學(xué)習(xí)啦>論文大全>畢業(yè)論文>計算機(jī)論文>計算機(jī)網(wǎng)絡(luò)>

校園網(wǎng)基本網(wǎng)絡(luò)搭建及網(wǎng)絡(luò)安全設(shè)計分析

時間: 婁紅0 分享

摘要:伴隨著Internet的日益普及,網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展,網(wǎng)絡(luò)信息資源的安全備受關(guān)注。校園網(wǎng)網(wǎng)絡(luò)中的主機(jī)可能會受到非法入侵者的攻擊,網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改,保證網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)組技術(shù)對校園網(wǎng)網(wǎng)絡(luò)進(jìn)行搭建,通過物理、數(shù)據(jù)等方面的設(shè)計對網(wǎng)絡(luò)安全進(jìn)行完善是解決上述問題的有效措施。

  關(guān)鍵詞:校園網(wǎng);網(wǎng)絡(luò)搭建;網(wǎng)絡(luò)安全;設(shè)計。

  以Internet為代表的信息化浪潮席卷全球,信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入,伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,各種各樣的安全問題也相繼出現(xiàn),校園網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生,造成了極壞的社會影響和巨大的經(jīng)濟(jì)損失。維護(hù)校園網(wǎng)網(wǎng)絡(luò)安全需要從網(wǎng)絡(luò)的搭建及網(wǎng)絡(luò)安全設(shè)計方面著手。

  一、 基本網(wǎng)絡(luò)的搭建。

  由于校園網(wǎng)網(wǎng)絡(luò)特性(數(shù)據(jù)流量大,穩(wěn)定性強(qiáng),經(jīng)濟(jì)性和擴(kuò)充性)和各個部門的要求(制作部門和辦公部門間的訪問控制),我們采用下列方案:

  1. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇:網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu)(如圖1)。它是目前使用最多,最為普遍的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。節(jié)點(diǎn)具有高度的獨(dú)立性,并且適合在中央位置放置網(wǎng)絡(luò)診斷設(shè)備。

  2.組網(wǎng)技術(shù)選擇:目前,常用的主干網(wǎng)的組網(wǎng)技術(shù)有快速以太網(wǎng)(100Mbps)、FDDI、千兆以太網(wǎng)(1000Mbps)和ATM(155Mbps/622Mbps)??焖僖蕴W(wǎng)是一種非常成熟的組網(wǎng)技術(shù),它的造價很低,性能價格比很高;FDDI也是一種成熟的組網(wǎng)技術(shù),但技術(shù)復(fù)雜、造價高,難以升級;ATM技術(shù)成熟,是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺,但它的網(wǎng)絡(luò)帶寬的實(shí)際利用率很低;目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù),造價低于ATM網(wǎng),它的有效帶寬比622Mbps的ATM還高。因此,個人推薦采用千兆以太網(wǎng)為骨干,快速以太網(wǎng)交換到桌面組建計算機(jī)播控網(wǎng)絡(luò)。

  二、網(wǎng)絡(luò)安全設(shè)計。

  1.物理安全設(shè)計 為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全,除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外,還要防止系統(tǒng)信息在空間的擴(kuò)散。計算機(jī)系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多,在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計算機(jī)系統(tǒng)信息的__帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散,通常是在物理上采取一定的防護(hù)措施,來減少或干擾擴(kuò)散出去的空間信號。正常的防范措施主要在三個方面:對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理,即建設(shè)一個具有高效屏蔽效能的屏蔽室,用它來安裝運(yùn)行主要設(shè)備,以防止磁鼓、磁帶與高輻射設(shè)備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計,如信號線、電話線、空調(diào)、消防控制線,以及通風(fēng)、波導(dǎo),門的關(guān)起等。對本地網(wǎng) 、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現(xiàn)均采用光纜傳輸?shù)姆绞?,大多?shù)均在Modem出來的設(shè)備用光電轉(zhuǎn)換接口,用光纜接出屏蔽室外進(jìn)行傳輸。

  2.網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計 針對這個問題,我們決定使用VLAN技術(shù)和計算機(jī)網(wǎng)絡(luò)物理隔離來實(shí)現(xiàn)。VLAN(Virtual LocalArea Network)即虛擬局域網(wǎng),是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。

  IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機(jī)工作站,與物理上形成的LAN有著相同的屬性。

  但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內(nèi)的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其它VLAN中,即使是兩臺計算機(jī)有著同樣的網(wǎng)段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態(tài)管理網(wǎng)絡(luò)。從目前來看,根據(jù)端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機(jī)的端口來劃分VLAN成員,被設(shè)定的端口都在同一個廣播域中。例如,一個交換機(jī)的1,2,3,4,5端口被定義為虛擬網(wǎng)AAA,同一交換機(jī)的6,7,8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊,并允許共享型網(wǎng)絡(luò)的升級。

