搜索
共9页2一需求分析1网络需求分析:1).络主要涉及4栋大楼:网络中心设在大楼A。2).教务处、学生处、政教处等10个部门,分别在A、B、C、楼,每个部门用户数在30个左右。3).用千兆以太网,到桌面10/100兆自适应连接;4).换机至大楼交换机之间采用1000M互连;5).换机至核心交换机之间采用1000M互联;6).火墙。7).内部网络采用Intranet应用模式架构整个应用信息系统8).骨干网技术要求:①满足对多媒体数据的要求,避免主干网络瓶颈的出现;②提供子网划分、虚拟网技术和能力,解决内部网络的路由,实现较高的内部路由性能;③配置Vlan以及静态路由协议,使其网络通畅。④保证传输的服务质量,提供必要的服务质量(QOS)、服务级别(COS)和服务类型(TOS)等;9).布线系统技术要求:①布线系统全部采用符合国家标准或国际标准的产品进行完全的结构化布线;②在较好性能价格比的情况下,布线的标准适当超前,整个系统应提供15年以上的质量保证;③楼宇之间根据距离远近采用多模(MMF)或单模(SMF)光纤,大楼内部采用5类双绞线10).网络管理技术要求:①基于开放的校园网系统,应当支持集成化的SNMP及CMIP应用,能够全面管理TCP/IP网络设备,并且提供面向目标的图形管理接口和API编程接口;②网络管理员可以通过网络管理工作站,借助图形化的界面,可以对网络上的设备进行监控和集中式管理,只要对网络软件进行配置,不必到现场进行实际操作,就能重新构造网络;共9页3③提供方便、安全、可靠的故障和维护管理、安全管理、性能管理、统计管理、计费管理等基本管理功能。11).系统安全控制技术要求:①Internet的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、,同时划分不同级别的安全区域;②远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用户记账/审计等功能;③应提供对整个网络和工作站进行侦独、解毒和清毒等工作,防范计算机病毒。2网络规划根据本系统的网络建设需求和对网络需求的分析,校园网系统应遵循以下建网原则:①采用先进的网络技术:主要是在网络主干技术的选型上,既要能够满足当前学校教学、科研和办公应用系统的需要,又能够满足多媒体系统对多媒体传输的需求;②实用性:本网络方案设计保证网络的实用性,并在性能接近情况下,使网络结构尽可能简洁。③良好的网络可靠性:主要体现在网络主干和网络主干交换机配置上能够避免单点故障,在关键的部分有冗余;④良好的网络可用性:在网络交换机的功能和性能方面,网络配置应尽量减少网络瓶颈,提供先进的交换机和高性能的路由配置;⑤良好的网络可扩展性:在网络带宽的扩展和交换端口数量的扩展方面,具有比较大的灵活性;在网络技术的升级方面,遵循网络工业标准;⑥良好的网络安全性:能够在网络系统中集成防火墙功能;⑦虚拟网:能够提供基于不同规则的虚拟网划分手段;⑧良好的网络可管理性和操作方便性;⑨经济性:本网络方案提供性能价格比高,并综合考虑到设备价格变化、设备升级扩展等因素;共9页43技术方案综述通过对网络建设项目系统现状和对整个网络系统建设需求的了解,以万兆主干网络为基础平台,以应用为主线,以实现办公自动化、资源共享、实时新闻发布、财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目的,因此推荐如下主要技术方案:采用锐捷网络公司的交换机产品来构造内部网络:网络核心交换机采用RG-S8600系列高密度多业务IPV6核心路由交换机;大楼汇聚交换机采用RG-S5750系列安全智能万兆多层交换机;接入交换机采用STAR-S2024E千兆增强网管交换机。外网由天融信防火墙接入,并配置其基本的安全策略,和地址转换各个部门采用Vlan技术,使重要部门隔离网络,保证信息的完整行。服务器采用RIAD5技术,提高数据的读写性能和安全性。二网络系统设计1网络拓扑详细规划:共9页5校园网拓扑图注释:(1)服务器群,其中有FTP、WEB、WINS、DHCP等服务器。其IP地址为172.16.1.2-10(2)在大楼1的汇聚层交换机配置了相关的IP地址,并对其重要的部门和多媒体教室进行了VLAN的划分。其IP地址为172.16.1.2-50。(3)同上。其IP地址为172.16.2.2-50。(4)同上。其IP地址为172.16.3.2-20。(5)在核心交换上进行了静态路由协议的、访问控制列表的配置。并运用单臂路由使有些VLAN之间可以相互访问。(6)这是家属区域,配置略。