【文章內(nèi)容簡介】 一的身份認證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。 12 嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準確性。 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是 “道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須 要 做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理 。 [2] 校園網(wǎng)絡(luò)安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過 網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達到網(wǎng)絡(luò)安全。 殺毒軟件。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能 .。 （ 1）在學校網(wǎng)絡(luò)中心配置一臺高效的 Windows2020 服 務(wù)器安裝一個殺毒軟件的系統(tǒng)中心，負責管理校內(nèi)網(wǎng)點的計算機。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。 （ 4）網(wǎng)絡(luò)中心負責整個校園網(wǎng)的升級工作。 采用 VLAN 技術(shù)。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。 VLAN 技術(shù)根據(jù)不同的應用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問 的目的。 內(nèi)容過濾器。 13 內(nèi)容過濾器是有效保護網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時，可以限制外來的垃圾郵件。 防火墻。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性 : (1)根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則 . (2） 禁止訪問系統(tǒng)級別的服務(wù) ( 如 HTTP , FTP 等 )。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。 (3）如果你在局域網(wǎng)中使用你的機器，那么你就必須正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機共享）功能。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5）允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻 管理安全性 . 入侵檢測。 入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。擴展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還可以發(fā)出實時報警，使網(wǎng)絡(luò)管理員能夠及時采取應對措施。 漏洞掃描。 隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進行安全檢查 ，并寫出詳細的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上“補丁”。3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學校建立了一套校園網(wǎng)絡(luò)安全 系統(tǒng) ，制定詳細的安全管理制度，如機房管理制度、病毒 12 防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進行計算機網(wǎng)絡(luò)安全知識培訓，或發(fā)放常見病毒解決方案等。 校園網(wǎng)建設(shè)需求分析 需求分析 局域網(wǎng)最大的特點就是可以實現(xiàn)資源的最佳利用 ,如 :共享磁盤設(shè)備、打印機等 ,從而可以在組建的局域 網(wǎng)內(nèi)部互相調(diào)用文件 ,并可在任何一臺共享打印機上進行打印 。當然也可以借助 Wingate 或 Sygate 等軟件多機共享一臺 Modem 上網(wǎng)；或者通過代理服務(wù)器連上 Inter，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為： 10Mbps網(wǎng)卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口網(wǎng)卡、 10Mbps/100Mbps 自適應網(wǎng)卡和千兆網(wǎng)卡。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于 10Mbps ISA 插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU 資源，只適應于那些對速度要求不 高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者10Mbps/100Mbps 自適應網(wǎng)卡，夠適應于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進行多媒體信息傳輸?shù)膽铆h(huán)境。 BNC 口是用細同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。 RJ45 是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口， RJ45 的接口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是 8芯的接頭，使用 RJ45 的缺點是架設(shè)成本高，但安裝和維護較為方便，因此我們一般使用 RJ45 接口。集線器 (HUB):根據(jù)微機的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB 的處理速率遠遠低于通信線路的傳輸速度 ,從而造成瓶頸問題。因此有條件的話可選用交換機。一個 Hub 所組成的域稱為沖突域 ,也就是說 ,網(wǎng)絡(luò)上任何一臺計算機在收發(fā)數(shù)據(jù)時 ,其他所有計算機都能夠收到 ,且這些計算機不能同時進行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞 (CSMA/ CD 協(xié)議會阻止碰撞 )。此外每臺接入 Hub 的計算機 ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應用。 學校校園網(wǎng)是為學校師生提供教學、管理、科研和綜合 信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學校信息化教學環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項靈魂工程。其設(shè)計方案應注意以下原則： 實用性校園網(wǎng)設(shè)計應能滿足學校目前對網(wǎng)絡(luò)應用的要求，充分實現(xiàn)學校內(nèi)部管理、教學和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮， 13 并且便于掌握。