【文章內(nèi)容簡(jiǎn)介】 太網(wǎng)端口,2個(gè)10/100/1000BaseT以太網(wǎng)端口,2個(gè)1000BaseX SFP千兆以太網(wǎng)端口)接口數(shù)目：24口傳輸速率：10M/100M/1000Mbps,1000Mbps,10M/100MbpsVLAN支持：支持VLAN功能,支持4K個(gè)符合IEEE ,支持基于端口的VLAN和基于協(xié)議的VLAN,支持GuestVlan,支持GVRP命令行接口(CLI)配置,支持Telnet遠(yuǎn)程配置,通過Console口配置,WEB網(wǎng)管,支持SNMPV1/V2/V3, 支持RMON 1,2,3,9組MIB, 支持QuidView網(wǎng)管系統(tǒng),支持HGMPv2集群管理,支持系統(tǒng)日志,支持分級(jí)告警思科WSC296024TCL4133（元）交換機(jī)類型：企業(yè)級(jí)交換機(jī) 應(yīng)用層級(jí)：二層 傳輸速率：10/100/1000Mbps 接口類型：10/100, 10/100/1000BaseT 背板帶寬：Web瀏覽器, SNMP, CLI 路由器選型路由器是一種多端口設(shè)備，它可以連接不同傳輸速率并運(yùn)行于各種環(huán)境的局域網(wǎng)和廣域網(wǎng)，也可以采用不同的協(xié)議。路由器屬于OSI模型的第三層—網(wǎng)絡(luò)層。指導(dǎo)從一個(gè)網(wǎng)段到另一個(gè)網(wǎng)段的數(shù)據(jù)傳輸，也能指導(dǎo)從一種網(wǎng)絡(luò)向另一種網(wǎng)絡(luò)的數(shù)據(jù)傳輸。本設(shè)計(jì)中路由器選擇H3C MSR 5060。表34 H3C MSR 5060與CISCO 3925/K9參數(shù)對(duì)比設(shè)備名稱價(jià)格主要參數(shù)H3C MSR 506022000（元）產(chǎn)品類型：模塊化,企業(yè)級(jí)處理器：RISC新一代處理器(833MHz)DRAM內(nèi)存：缺省/最大:(DDR)512M/1024MBFlash內(nèi)存：CF:256M/1024MB控制端口：,1個(gè)AUX,1個(gè)配置口擴(kuò)展插槽：有擴(kuò)展插槽,2個(gè)ESM插槽,4個(gè)VPM插槽,1個(gè)VCPM插槽接口模塊：4個(gè)SIC插槽,6個(gè)FIC插槽支持協(xié)議：IP服務(wù)/非IP服務(wù)/IP應(yīng)用/IP路由/MPLS/IPv其他性能：支持硬件加密CISCO 3925/K9（元）端口結(jié)構(gòu)： 模塊化路由器類型： 多業(yè)務(wù)路由器局域網(wǎng)接口： 3個(gè)傳輸速率： 10/100/1000Mbps防火墻： 內(nèi)置防火墻Qos支持： 支持VPN支持： 支持產(chǎn)品認(rèn)證： UL 609501，CAN/CSA 產(chǎn)品內(nèi)存： DRAM內(nèi)存：1GB，最大2GB 防火墻選型大學(xué)構(gòu)建該校園網(wǎng)絡(luò)選用的防火墻是華為賽門鐵克USG3030。表35 華為賽門鐵克USG3030華為賽門鐵克USG3030主要參數(shù)類型企業(yè)級(jí)防火墻品牌華為賽門鐵克并發(fā)連接1000000網(wǎng)絡(luò)端口3個(gè)GE光電互斥接口,1個(gè)Con網(wǎng)絡(luò)吞吐量1000安全過濾400Mbps用戶數(shù)限無用戶數(shù)限制入侵檢測(cè)Dos,DDoS適用環(huán)境工作溫度:0℃～40℃控制端口Console口其他性能高性能高可靠性,功能全面的VPN網(wǎng)關(guān),優(yōu)異的DoS/DDoS攻擊防范能力,對(duì)多種協(xié)議流量控制,豐富的NAT業(yè)務(wù)能力,靈活便捷安全的維護(hù)管理,高速日志收集功能防火墻尺寸420*436*電源AC:100～240V,DC:48V～6安全標(biāo)準(zhǔn)FCC,CE管理SNMPv1/v2/v3,SSH、RADIUS 重量(Kg)6參考價(jià)格/商家報(bào)價(jià)￥3萬 服務(wù)器選型根據(jù)學(xué)校的實(shí)際應(yīng)用，配服務(wù)器4臺(tái)，用途如下：主服務(wù)器2臺(tái)：裝有windows 2003操作系統(tǒng)，負(fù)責(zé)整個(gè)校園網(wǎng)的管理，教育資源管理等。其中一臺(tái)服務(wù)器裝有FTP服務(wù)，為整個(gè)校園網(wǎng)提供文件傳輸和共享服務(wù)。另一臺(tái)服務(wù)器裝有電子郵件系統(tǒng)，負(fù)責(zé)整個(gè)校園網(wǎng)中各個(gè)用戶的郵件管理。 