校园网设计方案

网络安全与管理项目报告书指导教师：罗彬项目名称河北工业职业技术学院姓名：陈兴学号：01号所在专业：级计算机网络技术所在班级：12网络2班成绩:摘要校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简朴的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应当把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充足结合是校园网发挥作用的前提。一个好的校园网，安全问题是至关重要的。随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简朴的形式中，它重要关心的是保证无关人员不能读取，更不能修改传送给其他接受者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也解决合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人的利益而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它涉及要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地结识到，可以制止偶尔实行破坏行为的敌人的方法，以最有效的措施来进行防范。

目录第1章绪论 1第2章校园网络的需求分析及设计规则 22.1需求分析 22.2设计原则 2第3章网络规划设计 33.1现有网络状况 33.2网络规模 33.3信息点分布情况 3第4章网络系统设计 44.1系统需求 44.1.1IP地址划分 44.1.2服务组件的配置 44.2网络拓扑结构 4第5章网络安全与防护技术 65.1计算机网络安全 65.1.2网络安全的目的和功能 65.1.3网络安全的潜在威胁 65.2数据加密技术 75.2.1基本概念 75.3防火墙技术 75.3.1防火墙的概念 85.3.2防火墙的作用和特性 85.3.3实现防火墙的重要技术 85.3.4防火墙的体系结构 95.3.5防火墙选择原则 105.3.6防火墙的配置 105.4网络病毒与防范 115.4.1网络病毒概述 115.5黑客入侵与防范 125.5.1IP欺骗袭击与防范 125.5.2端口扫描与防范 135.5.3网络监听与防范 135.5.4黑客袭击的一般环节 13第6章网络设备选型 14第7章设备清单 20第8章接入技术 21结论 22第1章绪论河北工院简介：河北工业职业技术学院是河北省示范性高等职业院校，国家100所示范性高职院校之一。随着互联网技术的迅猛发展，为适应社会的需求，满足教学的需要，工院在原有网络系统贫乏的基础上决定对校园网进行优化。网络是信息高速发展的纽带，它不仅可以带给我们信息发展的前沿，还可以帮助我们查阅大量的信息，它所提供的信息资源几乎是无穷无尽的。网络作为一种研究工具的出现，极大的拓展了知识的获取范围，大大地减少了我们在每一项工作上所消耗的时间。校园网是网络技术应用于教育事业的一种体现，改善校园网不仅可以充足的提高教学质量，更可以让学生对学习产生爱好，并且它也是管理、办公、信息交流和通信等现代化的标志。因此，对于一个省试点学府来说，扩大校园网的规模，提高信息传输质量，增添新的设备，采用最新的技术，是事在必行的。第2章校园网络的需求分析及设计规则2.1需求分析校园网一方面是一个内部网，建网目的就是为了实现学校办公、教学和管理的信息化，因此应具有学校管理、教育教学资源共享、远程教学和交流等功能，同时还应接入Internet，以使校园网内用户能访问Internet。具体情况如下：校内有两座教学楼，一座实验楼，一座行政楼，四座大楼形成“十”字行。四座大楼之间是学校的操场，是上体育课的地方，也可供学生课下嬉戏放松。此外，单独设立DMZ区，DMZ区为30平米的小型地下室。本网络规定上百台计算机同时与Internet连接时，通信畅通无阻，下载迅速。对于安全面，要有绝对的保证，不可让本校的重要信息外泄，也要保证个别信息不能让不相关的学生或老师看到。由于本校预备明年新建学生宿舍，所以此网络要有可扩充性。现今社会，计算机技术发展迅速，因此，在技术上要有更新措施，这样在教学环境上才干不落后于其他院校，具有先进性。有了这样的校园网，教学环境才是真正的提高，教学质量也会更好。时尚生动的教学对于学生而言，学习起来也会产生爱好，记忆会更加深刻，是快乐的教学方法。2.2设计原则1、整体设计分步实行稳定安全性整合性4、可扩展性5、技术先进成熟性6、系统的易管理维护性7、可靠性系统的容错性第3章网络规划设计3.1现有网络状况网络建设尚处在起步阶段。并无已建成的完善的网络在运营。故并无已有的关于网络运营情况方面的资料可供参考。因此，有待进一步的开发建设。这便给我们兴建该校园的网络带来了极大的便利。我们可以充足运用当今主流的先进技术，来建设和规划该校园的网络，将该校园的网络进行全面，整体的整合。3.2网络规模本网络是具有上百台计算机的小型局域网，内设有路由器、互换机、硬体防火墙等设备。整个校园网信重要信息点数量为720个（如需扩展网络，可随网络灵活性添加小型VLAN即可）。3.3信息点分布情况表3.1重要信息点分布楼楼层号教室数目信息点数（个）1号教学楼1，3，5(主)6*36*3*2+~2号教学楼1——6(总)6*66*6*23号教学楼1,2,3,4,5(主)2*100行政楼1，2，3，48*48*4*5DMS区——————————————————暂不记录第4章网络系统设计4.1系统需求为了使百台计算机同时与Internet连接时，网络畅通无阻，所以规定传输数率不小于2M。安全技术方面，设有硬体防火墙等安全措施。系统升级可采用无盘网络技术。4.1.1IP地址划分1号教学楼共244个信息点，IP地址从~442号教学楼共72个信息点，IP地址从~23号教学楼共244个信息点，IP地址从~44行政楼共160个信息点，IP地址从~604.1.2服务组件的配置根据系统环境联线及设立各Server的IP；打开“控制面板—〉添加/删除程序—〉添加windows组件”；添加IIS、在“网络服务”添加DHCP、FTP、DNS；安装包提醒在“d:\soft\i386”4.2网络拓扑结构第5章网络安全与防护技术5.1计算机网络安全计算机网络安全问题是一个错综复杂的问题，它涉及到系统故障以及故意无意的破坏等。为了保证计算机网络安全，需要采用物理措施、管理措施和技术等多方面措施。计算机网络安全的保护对象重要是数据、资源（硬件资源和软件资源）和声誉（用户形象）。

