【正文】 數(shù)碼防火墻支持帶寬控制，通過合理配置、分配帶寬資源，使網(wǎng)絡(luò)資源得到合理、充分的使用。 6. 入侵檢測功能 入侵檢測功能就是防火墻對入侵行為的發(fā)覺。 地址綁定功能方便了校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的管理，由于每塊網(wǎng)卡的 MAC 地址都是固定的，經(jīng)過地址綁定后， IP 地址就與計(jì)算機(jī)或用戶的對 應(yīng)關(guān)系固定起來。 神州數(shù)碼 DCFW1800SV2 防火墻是一款十分優(yōu)秀的防火墻設(shè)備，可以充分的保障校園網(wǎng)內(nèi)部不會(huì)遭受到來自外部網(wǎng)絡(luò)的入侵。 （六） 本章小結(jié) 本章對遼寧機(jī)電職業(yè)技術(shù)學(xué)院進(jìn)行了具體的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，首先將學(xué)校整體分為了網(wǎng)絡(luò)控制中心、行政中心、信息館 /機(jī)械館、儀表館 /工管館、展覽中心、學(xué)生宿舍、圖書館等 幾部分，并對這幾部分的節(jié)點(diǎn)數(shù)量、安全性要求、速度要求進(jìn)行了調(diào)查。本設(shè)計(jì) VLAN 規(guī)劃如下： 表 VLAN 規(guī)劃表 單位 網(wǎng)段 子網(wǎng)掩碼 安全級(jí)別 VLAN 網(wǎng)絡(luò)中心 26 高 VLAN10 行政中心 26 高 VLAN20 系部教務(wù)處 26 高 VLAN30 機(jī)械館 26 高 VLAN40 信息館 26 高 VLAN50 工管館 26 高 VLAN60 儀表館 26 高 VLAN70 圖書館 26 中 VLAN80 學(xué)生宿舍 26 中 VLAN90 展覽中心 26 中 VLAN100 （五） 網(wǎng)絡(luò)三層交換設(shè)計(jì)安全策略 在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，我們可以看出來，對于那些對網(wǎng)絡(luò)的安全性要求很高的用戶，他們所處的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間想要實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)通信的時(shí)候，其流程如下圖所示，圖中我們可以看到虛線所圈起來一部分，這一部分在整個(gè)網(wǎng)絡(luò)數(shù)據(jù)通信的過程中主要起到了一個(gè)保護(hù)通信數(shù)據(jù)安全的作用 [5]。由于在機(jī)電學(xué)院原來的網(wǎng)絡(luò)設(shè)備中沒有使用到防火墻設(shè)備，因此本方案選用可以和其他網(wǎng)絡(luò)設(shè)備更好的配合的神州數(shù)碼DCFW1800SV2 作為本方案的防火墻。 根據(jù)學(xué)校校園網(wǎng)需求設(shè)計(jì)，匯聚層交換機(jī)應(yīng)該采用支持三層交換技術(shù)和 VLAN 技術(shù)的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的，在機(jī)電學(xué)院原來的網(wǎng)絡(luò)設(shè)備中有神州數(shù)碼DCRS565028 三層交換機(jī)，為了節(jié)約資源節(jié)省資金，以及使校園網(wǎng)穩(wěn)定流暢運(yùn)行，我們繼續(xù)使用神州數(shù)碼 DCRS565028 三層交換機(jī)作為校園網(wǎng)的匯聚層交換機(jī)。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –8– 四、 機(jī)電學(xué)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃與安全策略設(shè)計(jì) （一） 網(wǎng)絡(luò)設(shè)計(jì)綜述 每個(gè)校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)都是不同的，根據(jù)遼寧機(jī)電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)需求分析，為其設(shè)計(jì)出一個(gè)基于防火墻和三層交換技術(shù)的網(wǎng)絡(luò)系統(tǒng)結(jié) 構(gòu)，在增加少量新設(shè)備的條件下提高校園整體網(wǎng)絡(luò)系統(tǒng)的性能和安全性。 3. 數(shù)據(jù)安全需求 因?yàn)樾@內(nèi)連接著學(xué)校的各種服務(wù)器，所以對數(shù)據(jù)能否安全的存儲(chǔ)和傳送是非常重要的。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –6– 三、 機(jī)電學(xué)院網(wǎng)絡(luò)需求分析 （一） 遼寧機(jī)電職業(yè)技術(shù)學(xué)院概況 遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園學(xué)院占地面積 500 余畝，建筑總面積 萬平方米。 2. 網(wǎng)絡(luò)安全維護(hù)的投入不足 在有了一個(gè)合理的網(wǎng)絡(luò)結(jié)構(gòu)情況下，也不是能夠完全避免網(wǎng)絡(luò)問題的出現(xiàn)，網(wǎng)絡(luò)安全維護(hù)也是保證校園網(wǎng)安全的重中之重。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –4– 4. 