校园网网络安全设计案例.doc

1、 校园网网络安全设计年 级: 学 号: 姓 名: 专 业: 指导老师: 二零一一年 6 月 20 日第一章 网站的介绍一.网站实现的功能1.1.1 校园网应提供如下功能：（1）连接校内所有教学楼、实验室、办公楼中的PC。（2）同时支持约600 用户浏览Internet。（3）提供丰富的网络服务，实现广泛的软件，硬件资源共享，包括：（A）提供基本的Internet 网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。（B）提供校内各个管理机构的办公自动化：􀁺 提供财务查询，报账服务。􀁺 提供受存取权控制的文件、档案查询服务。

2、048698; 提供贵重设备仪器及其它设备信息的管理服务。􀁺 提供各学科专业资料数据库服务。􀁺 提供学校自己的管理信息系统（MIS）。（C）提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。（D）全校共享软件库服务，避免重复投资，发挥最大效益。（E）提供CAI 教学和科研的便利条件。（F）经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教学成果及技术合作等创造良好的信息通路。1.1.2 校园网对主机系统的主要要求：􀁺 主机系统应采用国际上较新的主流技术，并具有良好的向后扩展能力；И

3、698; 主机系统应具有高的可靠性，能长时间连续工作，并有容错措施；􀁺 支持通用大型数据库，如 SQL、Oracle 等；􀁺 具有广泛的软件支持，软件兼容性好，并支持多种传输协议；􀁺 能与 Internet 互联，可提供互联网的应用，如WWW浏览服务、FTP 文件传输服务、E-mail 电子邮件服务、NEWS 新闻组讨论等服务；􀁺 支持 SNMP 网络管理协议，具有良好的可管理性和可维护性；1.1.3 校园网络系统设计方案应满足如下要求：􀁺 网络方案应采用成熟的技术，并尽可能采用先进的技术；⣶

4、98; 采用国际统一标准，以拥有广泛的支持厂商，最大限度的采用同一厂家的产品；􀁺 方案应合理分配带宽，使用户不受网上“塞车”的影响；􀁺 应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力；􀁺 该网络方案要具有高扩展性。能为用户未来数目的扩展具有调整、扩充的手段和方法；􀁺 该网络应是面向连接的，能够实现虚拟网（VLAN）连接；􀁺 考虑对用户现有网络的平滑过度，使学校现有陈旧设备尽量保持较好的利用价值；1.1.4 校园网对网络设备的要求：􀁺 高性能；所有网络设备都应足够

5、的吞吐量；􀁺 高可靠性和高可用性；应考虑多种容错技术；􀁺 可管理性；所有网络设备均可用适当的网管软件进行监控、管理和设置；􀁺 采用国际统一的标准；1.1.5 系统集成所共同遵循的设计原则：􀁺 本着实用的原则，尽量使用成熟先进的平台软件，以缩短教学课件的开发周期；􀁺 采用分布式的结构，以便于开发和维护；􀁺 采用集群解决方案，以保证连续工作；􀁺 为保证网络速度而采用高的带宽；􀁺 追求最高的性能价格比。1.1.6 系统集成所共同追求的设计目标：⣶

6、98; 建成一个具有高可靠性和开放性的校园网络，它应支持流行的SNMP 等网络管理协议；􀁺 采用 Internet 上的标准协议-TCP/IP 协议，提供校园内部及面向全球的WWW服务、FTP 服务、NEWS 服务、电子邮件服务，实现与国际互联网的完全接轨；􀁺 同时它还应具有支持通用大型数据库的功能，支持多种协议，具有良好的软件支持；􀁺 采用模块化结构设计，容易升级；􀁺 最后，它还应针对学校的教学特点，具有一些基本的教学功能，以完成学校的基本教学任务。二.网络规划2.1 目前各主流网络结构概述2.1.1 以太网和快速以太网

7、：快速以太网实际上是 10Mbps 以太网的100Mbps 版本，所以它的运行速度要比10Mbps 以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量(QoS)。快速以太网与传统的以太网技术相似，毋庸赘言，此外它还具备以下优点： 快速以太网和普通以太网同样遵循 CSMA/CD 协议，现有的10BaseT 网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其它新型网络技术相比，更方便地使现有的10MbpsLAN 无缝连接到

