【正文】 24 所有數(shù)據(jù)，利用 內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法，檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，另外 RIDS100 入侵檢測(cè)系統(tǒng)可以與防火墻聯(lián)動(dòng)，自動(dòng)配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。 5． 設(shè) 備配置文件管理 當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒(méi)有好的配置文件維護(hù)工具，網(wǎng)絡(luò)管理員就只能手動(dòng)備份配置文件。 4 允許從內(nèi)網(wǎng)訪問(wèn) DMZ（非軍事）區(qū)，端口全 開(kāi)放 5 允許從 DMZ（非軍事）區(qū)訪問(wèn) inter，端口全開(kāi)放 6 禁止從 DMZ（非軍事）區(qū)訪問(wèn)內(nèi)網(wǎng)，端口全關(guān)閉。限制遠(yuǎn)程訪問(wèn)的安全設(shè)置方法如下表 19 安全接入和配置方法 訪問(wèn)方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注 Console 控制接口的訪問(wèn) 設(shè)置密碼和超時(shí)限制 建議超時(shí)限制設(shè)成 5 分鐘 進(jìn)入特權(quán) exec 和設(shè)備配置級(jí)別的命令行 配置 Radius 來(lái)記錄 logon/logout 時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用 tel 訪問(wèn) 采用 ACL 限制，指定從特定的 IP 地址來(lái)進(jìn)行tel 訪問(wèn)；配置 Radius 安全紀(jì)錄方案；設(shè)置超時(shí)限制 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 27 SSH 訪問(wèn) 激活 SSH 訪問(wèn)，從而允 許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸 WEB 管理訪問(wèn) 取消 Web 管理功能 SNMP 訪問(wèn) 常規(guī)的 SNMP 訪問(wèn)是用 ACL 限制從特定 IP 地址來(lái)進(jìn)行 SNMP 訪問(wèn)；記錄非授權(quán)的 SNMP 訪問(wèn)并禁止非授權(quán)的 SNMP 企圖和攻擊 為增加安全 ,建議更改缺省的SNMP Commutiy子串 設(shè)置不同賬號(hào) 通過(guò)設(shè)置不同的賬號(hào)的訪問(wèn)權(quán)限，提高安全性 拒絕服務(wù)的防止 網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、 Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個(gè)臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo請(qǐng)求 (directed broadcast)和設(shè)置 ICMP包臨界值，避免成為一個(gè) Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。 3. 性能監(jiān)控 Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。 瑞星全功能 NP 防火墻整合了多種安全防護(hù)功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最佳選擇。 干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性?？紤]到 IP 地址匱乏的原因校園網(wǎng)內(nèi)部采用 NAT 地址裝換方式提供 Inter 訪問(wèn)服務(wù)。目前，大多使用的是 32 位的 IPv4 地址，尋址時(shí)路由器先按 IP地址中的網(wǎng)絡(luò)號(hào) id 把網(wǎng)絡(luò)找到；當(dāng) 找到目的網(wǎng)絡(luò)后，再用 ARP 協(xié)議用主機(jī)號(hào)host－ id 找到主機(jī)。當(dāng)然這其中還有對(duì) 網(wǎng)絡(luò)整體結(jié)構(gòu)的設(shè)計(jì)，如 vlan 的劃分，各不同區(qū)域的細(xì)劃分都需要根據(jù)學(xué)校情況來(lái)定。 系統(tǒng)需求分析 不同 應(yīng)用及數(shù)據(jù)流所占用貸款分析 基礎(chǔ)信息服務(wù)約占用 100MB； 視頻電話、網(wǎng)絡(luò)會(huì)議、數(shù)字音頻約占用 100~600M 視頻流媒體播放 500~1000M WWW、 FTP、 EMail 服務(wù)約占用 10M 文件傳輸、 Inter 訪問(wèn)約占用 15M 由以上數(shù)據(jù)可以看出如果滿足所有應(yīng)用要求，單個(gè)用戶所獨(dú)占的網(wǎng)絡(luò)帶寬必須在 10M 以上，加上網(wǎng)絡(luò)上固有的廣播風(fēng)暴， 設(shè)計(jì)目標(biāo)是使單用戶在某一個(gè)時(shí)間獨(dú)占的帶寬不小于 100M。校園網(wǎng)示意圖： 設(shè)計(jì)原則 先進(jìn)性 我校為計(jì)算機(jī)示范性軟 件學(xué)院，每名學(xué)生均配有計(jì)算機(jī)終端。