校园网络管理毕业论文.doc

xxxxx学院信 息 工 程 系 毕 业 设 计 试论有效的校园网络管理 安全的校园网络环境班级学号： : 学生姓名： 指导老师： 完成时间： 2011-12-31 【摘要】当今，科技发展迅速，网络发展首当其冲。而作为培养顶尖人才的大学，也纷纷开始建设各具特色的校园网络了。如何管理好，保证网络的安全，已成为校园网络建设的首要任务。如何让校园网络在病毒肆虐的时代 稳固运行，保证学校信息化、数字化网络环境畅通，已成为网络管理员的首要责任。 在技术的广泛应用下，网络的优势慢慢显现：信息处理、工作效率、资源共享。同时当网络给学校带来方便时候，网络安全也慢慢被重视。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论、数论等多种学科的综合性学科。网络安全从本质上说就是网 络上的信息安全。它是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。本文从以下方面阐述校园网络的安全管理： 论文关键词：校园网网络管理网络安全一、设备安全 网络环境的畅通、设备的安全，为校园网络的信息化、数字化提供了网络的物理安全。在网络工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、 暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算 机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线 路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。二、划分vlan 校园网如何合理划分vlan。vlan就是虚拟局域网。由于vlan技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域(或称虚拟局域网，即vlan)，所以每一个vlan可以都是按照校园的一个职能部门来划分，包含着一组具有相同工作特点的计算机。 由于它是按功能划分而不是按物理地划分，所以同一个vlan内的各个工作站无须被放置在同一个物理空间里，这些工作站不一定属于同一个物理局域网网段。一 个vlan内部的广播和单播流量都不会转发到其他vlan中，因此可以控制流量、减少设备投资、简化网络管理、提高网络的安全性。根据具体应用，提出如下 校园网vlan的配置策略：一是以工作站和服务器的逻辑归属划分vlan。如按部门、系、处等，尽可能地将同一工作性质的用户集中在一个valn中，以减 少跨vlan的访问，提高网络的效率。二是按某项应用的覆盖范围配置所要求的vlan。如学校的选课应用，不同地点选课可以将进行选课的数个机房所对应的 交换机端口设为一个vlan。选课活动在物理上可跨几个网段，但在逻辑上属于一个子网。根据校园网的具体情况，为了达到信息流量的控制，并提供良好的安全性，通过对网络逻辑结构进行分析和合理划分，在高校校园网中应用比较广泛的是基于 端口的vlan，采用基于端口vlan技术对校园内部网络不同部门之间进行逻辑隔离，同时抑制广播风暴。在接入层交换机采用基于端口的vlan划分和隔离 用户，在汇聚层或核心层通过三层交换机采用vlan路由进行通讯，达到灵活通讯和管理控制各网段机器的目的。本校的校园网采用基于物理端口进行vlan的 划分，来提高校园网络的工作效率。三、网络流量控制 导致校园网络异常流量的因素很多，有病毒木马等有害程序，有网络教学软件错误使用，设备线路故障，最主要的还是p2p软件的使用。对于前几种原因引起的校园 网异常流量，因为数据流特征比较明显，处理起来比较容易。如对于病毒木马等有害程序可以采用网络防病毒软件进行查杀，并封堵异常流量传播的特定端口；对于 网络教学系统错误使用，可以修改系统设置或暂时切断其与校园网联系来控制；设备端口故障、配置错误、链路冗余没有启用生成树协议或网线线序错误等设备线路 问题都可能导致网络出现异常流量，但此类现象出现的几率很低，通过修改设备配置或修复损坏设备也能彻底解决。传统的流量控制工具和限流技术难以控制p2p应用导致的网络流量。如防火墙、路由器对使用随机端口后的p2p软件识别率比较低，不能取得满意的过滤效果。 