网络安全课程设计_网络规划

五邑大学-网络工程安全课程设计 12/26/2011 1 五邑大学-网络工程安全课程设计 12/26/2011 2 项目规划目录 校园网设计 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 和目标.............................................................. 2 一、用户需求分析.................................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 二、网络系统总体 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 .............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 三、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 四、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 五、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 六、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 二、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 三、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 四、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 五、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 六、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 二、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 三、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 四、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 五、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 六、网络系统总体方案.............................................错误错误错误错误！！！！未定义书签未定义书签未定义书签未定义书签。。。。 五邑大学-网络工程安全课程设计 12/26/2011 3 一一一一、、、、 校园网设计要求和目标校园网设计要求和目标校园网设计要求和目标校园网设计要求和目标 校园网是利用现代网络技术,多媒体技术及 Internet 技术等作为基础建立起来的计算机 网络,一方面联接学校内子网和分散于校园各处的计算机,另一方面作为沟通学校校园内外部 网络的桥梁,为学校的教学,管理,办公,信息交流和通讯等提供综合的网络应用环境.校园网建 设应以满足现有的应用系统及未来一段时间内出现的应用系统的需求为目标,使用限有的资 金为学校提供贴切而有效的服务.深入分析各类应用的特点是成功实施校园网络建设的关键., 校园网已经成为现代教育背景下的必要基本设施,成为学校提高教学水平,科研和管理水平的 重要途径.”中国教育科研计算网(CERNET)”工程,在 1994年经国家纪委批准后,开始高速建网, 全国各大高校都在积极响应.对于校园网. 我们需要达到的目标为:Internet 接入,远程接入,视频点播,多媒体教学,学校办公自动化, 校园一卡通,图书馆资料查询,科研高速网络等.学校主干道承担的流量非常大.其目标是把学 校的各局域网的和单机连接起来,让教学资源迅速得到利用 � .实现教学管理的网络化,完成学校教学管理信息的采集,处理,查询,统计,分 析.