【導(dǎo)讀】校園網(wǎng)的建成和使用，對于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條。出成果有著十分重要而深遠(yuǎn)的意義。其主要包括各種局域網(wǎng)的技術(shù)思想、網(wǎng)絡(luò)設(shè)計。統(tǒng)的維護等內(nèi)容。各高校及其中小學(xué)都在籌備建設(shè)校園網(wǎng)，希望通過校園網(wǎng)的建設(shè)，資強度合理、與國內(nèi)外網(wǎng)絡(luò)互聯(lián)、能長期、穩(wěn)定運行的高性能的校園網(wǎng)絡(luò)。

　　

【正文】 23 電磁輻射。電磁輻射對網(wǎng)絡(luò)信息安全有兩方面影響。一方面，電磁輻射能夠破壞網(wǎng)絡(luò)中的數(shù)據(jù)和軟件，這種輻射的來源主要是網(wǎng)絡(luò)周圍電子電氣設(shè)備產(chǎn)生的電磁輻射和試圖破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源。另一方面，電磁泄漏可以導(dǎo)致信息泄露。 網(wǎng)絡(luò)安全防范措施 在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)多種信息安全，保障 校園 內(nèi)部網(wǎng)絡(luò)安全 ，我們選購了一套網(wǎng)絡(luò)安全防范設(shè)備。 1 瑞星殺毒軟件網(wǎng)絡(luò)版 1. 超強病毒查殺 2. 智能主動 防御 3. 增強型全網(wǎng)漏洞管理 4. 強大的網(wǎng)絡(luò)管理能力是網(wǎng)絡(luò)安全的基礎(chǔ)部署 、 控制 、 執(zhí)行 、 升級 、 報告和日志 、二次開發(fā) 。 5. 兼容多種平臺 6. 一體化智能服務(wù)體系 2 瑞星企業(yè)級防火墻 瑞星全功能 NP 防火墻是一款整合多種安全防護功能的智能網(wǎng)絡(luò)安全防火墻，它是瑞星公司針對中小企業(yè)級用戶定制的一款高端防火墻，型號為：RFWSME。 瑞星全功能 NP 防火墻整合了多種安全防護功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最佳選擇。 RFWSME擁有通用防火墻功能、網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）、主動式入侵檢測（ IDS）、虛擬專網(wǎng)（ VPN）、帶寬管理、內(nèi)容過濾、以及策略管理等功能。通過架設(shè)瑞星全功能 NP防火墻，可以保護用戶的網(wǎng)絡(luò)免于黑客的攻擊，同時也幫助用戶利用因特網(wǎng)的資源建構(gòu)網(wǎng)絡(luò)安全機制及虛擬專網(wǎng)服務(wù)，還提供了不同等級的網(wǎng)絡(luò)帶寬管理，讓一些特殊的應(yīng)用服務(wù)可以確保使用帶寬。 3 瑞星入侵檢測系統(tǒng) 作為一種防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。瑞星 RIDS100 入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)哪喜殬I(yè)學(xué)院畢業(yè)論文設(shè)計 24 所有數(shù)據(jù)，利用 內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，另外 RIDS100 入侵檢測系統(tǒng)可以與防火墻聯(lián)動，自動配置防火墻策略，配合防火墻系統(tǒng)使用，可以全面保障網(wǎng)絡(luò)的安全，組成完整的網(wǎng)絡(luò)安全解決方案。 為了加強對引擎進行訪問的用戶的管理， RIDS100 系統(tǒng)設(shè)計了一套完善的用戶 管理機制，每個管理用戶配有一把電子鑰匙（串口或 USB 接口），內(nèi)裝有該用戶的密鑰和加密算法。用戶在對系統(tǒng)進行管理時必須插入自己的鑰匙并輸入正確的口令 。 檢測引擎的接入對被保護網(wǎng)絡(luò)是 透明的，它對被保護網(wǎng)絡(luò)的任何流量和請求均不做反應(yīng)，不影響被保護網(wǎng)絡(luò)的性能。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱。 網(wǎng)絡(luò)管理的內(nèi)容 (1） 網(wǎng)絡(luò)故障管理 ； (2) 網(wǎng)絡(luò)配置管理 ； (3) 網(wǎng)絡(luò)性能管理 ； (4) 網(wǎng)絡(luò)計費管理 ； (5) 網(wǎng)絡(luò)安全管理 。 網(wǎng)絡(luò)管理的手段 在校園網(wǎng)絡(luò)管理方面，為了便于校園網(wǎng)絡(luò)管理人員的管理及維護，我們選購Quidview 網(wǎng)絡(luò)管理軟件 。 Quidview 網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，用戶可以根據(jù)自己 的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實現(xiàn) “ 按需建構(gòu) ” 。 