/天津電子信息職業(yè)技術學院（軟件學院）畢業(yè)論文題目校內(nèi)網(wǎng)絡系統(tǒng)的設計和規(guī)劃姓名專業(yè)班級指導老師完成時間天津電子信息職業(yè)技術學院（軟件學院）制2009.6摘要：在學問經(jīng)濟和數(shù)字化生存時代，校內(nèi)網(wǎng)在資源共享、學問傳播、育人管理等方面發(fā)揮越來越重要的作用，因此其設計建設要本著高起點而又經(jīng)濟好用的標準。詳細來說，應是一個以寬帶IP網(wǎng)為目標建立數(shù)據(jù)、語音、視頻三網(wǎng)合一的一體化網(wǎng)絡；為提高網(wǎng)絡牢靠性及平安性,須要在主干網(wǎng)采納光纖布線，校內(nèi)網(wǎng)應實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡平安性；主干網(wǎng)交換機應具有很高的包交換速度，整個網(wǎng)絡應具有高速的三層交換功能；主干網(wǎng)絡應當采用成熟的、牢靠的快速以太網(wǎng)和千兆位以太網(wǎng)技術作為校內(nèi)網(wǎng)主干；校內(nèi)網(wǎng)應選用先進的網(wǎng)管軟件，建立完善的網(wǎng)絡管理體系；在設備方面，應選擇有校內(nèi)網(wǎng)勝利案例的網(wǎng)絡廠商的設備，同時為Internet、撥號用戶和移動用戶供應接口；網(wǎng)絡還應具有良好的擴展性。關鍵詞：校內(nèi)網(wǎng)管理服務器平安性設備書目TOC\o\h\z\u引言 3一．校內(nèi)網(wǎng)絡系統(tǒng)設計需求分析 4（一）計算機網(wǎng)絡系統(tǒng)現(xiàn)狀 4（二）校內(nèi)網(wǎng)需求分析 4（三）校內(nèi)網(wǎng)目標功能和設計原則 5二.系統(tǒng)設計方案 6（一）系統(tǒng)綜合布線組建方案 6（二）網(wǎng)絡拓撲設計 9（三）網(wǎng)絡配置及管理 9（四）Vlan的劃分及子網(wǎng)配置 10（五）IP地址的安排 11三.校內(nèi)網(wǎng)管理設計 12（一）用戶管理 12（二）服務器管理 12四．校內(nèi)網(wǎng)平安及防范 13（一）依據(jù)用戶的特性和需求劃分VLAN 13（二）防火墻的設置 13（三）合理運用入侵檢測技術 14（四）設置訪問限制管理系統(tǒng)和智能信息過濾系統(tǒng) 15（五）加強防范，防止病毒泛濫 15五．設備選型 16六．性能測試及風險分析 16（一）性能測試 16（二）風險分析 17七．結束語 17八．后記致謝 17九．參考文獻 18引言：在網(wǎng)絡信息時代的今日，面對新的需求和挑戰(zhàn)，為了學校的科研、教學、管理的技術水平，為探討開發(fā)和培育高層次人才建立現(xiàn)代化平。Intranet/Internet技術的高速多媒體校內(nèi)網(wǎng)。整個高速多媒體校內(nèi)網(wǎng)建設原則是"經(jīng)濟高效、領先實惠"，既要領先一步，具有發(fā)展余地，又要比較實惠。校內(nèi)網(wǎng)是集計算機技術、網(wǎng)絡技術、多媒體技術于一體的系統(tǒng)，能夠最大限度地調(diào)動學生對教學內(nèi)容的參和性以及主動性。校內(nèi)網(wǎng)建設的目標主要是建立以校內(nèi)網(wǎng)絡為基礎的行政、教學及師生之間交互式管理系統(tǒng)，逐步建立學校信息管理網(wǎng)絡，實現(xiàn)辦公自動化；為開展網(wǎng)上遠程教學、多媒體交互式立體教學模式的探究供應高速、穩(wěn)定的支持平臺；逐步建立計算機協(xié)助教學、計算機協(xié)助考試等系統(tǒng)，為實現(xiàn)多媒體課件制作網(wǎng)絡化，老師備課電子化、多媒體化打好基礎；保證網(wǎng)絡系統(tǒng)的開放性、可持續(xù)發(fā)展性，便于以后集成視頻會議、視頻點播等高層次教學功能。