校園網(wǎng)基本網(wǎng)絡(luò )搭建及網(wǎng)絡(luò )安全設計分析

校園網(wǎng)基本網(wǎng)絡(luò )搭建及網(wǎng)絡(luò )安全設計分析

　　摘要：伴隨著(zhù)Internet的日益普及，網(wǎng)絡(luò )應用的蓬勃發(fā)展，網(wǎng)絡(luò )信息資源的安全備受關(guān)注。校園網(wǎng)網(wǎng)絡(luò )中的主機可能會(huì )受到非法入侵者的攻擊，網(wǎng)絡(luò )中的敏感數據有可能泄露或被修改，保證網(wǎng)絡(luò )系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過(guò)網(wǎng)絡(luò )拓撲結構和網(wǎng)組技術(shù)對校園網(wǎng)網(wǎng)絡(luò )進(jìn)行搭建，通過(guò)物理、數據等方面的設計對網(wǎng)絡(luò )安全進(jìn)行完善是解決上述問(wèn)題的有效措施。

　　關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò )搭建；網(wǎng)絡(luò )安全；設計。

　　以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò )技術(shù)的應用日益普及和深入，伴隨著(zhù)網(wǎng)絡(luò )技術(shù)的高速發(fā)展，各種各樣的安全問(wèn)題也相繼出現，校園網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生，造成了極壞的社會(huì )影響和巨大的經(jīng)濟損失。維護校園網(wǎng)網(wǎng)絡(luò )安全需要從網(wǎng)絡(luò )的搭建及網(wǎng)絡(luò )安全設計方面著(zhù)手。

　　一、 基本網(wǎng)絡(luò )的搭建。

　　由于校園網(wǎng)網(wǎng)絡(luò )特性（數據流量大，穩定性強，經(jīng)濟性和擴充性）和各個(gè)部門(mén)的要求（制作部門(mén)和辦公部門(mén)間的訪(fǎng)問(wèn)控制），我們采用下列方案：

　　1. 網(wǎng)絡(luò )拓撲結構選擇：網(wǎng)絡(luò )采用星型拓撲結構（如圖1）。它是目前使用最多，最為普遍的局域網(wǎng)拓撲結構。節點(diǎn)具有高度的獨立性，并且適合在中央位置放置網(wǎng)絡(luò )診斷設備。

　　2.組網(wǎng)技術(shù)選擇：目前，常用的主干網(wǎng)的組網(wǎng)技術(shù)有快速以太網(wǎng)（100Mbps）、FDDI、千兆以太網(wǎng)（1000Mbps）和ATM（155Mbps/622Mbps）�？焖僖蕴�網(wǎng)是一種非常成熟的組網(wǎng)技術(shù)，它的造價(jià)很低，性能價(jià)格比很高；FDDI也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)復雜、造價(jià)高，難以升級；ATM技術(shù)成熟，是多媒體應用系統的理想網(wǎng)絡(luò )平臺，但它的網(wǎng)絡(luò )帶寬的實(shí)際利用率很低；目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù)，造價(jià)低于A(yíng)TM網(wǎng)，它的有效帶寬比622Mbps的ATM還高。因此，個(gè)人推薦采用千兆以太網(wǎng)為骨干，快速以太網(wǎng)交換到桌面組建計算機播控網(wǎng)絡(luò )。

　　二、網(wǎng)絡(luò )安全設計。

　　1.物理安全設計 為保證校園網(wǎng)信息網(wǎng)絡(luò )系統的物理安全，除在網(wǎng)絡(luò )規劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗證工作也證實(shí)這種截取距離在幾百甚至可達千米的復原顯示技術(shù)給計算機系統信息的保密工作帶來(lái)了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來(lái)減少或干擾擴散出去的空間信號。正常的防范措施主要在三個(gè)方面：對主機房及重要信息存儲、收發(fā)部門(mén)進(jìn)行屏蔽處理，即建設一個(gè)具有高效屏蔽效能的屏蔽室，用它來(lái)安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應的隔離措施和設計，如信號線(xiàn)、電話(huà)線(xiàn)、空調、消防控制線(xiàn)，以及通風(fēng)、波導，門(mén)的關(guān)起等。對本地網(wǎng) 、局域網(wǎng)傳輸線(xiàn)路傳導輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現均采用光纜傳輸的方式，大多數均在Modem出來(lái)的設備用光電轉換接口，用光纜接出屏蔽室外進(jìn)行傳輸。

