相关热词搜索:
校园网基本网络搭建以及网络安全设计分析
校园网基本网络搭建以及网络安全设计分析 以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和 深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被 “黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
一、 基本网络的搭建。
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门 的要求(制作部门和办公部门间的访问控制),我们采用下列方案: 1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多, 最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置 网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、 FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非 常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技 术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络 平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网 技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用 千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络安全设计。
1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和 场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁 辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证 实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密 工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理 上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主 要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具 有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射 设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中 均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传 输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设 备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN 技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局 域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而 实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称 虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与 物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站 无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算 机有着同样的网段,但是它们却没有相同的VL 但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN 技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端 口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技 术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息 的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态 和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上, 并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计 算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立 一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术。这 些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防 病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的 分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不 但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样 就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的 整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专 门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换 (NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共 网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和 保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过 防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火 墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问, 控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功 能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的 可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结 构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络 服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器, 该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部 子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和 服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放 的服务器,隐藏服务器的其它服务,减少系统漏洞。
