【正文】 計開 題 報 告專 業(yè) 計算機網(wǎng)絡(luò)技術(shù)專業(yè)設(shè)計方向 _ 網(wǎng)絡(luò)管理 姓 名 ______XXXXXX 指導(dǎo)教師審查意見： 審查合格，同意存檔。H3C設(shè)備在各個高校應(yīng)用較為廣泛，自己獨有的局域網(wǎng)安全技術(shù)得到認(rèn)可，VRRP+MSTP技術(shù)在核心層應(yīng)用較多，構(gòu)建安全的STP生成樹體系。選擇中心機房安放位置，并按國家標(biāo)準(zhǔn)組織施工建設(shè)。s Shaanxi province pass through a stop on the ancient Silk Road, Gansu39。s Poly Theater. Their show, titled Ulan Muqir on the Grassland, depicted the history and development of the art troupe. Being from the region allowed me to embrace the culture of Inner Mongolia and being a member of the troupe showed me where I belonged, Nasun, the art troupe39。s performers of the troupe still tour the region39。因而可以看出，計劃執(zhí)行部門的權(quán)威性不高，需引起領(lǐng)導(dǎo)重視。在此次的校園網(wǎng)實現(xiàn)當(dāng)中學(xué)校的教學(xué)、教研、遠(yuǎn)程教學(xué)等都連入校園網(wǎng)，網(wǎng)絡(luò)設(shè)備都已經(jīng)上線，均大部分是H3C，其他為思科，華為；本次實施的內(nèi)容：根據(jù)要求學(xué)校的每臺計算機都能連接互聯(lián)網(wǎng)，能實現(xiàn)內(nèi)部資源共享，局域網(wǎng)內(nèi)采用VLAN技術(shù)限制不同辦公室的訪問。高校在網(wǎng)絡(luò)建設(shè)方面加大了力度，使用網(wǎng)絡(luò)安全策略以保證網(wǎng)絡(luò)的質(zhì)量。Cisco網(wǎng)絡(luò)設(shè)計手冊[M]北京：北京電子工業(yè)出版社，2000.[5]:武漢理工大學(xué)出版社,2004[6]周麗娟. 校園網(wǎng)絡(luò)安全策略研究[J] 長春師范學(xué)院學(xué)報（自然科學(xué)版）2009（06）[7][M]使得更多更好的建網(wǎng)思想和技術(shù)應(yīng)用到新的校園網(wǎng)的建設(shè)及改造之中，校園網(wǎng)的功能也將得到很大的提高與擴充。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。因此，一個實用的方法是，建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)，漏洞掃描器就是這樣一類系統(tǒng)。(5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性.入侵檢測。防火墻。（3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機的查殺毒。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。以下五點是高校的安全策略：規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。針對這種攻擊，我們可以充分發(fā)揮我們SecPaht系列防火墻過濾攔截的功能，檢查單位時間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。對于這種攻擊，只需將所有不可信端口上的DTP設(shè)置為“關(guān)”，即可預(yù)防這種攻擊的侵襲。這一病毒利用了微軟視窗操作系統(tǒng)的漏洞，計算機感染這一病毒后，會不斷自動撥號上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。防范口令攻擊的一個簡單有效的辦法是,不要用英語單詞,且不可能被別人猜測出的口令就可以了。攻擊者一旦發(fā)現(xiàn)用戶系統(tǒng)的漏洞，這對用戶的系統(tǒng)是一個很大的威脅。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。它是利用多臺已經(jīng)被攻擊者所控制的機器對某一臺單機發(fā)起攻擊，在帶寬相對的情況下，被攻擊的主機很容易失去反應(yīng)能力。近幾年來包括我們學(xué)校在內(nèi)的許多校園網(wǎng)絡(luò)都出現(xiàn)了ARP 攻擊現(xiàn)象。由于攻擊技術(shù)的進(jìn)步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。 　　趨勢三：發(fā)現(xiàn)安全漏洞越來越快。趨勢一：自動化程度和攻擊速度提高 。然而這種方法只能解決鏈路冗余卻不能解決負(fù)載均衡的問題。主要運用于運營商和大型企業(yè)之間。廣播網(wǎng)絡(luò)中，所有的路由器只跟DR建立鄰居關(guān)系，如果DR出現(xiàn)故障，則有BDR替代。域內(nèi)路由的優(yōu)先級比域間路由的優(yōu)先級要高, 協(xié)議總是優(yōu)先考慮本區(qū)域內(nèi)部的路徑。僅當(dāng)鄰居不支持MD5認(rèn)證時，明文認(rèn)證才被選用。 OSPF路由協(xié)議OSPF(Open Shortest Path First，開放式最短路徑優(yōu)先)是一個內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。