项目规划目录
一. 校园网设计要求和目标——————————————————3
二. 用户需求——————————————————————-3
三. 网络系统总体方案———————————————————-4
    <一>学校网络总体拓扑结构图总体布线——————————————–4
<二>连网技术—————————————————————5
四. 校园网络总体的结构——————————————————–6
<一>学校网络机房和网络接入点 ———————————————–10
<二>学校主楼教学点及行政办公区———————————————–12
<三>学校图书馆————————————————————13
<四>学校主要教学点———————————————————14
<五>学校学生宿舍———————————————————-15
<六>学校教工单元和研究生宿舍————————————————16
<七>学校综合实验楼———————————————————17
<八>学校计算机中心实验室 —————————————————18
五. 校园网络传输介质 ——————————————————–19
六. 校园网络工程施工———————————————————19
七. 审查———————————————————————19
八. 测试———————————————————————19
九. 对网络安全检测———————————————————–19
十. 总结———————————————————————19
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
校园网是利用现代网络技术,多媒体技术及Internet技术等作为基础建立起来的计算机网络,一方面联接学校内子网和分散于校园各处的计算机,另一方面作为沟通学校校园内外部网络的桥梁,为学校的教学,管理,办公,信息交流和通讯等提供综合的网络应用环境.校园网建设应以满足现有的应用系统及未来一段时间内出现的应用系统的需求为目标,使用限有的资金为学校提供贴切而有效的服务.深入分析各类应用的特点是成功实施校园网络建设的关键.,校园网已经成为现代教育背景下的必要基本设施,成为学校提高教学水平,科研和管理水平的重要途径.”中国教育科研计算网(CERNET)”工程,在1994年经国家纪委批准后,开始高速建网,全国各大高校都在积极响应.对于校园网.
我们需要达到的目标为:Internet接入,远程接入,视频点播,多媒体教学,学校办公自动化,校园一卡通,图书馆资料查询,科研高速网络等.学校主干道承担的流量非常大.其目标是把学校的各局域网的和单机连接起来,让教学资源迅速得到利用
l         .实现教学管理的网络化,完成学校教学管理信息的采集,处理,查询,统计,分析.同时,实现学校的各部门办公自动化,提高学校管理水平.
l         发挥计算机在教学中的作用,实现多媒体课件制作网络化,逐步实现教师备课电子化,多媒体化.
l         保证网络系统的开放性,可持续发展性,便于以后集成视频点播,远程教学等功能
l         网络系统必须安全可靠,保证教学数据安全运行,并能满足以后学校的不断发展,和分校的扩展.
l         校园网与Internet的方式来组织网内信息.建立校内电子邮局.同时校园网能与Internet全面接入.
l         接入中国教育网机因特网(Internet),实现真正意义上的数据共享,信息共享.
l         实现IP的合理分配,和IPv6的转换。
二、           用户需求
(1)    主要信息点分布。主要信息点集中在办公楼,图书馆,网络中心接入点,实验楼,学校宿舍,家属楼,饭堂,教学楼等。
信息点的分布点拓扑图和信息点的统计

地点
节点数
与中心接入距离
现有的PC数
备注
学校接入机房
 
 
 
 
学校图书馆
 
 
 
 
校行政教学主楼
 
 
 
 
学校学生宿舍
 
 
 
 
教工研究生单元
 
 
 
 
学校综合实验楼
 
 
 
 
学校饭堂
 
 
 
 
学校主要教学点
 
 
 
 
无线网络
 
 
 
