平時(shí)報(bào)告答辯總分成都信息工程學(xué)院課程設(shè)計(jì)題目：校園網(wǎng)的安全整體解決方案設(shè)計(jì)作者姓名：雷賢銀班級(jí)：信安06級(jí)3班學(xué)號(hào)：2006122110林宏剛?cè)掌冢耗暝氯漳承⌒推髽I(yè)人事管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)技術(shù)越來(lái)越受到人們的重視，它已逐漸滲入我們生活各個(gè)層面?，F(xiàn)代企業(yè)具有一個(gè)現(xiàn)代化的人事管理系統(tǒng),是企業(yè)管理的科學(xué)化、正規(guī)化的重要條件，也在企業(yè)的高效運(yùn)行中扮演了重要的角色?，F(xiàn)代人事管理系統(tǒng)應(yīng)是一種基于開(kāi)放式網(wǎng)絡(luò)環(huán)境，能夠保證數(shù)據(jù)輸入、輸出的準(zhǔn)確性、快捷性并且方便用戶使用的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。本設(shè)計(jì)從現(xiàn)代企業(yè)管理中的人事管理現(xiàn)狀出發(fā)，針對(duì)小型企業(yè)目前人事管理的工作程序，開(kāi)發(fā)出來(lái)的一個(gè)操作簡(jiǎn)單、方便實(shí)用的基于B/S結(jié)構(gòu)的人事管理系統(tǒng)。本文首先介紹人事管理系統(tǒng)的開(kāi)發(fā)背景，比較國(guó)內(nèi)外的研究現(xiàn)狀；接著介紹了ASP編程技術(shù)和SQLServer2000等相關(guān)理論知識(shí)，并對(duì)現(xiàn)代小型企業(yè)人事管理系統(tǒng)進(jìn)行了較詳細(xì)的需求分析；然后重點(diǎn)討論該系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，包括數(shù)據(jù)庫(kù)設(shè)計(jì)和系統(tǒng)功能設(shè)計(jì)；最后，通過(guò)測(cè)試與分析，說(shuō)明該系統(tǒng)運(yùn)行穩(wěn)定、可靠，具有一定的實(shí)用價(jià)值。關(guān)鍵詞：小型企業(yè)；人事管理系統(tǒng)；B/S結(jié)構(gòu)；數(shù)據(jù)庫(kù)；ASP

