校园网络安全大学论文.docx

校园网络安全大学论文.docx

《校园网络安全大学论文.docx》由会员分享，可在线阅读，更多相关《校园网络安全大学论文.docx（17页珍藏版）》请在冰点文库上搜索。

校园网络安全大学论文

编号：

《网络信息安全技术课程》

大作业（论文）档案

题目：

校园网络安全

学院：

电气与信息工程学院

专业：

计算机网络技术

姓名：

学号：

班级：

指导教师：

职称：

讲师

完成日期：

2016.12.18

摘要

随着计算机网络的不断发展和普及，网络安全与防护、校园网、网络搭建，阐述我国发展民族信息安全体系的重要性及建立有中国特色的网络安全体系的必要性。

论述了网络安全技术的分类及其主要技术特征，并且介绍了网络安全的各种防护方法及技术的相关知识，特别针对字符引发的信息安全问题。

计算机网络带来了无穷的资源，但随之而来的络安全问题也显得尤为重要，人们都希望自己的网络系统能够更加可靠地运行，不受外来入侵者干扰和破坏,所以解决好网络的安全性和可靠性问题，是保证网络正常运行的前提和保障。

校园网络作为计算机网络中的一部分，也正在飞速发展，而面对越来越多的非法入侵和好多学校的网站被恶意攻击，校园网络安全也越来越受到各方面的重视。

一个学校的网络环境是否安全，不仅关系到学校的教学质量，学生与老师之间的有效沟通，更反映了一个学校的整体形象，也与学校的发展密切相关。

因此，校园网络安全问题是一个必须重视的问题。

【关键词】：

校园网；网络搭建；网络安全；设计。

目录

1.校园网络的搭建1

1.1中心机房1

1.2网络拓扑结构1

1.3IP地址规划2

1.4VLAN划分2

1.5网络设备的配置3

1.6配置边界路由器4

1.7交换机的配置5

1.8创建VLAN 5

2、网络安全设计7

2.1网络共享资源和数据信息安全设计7

2.2物理安全设计8

2.3计算机病毒、黑客以及电子邮件应用风险防控设计8

参考文献10

致谢11

作业12-21

引言

随着网络技术的不断发展和Internet的日益普及，许多学校都建立了校园网络并投入使用，这无疑对加快信息处理，提高工作效率，减轻劳动强度，实现资源共享都起到了无法估量的作用。

但教师和学生在使用校园网络的同时却忽略了网络安全问题，登陆了一些非法网站和使用了带病毒的软件，导致了校园计算机系统的崩溃，给计算机教师带来了大量的工作负担，也严重影响了校园网的正常运行。

