【正文】 。它主要包括三個(gè)方面：環(huán)境安全、設(shè)備安全、媒體安全。（二）網(wǎng)絡(luò)層安全主要包括：限制非法用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)；確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。對(duì)網(wǎng)絡(luò)來(lái)說(shuō)，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問(wèn)任意一臺(tái)計(jì)算機(jī)、路由器和防火墻。1 合理劃分VLANVLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需要的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，一個(gè)VLAN內(nèi)部的廣播和單薄流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 VLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為4類：第一是基于端口劃分的VLAN；第二是基于MAC地址劃分VLAN；第三是基于網(wǎng)絡(luò)層劃分VLAN；第四是基于IP組播劃分VLAN。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換器和VLAN技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全是好處是顯而易見的：第一，信息只有到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。第二，通過(guò)虛擬網(wǎng)設(shè)置的訪問(wèn)控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問(wèn)虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。2 防火墻與IDS安裝防火墻進(jìn)行安全保護(hù)，它是一種在校園內(nèi)部網(wǎng)和Internet之間實(shí)施的信息安全防范系統(tǒng)技術(shù)，通過(guò)檢測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，可以有效地對(duì)外屏蔽校園內(nèi)部網(wǎng)絡(luò)的信息，從而對(duì)系統(tǒng)結(jié)構(gòu)及其良性運(yùn)行等實(shí)現(xiàn)安全防護(hù)。IDS所采用的不是被動(dòng)防御的策略，而是主動(dòng)監(jiān)視、檢測(cè)和識(shí)別在進(jìn)行的或已經(jīng)成功的入侵行為，并及時(shí)報(bào)告給網(wǎng)絡(luò)管理者。由于IDS系統(tǒng)除了報(bào)告外，本身不能對(duì)入侵采取任何的防御措施。3 路由器訪問(wèn)控制列表路由器是內(nèi)部網(wǎng)和Internet的連接，是信息出入的必經(jīng)之路，對(duì)網(wǎng)絡(luò)的安全具有舉足輕重的作用，路由器本身就可以對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾和有效地防止外部用戶對(duì)校園網(wǎng)的安全訪問(wèn)，可以限制網(wǎng)絡(luò)流量，也可以限制校園網(wǎng)內(nèi)的某些用戶或設(shè)備使用網(wǎng)絡(luò)資源。不同VLAN之間的訪問(wèn)只能通過(guò)路由器或路由模塊來(lái)完成，因此路由設(shè)備可以作為控制VLAN之間訪問(wèn)的初級(jí)屏障，因此，我們可以利用路由器來(lái)提高網(wǎng)絡(luò)的安全性。（三）系統(tǒng)層安全操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)的核心和基礎(chǔ)工具，因此操作系統(tǒng)的漏洞往往成為危害計(jì)算機(jī)和網(wǎng)絡(luò)安全的手段和環(huán)節(jié)。保護(hù)計(jì)算機(jī)操作系統(tǒng)的安全，對(duì)于網(wǎng)絡(luò)的安全尤為重要。（四）應(yīng)用層安全1 網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)病毒成為威脅網(wǎng)絡(luò)安全的重要因素，如何防護(hù)網(wǎng)絡(luò)病毒也就成為校園網(wǎng)安全必須考慮的重要問(wèn)題。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計(jì)算機(jī)病毒的侵害，同時(shí)也是為了建立一個(gè)集中有效的防病毒控制機(jī)制，需要應(yīng)用于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對(duì)計(jì)算機(jī)病毒的防范，其中包括基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)可以防范病毒的感染，同時(shí)通過(guò)這些主機(jī)傳遞的文件也可以避免被病毒侵害，并且可以建立一個(gè)集中有效的防病毒控制機(jī)制，從而保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。2應(yīng)用系統(tǒng)防護(hù)策略對(duì)于應(yīng)用系統(tǒng)，由于其數(shù)據(jù)包含用戶信息、各種應(yīng)用數(shù)據(jù)，是非常關(guān)鍵和重要的，因此要應(yīng)用系統(tǒng)具有很強(qiáng)大的安全防護(hù)能力就必須做到以下三點(diǎn)：一是建立統(tǒng)一的用戶和目錄管理機(jī)制；二是建立認(rèn)證授權(quán)機(jī)制；三是建立備份和恢復(fù)機(jī)制。