Ⅰ 急求网络规划设计方案 急!急!
1.1.1 网络规划目的
网络规划的目的是为了:
1.对网络建设具有先期的指导性;
2.使用户对所建设的网络有一个全面的了解;
3.对以后的网络实施和验收提供依据。
1.1.2 网络规划的思想方法
网络规划的思想方法主要有:
1.从网络核心入手,发散到网络边缘
从核心开始着手,分析了用户的核心需求,首先满足核心要求,如中心机房的设计,然后逐步发散到汇聚和接入的考虑。
2.从网络接入入手,集中到网络核心
从接入层开始入入手,首先分析信息点的物理数量和分布,选择接入设备和应用,再考虑上层网络的设计和设备的选择。
3.思想方法多样化
有经验的网络设计人员可以根据个人的经验和习惯进行设计,不同规模,不同需求导致思想方法不同。
1.1.3 网络规划流程
1.2 方案设计步骤
在获取用户需求后,通过对用户需求进行分析,如环境分析、流量分析,整理出相关有用信息,对网络地址进行规划、技术及产品选型,得出具体方案。
1.2.1 用户需求获取
用户需求就是用户对网络的当前的认识和对未来网络建设目标的认识,不同的的用户需求不同。
1.用户需求来源及收集方法
需求来源及收集方法多种多样。
(1)需求来源
1)决策者的建设思路
决策者的建设思路是项目成功实施的一个关键,首先了解决策者对网络建设的需求,包括网络扩展问题,核心功能问题。
2)用户提供的历史资料和行业资料
用户提供的历史资料、行业资料及资料使用状况等资料,是网络设计具有行业色彩的关键。一般性的行业需求是方案设计人员应该具备的知识,用户一般不会耐心说明本行业基本信息。特殊行业有特殊要求,包括相关政策,如政府机关的网络,涉及国家机密的计算机物理上不可与Internet相连。
3)用户技术员的细节描述
用户技术员的细节描述,是未来网络系统技术指标的来源。
4)普通用户对网络的要求
网络使用者对网络的需求,是普通用户的意见和看法。这部分用户对网络技术方面不会很了解,但是他们的需求应该是最基本最直接的,也是应该尽可能需要满足的。
(2)收集方法
1)会谈纪要法
主要是方案设计方一用户方相关人员,包括决策者和技术人员,在一起商讨确定网络的规划,出示书面的记录,作为日后方案评估的标准。
2)关键人物接触
会谈中,也许会因为某些原因不能很全面、很完善的完成所有的需求。对关键人物的采访可以使方案更具竞争力。
3)用户访谈
用户方部分人员进行访谈,了解他们对网络的认识和看法,对未来网络功能的需求。
2.用户需求重点
(1)商业需求,资金投入,网络规模
1)工程分期问题
大型的网络工程通常是分几个阶段进行,了解工程分期的关键分界点,了解每期工程新增部分和预期目标。
2)投资规模
投资规模决定了网络设备选型,服务器选型,冗余等一系列服务水平。
3)预测扩展
网络应该具有相应的的弹性,考虑到未来3-5年的公司人员调整,业务量调整等,具有一定的伸缩性,这也是为了保护用户投资而考虑的。
(2)现有网络的状况
用户原有的软硬件资源,包括用户对资源的掌握情况,考虑到一旦环境了生变化以后,如何使用户平滑到新网络的使用,保护原有投资。
(3)网络分布需求
网络覆盖的物理区域,几栋楼宇、具体信息点的数量、位置和分布,有无信息死点,是否需要无线设备等等。
(4)业务分类、分布及对网络功能的需求
用户需要网络系统具备什么功能?是否支持多媒体业务?VOIP业务?移动办公?远程接入?
(5)网络带宽和业务量的需求
包括局域网带宽和Internet接入带宽,以及业务量的分布;部门之间的信息流量,是否存在业务峰值?
