《最新网络安全设计方案.doc》由会员分享,可在线阅读,更多相关《最新网络安全设计方案.doc(149页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全设计方案(可以直接使用,可编辑 优秀版资料,欢迎下载)目录1、 网络安全问题32、 设计的安全性3可用性。3机密性.3完整性.。3可控性。.3可审查性。3访问控制。3数据加密。3安全审计.33、安全设计方案5设备选型。.5网络安全。7访问控制.9入侵检测。104、总结111、网络安全问题随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题.在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被
2、截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误.它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名
3、有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, 可用性: 授权实体有权访问数据 机密性: 信息不暴露给未授权实体或进程 完整性: 保证数据不被未授权修改 可控性: 控制授权范围内的信息流向及操作方式 可审查性:对出现的安全问题提供依据与手段 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制.同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使
4、用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段. 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏针对企业现阶段网络系统的网络结构和业务流程,结合企业今后进行的网络化应用范围的拓展考虑,企业网主要的安全威胁和安全漏洞包括以下几方面:(1)内部窃密和破坏由于企业网络上同时接入了其它部门的网络系统,因此容易出现其它部
5、门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。(2)搭线(网络)窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具,在INTERNET网络安全的薄弱处进入INTERNET,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对企业网络系统来讲,由于存在跨越INTERNET的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。(3)假冒这种威胁既可能来自企业网内部用户,也可能来自INTERNE
6、T内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。(4)完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于XXX企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行.(5) 其它网络的攻击企业网络系统是接入到INTERN
7、ET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等.因此这也是需要采取相应的安全措施进行防范。(6) 管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要
8、。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。(7)雷击由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果.因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。3、网络安全设计方案(1)网络拓扑结构图设备选型传统的组网已经不能满足现在网络应用的变化了,在组网的初期必须考虑到安全和网络的问题,考虑到这个问题我们就不能不考虑免疫网络的作用以及前景如何.免疫网络-免疫网络是企业信息网络的一种安全形式。“免疫”是生物医学
9、的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能. 就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视的功能。这样的网络就称之为免疫网络。免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。下面让我们看看这几个特征的距离内容安全和网络
10、功能的融合网络架构的融合,主要包括网关和终端的融合 网关方面:ARP先天免疫原理NAT表中添加源MAC地址滤窗防火墙封包检测,IP分片检查UDP洪水终端方面:驱动部分-免疫标记网络协议的融合-行为特征和网络行为的融合全网设备的联动驱动与运营中心的联动分收策略驱动与驱动的联动IP地址冲突网关和驱动的联动群防群控运营中心和网关的联动(外网攻击,上下线可信接入MAC地址的可信(类似于DNA),生物身份传输的可信(免疫标记)深度防御和控制深入到每个终端的网卡深入到协议的最低层深入到二级路由,多级路由器下精细带宽管理身份精细IP/MAC的精确位置精确-终端驱动路径细分(特殊的IP)流量去向(内,公网)应
11、用流控(QQ,MSN)业务感知协议区分和应用感知它与防火墙(FW)、入侵检测系统(IDS)、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁. 同时,安全和管理密不可分.免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。安全架构分析根据企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙 网
12、络病毒防护采用网络防病毒系统 广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计主要包括两部分:内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展网络防雷(2)网络安全作为企业应用业务系统的承载平台,网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换,网络传输由于企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与INTERNET相连,通过ADSL接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立
13、跨越INTERNET的企业集团内部局域网,并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果.由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备,由VPN设备实现网络传输的加密保护。根据企业三级网络结构,VPN设置如下图所示:图为三级 VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一