目錄TOC\o"1-4"\h\z\u1引言 11.1課題背景 11.2國(guó)內(nèi)外現(xiàn)狀 11.3本課題研究的迫切性 11.4本課題的研究作用 11.5本文的主要工作 12人事管理系統(tǒng)需求分析及開(kāi)發(fā)工具 22.1系統(tǒng)目標(biāo) 22.2系統(tǒng)應(yīng)具備的基本功能 32.3開(kāi)發(fā)環(huán)境及工具 32.3.1運(yùn)行環(huán)境 32.3.2ASP技術(shù)介紹 32.3.3SQL語(yǔ)句介紹 52.3.4VBScript介紹 53 系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì) 63.1基本簡(jiǎn)介 63.2系統(tǒng)功能模塊設(shè)計(jì) 63.2.1數(shù)據(jù)庫(kù)設(shè)計(jì) 63.2.2功能模塊介紹 124系統(tǒng)流程與實(shí)現(xiàn) 144.1系統(tǒng)設(shè)計(jì)流程 144.2頁(yè)面詳細(xì)介紹 145 系統(tǒng)測(cè)試與分析 255.1測(cè)試 255.2調(diào)試過(guò)程中遇到的主要問(wèn)題 27結(jié)論 28參考文獻(xiàn) 28第15頁(yè)共18頁(yè)1引言1.1課題背景成都信息工程學(xué)院源于1951年中國(guó)人民解放軍西南軍區(qū)空軍司令部在成都建立的氣象干部訓(xùn)練大隊(duì)，1954年改制為中央氣象局成都?xì)庀蟾刹繉W(xué)校，1956年改建為全日制中等專業(yè)學(xué)校，更名為中央氣象局成都?xì)庀髮W(xué)校。1978年成都?xì)庀髮W(xué)校升格為全日制普通本科高等學(xué)校，定名為成都?xì)庀髮W(xué)院。1981年學(xué)院成為首批學(xué)士學(xué)位授予權(quán)單位。2000年學(xué)院劃轉(zhuǎn)到四川省，實(shí)行中央與地方共建、以地方管理為主的管理體制，并更名為成都信息工程學(xué)院。2001年原隸屬國(guó)家統(tǒng)計(jì)局的四川統(tǒng)計(jì)學(xué)校整體并入。2003年學(xué)院成為碩士學(xué)位授予權(quán)單位。2007年獲得教育部本科教學(xué)工作水平評(píng)估優(yōu)秀。學(xué)校舉辦本科教育30年來(lái)，積極適應(yīng)我國(guó)氣象事業(yè)發(fā)展和地方經(jīng)濟(jì)建設(shè)與社會(huì)發(fā)展的需要，不斷深化教育教學(xué)改革，提高人才培養(yǎng)質(zhì)量和辦學(xué)水平，已經(jīng)建設(shè)成為一所特色鮮明、優(yōu)勢(shì)明顯、以工為主的多學(xué)科應(yīng)用型高等學(xué)校。成都信息工程學(xué)院校園網(wǎng)絡(luò)(CUITNET)始建于1997年，經(jīng)過(guò)10年來(lái)的建設(shè)和升級(jí)改造，已經(jīng)建成覆蓋航空港、人南、龍泉三個(gè)校區(qū)的大規(guī)模、高速、先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)。為了加強(qiáng)校園網(wǎng)的建設(shè)、管理、運(yùn)行和安全，學(xué)院于2003年組建了由主管教學(xué)副院長(zhǎng)直接領(lǐng)導(dǎo)的網(wǎng)絡(luò)中心，專職負(fù)責(zé)全院校園網(wǎng)的運(yùn)行管理和IT服務(wù)。網(wǎng)絡(luò)中心堅(jiān)持“全天候服務(wù)教學(xué)急師生所需響應(yīng)快保障有力讓師生滿意”的服務(wù)理念，為學(xué)院的本科教學(xué)提供全天候、高質(zhì)量的服務(wù)。1.2國(guó)內(nèi)外現(xiàn)狀校園網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀分析經(jīng)過(guò)多年的信息化建設(shè)之后,國(guó)內(nèi)大多數(shù)高?；旧隙冀ǔ闪俗约旱男@網(wǎng)。但隨著其應(yīng)用的深入，校園網(wǎng)絡(luò)的安全問(wèn)題也逐漸突出，直接影響著學(xué)校的教學(xué)、管理、科研活動(dòng)。因此，在全面了解校園網(wǎng)的安全現(xiàn)狀基礎(chǔ)上，合理構(gòu)建安全體系結(jié)構(gòu)，改善網(wǎng)絡(luò)應(yīng)用環(huán)境的工作迫在眉睫。當(dāng)前，校園網(wǎng)網(wǎng)絡(luò)普遍存在的安全隱患有以下幾種。校園網(wǎng)安全管理有缺陷校園網(wǎng)的用戶群體一般也比較大,少則數(shù)千人、多則數(shù)萬(wàn)人,數(shù)據(jù)量大、速度高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)節(jié)點(diǎn)日漸增多,學(xué)生通過(guò)網(wǎng)絡(luò)在線看電影、聽(tīng)音樂(lè),很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些節(jié)點(diǎn)大部分都沒(méi)有采取一定的防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。校園網(wǎng)內(nèi)部的攻擊由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，很多學(xué)生，尤其是理工科的男生對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇和實(shí)踐欲望，他們經(jīng)常有意無(wú)意的攻擊校園網(wǎng)系統(tǒng)，干擾校園網(wǎng)的安全運(yùn)行。校園網(wǎng)與一般企業(yè)網(wǎng)不同的是,不僅要注意防止外部網(wǎng)絡(luò)對(duì)校園網(wǎng)的攻擊,還要注意防范校園網(wǎng)內(nèi)部的黑客攻擊。Internet的威脅校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。各種病毒就是通過(guò)Internet傳播的，并導(dǎo)致網(wǎng)絡(luò)性能下降。而且黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊校園網(wǎng)的服務(wù)器，以竊取一些重要信息。1.3本課題研究的迫切性進(jìn)年來(lái)隨著校園網(wǎng)的普及，校園網(wǎng)在日常教學(xué)工作中的地位日益顯現(xiàn)。一旦校園網(wǎng)癱瘓，學(xué)校教學(xué)工作無(wú)法正常進(jìn)行，學(xué)生無(wú)法正常提交作業(yè)，無(wú)法正常下載教師課件，無(wú)法上網(wǎng)查閱資料。一旦校園網(wǎng)遭到入侵，可能導(dǎo)致大量學(xué)生隱私資料被盜甚至非法利用，可能導(dǎo)致學(xué)校重要數(shù)據(jù)庫(kù)的毀壞，可能導(dǎo)致財(cái)務(wù)系統(tǒng)被篡改等。近年來(lái)ddos攻擊流行，甚至在很多網(wǎng)站上出現(xiàn)了明碼標(biāo)價(jià)的肉雞，然而學(xué)校是用戶群最集中的地方，多數(shù)學(xué)校有高性能中型計(jì)算機(jī)。然而大多數(shù)學(xué)生安全意識(shí)并不高，系統(tǒng)根本就沒(méi)有做過(guò)安全配置。因此在校園網(wǎng)內(nèi)找肉雞一般可以達(dá)到事半功倍的效果。如果校園網(wǎng)被黑客入侵并利用所造成的社會(huì)經(jīng)濟(jì)損失和學(xué)校名譽(yù)的損失是難以估量的。因此急需要有一套安全方案，加強(qiáng)對(duì)校園網(wǎng)的保護(hù)。1.4本課題的研究作用主要是為校園網(wǎng)提出一些常見(jiàn)的安全隱患及解決方案，以便在校園網(wǎng)部署或者改造時(shí)盡量多考慮安全因素，使校園網(wǎng)更好、更安全為師生服務(wù)。1.5本文的主要工作國(guó)內(nèi)校園網(wǎng)安全現(xiàn)狀的分析校園網(wǎng)安全需求分析校園網(wǎng)的拓?fù)浞桨冈O(shè)計(jì)校園網(wǎng)的安全解決方案校園網(wǎng)整體安全需求分析系統(tǒng)集成需求

在總體需求確定的基礎(chǔ)上，提出的系統(tǒng)集成需求如下。

1、采用千兆以太網(wǎng)技術(shù)

千兆以太網(wǎng)技術(shù)已經(jīng)成熟，千兆主干、百兆交換到桌面已經(jīng)成為校園網(wǎng)技術(shù)的主流，因此采用1000M以太網(wǎng)光纖作為校園網(wǎng)的主干，100M交換到各教研組、科室、學(xué)生機(jī)房的計(jì)算機(jī)，學(xué)生寢室以及各學(xué)院實(shí)驗(yàn)室。

2、采用光纖和雙絞線布線

千兆以太網(wǎng)使用光纖和雙絞線作為傳輸介質(zhì)。采用光纖到各大樓以及學(xué)生宿舍。大樓到各教室、實(shí)驗(yàn)室、辦公室、寢室用雙絞線。

