【正文】 2. 集中安全漏洞檢查和攻擊監(jiān)控 通過特定網(wǎng)段及服務(wù)建立的多種監(jiān)控體系 ,應(yīng)可實(shí)時(shí)檢測出絕大多數(shù)攻擊并采取相應(yīng)的措施如斷開連接、記錄攻擊過程及跟蹤攻擊等 ,并能周期性地檢查安全漏洞 ,做到及時(shí)發(fā)現(xiàn) ,及時(shí)防范。 網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo) 1. 有效的訪問控制 通過特定的網(wǎng)段及服務(wù)建立訪問控制體系 ,實(shí)現(xiàn)如下目標(biāo) :允許網(wǎng)上用戶訪問時(shí) ,正確、迅速可達(dá) 。規(guī)模的壯大和運(yùn)用水平的提高就決定了校園網(wǎng)面臨的隱患也相應(yīng)加劇。特別是近年來 ,隨著學(xué)生宿舍、教職工家屬等接入校園網(wǎng)后 ,網(wǎng)絡(luò)規(guī)模急劇增大。 5. IP 地址盜用問題 校園網(wǎng)內(nèi)部連接有數(shù)千臺電腦 ,可能不是所有電腦都配置了合法的 IP 地址 (如學(xué)生宿舍區(qū) ),這就不能避免某些用戶可能冒用他人的合法 IP 地址 ,或惡意盜用 IP,造成網(wǎng)絡(luò)內(nèi)部地址的沖突 ,如果占用主要的服務(wù)器系統(tǒng)的 IP 地址 ,將會嚴(yán)重整個(gè)校 園網(wǎng)的正常業(yè)務(wù)。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及 ,接入校園網(wǎng)的節(jié)點(diǎn)數(shù) 日益增多 ,而這些節(jié)點(diǎn)大部分都沒有采取安全防護(hù)措施 ,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。 3. 目前操作系統(tǒng)存在安全漏洞 : 網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有 Windows 2020/2020/XP、 UNIX、 Linux 等 ,這些系統(tǒng)安全風(fēng)險(xiǎn)級別不同 ,例如 Windows 2020的普遍性和可操作性使它成為最不安全的系統(tǒng) :自身安全漏洞、瀏覽器的漏洞、 IIS 的漏洞、病毒的溫床等 。校園網(wǎng)內(nèi)的學(xué)生群體是主要的 OICQ 用戶 ,目前針對 OICQ 的黑客程序隨處可見 。個(gè)別用戶對Inter 的非法訪問威脅 ,如瀏覽黃色、暴力、反動等網(wǎng)站 ,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng) 。學(xué)?？筛鶕?jù)教學(xué)實(shí)際需要配置一到二個(gè)多媒體綜合教室。多媒體綜合教室內(nèi)配備有多媒體計(jì) 算機(jī)、高亮度液晶投影儀、多功能視頻展示臺各一臺 ,功放音響一套 ,其中多媒體計(jì)算機(jī)通過網(wǎng)卡連入校園主干網(wǎng) ,從而方便調(diào)用網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)上的教學(xué)資源 ,實(shí)現(xiàn)資源共享。有的學(xué)校采用在每個(gè)班級配置高亮度液晶投影儀、多媒體計(jì)算機(jī)、多功能視頻展示臺等設(shè)備的方法來實(shí)施教學(xué)環(huán)境信息化 ,教學(xué)仍舊還是在一個(gè)典型的以教師為中心的教學(xué)模式下進(jìn)行著 ,這與構(gòu)建校園信息化教學(xué)環(huán)境的初衷相距尚遠(yuǎn)。學(xué)生既可以在教師幫助下進(jìn)行自主學(xué)習(xí) ,也可通過小組討論等形式在同伴中開展 合作學(xué)習(xí)。針對課堂教學(xué)而言 ,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)能為師生合作教學(xué)模式提供支持。多媒體視聽閱覽室從技術(shù)本質(zhì) 上來講就是一個(gè)多媒體計(jì)算機(jī)網(wǎng)絡(luò)室 ,如果學(xué)校已建好前面所述的多媒體網(wǎng)絡(luò)活動室或教師備課機(jī)房 ,只要在網(wǎng)絡(luò)上連接有一套光盤鏡像服務(wù)器 ,即可實(shí)現(xiàn)多媒體視聽閱覽的功能。(5 圖書館系統(tǒng) 圖書館系統(tǒng)應(yīng)該包括兩個(gè)方面 ,第一是圖書編目、借閱管理系統(tǒng) ,它為圖書館管理提供了標(biāo)準(zhǔn)化、自動化、網(wǎng)絡(luò)化的采編、流通、查詢、統(tǒng)計(jì)以及讀者管理等手段 ,如省教委推薦使用的共創(chuàng)圖書管理系統(tǒng) 。 (4 教師備課機(jī)房 為了能給廣大教師提供一個(gè)完備的多媒體網(wǎng)絡(luò)備課環(huán)境 ,校園網(wǎng)應(yīng) 能為每位教師提供網(wǎng)絡(luò)接入終端 ,即每位教師都配有一臺連接校園網(wǎng)的多媒體計(jì)算機(jī)。 (3 計(jì)算機(jī)教室 學(xué)?，F(xiàn)有超過千臺的微機(jī) ,通過星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將所有微機(jī)連接到可堆疊交換機(jī)上 ,再通過交換機(jī)連接校園主干網(wǎng)。如剛使用時(shí)數(shù)據(jù)流量不大 ,可只配置一臺服務(wù)器 ,視今后網(wǎng) 絡(luò)發(fā)展情況再作擴(kuò)充。一般來講 ,在同一幢大樓內(nèi)距離不超過 100 米均可鋪設(shè)超五類非屏蔽雙絞線 ,而樓與樓之間的連接主干線原則上應(yīng)架設(shè)光纜 ,以滿足今后發(fā)展的需要。通俗的講 ,無線 AP是無線網(wǎng)和有線網(wǎng)之間溝通的橋梁。多模光纖使用多條光路傳輸同一信號 ,通過光的折射來控制傳輸速度。光纖可分為單模 Single?Mode?光纖和多模 Multiple?Mode 光纖。 5. 光纖 :光纖是以光脈沖的形式來傳輸信號 ,以玻璃或有機(jī)玻璃等為網(wǎng)絡(luò)傳輸介質(zhì)。例如 :從技術(shù)角度來說 ,能夠?qū)?shù)據(jù)從 IPX 網(wǎng)絡(luò)傳送到 IP 網(wǎng)絡(luò)的路由器就是一個(gè)網(wǎng)關(guān)。 4. 網(wǎng)關(guān) :網(wǎng)關(guān)這一術(shù)語用來指任何設(shè)備、系統(tǒng)或軟件應(yīng)用程序 ,它們能夠起到將數(shù)據(jù)從一種格式轉(zhuǎn)化成另一種格式的功能。路由器能夠確定數(shù)據(jù)的目的地址并能夠確定傳輸數(shù)據(jù)的最佳路徑。與 集線器不同的是 ,交換機(jī)僅將信息幀從一個(gè)端口傳送到目標(biāo)節(jié)點(diǎn)所在的其它端口 ,而不會向所有其它的端口廣播。交換機(jī)提供與集線器或網(wǎng)橋類似的功能 ,但擁有更多的先進(jìn)性能 ,能夠?qū)θ我鈨蓚€(gè)端口進(jìn)行臨時(shí)連接。打印服務(wù)器就是對一臺或多臺打印機(jī)進(jìn)行管理的設(shè)備 ,而網(wǎng)絡(luò)服務(wù)器就是對網(wǎng)絡(luò)傳輸進(jìn)行管理的計(jì)算機(jī)。例如 ,數(shù)據(jù)庫服務(wù)器中儲存了與某些數(shù)據(jù)庫相關(guān)的所有數(shù)據(jù)和軟件 ,允許其它網(wǎng)絡(luò)設(shè)備對其進(jìn)行訪問 ,并處理對數(shù)據(jù)庫的訪問。這樣可以減少廣播流量 ,釋放帶寬給用戶應(yīng)用 ,減少廣播的產(chǎn)生。使用 VLAN,可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的 VLAN 組 ,該 VLAN 組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī) , 在一個(gè) VLAN 中的廣播不會送到 VLAN 之外。 VLAN 可以降低移動或變更工作站地理位置的管理費(fèi)用 ,特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了 VLAN 后 ,這部分管理費(fèi)用大大降低。 6. 按用戶定義、非用戶授權(quán)劃分 VLAN 基于用戶定義、非用戶授權(quán)來劃分 VLAN,是指為了適應(yīng)特別的 VLAN網(wǎng)絡(luò) ,根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì) VLAN,而且 可以讓非 VLAN 群體用戶訪問 VLAN,但是需要提供用戶密碼 ,在得到 VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。 5. 按策略劃分 VLAN 基于策略組成的 VLAN 能實(shí)現(xiàn)多種分配方法 ,包括 VLAN 交換機(jī)端口、 MAC地址、 IP 地址、網(wǎng)絡(luò)層協(xié)議等。 4. 根據(jù) IP 組播劃分 VLAN IP 組播實(shí)際上也是一種 VLAN 的定義 ,即認(rèn)為一個(gè) IP 組播組就是一個(gè)VLAN。