校園網絡安全系統設計與實現畢業設計論文

2023年12月14日發(作者：人也留來地也留)

本科畢業設計（論文）

校園網絡安全問題及對策 摘 要

網絡安全的本質是網絡信息的安全性，包括信息的保密性、完整性、可用性、真實性、可控性等幾個方面，它通過網絡信息的存儲、傳輸和使用過程體現。校園網絡安全管理是在防病毒軟件、防火墻或智能網關等構成的防御體系下，對于防止來自校園網外的攻擊。防火墻，則是內外網之間一道牢固的安全屏障。安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。學校建立了一套校園網絡安全系統是必要的。

本文從對校園網的現狀分析了可能面臨的威脅，從計算機的安全策略找出解決方案既用校園網絡安全管理加防火墻加設計的校園網絡安全系統。通過以下三個步驟來完成校園網絡安全系統：1、 建設規劃；2、 技術支持；3、 組建方案。

關鍵詞：網絡； 安全； 設計

ABSTRACT

Network curity is the esnce of the safety of network information, including

information of confidentiality, integrity, and availability, authenticity and controllable etc,

it is through the network information storage, transport and u process. Campus network

curity management is in anti-virus software, a firewall or intelligence gateway, etc, the

defen system to prevent from outside the campus. A firewall is a firm between inner

and outer net curity barrier. Safety management is the basis of network curity and

safety technology is the auxiliary measures with safety management. The school has

established a t of campus network curity system is necessary.

Bad on the analysis of the status of the network could face threats, from the

computer curity strategy to find solutions in the campus network curity management

is designed with the campus network firewall curity system. Through three steps to

complete the campus network curity system: 1, the construction plan. 2 and technical

support. 3 and construction scheme.

Keyword: Network, Safe ；Design

目 錄

緒 論 .....................................................

1

1. 校園網絡安全 ..............................................

2

1.1

校園網概述 ........................................................ 2

1.2 校園網絡安全概述 ................................................. 3

1.3 校園網絡安全現狀分析 ............................................. 3

1.4 校園網絡安全威脅 ................................................ 5

2. 校園網絡安全策略 ..........................................

8

2.1

校園網絡安全管理 ................................................. 8

2.2

校園網絡安全措施 ................................................. 9

3.校園網絡安全系統設計 ......................................

11

3.1

校園網建設需求分析 .............................................. 11

3.1.1

需求分析 .................................................... 11

3.1.2

關鍵設備 .................................................... 12

3.1.3

校園網絡拓撲 ................................................ 13

3.2

技術方案 ........................................................ 13

3.2.1

校園網的建設規劃 ............................................ 13

3.2.2

組網技術 .................................................... 16

3.2.3

網絡操作系統 ................................................ 18

3.2.4

INTERNET

接入技術 ........................................... 18

3.2.5

防火墻技術 .................................................. 19

3.2.6

建網方案 .................................................... 19

3.3

校園網的運行 .................................................... 23

3.3.1

校園網的應用 ................................................ 23

3.3.2

校園網的管理 ................................................ 23

總 結 .................................................... 25

參考文獻 .................................................... 26 緒 論

隨著人們對于信息資源共享以及信息交流的迫切需求，促使網絡技術的產生和快速發展，計算機網絡的產生和使用為人類信息文明的發展帶來了革命性的變化。主要包括各種局域網的技術思想，網絡設計方案，網絡拓撲結構，布線系統，Internetde 應用，網絡安全，網絡系統的維護等內容。而網絡的高速發展，網絡的安全問題日益突出，近年來，黑客攻擊、網絡病毒等屢屢曝光，國家相關部門也一再三令五申要求切實做好網絡安全建設和管理工作。但是在高校網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，校園網從早先教育、科研的試驗網的角色已經轉變成教育、科研和服務并重的帶有運營性質的網絡，校園網在學校的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題。

隨著教育信息化的不斷推進，各高等院校都相繼建成了自己的校園網絡并連入互聯網，校園網在學校的信息化建設中扮演了至關重要的角色。但必須看到，隨著校園網絡規模的急劇膨脹,網絡用戶的快速增長，尤其是校園網絡所面對的使用群體的特殊性（擁有一定的網絡知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網絡安全問題刻不容緩。

- 1 -

1. 校園網絡安全

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡的生命在于其安全性。因此，在現有的技術條件下，如何構建相對可靠的校園網絡安全體系，就成了校園網絡管理人員的一個重要課題。

