校园网络安全设计方案4篇

校园网络安全设计方案4篇校园网络安全设计方案　甘肃工业职业技术学校　题目：　校园网络安全规划与设计　学　院:经济管理专　业:电子商务　姓　名:邢燕子　班　级:0932学　号:093下面是小编为大家整理的校园网络安全设计方案4篇,供大家参考。

篇一：校园网络安全设计方案

　 题目 ：

　 校园网络安全规划与设计

　 学

　 院: 经济管理 专

　 业: 电子商务

　 姓

　 名: 邢燕子

　 班

　级: 0932 学

　号: 09322029

　甘肃工业职业技术学校

　摘

　要

　网络安全的本质是网络信息的安全性， 包括信息的保密性、 完整性、 可用性、真实性、 可控性等几个方面， 它通过网络信息的存储、 传输和使用过程体现。

　校园网络安全管理是在防病毒软件、 防火墙或智能网关等构成的防御体系下， 对于防止来自校园网外的攻击。

　防火墙， 则是内外网之间一道牢固的安全屏障。

　安全管理是保证网络安全的基础， 安全技术是配合安全管理的辅助措施。

　学校建立了一套校园网络安全系统是必要的。

　 本文从对校园网的现状分析了 可能面临的威胁， 从计算机的安全策略找出解决方案既用校园网络安全管理加防火墙加设计的校园网络安全系统。

　通过以下三个步骤来完成校园网络安全系统：

　1、

　建设规划； 2、

　技术支持； 3、

　组建方案。

　 关键词：

　网络；

　安全；

　设计

　 校园网络安全

　自信息系统开始运行以来就存在信息系统安全问题， 通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。

　根据美国 FBI 的调查， 美国每年因为网络安全造成的经济损失超过 170 亿美元。

　由于校园网络内运行的主要是多种网络协议， 而这些网络协议并非专为安全通讯而设计。

　所以， 校园网络可能存在的安全威胁来自以下方面：

　1. 操作系统的安全性， 目前流行的许多操作系统均存在网络安全漏洞， 如 UNIX服务器， NT 服务器及 Windows 桌面 PC；

　2. 防火墙的安全性， 防火墙产品自身是否安全， 是否设置错误， 需要经过检验；

　3. 来自内部网用户的安全威胁；

　4. 缺乏有效的手段监视、 评估网络系统的安全性；

　5. 采用的 TCP/IP 协议族软件， 本身缺乏安全性；

　6. 应用服务的安全， 许多应用服务系统在访问控制及安全通讯方面考虑较少， 并且，如果系统设置错误， 很容易造成损失。

　甘肃工业职业技术学校

　 - 1 -

　 1.1 校园网络安全现状分析

　 随着网络技术的发展， 可以说现在的大部分学校都建立了 校园网络并投入使用， 这对加快信息处理、 提高工作效率、 实现资源共享都起大了 无法估量的作用，但在积极发展办公自动化、 信息电子化、 实现资源共享的同时， 网络的安全问题越来越成为一个非常严惩的隐患， 就好像一颗定时炸弹一样， 深深的埋在教育现代化的进程中， 如果这一个隐患不除， 那么也许有一天， 学校信息平台服务器遭到攻击而停止工作、 整个校园网络被迫停止、 学校积累的各种数据和信息被删除了， 导致辛苦积累的大量教育资源被破坏。

　比如 2003 年暴发的“震荡波、 冲击波、 FORM.A”等病毒， 虽没有造成很大的损失， 但足以使认识到网络安全的重要性。

　因此， 如何在现有的条件下避免这样事件发生， 搞好网络的安全工作已成了 一个重要课题。

　1997 年开始， 我国校园网络建设悄然兴起。

　全国各省市都把建设校园网作为现代教育的头等大事来抓。

　1999 年 9 月， 教育部决定正式启动国家现代远程教育工程， 清华大学、 浙江大学、 北京邮电大学、 湖南大学等高校获准进行试点。

　目前， 这几所院校已初步形成了开办现代远程教育的技术手段。

　各校在实践中逐渐意识到：

　一所学校教育质量的好坏， 学术水平层次的高低，与教学手段的先进程度有一定关系， 教学手段对学校整体的发展有着直接影响。

　在世界各发达国家， 校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。

　如美国要求所有中小学生都能上网， 都能使用电子邮件， 并计划将全国 122 所一流大学与社会广泛连接， 构筑一个教育与研究的专用网络； 英国提出要在 2000 年成立网上工业大学， 到 2002 年所有中小学、 图书馆、 学院和大学全部介入全国的学习网； 新加坡提出八岁儿童能阅读， 十二岁儿童能上网。

　 1996 年， 教育部提出要以全国 1 000 所中小学校作为试点， 建立起各自的校园网络。

　截止 2000 年年初， 教育部宣布有 500 多家已建立。

　可以说， 在国家政策扶持下， 我国校园网建设取得了飞速发展。

　但现实中， 各地在建立学校校园网的过程中又存在这样那样的问题， 如有的学校建网初期就缺乏整体规划， 从而导致主干网和各子网通路不畅， 或是导致后期整体效率不高； 有的学校缺乏必要的网络建设监督人员， 将项目 交给一些实力较弱或是责任心较差的公司全权负责， 结果导致建网

　甘肃工业职业技术学校

　- 2 -

　 质量偏低， 后期维护费用偏大； 还有的学校认为校园网就是"一揽子"计划， 忽视了后期维护和配套建设工作， 从而导致后期预算偏紧， 校园网难以正常运作为了 解决上述问题， 在建网时应注意：

　1. 校园网建设没有通用方案， 每个学校应根据自身 实际情况 （资金和技术能力），设计自身 的校园网络；

　2. 校园网建设是一个周期较长， 规模庞大的系统工程， 不能"一蹴而就"， 更不能只考虑局部建设， 而缺乏整体规划；

　3. 重视对教师的培训， 避免因教师素质原因导致网络应用效率不高， 从而导致资源的浪费。

　随着计算机网络的广泛使用和网络之间信息传输量的急剧增长， 一些机构和部门在得益于网络加快业务运作的同时， 其上网的数据也遭到了不同程度的破坏,或被删除或被复制， 数据的安全性和自身 的利益受到了 严重的威胁。

　校园网也同样不能幸免。

　黑客入侵校园网的新闻也时有发生， 非更改考试成绩；更改英语全国四、 六级统考成绩； 更改考研成绩； 非法盗取学校招生、 分配机密等。

　综上所述， 网络必须有足够强的安全措施。

　无论是公众网还是校园网中， 网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性， 这样才能确保网络信息[7] 的保密性、 完整性和可用性。

　1.2

　校园网络安全威胁

　1 计算机病毒

　计算机病毒是一组通过复制自 身来感染其它软件的程序。

　当程序运行时， 嵌入的病毒也随之运行并感染其它程序。

　计算机病毒种类繁多， 形形色色， 但就已经发现的计算机病毒而言， 其危害性主要表现为破坏性、 传染性、 寄生性、 潜伏性和激发性几大特征。

　破坏性是指计算机病毒可能会干扰软件的运行， 或者无限制地侵占系统资源使系统无法运行， 又或者毁掉部分数据或程序， 使之无法恢复， 甚至可以毁坏整个系统， 导致系统崩溃。

　传染性则是计算机病毒能通过自我复制传染到内存、 硬盘甚至文件中。

　寄生性表现为病毒程序一般不独立存在． 而是寄生在磁盘系统区或文件中。潜伏性则是指计算机病毒可以长时间地潜伏在文件中， 在相应的触发机制出现前并不影响计算机， 但当被触发后， 则后果严重。

