校园局域网的组建与维护

PAGE校园局域网的组建与维护［摘要］校园网是在学校区域内为学校教育提供资源共享、信息交流和协同工作的计算机网络信息系统，有时我们也叫校园网信息系统。我们说的校园网是针对学校内部的计算机网络，不是一般的企业网；它有自己的特点和规律，它要为学校的教育教学实现资源共享、信息交流、引导或辅助教学及协同工作等功能；它是一个信息系统，而不仅仅是一堆设备本文先系统地介绍了整体的设计方案，先分析整个学校的需求，有针对性的作出分析。把握网络建设的基本原则与实际情况相对照，作出具体的设计和开发方案。目录第一章绪论1.1开发背景及意义11.2校园网发挥的作用11.2.1利用校园网实现学校管理信息化11.2.2利用校园网实现教育教学信息化11.2.3利用校园网实现校园文化信息化21.3校园网的功能2校园网需求与分析2.1学校建筑现状分析32.2信息点分布需求分析32.3学校子网需求划分42.4学校VLAN需求划分52.5校园网布线工程分析6第三章校园网服务器配置3.1WWW服务器配置73.2DNS服务器配置9第四章校园局域网故障排除4.1局域网故障产生的原因104.2局域网的故障类型104.3根据故障性质分类104.4根据故障对象分类114.5排除局域网故障的步骤134.6常用命令15校园网安全策略及安全防御措施5.1校园网安全策略及安全防御措施175.1.1软硬件自身存在的漏洞175.1.2设置上的失误185.1.3管理上的漏洞185.1.4危害校园网安全的外部因素185.1.5网络黑客的侵入185.1.6计算机病毒的破坏185.1.7校园网安全防御与应急关键设备技术195.1.8校园网网络安全对策分析195.1.9校园网络安全对策概述205.2网络安全系统对策的制定205.2.1校园网络安全的设计原则20第六章网络系统的测试6.1测试不同vlan之间的通信216.2测试到服务器所走的路径216.3测试DNS解析是否正常226.4测试NAT网络地址转换是否正常236.5测试ACL是否正确256.6测试无线局域网能否访问内网和外网的WWW服务器276.7测试主机能否远程管理接入外网的路由器29结束语32-第一章绪论1.1开发背景及意义随着网络信息时代的来临，互联网应用越来越广泛。如今科学技术的进步，尤其是信息技术的高速发展，使得计算机技术和通信技术已成为信息技术的主体。计算机网络正是这两种技术相结合的产物，在信息技术的带动下，计算机网络发展的非常迅速，已经成为信息科学的一个新的分支。

随着计算机网络的发展，特别是Internet的日益普及，“校园网”就随着全国各高等院校计算机网络的建设而引起了人们的广泛关注。近年来，有很多中、小学也加入到校园网络建设的行列，建设和使用校园网络已成为一种普遍趋势。随着校园网建设的快速发展，学校对网络的依赖性越来越强，同时，网络应用也是日新月异。这就给校园网建设提出了网络的安全和可运行性提出了新的要求。现在校园网络维护的建设已成为现代教育机构的必然选择。从类型来看，校园网大都属于中小型系统，以园区局域网为主。但是它的网络结构和性能要求却有一定的特殊性，为此，相应的网络维护和网络测试方法应有一些特别的考虑。1.2校园网发挥的作用1.2.1利用校园网实现学校管理信息化校园网可以实现德育、教学、人事、校务、教务、财务管理网络化。学校办公管理的网络化，必然对学校的现代化和信息化起到巨大的推动作用，为学校的办公提供简单、高效、便捷的理想环境，是学校管理数字化的基础。1.2.2利用校园网实现教育教学信息化主要包括：教师在网上发布题目和要求，以及所要完成的学习目标；学生利用校园网和互联网检索信息，收集素材；学生通过留言板、BLOG、BBS向老师或其它同学提问和交流，教师在网上答疑辅导；学生利用电子邮件或FTP把作业发送给老师；组织学生就作业进行网上自评、互评、他评，师生在网上在线讨论和交流等。1.2.3利用校园网实现校园文化信息化以信息化为主要特征的校园文化建设，如：校园视频点播、时事新闻、校园生活、热点评论、心理健康教育，校园文学网站等。1.3校园网的功能在Internet以惊人的速度席卷全球之际，校园网成为电脑网络中的一个重要组成部分。所谓校园网就是把分布在校园不同地点的多台电脑连接，按照网络协议相互通信，以共享软件、硬件和数据资源为目标的网络系统。提供丰富的教育教学信息和资源是校园网的生命力。校园网络具有距离短、延时少、相对成本低和传输速率高等优点；它的低层协议较简单，控制选择等问题大大简化，因而又具有组网简单、易于实现的特点。校园网的功能作用主要体现在以下四个方面。