【文章內(nèi)容簡介】 可以根據(jù)需要加入不同的虛擬局域網(wǎng)。當網(wǎng)絡(luò)規(guī)模很大時，網(wǎng)上的廣播信息會很多，能解決了 網(wǎng)絡(luò)惡化 、 廣播 風暴 、 網(wǎng)絡(luò)堵塞。 實現(xiàn)的信息服務(wù) 需 要的基本功能有： 電子郵件系統(tǒng)：主要進行與同行交往、開展技術(shù)合作、學(xué)術(shù)交流等活動； 文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資 8 料和技術(shù)文擋； INTERNET 服務(wù)：學(xué)?？梢越⒆约旱闹黜?，利用外部網(wǎng)頁進行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁進行管理，例如發(fā)布通知、收集學(xué)生意見等。 計算機教學(xué)，包括多媒體教學(xué)和遠程教學(xué)； 圖書館訪問系統(tǒng)，用于計算機查詢、計算機檢索、計算機閱讀等； 其他應(yīng)用，如大型分布式數(shù)據(jù)庫系統(tǒng)、超性能計算資源共 享、管理系統(tǒng)、視頻會議等。 應(yīng)用程序 出于對校園網(wǎng)的功能分析，在校園網(wǎng)上運行的應(yīng)用程序有如下幾種：文件傳輸系統(tǒng)、郵件系統(tǒng)、辦公自動化系統(tǒng)、宿舍管理系統(tǒng)、學(xué)生檔案管理系統(tǒng)、教學(xué)系統(tǒng)等一系列網(wǎng)絡(luò)平臺。 存儲系統(tǒng)分析 根據(jù)我們選用的是開放的 Windows、 UNIX、 Linux 等操作系統(tǒng)的服務(wù)器，開放系統(tǒng)的網(wǎng)絡(luò)化存儲根據(jù)傳輸協(xié)議又分為 :網(wǎng)絡(luò)接入存儲 (NetworkAttached Storage，簡稱 NAS)和存儲區(qū)域網(wǎng)絡(luò) (Storage Area Network，簡稱 SAN)。 系 統(tǒng)及數(shù)據(jù)安全分析 所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是 Microsfot 的 Windows NT 或者其它任何商用 UNIX 操作系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認證（特別是在到達服務(wù)器主機之前的認證）， 確保用戶的合法性；其次應(yīng)該嚴格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 應(yīng)用系統(tǒng)安全 與 具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的 。 應(yīng)用系統(tǒng)的安全性涉及到信息、數(shù)據(jù)的安全性。 信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機密信息，如果一 9 些重要信息遭到竊取或破壞，它的經(jīng)濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，對于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪 問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。 QoS QoS 的英文全稱為 Quality of Service，中文名為 服務(wù)質(zhì)量 。 QoS 是網(wǎng)絡(luò)的一種安全機制 , 是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。 在正常情況下，如果網(wǎng)絡(luò)只用于特定的無時間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如 Web 應(yīng)用，或 Email 設(shè)置等。但是對關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當網(wǎng)絡(luò)過載或擁塞時， QoS 能確保重要業(yè)務(wù)量不受 延遲或丟棄，同時保證網(wǎng)絡(luò)的高效運行。 QoS 具有如下功能： （一） 分類 分類是指具有 QoS 的網(wǎng)絡(luò)能夠識別哪種應(yīng)用產(chǎn)生哪種數(shù)據(jù)包。