　激发性是指病毒程序可以按照没计者的要求， 例如指定的日 期、 时间或特定的条件出现在某个点激活并发起攻击。

　计算机病毒的传染性证明其具有传播性， 防止病毒传播， 首先必须认识其传播途径和传播机理。

　计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、

　甘肃工业职业技术学校

　- 3 -

　 携带病毒的盗版光盘的使用等传播。

　这时候的病毒传播还是线下传播。

　随着计算机网络的发展， 计算机病毒传播主要是通过磁盘拷贝、 互联网上的文件传输、 硬件设备中的固化病毒程序等方式实现。

　病毒还可以利用网络的薄弱环节攻击计算机网络。

　在现有的各计算机系统中都存在着一定的缺陷， 尤其是网络系统软件方面存在着漏洞。

　因此． 网络病毒利用软件的破绽和研制时因疏忽而留下的“后门” 大肆发起攻击。

　 2 网络攻击校园网面临的另一个安全威胁就是网络攻击。

　 广义的网络攻击包括很多方面。

　这里结合校园网络安全的特点， 重点介绍拒绝服务(DoS， Daniel of Service)攻击。

　之所以介绍拒绝服务攻击， 因为拒绝服务攻击在校园网发牛的更为普遍。

　这是因为校园网用户集中度高、 密度大． 为拒绝服务攻击提供了 天然条件。

　加之学生的好奇心的因素， 导致拒绝服务攻击发生频率较高，是危害校园网安全的重要类型之一。

　拒绝服务攻击是通过攻击主机、 服务器、 路由器等网络设备， 导致被攻击网络无法提供服务的一种攻击方式。

　典型的拒绝服务攻击表现为攻击者向被攻击网络大陆发送数据从而消耗其资源、 使得用户无法访问所需信息。

　拒绝服务攻击的方法多样。

　攻击者在发起攻击时， 可能采取单一手段的攻击模式， 也可能采取多种攻击手段联合使用的模式。

　就其攻击手段来说． 主要有以下几种：

　1）

　死亡之 Ping。

　早期的网络不支持大包， 攻击者通过网络发送大母的大数据包到被攻击者网络， 造成网络堵塞以致瘫痪。

　目 前的网络已经能够支持大包， 这种方式已经不再出现。

　2）

　泪滴攻击。

　攻击者采用修改包片段字头的方式， 使得包无法正确组装． 导致网络访问失败的方式。

　3 ）

　UDP 洪水攻击。

　攻击利用如 chargen 和 echo 等简单的 TCP／ IP 服务． 相互发送大量数据以沾满带宽， 从而瘫痪网络的方式。

　4 ) SYN 洪水攻击。

　攻击者通过想服务器发送连续的 SYN 握手信息来瘫痪服务器的攻击方式。

　5 ) LAND 攻击 该攻击是让服务器自己向自己发送 SYN 握手信息． 已达到瘫痪主机的目的。

　6 ) Smurf 攻击。

　攻击者将报文地址设为 Echo 地址， 这样 Echo78 地址就必须不问断的响应该报文， 使得网络带宽被侵占， 从而达到瘫痪网络的目 的。

　7 ) Fraggle 攻击。

　Fraggle 攻击对 Smurf 攻击做了修改。

　8 )电子邮件炸弹。

　通过向一台服务器大量的不间断的发送电子邮件， 起到瘫痪

　甘肃工业职业技术学校

　- 4 -

　 服务器的作用。

　9 )急性消息攻击。

　借助机器对某些消息为进行错误校验来攻击服务器。

　10)分布式拒绝服务攻击。

　它是威力最强大的拒绝服务攻击方式， 其主要采用多台服务器对同一网络同时发起攻击， 导致该网络瞬间瘫痪。

　常见的拒绝服务攻击主要有以上几种， 攻击者攻击目的和攻击水平不同， 选用的方式不同。

　无论哪种方式， 都对网络安全造成很大的危害。[5]

　3

　存在的安全隐患,以我校为例， 校园网络存在的安全隐患和漏洞有:

　1 ) 计算机与 Internet 相连， 却没有安装相应的杀毒软件及防火墙。

　2) 使用的操作系统存在安全漏洞， 网络木马、 病毒和黑客攻击影响到系统的安全。

　校内大部分计算机系统或多或少都存在着各种的漏洞， 校园网络又对社会开放， 这样一来只要接入 INTERNET 的用户就可以对校园的网络服务器进行攻击，而流行于网络上的很多病毒如“震荡波、 冲击波、 尼姆达” 病毒都是利用系统的漏洞来进行病毒传播的， 加上带毒的木马程序， 一感染便驻留在你的计算机当中， 在以后的计算机启动后， 木马就在机器中打开一个服务， 通过这个服务将你计算机的信息、 资料向外传递。

　3) 目录共享导致信息的外泄, 在校园网络中， 利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。

　但可以说几乎所有的人都没有充分认识到当一个目 录共享后， 就不光是校园网内的用户可以访问到， 而是连在网络上的各台计算机都能对它进行访问。

　这也成了数据资料安全的一个隐患。

　我曾经搜索过外地机器的一个 C 类 IP 网段， 发现共享的机器就有十几台，而且许多机器是将整个 C 盘、 D 盘进行共享， 并且在共享时将属性设置为完全共享，且不进行密码保护， 这样只要将其映射成一个网络硬盘， 就能对上面的资料、 文档进行查看、 修改、 删除。

　因而对目录共享安全意识的单薄， 会导致了 信息的外泄。

　4) 网络安全意识淡薄， 校园网络上的攻击、 侵入他人机器， 盗用他人帐号非法使用网络、 非法获取未授权的文件、 通过邮件等方式进行骚扰和人身攻击等事件经常发生、 屡见不鲜， 我校应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试， 而其中一大部分的非法访问源自校内， 说明校园网络上的用户安全意识淡薄； 另外， 没有制定完善而严格的网络安全制度， 各校园网在安全管理上也没有任何标准， 这也是网络安全问题泛滥的一个重要原因.由此可见，构筑具有必要的信息安全防护体系， 建立一套有效的网络安全机制显得尤其重要.

　甘肃工业职业技术学校 2013/11/12

　- 8 -

　 2.

　校园网络安全策略

　校园网的安全威胁既有来自校内的， 也有来自校外的， 只有将技术和管理都重视起来， 才能切实构筑一个安全的校园网。

　国内高校校园网的安全问题有其历史原因：

　在以前的网络时期， 一方面因为意识与资金方面的原因， 以及对技术的偏好和运营意识的不足， 普遍都存在“重技术、轻安全、 轻管理“的倾向， 常常只是在内部网与互联网之间放一个防火墙就万事大吉， 有些学校甚至直接连接互联网， 这就给病毒、 黑客提供了充分施展身手的空间。而病毒泛滥、 黑客攻击、 信息丢失、 服务被拒绝等等， 这些安全隐患只要发生一次，对整个网络都将是致命性的。

　作为高等院校， 如何构筑相对可靠的校园网络安全体系问题， 变得越来越突出了。

　一般来说， 构筑校园网络安全体系， 要从两个方面着手：

　一是采用先进的技术；二是不断改进管理方法。

　 2.1

　校园网安全管理

　针对目前高校校园网安全现状的认识与理解， 在防病毒软件、 防火墙或智能网关等构成的防御体系下， 对于防止来自校园网外的攻击已经足够。

　以下五点是高校的安全策略：

　1 、 规范出口管理， 实施校园网的整体安全架构， 必须解决多出口的问题。

　对于出口...