同时,实现学校的各部门办公自动化,提高学校管理水平. � 发挥计算机在教学中的作用,实现多媒体 课件 超市陈列培训课件免费下载搭石ppt课件免费下载公安保密教育课件下载病媒生物防治课件 可下载高中数学必修四课件打包下载 制作网络化,逐步实现教师备 课电子化,多媒体化. � 保证网络系统的开放性,可持续发展性,便于以后集成视频点播,远程教学等 功能 � 网络系统必须安全可靠,保证教学数据安全运行,并能满足以后学校的不断 发展,和分校的扩展. � 校园网与 Internet的方式来组织网内信息.建立校内电子邮局.同时校园网能 与 Internet全面接入. � 接入中国教育网机因特网(Internet),实现真正意义上的数据共享,信息共享. � 实现 IP的合理分配，和 IPv6的转换。 二二二二、、、、 用户需求用户需求用户需求用户需求 (1) 主要信息点分布。主要信息点集中在办公楼，图书馆，网络中心接入点，实验楼， 学校宿舍，家属楼，饭堂，教学楼等。 信息点的分布点拓扑图和信息点的统计 地点 节点数 与中心接入距离 现有的 PC数 备注 学校接入机房 学校图书馆 校行政教学主楼 学校学生宿舍 教工研究生单元 学校综合实验楼 学校饭堂 学校主要教学点 无线网络 （2）提高网络服务。基础网络主要提供校内各单位的信息共享与通信以及 WWW， FTP，Telnet，E-mail，BBS 等服务，并建立该校的对内对外的宣传网站。在二期服务的提 供：多媒体教学，各部门和个人主页，VOD，数字图书馆。 校园网的需求按照校园区地理位置及不同的网络应用，我们把学校的用户群体分为如下两种 <一>教学区和办公区 教学办公区大致包括：一是学校职能管理业务。包括校长办公决策支持系统，教务管 五邑大学-网络工程安全课程设计 12/26/2011 4 理系统，财务管理系统以及人事管理系统等。另一方面体现为学校行政管理人员通过 Internet 进行邮件收发，数据查询以及文件传输等工作，主要业务流量较大，大量数据，教学资源流 在学校内部网。三是教研室和实验室的需求 教学区的网络应用需求包括 � 共享的同时实现网络安全 � 内部网络高速交换 � NAT地址转换 � 完善的 Qos支持能力 � 行政区财务和校长之间的安全通信. � 满足各种系统的正常使用. <二>生活区 应为教工及学生生活区用户群体提供信息的检索，资料的查询，对外联络，丰富业余 生活，资源共享，校园系统的访问，网络流量为校园网内部及访问 Internet。教工及其家属 业务流量主要是连接到 Internet，还有访问学校内部系统。当由学校为这一用户群体提供基 础网络，接入服务和管理计费时，校园网在功能上等同为教工提供 Internet接入业务的 ISP. � 网络安全性要求高,Vlan的划分. � 用户的管理性要求比较严格,对学生宿舍区上的网的控制. � NAT的地址转换的需求. � 带宽控制 � 计费要求 � 宽广地方(操场)实现无线Wifi接入,满足学生移动设备接入网络 三三三三、、、、 网络系统总体方案网络系统总体方案网络系统总体方案网络系统总体方案 <一>学校网络总体拓扑结构图（总体布线） 主干网是整个网络的信息传输主干线，为了保证网络的联通，在主干网中采用全连接 的网状拓扑结构，接入网的用户采用星型拓扑结构。该学校校园网络系统拓扑结构如下图 1-1所示 五邑大学-网络工程安全课程设计 12/26/2011 5 图 1-1学校总的拓扑图 全连接的网络网状拓扑结构的优点是网络的可靠性提高，当一条主干网发生故障，网 络信息可以自动路由到另一条冗余链路上传输 用户接入端采用星型拓扑结构相对于其他的拓扑结构来说具有如下的优点：网络结构 简明，易于管理，维护。易实现结构化组网，星型易于扩充，易于升级。特别适合交换机， 集线器等设备连接技术成熟，总类多。选择余地大。 <二>连网技术 1. 主干网连接 主干网采用交换式 1000M以太网和教育网的接入。在本方案中，学校机房接入点， 学校图书馆，学校主楼和行政区，学生活动中心，艺术和继续教育学院，信息学 院，综合实验楼节点之间使用多模光纤以全连接拓扑结构通过 1000M交换机进行 连接。这样可以保证了主干线的 1000M带宽，又保证了主干线的冗余。 2. 局域网采用快速交换式以太网通过 5类双绞线按照星型拓扑结构进行连接。例如 主楼内部节点，图书馆内部节点，机房内部节点，教学点内部节点，宿舍内部节 点，综合实验楼内部节点，各院楼和计算机学院实验室内部节点等。 