3、網(wǎng)絡(luò)交換設(shè)備每棟學(xué)生宿舍一臺(tái)計(jì)入交換機(jī)圖書館一臺(tái)接入交換機(jī)每棟實(shí)驗(yàn)大樓一臺(tái)接入交換機(jī)科教樓一臺(tái)接入交換機(jī)中心機(jī)房一臺(tái)核心三層交換機(jī)（建議用銳捷s86系列10萬(wàn)兆ipv6多業(yè)務(wù)核心交換機(jī)）每間教學(xué)實(shí)驗(yàn)室由于pc較多，可用一臺(tái)交換機(jī)每個(gè)學(xué)生寢室用五口交換機(jī)接入在校園網(wǎng)出口處用一臺(tái)路由器

4、服務(wù)器

服務(wù)器是校園網(wǎng)的數(shù)據(jù)核心，根據(jù)學(xué)校的具體情況，需要服務(wù)器具有以下幾種功能。

（1）VPN服務(wù)器：為保證校園網(wǎng)內(nèi)網(wǎng)安全，所有教師在校外通過(guò)vpn接入方式瀏覽共享校園網(wǎng)資源。

（2）數(shù)據(jù)庫(kù)服務(wù)器：存儲(chǔ)和管理學(xué)生檔案、學(xué)生成績(jī)、教務(wù)管理檔案、文書檔案、教務(wù)檔案、財(cái)產(chǎn)檔案、會(huì)計(jì)檔案、團(tuán)委檔案等。

（3）Web服務(wù)器：能夠在校園網(wǎng)上發(fā)布學(xué)校的主頁(yè)；所有終端機(jī)能順利上傳主頁(yè)；申請(qǐng)域名后對(duì)外發(fā)布各種信息

（4）課件服務(wù)器：此服務(wù)器須有磁盤陣列，以存儲(chǔ)大量的圖文聲像教學(xué)信息。

（5）教學(xué)信息存儲(chǔ)管理服務(wù)器：我們要求用流技術(shù)在校園網(wǎng)上實(shí)時(shí)、流暢的傳播多媒體圖文信息；實(shí)現(xiàn)視頻廣播、視頻點(diǎn)播功能。

（6）電子郵件服務(wù)器：提供局域網(wǎng)內(nèi)部和外部郵件服務(wù)。

5、防火墻

為了保證校園網(wǎng)局域網(wǎng)的安全，保證學(xué)校學(xué)生數(shù)據(jù)信息以及財(cái)務(wù)系統(tǒng)的安全，因此需要防火墻。防火墻還可以監(jiān)控學(xué)生上網(wǎng)流量，可以通過(guò)分析制定出合理的規(guī)則，使校園網(wǎng)在學(xué)習(xí)辦公方面發(fā)揮更大的作用。同時(shí)，使用防火墻在各校區(qū)之間搭建vpn，使得各校區(qū)之間實(shí)現(xiàn)零距離通信。

安全需求分析學(xué)校網(wǎng)站安全學(xué)校網(wǎng)站，作為一個(gè)學(xué)校的官方網(wǎng)站必須能夠7*24小時(shí)為學(xué)校提供安全可信的服務(wù)，但是一個(gè)web服務(wù)器可能存在以下安全風(fēng)險(xiǎn)：1)web服務(wù)器本身存在安全漏洞2）web服務(wù)器配置不當(dāng)（如弱口令等），使服務(wù)器容易遭到入侵3）web服務(wù)器有可能遭到DoS、DDoS等攻擊2、校園網(wǎng)物理線路安全物理層安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，包括環(huán)境安全、設(shè)備安全和介質(zhì)安全。物理安全可能導(dǎo)致整個(gè)網(wǎng)絡(luò)平臺(tái)或者內(nèi)部數(shù)據(jù)的損毀，主要表現(xiàn)在以下幾個(gè)方面：1）地震、水災(zāi)、火災(zāi)等引起物理鏈路損壞2）設(shè)備或者物理線路被盜3）物理線路被工程施工或者路面改造挖斷鏈路層安全分析鏈路層的安全風(fēng)險(xiǎn)主要表現(xiàn)在三個(gè)方面：（1）局域網(wǎng)內(nèi)部嗅探，可以通過(guò)工具獲取在同一個(gè)廣播域內(nèi)傳送的所有數(shù)據(jù)，明文數(shù)據(jù)可以很容易通過(guò)工具解析還原，造成用戶信息泄露；（2）ARP攻擊。由于ARP協(xié)議本身的漏洞，局域網(wǎng)很難防止arp攻擊。容易導(dǎo)致用戶無(wú)法正常上網(wǎng)；（3）訪問(wèn)控制安全。IEEE802LAN中，用戶只要能接到網(wǎng)絡(luò)設(shè)備上，不需要經(jīng)過(guò)認(rèn)證和授權(quán)即可直接使用。這樣，一個(gè)未經(jīng)授權(quán)的用戶，他可以沒(méi)有任何阻礙地通過(guò)連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用，特別是在運(yùn)營(yíng)網(wǎng)絡(luò)的出現(xiàn)，對(duì)網(wǎng)絡(luò)的安全認(rèn)證的需求已經(jīng)提到了議事日程上。如何在以太網(wǎng)技術(shù)簡(jiǎn)單、廉價(jià)的基礎(chǔ)上，提供用戶對(duì)網(wǎng)絡(luò)或設(shè)備訪問(wèn)合法性認(rèn)證，已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)。4、網(wǎng)絡(luò)層安全分析現(xiàn)在校園網(wǎng)系統(tǒng)大多是采用TCP/IP，由于協(xié)議本身存并未對(duì)安全方面作過(guò)多考慮，使得整個(gè)網(wǎng)絡(luò)層存在以下安全風(fēng)險(xiǎn)。（1）數(shù)據(jù)采用明文傳輸數(shù)據(jù)采用明文傳輸可能導(dǎo)致ftp、telnet、郵件賬號(hào)密碼等個(gè)人信息被截獲，然而大多數(shù)人會(huì)把信用卡、網(wǎng)銀密碼設(shè)置為和上述相同。如果這些信息被非法盜用者截獲后果難以想象。（2）ip地址欺騙校內(nèi)有些資源是通過(guò)ip地址認(rèn)證訪問(wèn)（如圖書館的某些資源），因此攻擊者可能冒充某個(gè)合法ip地址對(duì)未授權(quán)的資源進(jìn)行訪問(wèn)。（3）端口掃描在TCP/IP網(wǎng)絡(luò)中，所有的網(wǎng)絡(luò)服務(wù)都通過(guò)一個(gè)端口向外提供服務(wù)，客戶端在連接這些端口是，TCP/IP在網(wǎng)絡(luò)層和傳輸層都不對(duì)這些連接請(qǐng)求進(jìn)行身份驗(yàn)證，而且在任何狀態(tài)下都會(huì)返回應(yīng)答數(shù)據(jù)報(bào)。因此，攻擊者很容易通過(guò)連接所有端口的結(jié)果獲得目標(biāo)主機(jī)上存在哪些服務(wù)，然后根據(jù)服務(wù)本身的漏洞進(jìn)行進(jìn)一步的攻擊。5、應(yīng)用層安全分析