篇二：校园网络安全设计方案

　题

　目大学校园网网络规划与设计

　学生姓名

　张风娟

　 学

　号

　2009303501231

　 专业班级

　 09 级网络二班

　指导教师

　成静

　设计时间

　 2011 年 6 月

　前言 1.1 某高校背景 某高校是一所极具现代意识、以现代化教学为特色的公办高校。

　为了推进教育学信息化和现代化学 校计划在校内建立校园内部网并通过千兆位链路连接与国际互联网相连。

　根据学校的要求我们按照“统一规划、讲究实效、安全可靠”的原则进行某高校园网综合系统设计 以满足校园内计算机网络系统的需要。

　对于某高校来说由于将有越来越多的资料信息和管理平台放到校园网上 越来越多的用户使用校园网 校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。

　我 XX 公司与XX 公司一起通过专场技术交流会、XX 认证培训、项目设计和方案论证等形式为某高校提供了良好的服务。

　校园网发挥的作用

　为全校教师、 科研人员、 管理人员、 学生提供一个先进的计算机网络环境

　并将计算机引入教学、科研、管理和学习等各个领域改善学校教学科研、管理和学习环境提高其水平熟悉现代化的工作环境和掌握先进的教学、科研、管理和学习手段有利于培养面向世界、面向未来的高层次人才。某高校着重进行了校园网的接入并与电化教室相结合配合多媒体设备使该校的信息化建设跨上了一个新台阶。

　一、用户需求分析 信息化建设目标的建设不但应考虑现有的硬件、软件同时还应考虑学校教师的信息化教育能力不但网络要建起来软件也要贴近应用同时还应加强教师培训才能逐步实现教育由应试教育转向素质教育转化。

　项目总体目标是建立物理上覆盖学校教学楼与办公楼的千兆主干校园网百兆交换到桌面使学校所有部门的网络和计算机都能够方便地连接到网络配置必要的计算机网络设备、布线设备和辅料为学校的教学、管理和研究提供服务。

　本项目的需求可概括为如下几部分

　一个学校内用户众多对信息的安全有一定的要求各楼层的分布情况如下 11 号楼图书馆

　对图书馆内各类图书进行管理对图书资料进行处理。

　建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。

　2综合楼实验室和办公楼 主要以校领导、财务、人事为主要用户。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护管理中心内设有网站、电子邮箱、精品课程、FTP 资源、办公系统以及视频点播等服务器。

　32 号楼、3 号楼、4 号楼教学楼 主要是多媒体教室各二级学院办公室 二、网络结构拓扑图

　三、网络综合布线 1 实用性能支持多种数据通信、多媒体技术及信息管理系统等能够实现现在和未来技术的发展。

　2 灵活性任意信息点能够连接不同类型的设备如微机、打印机、终端、服务器、监视器等。

　3 开放性能支持任何厂家的任意网络产品支持任意网络结构如总线型、星型、环形等。

　4)

　模块化所有的接插件都是积木式的标准件方便使用、管理和扩充。

　5)

　扩展性实施后的综合布线系统是可扩充的以便将来有更大需求时能够容易将设备安装接入。

　6 经济性一次性投资长期受益维护费用低是整体投资达到最少。

　 依据这些原则可以确定该学校的综合布线拓扑结构应该为星型保证综合布线系统的灵活性和扩展性。由于有几栋教学楼 所以本方案设计包括综合布线的所有子系统。

　3.2 结构化布线系统 结构化布线划成 6 个部分工作区子系统、水平子系统、垂直子系统、设备间子系统、建筑群子系统。

　⑵ 水平子系统设计 水平子系统也称为水平干线子系统 它是从工作区的信息插座开始到管理间子系统的配线架。结构一般为星型结构它与垂直子系统的区别在于水平子系统总是在一个楼层上仅与信息插座、管理间连接。在综合布线系统中水平子系统通常由 4 对 UTP(非屏蔽双绞线组成。在高带宽应用时可以采用光缆。水平子系统连接管理子系统至工作区包括水平布线、信息插座、电缆终端及交换。

　水平干线子系统的设计涉及到水平子系统的传送介质和部件集成主要有 4 点

　1 确定线路走向。

　2 确定线缆、槽、管的数量和类型。

　3 确定线缆的类型和长度。

　4 订购电缆和线缆。

　 电缆的用量可以用以下公式进行计算

　 每层楼的用线量 C=【0.55×L+S)+6]×N

　L本楼层离管理间最远信息点距离。

　 S本楼层离管理间最近信息点的距离。

　 N: 本楼层信息点的总数。

　 0.55备用系数。

　 6端接容差。

　缆长度按每信息点平均线长 55 米计算 并考虑到用户工作区跳线所需线缆用量总共需要双绞线 15 箱305 米/箱 。水平线缆将干线线缆延伸到用户工作区.在本项目中设计采用的是 Lucent 公司 8 芯非屏蔽双绞线( UTP )是符合 EIA/TIA 568A 标准的超五类线双绞线 1061004CSL+。它在传输数据时 可以在 150 米范围内具有标准 10Mbps 的传输速率在 100 米内保证 155Mbps 的传输速率。此外它也可以传输各种 70V 直流电压及在相应的距离下传输 10MHZ 及 100MHZ 频率以内的弱电信号. ⑷ 垂直干线子系统 垂直子系统也称垂直干线子系统或骨干子系统它提供建筑物的主干线缆负责连接管理子系统到设备子系统的子系统目前的设计中一般使用光缆。它也提供了建物垂直干线电缆的走线方式。

　垂直干线子系统主要用于连接一栋大楼内部的各配线间提供网络主干连接。

　三、 设备选型 a. 中心交换机 实现与总部的广域路由实现本地不同 VLAN 之间的局域路由 实现对网络各

　种数据包的 QoS 控制。本方案采用两台三层的交换机可以实现链路的冗余当其中的一台出现问题不会导致整个网络的瘫痪这就是网络的稳定性。还可以在三层交换机上启用并且为每个指定根网桥另外一台三层交换机为它的备份根网桥当根网桥的链路断开数据可以通过备份根网桥转发出去。在两台三层交换机之间配置以太网通道可以提高链路带宽。

　b. 根据对该学校情况的了解原来 4 间电脑室的主交换机 Intel 530 在使用时会出现流量阻塞的情况并且无法与 CISCO 核心交换机做 Trunk。因此在次工程中我们建议用 CISCO 2950-48 与现有的 Intel530 交换机互换并与核心交换机做两路 100Mb/s Trunk使链路带宽增加到 200Mb/s可满足教学的要求。而原来的 Intel530 可作为综合楼的二级交换机使用。

　CISCO Catalyst 2950 系列工作组交换机 Catalyst 2950 系列交换机属于快速以太网桌面交换机 CISCO Catalyst 2900 系列可以为局域网LAN提供极佳的性能和功能。

　些独立的、10/100Mb/s 自适应交换机能够提供增强的服务质量QoS和组播管理特性所有的这些都由易用、基于 Web 的 CISCO 集群管理套件CMS和集成 CISCO IOS 软件来进行管理。带有 10/100/1000Mbase-T 上行链路的 CISCO Catalyst 2950 千兆位铜线可为中等规模的公司和企业分支机构办公室提供理想的解决方案 以使他们能够利用现有的 5 类铜线从快速以太网升级到更高性能的千兆位以太网主干。

　Catalyst 2900 系列常见的产品包括12 个 10/100M 端口独立式24 个 10/100端口独立式 24 个 10/100M 端口加 2 个 100Base-FX 端口 12 个端口加 2 个 GBIC端口24 个 10/100 端口加 2 个 10/100/1000Base-T 端口。