  但是,這種劃分模式將虛擬網(wǎng)絡(luò)限制在了一臺交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個交換機(jī)的多個不同端口劃分VLAN,不同交換機(jī)上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機(jī)端口來劃分網(wǎng)絡(luò)成員,其配置過程簡單明了。

  3.計算機(jī)病毒、黑客以及電子郵件應(yīng)用風(fēng)險防控設(shè)計 我們采用防病毒技術(shù),防火墻技術(shù)和入侵檢測技術(shù)來解決相關(guān)的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。

  第一,防病毒技術(shù)。病毒伴隨著計算機(jī)系統(tǒng)一起發(fā)展了十幾年,目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化,幾乎每天都有新的病毒出現(xiàn)在INTERNET上,并且借助INTERNET上的信息往來,尤其是EMAIL進(jìn)行傳播,傳播速度極其快。計算機(jī)黑客常用病毒夾帶惡意的程序進(jìn)行攻擊。

  為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受到計算機(jī)病毒的侵害,同時為了建立一個集中有效地病毒控制機(jī)制,天下論文網(wǎng)需要應(yīng)用基于網(wǎng)絡(luò)的防病毒技術(shù)。這些技術(shù)包括:基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如,我們準(zhǔn)備在主機(jī)上統(tǒng)一安裝網(wǎng)絡(luò)防病毒產(chǎn)品套間,并在計算機(jī)信息網(wǎng)絡(luò)中設(shè)置防病毒中央控制臺,從控制臺給所有的網(wǎng)絡(luò)用戶進(jìn)行防病毒軟件的分發(fā),從而達(dá)到統(tǒng)一升級和統(tǒng)一管理的目的。安裝了基于網(wǎng)絡(luò)的防病毒軟件后,不但可以做到主機(jī)防范病毒,同時通過主機(jī)傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統(tǒng),從而保證計算機(jī)網(wǎng)絡(luò)信息安全。形成的整體拓?fù)鋱D。

  第二,防火墻技術(shù)。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備,專門用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別,訪問控制,安全審計,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),IDS,,應(yīng)用代理等功能,保護(hù)內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò),解決內(nèi)部計算機(jī)信息網(wǎng)絡(luò)出入口的安全問題。

  校園網(wǎng)的一些信息不能公布于眾,因此必須對這些信息進(jìn)行嚴(yán)格的保護(hù)和保密,所以要加強(qiáng)外部人員對校園網(wǎng)網(wǎng)絡(luò)的訪問管理,杜絕敏感信息的泄漏。通過防火墻,嚴(yán)格控制外來用戶對校園網(wǎng)網(wǎng)絡(luò)的訪問,對非法訪問進(jìn)行嚴(yán)格拒絕。防火墻可以對校園網(wǎng)信息網(wǎng)絡(luò)提供各種保護(hù),包括:過濾掉不安全的服務(wù)和非法訪問,控制對特殊站點(diǎn)的訪問,提供監(jiān)視INTERNET安全和預(yù)警,系統(tǒng)認(rèn)證,利用日志功能進(jìn)行訪問情況分析等。通過防火墻,基本可以保證到達(dá)內(nèi)部的訪問都是安全的可以有效防止非法訪問,保護(hù)重要主機(jī)上的數(shù)據(jù),提高網(wǎng)絡(luò)完全性。校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分為各部門局域網(wǎng)(內(nèi)部安全子網(wǎng))和同時連接內(nèi)部網(wǎng)絡(luò)并向外提供各種網(wǎng)絡(luò)服務(wù)的安全子網(wǎng)。防火墻的拓?fù)浣Y(jié)構(gòu)圖。

  內(nèi)部安全子網(wǎng)連接整個內(nèi)部使用的計算機(jī),包括各個VLAN及內(nèi)部服務(wù)器,該網(wǎng)段對外部分開,禁止外部非法入侵和攻擊,并控制合法的對外訪問,實(shí)現(xiàn)內(nèi)部子網(wǎng)的安全。共享安全子網(wǎng)連接對外提供的WEB,EMAIL,F(xiàn)TP等服務(wù)的計算機(jī)和服務(wù)器,通過映射達(dá)到端口級安全。外部用戶只能訪問安全規(guī)則允許的對外開放的服務(wù)器,隱藏服務(wù)器的其它服務(wù),減少系統(tǒng)漏洞。

  參考文獻(xiàn):

  [1]Andrew S. Tanenbaum. 計算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:清華大學(xué)出版社,2008.8.

  [2]袁津生,吳硯農(nóng)。 計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M]. 北京:人民郵電出版社,2006.7.

  [3]中國IT實(shí)驗(yàn)室。 VLAN及技術(shù)[J/OL], 2009.

20630