 
(2)提高网络服务。基础网络主要提供校内各单位的信息共享与通信以及WWW,FTP,Telnet,E-mail,BBS等服务,并建立该校的对内对外的宣传网站。在二期服务的提供:多媒体教学,各部门和个人主页,VOD,数字图书馆。
校园网的需求按照校园区地理位置及不同的网络应用,我们把学校的用户群体分为如下两种
<一>教学区和办公区
教学办公区大致包括:一是学校职能管理业务。包括校长办公决策支持系统,教务管理系统,财务管理系统以及人事管理系统等。另一方面体现为学校行政管理人员通过Internet进行邮件收发,数据查询以及文件传输等工作,主要业务流量较大,大量数据,教学资源流在学校内部网。三是教学和研究实验室的需求
教学区的网络应用需求包括
l         共享的同时实现网络安全
l         内部网络高速交换
l         NAT地址转换
l         完善的Qos支持能力
l         行政区财务和校长之间的安全通信.
l         满足各种系统的正常使用.
<二>生活区
应为教工及学生生活区用户群体提供信息的检索,资料的查询,对外联络,丰富业余生活,资源共享,校园系统的访问,网络流量为校园网内部及访问Internet。教工及其家属业务流量主要是连接到Internet,还有访问学校内部系统。当由学校为这一用户群体提供基础网络,接入服务和管理计费时,校园网在功能上等同为教工提供Internet接入业务的ISP.
l         网络安全性要求高,Vlan的划分.
l         用户的管理性要求比较严格,对学生宿舍区上的网的控制.
l         NAT的地址转换的需求.
l         带宽控制
l         计费要求
l         宽广地方(操场)实现无线Wifi接入,满足学生移动设备接入网络
   <一>学校网络总体拓扑结构图(总体布线)
     主干网是整个网络的信息传输主干线,为了保证网络的联通,在主干网中采用全连接的网状拓扑结构,接入网的用户采用星型拓扑结构。该学校校园网络系统拓扑结构如下图1-1所示
    
                              
                           图1-1学校总的拓扑图
     全连接的网络网状拓扑结构的优点是网络的可靠性提高,当一条主干网发生故障,网络信息可以自动路由到另一条冗余链路上传输
     用户接入端采用星型拓扑结构相对于其他的拓扑结构来说具有如下的优点:网络结构简明,易于管理,维护。易实现结构化组网,星型易于扩充,易于升级。特别适合交换机,集线器等设备连接技术成熟,总类多。选择余地大。
<二>连网技术
1.       主干网连接
主干网采用交换式1000M以太网和教育网的接入。在本方案中,学校机房接入点,学校图书馆,学校主楼和行政区,学生活动中心,艺术和继续教育学院,信息学院,综合实验楼节点之间使用多模光纤以全连接拓扑结构通过1000M交换机进行连接。这样可以保证了主干线的1000M带宽,又保证了主干线的冗余。
2.       局域网采用快速交换式以太网通过5类双绞线按照星型拓扑结构进行连接。例如
主楼内部节点,图书馆内部节点,机房内部节点,教学点内部节点,宿舍内部节点,综合实验楼内部节点,各院楼和计算机学院实验室内部节点等。
四、           校园网络总体的结构
里面设有中心机房,负责整个网络的运行,管理和维护工作。中心机房通过光缆分别与子网相连,主干交换机通过交换机通过路由器与ISDN和以太网相连构成了出网出口。
 中心机房主要设备如下:
1.         核心交换机锐捷网络RG-S5750S-48GT/4SFP两台
2.         二级交换机锐捷网络RG-S2126三台
3.         路由器锐捷网络NPE20(锐捷网络NPE20)两台
4.         (数据库)主服务器联想万全两台R520 G7 D5603 4G/2*1TSNR1软导(12)
5.         Web/DNS/DHCP/FTP等应用服务器*****九台
6.         管理员工作站**四台PC
7.         ISDN专线接入设备
8.         防火墙一台
9.         入侵检测IDS一台
10.     打印机等辅助设备1.98
图1-2学校服务器机房和接入点
  安全配置:
²        配置ACL访问控制列表
²        配置NAT转换,硬件防火墙由于内部主机是通过地址转换的方式链接internet,有效隐藏了内部主机,同时,防火墙通过封锁部分病毒传播端口,可以在一定程度上防止病毒的感染和传播。将防火墙的规则配置分对内和对外两个部分。对外开放服务的规则,一般到细化的每个服务器的每个端口,这样才可以保护服务器,不会被黑客利用操作系统或者开放的多余服务端口的漏洞进行攻击。
²         对内规则,要根据的自己的实际情况进行合理的配置,比如根据用户的不同级别设置不同的权限,最高权限的用户不受任何限制,中等权限的用户仅开放MSN,QQ,mail,web,ftp,telnet等业务,而级别最低的用户可能只开放邮件服务等。
²        配置远程连入
²        配置外网对内外访问的×××
²        数据库冗余
²        日志服务器和日志分析系统
防火墙配置:
²        配置ACL访问控制列表, 防火墙设置智能化的规则,以便关闭那些可能成为黑客入侵途径的端口。比如1045端口就是SASSER蠕虫的攻击端口。
²        配置远程连入
²        入侵检测IDS配置
²        配置防火墙的DMZ区域规则,DMZ,即非军事化缓冲区,是网路内部有服务需要开放给公网用户时而设置的独立区域。由于这些开放服务器要面对的是大量公网的任意未知用户,因此,再接入一般必须使用防火墙的独立DMZ接口进行隔离,同时需要设置严格的防火墙控制策略,以防止入侵者的破坏。
 
