大學校園服務器的部署方案

精品精品word文檔大學校園服務器的部署方案用戶需要分析服務器所處環(huán)境的建設原則服務器局域網技術選擇服務器所在網絡總體結構網絡設備選型和數量網絡設備報價網絡安全網絡管理網絡應用描述

內容摘要一、 用戶需要分析對比寫字樓和小區(qū)，大學校園的網絡有其獨特的需要。即要滿足老師辦公、教學的需要，也要滿足學生上網學習娛樂的需要，同時還要考慮學校的監(jiān)控需要。項目背景隨著信息化程度的提高，越來越多的學（院）校建了校園網和網站，把校園的介紹、規(guī)劃、招生、研究成果等發(fā)布在網站，讓更多的人了解自己的校園,甚至在網上即時進行學術交流等。在網絡信息技術高度發(fā)展的今天，xxx大學作為一個高等院校，為了方便學術交流、校友聯(lián)絡、招生報名、研究成果的發(fā)布等,建設自己的網站和郵件系統(tǒng)是必須的。在當前的信息互動交流中，電子郵件的應用憑借其快速、靈活的特點，在整個互聯(lián)網絡應用中有著舉足輕重的地位°xxx大學提供給師生優(yōu)質的電子郵件服務，不僅僅可以更好地利用現(xiàn)有網絡資源為廣大師生服務，還可以充分向海內外樹立和宣傳XXX大學的品牌形象，同時也方便了校友與母校的聯(lián)絡。信息化程度的提高，極大地促進了教育事業(yè)的發(fā)展，但是隨之而來的卻是信息安全問題。xxx大學校園網以廣域網絡作為支撐平臺，如何保障網絡安全成為不可避免的重大問題。在xxx大學校園網中，無論是有意的攻擊，還是無意的誤操作，都將會給信息系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網絡上的信息、竊取用戶的口令和數據庫的信息；還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名；更有甚者，攻擊者可以刪除數據庫內容、摧毀網絡節(jié)點、釋放計算機病毒等等。內部工作人員能較多地接觸內部信息，工作中的任何不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復雜。面對計算機網絡中的種種安全威脅，必須采取有力的措施來保證安全。無論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。在xxx大學校園網中，應防患于未然，一旦出了事，亡羊補牢，恐怕為時已晚。根據網絡安全監(jiān)測軟件的實際測試情況顯示，一個沒有安全防護措施的大型網絡，其安全漏洞可達1500個左右。目前的網絡中雖然采用一些安全產品，有一套安全制度，但由于各種客觀和主觀的原因仍然存在種種安全上的問題。同時，由于網絡的安全狀況隨著時間變化而變化，因此在作全網安全考慮時，除了合理的使用和配置各種安全軟件、硬件產品以外，日常的檢測和后續(xù)的服務也越來越受到重視。2、網絡簡況精品精品word文檔在xxx大學的網絡系統(tǒng)中，網絡設備產品類型包括路由器、防火墻、核心交換機、工作組交換機、以太網卡等，服務器平臺主要為WindowsServer2003,工作站系統(tǒng)平臺有：Win7/XP/2000Professional等，主要的服務器為：SMTP郵件服務器、SQL數據庫服務器、FTP文件傳輸服務器、OA辦公自動化服務器、網站服務器、圖書館資料管理服務器等等。根據xxx大學本部服務器部署拓撲圖，本部網絡的服務器分成兩個部分，一部分是對外提供服務的WEB服務器群、DNS服務器和郵件服務器，另一部分是對內提供服務的教學服務器、數據庫服務器、代理服務器等。對外提供服務的服務器接到了到CNCNet的防火墻的非軍事化區(qū)，而對內提供服務的服務器直接接到了主干交換機上。xxx大學校園網的財務專網，是通過網通提供的虛擬專網連接起來的一個單獨的廣域網絡，它通過財務信息發(fā)布服務器與整個校園網建立聯(lián)系。3、系統(tǒng)分析xxx大學校園網絡在規(guī)劃時，已考慮到了安全方面的問題，也采取了一些措施來保障網絡的安全，如使用防火墻、MPLS虛擬專用網等等。