【正文】 Technologies 1061C004CSL 超 五類非屏蔽雙絞線 UTP 電話信息點采用五類線可靈活地實現(xiàn)語音系統(tǒng)和數(shù)據(jù)系統(tǒng)的轉(zhuǎn)換且能夠保證整個會所布線系統(tǒng)大范圍傳輸數(shù)據(jù)傳送的完整性適用于現(xiàn)時及日后信息通訊發(fā)展使用的要求并保證投資不會浪費 銅纜信息插座采用 Lucent Technologies MPS100E262 超五類模塊電腦信息點為 200 個電話信息點 68 個 建筑群子系統(tǒng) 建筑群子系統(tǒng)主要是將各個建筑物內(nèi)的各分配線架與主配線架通過光纖連接起來超五類電纜為備份此系統(tǒng)是指網(wǎng)管中心 3 樓至各分配線間的光纖的設(shè)計 設(shè)備間子系統(tǒng) 此系統(tǒng)主要由設(shè)備間的跳線電纜及相 關(guān)硬件組成它把各個公共系統(tǒng)的設(shè)備互連起來如 PABX 網(wǎng)絡(luò)設(shè)備等與主配線架之間的連接通常該子系統(tǒng)設(shè)計與網(wǎng)絡(luò)具體應(yīng)用相關(guān) 針對此工程的項目要求我們采用 LUCENT TECHNOLOGIES 規(guī)范的 D8SA3B 和D8SA5B超五類高速跳線跳線通過網(wǎng)絡(luò)設(shè)備 HUB實現(xiàn)整個網(wǎng)絡(luò)的連通考慮到實際使用情況需配置 150 條 D8SA3B 和 50 條 D8SA5B 跳線 42 安全系統(tǒng) 網(wǎng)絡(luò)信息系統(tǒng)的安全應(yīng)該是一個動態(tài)的發(fā)展過程應(yīng)該是一種檢測 —— 監(jiān)控 —— 安全響應(yīng)的循環(huán)過程動態(tài)發(fā)展是網(wǎng)絡(luò)系統(tǒng)安全的規(guī)律網(wǎng)絡(luò)安全監(jiān)控和入侵檢測產(chǎn)品正 是實現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié) 網(wǎng)絡(luò)監(jiān)控系統(tǒng)是實時網(wǎng)絡(luò)自動違規(guī)入侵識別和響應(yīng)系統(tǒng)它位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)上通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)包括實時報警事件登錄或執(zhí)行用戶自定義的安全策略等 1 系統(tǒng)組成 網(wǎng)絡(luò)衛(wèi)士監(jiān)控器一臺硬件 監(jiān)控系統(tǒng)軟件一套 PC 機 1 臺用于運行監(jiān)控系統(tǒng)軟件 2 主要功能 實時網(wǎng)絡(luò)數(shù)據(jù)流跟蹤采集與還原 網(wǎng)絡(luò)監(jiān)控系統(tǒng)運行于有敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)之上實時監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流分析網(wǎng)絡(luò)通 訊會話軌跡如 E－ MAIL 監(jiān)視特定用戶或特定地址發(fā)出收到的郵件記錄郵件的源及目的 IP地址郵件的發(fā)信人與收信人郵件的收發(fā)時間等 HTTP 監(jiān)視和記錄用戶對基于 Web 方式提供的網(wǎng)絡(luò)服務(wù)的訪問操作過程如用戶名口令等 FTP 監(jiān)視和記錄訪問 FTP 服務(wù)器的過程 IP 地址文件名口令等 TELNET 監(jiān)視和記錄對某特定地址主機進行遠程登錄操作的過程 Rsh Rlogin 實時記錄并回放進出網(wǎng)絡(luò)各種操作的全過程 網(wǎng)絡(luò)安全違規(guī)活動捕獲 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)用戶自定義的網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)活動進行檢查捕獲網(wǎng)絡(luò)安全違規(guī)活動 網(wǎng)絡(luò)安全事件 的響應(yīng) 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠記錄網(wǎng)絡(luò)安全事件的詳細信息并提示系統(tǒng)安全管理員采取相應(yīng)的安全措施如阻斷連接等等 提供智能化網(wǎng)絡(luò)安全審計方案 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠?qū)Υ罅康木W(wǎng)絡(luò)數(shù)據(jù)進行分析處理和過濾生成按用戶策略篩選的網(wǎng)絡(luò)日志大大減少了需要人工處理的日志數(shù)據(jù)使系統(tǒng)更有效 支持用戶自定義網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全事件 3 主要技術(shù)特點 采用透明工作方式它靜靜地監(jiān)視本網(wǎng)段數(shù)據(jù)流對網(wǎng)絡(luò)通訊不附加任何延時不影響網(wǎng)絡(luò)傳輸?shù)男? 