【正文】 PC 機(jī)（1 臺(tái)，用于運(yùn)行監(jiān)控系統(tǒng)軟件）2 主要功能? 實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流跟蹤、采集與還原鄭州信息科技職業(yè)學(xué)院校園網(wǎng)建設(shè)方案19網(wǎng)絡(luò)監(jiān)控系統(tǒng)運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)之上，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會(huì)話軌跡。如：? E－MAIL：監(jiān)視特定用戶或特定地址發(fā)出、收到的郵件；記錄郵件的源及目的 IP 地址、郵件的發(fā)信人與收信人、郵件的收發(fā)時(shí)間等。? HTTP：監(jiān)視和記錄用戶對(duì)基于 Web 方式提供的網(wǎng)絡(luò)服務(wù)的訪問(wèn)操作過(guò)程（如用戶名、口令等） 。? FTP：監(jiān)視和記錄訪問(wèn) FTP 服務(wù)器的過(guò)程（IP 地址、文件名、口令等） 。? TELNET：監(jiān)視和記錄對(duì)某特定地址主機(jī)進(jìn)行遠(yuǎn)程登錄操作的過(guò)程。? Rsh? Rlogin? 實(shí)時(shí)記錄并回放進(jìn)出網(wǎng)絡(luò)各種操作的全過(guò)程? 網(wǎng)絡(luò)安全違規(guī)活動(dòng)捕獲網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)用戶自定義的網(wǎng)絡(luò)安全策略對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行檢查，捕獲網(wǎng)絡(luò)安全違規(guī)活動(dòng)。? 網(wǎng)絡(luò)安全事件的響應(yīng)網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠記錄網(wǎng)絡(luò)安全事件的詳細(xì)信息，并提示系統(tǒng)安全管理員采取相應(yīng)的安全措施，如阻斷連接等等。? 提供智能化網(wǎng)絡(luò)安全審計(jì)方案網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠?qū)Υ罅康木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析處理和過(guò)濾，生成按用戶策略篩選的網(wǎng)絡(luò)日志，大大減少了需要人工處理的日志數(shù)據(jù)，使系統(tǒng)更有效。? 支持用戶自定義網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全事件3 主要技術(shù)特點(diǎn)? 采用透明工作方式，它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流，對(duì)網(wǎng)絡(luò)通訊不附加任何延時(shí)，不影響網(wǎng)絡(luò)傳輸?shù)男省? 可采用集中管理的分布式工作方式，能夠遠(yuǎn)程監(jiān)控?？梢詫?duì)每個(gè)監(jiān)控器進(jìn)行遠(yuǎn)程配置，可以監(jiān)測(cè)多個(gè)網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測(cè)。? 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能進(jìn)行運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測(cè)，遠(yuǎn)程啟停管理。 防病毒為了有效的防止病毒對(duì)系統(tǒng)的侵入，必須在系統(tǒng)中安裝防病毒軟件，并指定嚴(yán)格的管理制度，保護(hù)系統(tǒng)的安全性。1 應(yīng)用狀況一臺(tái)專用服務(wù)器（NTSERVER） 、一臺(tái)代理郵件服務(wù)器（NT SERVERamp。PROXY SERVER,Exchange Server） ，一臺(tái) WWW SERVER，一臺(tái)數(shù)據(jù)庫(kù) SERVER，100200 臺(tái)客戶機(jī)。2 系統(tǒng)要求能防止通過(guò) PROXYSERVER 從 Inter 下載文件或收發(fā)的 Email 內(nèi)隱藏的病毒，并對(duì)本地的局域網(wǎng)防護(hù)的作用。