（1）信息传递这是校园网络最基本的功能之一，用来实现电脑与电脑之间传递各种信息，使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器，可以为整个校园网络提供各类教学资源，并对这些资源进行综合管理。（2）资源共享。①信息资源共享。通过接入DDN或ISDN，很容易将校园网连接到Internet,这样，网络内的各电脑终端不但可以互通信息资源，而且可以享受网络服务器上的相关数据及Internet网上取之不尽，用之不竭的巨大信息资源，校园网在教学活动中的作用也将成倍地增强。②硬件资源共享。网络中各台电脑可以彼此互为后备机，一旦某台电脑出现故障，它的任务就由网络中其他电脑代而为之，当网络中的某台电脑负担过重时，网络又可将新的任务转交给网络中较空闲的电脑完成。（3）方便教学。网络可以进行图、文、声并茂的多媒体教学，可以取代语言实验室进行更生动的语言教学，也可以利用大量现成的教学软件，提供一个良好的教学环境，这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学，还很容易同外界大型网络连结，形成更大范围的网络交互学习环境。第二章校园网需求分析2.1学校建筑现状分析对学校建筑的分析如图2-1所示：学生公寓区学生公寓区办公区核心交换机动性机教师公寓区行政区软件学院外语系经管系计科系信息工程学生阅览室机电系教学区财务处人事处教务处招生就业处图书馆电子阅览室网络中心借书室图2-1学校建筑图如图所示学校分为学生公寓区，教师公寓区，行政区，图书馆，教学区。其中学生公寓区（A区、B、区、C区），教师公寓区（A区、B、区、C区），行政区（财务处、人事处、教务处、招生就业处），图书馆（学生阅览室、电子阅览室、网络中心、借书室），教学区（计科系、软件学院、经管系、机电系、外语系、信息工程系）。2.2信息点分布需求分析对学校信息点的分析，如表2-1所示：表2-1学校信息点的分析表大楼功能分布信息点信息点合计距核心网络的距离学生公寓区A区500015000500mB区5000C区5000教师公寓区A区500015000500mB区5000C区5000行政区财务处20100500m人事处40教务处30招生就业处10图书馆学生阅览室301701000m电子阅览室30网络中心100借书室10教学区计科系10004500400m软件学院2000经管系500机电系500信息工程系500办公区A区100350350mB区150C区100合计35120m2350m2.3学校子网需求划分为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构--如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表2-2所示，学校子网的划分。表2-2学校子网的划分表序号子网名称包含的信息点1学生公寓子网学生公寓区所有的计算机2教师公寓子网教师公寓区所有的计算机3行政区子网行政区所有的计算机4图书馆子网图书馆区所有的计算机5教学区子网教学区所有的计算机6办公区子网办公区所有的计算机7服务器群子网该区所有的计算机8无线网络子网该区所有的计算机2.4学校VLAN需求划分VLAN（VirtualLocalAreaNetwork）称为虚拟局域网，是指在逻辑上将物理的LAN分成不同小的逻辑子网，每一个逻辑子网就是一个单独的播域。简单地说，就是将一个大的物理的局域网（LAN）在交换机上通过软件划分成若干个小的虚拟的局域网（VLAN）。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址，以便在交换机内部的MAC数据库建立MAC地址表，而广播不能跨越不同网段。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。通过划分VLAN子网，能划小了广播域，避免了数据碰撞在大的物理LAN内产生严重后果的可能，也避免了广播风暴的产生。提高交换网络的交换效率，保证网络稳定。提高网络安全性，通过划分VLAN，LAN被划分不同子网段，因此不能直接通信。必要的通信必须经过路由来实现，因此可在路由器（或三层交换机）上配置访问列表来进行跨子网段的授权访问，从而提高校园内部网络访问的安全性。方便网络管理：采用VLAN技术来划分校园网络，一个VLAN可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。如表2-3所示，该学校校园网络Vlan的划分及IP的分配。