1）郵件服務(wù)器有可能本身存在漏洞，或者配置不當(dāng)，被非法入侵者利用2）ftp服務(wù)器，有肯被非法入侵者利用，或者被掛馬后果難以預(yù)料3）數(shù)據(jù)庫(kù)服務(wù)器，各教學(xué)單位重要數(shù)據(jù)，學(xué)生重要數(shù)據(jù)信息（如成績(jī)，基本信息等）都存放在數(shù)據(jù)庫(kù)服務(wù)器，如果數(shù)據(jù)庫(kù)配置不當(dāng)，如采用默認(rèn)用戶名空密碼等，都可能造成數(shù)據(jù)庫(kù)服務(wù)器被非法入侵者入侵，修改或者盜取重要數(shù)據(jù)

網(wǎng)絡(luò)拓?fù)鋱D圖1安全解決方案詳細(xì)設(shè)計(jì)web服務(wù)器的安全1）把web服務(wù)器放在防火墻的DMZ區(qū)，因?yàn)閣eb服務(wù)器允許外部訪問(wèn)，同時(shí)也需要允許校園網(wǎng)內(nèi)部訪問(wèn)。受保護(hù)的級(jí)別較低，需要對(duì)外開(kāi)放某些服務(wù)和應(yīng)用。同時(shí)又和校園內(nèi)網(wǎng)隔離開(kāi)來(lái)，防止web服務(wù)器被入侵，造成整個(gè)校園內(nèi)網(wǎng)暴露在非法入侵者面前。2）web服務(wù)器口令安全解決方案要求密碼長(zhǎng)度不小于12位，且必須是“大寫字母+小寫字母+特殊字符+數(shù)字”的組合，密碼要求每30天必須更改一次，且不能和上次密碼相同。在web服務(wù)器上關(guān)閉不必要的服務(wù)和端口（如telnet、3389端口），強(qiáng)烈建議web服務(wù)器和其它服務(wù)器分開(kāi)（如ftp服務(wù)器）3）做好web服務(wù)器的安全備份進(jìn)行必要的網(wǎng)站備份，如條件允許可采用鏡像服務(wù)器，即使一臺(tái)web服務(wù)器受到攻擊或者硬件損壞，備份web服務(wù)器可以立刻接替當(dāng)前web服務(wù)器對(duì)公眾提供服務(wù)，從而保證了web服務(wù)器可以連續(xù)對(duì)公眾提供服務(wù)。做好備份工作同時(shí)可以保證硬盤損壞，或者網(wǎng)站被非法入侵者篡改等造成web服務(wù)器上的內(nèi)容無(wú)法恢復(fù)。所以除了采用鏡像服務(wù)器備份保證服務(wù)器可以連續(xù)對(duì)公眾提供服務(wù)外，還應(yīng)加強(qiáng)物理隔離備份，即將web服務(wù)器的內(nèi)容定期（根據(jù)學(xué)校實(shí)際情況可以一周備份一次或者一個(gè)月備份一次）備份到硬盤上，而且使硬盤不在網(wǎng)絡(luò)上（如備份硬盤備份完后，從物理上與網(wǎng)絡(luò)隔離開(kāi)來(lái)），從而保證了備份內(nèi)容不被篡改。當(dāng)校園網(wǎng)站網(wǎng)頁(yè)內(nèi)容被大規(guī)模篡改時(shí)，可以找出web服務(wù)器漏洞并彌補(bǔ)后用備份（非鏡像備份）內(nèi)容恢復(fù)，從而將損失降到最低。備份時(shí)間應(yīng)盡量選擇凌晨訪問(wèn)用戶較少時(shí)備份。4）在web服務(wù)器上安裝殺毒軟件在web服務(wù)器上安裝殺毒軟件，并保持每天自動(dòng)更新病毒庫(kù)、以及每天凌晨自動(dòng)掃描web服務(wù)器是否被病毒入侵或者被掛馬。以防web服務(wù)器被入侵并被入侵者作為跳板發(fā)起攻擊。同時(shí)web服務(wù)器被病毒入侵而未及時(shí)檢查出來(lái)后果是非常嚴(yán)重。所以及時(shí)檢測(cè)及查殺web服務(wù)器是否被病毒感染至關(guān)重要。5）經(jīng)常檢查web服務(wù)器有關(guān)日志記錄在防火墻DMZ區(qū)安裝入侵檢測(cè)系統(tǒng)，可及時(shí)檢查各個(gè)服務(wù)器是否被入侵，以及記錄各個(gè)服務(wù)器的日志，放在日志服務(wù)器。供安全審查，以及被入侵后的調(diào)查取證。6）防止web服務(wù)器被DoS或者DDoS攻擊DoS攻擊(DenialofService，簡(jiǎn)稱DOS)即拒絕服務(wù)攻擊，是指攻擊者通過(guò)消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS信息，使被攻擊目標(biāo)不能正常工作。實(shí)施DoS攻擊的工具易得易用，而且效果明顯。DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高,它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了這兩種攻擊都是通過(guò)消耗大量的帶寬資源或者服務(wù)器資源，而導(dǎo)致服務(wù)器無(wú)法處理正常的網(wǎng)絡(luò)服務(wù)請(qǐng)求。對(duì)dos攻擊可采用發(fā)現(xiàn)之后在防火墻上立即禁止該ip主機(jī)對(duì)服務(wù)器的訪問(wèn)。對(duì)ddos攻擊目前還沒(méi)有很好的解決辦法，可通過(guò)增加帶寬資源，web服務(wù)器配置，采用服務(wù)器集群等方式，讓一般攻擊者發(fā)動(dòng)攻擊時(shí)并不能見(jiàn)到明顯的效果，知難而退?？梢再?gòu)買一些專業(yè)的硬件防火墻可以防止上述兩種攻擊。也可以在服務(wù)器上裝防范DDOS攻擊的工具軟件：如CCv2.0。物理層線路安全解決方案1）地震、水災(zāi)、火災(zāi)等引起物理鏈路損壞重點(diǎn)應(yīng)加強(qiáng)網(wǎng)絡(luò)中心服務(wù)器機(jī)房的建設(shè)，網(wǎng)絡(luò)中心服務(wù)器機(jī)房應(yīng)達(dá)到一定等級(jí)的抗震標(biāo)準(zhǔn)，同時(shí)機(jī)房機(jī)架布局等也應(yīng)考慮抗震因素。為了防范水災(zāi)，應(yīng)做好機(jī)房周圍的排水工程，以及機(jī)房屋頂不應(yīng)漏水等。較好的做法是把機(jī)房建設(shè)在較高的地方或者樓層的高層。為防止水災(zāi)，應(yīng)在機(jī)房?jī)?nèi)安裝自動(dòng)火災(zāi)報(bào)警系統(tǒng)，能做到及時(shí)發(fā)現(xiàn)火災(zāi)，并及時(shí)滅火以便把損失降到最低。機(jī)房?jī)?nèi)應(yīng)常被滅火裝置，同時(shí)機(jī)房的布線等也應(yīng)經(jīng)常檢查，定期更換，以免線路老化造成短路引起火災(zāi)。除了在機(jī)房?jī)?nèi)安裝火災(zāi)報(bào)警系統(tǒng)，還應(yīng)對(duì)機(jī)房的溫度隨時(shí)監(jiān)控，當(dāng)溫度達(dá)到臨界值時(shí)，及時(shí)向相關(guān)負(fù)責(zé)人員發(fā)出警報(bào)或者信息。便于人工查明機(jī)房溫度異常升高的原因，并及時(shí)排除隱患。2）設(shè)備物理線路等安全解決方案（1）物理線路安全物理線路安全是整個(gè)校園網(wǎng)安全暢通的必要保證，應(yīng)防止物理線路或者物理設(shè)備被盜。因此學(xué)校應(yīng)組織保安定期對(duì)校園網(wǎng)骨干線路的巡邏。還應(yīng)對(duì)骨干物理線路鋪設(shè)冗余線路，以防一個(gè)節(jié)點(diǎn)出現(xiàn)故障整個(gè)網(wǎng)絡(luò)癱瘓的情況發(fā)生。在鏈路層可啟用STP防止環(huán)路,啟用MSTP實(shí)現(xiàn)負(fù)載均衡。（2）硬件設(shè)備的安全應(yīng)保證核心硬件設(shè)備能夠提供7*24小時(shí)無(wú)故障，安全服務(wù)。為此可對(duì)核心硬件進(jìn)行冗余備份。對(duì)各種服務(wù)器，采用鏡像服務(wù)器備份的方式提供冗余，確保在一個(gè)服務(wù)器硬件出現(xiàn)故障時(shí)，備份鏡像服務(wù)器自動(dòng)成為主服務(wù)器為公眾提供服務(wù)。此外，此網(wǎng)絡(luò)方案中較為核心設(shè)備有核心三層交換機(jī)、防火墻、路由器等防火墻的冗余備份圖2兩校區(qū)之間VPN示意圖由于本校航空港和龍泉校區(qū)間相隔幾十公里，通過(guò)鋪設(shè)專線連接兩個(gè)校區(qū)，不但鋪設(shè)成本高昂而且維護(hù)成本也非常龐大。所以本解決方案中的兩個(gè)校區(qū)之間的鏈接是通過(guò)在兩個(gè)校區(qū)之間的防火墻上搭建VPN，讓兩個(gè)校區(qū)間的師生在教學(xué)、辦公、學(xué)習(xí)像訪問(wèn)內(nèi)網(wǎng)一樣對(duì)校內(nèi)各種資源提供快捷的訪問(wèn)。圖3主動(dòng)/主動(dòng)冗余備份防火墻集的應(yīng)用結(jié)構(gòu)由于兩個(gè)校區(qū)之間的鏈接是采用在公網(wǎng)上通過(guò)兩端的防火墻搭建vpn進(jìn)行通信。所以防火墻可靠持續(xù)工作在兩個(gè)校區(qū)之間的連通性起著至關(guān)重要的作用。我們可以采用NSRP集群技術(shù)來(lái)保證防火墻持續(xù)高效的為校園網(wǎng)提供服務(wù)。該安全解決方案中采用雙主動(dòng)（A/A模式）NSRP集群技術(shù)優(yōu)勢(shì)主要體現(xiàn)于：

