1、 分類(lèi)號(hào)： 20102010 屆本科生畢業(yè)設(shè)計(jì)屆本科生畢業(yè)設(shè)計(jì) 題目：題目：校園網(wǎng)絡(luò)安全問(wèn)題及對(duì)策校園網(wǎng)絡(luò)安全問(wèn)題及對(duì)策 作 者 姓 名： 吳燦亮吳燦亮 學(xué) 號(hào)： 20061101562006110156 系(院)、專(zhuān)業(yè)： 計(jì)科系計(jì)算機(jī)科學(xué)與技術(shù)計(jì)科系計(jì)算機(jī)科學(xué)與技術(shù) 指導(dǎo)教師姓名： 侯傳宇侯傳宇 指導(dǎo)教師職稱(chēng)： 講講師師 2010 年 3 月 25 日 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)）摘要 摘摘 要要 網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、 真實(shí)性、可控性等幾個(gè)方面，它通過(guò)網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過(guò)程體現(xiàn)。校園 網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御

2、體系下，對(duì)于防止 來(lái)自校園網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道牢固的安全屏障。安全管理是 保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校建立了一套校園 網(wǎng)絡(luò)安全系統(tǒng)是必要的。 本文從對(duì)校園網(wǎng)的現(xiàn)狀分析了可能面臨的威脅，從計(jì)算機(jī)的安全策略找出解決 方案既用校園網(wǎng)絡(luò)安全管理加防火墻加設(shè)計(jì)的校園網(wǎng)絡(luò)安全系統(tǒng)。通過(guò)以下三個(gè)步 驟來(lái)完成校園網(wǎng)絡(luò)安全系統(tǒng)：1、 建設(shè)規(guī)劃；2、 技術(shù)支持；3、 組建方案。 關(guān)鍵詞：關(guān)鍵詞：網(wǎng)絡(luò)； 安全； 設(shè)計(jì) 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)）ABSTRACT ABSTRACT Network security is the essence of the safety

3、of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process. Campus network security management is in anti-virus software, a firewall or intelligence gateway

4、, etc, the defense system to prevent from outside the campus. A firewall is a firm between inner and outer net security barrier. Safety management is the basis of network security and safety technology is the auxiliary measures with safety management. The school has established a set of campus netwo

5、rk security system is necessary. Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system. Through three steps to complete the ca

6、mpus network security system: 1, the construction plan. 2 and technical support. 3 and construction scheme. Keyword: Network, Safe ；Design 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 目錄 目 錄 緒論 .1 1. 校園網(wǎng)絡(luò)安全 .2 1.1 校園網(wǎng)概述.2 1.2 校園網(wǎng)絡(luò)安全概述.3 1.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析.3 1.4 校園網(wǎng)絡(luò)安全威脅.5 2. 校園網(wǎng)絡(luò)安全措施 .8 2.1 校園網(wǎng)絡(luò)安全管理 .8 2.2 校園網(wǎng)絡(luò)安全措施 .9 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) .11

7、 3.1 校園網(wǎng)建設(shè)需求分析 .11 3.1.1 需求分析 .11 3.1.2 關(guān)鍵設(shè)備 .12 3.1.3 校園網(wǎng)絡(luò)拓?fù)?.13 3.2 技術(shù)方案 .13 3.2.1 校園網(wǎng)的建設(shè)規(guī)劃 .13 3.2.2 組網(wǎng)技術(shù) .16 3.2.3 網(wǎng)絡(luò)操作系統(tǒng) .18 3.2.4 INTERNET 接入技術(shù).18 3.2.5 防火墻技術(shù) .19 3.2.6 建網(wǎng)方案 .19 3.3 校園網(wǎng)的運(yùn)行 .23 3.3.1 校園網(wǎng)的應(yīng)用 .23 3.3.2 校園網(wǎng)的管理 .23 總 結(jié) .25 參考文獻(xiàn) .26 致致 謝謝 .27 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 緒論 - 1 - 緒緒 論論 隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)

8、的安全問(wèn)題日益突出，近年來(lái)，黑客攻擊、網(wǎng)絡(luò)病 毒等屢屢曝光，國(guó)家相關(guān)部門(mén)也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工 作。但是在高校網(wǎng)絡(luò)建設(shè)的過(guò)程中，由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都 存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶(hù)的 快速增長(zhǎng)，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗(yàn)網(wǎng)的角色已 經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建 設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證 校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊 迫問(wèn)題。 隨著教育信息化的不斷推進(jìn)，

9、各高等院校都相繼建成了自己的校園網(wǎng)絡(luò)并連入 互聯(lián)網(wǎng)，校園網(wǎng)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著 校園網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶(hù)的快速增長(zhǎng)，尤其是校園網(wǎng)絡(luò)所面對(duì)的使用群體 的特殊性（擁有一定的網(wǎng)絡(luò)知識(shí)、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識(shí)卻相 對(duì)淡漠） ，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校 不可回避的一個(gè)緊迫問(wèn)題，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 1.校園網(wǎng)絡(luò)安全 - 2 - 1. 校園網(wǎng)絡(luò)安全校園網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全 技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合