表2-3学校vlan的划分及IP的分配表序号子网名称网段IP网关IP备注1学生公寓子网172．16．0．0/16172．16．2．1Vlan22教师公寓子网172．17．0．0/16172．17．3．1Vlan33行政区子网192．168．4．0/24192．168．4．1Vlan44图书馆子网192．168．7．0/24192．168．7．1Vlan75教学区子网172．18．0．0/16172．18．6．1Vlan66办公区子网192．168．5．0/24192．168．5．1Vlan57服务器群子网192．168．8．0/24192．168．8．1Vlan88无线网子网192．168．0．0/24192．168．0．1Vlan9另外，IP地址分为公网地址和私网地址两类，公有地址（Publicaddress）由InterNIC（InternetNetworkInformationCenter因特网信息中心）负责。这些IP地址分配给注册并向InterNIC提出申请的组织机构。通过它直接访问因特网。ISP分配给学校的全局IP地址地址段为:--00/24.,私有地址（Privateaddress）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址A类--55B类--55C类--552.5校园网布线工程分析因为以上的需求特点和信息点分布，结合学校的实际情况总结得到如图2-2所示：C区交换机核心交换机C区交换机核心交换机学生公寓区交换机A区交换机B区交换机C区交换机人事处交换机教师公寓区交换机行政区交换机财务处交换机核心交换机A区交换机B区交换机教务处交换机招生就业处交换机办公区教学区图书馆A区交换机B区交换机C区交换机计科系交换机软件学院交换机机学生阅览室交换机经管系交换机机电系交换机电子阅览室交换机网络中心交换机借书室交换机信息工程交换机图2-2学校信息点的分布图第三章校园网服务器配置3.1WWW服务器配置WWW是建立在客户机／服务器模型之上的。WWW是以超文本标注语言HTML(HyperMarkupLanguage)与超文本传输协议HTTP(HyperTextTransferProtocol)为基础。能够提供面向Internet服务的、一致的用户界面的信息浏览系统。其中WWW服务器采用超文本链路来链接信息页，这些信息页既可放置在同一主机上，也可放置在不同地理位置的主机上；本链路由统一资源定位器(URL)维持，WWW客户端软件(即WWW浏览器)负责信息显示与向服务器发送请求。Internet采用超文本和超媒体的信息组织方式，将信息的链接扩展到整个Internet上。目前，用户利用WWW不仅能访问到WebServer的信息，而且可以访问到FTP、Telnet等网络服务。因此，它已经成为Internet上应用最广和最有前途的访问工具，并在商业范围内日益发挥着越来越重要的作用。WWW客户程序在Internet上被称为WWW浏览器（Browser），它是用来浏览Internet上WWW主页的软件。目前，最流行的浏览器软件主要有Netscapecommunicator和MicrosoftInternetExplorer。WWW浏览提供界面友好的信息查询接口，用户只需提出查询要求，至于到什么地方查询，如何查询则由WWW自动完成。因此WWW为用户带来的是世界范围的超级文本服务。用户只要操纵鼠标，就可以通过Internet从全世界任何地方调来所需的文本、图像、声音等信息。WWW使得非常复杂的Internet使用起来异常简单。WWW浏览器不仅为用户打开了寻找Internet上内容丰富、形式多样的主页信息资源的便捷途径，而且提供了Usenet新闻组电子邮件与FTP协议等功能强大的通信手段。局域网WWW服务器的配置如图3-1所示:图3-1局域网WWW服务器配置图3.2DNS服务器配置DNS服务器在互联网的作用是：把域名转换成为网络可以识别的ip地址。首先，要知道互联网的网站都是一台一台服务器的形式存在的，但是我们怎么去到要访问的网站服务器呢？这就需要给每台服务器分配IP地址，互联网上的网站无穷多，我们不可能记住每个网站的IP地址，这就产生了方便记忆的域名管理系统DNS，他可以把我们输入的好记的域名转换为要访问的服务器的IP地址.简单的说，就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址，DNS服务器就应运而生，提供将域名解析为IP的服务，从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。