籌劃校內(nèi)網(wǎng)要探討三個要素，無論是校外連網(wǎng)還是校內(nèi)連網(wǎng)，要較好地發(fā)揮校內(nèi)網(wǎng)的作用都要涉及三個要素：運載基礎設施、運載設施和運載信息。一．校內(nèi)網(wǎng)絡系統(tǒng)設計需求分析（一）計算機網(wǎng)絡系統(tǒng)現(xiàn)狀高校校內(nèi)網(wǎng)的發(fā)展可分為三個階段：第一個階段是大部分學校沒有網(wǎng)絡設備階段，我國已經(jīng)基本渡過這個階段，據(jù)不完全統(tǒng)計，我國現(xiàn)在高校校內(nèi)網(wǎng)的覆蓋率已經(jīng)達到100%。其次個階段是學校網(wǎng)絡設備處于比較雜亂的階段，我國現(xiàn)有高校的大部分校內(nèi)網(wǎng)都處在這個階段。第三個階段是學校的校內(nèi)網(wǎng)可以供應一個高效、平安的平臺，為高校的教化事業(yè)發(fā)展供應良好的條件。這個階段也是我們校內(nèi)網(wǎng)發(fā)展的更高目標。（二）校內(nèi)網(wǎng)需求分析校內(nèi)網(wǎng)一般為大中等規(guī)模的組網(wǎng)，節(jié)點數(shù)一般300到500個，網(wǎng)絡應用也較中型校內(nèi)網(wǎng)困難，對通信的要求也較高，因此已經(jīng)要求百兆交換到桌面，并要求支持多媒體的應用。所以該校內(nèi)網(wǎng)網(wǎng)絡中心采納FlexHammer24交換機進行堆疊，供應高密度的10/100M自適應端口，二級節(jié)點交換機依據(jù)詳細狀況選擇μHammer2或μHammer24交換機，對多媒體教室、電子閱覽室等須要多媒體應用、要求較大帶寬的二級節(jié)點則選用μHammer24交換機，供應10/100M兆端口接入用戶桌面。一般教室選用μHammer2交換機，供應10M/100m端口接入用戶桌面。FlexHammer和μHammer交換機還具有劃分VLAN的功能，使各部門的局域網(wǎng)可自成體系，隔離了廣播風暴，同時FlexHammer的第三層交換功能又使不同用戶群之間必要的限制性訪問得到實現(xiàn)，從而使得應用網(wǎng)絡的設計更加自由，更加敏捷?！び脛掌骺蛇x擇接入100M、1000M-TX、1000M-SX·堆疊可以敏捷擴展端口數(shù)量·供應三層交換·擴展模塊可支持1000M上聯(lián)模塊，以后可以使網(wǎng)絡主干平衡升級到1000M·10/100M接入用戶桌面·網(wǎng)絡設備選型為國際知名產(chǎn)品，性能穩(wěn)定牢靠、技術先進、產(chǎn)品系列全及完善的服務保證；采納支持網(wǎng)絡管理的交換設備，足不出戶即可管理配置整個網(wǎng)絡?！ぞW(wǎng)絡互聯(lián)·供應國際互聯(lián)網(wǎng)ISDN專線接入（或DDN），實現(xiàn)和各公共網(wǎng)的連接；·可擴容的遠程撥號接入/撥出，共享資源、發(fā)布信息等。應用系統(tǒng)及教學資源豐富；·有綜合網(wǎng)絡辦公系統(tǒng)及各個應用管理系統(tǒng)，實現(xiàn)辦公自動化，管理信息化；·有以WEB數(shù)據(jù)庫為中心的綜合信息平臺，可進行消息發(fā)布，招生廣告、形象宣揚、課業(yè)輔導、教案參考展示、資料查詢、郵件服務及遠程教學等。（三）校內(nèi)網(wǎng)目標功能和設計原則1.系統(tǒng)目標功能在學問經(jīng)濟和數(shù)字化生存時代，校內(nèi)網(wǎng)在資源共享、學問傳播、育人管理等方面發(fā)揮越來越重要的作用，因此其設計建設要本著高起點而又經(jīng)濟好用的標準。