沒有分類，網(wǎng)絡(luò)就不能確定對特殊數(shù)據(jù)包要進行的處理。所有應(yīng)用都會在數(shù)據(jù)包上留下可以用來識別源應(yīng)用的標識。分類就是檢查這些標識，識別數(shù)據(jù)包是由哪個應(yīng)用產(chǎn)生的。 以下是 4 種常見的分類方法。 (1)協(xié)議 有些協(xié)議非常 “ 健談 ” ，只要它們存在就會導(dǎo)致業(yè)務(wù)延遲，因此根據(jù)協(xié)議對數(shù)據(jù)包進行識別和優(yōu)先級處理可以降低延遲。應(yīng)用可以通過它們的EtherType 進行識別。 譬如， AppleTalk 協(xié)議采用 0x809B， IPX 使用 0x8137。根據(jù)協(xié)議進行優(yōu)先級處理是控制或阻止少數(shù)較老設(shè)備所使用的 “ 健談 ” 協(xié)議的一種強有力方法。 (2)TCP 和 UDP 端口號碼 許多應(yīng)用都采用一些 TCP或 UDP 端口進行通信，如 HTTP采用 TCP 端口 80。通過檢查 IP 數(shù)據(jù)包的端口號碼，智能網(wǎng)絡(luò)可以確定數(shù)據(jù)包是由哪類應(yīng)用產(chǎn)生的，這種方法也稱為第四層交換，因為 TCP 和 UDP 都位于 OSI模型的第四層。 (3)源 IP 地址 許多應(yīng)用都是通過其源 IP 地址進行識別的。由于服務(wù)器有時是專 10 門針對單一應(yīng)用而配置的 ，如電子郵件服務(wù)器，所以分析數(shù)據(jù)包的源 IP 地址可以識別該數(shù)據(jù)包是由什么應(yīng)用產(chǎn)生的。當識別交換機與應(yīng)用服務(wù)器不直接相連，而且許多不同服務(wù)器的數(shù)據(jù)流都到達該交換機時，這種方法就非常有用。 (4)物理端口號碼 與源 IP 地址類似，物理端口號碼可以指示哪個服務(wù)器正在發(fā)送數(shù)據(jù)。這種方法取決于交換機物理端口和應(yīng)用服務(wù)器的映射關(guān)系。雖然這是最簡單的分類形式，但是它依賴于直接與該交換機連接的服務(wù)器。 （二） 標注 在識別數(shù)據(jù)包之后，要對它進行標注，這樣其他網(wǎng)絡(luò)設(shè)備才能方便地識別這種數(shù)據(jù)。由于分類可能非常復(fù)雜，因 此最好只進行一次。識別應(yīng)用之后就必須對其數(shù)據(jù)包進行標記處理，以便確保網(wǎng)絡(luò)上的交換機或路由器可以對該應(yīng)用進行優(yōu)先級處理。通過采納標注數(shù)據(jù)的兩種行業(yè)標準，即 IEEE 或差異化服務(wù)編碼點 (DSCP)，就可以確保多廠商網(wǎng)絡(luò)設(shè)備能夠?qū)υ摌I(yè)務(wù)進行優(yōu)先級處理。 在選擇交換機或路由器等 產(chǎn)品時，一定要確保它可以識別兩種標記方案。雖然 DSCP 可以替換在局域網(wǎng)環(huán)境下主導(dǎo)的標注方案 IEEE ，但是與 IEEE 相比，實施 DSCP 有一定的局限性。在一定時期內(nèi)，與 IEEE 設(shè)備的兼容性將十分重要。作為一種過渡機制，應(yīng)選擇可以從一種方案向另一種方案轉(zhuǎn)換的交換機。 （三） 優(yōu)先級設(shè)置 一旦網(wǎng)絡(luò)可以區(qū)分電話通話和網(wǎng)上瀏覽，優(yōu)先級處理就可以確保進行Inter 上大型下載的同時不中斷電話通話。為了確保準確的優(yōu)先級處理，所有業(yè)務(wù)量都必須在網(wǎng)絡(luò)骨干內(nèi)進行識別。在工 作站終端進行的數(shù)據(jù)優(yōu)先級處理可能會因人為的差錯或惡意的破壞而出現(xiàn)問題。黑客可以有意地將普通數(shù)據(jù)標注為高優(yōu)先級，竊取重要商業(yè)應(yīng)用的帶寬，導(dǎo)致商業(yè)應(yīng)用的失效。這種情況稱為拒絕服務(wù)攻擊。通過分析進入網(wǎng)絡(luò)的所有業(yè)務(wù)量，可以檢查安全攻擊，并且在它們導(dǎo)致任何危害之前及時阻止。 在局域網(wǎng)交換機中，多種業(yè)務(wù)隊列允許數(shù)據(jù)包優(yōu)先級存在。較高優(yōu)先級的業(yè)務(wù)可以在不受較低優(yōu)先級業(yè)務(wù)的影響下通過交換機，減少對諸如話音或視頻等對時間敏感業(yè)務(wù)的延遲事故。 