10、性學(xué)科。網(wǎng)絡(luò)的生命在于其安全 性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了 校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。 網(wǎng)絡(luò)的發(fā)展極大地改變了人們的生活和工作方式，Internet 更是給人們帶來(lái)了無(wú) 盡的便捷。我們的教育也正朝著信息化、網(wǎng)絡(luò)化發(fā)展，隨著“校校通”工程的深入開(kāi) 展，許多學(xué)校都投資建設(shè)了校園網(wǎng)絡(luò)并投入使用。校園網(wǎng)絡(luò)在我們的校園管理、日 常教學(xué)等方面正扮演著越來(lái)越重要的角色。但是，在我們驚嘆于網(wǎng)絡(luò)的強(qiáng)大功能時(shí)， 還應(yīng)當(dāng)清醒地看到，網(wǎng)絡(luò)世界并不是一方凈土。 “網(wǎng)絡(luò)天空（Worm.Netsky） ”、 “高波 （Worm.Agobot） ”、 “愛(ài)情后門(mén)（Worm.L

11、ovgate） ”及“震蕩波（Worm.Sasser） ”等病毒， 使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要性。因此，在現(xiàn)有的技術(shù)條件下，如何 構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。 網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全 技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng) 的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、 更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 1.1 校園網(wǎng)概述校園網(wǎng)概述 信息技術(shù)已引起了全面而深刻的社會(huì)變革，為此，世界各國(guó)政府都對(duì)教育的發(fā) 展給予了前所

12、未有的關(guān)注，把信息化教育放到重要的位置上，紛紛提出了本國(guó)的信 息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個(gè)有決定性意義的問(wèn) 題,而且十分重要的是,學(xué)校應(yīng)該處于影響整個(gè)社會(huì)深刻變革的中心地位。 因此校園 網(wǎng)信息系統(tǒng)的建設(shè)，是非常必要的，也是可行的。主要表現(xiàn)在： 1、當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國(guó)際互聯(lián)、靜態(tài)資源共享、 動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對(duì)學(xué)校教育現(xiàn)代化的建設(shè)提出了 越來(lái)越高的要求。 2、教育信息量的不斷增多,使各級(jí)各類(lèi)學(xué)校、家庭和教育管理部門(mén)對(duì)教育信息 計(jì)算機(jī)管理和教育信息服務(wù)的要求越來(lái)越強(qiáng)烈。 3、我國(guó)各級(jí)教育研究部門(mén)、軟件開(kāi)發(fā)單位、教學(xué)設(shè)備

13、供應(yīng)商和各級(jí)學(xué)校不斷開(kāi) 發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并且越來(lái)越形象化、實(shí)用化，迫 切需要網(wǎng)絡(luò)環(huán)境。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 1.校園網(wǎng)絡(luò)安全 - 3 - 4、現(xiàn)代教育改革的需要。 5、計(jì)算機(jī)技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價(jià)格不斷下降；同時(shí)人們的認(rèn)識(shí)水平和 經(jīng)濟(jì)實(shí)力不斷提高。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭，使得計(jì)算機(jī)用于教育信息管理和 信息服務(wù)是完全可行的。1 1.2 校園網(wǎng)絡(luò)安全概述校園網(wǎng)絡(luò)安全概述 自信息系統(tǒng)開(kāi)始運(yùn)行以來(lái)就存在信息系統(tǒng)安全問(wèn)題，通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)而構(gòu)成 的安全威脅成為日益受到嚴(yán)重關(guān)注的問(wèn)題。根據(jù)美國(guó) FBI 的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng) 絡(luò)安全造成的經(jīng)濟(jì)損失超過(guò) 170 億美

14、元。 由于校園網(wǎng)絡(luò)內(nèi)運(yùn)行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專(zhuān)為安全通 訊而設(shè)計(jì)。所以，校園網(wǎng)絡(luò)可能存在的安全威脅來(lái)自以下方面： 1. 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 UNIX 服務(wù)器，NT 服務(wù)器及 Windows 桌面 PC； 2. 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過(guò)檢驗(yàn)； 3. 來(lái)自?xún)?nèi)部網(wǎng)用戶(hù)的安全威脅； 4. 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性； 5. 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性； 6. 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問(wèn)控制及安全通訊方面考慮較少， 并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。

15、 1.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析校園網(wǎng)絡(luò)安全現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說(shuō)現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用， 這對(duì)加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起大了無(wú)法估量的作用，但在 積極發(fā)展辦公自動(dòng)化、信息電子化、實(shí)現(xiàn)資源共享的同時(shí)，網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越 成為一個(gè)非常嚴(yán)懲的隱患，就好像一顆定時(shí)炸彈一樣，深深的埋在教育現(xiàn)代化的進(jìn) 程中，如果這一個(gè)隱患不除，那么也許有一天，學(xué)校信息平臺(tái)服務(wù)器遭到攻擊而停 止工作、整個(gè)校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦 積累的大量教育資源被破壞。比如 2003 年暴發(fā)的“震蕩波、沖擊波、FORM.A”等病 毒，雖沒(méi)有造成很大

