校園網(wǎng)絡(luò)安全課程設(shè)計

1、<p>　　校 園 網(wǎng) 絡(luò) 安 全</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)安全的本質(zhì)是網(wǎng)絡(luò)信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網(wǎng)絡(luò)信息的存儲、傳輸和使用過程體現(xiàn)。校園網(wǎng)絡(luò)安全管理是在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊。防火墻，則是內(nèi)外網(wǎng)之間一道

2、牢固的安全屏障。安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)安全系統(tǒng)是必要的。</p><p>　　本文從對校園網(wǎng)的現(xiàn)狀分析了可能面臨的威脅，從計算機(jī)的安全策略找出解決方案既用校園網(wǎng)絡(luò)安全管理加防火墻加設(shè)計的校園網(wǎng)絡(luò)安全系統(tǒng)。通過以下三個步驟來完成校園網(wǎng)絡(luò)安全系統(tǒng)：1、 建設(shè)規(guī)劃；2、 技術(shù)支持；3、 組建方案。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)；

3、 安全； 設(shè)計 </p><p><b>　　ABSTRACT</b></p><p>　　Network security is the essence of the safety of network information, including information of confidentiality, integrity, and availability

4、, authenticity and controllable etc, it is through the network information storage, transport and use process. Campus network security management is in anti-virus software, a firewall or intelligence gateway, etc, the de

5、fense system to prevent from outside the campus. A firewall is a firm between inner and outer net security barrier. Safety management is the </p><p>　　Based on the analysis of the status of the network could

6、 face threats, from the computer security strategy to find solutions in the campus network security management is designed with the campus network firewall security system. Through three steps to complete the campus netw

7、ork security system: 1, the construction plan. 2 and technical support. 3 and construction scheme.</p><p>　　Keyword: Network, Safe ；Design</p><p><b>　　目 錄</b></p><p>

8、<b>　　緒　　論1</b></p><p>　　1. 校園網(wǎng)絡(luò)安全2</p><p>　　1.1 校園網(wǎng)概述2</p><p>　　1.2 校園網(wǎng)絡(luò)安全概述3</p><p>　　1.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析3</p><p>　　1.4 校園網(wǎng)絡(luò)安全威脅5</p>

9、<p>　　2. 校園網(wǎng)絡(luò)安全措施8</p><p>　　2.1 校園網(wǎng)絡(luò)安全管理8</p><p>　　2.2 校園網(wǎng)絡(luò)安全措施9</p><p>　　3.校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計11</p><p>　　3.1 校園網(wǎng)建設(shè)需求分析11</p><p>　　3.1.1 需求分析11</

10、p><p>　　3.1.2 關(guān)鍵設(shè)備12</p><p>　　3.1.3 校園網(wǎng)絡(luò)拓?fù)?3</p><p>　　3.2 技術(shù)方案13</p><p>　　3.2.1 校園網(wǎng)的建設(shè)規(guī)劃13</p><p>　　3.2.2 組網(wǎng)技術(shù)16</p><p>　　3.2.3 網(wǎng)絡(luò)操作系統(tǒng)

11、18</p><p>　　3.2.4 INTERNET 接入技術(shù)18</p><p>　　3.2.5 防火墻技術(shù)19</p><p>　　3.2.6 建網(wǎng)方案19</p><p>　　3.3 校園網(wǎng)的運行23</p><p>　　3.3.1 校園網(wǎng)的應(yīng)用23</p><p>

12、;　　3.3.2 校園網(wǎng)的管理23</p><p><b>　　總 結(jié)25</b></p><p><b>　　參考文獻(xiàn)26</b></p><p><b>　　致 謝27</b></p><p><b>　　緒 論</b><

13、/p><p>　　隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近年來，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在高校網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)

14、絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題。 </p><p>　　隨著教育信息化的不斷推進(jìn)，各高等院校都相繼建成了自己的校園網(wǎng)絡(luò)并連入互聯(lián)網(wǎng)，校園網(wǎng)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到，隨著校園網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長，尤其是校園網(wǎng)絡(luò)所面對的使用群體

15、的特殊性（擁有一定的網(wǎng)絡(luò)知識、具備強烈的好奇心和求知欲、法律紀(jì)律意識卻相對淡漠），如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩。</p><p>　　1. 校園網(wǎng)絡(luò)安全</p><p>　　網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在

16、于其安全性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。</p><p>　　網(wǎng)絡(luò)的發(fā)展極大地改變了人們的生活和工作方式，Internet更是給人們帶來了無盡的便捷。我們的教育也正朝著信息化、網(wǎng)絡(luò)化發(fā)展，隨著“校校通”工程的深入開展，許多學(xué)校都投資建設(shè)了校園網(wǎng)絡(luò)并投入使用。校園網(wǎng)絡(luò)在我們的校園管理、日常教學(xué)等方面正扮演著越來越重要的角色。但是，在我們驚嘆于網(wǎng)

17、絡(luò)的強大功能時，還應(yīng)當(dāng)清醒地看到，網(wǎng)絡(luò)世界并不是一方凈土?！熬W(wǎng)絡(luò)天空（Worm.Netsky）”、“高波（Worm.Agobot）”、“愛情后門（Worm.Lovgate）”及“震蕩波（Worm.Sasser）”等病毒，使人們更加深刻的認(rèn)識到了網(wǎng)絡(luò)安全的重要性。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。</p><p>　　網(wǎng)絡(luò)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)