第二節(jié) 某校網(wǎng)絡(luò)安全設(shè)計(jì)方案一 網(wǎng)絡(luò)安全設(shè)計(jì)原則（一）可用性和可靠性保證匯聚以上的網(wǎng)絡(luò)中單點(diǎn)故障不會(huì)使局域網(wǎng)失去與整個(gè)網(wǎng)絡(luò)的連接，多點(diǎn)故障不會(huì)造成整個(gè)網(wǎng)絡(luò)被分成幾個(gè)互不相連的部分。（二）網(wǎng)絡(luò)安全性對(duì)用戶進(jìn)行合理的區(qū)域劃分，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的訪問(wèn)控制，能有效的抵御病毒的入侵和惡意攻擊，確保網(wǎng)絡(luò)的安全。（三） 可擴(kuò)展性網(wǎng)絡(luò)系統(tǒng)在體系結(jié)構(gòu)、容量、產(chǎn)品升級(jí)、處理能力等方面必須為今后的擴(kuò)充留有足夠的余地，保證滿足今后的發(fā)展，以及其它的需求。二 網(wǎng)絡(luò)安全建設(shè)方案（一） 物理安全物理安全包括通信線路安全，物理設(shè)備的安全，機(jī)房環(huán)境的安全。1 通信線路的安全學(xué)校保衛(wèi)人員要負(fù)責(zé)對(duì)校園進(jìn)行24小時(shí)不間斷的巡邏，防止通信線路被破壞。2 機(jī)房環(huán)境安全供配電系統(tǒng)安全設(shè)計(jì)：要求能保證對(duì)機(jī)房?jī)?nèi)的主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會(huì)間斷。防雷接地系統(tǒng)安全設(shè)計(jì)：保證機(jī)房的各種設(shè)備安全，要求機(jī)房設(shè)有至少四種接地的形式。消防報(bào)警和自動(dòng)滅火系統(tǒng)安全設(shè)計(jì)。（二） 網(wǎng)絡(luò)安全VLAN的劃分是整個(gè)校園網(wǎng)的主體框架，此校園網(wǎng)主要是發(fā)揮三個(gè)方面的功能：教學(xué)功能、管理功能、信息功能。因此校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，分為核心層、匯聚層、接入層。核心層設(shè)計(jì)為2個(gè)節(jié)點(diǎn)，用2臺(tái)核心交換機(jī)實(shí)現(xiàn)雙機(jī)備份匯聚層設(shè)計(jì)為5個(gè)節(jié)點(diǎn)，用5臺(tái)交換機(jī)與核心層交換機(jī)冗余連接互為備份。其中后勤部另加一個(gè)網(wǎng)關(guān)。根據(jù)各部門對(duì)校園網(wǎng)的要求，采用基于端口的VLAN劃分方法，對(duì)網(wǎng)絡(luò)進(jìn)行合理劃分，確保校園網(wǎng)絡(luò)的安全。（三）應(yīng)用安全1病毒防范隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)逐步成為人類生活中不可缺少的一部分。但隨之而來(lái)的病毒也給我們帶來(lái)了不少的麻煩。因此必須采取措施，對(duì)防病毒軟件進(jìn)行實(shí)時(shí)監(jiān)控，保證防病毒軟件的正常運(yùn)行，在檢測(cè)到防病毒運(yùn)行不正常時(shí)，通知用戶及時(shí)采取措施，避免遭受計(jì)算機(jī)病毒進(jìn)一步的破壞。2數(shù)據(jù)備份網(wǎng)絡(luò)中心服務(wù)器應(yīng)隨時(shí)為各數(shù)據(jù)庫(kù)服務(wù)器提供存儲(chǔ)空間，支持各數(shù)據(jù)庫(kù)的備份功能。 網(wǎng)絡(luò)拓?fù)鋱D結(jié)束語(yǔ)本文結(jié)合校園網(wǎng)的具體情況，分析現(xiàn)實(shí)網(wǎng)絡(luò)安全需求，確定校園網(wǎng)的安全策略，針對(duì)校園網(wǎng)的安全問(wèn)題提出了一些解決方案，采用了先進(jìn)的安全產(chǎn)品，建立了全面主動(dòng)的網(wǎng)絡(luò)安全防御體系。運(yùn)用了靜態(tài)式防范(如：防火墻)和主動(dòng)式安全檢測(cè)（如：入侵檢測(cè)等）相結(jié)合的技術(shù)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，校園網(wǎng)也將會(huì)出現(xiàn)新的安全問(wèn)題，校園網(wǎng)整體安全防范體系是一個(gè)動(dòng)態(tài)的、不斷發(fā)展變化的綜合運(yùn)行機(jī)制，這樣就對(duì)網(wǎng)絡(luò)管理者提出了更高的要求，其必須隨時(shí)掌握最新技術(shù)，不斷更新完善網(wǎng)絡(luò)安全體系，使校園網(wǎng)運(yùn)行更加安全、可靠、穩(wěn)定。謝辭在整個(gè)畢業(yè)設(shè)計(jì)中，我得到了劉俊材指導(dǎo)老師的熱心指導(dǎo)和幫助，在此我忠心的感謝老師對(duì)我的指導(dǎo)和幫助。24參考文獻(xiàn)[1]袁津生，吳硯農(nóng)，計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M]，北京：人民郵電出版社，2002：67110。[2]張成昆，網(wǎng)絡(luò)安全原理與技術(shù)，北京：人民郵電出版社，2003：105113[3]李晶名，網(wǎng)絡(luò)安全，北京：電子工業(yè)出版社，2005：92102[4]黃開枝，孫巖，網(wǎng)絡(luò)防御與安全對(duì)策[M]，北京：清華大學(xué)出版社，2004：5170[5]胡道元，網(wǎng)絡(luò)安全[M]，北京：清華大學(xué)出版社，2004：154170[6]祝海寧，網(wǎng)絡(luò)安全基礎(chǔ)，北京：機(jī)械工業(yè)出版社，2002：128153[7]張成現(xiàn)，論校園網(wǎng)安全管理問(wèn)題[J]，西北紡織工業(yè)學(xué)院學(xué)報(bào)，2001(4)：889