【正文】 PC 機（1 臺，用于運行監(jiān)控系統(tǒng)軟件）2 主要功能? 實時網(wǎng)絡數(shù)據(jù)流跟蹤、采集與還原鄭州信息科技職業(yè)學院校園網(wǎng)建設方案19網(wǎng)絡監(jiān)控系統(tǒng)運行于有敏感數(shù)據(jù)需要保護的網(wǎng)絡之上，實時監(jiān)視網(wǎng)絡上的數(shù)據(jù)流，分析網(wǎng)絡通訊會話軌跡。如：? E－MAIL：監(jiān)視特定用戶或特定地址發(fā)出、收到的郵件；記錄郵件的源及目的 IP 地址、郵件的發(fā)信人與收信人、郵件的收發(fā)時間等。? HTTP：監(jiān)視和記錄用戶對基于 Web 方式提供的網(wǎng)絡服務的訪問操作過程（如用戶名、口令等） 。? FTP：監(jiān)視和記錄訪問 FTP 服務器的過程（IP 地址、文件名、口令等） 。? TELNET：監(jiān)視和記錄對某特定地址主機進行遠程登錄操作的過程。? Rsh? Rlogin? 實時記錄并回放進出網(wǎng)絡各種操作的全過程? 網(wǎng)絡安全違規(guī)活動捕獲網(wǎng)絡監(jiān)控系統(tǒng)能夠根據(jù)用戶自定義的網(wǎng)絡安全策略對網(wǎng)絡活動進行檢查，捕獲網(wǎng)絡安全違規(guī)活動。? 網(wǎng)絡安全事件的響應網(wǎng)絡監(jiān)控系統(tǒng)能夠記錄網(wǎng)絡安全事件的詳細信息，并提示系統(tǒng)安全管理員采取相應的安全措施，如阻斷連接等等。? 提供智能化網(wǎng)絡安全審計方案網(wǎng)絡監(jiān)控系統(tǒng)能夠?qū)Υ罅康木W(wǎng)絡數(shù)據(jù)進行分析處理和過濾，生成按用戶策略篩選的網(wǎng)絡日志，大大減少了需要人工處理的日志數(shù)據(jù)，使系統(tǒng)更有效。? 支持用戶自定義網(wǎng)絡安全策略和網(wǎng)絡安全事件3 主要技術特點? 采用透明工作方式，它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流，對網(wǎng)絡通訊不附加任何延時，不影響網(wǎng)絡傳輸?shù)男省? 可采用集中管理的分布式工作方式，能夠遠程監(jiān)控?？梢詫γ總€監(jiān)控器進行遠程配置，可以監(jiān)測多個網(wǎng)絡出口或應用于廣域網(wǎng)絡監(jiān)測。? 網(wǎng)絡監(jiān)控系統(tǒng)能進行運行狀態(tài)實時監(jiān)測，遠程啟停管理。 防病毒為了有效的防止病毒對系統(tǒng)的侵入，必須在系統(tǒng)中安裝防病毒軟件，并指定嚴格的管理制度，保護系統(tǒng)的安全性。1 應用狀況一臺專用服務器（NTSERVER） 、一臺代理郵件服務器（NT SERVERamp。PROXY SERVER,Exchange Server） ，一臺 WWW SERVER，一臺數(shù)據(jù)庫 SERVER，100200 臺客戶機。2 系統(tǒng)要求能防止通過 PROXYSERVER 從 Inter 下載文件或收發(fā)的 Email 內(nèi)隱藏的病毒，并對本地的局域網(wǎng)防護的作用。鄭州信息科技職業(yè)學院校園網(wǎng)建設方案203 解決方案采用以下的防病毒產(chǎn)品所需軟件的名稱 安裝場所 數(shù)量 保護對象ServerProtectforNTServerNTServer 每臺 NTServer 一套NT SERVER 本身InterScanWebProtectProxyServer 按客戶機數(shù)量 HTTPFTP、用瀏覽器下開載的程序ScanMailforExchangeServerExchangeServer按客戶機數(shù)量 有 EMail 的用戶OfficeScancorp 各部門的 NT域服務器按客戶機數(shù)量 自動分發(fā)、更新、實時監(jiān)察客戶機以下是選用以上 Trend 公司產(chǎn)品的說明：在 NT 主域控制器和備份域上均采用 Server Protec for WindowsNT（簡體中文 版）保護 NT 服務器免受病毒的侵害。