這樣到同一目的地存在這不同的路徑，而且它們的優(yōu)先級也相同，在沒有比這優(yōu)先級更高的路由時，該路由被IP層采納。我們將討論網(wǎng)絡(luò)路由設(shè)計時最關(guān)鍵因素。（2）容易維護：SSL VPN 維護起來簡單，出現(xiàn)問題，就維護網(wǎng)關(guān)就可以了。SSL獨立于應(yīng)用，因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細(xì)節(jié)。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開銷，將除IP外的所有傳送協(xié)議都刪除了，因而IPX和AppleTalk等非IP協(xié)議只能通過GRE來穿越IP核心網(wǎng)絡(luò)。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機構(gòu)的動態(tài)VPN（DVPN）解決方案、適用于MPLS VPN和IPSec VPN環(huán)境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。在Qos中應(yīng)用ACL：Qos ACL指定了Qos分類、標(biāo)記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包，也可以基于時間段、流量監(jiān)管、隊列調(diào)度、流量統(tǒng)計、端口重定向、本地流鏡像以及WEB Cache重定向的功能及應(yīng)用部署相關(guān)的ACL。如果一個數(shù)據(jù)包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進(jìn)行動態(tài)轉(zhuǎn)換。隨著網(wǎng)絡(luò)的日益復(fù)雜，域邊界的概念逐漸替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)安全區(qū)域之間安全控制的基本點。 MSTP兼容STP和RSTP，從而彌補STP和RSTP的缺陷，不但可以快速收斂，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，使不同VLAN 的流量沿各自的路徑分發(fā)，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN 數(shù)據(jù)的負(fù)載均衡，使設(shè)備的利用率達(dá)到最高。 H3C交換機支持的生成樹協(xié)議有三種類型，分別是STP（IEEE ）、RSTP（IEEE ）和MSTP（IEEE ），這三種類型的生成樹協(xié)議均按照標(biāo)準(zhǔn)協(xié)議的規(guī)定實現(xiàn)，采用標(biāo)準(zhǔn)的生成樹協(xié)議報文格式。將多個物理鏈路捆綁在一起后，不但提升了整個網(wǎng)絡(luò)的帶寬，而且數(shù)據(jù)還可以同時經(jīng)由被綁定的多個物理鏈路傳輸，具有鏈路冗余的作用，在網(wǎng)絡(luò)出現(xiàn)故障或其他原因斷開其中一條或多條鏈路時，剩下的鏈路還可以工作?；诼酚傻腣LAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機）。這種技術(shù)可以把一個LAN劃分成多個邏輯的LAN即VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)，從而最大程度的減少了廣播風(fēng)暴的影響。 校園網(wǎng)絡(luò)安全策略 計算機網(wǎng)絡(luò)系統(tǒng)的安全管理主要是配合行政手段，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運行，主要涉及以下四個方面：一、 網(wǎng)絡(luò)物理安全策略計算機網(wǎng)絡(luò)系統(tǒng)物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)用戶終端機、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機網(wǎng)絡(luò)系統(tǒng)有一個良好的工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計算機網(wǎng)絡(luò)系統(tǒng)控制室和網(wǎng)絡(luò)黑客的各種破壞活動?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。因此網(wǎng)絡(luò)管理員竭盡所能在網(wǎng)絡(luò)基礎(chǔ)設(shè)施里添加最新的技術(shù)，在構(gòu)建和維護當(dāng)今高速增長的網(wǎng)絡(luò)方面，網(wǎng)絡(luò)安全扮演了舉足輕重的角色。一方面高等教育，以計算機為核心的信息技術(shù)已成為很多專業(yè)課教學(xué)內(nèi)容的有機組成部分，計算機應(yīng)用能力成為衡量大學(xué)生業(yè)務(wù)素質(zhì)與能力的標(biāo)識之一；另一方面初等教育中信息技術(shù)課程的普及，使高校新生的計算機基本知識起點有所提高。因此網(wǎng)絡(luò)安全扮演的角色也會越來越重要。安全技術(shù)和解決方案需要從根本上整合到基礎(chǔ)設(shè)施中，與網(wǎng)絡(luò)架構(gòu)融合。2010年1月，國務(wù)院決定加快推進(jìn)電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合，2010年至2012年廣電和電信業(yè)務(wù)雙向進(jìn)入試點，2013年至2015年，全面實現(xiàn)三網(wǎng)融合?！? 