【正文】 侯老師的言傳身教是我終身受益。互聯(lián)網(wǎng)絡的飛速發(fā)展，對校園網(wǎng)絡中師生的工作和學習已經(jīng)產(chǎn)生了深遠的影響，網(wǎng)絡在我們的生活中已經(jīng)無處不在。 （ 1） . 首先配置防火墻的網(wǎng)卡參數(shù)（以只有 1 個 LAN 和 1 個 WAN 接口的防火墻配置為例） Interface ether0 auto 0 號網(wǎng)卡系統(tǒng)自動分配為 WAN 網(wǎng)卡， “auto”選項為系統(tǒng)自適應網(wǎng)卡類型 Interface ether1 auto （ 2） . 配置防火墻內(nèi)、外部網(wǎng)卡的 IP 地址 IP address inside ip_address mask Inside 代表內(nèi)部網(wǎng)卡 IP address outside ip_address mask outside 代表外部網(wǎng)卡 （ 3） . 指定外部網(wǎng)卡的 IP 地址范圍： global 1 ip_addressip_address （ 4） . 指定要進行轉(zhuǎn)換的內(nèi)部地址： nat 1 ip_address mask （ 5） . 配置某些控制選項： conduit global_ip port[port] protocol foreign_ip [mask] 其中， global_ip：指的是要控制的地址； port：指的是所作用的端口， 0代表所有端口； protocol：指的是連接協(xié)議，比如： TCP、 UDP 等； foreign_ip：表示可訪問的 global_ip 外部 IP 地址； mask：為可選項，代表要控制的子網(wǎng)掩碼。 防火墻的具體配置步驟如下： 1. 將防火墻的 Console端口用一條防火墻自帶的串行電纜連接到 電腦的一個空余串口上 。 廣域網(wǎng)接入設備我們選取的是世界上最大的路由器生產(chǎn)商 CSICO 公司的CISCO 2600 路由器。采取這種升級方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個校園網(wǎng)都具有最強的防病毒能力；另一方面，由于整個網(wǎng)絡的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。 例如：如果主機不提供諸如 FTP、 HTTP 等公共服務，盡量關(guān)閉它們。它們可以和 防火墻和路由器配合工作。 第三，在防火墻上建立內(nèi)網(wǎng)計算機的 IP 地址和 MAC 地址的對應表，防止 IP 地址被盜用。如可以在路由器中實現(xiàn)對內(nèi)部網(wǎng)絡在 屏蔽騰訊的所有服務，也可以對特定的黃色、暴力、黑客、游戲網(wǎng)站進行屏蔽。還要檢查各種網(wǎng)絡設備的連接情況，在一個計算機網(wǎng)絡中各種連接是現(xiàn)容易出問題的，因此要安排一定的時間，每隔一段日期就檢查一下局域網(wǎng)中所有計算機系統(tǒng)的連線是否松動，還要查看一下電源 線、顯示器、網(wǎng)絡，串行和并行電纜以及各種配件等。 3． 校園網(wǎng)站 24 校園網(wǎng)不是一個獨立的、封閉的體系，校園網(wǎng)與 Inter 互連后，校園網(wǎng)用戶在權(quán)限允許的范圍內(nèi)可以使用 Inter 上的 Web 訪問、 Email 收發(fā)、 FTP、 Tel、BBS、新聞組、討論組、個人主頁等服務。 (5) 網(wǎng)頁維護制作軟件： Macrosoft 公司的 FrontPage、 Macromedia 公司的Dreamweaver、 Flash 都是很好選擇。比如我們可以限制哪些用戶擁有訪問中心服務器的權(quán)利，哪些則沒有。學校可根據(jù)教學實際需要配置一到二個多媒體綜合教室。 (6)多媒體綜合教室 信息化環(huán)境的構(gòu)筑其根本目的是為教學服務的，因此課堂信息化教學環(huán)境的建立應該是校園網(wǎng)建設的一個重要目標。為使校園網(wǎng)能訪問 Inter，網(wǎng)絡中心的代理服務器可連接 ASDL 等通訊線路。 1． 網(wǎng)絡組成 (1) 網(wǎng)絡主干 基于當前信息技術(shù)發(fā)展形勢及經(jīng)濟實用可持續(xù)發(fā)展原則，建議構(gòu)建 100M 帶寬的快速以太網(wǎng)，根據(jù)實際工作站信息點到網(wǎng)絡中心的距離，選擇適當?shù)膫鬏斆浇檫M行網(wǎng)絡綜合布線?？偟膩碚f，交換式快速以太網(wǎng)是目前成熟技術(shù)中最先進、最實用的。由于網(wǎng)絡具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。當前適合校園網(wǎng)與Inter 的寬帶連接方式主要有 ADSL 和光纖專線接入。 [3] 2． 布線系統(tǒng)的測試 在結(jié)構(gòu)化布線完工后，必須對整個系統(tǒng)進行測試后才能投入使用，以保證系統(tǒng)能達到設計要求。 垂直主干子系統(tǒng)用于連接樓 層配線室，垂直干纜系統(tǒng)的安裝主要是由一連串通過地板對準配線間的垂直豎井組成的，可以連接摟層間的配線室。室內(nèi)布線采用 5 類（超 5 類）非屏蔽雙絞線進行布線。