8、100MbpsLAN 上。 100BaseT 集线器和网络接口卡，只需要比10BaseT 同样的设备多花少量费用就可提供比普通以太网高10 倍的性能。因此，100BaseT 具备较高的性能价格比。 快速以太网(100BaseT)已得到IEEE 任命标准为802.3u，并得到了所有的主流网络厂商的支持。2.1.3 千兆以太网技术千兆以太网是相当成功的 10Mbps 以太网和100Mbps 快速以太网连接标准的扩展。IEEE 已批准千兆位以太网工程IEEE802.3z。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由帧格式定义，且支持CSMA/CD 协议、全双工、流控

9、制和由IEEE802.3 标准定义的管理项目，千兆位以太网将使用所有这些规范。总之，千兆位以太网和管理员以前使用和了解的以太网相同，所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。我们可以看到主干和各网段及桌面已实现了无缝结合，网络管理变得不再让用户望而生畏。2.2 网络总体规划:综上所述，我建议采用千兆位以太网网络方案，理由如下：对于主干应用程序，ATM 仍有吸引力，特别是对于那些和未来ATM WAN服务匹配的应用程序和WAN 的访问集成。ATM 使用定长的信元交换，按不同的速率传输数据、图像、语音，在广域网领域

10、，ATM 都具有极强的优越性。对于需要专有服务质量（QoS）特征，如：医学图象的高速传递，ATM 是适合的。由于千兆位以太网为带宽的需求而包括了一个改进措施：在链路层中采用快速光纤连接方式。使得它对电视会议、复杂图象和其它高数据密度的应用程序的数据传递速率为100M 以太网的十倍。同时千兆位以太网是最为普及的网络体系结构，由于以太网在 80 年代初出现，并迅速地得到发展，使其它的网络连接如Token Ring(令牌环)和ATM 都黯然失色。千兆位以太网在利用用户熟悉性的同时，由于其与以太网的匹配性，使之能保留在管理员专业技能方面和支持培训方面的投资，而没有必要购买新的协议或投资新的中继设备。正

11、如100M 提供的低价位、逐步从10M 以太网升级一样，千兆位以太网将使网络自然地升级到1000M 的带宽。千兆以太网宽的带宽还帮助改善了 QoS，规范化迟滞时间来把视频抖动和音频迟滞降到最低。以前，ATM 是唯一一种能实现任何种类QoS 的可靠途径。但是现在，千兆位以太网迅速根除了这个差距，并且具有多得多的经济性、向上兼容性和与其它技术的协调性。由于以上这些原因，英特尔公司认为在不久的将来，ATM 仍会在WAN 等级的互连网上应用。ATM 不会大规模的在台式计算机或工作组级应用，这是因为ATM 要求对网络端口硬件、软件以及管理协议的彻底更换。而且ATM 也比以太网要贵。我司认为使用ATM 可

12、能会给学校网络管理人员带来以下的障碍：费用远高于千兆位以太网解决方案风险标准，产品和管理策略仍在变动复杂性新的技术，培训费用昂贵维护费用需要软件来作为一个路径运行于以太网 LAN 和ATM网络之间我们想通过下面的二组表格对两种技术就目前的现况做出全面的比较。以上的比较表明千兆以太网以许多方式发送最初期望 ATM 实现的优点,而且可以容易的、经济的多地执行。三 .网络设计方案3.1 校园网拓朴结构的总体描述我们对本校园网的主干网络设备的选择初步确定如下（见附图一）：网络建设将采用新型的背板堆叠技术，根据功能区划分由Intel Express 510T交换机组成4-6 个交换机组。适当的分配堆叠数

13、量，提供600 个100M 交换端口，所有工作站都通过100M 网卡连接到交换机组上，使100M 交换到桌面。交换机组采用GB2 模块与Intel Express Gigabit Switch 千兆交换机相连。这样，在交换机组之间可达到1000M 的带宽，而同一交换机组内部可达到最高15Gbps 的带宽。中心计算机房的Web 服务器、E-mail 服务器、文件服务器、影视服务器等设备直接与1000M 交换机上的100M 以太网模块连接。与 Internet 的连接采用一台Intel Express 9100 Routers 路由器，通过DDN线路与Internet 相连。在不改变网络技术情况下