1、消除防火墻及前后端設(shè)備單點(diǎn)故障，提供網(wǎng)絡(luò)高可靠性。即使在骨干網(wǎng)絡(luò)中兩類核心設(shè)備同時(shí)出現(xiàn)故障，也能夠保證業(yè)務(wù)安全可靠運(yùn)行。

2、根據(jù)客戶網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)可靠性需要，提供靈活多樣的可靠組網(wǎng)方式。NSRP雙機(jī)集群能夠提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統(tǒng)和口型/交叉型組網(wǎng)方式；2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統(tǒng)和口型/Fullmesh交叉型組網(wǎng)方式。為用戶提供靈活的組網(wǎng)選擇。

3、NSRP雙機(jī)結(jié)構(gòu)便于網(wǎng)絡(luò)維護(hù)管理，通過(guò)將流量在雙機(jī)間的靈活切換，在防火墻軟件升級(jí)、前后端網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化改造及故障排查時(shí)，雙機(jī)結(jié)構(gòu)均能夠保證業(yè)務(wù)的不間斷運(yùn)行。

4、結(jié)合Netscreen虛擬系統(tǒng)和虛擬路由器技術(shù)，部署一對(duì)NSRP集群防火墻，可以為企業(yè)更多的應(yīng)用提供靈活可靠的安全防護(hù)，減少企業(yè)防火墻部署數(shù)量和維護(hù)成本。雙主動(dòng)模式（A/A模式）的優(yōu)點(diǎn)在兩臺(tái)設(shè)備都沒(méi)有出現(xiàn)故障時(shí)，可以提供負(fù)載均衡，增加帶寬。當(dāng)其中一臺(tái)設(shè)備出現(xiàn)問(wèn)題時(shí)，另一臺(tái)設(shè)備仍然可以正常提供服務(wù)，從而達(dá)到了冗余備份的目的。

