校园网的网络安全管理和维护Word格式文档下载.doc
《校园网的网络安全管理和维护Word格式文档下载.doc》由会员分享,可在线阅读,更多相关《校园网的网络安全管理和维护Word格式文档下载.doc(10页珍藏版)》请在冰点文库上搜索。
年月日
目录
一、课程设计的目的和意义……………………………………2
二、课程设计的内容和要求……………………………………3
三、课程设计的相关技术………………………………………5
四、课程设计过程………………………………………………6
五、课程设计小结………………………………………………9
一、课程设计的目的和意义
建设校园网应达到的目的有一下几点:
1、通过与INTERNET的互联,共享国内外院校以及商业机构的网络资源、并与他们建立包括E-MAIL(电子邮件)在内的国际通讯联系。
2、将全校的局域网互联,使全校师生共享校内网络信息资源(教学、科研、图书等信息),改善校内信息流通状况,促进校园内部网络应用的开发。
3、通过与INTERNET互联,展示大学校园校况及大学教育发展的状况,扩大该校在国内外的影响,突出该校在教育研究和建设中的重要地位。
4、使学生通过对校园网的使用,熟悉和掌握现代通讯工具,了解INTERNET的商业应用价值,为今后走向教学岗位,适应新的计算机应用环境打下基础。
5、利用校园网建立现代化的教学、科研环境,为今后的CAI(计算机辅助教学)、网络上的协作研究创造条件。
6、通过校园网为周边地区的企事业单位提供广泛的网络信息服务。
借助于校园网络,我们要逐渐培养用户使用网络来搜寻、发掘、获取及运用信息的习惯,进而对网络应用产生兴趣,将其融入日常工作和生活中,为网络应用的普及奠定良好的基础。
利用校园内各院系现有的局部计算机网络环境建立校园网络,可充分利用网络及计算机相关设备,提高设备的利用率。
以校园网络取代传统的布告栏,让用户可以更方便迅速地获知各种重要的学习信息、工作信息和生活信息。
通过各校校园网络的连接,可以更便利地互相交换信息,促进各个大学间的学术交流。
通过校园网络使教师和科研人员能及时了解国内外科技发展动态,加强对外技术合作,促进教学和科研水平的提高。
为开展网上远距离教学和校内多媒体交互式教学提供支持平台。
以校园网络为依托,建立各种课程的计算机辅助教学、计算机辅助考试和答疑批阅系统。
建立以校园网络为基础的行政、教学及师生之间交互式管理系统。
建立新的通讯方式和环境,提高工作效率。
二、课程设计的内容和要求
随着计算机、通信和多媒体技术的发展,科技的进步与经济的繁荣,计算机网络在当今的信息时代扮演着越来越重要的角色,网络上的应用也更加丰富。
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。
半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛,并迅速广泛应用于社会各领域,产生和激发出新的生产力,正引起社会经济乃至人们工作、生活方式的深刻变革。
自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。
可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
随着我国经济的高速发展,国家提出本世纪末将我国建设成为经济高度发展、教育设备完备的现代化强国。
近年来国家加快改革教育体系,以教育为立国之本,建设一个高度发达的国家教育体系。
为提高我国教育的现代化、建立先进高效的教育体系。
提供更为先进的教育手段,学校很有必要建设一个校园网络管理应用系统,这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。
以顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。
同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。
因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。
信息技术的普及教育已经越来越受到人们关注。
大学计算机网络的建立与应用已相当普遍,它对内综合了校园中的计算机资源,对外建立了广泛信息获取和交流渠道,为大学的教学和科研工作带来勃勃生机。
学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
建立校园网络已经成为各个大学的基础建设工作,它直接关系到学校的教学和科研工作的质量和水平。
随着我国CERNET(中国教学科研示范网)主干网的建成和全国高校校园网建设的高潮,校园网已成为衡量一个高校优劣的重要标志之一。
高可靠性的计算机网络为校园的计算机管理提供了稳定的平台,极大的提高了校园网络的极大优势。
现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软,硬件应用。
它的开放式设计意味着更好的整体化及高品质应用的能力。
提供的带宽可适合话音,图像,数据的传输,这种带宽结合设备厂商优秀网管模式,可以向用户提供面对面的通讯。
综上所述,在建设校园网的时要达到以下的目标:
1、在学院建成一个适合于信息采集、共享的内部网络,在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络。
2、实现到Internet的接入,实现信息在Internet的发布。
校园网网络建成以后,要实现以下这些功能:
1、WWW服务,作为信息服务的平台。
2、Email服务,作为信息传递和与外界交流的主要手段。
在今后,本网络还要实现基于ATM的宽带多媒体的校园网,并通过ATM和省宽带多媒体网相连接,实现实时的远程教学。
综上所述,本网络的网络建设必须采用当前最新的网络技术。
接下来就是要根据学校的情况进行调查:
调研情况如下:
学校有几栋建筑需纳入局域网,其中原有计算机教室将并入整个校园网络。
根据校方要求,总的信息点将达到3000个左右。
信息节点的分布比较分散。
将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。
主控室可设在教学楼的一层,图书馆、实验楼和教学楼为信息点密集区。
需求功能如下:
校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台,并能够有效促进现有的管理体制和管理方法,提高学校办公质量和效率,以促进学校整体教学水平的提高。
三、课程设计的相关技术
校园网计算机网络系统应便于将来网络系统的扩充,网络的硬件和软件应具有相对的独立性;
充分考虑网络系统的开放性;
充分考虑硬件的适应性,硬件应具有高度的可连接性和兼容性;
