【正文】 份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。 網(wǎng)絡安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡的監(jiān)控和管理。為杜絕網(wǎng)絡威脅，主要手段就是完善網(wǎng)絡病毒監(jiān)管能力，堵塞網(wǎng)絡漏洞，從而達到網(wǎng)絡安全。殺毒產(chǎn)品的部署. 在該網(wǎng)絡防病毒方案中，要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。采用VLAN技術(shù)。VLAN技術(shù)根據(jù)不同的應用業(yè)務以及不同的安全級別，將網(wǎng)絡分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。內(nèi)容過濾器是有效保護網(wǎng)絡系免于誤用和無意識服務拒絕的工具。防火墻。在防火墻設置上按照以下原則配置來提高網(wǎng)絡安全性:(1)根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。局域網(wǎng)內(nèi)部的機器只允許訪問文件、打印機共享服務。(3）如果你在局域網(wǎng)中使用你的機器，那么你就必須正確設置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡服務（如文件、打印機共享）功能。(5）允許通過配置網(wǎng)卡對防火墻設置，提高防火墻管理安全性。入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關事件。漏洞掃描。數(shù)據(jù)加密。加強網(wǎng)絡安全管理。首先，加強網(wǎng)絡安全知識的培訓和普及；其次，是健全完善管理制度和相應的考核機制，以提高網(wǎng)絡管理的效率。學校建立了一套校園網(wǎng)絡安全系統(tǒng)，制定詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進行計算機網(wǎng)絡安全知識培訓，或發(fā)放常見病毒解決方案等。當然也可以借助Wingate或Sygate等軟件多機共享一臺Modem上網(wǎng)；或者通過代理服務器連上Internet，享受非一般的速度。目前10Mbps ISA插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于10Mbps ISA插口網(wǎng)卡的網(wǎng)絡傳輸速率低，且占用大量的CPU資源，只適應于那些對速度要求不高的局域網(wǎng)，因此用100Mbps PCI插口的網(wǎng)卡或者10Mbps/100Mbps自適應網(wǎng)卡，夠適應于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進行多媒體信息傳輸?shù)膽铆h(huán)境。RJ45是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口，RJ45的接口酷似電話線的接口，但網(wǎng)絡線使用的是8芯的接頭，使用RJ45的缺點是架設成本高，但安裝和維護較為方便，因此我們一般使用RJ45接口。因此有條件的話可選用交換機。此外每臺接入 Hub的計算機 ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應用。其設計方案應注意以下原則：實用性校園網(wǎng)設計應能滿足學校目前對網(wǎng)絡應用的要求，充分實現(xiàn)學校內(nèi)部管理、教學和科研的網(wǎng)絡化、信息化的要求，使網(wǎng)絡的整體性能盡快得到充分的發(fā)揮，并且便于掌握。統(tǒng)一性在系統(tǒng)的設計過程中，堅持三統(tǒng)一，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口。 關鍵設備在產(chǎn)品選購之前一定要經(jīng)過認真的分析，這次參與組網(wǎng)的機構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡系統(tǒng)的內(nèi)部核心交換機，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標足以滿足網(wǎng)絡目前的需求?？梢酝ㄟ^千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Cisco 3662作為計算機網(wǎng)絡系統(tǒng)DDN、ISDN訪問路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴展的需求。 網(wǎng)絡核心層：用一臺Cisco的高端三層交換機Catalyst 6506作為整個交換系統(tǒng)的核心，由網(wǎng)絡中心網(wǎng)絡管理員統(tǒng)一調(diào)度，從而使計算機網(wǎng)絡系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡通信平臺。一塊WSX6KS1AMSFC2交換引擎是交換機的心臟，它控制交換機的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。另一塊WSX6408GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網(wǎng)管工作站及網(wǎng)絡應用服務器都直接連入到核心層設備上去。接入層；在網(wǎng)絡接入層中我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關，其中主要采用了兩種接入方式分別實現(xiàn)各自功能：1.　ADSL接入方式。 校園網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)根據(jù)校園網(wǎng)的需求分析及建設目標，本設計方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。