|
校園網(wǎng)安全設(shè)計
資源天下 2019/8/17 9:57:51
目 錄
1. 引言 1
2. 需求分析 1
2.1 商業(yè)目標(biāo) 1
2.2 技術(shù)目標(biāo) 2
3. 網(wǎng)絡(luò)拓撲結(jié)構(gòu)與設(shè)計 2
4. 安全方案 3
4.1 路由器和交換機的安全功能 3
4.2 安全措施 4
4.2.1 基于包過濾的防火墻技術(shù) 4
4.2.2 日志功能 4
4.2.3 NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) 4
4.2.4 IP地址-MAC地址綁定技術(shù) 4
4.2.5 動態(tài)路由協(xié)議認證技術(shù) 4
4.2.6 訪問控制 4
4.2.7 防arp攻擊 5
4.3 主機的安全 5
1. 引言
學(xué)校,尤其是各大高校,作為知識基地和人才基地���,它理應(yīng)成為代表信息產(chǎn)業(yè)技術(shù)發(fā)展的最前沿�����,然而現(xiàn)狀是工業(yè)水平高于學(xué)術(shù)水平�。即使這樣,1994年中國教育科研網(wǎng) (CERNET)正式啟動以來��,已與國內(nèi)幾百所學(xué)校相連,2000年該網(wǎng)“二期工程”完成時��,除達到連接1000所大學(xué)的目標(biāo)外�,對有條件的中小學(xué)也將提供上網(wǎng)接入服務(wù)。但實際情況是我國大多數(shù)校園網(wǎng)卻因應(yīng)用水平的低下而造成資源的極大浪費�。如何利用當(dāng)前先進的計算機技術(shù)與校園網(wǎng)資源,實現(xiàn)學(xué)校各項業(yè)務(wù)系統(tǒng)的集成���,提高應(yīng)用水平成為學(xué)校校園網(wǎng)建設(shè)的工作重點�。校園網(wǎng)在國內(nèi)發(fā)展還不成熟��,學(xué)校����、媒體甚至計算機業(yè)界,對校園網(wǎng)都缺乏全面���、深入的理解和認識,帶有一定的盲目性和偏見���。建設(shè)校園網(wǎng)要經(jīng)過周密的論證�、謹慎的決策和緊張的施工�����。目前存在的一些情況是,網(wǎng)建成了�����,問題也出現(xiàn)了:設(shè)計目標(biāo)無法實現(xiàn)���;應(yīng)用軟件缺乏�,阻礙了設(shè)想實施���;維護費用不堪承受等等���。這就需要在網(wǎng)絡(luò)建設(shè)實施前確定明確的設(shè)計目標(biāo),是技術(shù)和成本找到最佳點���,并考慮到日后的升級����,既可擴展性�����。
我們所要設(shè)計的校園網(wǎng)絡(luò)的基本情況是:校園分為南、北(新舊)兩個校區(qū)�。南校區(qū)主要有圖書館、計算機學(xué)院和管理學(xué)院��。北校區(qū)主要是科研大樓�����、通信學(xué)院和理學(xué)院��。
2. 需求分析
一個良好的設(shè)計方案除體現(xiàn)出網(wǎng)絡(luò)的優(yōu)越性能之外�����,還體現(xiàn)在應(yīng)用的實用性�����、網(wǎng)絡(luò)的安全性�、易于管理性和未來的可擴展性。因此���,設(shè)計時要考慮以下問題:
(1)要適應(yīng)未來網(wǎng)絡(luò)的擴展和拓撲結(jié)構(gòu)的變化;
(2)要能為特定的師生用戶或用戶組提供訪問路徑;
(3)要保證網(wǎng)絡(luò)能不間斷地運行���;
(4)當(dāng)網(wǎng)絡(luò)擴大和應(yīng)用增加時�,變化的網(wǎng)絡(luò)結(jié)構(gòu)要能應(yīng)付相應(yīng)的帶寬要求���;
(5)使用頻率較高的應(yīng)用能夠支持網(wǎng)上大多數(shù)的師生用戶����;
(6)能合理地分配用戶對網(wǎng)內(nèi)����、網(wǎng)外的信息流量;
(7)能支持較多的網(wǎng)絡(luò)協(xié)議����,擴大網(wǎng)絡(luò)的應(yīng)用范圍;
(8)支持IP的單點傳送和多點廣播數(shù)據(jù)流�。
基于本學(xué)校北區(qū)的具體情況,結(jié)合以上理論�,我們總結(jié)出了以下一個商業(yè)目標(biāo)和技術(shù)目標(biāo)。
2.1 商業(yè)目標(biāo)
主要用于多媒體教學(xué)����、行政辦公���、學(xué)籍和人事管理、圖書管理�����、財務(wù)管理���、信息共享�����、視頻點播���、WEB服務(wù)、電子公告�����、科研和技術(shù)交流以及Internet應(yīng)用等��。
提高教員的效率�����,允許教員和其他學(xué)院的同仁一起參與更多的項目研究,提高學(xué)生的效率���,消除交作業(yè)難的問題,允許訪問者使用他們的無線筆記本電腦從園區(qū)網(wǎng)絡(luò)訪問互連網(wǎng)絡(luò)����,保護網(wǎng)絡(luò)防止入侵。
2.2 技術(shù)目標(biāo)
整個校園網(wǎng)應(yīng)達到以下目標(biāo):
(1)實現(xiàn)全院教師機聯(lián)網(wǎng)��,提供電子郵件服務(wù)��、WWW服務(wù)�����、Telnet服務(wù)�����、FTP服務(wù)�、VOD視頻服務(wù)、網(wǎng)絡(luò)電視直播服務(wù)��、DNS和BBS等�����;
(2)建立一個國內(nèi)外聯(lián)網(wǎng)的高速數(shù)據(jù)通信系統(tǒng),滿足學(xué)院內(nèi)外�,國內(nèi)外學(xué)術(shù)交流,圖書資料查詢��;
(3)建立一個功能齊全����,處理能力強的事務(wù)處理系統(tǒng),支持學(xué)院的教學(xué)科研和行政管理�����;
(4)建立起一個能實現(xiàn)資源共享和協(xié)同工作的分布式教師機系統(tǒng)��,滿足科學(xué)研究和學(xué)科建設(shè)需要�����;
(5)建立具有多媒體功能的CAI系統(tǒng)��,便于教學(xué)體制改革���,豐富教學(xué)內(nèi)容�����,改進教學(xué)方法��;
(6)建立一個教師和學(xué)生能自由使用網(wǎng)上綜合資源的分布式上機環(huán)境��。
3. 網(wǎng)絡(luò)拓撲結(jié)構(gòu)與設(shè)計
網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示:
圖1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖
(1)校園網(wǎng)與外網(wǎng)接口連接一臺出口路由器�����,一側(cè)連接防火墻�,另一側(cè)有兩個GE出口分別 連接電信城域網(wǎng)和CERNET網(wǎng)絡(luò)���;同時出口路由器提供統(tǒng)一網(wǎng)管(未完���,下一頁)
|