另鑒于客戶有 100200 臺客戶機，客戶端的病毒軟件的安裝和病毒碼更新等工作，造成 MIS 人員管理上的超負荷，因此推薦采用OfficeScanCorporatcEdition 企業(yè)授權版 OfficeScanCorporateIdition 能讓 MIS 人員通過管理程序進行中央控管，軟件的分派（自動安裝，自動更新病毒碼、軟件的自動升級） 。另外在外接 Inter 和郵件服務器上，采用 InterScanWebProtect 和ScanMailForExchange 此兩種軟件是目前唯一能從國際互聯(lián)網(wǎng)絡攔截病毒的軟件。設計的理念是，在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡的入口處Inter 服務器或網(wǎng)關（Gateway）上安裝此軟件，它可以隨時監(jiān)控網(wǎng)關中的 ETP、電子郵件傳輸和Web 網(wǎng)頁所下載的病毒和惡性程序，并有文件到達網(wǎng)絡系統(tǒng)之前進行掃描偵測出來。 VLAN 的實現(xiàn)VLAN 實現(xiàn)過程當一個網(wǎng)橋或交換機接收到來自于某個計算機工作站的數(shù)據(jù)幀，它將給這個數(shù)據(jù)幀加上一個標簽以標識這個數(shù)據(jù)幀來自于哪個 VLAN。加標簽的原則有多種：可以基于數(shù)據(jù)幀來自于網(wǎng)橋的哪個端口、可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址、可以基于數(shù)據(jù)幀的網(wǎng)絡層協(xié)議源地址、也可以基于數(shù)據(jù)幀的其它字段或多個字段的綜合。為了能夠使用任意一種方法給數(shù)據(jù)幀加標簽，網(wǎng)橋必須有一個不斷升級更新的數(shù)據(jù)庫。這個數(shù)據(jù)庫叫做過濾數(shù)據(jù)庫，包含了本網(wǎng)絡中全部 VLAN 之間的映射以及它們使用哪個字段作為標簽。例如，如果通過基于端口的方式來加標簽，該數(shù)據(jù)庫應該指示哪個端口屬于哪個 VLAN。網(wǎng)橋必須能夠維護這樣的一個數(shù)據(jù)庫并且應保證所有在這個 LAN 中的網(wǎng)橋在它們的過濾數(shù)據(jù)庫中有同樣的信息?；?IEEE 協(xié)議時，4 個字節(jié)的 VLAN 標簽加到傳統(tǒng)的以太網(wǎng)幀的鄭州信息科技職業(yè)學院校園網(wǎng)建設方案21目的 MAC 地址字段和協(xié)議類型字段（在符合 IEEE 協(xié)議的幀中是長度字段）之間。其中包含有一個 12 比特大小的 VLAN ID 號以區(qū)別各個 VLAN，如圖 12 所示：圖 1 基于 協(xié)議的 VLAN 幀格式封裝類型由于 協(xié)議的標簽頭的 4 個字節(jié)是新增加的，故目前使用的計算機并不支持 ，即計算機發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這 4 個字節(jié)，同時也無法識別這 4 個字節(jié)。對于交換機來說，如果它所連接的以太網(wǎng)段的所有主機都能識別和發(fā)送這種帶 標簽頭的數(shù)據(jù)包，該端口稱為 Tag Aware 端口，需要給數(shù)據(jù)幀加標簽。反之，如果該交換機端口所連接的以太網(wǎng)段里只要有一臺主機不支持這種帶 標簽頭的數(shù)據(jù)包，該端口稱為 Access 端口，則不能給數(shù)據(jù)幀加標簽。對于每一個到來的 VLAN 幀，網(wǎng)橋或交換機將根據(jù)查找過濾數(shù)據(jù)庫的結(jié)果決定該幀歸屬于哪一個 VLAN、將從哪個接口被轉(zhuǎn)發(fā)出去。一旦網(wǎng)橋或交換機決定了某個數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個數(shù)據(jù)幀加標簽。