《2022年校园网络建设投标书 .pdf》由会员分享,可在线阅读,更多相关《2022年校园网络建设投标书 .pdf(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、(此文档为 Word格式,下载后可以任意编辑修改! )(文件备案编号:)网络工程投标书工程名称:编制单位:编 制 人:审 核 人:批 准 人:编制日期:年月日名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 33 页 - - - - - - - - - 第一章投标函 . 3致:武汉工程大学邮电与信息工程学院(邮科院校区). 3第二章用户需求分析与任务. 421 用户需求分析. 42.2 项目要达到的任务. 5第三章综合布线系统设计与拓扑图. 631 校园网设计的基本原则.
2、63.2 实用性和经济性. 63.3 可扩展性和可升级性. 73.4 易管理、易维护. 73.5 安全性、保密性. 73.6 灵活性、综合性. 83.7 模块化、层次化的设计原则. 8第四章技术与服务 . 84.1 主要网络技术. 124.3 网络连接介质. 134.4 校园网与外部的连接. .14 4.5 校园内的无线网络接入.154.6 业务流程说明.17 第五章网络管理 . 19 5.1 故障管理 . 195.2 配置管理 . 195.3 性能管理 . 205.4 安全管理 . 205.5 记账管理 . 20第六章网络安全 . 21 第七章部署防火墙 . 22 第八章病毒防御系统. 24
3、 一、病毒防御系统的组成. 24二、防病毒体系整体结构. 252.2 防病毒体系的物理结构. 252.3 防病毒系统的管理结构. 26第九章施工布线 . 28 一、总则 . 28二、施工要求. 29第十章技术支持 . 31 第十一章企业资格认证33 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 33 页 - - - - - - - - - 第一章投标函致:武汉工程大学邮电与信息工程学院(邮科院校区)1我方已收到上述投标项目所提供的一切有关招标文件、拓扑图等相关说明资料,
4、根据招标文件、拓扑图、答疑纪要和其他相关文件的要求和物业现场查验结果,考虑本企业自身的实力及特点,我单位愿以人民币( 大写 ) 贰万元 ( 小写 )20000 元的投标报价( 详见投标报价表) 投标承包上述服务项目。1.2 本投标文件的有效期为投标截止日后60 天有效,如中标,有效期将延至合同终止日为止。1.3 我方已详细研究了招标文件的所有内容,包括修正文 (如果有) 和所有已提供的参考资料以及有关附件,并完全明白, 我方放弃在此方面提出含糊意见或误解的一切权利。1.4 我方承诺投标文件夹中的一切资料、数据是真实的,并承担由此引起的一切责任。1.5 我方明白并同意我方如在投标有效期之内撤回投
5、标,则投标保证金将被贵方没收。1.6 我方同意按照贵方可能提出的要求而提供与投标有关的任何其他数据或信息。1.7 我方理解贵方不一定接受最低标价或任何贵方可能收到的投标。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 33 页 - - - - - - - - - 1.8 我方如果中标,将保证履行招标文件以及招标文件修改书( 如果有的话 ) 中的全部责任和义务,在中标通知书规定的时间内签订物业管理委托合同。1.9 如我方被授予合同,我方承诺向招商代理机构的支付本次招标的中标
6、服务费。投标人 ( 盖法人公章 ) :法人授权代表 ( 盖章或签名 ) :日期: 2012 年 10 月 30 日第二章用户需求分析与任务21 用户需求分析建立校园网络成为信息学院邮科院校区的基础建设工作,它直接关系到学校的教学和科研工作的质量和水平。校园网络的建设规划需求具有高扩充性和最佳的投资效益并且易于管理为目的。网络在信息学院教学办公环境中起着至关重要的作用,校园网的运作,校园网的运作模式带来大量动态的WWW应用数据传输,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页
7、,共 33 页 - - - - - - - - - 会有相当一部分应用主服务器有高速接入网络的需求(目前为100、1000Mbps,今后可能会更高)。这就是需求网络有足够的竹竿宽带和扩展能力。2.2 项目要达到的任务满足计算机教学科研、行政办公需求,提供各种教学、办公工具和支撑平台,提供丰富的计算机软硬件资源。具有完善的办公事务处理能力,包括电子公文传递、电子公文管、电子邮件、邮件收发等无纸化办公自动化功能。具有远程通信能力,借助电话网等通信手段,以最低的通信成本,方便的实现远程互联,加强各单位之间的业务联系和信息资源共享。可以通过有线、无线等多种方式实现网络接入,网络出口处直接连接数据库,学
