校园网络安全课程设计

4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。

5、根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度 。 网络安全的技术是多样化的，现状还是“道高一尺，魔高一丈”，因此管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。[2]

2.2 校园网络安全措施

前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。

1、杀毒软件。

杀毒产品的部署. 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能.。

（1）在学校网络中心配置一台高效的Windows2000服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。

（2）在各办公室分别安装杀毒软件的客户端。

（3）安装完杀毒软件，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

（4）网络中心负责整个校园网的升级工作。

2、采用VLAN技术。

VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。

3、内容过滤器。

- 9 -

内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。

4、防火墙。

在与Internet相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:

(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则.

(2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。

(3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。

(4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性.

5、入侵检测。

入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力．提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。

6、漏洞扫描。

随着软件规模的不断增大．系统中的安全漏洞或“后门”也不可避免地存在．因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。

7、数据加密。

数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。 8、加强网络安全管理。

- 10 -

加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。

- 11 -

3. 校园网络安全系统设计

安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统，制定详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络安全知识培训，或发放常见病毒解决方案等。

3.1 校园网建设需求分析

3.1.1 需求分析

局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也可以借助Wingate或Sygate等软件多机共享一台Modem上网；或者通过代理服务器连上Internet，享受非一般的速度。网卡根据传输速率可分为：10Mbps网卡（ISA 插口或PCI插口）、100Mbps PCI插口网卡、10Mbps/100Mbps自适应网卡和千兆网卡。目前10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额，但由于10Mbps ISA插口网卡的网络传输速率低，且占用大量的CPU资源，只适应于那些对速度要求不高的局域网，因此用100Mbps PCI插口的网卡或者10Mbps/100Mbps自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。

BNC口是用细同轴电缆作为传输媒介的一种网卡接口。RJ45是采用双绞线作为传输媒介的一种网卡接口，RJ45的接口酷似电话线的接口，但网络线使用的是8芯的接头，使用RJ45的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用RJ45接口。集线器 (HUB):根据微机的数量,利用 HUB构成星形结构 ,在工作站较多的情况下 ,会因 HUB的处理速率远远低于通信线路的传输速度 ,从而造成瓶颈问题。因此有条件的话可选用交换机。一个 Hub所组成的域称为冲突域 ,也就是说 ,网络上任何一台计算机在收发数据时 ,其他所有计算机都能够收到 ,且这些计算机不能同时进行数据的收发 ,否则会发生碰撞(CSMA/ CD协议会阻止碰撞 )。此外每台接入 Hub的计算机 ,都要检测接收到的数据目的地址 ,以确认是否是收到自己的通信信息 ,因此计算机 CPU占用率高 ,全网通信效率低 ,只适用于小型工作组级别应用。

- 11 -