网络系统应具有高度的开放性,能与不同的计算机系统,通讯系统,自动控制系统连接,能连接不同协议的网络系统;
实现多种操作系统平台,多种网络操作系统,多种网络协议互操作。
一、应用技术
1、通过VLAN技术,控制网络流量,提高网络效率,防止网络侦听;
2、不同的VLAN,可以根据功能区域的不同,设定不同的安全级别:
对于重要网络设备和管理系统,应设置最高的安全级别;
3、对于向外提供信息服务的重要服务器,关闭不需要开放的服务端口,限制用户的操作权限,防止非法操作;
4、采用访问控制表进行访问限制,过滤不正当的访问和恶意攻击;
5、通过防病毒软件和和适当的个人电脑网络设置,建立桌面级的系统安全;
6、校园网可以通过DHCP服务器,实现动态地址分配与认证,实现对内信息内容的访问控制。
二、网络设计原则
1、网络的先进性和实用性的原则
采用的硬软件系统既有技术的先进性,又有很高的性能价格比。
2、网络的开放性和兼容性的原则
选择符合国际标准的网络硬软件产品,有很好的互换、扩展和升级能力。
3、网络的灵活性和可靠性的原则
网络系统能够适应各种网络应用系统,易于今后向更先进的技术迁移,并且要有很好的容错能力。
4、网络的可管理性和易维护性原则
配置网管软件,采用具有可管理的网络设备,以便合理规划网络资源和控制网络运行。
整个网络应结构合理,层次划分清楚且具有相对独立性,便于管理和维护。
5、网络系统的保密性和强有力的防病毒性。
三、网络拓扑图
图一校园网络拓扑图
四、课程设计过程
根据大学校园网的拓扑结构特点及面临的安全隐患,我们将通过瑞星防火墙、入侵检测、网络杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求,为大学校园构建统一、安全的网络。
A:
通过一台路由器隔开外网(Internet)与校园网,路由器中我们设置了防御外部的第一道屏障。
屏蔽路由器对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。
它能根据IP地址、UDP和TCP端口来筛选数据。
如可以在路由器中实现对内部网络在8.00--18.00屏蔽腾讯的所有服务,也可以对特定的黄色、暴力、黑客、游戏网站进行屏蔽。
B:
通过防火墙(装有瑞星企业版的主机)隔离,在校园网络与外界连接处实施网络访问控制。
在Internet与校园网内网之间部署了一台瑞星企业版防火墙,可以让学院了解外部网络用户的身份和工作性质,提供访问规则,并针对存取要求授予不同的权限,保证只有经授权许可的信息才能在客户机和服务器间流通。
其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。
这样,通过Internet进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。
具体配制规则如下:
第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,如审核IP数据包的内容包括:
协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网对校园内部网不必要的、非法的访问。
总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;
过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。
第五,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第六,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
C:
在中心交换机上架设入侵检测系统(瑞星入侵检测系统RIDS-100)。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星入侵检测系统RIDS-100。
将RIDS-100入侵检测引擎接入中心交换机上,对处于防火墙之后的来自外部网和校园网内部的各种行为的网络活动进行实时检测。
许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。
它们可以和防火墙和路由器配合工作。
具体工作过程如下:
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。
IDS是被动的,它监测你的网络上所有的数据包。
其目的就是扑捉危险或有恶意动作的信息包。
IDS是按你指定的规则运行的,记录是庞大的,所以我们必须制定合适的规则对他进行正确的配置,如果IDS没有正确的配置,其效果如同没有一样。
IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
D:
漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。
例如:
如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
E:
部署网络版杀毒软件
最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。
同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
具体实现过程可如下操作:
在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。
在各主机节点分别安装网络版杀毒软件的客户端。
安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
网络中心负责整个校园网的升级工作。
为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;
另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
五、课程设计小结
具我了解,校园网络的安全问题,不仅是设备和技术的问题,也是管理的问题。
做为校园网络的管理人员,一定要提高网络安全意识,加强网络安全技术的掌握。
课程设计是我们专业课程知识综合应用的实践训练,这是我们迈向社会,从事职业工作前一个必不少的过程。
而在这次的课程设计中不仅检验了我所学习的知识,也培养了我如何去把握一件事情,如何去做一件事情,又如何完成一件事情。
在设计过程中,与同学分工设计,和同学们相互探讨,相互学习,学会了合作。
同时感谢对我帮助过的同学们,谢谢你们对我的帮助和支持,让我感受到同学的友谊。
由于本人的设计能力有限,在设计过程中难免出现错误,恳请老师多多指教,我十分乐意接受你们的批评与指正,本人将万分感谢。
9
升级会员 