关于校园⽹⽹络安全设计⽅案 关于校园⽹⽹络安全设计⽅案 今天店铺就要跟⼤家讲解下校园⽹⽹络安全设计⽅案~那么对此感兴趣的⽹友可以多来了解了解下。下 ⾯就是具体内容!!! 校园⽹⽹络安全设计⽅案 以Internet为代表的信息化浪潮席卷全球,信息⽹络技术的应⽤⽇益普及和深⼊,伴随着⽹络技术的⾼速发 展,各种各样的安全问题也相继出现,校园⽹被"⿊"或被病毒破坏的事件屡有发⽣,造成了极坏的社会影响和巨⼤ 的经济损失。维护校园⽹⽹络安全需要从⽹络的搭建及⽹络安全设计⽅⾯着⼿。 ⼀、 基本⽹络的搭建。 由于校园⽹⽹络特性(数据流量⼤,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的 访问控制),我们采⽤下列⽅案: 1. ⽹络拓扑结构选择:⽹络采⽤星型拓扑结构(如图1)。它是⽬前使⽤最多,最为普遍的局域⽹拓扑结构。 节点具有⾼度的独⽴性,并且适合在中央位置放置⽹络诊断设备。 2.组⽹技术选择:⽬前,常⽤的主⼲⽹的组⽹技术有快速以太⽹(100Mbps)、FDDI、千兆以太⽹ (1000Mbps)和ATM(155Mbps/622Mbps)。快速以太⽹是⼀种⾮常成熟的组⽹技术,它的造价很低,性能价格⽐ 很⾼;FDDI也是⼀种成熟的组⽹技术,但技术复杂、造价⾼,难以升级;ATM技术成熟,是多媒体应⽤系统的理想 ⽹络平台,但它的⽹络带宽的实际利⽤率很低;⽬前千兆以太⽹已成为⼀种成熟的组⽹技术,造价低于ATM⽹,它 的有效带宽⽐622Mbps的ATM还⾼。因此,个⼈推荐采⽤千兆以太⽹为⾻⼲,快速以太⽹交换到桌⾯组建计算 机播控⽹络。 ⼆、⽹络安全设计。 1.物理安全设计 为保证校园⽹信息⽹络系统的物理安全,除在⽹络规划和场地、环境等要求之外,还要防 ⽌系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获⽽失密的案例已经很多,在理论和技术⽀持 下的验证⼯作也证实这种截取距离在⼏百甚⾄可达千⽶的复原显⽰技术给计算机系统信息的__带来了极⼤的 危害。为了防⽌系统中的信息在空间上的扩散,通常是在物理上采取⼀定的防护措施,来减少或⼲扰扩散出去的 空间信号。正常的防范措施主要在三个⽅⾯:对主机房及重要信息存储、收发部门进⾏屏蔽处理,即建设⼀个具 有⾼效屏蔽效能的屏蔽室,⽤它来安装运⾏主要设备,以防⽌磁⿎、磁带与⾼辐射设备等的信号外泄。为提⾼屏 蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、 消防控制线,以及通风、波导,门的关起等。对本地⽹ 、局域⽹传输线路传导辐射的抑制,由于电缆传输辐射信 息的不可避免性,现均采⽤光缆传输的⽅式,⼤多数均在Modem出来的设备⽤光电转换接⼝,⽤光缆接出屏蔽室 外进⾏传输。 2.⽹络共享资源和数据信息安全设计 针对这个问题,我们决定使⽤VLAN技术和计算机⽹络物理隔离来实 现。VLAN(Virtual LocalArea Network)即虚拟局域⽹,是⼀种通过将局域⽹内的设备逻辑地⽽不是物理地划分 成⼀个个⽹段从⽽实现虚拟⼯作组的新兴技术。 IEEE于1999年颁布了⽤以标准化VLAN实现⽅案的802.1Q协议标准草案。VLAN技术允许⽹络管理者将 ⼀个物理的LAN逻辑地划分成不同的⼴播域(或称虚拟LAN,即VLAN),每⼀个VLAN都包含⼀组有着相同需求的 计算机⼯作站,与物理上形成的LAN有着相同的属性。 但由于它是逻辑地⽽不是物理地划分,所以同⼀个VLAN内的各个⼯作站⽆须放置在同⼀个物理空间⾥,即 这些⼯作站不⼀定属于同⼀个物理LAN⽹段。⼀个VLAN内部的⼴播和单播流量都不会转发到其它VLAN中, 即使是两台计算机有着同样的⽹段,但是它们却没有相同的VLAN号,它们各⾃的⼴播流也不会相互转发,从⽽有 助于控制流量、减少设备投资、简化⽹络管理、提⾼⽹络的安全性。VLAN是为解决以太⽹的⼴播问题和安 全性⽽提出的,它在以太⽹帧的基础上增加了VLAN头,⽤VLANID把⽤户划分为更⼩的⼯作组,限制不同⼯作组 间的⽤户⼆层互访,每个⼯作组就是⼀个虚拟局域⽹。虚拟局域⽹的好处是可以限制⼴播范围,并能够形成虚拟 ⼯作组,动态管理⽹络。从⽬前来看,根据端⼝来划分VLAN的⽅式是最常⽤的⼀种⽅式。许多VLAN⼚商都利 ⽤交换机的端⼝来划分VLAN成员,被设定的端⼝都在同⼀个⼴播域中。例如,⼀个交换机的1,2,3,4,5端⼝被定 义为虚拟⽹AAA,同⼀交换机的6,7,8端⼝组成虚拟⽹BBB。这样做允许各端⼝之间的通讯,并允许共享型⽹络 的升级。 但是,这种划分模式将虚拟⽹络限制在了⼀台交换机上。第⼆代端⼝VLAN技术允许跨越多个交换机的多 个不同端⼝划分VLAN,不同交换机上的若⼲个端⼝可以组成同⼀个虚拟⽹。以交换机端⼝来划分⽹络成员,其 配置过程简单明了。 3.