詳細來說，應是一個以寬帶IP網(wǎng)為目標建立數(shù)據(jù)、語音、視頻三網(wǎng)合一的一體化網(wǎng)絡；為提高網(wǎng)絡牢靠性及平安性,須要在主干網(wǎng)采納光纖布線，校內(nèi)網(wǎng)應實現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡平安性；主干網(wǎng)交換機應具有很高的包交換速度，整個網(wǎng)絡應具有高速的三層交換功能；主干網(wǎng)絡應當采用成熟的、牢靠的快速以太網(wǎng)和千兆位以太網(wǎng)技術作為校內(nèi)網(wǎng)主干；校內(nèi)網(wǎng)應選用先進的網(wǎng)管軟件，建立完善的網(wǎng)絡管理體系；在設備方面，應選擇有校內(nèi)網(wǎng)勝利案例的網(wǎng)絡廠商的設備，同時為Internet、撥號用戶和移動用戶供應接口；網(wǎng)絡還應具有良好的擴展性。2.設計原則網(wǎng)上資源，進行教學和科研工作；學生可以便利地閱讀和查詢網(wǎng)上資源實現(xiàn)遠程學習；通過網(wǎng)上學習學會信息處理實力。學校的管理人員可便利地對教務、行政事務、學生學籍、財務、資產(chǎn)等進行綜合管理，同時可以實現(xiàn)各級管理層之間的信息數(shù)據(jù)交換，實現(xiàn)網(wǎng)上信息采集和處理的自動化，實現(xiàn)信息和設備資源的共享，因此，校內(nèi)網(wǎng)的建設必需有明確的建設目標。校內(nèi)網(wǎng)的總體設計原則是：開放性——采納開放性的網(wǎng)絡體系，以便利網(wǎng)絡的升級、擴展和互聯(lián)；同時在選擇服務器、網(wǎng)絡產(chǎn)品時，強調(diào)產(chǎn)品支持的網(wǎng)絡協(xié)議的國際標準化；可擴充性——從主干網(wǎng)絡設備的選型及其模塊、插槽個數(shù)、管理軟件和網(wǎng)絡整體結構，以及技術的開放性和對相關協(xié)議的支持等方面，來保證網(wǎng)絡系統(tǒng)的可擴充性；可管理性——利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡規(guī)劃策略，供應強大的網(wǎng)絡管理功能；使日常的維護和操作變得直觀，便捷和高效；平安性——內(nèi)部網(wǎng)絡之間、內(nèi)部網(wǎng)絡和外部公共網(wǎng)之間的互聯(lián)，利用VLAN/ELAN、防火墻等對訪問進行限制，確保網(wǎng)絡的平安；投資愛護——選用性能價格比高的網(wǎng)絡設備和服務器；采納的網(wǎng)絡架構和設備充分考慮到易升級換代，并且在升級時可以最大限度地愛護原有的硬件設備和軟件投資；易用性——應用軟件系統(tǒng)必需強調(diào)易用性，用戶界友好，帶有幫助和查詢功能，用戶可以通過Web查詢。二.系統(tǒng)設計方案（一）系統(tǒng)綜合布線組建方案1．工作間的打算工作（1）設備間的土建工程已全部竣工，室內(nèi)墻壁已充分干燥。設備間門的高度和寬度應不阻礙設備的搬運，房門鎖和鑰匙齊全；（2）設備間地面應平整光滑，預留暗管、地槽和孔洞的數(shù)量、位置、尺寸均應符合工藝設計要求；（3）電源已經(jīng)接入設備間，應滿意施工須要；（4）設備間的通風管道應清掃干凈，空氣調(diào)整設備應安裝完畢，性能良好；（5）在鋪設活動地板的設備間內(nèi)，應對活動地板進行特地檢查，地板板塊鋪設嚴密堅實，符合安裝要求，每平米水平誤差應不大于2mm，地板應接地良好，接地電阻和防靜電措施應符合要求。2．交接間環(huán)境要求（1）依據(jù)設計規(guī)范和工程的要求，對建筑物的垂直通道的樓層及交接間應做好支配，并應檢查其建筑和環(huán)境條件是否具備。（2）應留好交接間垂直通道電纜孔孔洞，并應檢查水平通道管道或電纜橋架和環(huán)境條件是否具備。（3）器材檢驗要求(略)（4）全要求(略)（5）技術打算（略）3．水平線纜布線管道布線是在澆筑混凝土時已把管道預埋在地板中，管道內(nèi)由牽引電纜線的鋼絲或鐵絲，施工時只需通過管道圖紙了解地板管道，就可做出施工方案。