【正文】 侯老師的言傳身教是我終身受益?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)校園網(wǎng)絡(luò)中師生的工作和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。 （ 1） . 首先配置防火墻的網(wǎng)卡參數(shù)（以只有 1 個(gè) LAN 和 1 個(gè) WAN 接口的防火墻配置為例） Interface ether0 auto 0 號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為 WAN 網(wǎng)卡， “auto”選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ether1 auto （ 2） . 配置防火墻內(nèi)、外部網(wǎng)卡的 IP 地址 IP address inside ip_address mask Inside 代表內(nèi)部網(wǎng)卡 IP address outside ip_address mask outside 代表外部網(wǎng)卡 （ 3） . 指定外部網(wǎng)卡的 IP 地址范圍： global 1 ip_addressip_address （ 4） . 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址： nat 1 ip_address mask （ 5） . 配置某些控制選項(xiàng)： conduit global_ip port[port] protocol foreign_ip [mask] 其中， global_ip：指的是要控制的地址； port：指的是所作用的端口， 0代表所有端口； protocol：指的是連接協(xié)議，比如： TCP、 UDP 等； foreign_ip：表示可訪問的 global_ip 外部 IP 地址； mask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。 防火墻的具體配置步驟如下： 1. 將防火墻的 Console端口用一條防火墻自帶的串行電纜連接到 電腦的一個(gè)空余串口上 。 廣域網(wǎng)接入設(shè)備我們選取的是世界上最大的路由器生產(chǎn)商 CSICO 公司的CISCO 2600 路由器。采取這種升級(jí)方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個(gè)校園網(wǎng)都具有最強(qiáng)的防病毒能力；另一方面，由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是有程序來自動(dòng)、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。 例如：如果主機(jī)不提供諸如 FTP、 HTTP 等公共服務(wù)，盡量關(guān)閉它們。它們可以和 防火墻和路由器配合工作。 第三，在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的 IP 地址和 MAC 地址的對(duì)應(yīng)表，防止 IP 地址被盜用。如可以在路由器中實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)在 屏蔽騰訊的所有服務(wù)，也可以對(duì)特定的黃色、暴力、黑客、游戲網(wǎng)站進(jìn)行屏蔽。還要檢查各種網(wǎng)絡(luò)設(shè)備的連接情況，在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中各種連接是現(xiàn)容易出問題的，因此要安排一定的時(shí)間，每隔一段日期就檢查一下局域網(wǎng)中所有計(jì)算機(jī)系統(tǒng)的連線是否松動(dòng)，還要查看一下電源 線、顯示器、網(wǎng)絡(luò)，串行和并行電纜以及各種配件等。 3． 校園網(wǎng)站 24 校園網(wǎng)不是一個(gè)獨(dú)立的、封閉的體系，校園網(wǎng)與 Inter 互連后，校園網(wǎng)用戶在權(quán)限允許的范圍內(nèi)可以使用 Inter 上的 Web 訪問、 Email 收發(fā)、 FTP、 Tel、BBS、新聞組、討論組、個(gè)人主頁(yè)等服務(wù)。 (5) 網(wǎng)頁(yè)維護(hù)制作軟件： Macrosoft 公司的 FrontPage、 Macromedia 公司的Dreamweaver、 Flash 都是很好選擇。比如我們可以限制哪些用戶擁有訪問中心服務(wù)器的權(quán)利，哪些則沒有。學(xué)校可根據(jù)教學(xué)實(shí)際需要配置一到二個(gè)多媒體綜合教室。 (6)多媒體綜合教室 信息化環(huán)境的構(gòu)筑其根本目的是為教學(xué)服務(wù)的，因此課堂信息化教學(xué)環(huán)境的建立應(yīng)該是校園網(wǎng)建設(shè)的一個(gè)重要目標(biāo)。為使校園網(wǎng)能訪問 Inter，網(wǎng)絡(luò)中心的代理服務(wù)器可連接 ASDL 等通訊線路。 1． 網(wǎng)絡(luò)組成 (1) 網(wǎng)絡(luò)主干 基于當(dāng)前信息技術(shù)發(fā)展形勢(shì)及經(jīng)濟(jì)實(shí)用可持續(xù)發(fā)展原則，建議構(gòu)建 100M 帶寬的快速以太網(wǎng)，根據(jù)實(shí)際工作站信息點(diǎn)到網(wǎng)絡(luò)中心的距離，選擇適當(dāng)?shù)膫鬏斆浇檫M(jìn)行網(wǎng)絡(luò)綜合布線。總的來說，交換式快速以太網(wǎng)是目前成熟技術(shù)中最先進(jìn)、最實(shí)用的。由于網(wǎng)絡(luò)具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。當(dāng)前適合校園網(wǎng)與Inter 的寬帶連接方式主要有 ADSL 和光纖專線接入。 [3] 2． 布線系統(tǒng)的測(cè)試 在結(jié)構(gòu)化布線完工后，必須對(duì)整個(gè)系統(tǒng)進(jìn)行測(cè)試后才能投入使用，以保證系統(tǒng)能達(dá)到設(shè)計(jì)要求。 垂直主干子系統(tǒng)用于連接樓 層配線室，垂直干纜系統(tǒng)的安裝主要是由一連串通過地板對(duì)準(zhǔn)配線間的垂直豎井組成的，可以連接摟層間的配線室。室內(nèi)布線采用 5 類（超 5 類）非屏蔽雙絞線進(jìn)行布線。組網(wǎng)技術(shù)主要包括：布線系統(tǒng)、 Inter 接入技術(shù)、防火墻等。 (2) 網(wǎng)絡(luò)拓?fù)涞倪x擇 當(dāng)前在局域網(wǎng)的建設(shè)中，主要應(yīng)用的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型。 當(dāng)前達(dá)到或超過 100Mbps 的高速網(wǎng)絡(luò)技術(shù)主要有：快速以太網(wǎng)、 FDDI、千兆 16 以太網(wǎng)、 ATM 交換網(wǎng)。 （ 1）物理設(shè)計(jì) 根據(jù)需求分析，可以知道整個(gè)校園網(wǎng)信息點(diǎn)的數(shù)目，同時(shí)也知道這些信息點(diǎn)在整個(gè)校園內(nèi)的分布情況。在完成校園網(wǎng)的需求分析之后，就要對(duì)整個(gè)校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計(jì)。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。 先進(jìn)性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求。集線器 (HUB):根據(jù)微機(jī)的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會(huì)因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問題。 11 3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。入侵檢測(cè)系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文 件、打印機(jī)共享服務(wù)。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。 殺毒產(chǎn)品 的 部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。