組網(wǎng)技術(shù)主要包括：布線系統(tǒng)、 Inter 接入技術(shù)、防火墻等。 (2) 網(wǎng)絡拓撲的選擇 當前在局域網(wǎng)的建設中，主要應用的拓撲結(jié)構(gòu)有總線型、環(huán)型和星型。 當前達到或超過 100Mbps 的高速網(wǎng)絡技術(shù)主要有：快速以太網(wǎng)、 FDDI、千兆 16 以太網(wǎng)、 ATM 交換網(wǎng)。 （ 1）物理設計 根據(jù)需求分析，可以知道整個校園網(wǎng)信息點的數(shù)目，同時也知道這些信息點在整個校園內(nèi)的分布情況。在完成校園網(wǎng)的需求分析之后，就要對整個校園進行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設計。網(wǎng)絡拓撲采用星型樹結(jié)構(gòu)，網(wǎng)絡中心的交換機使用堆疊方式連接。其中配置兩個電源同時供電，彼此分擔負荷并互為備份。 先進性在系統(tǒng)的開發(fā)過程中，既能滿足當前院校對網(wǎng)絡的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活變通，以便適應客戶的其他要求。集線器 (HUB):根據(jù)微機的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB 的處理速率遠遠低于通信線路的傳輸速度 ,從而造成瓶頸問題。 11 3. 校園網(wǎng)絡安全系統(tǒng)設計 安全管理是保證網(wǎng)絡安全的基礎，安全技術(shù)是配合安全管理的輔助措施。入侵檢測系統(tǒng)還可以發(fā)出實時報警，使網(wǎng)絡管理員能夠及時采取應對措施。局域網(wǎng)內(nèi)部的機器只允許訪問文 件、打印機共享服務。 VLAN 技術(shù)根據(jù)不同的應用業(yè)務以及不同的安全級別，將網(wǎng)絡分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。 殺毒產(chǎn)品 的 部署 . 在該網(wǎng)絡防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。一般來說，構(gòu)筑校園網(wǎng)絡安全體系，要從兩個方面著手：一是采用先進的技術(shù)；二是不斷改進管理方法。但可以說幾乎所有的人都沒有充分認識到當一個目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡上的各臺計算機都能對它進行訪問。 10)分布式拒絕服務攻擊。 6 ) Smurf 攻擊 。目前的網(wǎng)絡已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。這是因為校園網(wǎng)用戶集中度高、密度大．為拒絕服務攻擊提供了天然條件 。隨著計算機網(wǎng)絡的發(fā)展，計算機病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設備中的固化病毒程序等方式 實現(xiàn)。 破壞性是指計算機病毒可能會干擾軟件的運行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運行，又或者毀掉部分數(shù)據(jù)或程序，使之無法恢復，甚至可以毀壞整個系統(tǒng)，導致系統(tǒng)崩潰。 隨著計算機網(wǎng)絡的廣泛使用和網(wǎng)絡之間信息傳輸量的急劇增長，一些機構(gòu)和部門在得 益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞 ,或被刪除或被復制，數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。 各校在實踐中逐漸意識到：一所學校教育質(zhì)量的好壞，學術(shù)水平層次的高低，與教學手段的先進程度 有一定關(guān)系 ，教學手段對學校整體的發(fā)展有著直接影響。所以，校園網(wǎng)絡可能存在的安全威脅來自以下方面： 1. 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如 UNIX服務器， NT 服務器及 Windows 桌面 PC； 2. 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設置錯誤，需要經(jīng)過檢驗； 3. 來自內(nèi)部網(wǎng)用戶的安全威脅； 4. 缺乏有效的手段監(jiān)視、評估網(wǎng)絡系統(tǒng)的安全性； 5. 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性 ； 6. 應用服務的安全，許多 應用服務系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失。 教育信息量的不斷增多 ,使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息服務的要求越來越強烈。 “網(wǎng)絡天空（ ） ”、 “高波（ ） ”、 “愛情后門（ ） ”及 “震蕩波（ ） ”等病毒，使人們更加深刻的認識到了網(wǎng)絡安全的重要性。 