论文-构架安全的校园网应用环境

1、目 录内容摘要.关 键 字.11. 校园网的概述21.1 校园网的简介.21.2 校园网的建设思路.21.3 校园网的建设原则.32. 校园网构架常用网络设备.32.1 网卡.42.2 交换机.42.3 路由器.42.4 传输介质.52.5 服务器.82.6 设备选择.83. 校园网架构的建设规划.93.1 总体设计.93.2 网络技术.103.3 网络操作系统.113.4 Internet接入技术.113.5 防火墙.123.6 建网目标.123.7 网络组成.124. 总结.14参考文献.15致谢.16内容摘要:     随着计算机网络及其应用的发展

2、，校园网建设在全国各高等院校越来越普及，网上教学、网上办公、网上信息发布等校园网络信息服务越来越广，但校园网的安全问题也逐渐显现出来。构架安全的校园网络环境，保证关键数据的安全性及各类信息的准确性，使校园网安全、稳定、高效地运转，已成为各高等院校越来越重视的问题。校园网及其信息系统所面临的安全威胁既可能来自校园外部网络的“黑客”人侵，又可能来自校园内部，校园网经常成为一些居心巨测的人的实验目标。校园网存在的安全间题主要有以下几种情况:“黑客”人侵、数据泄露.IP盗用、病毒攻击、非法站点的访问、垃圾邮件等。所有的人侵攻击都是从用户终端上发起的，他们往往利用校园网系统的漏洞并肆意进行破坏。针对校园

3、网的各种安全隐患，深人分析产生这些安全问题的根源以及随时出现的网络安全需求，通过采取相应的网络安全策略，将安全技术、统一身份认证技术与严格的网络管理结合起来，从而构架一个安全、通用、高效的校园网络系统。 关键字:局域网 Internet 计算机网络 网络协议 服务器 防火墙。1. 校园网的概述人类社会已经进入信息时代，能否充分利用Internet的信息资源，已成为衡量现代学校办学实力和办学水平的一项重要指标。学校建设校园网可以帮助广大师生获取Internet信息资源、宣传学校、进行国内和国际交流。充分利用校园网提供的功能，为现代化教学、科研、学校管理和办公自动化等提供应用性的数字化平

4、台，无疑将大大提高学校的综合办学水平。因此，校园网的建设已成为各级各类学校与时俱进、开创现代化教育新模式的必然选择。组建校园网，应立足于以下三个原则：一是校园网建设是一项系统工程，事关整个学校的发展，因而必须充分考虑学校各个部门的应用需要，在此基础上规划建设校园网；二是网络技术的发展日新月异，各种网络设备层出不穷，因此，在掌握校园网结构的基础上，选择相应的网络技术和网络设备组建校园网，是构建校园网硬件平台的重要环节；三是校园网建设的目的是为教学服务，所以选择合适于本校的应用软件、构建校园网软件平台是为师生提供信息服务的重要保障。1.1 校园网的简介计算机网络是指通过传输媒休连接的多部计算机组成

5、的系统，使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话，可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)。我们经常用到的因特网(Internet)属于广域网，校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。1.2 校园网的建设思路目前国内校园网建设的蓬勃发展正在告诉我们这样一个事实:未来教育将从传统“课堂”教育向网上教育发展,而校园网的建设正是这一重大转变的开端.校园网的建设是一项非

6、常复杂的系统工程，校园作为一个特殊的网络应用环境，它的建设与使用都有其自身的特点。在选择局域网的网络技术时要体现开放式、分布式、安全可靠，维护简单的原则。教育也要“上网”在世界各发达国家,校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。 校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生,非更改考试成绩;更改英语全国四、六级统考

7、成绩;更改考研成绩;非法盗取学校招生、分配机密 1.3 校园网的建设原则校园网建设是一项综合性非常强的系统工程，它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系，从而使校园网的建设工作健康稳定地开展。首先，校园网的建设是一个为学校教育教学活动长期服务的工作，因此在校园网的规划建设过程中，必须从学校长远发展规划出发，以服务于教育为基本点，结合学校当前教育教学的实际需要，做出科学的规划部署。在校园网的规划建设中，一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网