16、的損失，但足以使認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。因此，如何在現(xiàn) 有的條件下避免這樣事件發(fā)生，搞好網(wǎng)絡(luò)的安全工作已成了一個(gè)重要課題。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 1.校園網(wǎng)絡(luò)安全 - 4 - 1997 年開(kāi)始，我國(guó)校園網(wǎng)絡(luò)建設(shè)悄然興起。全國(guó)各省市都把建設(shè)校園網(wǎng)作為現(xiàn) 代教育的頭等大事來(lái)抓。 1999 年 9 月，教育部決定正式啟動(dòng)國(guó)家現(xiàn)代遠(yuǎn)程教育工程，清華大學(xué)、浙江大 學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點(diǎn)。目前，這幾所院校已初步形成 了開(kāi)辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。 各校在實(shí)踐中逐漸意識(shí)到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低， 與教學(xué)手段的先進(jìn)程度有一定關(guān)系，教學(xué)手段對(duì)學(xué)校整體的發(fā)展有著直接

17、影響。 在世界各發(fā)達(dá)國(guó)家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。 現(xiàn)代教育的實(shí)施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國(guó)要求所有中小學(xué)生都能 上網(wǎng)，都能使用電子郵件，并計(jì)劃將全國(guó) 122 所一流大學(xué)與社會(huì)廣泛連接，構(gòu)筑一 個(gè)教育與研究的專(zhuān)用網(wǎng)絡(luò)；英國(guó)提出要在 2000 年成立網(wǎng)上工業(yè)大學(xué)，到 2002 年所 有中小學(xué)、圖書(shū)館、學(xué)院和大學(xué)全部介入全國(guó)的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱 讀，十二歲兒童能上網(wǎng)。 1996 年，教育部提出要以全國(guó) 1000 所中小學(xué)校作為試點(diǎn)，建立起各自的校園 網(wǎng)絡(luò)。截止 2000 年年初，教育部宣布有 500 多家已建立?？梢哉f(shuō)，在國(guó)家政策扶 持下，我國(guó)校園

18、網(wǎng)建設(shè)取得了飛速發(fā)展。但現(xiàn)實(shí)中，各地在建立學(xué)校校園網(wǎng)的過(guò)程 中又存在這樣那樣的問(wèn)題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng) 和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān) 督人員，將項(xiàng)目交給一些實(shí)力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng) 質(zhì)量偏低，后期維護(hù)費(fèi)用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是一攬子計(jì)劃，忽視了 后期維護(hù)和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運(yùn)作為了解決 上述問(wèn)題，在建網(wǎng)時(shí)應(yīng)注意： 1. 校園網(wǎng)建設(shè)沒(méi)有通用方案，每個(gè)學(xué)校應(yīng)根據(jù)自身實(shí)際情況（資金和技術(shù)能力） ，設(shè)計(jì)自身的校園網(wǎng)絡(luò)； 2. 校園網(wǎng)建設(shè)是一個(gè)周期較長(zhǎng)，規(guī)模龐大的系

19、統(tǒng)工程，不能一蹴而就，更不能 只考慮局部建設(shè)，而缺乏整體規(guī)劃； 3. 重視對(duì)教師的培訓(xùn)，避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致 資源的浪費(fèi)。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部 門(mén)在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被 刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。 校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生，非更改考試成績(jī)； 更改英語(yǔ)全國(guó)四、六級(jí)統(tǒng)考成績(jī)；更改考研成績(jī)；非法盜取學(xué)校招生、分配機(jī)密等。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 1.校園網(wǎng)絡(luò)安全 - 5 - 綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無(wú)

20、論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò) 的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息 的保密性、完整性和可用性。7 1.4 校園網(wǎng)絡(luò)安全威脅校園網(wǎng)絡(luò)安全威脅 1 計(jì)算機(jī)病毒計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一組通過(guò)復(fù)制自身來(lái)感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí)，嵌入 的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類(lèi)繁多，形形色色，但就已經(jīng)發(fā) 現(xiàn)的計(jì)算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激 發(fā)性幾大特征。 破壞性是指計(jì)算機(jī)病毒可能會(huì)干擾軟件的運(yùn)行，或者無(wú)限制地侵占系統(tǒng)資源使 系統(tǒng)無(wú)法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無(wú)法恢復(fù)，甚至可以毀壞整個(gè)系 統(tǒng)，導(dǎo)致系統(tǒng)崩潰。傳

21、染性則是計(jì)算機(jī)病毒能通過(guò)自我復(fù)制傳染到內(nèi)存、硬盤(pán)甚至 文件中。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在而是寄生在磁盤(pán)系統(tǒng)區(qū)或文件中。 潛伏性則是指計(jì)算機(jī)病毒可以長(zhǎng)時(shí)間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并 不影響計(jì)算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒(méi)計(jì)者 的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。 計(jì)算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識(shí)其傳播 途徑和傳播機(jī)理。計(jì)算機(jī)病毒最初傳播主要是通過(guò)被病毒感染的軟件的相互拷貝、 攜帶病毒的盜版光盤(pán)的使用等傳播。這時(shí)候的病毒傳播還是線(xiàn)下傳播。隨著計(jì)算機(jī) 網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過(guò)