8、校网络系统确保整个计算机网络系统的可靠性、安全性,容错能力强,确保信息处理安全保密,最好还可以实现通信的零资费。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 33 页 - - - - - - - - - 第三章综合布线系统设计与拓扑图31 校园网设计的基本原则校园网建设是一项大型网络工程,各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要具有包括图书信息、学校行政办公等综合业务信息管理系统,为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作
9、的先进平台。校园网覆盖整个学校校园,网络设计一般应遵循下列5 个基本原则:可靠性和高性能网络必须是可靠的,包括网络物理级的可靠性,如服务器、风扇、电源、线路等;以及网络逻辑级的可靠性,如交换的汇聚、核心,链路冗余。网络必须具有足够高的性能,满足业务的需要。3.2 实用性和经济性由于学校资金并不是很充足,不可能一步到位。另一方面,学校的应用水平参差不齐,某些系统即使安装了也利用不起来,因此,在校园网的建设过程中,系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精
10、心整理 - - - - - - - 第 6 页,共 33 页 - - - - - - - - - 3.3 可扩展性和可升级性系统要有可扩展性和可升级性,随着学院不断的扩招,业务的增长和应用水平的提高,网络中的数据和信息流将按指数级增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。3.4 易管理、易维护由于校园骨干网络系统规模庞大,应用丰富而复杂,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通
11、用的产品,以便于管理和维护。3.5 安全性、保密性网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求不仅能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 33 页 - - - - - - - -
12、- 3.6 灵活性、综合性通过采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。3.7 模块化、层次化的设计原则所谓模块化就是将把整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部有完整的网络设计。(1) 解决解决各网络之间的冲突问题(2) 简化安装和后台设备管理(3) 易于故障检测和分离问题(4) 易于执行不同类型的服务和安全方针(5) 易于扩展和 / 或代替原来的技术第四章技术与服务4.1 主要网络技术目前,
13、主要流行四种高速网络技术:快速以太网 100BASE-T 、异 步 传 输 (A TM ) 、 光 纤 分 布 数 据 接 口 (FDDI ) 、100VG-AnyLan 。在校园主干网主中应用最多的是千兆以太网和名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 33 页 - - - - - - - - - ATM 。千兆 以 太 网是 快 速 以太 网 的 一种 , 千 兆以 太 网 依 然遵 循802.3 以太网协议,包括帧格式、媒体控制技术( MAC )、全双工技术和
14、流量控制技术,但数据速率达到 1000Mbit/s ,比快速以太网提高了 10 倍。今天,局域网中最普遍采用的技术是以太网技术。据国际数据公司( IDC )的分析家分析,截至1997 年底,所有已安装的网络 85% 都是以太网,其中有 1.18 亿台 PC 、工作站和服务器互联。在所有重要的高速局域网技术中,交换型千兆以太网具有最优的性价比。单位数据速率下千兆以太网与交换型 FDDI 、 155Mbit/s A TM 、 622Mbit/s ATM 、快速以太网的价格。千兆以太网之所以受欢迎,是因为它集价格低廉、连网简单、可扩容和管理简便等优势于一身。ATM 技 术 最 初 是 由 电 话 业
15、 务 发 展 起 来 的 , 可 提 供155M622Mbit/s 的速率,2.4Gbit/s 的速率很快也会应用。 ATM 是为大型可伸缩的和可恢复的骨干网而设计的,其主要功能之一是可在 LAN 和 WAN 中将电话、数据、话音和视频传输集成在一起。但是, ATM 现在的通用标准还未完全确定, ATM 的网络解决方案还只能由各网络设备商提供,各网络设备商之间还不能完全兼容。投入多少资金是评价任一新的网络技术的重要因素,这不仅包括购买设备的价钱,还需考虑网络管理、应用维护、 人员培训、设备维修及故障监测等多方面的费用。如果采用像以太网这类人名师资料总结 - - -精品资料欢迎下载 - - -