(6)网络可靠性的需求
(7)网络安全性的需求
部门与部门之间的业务安全,整个局域网的安全,避免非法操作和网络灾难,病毒防治。
(8)网络管理方面的需求
易管理,故障易定位。
1.2.2 用户需求分析
1.需求分析的目的
(1)为网络规划提供依据;
需求分析是网络设计的基础,但它往往被忽略,或者降低到次要的位置。原因之一是需求分析是整个网络设计的难点。它需要与用户沟通,将用户模糊的想法清析化,不正确的想法正确化。不正确的用户需求将导致设计结果与用户要求不一致,导致整个项目终结。
(2)使方案设计个性化,更具竞争力
不同的用户需求不同,为了实现个性化的方案设计,使方案更具竞争力,需要进行具有针对性的分析和设计。用户投资和网络规模的问题,贯穿整个方案设计和始终,直接关系到技术选型和设备选型
2.需求分析整理
(1)用户提出的合理需求,满足;
(2)超过现有技术和设备能力的需求,引导用户,使用替代策略;
(3)帮助用户清晰化。
1.2.3 环境分析
根据得到的用户需求资料后,对园区进行实地考察,主要是要得出整个园区网络覆盖的范围、建筑的多少、每栋楼距离多远、每栋楼有多少层;每层楼的有多少间房、层高多少;、每间房需要接入多少个信息点,信息点总数。为流量分析、网络拓扑结构及传输介质选择提供依据。
1.2.4 流量分析
1.通信分析
不同用户应用系统之间、不同业务类型、不同组织之间的网络连接处称为网络边界。网络边界一般就是通信流量的边界。
2.业务特性
不同业务特性产生不同的流量要求。
3.流量分析步骤
1.2.5 网络地址规划
1.网络地址规划原则
(1)管理便捷原则
对私有网络尽量采用NAT规定的私有地址;选择私有网络还要考虑未来网络扩展。
(2)地域原则
高位表示级别高的地域,低位表示级别低的地域。
(3)业务原则
不同的业务通过地址中的某一位来识别。
(4)地址节省原则
2.常用网络地址规划方法
(1)按部门划分
如果部门是按照地域来划分的,这种方案将会很好;如果部门不是按照地域来划分的,则会导致路由汇聚困难,如果网络规模比较大,地址空间也会比较乱。
(2)按照地域划分
是按照地域来划分可以提供很好的路由汇聚,但对多业务的网络无法充分利用网络特性对业务进行管理。
一般来说,地址规划要根据实际情况,地域和部门综合考虑。
1.2.6 网络技术选型
技术选型要考虑的因素:高带宽、低延迟;与已安装服务器/桌面计算机/网络设备的兼容性;与已安装的LAN协议的兼容性;对质量保证服务QoS的要求;广域网的兼容性;网络技术的成熟性等。
1.2.6 网络设备选型
1.设备选型的依据
设备选型主要考虑用户需求以及资金投入。
(1) 设备的档次
可以根据网络的拓扑对各层作先期的选型估计,最能确定设备档次上性能要求。
(2) 接口类型、数量
具体的接口类型取决于用户的线路的选择。而线路的选择则取决于网络的数据流量的估算、当地各种线路的性价比。
(3) 可靠性要求
是否需要主控冗余备份、电源冗余备份。
(4)业务类型
是否有VoIP,各级IP语音接口的call数峰值。
2.设备分类选择
(1)局域网设备选择
主要是以太网交换机。
(2)广域网设备选择
主要是路由设备选择。
3.设备分层选择
对网络不同层次采用不同档次的设备,局域网、广域网同样如此。
决定设备不同档次的其他方面因素有;
(1)可靠性
不同的网络位置,可靠性要求不同。中心一般有主控冗余、电源冗余要求。
(2)性能要求
不同的网络位置,流量不同,性能要求民不一样。性能是决定不同设备档次的主要环节。
(3)接口数要求
拔掉结构将影响接口密度;接口密度越高,设备档次要求越高。
(4)接口类型
当有高速接口要求时,一般要选择高档次的设备。
Ⅱ 企业网络建设方案
纯软件也可以,软硬件结合也可以
楼上有朋友说划分VLAN是个好办法,ARP发作只在同一VLAN里影响
再就是绑MAC地址,可以在本机上绑,前面有朋友提到了用arp命令
我们单位是用硬件绑,接入层交换机都用两层半的那种交换机,在交换机上把端口\IP\MAC地址全绑起来了,这样就没啥问题了.
这样做就是变更机器和使用笔记本移动办公不太方便,不过配合无线可以把笔记本的问题解决掉.
另外就是做好IP和MAC对应表的备案工作,100多台机子算好些,我们办公区加家属区近2000台机子平时都作好了备案,哪个MAC地址对应谁的机子,用哪个IP一目了然.
一旦有ARP发作,先查备案表,表里没有的话再确定是哪个VLAN的,范围就缩小了,然后再辅助NBTSCAN等软件,或者登到交换机上,对VLAN内所有终端分片儿断网,就可以追查到户.
动态IP也不要紧,光备案MAC地址就行.我们单位所有计算机采购都由网络信息管理处负责,新机子一到,都要先备案,案头资料工作做的扎实,管理起来会轻松不少.
各类管理软件我没用过,不好发表评论.不过杀毒的起码要给装上,100多个终端,装网络版的成本也不老少,但有总比没有好.网上有盗版的诺顿的网络版下载,客户端中毒服务器端收到报警,服务器端升病毒库下面自动跟着升,管理压力会小许多.
封QQ,不好封吧,他们管理处在交换机上做了访问控制列表,但我们用80端口的代理一样可以上,总不至于他把80也封了.
Ⅲ 组建计算机网络的基本步骤
网络组建方案的确定和网络拓扑图的绘制 网络设备硬件的准备和安装计算机操作系统的安装与配置网络协议的选择与安装网络资源共享的授权
Ⅳ 有关中小型局域网的网络安全解决方案
企业网络安全管理方案
大致包括: 1) 企业网络安全漏洞分析评估2) 网络更新的拓扑图、网络安全产品采购与报价3) 管理制度制定、员工安全教育与安全知识培训计划4) 安全建设方案5) 网管设备选择与网络管理软件应用6) 网络维护与数据灾难备份计划7) 企业防火墙应用管理与策略8) 企业网络病毒防护9) 防内部攻击方案10) 企业VPN设计
网络安全要从两方面来入手
第一、管理层面。包括各种网络安全规章制度的建立、实施以及监督
第二、技术层面。包括各种安全设备实施,安全技术措施应用等
按照你的描述 首先我提醒你一点
安全是要花钱的 如果不想花钱就你现有的这些设备
我认为应该从以下几点入手
一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等
二、制定并实施网络安全日常工作程序,包括监测上网行为、包括入侵监测
三、从技术层面上,你那里估计是一根专线接入后用交换机或者无线路由器DHCP分配IP地址供大家上网,这样的话你做不到上网行为管理,你需要一台防火墙进行包过滤以及日志记录 或者作一台代理服务器进行上网行为管理并进行日志记录。
四、局域网内计算机系统管理 包括操作系统防病毒 更新补丁等工作 堡垒往往是从内部攻破 内部计算机中毒主动向外发送数据,造成泄密 这已经是很常见的事情 所以做好主机防护很重要。
当然 如果您有钱 黑洞系统 入侵监测 漏洞扫描 多级防火墙 审计系统都可以招呼
最后提醒一点 那就是 没有绝对的安全 安全都是相对的
你需要什么级别的安全 就配套做什么级别的安全措施
管理永远大于技术 技术只是辅助手段
Ⅳ 如何配置计算机网络
在计算机安装好网络适配器且安装了该设备的驱动程序之后,需配置计算机网络的主要参数包括IP地址、子网掩码、默认网关、DNS。配置方式分为静态IP地址和动态IP地址两种设置方法。静态IP地址设置下面以Win2000为例来说明静态IP地址的设置和使用方法:
第一步:在开始菜单中选择“设置”单击“网络和拨号连接” 第二步:点击之后将出现下面的界面 第三步:双击“本地连接” 第四步:单击“属性”,之后选择“Internet协议(TCP/IP)” 第五步:双击“Internet协议(TCP/IP)”,选择“使用下面的IP地址”和“使用下面的DNS服务器地址”,IP地址、子网掩码、默认网关按照统一分配的信息进行设置,DNS设置为“202.112.80.106”,最后点击“确定” WinXP系统和Win2000系统的主要区别是在开始的步骤,WinXP系统开始的步骤如下:
第一步:在开始菜单中选择“网上邻居” 第二步:单击“网上邻居”,出现如下的界面,此时点击“查看网络连接” 之后就会出现“本地连接”,以后的步骤和Win2000系统的步骤完全一致。
动态IP地址的设置动态IP地址的设置方法和静态IP地址的设置方法不同之处在于第五步。双击“Internet协议(TCP/IP)”,按照下图的选项选择“自动获得IP地址”和“自动获得DNS服务器地址”进行设置,最后点击“确定”。
Ⅵ 计算机网络系统设备安全应采取哪些手段
随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将着重对计算机信息网络安全存在的问题提出相应的安全防范措施。 1、技术层面对策
在技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
1) 建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。 2) 网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。 3) 数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
4) 应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。 5) 切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U盘和程序,不随意下载网络可疑信息。
6) 提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
7) 研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。 2、管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。 3、物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这
个安全的环境是指机房及其设施,主要包括以下内容:
1) 计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。 2) 机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
3) 机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。 计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
Ⅶ 计算机网络常见问题及解决方法
STP,VLAN,VTP,单臂路游,ARP病毒,在多我也想不起来了
Ⅷ 求一个公司无线网络建设方案
方案三:无线网络设计方案
一、前言
随着计算机应用技术的普及和国民经济信息化的发展,客户/服务器计算、分布式处理、国际互连网(Internet)、内部网(Intranet)等技术被广泛接受和应用,计算机的联网需求迅速扩大,网络在各行各业的应用越来越广。目前尽管有线网络以其传输速度高,产品品牌及数量众多和技术发展速度快等优点,在市场上有较高的知名度和较大的市场份额,但是在一些特殊的环境和特定的行业里依然有许多令IT数据管理公司头疼多年的LAN布线问题存在。
无线局域网在很多应用领域具有独特的优势:一是可移动性,它提供了不受线缆限制的应用,用户可以随时上网;二是容易安装、无须布线,大大节约了建网时间;三是组网灵活,即插即用,网络管理人员可以迅速将其加入到现有网络中,并在某种环境下运行;四是成本低,特别适合于变化频繁的工作场合。此外,无线网络相对来说比较安全,无线网络通信以空气为介质,传输的信号可以跨越很宽的频段,而且与自然背景噪音十分的相似,这样一来,就使得窃听者用普通的方式难以偷听到数据。
实际上,无线局域网早在80年代就已经得到广泛应用,当时受到技术上的制约,通信速率只有860kb/s,工作在900MHz的频段。能够了解并享受它的好处的人少之又少。到了90年代初,随着技术的进步,无线局域网的通信速率已经提高到1~2Mb/s,工作频段为2.4GHz,并开始向医疗、教育等多媒体应用领域延伸。无线局域网的发展也引起国际标准化组织的关注,IEEE从1992年开始着手制订802.11标准,以推动无线局域网的发展。1997年,该标准获得通过,它大大促进了不同厂商产品之间的互操作性,并推进了已经萌芽的产业的发展。802.11标准仅限于物理(PHY)层和媒介访问控制(MAC)层。物理层对应于国际标准化组织的七层开放系统互连(OSI)模型的最低层,MAC层与OSI第二层的下层相对应,该层与逻辑链路控制(LLC)层构成了OSI的第二层。
标准实际规定了三种不同的物理层结构,用户可以从中选出一种,它们中的每一种都可以和相同的MAC层进行通信。802.11工作组的成员认为在物理层实现方面有多个选择是必要的,因为这可以使系统设计人员和集成人员根据特定应用的价格、性能、操作等方面的因素来选择一种更合适的技术。另外,企业局域网通常会使用有线以太网和无线节点混合的方式,它们在使用上没有区别。近年来,无线局域网的速率有了本质的提高,新的IEEE802.11b标准支持11Mb/s高速数据传输。这为宽带无线应用提供了良好的平台。局域网作为一种通用的联网手段,得到了极为广泛的应用,其传输速率、网络性能不断提高。不过,它基本采用的是有线传输媒介,在许多不适宜布线的场合,受到很大程度的限制。另一方面,无线数据传输技术近年来不断获得突破,标准化进展也极为迅速,这使得局域网环境下的数据传输完全可以摆脱线缆的束缚。在此基础上,无线局域网开始崛起,越来越受到人们的重视。
随着wireless技术的出现和技术的不断进步,在诸多计算机联网技术中,无线网以其无需布线、在一定区域漫游、运行费用低廉等优点,在许多这些应用场合发挥着其他联网技术不可替代的作用。随着无线局域网应用逐渐增多,它将扩展有线局域网或在某些情况下取而代之。可以预期,在未来信息无所不在的时代,无线网将依靠其无法比拟的灵活性,可移动性和极强的可扩容性,使人们真正享受到简单、方便、快捷的连接。
二、需求分析
2.1、基本应用情况
对于该办公区的无线网络,主要提供给会议室、行政办公室、销售办公室、
物流办公室、常务副总办公室和行政总监办公室等6个区块使用,这些部门及个人都使用计算机处理及传递各种信息(包括图像、图形、声音、数据等),进行各自的办公、会议和管理等工作。建立一个支持多种应用系统的统一、先进的、具有良好的可扩展性和有一定冗余的网络平台,具有高可靠性、高安全性的运行网络是其基本的应用需求。下面将对其功能需求做一个具体详细的分析。
2.2、功能需求分析
(1)技术中心办公室
普通会议
视频会议
多媒体会议
学术研讨
(2)网络办公功能
网上事务管理
Web通用查询
Internet/Intranet信息服务功能
构建公司Intranet公司信息、服务系统,实现公司信息网上发布、整个公司的电子邮件系统、网上资源的信息共享,使管理人员和员工可以在公司内部网络交流。
2.3、环境需求分析
该建筑是属于大城市中的钢筋混凝土框架建筑物,按国家建筑标准,无线信号的贯穿损耗中值为18dB,标准偏差7.7dB,但经现场测试,此建筑的隔断墙的无线传输损耗为5dB。本大楼主要分为办公区和展览区,在办公区域接入点相对固定,而在大厅和展示厅的信号接入点则相对比较灵活,流动性比较大,需要做好无线信号的无缝漫游、无信号盲区,使使用者能稳定地接收到信号。
2.4、安全需求分析
由于在该楼层中有物流、销售、行政总监等办公室,都拥有公司的机密文件和材料,而为了不让外面的人在上外网的同时不能进入到本公司的内部网络,那就对我们的安全策略提出了要求,则必须使用稳定保险的加密技术来支持,比如WEP、WPA、RADIUS或无线交换机中使用的WLAN定位技术。