22、磁盤(pán)拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè) 備中的固化病毒程序等方式實(shí)現(xiàn)。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都 存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此網(wǎng)絡(luò)病毒利用軟 件的破綻和研制時(shí)因疏忽而留下的“后門(mén)”大肆發(fā)起攻擊。 2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。 廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn)，重點(diǎn)介紹拒絕 服務(wù)(DoS，Daniel of Service)攻擊。之所以介紹拒絕服務(wù)攻擊，因?yàn)榫芙^服務(wù)攻擊 在校園網(wǎng)發(fā)牛的更為普遍。這是因?yàn)樾@網(wǎng)用戶(hù)集中度高、密度大為拒絕

23、服務(wù)攻 擊提供了天然條件。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高， 是危害校園網(wǎng)安全的重要類(lèi)型之一。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 1.校園網(wǎng)絡(luò)安全 - 6 - 拒絕服務(wù)攻擊是通過(guò)攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò) 無(wú)法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大 陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶(hù)無(wú)法訪問(wèn)所需信息。 拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時(shí)，可能采取單一手段的攻擊模 式，也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來(lái)說(shuō)主要有以下幾 種： 1）死亡之 Ping。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過(guò)網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù) 包到被

24、攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種 方式已經(jīng)不再出現(xiàn)。 2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無(wú)法正確組裝導(dǎo)致 網(wǎng)絡(luò)訪問(wèn)失敗的方式。 3 ）UDP 洪水攻擊。攻擊利用如 chargen 和 echo 等簡(jiǎn)單的 TCPIP 服 務(wù)相互發(fā)送大量數(shù)據(jù)以沾滿(mǎn)帶寬，從而癱瘓網(wǎng)絡(luò)的方式。 4 ) SYN 洪水攻擊。攻擊者通過(guò)想服務(wù)器發(fā)送連續(xù)的 SYN 握手信息來(lái)癱瘓服務(wù) 器的攻擊方式。 5 ) LAND 攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送 SYN 握手信息已達(dá)到癱瘓 主機(jī)的目的。 6 ) Smurf 攻擊。攻擊者將報(bào)文地址設(shè)為 Echo 地址，這樣 Echo

25、78 地址就必須 不問(wèn)斷的響應(yīng)該報(bào)文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。 7 ) Fraggle 攻擊。Fraggle 攻擊對(duì) Smurf 攻擊做了修改。 8 )電子郵件炸彈。通過(guò)向一臺(tái)服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓 服務(wù)器的作用。 9 )急性消息攻擊。借助機(jī)器對(duì)某些消息為進(jìn)行錯(cuò)誤校驗(yàn)來(lái)攻擊服務(wù)器。 10)分布式拒絕服務(wù)攻擊。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多 臺(tái)服務(wù)器對(duì)同一網(wǎng)絡(luò)同時(shí)發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。 常見(jiàn)的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用 的方式不同。無(wú)論哪種方式，都對(duì)網(wǎng)絡(luò)安全造成很大的危害。5 3 存在的安全隱患存

26、在的安全隱患,以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有: 1 ) 計(jì)算機(jī)與 Internet 相連，卻沒(méi)有安裝相應(yīng)的殺毒軟件及防火墻。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安 全。校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對(duì)社會(huì)開(kāi)放， 這樣一來(lái)只要接入 INTERNET 的用戶(hù)就可以對(duì)校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行 于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來(lái)進(jìn) 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 1.校園網(wǎng)絡(luò)安全 - 7 - 行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計(jì)算

27、機(jī)當(dāng)中，在以后的 計(jì)算機(jī)啟動(dòng)后，木馬就在機(jī)器中打開(kāi)一個(gè)服務(wù)，通過(guò)這個(gè)服務(wù)將你計(jì)算機(jī)的信息、 資料向外傳遞。 3) 目錄共享導(dǎo)致信息的外泄, 在校園網(wǎng)絡(luò)中，利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某 個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但可以說(shuō)幾乎所 有的人都沒(méi)有充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶(hù)可以訪問(wèn)到， 而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問(wèn)。這也成了數(shù)據(jù)資料安全的一個(gè)隱 患。我曾經(jīng)搜索過(guò)外地機(jī)器的一個(gè) C 類(lèi) IP 網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái)，而 且許多機(jī)器是將整個(gè) C 盤(pán)、D 盤(pán)進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享， 且不進(jìn)行密碼保護(hù)，這樣只要將其

28、映射成一個(gè)網(wǎng)絡(luò)硬盤(pán)，就能對(duì)上面的資料、文檔 進(jìn)行查看、修改、刪除。因而對(duì)目錄共享安全意識(shí)的單薄，會(huì)導(dǎo)致了信息的外泄。 4) 網(wǎng)絡(luò)安全意識(shí)淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法 使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過(guò)郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng) 常發(fā)生、屢見(jiàn)不鮮，我校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚 至上萬(wàn)次的非常訪問(wèn)嘗試，而其中一大部分的非法訪問(wèn)源自校內(nèi)，說(shuō)明校園網(wǎng)絡(luò)上 的用戶(hù)安全意識(shí)淡?。涣硗?，沒(méi)有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安 全管理上也沒(méi)有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問(wèn)題泛濫的一個(gè)重要原因.由此可見(jiàn)，構(gòu) 筑具有必要的信息安全防護(hù)體系，建立一