對于沒有預埋管道的新建筑物，布線施工可以和建筑物裝潢同步進行，這樣便于布線，又不影響建筑的美觀。管道一般從配線間埋到信息插座安裝孔，施工時只要將雙絞線固定在信息插座的接線端，從管道的另一端牽引拉線就可將線纜引到配線間。4．建筑物垂直干線線纜布線本系統(tǒng)采納室內(nèi)多模光纖做為垂直干線的主要載體，光纖的垂直干線布放可參考“光纖傳輸管道敷設”。5．管理子系統(tǒng)管理子系統(tǒng)由樓層配線架組成。其主要功能是將垂直干纜線和各樓層水平布線子系統(tǒng)相連接。布線系統(tǒng)的優(yōu)勢和敏捷性主要體現(xiàn)在管理子系統(tǒng)上，只要簡潔地跳一下線就可完成任何一個結構化布線系統(tǒng)的信息插座以對任何一類智能系統(tǒng)的連接，極大地便利了線路重新布局和網(wǎng)絡終端的調(diào)整。光纖連接時，要用光纖接續(xù)箱(LIU)，箱內(nèi)可有多個ST連接器安裝孔,箱體箱內(nèi)的線路彎曲設計應符合62．5／125微米多模光纖的彎曲度要求，光纖接頭用STII，由陶瓷材料制成，最大信號衰減小于0．2dB，光耦合器可作為多模光纖和網(wǎng)絡設備或光纖接續(xù)裝置上的連接，配線架和光纖接續(xù)箱通常設在弱電井或設備間內(nèi)，用來連接其它子系統(tǒng)，并對它們通過跳線進行管理。6．設備間子系統(tǒng)設備間子系統(tǒng)由主配線架和各公共設備組成。它的主要功能是將各種公共設備(如計算機主機、數(shù)字程控交換機、各種限制系統(tǒng)、網(wǎng)絡互連設備)等和主配線架連接起來。該子系統(tǒng)還包括電氣愛護裝置等。7．建筑群向連接子系統(tǒng)該子系統(tǒng)是指主建筑物中的主配線架延長到另外一些建筑物的主配線架的連接系統(tǒng)。和垂直子系統(tǒng)類似，通常采納光纜或大對數(shù)銅纜連接。它是整個布線系統(tǒng)的一部分(包括傳輸介質(zhì))并支持供應樓群之間通信所需的硬件，其中有電纜、光纜和防止電纜的浪涌電壓進入建筑物的電氣愛護設備。（二）網(wǎng)絡拓撲設計圖（1）（三）網(wǎng)絡配置及管理構建大中型局域網(wǎng)絡的常用設備包括交換機、路由器、平安設備和無線設備，它們可以稱得上是網(wǎng)絡構建的四大支柱，或者稱為網(wǎng)絡世界的四大金剛。只要駕馭了這四類設備的功能、選擇、連接、配置、管理和排障，也就等于駕馭了全面的網(wǎng)絡構建技術，同時，就可以稱得上是一位名副其實的網(wǎng)絡管理員。交換機負責連接各種網(wǎng)絡設備（如交換機、路由器、無線AP和網(wǎng)絡防火墻等）和網(wǎng)絡終端（如計算機、服務器、網(wǎng)絡攝像頭和網(wǎng)絡打印機等），用于構建各種類型和規(guī)模的局域網(wǎng)絡。若沒有交換機，則計算機和網(wǎng)絡設備之間就無法通信，也就不能搭建局域網(wǎng)絡，因此，交換機是網(wǎng)絡構建的基礎，沒有交換機就沒有局域網(wǎng)。同時，交換機的性能還從根本上確定著整個局域網(wǎng)的連接帶寬和傳輸效率。路由器則是不同網(wǎng)絡之間的橋梁，用于實現(xiàn)局域網(wǎng)之間以及局域網(wǎng)和Internet之間的互聯(lián)。若沒有路由器，則局域網(wǎng)就會和外部網(wǎng)絡完全隔離，即成為一座信息孤島，因此可以形象地認為，網(wǎng)絡對路由器的渴望不亞于島民對跨海大橋的期盼。平安設備通過肯定的規(guī)則和限制來保證網(wǎng)絡平安，是實現(xiàn)局域網(wǎng)內(nèi)部平安的重要保障。沒有平安設備愛護的局域網(wǎng)，將時刻面臨來自整個虛擬世界攻擊的威逼，個人隱私和商業(yè)機密都將蕩然無存。無線網(wǎng)絡用于實現(xiàn)移動用戶的敏捷接入，在無線信號覆蓋的區(qū)域內(nèi)，無論用戶位于何處，都可以實現(xiàn)類似手機的無線漫游，只要筆記本電腦在手就可以隨時隨地上網(wǎng)，從而擺脫了網(wǎng)絡線纜的束縛和羈絆?？