《基于校园网网络安全管理与维护课程设计报告》由会员分享,可在线阅读,更多相关《基于校园网网络安全管理与维护课程设计报告(11页珍藏版)》请在金锄头文库上搜索。
1、目 录摘 要3前 言4一、课程设计目的意义6二、需求分析61、虚拟网62、管理与维护63、网络安全71、防火墙技术72、建立网络入侵侦测系统73、反病毒防御7三、方案设计81、设计原则82、安全策略83、安全服务94、拓扑结构图9四、方案的实施101、在管理方面102、在技术方面103、定期做好备份工作104、定期做好网络杀毒工作10五、结束语11附录一:参考文献12摘 要随着互联网络的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计
2、算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。随着网络的高速发展,网络的安全问题日益突出,黑客攻击、网络病毒等层不出穷,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。校园网网络的安全十分重
3、要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。关键词 :校园网、网络安全、管理及维护策略、防火墙。前 言学校校园网由五个物理区域:办公大楼、图书馆大楼、实验楼、教学楼构成。在整个网络中,各信息点按功能又划分为行政办公、实验教室、普通教室、中心管理机房、电子阅览室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖实验楼、建明楼、行政楼、图书馆、广播
4、楼、教学楼,共计光纤链路10余条,交换机80余台,网络信息点2800多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证软件、网络版杀毒软件。核心采用华为S5624P千兆全智能三层交换机,汇聚采用华为三层交换机,接入桌面采用锐捷21系列。现有的活动目录服务器,ISA服务器,WEB服务器,OA办公管理系统,教务管理系统,图书管理系统,流媒体服务器,网络杀毒服务器,为全院教学办公、管理和生活等方面提供了良好的Internet应用服务与安全防护。校园主接入主干网如图一:图一 校园网接入主干图校园网承载着学校的教务、行政、教学、图书资料、对外联络等方面事务处理,它的安
5、全状况直接影响着学校的教学、教务、行政管理、对外交流等活动。在网络建成的初期,安全问题可能还不突出随着应用的深入校园网上各种数据会急剧增加、访问增多潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。校园网受到的攻击以及安全方面的缺陷主要有: 1有害信息的传播 校园网与Internet融为体,师生都可以通过校园网络在自己的机器上进人Internet。目前Internet上充斥各种海量信据息,散布违犯四项基本原则、有关色情、暴力、邪教内容的文章、网页、网站比较多。这些有毒的信息违反人类的道德标准和有关法律法规对世界观和人生观正在形成的学生来说危害非 常大。如果安全措施不好,会让这些信息在校
6、国内传播。2病毒破坏 通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接人广域网后。为外面病毒进入学校大开方便之门,下载的程序和电子邮件都可能带有病毒。而且网络病毒的变异速度快,攻击机理复杂,必须不断更新病毒库。 3恶意入侵 学校涉及的机密不是很多,来自外部的非法访问的可能性要少一些关键是内部的非法访问。一些学生可能会通过入侵的手段获得试卷内容或者破坏教务系统,恶意更改成绩。使正常的教学练习失去意义,扰乱教学工作程序。 4恶意破坏 对计算机硬件系统和软件系统的恶意破坏,这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、
7、路由器、通信媒体、工作站等,它们分布在整个校园内,不可能24小时专人看管,故意的或非故意的某些破坏,会造成校园网络全部或部分瘫痪。 另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象:向服务器发送大量信息使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息等。 5口令入侵通过网络监听非法得到用户口令,或使用口令的穷举攻击非法获得口令入侵,破坏网络。一、课程设计目的意义了解计算机网络工程设计的一般过程,明确计算机网络设计的基本原则;通过网络设备的配置,能了解网络安全管理与维护设置的功能,掌握网络设备的配置方法和配置操作。通过对校园网
8、的调研,能了解网络安全管理与维护在校园中的具体应用,并在现有条件下进行简单的模拟。了解网络安全管理与维护在校园网中的应用情况,制定一个应用方案,在现有实验设备的基础上来实现这个方案。本次课程设计让我们有了一个既动手又动脑,独立实践的机会,将理论和实际有机的结合起来,锻炼了我们分析、解决实际问题的能力。通过从了解设备功能、掌握设计原理到应用原理,利用设备解决实际问题这样一个循序渐进的过程,培养自己理论与实践相结合的能力。二、需求分析在校园网的网络安全管理及维护中,设计方案应从以下几个方面进行需求分析:1、虚拟网虚拟网主要作用和目的是:解决主干网内网络站点的增加、删除、移动等操作,方便网络的维护和