根據(jù)以上對(duì)學(xué)校現(xiàn)狀的分析并通過(guò)深入的了解，目前學(xué)校無(wú)法滿足應(yīng)用發(fā)展的需要，在教學(xué)、教育資源獲取等方面的網(wǎng)絡(luò)應(yīng)用比較落后，校園的信息化相當(dāng)閉塞。學(xué)校占地 50 畝，校園覆蓋了校綜合辦公樓 1 棟，圖書(shū)館 1 棟，教學(xué)樓 3 棟，男女宿舍各 1 棟，食堂一處，體育館（操場(chǎng)處）。 層次型拓?fù)湓O(shè)計(jì)具有如下好處。 VLAN 劃分保證內(nèi)網(wǎng)訪問(wèn)安全 由于整個(gè)校園網(wǎng)節(jié)點(diǎn)數(shù)多達(dá) 2020 多 個(gè)，從保證內(nèi)網(wǎng)的訪問(wèn)安全和便于管理的角度考慮，對(duì)整個(gè)校園網(wǎng)進(jìn)行了 VLAN 的劃分。接入層設(shè)備提 供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基于業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功能。密標(biāo)準(zhǔn) AH(MD5),ESP(Null,DES,3DES,ARC4,proprietary fast encoding,+MD5/HMAC,MD5)。在本方案中我們采用了基于端口的靜態(tài) VLAN，詳細(xì)情況請(qǐng)參照?qǐng)D 。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。 網(wǎng)絡(luò)安全防范措施 在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障 校園 內(nèi)部網(wǎng)絡(luò)安全 ，我們選購(gòu)了一套網(wǎng)絡(luò)安全防范設(shè)備。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。 9. 故障定位與地址反查 針對(duì)最為常見(jiàn)的端口故障， Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具—— 路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 28 其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)： 設(shè)備配置方案 (1)路由器 f1 端口接外網(wǎng)端口 （ ）， f 0 端口接 內(nèi) 網(wǎng)端口 （ ）。 6. 設(shè)備軟件升級(jí)管理 Quidview 提供完善的設(shè)備軟件備份升級(jí)控制機(jī)制。 檢測(cè)引擎的接入對(duì)被保護(hù)網(wǎng)絡(luò)是 透明的，它對(duì)被保護(hù)網(wǎng)絡(luò)的任何流量和請(qǐng)求均不做反應(yīng)，不影響被保護(hù)網(wǎng)絡(luò)的性能。另外，軟件的“后門(mén)”都是軟件編程人員為了方便而設(shè)置的，一般不為外人 所知，可是一旦“后門(mén)”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒(méi)有什么安全可言。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有 40％左右是來(lái)自于網(wǎng)絡(luò)內(nèi)部，如何防范來(lái)自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。校園網(wǎng)內(nèi)部由教學(xué)樓、寢室樓組成，其中教學(xué)樓中又分為學(xué)生區(qū)和辦公區(qū)兩個(gè)部分，具體信息點(diǎn)分布如上。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由 1 個(gè)核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層設(shè)在每棟樓上，每棟樓設(shè)置一個(gè)匯聚節(jié)點(diǎn)，匯聚層為高性能“小核心”型交換機(jī)，根據(jù)各個(gè)樓的配線間的數(shù)量不同，可以分別采用 1 臺(tái)或是 2 臺(tái)匯聚層交換機(jī)進(jìn)行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個(gè)樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性；接入層為每個(gè)樓的接入交換機(jī)，是直接與用戶相連的設(shè)備。 一般核心層設(shè)備采用高性能的交換網(wǎng)芯片以及高性能的網(wǎng)絡(luò)處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個(gè)千兆端口。通過(guò)此軟件不但可以幫助學(xué)校網(wǎng)管人員及時(shí)排除故障，又能大大降低學(xué)校在網(wǎng)絡(luò)維護(hù)費(fèi)用上的支出。從內(nèi)部校園網(wǎng)到外部Inter 的訪問(wèn)都要有安全審查和流量管理功能； 在功能方面，結(jié)合學(xué)校的總體發(fā)展趨勢(shì)，擬建立多媒體多功能教學(xué)室，圖書(shū)館計(jì)算機(jī)管理系統(tǒng)和電子閱覽系統(tǒng)利用網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)多媒體信息交換、視頻點(diǎn)播、網(wǎng)絡(luò)會(huì)議、遠(yuǎn)程教育，兼容校內(nèi)有線電視網(wǎng)、廣播網(wǎng)、監(jiān)控等網(wǎng)絡(luò)系統(tǒng)。