具體實現(xiàn)包括以下三個過程：(1)接收過程：負責接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標簽頭的，也可以不帶標簽頭。如果不帶，交換機會根據(jù)該端口所屬的 VLAN 添加上相應的標簽頭。(2)查找/路由過程：根據(jù)數(shù)據(jù)包的目的 MAC 地址、 VLAN 標識，查找過濾數(shù)據(jù)庫中注冊的信息，以決定把數(shù)據(jù)包發(fā)送到哪個端口。(3)發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機不能識別 標簽頭，則在出端口前將該標簽頭去掉；如果是發(fā)送到互連的其它交換機的端口，則標簽頭一般不去掉。 校園網(wǎng) VLAN 的規(guī)劃隨著校園網(wǎng)規(guī)模的不斷擴大，用戶不斷增加，網(wǎng)絡應用也不斷增長，網(wǎng)絡變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。為了有效地提高網(wǎng)絡管理的靈活性，提高網(wǎng)絡效率和網(wǎng)絡安全性，一個合理的 VLAN 規(guī)劃給網(wǎng)絡的管理更加有效。校園網(wǎng)目前的電腦數(shù)目已經(jīng)上千臺了。如果把這個龐大的網(wǎng)絡作為一個 VLAN，那么校園網(wǎng)的網(wǎng)絡性能和安全性就會大大的降低，而且能產(chǎn)生網(wǎng)絡風暴使網(wǎng)絡癱瘓。因此，應對這個龐大的校園網(wǎng)進行 VLAN 的規(guī)劃，把它劃分為若干個虛擬子網(wǎng)，這樣可以提高校園網(wǎng)的網(wǎng)絡性能和安全性，防止網(wǎng)絡鄭州信息科技職業(yè)學院校園網(wǎng)建設方案22風暴。圖 2 學院校園網(wǎng)的網(wǎng)絡結(jié)構拓撲圖如上圖所示，網(wǎng)絡根據(jù)地理區(qū)域分為 3 個部分：辦公樓﹑學生樓﹑教學樓及圖書館和生活區(qū)。每一個部分建設一個網(wǎng)絡中心，三個中心之間采用 GE 骨干互聯(lián)。網(wǎng)絡設計充分利用了堆疊技術，簡化了網(wǎng)絡結(jié)構。目前，我校園網(wǎng)主要是以 Cisco Catalyst 6500E 作為核心路由交換機。其它的網(wǎng)絡部分采用堆疊組網(wǎng)的方式，主要是由幾臺 Cisco Catalyst 4500E 交換機組成堆疊組。校園網(wǎng)的 VLAN 規(guī)劃主要是根據(jù)學院校園的網(wǎng)絡拓撲圖，首先基于核心路由交換機 Cisco Catalyst 6500E 上根據(jù)每分配一個 C 類的 IP 地址劃分為一個VLAN；然后再基于 Cisco Catalyst 4500E 交換機根據(jù)網(wǎng)絡管理的要求和網(wǎng)絡的安全需要進行 VLAN 劃分。如為了使有些部門之間在網(wǎng)絡中不能進行訪問，確保本部門的信息不會被本部門以外的人竊聽，而把各個部門劃分為各個單獨的VLAN，從而提高各個部門的網(wǎng)絡安全性。 VLAN 的配置隨著校園網(wǎng)的建成，對于校園網(wǎng)的管理的要求也越來越高了。目前，由于數(shù)據(jù)廣播在網(wǎng)絡中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計算機數(shù)量的增加，鄭州信息科技職業(yè)學院校園網(wǎng)建設方案23VOD 視頻的大量應用，廣播的數(shù)量在積聚增加，當廣播的數(shù)量占到總量的 30%時，網(wǎng)絡的傳輸效率將會明顯下降。特別是當某網(wǎng)絡設備出現(xiàn)故障后，會不停地向網(wǎng)絡發(fā)送廣播，從而導致通信陷于癱瘓。當校園網(wǎng)絡內(nèi)的計算機數(shù)超過200 臺后，就需要采取措施將網(wǎng)絡分隔開來，將一個大的廣播域劃分成若干個小的廣播域。目前，校園網(wǎng)的計算機已經(jīng)有上千臺，因此更應將這個大的廣播域劃分成若干個小的廣播域，劃分廣播域的方式主要是將校園網(wǎng)劃分為若干個虛擬子網(wǎng)，也就是 VLAN。