【正文】 黑客通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊 ,使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)甚至系統(tǒng)癱瘓。由于 Inter的開放性、國際性與自由性 ,校園網(wǎng)將面臨更加嚴(yán)重的安全威脅。 惡意用戶利用校園網(wǎng)內(nèi)郵件服務(wù)器系統(tǒng)的缺 陷 ,例如缺乏有效的郵件過濾機(jī)制和郵件轉(zhuǎn)發(fā)限制機(jī)制 ,對郵件服務(wù)器進(jìn)行攻擊。校園網(wǎng)中較易受攻擊的應(yīng)用服務(wù)器主要是 DNS服務(wù)器、 Web應(yīng)用服務(wù)器和郵件服務(wù)器。制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等 。來自內(nèi)網(wǎng)的攻擊主要表現(xiàn)為網(wǎng)絡(luò)病毒和一些惡意用戶使用非法手段竊取用戶信息 ,實(shí)施危害活動 ,前者可以通過建立校園網(wǎng)集中式網(wǎng)絡(luò)防病毒系統(tǒng)加以解決 ,后者除使用防火墻技術(shù)以外 ,還需校園網(wǎng)管理員加強(qiáng)對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。 （ 6）、 資源共享的問題 校園網(wǎng)內(nèi)部有辦公自動化系統(tǒng) ,而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源 ,缺少必要的訪問控制策略 ,我們就可能有意、無意的把硬盤中重要信息長期暴露在網(wǎng)絡(luò)上 ,從而被輕易竊取并傳播出去造成泄密。因此，在制定訪問控制策略時，不要忘記封鎖系統(tǒng)安全漏洞。 最好的防御手段依然是保持應(yīng)有的警惕，不要不分青紅皂白地共享文件。為了防止未經(jīng)授權(quán)通過網(wǎng)絡(luò)服務(wù)進(jìn)行的訪問，要限制所有并非絕對必要的服務(wù)端口，從而使暴露減少到最低限度。網(wǎng)絡(luò)管理員常使用共享服務(wù)以使數(shù)據(jù)訪問更加方便，但黑客常常利用這一點(diǎn)通過安裝后門程序，在用戶啟動系統(tǒng)時作為共享服務(wù)進(jìn)行注冊，然后這些共享服務(wù)可以從任何一臺擁有 作為服務(wù)登錄 權(quán)利的客戶上運(yùn)行，從而破壞系統(tǒng)。如果有校園網(wǎng)用戶下載一個包含惡意代碼的程序在本地運(yùn)行，就很可能泄密敏感信息，或?qū)ο到y(tǒng)進(jìn)行破壞。但是，它的最大缺點(diǎn)是要求在訪問代理服務(wù)的每個系統(tǒng)上安裝特殊的用戶端軟件，這樣既限制了新應(yīng)用的引入，又影響了效率，而且當(dāng)該防 火墻不能再工作時，對應(yīng)的網(wǎng)絡(luò)服務(wù)也就不存在了。 應(yīng)用層防火墻是可選的。其配置將依賴站點(diǎn)的特殊安全策略，預(yù)算以及全面規(guī)劃等。 （ 2） 設(shè)置防火墻 防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列軟 硬件的組合，它在校園網(wǎng)與 Inter網(wǎng)絡(luò)之間執(zhí)行訪問控制策略，決定哪些內(nèi)部站點(diǎn)允許外界訪問和允許訪問外界，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵。 （ 4） 不使用英語單詞，不使用個人信息（如生日 ， 姓名等） 。對這些口令的保護(hù) ，除建立嚴(yán)格的保密以外，口令的設(shè)置方法非常重要。 校園網(wǎng)的訪問控制策略 針對校園網(wǎng)絡(luò)系統(tǒng)的安全威脅，在校園網(wǎng)管理中心必須建立整體的、卓有成效 的安全策略。如當(dāng)今最流行的蠕蟲病毒，通過電子郵件，網(wǎng)絡(luò)共享或主動掃描等方式從客戶端感染校園網(wǎng)的 web 服務(wù)器，改變網(wǎng)頁的目錄以繁衍自身，并通過發(fā)送垃圾郵件和掃描網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”，嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓。 （ 2） 數(shù)據(jù)泄露 校園網(wǎng)上運(yùn)行各種數(shù)據(jù)庫系統(tǒng)，如教學(xué)管理系統(tǒng) ，學(xué)籍管理系統(tǒng) ，校園卡管理系統(tǒng) ，招生 管理 系統(tǒng)等。目前，千兆以太網(wǎng)支持單模光纖、多模光纖和同軸電纜，支持 5 類非屏蔽雙絞線 (UTP)的標(biāo)準(zhǔn)正在制定中。現(xiàn)在正在應(yīng)用的網(wǎng)絡(luò)互連技術(shù)，例如，特定 IP 交換技術(shù)和第三層的交換技術(shù)，都與千兆位以太網(wǎng)完全兼容。