 各种服务器:
²        在网络服务中,通常都会存有好多好处并不公开或提供下载的文件和程序,这些资料多数是某个公司或是政府机关的机密文件,也可能是某个程序员的程序源代码。有此可以看出,一台服务器的安全是十分重要的。
1.       经常到微软官方网站去查看是否有新的补丁,升级系统
2.       2.去大型的黑客网站查看是否有一些微软尚未发现的漏洞。因为服务器的漏洞的漏洞多数是黑客们先发现的。
3.       3.定期用各种安全扫描工具自我扫描。
4.       4.尽量少开端口,没有必要开的端口不要启动。
5.       5.服务器里不要安装任何游戏软件或其他软件。因为一些黑客会利用那些软件的漏洞进入服务区。
6.       6.保护好服务器Administrator密码。经常更换密码,且密码最好是12^16位的密码的数字加字母的不规则排列组合。
例如:web服务器:
一.     合理的权限管理, 我现在采用的是Windows2003服务器,为了实现这个安全需求,把服务器中所有的硬盘都转换为NTFS分区。一般来说,NTFS分区比FAT分区安全性要高的多。利用NTFS分区自带的功能,合理为他们分配相关的权限。如为这个三个服务器配置不同的管理员帐户,而不同的帐户又只能对特定的分区与目录进行访问。如此的话,即使某个管理员帐户泄露,则他们也只能够访问某个服务的存储空间,而不能访问其他服务的。如把WEB服务装载分区D,而把FTP服务放在分区E。若FTP的帐户泄露,被攻击利用;但是,因为FTP帐户没有对分区D具有读写的权利,所以,其不会对WEB服务器上的内容进行任何的读写操作。这就可以保障,其即时攻陷FTP服务器后,也不会对WEB服务器产生不良的影响。
二.     1、在脚本或者程序编写的时候,不应该把任何不信任的参数直接保存为会话变量。因为根据WEB应用的设计原理,会话变量只保存信任变量。也就是说,会话变量中的值,WEB服务都认为其是值得信任的,会不加思索的采用。一般的设计思路是,先设置一个临时变量进行存储,然后编写一个检验其合法性的过程或者函数,来验证其合法性。只有通过验证的时候,这个值才能够被传给会话变量。根据笔者的经验,要是没有亲身经历过惨痛教训的WEB管理员,可能对此不屑一顾。但是,那些有过这方面教训的人,则会非常看重这个合法性的检验过程。毕竟是吃一堑长一智,所以新手还是需要多听听过来人的建议,不会吃亏的。
2、在没有充分必要的时候,不要采用脚本,尽量使得网页的简单化。其实,企业的网站跟个人网站有个很大的不同,企业的网站只要朴素就好,不需要过多的渲染。一方面,过度渲染的网站会降低用户网站访问的速度;另一方面,这也会降低网络的安全性能。故,在没有充分必要的情况下,不要共脚本或者程序在渲染网站的华而不实的功能。
   3、对脚本或者程序的执行情况要进行持续的跟踪。在万不得已网站采用了程序或者脚本的时候,则需要定时不定时的对这些脚本或者程序的运行情况进行稽核,看看其有没有被非法利用的嫌疑。
    3.防止首页篡改,根据逻辑部署位置和职责的不同开发的网页防篡改系统由4部分组成:监控代理Monitor Agent(简称MA)、同步代理Synchronization Agent(简称SA)、管理客户端Management Client(简称MC)和管理平台Supervision Platform(简称SP).监控代理MA——部署于网站服务器,负责实时监控保护网站文件,发现篡改企图或篡改操作实时发送恢复请求,并及时提交告警信息.同步代理sA——部署于同步服务器,监控代理提交的恢复请求,并根据请求执行向网站服务器的文件同步(同步服务器通常情况下指CMS服务器或兀甲服务器).安装于专门的同步服务器(或发布服务器),负责网页的合法变更,并在网页变更后,将其同步到Web服务器上;同时及时处理监控代理提交的恢复请求.管理客户端MC——安装在网管员的计算机上,作为用户与系统之间的接口,负责传达操作指令,以及实时接收来自代理端的各种告警信息并及时通知用户.监管平台SP——逻辑上部署于总中心的管理服务器,作为更高一级的管理子系统,负责接收所有管辖范围内的监控中心提交的各类关键信息
DNS服务器安全十大方法:
7.        使用DNS转发器 ,DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器,从DNS转发器潜在地更大DNS高速缓存中受益。 使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话,这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。 