2.5、用户需求
(1)无线覆盖的场地,保证进入场地覆盖区域的客户能用自己的笔记本和无线网卡直接上网
(2)在保证客户在场地及其它覆盖区域无限制上网的同时,能使内部员工在办
公楼内随时访问内部网络。
(3)要求在无线覆盖区内95%的位置,99%的时间用户可成功接入网络,通过无线访问Internet。
(4)场地要求办公区域无线覆盖的信号接收强度达最低到15db,其它开放区域接收信号强度最大到底20db,需要做无线盲点覆盖。
(5)单用户情况数据传输速率最大4Mb/s,在多用户接入时,不低于100kb/s
Ⅸ 网络安全的解决方案!急,满意再给100!
谈对网络安全的认识
近几年来,网络越来越深入人心,它是人们工作、学习、生活的便捷工具和丰富资源。但是,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。作为学校,如何建立比较安全的校园网络体系,值得我们关注研究。
建立校园网络安全体系,主要依赖三个方面:一是威严的法律;二是先进的技术;三是严格的管理。
从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等,这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。
网络现状
我校是一所市一级中学,目前有两所网络教室、200多台教学办公电脑,校园网一期工程为全校教教学教研建立了计算机信息网络,实现了校园内计算机联网,信息资源共享并通过中国公用Internet网(CHINANET)与Internet互连,校园网结构是:校园内建筑物之间的连接选用多模光纤,以网管中心为中心,辐射向其他建筑物,楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机;二级交换机为3Com 3300。
安全隐患
当时,校园网络存在的安全隐患和漏洞有:
1、校园网通过CHINANET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
2、校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
3、目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server,其普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞,这些都对原有网络安全构成威胁。
4、随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
措施及解决方案
根据我校校园网的结构特点及面临的安全隐患,我们决定采用下面一些安全方案和措施。
一、安全代理部署
在Internet与校园网内网之间部署一台安全代理(ISA),并具防火墙等功能,形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理,与内、外网间进行隔离。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性:
1、据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切,只开有用”的原则。
2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
3、安全代理上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4、定期查看安全代理访问日志,及时发现攻击行为和不良上网记录,并保留日志90天。
5、允许通过配置网卡对安全代理设置,提高安全代理管理安全性。
二、入侵检测系统部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。
三、漏洞扫描系统
采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
四、诺顿网络版杀毒产品部署
在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心,负责管理200多个主机网点的计算机。
2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。
3、安装完诺顿杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端,并自动对诺顿杀毒软件网络版进行更新,使全校的防毒病毒库始终处于最新的状态。
五、划分内部虚拟专网(VLAN),针对内部有效VLAN设置合法地址池,针对不同VLAN开放相应端口,阻止广播风暴发生。
六、实时升级Windows2000 Server、IE等各软件补丁,减少漏洞;实行个人办公电脑实名制。
七、安全管理
常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度、上网规定等,同时要注意物理安全,防止设备器材的暴力损坏,防火、防雷、防潮、防尘、防盗等,并采取切实有效的措施保证制度的执行。
近几年,通过对以上措施的逐步实施,我校校园网络能鸲安全正常运行,为学校教育教学工作的顺利开展提供了有力辅助,并渐入佳境。
Ⅹ 谁能帮忙写一篇计算机网络设计方案
..........
