【正文】 單純依靠安全技術(shù)和軟、硬件產(chǎn)品解決網(wǎng)絡(luò)安全問(wèn)題的想法是不現(xiàn)實(shí)也是不明智的，提高整個(gè)校園特別是廣大師生的網(wǎng)絡(luò)安全意識(shí)，加大整體防范網(wǎng)絡(luò)入侵和攻擊的能力，建立規(guī)范的網(wǎng)絡(luò)安全管理流程和制度，并在此基礎(chǔ)上形成一支高素質(zhì)的網(wǎng)絡(luò)安全管理專業(yè)隊(duì)伍，才能及時(shí)準(zhǔn)確地應(yīng)對(duì)各式各樣的網(wǎng)絡(luò)安全事件。（3）集中管理，重點(diǎn)防護(hù)。企業(yè)網(wǎng)涉及面廣，在實(shí)施的時(shí)候需要考慮所有局部，從大處著手，各部分相互協(xié)調(diào)。 Bridged Access Control Lists Bridged Access Control Lists類似于IP的ACL，但是它是基于MAC頭進(jìn)行過(guò)濾的，如目的/源MAC地址，Ether 類型，或者LSAP(link Service Access Point)，BACL是和一個(gè)指定的電路或者界面和用戶相關(guān)的。源地址確認(rèn)拒絕所有來(lái)自其他地址的IP包。如果ACL同時(shí)作用于電路和接口，通過(guò)的包將按順序通過(guò)兩個(gè)過(guò)濾器。u 過(guò)濾類型包括IP(UASic and extended), ICMP, TCP, UDP, and bridging。系統(tǒng)根據(jù)接口或電路的ACL來(lái)控制包的轉(zhuǎn)發(fā)、阻塞、重定向。完全滿足不同用戶的安全需求。 安全控制從不同的角度分別探討以***交換機(jī)為核心的企業(yè)網(wǎng)為實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全性而采取的多種安全控制機(jī)制。一般來(lái)說(shuō)，HACKER主要利用EMAIL或者JAVE Script等去控制其他主機(jī)，而且通常都以UNIX主機(jī)/服務(wù)器為主，因?yàn)樗鼈兪?4*7工作模式，方便被HACKER在方便的時(shí)候操縱和發(fā)起攻擊。設(shè)備要做出大量的SYN回應(yīng)，而三次握手卻是無(wú)法正常完成，必須等待Time out之后（通常是1分鐘左右）。中間系統(tǒng)接從廣播地址那里收到ICMP應(yīng)答請(qǐng)求，當(dāng)這些設(shè)備同時(shí)回答請(qǐng)求的時(shí)候，就會(huì)導(dǎo)致嚴(yán)重網(wǎng)絡(luò)阻塞。它需要大量虛假ICMP請(qǐng)求導(dǎo)向到IP廣播地址上。但是需要發(fā)起這么大量的ICMP 請(qǐng)求是不可能從一臺(tái)具有正確IP地址的主機(jī)上做到的，因?yàn)檫@樣也會(huì)對(duì)自身產(chǎn)生很大的影響，發(fā)起者不得不接受同樣多的回應(yīng)。這樣，任何要發(fā)送到主機(jī)B的信息都會(huì)轉(zhuǎn)送到黑客的計(jì)算機(jī)上，而主機(jī)A和網(wǎng)關(guān)還認(rèn)為信息是流向了主機(jī)B——網(wǎng)絡(luò)上一個(gè)可信任的節(jié)點(diǎn)。一般說(shuō)來(lái)，當(dāng)一個(gè)網(wǎng)絡(luò)收到RIP信息時(shí)，這種信息是沒(méi)有得到驗(yàn)證的。一旦這種連接被檢測(cè)到，包探測(cè)程序就可以利用IP的其它弱點(diǎn)竊取其它連接信息。所有的包都含有源地址和目的地址，但是在IP包中沒(méi)有任何東西可以確認(rèn)IP包的源和目的地址是否變動(dòng)過(guò)。一般說(shuō)來(lái)黑客所使用的手段主要有下面幾類。