【文章內(nèi)容簡(jiǎn)介】 可以根據(jù)需要加入不同的虛擬局域網(wǎng)。當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí)，網(wǎng)上的廣播信息會(huì)很多，能解決了 網(wǎng)絡(luò)惡化 、 廣播 風(fēng)暴 、 網(wǎng)絡(luò)堵塞。 實(shí)現(xiàn)的信息服務(wù) 需 要的基本功能有： 電子郵件系統(tǒng)：主要進(jìn)行與同行交往、開(kāi)展技術(shù)合作、學(xué)術(shù)交流等活動(dòng)； 文件傳輸 FTP：主要利用 FTP 服務(wù)獲取重要的科技資 8 料和技術(shù)文擋； INTERNET 服務(wù)：學(xué)?？梢越⒆约旱闹黜?yè)，利用外部網(wǎng)頁(yè)進(jìn)行學(xué)校宣傳，提供各類咨詢信息等，利用內(nèi)部網(wǎng)頁(yè)進(jìn)行管理，例如發(fā)布通知、收集學(xué)生意見(jiàn)等。 計(jì)算機(jī)教學(xué)，包括多媒體教學(xué)和遠(yuǎn)程教學(xué)； 圖書(shū)館訪問(wèn)系統(tǒng)，用于計(jì)算機(jī)查詢、計(jì)算機(jī)檢索、計(jì)算機(jī)閱讀等； 其他應(yīng)用，如大型分布式數(shù)據(jù)庫(kù)系統(tǒng)、超性能計(jì)算資源共 享、管理系統(tǒng)、視頻會(huì)議等。 應(yīng)用程序 出于對(duì)校園網(wǎng)的功能分析，在校園網(wǎng)上運(yùn)行的應(yīng)用程序有如下幾種：文件傳輸系統(tǒng)、郵件系統(tǒng)、辦公自動(dòng)化系統(tǒng)、宿舍管理系統(tǒng)、學(xué)生檔案管理系統(tǒng)、教學(xué)系統(tǒng)等一系列網(wǎng)絡(luò)平臺(tái)。 存儲(chǔ)系統(tǒng)分析 根據(jù)我們選用的是開(kāi)放的 Windows、 UNIX、 Linux 等操作系統(tǒng)的服務(wù)器，開(kāi)放系統(tǒng)的網(wǎng)絡(luò)化存儲(chǔ)根據(jù)傳輸協(xié)議又分為 :網(wǎng)絡(luò)接入存儲(chǔ) (NetworkAttached Storage，簡(jiǎn)稱 NAS)和存儲(chǔ)區(qū)域網(wǎng)絡(luò) (Storage Area Network，簡(jiǎn)稱 SAN)。 系 統(tǒng)及數(shù)據(jù)安全分析 所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。目前恐怕沒(méi)有絕對(duì)安全的操作系統(tǒng)可以選擇，無(wú)論是 Microsfot 的 Windows NT 或者其它任何商用 UNIX 操作系統(tǒng)，其開(kāi)發(fā)廠商必然有其 BackDoor。因此，我們可以得出如下結(jié)論：沒(méi)有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過(guò)程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證）， 確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 應(yīng)用系統(tǒng)安全 與 具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動(dòng)態(tài)的、不斷變化的 。 應(yīng)用系統(tǒng)的安全性涉及到信息、數(shù)據(jù)的安全性。 信息的安全性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問(wèn)、 破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機(jī)密信息，如果一 9 些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)重的。因此，對(duì)用戶使用計(jì)算機(jī)必須進(jìn)行身份認(rèn)證，對(duì)于重要信息的通訊必須授權(quán)，傳輸必須加密。