【正文】 到高速傳輸?shù)囊螅壳八挥迷谝恍┲行⌒途W(wǎng)絡(luò)。光纖接入的優(yōu)點是可提供比較高的網(wǎng)絡(luò)帶寬和穩(wěn)定性，但它的連接較為復(fù)雜。防火墻簡單的可以只用路由器實現(xiàn)，復(fù)雜的則可以用主機(jī)甚至一個子網(wǎng)來實現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。由于網(wǎng)絡(luò)具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。 實現(xiàn)防火墻技術(shù)從層次上大概可以分為報文過濾和應(yīng)用層網(wǎng)關(guān)。在用應(yīng)用層網(wǎng)關(guān)實現(xiàn)的防火墻有多種方式，如應(yīng)用代理報務(wù)器和網(wǎng)絡(luò)地址轉(zhuǎn)換器等。但相對而言，內(nèi)部的安全問題是可以預(yù)測的，并可據(jù)此制定相應(yīng)的防范措施?？偟膩碚f，交換式快速以太網(wǎng)是目前成熟技術(shù)中最先進(jìn)、最實用的。 為了加強(qiáng)對分布式多媒體交互教學(xué)的探索，校園網(wǎng)可分為三個層次結(jié)構(gòu)：主干網(wǎng)、廣域網(wǎng)和內(nèi)部局域網(wǎng)。采用交換式快速以太網(wǎng)做主干有以下原因：速度快，安裝、維護(hù)簡單。 建設(shè)目標(biāo)：構(gòu)建普通學(xué)校校內(nèi) Intra 環(huán)境，并通過代理服務(wù)器接入 Inter，實現(xiàn)與 Inter 交流。 1． 網(wǎng)絡(luò)組成 (1) 網(wǎng)絡(luò)主干 基于當(dāng)前信息技術(shù)發(fā)展形勢及經(jīng)濟(jì)實用可持續(xù)發(fā)展原則，建議構(gòu)建 100M 帶寬的快速以太網(wǎng)，根據(jù)實際工作站信息點到網(wǎng)絡(luò)中心的距離，選擇適當(dāng)?shù)膫鬏斆浇檫M(jìn)行網(wǎng)絡(luò)綜合布線。 (2) 網(wǎng)絡(luò)中心 也就是校園網(wǎng)中心機(jī)房，應(yīng)配置有各種系統(tǒng)服務(wù)器（如： Web 服務(wù)器、 Email服務(wù)器、代理服務(wù)器）、文件服務(wù)器（數(shù)據(jù)庫服務(wù)器）、中心交換機(jī)、配線機(jī)柜等。 21 為保證網(wǎng)絡(luò)運行穩(wěn)定可靠，網(wǎng)絡(luò)中心的設(shè)備選型應(yīng)選擇信譽(yù)可靠、質(zhì)量上等、性能穩(wěn)定、擴(kuò)充性優(yōu)良的專業(yè)產(chǎn)品。交換器可選用、 CISCO 產(chǎn)品，如CISCO 6065 等。為使校園網(wǎng)能訪問 Inter，網(wǎng)絡(luò)中心的代理服務(wù)器可連接 ASDL 等通訊線路。為方便教學(xué)，可在以上網(wǎng)絡(luò)教室的基礎(chǔ)上安裝多媒體教學(xué)平臺，使之成為一個既能完成信息技術(shù)學(xué)科教學(xué)，又能進(jìn)行多媒體輔助教學(xué)，還能開展基于 Inter 技術(shù)的網(wǎng)絡(luò)活動的多媒體網(wǎng)絡(luò)活動室。為降低成本，一般中小學(xué)?？刹捎媒ㄔO(shè)一個配置有1020 臺酷睿 2 以上多媒體計算機(jī)的教師網(wǎng)絡(luò)備課機(jī)房的方案。 (5)圖書館系統(tǒng) 圖書館系統(tǒng)應(yīng)該包括兩個方面，第一是圖書編目、借閱管理系統(tǒng)，它為圖書館管理 提供了標(biāo)準(zhǔn)化、自動化、網(wǎng)絡(luò)化的采編、流通、查詢、統(tǒng)計以及讀者管理等手段，如省教委推薦使用的共創(chuàng)圖書管理系統(tǒng)；第二是多媒體視聽閱覽室，滿足讀者使用越來越多的電子音像讀物的要求。 (6)多媒體綜合教室 信息化環(huán)境的構(gòu)筑其根本目的是為教學(xué)服務(wù)的，因此課堂信息化教學(xué)環(huán)境的建立應(yīng)該是校園網(wǎng)建設(shè)的一個重要目標(biāo)。在合作教學(xué)模式下，教師通過網(wǎng)絡(luò)安排教學(xué)計劃，指導(dǎo)學(xué)生學(xué)習(xí)，批改學(xué)生作業(yè)，實施網(wǎng)上教學(xué)；學(xué)生既可以在教師幫助下進(jìn)行自主學(xué)習(xí)，也可通過小組討論等形式在同伴中開展合作學(xué)習(xí)。