五邑大学-网络工程安全课程设计 12/26/2011 6 四四四四、、、、 校园网络总体的结构校园网络总体的结构校园网络总体的结构校园网络总体的结构 1) 学校网络机房和网络接入点 里面设有中心机房，负责整个网络的运行，管理和维护工作。中心机房通过光缆 分别与子网相连，主干交换机通过交换机通过路由器与 ISDN 和以太网相连构成 了出网出口。 中心机房主要设备如下： 1. 核心交换机锐捷网络锐捷网络锐捷网络锐捷网络 RG-S5750S-48GT/4SFP两台 2. 二级交换机锐捷网络锐捷网络锐捷网络锐捷网络 RG-S2126三台 3. 路由器锐捷网络锐捷网络锐捷网络锐捷网络 NPE20(锐捷网络 NPE20)两台 4. （数据库）主服务器联想万全联想万全联想万全联想万全 R520 G7 D5603 4G/2*1TSNR1软导软导软导软导(12 盘盘盘盘)两台 5. Web/DNS/DHCP/FTP等应用服务器*****九台 6. 管理员工作站**四台 PC 7. ISDN 专线接入设备 8. 防火墙一台 9. 入侵检测 IDS 一台 10. 打印机等辅助设备 图 1-2学校服务器机房和接入点 安全配置： 在出口路由： � 配置 ACL访问控制列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf � 配置 NAT 转换 , 硬件防火墙由于内部主机是通过地址转换的方式链接 internet,有效隐藏了内部主机，同时，防火墙通过封锁部分病毒传播端口，可 以在一定程度上防止病毒的感染和传播。将防火墙的规则配置分对内和对外 两个部分。对外开放服务的规则，一般到细化的每个服务器的每个端口，这 五邑大学-网络工程安全课程设计 12/26/2011 7 样才可以保护服务器，不会被黑客利用操作系统或者开放的多余服务端口的 漏洞进行攻击。 � 对内规则，要根据的自己的实际情况进行合理的配置，比如根据用户的不同 级别设置不同的权限，最高权限的用户不受任何限制，中等权限的用户仅开 放MSN,QQ,mail,web,ftp,telnet等业务，而级别最低的用户可能只开放邮件服 务等。 � 配置远程连入 � 配置外网对内外访问的 VPN � 数据库冗余 � 日志服务器和日志分析系统 防火墙配置： � 配置 ACL访问控制列表, 防火墙设置智能化的规则，以便关闭那些可能成为 黑客入侵途径的端口。比如 1045端口就是 SASSER蠕虫的攻击端口。 � 配置远程连入 � 入侵检测 IDS配置 � 配置防火墙的 DMZ区域规则,DMZ，即非军事化缓冲区，是网路内部有服务 需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是 大量公网的任意未知用户，因此，再接入一般必须使用防火墙的独立 DMZ 接口进行隔离，同时需要设置严格的防火墙控制策略，以防止入侵者的破坏。 各种服务器： � 在网络服务中，通常都会存有好多好处并不公开或提供下载的文件和程序， 这些资料多数是某个公司或是政府机关的机密文件，也可能是某个程序员的 程序源代码。有此可以看出，一台服务器的安全是十分重要的。 1. 经常到微软官方网站去查看是否有新的补丁，升级系统 2. 2.去大型的黑客网站查看是否有一些微软尚未发现的漏洞。因为服务器的 漏洞的漏洞多数是黑客们先发现的。 3. 3.定期用各种安全扫描工具自我扫描。 4. 4.尽量少开端口，没有必要开的端口不要启动。 5. 5.服务器里不要安装任何游戏软件或其他软件。因为一些黑客会利用那些 软件的漏洞进入服务区。 6. 6.保护好服务器 Administrator密码。经常更换密码，且密码最好是 12^16 位的密码的数字加字母的不规则排列组合。 例如:web服务器服务器服务器服务器: 一. 合理的权限管理, 我现在采用的是 Windows2003 服务器，为了实现这个安全需 求，把服务器中所有的硬盘都转换为 NTFS分区。一般来说，NTFS分区比 FAT 分区安全性要高的多。利用 NTFS 分区自带的功能，合理为他们分配相关的权 限。如为这个三个服务器配置不同的管理员帐户，而不同的帐户又只能对特定 的分区与目录进行访问。如此的话，即使某个管理员帐户泄露，则他们也只能 够访问某个服务的存储空间，而不能访问其他服务的。如把 WEB 服务装载分 区 D，而把 FTP服务放在分区 E。