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 南昌職業(yè) 學(xué)院 計(jì)算機(jī)系 畢業(yè) 設(shè)計(jì) 題 目： 校園網(wǎng)規(guī)劃與設(shè)計(jì) 專 業(yè) ： 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 學(xué) 號(hào) ： 10301090137 姓 名 ： 陳 坤 指導(dǎo)老師 ： 年 月 日 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) I 內(nèi)容摘要 自 1995 年中國(guó)教育教研網(wǎng)（ CERNET）建成后，校園網(wǎng)的建設(shè)已經(jīng)進(jìn)入到一個(gè)蓬勃發(fā)展的階段。整個(gè)校園以計(jì)算機(jī)網(wǎng)絡(luò)中心為核心，通過(guò)光纖，通過(guò)多星級(jí)輻射至各個(gè)主樓，從而構(gòu)成整個(gè)校園網(wǎng)主干，各信息點(diǎn)的網(wǎng)絡(luò)帶寬將視其應(yīng)用的性質(zhì)，進(jìn)行合理地分配，分為 100M 以及 1000M 等量級(jí)，也需要能夠通過(guò)光纖或 DDN專線與 CERNET 連接，以開(kāi)通全部的 Inter 網(wǎng)絡(luò)應(yīng)用服務(wù)。一旦網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題，網(wǎng)管系統(tǒng)會(huì)及 時(shí)準(zhǔn)確地發(fā)現(xiàn)問(wèn)題所在，并發(fā)出警告信息。核心交換機(jī)還可以下接許多百兆或千兆交換機(jī)作為匯聚層交換機(jī)，匯聚層交換機(jī)在通過(guò) 100Mbps 傳輸介質(zhì)連接工作站。 網(wǎng)絡(luò)三層結(jié)構(gòu)設(shè)計(jì) 校園網(wǎng)網(wǎng)絡(luò)整體分為三個(gè)層次：核 心層、匯聚層、接入層。 在本次設(shè)計(jì)中我們采用了 B 類 IPV4 網(wǎng)絡(luò)地址作為校園網(wǎng)私網(wǎng) IP， 以便于以后校園網(wǎng)電腦增多， IP 需求量也越日增多。來(lái)源于網(wǎng)內(nèi)的威脅主要是病毒攻擊和黑客行為攻擊。軟件不可能沒(méi)有安全漏洞和設(shè)計(jì)缺陷，這些漏洞和缺陷最易受到黑客的利用。用戶在對(duì)系統(tǒng)進(jìn)行管理時(shí)必須插入自己的鑰匙并輸入正確的口令 。 Quidview 網(wǎng)絡(luò)配置中心支持對(duì)設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時(shí)還實(shí)現(xiàn)了配置文件的基線化管理，可以對(duì)配置文件的變化進(jìn)行比較跟蹤。 為此 ,在網(wǎng)絡(luò)中心配置了一套 山特 C3KVA/2100W 的 UPS 電源。 10. RMON 管理 RMON 管理根據(jù) RFC1757 定義的標(biāo)準(zhǔn) RMONMIB 及華為 3Com 自定義告警擴(kuò)展 MIB對(duì)主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。 1． 網(wǎng)絡(luò)集中監(jiān)視 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 25 Quidview 網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn) 行。 1 瑞星殺毒軟件網(wǎng)絡(luò)版 1. 超強(qiáng)病毒查殺 2. 智能主動(dòng) 防御 3. 增強(qiáng)型全網(wǎng)漏洞管理 4. 強(qiáng)大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署 、 控制 、 執(zhí)行 、 升級(jí) 、 報(bào)告和日志 、二次開(kāi)發(fā) 。 破壞數(shù)據(jù)的完整性。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 20 S 5 6 2 4 PS 3 0 5 0 CS 3 0 2 6 TS 3 0 2 6 TV L A N 2V L A N 3V L A N 4教 學(xué) 區(qū) 辦 公 區(qū) 公 寓 區(qū)圖 2 . 3 1核 心 層 VLAN 分配表： VLAN1 各層交換機(jī)設(shè)備（詳細(xì)參閱拓?fù)鋱D） A103 A105 A107 A108 A110 A204 A205 A206 VLAN2 A207 A209 A305 A306 A307 A308 A309 A403 A405 A406 A407 A408 A302 A402 A602 A101 A102 A104 A201 A202 A203 A301 A303 A304 A404 A106 A109 A111 A211 A213 A311 VLAN3 A313 A401 A409 A411 A601 A103 A105 A107 A108 A110 A204 A205 A206 A207 A209 A305 A306 A307 A308 A309 A403 A405 A406 A407 A408 A302 A402 A602 B101 B102 B103 B104 B105 B106 B107 B108 B109 B110 B111 B112 B113 B115 B117 B201 B202 B203 B204 B205 B206 B207 B208 B209 B