14、台VPN认证服务器(VPNCA),在所属的直属单位的网络接入处安装一台VPN设备,由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的:网络传输数据保护由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护,并可同时采取加密或隧道的方式进行传输网络隔离保护与INTERNET进行隔离,控制内网与INTERNET的相互访问集中统一管理,提高网络安全性降低成本(设备成本和维护成本)其中,在各级中心网络的VPN设备设置如下图:图为中心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理.将对外服务器放置于VPN
15、设备的DMZ口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志.这样即使服务器被攻破,内部网络仍然安全。下级单位的VPN设备放置如下图所示:图为下级单位VPN设置图从图可知,下属机构的VPN设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高
16、档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患.而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。(3)访问控制由于企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系
17、统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的.通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的VPN设备来实现网络安全隔离,可满足以下几个方面的要求:控制外部合法用户对内部网络的网络访问;控制外部合法用户对服务器的访问;禁止外部非法用户对内部网络的访问; 控制内部用户对外部网络的网络;阻止外部用户对内部的网络攻击;防止内部主机的IP欺骗;对外隐藏内部IP地址和网络拓扑结构;网络监控;网络日志审计;详细配置拓扑图见图由于采用防火墙、VPN技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:管理、维
18、护简单、方便;安全性高(可有效降低在安全设备使用上的配置漏洞);硬件成本和维护成本低;网络运行的稳定性更高由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。(4)入侵检测网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(IDS)可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送Email).从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎
19、).控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为.由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响.入侵检测系统的设置如下图:从上图可知,入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过VPN设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知VPN设备中断网络(即IDS与VPN联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。4、总结随着互联网的飞速发展,
20、网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题.在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息.此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 目录第1章设计概述21。1 现状分析21.2 网络需求分析21。3 信息点统计3第2章网络系统设计32.1 设计思想32。2 设计目标42.3 网络三层架构设计42.3。1 核心设备选型42。3.2 汇聚设备选型52。3.3 接入设备选型52。4 网络总体规划
21、52.4。1 XX拓扑图52.4.2 总体规划52。5 IP地址及VLAN划分62。6 网络安全管理62.6.1 威胁网络安全因素分析62.6。2 网络管理的内容72.6.3 安全接入和配置82。6。4 拒绝服务的防止92.6。5 访问控制9第3章综合布线方案设计103。1 综合布线的设计原则103。2 结构化综合布线系统的组成及设计113。2。1工作区子系统网络设计123.2。2 配线子系统网络设计133。2。3 干线子系统网络设计133.2.4 设备间子系统网络设计143。2.5 管理子系统网络设计143.2.6 建筑群子系统其网络设计15第4章工程投资预算164.1 网络设备清单164。
22、2 线缆清单164。3 布线材料清单164。4 人工费用16第5章结论17第1章 设计概述1.1 现状分析校园网络建设的目的在于提供信息的传递速率和效率,在于使教师能更有效,更方便地教,学生能更主动,更积极地学,从而提升整个学校的现代化教育,教学水平。校园网是“数字化校园的传输平台,一个可靠,高效,安全的网络是建设数字化校园的坚实基础。随着高校信息化的深度发展,学校的教学办公和管理等活动将越来越依赖校园网络.因此构建一个高效,实用,稳定可靠,安全的网络平台,是高校网络建设考虑的重点。1。2 网络需求分析校园网是学校进行教育教学、科研、各项管理工作和各类信息交流沟通的应用平台,是一个集成相关软件
23、系统和硬件设备于一体的具有综合功能的宽带计算机局域网,为学校提供了一个日常教学、科研、管理和通讯的综合性网络应用环境。进入信息时代需要培养学生的一种重要能力就是获取信息和处理信息的能力,网络正是架起了一座交流和获取信息的桥梁。毋庸置疑,在21世纪,中国每一所学校都应该建立起自己的校园网。通过校园网将计算机应用于教学的各个环节,从而师生可以通过校园网络进行备课、教学、查阅资料、多媒体教学软件开发与演示、师生之间互相通信、浏览因特网等,所以它对于提高教学质量,推动教育现代化起着不可估量的作用。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是实现教育现代化的基本工具。1.3
24、信息点统计表1-1建筑物名称楼层信息点(个)总计(个)第2章 网络系统设计2.1设计思想校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面:(1)整体规划安排;(2)先进性、开放性和标准化相结合;(3)结构合理,便于维护;(4)高效实用;(5)能够实现快速信息交流、协同工作和形象展示。2。2设计目标具体的设计目标是:建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心,以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络,将学校的各种PC机工作站、终端设备和局域网连接起来,并与有关广域网相连;系统总体设计本着总体规划、分布实施的原则,充分体现系统的技术