所以在积极发展办公自动化、实现资源共享的同时，教师和学生都应加强对校园网络的安全重视。

正如人们经常所说的：

网络的生命在于其安全性。

因此，如何在现有的条件下，如何搞好网络的安全，就成了校园网络管理人员的一个重要课题。

1.校园网络的搭建

1.1中心机房

根据学校各楼宇之间的平面分布，中心机房可设置在4#教学楼顶层，其余个幢楼的汇聚层交换机通过光纤与中心机房的核心交换机相连。

1.2网络拓扑结构

根据网络环境，我们可以绘制校园网的拓扑结构。

其中，我们使用路由器同Internet连接，并且选购了一台硬件防火墙来保护内网。

在网络拓扑结构图中，可以看到多台服务器划分到一个VLAN中校园网络拓扑如图：

1.3IP地址规划

IP 地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。

好的地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。

合理的网段划分结合灵活的VLAN 规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络安全功能。

IP 地址规划目标是建立高效的网络路由；有效的利用有效的网络地址资源；支持网络的扩展支持网络技术的发展和演变。

IP地址分配如下表：

1.4VLAN划分

默认时，交换机分割冲突域；路由器分隔广播域。

第2层交换式网络的最大好处是，它为插入到交换机每个端口的每台设备创建了各自的冲突域。

但每一个新的改进通常都会引起新的问题——用户和设备的数量越大，每台交换机必须处理的广播和数据包就越多。

 通过创建虚拟局域网（VLAN），就可以在一个纯交换式的互联网络中，分隔广播域。

VLAN 是两个部分的逻辑组合：

一是网络用户；二是在管理上连接到交换机所定义端口的资源。

如果创建了VLAN，情况就可以大大改善。

在虚拟创建局域网时，可以将交换机上的不同端口分派到不同的子网中，这样就可以在第二层交换式互联网络中创建一些小的广播域。

可以象对待单独的子网和广播域一样来对待VLAN，这意味着网络上的广播域只在同一个VLAN内部的逻辑组的端口之间进行转发。

用VLAN来简化网络管理的方式有多种：

通过将某个端口配置到合适的VLAN中，就可以实现网络的添加、移动和改变。

将对安全性要求高的一组用户放入VLAN 中，这样，VALN 外部的用户就无法与他们通信。

作为功能上的逻辑用户组，可以认为VLAN 独立于它们的物理位置或地理位置。

VLAN可以增强网络安全性。

VLAN 增加了广播域的数量，同时减少了广播域的范围。

1.5网络设备的配置

网络中心形成的主干网，是整个校园网的总结点，并提供连接广域网和拨入服务。

在主干网系统采用以太网结构，采用这一方式的主要优点是：

 千兆位交换式以太网可以为每个端口提供1Gb/s的带宽，完全可以满足用户对速度的需要；使用经济，具有较高的性价比；千兆位以太网已经获得广泛支持；从现有的传统以太网可以平滑地过渡到千兆位以太网，不需要掌握新的配置，管理等技术；千兆位以太网技术有良好的互操作性，并具有向后兼容性。

 在方案中，中心机房防止着中心交换机，服务器群，路由器等网络设备，这些设备以中心交换机为中心，以星形拓扑结构通过无屏蔽双脚电缆连接在一起。

网络中心与子网的连接，是根据与子网的距离，通过光纤盒无屏蔽双脚电缆线将中心交换机和子网的交换机连接起来。

1.6配置边界路由器

 首先是配置路由器的外网接口（F0/o）IP地址，这里应该配置向ISP申请的共有地址，这里我们使用222.210.2.9 255.255.255.252 

Router>en 

Router>config t 

Router（config）#int f0/0 

Router（config-if）#ip address 222.210.2.9 255.255.255.252 

Router（config-if）#no shutdown 然后配置路由器的内网接口（F0/1）IP地址，这里我们使用向ISP申请的地址222.210.2.1 255.255.255.248. 

Router>en 

Router>config t 

Router（config）#int f0/1 

Router（config-if）#ip address 222.210.2.1 255.255.255.248 

Router（config-if）#no shutdown 

再然后在路由器上配置静态默认路由。

Router（config）#exit 

Router（config）#ip 0.0.0.0 0.0.0.0 f0/0

1.7交换机的配置

Switch>en 

Switch # config t 

Switch（config）#Hostname 2960 

2960（config）#ip address 172.16.1.5 255.255.255.0 

2960（config）#enable password 2960 

2960（config）#enable secret 2960 

设置Console密码：

2960（config）#line con 0

2960（config-line）#password 2960 

2960（config）#end 

设置Telnet密码：

2960（config）#line vty 0 15 

2960（config-line）#login 

2960（config-line）#password 2960 

2960（config-line）#end

1.8创建VLAN 

2960 #vlan database 

2960 （vlan）#vtp mode server 

2960 （vlan）#vlan 6 name ce 

2960 ce （vlan）#apply 

Apply completed. 

2960 ce （vlan）#exit 

2960 ce # 

2960 ce #config t 

2960 ce （config）#int vlan ce 

2960 ce （config-if）#ip address 172.16.8.250 255.255.255.0 

2960 ce （config-if）#no shutdown 

2960 ce （config-if）#exit 

2960 ce # 

给VLAN添加端口：

2960 ce #config t 

2960 ce （config）#int fa0/1-24 

2960 ce （config-if）#switchport mode access 

2960 ce （config-if）#switchport access vlan 5 

2960 ce（config-if）#exit 

2、网络安全设计

2.1网络共享资源和数据信息安全设计

针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。

VLA（VirtualLocalAreaNetwork）备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802．1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。

虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。

许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。

例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。

这样做允许各端口之间的通讯，并允许共享型网络的升级。

可是，这种划分模式将虚拟网络限制在了一台交换机上。

第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

以交换机端口来划分网络成员，其配置过程简单明了。

2.2物理安全设计

为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。

计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。

为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。

正常的防范措施主要在三个方面：

对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。

为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。

对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

2.3计算机病毒、黑客以及电子邮件应用风险防控设计

我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。

防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

1．防病毒技术。

病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTER-NET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。

计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害，同时为了建立一个集中有效地病毒控制机制，天下论文网需要应用基于网络的防病毒技术。