這種方法的缺點(diǎn)是效率低 ,因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的相對于前面兩種方法 ,一般的交換機(jī)芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭 ,但要讓芯片能檢查 IP 幀頭 ,需要更高的技術(shù) ,同時(shí)也更費(fèi)時(shí)。而且 ,用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動 ,但其 VLAN 成員身份仍然保留不變。 3. 基于網(wǎng)絡(luò)層協(xié)議劃分 VLAN 網(wǎng)絡(luò)層協(xié)議來組成的 VLAN,可使廣播域跨越多個(gè) VLAN 交換機(jī)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低 ,因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè) VLAN 組的成員 ,保存了許多用戶的 MAC 地址 ,查詢起來相當(dāng)不容易。 由這種劃分的機(jī)制可以看出 ,這種 VLAN 的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動時(shí) ,即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí) ,VLAN 不用重新配置 ,因?yàn)樗腔谟脩?,而不是基于交換機(jī)的端口。 2. 基于 MAC 地址劃分 VLAN 即對每個(gè) MAC 地址的主機(jī)都配置他屬于哪個(gè)組 ,它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的 MAC 地址 ,VLAN 交換機(jī)跟蹤屬于 VLAN MAC 的地址。適合于任何大小的網(wǎng)絡(luò)。這樣就可以防止非法入侵者從 內(nèi)部盜用IP 地址從其他可接入點(diǎn)入侵的可能。 對于不同部門需要互訪時(shí) ,可通過路由器轉(zhuǎn)發(fā) ,并配合基于 MAC 地址的端口過濾。 VLAN 的劃分方法 VLAN 在交換機(jī)上實(shí)現(xiàn)方法 ,可以大致劃分為六類 : 1. 基于端口劃分的 VLAN 這是最常應(yīng)用的一種 VLAN 劃分方法 ,應(yīng)用也最為廣泛、最有效 ,目前絕大多數(shù) VLAN 協(xié)議的交換機(jī)都提供這種 VLAN 配置方法。 VLAN 是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議 ,它在以太網(wǎng)幀的基礎(chǔ)上增加了 VLAN頭 ,用 VLAN ID把用戶劃分為更小的工作組 ,限制不同工作組間的用戶互訪 ,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。 VLAN 網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成 ,比如 :10M 以太網(wǎng)、 100M 以太網(wǎng)、令牌網(wǎng)、 FDDI、 CDDI 等等 ,可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。由于它是從邏輯上劃 分 ,而不是從物理上劃分 ,所以同一個(gè) VLAN 內(nèi)的各個(gè)工作站沒有限制在同一個(gè)物理范圍中 ,即這些工作站可以在不同物理 LAN 網(wǎng)段。 IEEE 于 1999 年頒布了用以標(biāo)準(zhǔn)化 VLAN 實(shí)現(xiàn)方案的 協(xié)議標(biāo)準(zhǔn)草案。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中 ,但主流應(yīng)用還是在交換機(jī)之中。在高性能的網(wǎng)絡(luò)中 ,這種技術(shù)被廣泛采用。路由器可以用擴(kuò)展訪問列表來控制數(shù)據(jù)傳輸 ,也可用 NetFlow 交換模式進(jìn)行流量計(jì)算。 3. 第四層交換 :第四層交換指的是在硬件路由的基礎(chǔ)上再加上應(yīng)用程序的功能。 2. 第三層交換 :第三層交換的實(shí)質(zhì)是基于硬件的路由 ,數(shù)據(jù)包的發(fā)送也是通過 ASIC 芯片來完成的。然而 ,交換機(jī)也和網(wǎng)橋一樣有他們共同的局限性 ,網(wǎng)絡(luò)的廣