25、先进性、高度的安全可靠性、良好的开放性、可扩展性,以及建设经济性。2。3 网络三层架构设计校园网网络整体分为三个层次:核心层、汇聚层、接入层.为实现校区内的高速互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备.本实施方案从网络运行的稳定性、安全性及易于维护
26、性出发进行设计,以满足客户需求.2.3。1 核心设备选型通常将网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供可靠的骨干传输结构,因此核心层交换机应拥有更高的性能和吞吐量。2。3。2 汇聚设备选型通常将位于接入层和核心层之间的部分称为分布层或汇聚层,汇聚层交换层是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能和更高的交换速率.2.3。3 接入设备选型通常将网络中直接面向用户连接或访问网络的部分称为接入层,接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特
27、性。2。4 网络总体规划2。4.1 XX拓扑图图 2-12。4。2 总体规划表 2-1总体规划建筑物名称楼层信息点具体描述设备使用2。5 IP地址及VLAN划分表 22IP、VLAN规划建筑物名称楼层VLANIP管理地址2。6 网络安全管理校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外.来源于网内的威胁主要是病毒攻击和黑客行为攻击.根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方.2。6。1 威胁网络安全因素分析计算机网络安全受到的威胁包括:1。“黑客的攻击;2。 计算机病毒;3. 拒绝服
28、务攻击(Denial of Service Attack).安全威胁的类型:1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。3、破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。4、干扰系统正常运行,破坏网络系统的可用性.指改变系统的正常运行方法,减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源,使有严格响应时间
29、要求的服务不能及时得到响应。5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性非常高,而且用户很难防范.6、软件的漏洞和“后门。软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致
30、信息泄露.2.6。2 网络管理的内容网络管理的内容有如下五个方面:(1)网络故障管理;(2) 网络配置管理;(3) 网络性能管理;(4) 网络计费管理;(5) 网络安全管理。2。6。3 安全接入和配置安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权限制,从而为网络基础设施提供安全性。限制远程访问的安全设置方法如表 2-3访问方式保证网络设备安全的方法备注Console控制接口的访问设置密码和超时限制建议超时限制设成5分钟telnet访问采用ACL限制,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时限制SSH
31、访问激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆WEB管理访问取消Web管理功能SNMP访问常规的SNMP访问是用ACL限制从特定的IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击为增加安全,建议更改缺省的SNMP Commutiy子串设置不同账号通过设置不同的账号的访问权限,提高安全性2。6。4 拒绝服务的防止网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置
32、网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。2。6.5 访问控制1 允许从内网访问internet,端口全开放。2 允许从公网到DMZ(非军事)区的访问请求:WEB服务器只开放80端口,mail服务器只开放25和110端口.禁止从公网到内部区的访问请求,端口全关闭。4 允许从内网访问DMZ(非军事)区,端口全开放5 允许从DMZ(非军事)区访问internet,端口全开放6 禁止从DMZ(非军事)区访问内网,端口全关闭。第3章 综合布线方案设计3.1 综合布线的设计原则 综合布线同传统的布线相比
33、较,有着许多优越性,是传统布线所无法比及的.其特点主要表现为它的兼容性、开放性、灵活性、可靠性、先进性和经济性。而且在设计、施工和维护方面也给人们带来了许多方便。兼容性:综合布线的首要特点是它的兼容性。所谓兼容性是指它自身是完全独立的而与应用系统相对无关,可以适用于多种应用系统.综合布线将语音、数据与监控设备的信号线经过统一规划和设计,采用相同的传输介质、信息插座、交连设备、适配器等,把这些不同信号综合到一套标准的布线中。由此可见,这个布线比传统布线大为简化,节省大量的物资、时间和空间。开放性:该系统采用开放式体系结构,符合多种国际上现行的标准,它几乎对所有著名厂商的产品都是开放的,并支持所有
34、通信协议。灵活性:该系统采用标准的传输线缆和相关连接硬件,模快化设计,所有通道都是通用的,而且每条通道可支持终端、以太网工作站及令牌网工作站。所有设备的开通及更改均不需改变布线线路,组网也可灵活多变.可靠性:该系统采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道,所有线缆和相关连接件均通过ISO认证,每条通道都要采用专用仪器测试链路阻抗及衰减率,以保证其电气性能.应用系统全部采用点到点端接,任何一条链路故障均不影响其它链路的运行,从而保证了整个系统的可靠运行。先进性:该系统采用光纤和双绞线混合布线方式,极为合理地构成一套完整的布线.所有布线均采用世界上最新通信标准,链路均按8芯双绞
35、线配置。5类双绞线的数据最大传输率可达到155Mbps,对于特殊用户的需求可把光纤引到桌面。干线语音部分采用电缆,数据部分采用光缆,为同时传输多路实时多媒体信息提供足够的裕量。经济性:虽然综合布线初期投资比较高,但由于综合布线将原来相互独立、互不兼容的若干种布线集中成为一套完整的布线体系,统一设计,统一施工,统一管理。这样可省去大量的重复劳动和设备占用,使布线周期大大缩短。另外,综合布线系统使用简单、方便,维护费用低,可以满足三维多媒体的传输和用户对ISDN(综合服务数字网)、ATM(异步传输模式)的需求。可见综合布线系统具有很高的性能价格比。3.2 结构化综合布线系统的组成及设计综合布线系统