 2.使用只缓冲DNS服务器 ,只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。 把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISPDNS服务器作为转发器,在你不能确认ISPDNS服务器安全性的情况下,更是如此。 
3.使用DNS广告者(DNSadvertisers ,DNS广告者是一台负责解析域中查询的DNS服务器。例如,如果你的主机对于domain.comcorp.com是公开可用的资源,你的公共DNS服务器就应该为domain.comcorp.com配置DNS区文件。 
DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。 
4.使用DNS解析者 ,DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名internalcorp.comDNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepublic.com时,这台DNS服务器通过向其他DNS服务器查询来执行递归以获得答案。 DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。当然,你也可以让DNS解析者同时被内、外部用户使用。 
5.保护DNS不受缓存污染 ,DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。DNS高速缓存能够极大地提高你组织内部的DNS查询性能。问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话,用户就有可能被送到恶意站点而不是他们原先想要访问的网站。 绝大部分DNS服务器都能够通过配置阻止缓存污染。WindowsServer2003DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows2000DNS服务器,你可以配置它,打开DNS服务器的Properties对话框,然后点击“高级”表。选择“防止缓存污染”选项,然后重新启动DNS服务器。
    6.使DDNS只用安全连接 ,很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减 轻DNS管理员的管理费用,否则管理员必须手工配置这些主机的DNS资源记录。 然而,如果未检测的DDNS更新,可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新的DNS主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。 你可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。这很容易做到,你只要配置你的DNS服务器使用活动目录综合区(ActiveDirectoryIntegratedZones)并要求安全动态升级就可以实现。这样一来,所有的域成员都能够安全地、动态更新他们的DNS信息。 
7.禁用区域传输 ,区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。 然而,区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域数据库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划,并攻击关键服务架构。你可以配置你的DNS服务器,禁止区域传输请求,或者仅允许针对组织内特定服务器进行区域传输,以此来进行安全防范。 
8.使用防火墙来控制DNS访问 ,防火墙可以用来控制谁可以连接到你的DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接这些DNS服务器。对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。 
9.在DNS注册表中建立访问控制 ,在基于Windows的DNS服务器中,你应该在DNS服务器相关的注册表中设置访问控制,这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。 HKLMCurrentControlSetServicesDNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制权限。 