从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶尔的或者恶意的因素而遭到破坏、更改、泄露，系统连续可靠正常地运营，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术及理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面互相补充，缺一不可。技术方面重要侧重于防范外部非法用户的袭击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。5.1.2网络安全的目的和功能1、网络安全的目的计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资源和信息资源的安全。影响计算机网络安全的因素重要有以下几种：实体安全、运营安全、数据安全、软件安全和通信安全。2、网络安全的功能和措施计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解决措施。由于计算机的安全与反安全会一直地进行下去，故要使计算机网络具有较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理与法律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网络的整体防护水平。5.1.3网络安全的潜在威胁安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性使用所导致的危害。安全威胁可分为故意威胁和偶尔威胁，所谓偶尔威胁是指由偶尔因素导致的威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和积极威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。积极威胁涉及信息进行故意的修改（如改动某次金融会议中货币的数量）。基本威胁信息安全的基本目的是实现信息的机密性、机密性、完整性、可用性以及资源的合法性使用。常见的4种基本威胁是：信息泄露、完整性破坏、拒绝服务和非法使用。2、重要的可实现威胁重要的可实现威胁可以分为渗入威胁和植入威胁。重要的渗入威胁有：假冒、旁路控制和授权侵犯。重要的植入威胁有：特洛伊木马（TorjanHorse）和陷门。3、潜在威胁通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。5.2数据加密技术数据加密技术是实现安全服务的重要基础。它涉及对称密码体系、非对称密码体系、信息认证、数字署名和密钥管理等方面内容。5.2.1基本概念密码学是结识密码变换本质，研究密码保密与破译的基本规律的学科。密码学分为密码编码学和密码分析学（也称密码破译学）两类。密码体制分为对称密码体制和非对称密码体制两类。对称密码体制就是加密和解密的两个密钥相同，或是两个密钥虽然不同，但可以从其中一个推出另一个。特点是算法公开，两个密钥保密。非对称密码体制（又称公钥密码体制）就是加密和解密所使用不同的密钥，并且两者不能互相推出。特点是算法公开，其中的一个密钥也可以公开。5.3防火墙技术防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。5.3.1防火墙的概念“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(scuritygateway),从而保护内部网免受非法用户的侵入。所谓防火墙就是一个能把互联网与内部网隔开的屏障。5.3.2防火墙的作用和特性1、防火墙的作用（1）防火墙能强化安全策略（防火墙是阻塞点）。（2）防火墙能有效的记录Internet上的活动。如作日记记录、有报警功能。（3）防火墙能限制暴露用户点，隐藏内部信息。（4）防火墙是一个安全策略的检查站。（5）防火墙有转换地址功能（IP地址）。2、防火墙的特性（1）所有内部对外部的通信都必须通过防火墙，反之亦然。（2）只有按安全策略所定义的授权，通信才允许通过。（3）防火墙自身是抗入侵的。（4）防火墙是网络的要塞点，是达成网络安全目的的有效手段，因此，尽也许将安全措施都集中在这一点上。（5）防火墙可以强制安全策略的实行。（6）防火墙不能防范恶意的内部知情者。（7）防火墙不能防范不通过它的连接。（8）防火墙不能防御所有的威胁。（9）防火墙不能防范和消除网络上的PC机的病毒。5.3.3实现防火墙的重要技术1、数据包过滤技术数据包过滤(Packet

Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设立的过滤逻辑，

被称为访问控制表(Access

Control

Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端标语、

协议状态等因素，或它们的组合来拟定是否允许该数据包通过。

数据包过滤防火墙逻辑简朴，价格便宜，易于安装和使用，

网络性能和透明性好，在应用环境比较简朴的情况下,可以以较小的代价在一定限度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，

因此在原有网络上增长这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺陷有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行袭击；

二是数据包的源地址、目的地址以及IP的端标语都在数据包的头部，很有也许被窃听或假冒。

2、应用级网关(Application

Level

Gateways);3、代理服务技术;5.3.4防火墙的体系结构防火墙的体系结构可分为简朴结构和复杂结构。简朴结构涉及屏蔽路由器结构和双重宿主主机结构；复杂结构涉及屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。本网络选用屏蔽子网体系结构（见图5.3）特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运营包过滤技术，重要负责数据的过滤检查。壁垒主机运营代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才干进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。优点：安全性很高（三道防线、内部网对外部不可见）。缺陷：结构复杂，造价高。InternetInternet外部屏蔽路由器壁垒主机…………Intranet内部屏蔽路由器防包过滤技术火墙代理服务技术系统包过滤技术内网图5.3屏蔽子网体系结构5.3.5防火墙选择原则防火墙自身是否安全。系统是否稳定。防火墙是否高效。防火墙类的访问控制设备是否可靠。功能是否灵活。配置是否方便。管理是否简便。是否可以抵抗拒绝服务袭击。应考虑的特殊需求。是否具有可扩展、可升级性。5.3.6防火墙的配置有三种配置防火墙的方法：Web服务器位于防火墙内、防火墙外、防火墙上。校园网一般采用Web服务器位于防火墙外,安全起见本网采用一种内外兼顾的配置方式（见图5.4）。优点：内网安全，并且便于外部人员队校内WEB服务器的访问。缺陷：成本相对较高。Web服务器和防火墙图5.4防火墙的配置5.4网络病毒与防范5.4.1网络病毒概述简朴地说，计算机病毒就是人为编写的、具有特定功能的程序。是一种在计算机系统运营过程中能把自身精确或有修改地复制到其他程序中并具有破坏性的程序或代码。病毒按破坏行为可分为良性病毒和恶性病毒；按病毒感染目的可分为引导型病毒（如Monkey病毒）和文献型病毒（如CIH病毒）。网络病毒的特点是传播速度快，传播方式多，清除难度大，破坏性强。防病毒系统设计原则：（1）整个系统的实行过程应保持流畅和平稳，做到尽量不影响既有网络系统的正常工作。（2）安装在原有应用系统上的防毒产品必须保证其稳定性，不影响其它应用的功能。在安装过程中应尽量减少关闭和重新启动整个系统。（3）防病毒系统的管理层次与结构应尽量符合网络自身的管理结构。（4）防病毒系统的升级和部署功能应做到完全自动化，整个系统应具有每日更新的能力。（5）应做到可以对整个系统进行集中的管理和监控，并能集中生成日记报告与记录信息。病毒传播的此外一个途径是通过局域网内的文献共享和外来文献的引入，所以，校园网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。假如病毒在局域网内的所有客户端传播之前就被清除，网络管理员的工作量就减少了很多网关防毒。