但是，這些安全措施是不完備的。校園網只考慮了對外服務器的安全性，對內服務器則是暴露在內部交換機上，隨時可能受到來自內部用戶的掃描、窺探和攻擊；整個網絡沒有采取防病毒措施，如果病毒擴散，將會迅速蔓延到整個網絡，后果不堪設想；在目前只有CNCNet出口的情況下，所有的服務器都接到一臺防火墻的DMZ上，從系統(tǒng)效率來看，這樣是不合適的，如果將來接到了CerNet上，可以考慮將一部分業(yè)務如郵件移到CerNet出口處的防火墻的DMZ區(qū)上。根據安全評估和檢測的結果，發(fā)現(xiàn)有以下問題：首先，整個網絡的結構復雜，服務器繁多，網絡管理員沒有合適的工具及時對整個網絡的安全狀況及時做出評估，無法防患于未然；其次，我們在對各服務器進行掃描的時候發(fā)現(xiàn)，有些服務器打開了多余的服務，攻擊者可以通過它們威脅服務器的安全；最后，有些服務程序本身存在漏洞，這些漏洞可以通過升級服務程序或者對服務器進行設置進行彌補。因此，我們不僅要采用新的安全設備和技術手段來加固現(xiàn)有的網絡系統(tǒng)，而且還要使用專業(yè)的安全服務對現(xiàn)有的服務器進行安全改造，全方位提高網絡的安全性4、方案實施我們綜合采用防火墻、入侵檢測、內容過濾和安全評估技術，建立xxx大學校園網安全系統(tǒng)框架：建立完整可行的網絡安全、網絡管理策略與技術組織措施；利用防火墻將內部網絡、對外服務器網絡和外網進行有效隔離，避免與外部網絡直接通信；利用防火墻建立網絡各主機和對外服務器的安全保護措施，保證系統(tǒng)安全；利用防火墻對網上服務請求內容進行控制，使非法訪問在到達主機前被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內；利用防火墻全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和阻止非法操作；利用防火墻及各服務器上的審計記錄，形成一個完善的審計體系，在策略之后建立第二條防線；在本部和各分校，利用入侵檢測系統(tǒng)，監(jiān)測對內，對外服務器的訪問；在本部和各分校，利用入侵檢測系統(tǒng)，對服務請求內容進行控制，使非法訪問在到達主機前被阻斷；在本部使用入侵檢測系統(tǒng)的控制臺，對各分校的探測器進行統(tǒng)一管理；在Internet出口處，使用NetHawk網絡行為監(jiān)控系統(tǒng)進行網絡活動實時監(jiān)控和內容過濾；在本部部署RJ-iTop網絡隱患掃描系統(tǒng)，定期對整個網絡的安全狀況進行評估，及時彌補出現(xiàn)的漏洞；使用安全加固手段對現(xiàn)有服務器進行安全配置，保障服務器本身的安全性；加強網絡安全管理，提高校園網系統(tǒng)全體人員的網絡安全意識和防范技術1、 辦公教學的需要：⑴校內公文和各種通知的流轉（即辦公自動化0A）。傳統(tǒng)的打印、張貼等方式已經顯得復雜和沒有效率，利用網絡可以快捷和便利的完成這類工作，使公文和通知可以在任何時候、任何地點被看到，擺脫時間和地點的限制。⑵教務信息管理（即信息服務、信息共享等）。包括對各種和教務相關的信息，如課程安排，任課教師安排等。利用網絡來對這些信息進行管理，比傳統(tǒng)的方式更為方便和快捷。老師同學們可以通過網絡查詢成績和課程表等。⑶郵件服務⑷網絡打印機⑸無線網絡接入。方便老師講課，使用。鑒于學校辦公計算機所實現(xiàn)的功能主要是對網絡數據的查詢、修改、添加、刪除等操作，因此網絡數據應該傳輸得比較快，才能提高辦公的效率。另外，辦公計算機應該能夠達到支持視頻傳送的要求，這就要求網絡有足夠的帶寬，采用交換式10/100M端口。（6）遠程教學，充分利用XX大學本部豐富優(yōu)秀的教育資源。2、 學生的需要：⑴互聯(lián)網應用。⑵FTP服務。精品精品word文檔⑶圖書館電子圖書的網絡化。⑷無線網絡移動接入。方便學生在自習室、圖書館可以使用自己的設備（筆記本、手機、PDA）穩(wěn)定高速的接入Internet。