局域网内DNS服务器的配置如图3-2所示：图3-2局域网DNS服务器的配置第四章局域网故障排除4.1局域网故障产生的原因由于网络协议和网络设备的复杂性，在网络维护时，经常会遇到各种各样的网络故障，如无法上网，局域网不通，网络堵塞甚至网络崩溃，概括起来，导致网络出现股占的原因主要有以下几点。电脑操作系统的网络配置问题网络通信协议的配置问题网卡的安装设置问题网络传输介质问题网络交换设备问题电脑病毒引起的问题人为误操作引起的问题4.2局域网的故障类型网故障多种多样，可以再不同的角度来划分网络故障的类型，如根据故障的性质或根据故障的对象对局域网故障进行分类。4.3根据故障性质分类表1故障性质分类故障分类说明物理故障物理故障是指设备或者线路损坏插头松动.线路受到严重电磁干扰等情况。比如说，网络管理人员发现网络某条线路突然中断，这可能是端口插头松动，或者网络插头误插，也可能是集线器等设备的链接错误造成逻辑故障逻辑故障中最常见的情况就是配置错误，是指因为网络设备的配置原因而导致的网络异常或故障。逻辑故障的其他情形是一些重要进程或逻辑端口关闭，以及系统的负载过高。比如也是线路中断，没有流量，用ping命令发现线路端口不通；检查发现该端口处于down的状态，这就是端口已经关闭，因此导致故障。这时只需重新启动该端口就可以回复线路连通了。还有一种常见情况是路由器的负载过高，表现为路由器（CPU）温度太高。CPU利用率太高，以及内存剩余太少等，如果因此影响网络服务质量，最直接也是最好的办法就是更换路由器4.4根据故障对象分类表2故障对象分类故障分类说明线路故障线路故障最常见的情况就是线路不通，诊断这种情况首先检查该线路上的流量是否存在，然后用ping命令检查线路远程的路由器端口能否响应，用TRACEFOUTE检查路由器配置是否正确，找出问题解决路由器故障线路故障中很多情况都涉及路由器，因此，也可以把一些线路故障归结为路由器故障，检测这种故障多利用min流量检测器，用塔手机路由器的路由表，端口流量数据，计费数据，cpu的温度，负载以及内存余量等数据，通常情况下，网络管理系统有专门的管理进程不断地检测路由器的关键数据，并及时给出报警，需要注意的是，路由器CPU温度过高时十分危险的，这可能导致路由器烧毁而路由器CPU利用率过高和路由器内存余量大小都直接影响网络服务的质量，解决这种故障，只有对路由器进行升级，扩大内存，或者重新规划网络拓扑结构电脑故障电脑故障常见的现象就是电脑的配置不当，像配置IP地址与其他电脑冲突，或者IP地址根本就不在子网的范围内，因此导致上机无法拨通，电脑的另一故障就是安全故障，比如，共享本机硬盘容易导致恶意攻击或者非法利用该机的资源4.5排除局域网故障的步骤网络故障诊断从故障现象出发，以网络诊断工具获取诊断信息，确定网络故障点，查找问题的根源，排除故障。一般故障排除的步骤如下所示[3]：观察故障现象记录故障现象列举可能的故障分析，确定故障排除故障在上述几个步骤中，对于一般问题，不一定每一步都做，但对于一些复杂系统中影响到关键业务的问题。最好按照上面的步骤进行，并且把诊断过程中的所有内容都记录下来。养成这种习惯对故障诊断工作大有裨益。记录故障现象在这一阶段，不但要查看到故障现象，还要观察到问题的细节。两个不通的错误在表现形式上可能很相似，他们的差别只是在一些细微的方面。有些时候，在这个阶段多花一些时间，可能在后面的排错过程中会节省即被的时间。主要做的工作有以下两点：手机有关各种现象的信息（如相关的图像及数据，屏幕提示及各种日志信息）注意检查，记录细节在这个阶段，可以先写下所有的内容，但不要急于下结论。列举可能的故障阅读记录下来的内容，然后列出各种可能的原因。例如，某个网络应用本身是否有问题，网络连接有没有坏，主机的配置是否出了问题，是否是网关的故障等。当对网络排错还不是很熟悉时，（若时间允许）不妨记下所能想到的任何可能产生问题的东西。这时可以根据经验，对系统的熟悉程度来决定他们的主次，但不要轻易排除任何一种可能。在这个阶段不要试图去找出问题所在。只要尽量多地记录下所能想到的，而且是可能导致问题发生的原因就可以了。当然对于这一步来说，丰富的知识和工作经验是相当重要的。当一个问题出现时，对一个生手只能列出3种可能；而对于一个熟手，可能会列出几十种。分析，确定故障刚才列出了一大堆的可能，到底哪个或者哪几个才是真正的原因呢？比较有效的是排除法。我们需要进行分析，并通过前面介绍的常用命令以及一些特殊的工具，一步一步地去测试来验证各种原因是否成立。