网关防毒是对采用HTTP、FTP、SMTP协议进入内部网络的文献进行病毒扫描和恶意代码过滤，从而实现对整个网络的病毒防范。5.5黑客入侵与防范5.5.1IP欺骗袭击与防范IP欺骗（IPSpoofing）是指入侵者伪造生成具有源地址的IP包，冒充被信任主机，与被袭击系统进行信任连接，从而获得某种利益。IP欺骗的原理：IP欺骗袭击是基于TCP/IP协议自身的缺陷（只关心数据是否发送和是否接受到，而对于是何种数据及数据内容无法检查）。袭击通常采用手段为SYN（同步序列号）湮没和TCP劫取。其中SYN湮没是向被信任主机发送大量SYN数据，使系统不能正常的通信，从而使其进入一种哑状态。这时，袭击者就冒充该系统劫取其与目的系统的TCP连接，运用彼此间的信任关系，达成袭击的目的。IP欺骗的一般环节：1、选定目的主机，探察信任模式；2、寻找网络踪迹；3、掩盖踪迹；4、使被信任主机丧失工作能力；5、序列号猜测；6、运用连接放置系统后门。IP欺骗的防范方法：1、抛弃基于IP大体的信任策略。2、进行包过滤。3、使用加密方法。4、使用随机化的初始序列号。5、通过对包的监控来检查IP欺骗。5.5.2端口扫描与防范端口扫描是指袭击者向目的系统的各端口发送连接请求，根据目的系统各端口返回的信息（SYN/ACK确认信息或RST错误信息）能判断出哪些端口是打开的，哪些端口是关闭的，进而袭击目的系统。端口扫描的方法有很多种，可以手工扫描，也可以用端口扫描软件进行扫描。工作原理：向目的系统各端口发送连接请求，若端口是打开的，就会返回SYN/ACK确认信息；若端口是关闭的，则返回RST错误信息。端口扫描的防范方法：1）只留下经常使用的端口，关闭其他端口。2）运用防端口扫描的工具（如：SATAN软件、ISS软件）。3）安装个人防火墙，并及时升级。5.5.3网络监听与防范网络监听是指入侵者进入目的系统后，使用网络监听工具来窃取信息。它属于二级袭击手段。网络监听的防范：对数据加密、使用安全网络拓扑结构（将网络划提成小的子网，用互换机比较安全）。5.5.4黑客袭击的一般环节1、拟定袭击目的；2、选用入侵方式；3、入侵。第6章网络设备选型1、防火墙为了保证网络的安全，在连接Internet的路由器端口处安顿了一台CISCOPIX-515E硬件防火墙，用以防止外界对内部系统的袭击。在服务器内又安顿了中国网软件防火墙，对整个网络系统安全进行监控，并可有效地阻挡从局域网内部对系统的袭击。品名：CISCOPIX-515E设备类型：百兆级防火墙并发连接数：12023网络吞吐量(MPPS)：188安全过滤带宽(MB)：100用户数量限制：无用户数量限制VPN支持：支持2、服务器本网络共用六台服务器，均用此类型。品名：方正圆明MT1001020（Xeon2.8GHZ256MB*280GB*2）设备类型：部门级服务器解决器类型：IntelXeon标准主频（MHZ）：2800最大解决器数量：2标准内存容量：256MB*2随机硬盘容量(GB):80GB*23、CISCOWS-C2950T-24图6.3CISCOWS-C2950T-24图6.3CISCOWS-C2950T-24互换机产品性能指标基本规格设备类型：快速以太网互换机内存：16MBDRAM和8MB闪存互换方式：存储-转发背板带宽（Gbps）：8.8包转发率：6.6MppsVLAN支持：支持MAC地址表：8000网络网络标准：IEEE802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE802.3x全双工操作,IEEE802.1D生成树协议,IEEE802.1pCoS,IEEE802.1QVLAN,IEEE802.3ab1000BaseTX规范,IEEE802.3u100BaseTx规范,IEEE802.310BaseTx规范传输速率(Mbps)：10/100/1000端口端口类型：10/100Base-T,10/100/1000Base-T端口数：24模块化插槽数：2其它是否支持全双工：全双工堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMPMIB扩展，桥接MIB(RFC1493)电气规格额定电压（V）：100to127/200to240VAC额定功率（W）：30外观参数重量(Kg)：3.0长度(mm)：445宽度(mm)：242高度(mm)：44环境参数工作温度（℃）：-5–45工作湿度：10%-95%工作高度