網絡的發展極大地改變了人們的生活和工作方式，Internet更是給人們帶來了無盡的便捷。我們的教育也正朝著信息化、網絡化發展，隨著“校校通”工程的深入開展，許多學校都投資建設了校園網絡并投入使用。校園網絡在我們的校園管理、日常教學等方面正扮演著越來越重要的角色。但是，在我們驚嘆于網絡的強大功能時，還應當清醒地看到，網絡世界并不是一方凈土。“網絡天空（）”、“高波（）”、“愛情后門（e）”及“熊貓燒香（）”等病毒，使人們更加深刻的認識到了網絡安全的重要性。因此，在現有的技術條件下，如何構建相對可靠的校園網絡安全體系，就成了校園網絡管理人員的一個重要課題。

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

1.1 校園網概述

計算機網絡是指通過傳輸媒體連接的多部計算機組成的系統，使登陸其上的所有用戶能夠共享軟硬件資源，這就要求有強而保險的安全信息保障技術 。信息技術已引起了全面而深刻的社會變革，為此，世界各國政府都對教育的發展給予了前所未有的關注，把信息化教育放到重要的位置上，紛紛提出了本國的信息化教育規劃。是否在學校采用最先進的信息和傳播技術是一個有決定性意義的問題,而且十分重要的是,學校應該處于影響整個社會深刻變革的中心地位。 因此校園網信息系統的建設，是非常必要的，也是可行的。主要表現在：

1、當前校園網信息系統已經發展到了與校際互聯、靜態資源共享、動態信息發布、遠程教學和協作工作的階段，發展對學校教育現代化的建設提出了越來越高的要求。

2、教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息- 2 - 計算機管理和教育信息服務的要求越來越高。

3、我國各級教育研究部門、軟件開發單位、教學設備供應商和各級學校不斷開發提供了各種在網絡上運行的軟件及多媒體系統，并且越來越形象化、實用化，迫切需要網絡環境。

4、現代教育改革的需要。

5、計算機技術的飛速發展，使相應產品價格不斷下降；同時人們的認識水平和經濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教育信息管理和信息服務是完全可行的。[1]

1.2 校園網絡安全概述

自信息系統開始運行以來就存在信息系統安全問題，通過網絡遠程訪問而構成的安全威脅成為日益受到嚴重關注的問題。根據美國FBI的調查，美國每年因為網絡安全造成的經濟損失超過170億美元。

由于校園網絡內運行的主要是多種網絡協議，而這些網絡協議并非專為安全通訊而設計。所以，校園網絡可能存在的安全威脅來自以下方面：

1. 操作系統的安全性，目前流行的許多操作系統均存在網絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC；

2. 防火墻的安全性，防火墻產品自身是否安全，是否設置錯誤，需要經過檢驗；

3. 來自內部網用戶的安全威脅；

4. 缺乏有效的手段監視、評估網絡系統的安全性；

5. 采用的TCP/IP協議族軟件，本身缺乏安全性；

6. 應用服務的安全，許多應用服務系統在訪問控制及安全通訊方面考慮較少，并且，如果系統設置錯誤，很容易造成損失。

1.3 校園網絡安全現狀分析

隨著網絡技術的發展，可以說現在的大部分學校都建立了校園網絡并投入使用，這對加快信息處理、提高工作效率、實現資源共享都起大了無法估量的作用，但在積極發展辦公自動化、信息電子化、實現資源共享的同時，網絡的安全問題越來越成為一個非常嚴懲的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現代化的進程中，如果這一個隱患不除，那么也許有一天，學校信息平臺服務器遭到攻擊而停止工作、整個校園網絡被迫停止、學校積累的各種數據和信息被刪除了，導致辛苦積累的大量教育資源被破壞。比如2003年暴發的“震蕩波、沖擊波、FORM.A”- 3 - 等病毒，雖沒有造成很大的損失，但足以使認識到網絡安全的重要性。因此，如何在現有的條件下避免這樣事件發生，搞好網絡的安全工作已成了一個重要課題。

1997年開始，我國校園網絡建設悄然興起。全國各省市都把建設校園網作為現代教育的頭等大事來抓。

1999年9月，教育部決定正式啟動國家現代遠程教育工程，清華大學、浙江大學、北京郵電大學、湖南大學等高校獲準進行試點。目前，這幾所院校已初步形成了開辦現代遠程教育的技術手段。

各校在實踐中逐漸意識到：一所學校教育質量的好壞，學術水平層次的高低，與教學手段的先進程度有一定關系，教學手段對學校整體的發展有著直接影響。

在世界各發達國家，校園網的建設速度似乎不亞于其他如政府網的興建速度。現代教育的實施程度也與校園網絡建設直接相關聯。如美國要求所有中小學生都能上網，都能使用電子郵件，并計劃將全國122所一流大學與社會廣泛連接，構筑一個教育與研究的專用網絡；英國提出要在2000年成立網上工業大學，到2002年所有中小學、圖書館、學院和大學全部介入全國的學習網；新加坡提出八歲兒童能閱讀，十二歲兒童能上網。