鄭州信息科技職業(yè)學(xué)院校園網(wǎng)建設(shè)方案203 解決方案采用以下的防病毒產(chǎn)品所需軟件的名稱 安裝場(chǎng)所 數(shù)量 保護(hù)對(duì)象ServerProtectforNTServerNTServer 每臺(tái) NTServer 一套NT SERVER 本身InterScanWebProtectProxyServer 按客戶機(jī)數(shù)量 HTTPFTP、用瀏覽器下開載的程序ScanMailforExchangeServerExchangeServer按客戶機(jī)數(shù)量 有 EMail 的用戶OfficeScancorp 各部門的 NT域服務(wù)器按客戶機(jī)數(shù)量 自動(dòng)分發(fā)、更新、實(shí)時(shí)監(jiān)察客戶機(jī)以下是選用以上 Trend 公司產(chǎn)品的說(shuō)明：在 NT 主域控制器和備份域上均采用 Server Protec for WindowsNT（簡(jiǎn)體中文 版）保護(hù) NT 服務(wù)器免受病毒的侵害。另鑒于客戶有 100200 臺(tái)客戶機(jī)，客戶端的病毒軟件的安裝和病毒碼更新等工作，造成 MIS 人員管理上的超負(fù)荷，因此推薦采用OfficeScanCorporatcEdition 企業(yè)授權(quán)版 OfficeScanCorporateIdition 能讓 MIS 人員通過(guò)管理程序進(jìn)行中央控管，軟件的分派（自動(dòng)安裝，自動(dòng)更新病毒碼、軟件的自動(dòng)升級(jí)） 。另外在外接 Inter 和郵件服務(wù)器上，采用 InterScanWebProtect 和ScanMailForExchange 此兩種軟件是目前唯一能從國(guó)際互聯(lián)網(wǎng)絡(luò)攔截病毒的軟件。設(shè)計(jì)的理念是，在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的入口處Inter 服務(wù)器或網(wǎng)關(guān)（Gateway）上安裝此軟件，它可以隨時(shí)監(jiān)控網(wǎng)關(guān)中的 ETP、電子郵件傳輸和Web 網(wǎng)頁(yè)所下載的病毒和惡性程序，并有文件到達(dá)網(wǎng)絡(luò)系統(tǒng)之前進(jìn)行掃描偵測(cè)出來(lái)。 VLAN 的實(shí)現(xiàn)VLAN 實(shí)現(xiàn)過(guò)程當(dāng)一個(gè)網(wǎng)橋或交換機(jī)接收到來(lái)自于某個(gè)計(jì)算機(jī)工作站的數(shù)據(jù)幀，它將給這個(gè)數(shù)據(jù)幀加上一個(gè)標(biāo)簽以標(biāo)識(shí)這個(gè)數(shù)據(jù)幀來(lái)自于哪個(gè) VLAN。加標(biāo)簽的原則有多種：可以基于數(shù)據(jù)幀來(lái)自于網(wǎng)橋的哪個(gè)端口、可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址、可以基于數(shù)據(jù)幀的網(wǎng)絡(luò)層協(xié)議源地址、也可以基于數(shù)據(jù)幀的其它字段或多個(gè)字段的綜合。為了能夠使用任意一種方法給數(shù)據(jù)幀加標(biāo)簽，網(wǎng)橋必須有一個(gè)不斷升級(jí)更新的數(shù)據(jù)庫(kù)。這個(gè)數(shù)據(jù)庫(kù)叫做過(guò)濾數(shù)據(jù)庫(kù)，包含了本網(wǎng)絡(luò)中全部 VLAN 之間的映射以及它們使用哪個(gè)字段作為標(biāo)簽。例如，如果通過(guò)基于端口的方式來(lái)加標(biāo)簽，該數(shù)據(jù)庫(kù)應(yīng)該指示哪個(gè)端口屬于哪個(gè) VLAN。網(wǎng)橋必須能夠維護(hù)這樣的一個(gè)數(shù)據(jù)庫(kù)并且應(yīng)保證所有在這個(gè) LAN 中的網(wǎng)橋在它們的過(guò)濾數(shù)據(jù)庫(kù)中有同樣的信息?；?IEEE 協(xié)議時(shí)，4 個(gè)字節(jié)的 VLAN 標(biāo)簽加到傳統(tǒng)的以太網(wǎng)幀的鄭州信息科技職業(yè)學(xué)院校園網(wǎng)建設(shè)方案21目的 MAC 地址字段和協(xié)議類型字段（在符合 IEEE 協(xié)議的幀中是長(zhǎng)度字段）之間。其中包含有一個(gè) 12 比特大小的 VLAN ID 號(hào)以區(qū)別各個(gè) VLAN，如圖 12 所示：圖 1 基于 協(xié)議的 VLAN 幀格式封裝類型由于 協(xié)議的標(biāo)簽頭的 4 個(gè)字節(jié)是新增加的，故目前使用的計(jì)算機(jī)并不支持 ，即計(jì)算機(jī)發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這 4 個(gè)字節(jié)，同時(shí)也無(wú)法識(shí)別這 4 個(gè)字節(jié)。對(duì)于交換機(jī)來(lái)說(shuō)，如果它所連接的以太網(wǎng)段的所有主機(jī)都能識(shí)別和發(fā)送這種帶 標(biāo)簽頭的數(shù)據(jù)包，該端口稱為 Tag Aware 端口，需要給數(shù)據(jù)幀加標(biāo)簽。反之，如果該交換機(jī)端口所連接的以太網(wǎng)段里只要有一臺(tái)主機(jī)不支持這種帶 標(biāo)簽頭的數(shù)據(jù)包，該端口稱為 Access 端口，則不能給數(shù)據(jù)幀加標(biāo)簽。