【正文】 。它主要包括三個方面：環(huán)境安全、設備安全、媒體安全。（二）網絡層安全主要包括：限制非法用戶通過網絡遠程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。1 合理劃分VLANVLAN（Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段而實現(xiàn)虛擬工作組的技術。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需要的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個VLAN內部的廣播和單薄流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。 VLAN在交換機上的實現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網絡層劃分VLAN；第四是基于IP組播劃分VLAN。以太網從本質上基于廣播機制，但應用了交換器和VLAN技術后，實際上轉變?yōu)辄c到點通訊，以上運行機制帶來的網絡安全是好處是顯而易見的：第一，信息只有到達應該到達的地點。因此，防止了大部分基于網絡監(jiān)聽的入侵手段。第二，通過虛擬網設置的訪問控制，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。2 防火墻與IDS安裝防火墻進行安全保護，它是一種在校園內部網和Internet之間實施的信息安全防范系統(tǒng)技術，通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對外屏蔽校園內部網絡的信息，從而對系統(tǒng)結構及其良性運行等實現(xiàn)安全防護。IDS所采用的不是被動防御的策略，而是主動監(jiān)視、檢測和識別在進行的或已經成功的入侵行為，并及時報告給網絡管理者。由于IDS系統(tǒng)除了報告外，本身不能對入侵采取任何的防御措施。3 路由器訪問控制列表路由器是內部網和Internet的連接，是信息出入的必經之路，對網絡的安全具有舉足輕重的作用，路由器本身就可以對數(shù)據(jù)包進行過濾和有效地防止外部用戶對校園網的安全訪問，可以限制網絡流量，也可以限制校園網內的某些用戶或設備使用網絡資源。不同VLAN之間的訪問只能通過路由器或路由模塊來完成，因此路由設備可以作為控制VLAN之間訪問的初級屏障，因此，我們可以利用路由器來提高網絡的安全性。（三）系統(tǒng)層安全操作系統(tǒng)是計算機系統(tǒng)的核心和基礎工具，因此操作系統(tǒng)的漏洞往往成為危害計算機和網絡安全的手段和環(huán)節(jié)。保護計算機操作系統(tǒng)的安全，對于網絡的安全尤為重要。（四）應用層安全1 網絡防病毒技術網絡病毒成為威脅網絡安全的重要因素，如何防護網絡病毒也就成為校園網安全必須考慮的重要問題。為保護服務器和網絡中的工作站免受計算機病毒的侵害，同時也是為了建立一個集中有效的防病毒控制機制，需要應用于網絡的防病毒技術?；诰W絡防病毒技術可以在網絡的各個環(huán)節(jié)上實現(xiàn)對計算機病毒的防范，其中包括基于網關的防病毒系統(tǒng)、基于服務器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。安裝了基于網絡的防病毒軟件后，不但可以做到主機可以防范病毒的感染，同時通過這些主機傳遞的文件也可以避免被病毒侵害，并且可以建立一個集中有效的防病毒控制機制，從而保護計算機信息網絡的安全。2應用系統(tǒng)防護策略對于應用系統(tǒng)，由于其數(shù)據(jù)包含用戶信息、各種應用數(shù)據(jù)，是非常關鍵和重要的，因此要應用系統(tǒng)具有很強大的安全防護能力就必須做到以下三點：一是建立統(tǒng)一的用戶和目錄管理機制；二是建立認證授權機制；三是建立備份和恢復機制。第二節(jié) 某校網絡安全設計方案一 網絡安全設計原則（一）可用性和可靠性保證匯聚以上的網絡中單點故障不會使局域網失去與整個網絡的連接，多點故障不會造成整個網絡被分成幾個互不相連的部分。（二）網絡安全性對用戶進行合理的區(qū)域劃分，實現(xiàn)對網絡用戶的訪問控制，能有效的抵御病毒的入侵和惡意攻擊，確保網絡的安全。（三） 可擴展性網絡系統(tǒng)在體系結構、容量、產品升級、處理能力等方面必須為今后的擴充留有足夠的余地，保證滿足今后的發(fā)展，以及其它的需求。二 網絡安全建設方案（一） 物理安全物理安全包括通信線路安全，物理設備的安全，機房環(huán)境的安全。1 通信線路的安全學校保衛(wèi)人員要負責對校園進行24小時不間斷的巡邏，防止通信線路被破壞。2 機房環(huán)境安全供配電系統(tǒng)安全設計：要求能保證對機房內的主機、服務器、網絡設備、通訊設備等的電源供應在任何情況下都不會間斷。防雷接地系統(tǒng)安全設計：保證機房的各種設備安全，要求機房設有至少四種接地的形式。消防報警和自動滅火系統(tǒng)安全設計。（二） 網絡安全VLAN的劃分是整個校園網的主體框架，此校園網主要是發(fā)揮三個方面的功能：教學功能、管理功能、信息功能。因此校園網采用三層網絡架構設計，分為核心層、匯聚層、接入層。核心層設計為2個節(jié)點，用2臺核心交換機實現(xiàn)雙機備份匯聚層設計為5個節(jié)點，用5臺交換機與核心層交換機冗余連接互為備份。其中后勤部另加一個網關。根據(jù)各部門對校園網的要求，采用基于端口的VLAN劃分方法，對網絡進行合理劃分，確保校園網絡的安全。（三）應用安全1病毒防范隨著計算機網絡應用的不斷發(fā)展，網絡已經逐步成為人類生活中不可缺少的一部分。但隨之而來的病毒也給我們帶來了不少的麻煩。因此必須采取措施，對防病毒軟件進行實時監(jiān)控，保證防病毒軟件的正常運行，在檢測到防病毒運行不正常時，通知用戶及時采取措施，避免遭受計算機病毒進一步的破壞。2數(shù)據(jù)備份網絡中心服務器應隨時為各數(shù)據(jù)庫服務器提供存儲空間，支持各數(shù)據(jù)庫的備份功能。 網絡拓撲圖結束語本文結合校園網的具體情況，分析現(xiàn)實網絡安全需求，確定校園網的安全策略，針對校園網的安全問題提出了一些解決方案，采用了先進的安全產品，建立了全面主動的網絡安全防御體系。運用了靜態(tài)式防范(如：防火墻)和主動式安全檢測（如：入侵檢測等）相結合的技術。隨著網絡技術的不斷發(fā)展，校園網也將會出現(xiàn)新的安全問題，校園網整體安全防范體系是一個動態(tài)的、不斷發(fā)展變化的綜合運行機制，這樣就對網絡管理者提出了更高的要求，其必須隨時掌握最新技術，不斷更新完善網絡安全體系，使校園網運行更加安全、可靠、穩(wěn)定。謝辭在整個畢業(yè)設計中，我得到了劉俊材指導老師的熱心指導和幫助，在此我忠心的感謝老師對我的指導和幫助。24參考文獻[1]袁津生，吳硯農，計算機網絡安全基礎[M]，北京：人民郵電出版社，2002：67110。[2]張成昆，網絡安全原理與技術，北京：人民郵電出版社，2003：105113[3]李晶名，網絡安全，北京：電子工業(yè)出版社，2005：92102[4]黃開枝，孫巖，網絡防御與安全對策[M]，北京：清華大學出版社，2004：5170[5]胡道元，網絡安全[M]，北京：清華大學出版社，2004：154170[6]祝海寧，網絡安全基礎，北京：機械工業(yè)出版社，2002：128153[7]張成現(xiàn)，論校園網安全管理問題[J]，西北紡織工業(yè)學院學報，2001(4)：889