網(wǎng)絡安全大作業(yè)校園網(wǎng)絡設計

1、題 目姓名： 班級： 計算機073 學號： 07013663 姓名： 班級： 計算機073 學號： 07013610 姓名： 班級： 計算機073 學號： 07013668 （為本方案的主要負責同學）計算機與信息學院二零一零年六月一、方案背景介紹XX中學校園網(wǎng)絡 12幢樓宇約458個信息點。其中1幢辦公樓32個信息點， 3幢教學樓60個信息點（19+20+21=60），7幢教師宿舍樓172個信息點（21+21+28+28+27+36+11=172），1幢教輔用房硅步樓194個信息點（122+60+12=194）。主干網(wǎng)絡提供1000M帶寬，到桌面提供100M帶寬，連接15幢樓宇，校內(nèi)互聯(lián)，學校

2、各部門子系統(tǒng)連接校園主干網(wǎng)口，各網(wǎng)段內(nèi)、各網(wǎng)段之間計算機互訪和校內(nèi)資源共享；校園網(wǎng)與國際互聯(lián)網(wǎng)相連：局域網(wǎng)內(nèi)的計算機通過WWW服務器代理網(wǎng)。核心內(nèi)部網(wǎng)絡建設，包括DNS服務器、EMAIL服務器、WWW服務器、FTP服務器、BBS服務器、數(shù)據(jù)庫服務器等，對外能與Internet互聯(lián)，對內(nèi)提供校內(nèi)各種局域網(wǎng)的接口，提供Internet服務，如電子郵件、遠程登陸、文件傳輸、信息查詢等。提供網(wǎng)絡教學環(huán)境：網(wǎng)絡提供視頻、音頻、課件在校園網(wǎng)內(nèi)傳輸，提供視頻點播系統(tǒng)服務；提供辦公自動化管理服務：進行各類公文收發(fā)、分類的處理；提供遠程用戶訪問服務。 二、方案設計任務分工 方案設計，找資料：龔卓成,陳林滔開題報

3、告：龔卓成，陳林滔解決方案報告撰寫：何駿,龔卓成解決方案報告修改：何駿,陳林滔三、需求分析從對內(nèi)安全和對外安全兩個角度進行分析:1.來自外部網(wǎng)絡的安全威脅 由于需要，網(wǎng)絡與外部網(wǎng)絡進行了連接，這些連接集中在安全威脅的第一層，包括：如果內(nèi)部網(wǎng)絡和這些外部網(wǎng)絡之間的連接為直接連接，外部網(wǎng)絡則可以直接訪問內(nèi)部網(wǎng)絡的主機，若內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。 由于需要，學生和教師在非校區(qū)內(nèi)使用ISP撥號上網(wǎng)連接上Internet，進入學校內(nèi)部網(wǎng)網(wǎng)絡，這時非法的internet用戶也可以通過各種手段訪問內(nèi)部網(wǎng)絡。這種連接使學校內(nèi)部網(wǎng)絡很容易受到來自internet的攻擊。攻擊一旦發(fā)生，首先

4、遭到破壞的將是辦公自動化網(wǎng)的主機，另外，通過使用連接托管服務器網(wǎng)站與辦公自動化網(wǎng)的DDN專線，侵入者可以繼續(xù)攻擊托管服務器網(wǎng)站部分。攻擊的手段以及可能造成的危害多種多樣。 1.對外安全分析安裝軟件、硬件防火墻，網(wǎng)絡防病毒軟件，客戶端防病毒軟件 利用代理服務器提供Internet與Intranet之間的防火墻功能 通過網(wǎng)管軟件實時記錄網(wǎng)絡的運行狀態(tài)。2.來自內(nèi)部網(wǎng)絡的安全威脅網(wǎng)絡上的節(jié)點眾多，網(wǎng)絡應用復雜，網(wǎng)絡管理困難。這些問題主要體現(xiàn)在安全威脅的第二和第三個層面上，具體問題： 網(wǎng)絡的實際結構無法控制； 網(wǎng)管人員無法及時了解網(wǎng)絡的運行狀況； 無法了解網(wǎng)絡的漏洞和可能發(fā)生的攻擊； 對于已經(jīng)或正在發(fā)

5、生的攻擊缺乏有效的追查手段； 訪問控制的問題2.對內(nèi)安全分析 利用VLAN的安全特性，按照學校各部分的基本工作性質(zhì)結合樓宇的分布劃分子網(wǎng)網(wǎng)段 一方面對子網(wǎng)內(nèi)信息點設置訪問控制，另一方面對不同子網(wǎng)的訪問進行控制。 服務器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、教務管理平臺的訪問和管理采用有效的掃描工具，定期對網(wǎng)絡進行掃描，發(fā)現(xiàn)網(wǎng)絡結構的變化，及時糾正錯誤使用有效的工具，及時發(fā)現(xiàn)錯誤，關閉非法應用，保證網(wǎng)絡的安全 進行客觀的網(wǎng)絡風險評估，及時發(fā)現(xiàn)網(wǎng)絡中的安全隱患，并提出切實可行的防范措施 記錄攻擊行為的全過程，為調(diào)查工作提供依