18、絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。</p><p>　　1.1 校園網(wǎng)概述</p><p>　　信息技術(shù)已引起了全面而深刻的社會變革，為此，世界各國政府都對教育的發(fā)展給予了前所未有的關(guān)注，把

19、信息化教育放到重要的位置上，紛紛提出了本國的信息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個有決定性意義的問題,而且十分重要的是,學(xué)校應(yīng)該處于影響整個社會深刻變革的中心地位。  因此校園網(wǎng)信息系統(tǒng)的建設(shè)，是非常必要的，也是可行的。主要表現(xiàn)在：</p><p>　　1、當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的

20、建設(shè)提出了越來越高的要求。</p><p>　　2、教育信息量的不斷增多,使各級各類學(xué)校、家庭和教育管理部門對教育信息計算機(jī)管理和教育信息服務(wù)的要求越來越強烈。</p><p>　　3、我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。</p><p>　　4、現(xiàn)

21、代教育改革的需要。</p><p>　　5、計算機(jī)技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價格不斷下降；同時人們的認(rèn)識水平和經(jīng)濟(jì)實力不斷提高。大量計算機(jī)進(jìn)入學(xué)校和家庭，使得計算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。[1]</p><p><b>　　校園網(wǎng)絡(luò)安全概述</b></p><p>　　自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪

22、問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。根據(jù)美國FBI的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。</p><p>　　由于校園網(wǎng)絡(luò)內(nèi)運行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。所以，校園網(wǎng)絡(luò)可能存在的安全威脅來自以下方面：</p><p>　　1. 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器

23、及Windows桌面PC；</p><p>　　2. 防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯誤，需要經(jīng)過檢驗；3. 來自內(nèi)部網(wǎng)用戶的安全威脅；</p><p>　　4. 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)的安全性；</p><p>　　5. 采用的TCP/IP協(xié)議族軟件，本身缺乏安全性；</p>&l

24、t;p>　　6. 應(yīng)用服務(wù)的安全，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失。</p><p>　　1.3 校園網(wǎng)絡(luò)安全現(xiàn)狀分析</p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對加快信息處理、提高工作效率、實現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實現(xiàn)

25、資源共享的同時，網(wǎng)絡(luò)的安全問題越來越成為一個非常嚴(yán)懲的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個隱患不除，那么也許有一天，學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。比如2003年暴發(fā)的“震蕩波、沖擊波、FORM.A”等病毒，雖沒有造成很大的損失，但足以使認(rèn)識到網(wǎng)絡(luò)安全的重要性。因此，如何在現(xiàn)有的條件下避免這樣事件發(fā)生，搞好網(wǎng)

26、絡(luò)的安全工作已成了一個重要課題。</p><p>　　1997年開始，我國校園網(wǎng)絡(luò)建設(shè)悄然興起。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。</p><p>　　1999年9月，教育部決定正式啟動國家現(xiàn)代遠(yuǎn)程教育工程，清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點。目前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。</p><p>　　各

27、校在實踐中逐漸意識到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度有一定關(guān)系，教學(xué)手段對學(xué)校整體的發(fā)展有著直接影響。</p><p>　　在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度?，F(xiàn)代教育的實施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計劃將全國122所一流大學(xué)與社會廣泛連接，構(gòu)筑一個教育與研究的專用網(wǎng)絡(luò)；英國提出要在2000

28、年成立網(wǎng)上工業(yè)大學(xué)，到2002年所有中小學(xué)、圖書館、學(xué)院和大學(xué)全部介入全國的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。</p><p>　　1996年，教育部提出要以全國1000所中小學(xué)校作為試點，建立起各自的校園網(wǎng)絡(luò)。截止2000年年初，教育部宣布有500多家已建立。可以說，在國家政策扶持下，我國校園網(wǎng)建設(shè)取得了飛速發(fā)展。但現(xiàn)實中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就

29、缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項目交給一些實力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低，后期維護(hù)費用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是"一攬子"計劃，忽視了后期維護(hù)和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運作為了解決上述問題，在建網(wǎng)時應(yīng)注意：</p><p>　　1. 校園網(wǎng)建設(shè)沒有

30、通用方案，每個學(xué)校應(yīng)根據(jù)自身實際情況（資金和技術(shù)能力），設(shè)計自身的校園網(wǎng)絡(luò)；</p><p>　　2. 校園網(wǎng)建設(shè)是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能"一蹴而就"，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃；</p><p>　　3. 重視對教師的培訓(xùn)，避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪費。</p><p>

31、;　　隨著計算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。</p><p>　　校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時有發(fā)生，非更改考試成績；更改英語全國四、六級統(tǒng)考成績；更改考研成績；非法盜取學(xué)校招生、分配機(jī)密等。</p><p>　　

32、綜上所述，網(wǎng)絡(luò)必須有足夠強的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。[7]</p><p>　　1.4 校園網(wǎng)絡(luò)安全威脅</p><p>　　1 計算機(jī)病毒 </p><p>　　計算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運行時，嵌入的病毒也隨之運行