可采用集中管理的分布式工作方式能夠遠程監(jiān)控可以對每個監(jiān)控器進行遠程配置可以監(jiān)測多個網(wǎng)絡(luò)出口或應(yīng)用于廣域網(wǎng)絡(luò)監(jiān)測 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能進行運行狀態(tài)實時監(jiān)測遠程啟停管理 為了有效的防止病毒對系統(tǒng)的侵入必須在系統(tǒng)中安裝防病毒軟件并指定嚴(yán)格的管理制度保護系統(tǒng)的安全性 1 應(yīng)用狀況 一 臺 專用 服務(wù) 器 NTSERVER 一 臺代 理郵 件服 務(wù)器 NT SERVERPROXY SERVERExchange Server 一臺 SERVER 一臺數(shù)據(jù)庫 SERVER100200 臺客戶機 2 系統(tǒng)要求 能防止通過 PROXYSERVER從 Inter下載文件或收發(fā)的 Email內(nèi)隱藏的病毒并對本地的局域網(wǎng)防護的作用 3 解決方案 采用以下的防病毒 產(chǎn)品 所需軟件的名稱 安裝場所 數(shù)量 保護對象 ServerProtectforNTServer NTServer 每臺 NTServer 一套 NT SERVER 本身 InterScanWebProtect ProxyServer 按客戶機數(shù)量 HTTPFTP 用瀏覽器下開載的程序 ScanMailforExchangeServer ExchangeServer 按客戶機數(shù)量 有 EMail 的用戶 OfficeScancorp 各部門的 NT 域服務(wù)器 按客戶機數(shù)量 自動分發(fā)更新實時監(jiān)察客戶機 以下是選用 以上 Trend公司產(chǎn)品的說明 在 NT 主域控制器和備份域上均采用 Server Protec for WindowsNT 簡體中文 55 版保護 NT 服務(wù)器免受病毒的侵害 另鑒于客戶有 100200 臺客戶機客戶端的病毒軟件的安裝和病毒碼更新等工作造成 MIS 人員管理上的超負(fù)荷因此推薦采用 OfficeScanCorporatcEdition企業(yè)授權(quán)版 OfficeScanCorporateIdition 能讓 MIS 人員通過管理程序進行中央控管軟件的分派自動安裝自動更新病毒碼軟件的自動升級 另外在外接 Inter 和郵件服務(wù)器 上采用 InterScanWebProtect 和ScanMailForExchange 此兩種軟件是目前唯一能從國際互聯(lián)網(wǎng)絡(luò)攔截病毒的軟件設(shè)計的理念是在電腦病毒入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的入口處 Inter 服務(wù)器或網(wǎng)關(guān) Gateway上安裝此軟件它可以隨時監(jiān)控網(wǎng)關(guān)中的 ETP電子郵件傳輸和 Web網(wǎng)頁所下載的病毒和惡性程序并有文件到達網(wǎng)絡(luò)系統(tǒng)之前進行掃描偵測出來 43 VLAN 的實現(xiàn) VLAN 實現(xiàn)過程 當(dāng)一個網(wǎng)橋或交換機接收到來自于某個計算機工作站的數(shù)據(jù)幀它將給這個數(shù)據(jù)幀加上一個標(biāo)簽以標(biāo)識這個數(shù)據(jù)幀來自于哪個 VLAN 加標(biāo) 簽的原則有多種可以基于數(shù)據(jù)幀來自于網(wǎng)橋的哪個端口可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址可以基于數(shù)據(jù)幀的網(wǎng)絡(luò)層協(xié)議源地址也可以基于數(shù)據(jù)幀的其它字段或多個字段的綜合為了能夠使用任意一種方法給數(shù)據(jù)幀加標(biāo)簽網(wǎng)橋必須有一個不斷升級更新的數(shù)據(jù)庫這個數(shù)據(jù)庫叫做過濾數(shù)據(jù)庫包含了本網(wǎng)絡(luò)中全部 VLAN 