Quidview 網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計，通過安裝不同的業(yè)務(wù)組件實現(xiàn)了設(shè)備管理、 VPN 監(jiān)視與部署、軟件升級管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺，并能夠與多種通用網(wǎng)管平臺集成，實現(xiàn)從設(shè)備級到網(wǎng)絡(luò)級全方位的網(wǎng)絡(luò)管理。 1． 網(wǎng)絡(luò)集中監(jiān)視 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計 25 Quidview 網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實現(xiàn)全網(wǎng)監(jiān)控，可以實時監(jiān)控所有設(shè)備的運行狀況，并根據(jù)網(wǎng)絡(luò)運行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運 行。 2． 故障管理 故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運行信息進行實時監(jiān)控，查詢和統(tǒng)計設(shè)備的告警信息。 3. 性能監(jiān)控 Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超過門限時，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)計不同線路、不同資源的利用情況，為優(yōu)化或擴充網(wǎng)絡(luò)提供依據(jù)。 4． 服務(wù)器監(jiān)視管理 服務(wù)器是企業(yè) IP 架構(gòu)中的重要組成部分，通過 Quidview，可實現(xiàn)服務(wù)器與設(shè)備的統(tǒng)一管理。 5． 設(shè) 備配置文件管理 當(dāng)網(wǎng)絡(luò)規(guī)模較大時，網(wǎng)絡(luò)管理員的配置文件管理工作將十分繁重，如果沒有好的配置文件維護工具，網(wǎng)絡(luò)管理員就只能手動備份配置文件。這樣就給網(wǎng)絡(luò)管理員管理、維護網(wǎng)絡(luò)帶來一定的困難。 Quidview 網(wǎng)絡(luò)配置中心支持對設(shè)備配置文件的集中管理，包括配置文件的備份、恢復(fù)以及批量更新等操作，同時還實現(xiàn)了配置文件的基線化管理，可以對配置文件的變化進行比較跟蹤。 6. 設(shè)備軟件升級管理 Quidview 提供完善的設(shè)備軟件備份升級控制機制。使用 Quidview，管理員可以方便地查詢設(shè)備上運行的軟件版本，并利用升級分 析功能來確定設(shè)備運行軟件是否需要升級。當(dāng)升級軟件版本時，可以利用 Quidview 集中備份設(shè)備運行軟件，然后進行批量升級。升級之后，可以使用 Quidview 進行升級結(jié)果驗證，確保升級操作萬無一失。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計 26 針對大量二層交換機設(shè)備的應(yīng)用環(huán)境， Quidview 網(wǎng)絡(luò)管理軟件提供集群管理功能，通過一個指定公網(wǎng) IP 的設(shè)備（稱作命令交換機）對網(wǎng)絡(luò)進行管理。 8. 堆疊管理 Quidview 網(wǎng)絡(luò)管理軟件通過堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對大量設(shè)備的統(tǒng)一管理維護。 9. 故障定位與地址反查 針對最為常見的端口故障， Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測工具—— 路徑跟蹤和端口環(huán)回測試；當(dāng)用戶報告網(wǎng)絡(luò)端口使用異常時，網(wǎng)絡(luò)管理員可以通過網(wǎng)管對指定用戶端口做環(huán)回測試，直接定位端口故障。 10. RMON 管理 RMON 管理根據(jù) RFC1757 定義的標(biāo)準(zhǔn) RMONMIB 及華為 3Com 自定義告警擴展 MIB對主機設(shè)備進行遠(yuǎn)程監(jiān)視管理。 網(wǎng)絡(luò)安全策略配置 安全接入和配置是指在物理 (控制臺 )或邏輯 (tel)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過認(rèn)證和授 權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。