校園網(wǎng)硬件設(shè)備出現(xiàn)問題 校園網(wǎng)所使用到的硬件設(shè)備分布在整個(gè)校區(qū)內(nèi) ,網(wǎng)絡(luò)管理員無法對所有網(wǎng)絡(luò)設(shè)備進(jìn)行妥善的管理。 由于 網(wǎng)絡(luò)病毒 的傳播 直接導(dǎo)致用戶的隱私和重要數(shù)據(jù)外泄。 最后對防火墻和三層交換機(jī)在校園網(wǎng)中所起到的作用進(jìn)行說明。 （二） 研究的現(xiàn)狀 近幾年互聯(lián)網(wǎng)在校園中變得越來越重要，老師教學(xué)離不開校園網(wǎng)，學(xué)生平時(shí)的學(xué)習(xí)、娛樂離不開互聯(lián)網(wǎng)，隨著上網(wǎng)人數(shù)的增加，校園 網(wǎng)內(nèi)的計(jì)算機(jī)所面臨的安全威脅也呈現(xiàn)上升趨勢。 在這種情況下，怎樣才能讓校園網(wǎng)內(nèi)的用戶可以安全、穩(wěn)定、高效的使用校園網(wǎng)成為了學(xué)校說面對的難題。Threetier switch。 隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，對校園網(wǎng)的安全和性能要求也越來越高。 作者簽名： ___________ 日期： _____________ 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 I 摘 要 近年來校園網(wǎng)發(fā)展的非常 迅速 ，為了提高學(xué)校的教學(xué)水平和管理能力，許多高校開始對校園實(shí)行教學(xué)手法現(xiàn)代化和校園管理網(wǎng)絡(luò)化的改革。 關(guān)鍵詞：防火墻；三層交換機(jī)；安全策略； VLAN 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 I The Research of Security Policy of Jidian Polytechnic Campus Network Abstract In recent years, the campus work development is very rapid, in order to improve the standard of teaching and management capacity of the school, many colleges and universities began to implement modern methods of teaching and school management reforms to the campus work. With the continuous expansion of the campus work scale, security and performance requirements of the campus work are also increasing. Large number of people using the campus work in the university, but quality of work users are uneven, causing a variety of problems appear the campus work. How can I make the campus safe and stable use by everyone had already bee a problem. The reasons for these problems varied, but the reason is some of the bad guys by viruses and hacking techniques disrupted the normal order of the campus work. Schools cannot get everyone to follow the order of the campus work, and that only make the normal operation of the campus work construction more secure and stable to the greatest degree of assurance of the campus work. This thesis is designing for Electrical and Mechanical College’s work topology, using the firewall and the threetier switch based work architecture, install a firewall can protect campus work does not receive attacks from outside the work , using threetier switch as the core of the campus work not only provide for the campus work stability, fast, efficient operation of the guarantee,it also can improve the overall performance of the campus work. This paper has also carried on the concrete VLAN（ Virtual Local Area Network） division of Electrical and Mechanical College. And safe strategy and the function of firewall are analyzed, and the analysis of the threetier switch security strategy, finally security strategy of campus work are summarized Key Words： Firewalls。 