校园网网络安全解决方案1

案 校园网网络安全解决方案 1 课程设计任务书 题目：校园网络安全解决方案 学号：

　姓名：

　专业：

　课程：

　指导老师：职称：

　完成时间：2007 年 12 月----2008 年 1 月**学院计算机科学系制 校园网络安全解决方案 引言：校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

　一、网络信息安全系统设计原则 1.满足 Internet 分级管理需求 2.需求、风险、代价平衡的原则 3.综合性、整体性原则 4.可用性原则 5.分步实施原则 目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想：

　大幅度地提高系统的安全性和保密性； 保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； 易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； 尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； 安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； 安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

　基于上述思想，网络信息安全系统应遵循如下设计原则：

　满足因特网的分级管理需求根据 Internet 网络规模大、用户众多的特点，对 Internet/Intranet 信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

　第一级：中心级网络，主要实现内外网隔离；内外网用户的 访问控制；内部网的监控；内部网传输数据的备份与稽查。

　第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

　第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

　需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

　综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

　可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统 的正常运行，如不采用或少采用极大地降低运行速度的密码算法。

　分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

　二、网络信息安全系统设计步骤 1.网络安全需求分析 2.确立合理的目标基线和安全策略 3.明确准备付出的代价 4.制定可行的技术方案 5.工程实施方案(产品的选购与定制) 6.制定配套的法规、条例和管理办法 本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。

　三、网络安全需求 确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：局域网 LAN 内部的安全问题，包括网段的划 分以及 VLAN 的实现 在连接 Internet 时，如何在网络层实现安全性 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信息传输的安全保密性 加密系统如何布置，包括建立证书管理中心、应用系统集成加密等 如何实现远程访问的安全性 如何评价网络系统的整体安全性 基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如 NAT)等。

　四、网络安全层次及安全措施 信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。

　信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA) 网络安全访问控制(防火墙)网络安全检测入侵检测(监控) IPSEC(IP 安全)审计分析链路安全链路加密 1.链路安全 链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此，在加密后的数据不需要进行路由交换的情况下，如 DDN 直通专线用户就可以选择路由加密设备。

　一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于许多专线环境。

　2.网络安全 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

　目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于 IP数据包的源或目标 IP 地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层，一般 可以对多种应用协议进行代理，并对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN 功能、计费功能、流量统计与控制功能、监控功能、NAT 功能等等。

　信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决 60%-80%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息系统安全的挑战。

　信息系统的安全应该是一个动态的发展过程，应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。

　校园网网络构建方案设计[1]1 存档资料成绩：

　 华东交通大学理工学院 课程设计报告书 所属课程名称计算机网络 题目华东交通大学理工学院 校园网网络构建方案设计分院电信分院 专业班级通信工程 学号 201*********133 学生姓名郑耀涛 指导教师汤文平（讲师）

　2014 年

　 6 月 23 日 目录 第一章课程设计内容及要求 (3) 第二章需求分析 (3) 2.1 建网需求 (3) 2.2 网络环境 (4) 2.3 设计目标 (4) 第三章校园网结构的设计 (5) 3.1 总体设计原则 (5) 3.2 校园网设计的层次化模型 (5) 3.3 层次化网络设计 (6) 第四章解决方案 (6) 4.1.网络拓扑结构 (6) 4.2 校区各栋楼信息需求 (7) 第五章网络设备选型 (8) 5.1 交换机 (8) 5.2 服务器 (9) 5.3 其他设备 (10) 第六章网络设备的配置 (10) 6.1 交换机的配置 (11) 第七章课程设计心得 (12) 参考文献（资料）

　(12) 第一章课程设计内容及要求 一、题目：校园网网络构建方案设计 二、任务：

　 根据学院现有的两个校区，设计一个网络构建方案。

　三、要求：

　（1）分析学院的建筑拓扑情况，完成需求分析； （2）列出所需设备，设计完成网络拓扑结构图； （3）构建网络的层次结构； （4）设计学院所需的网络服务（如 FTP 服务，邮件服务等）