　主要特性包括  线速第二层交换功能。

　 带 GBIC 口的 2950 系列可以通过在 GBIC GigaStack 模块堆叠每交换机组最多可堆叠 16 台。

　 支持 802.1p。

　 支持 802.1Q VLAN、ISL VLAN。

　 支持 EtherChannel链路会聚.  支持 802.1P STP 协议。

　 支持 SNMP、Telnet、RMON、Web 等方式进行网管。

　网络拓扑图如下

　(5)IP 地址分配及 VLAN 划分 IP 地址分配策略 IP 地址范围 项目 备注 IP 地址类型选择 网关地址 网络设备 IP DNS 地址 网络中心服务器 IP 内部工作站 IP 网管备用 IP 内部使用 Internet 保留 IP类子网172.16.x..y/24 172.16.1.253/24 172.16.1.1172.16.1.20 见设备 IP 地址表 172.16.1.21172.16.1.40 172.16.x.100172.16.x..200 172.16.1.50172.16.1.70

　 设备 IP 地址表

　Vod.hnjc.edu.cn/主机名

　VOD 服务

　IP:172.16.1.2/24 GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254 IP:172.16.1.1/24

　 DNS 服务

　Mail.hnjc.edu.cn/主机名

　Web Mail 服务

　GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254. IP:172.16.1.1/24 GW:172.16.1.254 IP:172.16.1.1/24 GW:172.16.1.254 Smtp.hnjc.edu.cn/主机名

　SMTP 服务

　Pop.hnjc.edu.cn/主机名

　POP3 服务

　www.hnjc.edu.cn/主机名

　HTTP 服务

　ftp.hnjc.edu.cn/主机名

　FTP 服务

　 VLAN 划分 端口 Cisco2948G-L3网管中心核心交换机网管 IP172.16.1.254/24 18 9 10 11 12 13---18

　19--20 48

　 VLAN 功能描述 Vlan ID      6 7 8 9 10 11 12 13 14~19 VLAN ID 说明 2、3、4、5、6、7、8、9 连接到综合楼学生机主交换机上行端口 1、10 1、11 1、12 1、13 1、14、15、16、17、18、19 119

　连接到办公室交换机上行端口 连接到教学楼 1 图书馆交换机 连接到教学楼 2 的教师办公室交换机 连接到教学楼 3 的教师办公室交换机 连接到宿舍楼的第四层的交换机 连接到另外一台三层交换机的以太网通道 连接到路由器上的接口 网段 IP 172.16.1.0/24 172.16.2.0/24 172.16.3.0/24 172.16.4.0/24 172.16.5.0/24 172.16.6.0/24 172.16.7.0/24 172.16.8.0/24 172.16.9.0/24 172.16.10.0/24 172.16.11.0/24 172.16.12.0/24 172.16.13.0/24 172.16.14~19.0/24 网关 IP 172.16.1.254/24 172.16.2.254/24 172.16.3.254/24 172.16.4.254/24 172.16.5.254/24 172.16.6.254/24 172.16.7.254/24 172.16.8.254/24 172.16.9.254/24 172.16.10.254/24 172.16.11.254/24 172.16.12.254/24 172.16.13.254/24 172.16.14.254~172.16.19.254/24 描述 综合楼中心机房网管 综合楼学生机房交换机电脑室 1 综合楼学生机房交换机电脑室 2 综合楼学生机房交换机电脑室 3 综合楼学生机房交换机电脑室 4 综合楼学生机房交换机电脑室 5 综合楼学生机房交换机电脑室 6 综合楼学生机房交换机电脑室 7 综合楼学生机房交换机电脑室 8 综合楼办公室 教学楼 1 教学楼 2 教学楼 3 宿舍楼

　(6)交换机的配置 VLNA 分别在网管中心的 Cisco2948G-L3 核心交换机、学生机房的Cisco2950 交换机 、教学楼的 Cisco2950 交换机、综合楼办公室的 Cisco2950交换机。

　中心交换机 2948G-L3 的配置 a.设置 Hostname 及口令

　Switch>en

　 Switch#config t

　 Switch(config)#Hostname Cisco3L-2948

　 Cisco3L-2948(config) #enable password hnjc

　 Cisco3L-2948(config) #enable secret hnjc1

　 Cisco3L-2948(config) #end

　 Cisco3L-2948 (config) #line console 0

　 Cisco3L-2948(config-line)# password Cisco3L-2948

　 Cisco3L-2948(config-line)# login

　 Cisco3L-2948(config-line)#line vty 0 4

　 Cisco3L-2948(config-line)#password cisco2948

　Cisco3L-2948(config-line)#login

　 Cisco3L-2948(config-line)#end

　 Cisco3L-2948# c. 创建 Vlan 如下 d. Switch>en Switch#config t

　 Switch(config)#Hostname Cisco3L-2948

　 Cisco3L-2948(config)#exit

　 Cisco3L-2948 #vlan database Cisco3L-2948 (vlan)#vtp mode server Cisco3L-2948 (vlan)#vtp domain certral1 Cisco3L-2948 (vlan)#vlan 2 name JF1 Cisco3L-2948 (vlan)#vlan 3 name JF2 Cisco3L-2948 (vlan)#vlan 4 name JF3 Cisco3L-2948 (vlan)#vlan 5 name JF4 Cisco3L-2948 (vlan)#vlan 6 name JF5 Cisco3L-2948 (vlan)#vlan 7 name JF6 Cisco3L-2948 (vlan)#vlan 8 name JF7 Cisco3L-2948 (vlan)#vlan 9 name JF8 Cisco3L-2948 (vlan)#vlan 10 name BGS Cisco3L-2948 (vlan)#vlan 11name JXL1 Cisco3L-2948 (vlan)#vlan 12name JXL2 Cisco3L-2948 (vlan)#vlan 13 name JXL3 Cisco3L-2948 (vlan)#vlan 14 name SSL1 Cisco3L-2948 (vlan)#vlan 15 name SSL2 Cisco3L-2948 (vlan)#vlan 16 name SSL3 Cisco3L-2948 (vlan)#vlan 17 name SSL4 Cisco3L-2948 (vlan)#vlan 18 name SSL5 Cisco3L-2948 (vlan)#vlan 19 name SSL6 Cisco3L-2948 (vlan)#apply Apply completed.

　Cisco3L-2948 (vlan)#exit Cisco3L-2948# 创建 VLAN 的 IP 地址并...

篇三：校园网络安全设计方案

　校园网网络安全方案设计与实现摘 要校园网是高校信息化建设的重要支撑平台，负责各种网络资源的推广、传播与应用，是非常重要的基础设施。近几年各个高校的发展空前，各种管理系统、电子数据信息传输，使管理者意识到，一个安全的校园网网络非常重要，校园网的最大用户是学生，人数众多，求知欲强，校园网网络的安全，对于维持整个校园的正常教学秩序有着极其重要的意义。针对目前网络安全的现状以及其发展趋势，特别是广西农业职业技术学院校园网安全的现状，迫切需要建立更加安全的网络安全管理平台，以应对不断增多的师生用户，以及越来越复杂的应用需求。因此，建设与部署一个稳定、可靠、高速、安全的校园网，采用各种实用的安全技术，构建立体的、全方位的网络安全防御体系结构，实现全局安全是一个很迫切的课题。本文分析介绍了校园网当前主要的网络安全的各种实用技术，比如对病毒的防治、数据的过滤与预警、漏洞的发现与修复、身份认证与访问控制等，在网络系统安全理论的指导下，分析当前农职院校园网的现状与不足，结合校园网网络建设需求与原则，提出广西农业职业技术学院网络安全体系结构的构建，包括主干网的安全设计、安全防护系统设计、出口安全设计、以及统一的身份认证系统的设计，在具体实现中，应用了ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ技术，ＩＤＳ与防火墙联动，出口策略路由技术，以及ＤＥＳ技术在身份认证中的具体应用，本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行测试分析。关键字：校园网网络安全，防火墙，网络层，身份认证，联动