⑸社團活動使用網絡3、學校監(jiān)控的需要：⑴計算機網絡傳輸的視頻監(jiān)視器：利用現(xiàn)有的計算機網絡，不需要重新布置模擬監(jiān)控線路，節(jié)約成本；同時，通過計算機網絡統(tǒng)一控制監(jiān)視器。⑵計算機網絡控制的配電房。⑶圖書查詢和管理⑷一^通IC卡的管理二、 服務器所處環(huán)境的建設原則1、 穩(wěn)定可靠：對于任何一個計算機網絡，穩(wěn)定都是要首先保證的。我們使用成熟的數據備份、服務器備份、雙機熱備份和異地備份技術來保證網絡的穩(wěn)定可靠。2、 速度快：通過使用合理的設備以及介質，可以保證網絡速度滿足學校正常需求。3、 安全性：保證網絡可以抵御來自網絡內外的常見攻擊。4、 先進性：保證校園網絡建好后3年內不過時，5年內不過時。5、 功能齊全：在硬件預算一定的條件下，通過豐富的軟件，提供更多的功能。6、 可維護性：網絡的核心管理部分架設在學校辦公樓，使用CISCO成熟的網絡管理軟件技術，可以實現(xiàn)IP流量控制，訪問權限控制，端口控制的功能。7、 可升級性：網絡的無線部分只需要更換AP,就可以實現(xiàn)經濟的升級，實現(xiàn)對外來網絡技術的支持。8、 經濟性：保證用盡量少的錢建設一個夠用、適用、實用的校園網絡。9、三、 局域網技術選擇為了同時滿足經濟性、移動性、網絡性能的需要，我們計劃采用有線+無線的局域網方式。1、 有線網絡：IEEE802.3u,IEEE802.3z主干網絡部分使用高速度的1000MB光纖網絡連接，保證速度和穩(wěn)定。在用戶接入端，使用成熟廉價的100MB雙絞線網絡，獲得性能和價格平衡。2、 無線網絡：IEEE802.11a/b/g通過在有線網絡交換機上安裝AP的方式，實現(xiàn)學校范圍內的無線網絡覆蓋,綜合考慮性能、價格、成熟度等多方面因素，我們計劃采用IEEE802.11a/b/g標準的發(fā)射器作為學院無線網絡的AP。3、 介質采用：1000Base-TX,100Base-TX,1000Base-SX。教學樓、辦公樓、宿舍樓3部分互聯(lián)，因為距離較遠，使用多模光纖連接。各個樓內使用100MB雙絞線連接。4、 IP協(xié)議：使用IPV4協(xié)議。整個網絡都使用IPV4協(xié)議標準，節(jié)省成本，同時獲得良好的兼容性。宿舍區(qū)和機房使用CLASSB分配，其他部分使用CLASSC分配。4、其他技術VLAN：計劃使用基于端口的虛擬局域網VLAN技術，有效減小廣播域范圍，提高網絡性能，提高網絡安全性，同時減輕了網絡管理的工作量。VPN：使用Internet型VPN網絡方式連接到北京郵電大學校本部。MESH：在宿舍樓區(qū)，使用Azalea的MSR1000無線路由，構建全網裝結構無線網絡，大大提高無線網絡的負載能力。CSMA/CD：解決網絡交換中沖突的核心技術。四、 網絡總體結構1、 整個網絡采用拓撲星型結構+網狀結構，盡量減少總線結構的出現(xiàn)，大大降低沖突出現(xiàn)的幾率。2、 宿舍區(qū)無線網絡使用全網狀結構連接，利用MESH技術，避免AP帶寬枯竭，同時提供良好的移動漫游。3、 核心網絡設備設在教學樓的計算機中心，在辦公樓，學生宿舍都設置核心交換機。4、 核心交換機和核心路由器都做冷備份處理。XX學校地理結構樓宇分布圖精品精品word文檔校園網總拓撲結構圖接入層I I校園網總拓撲結構圖接入層I I核心路由器核心交換機1000MB多模光纖100M雙絞線注：每個樓、部門的方框內均獨立劃分一個VLAN，盡量減少廣播風暴