14、的扩展方式：随着网络流量的增加，主干网上1000M 交换机的带宽压力不断提高。这时我们可以采用Intel Express GigabitSwitch 交换机特有的冗余连接特性，增加一台1000M交换机。并在这两个1000M交换机之间建立多条连接。这样不仅提供了更大的带宽（最高可达32Gbps），同时又增强了主干网段的连接刚性，还增加了更多的1000M 交换端口，为以后增加更多的服务设备提供了良好的扩充余地。考虑未来 ATM 应用的增加，以及ATM 网与现有以太网的无缝连接，分期分批的进行ATM 技术的应用：1. ATM向桌面扩展若干需要基于ATM应用如视频会议的PC，以ATM工作组交换机互连，

15、如：FORE RUNNER LE25 。利用其155M 上联端口，与Intel 500 系列交换机OC-3 ATM 上联模块连接，利用局域网仿真技术，ATM 网与原有以太网平滑连接2. 建立ATM 主干网未来随着网络中多媒体应用的大量增加，以及考虑到与第二代Internet （以ATM 交换设备作为通信主干）的连接，将网络主干升级为双主干，现有网络设备可通过OC-3 ATM 上联模块与主干ATM中心交换机如FORE ESX-3000 交换机连接。原有Intel 千兆交换机与ATM 主干交换机上的以太网模块连接，建立主干交换机之间的冗余通道。大量多种类型的数据通信以FORE ESX-3000 交

16、换机与Intel 千兆交换机的强大背板作为支持，并且将多媒体的应用扩展到所有桌面PC建立 ATM 主干网.3.2 校园网采用的协议标准本校园网以 TCP/IP 为主要协议，因为TCP/IP 协议簇是美国国防部门制定的一套计算机网络协议，是目前众多计算机网络最流行的协议，以它为基础组建的Internet 网是目前国际上规模最大的计算机网间网，它虽不是国际标准，但却是一种事实上的工业标准协议，采用TCP/IP 为网络主要协议，可保证与ChinaNET 和Internet 保持一致，还可支持IPX，DECNET 等其它协议。真正实现于国际互联网的无缝连接。从计算机网络通讯的观点来看，TCP/IP 网

17、络实质上可称为IP 网络，它是由许多IP 网关（或称为IP 路由器）通过若干直接连通的通信线路（点到点通信）形成一个计算机通信网络。在IP 网点上再接入主机，子网便构成一个互联的计算机网络，这些安装了TCP/IP 的各类计算机间需要通信时，它就不再要求设置协议转换开关，而且主要的网络服务都可建立在TCP/IP 服务器上。3.3 校园网采用的网络操作系统本校园网的网络操作系统以 Microsoft Windows Server 2003 为主，它是发展速度最快的集成了Web 应用的网络操作系统。具有界面友好、系统强壮、稳定可靠、与桌面主流操作系统相容性好等优点。并拥有大量的基于NT 的服务端软件

18、，是Intranet 网络中最佳的网络操作系统平台。第二章 网络安全分析一.校园网络安全1.1校园网存在的问题校园网络都是借助主干通信网，将各地的分部门和总部连接，同时与互联。这就存在着以下几方面的网络安全问题：􀁺总部局域网和各分、子部门局域网之间，分、子部门与下属机构局域网之间广域网干线上信息传输的安全保密问题。􀁺总部局域网及各分、子部门局域网自身的安全，要确保这些局域网不受网内用户非法授权访问和破坏。􀁺来自外部的非授权用户非法攻击和破坏，以及内部用户对外部非法站点的访问。二.网络安全方案的分类2.1基础结构安全 主要包括：操作系统选择和

19、问题规避；帐号设置、口令强度、网络参数、文件监测保护在现实运作中，密码系统已经非常完善，标准的DES、RSA和其他相关认证体系已经成为公认的具有计算复杂性安全的密码标准协议，这个标准的健壮性也经受了成千上万网络主机的考验,但是在网络协议与操作系统本身上，仍然有很多可被攻击的入口。很多网络安全中的问题集中在操作系统的缺陷上。Unix及类 Unix操作系统是在 Internet中非常普遍的操作系统，主要用于网络服务。它的源代码是公开的，所以在很多场合下使用者可以定制自己的Unix,操作系统，使它更适合网络相关的服务要求。由于网络协议是独立与操作系统的，它的体系结构与操作系统端是无关的，网络协议所存