之間的映射以及它們使用哪個字段作為標(biāo)簽例如如果通過基于端口的方式來加標(biāo)簽該數(shù)據(jù)庫應(yīng)該指示哪個端口屬于哪個 VLAN 網(wǎng)橋必須能夠維護這樣的一個數(shù)據(jù)庫并且應(yīng)保證所有在這個 LAN 中的網(wǎng)橋在它們的過濾數(shù)據(jù)庫中有同樣的信息 基于 IEEE 8021Q 協(xié)議時 4 個字節(jié)的 VLAN 標(biāo)簽加到傳統(tǒng)的以太網(wǎng)幀的目的MAC 地址字段和協(xié)議類型字段在符合 IEEE 8023 協(xié)議的幀中是長度字段之間其中包含有一個 12 比特大小的 VLAN ID 號以區(qū)別各個 VLAN 如圖 12 所示 圖 1 基于 8021Q 協(xié)議的 VLAN 幀格式封裝類型 由于 8021Q協(xié)議的標(biāo)簽頭的 4個字節(jié)是新增加的故目前使用的計算機并不支持 8021Q即計算機發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這 4個字節(jié)同時也無法識別這 4 個字節(jié)對于交換機來說如果它所連接的以太網(wǎng)段的所有主機都能識別和發(fā)送這種帶 8021Q標(biāo)簽頭的數(shù)據(jù)包該 端口稱為 Tag Aware端口需要給數(shù)據(jù)幀加標(biāo)簽反之如果該交換機端口所連接的以太網(wǎng)段里只要有一臺主機不支持這種帶 8021Q 標(biāo)簽頭的數(shù)據(jù)包該端口稱為 Access 端口則不能給數(shù)據(jù)幀加標(biāo)簽對于每一個到來的 VLAN 幀網(wǎng)橋或交換機將根據(jù)查找過濾數(shù)據(jù)庫的結(jié)果決定該幀歸屬于哪一個 VLAN 將從哪個接口被轉(zhuǎn)發(fā)出去一旦網(wǎng)橋或交換機決定了某個數(shù)據(jù)幀的下一步去向它就得決定是否需要給這個數(shù)據(jù)幀加標(biāo)簽具體實現(xiàn)包括以下三個過程 1 接收過程負(fù)責(zé)接收數(shù)據(jù)包數(shù)據(jù)包可以是帶標(biāo)簽頭的也可以不帶標(biāo)簽頭如果不帶交換機會根據(jù)該端口所屬的 VLAN 添加 上相應(yīng)的標(biāo)簽頭 2 查找路由過程根據(jù)數(shù)據(jù)包的目的 MAC地址 VLAN標(biāo)識查找過濾數(shù)據(jù)庫中注冊的信息以決定把數(shù)據(jù)包發(fā)送到哪個端口 3 發(fā)送過程將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上如果該網(wǎng)段的主機不能識別 8021Q標(biāo)簽頭則在出端口前將該標(biāo)簽頭去掉如果是發(fā)送到互連的其它交換機的端口則標(biāo)簽頭一般不去掉 VLAN 的規(guī)劃 隨著校園網(wǎng)規(guī)模的不斷擴大用戶不斷增加網(wǎng)絡(luò)應(yīng)用也不斷增長網(wǎng)絡(luò)變得越來越擁擠沖突不斷產(chǎn)生管理難度日益加大為了有效地提高網(wǎng)絡(luò)管理的靈活性提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性一個合理的 VLAN 規(guī)劃給網(wǎng)絡(luò)的管理更加有效校園網(wǎng)目前的電腦數(shù)目已經(jīng)上千臺了如果把這個龐大的網(wǎng)絡(luò)作為一個 VLAN 那么校園網(wǎng)的網(wǎng)絡(luò)性能和安全性就會大大的降低而且能產(chǎn)生網(wǎng)絡(luò)風(fēng)暴使網(wǎng)絡(luò)癱瘓因此應(yīng)對這個龐大的校園網(wǎng)進行 VLAN 的規(guī)劃把它劃分為若干個虛擬子網(wǎng)這樣可以提高校園網(wǎng)的網(wǎng)絡(luò)性能和安全性防止網(wǎng)絡(luò)風(fēng)暴 圖 2 學(xué)院校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D 如上圖所示網(wǎng)絡(luò)根據(jù)地理區(qū)域分為 3 個部分辦公樓、學(xué)生樓、教學(xué)樓及圖書館和生活區(qū)每一個部分建設(shè)一個網(wǎng)絡(luò)中心三個中心之間采用 GE 骨干互聯(lián)網(wǎng)絡(luò)設(shè)計充分利用了堆疊技術(shù)簡化了網(wǎng)絡(luò)結(jié)構(gòu)目前我校園網(wǎng)主要是以 Cisco Catalyst 6500E 作 為核心路由交換機其它的網(wǎng)絡(luò)部分采用堆疊組網(wǎng)的方式主要是由幾臺Cisco Catalyst 4500E 交換機組成堆疊組 校園網(wǎng)的 VLAN 