服務器組服務器分布圖8IJ8II8U42U寫MTP郵件服務器SQL數據庠服務器8IJ8II8U42U寫MTP郵件服務器SQL數據庠服務器FTP文件傳絶服務髒8UQA辦公自劾化服務嘴網站服務器服務器組直接選擇通過核心路由器直接介入校園網絡（如圖）：V宿舍區(qū)〉拓撲圖1000MB多模光纖1000M雙絞線100M雙絞線注：此圖僅畫出《1號樓》-《1號樓1層》-《101宿舍》的詳細拓撲結構，其他各級拓撲結構雷同。I 1接入層I I1000MB多模光纖1000M雙絞線100M雙絞線精品精品word文檔SJSJEHDEAPV食堂〉拓撲圖核心層分布層控制計算機學生的移動計算機設備食堂樓1000MBSJSJEHDEAPV食堂〉拓撲圖核心層分布層控制計算機學生的移動計算機設備食堂樓1000MB多模光纖1000M雙絞線100M雙絞線I 1接入層I I卜曲a刷卡器系辦公機房V教學樓〉拓撲圖辦公室辦公室網絡機房網絡媒體中心媒體中心網絡教學樓1000MB多模光纖1000M雙絞線100M雙絞線接入層I I核心層 分布層: 1000MB多模光纖1000M雙絞線100M雙絞線立體拓撲結構圖五、 網絡設備選型和數量TOC\o"1-5"\h\z核心路由器：CISCO3845 2臺核心交換機：CISCOWS-C4510R 6臺工作組交換機：CISCOWS-C2960-48TT-L 95臺服務器：Systemx3650(797951c) 6臺MESH網絡無線路由器：AzaleaMSR1000 16臺無線AP:CISCOAIR-LAP1131AG-P-K910臺六、網絡設備報價網絡產品型號單價(元)數量總價核心路由器CISCO3845515002103000精品精品word文檔核心交換機CISCOWS-C4510R600002120000工作組交換機CISCOWS-C2960-48TT-L1040095988000服務器Systemx3650(797951c)21000616000MESH網絡無線路由器AzaleaMSR10001500016240000無線APCISCOAIR-LAP1131AG-P-K93800元1038000多模光纖F0101344芯多模戶外光纖7.5元/米2000米150006類UTPAMPE類雙絞線1000Base-TX960元/箱4箱3840超5類UTPAMP5E類雙絞線100Base-TX550元/箱5箱2750水晶頭AMPRJ45110元/盒101100總計元注：報價來源于互聯(lián)網七、網絡安全1、 整個網絡使用防火墻和Internet相隔離，通過設置必要的安全訪問控制策略來保證內部校園網絡的安全。2、 依靠路由器上的設置進行最基礎的病毒防護。3、 校園內各個部門網絡使用VLAN進行隔離，通過防火墻設置訪問控制策略來控制其他部門的非法訪問。4、 在學校路由器和各個客戶端上做好綁定客戶端的設置。5、 公共電腦限制已經知道的黑客站點、黃色站點等病毒站點，禁用Cookie功能，禁止Brower、ClipBook、IndexingService、NetLogon、NetMeetingRemoteDesktopSharing、RemoteRegistryService、Telnet，禁止SmartCardHelper、SmartCard、FaxService等服務。6、 ARP攻擊的應對方法：下載綁定網關批處理文件，解壓后，將其中的ip-mac.bat文件拷到C盤根目錄下，將autoMACTP.vb放到啟動組里,即可實現(xiàn)開機自動綁定網關地址，以達到預IWRP病毒攻擊。八、 網絡管理1、 應用CISCONetFlow網絡管理解決方案進行全面的網絡管理操作。2、 當網絡出現(xiàn)故障，可以遠程，通過超級終端，虛擬登陸到校園網的路由和交換機上，使用CISCOIOS系統(tǒng)排除故障。3、 定期購買CISCOIOS更新版本，通過升級路由、交換機的IOS系統(tǒng)，修正CISCO的BUG,晚上整個校園網。九、 網絡應用描述1、 教學辦公：A、 多媒體教室可以通過網絡直接共享課件，同時多媒體教室也具備遠程雙向視頻教學的功能。B、 學校內所有的辦公室都連接在一個VLAN中，可以方便的電子傳遞文件，開視頻會議。C、 FTP服務器有專門的教學資源部分。D、 通過校園網的SMTP服務器提供電子郵件服務。E、 通過學校無處不在的無線網絡，老師可以開設戶外試驗課，社團也可以利用無線網絡進行好多應用。F、 學校的運動會、戶外晚會都可以使用無線網絡連接到多媒體中心，進行視頻的實時制作處理，為將來的校園電視臺提供網絡硬件平臺。2、 學生學習生活：A、 學生可以通過宿舍的以太網瀏覽INTERNET，也可以在無