這種升級方法使得千兆位以太網(wǎng)相對于其他高速網(wǎng)絡(luò)技術(shù)而言，在經(jīng)濟(jì)和管理性能方面都是較好的選擇。千兆以太網(wǎng)是相當(dāng)成功的 10Mbps 以太網(wǎng)和 100Mbps 快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴(kuò)展。另外，目前的大部分網(wǎng)絡(luò)應(yīng)用主要是基于 IP 網(wǎng)絡(luò)的應(yīng)用，直接針對 ATM 信元的應(yīng)用很少，這在很大程度上也增加了 ATM 網(wǎng)絡(luò)使用和管理的復(fù)雜性。 在廣域網(wǎng)、城域網(wǎng)和公用網(wǎng)內(nèi)， ATM 正在被主要采用，因?yàn)樗饶軌驅(qū)⒍喾N服務(wù)多路復(fù)用到一種基礎(chǔ)設(shè)施上，滿足功能越來越強(qiáng)的臺式機(jī)對帶寬不斷增長的需求，又能提供虛擬LAN 和多媒體等新的網(wǎng)絡(luò)服務(wù)。但是， FDDI/CDDI 是昂貴和復(fù)雜的，另外缺乏對多種服務(wù)和 QoS 的支持，始終未成為主流技術(shù)，發(fā)展速度緩慢，前景不被看好。 FDDI 有幾個通過帶寬分配來實(shí)現(xiàn)的優(yōu)先機(jī)制，一個是同步帶寬分配（ SBA ）機(jī)制，它可以讓管理員將一定量的帶寬分配給一些確定的工作站，讓它們有更多的捕獲令牌機(jī)會。但與 Token Ring技術(shù)不同的是當(dāng)其發(fā)送完幀后就立即產(chǎn)生新的令牌幀，故其利用率較高，其運(yùn)行速度可達(dá) 100Mbps 。因此快速以太網(wǎng)是一種在局域網(wǎng)技術(shù)中性能價格比非常好的網(wǎng)絡(luò)技術(shù)，在支持多媒體技術(shù)的應(yīng)用上可以提供很好的網(wǎng)絡(luò)質(zhì)量和服務(wù)。交換式以太網(wǎng)克服了共享式以太網(wǎng)的缺點(diǎn)，并借助于 IP 技術(shù)的新發(fā)展，如 IP Multicast等技術(shù)的推出使得交換以太網(wǎng)可以支持多媒體技術(shù)等多種業(yè)務(wù)服 務(wù)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在的以太網(wǎng)技術(shù)已經(jīng)從共享技術(shù)發(fā)展到交換技術(shù)，交換以太網(wǎng)的出現(xiàn)使傳統(tǒng)的共享式以太網(wǎng)技術(shù)得到極大改進(jìn)。 CSMA/CD 技術(shù)采用總線控制技術(shù)及退避算法。 （四）、組網(wǎng)技術(shù) 組網(wǎng)技術(shù)就是在有了網(wǎng)絡(luò)的設(shè)計(jì)方案和各種網(wǎng)絡(luò)設(shè)備之后，怎樣把不同的網(wǎng)絡(luò)設(shè)備按設(shè)計(jì)方案的要求連接起來所用到的各種技術(shù)。 易于實(shí)施。 根據(jù)以往網(wǎng)絡(luò)管理經(jīng)驗(yàn)和骨干網(wǎng)絡(luò)網(wǎng)絡(luò)建設(shè)的實(shí)際情況，方案建議在骨干網(wǎng)絡(luò) VLAN劃分規(guī)劃以“靈活劃分、方便管理”為基本原則，以不同的使用群體為 VLAN范圍劃分。 網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的 IP子網(wǎng)和 VLAN，實(shí)現(xiàn) 更加安全的對所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。 （三）、網(wǎng)絡(luò) VLAN 的設(shè)計(jì) 在校園網(wǎng)絡(luò)的整個網(wǎng)絡(luò)規(guī)劃當(dāng)中， VLAN 的劃分是非常重要的部分，很好的利用 VLAN技術(shù)的功能，能起到事半功倍的效果，對整個網(wǎng)絡(luò)的性能也是事關(guān)重要的。管理子系統(tǒng)內(nèi)有 部分主干布線和部分水平線的機(jī)械終端，為無源或有源或用于兩個系統(tǒng)連接的設(shè)備提供設(shè)施。這一部分布線系統(tǒng)可以采用 架空電纜 、直埋電纜或地下管道內(nèi)穿電纜，或者是這三者的任何組合，具體使用看施工現(xiàn)場而定。結(jié)構(gòu)化系統(tǒng)的布線是放射型的，線纜量較大，所以線槽量的計(jì)算是很重要的，按照標(biāo)準(zhǔn)的線槽設(shè)計(jì)方法，應(yīng)根據(jù)水平線的外徑來確定線槽的容量，即：線槽的橫截面積 =水平線截面積之和 *3 。 水平子系統(tǒng)是將樓層配線間路延伸到用戶工作區(qū)， 并連向各個信息插座。 光纖布線主要是用在建筑 物之間或樓層之間，這些建筑的距離一般都比較遠(yuǎn)，超出了雙絞線的連接距離，具體情況要看信息點(diǎn)的分布和數(shù)量以及對網(wǎng)絡(luò)帶寬的要求來決定。 