若 FTP的帐户泄露，被攻击利用;但是，因为 FTP帐户没有对分区 D具有读写的权利，所以，其不会对 WEB服务器上的内 容进行任何的读写操作。这就可以保障，其即时攻陷 FTP服务器后，也不会对 WEB服务器产生不良的影响。 五邑大学-网络工程安全课程设计 12/26/2011 8 二. 1、在脚本或者程序编写的时候，不应该把任何不信任的参数直接保存为会话变 量。因为根据 WEB 应用的设计原理，会话变量只保存信任变量。也就是说， 会话变量中的值，WEB服务都认为其是值得信任的，会不加思索的采用。一般 的设计思路是，先设置一个临时变量进行存储，然后编写一个检验其合法性的 过程或者函数，来验证其合法性。只有通过验证的时候，这个值才能够被传给 会话变量。根据笔者的经验，要是没有亲身经历过惨痛教训的 WEB 管理员， 可能对此不屑一顾。但是，那些有过这方面教训的人，则会非常看重这个合法 性的检验过程。毕竟是吃一堑长一智，所以新手还是需要多听听过来人的建议， 不会吃亏的。 2、在没有充分必要的时候，不要采用脚本，尽量使得网页的简单化。其实， 企业的网站跟个人网站有个很大的不同，企业的网站只要朴素就好，不需要过 多的渲染。一方面，过度渲染的网站会降低用户网站访问的速度;另一方面， 这也会降低网络的安全性能。故，在没有充分必要的情况下，不要共脚本或者 程序在渲染网站的华而不实的功能。 3、对脚本或者程序的执行情况要进行持续的跟踪。在万不得已网站采用了程 序或者脚本的时候，则需要定时不定时的对这些脚本或者程序的运行情况进行 稽核，看看其有没有被非法利用的嫌疑。 3.防止首页篡改，根据逻辑部署位置和职责的不同开发的网页防篡改系统由 4 部分组成：监控代理 Monitor Agent(简称 MA)、同步代理 Synchronization Agent(简称 SA)、管理客户端 Management Client(简称 MC)和管理平台 Supervision Platform(简称 SP)．监控代理MA——部署于网站服务器，负责实 时监控保护网站文件，发现篡改企图或篡改操作实时发送恢复请求，并及时提 交告警信息．同步代理 sA——部署于同步服务器，监控代理提交的恢复请求， 并根据请求执行向网站服务器的文件同步(同步服务器通常情况下指 CMS 服 务器或兀甲服务器)．安装于专门的同步服务器(或发布服务器)，负责网页的合 法变更，并在网页变更后，将其同步到 Web 服务器上；同时及时处理监控代 理提交的恢复请求．管理客户端MC——安装在网管员的计算机上，作为用户 与系统之间的接口，负责传达操作指令，以及实时接收来自代理端的各种告警 信息并及时 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 用户．监管平台 SP——逻辑上部署于总中心的管理服务器， 作为更高一级的管理子系统，负责接收所有管辖范围内的监控中心提交的各类 关键信息 DNS服务器服务器服务器服务器安全十大方法安全十大方法安全十大方法安全十大方法: 7. 使用 DNS转发器 ,DNS转发器是为其他 DNS服务器完成 DNS查询的 DNS服务器。 使用 DNS转发器的主要目的是减轻 DNS处理的压力，把查询请求从 DNS服务器转 给转发器，从 DNS转发器潜在地更大 DNS高速缓存中受益。 使用 DNS转发器的另 一个好处是它阻止了 DNS 服务器转发来自互联网 DNS 服务器的查询请求。如果你 的 DNS 服务器保存了你内部的域 DNS 资源记录的话，这一点就非常重要。不让内 部 DNS 服务器进行递归查询并直接联系 DNS 服务器，而是让它使用转发器来处理 未授权的请求。 2.使用只缓冲 DNS服务器 ,只缓冲 DNS服务器是针对为授权域名的。它被用做递归 查询或者使用转发器。当只缓冲 DNS服务器收到一个反馈，它把结果保存在高速缓 存中，然后把结果发送给向它提出 DNS查询请求的系统。随着时间推移，只缓冲 DNS 服务器可以收集大量的 DNS 反馈，这能极大地缩短它提供 DNS 响应的时间。 把只 缓冲 DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部 五邑大学-网络工程安全课程设计 12/26/2011 9 DNS服务器可以把只缓冲 DNS服务器当作自己的转发器，只缓冲 DNS服务器代替 你的内部 DNS 服务器完成递归查询。