限制遠(yuǎn)程訪問的安全設(shè)置方法如下表 19 安全接入和配置方法 訪問方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注 Console 控制接口的訪問 設(shè)置密碼和超時限制 建議超時限制設(shè)成 5 分鐘 進入特權(quán) exec 和設(shè)備配置級別的命令行 配置 Radius 來記錄 logon/logout 時間和操作活動；配置至少一個本地賬戶作應(yīng)急之用 tel 訪問 采用 ACL 限制，指定從特定的 IP 地址來進行tel 訪問；配置 Radius 安全紀(jì)錄方案；設(shè)置超時限制 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計 27 SSH 訪問 激活 SSH 訪問，從而允 許操作員從網(wǎng)絡(luò)的外部環(huán)境進行設(shè)備安全登陸 WEB 管理訪問 取消 Web 管理功能 SNMP 訪問 常規(guī)的 SNMP 訪問是用 ACL 限制從特定 IP 地址來進行 SNMP 訪問；記錄非授權(quán)的 SNMP 訪問并禁止非授權(quán)的 SNMP 企圖和攻擊 為增加安全 ,建議更改缺省的SNMP Commutiy子串 設(shè)置不同賬號 通過設(shè)置不同的賬號的訪問權(quán)限，提高安全性 拒絕服務(wù)的防止 網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、 Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo請求 (directed broadcast)和設(shè)置 ICMP包臨界值，避免成為一個 Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。 訪問控制 1 允許從內(nèi)網(wǎng)訪問 inter，端口全開放。 2 允許從公網(wǎng)到 DMZ（非軍事）區(qū)的訪問請求： WEB 服務(wù)器只開放 80 端口， mail服務(wù)器只開放 25 和 110 端口。 禁止從公網(wǎng)到內(nèi)部區(qū)的訪問請求，端口全關(guān)閉。 4 允許從內(nèi)網(wǎng)訪問 DMZ（非軍事）區(qū)，端口全 開放 5 允許從 DMZ（非軍事）區(qū)訪問 inter，端口全開放 6 禁止從 DMZ（非軍事）區(qū)訪問內(nèi)網(wǎng)，端口全關(guān)閉。 電源系統(tǒng) 為保證網(wǎng)絡(luò)系統(tǒng)的安全運轉(zhuǎn)及電源發(fā)生故障時重要數(shù)據(jù)的儲存 ,須配置具有高可靠性的 UPS 電源 。 為此 ,在網(wǎng)絡(luò)中心配置了一套 山特 C3KVA/2100W 的 UPS 電源。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計 28 其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)： 設(shè)備配置方案 (1)路由器 f1 端口接外網(wǎng)端口 （ ）， f 0 端口接 內(nèi) 網(wǎng)端口 （ ）。 Config t Hostname 2624 Enable secret level 15 0 star Line vty 0 4 !設(shè)置 Tel 密碼 Login Pass star Exit Interface f 1 Ip address No shut Ip nat outside !定義外部接口 Exit Intface f 0 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計 29 Ip address No shut Ip nat inside !定義內(nèi)部接口 Exit Accesslist1 permitted Ip nat inside source list 1 int f1 over !應(yīng)用 nat 協(xié)議 Ip routing Ip route Ip route Ip route Ip route Ip route Ip route End Write （ 2）核心交換機 F1/1～ 4 分別與匯聚層交換機相連， f1/8 與路由器相連。 Config t Enable secret level 15 0 star !設(shè)置特權(quán)密碼 Enable secret level 1 0 star !設(shè)置 Tel 密碼 Hostname 4909 Interface vlan 1 Ip address No shut Exit Intface f1/8 No switch !啟用 3 層端口 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計 30 Ip address No shut Interface range f1/14 Switch mode trunk No shut Exit Ip routing Ip route Ip route Ip route Ip route Ip route End Write （ 3）匯聚層交換機 ① 35502 交換機配置 F0/24 與核心交換機相連， F0/15 與接入層交換機相連。 Config t Hostname 35502 Enable secret level 15 0 star !設(shè)置特權(quán)密碼 Enable secret level 1 0 star !設(shè)置 Tel 密碼 Interface vlan 1 Ip address No shut Exit Vlan 20 I