11 為了提供優(yōu)先級，交換機的每個端口必須有至少 2 個隊列。雖然每個端 口有更多隊列可以提供更為精細的優(yōu)先級選擇，但是在局域網(wǎng)環(huán)境中，每個端口需要4 個以上隊列的可能性不大。當每個數(shù)據(jù)包到達交換機時，都要根據(jù)其優(yōu)先級別 分配到適當?shù)年犃?，然后該交換機再從每個隊列轉(zhuǎn)發(fā)數(shù)據(jù)包。該交換機通過其排 隊機制確定下一步要服務(wù)的隊列。有以下 2 種排隊方式。 (1)嚴格優(yōu)先隊列 (SPQ) 這是一種最簡單的排隊方式，它首先為最高優(yōu)先級的隊列進行服務(wù)，直到該隊列為空，然后為下一個次高優(yōu)先級隊列服務(wù)，依此類推。這種方法的優(yōu)勢是高優(yōu)先級業(yè)務(wù)總是在低優(yōu)先級業(yè)務(wù)之前處理。但是，低優(yōu)先級業(yè)務(wù)有可能被高優(yōu)先級業(yè)務(wù) 完全阻塞。 (2)加權(quán)循環(huán) (WRR) 這種方法為所有業(yè)務(wù)隊列服務(wù)，并且將優(yōu)先權(quán)分配給較高優(yōu)先級隊列。在大多數(shù)情況下，相對低優(yōu)先級， WRR 將首先處理高優(yōu)先級，但是當高優(yōu)先級業(yè)務(wù)很多時，較低優(yōu)先級的業(yè)務(wù)并沒有被完全阻塞。 網(wǎng)間隔離 面對新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度對 網(wǎng)絡(luò) 的特殊需求，全新安全防護防范理念的網(wǎng)絡(luò)安全技術(shù) ――“ 網(wǎng)絡(luò)隔離技術(shù) ” 應(yīng)運而生。網(wǎng)絡(luò)隔離技術(shù)的目標是確保隔離有害的攻擊，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā) 展起來的，它彌補了原有安全技術(shù)的不足，突出了自己的優(yōu)勢。 網(wǎng)絡(luò)隔離，英文名為 Network Isolation,主要是指把兩個或兩個以上可路由的網(wǎng)絡(luò)（如： TCP/IP）通過不可路由的協(xié)議（如： IPX/SPX、 NetBEUI 等）進行數(shù)據(jù)交換而達到隔離目的。由于其原理主要是采用了不同的協(xié)議所以通常也叫協(xié)議隔離（ Protocol Isolation） 網(wǎng)絡(luò)隔離是指在一個網(wǎng)絡(luò)系統(tǒng)中劃分邊界，分割不同安全域的技術(shù)。網(wǎng)絡(luò)安全的重點在于邊界保護，采用隔離技術(shù)明確邊界后，我們就能根據(jù)應(yīng)用環(huán)境的具體需求實施相應(yīng)的邊界控 制策略。 具體而言，采用網(wǎng)絡(luò)隔離技術(shù)有以下優(yōu)點： 12 采用隔離技術(shù)劃分安全域后，一個區(qū)域內(nèi)的安全問題可以被控制在本區(qū)域以內(nèi)，不會對其它區(qū)域造成影響，從而提高了系統(tǒng)整體的可控性和穩(wěn)定性。 采用隔離技術(shù)劃分安全域后，可以根據(jù)需求靈活制定訪問控制策略，便于在不同粒度上隔離攻擊。 安全是要考慮成本的。對于重要的資源，我們可以采取隔離技術(shù)對其進行重點保護，使有限的投入獲得最佳的效果，這也符合國家分級保護的要求。 13 第 3 章 拓撲圖及方案整體描述 主干網(wǎng)傳輸方案設(shè)計 網(wǎng)絡(luò)中心設(shè)在實驗樓的一層，以實驗樓為中心，選擇 星形拓撲結(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實驗樓網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用 5 類雙絞線進行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用EIA/TIA568B 標準。設(shè)計時要依據(jù) EIA/TIA568 工業(yè)標準及國商務(wù)布線標準。 （ 1）主干網(wǎng)匯接各子網(wǎng)，形成中心交換。 （ 2）子網(wǎng)通過交換機連接到主干網(wǎng)。 （ 3）網(wǎng)絡(luò)中心的網(wǎng)絡(luò)構(gòu)成一個單獨的子網(wǎng)，匯接到主干網(wǎng)。 （ 4）在網(wǎng)絡(luò)中心進行集中控制和管理。 （