　　2.網(wǎng)絡(luò )共享資源和數據信息安全設計 針對這個(gè)問(wèn)題，我們決定使用VLAN技術(shù)和計算機網(wǎng)絡(luò )物理隔離來(lái)實(shí)現。VLAN（Virtual LocalArea Network）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內的設備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現虛擬工作組的新興技術(shù)。

　　IEEE于1999年頒布了用以標準化VLAN實(shí)現方案的802.1Q協(xié)議標準草案。VLAN技術(shù)允許網(wǎng)絡(luò )管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱(chēng)虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著(zhù)相同需求的計算機工作站，與物理上形成的LAN有著(zhù)相同的屬性。

　　但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內的各個(gè)工作站無(wú)須放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內部的廣播和單播流量都不會(huì )轉發(fā)到其它VLAN中，即使是兩臺計算機有著(zhù)同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號，它們各自的廣播流也不會(huì )相互轉發(fā)，從而有助于控制流量、減少設備投資、簡(jiǎn)化網(wǎng)絡(luò )管理、提高網(wǎng)絡(luò )的安全性。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLANID把用戶(hù)劃分為更小的工作組，限制不同工作組間的用戶(hù)二層互訪(fǎng)，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò )。從目前來(lái)看，根據端口來(lái)劃分VLAN的方式是最常用的一種方式。許多VLAN廠(chǎng)商都利用交換機的端口來(lái)劃分VLAN成員，被設定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò )的升級。

　　但是，這種劃分模式將虛擬網(wǎng)絡(luò )限制在了一臺交換機上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機的多個(gè)不同端口劃分VLAN，不同交換機上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機端口來(lái)劃分網(wǎng)絡(luò )成員，其配置過(guò)程簡(jiǎn)單明了。

　　3.計算機病毒、黑客以及電子郵件應用風(fēng)險防控設計 我們采用防病毒技術(shù)，防火墻技術(shù)和入侵檢測技術(shù)來(lái)解決相關(guān)的問(wèn)題。防火墻和入侵檢測還對信息的安全性、訪(fǎng)問(wèn)控制方面起到很大的作用。

　　第一，防病毒技術(shù)。病毒伴隨著(zhù)計算機系統一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天都有新的病毒出現在INTERNET上，并且借助INTERNET上的信息往來(lái)，尤其是EMAIL進(jìn)行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進(jìn)行攻擊。

　　為保護服務(wù)器和網(wǎng)絡(luò )中的工作站免受到計算機病毒的侵害，同時(shí)為了建立一個(gè)集中有效地病毒控制機制，天下論文網(wǎng)需要應用基于網(wǎng)絡(luò )的防病毒技術(shù)。這些技術(shù)包括：基于網(wǎng)關(guān)的防病毒系統、基于服務(wù)器的防病毒系統和基于桌面的防病毒系統。例如，我們準備在主機上統一安裝網(wǎng)絡(luò )防病毒產(chǎn)品套間，并在計算機信息網(wǎng)絡(luò )中設置防病毒中央控制臺，從控制臺給所有的網(wǎng)絡(luò )用戶(hù)進(jìn)行防病毒軟件的分發(fā)，從而達到統一升級和統一管理的目的。安裝了基于網(wǎng)絡(luò )的防病毒軟件后，不但可以做到主機防范病毒，同時(shí)通過(guò)主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統，從而保證計算機網(wǎng)絡(luò )信息安全。形成的整體拓撲圖。

