【正文】 征： 　　保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。即當(dāng)需要時能否存取所需的信息。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。二、 網(wǎng)絡(luò)訪問控制策略訪問控制策略是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。四、 網(wǎng)絡(luò)安全管理策略在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略中，不僅需要采取網(wǎng)絡(luò)技術(shù)措施保護(hù)網(wǎng)絡(luò)安全，還必須加強(qiáng)網(wǎng)絡(luò)的行政安全管理，制定有關(guān)網(wǎng)絡(luò)使用的規(guī)章制度，對于確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，將會起到十分有效的作用。VLAN可以增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。基于MAC地址的VLAN劃分MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。而且設(shè)備能夠?qū)⒈镜氐腣LAN 注冊信息向其它設(shè)備傳播，使同一局域網(wǎng)內(nèi)所有設(shè)備的VLAN 信息達(dá)成一致，減少由人工配置帶來的錯誤的可能性。這樣，同一匯聚組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性，增強(qiáng)了負(fù)載均衡的能力。n 一個端口不能再相同時間內(nèi)屬于多個匯聚組。n 手動指定根網(wǎng)橋 不要讓STP來決定選舉哪臺交換機(jī)為根網(wǎng)橋。對于VLAN，靜態(tài)地指定要用做根網(wǎng)橋和備用（輔助）根網(wǎng)橋的交換機(jī)。 多層交換體系中部署VRRP隨著Internet的發(fā)展，人們對網(wǎng)絡(luò)可靠性,安全性的要求越來越高。一個虛擬路由器由一個主路由器和若干個備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。黑客攻擊與廠家防護(hù)技術(shù)都會最先出現(xiàn)在這里，然后在對抗中逐步完善與成熟起來。 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。采用端口多路復(fù)用方式。 ACL技術(shù)的應(yīng)用ACL（Access Control List，訪問控制列表）在路由器中被廣泛采用，它是一種基于包過濾的流控制技術(shù)。,VLAN10可以拒絕VLAN11的所有訪問流量。數(shù)據(jù)包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進(jìn)行比較。二層 ACL 的序號取值范圍為4000～4999。在VLAN中應(yīng)用ACL：VACL又稱為VLAN的訪問映射表，應(yīng)用于VLAN中的所有通信流。從用戶角度看來，使用VPN 與傳統(tǒng)專網(wǎng)沒有任何區(qū)別。接下來我們介紹下VPN領(lǐng)域的一些主流技術(shù)：一、 IPsec VPN的應(yīng)用IPsec(IP Security)是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項(xiàng)具體的協(xié)議，而是指用于實(shí)現(xiàn)IP層安全的協(xié)議套件集合。AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗(yàn)證的范圍還包括數(shù)據(jù)包的外部IP頭。GRE是無狀態(tài)協(xié)議，與IPsec隧道不同，端點(diǎn)在通過隧道發(fā)送流量之前并不調(diào)整任何參數(shù)，只要隧道目的地是可路由的，流量就可以穿過GRE隧道。 二層VPN技術(shù)L2TP的應(yīng)用L2TP提供了一種遠(yuǎn)程接入訪問控制的手段，其典型的應(yīng)用場景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服務(wù)器(NAS)，以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源該員工出差到外地，此時他想如同在公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SP申請L2TP服務(wù)，首先撥入當(dāng)?shù)豂SP，請求ISP與公司NAS建立L2TP會話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司內(nèi)網(wǎng)。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對傳輸中的數(shù)據(jù)并不加密。SSL協(xié)議由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標(biāo)準(zhǔn)的瀏覽器，就可通過簡單的SSL安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。如果有雙機(jī)備份的話，就可以啟用備份路由器。5 路由安全 路由安全敘述在構(gòu)建任何大型網(wǎng)絡(luò)時，路由大概是最關(guān)鍵的要素。本章以靜態(tài)路由、BGP和OSPF路由協(xié)議為主。一種是在穩(wěn)固的網(wǎng)絡(luò)中使用，減少路由選擇問題和路由選擇數(shù)據(jù)流的過載；另一種是在構(gòu)建非常大型的網(wǎng)絡(luò)，各大區(qū)域通過12條主鏈路連接，靜態(tài)路由的隔離特征能夠有助于減少整個網(wǎng)絡(luò)中路由選擇協(xié)議的開銷，限制路由選擇發(fā)生改變和出現(xiàn)問題的范圍。在往該目的地發(fā)包時，由IP依次通過各條路徑來發(fā)送，自動實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載分擔(dān)。