33、并感染其它程序。計算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。</p><p>　　破壞性是指計算機(jī)病毒可能會干擾軟件的運行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。傳染性則是計算機(jī)病毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨立存

34、在．而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計算機(jī)病毒可以長時間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒計者的要求，例如指定的日期、時間或特定的條件出現(xiàn)在某個點激活并發(fā)起攻擊。</p><p>　　計算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識其傳播途徑和傳播機(jī)理。計算機(jī)病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒

35、的盜版光盤的使用等傳播。這時候的病毒傳播還是線下傳播。隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，計算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實現(xiàn)。</p><p>　　病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計算機(jī)系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。</p><p&

36、gt;　　2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個安全威脅就是網(wǎng)絡(luò)攻擊。</p><p>　　廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點，重點介紹拒絕服務(wù)(DoS，Daniel of Service)攻擊。之所以介紹拒絕服務(wù)攻擊，因為拒絕服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因為校園網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類

37、型之一。</p><p>　　拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。</p><p>　　拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說．主要有以下幾種：&l

38、t;/p><p>　　1）死亡之Ping。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。</p><p>　　2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。</p><p>　　3 ）UDP洪水攻擊。攻擊利用如chargen和ech

39、o等簡單的TCP／IP服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。</p><p>　　4 ) SYN洪水攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的SYN握手信息來癱瘓服務(wù)器的攻擊方式。</p><p>　　5 ) LAND攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息．已達(dá)到癱瘓主機(jī)的目的。</p><p>　　6 ) Smurf攻擊。攻擊者將報文地址設(shè)為E

40、cho地址，這樣Echo78地址就必須不問斷的響應(yīng)該報文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。</p><p>　　7 ) Fraggle攻擊。Fraggle攻擊對Smurf攻擊做了修改。</p><p>　　8 )電子郵件炸彈。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。</p><p>　　9 )急性消息攻擊。借助機(jī)器對某些消息為進(jìn)

41、行錯誤校驗來攻擊服務(wù)器。</p><p>　　10)分布式拒絕服務(wù)攻擊。它是威力最強大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。</p><p>　　常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。[5]</p><p>　　3 存在的安全隱患,以我

42、校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有:</p><p>　　1 ) 計算機(jī)與Internet相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。</p><p>　　2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內(nèi)大部分計算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對社會開放，這樣一來只要接入INTERNET的用戶就可以對校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行于網(wǎng)絡(luò)上的很

43、多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機(jī)當(dāng)中，在以后的計算機(jī)啟動后，木馬就在機(jī)器中打開一個服務(wù)，通過這個服務(wù)將你計算機(jī)的信息、資料向外傳遞。</p><p>　　3) 目錄共享導(dǎo)致信息的外泄, 在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機(jī)中的某個目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所有的人都沒有充分認(rèn)識到當(dāng)一個目

44、錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺計算機(jī)都能對它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的一個隱患。我曾經(jīng)搜索過外地機(jī)器的一個C類IP網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺，而且許多機(jī)器是將整個C盤、D盤進(jìn)行共享，并且在共享時將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個網(wǎng)絡(luò)硬盤，就能對上面的資料、文檔進(jìn)行查看、修改、刪除。因而對目錄共享安全意識的單薄，會導(dǎo)致了信息的外泄。</p><p&

45、gt;　　4) 網(wǎng)絡(luò)安全意識淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計算機(jī)平均一個星期會經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識淡薄；另外，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問題泛濫的一個重要原因.由此可見

46、，構(gòu)筑具有必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要.</p><p>　　2. 校園網(wǎng)絡(luò)安全策略</p><p>　　校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。</p><p>　　國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對技術(shù)

47、的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理“的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網(wǎng)絡(luò)都將是致命性的。</p><p>　　作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，

48、要從兩個方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。</p><p>　　2.1 校園網(wǎng)安全管理</p><p>　　針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點是高校的安全策略：</p><p>　　1、規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。

49、對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。</p><p>　　2、配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)

50、絡(luò)的故障可以迅速定位并解決。</p><p>　　3、解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。</p><p>　　4、

51、嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。</p><p>　　5、根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進(jìn)行漏洞

52、修補和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。[2]</p><p>　　2.2 校園網(wǎng)絡(luò)安全措施</p><p>　　前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。</p><p><b>　　1、殺毒軟件。</b></p>

53、;<p>　　殺毒產(chǎn)品的部署. 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能.。</p><p>　?。?）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的Windows2000服務(wù)器安

54、裝一個殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點的計算機(jī)。</p><p>　　（2）在各辦公室分別安裝殺毒軟件的客戶端。</p><p>　?。?）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。</p><p>　?。?）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。</p>&l

55、t;p>　　2、采用VLAN技術(shù)。</p><p>　　VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。</p><p><b>　　3、內(nèi)容過濾器。</b></p><p>　　內(nèi)

56、容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時，可以限制外來的垃圾郵件。</p><p><b>　　4、防火墻。</b></p><p>　　在與Internet相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:</p><p>　　(1)根據(jù)校園網(wǎng)安全策略和安全目