8、的建设中必须坚持硬件建设与组织管理协调发展的原则，在重视硬件建设的同时，加强网络的组织管理水平，不断开发网络的功能，从而充分发挥校园网络的功效，提高校园网对学校教育的服务水平。2. 校园网常用网络设备网络设备主要是指硬件系统，各种网络设备之间是有着相互关联而不是相互独立的，每一部分在网络中有着不同的作用，缺一不可，只有把这些设备通过一定的形式连起来才能组成一个完整的网络系统，网络设备主要包括网卡、集线器、交换机、路由器、传输介质等1。2.1 网卡网卡（简称NIC），也网络适配卡或网络接口卡，网卡作为计算机与网络连接的接口，是不可缺少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络，都

9、必须借助于相应类型的网卡才能实现与计算机的连接，是计算机与局域网相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号，也就是MAC（Media Access Control）地址，计算机在连入网络之后，就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种，不同类型的网络需要使用不同种类的网卡，不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话，有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡；如按总线分，有ISA总线、PCI总线、PCMCIA总线网卡等。从目前校园网建设的实际情况来看，工作站网卡选择PCI总线的10M/100Mbit

10、/s自适应网卡最适合。2.2 交换机交换机，也称交换式集线器，是专门设计的，使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备，随着价格的不断降低，交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率，而且交换延时很小，使得信息的传输效率大大提高，适合于大数据量并且使用非常频繁的网络通信，被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能，它能自动根据网络通信的使用情况来动态管理网络，因为交换机采用了独享网络带宽的设计。为了实现数据的高速转发。所以核心层交换机选用CISCO WS-C3560G-24PS-S型三

11、层交换机。为了承担网关和三层路由转发功能的重担。所以汇聚层交换机选用CISCO WS-C3550-24-SMI型的三层交换机。实现与PC机的连接，为用户提供大量端口。接入层交换机选用CISCO WS-C2950C-24型号的交换机。基本参数如表所示。产品型号WS-C3560G-24PS-SWS-C3550-24-SMIWS-C2950C-24产品类型三层,可网管型交换机,千兆交换机,以太网交换机。三层,可网管型交换机,快速以太网交换机二层,可网管型交换机,快速以太网交换机传输方式存储转发方式存储转发方式存储转发方式背板带宽32Gbps8.8Gbps8.8Gbps包转发率38.7Mpps6.6M

12、pps3.9MppsFlash内存32MB32MB8MB最大DRAM内存128MB64MB16MB接口类型10/100/1000BASE-T端口,RJ4510/100Base-t,1000Base-X SFP,10/100Base-T,GBIc10/100Base-T,10/100Base-T,100BASE-FX接口数目24口24口24 口传输速率10M/100M/1000Mbps10M/100M/1000Mbps10M/100Mbps模块化插槽数422堆叠不可堆叠可堆叠可堆叠2.3 路由器路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表，还有控制和管理复

13、杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层，因此它可以在网络层交换和路由数据帧，访问的是对方的网络地址。当数据帧到达路由器后，路由器查看数据帧的目标地址，并在路由表查看到达目标地址的路径，根据路径的代价，选择一条最佳的路径，然后把数据帧沿这条路径发送给目标地址接入路由器2个选择思科2621XM型的路由器产品型号2621处理器Motorola MPC860 50MHzDRAM内存64 MBFlash内存32MB固定网络接口可选广域接口WIC卡控制端

14、口RS-232扩展插槽1个网络模块插槽,1个AIM插槽,2个WIC 插槽,IP s/w2.4 传输介质网络要求把各个独立的计算机连接起来的，这样就必然要求有一种介质将计算机连接起来，这就是传输介质，局域网的传输介质可分为有线介质和无线介质两种，一般情况下都是用有线介质的，因为它的稳定性高，连接可靠，无线介质只是在特殊环境下才使用的传输方式。常用的有线介质主要有以下几类。(1) 同轴电缆同轴电缆以硬铜线为芯，外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕，网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格，最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接，而粗同轴电缆则

15、常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好，能传输更远的距离。同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成，其结构如图1所示。(2) 双绞线双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起，可降低信号干扰的程度，每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消，与其他传输介质相比，双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制，但价格较为低廉。目前，双绞线可分为非屏蔽双绞线和屏蔽双绞线。双绞线的结构如图2如示：(3) 光纤光纤是一种直接为50100um的柔