　ＴｈｅＤｅｓｉｇｎａｎｄＩｍｐｌｅｍｅｎｔｏｆＣａｍｐｕｓＮｅｔｗｏｒｋＳｅｃｕｒｉｔｙＡＢＳＴＲＡＣＴＷｉｔｈ ｔｈｅｒａｐｉｄｌｙ ｄｅｖｅｌｏｐｍｅｎｔｏｆ ｔｈｅＩｎｔｅｒｎｅｔ，ｔｈｅ ｃａｍｐｕｓｎｅｔｗｏｒｋｃｒｉｔｉｃａｌｉｎｆｒａｓｔｒｕｃｔｕｒｅａｓａｉｎｃｏｌｌｅｇｅｓａｓｓｕｍｅｓ ｎｅｗ ｔｅｃｈｎｏｌｏｇｙ ａｐｐｌｉｃａｔｉｏｎａｎｄｒｅｃｅｎｔｐｒｏｍｏｔｉｏｎｆｕｎｃｔｉｏｎ．Ｉｎｙｅａｒｓ，ｔｈｅｄｅｖｅｌｏｐｍｅｎｔｏｆｍａｎｙ ｍａｎａｇｅｍｅｎｔｓｙｓｔｅｍｓａｎｄ ｅｌｅｃｔｒｏｎｉｃ ｄａｔａｃｏｌｌｅｇｅｓｔｒａｎｓｍｉｓｓｉｏｎａｒｅｍａｎｙｍａｎａｇｅｒｓｕｓｅｒｓｕｎｐｒｅｃｅｄｅｎｔｅｄｉｎｖａｒｉｏｕｓ ｏｆａｗａｒｉｎｇｔｈａｔａａｎｄ ｕｎｉｖｅｒｓｉｔｉｅｓ，ＳＯａｒｅ ｓａｆｅｃａｍｐｕｓｓｔｕｄｅｎｔｓ・ｎｅｔｗｏｒｋｉｓｖｅｒｙｉｍｐｏｒｔａｎｔ．ＴｈｅｌａｒｇｅｓｔｏｆＣａｍｐｕｓｎｅｔｗｏｒｋａｒｅＢｅｃａｕｓｅ ｔｈｅ ｎｕｍｂｅｒ ｏｆ ｔｈｅｕｓｅｒｓｉｓｎｕｍｅｒｏｕｓｔｏａｎｄｔ１１ｅｙａｌｌ ｔｈｉｒｓｔ ｆｏｒｋｎｏｗｌｅｄｇｅ，ｉｔｈａｓ ｔｈ ｅｘｔｒｅｍｅｌｙｖｉｔａｌｓｉｇｎｉｆｉｃａｎｃｅｍａｉｎｔａｉｎ ｎｏｒｍａｌｏｒｄｅｒ ｏｆ ｔｈｅｃａｍｐｕｓｔｅａｃｈｉｎｇ．Ｉｎ ｖｉｅｗ ｏｆ ｔｈｅｃｕｒｒｅｎｔｌｙｎｅｔｗｏｒｋ ｓｅｃｕｒｉｙｓｔａｔｕｓｔｒｅｎｄｅｎｃｙ，ｅｓｐｅｃｉａｌｌｙｆｏｒ ｔｈｅａｎｄ ｔｈｅｄｅｖｅｌｏｐｍｅｎｔＧｕａｎｇｘｉａｃａｍｐｕｓｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｓｉｔｕａｔｉｏｎｉｎｔｈｅｔｏＶｏｃａｔｉｏｎａｌ ａｎｄ Ｔｅｃｈｎｉｃａ ＣｏｌｌｅｇｅｏｆＡｇｒｉｃｕｌｔｕｒｅ，ｉｔｉｓｕｒｇｅｎｔｎｅｅｄ ｅｓｔａｂｌｉｓｈｍｏｒｅｓｅｃｕｒｅ ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ ｍａｎａｇｅｍｅｎｔ ｐｌａｔｆｏｒｍｗｉｔｈｍａｎｙｓｅｃｕｒｉｔｙｃａｎｐｒｏｔｅｃｔｉｖｅｍｅａｎｓ．Ｓｏ ｔｈａｔｍａｎｙｎｅｔｗｏｒｋａｔｔａｃｋｉｎｇｏｒｂｅ ｆａｓｔａｃｔｉｖｅｌｙｄｅｆｅｎｓｅｄａｔ ｔｈｅｓｔａｒｔ ｏｆ ｔｈｅｓｐｒｅａｄｉｎｆｅｃｔｉｏｎ ｂｅｆｏｒｅ ｔｈｅ ｎｅｔｗｏｒｋ．Ｗｉｔｈｔｈｅｉｎｃｒｅａｓｉｎｇｉｓｕｍｂｅｒｏｆ ｔｈｅｃａｍｐｕｓｎｅｔｗｏｒｋ ｕｓｅｒｓ，ｔｈｅｓｃａｌｅ ｏｆ ｔｈｅｃａｍｐｕｓｎｅｔｗｏｒｋｏｕｔ ｔｏ ｆｒｅｄｂｅｃｏｍｉｎｇｍｏｒｅ ａｎｄ ｍｏｒｅｄｅｖｅｌｏｐｅｄ．Ｉｔｉｓａ ｖｅｒｙｉｍｐｏｒａｎｔｔｏｐｉｃｈｏｗｔｏ ｄｅｓｉｇｎ ａｎｄｃｏｎｓｔｒｕｃｔａｓａｆｅｃａｍｐｕｓｎｅｔｗｏｒｋ．ｃａｍｐｕｓｎｅｔｗｏｒｋＴｈｉｓｐａｐｅｒｉｎｔｒｏｄｕｃｅｓｔｈｅｃｕｒｒｅｎｔｌｙｍａｉｎｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙＩＩ

　ｔｅｃｈｎｏｌｏｇｙ，ｉｎｃｌｕｄｉｎｇｔｈｅｆｉｒｅｗａｌｌｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｉｎｔｒｕｓｉｏｎ ｄｅｔｅｃｉｏｎｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｓｅｃｕｒｉｔｙｖｕｌｎｅｒａｂｉｌｉｔｙ ｓｃａｎｎｉｎｇｔｅｃｈｎｏｌｏｇｙ，ｔｈｅ ｉｄｅｎｔｉｔｙ ａｕｔｈｅｎｔｉｃａｔｉｏｎｎｅｔｗｏｒｋａｃｃｅｓｓｉｎｇｃｏｎｔｒｏｌｔｅｃｈｎｏｌｏｇｙ，ｔｈｅｔｅｃｈｎｏｌｏｇｙｉｎｔｅｃｈｎｏｌｏｇｙ，ｖｉｒｕｓ ｐｒｅｖｅｎｔｉｏｎａｎｄ ｃｕｒｅｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ ｓｙｓｔｅｍ．Ｉｎｔｈｅ ｎｅｔｗｏｒｋｓｙｓｔｅｍｓｅｃｕｒｉｔｙｔｈｅｏｒｙ，ｕｎｄｅｒ ｔｈｅｇｕｉｄａｎｃｅｏｆ ｔｈｅａｎａｌｙｓｉｓｏｆ ｔｈｅ ｃｕｒｒｅｎｔａｇｒｉｃｕｌｔｕｒｅ ｖｏｃａｔｉｏｎａｌ—ｔｅｃｂ血ｃａｌｃｏｌｌｅｇ ｔｈｅ ｓｔａｔｕｓｑｕｏｂｕｉｌｄｉｎｇ ｕｐａａｎｄ ｄｅｆｅｃｔｓ ｏｆ ｔｈｅｃａｍｐｕｓｓｔｒｕｃｔｕｒｅｎｅｔｗｏｒｋ，ｉｔｈａｓｐｕｔｆｏｒｗａｒｄ ｔｏｓｅｃｕｒｉｔｙ ｓｙｓｔｅｍｉｎｔｈｅＧｕａｎｇｘｉ ＡｇｒｉｃｕｌｔｕｒａｌＶｏｃａｔｉｏｎａｌＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅ．ｉｎｃｌｕｄｉｎｇｔｈｅ ｂａｃｋｂｏｎｅ ｏｆｔｈｅｓａｆｅｔｙｄｅｓｉｇｎ，ｓａｆｅｙ ｐｒｏｔｅｃｔｉｏｎｓｙｓｔｅｍｓｙｓｔｅｍｄｅｓｉｇｎ，ｓａｆｅｔｙ ｄｅｓｉｇｎ，ａｎｄｄｅｓｉｇｎ．Ｉｎｅｘｐｏｒｔｔｈｅｕｎｉｔｙｏｆ ｔｈｅｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｔｈｅｓｐｅｃｉｆｉｃｉｍｐｌｅｍｅｎｔａｔｉｏｎ，ａｐｐｌｉｅｄｔｈｅＡＣＬ，ＶＬＡＮ，ＶＲＲＰｔｅｃｈｎｏｌｏｇｙ，ＩＤＳＤＥＳａｎｄ ｆｉｒｅｗａｌｌｌｉｎｋａｇｅ，ｅｘｐｏｒｔｉｎｓｔｒａｔｅｇｙ ｒｏｕｔｉｎｇｔｅｃｈｎｏｌｏｇｙ，ａｎｄｔｅｃｈｎｏｌｏｇｙ ｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎ ｉｎ ｔｈｅｓｐｅｃｉｆｉｃ ａｐｐｌｉｃａｔｉｏｎ，ｔｈｉｓ ｐａｐｅｒａｌｓｏ ｔｏ ｕｎｉｅｔｈｅｅｆｆｅｃｔ ａｆｔｅｒＫＥＹｔｅｓｔｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｓｙｓｔｅｍｉｎｄｅｔａｉｌ ａｂｏｕｔｔｈｅｐｌａｎａｎｄ ｔｈｅａａｎａｌｙｓｉｓ．ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ，Ｆｉｒｅｗａｌｌ，Ｎｅｔｗｏｒｋｌａｙｅｒ，ＩｄｅｎｔｉｔｙＷＯＲＤＳ：Ｃａｍｐｕｓａｕｔｈｅｎｔｉｃａｔｉｏｎ，ＬｉｎｋａｇｅＨＩ

　广西大掌３爿蔓硕士掣明立论文校园网网鲤Ｈ融全方案设计与实现第一章绪论１．１课题的研究背景当今信息化在社会各领域中的广泛应用，人类的生活工作已经完全依赖信息技术，在学校在教育领域也是不可或缺的一部分，而校园网是高校信息化的最重要的支撑平台，在学校软件资源建设、应用服务的开发与应用、日常教学管理的开展，都起着非常重要的作用，是不可缺少的校园基础设施。网络技术越发展，网络应用的深入，由于网络协议的开放性【ｌ】，系统的通用和由于管理意识与资金方面的原因，管理的疏漏，使校园网面临着不可预测的威胁和攻击，网络进攻手段现在呈现出多式多样的趋势。在高校信息化的大潮中，作为传输数字信息最关键的载体一校园网，正起着越来越重要的作用，无论是在日常教学管理还是学校教学质量的提升上，都有非常重要的意义【２】【３】。目前，随着网络的规模越来越大，结构更加复杂，应用更加多样化，对我们校园网的性能提出更高的要求。面对以上需求，尤其是近几年在校园里大规模的安全事件的接连发生的，让人们对网络信息安全的重要性有了更深刻的体会【４】。因此，建设与部署一个稳定、可靠、高速、安全的校园网，是当前迫切解决的课题。１．２课题的研究意义校园网作为校园网络化建设不可缺少的支撑平台，承担着学校教学、管理、科研以及软件资源库、应用服务群、一卡通等应用的环境支持，也是学校校园网内外资源共享、交流访问的重要方式【５】。作为学院数字信息传输最重要的载体，校园网的安全自然就面对着各种威胁，主要有网络设备的破坏以及网络中传输的数据信息的危害。前者主要是破坏设备的软件系统、干扰运行；后者则是：越权非法访问、假冒合法用户、木马与病毒、窃听数据等。除此外，对校园网另外一个威胁体现在无法对网络数据进行自主识别与过滤，比如电信网络，上面有大量的资源，这些资源鱼龙混杂、良莠不齐，我们却无法进行有针对性的处理，以至占用大量网络带宽，造成数据堵塞，严重影响用户体验。同时由于我们目前我国的网络管理制度还有待完善，网站上众多严重影响学生身体健康、心理成长的内容，诸如暴力、反动、色情之类，导致非常恶劣的后果【６】。校园网在高校的数字化、信息化、自动化中发挥着越来越重要的作用，直接影响到

　ｇ－西大掌工程訇ｎｂ掣啊立供瞄≮ 校园网网络安全方案设计与实现学院管理水平的提高与教学质量提升，同时也是高校之间实力竞争的一个关键点。但是，由于意识与资金方面的原因，许多高校常常只是在内部网与互联网之间放一个防火墙就了事，直接面对互联网，随着校园网规模曰趋扩大、应用环境日趋复杂，从而成为病毒、木马以及黑客的目标，导致校园网内木马病毒泛滥、黑客入侵攻击时有发生、信息被纂改、服务遇拒绝等均成现列７１。可见，针对各种安全事故，采取行之有效的措施去应对，主动防范，从而确保校园网安全、稳定、高效、可靠运转，是我们每个学校迫切需要重视的问题。本课题首先拿目前流行的各种安全防护技术分析，结合自己单位实际，提出广西农业职业技术学院的目标，在我院构建一个安全、可靠、高效、稳定的校园网。在此基础上，并应用多种安全技术，构建我院网络安全防御体系，为学院信息化、办公自动化、数字资源化提供坚实的硬件平台。在具体实现中，应用了ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ技术，ＩＤＳ与防火墙联动，出口策略路由技术，以及ＤＥＳ技术在身份认证中的具体应用，本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行ｉ贝９试分析，在单位实现一个“可看、可管、可控＂安全网络。１．３网络安全的国内外研究现状当今世界在网络信息安全技术方面，美国、以色列、法国、瑞士、等国家走在前列，原因在于这些国家芯片技术相当发达，经过长时间的沉积，在技术上具有优势；另外由于这些国家在信息安全技术应用方面起步很早，也应用非常广泛。他们在漏洞扫描、病毒查杀、入侵检测、防火墙技术、身份认证等领域处于领先地位。众所周知，美国在计算机硬件或者软件水平均执全球之牛耳，计算机最重要的三大部分，操作系统、微处理器和数据库差不多被美国产品所垄断。在美国，由于拥有全球最先进的主：于网，而该主干网连接众多美国大学，所以它们的校园网也非常先进，在计算机应用的水平也比普遍高一些。比如斯坦福大学，在１９８２年，就投入数亿美元，由惠普、ＳＵＮ等公司部署在世界首屈一指的智能校园网系统。我国计算机网络起步很慢，最先是北京计算机应用研究所在１９８７年开通ｘ．２５链路连接德国。到９０年代，中国教育科研网开始组建，首先是由北京大学、清华大学等校园网为基础，迅速得到壮大，发展为国家四大主干网络中一员。Ｃｅｍｅｔ是国家投资、各高校作为分节点接入，教育部统一管理，在校园应用最广泛的计算机互联网络，同时也成为学校重要的基础设施。