57、標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則.</p><p>　　(2）禁止訪問系統(tǒng)級別的服務(wù)( 如HTTP , FTP等)。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提

58、供的服務(wù)。</p><p>　　(3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認(rèn)識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。</p><p>　　(4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。</p><p>　　(5）允許通過配置網(wǎng)卡對防火墻

59、設(shè)置，提高防火墻管理安全性.</p><p><b>　　5、入侵檢測。</b></p><p>　　入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢

60、測系統(tǒng)還可以發(fā)出實時報警，使網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。</p><p><b>　　6、漏洞掃描。</b></p><p>　　隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上“補丁”。</p><p&g

61、t;<b>　　7、數(shù)據(jù)加密。</b></p><p>　　數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。</p><p>　　8、加強網(wǎng)絡(luò)安全管理。</p><p>　　加強網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強網(wǎng)絡(luò)安全知識的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。</p>

62、;<p>　　3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計</p><p>　　安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校建立了一套校園網(wǎng)絡(luò)安全系統(tǒng)，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進(jìn)行計算機(jī)網(wǎng)絡(luò)安全知識培訓(xùn)，或發(fā)放常見病毒解決方案等。</p><p>　　3.1 校園網(wǎng)建設(shè)需求分析<

63、;/p><p>　　3.1.1 需求分析</p><p>　　局域網(wǎng)最大的特點就是可以實現(xiàn)資源的最佳利用,如:共享磁盤設(shè)備、打印機(jī)等,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺共享打印機(jī)上進(jìn)行打印;當(dāng)然也可以借助Wingate或Sygate等軟件多機(jī)共享一臺Modem上網(wǎng)；或者通過代理服務(wù)器連上Internet，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為：10Mbps網(wǎng)卡（ISA

64、插口或PCI插口）、100Mbps PCI插口網(wǎng)卡、10Mbps/100Mbps自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。目前10Mbps ISA插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于10Mbps ISA插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的CPU資源，只適應(yīng)于那些對速度要求不高的局域網(wǎng)，因此用100Mbps PCI插口的網(wǎng)卡或者10Mbps/100Mbps自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn)行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。

65、</p><p>　　BNC口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口，RJ45的接口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是8芯的接頭，使用RJ45的缺點是架設(shè)成本高，但安裝和維護(hù)較為方便，因此我們一般使用RJ45接口。集線器 (HUB):根據(jù)微機(jī)的數(shù)量,利用 HUB構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸

66、問題。因此有條件的話可選用交換機(jī)。一個 Hub所組成的域稱為沖突域 ,也就是說 ,網(wǎng)絡(luò)上任何一臺計算機(jī)在收發(fā)數(shù)據(jù)時 ,其他所有計算機(jī)都能夠收到 ,且這些計算機(jī)不能同時進(jìn)行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞(CSMA/ CD協(xié)議會阻止碰撞 )。此外每臺接入 Hub的計算機(jī) ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計算機(jī) CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應(yīng)用。</p><

67、;p>　　學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項靈魂工程。其設(shè)計方案應(yīng)注意以下原則：</p><p>　　實用性校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便

68、于掌握。</p><p>　　可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率)，提高容錯設(shè)計，支持故障檢測和恢復(fù)，可管理性強。</p><p>　　統(tǒng)一性在系統(tǒng)的設(shè)計過程中，堅持"三統(tǒng)一"，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。</p

69、><p>　　先進(jìn)性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時候，能方便地擴(kuò)展，保護(hù)目前的所有投資；設(shè)計的配置可以靈活變通，以便適應(yīng)客戶的其他要求。</p><p>　　3.1.2 關(guān)鍵設(shè)備</p><p>　　在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的

70、內(nèi)部核心交換機(jī)，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)。可以通過千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶終端可以通過10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 35

71、48作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機(jī)，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴(kuò)展的需求。同時Cisco 3662作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號服務(wù)器，提供分支機(jī)構(gòu)的撥號接入。 </p><p>　　網(wǎng)絡(luò)核心層：用一臺Cisco的高端三層交換機(jī)Catalyst 6506作為

72、整個交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺。其中配置兩個電源同時供電，彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能

73、力，利用Cisco特有的Netflow技術(shù)，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。 </p><p>　　匯聚層：在分配線間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心

74、層設(shè)備Catalyst 6506上去，終端用戶可以通過超5類UTP線纜連接到各層交換機(jī)中去，可以實現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。</p><p>　　接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實現(xiàn)各自功能：</p><p>　　1.　ADSL接入方式。</p><p&g

75、t;　　2. FTTX+LAN接入方式。 </p><p>　　3.1.3 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</p><p>　　根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo)，本設(shè)計方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 </p><p><b>　　3.2 技術(shù)方案</b></p>

76、<p>　　3.2.1 校園網(wǎng)的建設(shè)規(guī)劃</p><p>　　校園網(wǎng)建設(shè)作為一項復(fù)雜的系統(tǒng)工程，與任何一項工程建設(shè)一樣，在開始建設(shè)前都要根據(jù)工程的特點事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運行都有直接的關(guān)系，因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對于校園網(wǎng)來說，必須對技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識，只有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。&