29、套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要. 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 2.校園網(wǎng)絡(luò)安全策略 - 8 - 2. 校園網(wǎng)絡(luò)安全策略校園網(wǎng)絡(luò)安全策略 校園網(wǎng)的安全威脅既有來(lái)自校內(nèi)的，也有來(lái)自校外的，只有將技術(shù)和管理都重 視起來(lái)，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。 國(guó)內(nèi)高校校園網(wǎng)的安全問(wèn)題有其歷史原因：在以前的網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐?識(shí)與資金方面的原因，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、 輕安全、輕管理“的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬(wàn)事大 吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。 而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱

30、患只要發(fā)生一次， 對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。 作為高等院校，如何構(gòu)筑相對(duì)可靠的校園網(wǎng)絡(luò)安全體系問(wèn)題，變得越來(lái)越突出 了。一般來(lái)說(shuō)，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)； 二是不斷改進(jìn)管理方法。 2.1 校園網(wǎng)安全管理校園網(wǎng)安全管理 針對(duì)目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識(shí)與理解，在防病毒軟件、防火墻或智能網(wǎng) 關(guān)等構(gòu)成的防御體系下，對(duì)于防止來(lái)自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點(diǎn)是高校 的安全策略： 1、規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問(wèn)題。對(duì)于 出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提 供最基礎(chǔ)的保障。 2、配備完整系統(tǒng)的網(wǎng)絡(luò)安

31、全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安 全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測(cè)系 統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過(guò)配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì) 校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問(wèn)和不健康信息起到有效 的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。 3、解決用戶(hù)上網(wǎng)身份問(wèn)題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要 解決用戶(hù)上網(wǎng)身份問(wèn)題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)， 否則即便發(fā)現(xiàn)了安全問(wèn)題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng) 一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶(hù)上網(wǎng)身份問(wèn)題，同時(shí)也為校園信息

32、化的各項(xiàng) 應(yīng)用系統(tǒng)提供了安全可靠的保證。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 2.校園網(wǎng)絡(luò)安全策略 - 9 - 4、嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理 。上網(wǎng)用戶(hù)不但要通過(guò)統(tǒng) 一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶(hù)上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上 網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。 5、根據(jù)相關(guān)部門(mén)的要求，配備專(zhuān)門(mén)的安全管理人員，出臺(tái)網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作 就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢(xún)檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控 和管理。2 2.2 校園網(wǎng)絡(luò)安全措施校園網(wǎng)絡(luò)安全措施 前述

33、各種網(wǎng)絡(luò)安全威脅，都是通過(guò)網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來(lái)對(duì)網(wǎng)絡(luò)發(fā) 起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞， 從而達(dá)到網(wǎng)絡(luò)安全。 1、殺毒軟件。、殺毒軟件。 殺毒產(chǎn)品的部署. 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局 域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染 和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè) 網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查 殺等多種功能.。 （1）在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的 Windows2000 服務(wù)器安裝一個(gè)殺毒軟件 的系統(tǒng)中心，負(fù)

34、責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。 （2）在各辦公室分別安裝殺毒軟件的客戶(hù)端。 （3）安裝完殺毒軟件，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶(hù)端進(jìn)行定時(shí)查殺毒的 設(shè)置，保證所有客戶(hù)端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。 （4）網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。 2、采用、采用 VLAN 技術(shù)。技術(shù)。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作 組的技術(shù)。VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn) 行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶(hù)非法訪問(wèn)的目的。 3、內(nèi)容過(guò)濾器。、內(nèi)容過(guò)濾器。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 2.校園網(wǎng)絡(luò)安全策略 - 10

35、 - 內(nèi)容過(guò)濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無(wú)意識(shí)服務(wù)拒絕的工具。同時(shí)，可以 限制外來(lái)的垃圾郵件。 4、防火墻。、防火墻。 在與 Internet 相連的每一臺(tái)電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的 安全屏障。在防火墻設(shè)置上按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性: (1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái) 自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)?？傮w上遵從“不被允許的服務(wù)就是被 禁止”的原則. (2）禁止訪問(wèn)系統(tǒng)級(jí)別的服務(wù)( 如 HTTP , FTP 等)。局域網(wǎng)內(nèi)部的機(jī)器只允許 訪問(wèn)文

36、件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開(kāi)放的端口 服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話(huà)軟件提供的服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的 IP，防火墻系統(tǒng)才能認(rèn)識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來(lái)，哪些是從互聯(lián)網(wǎng)來(lái)，從而保證 你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。 (4）定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過(guò)配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性. 5、入侵檢測(cè)。、入侵檢測(cè)。 入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員 的安全管理能力提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)