梢姡粨Q機、路由器、平安設備和無線設備各司其職、相互結合、彼此補充、缺一不行。（四）Vlan的劃分及子網(wǎng)配置1.Vlan簡介VLAN（VirtualLocalAreaNetwork）又稱虛擬局域網(wǎng)，一方面，VLAN建立在局域網(wǎng)交換機的基礎之上，采納網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中，在功能和操作上和傳統(tǒng)LAN基本相同，可以供應肯定范圍內(nèi)終端系統(tǒng)的互聯(lián)。另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因為通過VLAN用戶能便利地在網(wǎng)絡中移動和快捷地組建寬帶網(wǎng)絡，而無需變更任何硬件和通信線路。這樣，網(wǎng)絡管理員就能從邏輯上對用戶和網(wǎng)絡資源進行安排，而無需考慮物理連接方式。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡技術的重要特征：高速、敏捷、管理簡便和擴展簡潔。Vlan的劃分方式主要分為六類：基于端口的劃分，基于MAC地址的劃分，基于網(wǎng)絡層協(xié)議類型的劃分，基于網(wǎng)絡層子網(wǎng)地址的劃分，基于網(wǎng)絡層廣播地址劃分，基于網(wǎng)絡層，基于網(wǎng)絡層以上協(xié)議乃至應用程序類型劃分。2.Vlan的劃分及配置共劃分為5個VLAN：

①VLAN10:劃分給中國電信VPN，IP固定，不占用學校IP，指定給Huawei3526:24口。

②VLAN20:綜合樓（含兩個電腦室、兩個電子閱覽室及若干電腦）約220臺電腦，安排一個C地址；IP地址段：-254；子網(wǎng)掩碼：；網(wǎng)關：；指定給Huawei3526光纖1端口。

③VLAN30:劃分給服務器群，約8臺，考慮以后擴充，安排32個地址；子網(wǎng)IP地址段：-30；子網(wǎng)掩碼：24；網(wǎng)關：；指定Huawei3526：1-12端口。

④VLAN40:劃分給教學樓電教平臺，約50臺電腦，分64個地址；子網(wǎng)IP地址段：5-126；子網(wǎng)掩碼：92；網(wǎng)關：5；指定Huawei3526光纖2端口。

⑤VLAN50:劃分給辦公樓電腦，約100左右臺電腦，分半個C個地址；子網(wǎng)IP地址段：29-254；子網(wǎng)掩碼：28；網(wǎng)關：29；指定13-16端口屬于VLAN50。

⑥預留17-23端口、IP地址段：3-62，用于以后網(wǎng)絡擴展運用（五）IP地址的安排1．校內(nèi)網(wǎng)IP地址安排總則IP地址規(guī)劃依據(jù)所安排的公網(wǎng)IP地址和內(nèi)部私網(wǎng)IP地址安排，地址可分為三大塊，一塊是Cernet安排多個C類公網(wǎng)IP地址，作為和國際互聯(lián)網(wǎng)互連的地址，域名就解析在這片地址上，主要供網(wǎng)絡中心和圖書館電腦部、部分試驗室專用；校內(nèi)網(wǎng)的一般用戶,運用內(nèi)部地址192.168.xxx.xxx，，不能和國際互聯(lián)網(wǎng)干脆發(fā)生聯(lián)系，不能避開代理和計費系統(tǒng)；學校同時還可以申請一塊ChinaNet的公網(wǎng)IP地址，作為接入電信公網(wǎng)和部分關鍵的服務器出口備份,關鍵服務器擁有兩個公網(wǎng)IP，分別跨接在Cernet和ChinaNet上。2.校內(nèi)網(wǎng)內(nèi)部私網(wǎng)IP地址的安排內(nèi)部地址的安排原則是按建筑物進行的，視用戶的數(shù)量，1/4、1/2、整個C的劃分。