20、在的安全隐患也是独立于操作系统来修正的。22管理安全 安全管理是网络必须考虑的，主要包括：权限管理，单点登录，安全管理中心等。管理的技术手段很多，通过采用加强身份确认的方法获得网上资源控制权如智能IC身份卡，提供安全的远程接入手段；采用虚拟专网技术如网络保密机解决数据在公网传输的安全性；安全邮件和安全Web服务器也是一类重要的安全产品。然而，对一个具体的网络系统，我们在安全风险评估确定合适的安全需求后，从技术上讲可以架构一个满足基本要求的安全设备平台。但是发生最频繁的安全威胁实际上是非技术因素，安全管理漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来，这个网络信息系统

21、的安全性才有保障。因此，采用集中统一的管理策略，以技术手段实现非技术的安全管理，主要由安全管理中心实现。23 边界安全校园网络与外界的边界划分是否科学?IT系统与外界、内部关键部门之间是否安全隔离?这都属于边界安全范围。可以在关心的实体之间安装防火墙产品和攻击检测软件，来加强边界安全，实施攻击防御方案。关于防火墙技术的使用成功与否对网络的安全有决定性作用，对此我们进行主要讨论231防火墙的概念当一个网络，接入以后，而系统的安全性除了考虑病毒、系统的健壮性之外，更主要的防止非法用户的入侵。而目前防制措施主要是靠防火墙技术完成。防火墙是指由一个软件和硬件设备组合而成，处于网络群体计算机与外界通道之

22、间，限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。实际上防火墙作为一种网络监视和过滤器，它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过，另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便，高速、逻辑漏洞少等特点。232防火墙在网络中的位置为了达到对网络数据传输进行监视的目的，防火墙一般位于局域网和广域网之间或局域网与局域网之间。防火墙位于局域网和广域网之间，如图。在这种情况之下，防火墙的主要作用是允许局域网内的用户访问，如浏览WWW网站，收发E-mail，并且禁止来自于上的未知用户闯入局网进行破坏或窃取机密信息。防火墙在局域网与局域网之间，如

23、图：在这种情况下，防火墙的作用是允许公用信息在两个网络中传输，保证每个网段的私有信息不被对方访问。可以看出无论哪一种形式，防火墙都是数据报文进出网络的必经之路，这样才能保证防火墙对网络的监视保护作用。233防火墙的分类2331按防火墙在网络中所起的作用，防火墙可以分成两种，一种是与路由设备合二为一，通常为过滤路由器或是网关主机防火墙，另一种叫做堡垒主机式防火墙，它不具有路由功能。过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能，是网络中的第一道防线。因为它具有路由的功能，所以它的安全性较差。堡垒主机式防火墙是网络中最为重要的安全设备，通常以桥接的方式安装在路由器和网络之间，它的

24、唯一作用是保证网络的安全使用，这种防火墙在网络中的具体位置如图。第三章 网络安全设计原则一.网络安全设计应遵循的思想（1）大幅度地提高系统的安全性和保密性； （2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； （4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； （5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； （6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。 二.网络安全设计应遵循设计原则： 2.1满足Internet分级管理需求：根据Internet网络

25、规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。 􀁺第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 􀁺第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 􀁺第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。 2.2需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任

26、务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 2.3综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应

27、遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 2.4可用性原则 安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。 分步实施原则：分级管理 分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。第四章 网络安全实施方案一.网络安全的需求确切了解校园

28、网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现 在连接Internet时，如何在网络层实现安全性 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵 如何实现广域网信息传输的安全保密性 。加密系统如何布置，包括建立证书管理中心、应用系统集成加密等 。如何实现远程访问的安全性。 如何评价网络系统的整体安全性 。基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息（如NAT）等。二.网络安

29、全层次及安全措施3.1链路安全链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此，在加密后的数据不需要进行路由交换的情况下，如DDN直通专线用户就可以选择路由加密设备。一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于许多专线环境。 3.2网络安全网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的