下面35圖為校園網(wǎng)網(wǎng)絡拓撲圖。對于校園網(wǎng)來說，必須對技術(shù)和教育的發(fā)展前景有著清醒的認識，只有這樣，才能從很好地為校園網(wǎng)進行合理的規(guī)劃。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點： 高速的局域網(wǎng)連接校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設重點，由于參與網(wǎng)絡應用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項基本要求； 信息結(jié)構(gòu)多樣化校園網(wǎng)應用分為電子教學（多媒體教室、電子圖書館等）、學校管理和遠程通訊（遠程教學、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學包含大量多媒體信息，學校管理以數(shù)據(jù)庫為主，遠程通訊則多為WWW方式，因此數(shù)據(jù)成分復雜，不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求； 操作方便，易于管理校園網(wǎng)面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)化； 經(jīng)濟實用學校對網(wǎng)絡建設的投入有限，因此要求建成的網(wǎng)絡應經(jīng)濟實用，具備很高的性能價格比。通過對實際需要進行細致的分析，才能確定系統(tǒng)的總體目標和近期目標。在完成校園網(wǎng)的需求分析之后，就要對整個校園進行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設計。一般來說，一個校園網(wǎng)系統(tǒng)總體目標是分步實施的，包括功能的分步實施和規(guī)模的分步實施。因此我們在設計一個校園網(wǎng)時，要充分考慮到對已有校園網(wǎng)資源的再次利用，又要考慮到將來對校園網(wǎng)進一步的升級改造。3． 網(wǎng)絡結(jié)構(gòu)設計 校園網(wǎng)絡結(jié)構(gòu)設計主要是進行網(wǎng)絡的物理設計和邏輯設計，在完成結(jié)構(gòu)設計后才能對網(wǎng)絡設備進行選型。（1）物理設計根據(jù)需求分析，可以知道整個校園網(wǎng)信息點的數(shù)目，同時也知道這些信息點在整個校園內(nèi)的分布情況。（2）邏輯設計網(wǎng)絡的邏輯設計主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分，通過實際的網(wǎng)絡物理連接，依據(jù)實際需求來實現(xiàn)虛擬網(wǎng)絡(VLAN)的設置。 4．網(wǎng)絡技術(shù) 學校建設校園網(wǎng)有許多需要考慮的問題，如網(wǎng)絡技術(shù)的選擇、網(wǎng)絡拓撲結(jié)構(gòu)的選擇、網(wǎng)絡產(chǎn)品的選擇、網(wǎng)絡服務器的選擇以及操作系統(tǒng)、網(wǎng)絡應用服務、網(wǎng)絡管理及網(wǎng)絡安全等方面。(1) 網(wǎng)絡技術(shù)類型網(wǎng)絡系統(tǒng)的建設應遵循高可靠性、技術(shù)先進、開放性、成熟標準、易于擴展、可維護性好等原則，并充分考慮性能價格比和今后技術(shù)的發(fā)展。當前達到或超過100Mbps的高速網(wǎng)絡技術(shù)主要有：快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。ATM是比較先進的網(wǎng)絡技術(shù)，它采用信元交換方式，以很高的速率在任意兩點間建立直接的虛擬通信鏈路，有較強的傳輸質(zhì)量控制能力，特別適合于多媒體信息的傳輸。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價廉的網(wǎng)絡技術(shù)，其標準已制定完備。從技術(shù)上看，以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地，是一種能夠到長期使用和發(fā)展的技術(shù)，另外以太網(wǎng)還可以在不同速率之間平滑升級，不會有網(wǎng)絡協(xié)議和規(guī)范上的障礙。(2) 網(wǎng)絡拓撲的選擇當前在局域網(wǎng)的建設中，主要應用的拓撲結(jié)構(gòu)有總線型、環(huán)型和星型。但是其缺點也是十分明顯的，網(wǎng)絡中的任何一個節(jié)點出現(xiàn)故障，都將導致整個網(wǎng)絡癱瘓，這與在網(wǎng)絡建設要求網(wǎng)絡具有高可靠性和沉佘性不相符，因此使用總線型拓撲結(jié)構(gòu)建設的網(wǎng)絡已趨于淘汰，在新的網(wǎng)絡建設中不應再使用。當前在各種網(wǎng)絡系統(tǒng)的建設中使用最多的是星型拓撲結(jié)構(gòu)，雖然星型拓撲結(jié)構(gòu)的網(wǎng)絡在布線和網(wǎng)絡設備的花費多一些，不過目前各種硬件設備已經(jīng)非常便宜了，這種花費是可以承受的。 組網(wǎng)技術(shù) 組網(wǎng)技術(shù)就是在有了網(wǎng)絡的設計方案和各種網(wǎng)絡設備之后，怎樣把不同的網(wǎng)絡設備按設計方案的要求連接起來所用到的各種技術(shù)。組網(wǎng)技術(shù)主要包括：布線系統(tǒng)、Internet接入技術(shù)、防火墻等。使用結(jié)構(gòu)化布線工程設計的布線系統(tǒng)具有實用性、靈活性、可擴充性以及真正的開放性。建成后的結(jié)構(gòu)化布線系統(tǒng)將具有滿足多種計算機網(wǎng)絡系統(tǒng)（10/100/1000M Switch、FDDI、ATM）對線路的要求，不僅能實現(xiàn)計算機端口的靈活配置，而且