16、- - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 33 页 - - - - - - - - - 们熟知的技术, 人员的开支在减少,网络管理者不必对现有的网络维护人员重新进行配置和培训,也不必更换现有的网络分析和管理工具。但越来越多的协议和技术会增加网络的复杂度,因此采用基于以太网解决方案要比采用 FDDI 或 ATM 更为简单。同时,相对简单的网络也相应能降低投资成本。布线和传输距离:基于多模光纤的千兆传输距离不小于 550 米,基于 5 类 非屏蔽双绞线的千兆传输距离不小于100 米,在单模光纤上的传输距离现已达到50,00
17、0 米,显然,这个距离对于园区建筑物之间的互连环境已经足够了,但是对于城域网和广域网,它仍然显得无能为力。 ATM 的发展目标就是要建立这样一个广域信息传输系统。它不受任何物理结构的限制,也和所传输的数字数据类型无关。 就是说, ATM 可以用于在世界上最大的广域网络中传输任何形式的数字数据信息。升级的可行性和可用性:只需将传统以太局域网的主干设备加插千兆以太网适配模块,在新的网络主干之间形成千兆链路,或是增加千兆以太网多层交换机, 而将原先的网络主干结构移向下级应用即可,为园区局域网升级提代了较为合理的解决方案利用 ETHERCHANNAL 技术提供了一个主干带宽平滑升级和主干链路冗余备份的
18、办法。在传统以太局域网所提出的 ATM 技术升级解决方案中,均采用ATM交换机形成网络主干,这样做难以保护用户已有的投资和技术。 ATM 局域网升级的投资要比升兆以太网升级的投资高得多此外,用户在进行 ATM 网络升级时, 为了保证网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 33 页 - - - - - - - - - 络的可靠性和高效率,也就不得不选用同一厂商的网络产品。可直 接 由 以 太 网 升 级 而 来 , 也 可 直 接 升 级 为 千 兆 以 太 网
19、 , 利 用THERCHANNAL 技术提供了一个主干带宽平滑升级和主干链路冗余备份的办法。服务质量:千兆以太网和传统的以太网技术一样是基于争用媒 质 的 网 络 技 术 , 但 通 过 利 用 目 前 出 现 的 一 些 协 议 , 如IEEE802.1P/Q ,再加上多层智能交换技术和 RSVP 可以提供网络服务满意的质量保证。在 ATM 端到端的环境中,具有严格和细致的服务质量保证能力,实现价格昂贵, 目前的 ATM 网络几乎都没有利用到它的服务质量能力。千兆以太网技术结合第三层智能交换技术能够轻松满足园区网络主干的带宽、可扩展性和服务质量等严格要求,并能无缝连接快速以太网和以太网网络,
20、是目前园区主干技术中性价比最好的高速网络解决方案,广域网的互连一直是ATM 的主要应用,但作为园区网络主干, ATM 不能无缝连接快速以太网和以太网网络,那么 ATM 的许多重要特性和优势就不能得到应用,实际上这就降低了 AT M技术的价值。例如,除非是在端到端的 ATM 连接中,一般不能充分利用 ATM 的 服务质量能力;所以在千兆以太网技术出现之后,把 ATM 应用于园区网络主干时一定要慎重。所以只有在网络建设过程中切实考虑本网络的特定需求,综合利用 千兆以太网技术、 ATM 快速以太网技术,才能提供比较完美的网络解决方案,将用户带入畅通的高速网络世界。名师资料总结 - - -精品资料欢迎
21、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 33 页 - - - - - - - - - 4.2 三层交换技术按照 OSI/RM 分层体系结构将低三层归为通信子网,主要完成信息的交换和路由功能。由于物理层只是负责信息的收发,是直接负责两点间信号的传递工作 ,不存在路由寻址问题,因而寻址主要在数据链路层和网络层之间进行。其中, 数据链路层使用的是物理地址,可通过相应软件人工配置。以太网采用的是广播 寻址方式,因而不需要网络层。但以太网采用 CSMA/CD 方式竞争信道,一旦同一网上机器数量多,便会使利用
22、率明显下降,于是就提出了广播域和碰撞域的概念。为了解决碰撞问题,人们设计了桥( Bridge )和集线器( Hub )(分别用于总线型网和星型网)来分割网段,希望通过减小广播域来达到减小碰撞域的目的。然 而桥和集线器的通讯方式是共享信道,依然无法解决不同节点对之间的碰撞问题。因此人们又设计了交换式集线器( Switch Hub ),通过 Cache 映射端口和 MAC 地址,为了扩展 Switch Hub 的连接能力,将一个端口与多个 MAC 地址对应,并在此基础上提出了虚拟局域网( VLAN )的概念。 VLAN 缩小了广播域,且增强了安全性,但不同局域网间的信息交互必须通过网络层解决,因此