對于相對固定不變的教學區(qū)采納靜態(tài)安排IP地址，為防止地址盜用，采納IP地址和MAC地址綁定，對于流淌性大、用戶人數(shù)多、用戶增長快的學生區(qū)采納動態(tài)安排IP地址，采納ByPort的Vlan，小范圍地限制地址盜用問題。下面是該校IP地址安排表樓宇名稱IP地址范圍網(wǎng)關辦公樓一樓——192..168.10.1辦公樓二樓—教學樓一樓1—0教學樓二樓1—0教學樓三樓1—0教學樓四樓1—0教學樓五樓1—192.168.10..80教學樓六樓1—0信息樓1—30女生宿舍樓31—60男生宿舍樓61—90電子閱覽室91—40體育館41—45三.校內(nèi)網(wǎng)管理設計（一）用戶管理內(nèi)網(wǎng)中的硬件設備、操作系統(tǒng)和應用系統(tǒng)等面對的用戶主要分為管理者和運用者兩大類，各種權限的設置成為用戶管理的主要內(nèi)容。若從可信度的角度去視察用戶管理，則可以看到，用戶及權限的設置正是用戶可信程度凹凸的體現(xiàn)，用戶所擁有的管理或運用權限越高，則其被信任的程度也越高，反之亦然。用戶可信度在用戶管理中是有層次關系的，用戶可信度越高則所處的可信層次越高。

在通常的用戶管理概念中，一個用戶能夠同時被給予多種角色，行使多種權力，且這種授權方式在實現(xiàn)上一般僅有管理約束而無技術約束，由此產(chǎn)生的后果則是破壞了用戶可信度的層次關系，給平安管理帶來了隱患。（二）服務器管理服務器是校內(nèi)網(wǎng)的核心設備，也是黑客們的主要攻擊對象，所以它們要有最高的平安性。網(wǎng)絡操作系統(tǒng)是校內(nèi)網(wǎng)服務器系統(tǒng)中最重要的組成部分，用戶通過運用網(wǎng)絡操作系統(tǒng)來運用校內(nèi)網(wǎng)絡資源，所以服務器平安的前提是網(wǎng)絡操作系統(tǒng)的平安。安裝時選擇定制安裝，只安裝須要的服務組件，安裝完Windows2003后，要先升級、打補丁、安裝應用程序，然后再聯(lián)網(wǎng)調(diào)試；在服務器上只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議，解除NetBIOS和TCP/IP協(xié)議的綁定；把共享文件的授權用戶從“Everyone”組改為詳細的授權用戶；把權限從“完全限制”改為想給的授權；關閉默認共享、遠程管理和遠程IPC，防止IPC入侵；賬戶和密碼位數(shù)要足夠長、足夠困難、常常更改，不能用姓名、電話、生日、學校名、科室名等簡潔的單詞當密碼；開啟賬戶策略中的密碼策略，啟用密碼困難性要求，設置密碼最長存活期；默認狀態(tài)下全部端口都是開啟的，可以依據(jù)服務器所供應服務的性質(zhì)，關閉那些不須要開啟的服務和端口；平安審核是Windows2000自帶的入侵檢測方法，應開啟平安審核策略；服務器安裝設置完好后為它創(chuàng)建一個緊急修復磁盤，防備系統(tǒng)一不當心被破壞而不能正常啟動；對服務器進行漏洞掃描，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的平安漏洞，消退平安隱患。四．校內(nèi)網(wǎng)平安及防范（一）依據(jù)用戶的特性和需求劃分VLAN校內(nèi)局域網(wǎng)和其他企事業(yè)單位的局域網(wǎng)相比，聯(lián)網(wǎng)計算機及網(wǎng)絡用戶的群體更為困難。有老師備課機、學朝氣房、學生宿舍、圖書館、家屬區(qū)以及人事、財務、后勤等行政辦公計算機等。不同的用戶對于網(wǎng)絡有著不同的需求，對于自身信息的平安性要求也不同，據(jù)此可以將校內(nèi)網(wǎng)劃分為多個VLAN。（二）防火墻的設置防火墻網(wǎng)關能有效隔離校內(nèi)網(wǎng)和外部互聯(lián)網(wǎng)，使校內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間的訪問連接得到有效限制，阻擋黑客對校內(nèi)網(wǎng)的非法訪問和攻擊。