目錄1 緒論 12 校園網(wǎng)絡(luò) 2 校園網(wǎng)絡(luò)安全概述 2 校園網(wǎng)絡(luò)基本概念 2 校園網(wǎng)絡(luò)安全的特征 23 校園局域網(wǎng)安全 4 基于H3C系列交換機VLAN的應(yīng)用 4 利用GVRP協(xié)議來管理VLAN 5 H3C交換機設(shè)備間的端口匯聚 5 構(gòu)建安全的STP生成樹體系 6 多層交換機體系部署VRRP 64 邊界網(wǎng)絡(luò)安全技術(shù) 8 概述 8 NAT技術(shù)的應(yīng)用 8 ACL技術(shù)的應(yīng)用 8 VPN技術(shù)的應(yīng)用 105 路由安全 13 路由安全敘述 13 靜態(tài)路由協(xié)議 13 OSPF路由協(xié)議 13 BGP路由協(xié)議 156 校園網(wǎng)絡(luò)安全的威脅 17 校園網(wǎng)絡(luò)攻擊概述與趨勢 17 ARP攻擊 18 DDOS攻擊 18 口令攻擊 18 蠕蟲病毒 19 VLAN攻擊 197 校園網(wǎng)安全措施 21 校園網(wǎng)安全介紹 21 校園網(wǎng)安全管理 21 校園網(wǎng)安全措施 21 建立安全管理制度 238 結(jié)論 24參考文獻(xiàn) 251緒論隨著時代的發(fā)展，在二十一世紀(jì)信息以經(jīng)成為了重要的開發(fā)性資源。2校園網(wǎng)絡(luò)網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全?？煽匦裕簩π畔⒌膫鞑ゼ皟?nèi)容具有控制能力。各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護作用，所以網(wǎng)絡(luò)訪問控制策略是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 vlan部署圖從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法：基于端口的VLAN劃分這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。815H3C 低端系列以太網(wǎng)交換機支持的以太網(wǎng)端口鏈路類型有三種：(1)Access 類型：端口只能屬于1 個VLAN，一般用于連接計算機；(2)Trunk 類型：端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN 的報文，一般用于交換機之間的連接；(3)Hybrid 類型：端口可以屬于多個VLAN，可以接收和發(fā)送多個VLAN 的報文，可以用于交換機之間連接，也可以用于連接用戶的計算機。n 一個匯聚組內(nèi)的所有端口必須使用相同的協(xié)議如LACP。哪臺交換機最適合用做根網(wǎng)橋取決于網(wǎng)絡(luò)設(shè)計，一般而言，應(yīng)選擇位于網(wǎng)絡(luò)中央的功能強大的交換機。VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當(dāng)主機的下一跳路由器失效時，可以及時由另一臺路由器代替，從而保持通信的連續(xù)性和可靠性。NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。標(biāo)準(zhǔn)的ACL使用 1 99 以及13001999之間的數(shù)字作為表號，擴展的ACL使用 100 199以及20002699之間的數(shù)字作為表號。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。 VPN技術(shù)的應(yīng)用VPN（Virtual Private Network，虛擬私有網(wǎng)）是近年來隨著Internet 的廣泛應(yīng)用而迅速發(fā)展起來的一種新技術(shù)，實現(xiàn)在公用網(wǎng)絡(luò)上構(gòu)建私人專用網(wǎng)絡(luò)。　　IPsec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部(Authenticaion Header，AH)和封裝安全有效載荷(Encapsulation Security Payload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來源認(rèn)證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊)。另外與IPsec不同，GRE允許路由協(xié)議（OSPF和BGP）穿越連接。因此這個時候，L2TP常和IPsec結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對數(shù)據(jù)進(jìn)行加密和提供完整性保護，由此保證通信數(shù)據(jù)安全傳送到目的地。任何安裝瀏覽器的機器都可以使用SSL VPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不倒內(nèi)部服務(wù)器。通過靜態(tài)路由的配置，可建立一個完整的網(wǎng)絡(luò)，這種方法的問題在于當(dāng)一個網(wǎng)絡(luò)故障發(fā)生后，靜態(tài)路由不會自動發(fā)生改變必須有網(wǎng)絡(luò)管理員的介入。為了實現(xiàn)路由的備份，用戶可根據(jù)實際情況配置到同一目的地的多條路由。支持區(qū)域劃分、路由分級、驗證等特性。 OSPF分層視圖OSPF 是一個分為骨干區(qū)域和非骨干區(qū)域的兩層路由協(xié)議, 各非骨干區(qū)域通過ABR與骨干區(qū)域相連。由于這個特性, 使得OSPF 具有一定的自衛(wèi)性。默認(rèn)情況下啊，在OSPF啟動時，將路由器ID設(shè)為最大的活動物理接口的IP地址；