WWW服務(wù)器1臺(tái)：裝有windows操作系統(tǒng)，負(fù)責(zé)遠(yuǎn)程服務(wù)管理及WEB站點(diǎn)的管理。WEB服務(wù)器采用現(xiàn)在比較流行的APACHE服務(wù)器，用PHP語言進(jìn)行開發(fā)，連接MYSQL數(shù)據(jù)庫，形成了完整的動(dòng)態(tài)網(wǎng)站。 DHCP服務(wù)器一臺(tái)，用于給用戶動(dòng)態(tài)分配IP地址以及減少IP地址的沖突和亂費(fèi)。DHCP服務(wù)器采用windows server 2003系統(tǒng)的計(jì)算機(jī)。大學(xué)構(gòu)建該校園網(wǎng)絡(luò)選用的服務(wù)器如下：Email服務(wù)器表36 eWorld 郵件服務(wù)器參數(shù)eWorld 郵件服務(wù)器參數(shù)設(shè)備類型 郵件服務(wù)器功能 新一代全程服務(wù)的高可用性硬件郵件服務(wù)器。國(guó)內(nèi)首創(chuàng)“郵件中繼”系統(tǒng)可保障郵件不丟失,國(guó)內(nèi)外收發(fā)郵件順暢。穩(wěn)定性極高。主要功能:郵件發(fā)送中繼、郵件接受中繼、垃圾郵件過濾、病毒過濾、郵件監(jiān)控、限制本地域、Webmail、網(wǎng)絡(luò)磁盤、防火墻等WAN連接 10/100/1000Mbps*1(可擴(kuò)展2個(gè)WAN)LAN連接 10/100/1000Mbps*1管理 web遠(yuǎn)程管理平臺(tái)Windows server 2003等操作系統(tǒng)接口 RJ45,RS232其他參數(shù)電源 220V外觀 半長(zhǎng) 2U 機(jī)架式認(rèn)證 CE,FCC價(jià)格￥FTP服務(wù)器表37 eWorld 寬帶主機(jī)S20參數(shù)eWorld 寬帶主機(jī)S20參數(shù)設(shè)備類型 功能服務(wù)器功能 寬帶主機(jī)是國(guó)際先進(jìn)、國(guó)內(nèi)首創(chuàng)的一體化信息化平臺(tái),抗病毒、抗攻擊。主要功能:防火墻、VPN、上網(wǎng)行為管理、網(wǎng)站、郵件、郵件監(jiān)控、病毒垃圾郵件過濾、FTP、文件服務(wù)器、帶寬管理、負(fù)載均衡等多種功能WAN連接 10/100/1000Mbps*1LAN連接 10/100/1000Mbps*1管理 web遠(yuǎn)程管理平臺(tái) Windows server 2003系統(tǒng)接口 10/100Mbps,RS232其他參數(shù)電源 220V外觀 半長(zhǎng) 2U 機(jī)架式認(rèn)證 CE,FCC價(jià)格￥Web服務(wù)器表38 Web服務(wù)器參數(shù)Web服務(wù)器參數(shù)產(chǎn)品類型WEB服務(wù)器功能提供網(wǎng)上信息瀏覽服務(wù)處理器Intel至強(qiáng) 雙核心 E3120光驅(qū)ComboLan管理PXE其他參數(shù)外觀1U 高機(jī)架式價(jià)格￥11800第四章 網(wǎng)絡(luò)安全規(guī)劃 威脅網(wǎng)絡(luò)安全因素分析影響一個(gè)校園網(wǎng)絡(luò)安全的因素是多方面的，這既包括網(wǎng)絡(luò)系統(tǒng)所存在的各種威脅，也包括網(wǎng)絡(luò)系統(tǒng)存在的安全弱點(diǎn)。一類是自然因素，比如說雷擊、電力中斷等。人為因素是校園網(wǎng)絡(luò)安全面臨的最大的威脅，這些因素既包括網(wǎng)絡(luò)系統(tǒng)用戶由于誤操作或者對(duì)于校園網(wǎng)絡(luò)的訪問控制策略的不了解、理解錯(cuò)誤而引起的各種問題，也包括內(nèi)部用戶或者校園網(wǎng)絡(luò)外部人員對(duì)網(wǎng)絡(luò)的有意破壞行為。還有就是系統(tǒng)所存在的安全因素，比如軟件的漏洞和“后門”，軟件中所存在的安全因素一般來源于以下兩個(gè)方面，一是軟件系統(tǒng)本身體系結(jié)構(gòu)的不安全，一是軟件系統(tǒng)在編程過程中由于疏忽或者其它原因造成的軟件臭蟲而引起的安全漏洞。當(dāng)然，計(jì)算機(jī)病毒和網(wǎng)絡(luò)蠕蟲也是操作系統(tǒng)中存在的常見的安全因素。 網(wǎng)絡(luò)安全防范措施學(xué)校校園網(wǎng)是為教學(xué)及學(xué)校管理而建立的計(jì)算機(jī)信息網(wǎng)絡(luò)，目的在于利用先進(jìn)實(shí)用的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，實(shí)現(xiàn)校園內(nèi)計(jì)算機(jī)互聯(lián)、資源共享，并為師生提供豐富的網(wǎng)上資源。