23、传统的做法就是在不同的 VLAN 间添加路由器。以每两个 VLAN 间用一条路由来计算, N 个 VLAN 之间全交换就需要 2N-1 条路由来实现全连接,当 N 很大时,对路由器的性能要求很高,于是便形成了小交换机边上配大路由器的局面。同时因为路由器是采用存储名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 33 页 - - - - - - - - - 转发方法,只能依靠软件实现,其时间级为毫秒,而交换式集线器 只 需 查MAC 地 址 , 就 可 将 数 据 帧 转
24、发 , 采 用 直 通( Cut-through )方式实现,可以由硬件直接完成,其时间级是纳秒。所以路由器便成为当今高速网络交换的瓶颈。为了解决这个问题,人们又提出了第三层交换的思想和方法。为了能够用硬件实现数据转发的目标,必须对第三层的功能和结构进行细化。一种较为流行的细化方式是将传统的第三层分为路由选择和交换。 第三层路由选择的处理是基于 CPU 的密集计算和费时的工作,它处理除了数据传送数据外路由选择和地址处理的每个方面,主要输出是一个简单的转发数据库,该数据库用于实际数据传输。这个功能与传统的路由功能十分接近,仅仅减少了分组转发的功能模块。分组转发的功能模块被嵌入到第三层交换中, 它
25、处理实现实际的数据传输, 在传输的工程中使用路由选择所提供的转发表。从理论上,任何一种协议都可以实现第三层交换,但实际中往往考虑那些使用较为频繁的协议数据类型,这样既便于开发设计硬件,又容易降低成本。4.3网络连接介质连接介质中最关键的是从主交换机到二级交换机的连接,即网络的主干。一般说来主要根据网络中心机房到二级交换机的物理距离来决定主干采用何种连接介质。如果这个距离大于 100m ,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 33 页 - - - - - - -
26、 - - 必须使用光缆, 2km 以内用多模光纤,大于 2km 就要采用单模光纤。如果距离小于 100m ,则可以采用千兆铜缆技术。二级交换机以下的支干线路,因为地域上相距不会太远,从整体性能上来看也没有必要使用千兆连接,一般都使用超五类 UTP 的百兆连接,即百兆连接到桌面。4.4 校园网与外部的连接校园网与外部的连接,实际上是用网络连接技术将局域网与广域网连接起来。广域网实际上就是由许许多多的局域网互联起来的。许多不同种类,不同架构,不同规模,不同地域的校园网连接起来, 可以互通信息, 共享网络资源,成为区域性的教科网,城域网的组成部分,从而构成一个网络体系。另外,也可以将校园网与 Int
27、ernet 连接起来,方便教师与学生的日常使用。4.5 校园内的无线网络接入侧重实际应用,覆盖校园内大部分区域,为教学和学习生活提供切实可用的无线网络环境;特别是学生宿舍这类没有有线网络资源或有线资源不充足的区域。保证网络访问的安全性;采用 AC+FIT AP 模式建网,便于管理和扩展。覆盖范围要求:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 33 页 - - - - - - - - - I. 有线网络无法接入的室外场所:校园内一些场所很难实现网络有线接入,采用无线
28、方式可以实现覆盖大范围室外空间的无线网络接入。主要包括各宿舍及教学楼附近空地等。II. 有线网络使用不便或受限的室内空间:校园内一些室内场所空间较大,会产生许多人同时接入网络的需求,采用有线的方式只能提供少量接口,不能满足要求。用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括图书馆、主楼、各教学楼等;认证、计费和管理要求要与现有的计费系统对接,实现针对用户计费、管理、控制功能;校园无线网网络结构要求:运营商承建的无线接入网络要与原校方的有线网络物理独立,无线设备通过自己的汇聚设备进行接入。在汇聚层与原校方网络进行连接。这样便于管理运维,明确责任。产品能力要求要求:I. 产品支
29、持AES 、WEP 加密等安全标准;II. 漫游切换;III.支撑 QOS 能力无线网络拓扑图如下图所示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页,共 33 页 - - - - - - - - - 对于中小型规模的校园网络,建议AC侧挂在局端BRAS ,采用大容量的 AC设备(如H3C的 S75E+AC插卡或 WX6103 )。这样集中的 AC设备可以同时管理多个学校的AP设备。对于网络规模较大(AP数量在 1K 以上)的校园无线网络,建议AC设备直接部署在校内,侧挂