　　第二，防火墻技術(shù)。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡(luò )安全專(zhuān)用設備，專(zhuān)門(mén)用于TCP/IP體系的網(wǎng)絡(luò )層提供鑒別，訪(fǎng)問(wèn)控制，安全審計，網(wǎng)絡(luò )地址轉換（NAT），IDS，VPN，應用代理等功能，保護內部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò )，解決內部計算機信息網(wǎng)絡(luò )出入口的安全問(wèn)題。

　　校園網(wǎng)的一些信息不能公布于眾，因此必須對這些信息進(jìn)行嚴格的保護和保密，所以要加強外部人員對校園網(wǎng)網(wǎng)絡(luò )的訪(fǎng)問(wèn)管理，杜絕敏感信息的泄漏。通過(guò)防火墻，嚴格控制外來(lái)用戶(hù)對校園網(wǎng)網(wǎng)絡(luò )的訪(fǎng)問(wèn)，對非法訪(fǎng)問(wèn)進(jìn)行嚴格拒絕。防火墻可以對校園網(wǎng)信息網(wǎng)絡(luò )提供各種保護，包括：過(guò)濾掉不安全的服務(wù)和非法訪(fǎng)問(wèn)，控制對特殊站點(diǎn)的訪(fǎng)問(wèn)，提供監視INTERNET安全和預警，系統認證，利用日志功能進(jìn)行訪(fǎng)問(wèn)情況分析等。通過(guò)防火墻，基本可以保證到達內部的訪(fǎng)問(wèn)都是安全的可以有效防止非法訪(fǎng)問(wèn)，保護重要主機上的數據，提高網(wǎng)絡(luò )完全性。校園網(wǎng)網(wǎng)絡(luò )結構分為各部門(mén)局域網(wǎng)（內部安全子網(wǎng)）和同時(shí)連接內部網(wǎng)絡(luò )并向外提供各種網(wǎng)絡(luò )服務(wù)的安全子網(wǎng)。防火墻的拓撲結構圖。

　　內部安全子網(wǎng)連接整個(gè)內部使用的計算機，包括各個(gè)VLAN及內部服務(wù)器，該網(wǎng)段對外部分開(kāi)，禁止外部非法入侵和攻擊，并控制合法的對外訪(fǎng)問(wèn)，實(shí)現內部子網(wǎng)的安全。共享安全子網(wǎng)連接對外提供的WEB，EMAIL，FTP等服務(wù)的計算機和服務(wù)器，通過(guò)映射達到端口級安全。外部用戶(hù)只能訪(fǎng)問(wèn)安全規則允許的對外開(kāi)放的服務(wù)器，隱藏服務(wù)器的其它服務(wù)，減少系統漏洞。

　　參考文獻：

　　Andrew S. Tanenbaum. 計算機網(wǎng)絡(luò )（第4版）.北京：清華大學(xué)出版社，2008.8.

　　袁津生，吳硯農。 計算機網(wǎng)絡(luò )安全基礎. 北京：人民郵電出版社，2006.7.

　　中國IT實(shí)驗室。 VLAN及VPN技術(shù), 2009.

【校園網(wǎng)基本網(wǎng)絡(luò )搭建及網(wǎng)絡(luò )安全設計分析】相關(guān)文章：

探析校園網(wǎng)絡(luò )安全技術(shù)03-18

談校園網(wǎng)絡(luò )安全技術(shù)03-18

網(wǎng)絡(luò )安全的風(fēng)險分析03-18

淺論無(wú)線(xiàn)校園網(wǎng)系統分析與設計03-05

試析利用校園網(wǎng)絡(luò )開(kāi)展大學(xué)英語(yǔ)教學(xué)的SWOT分析03-20

淺談網(wǎng)絡(luò )安全與網(wǎng)絡(luò )安全文化03-13

校園網(wǎng)絡(luò )病毒的危害與防治03-05

試論校園網(wǎng)絡(luò )建設與應用03-21

淺談校園網(wǎng)絡(luò )中心機房建設方案的設計與實(shí)現03-16

關(guān)于無(wú)線(xiàn)校園網(wǎng)絡(luò )構建與應用03-16