6、據(jù)網(wǎng)絡安全設計方案樓宇交換機 樓宇交換機 網(wǎng) 管交換機 桌面交換機 桌面交換機 DNS對內(nèi)安全：利用VLAN的安全特性，按照學校各部分的基本工作性質(zhì)結合樓宇的分布劃分子網(wǎng)網(wǎng)段：1段，辦公樓；段，教師周轉(zhuǎn)房（1，2）；段，為臨江園2幢教師住宿樓，段為硅步樓，段為2號教師住宿樓，段為1號教師住宿樓。段為3幢教學樓。一方面對子網(wǎng)內(nèi)信息點設置訪問控制，另一方面對不同子網(wǎng)的訪問進行控制。服務器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、教務管理平臺的訪問和管理對外安全：安裝軟件、硬件防火墻，網(wǎng)絡防病毒軟件，客戶端防病毒軟件；利用代理服務

7、器提供Internet與Intranet之間的防火墻功能；通過網(wǎng)管實時記錄網(wǎng)絡的運行狀態(tài)。網(wǎng)絡可靠性設計：網(wǎng)絡主干采用基于樹型的多星型結構，使之具有鏈路冗余特性，能使樹型中有一線路出現(xiàn)故障時，只有本線路出故障，其它網(wǎng)絡部分仍然能正常運行。接入Internet：采用DDN接入。DDN是英文Digital Data Network的縮寫，這是隨著數(shù)據(jù)通信業(yè)務發(fā)展而迅速發(fā)展起來的一種新型網(wǎng)絡。基于端口的虛網(wǎng)劃分；利用VIAN國際標準802.1Q，實現(xiàn)跨交換機的VLAN，通過IEEE802.1d協(xié)議所支持的生成樹技術（Spanning Tree），實現(xiàn)各中繼之間的負載均衡；采用VLANPruning技

8、術來優(yōu)化交換網(wǎng)絡中廣播對網(wǎng)絡性能的影響；網(wǎng)絡管理方案設計：根據(jù)學校和服務器應用模式及全網(wǎng)范圍資源集中管理的原則，建立網(wǎng)管中心（中心機房），統(tǒng)一網(wǎng)絡中的交換設備的管理配置，虛網(wǎng)設計和配置，各種服務建立等。建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據(jù).對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網(wǎng)絡的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識.對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)

9、據(jù)保護法等，明確計算機用戶和系統(tǒng)管理人員應履行的權利和義務，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網(wǎng)絡系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。網(wǎng)管工作站對全網(wǎng)所有交換設備和路由設備進行統(tǒng)一管理、配置和維護；進行故障隔離、分析、統(tǒng)計、報警、設置；網(wǎng)管軟件采用圖形化界面，支持廣泛的網(wǎng)管平臺。物理安全

10、層面：對計算機系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面執(zhí)行設備所規(guī)定的標準機房場地環(huán)境的選擇計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。 機房的安全防護為了防止未經(jīng)過授權的個人或者團體篡改數(shù)據(jù)盜竊計算機設備，應做到物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設備外設多層安全防護圈，以防止

11、非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。五、總結擁有一個高水準的校園網(wǎng)，必將促進校園網(wǎng)絡應用向WWW、E-mail、FTP的更高層次應用發(fā)展。計算機網(wǎng)絡技術的發(fā)展，引發(fā)了學校各項工作的深刻變革。高性能校園網(wǎng)的建設大大提高了學校的管理水平，為師生員工更好地進行教學、科研等提供了先進的平臺，極大地推動了學校的信息化建設。統(tǒng)一平臺、整合資源，將很多原來劃分在不同部門、不同系統(tǒng)的應用放在一個同時兼具高度靈活性、穩(wěn)固的校園網(wǎng)平臺上，產(chǎn)生出巨大的協(xié)同效應，甚至從根本上改變了原有的教育模式。同時進一步利用這個平臺有效整合學校內(nèi)部資源，以信息化促進學校內(nèi)外部業(yè)務統(tǒng)一、流程優(yōu)化。隨著校園網(wǎng)基礎建設的加強及學校信息化程度的提高，學校最終將迎來科學管理和教學的新時代。 計算機網(wǎng)絡安全是一項復雜的系統(tǒng)工程，涉及技術、設備、管理和制度等多方面