為了保護(hù)校園網(wǎng)絡(luò)系統(tǒng)的安全、促進(jìn)學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用和發(fā)展，保證校園網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)用戶的使用權(quán)益，更好的為教育教學(xué)服務(wù)，必須全面對(duì)校園網(wǎng)絡(luò)的安全進(jìn)行規(guī)劃。 物理安全為保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)轉(zhuǎn)及電源發(fā)生故障時(shí)重要數(shù)據(jù)的儲(chǔ)存,須配置具有高可靠性的UPS電源。為此,在網(wǎng)絡(luò)中心配置了一套山特C3KVA/2100W的UPS電源。實(shí)施防雷工程主要就是要保證機(jī)房設(shè)備安全運(yùn)行，保證計(jì)算機(jī)網(wǎng)絡(luò)的傳輸質(zhì)量，在各點(diǎn)進(jìn)行不同等級(jí)的防雷保護(hù)，可以在建筑物頂部安裝避雷針。電源系統(tǒng)防雷設(shè)計(jì)第一級(jí)防護(hù)措施：在每棟大樓總配電柜處加裝電源防雷模塊做為大樓的第一級(jí)電源防雷。第二級(jí)防護(hù)措施：在網(wǎng)管中心機(jī)房配電箱的三項(xiàng)空開出線處加裝V25B/3+NPE電源防雷模塊做為第二級(jí)電源防雷。第三極防護(hù)措施：在網(wǎng)管中心機(jī)房配電箱的單相空開出線處加裝V20C/2電源防雷模塊做為第三級(jí)電源防雷。通訊線路雷電防護(hù)對(duì)于采用光纖通信的線路可以不另外加裝防雷器,只需在光纖入戶端將光纖內(nèi)的鋼筋做良好接地即可。但應(yīng)考慮到做為備份通信的其它線路,如DDN等,因此對(duì)非光纖的通訊線路做防雷保護(hù)是有必要而且是必需的?？稍趯＞€通訊線路入戶端加裝RJ45ISDN/4F通訊專線防雷器一套。機(jī)房?jī)?nèi)部防雷輔助措施為了保證在機(jī)房?jī)?nèi)的人員不受靜電及電磁脈沖的危害，需在靜電地板下做均壓網(wǎng)，且均壓網(wǎng)與接地做良好的連接。使整個(gè)機(jī)房?jī)?nèi)地板的電位一致。需將靜電地板下方的支撐鋼架與均壓網(wǎng)做良好的電氣連接，使靜電地板上積累的電荷有良好的瀉放通道。將機(jī)房?jī)?nèi)所有需要接地的設(shè)備的金屬表面與均壓網(wǎng)匯流排做良好的電氣連接。 設(shè)置防火墻 防火墻是控制兩個(gè)網(wǎng)絡(luò)間互相訪問的一個(gè)系統(tǒng)。它通過軟件和硬件相結(jié)合能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個(gè)“保護(hù)層”，網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過此保護(hù)層進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過保護(hù)層。防火墻可以阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問，也可以控制內(nèi)部對(duì)外部特殊站點(diǎn)的訪問，提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。當(dāng)然，防火墻并不是萬能的，即使是經(jīng)過精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻，盡量少開端口，采用過濾嚴(yán)格的WEB程序以及加密的HTTP協(xié)議，管理好內(nèi)部網(wǎng)絡(luò)用戶，經(jīng)常升級(jí)，這樣可以更好地利用防火墻保護(hù)網(wǎng)絡(luò)的安全。本設(shè)計(jì)選擇的防火墻是華為賽門鐵克USG3030，它的優(yōu)點(diǎn)是具有高性能高可靠性,功能全面的VPN網(wǎng)關(guān),優(yōu)異的DoS/DDoS攻擊防范能力,對(duì)多種協(xié)議流量控制,豐富的NAT業(yè)務(wù)能力,靈活便捷安全的維護(hù)管理,高速日志收集功能。 設(shè)置用戶權(quán)限 在一個(gè)校園網(wǎng)中，有許多的用戶和組，這些用戶都可以訪問校園網(wǎng)絡(luò)資源。