77、lt;/p><p>　　1． 校園網(wǎng)的應(yīng)用特點 </p><p>　　隨著現(xiàn)代化教學(xué)活動的開展和與國內(nèi)外教學(xué)機(jī)構(gòu)交往的增多，對通過網(wǎng)絡(luò)進(jìn)行信息交流的需求越來越迫切，為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點： </p><p>　　高速的局域網(wǎng)連接--校

78、園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項基本要求； </p><p>　　信息結(jié)構(gòu)多樣化--校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等）、學(xué)校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊則多為WWW方式，因此數(shù)據(jù)

79、成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； </p><p>　　操作方便，易于管理--校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太過專業(yè)化； </p><p>　　經(jīng)濟(jì)實用--學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實用，具備很高的性能價格比。 </p><p>　　2．校園網(wǎng)的需求分析 </p&g

80、t;<p>　　在著手設(shè)計一個校園網(wǎng)或者計算機(jī)局域網(wǎng)時，其主要依據(jù)就是網(wǎng)絡(luò)用戶（學(xué)校）的需求及將要建設(shè)的網(wǎng)絡(luò)系統(tǒng)的特點。通過對實際需要進(jìn)行細(xì)致的分析，才能確定系統(tǒng)的總體目標(biāo)和近期目標(biāo)。需求分析是如何設(shè)計、建設(shè)和應(yīng)用校園網(wǎng)的關(guān)鍵。在完成校園網(wǎng)的需求分析之后，就要對整個校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計。校園網(wǎng)具體的需求分析有如下幾點：</p><p><b>　?。?） 總體目標(biāo)</b&

81、gt;</p><p>　　對于一個校園網(wǎng)來說，系統(tǒng)的總體目標(biāo)就是在一個時期內(nèi)，當(dāng)校園網(wǎng)完全建設(shè)好后所要達(dá)到的功能和具有的規(guī)模。一般來說，一個校園網(wǎng)系統(tǒng)總體目標(biāo)是分步實施的，包括功能的分步實施和規(guī)模的分步實施。主要原因是受資金的限制（這是在建設(shè)校園網(wǎng)時普遍遇到的問題）和技術(shù)發(fā)展的影響（因為隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，校園網(wǎng)總會有進(jìn)行升級的需求）。因此我們在設(shè)計一個校園網(wǎng)時，要充分考慮到對已有校園網(wǎng)資源的再次利用

82、，又要考慮到將來對校園網(wǎng)進(jìn)一步的升級改造。</p><p><b>　?。?）近期目標(biāo)</b></p><p>　　近期目標(biāo)就是根據(jù)實際需求來設(shè)計和建設(shè)校園網(wǎng)，使建設(shè)好后的校園網(wǎng)能滿足實際需求所應(yīng)有的功能和規(guī)模，同時又要考慮將來能對校園網(wǎng)進(jìn)一步的升級改造或者是后期工程的建設(shè)，系統(tǒng)近期目標(biāo)是需求分析的重點。</p><p>　　3． 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

83、 </p><p>　　校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計和邏輯設(shè)計，在完成結(jié)構(gòu)設(shè)計后才能對網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計對于整個網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它設(shè)計的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實現(xiàn)以及網(wǎng)絡(luò)是否能滿足網(wǎng)絡(luò)的需求。</p><p><b>　?。?）物理設(shè)計</b></p><p>　　根據(jù)需求分析，可以知道整個校園網(wǎng)信

84、息點的數(shù)目，同時也知道這些信息點在整個校園內(nèi)的分布情況。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后，就應(yīng)該考慮如何把校園內(nèi)的信息點連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等，網(wǎng)絡(luò)系統(tǒng)所使用來連接各種網(wǎng)絡(luò)設(shè)備的傳輸介質(zhì)也是需要考慮的問題。</p><p><b>　?。?）邏輯設(shè)計</b></p><p>　　網(wǎng)絡(luò)的邏輯設(shè)計主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分，通過

85、實際的網(wǎng)絡(luò)物理連接，依據(jù)實際需求來實現(xiàn)虛擬網(wǎng)絡(luò)(VLAN)的設(shè)置。無論從網(wǎng)絡(luò)的安全性和IP地址的可管理性來考慮，還是從有效利用IP地址資源的角度來考慮，將整個校園網(wǎng)劃分為多個子網(wǎng)網(wǎng)段并對IP地址資源進(jìn)行有效管理都是十分必要的。</p><p><b>　　4．網(wǎng)絡(luò)技術(shù) </b></p><p>　　學(xué)校建設(shè)校園網(wǎng)有許多需要考慮的問題，如網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選

86、擇、網(wǎng)絡(luò)產(chǎn)品的選擇、網(wǎng)絡(luò)服務(wù)器的選擇以及操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全等方面。下面根據(jù)前面介紹過的各種網(wǎng)絡(luò)技術(shù)來進(jìn)行校園網(wǎng)組建技術(shù)的選擇。</p><p>　　(1) 網(wǎng)絡(luò)技術(shù)類型</p><p>　　網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)遵循高可靠性、技術(shù)先進(jìn)、開放性、成熟標(biāo)準(zhǔn)、易于擴(kuò)展、可維護(hù)性好等原則，并充分考慮性能價格比和今后技術(shù)的發(fā)展。要求系統(tǒng)兼容性好，易于平滑連接，避免網(wǎng)絡(luò)瓶頸。<

87、/p><p>　　當(dāng)前達(dá)到或超過100Mbps的高速網(wǎng)絡(luò)技術(shù)主要有：快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。FDDI是幾年前十分流行的高速網(wǎng)絡(luò)技術(shù)，雖然技術(shù)十分成熟，但網(wǎng)絡(luò)管理復(fù)雜且成本較高，現(xiàn)已被逐漸淘汰。ATM是比較先進(jìn)的網(wǎng)絡(luò)技術(shù)，它采用信元交換方式，以很高的速率在任意兩點間建立直接的虛擬通信鏈路，有較強的傳輸質(zhì)量控制能力，特別適合于多媒體信息的傳輸。但在實際使用事因端口價格過高，難以大規(guī)模采用。以太網(wǎng)是

88、種成熟的、質(zhì)優(yōu)價廉的網(wǎng)絡(luò)技術(shù)，其標(biāo)準(zhǔn)已制定完備。經(jīng)過多年發(fā)展，形成了完善的10Mbps、100Mbps和千兆以太網(wǎng)技術(shù)，同時還由共享式的網(wǎng)絡(luò)發(fā)展成為交換式的以太網(wǎng)，具備與FDDI、ATM網(wǎng)絡(luò)融合的多種方法與規(guī)范。從技術(shù)上看，以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地，是一種能夠到長期使用和發(fā)展的技術(shù)，另外以太網(wǎng)還可以在不同速率之間平滑升級，不會有網(wǎng)絡(luò)協(xié)議和規(guī)范上的障礙。綜全以上對高速網(wǎng)絡(luò)技術(shù)的分析，我認(rèn)為在當(dāng)前校園網(wǎng)的建設(shè)中應(yīng)以建設(shè)和使用100Mbp

89、s快速以太網(wǎng)為主，在局部主干上使用千兆技術(shù)進(jìn)行連接。</p><p>　　(2) 網(wǎng)絡(luò)拓?fù)涞倪x擇</p><p>　　當(dāng)前在局域網(wǎng)的建設(shè)中，主要應(yīng)用的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型。在總線型網(wǎng)絡(luò)中，由于各計算機(jī)共享一條通信電纜，而且不需要額外的通信設(shè)備，因此，可以節(jié)約組網(wǎng)費用。但是其缺點也是十分明顯的，網(wǎng)絡(luò)中的任何一個節(jié)點出現(xiàn)故障，都將導(dǎo)致整個網(wǎng)絡(luò)癱瘓，這與在網(wǎng)絡(luò)建設(shè)要求網(wǎng)絡(luò)具有高可靠性和沉

90、佘性不相符，因此使用總線型拓?fù)浣Y(jié)構(gòu)建設(shè)的網(wǎng)絡(luò)已趨于淘汰，在新的網(wǎng)絡(luò)建設(shè)中不應(yīng)再使用。環(huán)型拓?fù)浣Y(jié)構(gòu)是令牌環(huán)網(wǎng)絡(luò)技術(shù)所常用的一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，環(huán)型結(jié)構(gòu)的缺點與總線型的缺點是差不多的，也是一種不太常用的網(wǎng)絡(luò)拓?fù)?。?dāng)前在各種網(wǎng)絡(luò)系統(tǒng)的建設(shè)中使用最多的是星型拓?fù)浣Y(jié)構(gòu)，雖然星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)在布線和網(wǎng)絡(luò)設(shè)備的花費多一些，不過目前各種硬件設(shè)備已經(jīng)非常便宜了，這種花費是可以承受的。因而它的優(yōu)點也是十分突出的，主要是當(dāng)網(wǎng)絡(luò)中某個節(jié)點出現(xiàn)故障時不會影響整個

91、網(wǎng)絡(luò)的運行，這使得網(wǎng)絡(luò)從總體上可以提供高度的可靠性和沉佘性，這個性能十分適合校園網(wǎng)這種應(yīng)用環(huán)境，也是校園網(wǎng)的建設(shè)中必須要求做到的。</p><p>　　3.2.2 組網(wǎng)技術(shù) </p><p>　　組網(wǎng)技術(shù)就是在有了網(wǎng)絡(luò)的設(shè)計方案和各種網(wǎng)絡(luò)設(shè)備之后，怎樣把不同的網(wǎng)絡(luò)設(shè)備按設(shè)計方案的要求連接起來所用到的各種技術(shù)。組網(wǎng)絡(luò)技術(shù)在整個網(wǎng)絡(luò)的建設(shè)過程中是最重要的階段之一，它直接關(guān)系到建設(shè)出來的網(wǎng)絡(luò)