16、软的、能传导光波的介质，一般由玻璃制造。光纤分为：传输点模数类分单模光纤(Single Mode Fiber)和多模光纤(Multi Mode Fiber)。单模光纤的纤芯直径很小，在给定的工作波长上只能以单一模式传输，传输频带宽，传输容量大。多模光纤是在给定的工作波长上，能以多个模式同时传输的光纤，与单模光纤相比，多模光纤的传输性能较差。光纤通信系统的基本构成如图3所示：2.5 服务器校园网中的服务器主有数据库服务器和代理服务器，数据服务器与代理服务器主要是面向校园网内部用户的服务，对来自Internet的用户服务也很多，主要是对校园网内部用户进行Internet代理服务。目前，绝大多数校园

17、网都要求内部服务用户通过代理访问Internet，这样内部用户就不能直接访问Internet，同时代理服务器保存着内部用户访问Internet的日志，以作为记费的依据。由于用户数量非常大，也非常集中，所以在选型代理服务器时，主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性，一般来说都选用大型服务器作为代理服务器。2.6 设备选型（1）服务器端：选择微软的服务器端集成软件BackOffice.BackOffice包括了WindowsNT.IIS.FrontPage.SQL Server.Exchange server.Systems Management Server。Proxy Ser

18、ver以及一个统一的客户/服务器软件安装程序。其中,WINDOW NT作为网络的基础,提供文件和打印机共享,通信Internet连接和应用程序服务:IIS提供WWW和FTP服务；FrontPage提供网页制作工具和Web管理；Index server提供Email.时间规划和集成的群件性能;SNA Server提供主机数据和应用的连接能力；Systems Management集中地管理这个分布式的环境；Proxy Server提供防火墙功能；有效地将校园网与公共Internet分离并有效地提供客户访问Internet的通路。（2）客户端：选用IE5.0以上,它提供了组用户访问Web,所有本地文

19、件和校园网络上所有文件的集成方法。3. 校园网架构的建设规划校园网建设作为一项复杂的系统工程，与任何一项工程建设一样，在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析，它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系，因此要特别认真地进行系统规划。对于校园网来说，必须对技术和教育的发展前景有着清醒的认识，只有这样，才能从很好地为校园网进行合理的规划。3.1 总体设计校园网络结构设计主要是进行网络的物理设计和逻辑设计，在完成结构设计后才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的，它设计的成功与否都直接影响网络的使用功能的实现以

20、及网络是否能满足网络的需求。计算机网络系统是校园网系统的核心，因此在设计中必须遵循以下原则:1软硬件的可行性。系统软硬件配置必须考虑各种约束条件，主要是性能需求、当前技术水平和改造资金多少，兼顾现实性和技术领先性。2.系统开放原则。系统应具有良好的开放性，或称职兼容性和扩展性，以适应技术的不断发展和不增强的应用需求，因此，应尽量采用工业标准或事实上的工业标准技术。在系统设计时，要考虑系统的生命周期，一般要按超前35年考虑。3.整体最优原则。在进行系统设计和配置时，常遇到很多矛盾，需根据有限合理性原则，进行综合考虑和评价，折中选择。应考虑的因素有：先进性、可靠性、安全性、经济性。4.开放性、先进

21、性原则。系统的传输速率至少目前要够用，最好要有一定的余量，以适应应用的不断增长所采用公认的行业标准，以增强适应性，避免淘汰。要留有足够的扩展扩充的余地，以便对系统进行扩充和改进。网络可先择Microsoft的产品，以Web为中心，以Intranet技术为基础，采用TCP/IP和HTTP为传输协议，客户通过浏览器访问Web及Web相连的数据库2。3.2 网络技术学校建设校园网有许多需要考虑的问题，如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择3。(1) 网络技术

22、类型网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则，并充分考虑性能价格比和今后技术的发展。要求系统兼容性好，易于平滑连接，避免网络瓶颈。当前达到或超过100Mbps的高速网络技术主要有：快速以太网、FDDI、千兆以太网、ATM交换网。FDDI是几年前十分流行的高速网络技术，虽然技术十分成熟，但网络管理复杂且成本较高，现已被逐渐淘汰。ATM是比较先进的网络技术，它采用信元交换方式，以很高的速率在任意两点间建立直接的虚拟通信链路，有较强的传输质量控制能力，特别适合于多媒体信息的传输。但在实际使用中因端口价格过高，难以大规模采用。以太网是种成熟的、质优价廉的网络