三層交換機(jī)、路由器的冗余備份出口路由器采用vrrp備份VRRP(VirtualRouterRedundancyProtocol，虛擬路由冗余協(xié)議)設(shè)計(jì)采用主備模式，以保證當(dāng)主路由設(shè)備發(fā)生故障時(shí)，備份路由設(shè)備可以在不影響內(nèi)外數(shù)據(jù)通信的前提下進(jìn)行功能切換，且不需要再修改內(nèi)部網(wǎng)絡(luò)的參數(shù)。VRRP組內(nèi)多個(gè)路由設(shè)備都映射為一個(gè)虛擬的路由設(shè)備。VRRP保證同時(shí)有且只有一個(gè)路由設(shè)備在代表虛擬路由設(shè)備進(jìn)行包的發(fā)送，而主機(jī)則是把數(shù)據(jù)包發(fā)向該虛擬路由設(shè)備，這個(gè)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由設(shè)備被選擇成為主路由設(shè)備。如果這個(gè)主路由設(shè)備在某個(gè)時(shí)候由于某種原因而無(wú)法工作的話，則處于備份狀態(tài)的路由設(shè)備將被選擇來(lái)代替原來(lái)的主路由設(shè)備。VRRP使得局域網(wǎng)內(nèi)的主機(jī)看上去只使用了一個(gè)路由設(shè)備，并且即使在它當(dāng)前所使用的首跳路由設(shè)備失敗的情況下仍能夠保持路由的連通性。圖4VRRP高級(jí)應(yīng)用如圖4，設(shè)置了兩個(gè)虛擬路由設(shè)備。對(duì)于虛擬路由設(shè)備1，路由設(shè)備A使用以太網(wǎng)口Fa0/0的IP地址作為虛擬路由設(shè)備的IP地址，這樣路由設(shè)備A就成為主路由設(shè)備，而路由設(shè)備B成為備份路由設(shè)備。對(duì)于虛擬路由設(shè)備2，路由設(shè)備B使用以太網(wǎng)口Fa0/0的IP地址作為虛擬路由設(shè)備的IP地址，這樣路由設(shè)備B就成為主路由設(shè)備，而路由設(shè)備A成為備份路由設(shè)備。在局域網(wǎng)內(nèi)，主機(jī)1和主機(jī)2使用虛擬路由設(shè)備1的IP地址作為默認(rèn)網(wǎng)關(guān)，主機(jī)3和主機(jī)4使用虛擬路由設(shè)備2的IP地址作為默認(rèn)網(wǎng)關(guān)。在VRRP這個(gè)應(yīng)用中，路由設(shè)備A和路由設(shè)備B實(shí)現(xiàn)了路由冗余，并同時(shí)分擔(dān)了來(lái)自局域網(wǎng)的流量即實(shí)現(xiàn)了負(fù)載平衡。（3）供電安全方案由于學(xué)校處在郊區(qū)，不排除可能臨時(shí)停電，因此學(xué)校中心機(jī)房應(yīng)該有蓄電池組，可保證在停電后的短時(shí)間供電，同時(shí)還應(yīng)有發(fā)電機(jī)組設(shè)備。有自動(dòng)檢測(cè)裝置能檢測(cè)到中心機(jī)房斷電同時(shí)啟動(dòng)發(fā)電機(jī)組，以確保在停電后的長(zhǎng)時(shí)間像中心機(jī)房供電，從而保證中心機(jī)房設(shè)備及服務(wù)器無(wú)間斷運(yùn)行。在檢測(cè)到外部供電恢復(fù)正常以后，應(yīng)該能做到自動(dòng)停止發(fā)電機(jī)組，同時(shí)想蓄電池組充電。3）防止物理線路被非有意損毀在網(wǎng)絡(luò)規(guī)劃初期就應(yīng)該做出網(wǎng)絡(luò)物理詳細(xì)布線圖，并保留備案。并且應(yīng)在布線初期就在線路相關(guān)位置留下標(biāo)示，以防止后續(xù)施工無(wú)意損毀。當(dāng)校園施工或者改造時(shí)，涉及物理線路相關(guān)地段，學(xué)校應(yīng)向施工單位提供該地段的詳細(xì)布線圖紙，防止施工時(shí)傷及干線。鏈路層安全解決方案1）防止局域網(wǎng)內(nèi)部嗅探解決方案利用IEEE802.1QTunneling(隧道)功能，服務(wù)商可以用一個(gè)VLAN(服務(wù)商VLAN)來(lái)支持擁有多個(gè)VLAN的用戶。用戶自身的VLAN被保留起來(lái)，這樣即使進(jìn)入網(wǎng)絡(luò)服務(wù)商的不同用戶流的VLAN相同，也會(huì)在服務(wù)商的內(nèi)部網(wǎng)絡(luò)中被分開(kāi)傳輸。隧道通過(guò)雙Tag來(lái)擴(kuò)展VLAN的范圍，一個(gè)支持IEEE802.1QTunneling(隧道)的端口稱為隧道端口(TunnelPort)。配置隧道的時(shí)候，可以給隧道端口賦一個(gè)VLAN作為隧道的專用VLAN。這樣，每個(gè)用戶僅需要用一個(gè)服務(wù)商的VLAN，用戶流在服務(wù)商網(wǎng)絡(luò)中傳輸時(shí)被服務(wù)商VLAN包裝成雙Tag幀，以服務(wù)商VLAN在網(wǎng)絡(luò)中傳輸。圖5802.1QTunneling要進(jìn)行局域網(wǎng)內(nèi)部的二層嗅探掃描，必須是所有被掃描設(shè)備在同一個(gè)廣播域。