對校園網(wǎng)進行 VLAN 劃分，可以強化網(wǎng)絡管理和網(wǎng)絡的安全，控制不必要的廣播的數(shù)量。為了使校園網(wǎng)的管理更加完善，校園網(wǎng)的安全性更強，則必須要對校園網(wǎng)進行 VLAN 的劃分。對校園網(wǎng)的 VLAN 的劃分，主要是根據(jù)學院的網(wǎng)絡拓撲圖，首先是基于核心路由交換機 Cisco Catalyst 6500E 上根據(jù)為每個分配一個 C 類的 IP 地址劃分為一個 VLAN；然后再基于 Cisco Catalyst 4500E 交換機根據(jù)網(wǎng)絡管理的要求和網(wǎng)絡的安全需要進行 VLAN 劃分。如下分別是以學生宿舍 1 棟為例關于基于 Cisco Catalyst 6500E、Cisco Catalyst 4500E 的 VLAN 配置。1） 網(wǎng)絡設備的安全配置命令S enable 進入特權模式 S configure terminal 進入全局配置模式 S(config) hostname name 改變交換機名稱 S(config) enable password level level_ password 設置用戶口令（level_=1)或特權口令（level_=15) S(config) line console 0 進入控制臺接口 S(configline) password console_password 接上一條命令，設置控制臺口令 S(config) line vty 0 15 進入虛擬終端 S(configline) password tel_password 接上一條命令，設置 Tel 口令 S(configline) login 允許 Tel 登錄 S(config) enable password|secret privilege_password 配置特權口令（加密或不加密） 2）網(wǎng)絡設備基本配置命令S(config) interface ether|fastether|gigabitether slot_/port_ 進入交換機的接口模式S(configif) [no] shutdown 關閉或啟用該接口（默認啟用） S(config) ip address IP_address sunbet_mask 指定 IP 地址 S(config) ip defaultgateway router39。s_IP_address 指定哪臺路由器地址為默認網(wǎng)關 S(configif) speed 10|100|auto 設置接口速率 S(configif) duplex auto|full|half 設置接口雙工模式 鄭州信息科技職業(yè)學院校園網(wǎng)建設方案24S (configif) description descriptionstring 設置的交換機的端口描述: S(configif) duplex {auto|full|half} 在交換機上設置以太網(wǎng)的鏈路模式3）在交換機上配置靜態(tài) VLAN: S vlan database 進入交換機 vlan 的配置模式S(vlan) vlan vlannum name vla 創(chuàng)建 vlan 并給 vlan 命名S(vlan) exit 退出交換機 vlan 的配置模式S configure teriminal 進入交換機的特權配置模式S(config) interface interface module/number 進入接口子配置模式S(configif) switchport mode access /trunk 設置交換機的接入模式S(configif) switchport access vlan vlannum 把端口添加到 vlan 里面S(configif) end 提出 vlanS(configif) switchport trunk encapsulation {isl|dotlq} 設置 vlan的加密方式S(configif) switchport trunk allowed vlan remove vlanlist 設置禁止通過的 vlanS