這樣也就實(shí)現(xiàn)了主口到備份口的切換，當(dāng)主路徑恢復(fù)正常時，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。目前使用的是版本2（RFC2328）。 OSPF身份驗(yàn)證路由器通過對路由協(xié)議的身份認(rèn)證來防范外來攻擊，以及防范不實(shí)際協(xié)議包對路由的錯誤誘導(dǎo)，從而保證網(wǎng)絡(luò)數(shù)據(jù)不丟失或被竊取。類型描述類型1空認(rèn)證（ 不認(rèn)證）類型2明文口令認(rèn)證類型3MD5密碼認(rèn)證 表1 協(xié)議包所設(shè)認(rèn)證類型 分層路由分層路由設(shè)計(jì)最初是為了解決路由的可擴(kuò)展性問題。在通告時可以制定通告的策略通過不通告或只通告匯聚的路由信息等方式隱藏要被通告區(qū)域的某些重要信息, 而且不同的LSA 通告范圍不同, 本區(qū)域內(nèi)的拓?fù)浣Y(jié)構(gòu)對其他區(qū)域來說是透明的,避免了拓?fù)涞恼w暴露。所以區(qū)域內(nèi)的路由選擇不受路由選擇的不穩(wěn)定和其它區(qū)域的錯誤配置影響。沖突檢測系統(tǒng)很容易發(fā)現(xiàn)此種現(xiàn)象, 對于設(shè)計(jì)相關(guān)檢測系統(tǒng)也很有意義。為了保證網(wǎng)絡(luò)穩(wěn)定，我們應(yīng)該將性能較好的路由器或者處于SPOKEHUB中心節(jié)點(diǎn)的設(shè)備指定為優(yōu)先級最高。它是Internet工程任務(wù)組制定的一個加強(qiáng)的、完善的、可伸縮的協(xié)議。域間路由協(xié)議BGP 的安全性直接影響著互聯(lián)網(wǎng)路由的可用性，接下來介紹幾種保證BGP協(xié)議安全性的方法：（1） BGP報(bào)文保護(hù)在每條BGP鏈接建立時, 對等體之間交換一個會晤密鑰并對每個BGP 報(bào)文進(jìn)行加密, 這樣能為所有類型的BGP 報(bào)文提供機(jī)密性, 也為一些在相鄰對等體之間傳遞的如?；?、通告報(bào)文以及一些由更新報(bào)文攜帶的隨A S 變化而更動的路徑屬性如下一條屬性、本地優(yōu)先級屬性等提供可靠性和完整性保證。（2） BGP負(fù)載均衡雖然BGP協(xié)議在路徑選擇中只選擇一條路徑，但是我們還是有很多方法來實(shí)現(xiàn)鏈路的負(fù)載均衡和冗余性。：R1和R2屬于EBGP鄰居，所以必須直連不同于IBGP鄰居，如果要采用環(huán)回接口作為更新源，必須滿足兩個條件：R1和R2上必須部署靜態(tài)路由，同時還要啟用EBGP多跳功能。6 校園網(wǎng)絡(luò)安全的威脅 校園網(wǎng)絡(luò)攻擊概述與趨勢網(wǎng)絡(luò)中的攻擊和安全漏洞無時不在，隨著各種硬件設(shè)施的升級，往往是舊的安全漏洞補(bǔ)上了，又存在新的安全隱患，網(wǎng)絡(luò)攻擊的本質(zhì)實(shí)際上就是尋找一切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對系統(tǒng)及資源的損害。攻擊工具的自動化水平不斷提高。攻擊工具開發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具。發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的新類型。趨勢五：越來越不對稱的威脅。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅的將繼續(xù)增加?；A(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對Internet域名系統(tǒng)(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問外網(wǎng)，學(xué)校深受其害。認(rèn)證方式下的ARP 攻擊防御解決方案：這種方式適合網(wǎng)絡(luò)中動態(tài)分配 IP 地址和靜態(tài)分配IP 地址共存的網(wǎng)絡(luò)場景，且只能防御“仿冒網(wǎng)關(guān)”的ARP 攻擊方式。作為一種分布、協(xié)作的大規(guī)模攻擊方式，分布式拒絕服務(wù)攻擊(DDoS)主要瞄準(zhǔn)比較大的站點(diǎn)，像商業(yè)公司，搜索引擎和政府部門的站點(diǎn)。（1）及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時安裝系統(tǒng)補(bǔ)丁程序。 （2）在網(wǎng)絡(luò)管理方面，要經(jīng)常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。（4）與網(wǎng)絡(luò)服務(wù)提供商協(xié)調(diào)工作，讓網(wǎng)絡(luò)服務(wù)提供商幫助實(shí)現(xiàn)路由的訪問控制和對帶寬總量的限制。所以用戶只要發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時把它清除，以免留下后患。 若口令錯誤,就按序取出下一個單詞,進(jìn)行下一個嘗試。一個好的口令應(yīng)當(dāng)至少有7個字符長,不要用個人信息(如生日、名字等) ,口令中要有一些非字母(如數(shù)字,標(biāo)點(diǎn)符號,控制字符等) ,還要好記一些,不能寫在紙上或計(jì)算機(jī)中的文件中,選擇口令的一個好方法是將兩個不相關(guān)的詞用一個數(shù)字或控制字符相連,并截?cái)酁? 個字符。最初的蠕蟲病毒定義是因?yàn)樵贒OS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。防范此類病毒需要注意以下幾點(diǎn)：n 選購合適的殺毒軟件：網(wǎng)絡(luò)蠕蟲病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級實(shí)時監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實(shí)時監(jiān)控和郵件實(shí)時監(jiān)控發(fā)展。 