　第二章需求分析 2.1 建网需求 华东交通大学理工学院，为了紧追时代步伐，发展与校际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设，决定建设自己的校园网，争取尽早实现教育信息化。校园网建成后，将计算机引入教学各个环节，从而可以引起教学方法、教学手段、教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。校园网将会是学校提高管理水平、工作效率、改善教学质量的有力手段,也就是解决信息时代教育问题的基本工具。

　通过对学校信息化建设专业人员沟通，了解到校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：

　1、教学区、宿舍区用户对校园网、教育网、INTERNET 的 访问有相应的路由策略。

　2、校园网存在多个出口需求，校园网至少要提供中国教育科研网 （CERNET ）和 INTERNET 两个出口。

　3、校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过 “IP+MAC+端口”三元组的动态绑定来识别用户。

　4、校园网 WEB 页面可实现以下功能：用户 Web 自助服务功能，用户可通过 Web 自 助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册。

　5、校园网要求能对每个用户的使用情况能进行事后审计，能够定位到 IP 地址以及用 户所连接的端口和登录的用户名，限定帐号的使用端口。

　6、校园网要求能实现对用户带宽的动态控制。

　7、校园网要求实现组播业务。

　8、校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的扩 展性，能够根据需要逐步平滑升级到万兆的骨干连接。

　 9、网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开 发所需网络应用。

　10、校园网建成后将实现以下基本功能：

　●计算机教学，包括多媒体教学和远程教学； ●网络下载、网络聊天等； ●电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； ●文件传输 FTP：主要利用 FTP 服务获取重要的科技资料和技术文挡； ●INTERNET 服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供 各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。

　●图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等； 2.2 网络环境 学校现有学生宿舍 26 幢，每幢楼 6 层，每层有学生寝室 30间，每间寝室提供一个网络节点；教师宿舍 2 幢（195）户，共14 层，每户提供 1 个网络节点；教学楼 5 幢，共 5 层，每层有 13 间教室，每间教室提供 1 个网络节点；图书馆和电子阅览室在同一幢楼，共有 1 间电子阅览室，每间电子阅览室需要 10 个网络节点；实训楼共 7 层每层需要 20 个节点。要求校园网主干采用 1000Mb/s 光纤，100Mb/s 交换到桌面。

　2.3 设计目标 （1）本项目的实施将会大大改善学校的教学和科研条件。系统完成后将达到以下目标：

　建立一个连接多媒体教室，图书馆等地的校园网，该网的骨干速率为 100Mb/s。（2）建立 VPN 服务器，以支持教师的移动办公。教师在任何地方，通过 Modem 拨号，在授权情况下都可以访问校内信息。（3）建立学校本身的 WWW 服务器，提供学校的主页。（4）提供学校图书馆数目的联机查询。（5）建立邮件服务器，为全校师生提供电子邮件服务。（6）提供文件传输服务。

　第三章校园网结构的设计 根据学校实际情况和特点，进行校园网的建设。在设计过程中，注意校园网的实用性与先进性的结合，并且采用成熟的网络技术，保证校园网的实用性。

　3.1 总体设计原则 由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。

　 该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计遵循下列 5 个基本原则：

　可靠性和高性能网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。

　可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。

　易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。这里我们选用的设备是思科可网管的交换机，防火墙。

　安全性、保密性网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部互联并支持多种业务，要求能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控 制等。在次校园网假设中，通过划分子网，在交换机上实现 Vlan达到网络安全性。

　灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。

　3.2 校园网设计的层次化模型 所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。

　为了更加清楚地理解分层设计的重要性，最好能够理解 OSI（开放系统互联）参考模型。OSI 模型能够简化计算机之间通信的要求，同样，使用层次化模型设计网络也能够简化联网的要求。

推荐访问:校园网 安全解决方案 网络