使用你自己的只缓冲 DNS 服务器作为转发器 能够提高安全性，因为你不需要依赖你的 ISP的 DNS服务器作为转发器，在你不能 确认 ISP的 DNS服务器安全性的情况下，更是如此。 3.使用 DNS广告者（DNSadvertisers） ,DNS广告者是一台负责解析域中查询的 DNS 服务器。例如，如果你的主机对于 domain.com和 corp.com是公开可用的资源，你的 公共 DNS服务器就应该为 domain.com和 corp.com配置 DNS区文件。 除 DNS 区文件宿主的其他 DNS 服务器之外的 DNS 广告者设置，是 DNS 广告者只 回答其授权的域名的查询。这种 DNS服务器不会对其他 DNS服务器进行递归查询。 这让用户不能使用你的公共 DNS服务器来解析其他域名。通过减少与运行一个公开 DNS解析者相关的风险，包括缓存中毒，增加了安全。 4.使用 DNS解析者 ,DNS解析者是一台可以完成递归查询的 DNS服务器，它能够解 析为授权的域名。例如，你可能在内部网络上有一台 DNS服务器，授权内部网络域 名 internalcorp.com的 DNS服务器。当网络中的客户机使用这台 DNS服务器去解析 techrepublic.com 时，这台 DNS 服务器通过向其他 DNS 服务器查询来执行递归以获 得答案。 DNS服务器和 DNS解析者之间的区别是 DNS解析者是仅仅针对解析互联 网主机名。DNS解析者可以是未授权 DNS域名的只缓存 DNS服务器。你可以让 DNS 解析者仅对内部用户使用，你也可以让它仅为外部用户服务，这样你就不用在没有 办法控制的外部设立 DNS 服务器了，从而提高了安全性。当然，你也可以让 DNS 解析者同时被内、外部用户使用。 5.保护 DNS 不受缓存污染 ,DNS 缓存污染已经成了日益普遍的问题。绝大部分 DNS 服务器都能够将 DNS查询结果在答复给发出请求的主机之前，就保存在高速缓存中。 DNS 高速缓存能够极大地提高你组织内部的 DNS 查询性能。问题是如果你的 DNS 服务器的高速缓存中被大量假的 DNS信息“污染”了的话，用户就有可能被送到恶 意站点而不是他们原先想要访问的网站。 绝大部分 DNS服务器都能够通过配置阻止 缓存污染。WindowsServer2003DNS服务器默认的配置状态就能够防止缓存污染。如 果你使用的是Windows2000DNS服务器，你可以配置它，打开DNS服务器的Properties 对话框，然后点击“高级”表。选择“防止缓存污染”选项，然后重新启动 DNS服 务器。 6.使DDNS只用安全连接 ,很多DNS服务器接受动态更新。动态更新特性使这些DNS 服务器能记录使用 DHCP的主机的主机名和 IP地址。DDNS能够极大地减 轻 DNS 管理员的管理费用，否则管理员必须手工配置这些主机的 DNS资源记录。 然而， 如果未检测的 DDNS 更新，可能会带来很严重的安全问题。一个恶意用户可以配 置主机成为台文件服务器、Web服务器或者数据库服务器动态更新的 DNS主机记 录，如果有人想连接到这些服务器就一定会被转移到其他的机器上。 你可以减少 恶意 DNS 升级的风险，通过要求安全连接到 DNS 服务器执行动态升级。这很容 易 做 到 ， 你 只 要 配 置 你 的 DNS 服 务 器 使 用 活 动 目 录 综 合 区 （ActiveDirectoryIntegratedZones）并要求安全动态升级就可以实现。这样一来， 所有的域成员都能够安全地、动态更新他们的 DNS信息。 7.禁用区域传输 ,区域传输发生在主 DNS服务器和从 DNS服务器之间。主 DNS服 务器授权特定域名，并且带有可改写的 DNS区域文件，在需要的时候可以对该文 件进行更新。从 DNS 服务器从主力 DNS 服务器接收这些区域文件的只读拷贝。 从 DNS 服务器被用于提高来自内部或者互联网 DNS 查询响应性能。 然而，区域 传输并不仅仅针对从 DNS 服务器。任何一个能够发出 DNS 查询请求的人都可能 五邑大学-网络工程安全课程设计 12/26/2011 10 引起 DNS服务器配置改变，允许区域传输倾倒自己的区域数据库文件。恶意用户 可以使用这些信息来侦察你组织内部的命名计划，并攻击关键服务架构。你可以 配置你的 DNS服务器，禁止区域传输请求，或者仅允许针对组织内特定服务器进 行区域传输，以此来进行安全防范。 