37、系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外 網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢 測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測(cè)系統(tǒng)還可以發(fā)出 實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施。 6、漏洞掃描。、漏洞掃描。 隨著軟件規(guī)模的不斷增大系統(tǒng)中的安全漏洞或“后門(mén)”也不可避免地存 在因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查，并 寫(xiě)出詳細(xì)的安全性分析報(bào)告，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。 7、數(shù)據(jù)加密。、數(shù)據(jù)加密。 數(shù)據(jù)加密是核心的對(duì)策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。 8、加強(qiáng)網(wǎng)絡(luò)安全管理。、加強(qiáng)網(wǎng)絡(luò)安全管理。 宿州學(xué)院畢業(yè)論文（設(shè)

38、計(jì)） 2.校園網(wǎng)絡(luò)安全策略 - 11 - 加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)和 普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。6 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) - 11 - 3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校 建立了一套校園網(wǎng)絡(luò)安全系統(tǒng)，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒 防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行，并定期對(duì)校內(nèi)教師進(jìn)行計(jì)算 機(jī)網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，或發(fā)放常見(jiàn)病毒解決方案等。 3.1 校園網(wǎng)建設(shè)需求分析校園網(wǎng)建

39、設(shè)需求分析 3.1.1 需求分析需求分析 局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用,如:共享磁盤(pán)設(shè)備、打印機(jī)等, 從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺(tái)共享打印機(jī)上進(jìn)行打印; 當(dāng)然也可以借助 Wingate 或 Sygate 等軟件多機(jī)共享一臺(tái) Modem 上網(wǎng)；或者通過(guò)代 理服務(wù)器連上 Internet，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為：10Mbps 網(wǎng) 卡（ISA 插口或 PCI 插口） 、100Mbps PCI 插口網(wǎng)卡、10Mbps/100Mbps 自適應(yīng)網(wǎng)卡 和千兆網(wǎng)卡。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價(jià)格占有市場(chǎng)的一定份額， 但由于 10

40、Mbps ISA 插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU 資源，只適應(yīng) 于那些對(duì)速度要求不高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者 10Mbps/100Mbps 自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶(hù)比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn) 行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。 BNC 口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45 是采用雙絞線(xiàn)作 為傳輸媒介的一種網(wǎng)卡接口，RJ45 的接口酷似電話(huà)線(xiàn)的接口，但網(wǎng)絡(luò)線(xiàn)使用的是 8 芯的接頭，使用 RJ45 的缺點(diǎn)是架設(shè)成本高，但安裝和維護(hù)較為方便，因此我們一般 使用 RJ45 接口。集線(xiàn)器 (HUB):根據(jù)微機(jī)的數(shù)量,利用 HUB 構(gòu)成星形

41、結(jié)構(gòu) ,在工作 站較多的情況下 ,會(huì)因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線(xiàn)路的傳輸速度 ,從而造成瓶 頸問(wèn)題。因此有條件的話(huà)可選用交換機(jī)。一個(gè) Hub 所組成的域稱(chēng)為沖突域 ,也就是 說(shuō) ,網(wǎng)絡(luò)上任何一臺(tái)計(jì)算機(jī)在收發(fā)數(shù)據(jù)時(shí) ,其他所有計(jì)算機(jī)都能夠收到 ,且這些計(jì)算 機(jī)不能同時(shí)進(jìn)行數(shù)據(jù)的收發(fā) ,否則會(huì)發(fā)生碰撞(CSMA/ CD 協(xié)議會(huì)阻止碰撞 )。此外 每臺(tái)接入 Hub 的計(jì)算機(jī) ,都要檢測(cè)接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己 的通信信息 ,因此計(jì)算機(jī) CPU 占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級(jí) 別應(yīng)用。 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) - 12 - 學(xué)

42、校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體 網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程 教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。其設(shè)計(jì)方 案應(yīng)注意以下原則： 實(shí)用性校園網(wǎng)設(shè)計(jì)應(yīng)能滿(mǎn)足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)學(xué)校內(nèi)部管 理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮， 并且便于掌握。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技 術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的 MTBF(平均無(wú)故障 工作時(shí)間)和極低的 MTBR(平均無(wú)故障率)，提高容

43、錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)， 可管理性強(qiáng)。 統(tǒng)一性在系統(tǒng)的設(shè)計(jì)過(guò)程中，堅(jiān)持三統(tǒng)一，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出 口。 先進(jìn)性在系統(tǒng)的開(kāi)發(fā)過(guò)程中，既能滿(mǎn)足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在 將來(lái)需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活 變通，以便適應(yīng)客戶(hù)的其他要求。 3.1.2 關(guān)鍵設(shè)備關(guān)鍵設(shè)備 在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó) Cisco 公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)，Catalyst 6506 是大容量 的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506 的交換容量以及端口數(shù)量 等

44、技術(shù)指標(biāo)足以滿(mǎn)足網(wǎng)絡(luò)目前的需求。選擇 Catalyst 3548 作為外網(wǎng)交換機(jī)?？梢酝?過(guò)千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶(hù)終端可以通過(guò) 10/100M 自適應(yīng) 通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機(jī)上。選擇 Catalyst 3524 和 Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶(hù)提供 10/100M 到 桌面。選擇 Cisco 3662 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) DDN、ISDN 訪問(wèn)路由器，既可以滿(mǎn)足 上級(jí)單位 Internet 的 DDN、ISDN 接入的需求，又可以滿(mǎn)足繼續(xù)擴(kuò)展的需求。同時(shí) Ci