布線系統(tǒng)的主要是依據(jù)建 筑物的分布圖 ，國際商務(wù) 建筑線纜標(biāo)準(zhǔn)（ TIA/ELA 586A ）和《建筑與建筑物綜合布線系統(tǒng)工程設(shè)計(jì)規(guī)范》來設(shè)計(jì)的。 局域網(wǎng)內(nèi)的所有工 作節(jié)點(diǎn)通過雙絞線與交換機(jī)相連形成一個星型網(wǎng)絡(luò)。 局域網(wǎng)采用星型網(wǎng)絡(luò)拓樸結(jié)構(gòu)，星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡(luò)結(jié)構(gòu)，它是以一臺中心處理機(jī)（通信設(shè)備）為主而 構(gòu)成的網(wǎng)絡(luò)，其它入網(wǎng)機(jī)器僅與該中心處理機(jī)之間有直接的物理鏈路，中心處理機(jī)采用分時或輪詢的方法為入網(wǎng)機(jī)器服務(wù)，所有的數(shù)據(jù)必須經(jīng)過中心處理機(jī)。但是其缺點(diǎn)也是十分明顯的，網(wǎng)絡(luò)中的任何一個節(jié)點(diǎn)出現(xiàn)故障，都將導(dǎo)致整個網(wǎng)絡(luò)癱瘓，這與在網(wǎng)絡(luò)建設(shè)要求網(wǎng)絡(luò)具有高可靠性和沉佘性不相符，因此使用總線型拓?fù)浣Y(jié)構(gòu)建設(shè)的網(wǎng)絡(luò)已趨于淘汰，在新的網(wǎng)絡(luò)建設(shè)中不應(yīng)再使用。從技術(shù)上看，以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地，是一種能夠到長期使用和發(fā)展的技術(shù)，另外以太網(wǎng)還可以在不同速率之間平滑升級，不會有網(wǎng)絡(luò)協(xié)議和規(guī)范上的障礙。 ATM是比較先進(jìn)的網(wǎng)絡(luò)技術(shù)，它采用信元交換方式，以很高的速率在任意兩點(diǎn)間建立直接的虛擬通信鏈路，有較強(qiáng)的傳輸質(zhì)量控制能力，特別適合于多媒體 信息的傳輸。 網(wǎng)絡(luò)技術(shù)類 型 網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)遵循高可靠性、技術(shù)先進(jìn)、開放性、成熟標(biāo)準(zhǔn)、易于擴(kuò)展、可維護(hù)性好等原則，并充分考慮性能價格比和今后技術(shù)的發(fā)展。這種技術(shù)保證用戶在訪問多個應(yīng)用系統(tǒng)時不需重復(fù)登錄。 隨著網(wǎng)絡(luò)使用的日益廣泛，今后校園網(wǎng)絡(luò)在此基礎(chǔ)上還將不斷擴(kuò)充，覆蓋面將越來越廣，如 視頻點(diǎn)播系統(tǒng) 、 遠(yuǎn)程登錄 管理系統(tǒng)、各類收費(fèi)服務(wù) IC 卡系統(tǒng)等。 (6) 多媒體課件制作軟件： Macromedia 公司的 Authorware、 Director，洪圖多媒體著作工作等都有著非常友好的界面，使用方便，擁有著大量的用戶，推薦使用。另外也有許多免費(fèi)的 BBS電子公告、中文論壇、網(wǎng)絡(luò)聊天軟件可 以在 NT下安全運(yùn)行。病毒伴隨著計(jì)算機(jī)系統(tǒng)一起 發(fā)展 了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天都有新的病毒出現(xiàn)在 INTERNET 上，并且借助INTERNET 上的信息往來，尤其是 EMAIL 進(jìn)行傳播，傳播速度極其快。防火墻通過控制、檢測與報警等機(jī)制，可在一 定程度上防止或減輕 DoS 黑客攻擊。 支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的 DOC和 ZIP文件， FTP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險信息。報文過濾是在IP層實(shí)現(xiàn)的，它的原理是根據(jù)報文的源 IP地址、目的 IP地址、源端口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。水平系統(tǒng)采用超五類雙絞線，新的樓宇采用暗裝墻內(nèi)的方式，舊的樓宇采用 PVC線槽明裝的方式。 對于多幢 樓宇，可采用多設(shè)備間的方法。一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子 系統(tǒng)，工作區(qū)子系統(tǒng)。由于校園網(wǎng)分布范圍較廣，在中心交換機(jī)到二級交換機(jī)之間，線纜以多模光纖為主；如果距離超過多模光纖的極限，需要 采用單模光纖作為傳輸介質(zhì)。 FTP工具一般分為 FLASHFTP、 LEAPFTP、 CuteFTP，合稱 FTP三劍客，以漢化版和破解版居多。 WEB 服務(wù)器也稱為 WWW(WORLD WIDE WEB)服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服 務(wù)。 