8.使用防火墙来控制 DNS 访问 ,防火墙可以用来控制谁可以连接到你的 DNS 服务 器上。对于那些仅仅响应内部用户查询请求的 DNS服务器，应该设置防火墙的配 置，阻止外部主机连接这些 DNS服务器。对于用做只缓存转发器的 DNS服务器， 应该设置防火墙的配置，仅仅允许那些使用只缓存转发器的 DNS服务器发来的查 询请求。防火墙策略设置的重要一点是阻止内部用户使用 DNS协议连接外部 DNS 服务器。 9.在 DNS 注册表中建立访问控制 ,在基于 Windows 的 DNS 服务器中，你应该在 DNS 服务器相关的注册表中设置访问控制，这样只有那些需要访问的帐户才能够 阅读或修改这些注册表设置。 HKLMCurrentControlSetServicesDNS 键应该仅仅允 许管理员和系统帐户访问，这些帐户应该拥有完全控制权限。 10.在 DNS 文件系统入口设置访问控制 ,在基于 Windows 的 DNS 服务器中，你应 该在 DNS服务器相关的文件系统入口设置访问控制，这样只有需要访问的帐户才 能够阅读或修改这些文件。 %system_directory%DNS 文件夹及子文件夹应该仅仅 允许系统帐户访问，系统帐户应该拥有完全控制权限 DHCP服务器安全三步曲服务器安全三步曲服务器安全三步曲服务器安全三步曲: 启用 DHCP 审核记录, 修改 DHCP 日志保存路径; 指定 DHCP 管理用户;,对 DHCP管理用户限制. DHCP欺骗防范方法：在交换机上启用DHCP SNOOPING 功能 邮件服务器邮件服务器邮件服务器邮件服务器: 在 Exchange内部也有好多参数需要调整，例如，DoS攻击向服务器发 送大量邮件，阻塞服务器。虽然用保护服务器隔离了 SMTP 数据但也 不能让保护服务器总受 DoS 攻击。阻止这种攻击的一种方法是设置进 入的消息数量。打开 Exchange管理器，"管理"→"站点"→"配置服务器 "→"Server Recipients"(服务器接收者)。然后，在文件菜单中，选择接 收者，单击 Properties(属性)。在属性页中，选择"Limits"(限制)标签， 可以设置每个用户的最大入站信息量。为大部分用户设置小一些，为 经常接收大附件的用户设置大些 2) 学校主楼教学点及行政办公区 主楼内部通过双绞线连接节点，每个教室都需要一个网线接口和 Pc 机。同时在 行政区校长室和财务部需要隧道 IPsec，数据加密，同时各部门通过配置 Private Vlan进行隔离和通信，财务部安全性需要提高，同时需要数据库服务器的独立和 冗余，教务处也需要独立服务器，存放学生档案和成绩资料等。在教学平台需要 搭建教学共享服务器打印服务器等。为了方便学生使用移动设备，需要在主楼配 置无线Wifi 学校主楼教学点及行政办公区的设备 1. 教学平台 PC机 2. 无线 AP 3. 数据库服务器 五邑大学-网络工程安全课程设计 12/26/2011 11 4. 核心交换机 5. 二级交换机 6. 防火墙 7. 物理隔离网闸 8. 打印机等辅助设备 图 1-3学校主楼教学点及行政办公区 安全配置： � 配置 ACL访问控制列表 � 防火墙的搭建(参照机房) � 配置远程连入 � 教学资源需要服务器配置(参照机房) � 校长和财务部的 IPsec通信 � 财务部数据物理隔离 � 数据库冗余 � 配置各个部门的 private vlan实现不同部门的工作区域 交换机路由配置： � 交换机在网络中占有重要的地位，通常是整个网络的核心所在。在这个黑客 入侵风起云涌,病毒肆虐的网络时代，作为核心的交换机也理所当然要承担起 网络安全的一部分责任。因此，交换机要有专业安全的性能，安全已经成为 网络建设必须考虑的重中之重。 1.流量控制 把流经端口的异常流量控制在一定范围内。许多交换机具有基于端口的流 量控制功能，能实现风暴控制，端口保护和端口安全。流量控制功能用于 交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免 保温丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播 五邑大学-网络工程安全课程设计 12/26/2011 12 流量进行丢弃处理。不过，交换机的流量控制功能只能对经过端口的各类 流量进行简单的速率限制，将广播，组播的异常流量限制在一定的范围内， 而无法区分哪些是正常流量，那些事异常流量。