9、管理。可以建立不受地理位置限制的,覆盖整个校园的相互具有一定独立性的网络或者逻辑子网,即虚拟网。利用虚拟网可以有效的管理和限制不同子网之间的访问,各部门可以各自占用一个独立的虚拟网,整个虚拟网是可升级的、可扩展的。根据校园网的实际需求,各类人员可以在相应逻辑子网内开展工作。 网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。2、管理与维护 校园主干网是覆盖整个园区的网络,其组成结构相当复杂,而科技的进步和教育形势的发展又要求校园网具有延伸性和扩展性。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。网络管理要求解决的问题包括: 虚拟网管理、分配。
10、目前的虚拟网主要基于局域网交换端口,如果一个部门扩展新的入网地点,新的扩展将改变交换机端口设置。网络管理借助相应的管理软件来解决该问题。 对所有网络设备端口的监视和管理。对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭,整个网络的故障检测,故障自动报警功能,整个网络性能的统计和分析报告,甚至收费。按照这些网络管理的需求,应采用基于GUI(图形用户界面)的网络管理软件来实现。3、网络安全 校园网络安全主要有以下要求:在域环境中控制各个部门访问网络,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。
11、 对安全问题主要有以下考虑:校园网应该是一个开放的系统,它不像政府或商业公司的网络一样具有极高的安全保密性;但校园应该应具备抵御恶意攻击的能力,一些科研成果也不是对任何人都开放的。利用虚拟网技术和防火墙技术可以较为合理地解决安全与开放的问题。在校园网的网络安全管理及维护中,建立单机版反病毒防御体系,设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵,提供防范、检测手段和对攻击作出反应,采取自动抗击措施,对保证网络安全及维护是很有必要的。1、防火墙技术屏蔽子网结构,在屏蔽主机结构的基础上添加额外的安全层,即通过添加周边网络更进一步地把内部网络与外部网络隔离开。屏蔽子网结构包含外部和内部两个路由
12、器。两个屏蔽路由器放在子网的两端,在子网内构成一个DMZ (非军事区)。2、建立网络入侵侦测系统在MIS系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法,是在网络中安装网络入侵侦测系统(IDS)。系统可以实时监控网段的流量,发现有攻击特征的行为后,立即报警,并且可以阻断该会话,阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后,入侵侦测系统(IDS)应分别检测各自的应用网段3、反病毒防御由于基层的网络与局域网通过光纤连接在一起,各个应用系统在它们之间有信息传递,为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,应在基层网络和局域网有业务关系的单机上安装反病毒软件。
13、这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,要求程序定时进行扫描,既保证了重点网络的安全,又降低了校园网在防病毒方面的投资。三、方案设计1、设计原则 针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:1大幅度地提高系统的安全性和保密性;2保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; 3易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;4尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;5安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;6安全与密码产品具有合法性,及经过国家
14、有关管理部门的认可或认证;7分步实施原则:分级管理 分步实施。2、安全策略1采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。2采用各种安全技术,构筑防御系统,主要有:(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。(2) NAT技术:隐藏内部网络信息。(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的信道在公共网络上创建一个安全的私有连接。它通过安全的数据信道将远程教师、校企合作的网络连接起来,构成一个扩展的校园网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP
