校园网基本网络搭建和网络安全设计

随着因特网的兴起，信息技术在世界范围内的应用越来越广泛，随着网络技术的飞速发展，各种安全问题层出不穷，校园网被“黑”、被病毒所毁的情况时有发生，造成了严重的社会和经济损失。校园网络的安全维护，必须从网络建设和网络安全设计两个方面入手。

构建基础网络

鉴于校园网的特点（数据流、高稳定性、经济和可扩展性）以及各部门（生产部门与办公室之间的存取控制），我们采取了以下的计划：

网络的拓扑选择：采用了星形的拓扑。这是目前应用最广泛的一种网络拓扑。该结点是高度独立的，适用于将网络诊断装置置于中心位置。

组网技术：当前主流的骨干网络组网技术有100 Mbps、 FDDI、千兆 Ethernet、 ATM (155 Mbps/622 Mbps）。快速以太网是一种成本低廉、性价比高的网络技术。FDDI技术虽然已经很成熟，但是技术复杂，成本高，很难进行更新；ATM技术已经相当成熟，是一种非常适合于多媒体应用系统的网络平台，但是其实际的带宽利用率非常低；千兆以太网是一种比较成熟的网络技术，其成本要比 ATM网络低，其有效带宽要高于622 Mbps。所以，个人建议将以千兆位以太网作为主干，将以太网迅速交换到台式机台式电脑广播控制网络。

网络安全性的设计

实体安全设计

为了确保校园网信息网络的物理安全性，必须在满足网络规划、场地、环境等方面的要求的前提下，避免信息在空间中的传播。电脑系统由于电磁波干扰而导致数据失密的情况屡见不鲜，经过理论与技术的检验，证明了这种具有数百至上千公里的恢复显示技术，对计算机信息系统的安全构成了严重的威胁。为了避免信息在空间上的传播，人们往往会在物理上采取一些保护措施，以减小或干扰扩散的空间讯号。一般防护措施包括：主机房、重要信息存储、收发部门的屏蔽，也就是要建立一种高防护效果的屏蔽室，用以安装和维护主要设备，防止磁鼓、磁带、高辐射装置等的信号泄漏。为了增强屏蔽室的工作效率，在屏蔽室与外部的各种连接、连接时，必须采用信号线、电话线、空调、消防控制线、通风、波导、开闭机等。为了抑制局域网、局域网的传输线的辐射，目前都是通过光纤传输，大部分都是通过光纤传输，通过光纤将输出到户外。

网络资源共享与数据信息的安全性设计

为了解决这一问题，我们采用了 VLAN技术与计算机网络物理隔离的方法。VLAN （VLAN）是一种新的技术，它是将局域网中的装置按逻辑方式而非物理地分成若干个网段，以实现虚拟工作组。

IEEE在1999年发布了802.1 Q标准，用于标准化 VLAN的实施。VLAN技术使一个物理局域网可以被管理人员分成多个广播区（也就是 VLAN)，每个 VLAN都是由一群具有同样要求的计算机工作站组成，这些工作站与物理上的局域网具有同样的特性。

但是因为是从逻辑上来的，而非物理上的，因此相同的 VLAN中的不同的工作站并不需要放在相同的物理空间中，也就是说，不同的工作站并不一定属于相同的物理局域网。在 VLAN中，任何广播或单播的流量都不会被传送到其它 VLAN，甚至当两台电脑拥有相同的网络时，他们的 VLAN号码就不会被传送到另一台 VLAN上，这有助于控制流量，减少设备投资，简化网络管理，提高网络的安全性。VLAN是为了解决以太网的广播问题和安全问题，在以太网框架上加入 VLAN报文，通过 VLANID将用户分成更小的工作群，并对各工作组之间的用户进行二次访问，使各工作小组成为一个虚拟的局域网。VLAN的优势在于它可以限制广播的距离，并且可以组成一个虚拟的工作小组，对网络进行动态的管理。就当前而言， VLAN按端口进行分区是最普遍的方法。很多 VLAN供应商使用交换器的端口来划分 VLAN的成员，这些端口设置在相同的广播领域。这使得各个端口可以进行通信，并且可以更新共用的网络。

但这个分割方式把虚拟网局限于一个开关。第二代 VLAN技术允许 VLAN通过多个交换器的多种端口进行分割，而多个端口在不同的交换器上可以构成相同的虚拟网络。通过交换端口对各网络成员进行分割，其组态流程非常清晰。

计算机病毒，黑客和电子邮件应用程序的风险控制设计

针对这些问题，我们运用了防病毒、防火墙、入侵检测等技术。同时，防火墙与入侵检测也是信息安全、访问控制的重要手段。

第一点，是杀毒技术。随着电脑系统的发展，病毒的形式和入侵方式也发生了很大的改变，每天都会有新的病毒出现，通过 INTERNET，以 EMAIL为媒介，迅速地扩散开来。电脑骇客通常会使用带有恶意程式的病毒来攻击。

为防止计算机和工作站被电脑病毒攻击，并建立起一种集中式、高效的病毒控制机制，天下论文网必须采用基于网络的反病毒技术。其中，以网关为基础的防病毒系统、服务器防病毒系统、台式机防病毒系统。比如，我们准备在电脑上统一安装一个防毒软件包，在电脑信息网内安装一个防毒中心，通过控制台向所有的网络使用者发布防病毒软件，以实现系统的统一更新和统一管理。在安装了防毒软件后，不仅可以防止病毒入侵，还可以防止主机上的病毒入侵，形成一套高效的防病毒控制体系。

第二个是防火墙。企业防火墙通常是一种软、硬件结合的网络安全专用设备，主要用于 TCP/IP系统的网络层，提供身份认证、存取控制、安全审核、 NAT、 IDS、 VPN、 Application Agent、 IDS、 VPN、应用代理等，确保内部局域网能够与 INTERNET或公用网进行安全连接，从而解决内部电脑信息网络的安全问题。

校园网的某些信息是不能公开的，要对其进行严密的保密和保护。采用防火墙，对外部用户进入校园网进行严密的监控，并严格禁止任何形式的非法接入。防火墙能够为校园网的资讯网络提供多种防护措施，主要有：过滤不安全的服务及非法存取、管制特定网站的存取、监控 INTERNET的安全性及警报、系统验证、使用记录功能进行存取分析等。通过防火墙，基本上可以确保进入系统的所有存取都是安全的，并且能够有效地阻止被入侵，并对关键主机的数据进行保护，增强了网络的完整性。校园网的网络结构被划分为各个部门的局域网（内部的安全子网）和一个能够同时与内联网相连并向外部提供多种网络业务的安全子网。

内部的安全子网将所有的内部电脑都连接起来，其中包含了独立的 VLAN和内部的服务器，这个局域网是向外开放的，防止外界的非法侵入和攻击，并且可以控制外部的合法接入，从而保证了局域子网络的安全性。共用安全子网将外部的 WEB、 EMAIL、 FTP等服务与服务器连接起来，实现端口级别的安全性。外部使用者仅可存取开放的伺服器，以隐藏伺服器的其它服务，以降低系统的脆弱性。