采用多層次的訪 問(wèn)控制與權(quán)限控制手段，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)；采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。 QoS QoS 的英文全稱為 Quality of Service，中文名為 服務(wù)質(zhì)量 。 QoS 是網(wǎng)絡(luò)的一種安全機(jī)制 , 是用來(lái)解決網(wǎng)絡(luò)延遲和阻塞等問(wèn)題的一種技術(shù)。 在正常情況下，如果網(wǎng)絡(luò)只用于特定的無(wú)時(shí)間限制的應(yīng)用系統(tǒng)，并不需要QoS，比如 Web 應(yīng)用，或 Email 設(shè)置等。但是對(duì)關(guān)鍵應(yīng)用和多媒體應(yīng)用就十分必要。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí)， QoS 能確保重要業(yè)務(wù)量不受 延遲或丟棄，同時(shí)保證網(wǎng)絡(luò)的高效運(yùn)行。 QoS 具有如下功能： （一） 分類 分類是指具有 QoS 的網(wǎng)絡(luò)能夠識(shí)別哪種應(yīng)用產(chǎn)生哪種數(shù)據(jù)包。沒(méi)有分類，網(wǎng)絡(luò)就不能確定對(duì)特殊數(shù)據(jù)包要進(jìn)行的處理。所有應(yīng)用都會(huì)在數(shù)據(jù)包上留下可以用來(lái)識(shí)別源應(yīng)用的標(biāo)識(shí)。分類就是檢查這些標(biāo)識(shí)，識(shí)別數(shù)據(jù)包是由哪個(gè)應(yīng)用產(chǎn)生的。 以下是 4 種常見(jiàn)的分類方法。 (1)協(xié)議 有些協(xié)議非常 “ 健談 ” ，只要它們存在就會(huì)導(dǎo)致業(yè)務(wù)延遲，因此根據(jù)協(xié)議對(duì)數(shù)據(jù)包進(jìn)行識(shí)別和優(yōu)先級(jí)處理可以降低延遲。應(yīng)用可以通過(guò)它們的EtherType 進(jìn)行識(shí)別。 譬如， AppleTalk 協(xié)議采用 0x809B， IPX 使用 0x8137。根據(jù)協(xié)議進(jìn)行優(yōu)先級(jí)處理是控制或阻止少數(shù)較老設(shè)備所使用的 “ 健談 ” 協(xié)議的一種強(qiáng)有力方法。 (2)TCP 和 UDP 端口號(hào)碼 許多應(yīng)用都采用一些 TCP或 UDP 端口進(jìn)行通信，如 HTTP采用 TCP 端口 80。通過(guò)檢查 IP 數(shù)據(jù)包的端口號(hào)碼，智能網(wǎng)絡(luò)可以確定數(shù)據(jù)包是由哪類應(yīng)用產(chǎn)生的，這種方法也稱為第四層交換，因?yàn)?TCP 和 UDP 都位于 OSI模型的第四層。 (3)源 IP 地址 許多應(yīng)用都是通過(guò)其源 IP 地址進(jìn)行識(shí)別的。由于服務(wù)器有時(shí)是專 10 門針對(duì)單一應(yīng)用而配置的 ，如電子郵件服務(wù)器，所以分析數(shù)據(jù)包的源 IP 地址可以識(shí)別該數(shù)據(jù)包是由什么應(yīng)用產(chǎn)生的。當(dāng)識(shí)別交換機(jī)與應(yīng)用服務(wù)器不直接相連，而且許多不同服務(wù)器的數(shù)據(jù)流都到達(dá)該交換機(jī)時(shí)，這種方法就非常有用。 (4)物理端口號(hào)碼 與源 IP 地址類似，物理端口號(hào)碼可以指示哪個(gè)服務(wù)器正在發(fā)送數(shù)據(jù)。這種方法取決于交換機(jī)物理端口和應(yīng)用服務(wù)器的映射關(guān)系。雖然這是最簡(jiǎn)單的分類形式，但是它依賴于直接與該交換機(jī)連接的服務(wù)器。 （二） 標(biāo)注 在識(shí)別數(shù)據(jù)包之后，要對(duì)它進(jìn)行標(biāo)注，這樣其他網(wǎng)絡(luò)設(shè)備才能方便地識(shí)別這種數(shù)據(jù)。