規(guī)劃主要是根據(jù)學(xué)院校園的網(wǎng)絡(luò)拓?fù)鋱D首先基于核心路由交換機 Cisco Catalyst 6500E 上根據(jù)每分配一個 C 類的 IP 地址劃分為一個 VLAN然后再基于 Cisco Catalyst 4500E 交換機根據(jù)網(wǎng)絡(luò)管理的要求和網(wǎng)絡(luò)的安全需要進行 VLAN 劃分如為了使有些部門之間在網(wǎng)絡(luò)中不能進行訪問確保本部門的信息不會被本部門以外的人竊聽而把各個部門劃分為各個單獨的 VLAN 從而提 高各個部門的網(wǎng)絡(luò)安全性 VLAN 的配置 隨著校園網(wǎng)的建成對于校園網(wǎng)的管理的要求也越來越高了目前由于數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用隨著校園網(wǎng)內(nèi)的計算機數(shù)量的增加 VOD 視頻的大量應(yīng)用廣播的數(shù)量在積聚增加當(dāng)廣播的數(shù)量占到總量的 30 時網(wǎng)絡(luò)的傳輸效率將會明顯下降特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后會不停地向網(wǎng)絡(luò)發(fā)送廣播從而導(dǎo)致通信陷于癱瘓當(dāng)校園網(wǎng)絡(luò)內(nèi)的計算機數(shù)超過 200 臺后就需要采取措施將網(wǎng)絡(luò)分隔開來將一個大的廣播域劃分成若干個小的廣播域目前校園網(wǎng)的計算機已經(jīng)有上千臺因此更應(yīng)將這個大的廣播域劃分成若干個小的廣 播域劃分廣播域的方式主要是將校園網(wǎng)劃分為若干個虛擬子網(wǎng)也就是 VLAN對校園網(wǎng)進行 VLAN劃分可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的安全控制不必要的廣播的數(shù)量 為了使校園網(wǎng)的管理更加完善校園網(wǎng)的安全性更強則必須要對校園網(wǎng)進行VLAN的劃分對校園網(wǎng)的 VLAN的劃分主要是根據(jù)學(xué)院的網(wǎng)絡(luò)拓?fù)鋱D首先是基于核心路由交換機 Cisco Catalyst 6500E 上根據(jù)為每個分配一個 C 類的 IP 地址劃分為一個 VLAN 然后再基于 Cisco Catalyst 4500E 交換機根據(jù)網(wǎng)絡(luò)管理的要求和網(wǎng)絡(luò)的安全需要進行 VLAN 劃分如下分別是以學(xué) 生宿舍 1 棟為例關(guān)于基于Cisco Catalyst 6500ECisco Catalyst 4500E 的 VLAN 配置 1 網(wǎng)絡(luò)設(shè)備的安全配置命令 S enable 進入特權(quán)模式 S configure terminal 進入全局配置模式 S config hostname name 改變交換機名稱 S config enable password level level_ password 設(shè)置用戶口令 level_ 1 或特權(quán)口令 level_ 15 S config line console 0 進入控制臺接口 S configline password console_password 接上一條命令設(shè)置控制臺口令 S config line vty 0 15 進入虛擬終端 S configline password tel_password 接上一條命令設(shè)置 Tel 口令 S configline login 允許 Tel 登錄 S config enable passwordsecret privilege_password 配置特權(quán)口令加密或不 加密 2 網(wǎng)絡(luò)設(shè)備基本配置命令 S config interface etherfastethergigabitether slot_port_ 進入交換機的接口模式 S configif [no] shutdown 關(guān)閉或啟用該接口默認(rèn)啟用 S config ip address IP_address sunbet_mask 指定 IP 地址 S config ip defaultgateway routers_IP_address 指定哪臺路由器地址為默認(rèn)網(wǎng)關(guān) S configif speed 10100auto 設(shè)置接口速率 S configif duplex autofullhalf 設(shè)置接口雙工模式 S configif description descriptionstring 設(shè)置的交換機的端口描述 S configif duplex auto