為了防止受到內(nèi)部攻擊，保證網(wǎng)絡(luò)安全，應(yīng)給不同的用戶和組設(shè)置不同的權(quán)限。例如：對(duì)于Administrators,管理員組，默認(rèn)情況下，Administrators中的用戶對(duì)計(jì)算機(jī)/域有不受限制的完全訪問權(quán)。分配給該組的默認(rèn)權(quán)限允許對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制。所以，只有受信任的人員才可成為該組的成員。對(duì)于student用戶，應(yīng)只分配讀取訪問權(quán)限等。對(duì)于匿名用戶，則禁止訪問。 訪問控制從內(nèi)網(wǎng)訪問internet，端口全開放。從公網(wǎng)到DMZ（非軍事）區(qū)的訪問請(qǐng)求：WEB服務(wù)器只開放80端口，mail服務(wù)器只開放25和110端口。禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請(qǐng)求，端口全關(guān)閉。允許從內(nèi)網(wǎng)訪問DMZ（非軍事）區(qū)，端口全開放。允許從DMZ（非軍事）區(qū)訪問internet，端口全開放。禁止從DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。 安裝殺毒軟件殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識(shí)別、病毒掃描和清除和自動(dòng)升級(jí)等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查殺程序，入侵預(yù)防系統(tǒng)等）的重要組成部分。安裝殺毒軟件是保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)安全的一項(xiàng)有效措施，利用殺毒軟件定期進(jìn)行病毒、木馬查殺以及修復(fù)系統(tǒng)的安全漏洞等，并定期進(jìn)行補(bǔ)丁升級(jí)。目前主流的免費(fèi)殺毒軟件有360、瑞星、金山毒霸、卡巴斯基等。本設(shè)計(jì)推薦使用360殺毒軟件，它有四大優(yōu)點(diǎn)：方便、安全、永遠(yuǎn)免費(fèi)、功能齊全。第五章 服務(wù)器搭建DHCP服務(wù)器在TCP/IP網(wǎng)絡(luò)上，每臺(tái)工作站要能存取網(wǎng)絡(luò)上的資源之前，都必須進(jìn)行基本的網(wǎng)絡(luò)配置，一些主要參數(shù)諸如IP地址，子網(wǎng)掩碼，缺省網(wǎng)關(guān)，DNS等必不可少，還可能需要一些附加的信息如IP管理策略之類。對(duì)于一個(gè)稍微大點(diǎn)的網(wǎng)絡(luò)而言，網(wǎng)絡(luò)的管理和維護(hù)的任務(wù)是相當(dāng)繁重的。一臺(tái)計(jì)算機(jī)從一個(gè)子網(wǎng)轉(zhuǎn)移到另一個(gè)子網(wǎng)，就要重新對(duì)系統(tǒng)進(jìn)行配置。對(duì)于普通水平的工作站用戶是不能賦予他們配置自己的工作站網(wǎng)絡(luò)的權(quán)限，而且也沒有這個(gè)必要。如果一個(gè)沒有相應(yīng)技術(shù)水平的用戶出于好奇或想學(xué)習(xí)一下的目的錯(cuò)誤地更改了工作站的網(wǎng)絡(luò)配置，造成網(wǎng)絡(luò)故障，后果不言而喻。因此，需要有一種機(jī)制來讓TCP/IP的配置和管理從用戶端轉(zhuǎn)移到網(wǎng)絡(luò)管理端，實(shí)現(xiàn)IP的集中式管理。解決方案就是用DHCP。 DHCP的主要功能DHCP的全稱是動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol），目的就是為了減輕TCP/IP網(wǎng)絡(luò)的規(guī)劃、管理和維護(hù)的負(fù)擔(dān)，解決IP地址空間缺乏問題。運(yùn)行DHCP的服務(wù)器把TCP/IP網(wǎng)絡(luò)設(shè)置集中起來，動(dòng)態(tài)處理工作站IP地址的配置，用DHCP租約和預(yù)置的IP地址相聯(lián)系，DHCP租約提供了自動(dòng)在TCP/IP網(wǎng)絡(luò)上安全地分配和租用IP地址的機(jī)制，實(shí)現(xiàn)IP地址的集中式管理，基本上不需要網(wǎng)絡(luò)管理人員的人為干預(yù)。而且，DHCP本身被設(shè)計(jì)成BOOTP（自舉協(xié)議）的擴(kuò)展，支持需要網(wǎng)絡(luò)配置信息的無盤工作站，對(duì)需要固定IP的