30、在校园内的汇聚交换机即可。无线接入网单独建设,与原校方网络仅在汇聚层连接。即使覆盖教学区的AP设备,也通过运营商的接入交换机直接连接到汇聚交换机上,而不是通过原校方的接入交换机接入。因此,无线接入网络与原校方网络物理上是完全独立的,这样便于运营商统一进行 IP 地址和 VLAN的规划管理,便于运行维护。对于 Internet和校园网两大业务,采用两个SSID 进行接入。其中 Internet业务采用集中转发, 业务数据流通过无线隧道连接到AC上;而校园网业务采用本地转发模式,业务数据流在AP连到接入交换机上就转为以太网标准报文格式,可以直接L2 转发,通过汇聚交换机接入原校园网,不需要在连接到
31、AC上,避免了数据名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 33 页 - - - - - - - - - 流的迂回。 当然,所有无线管理信令的流量都必须到AC上进行处理。校方无线接入认证点设备是在用户通过无线访问校内资源(或教育网)时做认证时的认证网关。对于大部分学校而言,其原有线网访问教育网时通常已部署有认证网关,可以直接利用。对于访问校园内网资源的用户,是否需要认证计费,或者只认证不计费完全取决与校方。4.6 业务流程说明Internet业务流程如下图所示):
32、用户首先通过Intenet业务的 SSID 接入无线网络客户端发起PPPOE 认证请求名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 33 页 - - - - - - - - - PPPOE 认证请求在AP上封装进无线隧道, 隧道数据流不带TAG上传到接入交换机接入交换机为无线隧道数据流标记VLAN (实际上就是无线管理 VLAN )并 L2 上传BRAS L3转发数据流到AC AC将用户数据流出隧道后,标记用户业务VLAN ,并 L2 透传到 BRAS BRAS对用户
33、进行PPPOE 认证过程认证通过后用户业务数据流同样在无线隧道内传输,由AC出隧道后转发到BRAS ,BRAS L3转发到 Internet。校园网业务流程如下图所示(以Portal认证为例):用户首先通过校园网业务的SSID 接入无线网络名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 33 页 - - - - - - - - - 客户端发起DHCP 请求DHCP 认证请求在AP上直接标记VLAN ,带 TAG上传到接入交换机接入交换机与汇聚交换机L2 转发 DHCP
34、请求到校园网中校园网对用户分配IP 地址,网关指向校园网络认证网关用户访问校园网络,触发portal认证认证通过后用户可以访问校园网资源要注意的是, Internet业务与校园网业务采用不同SSID,因此在应用中用户无法同时访问校内资源和Internet资源。第五章网络管理5.1 故障管理故障管理是定位和解决网络问题和故障的过程,它涉及以下步骤:发现故障,确定故障所在, 解决故障(如果可能)使用故障管理技术,网络管理人员就可以更快地定位和解决故障。事实上,这种工具软件在用户报告故障之前,就可以定位和解决故障。5.2 配置管理网络设备的配置控制数据网络的行为,网络配置是发现和设置这些现有设备的过
35、程。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 33 页 - - - - - - - - - 配置管理工具软件可以提供所有网桥的目录,显示出目前每个网桥的软件 版本,你就可以容易地确定哪个网桥需要新的软件升级。5.3 性能管理性能涉及了了测量网络硬件、软件、和媒体的性能。例如,测量活动可能包括利用率、误码率、响应时间等。利用性能管理信息,管理人员可以确定网络是否具有满足用户需要的能力。5.4 安全管理安全管理是对网络中获得信息的过程进行控制。一些由计算机存储的进入网
36、络中的信息可能不适合于每个用户观察,这类敏感的信息包括:如有关公司内部的一些机密文件,象新产品的开发信息和客户名单等等。 安全管理将是提供对终端服务器上进入点的监控,并且记录正在操作的人员地址。 安全管理还可以提供报警信号提醒管理员潜在的安全问题。5.5 记账管理计帐管理涉及了跟踪每个或一组用户使用网络资源的情况,它也涉及了注册或取消进入网络的资格。利用网络计费管理工具软件,可以迅速了解每个用户使用网络的情况。网络管理平台的基本功能是使得网络管理员完成所有的网络管理任务,即网络管理员通过平台可以查询网络中所有设备的信息,进名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