但这里有个问题，就是“先做哪一步，后座哪一步,”这个问题没有严格的说法。排除故障通过上述步骤找到问题所在后，接下来就可以进行修复工作。认真而详实的记录不仅有助于一步一步记录问题。跟踪问题并最终解决问题，而且也为以后解决问题提供完整的技术文档和文件。在检查过程中要注意一下事项：不要忽视一些显而易见的东西。插头，连接器，电缆和开关不在正确的位置，这些问题是经常存在的问题。在开始查找故障之前，应该先检查一下这些。思路要开阔一点，不要把检查的范围局限在一个小范围内或者想当然地认为某方面是不可能出现问题，这样有可能导致遗漏问题。应该特别注意出错的报文，里面往往包含着解决问题的线索。测试问题时，最好能保证在原始环境下，因为在不同的环境下做实验，同一个问题可能表现出截然不同的现象。有很多错误往往是人为因素造成的，如果平时多注意一些网络配置和使用方法方面的知识，则可以避免大部分的错误。网络故障管理是当今王阔管理体系结构的一个主要组成部分，涵盖了诸如检测、隔离,定故障因素。纠正网络故障等功能。故障管理的目标是提高网络可用性，降低网络停机次数并迅速修复故障。4.6常用命令4.6.1使用Ping命令Ping命令是Windows系统自带的一个可执行命令，是网络中使用最频繁的工具，它主要用于判断网络的连通性的问题。选择“开始”|“运行”命令，在打开的“运行”对话框中直接执行Ping命令，也可以选择“开始”|“程序”|“附件”|“命令提示符”命令，在打开的对话框中执行。当网络出现故障无法连通时，在Windows操作系统中通过Ping，然后查看返回的信息，可以判断网络的故障原因，如表1通过Ping命令判断网络故障：表1通过Ping命令判断网络故障Ping+地址网络故障ping是本地循环地址。如果该地址无法使用ping命令连通，则表明本机TCP/IP协议不能正常工作；如果连通了该地址，证明TCP/IP协议正常工作，则进入下一个步骤继续诊断ping本机IP地址假如本机IP地址为47，则执行命令ping47，如果网卡安装配置没有问题则能ping通该地址，如果在“命令提示符”窗口执行此命令后显示内容为Requesttimeout或“请求超时”，则表明网卡安装或配置有问题。将网线断开再执行此命令，如果显示正常，则说明本机使用的IP地址可能与另一台正在使用的电脑IP地址重复了。如果仍然不正常，则表明本机网卡安装或配置有问题，须继续检查相关网络配置ping网关IP地址假定网关IP地址为，在“命令提示符”窗口执行ping命令，若能连通，则表明局域网中的网关正在运行，反之，则说明网关有问题ping远程IP地址Ping命令可以检测本机能否正常访问Internet，比如本地电信运营商的IP地址为41，在“命令提示符”窗口执行命令ping41。若能连通，表明运行正常，能够正常接入Internet；反之，则表明主机文件（Windowshost）存在问题4.6.2使用Ipconfig命令Ipconfig命令能报告出用户电脑中的拨号网络适配器和以太网卡的信息。利用ipconfig命令可以查看和修改网络中的TCP/IP协议的IP配置信息和IP配置参数，如IP地址、网关、子网掩码。Ipconfig命令的格式为：Ipconfig[/参数]Ipconfig？可以显示具体各参数的用途，如图5Ipconfig参数：图5Ipconfig参数（1）/all显示所有网络适配器（网卡、拨号连接等）的完整TCP/IP配置信息。与不带参数的用法相比，它的信息更全更多，如IP是否动态分配、显示网卡的物理地址等。（2）/batch文件名将Ipconfig所显示信息以文本方式写入指定文件。此参数可用来备份本机的网络配置。（3）/release_all和/releaseN释放全部（或指定）适配器的由DHCP分配的动态IP地址。此参数适用于IP地址非静态分配的网卡，通常和下文的renew参数结合使用。（4）ipconfig/renew_all或ipconfig/renewN为全部（或指定）适配器重新分配IP地址。此参数同样仅适用于IP地址非静态分配的网卡，通常和上文的release参数结合使用。当主机系统能到达远程主机但不能到达本地子网中的其他主机时，表示子网掩码的设置有问题，修改后故障便不会再出现。第五章校园网安全策略及安全防御措施5.1校园网安全策略及安全防御措施校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。危害校园网安全的内部因素在校园网所面临的威胁当中，内部因素是一个重要的方面，这其中既包括软硬件自身存在的缺陷，也包括管理者的管理水平等主观方面的因素。