　广西大掌工程司ｎｂ掌位‘论’文 校园网网络安全方案设计与实现当前，我国在校园网建设与网络技术应用方面处于地位的是北京大学和清华大学。它们均建设于９０年代前后，他们校园网及相关的应用系统开发与应用已有２０多年，规模在全国范围内都是处于前列，光纤互连所有楼宇，无信息孤岛，当前信息点均超过４万，在线人线也超过１５０００人。全国其它１５００多所高校中，绝大部份已经建设好单位的校园网。随着学校规模的增大，学校内部开设了更多的系、院等二层单位，所以建成的校园网又向更大规模发展。近几年，国家也加大西部地区的扶持，在校园网等基础设施建设中也投入了大量的人力和精力，进一步促进中西部高校的发展。由于我国在网络信息安全技术方面的研究与产业起步较晚，这几年虽然发展很快，但是由于基础差，时间短，整体布局不合理，缺乏顶层设计，没有相应的信息安全产业。目前在我国网络信息安全面临的主要威胁是【９Ｊ：（１）没有掌握计算机网络安全方面的核心技术和软件。（２）在信息安全的意识方面，还有待提高。（３）网络安全防范机制不完善，好多单位目前随便开通了网络，但还没有建设相应的响应机制。（４）有关网络犯罪方面相关的法律，还急需健全。（５）网络飞速发展需要大量网络管理人才，但目前急缺，需要大量培养。１．４论文的内容及结构安排论文主要来源于广西农业职业技术学院校园网三期规划与建设项目，通过对当今保障网络安全的各种技术研究，主要包括：防火墙技术、密码验证和入侵检测技术等技术，分析了农职院校园网的安全现状与不足，结合校园网网络建设需求与原则，提出广西农业职业技术学院网络安全体系结构的构建，包括主干网的安全设计、安全防护系统设计、出口安全设计、以及统一的身份认证系统的设计，在具体实现中，应用了ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ技术，ＩＤＳ与防火墙联动，出口策略路由技术，以及ＤＥＳ技术在身份认证中的具体应用，本文还对统一身份认证系统做了详细的讲述以及对方案实行后的效果进行测试分析。第一章：绪论。对论文的选题背景、研究意义进行说明，对国内外在网络安全领域的研究现状进行了介绍，并给出了论文的主要内容与层次结构。第二章：高校校园网的网络安全概述。介绍了网络安全的定义以及确保网络安全的各种防护措施，包括病毒木马防治，数据包的过滤、入侵预警及漏洞扫描、身份认证及访问控制等，并对这些安全防护技术的发展趋势进行分析。第三章：农职院校园网安全方案的分析与设计。首先对农职院校园网的现状进行分

　广西大掌工程硕士掌位论文校园网网络安全方案设计与实现析，找出成因；其次给出我院网络安全的需求，并基于这些需求，制定好校园网的设计原则，以及方案设计的目标。第四章：校园网网络安全设计与实现。介绍农职院校园网安全体系结构的构建，包括主干网的安全、安全防护系统、出口安全、以及统一的身份认证等设计与实现并对方案实施后进行测试分析。第五章：论文小结及进一些工作的方向。对论文已完成的工作进行小结，并介绍进下步工作的目标与方向。１．５论文的创新点本文来源于学校校园网的升级改造项目，作为项目的技术主要负责人，参加了整个方案的设计，以及具体的部署与应用。在整个项目中，最大的特点是对各种技术的应用，能综合应用各种安全技术，来构建安全、稳定、高效、可靠的校园网，通过实现主干网的安全、安全防御系统的实现、出口安全的实现以及统一身份认证系统的实现，构成了我院校园网立体化，全局性的网络安全防护体系结构，通过认证服务器平台实现全网统一管理，从而实现校园网“可看、可管、可控＂。在此次论文研究中，首先能够对学院校园网的现状与不足进行分析，找到各种威胁的成因，从来得出来自我院校园网最真实的需求，然后再根据设计原则制定方案目标。这样保证了方案的合理性，设计的科学性。其次在具体实施上，我们从学院实际需求出发，以“实用、够用”为指导原则选择设备，同时综合应用各种安全技术来实现校园网的立体化、全局性安全，为以后的管理、改造、维护和下一步的应用服务的完善奠定了很好的基础。经过改造后的校园网，具有以下特色：１、建设了更稳定、可靠的校园主干网，为全网数据交换提供高质量的平台，克服以前设备老旧、性能低下特点，为以后校园网网络业务丰富奠定了很好的基础。２、利用ＡＣＬ、ＶＬＡＮ、ＶＲＲＰ等安全技术简单实现病毒防治、流量控制、上网时间控制，不同业务的隔离，核心交换机的冗余备份以及负载均衡。３、通过ＩＤＳ与防火墙相互联动，构成一个主动防御与静态过滤相结合的安防系统，实现网络数据安全。４、在核心、出口等理念重要位置采用冗余备份理念，关键设备都有备份，从而克解决单点故障引起的断网问题，同时在双链路的出口，使用策略路由技术，使不同目的４

　广西大掌工程硕士掌位论文．．—————————————————————————————————————————————————————————————————————一竺！竺竺竺竺！竺兰竺竺竺！兰的数据包各行其道，提高效率，且实现负载均衡。５、对所有校园网用户终端，实现接入安全认证，并通过相关技术管理和控制，可以轻松定位安全问题的源头并处理；通过其它设备与认证服务器联动，统一管理各种安防设备及用户，实现全网‘‘可观、可管、可控＂的一体化网络安全体系。

　广西大掌】耀司Ｅｂ掌位论文 校园网网络安全方案设计与实现第二章校园网网络安全技术２．１计算机网络安全综述针对计算机安全的陈述，国际标准化委员会和我国均给出了类似的定义，前者定义为：通过各种安全手段保障计算机软、硬件的数据不会由于恶意、偶然等种种原因而导致被破坏、纂改、泄露，这些安全手段包括数据处理系统的构建、应用各种安全技术及管理；后者则直接定义为：通过安全技术对计算机数据、软件、硬件的保护，从而确保不受偶然性或者故意的因素破坏、纂改、泄露，实现系统稳定运行。由以上定义可知，计算机网络安全应该由以下方面构成：网络操作系统、各种服务器等软件的安全；人员管理的安全：网络互联所关联的链路安全及网络运行的连接安全等。它的安全性由人员安全意识、数据的安全性、及通信链路的可靠性决定。网络安全研究领域非常广，包括网络上数据的安全而采用的技术、相关的理论研究，它还是应用数学、通信安全、密码技术、网络技术等学科的综合。作为非常强调创新性与自主性的学科，它要求我们对多种技术的灵活运用、在顶层设计上坚持自主创新，从来得出整体的、严密的、可靠的安全方案。２．２网络安全的发展趋势Ｅｌ前在全球范围中，各种病毒、木马无孔不入，变种速度快，传播能力强，目的性明确，是当前网络安全面临着的最大的问题。在不断发展的网络安全领域中，如何利用各种安全防护技术来面对不种的威胁，确保网络的保密性、完整性和可用性ｆＨⅡ１２１，是当前网络安全建设的重大问题，也是安全领域最重要的课题。２．２．１网络的安全威胁安全技术的飞速发展及信息化高速迈进，给我们日常生活带来极大便利的同时，也让网络安全的情势越来越严峻。在网络时时刻刻都会发生网络攻击事件，通过对近年比较典型的事件研究，我们发现，网络攻击手段由以前的单点式向综合式、复杂化、多样化、立体化演变【１３１。当前的病毒、木马、蠕虫都不是孤立攻击的，往往集成于一体，多样化攻击，同时利用各种软、硬件本身有漏洞进行攻击，特别是基于局域网内部的攻击是新的趋势，已经逐渐演变成以经济利益为目标的黑色产业，并...

