《校园网基本网络搭建及网络安全设计分析.docx》由会员分享,可在线阅读,更多相关《校园网基本网络搭建及网络安全设计分析.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、校园网基本网络搭建及网络安全设计分析校园网基本网络搭建及网络安全设计分析娄红.组网技术选择:目前,常用的主干网的组网技术有快速以太网100Mbps、FDDI、千兆以太网1000Mbps和ATM155Mbps/622Mbps。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因而,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播
2、控网络。二、网络安全设计。1.物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证明这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的_带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防备措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提
3、高屏蔽室的效能,在屏蔽室与外界的各项联络、连接中均要采取相应的隔离措施和设计,如信号线、线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。2.网络分享资源和数据信息安全设计针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLANVirtualLocalAreaNetwork即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段进而实现虚拟工作组的新兴技术。IEEE于1999年公布了用以标
4、准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域或称虚拟LAN,即VLAN,每一个VLAN都包含一组有着一样需求的计算机工作站,与物理上构成的LAN有着一样的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即便是两台计算机有着同样的网段,但是它们却没有一样的VLAN号,它们各自的广播流也不会互相转发,进而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN
5、是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是能够限制广播范围,并能够构成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。很多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许分享型网络的升级。但是,这种划分形式将虚拟网络限制在了一台交
6、换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口能够组成同一个虚拟网。以交换机端口来划分网络成员,其配置经过简单明了。3.计算机病毒、黑客以及电子邮件应用风险防控设计我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了宏大的变化,几乎天天都有新的病毒出如今INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进
7、行攻击。为保护服务器和网络中的工作站免遭到计算机病毒的损害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,进而到达统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但能够做到主机防备病毒,同时通过主机传递的文件可以以避免被病毒损害,这样就能够建立集中有效地防病毒控制系统,进而保证计算机网络信息安全。构成的整体拓扑图。第二,防火墙技术。企
8、业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换NAT,IDS,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。校园网的一些信息不能公布于众,因而必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙能够对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功
9、能进行访问情况分析等。通过防火墙,基本能够保证到达内部的访问都是安全的能够有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络构造分为各部门局域网内部安全子网和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑构造图。内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部子网的安全。分享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射到达端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。参考文献:1AndrewS.Tanenbaum.计算机网络第4版M.北京:清华大学出版社,2020.8.2袁津生,吴砚农。计算机网络安全基础M.北京:人民邮电出版社,2006.7.3中国IT实验室。VLAN及技术J/OL,2020.