校园网网络安全设计方案 以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入, 伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被"黑"或被病毒破 坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要 从网络的搭建及网络安全设计方面着手. 一、 基本网络的搭建. 由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求 (制作部门和办公部门间的访问控制),我们采用下列方案: 1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局 域网拓扑结构.节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。 2。组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDD I、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的 组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂 、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽 的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的 有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换 到桌面组建计算机播控网络. 二、网络安全设计. 1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防 止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很 多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示 技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上 的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常 的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设 一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐 射设备等的信号外泄.为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采 取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门 的关起等.对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆 传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传 输。 2。网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现.VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个 个网段从而实现虚拟工作组的新兴技术. IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允 许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每 一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性 。 但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在 同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播 和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没 有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投 资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提 出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限 制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网.虚拟局域网的好处是 可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划 分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员 ,被设定的端口都在同一个广播域中.例如,一个交换机的1,2,3,4,5端口被定义为虚 拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB.这样做允许各端口之间的通讯,并允 许共享型网络的升级。 但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许 跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个 虚拟网。以交换机端口来划分网络成员,其配置过程简单明了. 3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题
1286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