这些技术包括：

基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。

例如，我们准备在主机上统一安装网络病毒产品套间，并在计算机信息网络中设置防病毒中央控台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。

安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。

形成的整体拓扑图。

2．防火墙技术。

企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，VPN，应用代理等功能，保护内部局域网安全接入INTERNET者公共网络，解决内部计算机信息网入口安全问题。

校园网的一些信息不能公布于众，因此必须对这些信息进行严格的保护和保密，所以要加强外部人员对校园网网的访问管理，杜绝敏感信息的泄漏。

通过防火墙，严格控制外来用户对校园网网络的访问，对非法访问进行严格拒绝。

防火墙可以对校园网信息网络提供各种保护，包括：

过滤掉不安全的服务和非法访问，控制对特殊站点的访问，提供监视INTERNET安全和预警，系统认证，利用日志功能进行访问情况分析等。

通过防火墙，基本可以保证到达内部的访问都是安全的可以有效防止非法访问，保护重要主机上的数据，提高网络完全性。

校园网网络结构分为各部门局域网（内部安全子网）和同时连接内部网络并向外提供各种网络服务的安全子网。

内部安全子网连接整个内部使用的算机，包括各个VLAN及内部服务器，该网段对外部分开，禁止外部非法入侵和攻击，并控制合法的对外访问，实现内部子网的安全。

共享安全子网连接外提供的WEB，EMAIL，FTP等服务的计算机和服务器，通过映射达到端口级安全。

外部用户只能访问安全规则允许的对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。

参考文献

[1]．中国IT实验室．VLAN及VPN技术［J/OL］，2009

[2]．张千里．网络安全新技术［M］．北京：

人民邮电出版社，2003

[3]．龙冬阳．网络安全技术及应用［M］．广州：

华南理工大学出版社，2006

致谢

随着计算机技术的不断发展，计算机网络已经成为信息时代的重要特征，人们称它为信息高速公路。

网络是计算机技术和通信技术的产物，是应社会对信息共享和信息传递的要求发展起来的，各国都在建设自己的信息高速公路。

我国近年来计算机网络发展的速度也很快，在国防、电信、银行、广播等方面都有广泛的应用。

我相信在不长的时间里，计算机网络一定会得到极大的发展，那时将全面进入信息时代。

             大二下学期生活一晃而过，回首走过的岁月，心中倍感充实，当我写完论文的时候有一种如释负重的感觉，感慨良多。

在这次课程设计中，遇到了很多困难，但是老师和同学们都给予了我许多帮助和鼓励，使我可以顺利地完成这次课程设计。

在这里要感谢老师的悉心教导，帮助我解决了一个又一个的难题。

同时也要感谢我的同学们，你们与我一起攻破难关顺利完成校园网搭建论文。

在这里我要对老师和同学们表示我诚挚的谢意。

、网络安全加密算法题（按要求作答，写出计算过程）

（1）.代换表如下，设明文为：

Iamagoodstudent，求密文？

a

b

c

d

e

f

g

h

i

j

k

l

m

n

o

p

q

r

s

t

u

v

w

x

y

z

f

g

h

i

j

k

l

m

n

o

p

q

r

s

t

u

v

w

x

y

z

a

b

c

d

e

答案：

nfrflttixyzijsy

（2）.文件采用移位加密算法对文件加密，明文：

HELLO密钥：

IODFE，求加密后的密文。

答案：

hellonfrflttixyzijsyiodfe

2、系统安全配置（按要求作答，写出对应的操作命令和使用CTRL+ALT+PRTSC截图显示）

（1）.查看本机的IP地址：

（2）.ping命令：

ping主机IP、网关、网址；实现死亡Ping命令。

1ping主机IP：

2ping网关：

3ping网址：

4实现死亡Ping命令。

3）.用户安全配置：

新建用户，账号便于记忆与使用，而密码则要求有一定的长度与复杂度

账户授权，对不同的账户进行授权，使其拥有和身份相应的权限。

停用Guest用户，Guest账号禁用，并且修改Guest账号的属性。

系统Administrator账号改名，防止管理员账号密码被穷举，伪装成普通用户。

创建一个陷阱用户，将管理员账号权限设置最低，延缓攻击企图

更改默认权限，将共享文件的权限从“Everyone”改成“授权用户。

不显示上次登录用户名，防止密码猜测

多个管理员账号，减少管理员账号使用时间，避免被破解

实现远程登录操作。