(7)在防火墙上进行了基本的防病毒、防攻击的配置,实施了入侵检测系统的设置,配置了DMZ区域和虚拟服务器,满足外网用户对FTP、WEB服务器和其他功能的访问2.系统可能受到的安全攻击:(1).无意威胁:校园网系统可能受到的无意威胁有软、硬件的失常,管理不善造成的信息丢失,安全设置不当而留下的安全漏洞,信息资源共享不当而被非法用户访问等。(2).故意威胁:故意威胁也就是“人为攻击”,常见的攻击行为有:通过端口扫描来判断目标计算机哪些TCP或UDP端口是开放的;SYN和FIN同时设置,操作系统在收到这样的报文后处理方式也不同,攻击者利用这个特征来判断目标主机的操作系统类型,进行进一步的攻击;IP地址欺骗;路由协议攻击等。人为攻击:社会工程、盗窃行为•物理攻击•数据攻击:信息获取、非法获取数据、篡改数据•身份冒充:IP欺骗、会话重放、会话劫持•非法使用:利用系统、网络的漏洞•拒绝服务(3).网络安全隐患的分析传统的安全防护方法是:对网络进行风险分析,制订相应的安全策略,采取一种或多种安全技术作为防护措施。这种方案要取得成功主要依赖于系统正确的设置和完善的防御手段的建立,并且在很大程度上是针对固定的、静态的威胁和环境弱点。其忽略了因特网安全的重要特征,即因特网安全没有标准的过程和方法。新的安全问题的出现需要新的安全技术和手段来解决,因此,安全是一个动态的、不断完善的过程。企业网络安全可以从以下几个方面来分析:物理网络安全、平台网络安全、系统网络安全、应用网络安全、管理网络安全等方面。物理网络安全风险物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障、人为操作失误或错误,设备被盗、被毁,电磁干扰、线路截获等安全隐患;物理网络安全是整个网络系统安全的前提。平台网络的安全风险平台网络的安全涉及到基于ISO/OSI模型三层路由平共9页6台的安全,包括网络拓扑结构、网络路由状况及网络环境等因素;企业网内公开服务器面临的威胁、网络结构和路由状况面临的困扰是问题的主要方面。公开服务器是信息发布平台,由于承担了为外界信息服务的责任,因此极易成为网络黑客攻击的目标;伴随企业局域网与外网连接多样性的存在,安全、策略的路由显得愈加重要。系统网络的安全风险系统网络安全是建立在平台网络安全基础上,涉及到网络操作系统及网络资源基础应用的安全体系。操作系统的安全设置、操作和访问的权限、共享资源的合理配置等成为主要因素。应用网络的安全风险应用网络系统安全具有明显的个体性和动态性,针对不同的应用环境和不断变化发展应用需求,应用网络安全的内涵在不断的变化和发展之中。其安全性涉及到信息、数据的安全性。管理网络的安全风险管理网络安全更多的涉及到人的因素,管理是网络中安全最重要的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险;网络系统的实时检测、监控、报告与预警,是管理网络安全的另一方面。通用网关接口(CGI)漏洞有一类风险涉及通用网关接口(CGI)脚本。CGI脚本程序是搜索引擎通过超链接查找特定信息的基础,同时也使得通过修改CGI脚本执行非法任务成为可能,这就是问题之所在。除此之外,恶意代码、网络病毒也成为网络不安全的隐患。三.网络安全的设置1计算机网络安全的概念计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。计算机网络安全从其本质上来讲就是系统上的信息安全。计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。所以,广义的计算机网络安全还包括信息设备的物理安全性,诸如场地环境保护、防火措施、防水措施、静电防护、电源保护、空调设备、计算机辐射和计算机病毒等。在对计算机网络安全做考虑时,一般采用防火墙中的一些防病毒防攻击的设置,可以大大提高网络的安全性,对于服务器群,我们可以使用防火墙独特的性能——DMZ或者使用虚拟服务器来对内网的服务器起到保护的作用。另一种方法则是在核心交换机上设置访问控制列表,配置一些访问规则,使内网访问外网或外网访问内网时受到一定的限制,保证了网络的安全性,以下将讲解访问控制列表的具体设置和防火墙的局限性。共9页7(1)物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。(2)访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。(3)入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。用户名和