30、网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。3.3信息系统的安全信息系统的安全应该是一个动态的发展过程，应该是一种检测监视安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。3.4网络安全检测网络安全检测是对网络进行风险评估的重要措施，通过使用网络安全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告

31、系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。3.5入侵检测系统入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。三.网络安全解决方案 3.1基本防护体系(包过滤防火墙+NAT+计费) 用户需求：全部或部分满足以下各项解决内外网络边界安全，防止外部攻击，

32、保护内部网络解决内部网安全问题，隔离内部不同网段，建立VLAN 根据IP地址、协议类型、端口进行过滤内外网络采用两套IP地址，需要网络地址转换NAT功能支持安全服务器网络SSN 通过IP地址与MAC地址对应防止IP欺骗基于IP地址计费基于IP地址的流量统计与限制基于IP地址的黑白名单。 防火墙运行在安全操作系统之上防火墙为独立硬件防火墙无IP地址解决方案：采用网络卫士防火墙PL FW1000 3.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN) 用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项提供应用代理服务，隔离内外网络用户身份鉴别权限控制基于用户计费基于用户的流量统

33、计与控制基于WEB的安全管理支持VPN及其管理支持透明接入具有自身保护能力，防范对防火墙的常见攻击 解决方案： (1)选用网络卫士防火墙PL FW2000 (2)防火墙基本配置+网络加密机(IP协议加密机) 3.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控) 用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备) 操作系统安全性检测网络监控与入侵检测 解决方案：选用网络卫士防火墙PL FW2000+网络安全分析系统+网络监控器第五章 网络安全方案实现的功能及不足一.实现的功能1.1Intern

34、et分级管理校园网中的各个控制点分成三级：l 一级实现了主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查的功能。l 二级实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计功能。 l 三级实现了终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。 1.2 防火墙技术：实现内部网（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。1.3链路加密技术：通过对用户的通信数据加密，让用户的通过的信息更加安全，加密后的数据不能进行路由交换。因此，利用设

35、备在加密后的数据不需要进行路由交换。1.4网络安全检测检查报告系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。1.5入侵检测系统网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接。5.5VLAN的实现使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性

36、。1.6IP信道加密技术可以提供主机到主机的安全服务，并通过建立安全的IP隧道实现虚拟专网即VPN点对点隧道通信功能。二.方案的不足2.1防火墙技术防火墙的建立提供了对网络流量的可控过滤，以限制访问特定的因特网端口号，而其余则被堵塞，这一点要求它必须是唯一的入口点，用来阻止未经认证的外部登录。防火墙不是解决校园网络安全所有问题的绝对解决方案,因为它只能增强校园网安全性，却不是保证网络安全性策略。因为它只能对于外部网络的安全防范起作用,对于内部LAN网连接的WEB服务器就要防止来自内部的攻击。对于内网，其安全保密系统要靠内部网的安全保密技术来提高访问的安全性问题。2.2病毒的防护网络在提供给大家

37、的方便的同时，也变成了病毒传递的最快捷的途径。随着网络飞速发展、网络病毒的编制者水平的提高以及近几年网络病毒和黑客软件的结合，网络病毒的爆发直接导致用户的隐私和重要数据外泄。同时还极大的消耗了网络资源；造成网络性能急剧下降；所以本网络还对杀毒的防护要做进一步加装和改进。2.3管理制度校园网络上的攻击、侵入他人机器，盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜；对制度要进行完善。2.4方案的改进对本网络的安全方案和组建的规模，还要根据实际的情况，进行实际的操作，本方案需要的一些设备，有些对于不同的网络现实需要，需要进行调换不同的配置要求

38、，还得从组网的资金方面，进行方案的调整和规模的变化，从网络所要实现的功能方面，进行安全的更改。结束语 随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案，应建立在对网络风险分析的基础上，结合系统的实际应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固化为一个模式，用这个模子去套所有的信息系统。 本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的校园网络安全防御体系。参考资料1通信网的安全-理论与技术 王育民 刘建伟 西安电子科技大学出版社2.网络与信息安全3.操作系统：设计与实现(原书名：Operating Systems：Design and Implementation （Second Edition）)