37、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 33 页 - - - - - - - - - 而用各种方式使用这些数据。第六章网络安全如同需要用锁来保证有形的财产的安全一样,计算机和数据网也需要一种保护信息安全的防犯物。在一个互连网络中,安全性既重要又困难。说它重要,是因为信息具有显著的价值 信息可以被直接买卖,也可以通过间接地使用信息创造出可获得高利润的新的产品或服务。 说它困难,是因为安全性意味着既要了解正参加合作的用户、计算机、 服务和网络在何时相互依赖以及如何相互依赖,还要了解网络硬件和协议的技术细节。从广义上讲,术语“ 网络安全性
38、” 和 “ 信息安全性” 是指能够确保网络上的信息和服务不被非授权的用户所使用。安全性意味着:数据的完整性,防止对计算机资源的非授权地随意访问,防止随意地窃听或偷窥以及随便地打断服务。当然,如同不能保证物理财产针对犯罪来说的绝对安全,也没有网络的绝对安全。由于信息的飘忽不定和难以捕捉, 保护像信息这样的资源一般比提供物理的安全性更加困难。数据完整性(即保护信息不被非授权的改变)是关键; 数据可用性(即保证外来者不能通过使网络业务流饱和来阻止对数据的合法访问)也是个关键。 因为信息在通过网络时可以被复制,必须防止数据被非授权的监听。也就是,网络安全性也必须包括保护隐私。名师资料总结 - - -精
39、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 33 页 - - - - - - - - - 武汉工程大学邮电与信息工程学院邮科院校区网络建设方案设计原则是:整个大学网络必须是一个严密的安全保密体系。采取的安全措施不能影响整个网络运行效率。保密设备要做到管理方便, 完善可靠。加密系统具有良好的网络兼容性和可扩展性,实现防窃取、防篡改、防破坏三大功能。按照国家主管部门对政府办公网络安全保密性的相应法规和规定, 要保障系统内部信息的安全, 我们主要应该做到处理秘密级、 机密级信息的系统与不涉及保密信
40、息的系统实行物理隔离,秘密级、机密级信息在网络上采取加密传输。第七章部署防火墙防火墙是设置在内部网络与 Internet 之间的一个或一组系统,用以实施两个网络间的访问控制和安全策略。狭义上防火墙指安装了防火墙软件的主机或 / 和路由系统;广义上还包括整个网络的安全策略和安全行为。防火墙技术属于被动防卫型,它通过在网络边界上建立一个网络通信监控系统来保护内部网络安全的目的,其功能是按照设定的条件对通过的信息进行检查和过滤。防火墙是实施组织的网络安全策略、保护内部信息的第一道屏障,其作用主要有:保护功能 拒绝非授权访问、保护网络系统和私人及敏感信息不受侵害。连接功能作为内部网络与 Interne
41、t 之间的单一连接点。管理功能实施统一的安全策略,检查网络使用情况,进行流量控制等。防火墙有三个属性: 所有进出内部网的数据包必须经过它;仅被名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 33 页 - - - - - - - - - 本地安全策略所授权的数据包才能通过它;防火墙本身对攻击必须具有免疫能力。 在内部网络和外网之间之间通过防火墙,建立起一个DMZ 区。与外网关联业务的服务器都可以放在 DMZ 区, Internet 上的用户只能到达 DMZ 区相应的服务器
42、。 并且内部网络到 Internet 的连接,是通过 NA地址翻译的方式进行,可以充分隐藏和保护内部网络和 DMZ 区设备。防火墙在内外网络连接中起两个作用:(1) 利用访问控制列表( Access Control List , ACL)实安全防护防火墙操作系统 IOS 通过访问控制列表 ( ACL )技术支持包过滤防火墙技术, 根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源目的地址、协议类型、 TCP 端口号进行控制。这样,我们就可以在Extranet 上建立第一道安全防护墙,屏蔽对内部网 Intranet 的非法访问。(2) 利用地址转换( N
43、etwork Address Translation, NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。进行 IP 地址转换由两个好处: 其一是隐藏内部网络真正的 IP 地址,这可以使黑客( hacker )无法直接攻击内部网络,因为它不知道内部网络的 IP 地址及网络拓扑结构; 另一个好处是可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。地址转换( NAT )技术运用在内部主机与外部主机之间的互相访问的时候,当内部访问者想通过路由器外出时,路由器首先对其进行身份认证- 通过访问列表( ACL )核对其权限,如果通过,则对其进行地名师资料总结 - - -精
