【正文】 齊智敏老師作為一名優(yōu)秀的、經(jīng)驗豐富的教師。為機電學(xué)院設(shè)計出了具體的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。 7. 計費功能 神舟數(shù)碼 DCRS7604 三層交換機具有計費功能， 校園網(wǎng)有計費的需求，因為三層交換機可以識別數(shù)據(jù)包中的 IP 地址信息，因此可以統(tǒng)計 校園網(wǎng)內(nèi)用戶連接互聯(lián)網(wǎng)所使用 的數(shù)據(jù)流量， 學(xué)校 可以按流量 對用戶進行計費 ，也可以統(tǒng)計 校園網(wǎng)內(nèi)用戶 連接在 互聯(lián)網(wǎng) 上的時間， 學(xué)校也可以 按時 間 對用戶 進行計費。 下面是對本設(shè)計的兩臺核心三層交換機進行 VRRP 的配置命令： hexin1interface FastEther0/0 BackUP ip address 機電學(xué)院校園網(wǎng)安全策略的研究 –20– duplex auto speed auto vrrp 3 ip vrrp 3 priority 105 hexin2interface FastEther0/0 MASTER ip address duplex auto speed auto vrrp 3 ip vrrp 3 priority 110 4. 端口流量限制 我們可以通過三層交換機對每個子網(wǎng)的端口進行流量的限制，當(dāng)一個端口的流量過大，超過了其處理能力時，就會產(chǎn)生端口堵塞。 這樣，就 成功 限制了未經(jīng)安全許可的用戶對網(wǎng)絡(luò)的使用 [10]。接入層交換機的主要功能是為用戶提供大量的網(wǎng)絡(luò)接口 [9]。 （三） 三層交換機的安全策略 在遼寧機電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)架構(gòu)中，有核心層、匯聚層、接入層等三個層次。 7. 流量控制功能 神州數(shù)碼 DCFW1800SV2 防火墻 具有實時檢測用戶流量的功能。 5. VPN 功能 隨著 Inter 的發(fā)展，特別是由于電子商務(wù)、網(wǎng)上金融等的推波助瀾， Inter 缺少對網(wǎng)絡(luò)安全呢在支持的固有弱點正越來越明顯地顯露出來。對校園網(wǎng)來說，狀態(tài)檢測不但能提高網(wǎng)絡(luò)的安全性，還能增強網(wǎng)絡(luò)的性能。最后對校園網(wǎng)三層交換設(shè)計策略進行了具體的說明。 對于安全級別為中的用戶，其它們的網(wǎng)絡(luò)數(shù)據(jù)的外部與內(nèi)部通信流程圖如下： 圖 中安全級別用戶網(wǎng)絡(luò)通信流程圖 如上圖所示 ：與安全級別為高的用戶相比，安全級別為中的用戶 少了單獨的三層交換機。下圖為機電學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖： W E B 服務(wù) 器郵 件 服務(wù) 器服 務(wù) 器 管 理 機 管 理 機行 政 樓機 械 館 / 信 息 館機 械 系信 息 系儀 表 館 / 工 管 館自 控 系工 管 系行 政 中 心系 部 教 務(wù) 處展 覽 中 心學(xué) 生 宿 舍I n t e r n e t防 火 墻 D C F W 1 8 0 0 S V 2百 兆 光 纖千 兆 光 纖雙 絞 線網(wǎng) 絡(luò) 中 心D C R S 7 6 0 4D C R S 7 6 0 4D C R S 5 6 5 0 2 8D C R S 5 6 5 0 2 8D C R S 5 6 5 0 2 8D C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 CD C S 3 6 0 0 2 6 C圖 書 館圖 網(wǎng)絡(luò)拓撲圖 行政樓是行政中心和系部教務(wù)處的所在是校園的核心，其網(wǎng)絡(luò)速率的快慢直接影響學(xué)校的辦公質(zhì)量，其網(wǎng)絡(luò)的安全直接關(guān)系學(xué)校的利益。在機電學(xué)院原來的網(wǎng)絡(luò)設(shè)備中有神州數(shù)碼 DCS360026C，同樣為了節(jié)約資源節(jié)省資金，所以本方案中接入層交換機選用神州數(shù)碼 DCS360026C。 1. 核心交換機的機型 核心交換機是網(wǎng)絡(luò)的高速主干設(shè)備，核心層需要為匯聚層和接入層提供大量的數(shù)據(jù)，盡可能快的交換包，需要高速轉(zhuǎn)發(fā)數(shù)據(jù)流量。這就要求校園網(wǎng)必須擁有一定的可靠性，在網(wǎng)絡(luò)中有設(shè)備出現(xiàn)故障時，在鏈路中要有冗余備份，來保證校園網(wǎng)的正常運行。 