我們不可能讓每個(gè)人都遵循校園網(wǎng)的秩序，我們只有將校園網(wǎng)建設(shè)的更加安全、穩(wěn)定才能最大程度的保證校園網(wǎng)的正常運(yùn)行。 機(jī)電學(xué)院校園網(wǎng)安全策略的研究 –2– 研究這一課題的意義不僅僅是為遼寧機(jī)電職業(yè)技術(shù)學(xué)院建設(shè)安全的校園網(wǎng)，更為了是給其他的一些高校建設(shè)校園網(wǎng)的一個(gè)參考。然后根據(jù)遼寧機(jī)電職業(yè)技術(shù)學(xué)院對網(wǎng)絡(luò)的需求，以及學(xué)校的具體地理環(huán)境，設(shè)計(jì)出具體的網(wǎng)絡(luò)拓?fù)鋱D，并對其進(jìn)行具體的IP 地 址及 VLAN 的劃分。 2. 網(wǎng)絡(luò)病毒泛濫 現(xiàn)在大家通過網(wǎng)絡(luò)可以下載到各種資源，為大家的學(xué)習(xí)、娛樂都帶來了很多方便 ，但其 也變成了病毒傳遞的最快捷的途徑。校園網(wǎng)內(nèi)有著大量的各種各樣的資源，這些人可能對其他校園網(wǎng)內(nèi)的用戶產(chǎn)生好奇，會(huì)有意或者無意的對校園網(wǎng)內(nèi)的其他用戶進(jìn)行攻擊，這樣嚴(yán)重的干擾了校園網(wǎng)絡(luò)正常、安全的運(yùn)行。因此根據(jù)學(xué)校的具體情況選擇一個(gè)合理的網(wǎng)絡(luò)結(jié)構(gòu)是保證校園網(wǎng)絡(luò)安全的前提和基礎(chǔ)。 （三） 本章小結(jié) 本章首先闡述了目前校園網(wǎng)所面對的主要問題，并對這些問題進(jìn)行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。 2. 管理功能需求 在管理方面，可以在校園網(wǎng)內(nèi)建立網(wǎng)上辦公系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生管理系統(tǒng)等一系列方便學(xué)校管 理的系統(tǒng)。 （四） 本章小結(jié) 本章對遼寧機(jī)電職業(yè)技術(shù)學(xué)院的概況進(jìn)行了介紹，并給出了其校園網(wǎng)絡(luò)的需求情況以及設(shè)計(jì)原則。 圖 神州數(shù)碼 DCRS7604 三層交換機(jī) 2. 匯聚層交換機(jī)的機(jī)型 匯聚層作為多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，那些來自接入層交換機(jī)的所有通信量全部由匯聚層交換機(jī)來處 理，然后再將通信數(shù)據(jù)傳到核心層交換機(jī)。它還可以對那些經(jīng)常攻擊校園網(wǎng)絡(luò)的 IP 地址進(jìn)行禁止通信的設(shè)置，來阻止攻擊者對校園網(wǎng)的攻擊。 （四） 校園網(wǎng)絡(luò) VLAN 規(guī)劃設(shè)計(jì) 其中，對于整個(gè)校園規(guī)劃來講，核心交換機(jī)起著最重要的功能之一就是對于 VLAN 的劃分。但是通過核心交換機(jī)和匯聚層的三層交換機(jī)，如果哪部分網(wǎng)絡(luò)出現(xiàn)異常，網(wǎng)絡(luò)管理員也 可以根據(jù) VLAN 的不同找到出問題的部分?？梢哉f防火墻就是校園網(wǎng)的一道門，只有打開這道門才能進(jìn)入校園網(wǎng)內(nèi)，因此防火墻是保證校園網(wǎng)安全的重中之重。在廣域網(wǎng)中，它的主要作用是保護(hù)合法用戶的 IP 地址不讓非法用戶所盜用；在局域網(wǎng)中，主要用來防止內(nèi)部用戶之間的地址欺騙。這樣不但會(huì)大大降低網(wǎng)絡(luò)設(shè)備的成本，還能夠使數(shù)據(jù)通信更加安全。提供帶寬管理，保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，是 神州數(shù)碼 DCFW1800SV2 防火墻 的一項(xiàng)重要功能 [7]。 兩臺(tái)核心交換機(jī)之間相互連接，這樣可以組成一個(gè)冗余的網(wǎng)絡(luò)結(jié)構(gòu)，保證兩臺(tái)核心交換機(jī)即使有一臺(tái)出現(xiàn)問題，校園也能正常運(yùn)行。而三層交換機(jī)既有路由的功能，又有著路由器所無法比擬的性能。以下是對核心三層交換機(jī)的標(biāo)準(zhǔn)訪問控制列表配置： hexinShow Accesslists Standard IP access list 5 permit permit hexinShow Run interface FastEther0/0 ip address ip accessgroup 5 in duplex auto speed auto interface FastEther0/1 ip address ip accessgroup 5 out duplex auto speed auto 3. VRRP 技術(shù) VRRP 是一種容錯(cuò)協(xié)議，適用于支持廣播的局域網(wǎng)。這樣配置有以下幾個(gè)優(yōu)點(diǎn)： 可以增加帶寬，帶寬為這幾條物理鏈路的總和。三層交換機(jī)對學(xué)校的各部分進(jìn)行 VLAN 劃分后，可以把學(xué)校的各部分相互隔離起來，即使某部分網(wǎng)絡(luò)出現(xiàn)問題，也不會(huì)影響其他部分的網(wǎng)絡(luò)。最后對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全核心部分防火墻和三層交換機(jī)的功能和安全策略進(jìn)行了總結(jié)。