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復雜，同時在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的 MTBF(平均無故障工作時間 )和極低的 MTBR(平均無故障率 )，提高容錯設(shè)計，支持故障檢測和恢復，可管理性強。 統(tǒng)一性在系統(tǒng)的設(shè)計過程中，堅持 三統(tǒng)一 ，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口。 先進性在系統(tǒng)的開發(fā)過程中，既能滿足當前院校對網(wǎng)絡(luò)的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設(shè)計的配置可以靈活變通，以便適應客戶的其他要求。 關(guān)鍵設(shè)備 在產(chǎn)品選購之前一定要經(jīng)過認真的分析，這次參與組網(wǎng)的機構(gòu)選用美國 Cisco公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機， Catalyst 6506 是大 容量的具有高交換能力的第三層模塊化交換機， Catalyst 6506 的交換容量以及端口數(shù)量等技術(shù)指標足以滿足網(wǎng)絡(luò)目前的需求。選擇 Catalyst 3548 作為外網(wǎng)交換機。可以通過千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過 10/100M 自適應通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機上。選擇 Catalyst 3524 和Catalyst 3548 作為計算機網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機，為終端用戶提供 10/100M 到桌面。選擇 Cisco 3662 作為計算機網(wǎng)絡(luò)系統(tǒng) DDN、 ISDN 訪問路由器，既可以滿足上級單位 Inter 的 DDN、 ISDN 接入的需求，又可以滿足繼續(xù)擴展的需求。同時Cisco 3662 作為計算機網(wǎng)絡(luò)系統(tǒng)的撥號服務(wù)器，提供分支機構(gòu)的撥號接入。 網(wǎng)絡(luò)核心層：用一臺 Cisco 的高端三層交換機 Catalyst 6506 作為整個交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計算機網(wǎng)絡(luò)系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺。其中配置兩個電源同時供電，彼此分擔負荷并互為備份。一塊 WSX6KS1AMSFC2 交換引 擎是交換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506 交換機引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力，利用 Cisco 特有的 Netflow 技術(shù)，完全滿足核心線性三層交換的能力。另一塊WSX6408GBIC 的 8 端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應用服務(wù)器都直接連入到核心層設(shè)備上去。 匯聚層：在分配線間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計算機網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備 Catalyst 6506 上去，終端用戶可以通過超 5 類 UTP 線纜連接到各層交換機中去， 14 可以實現(xiàn) 10/100M 的自適應通道連接到局域網(wǎng)中去。 接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺 Cisco 3660 路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實現(xiàn)各自功能： 1. ADSL 接入方式。 2. FTTX+LAN 接入方式。 校園網(wǎng)網(wǎng)絡(luò)拓撲結(jié)構(gòu) 根據(jù)校園網(wǎng)的需求分析及建設(shè)目標 ，本設(shè)計方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。網(wǎng)絡(luò)拓撲采用星型樹結(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機使用堆疊方式連接。 技術(shù)方案 校園網(wǎng)的建設(shè)規(guī)劃 校園網(wǎng)建設(shè)作為一項復雜的系統(tǒng)工程，與任何一項工程建設(shè)一樣，在開始建設(shè)前都要根據(jù)工程的特點事先進行詳細的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運行都有直接的關(guān)系，因此要特別認真地進行系統(tǒng)規(guī)劃。對于校園網(wǎng)來說，必須對技術(shù)和教育的發(fā)展前景有著清醒的認識，只有這樣，才能從很好地為校園網(wǎng)進行合理 的規(guī)劃。 1． 校園網(wǎng)的應用特點 隨著現(xiàn)代化教學活動的開展和與國內(nèi)外教學機構(gòu)交往的增多，對通過網(wǎng)絡(luò)進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點： 高速的局域網(wǎng)連接 校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點，由于參與網(wǎng)絡(luò)應用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項基本要求； 信息結(jié)構(gòu) 多樣化 校園網(wǎng)應用分為電子教學（多媒體教室、電子圖書館等）、學校管理和遠程通訊（遠程教學、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學包含大量多媒體信息，學校管理以數(shù)據(jù)庫為主，遠程通訊則多為 WWW 方式，因此數(shù)據(jù)成分復雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理 校園網(wǎng)面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)化； 15 經(jīng)濟實用 學校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應經(jīng)濟實用，具備很高的性能價格比。 2．校園網(wǎng)的需求分析 在著手設(shè)計一個校 園網(wǎng)或者計算機局域網(wǎng)時，其主要依據(jù)就是網(wǎng)絡(luò)用戶（學校）的需求及將要建設(shè)的網(wǎng)絡(luò)系統(tǒng)的特點。通過對實際需要進行細致的分析，才能確定系統(tǒng)的總體目標和近期目標。需求分析是如何設(shè)計、建設(shè)和應用校園網(wǎng)的關(guān)鍵。在完成校園網(wǎng)的需求分析之后，就要對整個校園進行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計。校園網(wǎng)具體的需求分析有如下幾點： （ 1） 總體目標 對于一個校園網(wǎng)來說，系統(tǒng)的總體目標就是在一個時期內(nèi)，當校園網(wǎng)完全建設(shè)好后所要達到的功能和具有的規(guī)模。一般來說，一個校園網(wǎng)系統(tǒng)總體目標是分步實施的，包括功能的分步實施和規(guī)模的分步實施。主要原因是 受資金的限制（這是在