10.在DNS文件系统入口设置访问控制 ,在基于Windows的DNS服务器中,你应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件。 %system_directory%DNS文件夹及子文件夹应该仅仅允许系统帐户访问,系统帐户应该拥有完全控制权限

DHCP服务器安全三步曲:
启用DHCP审核记录, 修改DHCP日志保存路径; 指定DHCP管理用户;,DHCP管理用户限制. DHCP欺骗防范方法:在交换机上启用DHCP SNOOPING功能
邮件服务器:
在Exchange内部也有好多参数需要调整,例如,DoS攻击向服务器发送大量邮件,阻塞服务器。虽然用保护服务器隔离了SMTP数据但也不能让保护服务器总受DoS攻击。阻止这种攻击的一种方法是设置进入的消息数量。打开Exchange管理器,”管理”→”站点”→”配置服务器”→”Server Recipients”(服务器接收者)。然后,在文件菜单中,选择接收者,单击Properties(属性)。在属性页中,选择”Limits”(限制)标签,可以设置每个用户的最大入站信息量。为大部分用户设置小一些,为经常接收大附件的用户设置大些
 
主楼内部通过双绞线连接节点,每个教室都需要一个网线接口和Pc机。同时在行政区校长室和财务部需要隧道IPsec,数据加密,同时各部门通过配置Private Vlan进行隔离和通信,财务部安全性需要提高,同时需要数据库服务器的独立和冗余,教务处也需要独立服务器,存放学生档案和成绩资料等。在教学平台需要搭建教学共享服务器打印服务器等。为了方便学生使用移动设备,需要在主楼配置无线Wifi
学校主楼教学点及行政办公区的设备
2.         无线AP
3.         数据库服务器
4.         核心交换机
5.         二级交换机
6.         防火墙
7.         物理隔离网闸
8.         打印机等辅助设备1.98
图1-3学校主楼教学点及行政办公区
安全配置:
²        配置ACL访问控制列表
²        防火墙的搭建(参照机房)
²        配置远程连入
²        教学资源需要服务器配置(参照机房)
²        校长和财务部的IPsec通信
²        财务部数据物理隔离
²        数据库冗余
²        配置各个部门的private vlan实现不同部门的工作区域
    交换机路由配置:
²        交换机在网络中占有重要的地位,通常是整个网络的核心所在。在这个黑客入侵风起云涌,病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业安全的性能,安全已经成为网络建设必须考虑的重中之重。
1.流量控制
把流经端口的异常流量控制在一定范围内。许多交换机具有基于端口的流量控制功能,能实现风暴控制,端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免保温丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播,组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,那些事异常流量。同时,如何设定一个合适的阈值也比较困难。
2.访问控制列表(ACL)
ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址,目的地址和协议)要么允许,要么拒绝数据包通过。由于规则是按照一定顺序执处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。 
3.虚拟局域网(VLAN)技术
虚拟局域网是人们非常熟悉的一个交换机功能。也是应用广泛的一个安全策略。虚拟局域网是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段,不同网络的端到端的逻辑网络,一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的用户加入到一个逻辑子网中。 通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。对于采用VLAN技术上网网络来说,一个VLAN可以根据部门职能,对象组织或者应用将不同地理位置的网络用户划分为一个逻辑网段。这样也使的网络管理变的简单、直观
²        无线网络接入身份认证
 
每层面积比较大,和每层存有书本检索点。同时在一楼存在电子阅览室,电子阅览室的流量需求比较大。资料的存放需要数据库服务器。同时需要为图书馆研发室拉上网络接口,同时需要搭建一些必要的服务器,例如Web,Ftp,和流媒体等服务器。每层将会设置打印点。同时安装一些办公系统。在图书馆安装二级交换设备连接到接入中心通过1000M光纤,其他使用100M双绞线,搭建wifi
学校图书馆设备
2.         数据库服务器
3.         二级交换机
4.         pc主机
5.         打印设备
6.         无线AP
图1-4学校图书馆
        安全配置:
²        配置ACL访问控制列表
²        配置远程连入
²        配置数据库冗余
²        配置电子阅览室的流量控制和访问控制和身份认证如radious服务器和交换机认证
²        无线网络接入身份认证如radious服务器和交换机认证
 
教学点主要是为了实现网络教学多媒体化,节点使用100M双绞线,通过二级交换机连接,同时使用无线wifi
学校主要教学点设备
1.         服务器
2.         二级交换机
3.         pc主机
4.         打印设备
5.         无线AP
 
 
图1-5学校主要教学区
        安全配置:
²        配置ACL访问控制列表
²        配置远程连入
²        配置教学资源服务器
²        无线网络接入身份认证如radious服务器和交换机认证
 
5)        学校学生宿舍网络
学生宿舍分为南区和北区,通过主干网连接在一起,但各个宿舍为了方便交流,进行了连接,学生pc机连接上二级交换机,通过认证服务器获取IP连接上网,为了方面同学,还建立了无线wifi接入点,管理员通过Telnet管理设备
学生宿舍网络设备
1.         二级交换机
2.         pc主机
3.         无线AP
                              图1-6学校学生宿舍
 安全配置:
²        配置ACL访问控制列表
²        配置远程连入
²        配置教学资源服务器
²        无线网络接入身份认证如radious服务器和交换机认证
 
6)        学校教工单位及研究生宿舍
和学生宿舍相识(略)
                             图1-7学校教工单位及研究生宿舍
(略)
 