有的學(xué)校采用在每個班級配置高亮度液晶投影儀、多媒體計算機(jī)、多功能視頻展示臺等設(shè)備的方法來實施教學(xué)環(huán)境信息化，教學(xué)仍舊還是在一個典型的以教師為中心的教學(xué)模式下進(jìn)行著，這與構(gòu)建校園信息化教學(xué)環(huán)境的初衷相距尚遠(yuǎn)。多媒體綜合教室內(nèi)配備有多媒體計算機(jī)、高亮度液晶投影儀、多功能視頻展示臺各一臺，功放音響一套，其中多媒體計算機(jī)通過網(wǎng)卡連入校園主干網(wǎng)，從而方便調(diào)用網(wǎng)絡(luò)內(nèi)其它計算機(jī)上的教學(xué)資源，實現(xiàn)資源共享。學(xué)?？筛鶕?jù)教學(xué)實際需要配置一到二個多媒體綜合教室。 以上只是整個校園網(wǎng)中一些主要的網(wǎng)絡(luò)組成部分，此外還有學(xué)生宿舍樓、教師宿舍樓、實驗室教學(xué)樓等。通常 VLAN 的實現(xiàn)有以下幾種方法： ●基于端口的虛擬工作組， ●基于 MAC、協(xié)議、子網(wǎng)的虛擬工作組， ● Tagged VLAN：通過在數(shù)據(jù)幀中增加 VLAN 標(biāo)記位來區(qū)分不同的工作組。 雖然三種方式各有千秋 ,但是從實際出發(fā)，采用基于交換端口的 VLAN 劃分方式是一種理想的選擇 ,也是目前實際中普遍采用的劃分方式。比如我們可以限制哪些用戶擁有訪問中心服務(wù)器的權(quán)利，哪些則沒有。 由于系統(tǒng)的特殊性，可以配合虛擬網(wǎng)的劃分，給不同的虛擬網(wǎng)配置不同的 子網(wǎng)段，整個網(wǎng)絡(luò)可以非常方便地劃分為幾個子網(wǎng)，子網(wǎng)之間的通信由中心路由式交換機(jī)來實現(xiàn)，具體可以采用 OSPF 路由協(xié)議。 Web 服務(wù)系統(tǒng)：選用 Windows NT 下的 IIS 信息服務(wù)系統(tǒng)。 (3) 數(shù)據(jù)庫軟件：建議采用“甲骨文的” oracle 數(shù)據(jù)庫軟件。 (5) 網(wǎng)頁維護(hù)制作軟件： Macrosoft 公司的 FrontPage、 Macromedia 公司的Dreamweaver、 Flash 都是很好選擇。 (7) 代理服務(wù)軟件：可采用 for NT，這是一個功能完善、性能穩(wěn)定的代理服務(wù)軟件，非常好用。 (10) 工作站 其它應(yīng)用軟件：文字處理、數(shù)據(jù)表格、圖形處理、瀏覽器、電子郵件等都有許多大家熟悉并經(jīng)常使用的軟件。 校園網(wǎng)的運行 校園網(wǎng)的應(yīng)用 1． 校園網(wǎng)管理信息系統(tǒng) 中國基礎(chǔ)教育校園網(wǎng)集成系統(tǒng) CFES 面向全校，覆蓋教育行政管理、圖書館管理、后勤管理和互聯(lián)網(wǎng)連接等領(lǐng)域，分為教學(xué)管理、學(xué)生管理、行政管理、通用服務(wù)、互聯(lián)網(wǎng)絡(luò)和圖書館管理等分系統(tǒng)，以及教務(wù)管理、 教師管理、教材管理、設(shè)備管理、學(xué)籍管理、考績管理、人事管理、文書管理、綜合查詢、通用查詢、電子郵件、遠(yuǎn)程登錄、圖書編目、圖書流通、圖書檢索和館長查詢等近七十個管理子系統(tǒng)。 3． 校園網(wǎng)站 24 校園網(wǎng)不是一個獨立的、封閉的體系，校園網(wǎng)與 Inter 互連后，校園網(wǎng)用戶在權(quán)限允許的范圍內(nèi)可以使用 Inter 上的 Web 訪問、 Email 收發(fā)、 FTP、 Tel、BBS、新聞組、討論組、個人主頁等服務(wù)。網(wǎng)站主頁的設(shè)計，主要由老師創(chuàng)意，學(xué)生制作，體現(xiàn)學(xué)生的創(chuàng)造性，培養(yǎng)學(xué)生的動手能力。網(wǎng)絡(luò)系統(tǒng)出現(xiàn) 的 問題，一般情況下出現(xiàn)的問題主要有人為操作失誤（包括計算機(jī)病毒引起的故障）和整個網(wǎng)絡(luò)系統(tǒng)本身不可避免的故障。同時人為操作造成的故障在整個網(wǎng)絡(luò)故障的絕大部分，因此要注意加強(qiáng)網(wǎng)絡(luò)使用人員的應(yīng)用技能和道德品質(zhì)，可減少人員有意無意對網(wǎng)絡(luò)造成的傷害。