VLAN攻擊VLAN技術(shù)的應(yīng)用為網(wǎng)絡(luò)的安全防范提供了一種基于管理方式上的策略方法，我們可以根據(jù)企業(yè)網(wǎng)絡(luò)管理的特點(diǎn)有針對性地選擇不同的VLAN劃分手段。嵌套式 VLAN 攻擊: 雙封裝 分組恰巧從 VLAN與干道的本征 VLAN 相同的設(shè)備進(jìn)入網(wǎng)絡(luò)時，交換機(jī)將剝離掉其外部本征VLAN標(biāo)記。 TCP SYN攻擊TCP SYN攻擊是一種拒絕服務(wù)攻擊。當(dāng)接收到大量的SYN數(shù)據(jù)包時，通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計(jì)。作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實(shí)施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能.。（4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。內(nèi)容過濾器。在與Internet相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。使用動態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。 漏洞掃描。就目前系統(tǒng)的安全狀況而言，系統(tǒng)中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據(jù)具體的應(yīng)用環(huán)境，盡可能早地通過網(wǎng)絡(luò)掃描來發(fā)現(xiàn)這些漏洞，并及時采取適當(dāng)?shù)奶幚泶胧┻M(jìn)行修補(bǔ)，就可以有效地阻止入侵事件的發(fā)生。因此要想使計(jì)算機(jī)網(wǎng)絡(luò)的各種故障減少到最低的話，網(wǎng)絡(luò)管理員就要在平時做好網(wǎng)絡(luò)的預(yù)防性維護(hù)以及重要數(shù)據(jù)的備份、計(jì)算機(jī)病毒的防護(hù)，記錄網(wǎng)絡(luò)事件等工作。我們建立了一套校園網(wǎng)絡(luò)安全管理模式，制定了詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施，保證了制度的執(zhí)行。因此，校園網(wǎng)安全技術(shù)管理不僅任務(wù)重，其技術(shù)要求也越來越高，網(wǎng)絡(luò)安全技術(shù)人才隊(duì)伍建設(shè)也將是校園網(wǎng)建設(shè)的重中之重。網(wǎng)絡(luò)技術(shù)的發(fā)展是永無止境的，在前進(jìn)的過程中必將有更多的知識需要我們?nèi)W(xué)習(xí)與研究，并能將其應(yīng)用到實(shí)際的網(wǎng)絡(luò)工程建設(shè)之中。由于校園網(wǎng)功能齊全，技術(shù)含量高，接觸面廣，在網(wǎng)絡(luò)設(shè)計(jì)、規(guī)劃和建設(shè)中都非常復(fù)雜，在在論述中不可能面面俱到，文中的不足和錯誤在所難免，敬請各位老師多多指點(diǎn)和指正。.北京：人民郵電出版社，2006。 H3C設(shè)備是目前我國政府，企業(yè)，電信，教育行業(yè)的主流網(wǎng)絡(luò)設(shè)備生產(chǎn)商，研究旗下路由器，交換機(jī)以及安全設(shè)備，存儲設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)的綜合部署對以后系統(tǒng)集成案例有很好的效仿作用。新型的攻擊手段總在不斷地涌現(xiàn)，計(jì)算機(jī)操作人員需要不斷學(xué)習(xí)，不斷積累經(jīng)驗(yàn)，提高計(jì)算機(jī)網(wǎng)絡(luò)水平，這才是提高我們計(jì)算機(jī)網(wǎng)絡(luò)安全最重要的安全措施。 四、設(shè)計(jì)時間安排（1）確定題目：2014年4月至2014年5月；（2）現(xiàn)場調(diào)研：2014年4月至2014年5月；（3）查閱文獻(xiàn)：組建高性能局域網(wǎng)、防火墻原理與技術(shù)；（4）資料整理分析：安全策略、規(guī)劃方案、系統(tǒng)數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)；（5）編寫設(shè)計(jì)、總結(jié)：2014 年4月至2014 年5月；（6）打印、提交、送審設(shè)計(jì)，準(zhǔn)備答辯：2014 年5月。分析各部門機(jī)構(gòu)網(wǎng)絡(luò)流量大小，合理選擇網(wǎng)絡(luò)連接設(shè)備，如：核心交換機(jī)、匯聚層交換機(jī)、接入層交換機(jī)、路由器、防火墻、等設(shè)備。中國移動WLAN無線AP訪問的建設(shè)在各個高校開始實(shí)施，每個學(xué)生及教師都可以方便的上網(wǎng)，這在校園網(wǎng)中產(chǎn)生了勢不可擋的的勢頭。為你提供優(yōu)秀的畢業(yè)論文參考資料，請您刪除以下內(nèi)容，O(∩_∩)O謝謝?。?！A large group of tea merchants on camels and horses from Northwest China39。t help but sing the folk songs, Nasun says. The vastness of Inner Mongolia and the lack of entertainment options for people living there, made their lives lonely. The nomadic people were very excited about our visits, Nasun recalls. We didn39。s villages and entertain nomadic families, but their fame has spread around the world. On May 16 and 17, nearly 100 singers and dancers from the troupe performed at Beijing