針對校內(nèi)網(wǎng)中部分重要的網(wǎng)段(如院長辦公室、教務、財務、人事、科研中心、重要試驗室等)設置防火墻網(wǎng)關，將他們和學朝氣房、學生宿舍及家屬區(qū)的網(wǎng)段隔離，供應最基本的網(wǎng)絡層的訪問限制，使之不會受到來自校內(nèi)其他網(wǎng)段的攻擊。圖（2）（三）合理運用入侵檢測技術入侵檢測技術是主動愛護自己免受攻擊的一種網(wǎng)絡平安技術。作為防火墻的合理補充，入侵檢測技術能夠幫助系統(tǒng)應付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的平安管理實力（包括平安審計、監(jiān)視、攻擊識別和響應），提高了信息平安基礎結構的完整性。網(wǎng)絡系統(tǒng)是應用系統(tǒng)的基礎,網(wǎng)絡平安便成為首要問題。圖（3）（四）設置訪問限制管理系統(tǒng)和智能信息過濾系統(tǒng)系統(tǒng)隔離——分為物理隔離和邏輯隔離,主要從網(wǎng)絡平安等級考慮劃分合理的網(wǎng)絡平安邊界,使不同平安級別的網(wǎng)絡或信息媒介不能相互訪問,從而達到平安目的。身份鑒別——是對網(wǎng)絡訪問者權限的識別,一般通過三種方式驗證主體身份,一是主體了解的隱私,如用戶名、口令、密鑰;二是主體攜帶的物品,如磁卡、IC卡、動態(tài)口令卡和令牌卡等;三是主體特征或實力,如指紋、聲音、視網(wǎng)膜、簽名等。全。平安監(jiān)測——實行信息偵聽的方式找尋未授權的網(wǎng)絡訪問嘗試和違規(guī)行為,包括網(wǎng)絡系統(tǒng)的掃描、預警、阻斷、記錄、跟蹤等,從而發(fā)覺系統(tǒng)遭遇的攻擊損害。（五）加強防范，防止病毒泛濫要建立一個有效合理的病毒預防和查殺機制。通過在網(wǎng)絡中部署分布式、網(wǎng)絡化的防病毒系統(tǒng)，不僅可以讓單機有效地防止病毒侵害，還可以使管理員從中心位置對整個網(wǎng)絡進行實時狀態(tài)下的病毒防護。◆剛好有效對病毒進行查殺?！舯ＷC全部計算機都安裝了網(wǎng)絡版殺毒軟件的客戶端，不能漏掉一個，否則就會出現(xiàn)“木桶效應”，使整個網(wǎng)絡重新被病毒感染?！魟偤蒙壏掌鞫藲⒍拒浖牟《編?，并要求客戶端也要剛好升級病毒庫，并定期進行全網(wǎng)計算機病毒掃描?！艚瓯l(fā)的計算機病毒如沖擊波、震蕩波、QQ尾巴等都是利用操作系統(tǒng)或應用軟件本身的漏洞進行傳播，所以要剛好安裝系統(tǒng)補丁，截斷病毒傳播的途徑，協(xié)作殺毒軟件起到雙重防范病毒的效果?！粢笮?nèi)網(wǎng)用戶在安裝了學校供應的網(wǎng)絡版殺毒軟件后，不得再私自安裝其他殺毒軟件，以免相互沖突。在防火墻內(nèi)口上捆綁IP和MAC地址，在匯聚交換機上捆綁IP和MAC地址，在接入交換機上捆綁端口和MAC地址。通過MAC地址、IP地址、交換機端口的雙重捆綁，解決校內(nèi)網(wǎng)中IP地址盜用問題和IP沖突問題。五．設備選型核心交換機（數(shù)量為2）WS-C4507R-ECat4500E-Series6-SlotChassis,fan,nops（機箱）WS-X45-SUP6L-ECatalyst4500E-SeriesSup6-ELite,2x10GE(X2)w/TwinGig（引擎）PWR-C45-1000ACCatalyst45001000WACPowerSupply(DataOnly)（電源）CAB-AC16A-CH16AACPowerCordForChina（電源線）S45EIPBK9-12253SGCiscoCAT4500EIOSIPBASESSH（IOS）WS-X4506-GB-TCatalyst45006-Port10/100/1000PoEorSFP(Optional)（板卡）匯聚交換機WS-C3750G-48TS-SCatalyst37504