隨著近些年學(xué)校的發(fā)展，師生數(shù)量的增長，原有的網(wǎng)絡(luò)的安全性和性能都不足以滿足現(xiàn)在學(xué)校對校園網(wǎng)的要求。 3. 師生對校園網(wǎng)安全不重視 一部分的學(xué)生和老師對網(wǎng)絡(luò)安全不夠重視，經(jīng)常通過網(wǎng)絡(luò)下載一些含有病毒的文件和使用攜帶病毒的移動存儲設(shè)備 ,造成學(xué)校的計算機中毒，導(dǎo)致校園網(wǎng)絡(luò)系統(tǒng)被攻擊 ,嚴重干擾了校園網(wǎng)絡(luò)安全、穩(wěn)定的運行。網(wǎng)絡(luò)管理員在校園網(wǎng)安全管理方面起著至關(guān)重要的作用。 3. 來自校園網(wǎng)內(nèi)外的入侵和攻擊 由于校園網(wǎng)絡(luò)和因特網(wǎng)相連 ,我們在校園網(wǎng)內(nèi)可以直接訪問因特網(wǎng)上的各種資源 ,于此同時，我們也面臨著遭受來自外部網(wǎng)絡(luò)攻擊的風(fēng)險。有一個安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境已經(jīng)成為了學(xué)校正常辦公的基礎(chǔ)。學(xué)校的網(wǎng)絡(luò)結(jié)構(gòu)不是非常完整，缺少一部分的網(wǎng)絡(luò)硬件設(shè)備，并且所安裝的應(yīng)用軟件也不是很多，更沒有考慮到校園網(wǎng)絡(luò)的安全 [1]。本文所研究的課題就是在這樣的背景條件下所提出的，關(guān)于機電學(xué)院校園網(wǎng)安全策略的研究。 這些改革的實施讓人們在校園內(nèi)的業(yè)余生活變得更加充實、歡樂、多變。造成這些問題的原因多 種多樣，但究其原因，還是一些心懷不軌的人通過病毒和黑客技術(shù)擾亂了校園網(wǎng)的正常秩序。 遼 東 學(xué) 院 本 科 畢 業(yè) 論 文（設(shè) 計） 機電學(xué)院校園網(wǎng)安全策略的研究 The Research of Security Policy of Jidian Polytechnic Campus Network 學(xué) 生 姓 名： 學(xué) 院： 專 業(yè)： 班 級： 學(xué) 號： 指 導(dǎo) 教 師： 審 閱 教 師： 完 成 日 期： 遼 東 學(xué) 院 Eastern Liaoning University 獨創(chuàng)性說明 作者鄭重聲明：本畢業(yè)論文（設(shè)計）是我個人在指導(dǎo)教師指導(dǎo)下進行的研究工作及取得研究成果。學(xué)校不可能讓每個人都遵循校園網(wǎng)的秩序，那只有將校園網(wǎng)建設(shè)的更加安全、穩(wěn)定才能最大程度的保證校園網(wǎng)的正常運行。但是，有利即有弊。 2. 研究的意義 隨著更多教學(xué)應(yīng)用軟件的開發(fā)與使用，校園網(wǎng)已經(jīng)被廣泛地應(yīng)用在我國的教育系統(tǒng)中，這樣對校園網(wǎng)的安全也提出了更高的要求，一旦校園網(wǎng)受到了攻擊，將會給學(xué)校帶來非常嚴重的損失。 （三） 本文研究的目的和研究內(nèi)容 1. 本文研究 的目的 本論文的研究目的是根據(jù)遼寧機電職業(yè)技術(shù)學(xué)院校園的具體情況和其校園網(wǎng)所面對的安全威脅，研究出一個適合于機電學(xué)院校園網(wǎng)的安全策略的解決辦法。目前 ,對校園網(wǎng)的安全產(chǎn)生威脅的主要有以下幾種： 1. 漏洞與隱患 目前 , 校園計算機使用的最普遍的操作系統(tǒng)就是 WINDOWS,雖然 WINDOWS 已經(jīng)是目前最完善的操作系統(tǒng)了，但是 WINDOWS 操作系統(tǒng)還是存在著許多的漏洞?，F(xiàn)在的黑客軟件不再是那些對計算機非常精通的黑客們才會使用的了，黑客軟件變得簡單化，只要學(xué)習(xí)簡單的教程，就可以使用黑客軟件對互聯(lián)網(wǎng)上的其他用戶進行入侵和攻擊。如果網(wǎng)絡(luò)管理員未對校園網(wǎng)的防火墻、三層交換機等進行安全方面的配置，將直接影響整個校園網(wǎng)的安全系數(shù) [3]。 機電學(xué)院校園網(wǎng)安全策略的研究 –5– 4. 網(wǎng)絡(luò)管理員責(zé)任心不強 每個學(xué)校的網(wǎng)絡(luò)管理員都是對網(wǎng)絡(luò)技術(shù)非常了解的，但是對待工作的熱情、以及態(tài)度卻并不相同。需要設(shè)計新的校園網(wǎng)絡(luò)規(guī)劃，來提高校園網(wǎng)的安全性和性能。 機電學(xué)院校園網(wǎng)安全策略的研究 –7– （三） 網(wǎng)絡(luò)設(shè)計原則 機電學(xué)院校園網(wǎng)絡(luò)除滿足最基本的實現(xiàn)校園內(nèi)部網(wǎng)絡(luò)通信，連接外部網(wǎng)絡(luò)，能夠?qū)崿F(xiàn)資源共享，還應(yīng)當(dāng)能夠為在此校區(qū)的 老師和學(xué)生提供豐富的多媒體教學(xué)手段。