1 1. 校園網(wǎng)絡安全 網(wǎng)絡安全是一門涉及 計算機 科學、網(wǎng)絡技術(shù)、 通信 技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用 數(shù)學 、數(shù)論、信息論等多種學科的綜合性學科。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校 園網(wǎng)絡安全體系，就成了校園網(wǎng)絡管理人員的一個重要課題。 2 我國各級教育研究部門、軟件開發(fā)單位 、教學設備供應商和各級學校不斷開發(fā)提供了各種在網(wǎng)絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡環(huán)境。 校園網(wǎng)絡安全 現(xiàn)狀分析 隨著網(wǎng)絡技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學校都建立了校園網(wǎng)絡并投入使用，這對加快信息處理、提高工作效率、實現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實現(xiàn)資源共享的同時，網(wǎng)絡的安全問題越來越成為一個非常嚴懲的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現(xiàn)代化的進程中，如果這一個隱患不除，那么也許有一天，學校信息平臺服務器遭到攻擊而停止工作、整個校園網(wǎng)絡被迫停止 、學校積累的各種數(shù)據(jù)和信息被刪除了，導致辛苦積累的大量教育資源被破壞。 在世界各發(fā)達國家，校園網(wǎng)的建設速度似乎不亞于其他如政府網(wǎng)的興建速度。 校園網(wǎng)也同樣不能幸免。傳染性則是計算機病毒能通過自我復制傳染到內(nèi)存、硬盤甚至文件中。 病毒還可以利用網(wǎng)絡的薄弱環(huán)節(jié)攻擊計算機網(wǎng)絡。加之學生的好奇心的因素，導致拒絕服務攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。 2） 淚滴攻擊。攻擊者將報文地址設為 Echo 地址，這樣 Echo78 地址就必須不問斷的響應該報文，使得網(wǎng)絡帶寬被侵占，從而達到癱瘓網(wǎng)絡的目的 。它是威力最強大的拒絕服務攻擊方式，其主要采用多臺服務器對同一網(wǎng)絡同時發(fā)起攻擊 ， 導致該網(wǎng)絡瞬間癱瘓。這也成了數(shù)據(jù)資料安全的一個隱患。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安 全現(xiàn)狀的認識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。 9 嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。為了實現(xiàn)這一點，應在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能 .。 內(nèi)容過濾器。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務，比如網(wǎng)絡游戲或者視頻語音電話軟件提供的服務。 漏洞掃描。學校建立了一套校園網(wǎng)絡安全 系統(tǒng) ，制定詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進行計算機網(wǎng)絡安全知識培訓，或發(fā)放常 見病毒解決方案等。因此有條件的話可選用交換機。 關(guān)鍵設備 在產(chǎn)品選購之前一定要經(jīng)過認真的分析，這次參與組網(wǎng)的機構(gòu)選用美國 Cisco公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡系統(tǒng)的內(nèi)部核心交換機， Catalyst 6506 是大容量的具有高交換能力的第三層模塊化交換機， Catalyst 6506 的交換容量以及端口數(shù)量等技術(shù)指標足以滿足網(wǎng)絡目前的需求。一塊 WSX6KS1AMSFC2 交換引擎是交換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 14 技術(shù)方案 校園網(wǎng)的建設規(guī)劃 校園網(wǎng)建設作為一項復雜的系統(tǒng)工程，與任何一項工程建設一樣，在開始建設前都要根據(jù)工程的特點事先進行詳細的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設質(zhì)量以及今后網(wǎng)絡能否可靠運行都有直接的關(guān)系，因此要特別認真地進行系統(tǒng)規(guī)劃。校園網(wǎng)具體的需求分析有如下幾點： （ 1） 總體目標 對于一個校園網(wǎng)來說，系統(tǒng)的總體目標就是在一個時期內(nèi)，當校園網(wǎng)完全建設 15 好后所要達到的功能和具有的規(guī)模。當我們確定網(wǎng)絡控制中心的位置后，就應該考慮如何把校園內(nèi)的信息點連到網(wǎng)絡控制中心以及各