由于分類可能非常復(fù)雜，因 此最好只進(jìn)行一次。識(shí)別應(yīng)用之后就必須對(duì)其數(shù)據(jù)包進(jìn)行標(biāo)記處理，以便確保網(wǎng)絡(luò)上的交換機(jī)或路由器可以對(duì)該應(yīng)用進(jìn)行優(yōu)先級(jí)處理。通過(guò)采納標(biāo)注數(shù)據(jù)的兩種行業(yè)標(biāo)準(zhǔn)，即 IEEE 或差異化服務(wù)編碼點(diǎn) (DSCP)，就可以確保多廠商網(wǎng)絡(luò)設(shè)備能夠?qū)υ摌I(yè)務(wù)進(jìn)行優(yōu)先級(jí)處理。 在選擇交換機(jī)或路由器等 產(chǎn)品時(shí)，一定要確保它可以識(shí)別兩種標(biāo)記方案。雖然 DSCP 可以替換在局域網(wǎng)環(huán)境下主導(dǎo)的標(biāo)注方案 IEEE ，但是與 IEEE 相比，實(shí)施 DSCP 有一定的局限性。在一定時(shí)期內(nèi)，與 IEEE 設(shè)備的兼容性將十分重要。作為一種過(guò)渡機(jī)制，應(yīng)選擇可以從一種方案向另一種方案轉(zhuǎn)換的交換機(jī)。 （三） 優(yōu)先級(jí)設(shè)置 一旦網(wǎng)絡(luò)可以區(qū)分電話通話和網(wǎng)上瀏覽，優(yōu)先級(jí)處理就可以確保進(jìn)行Inter 上大型下載的同時(shí)不中斷電話通話。為了確保準(zhǔn)確的優(yōu)先級(jí)處理，所有業(yè)務(wù)量都必須在網(wǎng)絡(luò)骨干內(nèi)進(jìn)行識(shí)別。在工 作站終端進(jìn)行的數(shù)據(jù)優(yōu)先級(jí)處理可能會(huì)因人為的差錯(cuò)或惡意的破壞而出現(xiàn)問(wèn)題。黑客可以有意地將普通數(shù)據(jù)標(biāo)注為高優(yōu)先級(jí)，竊取重要商業(yè)應(yīng)用的帶寬，導(dǎo)致商業(yè)應(yīng)用的失效。這種情況稱為拒絕服務(wù)攻擊。通過(guò)分析進(jìn)入網(wǎng)絡(luò)的所有業(yè)務(wù)量，可以檢查安全攻擊，并且在它們導(dǎo)致任何危害之前及時(shí)阻止。 在局域網(wǎng)交換機(jī)中，多種業(yè)務(wù)隊(duì)列允許數(shù)據(jù)包優(yōu)先級(jí)存在。較高優(yōu)先級(jí)的業(yè)務(wù)可以在不受較低優(yōu)先級(jí)業(yè)務(wù)的影響下通過(guò)交換機(jī)，減少對(duì)諸如話音或視頻等對(duì)時(shí)間敏感業(yè)務(wù)的延遲事故。 11 為了提供優(yōu)先級(jí)，交換機(jī)的每個(gè)端口必須有至少 2 個(gè)隊(duì)列。雖然每個(gè)端 口有更多隊(duì)列可以提供更為精細(xì)的優(yōu)先級(jí)選擇，但是在局域網(wǎng)環(huán)境中，每個(gè)端口需要4 個(gè)以上隊(duì)列的可能性不大。當(dāng)每個(gè)數(shù)據(jù)包到達(dá)交換機(jī)時(shí)，都要根據(jù)其優(yōu)先級(jí)別 分配到適當(dāng)?shù)年?duì)列，然后該交換機(jī)再?gòu)拿總€(gè)隊(duì)列轉(zhuǎn)發(fā)數(shù)據(jù)包。該交換機(jī)通過(guò)其排 隊(duì)機(jī)制確定下一步要服務(wù)的隊(duì)列。有以下 2 種排隊(duì)方式。 (1)嚴(yán)格優(yōu)先隊(duì)列 (SPQ) 這是一種最簡(jiǎn)單的排隊(duì)方式，它首先為最高優(yōu)先級(jí)的隊(duì)列進(jìn)行服務(wù)，直到該隊(duì)列為空，然后為下一個(gè)次高優(yōu)先級(jí)隊(duì)列服務(wù)，依此類推。這種方法的優(yōu)勢(shì)是高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前處理。但是，低優(yōu)先級(jí)業(yè)務(wù)有可能被高優(yōu)先級(jí)業(yè)務(wù) 完全阻塞。 (2)加權(quán)循環(huán) (WRR) 這種方法為所有業(yè)務(wù)隊(duì)列服務(wù)，并且將優(yōu)先權(quán)分配給較高優(yōu)先級(jí)隊(duì)列。