對(duì)于每一個(gè)到來(lái)的 VLAN 幀，網(wǎng)橋或交換機(jī)將根據(jù)查找過(guò)濾數(shù)據(jù)庫(kù)的結(jié)果決定該幀歸屬于哪一個(gè) VLAN、將從哪個(gè)接口被轉(zhuǎn)發(fā)出去。一旦網(wǎng)橋或交換機(jī)決定了某個(gè)數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個(gè)數(shù)據(jù)幀加標(biāo)簽。具體實(shí)現(xiàn)包括以下三個(gè)過(guò)程：(1)接收過(guò)程：負(fù)責(zé)接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標(biāo)簽頭的，也可以不帶標(biāo)簽頭。如果不帶，交換機(jī)會(huì)根據(jù)該端口所屬的 VLAN 添加上相應(yīng)的標(biāo)簽頭。(2)查找/路由過(guò)程：根據(jù)數(shù)據(jù)包的目的 MAC 地址、 VLAN 標(biāo)識(shí)，查找過(guò)濾數(shù)據(jù)庫(kù)中注冊(cè)的信息，以決定把數(shù)據(jù)包發(fā)送到哪個(gè)端口。(3)發(fā)送過(guò)程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機(jī)不能識(shí)別 標(biāo)簽頭，則在出端口前將該標(biāo)簽頭去掉；如果是發(fā)送到互連的其它交換機(jī)的端口，則標(biāo)簽頭一般不去掉。 校園網(wǎng) VLAN 的規(guī)劃隨著校園網(wǎng)規(guī)模的不斷擴(kuò)大，用戶不斷增加，網(wǎng)絡(luò)應(yīng)用也不斷增長(zhǎng)，網(wǎng)絡(luò)變得越來(lái)越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，一個(gè)合理的 VLAN 規(guī)劃給網(wǎng)絡(luò)的管理更加有效。校園網(wǎng)目前的電腦數(shù)目已經(jīng)上千臺(tái)了。如果把這個(gè)龐大的網(wǎng)絡(luò)作為一個(gè) VLAN，那么校園網(wǎng)的網(wǎng)絡(luò)性能和安全性就會(huì)大大的降低，而且能產(chǎn)生網(wǎng)絡(luò)風(fēng)暴使網(wǎng)絡(luò)癱瘓。因此，應(yīng)對(duì)這個(gè)龐大的校園網(wǎng)進(jìn)行 VLAN 的規(guī)劃，把它劃分為若干個(gè)虛擬子網(wǎng)，這樣可以提高校園網(wǎng)的網(wǎng)絡(luò)性能和安全性，防止網(wǎng)絡(luò)鄭州信息科技職業(yè)學(xué)院校園網(wǎng)建設(shè)方案22風(fēng)暴。圖 2 學(xué)院校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如上圖所示，網(wǎng)絡(luò)根據(jù)地理區(qū)域分為 3 個(gè)部分：辦公樓﹑學(xué)生樓﹑教學(xué)樓及圖書館和生活區(qū)。每一個(gè)部分建設(shè)一個(gè)網(wǎng)絡(luò)中心，三個(gè)中心之間采用 GE 骨干互聯(lián)。網(wǎng)絡(luò)設(shè)計(jì)充分利用了堆疊技術(shù)，簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)。目前，我校園網(wǎng)主要是以 Cisco Catalyst 6500E 作為核心路由交換機(jī)。其它的網(wǎng)絡(luò)部分采用堆疊組網(wǎng)的方式，主要是由幾臺(tái) Cisco Catalyst 4500E 交換機(jī)組成堆疊組。校園網(wǎng)的 VLAN 規(guī)劃主要是根據(jù)學(xué)院校園的網(wǎng)絡(luò)拓?fù)鋱D，首先基于核心路由交換機(jī) Cisco Catalyst 6500E 上根據(jù)每分配一個(gè) C 類的 IP 地址劃分為一個(gè)VLAN；然后再基于 Cisco Catalyst 4500E 交換機(jī)根據(jù)網(wǎng)絡(luò)管理的要求和網(wǎng)絡(luò)的安全需要進(jìn)行 VLAN 劃分。如為了使有些部門之間在網(wǎng)絡(luò)中不能進(jìn)行訪問(wèn)，確保本部門的信息不會(huì)被本部門以外的人竊聽，而把各個(gè)部門劃分為各個(gè)單獨(dú)的VLAN，從而提高各個(gè)部門的網(wǎng)絡(luò)安全性。 VLAN 的配置隨著校園網(wǎng)的建成，對(duì)于校園網(wǎng)的管理的要求也越來(lái)越高了。目前，由于數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，鄭州信息科技職業(yè)學(xué)院校園網(wǎng)建設(shè)方案23VOD 視頻的大量應(yīng)用，廣播的數(shù)量在積聚增加，當(dāng)廣播的數(shù)量占到總量的 30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)超過(guò)200 臺(tái)后，就需要采取措施將網(wǎng)絡(luò)分隔開來(lái)，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。