在服務(wù)器上安裝2 塊網(wǎng)卡,分別連接到2 臺(tái)不同的接入交換機(jī),利用AFT (Adapter Fault Tolerance) 技術(shù)實(shí)現(xiàn)網(wǎng)卡間的容錯(cuò),當(dāng)主網(wǎng)卡或該網(wǎng)卡到所連的交換機(jī)鏈路發(fā)生故障時(shí),服務(wù)器會(huì)立刻將該網(wǎng)卡上的流量轉(zhuǎn)移到備份網(wǎng)卡上,這個(gè)過(guò)程不超過(guò)2 秒?？梢詫蓚€(gè)交換機(jī)級(jí)聯(lián)(或堆疊) 在一起,從邏輯上組成1 個(gè)交換機(jī)。根據(jù)四川**職業(yè)學(xué)院企業(yè)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，核心層設(shè)計(jì)采用了兩臺(tái)3層路由交換機(jī)作為整個(gè)企業(yè)網(wǎng)的中心交換機(jī)，各匯聚層交換機(jī)通過(guò)雙鏈路接到兩臺(tái)核心交換機(jī)，在兩臺(tái)中心路由交換機(jī)上運(yùn)行VRRP(虛擬冗余路由協(xié)議) 協(xié)議來(lái)為服務(wù)器以及來(lái)自匯聚層的各子網(wǎng)各自提供1 個(gè)唯一的默認(rèn)網(wǎng)關(guān)。網(wǎng)絡(luò)結(jié)構(gòu)安全是指網(wǎng)絡(luò)在結(jié)構(gòu)設(shè)計(jì)上保證不會(huì)出現(xiàn)單點(diǎn)失效，主要由網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)、網(wǎng)絡(luò)協(xié)議的選用等等來(lái)保證。從系統(tǒng)角度來(lái)看，網(wǎng)絡(luò)安全不是一個(gè)簡(jiǎn)單的產(chǎn)品問(wèn)題，網(wǎng)絡(luò)安全首先是個(gè)系統(tǒng)問(wèn)題。學(xué)院企業(yè)網(wǎng)IPv6網(wǎng)絡(luò)的建設(shè)主要是為了在新的企業(yè)網(wǎng)內(nèi)部建設(shè)IPv6環(huán)境，使得師生能對(duì)IPv6網(wǎng)絡(luò)進(jìn)行訪問(wèn)，同時(shí)逐步在IPv6網(wǎng)絡(luò)當(dāng)中開(kāi)展IPv6業(yè)務(wù)，如：組播、FTP、流媒體等業(yè)務(wù)，進(jìn)而提高IPV6網(wǎng)絡(luò)的用戶數(shù)量，擴(kuò)大IPv6應(yīng)用。）進(jìn)行手工的配置隧道，該隧道對(duì)于最終的用戶來(lái)說(shuō)是不可見(jiàn)的， 如圖32所示：圖32 IPV6IPV4IPV6當(dāng)一個(gè)IPv6的包經(jīng)過(guò)邊界路由器的時(shí)候邊界路由器會(huì)將IPv6的報(bào)文封裝為IPv4的包在隧道種進(jìn)行傳送，當(dāng)報(bào)文到達(dá)對(duì)防的時(shí)候，在邊界路由器上進(jìn)行解封裝，還原出原IP6的包，從而實(shí)現(xiàn)互通。IPv6的上述特點(diǎn)充分迎合了未來(lái)網(wǎng)絡(luò)向IP融合統(tǒng)一的發(fā)展方向，并提升IP網(wǎng)絡(luò)的可運(yùn)營(yíng)可管理性。即插即用：IPv6引入自動(dòng)配置以及重配置技術(shù)，對(duì)于IP地址等信息實(shí)現(xiàn)自動(dòng)增刪更新配置，提高IPv6的易管理性。同時(shí)IPv6地址是有范圍的，包括鏈路本地地址、站點(diǎn)本地地址和任意播地址，這也進(jìn)一步增加地址應(yīng)用的擴(kuò)展性。5．