可采用劃分vlan的方法隔離廣播域，傳統(tǒng)802.1q劃分vlan由于協(xié)議中VID為12位，所以支持4096個(gè)vlan。但是如此龐大數(shù)量的vlan難于管理。我們可以采用802.1Qtunneling(隧道)的解決方案，對(duì)于學(xué)生宿舍大樓所在交換機(jī)，為每個(gè)接入到學(xué)生宿舍的端口劃分一個(gè)vlan，可按房間順序排序，便于管理。同時(shí)不同大樓的學(xué)生宿舍可以有相同的vlanid，這樣每棟大樓按相同規(guī)律編號(hào)，管理方便。如果局域網(wǎng)內(nèi)有學(xué)生想通過(guò)二層掃描獲取內(nèi)網(wǎng)傳輸數(shù)據(jù)，那么他只能獲取他自己所在vlan的信息（也就是他所在寢室），危害已大大減小。不至于整個(gè)局域網(wǎng)都在他的掌控之中。整個(gè)宿舍區(qū)又可以劃分到一個(gè)vlan。對(duì)于其它區(qū)域（如教學(xué)區(qū)，辦公區(qū)），可采用同樣的方式處理。防ARP欺騙安全解決方案第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。在PC看來(lái)，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。對(duì)于這兩種都可采用MAC綁定的方案解決。僅在PC上綁定安全網(wǎng)關(guān)的IP和MAC地址或者做一個(gè)批處理文件來(lái)進(jìn)行綁定，當(dāng)病毒機(jī)器偽造IP/MAC，使錯(cuò)誤的數(shù)據(jù)包充斥與網(wǎng)絡(luò)中會(huì)造成大面積的掉線等情況。也可在802.1X認(rèn)證時(shí)強(qiáng)制做IP+MAC+端口的綁定；僅在路由器做MAC綁定，沒(méi)有從根本上解決ARP防護(hù),當(dāng)中ARP病毒的機(jī)器偽造網(wǎng)關(guān)使其他電腦將數(shù)據(jù)發(fā)到偽造的網(wǎng)關(guān)同樣會(huì)造成掉線等相關(guān)問(wèn)題；利用一些輔助工具軟件，比如一些防ARP病毒攻擊軟件。訪問(wèn)控制安全解決方案IEEE802LAN中，用戶只要能接到網(wǎng)絡(luò)設(shè)備上，不需要經(jīng)過(guò)認(rèn)證和授權(quán)即可直接使用。這樣，一個(gè)未經(jīng)授權(quán)的用戶，他可以沒(méi)有任何阻礙地通過(guò)連接到局域網(wǎng)的設(shè)備進(jìn)入網(wǎng)絡(luò)。隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用，特別是在運(yùn)營(yíng)網(wǎng)絡(luò)的出現(xiàn)，對(duì)網(wǎng)絡(luò)的安全認(rèn)證的需求已經(jīng)提到了議事日程上。如何在以太網(wǎng)技術(shù)簡(jiǎn)單、廉價(jià)的基礎(chǔ)上，提供用戶對(duì)網(wǎng)絡(luò)或設(shè)備訪問(wèn)合法性認(rèn)證，已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)。IEEE802.1x協(xié)議正是在這樣的背景下提出的。圖6802.1X解決方案IEEE802.1x標(biāo)準(zhǔn)認(rèn)證體系由懇請(qǐng)者、認(rèn)證者、認(rèn)證服務(wù)器三個(gè)角色構(gòu)成，在實(shí)際應(yīng)用中，三者分別對(duì)應(yīng)為：工作站（Client）、設(shè)備(networkaccessserver，NAS)、Radius-Server。交換機(jī)接用戶的端口為受控端口，接認(rèn)證服務(wù)器的為非受控端口，非受控端口可以一直訪問(wèn)網(wǎng)絡(luò)懇請(qǐng)者通過(guò)802.1X客戶端，向認(rèn)證者發(fā)起認(rèn)證。受控端口通過(guò)認(rèn)證后成為認(rèn)證用戶，可以訪問(wèn)網(wǎng)絡(luò)；若受控端口沒(méi)有通過(guò)認(rèn)證為非認(rèn)證用戶不能訪問(wèn)網(wǎng)絡(luò)。一般設(shè)備都提供了AAA認(rèn)證Authentication：認(rèn)證，用于判定用戶是否可以獲得訪問(wèn)權(quán)，限制非法用戶Authorization：授權(quán)，授權(quán)用戶可以使用哪些服務(wù)，控制合法用戶的權(quán)限Accounting：計(jì)賬，記錄用戶使用網(wǎng)絡(luò)資源的情況，為收費(fèi)提供依據(jù)這樣就加強(qiáng)了對(duì)網(wǎng)絡(luò)的控制和安全。4、網(wǎng)絡(luò)層安全分析1)網(wǎng)絡(luò)傳輸安全解決方案VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是指利用公用電信網(wǎng)絡(luò)為用戶提供專用網(wǎng)的所有各種功能。