92、系統(tǒng)能否達(dá)到設(shè)計要求，能不能投入使用這樣嚴(yán)重的問題，如在組網(wǎng)中有不按規(guī)范和標(biāo)準(zhǔn)來施工的話，建出的網(wǎng)絡(luò)系統(tǒng)的質(zhì)量是達(dá)不到設(shè)計要求，是不能滿足用戶需求的。組網(wǎng)技術(shù)主要包括：布線系統(tǒng)、Internet接入技術(shù)、防火墻等。</p><p>　　1．布線系統(tǒng)設(shè)計 </p><p>　　結(jié)構(gòu)化布線系統(tǒng)的組成：網(wǎng)絡(luò)系統(tǒng)的正常運行主要取決于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路，對于網(wǎng)絡(luò)系統(tǒng)來說，采用結(jié)構(gòu)化布線系統(tǒng)能夠很好

93、地滿足需求，特別是從計算機(jī)網(wǎng)絡(luò)系統(tǒng)可靠運行的角度來說，布線系統(tǒng)的可靠性決定了網(wǎng)絡(luò)系統(tǒng)通信信道的可靠性，它是計算機(jī)網(wǎng)絡(luò)系統(tǒng)可靠運行的前提。整個布線系統(tǒng)主要包含光纖布線和室內(nèi)綜合布線系統(tǒng)。</p><p>　　布線系統(tǒng)的主要是依據(jù)建筑物的分布圖，國際商務(wù)建筑線纜標(biāo)準(zhǔn)（TIA/ELA 586A ）和《建筑與建筑物綜合布線系統(tǒng)工程設(shè)計規(guī)范》來設(shè)計的。使用結(jié)構(gòu)化布線工程設(shè)計的布線系統(tǒng)具有實用性、靈活性、可擴(kuò)充性以及真正的開

94、放性。一次性布線，可保證在十五到二十年之內(nèi)，其系統(tǒng)性能不會下降，功能也不會落后，真正達(dá)到一次投資，長期受益。建成后的結(jié)構(gòu)化布線系統(tǒng)將具有滿足多種計算機(jī)網(wǎng)絡(luò)系統(tǒng)（10/100/1000M Switch、FDDI、ATM）對線路的要求，不僅能實現(xiàn)計算機(jī)端口的靈活配置，而且方便計算機(jī)網(wǎng)絡(luò)的平滑升級和擴(kuò)充。 </p><p>　　光纖布線主要是用在建筑物之間或樓層之間，這些建筑的距離一般都比較遠(yuǎn)，超出了雙絞線的連接距離，

95、具體情況要看信息點的分布和數(shù)量以及對網(wǎng)絡(luò)帶寬的要求來決定。室內(nèi)布線采用5類（超5類）非屏蔽雙絞線進(jìn)行布線。整個布線工程分為工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng)，建筑子系統(tǒng)和管理子系統(tǒng)來施工的。 </p><p>　　工作區(qū)子系統(tǒng)由終端設(shè)備連接到信息插座的連線和信息插座所組成，通過插座即可以引出電話也可以連接數(shù)據(jù)終端，在RJ-45插座內(nèi)不僅可以插入數(shù)據(jù)通信通用的RJ-45接頭，也可以插入電話機(jī)專用的RJ-45插頭。

96、 </p><p>　　水平子系統(tǒng)是將樓層配線間路延伸到用戶工作區(qū)，并連向各個信息插座。線纜由配線間進(jìn)入房間后，可走天花板或橋架,以走暗線的原則走線。電纜橋架應(yīng)高出地面2.2米以上，橋架頂部距頂棚或其他障礙物不應(yīng)小于0.3m。橋架寬度不宜小于0.10m，橋架內(nèi)橫斷面的填充率應(yīng)小于50%。結(jié)構(gòu)化系統(tǒng)的布線是放射型的，線纜量較大，所以線槽量的計算是很重要的，按照標(biāo)準(zhǔn)的線槽設(shè)計方法，應(yīng)根據(jù)水平線的外徑來確定線槽的容量，

97、即：線槽的橫截面積=水平線截面積之和*3 。 </p><p>　　垂直主干子系統(tǒng)用于連接樓層配線室，垂直干纜系統(tǒng)的安裝主要是由一連串通過地板對準(zhǔn)配線間的垂直豎井組成的，可以連接摟層間的配線室。垂直子系統(tǒng)的連接可用多根雙絞線形成集束穿過豎井進(jìn)入水平子系統(tǒng)，外用線槽以保護(hù)和固定。 </p><p>　　建筑子系統(tǒng)是在各棟建筑物之間的相互連接，組成一個較大的建筑群綜合布線系統(tǒng)。這一部分布線系統(tǒng)

98、可以采用架空電纜、直埋電纜或地下管道內(nèi)穿電纜，或者是這三者的任何組合，具體使用看施工現(xiàn)場而定。建筑子系統(tǒng)一般都采用光纖進(jìn)行連接。 </p><p>　　管理子系統(tǒng)設(shè)置在配線設(shè)備和機(jī)房內(nèi)，管理子系統(tǒng)由配線間、輸入/輸出（I/O）設(shè)備等組成。管理子系統(tǒng)提供了與其他子系統(tǒng)連接手段，整個綜合布線系統(tǒng)及其連接的設(shè)備、器件等構(gòu)成一個有機(jī)的整體。管理子系統(tǒng)內(nèi)有部分主干布線和部分水平線的機(jī)械終端，為無源或有源或用于兩個系統(tǒng)連接的