同时，如何设定一个合适 的阈值也比较困难。 2.访问控制列表（ACL） ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访 问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则， 并且处理每一个进入端口的数据包。每条规则根据数据包的属性（如源地 址，目的地址和协议）要么允许，要么拒绝数据包通过。由于规则是按照 一定顺序执处理的，因此每条规则的相对位置对于确定允许和不允许什么 样的数据包通过网络至关重要。 3.虚拟局域网（VLAN）技术 虚拟局域网是人们非常熟悉的一个交换机功能。也是应用广泛的一个安全 策略。虚拟局域网是指在交换局域网的基础上，采用网络管理软件构建的 可跨越不同网段，不同网络的端到端的逻辑网络，一个 VLAN组成一个逻 辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地 理位置的用户加入到一个逻辑子网中。 通过路由访问列表和MAC地址分 配等 VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用 户群划分在不同 VLAN，从而提高交换式网络的整体性能和安全性。而且 通过对 VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴 的产生。对于采用 VLAN 技术上网网络来说，一个 VLAN 可以根据部门 职能，对象组织或者应用将不同地理位置的网络用户划分为一个逻辑网 段。这样也使的网络管理变的简单、直观 � 无线网络接入身份认证 3) 学校图书馆 每层面积比较大，和每层存有书本检索点。同时在一楼存在电子阅览室，电子阅 览室的流量需求比较大。资料的存放需要数据库服务器。同时需要为图书馆研发 室拉上网络接口，同时需要搭建一些必要的服务器，例如Web，Ftp，和流媒体等 服务器。每层将会设置打印点。同时安装一些办公系统。在图书馆安装二级交换 设备连接到接入中心通过 1000M光纤，其他使用 100M双绞线，搭建 wifi 学校图书馆设备 1. 服务器 2. 数据库服务器 3. 二级交换机 4. pc主机 5. 打印设备 6. 无线 AP 五邑大学-网络工程安全课程设计 12/26/2011 13 图 1-4学校图书馆 安全配置： � 配置 ACL访问控制列表 � 配置远程连入 � 配置数据库冗余 � 配置电子阅览室的流量控制和访问控制和身份认证如 radious 服务器和交换 机认证 � 无线网络接入身份认证如 radious服务器和交换机认证 4) 学校主要教学点 教学点主要是为了实现网络教学多媒体化，节点使用 100M 双绞线，通过二级交 换机连接，同时使用无线 wifi 学校主要教学点设备 1. 服务器 2. 二级交换机 3. pc主机 4. 打印设备 5. 无线 AP 五邑大学-网络工程安全课程设计 12/26/2011 14 图 1-5学校主要教学区 安全配置： � 配置 ACL访问控制列表 � 配置远程连入 � 配置教学资源服务器 � 无线网络接入身份认证如 radious服务器和交换机认证 5) 学校学生宿舍网络 学生宿舍分为南区和北区，通过主干网连接在一起，但各个宿舍为了方便交流， 进行了连接，学生 pc 机连接上二级交换机，通过认证服务器获取 IP 连接上网， 为了方面同学，还建立了无线 wifi接入点，管理员通过 Telnet管理设备 学生宿舍网络设备 1. 二级交换机 2. pc主机 3. 无线 AP 五邑大学-网络工程安全课程设计 12/26/2011 15 图 1-6学校学生宿舍 安全配置： � 配置 ACL访问控制列表 � 配置远程连入 � 配置教学资源服务器 � 无线网络接入身份认证如 radious服务器和交换机认证 6) 学校教工单位及研究生宿舍 和学生宿舍相识（略） 五邑大学-网络工程安全课程设计 12/26/2011 16 图 1-7学校教工单位及研究生宿舍 （略） 7) 学校综合实验楼 学校综合实验楼包括学校各个专业的实验平台 ,提供了大量的电脑设备,其中也有 其他一些先进的通信设备.学校的一些专业考试报名点所在. 1. 教学平台 PC机和学生上机 2. 无线 AP 3. 