45、sco 3662 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。 網(wǎng)絡(luò)核心層：用一臺(tái) Cisco 的高端三層交換機(jī) Catalyst 6506 作為整個(gè)交換系統(tǒng) 的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整 合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電 源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。一塊 WS-X6K-S1A-MSFC2 交換引擎是交 換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506 交換機(jī) 引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有

46、極強(qiáng)的三層交換能力， 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) - 13 - 利用 Cisco 特有的 Netflow 技術(shù)，完全滿(mǎn)足核心線(xiàn)性三層交換的能力。另一塊 WS- X6408-GBIC 的 8 端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管 工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。 匯聚層：在分配線(xiàn)間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計(jì)算機(jī)網(wǎng) 絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過(guò)光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備 Catalyst 6506 上去，終端用戶(hù)可以通過(guò)超 5 類(lèi) UTP 線(xiàn)纜連接到各層交換

47、機(jī)中去，可 以實(shí)現(xiàn) 10/100M 的自適應(yīng)通道連接到局域網(wǎng)中去。 接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺(tái) Cisco 3660 路由器作為廣域互連和外 部用戶(hù)撥號(hào)訪問(wèn)網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能： 1.ADSL 接入方式。 2. FTTX+LAN 接入方式。 3.1.3 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo)，本設(shè)計(jì)方案采用交換式千兆以太網(wǎng)作為主 干，百兆交換到桌面。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆?shù)結(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式 連接。 3.2 技術(shù)方案技術(shù)方案 3.2.1 校園網(wǎng)的建設(shè)規(guī)劃校園網(wǎng)的建設(shè)規(guī)劃 校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程，與任何一項(xiàng)工

48、程建設(shè)一樣，在開(kāi)始建設(shè) 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) - 14 - 前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都 直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行都有直接的關(guān)系，因此要特 別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對(duì)于校園網(wǎng)來(lái)說(shuō)，必須對(duì)技術(shù)和教育的發(fā)展前景有著清醒 的認(rèn)識(shí)，只有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。 1 校園網(wǎng)的應(yīng)用特點(diǎn) 隨著現(xiàn)代化教學(xué)活動(dòng)的開(kāi)展和與國(guó)內(nèi)外教學(xué)機(jī)構(gòu)交往的增多，對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行 信息交流的需求越來(lái)越迫切，為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮師生的創(chuàng)造力， 校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，

49、以園區(qū) 局域網(wǎng)為主，一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)： 高速的局域網(wǎng)連接-校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域 網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量 多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求； 信息結(jié)構(gòu)多樣化-校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書(shū)館等） 、學(xué) 校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多 媒體信息，學(xué)校管理以數(shù)據(jù)庫(kù)為主，遠(yuǎn)程通訊則多為 WWW 方式，因此數(shù)據(jù)成分復(fù) 雜，不同類(lèi)型數(shù)據(jù)對(duì)網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理-校園網(wǎng)面向不同知識(shí)層次的教師、學(xué)生和辦公人員，應(yīng)

50、 用和管理應(yīng)簡(jiǎn)便易行，界面友好，不宜太過(guò)專(zhuān)業(yè)化； 經(jīng)濟(jì)實(shí)用-學(xué)校對(duì)網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用，具 備很高的性能價(jià)格比。 2校園網(wǎng)的需求分析 在著手設(shè)計(jì)一個(gè)校園網(wǎng)或者計(jì)算機(jī)局域網(wǎng)時(shí)，其主要依據(jù)就是網(wǎng)絡(luò)用戶(hù)（學(xué)校） 的需求及將要建設(shè)的網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)。通過(guò)對(duì)實(shí)際需要進(jìn)行細(xì)致的分析，才能確定 系統(tǒng)的總體目標(biāo)和近期目標(biāo)。需求分析是如何設(shè)計(jì)、建設(shè)和應(yīng)用校園網(wǎng)的關(guān)鍵。在 完成校園網(wǎng)的需求分析之后，就要對(duì)整個(gè)校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計(jì)。校 園網(wǎng)具體的需求分析有如下幾點(diǎn)： （1） 總體目標(biāo) 對(duì)于一個(gè)校園網(wǎng)來(lái)說(shuō)，系統(tǒng)的總體目標(biāo)就是在一個(gè)時(shí)期內(nèi)，當(dāng)校園網(wǎng)完全建設(shè) 好后所要達(dá)到的功能和具有