99、設(shè)備提供設(shè)施。[3] </p><p>　　2．布線系統(tǒng)的測試 </p><p>　　在結(jié)構(gòu)化布線完工后，必須對整個系統(tǒng)進(jìn)行測試后才能投入使用，以保證系統(tǒng)能達(dá)到設(shè)計要求。測試主要依據(jù)TIA/EIA 568A以及《建筑及建筑群結(jié)構(gòu)化布線系統(tǒng)工程驗收規(guī)范》來進(jìn)行，測試內(nèi)空包括線纜的長度、接線圖、信號衰減、近端串?dāng)_、信噪比等。其中最重要的技術(shù)指標(biāo)是衰減端串?dāng)_，它直接影響著雙絞線的傳輸性能。 &l

100、t;/p><p>　　3.2.3 網(wǎng)絡(luò)操作系統(tǒng) </p><p>　　網(wǎng)絡(luò)操作系統(tǒng)NOS（Network Operating System）是在計算機(jī)操作系統(tǒng)的基礎(chǔ)上，加上一些具有實現(xiàn)網(wǎng)絡(luò)訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議，是使網(wǎng)絡(luò)上各計算機(jī)能夠方便有效地共享網(wǎng)絡(luò)資源、為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)軟件和規(guī)程的集合。目前主要的網(wǎng)絡(luò)操作系統(tǒng)有NetWare、Unix、Linix和Wind

101、ows NT/2003。在校園網(wǎng)中一般情況下都用Windows NT/2003網(wǎng)絡(luò)操作系統(tǒng)，因為它是圖形化的操作界面、使用簡單、安全可靠，以及和普及率很高Windows系列單機(jī)操作系統(tǒng)的兼容性很好。 </p><p>　　3.2.4 Internet接入技術(shù)</p><p>　　如果校園網(wǎng)不能和Internet連接的話，就不能是一個完整的網(wǎng)絡(luò)，也不能充分利用Internet網(wǎng)上的大量信

102、息資源。因此校園網(wǎng)和Internet的連接技術(shù)就顯得十分重要了，它關(guān)系到校園網(wǎng)與外部網(wǎng)絡(luò)能能否進(jìn)行可靠的連接。當(dāng)前適合校園網(wǎng)與Internet的寬帶連接方式主要有ADSL和光纖專線接入。</p><p>　　ADSL是一種非對稱的寬帶網(wǎng)絡(luò)數(shù)據(jù)傳輸技術(shù)，它的一個明顯優(yōu)勢是經(jīng)濟(jì)上實用。ADSL寬帶線路通過ADSL Modem接入Internet代理服務(wù)器的網(wǎng)卡上的，不過ADSL專線的接入是用傳統(tǒng)的模擬電話雙絞線線路布

103、線不很規(guī)范，線路質(zhì)量不夠好，達(dá)不到高速傳輸?shù)囊?，目前它只用在一些中小型網(wǎng)絡(luò)。光纖接入是一種在校園網(wǎng)建設(shè)中普遍使用的一種技術(shù)，它是通過構(gòu)建專用的Internet服務(wù)器來實現(xiàn)的，在服務(wù)器上運行各種網(wǎng)絡(luò)服務(wù)軟件，為校園內(nèi)部的用戶提供Internet的接入服務(wù)。光纖接入的優(yōu)點是可提供比較高的網(wǎng)絡(luò)帶寬和穩(wěn)定性，但它的連接較為復(fù)雜。</p><p>　　3.2.5 防火墻技術(shù) </p><p>　

104、　防火墻是計算機(jī)網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡單的可以只用路由器實現(xiàn)，復(fù)雜的則可以用主機(jī)甚至一個子網(wǎng)來實現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對特殊站點的訪問以及提供監(jiān)視Internet安全和預(yù)警的方便端點。由于網(wǎng)絡(luò)具有天生的開放性，所以有許多防

105、范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。因此，防火墻只能是一種整體安全防范政策的一部分。</p><p>　　實現(xiàn)防火墻技術(shù)從層次上大概可以分為報文過濾和應(yīng)用層網(wǎng)關(guān)。報文過濾是在IP層實現(xiàn)的，它的原理是根據(jù)報文的源IP地址、目的IP地址、源端口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。在用應(yīng)用層網(wǎng)關(guān)實現(xiàn)的防火墻有多種方式，如

106、應(yīng)用代理報務(wù)器和網(wǎng)絡(luò)地址轉(zhuǎn)換器等。</p><p>　　在校園網(wǎng)中大部分的應(yīng)用都是內(nèi)部網(wǎng)絡(luò)用戶，而內(nèi)部用戶通常具有較大的訪問權(quán)限，因此局域網(wǎng)絡(luò)系統(tǒng)的安全是整個網(wǎng)絡(luò)系統(tǒng)安全中最重要的部分。但相對而言，內(nèi)部的安全問題是可以預(yù)測的，并可據(jù)此制定相應(yīng)的防范措施。</p><p>　　3.2.6 建網(wǎng)方案</p><p>　　根據(jù)校園網(wǎng)絡(luò)建設(shè)應(yīng)遵循原則的介紹和各種網(wǎng)絡(luò)技術(shù)的