按規(guī)范和標準來施工的話，建出的網(wǎng)絡系統(tǒng)的質(zhì)量是達不到設計要求，是不能滿足用戶需求的。組網(wǎng)技術(shù)主要包括：布線系統(tǒng)、Internet接入技術(shù)、防火墻等。1布線系統(tǒng)設

50、計 結(jié)構(gòu)化布線系統(tǒng)的組成：網(wǎng)絡系統(tǒng)的正常運行主要取決于網(wǎng)絡設備和網(wǎng)絡線路，對于網(wǎng)絡系統(tǒng)來說，采用結(jié)構(gòu)化布線系統(tǒng)能夠很好地滿足需求，特別是從計算機網(wǎng)絡系統(tǒng)可靠運行的角度來說，布線系統(tǒng)的可靠性決定了網(wǎng)絡系統(tǒng)通信信道的可靠性，它是計算機網(wǎng)絡系統(tǒng)可靠運行的前提。整個布線系統(tǒng)主要包含光纖布線和室內(nèi)綜合布線系統(tǒng)。布線系統(tǒng)的主要是依據(jù)建筑物的分布圖，國際商務建筑線纜標準（TIA/ELA 586A ）和建筑與建筑物綜合布線系統(tǒng)工程設計規(guī)范來設計的。使用結(jié)構(gòu)化布線工程設計的布線系統(tǒng)具有實用性、靈活性、可擴充性以及真正的開放性。一次性布線，可保證在十五到二十年之內(nèi)，其系統(tǒng)性能不會下降，功能也不會落后，真正達到一次

51、投資，長期受益。建成后的結(jié)構(gòu)化布線系統(tǒng)將具有滿足多種計算機網(wǎng)絡系統(tǒng)（10/100/1000M Switch、FDDI、ATM）對線路的要求，不僅能實現(xiàn)計算機端口的靈活配置，而且方便計算機網(wǎng)絡的平滑升級和擴充。 光纖布線主要是用在建筑物之間或樓層之間，這些建筑的距離一般都比較遠，超出了雙絞線的連接距離，具體情況要看信息點的分布和數(shù)量以及對網(wǎng)絡帶寬的要求來決定。室內(nèi)布線采用5類（超5類）非屏蔽雙絞線進行布線。整個布線工程分為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng)，建筑子系統(tǒng)和管理子系統(tǒng)來施工的。 工作區(qū)子系統(tǒng)由終端設備連接到信息插座的連線和信息插座所組成，通過插座即可以引出電話也可以連接數(shù)據(jù)終端，在

52、RJ-45插座內(nèi)不僅可以插入數(shù)據(jù)通信通用的RJ-45接頭，也可以插入電話機專用的RJ-45插頭。 水平子系統(tǒng)是將樓層配線間路延伸到用戶工作區(qū)，并連向各個信息插座。線纜由配線間進入房間后，可走天花板或橋架,以走暗線的原則走線。電纜橋架應高出地面2.2米以上，橋架頂部距頂棚或其他障礙物不應小于0.3m。橋架寬度不宜小于0.10m，橋架內(nèi)橫斷面的填充率應小于50%。結(jié)構(gòu)化系統(tǒng)的布線是放射型的，線纜量較大，所以線槽量的計算是很重要的，按照標準的線槽設計方法，應根據(jù)水平線的外徑來確定線槽的容量，即：線槽的橫截面積=水平線截面積之和*3 。 垂直主干子系統(tǒng)用于連接樓層配線室，垂直干纜系統(tǒng)的安裝主要是由一連

53、串通過地板對準配線間的垂直豎井組成的，可以連接摟層間的配線室。垂直子系統(tǒng)的連接可用多根雙絞線形成集束穿過豎井進入水平子系統(tǒng)，外用線槽以保護和固定。 建筑子系統(tǒng)是在各棟建筑物之間的相互連接，組成一個較大的建筑群綜合布線系統(tǒng)。這一部分布線系統(tǒng)可以采用架空電纜、直埋電纜或地下管道內(nèi)穿電纜，或者是這三者的任何組合，具體使用看施工現(xiàn)場而定。建筑子系統(tǒng)一般都采用光纖進行連接。 管理子系統(tǒng)設置在配線設備和機房內(nèi)，管理子系統(tǒng)由配線間、輸入/輸出（I/O）設備等組成。管理子系統(tǒng)提供了與其他子系統(tǒng)連接手段，整個綜合布線系統(tǒng)及其連接的設備、器件等構(gòu)成一個有機的整體。管理子系統(tǒng)內(nèi)有部分主干布線和部分水平線的機械終端，