44、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页,共 33 页 - - - - - - - - - 址转换,使其以一个对外公开的地址访问外部网络;当外部访问者想进入内部网时,路由器同样首先核对其访问权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换的相应的内部主机。第八章病毒防御系统众所周知,计算机病毒对网络应用的影响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了数年,并已取得了可喜的成绩,但是随着internet 的 发展,计算机病毒的种类急聚增多,扩散速度大大加快,破坏性愈
45、来愈大。病毒防御体系整体结构。一、病毒防御系统的组成根据当前的校园网络结构和未来的发展方向,以及对病毒来源的分析,病毒防护系统主要由三部分组成:( 1 ) Internet 网关级病毒防护:主要针对通过Internet 出口的流量,进行病毒扫描,对邮件的附件进行病毒过滤;( 2 ) 服务器病毒防护:对各种服务器( Web Server, DNS Server, Data baseServer , MailServer , ftp Server 、等等)进行病毒扫描和清除,集中报警;( 3 )桌面病毒防护:针对比较关键的办公教学场所的各种桌面操作系统(实验室、科技楼、图书馆、办公楼) ,进行病毒
46、扫描和名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页,共 33 页 - - - - - - - - - 清除;二、防病毒体系整体结构2.2 防病毒体系的物理结构针对校园网信息点较多而关键服务器较少的结构特点,根据校园网的防病毒需求,我们采用集中监控、重点查杀的原则,构建一个多层次、多入口的立体病毒防护体系。校 园 网 可 能 的 病 毒 源 主 要 有 以 下 几 方 面 : Internet 、ftpServer 、 邮件、 个 人电脑, 所以病毒防护系统主要考虑 Int
47、ernet 网关邮件病毒过滤、服务器病毒防范和传染控制、各种桌面的病毒防护,另外还有防病毒系统整体集中管理和防病毒系统的升级。在校园网的 Internet 统一出口处,安装 Internet 网关病毒防护系统,过滤从 Internet 来的病毒,控制 Internet 病毒源。针对不同的网络和应用环境,可以为Internet 网关提供了不同功能的产品,每种产品均为实时扫描、清除和告警系统,并且支持多种压缩文件格式。( 1 ) 支持防火墙产品的特点:使用 Internet 的内容向量协议 (CVP) ,能够实时扫描通过HTTP , FTP, SMTP的数据流传播的病毒,可运行于多种平台,通过远端
48、软件进行有效管理。( 2 ) 针对 Microsoft 平台 web 服务器的产品的特点:主要用于中小型网络防毒体系。能够实时扫描通过 HTTP ,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页,共 33 页 - - - - - - - - - FTP , SMTP 的数据流传播的病毒。运行在 Microsoft Windows 平台上。在防病毒服务器上安装防病毒网管、管理服务器、报警管理,组建防病毒软件库。 防病毒服务器定期主动或被动从 Internet 上下载新的病毒特
49、征码, 更新病毒库。 各个关键查杀节点的软件库及其病毒升级数据由防病毒服务器上得到,并不需要都从 Internet 上得到,节省关键网络带宽。报警信息统一管理,各个关键查杀节点的病毒事件报警集中到防病毒服务器的报警管理器。管理服务器和网管负责防范区域内的防病毒软件的安装、配置、升级和事件管理,维护各个关键查杀节点防病毒软件的一致性和动态防御能力,汇总病毒扫描报告和状态,简化了防病毒系统的管理复杂性。2.3 防病毒系统的管理结构由于校园网的网络结构相对简单, 防病毒系统的管理结构也应随之简化。我们只需设立一个防病毒中心,通过防病毒管理控制台对所辖域成员进行集中的防病毒软件安装、配置、扫描调度、告
50、警报告产生;并维护一个防病毒软件库,防病毒软件库中包含了管理控制台可以分发、配置、安装等的防病毒软件的不同版本、语种和平台。利用管理控制台,在一个集中的界面下,对所辖防病毒域的机器安装防病毒域软件、卸载防病毒软件、配置和修改防病毒软件,这些所有操作简化了最终用户使用防病毒软件的复杂性,同时使管理对所辖范围的病毒感染情况和反病毒情况有一个集中的了解,利用这些数据再制定所辖域的防病毒策略。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 26 页,共 33 页 - - - - - - -