由于采用了“虛擬專用網(wǎng)”技術(shù)，即用戶實(shí)際上并不存在一個(gè)獨(dú)立專用的網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個(gè)屬于用戶自己專用的電信網(wǎng)絡(luò)。

虛擬專用網(wǎng)是利用公用電信網(wǎng)組建起來(lái)的功能性網(wǎng)絡(luò)。不同類型的公用網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)內(nèi)部的軟件控制就可以組建不同種類的虛擬專用網(wǎng)。例如：利用公用電話網(wǎng)可以構(gòu)建“虛擬專用電話網(wǎng)”。常用的VPN網(wǎng)絡(luò)協(xié)議有：IPSec:IPsec(縮寫IPSecurity)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。

IPsec作為一個(gè)協(xié)議族（即一系列相互關(guān)聯(lián)的協(xié)議）由以下部分組成：(1)保護(hù)分組流的協(xié)議；(2)用來(lái)建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分：加密分組流的封裝安全載荷（ESP）及較少使用的認(rèn)證頭（AH），認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。本方案中選擇的防火墻就提供VPN功能，方便在兩校間的公網(wǎng)上搭建VPN實(shí)現(xiàn)兩校間數(shù)據(jù)通信的保密兩校區(qū)間vpn連接示意圖

撥號(hào)虛擬專用網(wǎng)為方便學(xué)校教師及行政工作人員，在下班休息時(shí)間也可以訪問(wèn)學(xué)校的資源，采用撥號(hào)虛擬專用網(wǎng)。給每個(gè)需要提供vpn服務(wù)的教師或行政工作人員提供相應(yīng)的VPN賬號(hào)和密碼。教師可在校外住所，通過(guò)公網(wǎng)連接上學(xué)校的vpn服務(wù)器，通過(guò)vpn服務(wù)器認(rèn)證以后，vpn服務(wù)器會(huì)向公網(wǎng)的教師所在PC分配一個(gè)內(nèi)網(wǎng)IP，然后教師在校外就可以像在內(nèi)網(wǎng)一樣訪問(wèn)學(xué)校的各種教學(xué)資源，和資料了。同時(shí)，教師和學(xué)校的vpn服務(wù)器間的傳輸數(shù)據(jù)是通過(guò)加密傳輸?shù)?。公網(wǎng)非法竊聽(tīng)者即使截獲傳輸數(shù)據(jù)也無(wú)關(guān)緊要。撥號(hào)虛擬專用網(wǎng)示意圖對(duì)內(nèi)網(wǎng)傳輸敏感信息的安全ftp服務(wù)器主要提供文件下載，其安全主要取決于網(wǎng)絡(luò)管理人員的安全水平，無(wú)需做過(guò)多限制，可直接允許內(nèi)網(wǎng)用戶匿名訪問(wèn)。盡量不提供telnet服務(wù)，而采用有安全保障的ssh。對(duì)郵件盡量采用郵件客戶端首發(fā)郵件。即使提供web方式首發(fā)郵件也最好采取https協(xié)議，保障信息的安全。源IP欺騙的安全解決方案在內(nèi)網(wǎng)啟用ip+mac地址綁定機(jī)制，當(dāng)學(xué)校RADIUS服務(wù)器檢測(cè)到ip和mac不一致時(shí)將強(qiáng)制客戶pc下線，不為其提供接入服務(wù)。防止內(nèi)網(wǎng)學(xué)生通過(guò)ip地址偽裝越權(quán)訪問(wèn)校園網(wǎng)資源。在防火墻處設(shè)置策略：當(dāng)遇到公網(wǎng)來(lái)的數(shù)據(jù)包的ip地址是內(nèi)網(wǎng)ip直接將其丟棄