篇四：校园网络安全设计方案

　2

　目

　录 1 1

　技术建设方案 ................................................................................................................. 3

　1.1 校园网总体架构设计 .................................................................................................... 3 1.1.1 建设原则 ........................................................................................................... 3 1.1.2 校园网建设内容框架 ....................................................................................... 4 1.1.3 网络架构拓扑图 ............................................................................................... 6 1.1.4 网络设计概述 ................................................................................................... 6 1.1.5 骨干网络方案先进性与可行性 ....................................................................... 7 1.2 网络安全设计 .............................................................................................................. 15 1.2.1 设备级安全功能 ............................................................................................. 15 1.2.2 防 ARP 攻击设计 ............................................................................................. 15 1.2.3 交换机 IP 防扫描设计 ................................................................................... 16 1.2.4 防 DOS/DDOS 攻击 ........................................................................................... 16 1.2.5 路由安全设计 ................................................................................................. 17 1.2.6 设备管理安全设计 ......................................................................................... 18 1.2.7 汇聚嵌入式安全 ............................................................................................. 19 1.2.8 接入安全控制 ................................................................................................. 19 1.2.9 IP+MAC+端口绑定 ........................................................................................... 20 1.2.10 防止病毒广播泛洪 ......................................................................................... 20 1.2.11 入网用户身份认证 ......................................................................................... 20 1.2.12 防止对 DHCP 服务器攻击 ............................................................................... 20 1.2.13 多元素绑定技术构筑高安全校园网 ............................................................. 21 1.2.14 防止用户私设代理服务器 ............................................................................. 22 1.2.15 恶意用户追查 ................................................................................................. 22 1.3 等保建设方案 .............................................................................................................. 22 1.3.1 总体建设目标 ................................................................................................. 22 1.3.2 安全技术体系目标 ......................................................................................... 23 1.3.3 物理安全设计 ................................................................................................. 23 1.3.4 计算环境安全设计 ......................................................................................... 24 1.3.5 系统安全审计 ................................................................................................. 26 1.3.6 数据完整性与保密性 ..................................................................................... 28 1.3.7 备份与恢复 ..................................................................................................... 29 1.3.8 区域边界安全设计 ......................................................................................... 30 1.3.9 安全隔离 ......................................................................................................... 31 1.3.10 通信网络安全设计 ......................................................................................... 35 1.3.11 网络设备防护 ................................................................................................. 35

　3 1 1 技术 建设方案

　1.1 校园网总体 架构设计 1.1.1 建设原则

　安全性

　网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分 VLAN、IP/MAC 地址绑定、802.1x 用户访问控制、802.1d、802.1w、802.1s 冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证内外网安全。

　先进性

　系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线路。

　开放性

　采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。

　4 扩展性

　系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。

　高性能

　网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。

　可运营管理

　为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的行为，为学校的网络管理提供便利的工具。

　同时可进行计费扩展，通过对用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理。

　规范化和标准化

　网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。

　1.1.2 校园网建设内容框架

　校园骨干网络设计

　本次山西工程技术学院网络改造，需要建成一个高带宽（万兆）、高冗余（设备冗余、线路冗余）达到 99.999%的稳定是校园骨干网络的最终目的，建设可扩展的新一代校园网络架构，骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚。

　5 校园出口网络设计

　新增专用网络出口设备，承载出口 NAT、链路负载均衡，智能选路功能。

　有 线无线 统一认证方式：

　结合智慧校园统一身份认证系统，采用一体化认证方式为校园各类用户提供上网认证服务，减轻使用和维护复杂度。

　上 网行为管理：

　要求实现对互联网访问行为的全面管理，包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源 IP、目的 IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统，通过源 IP/时间，找到对应的帐号，将安全事件度应到人甚至对应到发生安全事件的地点。

　网络 信息安全防护：

　通过实名认证，防火墙策略来保障校园网的网络信息安全，对来自外部的网络攻击和渗透进行有效防护，提高网络信息安全。

　校园 无 线 网络设计

　全面建设学校的 WLAN 无线校园网，实现校内随时随地的通过 WI-FI 访问校园网。WLAN 信号覆盖教学、办公楼宇的室内区域，满足每个办公室、教室、实验室和门厅区域的信号接收强度≥-75dBm。室外覆盖区域包括广场、运动场、篮球场，室外 AP 覆盖区域终端连接速率最高可达到 1.75Gbps，满足 80%以上区域接收信号强度≥-75dBm，每个场所支持并发用户 100 个以上。

　无线全部采用基于 802.11ac 协议的室内室外高性能 AP 产品，所有 AP 均支持 2.4GHz 和 5.8GHz 频段的双路接入，要求每个 AP 至少支持 1.167Gbps 速率。

　无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制：包括基于不同的用户或用户群可实施不同的认证方式；基于不同的用户或用户群可实施不同的资源访问权限控制；基于不同的用户或用户群可实施不同的接入上、下行带宽控制；基于不同的用户或用户群可实施基于时间的接入控制；上述多种接入控制策略实施、操作过程要方便、易用，即时生效。

　6 1.1.3 网络架构拓扑图

　 1.1.4 网络设计概述

　如上图所示：

　山西工程技术学院网络可以分为 2 大部分，第一部分为学校有线办公网，包括办公网有线接入区，网络管理服务器区，核心区，互联网出口区等，主要承载的业务外全校的有线接入业务及全校的校内应用承载。另外一部分网第三方投资建设的无线运营网。该网络主要为全校师生提供校内无线的全面覆盖，包括宿舍区的无线接入，教学办公区的无线接入等。有线办公网与无线运营网络互相融合，共用一套接入认证系统，师生可以方便的通过有线，无线网络访问到校园网数据中心的各种应用。在访问互联网时，认证计费系统可以智能的把老师的互联网流量导向到办公网出口链路上，学生的互联网流量导向到对应的运营网出口链路上。

　本网络主要以校园网的原有有线网络为基础，主要作用是为学校各职能单位提供安全稳定的有线网络接入服务，以及为校园网应用提供安全稳定的运行环境。全网分为办公网有线接入区，网络管理服务器区，核心区，互联网出口区四大区域。

　7 办公网核心区 ：提供全校办公网各个区域的数据安全交换，保证全校师生可以通过无线运营网访问到学校的数据中心的各种校内应用。

　网络管理服务器 区 ：承载全校的各种校内应用，包括教务系统，教学资源系统，学校的各种智慧化应用。为这些应用提供安全稳定的运行环境。以及运行认证系统，网管系统等。

　互联网 出口区：

　：主要为全校教职工提供安全稳定出口互联网上网服务。部署 BRAS，与认证计费系统联动实现校园网用户准出认证。BRAS 可以根据用户的账户属性选择对应的运营商链路访问互联网，同时该设备可以模拟 PPPOE 拨号，实现和运营商宽带网络的无缝对接。部署出口防火墙，保证校园网内网的安全运行。部署上网行为管理系统，通过与认证计费系统联动，实现互联网上网行为的实名制审计。

　办公网有线接入区：覆盖全校各个教学区域，办公区域，图书馆、自习室等公共区域，提供有线网络接入服务。

　教学区无线接入：包括全校办公区，教学区，图书馆，报告厅，餐厅等各个公共区域的无线接入覆盖。

　宿舍 区无线接入：包括全校所有宿舍的有线无线统一接入。

　网络管理服务器区：部署认证计费系统，实现全校有线无线的统一接入认证计费。部署防代理系统，防止学生无线用户共享接入互联网，保证投资商的投资收益。

　 1.1.5 骨干网络方案先进性与可行性

　校园骨干网络

　本方案采用高性能数据中心交换机锐捷 S8610E，采用虚拟化技术实现虚拟化管理，核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征。

　8

　核心层一直被认为是所有流量的最终承受者和汇聚者，承担校园网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严格，要求核心交换机拥有较高的性能及可靠性。否则随着信息化建设的进一步深化，特...

推荐访问:校园网络安全设计方案 网络安全 设计方案 校园