54、為無源或有源或用于兩個系統(tǒng)連接的設備提供設施。3 2布線系統(tǒng)的測試 在結(jié)構(gòu)化布線完工后，必須對整個系統(tǒng)進行測試后才能投入使用，以保證系統(tǒng)能達到設計要求。測試主要依據(jù)TIA/EIA 568A以及建筑及建筑群結(jié)構(gòu)化布線系統(tǒng)工程驗收規(guī)范來進行，測試內(nèi)空包括線纜的長度、接線圖、信號衰減、近端串擾、信噪比等。其中最重要的技術(shù)指標是衰減端串擾，它直接影響著雙絞線的傳輸性能。 3.2.3 網(wǎng)絡操作系統(tǒng)網(wǎng)絡操作系統(tǒng)NOS（Network Operating System）是在計算機操作系統(tǒng)的基礎上，加上一些具有實現(xiàn)網(wǎng)絡訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議，是使網(wǎng)絡上各計算機能夠方便有效地共享網(wǎng)絡資源、為

55、網(wǎng)絡用戶提供所需的各種服務軟件和規(guī)程的集合。目前主要的網(wǎng)絡操作系統(tǒng)有NetWare、Unix、Linix和Windows NT/2003。在校園網(wǎng)中一般情況下都用Windows NT/2003網(wǎng)絡操作系統(tǒng)，因為它是圖形化的操作界面、使用簡單、安全可靠，以及和普及率很高Windows系列單機操作系統(tǒng)的兼容性很好。 3.2.4 Internet接入技術(shù) 如果校園網(wǎng)不能和Internet連接的話，就不能是一個完整的網(wǎng)絡，也不能充分利用Internet網(wǎng)上的大量信息資源。因此校園網(wǎng)和Internet的連接技術(shù)就顯得十分重要了，它關(guān)系到校園網(wǎng)與外部網(wǎng)絡能能否進行可靠的連接。當前適合校園網(wǎng)與Interne

56、t的寬帶連接方式主要有ADSL和光纖專線接入。ADSL是一種非對稱的寬帶網(wǎng)絡數(shù)據(jù)傳輸技術(shù)，它的一個明顯優(yōu)勢是經(jīng)濟上實用。ADSL寬帶線路通過ADSL Modem接入Internet代理服務器的網(wǎng)卡上的，不過ADSL專線的接入是用傳統(tǒng)的模擬電話雙絞線線路布線不很規(guī)范，線路質(zhì)量不夠好，達不到高速傳輸?shù)囊?，目前它只用在一些中小型網(wǎng)絡。光纖接入是一種在校園網(wǎng)建設中普遍使用的一種技術(shù)，它是通過構(gòu)建專用的Internet服務器來實現(xiàn)的，在服務器上運行各種網(wǎng)絡服務軟件，為校園內(nèi)部的用戶提供Internet的接入服務。光纖接入的優(yōu)點是可提供比較高的網(wǎng)絡帶寬和穩(wěn)定性，但它的連接較為復雜。3.2.5 防火墻技術(shù)

57、 防火墻是計算機網(wǎng)絡上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡與Internet之間或其它外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪，用來保護內(nèi)部網(wǎng)絡。防火墻簡單的可以只用路由器實現(xiàn)，復雜的則可以用主機甚至一個子網(wǎng)來實現(xiàn)，設置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設立惟一的通道來自簡化網(wǎng)絡的安全管理。防火墻的功能主要是過濾掉不安全服務和非法用戶與控制對特殊站點的訪問以及提供監(jiān)視Internet安全和預警的方便端點。由于網(wǎng)絡具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。因此，防火墻只能是一種整體安全防范政策的一部分。實現(xiàn)防火墻技術(shù)從層次上大概可以分為報文過濾和應用層網(wǎng)關(guān)。報文過濾是在IP層實現(xiàn)的，它的原理是根據(jù)報文的源IP地址、目的IP地址、源端口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。在用應用層網(wǎng)關(guān)實現(xiàn)的防火墻有多種方式，如應用代理報務器和網(wǎng)地址轉(zhuǎn)換器等。在校園網(wǎng)中大部分的應用都是內(nèi)部網(wǎng)絡用戶，而內(nèi)部用戶通常具有較大的訪問權(quán)限，因此局域網(wǎng)絡系統(tǒng)的安全是整個網(wǎng)絡系統(tǒng)安全中最重要的部分。但相對而言，內(nèi)部的安全問題是可以預測的，并可據(jù)此制定相應的防范措施。第四章 建網(wǎng)方案