51、的規(guī)模。一般來(lái)說(shuō)，一個(gè)校園網(wǎng)系統(tǒng)總體目標(biāo)是分步實(shí) 施的，包括功能的分步實(shí)施和規(guī)模的分步實(shí)施。主要原因是受資金的限制（這是在 建設(shè)校園網(wǎng)時(shí)普遍遇到的問(wèn)題）和技術(shù)發(fā)展的影響（因?yàn)殡S著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛 速發(fā)展，校園網(wǎng)總會(huì)有進(jìn)行升級(jí)的需求） 。因此我們?cè)谠O(shè)計(jì)一個(gè)校園網(wǎng)時(shí)，要充分考 慮到對(duì)已有校園網(wǎng)資源的再次利用，又要考慮到將來(lái)對(duì)校園網(wǎng)進(jìn)一步的升級(jí)改造。 （2）近期目標(biāo) 近期目標(biāo)就是根據(jù)實(shí)際需求來(lái)設(shè)計(jì)和建設(shè)校園網(wǎng)，使建設(shè)好后的校園網(wǎng)能滿(mǎn)足 宿州學(xué)院畢業(yè)論文（設(shè)計(jì)） 3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) - 15 - 實(shí)際需求所應(yīng)有的功能和規(guī)模，同時(shí)又要考慮將來(lái)能對(duì)校園網(wǎng)進(jìn)一步的升級(jí)改造或 者是后期工程的建設(shè)，系統(tǒng)

52、近期目標(biāo)是需求分析的重點(diǎn)。 3 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計(jì)和邏輯設(shè)計(jì)，在完成結(jié)構(gòu)設(shè)計(jì)后 才能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是十分重要的，它 設(shè)計(jì)的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實(shí)現(xiàn)以及網(wǎng)絡(luò)是否能滿(mǎn)足網(wǎng)絡(luò)的需求。 （1）物理設(shè)計(jì) 根據(jù)需求分析，可以知道整個(gè)校園網(wǎng)信息點(diǎn)的數(shù)目，同時(shí)也知道這些信息點(diǎn)在 整個(gè)校園內(nèi)的分布情況。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后，就應(yīng)該考慮如何把校 園內(nèi)的信息點(diǎn)連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等， 網(wǎng)絡(luò)系統(tǒng)所使用來(lái)連接各種網(wǎng)絡(luò)設(shè)備的傳輸介質(zhì)也是需要考慮的問(wèn)題。 （2）邏輯設(shè)計(jì) 網(wǎng)絡(luò)的邏輯設(shè)計(jì)主要

53、考慮校園網(wǎng)的 IP 子網(wǎng)網(wǎng)段的劃分，通過(guò)實(shí)際的網(wǎng)絡(luò)物理連 接，依據(jù)實(shí)際需求來(lái)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)(VLAN)的設(shè)置。無(wú)論從網(wǎng)絡(luò)的安全性和 IP 地址 的可管理性來(lái)考慮，還是從有效利用 IP 地址資源的角度來(lái)考慮，將整個(gè)校園網(wǎng)劃分 為多個(gè)子網(wǎng)網(wǎng)段并對(duì) IP 地址資源進(jìn)行有效管理都是十分必要的。 4網(wǎng)絡(luò)技術(shù) 學(xué)校建設(shè)校園網(wǎng)有許多需要考慮的問(wèn)題，如網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的 選擇、網(wǎng)絡(luò)產(chǎn)品的選擇、網(wǎng)絡(luò)服務(wù)器的選擇以及操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)管 理及網(wǎng)絡(luò)安全等方面。下面根據(jù)前面介紹過(guò)的各種網(wǎng)絡(luò)技術(shù)來(lái)進(jìn)行校園網(wǎng)組建技術(shù) 的選擇。 (1) 網(wǎng)絡(luò)技術(shù)類(lèi)型 網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)遵循高可靠性、技術(shù)先進(jìn)、開(kāi)放性、成熟

54、標(biāo)準(zhǔn)、易于擴(kuò)展、 可維護(hù)性好等原則，并充分考慮性能價(jià)格比和今后技術(shù)的發(fā)展。要求系統(tǒng)兼容性好， 易于平滑連接，避免網(wǎng)絡(luò)瓶頸。 當(dāng)前達(dá)到或超過(guò) 100Mbps 的高速網(wǎng)絡(luò)技術(shù)主要有：快速以太網(wǎng)、FDDI、千兆 以太網(wǎng)、ATM 交換網(wǎng)。FDDI 是幾年前十分流行的高速網(wǎng)絡(luò)技術(shù)，雖然技術(shù)十分成 熟，但網(wǎng)絡(luò)管理復(fù)雜且成本較高，現(xiàn)已被逐漸淘汰。ATM 是比較先進(jìn)的網(wǎng)絡(luò)技術(shù)， 它采用信元交換方式，以很高的速率在任意兩點(diǎn)間建立直接的虛擬通信鏈路，有較 強(qiáng)的傳輸質(zhì)量控制能力，特別適合于多媒體信息的傳輸。但在實(shí)際使用事因端口價(jià) 格過(guò)高，難以大規(guī)模采用。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價(jià)廉的網(wǎng)絡(luò)技術(shù)，其標(biāo)準(zhǔn)已制 定完備。經(jīng)過(guò)多年發(fā)展，形成了完善的 10Mbps、100Mbps 和千兆以太網(wǎng)技術(shù)，同時(shí) 還由共享式的網(wǎng)絡(luò)發(fā)展成為交換式的以太網(wǎng)，具備與 FDDI、ATM 網(wǎng)絡(luò)融合的多種 方法與規(guī)范。從技術(shù)上看，以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地，是一種能夠到長(zhǎng)期使 宿州學(xué)院畢業(yè)論文（