5.1.1软硬件自身存在的漏洞来自硬件系统的安全威胁。一方面是指物理安全，主要是由于网络硬件设备的放置不合适或者防御措施不得力，使得服务器、工作站、交换机、路由器等网络设备，光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全，主要是在设备上进行必要的设置，防止黑客取得硬件设备的远程控制权等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。系统安全漏洞是指系统在设计时没有考虑到的缺陷，特别是操作系统，因为这些软件一般都比较的复杂、庞大，有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在，使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击，入侵成功后将获得系统的相应权限，进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统，而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比较多，由Windows操作系统漏洞引发的不安全问题时有发生。5.1.2设置上的失误合理规划配置设施是校园网发挥作用的关键。在校园网规划时，应考虑长远，因为一旦综合布线、设备配置完成后再进行调整就可能需要再重新设计网络结构，很多地方需要重新布线，网络设备也需要重新设置，这样既浪费人力，物力，也会影响到教学。对于一些重要的场所，例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花八门的解决方案大多是自吹自擂，并没有通过权威部门的评审、鉴定，致使网络市场处于一种比较混乱的局面。5.1.3管理上的漏洞管理是信息网络安全中最重要的部分。管理混乱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险，主在体现在以下几点:（1）机房出入管理不严格，使入侵者能够接近重要设备而带来信息安全风险；（2）一些心怀不满的内部员工，由于熟悉服务器、小程序、脚本和系统的弱点，进行如：复制、删除数据等非法数据操作，造成极大的安全风险；（3）内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人，带来信息泄漏风险；（4）当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的报告、监控、检测与预警。同时，当事故发生后，也无法提供攻击者攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。5.1.4危害校园网安全的外部因素虽然内部因素威胁着校园网的安全，但是在绝大多情况下，黑客入侵，网络病毒等外部因素对网络也构成较大威胁。5.1.5网络黑客的侵入“黑客”一词是由英语Hacker英译出来的，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生并成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。由于校园网规模巨大，各种设备系统差异有很大差异，给管理带来了较大的挑战，同时也成为黑客攻击的对象。5.1.6计算机病毒的破坏一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过多种途径入侵到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。（1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；（2）病毒先传染工作站，在工作站内存驻留，病毒运行时直接通过映像路径传染到服务器中；（3）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；（4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。5.1.7校园网安全防御与应急关键设备技术（1）防火墙及技术。它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙（检查每个IP包的字段，如源地址、目标地址、端口等…）；状态检测防火墙（动态检查网络连接和包）；应用程序代理防火墙（与特定应用程序配合使用）。