通過各種產(chǎn)品之間對比，考慮到校園網(wǎng)的穩(wěn)定性、擴展性、兼容性，根據(jù)遼寧機電職業(yè)學(xué)院規(guī)模及應(yīng)用需求，所以本方案決定選用神舟數(shù)碼 DCRS7604 三層交換機作為核心交換機。 圖 神州數(shù)碼 DCS360026C 二層交換機 4. 防火墻的機型 在校園網(wǎng)內(nèi)的所有計算機想要與外界網(wǎng)絡(luò)進行網(wǎng)絡(luò)通信都必須經(jīng)過防火墻。因此在行政樓 用神州數(shù)碼DCRS565028三層交換機與網(wǎng)絡(luò)中心的核心交換機相連，在通過 二層交換機 DCS360026C連接到行政中心和系教務(wù)處，這樣可以大幅的提高網(wǎng)絡(luò)效率和處理能力。因為中級別用戶對安全性的要求不高，沒有安裝匯聚層的三層交換機是為了節(jié)省資金。 機電學(xué)院校園網(wǎng)安全策略的研究 –15– 五、 防火墻和三層交換機在校園網(wǎng)絡(luò)中的安全策略 （一） 防火墻 的安全策略 在遼寧機電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中，防火墻是校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)通信的出口。 2. 多種過濾功能 神州數(shù)碼 DCFW1800SV2 防火墻除 了支持包過濾功能，還支持內(nèi)容過濾、命令過濾、URL 過濾、色情網(wǎng)站過濾、文件過濾、文件長度過濾、郵件過濾、郵件長度過濾等多種過濾功能。而虛擬專用網(wǎng)，即 VPN 技術(shù)是解決 Inter 安全問題的重要手段之一。它能夠?qū)Σ煌脩簦刻旆峙涔潭ǖ牧髁?，?dāng)這個用戶通過防火墻對外通信時，防火墻會對用戶所產(chǎn)生的流量進行統(tǒng)計，當(dāng)累計到固定限額時，防火墻會立即切斷該用戶的對外訪問，這對于某些異常的訪問可以起到很好的控制作用。在核心層和匯聚層都是使用的三層交換機。 三層交換機在諸多網(wǎng)絡(luò)設(shè)備 中起著至關(guān)重要的作用，無論是核心層還是在匯聚層，我們都需要用到三層交換機 。 機電學(xué)院校園網(wǎng)安全策略的研究 –18– 根據(jù)上一章的網(wǎng)絡(luò)規(guī)劃設(shè)計，下面是以圖書館和學(xué)生宿舍的 VLAN 劃分為例的具體配置命令： 核心三層交換機的配置： Switch(config)Hostname hexin hexin(config)VLAN 80 hexin(configvlan)EXIT hexin(config)VLAN 90 hexin(configvlan)EXIT hexin(config)INT VLAN 80 hexin(configif)IP ADD hexin(config)INT VLAN 90 hexin(configif)IP ADD hexin(configif)EXIT hexin(config)INT F0/23 hexin(configif)Switchport Mode Trunk hexin(configif)Switchport Trunk Encapsulation dot1q hexin(configif)EXIT hexin(config)INT F0/24 hexin(configif)Switchport Trunk Encapsulation dot1q hexin(configif)Switchport Mode Trunk 學(xué)生宿舍 二層交換機的配置： Switch(config)hostname xsss xsss(config)vlan 90 xsss(configvlan)exit xsss(config)sw xsss(config)int f0/1 xsss(configif)Switchport mode access xsss(config)INT F0/24 xsss(configif)Switchport Mode Trunk xsss(config)INT F0/1 xsss(configif)Switchport Access VLAN 90 圖書館二層交換機的配置： Switch(config)hostname tsg tsg(config)vlan 80 tsg(configvlan)exit tsg(config)int f0/1 機電學(xué)院校園網(wǎng)安全策略的研究 –19– tsg(configif)Switchport Mode Access tsg(config)vlan 80 tsg(config)INT F0/24 tsg(configif)Switchport Mode Trunk tsg(config)INT F0/1 tsg(configif)Switchport Access VLAN 80 其它子網(wǎng)的 VLAN 劃分與上述配置相似。流量限制的作用就是為