在大多數(shù)情況下，相對(duì)低優(yōu)先級(jí)， WRR 將首先處理高優(yōu)先級(jí)，但是當(dāng)高優(yōu)先級(jí)業(yè)務(wù)很多時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒(méi)有被完全阻塞。 網(wǎng)間隔離 面對(duì)新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度對(duì) 網(wǎng)絡(luò) 的特殊需求，全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù) ――“ 網(wǎng)絡(luò)隔離技術(shù) ” 應(yīng)運(yùn)而生。網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保隔離有害的攻擊，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā) 展起來(lái)的，它彌補(bǔ)了原有安全技術(shù)的不足，突出了自己的優(yōu)勢(shì)。 網(wǎng)絡(luò)隔離，英文名為 Network Isolation,主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如： TCP/IP）通過(guò)不可路由的協(xié)議（如： IPX/SPX、 NetBEUI 等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議所以通常也叫協(xié)議隔離（ Protocol Isolation） 網(wǎng)絡(luò)隔離是指在一個(gè)網(wǎng)絡(luò)系統(tǒng)中劃分邊界，分割不同安全域的技術(shù)。網(wǎng)絡(luò)安全的重點(diǎn)在于邊界保護(hù)，采用隔離技術(shù)明確邊界后，我們就能根據(jù)應(yīng)用環(huán)境的具體需求實(shí)施相應(yīng)的邊界控 制策略。 具體而言，采用網(wǎng)絡(luò)隔離技術(shù)有以下優(yōu)點(diǎn)： 12 采用隔離技術(shù)劃分安全域后，一個(gè)區(qū)域內(nèi)的安全問(wèn)題可以被控制在本區(qū)域以內(nèi)，不會(huì)對(duì)其它區(qū)域造成影響，從而提高了系統(tǒng)整體的可控性和穩(wěn)定性。 采用隔離技術(shù)劃分安全域后，可以根據(jù)需求靈活制定訪問(wèn)控制策略，便于在不同粒度上隔離攻擊。 安全是要考慮成本的。對(duì)于重要的資源，我們可以采取隔離技術(shù)對(duì)其進(jìn)行重點(diǎn)保護(hù)，使有限的投入獲得最佳的效果，這也符合國(guó)家分級(jí)保護(hù)的要求。 13 第 3 章 拓?fù)鋱D及方案整體描述 主干網(wǎng)傳輸方案設(shè)計(jì) 網(wǎng)絡(luò)中心設(shè)在實(shí)驗(yàn)樓的一層，以實(shí)驗(yàn)樓為中心，選擇 星形拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)主干最好選用光纖，以便采用鏈路聚合技術(shù)及備份線路。光纖布線采用星型結(jié)構(gòu)，即由實(shí)驗(yàn)樓網(wǎng)絡(luò)中心向其它建筑輻射。建筑內(nèi)部布線采用 5 類雙絞線進(jìn)行垂直和水平布線，如建筑物規(guī)模較大，也可部分采用室內(nèi)多模光纖。雙絞線的接法采用EIA/TIA568B 標(biāo)準(zhǔn)。設(shè)計(jì)時(shí)要依據(jù) EIA/TIA568 工業(yè)標(biāo)準(zhǔn)及國(guó)商務(wù)布線標(biāo)準(zhǔn)。 （ 1）主干網(wǎng)匯接各子網(wǎng)，形成中心交換。 （ 2）子網(wǎng)通過(guò)交換機(jī)連接到主干網(wǎng)。 （ 3）網(wǎng)絡(luò)中心的網(wǎng)絡(luò)構(gòu)成一個(gè)單獨(dú)的子網(wǎng)，匯接到主干網(wǎng)。 （ 4）在網(wǎng)絡(luò)中心進(jìn)行集中控制和管理。 （