（米）：3000存储温度（℃）：-25-70存储湿度：10%-95%存储高度（米）：45004、CISCOWS-C3550-24-EMI图6.4图6.4CISCOWS-C3550-24-EMI互换机产品性能指标基本规格设备类型：快速以太网互换机内存：32MBDRAM和8MB闪存互换方式：存储-转发背板带宽（Gbps）：8.8包转发率：6.6MppsVLAN支持：支持MAC地址表：8000网络网络标准：IEEE802.1x,10BaseT、100BaseTX和1000BastT端口上的IEEE,802.3x全双工,IEEE802.1D生成树协议,IEEE802.1pCoS优先级,IEEE802.1QVLAN,IEEE802.310BaseT规范,IEEE802.3u100BaseTX规范,IEEE802.3ab1000BaseT规范,IEEE802.3z1000BaseX规范,1000BaseX（GBIC）传输速率(Mbps)：10/100/1000端口端口类型：1000BaseX，10/100/1000Base-T端口数：24模块化插槽数：2其它是否支持全双工：全双工堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMPMIB扩展，桥接MIB(RFC1493)电气规格额定电压（V）：220额定功率（W）：190外观参数重量(Kg)：7.2长度(mm)：445宽度(mm)：404高度(mm)：67环境参数工作温度（℃）：0–50工作湿度：10%-85%工作高度（米）：3000存储温度（℃）：-20-65存储湿度：5%-90%存储高度（米）：45005、CISCOWS-C3550-24-SMI图6.5CISCOWS-C3550-24-SMI图6.5CISCOWS-C3550-24-SMI互换机产品性能指标基本规格设备类型：快速以太网互换机内存：32MBDRAM和8MB闪存互换方式：存储-转发背板带宽（Gbps）：8.8包转发率：6.6MppsVLAN支持：支持MAC地址表：8000网络网络标准：IEEE802.1x,10BaseT、100BaseTX和1000BastT端口上的IEEE,802.3x全双工,IEEE802.1D生成树协议,IEEE802.1pCoS优先级,IEEE802.1QVLAN,IEEE802.310BaseT规范,IEEE802.3u100BaseTX规范,IEEE802.3ab1000BaseT规范,IEEE802.3z1000BaseX规范,1000BaseX（GBIC）传输速率(Mbps)：10/100/1000端口端口类型：1000BaseX，10/100Base-T端口数：24模块化插槽数：2其它是否支持全双工：全双工堆叠：可堆叠网管功能：SNMP管理信息库(MIB)II，SNMPMIB扩展，桥接MIB(RFC1493)电气规格额定电压（V）：220额定功率（W）：190外观参数重量(Kg)：5长度(mm)：445宽度(mm)：366高度(mm)：44.5环境参数工作温度（℃）：0–45工作湿度：10%-85%工作高度（米）：3049存储温度（℃）：-25-70存储湿度：5%-90%存储高度（米）：45736、CISCO7204VXR图6.6图6.6CISCO7204VXR路由器产品参数详细信息基本规格DRAM内存(MB)：512Flash内存(MB)：512设备类型：模块化路由器解决器：225、263或350MHz（MIPSRISC）端口固定的广域网接口：可选广域接口WIC卡固定的局域网接口：10/100Base-T/TX支持扩展模块数：4控制端口：RS-232网络支持网络协议：IEEE802.3，ISDN；加密标准AH（MD5），ESP（Null，DES，3DES，ARC4，proprietaryfastencoding，+MD5/HMAC，-MD5）；PPP（PAP，CHAP，LCP，IPCP，MLPPP）；支持的网管协议：CiscoClickStart，SNMP其它是否内置防火墙：是是否支持VPN：是是否支持Qos：是电气规格电源电压(V)：100--240电源功率(W)：150外观特性重量(kg)：22.7长度(mm)：431宽度(mm)：426高度(mm)：133环境条件工作温度(℃)：0-40工作湿度：10%-90%存储温度(℃)：-20-65存储湿度：10%-90%第7章设备清单表7.1部分设备清单序号名称型号数目单位1