关于校园网网络安全设计方案(校园网络安全建设方案)
大家好,今天就和丹尼一起来看看这个问题吧 。校园网络安全建设方案,关于校园网网络安全设计方案很多人还不知道,现在让我们一起来看看吧!
校园网络安全设计方案
以互联网为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入。随着网络技术的快速发展,各种安全问题层出不穷,校园网被黑客攻击或被病毒破坏的事件屡有发生,造成了极其恶劣的社会影响和巨大的经济损失。维护校园网的网络安全,需要从网络建设和网络安全设计等方面入手。
一是基础网络建设。
由于校园网的特点(数据流量大,稳定性、经济性、扩展性强)和各部门的要求(生产部门和办公部门之间的访问控制),我们采用如下方案3360。
1.网络拓扑选择3360网络采用星型拓扑(如图1)。它是目前应用最广泛、最流行的局域网拓扑结构。这些节点具有高度的独立性,并且适合于将网络诊断设备放置在中心位置。
2.组网技术选择3360目前骨干网常用的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的网络技术,成本低,性价比高。FDDI也是一种成熟的组网技术,但由于技术复杂,成本高,升级困难。ATM技术已经成熟,是多媒体应用系统的理想网络平台,但其网络带宽的实际利用率很低。目前,千兆以太网已经成为一种成熟的组网技术,其成本低于ATM网络,有效带宽高于622Mbps ATM。所以我个人推荐以千兆以太网为骨干,将快速以太网切换到桌面,构建计算机播控网络。
第二,网络安全设计。
1.物理安全设计要保证校园网信息网络系统的物理安全,除了网络规划、场地和环境的要求外,还要防止系统信息在空间上的传播。在许多情况下,计算机信息被电磁辐射截获和破坏。有理论和技术支撑的验证工作也证明,这种截获距离几百甚至高达千米的恢复显示技术,给计算机系统信息带来了极大的危害。为了防止系统中的信息在空间传播,通常采取一些物理保护措施来减少或干扰传播的空间信号。正常的防范措施主要在三个方面:3360屏蔽主机房和重要的信息存储、发送、接收部门,即建设一个屏蔽效率高的屏蔽室,用它来安装运行主要设备,防止磁鼓、磁带、高辐射设备的信号外泄。为了提高屏蔽室的效率,屏蔽室与外界的所有接触和连接都要采取相应的隔离措施和设计,如信号线、电话线、空调和消防线,以及通风、波导和关门等。为了抑制本地网和局域网传输线的传导辐射,由于辐射信息的电缆传输的必然性,现在采用光缆传输。调制解调器出来的设备大多采用光电转换接口,光缆接入屏蔽室传输。
2.为了解决这个问题,我们决定采用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network),即虚拟局域网(Virtual LocalArea Network,简称VLAN),是一种通过将局域网中的设备在逻辑上而不是物理上划分成网段来实现虚拟工作组的新技术。
1999年,IEEE颁布了802.1Q协议标准草案来规范VLAN的实现方案。VLAN技术允许网络管理人员从逻辑上将物理LAN划分为不同的广播域(或虚拟LAN,即VLAN)。每个VLAN包含一组具有相同需求的计算机工作站,并具有与物理工作站相同的属性
但是因为是逻辑上而不是物理上划分的,所以同一个VLAN中的工作站不需要放在同一个物理空间中,也就是说这些工作站不一定属于同一个物理局域网段。VLAN内的广播和单播流量不会转发到其它VLAN。即使两台计算机具有相同的网段,但它们没有相同的VLAN号,它们各自的广播流也不会互相转发,从而有助于控制流量、减少设备投资、简化网络管理和提高网络安全性。VLAN的提出是为了解决以太网的广播问题和安全性。它在以太网帧的基础上增加了VLAN头,用VLANID将用户划分成更小的工作组,并限制不同工作组之间的用户在二层的相互访问。每个工作组都是一个虚拟局域网。虚拟局域网的优点是可以限制广播范围,可以组成虚拟工作组来动态管理网络。目前,按港口划分VLAN是最常用的方法。许多VLAN制造商使用交换机的端口来划分VLAN成员,并且端口集都在同一个广播域中。例如,交换机的端口1、2、3、4和5被定义为虚拟网络AAA,同一交换机的端口6、7和8形成虚拟网络BBB。这允许端口之间的通信和共享网络的升级。
但是,这种分区模式将虚拟网络限制在一台交换机上。第二代端口VLAN技术允许跨多个交换机的多个不同端口进行VLAN划分,并且不同交换机上的几个端口可以形成同一个虚拟网络。按交换机端口划分网络成员的配置过程简单明了。
3.计算机病毒、黑客和电子邮件应用程序风险防控设计我们利用反病毒技术、防火墙技术和入侵检测技术来解决相关问题。防火墙和入侵检测在信息安全和访问控制中也起着重要的作用。
第一,杀毒技术。随着计算机系统十几年的发展,病毒在形式和入侵方式上都发生了巨大的变化。几乎每天都有新的病毒出现在网络上,并且借助网络上的信息交流,尤其是电子邮件进行传播,传播速度极快。黑客经常用病毒和恶意程序攻击计算机。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
这篇文章到此就结束,希望能帮助到大家。
扫描二维码推送至手机访问。
版权声明:文章内容摘自网络,如果无意之中侵犯了您的版权,请联系本站,本站将在3个工作日内删除。谢谢!