该校园网采用3层设计,主要分为核心层、汇聚层、接入层。核心层是网络中心,为整个校园网的中心节点,网络中心选址在校园地域的中心建筑,网络中心布置了校园网的核心设备,如交换机、路由器、服务器(Web服务器、E-mail服务器、DNS服务器、拨号服务器等),并预留了与将来新建园区的通信接口。核心层交换机采用4台高性能的万兆核心路由交换机,并且实现核心层之间万兆链路连接,核心层到汇聚层千兆链路连接,接入层到桌面百兆链路连接。汇聚层为各建筑群的节点,为校园网的二级节点。校园网按地域设置了若干条干线光缆,从网络中心辐射到几个主要的建筑群,并在二级主干节点处端接,汇聚层网络节点上安装的交换机位于网络的第二层,向上与网络中心的核心交换机连接,向下与接入层(各楼层)的交换机或集线器连接。接入层是各建筑楼层的节点,为校园网的三级节点。接入层节点是直接与服务器和工作站连接的局域网设备,主要是快速以太网集线器或交换机。
整个校园网与外部的连接接口有两个,一个是连接到广域网(如CERNET)的接口,一个是作为服务中心,接受外部用户通过拨号或其他方式接入校园网。新校区和老校区通过租用或买断通信光缆的方式,通过光缆进行相互连接,使两个校区可以资源共享,包括办公语言电话、有线电视节目、视频会议等。
新校区网络建设所用到的硬件设备包括传输介质、交换机、集线器等设备,双绞线、网卡、集线器或交换机、宽带路由器和ADSL Modem等,软件设备主要包括各种应用系统和网络平台,如安全认证系统、网管平台系统。
•传输介质:主要包括双绞线和光缆,双绞线主要是3类、5类、超5类非屏蔽双绞线,超5类用于距离较远的连接;光缆是单模光缆和多模光缆,单模光缆用于距离较远的连接。
•核心层交换机:核心交换机质量的好坏直接影响到整个校园网的性能,应选择模块化的万兆智能交换机,支持配置冗余电源模块和管理引擎模块。这里采用锐捷网络RG-S6810E万兆核心交换机,它具有1.6Tbps的背板带宽,提供10个插槽,可配置冗余电源模块及管理引擎模块,所有模块支持热插拔,利于提高系统的可靠性和稳定性;可提供万兆端口32个,二、三层交换机转发速率572Mbps。核心与核心的分中心统一采用RG-S6810E交换机,并利用RG-S6810E万兆端口连接办公子网、多媒体教室、图书馆、学生宿舍等子网。
•汇聚层交换机:汇聚层交换机与核心交换机通信比较频繁,每天都需要访问大量数据,包括音频、视频等,汇聚层交换机必须具有足够的带宽。这里选用RG-S3760-12SFP/GT全千兆交换机,它具有48Gbps的背板带宽,提供12个千兆端口,二、三层转发速率18Mbps,另外,它还支持冗余电源接口,可配置专门的冗余模块提供电源,并且对IPv 6全面支持,可满足全面部署IPv 6网络的可能性。
•接入层交换机/集线器:接入层交换机(或集线器)直接与计算机连接,由于校园网需要连入的节点众多,需要选用可堆叠的交换机或集线器。这里选择锐捷网络Star-S2100G系列千兆交换机,可以配置千兆、百兆模块,最多可以实现8个设备进行堆叠,另外该系列交换机支持802.x五元素绑定认证,包括用户名、计算机IP地址、计算机MAC地址、接入交换机IP地址、接入交换机端口号等元素。
•远程路由器:网络中心通常提供远程拨号服务,以便远程用户(老师、学生)从家中访问校园网,这时可以使用具有远程访问功能的路由器。当远程用户通过ISDN或Modem拨号连接到该路由器时,就可以登陆校园网。这里选择Star-R2600模块化路由器,它可以提供8/16个异步端口,可以连接8/16个ISDN或Modem作为应答设备。Star-R2600路由器可以直接连接到核心交换机上,也可以通过代理服务器连接到交换机,后者成本较前者高,但同时网络安全性也较高。
•机架 Modem:网络中心也可以采用机架Modem作为远程访问连接设备,当远程用户通过ISDN或Modem拨号连接到该设备时,就可以登陆校园网。这里选择336NMS机架Modem,它可以提供16个拨号端口,可以同时接受16个远程用户的拨号接入。336NMS机架Modem必须先连接到代理服务器,然后再连接到核心交换机上。
................
...............
详细的写不下