二級交換機(jī)起著“承上啟下”的作用，一端連接到中心交換機(jī)，另一端連接到各網(wǎng)絡(luò) 節(jié)點(diǎn)， PC、終端用戶設(shè)備連接到這些網(wǎng)絡(luò)節(jié)點(diǎn)，組成子系統(tǒng)。 可管理 性 由于信息技術(shù)和人們對于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，我們必須選擇具有一定擴(kuò)展能力的設(shè)備，能夠 保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時候，不需要增加新的設(shè)備，而只需要增加一定數(shù)量的模塊就行。 定性 在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及 保修 能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間 ，銳捷網(wǎng)絡(luò)做為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的 。 根據(jù)校園網(wǎng)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮， 本次網(wǎng)絡(luò)建設(shè)的設(shè)計(jì)目標(biāo)是：高性能、 高可靠性、 高穩(wěn)定性、 高安全性 、易管理的萬兆骨干網(wǎng)絡(luò)平臺。用戶一般是學(xué)校的教職員工和學(xué)生。 網(wǎng)格的出現(xiàn)為實(shí)現(xiàn)網(wǎng)絡(luò)資源共享提供了技術(shù)支持。包括對各種和教務(wù)相關(guān)的信息，如課程安排，任課教師安排等。班級管理：主要對學(xué)校班級信息進(jìn)行管理，為跨學(xué)年提供進(jìn)行自動升級操作，系統(tǒng)也可對部分學(xué)生作留級處理。例如： 系統(tǒng)登錄：系統(tǒng)用戶登錄本系統(tǒng)必須進(jìn)行身 份校驗(yàn)，不同身份的網(wǎng)絡(luò)用戶對本系統(tǒng)具有不同權(quán)限的信息操作權(quán)，對系統(tǒng)的信息流程，學(xué)?？筛鶕?jù)自身實(shí)際的業(yè)務(wù)流程自行設(shè)置。如果現(xiàn)有技術(shù)不能合理保證在將來 網(wǎng)絡(luò)升級后還能夠使用，那么將會帶來極大的資金浪費(fèi)。節(jié)點(diǎn)具有高度的獨(dú)立性，并且適合在中央位置放置網(wǎng)絡(luò)診斷設(shè)備。 二 ．小組成員及工作分工 三 ．實(shí)訓(xùn)報告內(nèi)容 (一 )、場景及網(wǎng)絡(luò)情況 我們組建的是一個校園網(wǎng) 場景：三棟教學(xué)樓、一棟辦公樓 網(wǎng)絡(luò)情況：每棟樓的一樓分別用一間教室作為這棟樓的中心機(jī)房，用 1 號樓的第一層的某個房間作為整個網(wǎng)絡(luò)的中心機(jī)房，此機(jī)房分別與各棟樓的中心機(jī)房相連，形成整個校園網(wǎng)。結(jié)合實(shí)驗(yàn)室現(xiàn)有的設(shè)備 H3C 網(wǎng)絡(luò)安全產(chǎn)品。行間距 。 ...................................................................... 10 網(wǎng)絡(luò)技術(shù)類型 ............................................................................................. 10 網(wǎng)絡(luò)拓?fù)涞倪x擇 ........................................................................................ 10 （二）、布線系統(tǒng)設(shè)計(jì)與測試 ................................................................................. 11 布線系統(tǒng)的設(shè)計(jì) .......................................................................................... 11 布線系統(tǒng)的測試 ...................................................................................... 12 （三）、網(wǎng)絡(luò) VLAN的設(shè)計(jì) ........................................................................................ 13 方便管理。 ................................................................................................. 1