而对带宽和连接数量两方面的限制，虽然可以使用户的p2p下载速度下降，p2p连接用户数目下降，但合法用户也会受到影响，很难达到专门限制p2p流量的 目的。 常用的p2p检测技术包括端口检测技术、报文特征字检测技术和行为特征检测技术。端口检测技术已逐渐被淘汰，而行为特征检测是通过数据流分析工具，分析各 种协议行为特征，如并发连接数、数据包收发频率、ip连接方式、上下行流量对应关系等信息来检测p2p应用。行为特征检测的适用性广，可以用于分析未知的 p2p流量，但很难准确判别是那种p2p应用，而且需要分析一定量的数据，才能有结果，不能进行实时的控制。报文特征字检测技术：针对某个具体的p2p应 用，可以通过协议分析的方法，通过报文的特征字来检测该应用的通信流量。报文特征字检测法的优点在于能够精确识别。 比较可行的办法实在xlog流量分析的基础上，分析p2p应用的报文特征，然后利用ips定义新的基于报文特征的过滤规则，对p2p应用进行过滤。但现在 网络中p2p应用上百，分析协议报文的工作量和难度都比较大，而且因为p2p协议的变化快，要保证过滤的有效性，需要对各种p2p协议进行持续的追踪分析，这必须依靠专业的机构来具体实现。四、部署防火墙 校园网有几个显著的特点，对于制定安全策略，维护网络安全具有一定的意义。首先是校园网的用户数目极其庞大，有许多是万人以上的高校，这是一些企业的网络 所不能相比的。上网人数的众多和集中，会对网络造成一定的冲击。校园网的用户以青年学生为主，网上行为十分活跃，这和一些政府机关的网络是不同的。如何对 网上行为做出规范和管理，是网络安全的一个课题。校园网的用户都有相当的文化水准，有些还是网络技术的内行，而且一些住校的学生在夜晚有大量的时间，有可能在内部发起对校园网的攻击，这是和一些部门或者网吧的情况很不相同的。 因此，在校园网的边界以及校园网服务器群的边界，使用防火墙来实施边界防护，是十分必要的。防火墙虽然不能完全杜绝各种安全隐患，但是毕竟能够在一定程度上降低对校园网安全的威胁。为了安全起见，校园网内部是要进一步划分为更多层 次的局部网络的，各个局部网络之间都有防火墙相互隔离，或者使用vlan技术相互隔离。通常情况下，各学区、各院系要相互隔离，办公、科研、教学、生活各 系统也要相互隔离。具体情况视实际需要而定。五、部署入侵防御系统 为了弥补防火墙的不足，可使用入侵防御系统：如ips。他能够及时识别攻击程序、有害代码及其克隆和变种，尽量将病毒挡在校园网之外。另外，对于已经传 入校园网内的病毒，必须防止其扩散，可以利用核心交换机的访问控制列表，屏蔽掉某些可能被病毒利用的端口。这样就可以控制病毒，使其只能在某一子网内传 播，而不至于在校园网内大范围扩散。 另外还可以在交换机上建立内网计算机的ip地址和mac地址的对应表，实现专人专用，防止ip地址被盗用。 六、服务器的安全 校园网的服务器为用户提供各种应用，但是应用提供得越多，系统就存在越多的漏洞，也就有更多的危险。因此从安全角度考虑，应将不必要的服务关闭只向用 户提供他们所需的基本服务。例如：我们在校园网服务器中对用户只提供web服务功能，而没有必要向用户提供ftp功能。这样。在对服务器配置时，只开放 web服务，而将ftp服务禁止。如果要开放ftp功能，则要规定端口、账号及密码，向指定的用户开放。因为用户通过ftp可以上传资源，如果给了用户可 执行权限，那么，通过运行上传的某些程序，就可能使服务器受到攻击。所以，控制好服务器的用户群体也是保障网络安全的一个重要因素。 七、部署防病毒 (1) 合理的校园网规划和主机实名制。有效的管理是防治网络病毒的基础。合理规划校园网，利用子网划分技术将整个网络划分成若干子网。每个子网对应固定的交换机 端口，从而使计算机只能在相应的位置范围内使用；对入网计算机的命名实行实名制统一管理，所有机器一律以责任人名_部门名的模式命名，并将部门名称作为机 器的工作组名，借助这两项措施，网络管理人员将很方便的定位到问题计算机。(2) 使用网络防火墙及核心交换机上的访问。设定访问控制规则，限制网络病毒的扩散和传播。大多数网络蠕虫病毒的传播利用了一些常用的端口。例如：震荡波利用 445端口，冲击波利用135端口。在病毒传播初期，可利用校园网边界上网络防火墙设备，通过访问控制策略拒绝所有企图连接135，445端口的数据包， 将病毒阻隔在校园网之外。另外，对于已经传入校园网内的病毒,必须防止其扩散。