7)        学校综合实验楼
        学校综合实验楼包括学校各个专业的实验平台 ,提供了大量的电脑设备,其中也有其他一些先进的通信设备.学校的一些专业考试报名点所在.
1.         教学平台PC机和学生上机
2.         无线AP
3.         数据库服务器
4.         核心交换机
5.         二级交换机
6.         防火墙
7.         打印机等辅助设备
图1-8学校综合实验楼
 安全配置:
²        配置ACL访问控制列表
²        配置防火墙
²        配置远程连入
²        配置教学资源服务器
²        无线网络接入身份认证如radious服务器和交换机认证
 
8)        学校计算机中心实验室
为了解决计算机网络原理课堂教学的缺陷,以及网络工程类实验室的弊端,有必要建设一个能辅助进行计算机网络原理教学的实验室,从而实现基础知识教学从课堂“搬到”实验室,通过完善的实验体系,丰富教师的教学手段,使学生掌握和理解网络基本原理、网络协议等理论知识,学会网络的应用、管理、设计和开发,对于培养高素质人才是很有现实意义的
我们构建的计算机网络实验室主要包含老师办公区和服务器机房,安全试验室,网络工程试验室,软件工程实验室,通信工程试验室,创新开发室,其中实验室是对计算机网络原理及相关的应用、网络管理、网络安全等知识进行教学,同时提供一个平台环境供学生进行相关的实验操作.实验室建成后的逻辑结构图如下图所示
计算机中心实验室设备
1.         教学平台PC机
2.         无线AP
3.         核心交换机
4.         二级交换机
5.         防火墙
6.         物理隔离网闸
7.         打印机等辅助设备
图1-9学校计算机中心实验楼
 安全配置:
²        配置ACL访问控制列表
²        配置防火墙
²        配置远程连入
²        配置教学资源服务器
²        无线网络接入身份认证如radious服务器和交换机认证
   
五、           校园网络传输介质
1)        楼间光缆传输
主干网以及阁楼之间的网络介质均采用62.5/125um多模室外光缆。具体如下
(一) 机房——-教学主楼:12芯
(二) 机房——-学生活动中心12芯
(三) 机房——-图书馆 12芯
(四) 图书馆—-艺术和继续教学楼12芯
(五) 信息学院—-综合实验楼 8芯
 
六、           校园网络工程施工
七、           审查
八、           测试
九、           对安全检测
      安装杀毒查毒软件
采用卡巴斯基来构成杀毒安全防护系统
 
         病毒,黑客攻击,以及计算机威胁事件已成为我们生活的一部分。恶意程序通过互联网进行扩散,黑客窃取机密资料,垃圾邮件如洪水般灌入邮箱,卡巴斯基安全防护系统在提供全面的安全解决方案的同时,还在我们的网站设有当前网络攻击专栏,包含的内容从网路攻击的基本定义到全面分析,并在卡巴斯基病毒百科全书中收集了形形×××的病毒,这是全面认知病毒的宝库。保护工作站,文件服务器,邮件服务器,网关和移动通讯设备。
        卡巴斯基统一空间安全能够为各种规模的企业提供全面的安全保护以抵御各种类型的网络攻击。
         卡巴斯基整体空间安全对入站和出站数据进行全面的监控(包括电子邮件,网页传输和网络交互)。该产品包含能够为工作站和移动通讯设备提供保护的组件,保障用户可以安全迅速地访问公司信息资源和互联网,并保证邮件通讯的安全。
&在企业网络级别(从工作站到网关)提供反病毒,反间谍软件,反黑客攻击及反垃圾邮件的综合保护&主动防御最新的恶意程序针对邮件服务器和文件服务器的保护实时扫描网络数据流(HTTP/FTP)高灵活性隔离被感染的工作站阻止病毒爆发系统状态的集中报告
更多功能
        集中安装和管理
支持Cisco nac(网络准入控制)
支持硬件代理设备
根据信任服务器列表,对象类型以及用户组过滤网络数据流
Iswift技术能够避免网络数据的重复扫描
执行全盘扫描时,对系统资源进行合理的再分配
包含IDS和IPS的个人防火墙
在各种网络中(包括WIFI)工作时都可受到保护
防御网络钓鱼和垃圾邮件的攻击
可使用IntelActive Management 进行远程管理(Intel vproTM)
修复恶意程序对系统所做的非法篡改
反恶意攻击的自我防护技术
全面支持64位系统平台
自动更新威胁特征库
 
十、           总结
       网络安全是相对的,不安全才是绝对的。网络系统的安全性只能通过安全攻击来体现和验证