但可以說幾乎所有的人都沒有充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。 10)分布式拒絕服務(wù)攻擊。 6 ) Smurf 攻擊 。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件 。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式 實(shí)現(xiàn)。 破壞性是指計(jì)算機(jī)病毒可能會(huì)干擾軟件的運(yùn)行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個(gè)系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部門在得 益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞 ,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。 各校在實(shí)踐中逐漸意識(shí)到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度 有一定關(guān)系 ，教學(xué)手段對(duì)學(xué)校整體的發(fā)展有著直接影響。所以，校園網(wǎng)絡(luò)可能存在的安全威脅來自以下方面： 1. 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如 UNIX服務(wù)器， NT 服務(wù)器及 Windows 桌面 PC； 2. 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過檢驗(yàn)； 3. 來自內(nèi)部網(wǎng)用戶的安全威脅； 4. 缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性； 5. 采用的 TCP/IP 協(xié)議族軟件，本身缺乏安全性 ； 6. 應(yīng)用服務(wù)的安全，許多 應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯(cuò)誤，很容易造成損失。 教育信息量的不斷增多 ,使各級(jí)各類學(xué)校、家庭和教育管理部門對(duì)教育信息計(jì)算機(jī)管理和教育信息服務(wù)的要求越來越強(qiáng)烈。 “網(wǎng)絡(luò)天空（ ） ”、 “高波（ ） ”、 “愛情后門（ ） ”及 “震蕩波（ ） ”等病毒，使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要性。 1 1. 校園網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是一門涉及 計(jì)算機(jī) 科學(xué)、網(wǎng)絡(luò)技術(shù)、 通信 技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用 數(shù)學(xué) 、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對(duì)可靠的校 園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。 2 我國(guó)各級(jí)教育研究部門、軟件開發(fā)單位 、教學(xué)設(shè)備供應(yīng)商和各級(jí)學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng)，并且越來越形象化、實(shí)用化，迫切需要網(wǎng)絡(luò)環(huán)境。 校園網(wǎng)絡(luò)安全 現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對(duì)加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動(dòng)化、信息電子化、實(shí)現(xiàn)資源共享的同時(shí)，網(wǎng)絡(luò)的安全問題越來越成為一個(gè)非常嚴(yán)懲的隱患，就好像一顆定時(shí)炸彈一樣，深深的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個(gè)隱患不除，那么也許有一天，學(xué)校信息平臺(tái)服務(wù)器遭到攻擊而停止工作、整個(gè)校園網(wǎng)絡(luò)被迫停止 、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。 在世界各發(fā)達(dá)國(guó)家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。 校園網(wǎng)也同樣不能幸免。傳染性則是計(jì)算機(jī)病毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。 2） 淚滴攻擊。攻擊者將報(bào)文地址設(shè)為 Echo 地址，這樣 Echo78 地址就必須不問斷的響應(yīng)該報(bào)文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的 。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多臺(tái)服務(wù)器對(duì)同一網(wǎng)絡(luò)同時(shí)發(fā)起攻擊 ， 導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。 校園網(wǎng)安全管理 針對(duì)目前高校校園網(wǎng)安 全現(xiàn)狀的認(rèn)識(shí)與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。 9 嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理 。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能 .。 內(nèi)容過濾器。使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)。 漏洞掃描。學(xué)校建立了一套校園網(wǎng)絡(luò)安全 系統(tǒng) ，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行，并定期對(duì)校內(nèi)教師進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，或發(fā)放常 見病毒解決方案等。因此有條件的話可選用交換機(jī)。 關(guān)鍵設(shè)備 在產(chǎn)品選購(gòu)之前一定要經(jīng)過認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó) Cisco公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)， Catalyst 6506 是大容量的具有高交換能力的第三層模塊化交換機(jī)， Catalyst 6506 的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。一塊 WSX6KS1AMSFC2 交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 14 技術(shù)方案 校園網(wǎng)的建設(shè)規(guī)劃 校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程，與任何一項(xiàng)工程建設(shè)一樣，在開始建設(shè)前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行都有直接的關(guān)系，因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。校園網(wǎng)具體的需求分析有如下幾點(diǎn)： （ 1） 總體目標(biāo) 對(duì)于一個(gè)校園網(wǎng)來說，系統(tǒng)的總體目標(biāo)就是在一個(gè)時(shí)期內(nèi)，當(dāng)校園網(wǎng)完全建設(shè) 15 好后所要達(dá)到的功能和具有的規(guī)模。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后，就應(yīng)該考慮如何把校園內(nèi)的信息點(diǎn)連到網(wǎng)絡(luò)控制中心以及各