可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。IP地址分配要遵循以下原則：1．簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式。具體做法可以是將交換機(jī)的每一端口劃分一個(gè)VLAN以實(shí)現(xiàn)所有用戶間的二層隔離，此時(shí)如果需要互聯(lián)，可通過(guò)上連設(shè)備的ACL功能來(lái)控制；也可以根據(jù)需要將多個(gè)交換機(jī)的不同端口劃為同一個(gè)VLAN，直接實(shí)現(xiàn)有限制的用戶互聯(lián)。 VLAN與IP子網(wǎng)設(shè)計(jì) VLAN規(guī)劃采用虛擬局域網(wǎng)VLAN主要出于三個(gè)目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。以下請(qǐng)進(jìn)行匯聚層所使用的交換機(jī)的選型和特點(diǎn)介紹。以下請(qǐng)進(jìn)行核心層所使用的交換機(jī)的選型和特點(diǎn)介紹。根據(jù)這種層次化網(wǎng)絡(luò)設(shè)計(jì)思想的原則，我們可以把企業(yè)網(wǎng)的整個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)分為以下三個(gè)層次：u 由位于中心機(jī)房的核心交換機(jī)組成的核心層；u 由位于樓宇機(jī)房的匯聚層交換機(jī)組成匯聚層；u 由位于各樓層的信息點(diǎn)和接入組成接入層；總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。三層結(jié)構(gòu)出了方便用戶管理和設(shè)備管理之外，也提供了良好的網(wǎng)絡(luò)安全性和擴(kuò)展性。三層網(wǎng)絡(luò)結(jié)構(gòu)包括核心層、匯聚層和接入層；兩層網(wǎng)絡(luò)結(jié)構(gòu)分為核心層和接入層。根據(jù)企業(yè)網(wǎng)建設(shè)的需求和設(shè)計(jì)原則，并結(jié)合學(xué)院企業(yè)網(wǎng)的當(dāng)前狀況和未來(lái)發(fā)展趨勢(shì)，本論文為學(xué)院企業(yè)網(wǎng)網(wǎng)絡(luò)建設(shè)量身定制了一套合體合用的企業(yè)網(wǎng)建設(shè)方案。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。 設(shè)計(jì)原則現(xiàn)在高校企業(yè)網(wǎng)建設(shè)要實(shí)現(xiàn)內(nèi)部全方位的數(shù)據(jù)共享，應(yīng)用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)教育管理、多媒體教學(xué)、圖書(shū)館管理自動(dòng)化，而且還要通過(guò)Internet實(shí)現(xiàn)遠(yuǎn)程教學(xué)，提供可增值可管理的業(yè)務(wù)，必須具備高性能、高安全性、高可靠性，可管理、可增值特性以及開(kāi)放性、兼容性、可擴(kuò)展性。、外網(wǎng)需求：限制資源的訪問(wèn)，對(duì)內(nèi)、網(wǎng)采用不同計(jì)費(fèi)策略；：非法的DHCP Server、病毒、攻擊、上網(wǎng)日志等；：公網(wǎng)地址不夠，在運(yùn)營(yíng)商或教育網(wǎng)其中一個(gè)出口做NAT；：強(qiáng)大的組播支持能力、多業(yè)務(wù)融合（語(yǔ)言、數(shù)據(jù)、飾品）能力；：設(shè)備具備高性能、高可靠性、高穩(wěn)定性、高安全性；：高性價(jià)比、平滑升級(jí)、投資保護(hù)；：具備完善的QOS能力。相同之處在于：作為