可以利用交换机的访问控制列表，屏蔽掉某些可能被病毒利用的端口，并且严格 控制个子网间的访问规则，这样就可以控制病毒的传播，使其只能在某一子网里传播，而不会在校园网大范围内扩散。利用网络防火墙和核心交换机的访问控制功 能，一方面可限制网络病毒在校园网和互联网之间，校园网各子网之间的传播，另一方面也可防止网络设备自身因转发海量的病毒数据包而造成过载。这种技术手段 已经被各校园网管理部门广泛采用。(3) 及时更新操作系统和应用软件的官方补丁。许多传播性极强的网络病毒利用了操作系统漏洞或常用应用软件的缺陷，存在这种漏洞或缺陷的计算机极易受到病毒的感 染，进而成为病毒传播的帮凶。如震荡波病毒流行时感染率极高，破坏力极大，我校校园网内大多数用户的计算机都被感染,几乎造成校园网的瘫痪。只有及时更新 系统补丁，才可能防范这一类的网络病毒。所以，要求校园网用户打开操作系统的自动更新功能，及时下载和安装系统补丁非常必要。(4) 网络应用服务器的防病毒配置。校园网的服务器是信息交汇的平台，面向广大用户提供重要的信息服务。但有少部分用户利用这些公共网络服务恶意散播网络病毒， 一旦病毒侵入这些服务器，就会利用它们在网络中的重要地位进行传播。因此必须加强校园网服务器的防病毒配置。首先,网络服务器必须安装正版的操作系统并及 时更新补丁，合理配置网络服务程序，禁用不必要的系统服务，从而减少受病毒攻击的可能。其次，必须在网络服务器上安装防病毒软件，并打开实时监控，一旦有用户恶意上传病毒，系统也能够自行清除。再次，利用监控软件对系统关键目录和文件进行监控。这样，只要病毒以文件形式存储在计算机关键目录和文件中，管理 员也能及时发现。最后，管理员还应做好系统备份工作,提高网络服务器系统的灾难恢复能力。(5) 安装病毒控管服务器，使用网络版杀毒软件进行统一防范。网络病毒的传播速度极快，往往一经发现就已经大规模爆发，同时其变种也会不断出现，以往的单机杀毒 模式已无力应付。而网络版杀毒软件能够帮助网络管理员有效地控制网络病毒。我校在校园网络管理中心部署了病毒控管服务器，在该服务器上安装了瑞星网络版服 务中心，通过服务中心分别管理下面的用户机器。在学校网资源网站发布瑞星网络版的客户端，要求用户统一安装使用。服务中心能及时分发最新的病毒库，用以对 付病毒的新变种，同时强制打开部分客户端的启发式病毒扫描功能，尽可能地防范一些未知病毒。网管员还可以通过使用网络版杀毒软件进行统一管理，定期强制升 级客户端病毒库版本，并进行全网的病毒扫描和漏洞扫描。通过对扫描结果的分析，掌握全网病毒分布情况，得到感染病毒或存在漏洞的用户名单，及时进行处理。 (6) 加强计算机实验室的防病毒措施。高校的计算机实验室往往拥有数百台机器，由于其特殊性，很容易大规模感染病毒，对校园网影响极大，必须实施有针对性的防病 毒措施。实验室计算机大多在学期开始前就统一安装操作系统和应用软件，并且使用了保护还原卡，在开机后对系统盘自动还原。在这种情况下，所安装的最新系统 补丁和杀毒软件病毒库就会被恢复卡清除。一旦有蠕虫病毒利用新的系统漏洞传播，实验室内计算机极易反复感染，并成为校园网上的毒源。因此，实验室管理员应 关注病毒动态，安装最新的系统补丁和杀毒软件病毒库，并立即为机器重新设置新的还原点。另外，实验室计算机为了方便使用，一般不设置口令，但是这样就给通 过共享传播的病毒提供了机会，使机器很容易受到此类病毒的攻击和感染。所以，实验室管理员还应该为机器设置相对复杂的口令，防止此类病毒通过猜弱口令入 侵。(7) 利用软件防火墙，及时发现阻止网络病毒入侵。建议用户安装天网防火墙、瑞星防火墙等防火墙软件，安全规则一般应由熟悉网络的网管员专门配置，以帮助用户发 现并及时阻止潜在的网络病毒入侵。我校网络中心在各个子网中指定网络协助管理员，在他们使用的计算机上统一安装软件防火墙。一旦他们发现自己的计算机被同一子网的其他机器探测或异常连接，就将此可疑情况上报网络中心。 八、定时更新 任何一个操作系统、防病毒软件、防火墙系统、入侵检测系统、路由交换设备等网络节点、系统或多或少都存在着各种漏洞。系统漏洞的存在就成为网络安全的首 要问题。发现并及时修补漏洞是每个网络管理人员的主要任务。当然，从系统中找到漏洞不是我们一般网络管理人员所能做的但是及早地发现有报告的漏洞，并进 行补丁升级却是我们应该做的。经常登录各有