数据库服务器 4. 核心交换机 5. 二级交换机 6. 防火墙 7. 打印机等辅助设备 五邑大学-网络工程安全课程设计 12/26/2011 17 图 1-8学校综合实验楼 安全配置： � 配置 ACL访问控制列表 � 配置防火墙 � 配置远程连入 � 配置教学资源服务器 � 无线网络接入身份认证如 radious服务器和交换机认证 8) 学校计算机中心实验室 为了解决计算机网络原理课堂教学的缺陷，以及网络工程类实验室的弊端，有必 要建设一个能辅助进行计算机网络原理教学的实验室，从而实现基础知识教学从课堂 “搬到”实验室，通过完善的实验体系，丰富教师的教学手段，使学生掌握和理解网络 基本原理、网络协议等理论知识，学会网络的应用、管理、设计和开发，对于培养高 素质人才是很有现实意义的 我们构建的计算机网络实验室主要包含老师办公区和服务器机房,安全试验室,网 络工程试验室,软件工程实验室,通信工程试验室,创新开发室，其中实验室是对计算机 网络原理及相关的应用、网络管理、网络安全等知识进行教学，同时提供一个平台环 境供学生进行相关的实验操作.实验室建成后的逻辑结构图如下图所示 计算机中心实验室设备 1. 教学平台 PC机 2. 无线 AP 3. 核心交换机 4. 二级交换机 5. 防火墙 6. 物理隔离网闸 五邑大学-网络工程安全课程设计 12/26/2011 18 7. 打印机等辅助设备 图 1-9学校计算机中心实验楼 安全配置： � 配置 ACL访问控制列表 � 配置防火墙 � 配置远程连入 � 配置教学资源服务器 � 无线网络接入身份认证如 radious服务器和交换机认证 五五五五、、、、 校园网络传输介质校园网络传输介质校园网络传输介质校园网络传输介质 1) 楼间光缆传输 主干网以及阁楼之间的网络介质均采用 62.5/125um多模室外光缆。具体如下 (一) 机房-------教学主楼：12芯 (二) 机房-------学生活动中心 12芯 (三) 机房-------图书馆 12芯 (四) 图书馆----艺术和继续教学楼 12芯 (五) 信息学院----综合实验楼 8芯 六六六六、、、、 校园网络工程施工校园网络工程施工校园网络工程施工校园网络工程施工 七七七七、、、、 审查审查审查审查 八八八八、、、、 测试测试测试测试 九九九九、、、、 对安全检测对安全检测对安全检测对安全检测 安装杀毒查毒软件 采用卡巴斯基来构成杀毒安全防护系统 五邑大学-网络工程安全课程设计 12/26/2011 19 病毒，黑客攻击，以及计算机威胁事件已成为我们生活的一部分。恶意程序通过互 联网进行扩散，黑客窃取机密资料，垃圾邮件如洪水般灌入邮箱，卡巴斯基安全防 护系统在提供全面的安全解决方案的同时，还在我们的网站设有当前网络攻击专栏， 包含的内容从网路攻击的基本定义到全面分析，并在卡巴斯基病毒百科全书中收集 了形形色色的病毒，这是全面认知病毒的宝库。保护工作站，文件服务器，邮件服 务器，网关和移动通讯设备。 卡巴斯基统一空间安全能够为各种规模的企业提供全面的安全保护以抵御各种类型 的网络攻击。 卡巴斯基整体空间安全对入站和出站数据进行全面的监控（包括电子邮件，网页传 输和网络交互）。该产品包含能够为工作站和移动通讯设备提供保护的组件，保障 用户可以安全迅速地访问公司信息资源和互联网，并保证邮件通讯的安全。 &在企业网络级别（从工作站到网关）提供反病毒，反间谍软件，反黑客攻击及反 垃圾邮件的综合保护&主动防御最新的恶意程序针对邮件服务器和文件服务器的 保护实时扫描网络数据流(HTTP/FTP)高灵活性隔离被感染的工作站阻止病毒爆 发系统状态的集中报告 更多功能 集中安装和管理 支持 Cisco nac（网络准入控制） 支持硬件代理设备 根据信任服务器列表，对象类型以及用户组过滤网络数据流 Iswift技术能够避免网络数据的重复扫描 执行全盘扫描时，对系统资源进行合理的再分配 包含 IDS和 IPS的个人防火墙 在各种网络中（包括WIFI）工作时都可受到保护 防御网络钓鱼和垃圾邮件的攻击 可使用 IntelActive Management 进行远程管理（Intel vproTM） 修复恶意程序对系统所做的非法篡改 反恶意攻击的自我防护技术 全面支持 64位系统平台 自动更新威胁特征库 十十十十、、、、 总结总结总结总结 网络安全是相对的，不安全才是绝对的。网络系统的安全性只能通过安全攻击来体现和验证