23、技术，其标准已制定完备。经过多年发展，形成了完善的10Mbps、100Mbps和千兆以太网技术，同时还由共享式的网络发展成为交换式的以太网，具备与FDDI、ATM网络融合的多种方法与规范。(2) 网络拓扑的选择计算机网络拓扑结构有很多种，主要有总线型拓扑、环型拓扑和星型拓扑。总线型拓扑结构中所有的电脑用介质将整个网络从头串到尾。这是所有的网络拓扑结构中最简单的一种。环型拓扑结构，就是指所有站点被绕成一圈的电缆所连接起来，整个结构看起来象是一个圆圈。当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费

24、是可以承受的。因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和稳定性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。3.3 网络操作系统网络操作系统NOS（Network Operating System）是在计算机操作系统的基础上，加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议，是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有NetWare、Unix、Linix和Windows NT/2000。在校园网中一般情

25、况下都用Windows 2000网络操作系统，因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高Windows系列单机操作系统的兼容性很好4。3.4 Internet接入技术校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。用户计算机接入Internet主要有两种方式，通过局域网或通过电话线网。不过，我们一般采取局域网接入方式。但不管使用哪种接入方式，首先都要连接到ISP的主机。从用户角度看，ISP位于Internet的边缘，用户通过某种通信线路连接到ISP，再通过ISP的连接通道接入Internet。通过局域网接入Internet是

26、指用户局域网使用路由器，通过数据通信网与ISP相连接，再通过ISP的连接通道接入Internet。选择哪种数据通信网络与租用多大的带宽，通常取决于用户的信息流量与能够承担的费用等多种因素5。3.5 防火墙防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一，也是目前网络系统实现网络安全策略应用最为广泛的工具之一。,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受外部非法用户的入侵.在两个网络之间执行访问控制。通常一个路由器，也可以是一台运行防火墙软件的PC机。防火墙有选择地过滤或阻塞网络间的流量。它通常在Intranet和

27、Internet的交接处，也可以在两个Intranet之间设立防火墙。防火墙一般是基于源地址和目的地址以及每个IP包的端口来作出禁止或允许判断6，以防止发生不可预测的、潜在破坏性的侵入，可有效地保证网络安全。它是指设置在不同网络或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网和Internet之间的活动，保证内部网络的安全3.6 建网目标构建普通学校校内Intranet环境，并通过代理服务器接入Internet

28、，实现与Internet 交流。建设校园网络中心，并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、教师备课机房、多媒体教学活动室、图书馆、校长室、教导处、财务处等的校园网，使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯、Internet通讯浏览等基本功能。3.7 网络组成(1) 校园网的主干校园网主干提供两个简单但至关重要的功能.其一,它用于在中间层交换机组之间建立互联.其二,它提供对企业各部分共享的所有资源的高速访问.因其重要性,校园网主干必须具有高吞吐量和高可用性.如果主干变慢或拥挤,则整个网络对常用资源的访问将变慢.通过同一令牌

29、,主干上的中断将影响整个网络的恢复能力和高可用性基本要求。基于当前信息技术发展形势及经济实用可持续发展原则，建议构建100M带宽的快速以太网，根据实际工作站信息点到网络中心的距离，选择适当的传输媒介进行网络综合布线。一般来讲，在同一幢大楼内距离不超过100米均可铺设超五类非屏蔽双绞线，而楼与楼之间的连接主干线原则上应架设光缆，以满足今后发展的需要。(2) 网络中心也就是校园网中心机房，应配置有各种系统服务器（如：Web服务器、Email服务器、代理服务器）、文件服务器（数据库服务器）、中心交换机、配线机柜等。如刚使用时数据流量不大，可只配置一台服务器，视今后网络发展情况再作扩充。为保证网络运行稳定可靠，网络中心的设备选型应选择信誉可靠、质量上等、性能稳定、扩充性优良的专业产品。(3) 计算机教室配置100台586以上微机，通过星型网络拓扑结构将所有微机连接到可堆叠交换机上，再通过交换机连接校园主干网。为方便教学，可在以上网络教室的基础上安装多媒体教学平台，使之成为一个既能完成信息技术学科教学，又能进行多媒体辅助教学，还能开展基于Internet技术的网络活动的多媒体网络活动室。(4) 图书馆系统图书馆系统应该包括两个方面，第一是图书编目、借阅管理系统，它为图书馆管理提供了标准化、自动化、网络化的采编、流通、查