還要檢查各種網(wǎng)絡(luò)設(shè)備的連接情況，在一個計算機(jī)網(wǎng)絡(luò)中各種連接是現(xiàn)容易出問題的，因此要安排一定的時間，每隔一段日期就檢查一下局域網(wǎng)中所有計算機(jī)系統(tǒng)的連線是否松動，還要查看一下電源 線、顯示器、網(wǎng)絡(luò)，串行和并行電纜以及各種配件等。要確保備份系統(tǒng)的完整性，在安裝了服務(wù)器或備份設(shè)備之后，或者對系統(tǒng)進(jìn)行了重大的修改之后（如升級），一定要把整個系統(tǒng)備份下來，再恢復(fù)其中的部分文件進(jìn)行測試。 [4] 四、具體設(shè)計 根據(jù)大學(xué)校園網(wǎng)的 拓?fù)?結(jié)構(gòu)特點及面臨的安全隱患，我們將通過瑞星防火墻、入侵 檢測、網(wǎng)絡(luò)殺毒軟件，實現(xiàn)網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)病毒的防范等安全需求，為大學(xué)校園構(gòu)建統(tǒng)一、安全的網(wǎng)絡(luò)。 25 屏蔽路由器對進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略（信息過濾規(guī)則）對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制。如可以在路由器中實現(xiàn)對內(nèi)部網(wǎng)絡(luò)在 屏蔽騰訊的所有服務(wù)，也可以對特定的黃色、暴力、黑客、游戲網(wǎng)站進(jìn)行屏蔽。 在 Inter 與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺瑞星 企業(yè)版 防火墻， 可以讓學(xué)院了解外部網(wǎng)絡(luò)用戶的身份和工作性質(zhì)，提供訪問規(guī)則，并針對存取要求授予不同的權(quán)限，保證只有經(jīng)授權(quán)許可的信息才能在客戶機(jī)和服務(wù)器間流通。 這樣， 通過 Inter 進(jìn)來的外網(wǎng)用戶只能訪問到對外公開的 一些服務(wù)（如 WWW、 Email、 FTP、 DNS 等），既保護(hù)內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行跟蹤和審計。總體上遵從 “ 不被允許的服務(wù)就是被禁止 ” 的原則 。 第三，在防火墻上建立內(nèi)網(wǎng)計算機(jī)的 IP 地址和 MAC 地址的對應(yīng)表，防止 IP 地址被盜用。 26 第五，定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良 上網(wǎng) 記錄。 C：在中心交換機(jī)上架設(shè) 入侵檢測系統(tǒng) （ 瑞星入侵檢測系統(tǒng) RIDS100） 。將 RIDS100 入侵檢測引擎接入中心交換機(jī)上， 對 處于防火墻之后 的 來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為 的 網(wǎng)絡(luò)活動進(jìn)行實時檢測 。它們可以和 防火墻和路由器配合工作。 IDS 是被動的，它監(jiān) 測你的網(wǎng)絡(luò)上所有的數(shù)據(jù)包。 IDS 是按你指定的規(guī)則運行的，記錄是龐大的，所以我們必須制定合適的規(guī)則對他進(jìn)行正確的配置，如果 IDS 沒有正確的配置，其效果如同沒有一樣。 D： 漏洞掃描系統(tǒng) 采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、 交換機(jī) 等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù) 。 例如：如果主機(jī)不提供諸如 FTP、 HTTP 等公共服務(wù)，盡量關(guān)閉它們。同時為 27 了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能。在各主機(jī)節(jié)點分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。采取這種升級方式，一方面確保校園網(wǎng)內(nèi)的殺毒軟件的更新保持同步，使整個校園網(wǎng)都具有最強(qiáng)的防病毒能力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。