目前，校園網(wǎng)的計(jì)算機(jī)已經(jīng)有上千臺(tái)，因此更應(yīng)將這個(gè)大的廣播域劃分成若干個(gè)小的廣播域，劃分廣播域的方式主要是將校園網(wǎng)劃分為若干個(gè)虛擬子網(wǎng)，也就是 VLAN。對(duì)校園網(wǎng)進(jìn)行 VLAN 劃分，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的安全，控制不必要的廣播的數(shù)量。為了使校園網(wǎng)的管理更加完善，校園網(wǎng)的安全性更強(qiáng)，則必須要對(duì)校園網(wǎng)進(jìn)行 VLAN 的劃分。對(duì)校園網(wǎng)的 VLAN 的劃分，主要是根據(jù)學(xué)院的網(wǎng)絡(luò)拓?fù)鋱D，首先是基于核心路由交換機(jī) Cisco Catalyst 6500E 上根據(jù)為每個(gè)分配一個(gè) C 類的 IP 地址劃分為一個(gè) VLAN；然后再基于 Cisco Catalyst 4500E 交換機(jī)根據(jù)網(wǎng)絡(luò)管理的要求和網(wǎng)絡(luò)的安全需要進(jìn)行 VLAN 劃分。如下分別是以學(xué)生宿舍 1 棟為例關(guān)于基于 Cisco Catalyst 6500E、Cisco Catalyst 4500E 的 VLAN 配置。1） 網(wǎng)絡(luò)設(shè)備的安全配置命令S enable 進(jìn)入特權(quán)模式 S configure terminal 進(jìn)入全局配置模式 S(config) hostname name 改變交換機(jī)名稱 S(config) enable password level level_ password 設(shè)置用戶口令（level_=1)或特權(quán)口令（level_=15) S(config) line console 0 進(jìn)入控制臺(tái)接口 S(configline) password console_password 接上一條命令，設(shè)置控制臺(tái)口令 S(config) line vty 0 15 進(jìn)入虛擬終端 S(configline) password tel_password 接上一條命令，設(shè)置 Tel 口令 S(configline) login 允許 Tel 登錄 S(config) enable password|secret privilege_password 配置特權(quán)口令（加密或不加密） 2）網(wǎng)絡(luò)設(shè)備基本配置命令S(config) interface ether|fastether|gigabitether slot_/port_ 進(jìn)入交換機(jī)的接口模式S(configif) [no] shutdown 關(guān)閉或啟用該接口（默認(rèn)啟用） S(config) ip address IP_address sunbet_mask 指定 IP 地址 S(config) ip defaultgateway router39。s_IP_address 指定哪臺(tái)路由器地址為默認(rèn)網(wǎng)關(guān) S(configif) speed 10|100|auto 設(shè)置接口速率 S(configif) duplex auto|full|half 設(shè)置接口雙工模式 鄭州信息科技職業(yè)學(xué)院校園網(wǎng)建設(shè)方案24S (configif) description descriptionstring 設(shè)置的交換機(jī)的端口描述: S(configif) duplex {auto|full|half} 在交換機(jī)上設(shè)置以太網(wǎng)的鏈路模式3）在交換機(jī)上配置靜態(tài) VLAN: S vlan database 進(jìn)入交換機(jī) vlan 的配置模式S(vlan) vlan vlannum name vla 創(chuàng)建 vlan 并給 vlan 命名S(vlan) exit 退出交換機(jī) vlan 的配置模式S configure teriminal 進(jìn)入交換機(jī)的特權(quán)配置模式S(config) interface interface module/number 進(jìn)入接口子配置模式S(configif) switchport mode access /trunk 設(shè)置交換機(jī)的接入模式S(configif) switchport access vlan vlannum 把端口添加到 vlan 里面S(configif) end 提出 vlanS(configif) switchport trunk encapsulation {isl|dotlq} 設(shè)置 vlan的加密方式S(configif) switchport trunk allowed vlan remove vlanlist 設(shè)置禁止通過(guò)的 vlanS