防火墙性能：最大带宽、并发连接数、每秒新增连接数、丢包和延迟；自身安全性。（2）入侵检测与防御及技术。它能及时发现网络异常行为，并阻止其进一步发展。入侵检测技术包括以下几种：基于误用检测技术（检测与异常规则相匹配的网络行为）；基于异常检测技术（检测偏离了正常规则的网络行为）。入侵检测核心技术：模式匹配、基于统计方法、预测模式生成等。防火墙性能：降低误报率、漏报率。（3）防御病毒及技术。它能及时发现病毒，并清除，阻止病毒进一步传播、扩散。防病毒核心技术有：特征代码匹配、病毒特征自动发现、启发式搜索等，防病毒产品有：Norton、Kaspersky、金山毒霸、瑞星杀毒软件等。（4）内容过滤及技术。它能阻止不健康、反动信息的复制、传播。过滤方法有：基于关键字、权重关键字、基于URL的过滤；基于文字内容的深度搜索；一般在防病毒网关、反垃圾邮件系统中集成。（5）反垃圾邮件及技术。它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理：IP地址、域名、邮件地址黑白名单方式；基于垃圾邮件行为模式识别模型；基于信头、信体、附件的内容过滤方式；反垃圾邮件产品有：防垃圾邮件网关；防垃圾邮件防火墙。根据本章所提出的校园网所面临的安全威胁，我们除了选取良好的拓扑结构外,一般还要注意安全保密,以防止信息的非授权访问；注意其可用性,使计算机的硬件和软件保持有效的运行,并且系统在发生灾难时能够快速完全地恢复；要注意数据的完整性与精确性,使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改。要防止侵袭者通过非法途径进入计算机系统,偷盗有用的数据信息,重点保护系统中容易被攻击的脆弱点。根据目前的技术水平,我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。在校园网安全规划时,对于在什么地方应采取什么样的安全措施,事先都必须给予充分的考虑,以确保校园网的安全，对于这些问题我们将在下一章节予以研究。5.1.8校园网网络安全对策分析校园网安全问题愈来愈突出的同时，校园网安全的对策也越来越引起人们的注意。本章重点讨论校园网的安全对策，并在此基础上简要地说明校园网安全体系结构的构建，以及校园网网络安全体系的内容，校园网安全问题对策所用到的关键技术。5.1.9校园网络安全对策概述随着网络应用的开展，要建立一个安全的网络体系，首先应花较大的精力制定周密的网络安全策略。在网络安全的实施中，技术只是手段，还应该先对网络安全管理有个清晰的概念，然后制定安全策略，最后才是选择合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系，必须采取相应的对策，根据实际的需求不同，采取的策略可能有一些不同之处，但大都包括下述策略。5.2网络安全系统对策的制定物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；确保网络设备有一个良好的电磁兼容工作环境；妥善保管备份磁带和文档资料；防止非法人员进入机房进行破坏活动。最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。采用网络隔离手段可有效减小信息的传播面，从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离，它可从底层有效地控制信号传播途径及传播范围，实现更为细化的安全控制体系，将攻击和入侵造成的威胁限制在较小的子网内，提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。在经费允许范围内，尽可能选用安全级别较高的网络操作系统及数据库系统，以安全套件加固TCP/IP各层。如因受客观条件限制，难以对网络操作系统及数据库系统进行选择，则其他核心软件，如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件。在网络安全中，除了采用技术措施之外，制定有关规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容，应始终贯穿于系统的安全生命周期。一般来说，安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候，网络安全往往会作出让步，或许正是由于一个较小的让步，最后使整个系统