36、是一套开放式的布线系统,可以支持几乎所有的数据、话音设备及各种通信协议,同时,由于PDS充分考虑了通信技术的发展,设计时有足够的技术储备,能充分满足用户长期的需求,应用范围十分广泛。而且结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求。结构化综合布线一般划分为六个子系统.(如图3-1)图313。2。1工作区子系统网络设计工作区子系统,是由RJ45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成.信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余.例如:对于一个办公区内的每个办公点可配置23个信息
37、点,此外应为此办公区配置35个专用信息点用于工作组服务器、网络打印机、 机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求;若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。工作区的终端设备(如: 机、 机)选用康宁公司FutureCom超五类双绞线直接与工作区内的每一个信息插座相连接,或用适配器(如ISDN终端设备)、平衡/非平衡转换器进行转换连接到信息插座上。3。2。2 配线子系统网络设计配线子系统,是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采
38、用的双绞电缆及光纤型号为: 康宁公司FutureCom超五类或六类非屏蔽双绞线, FutureLink室内单模或多模光纤。双绞线水平布线链路中,水平电缆的最大长度为90m。若使用100UTP双绞线作为配线子系统的线缆,可根据信息点类型的不同采用不同类型的电缆。该方案选择FutureCom超五类非屏蔽双绞线缆。3。2.3 干线子系统网络设计干线子系统,负责连接管理子系统到设备间子系统的子系统.干线子系统可以使用的线缆主要有:XXXX垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道,使整个布线系统组成一个有机的整体
39、。垂直干线子系统Topology结构采用分层星型拓扑结构,每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时,每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现. 3。2.4 设备间子系统网络设计设备间子系统,由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架,连接交换机;采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起,也可分别设置。在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主
40、机分别设置机房,把与综合布线密切相关的硬件设备放置在设备间,计算机网络设备的机房放在离设备间不远的位置。设备间子系统是一个集中化设备区,连接系统公共设备,如局域网(LAN)、主机、建筑自动化和保安系统,及通过垂直干线子系统连接至管理子系统。 3.2。5 管理子系统网络设计管理子系统,由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施,按定的模式进行标识和记录的规定.跳线采用超5类非屏蔽双绞线,RJ45接头。管理间是楼层的配线间,管理子系统为其他子系统互连提供手段,它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成,实现配线管理,为
41、连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。康宁公司的LANscape综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。3。2.6 建筑群子系统其网络设计建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件.建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。建筑群子系统介质选择原则: 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点:包括路
42、由起点、终点;线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求.第4章 工程投资预算4。1 网络设备清单表 41设备名称(型号)设备单价数量金额共计4.2 线缆清单表 4-2线缆名称(规格)单价数量金额共计4.3 布线材料清单表4-3材料名称(规格)单价数量金额PVC线槽X*10信息模块X*20%信息面板X*20%辅材共计注:对PVC线槽、信息模块、信息面板做冗余,辅材是在布线过程中所用到的螺丝、线扎、钉子等。4.4 人工费用表 4-4项目名称人数工资金额总计第5章 结论该方案通过对现状需求分析及网络需求分析,绘制了校
43、园拓扑图,制定了适合该校园的网络设计方案。该方案涉及了网络三层结构的设计、IP与VLANR 划分、网络安全与管理、综合布线设计及六个子系统图的绘制。学校校园网络安全、稳定、快速发展,网内的数据资料实现一个安全、合理、有效的存储和备份,从而提高了学校校园网内教学资源的传送速度,节省了时间,提高了教学的质量,为我国教育事业的发展插上了有力的翅膀某校园网方案2网络防火墙设计中的问题16如何构建网络整体安全方案22四台CISCO防火墙实现VPN网络26企业级防火墙选购热点30增强路由器安全的十个技巧31启明星辰银行安全防御方案32神码基金公司信息安全解决方案33安天校园网解决方案35网络入侵检测解决方
44、案37企业需要什么样的IDS 测试IDS的几个性能指标39东软安全助力武汉信用风险管理信息系统42某校园网方案1。1设计原则1。 充分满足现在以及未来35年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。2。 强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键3. 在满足学校的需求的前提下,建出自己的特色1.2网络建设需求网络的稳定性要求l 整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求网络高性能需求l 整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻l 认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈网络安全需求l 防止IP地址冲突l 非法站点访问过滤l 非法言论的准确追踪l 恶意攻击的实时处理l 记录访问日志提供完整审计网络管理需求l 需要方便的进行用户管理,包括开户、销户、资料修改和查询l 需要能够对网络设备进行集中的统一管理l 需要对网络故障进行快速高效的处理第二章、某校园网方案设计2。1校园网现网拓扑图 整个网络采用二级的网络架构:核心、接入.核心采用一台RGS4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有