因此在設(shè)計校園網(wǎng)主干結(jié)構(gòu)時既要考慮到目前實際應(yīng)用有所側(cè)重，又要兼顧未來的發(fā)展需求。中心 交換機(jī) 和主干交換機(jī)采用千兆光纖交換機(jī)。在校園 信息中心配置一臺 CISCO 公司在千兆高端交換機(jī)市場處于領(lǐng)先地位的主干交換機(jī) Cisco catalyst 3508G XL。 廣域網(wǎng)接入設(shè)備我們選取的是世界上最大的路由器生產(chǎn)商 CSICO 公司的CISCO 2600 路由器。 路由器通過一條 100 兆以太網(wǎng)鏈路連接到主交換機(jī)上，為學(xué)校提供高速的廣域網(wǎng)連接通道。 Inter 防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，它決定了那些內(nèi)部服務(wù)可以被外界訪問；外界的那些人可以訪問內(nèi)部的那些可以訪問的服務(wù)，以及那些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。 防火墻的具體配置步驟如下： 1. 將防火墻的 Console端口用一條防火墻自帶的串行電纜連接到 電腦的一個空余串口上 。 3. 運行電腦 Windows 系統(tǒng)中的超級終端（ HyperTerminal）程序（通常在 “ 附件 ” 程序組中）。 29 4. 當(dāng) PIX 防火墻進(jìn)入系統(tǒng)后即顯示 “pixfirewall” 的提示符，這就證明防火墻 已啟動成功，所進(jìn)入的是防火墻用戶模式。 5. 輸入命令： enable,進(jìn)入特權(quán)用戶模式，此時系統(tǒng)提示為： pixfirewall。 （ 1） . 首先配置防火墻的網(wǎng)卡參數(shù)（以只有 1 個 LAN 和 1 個 WAN 接口的防火墻配置為例） Interface ether0 auto 0 號網(wǎng)卡系統(tǒng)自動分配為 WAN 網(wǎng)卡， “auto”選項為系統(tǒng)自適應(yīng)網(wǎng)卡類型 Interface ether1 auto （ 2） . 配置防火墻內(nèi)、外部網(wǎng)卡的 IP 地址 IP address inside ip_address mask Inside 代表內(nèi)部網(wǎng)卡 IP address outside ip_address mask outside 代表外部網(wǎng)卡 （ 3） . 指定外部網(wǎng)卡的 IP 地址范圍： global 1 ip_addressip_address （ 4） . 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址： nat 1 ip_address mask （ 5） . 配置某些控制選項： conduit global_ip port[port] protocol foreign_ip [mask] 其中， global_ip：指的是要控制的地址； port：指的是所作用的端口， 0代表所有端口； protocol：指的是連接協(xié)議，比如： TCP、 UDP 等； foreign_ip：表示可訪問的 global_ip 外部 IP 地址； mask：為可選項，代表要控制的子網(wǎng)掩碼。它與 Quit 命令一樣。 pixfirewall(config) exit pixfirewall exit pixfirewall 9. 查看當(dāng)前用戶模式下的所有可用命令： show，在相應(yīng)用戶模式下鍵入這個命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。 11. 查看靜態(tài)地址映射 :show static，這個命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對校園網(wǎng)絡(luò)中師生的工作和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。文中分析認(rèn)為，校園網(wǎng)絡(luò)安全重點在防病毒和防攻擊。采用上述措施，基本能夠解決校園網(wǎng)絡(luò)面臨威脅風(fēng)險，從而建構(gòu)一個安全、高效的網(wǎng)絡(luò)。他對我給予了極大地關(guān)心和信任，使我不斷得到了理論和實踐上的精心指導(dǎo)，使我認(rèn)識我的不足之處和平時所忽略的缺點。侯老師的言傳身教是我終身受益。多年來是他們養(yǎng)育了我，是他們在物質(zhì)和精神上給予我莫大支持和鼓勵