1996年，教育部提出要以全國1000所中小學校作為試點，建立起各自的校園網絡。截止2000年年初，教育部宣布有500多家已建立。可以說，在國家政策扶持下，我國校園網建設取得了飛速發展。但現實中，各地在建立學校校園網的過程中又存在這樣那樣的問題，如有的學校建網初期就缺乏整體規劃，從而導致主干網和各子網通路不暢，或是導致后期整體效率不高；有的學校缺乏必要的網絡建設監督人員，將項目交給一些實力較弱或是責任心較差的公司全權負責，結果導致建網質量偏低，后期維護費用偏大；還有的學校認為校園網就是"一攬子"計劃，忽視了后期維護和配套建設工作，從而導致后期預算偏緊，校園網難以正常運作為了解決上述問題，在建網時應注意：

1. 校園網建設沒有通用方案，每個學校應根據自身實際情況（資金和技術能力），設計自身的校園網絡；

2. 校園網建設是一個周期較長，規模龐大的系統工程，不能"一蹴而就"，更不能只考慮局部建設，而缺乏整體規劃；

3. 重視對教師的培訓，避免因教師素質原因導致網絡應用效率不高，從而導致資源的浪費。

隨著計算機網絡的廣泛使用和網絡之間信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的破壞,或被刪除或被復制，數據的安全性和自身的利益受到了嚴重的威脅。

校園網也同樣不能幸免。黑客入侵校園網的新聞也時有發生，非更改考試成績；更改英語全國四、六級統考成績；更改考研成績；非法盜取學校招生、分配機密等。

- 4 - 綜上所述，網絡必須有足夠強的安全措施。無論是公眾網還是校園網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。[7]

1.4 校園網絡安全威脅

1 計算機病毒

計算機病毒是一組通過復制自身來感染其它軟件的程序。當程序運行時，嵌入的病毒也隨之運行并感染其它程序。計算機病毒種類繁多，形形色色，但就已經發現的計算機病毒而言，其危害性主要表現為破壞性、傳染性、寄生性、潛伏性和激發性幾大特征。

破壞性是指計算機病毒可能會干擾軟件的運行，或者無限制地侵占系統資源使系統無法運行，又或者毀掉部分數據或程序，使之無法恢復，甚至可以毀壞整個系統，導致系統崩潰。傳染性則是計算機病毒能通過自我復制傳染到內存、硬盤甚至文件中。寄生性表現為病毒程序一般不獨立存在．而是寄生在磁盤系統區或文件中。潛伏性則是指計算機病毒可以長時間地潛伏在文件中，在相應的觸發機制出現前并不影響計算機，但當被觸發后，則后果嚴重。激發性是指病毒程序可以按照沒計者的要求，例如指定的日期、時間或特定的條件出現在某個點激活并發起攻擊。

計算機病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認識其傳播途徑和傳播機理。計算機病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時候的病毒傳播還是線下傳播。隨著計算機網絡的發展，計算機病毒傳播主要是通過磁盤拷貝、互聯網上的文件傳輸、硬件設備中的固化病毒程序等方式實現。

病毒還可以利用網絡的薄弱環節攻擊計算機網絡。在現有的各計算機系統中都存在著一定的缺陷，尤其是網絡系統軟件方面存在著漏洞。因此．網絡病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發起攻擊。

2 網絡攻擊校園網面臨的另一個安全威脅就是網絡攻擊。

廣義的網絡攻擊包括很多方面。這里結合校園網絡安全的特點，重點介紹拒絕服務(DoS，Daniel of Service)攻擊。之所以介紹拒絕服務攻擊，因為拒絕服務攻擊在校園網發牛的更為普遍。這是因為校園網用戶集中度高、密度大．為拒絕服務攻擊提供了天然條件。加之學生的好奇心的因素，導致拒絕服務攻擊發生頻率較高，是危害校園網安全的重要類型之一。

- 5 - 拒絕服務攻擊是通過攻擊主機、服務器、路由器等網絡設備，導致被攻擊網絡無法提供服務的一種攻擊方式。典型的拒絕服務攻擊表現為攻擊者向被攻擊網絡大陸發送數據從而消耗其資源、使得用戶無法訪問所需信息。

拒絕服務攻擊的方法多樣。攻擊者在發起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯合使用的模式。就其攻擊手段來說．主要有以下幾種：

1）死亡之Ping。早期的網絡不支持大包，攻擊者通過網絡發送大母的大數據包到被攻擊者網絡，造成網絡堵塞以致癱瘓。目前的網絡已經能夠支持大包，這種方式已經不再出現。

2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導致網絡訪問失敗的方式。

3 ）UDP洪水攻擊。攻擊利用如chargen和echo等簡單的TCP／IP服務．相互發送大量數據以沾滿帶寬，從而癱瘓網絡的方式。

4 ) SYN洪水攻擊。攻擊者通過想服務器發送連續的SYN握手信息來癱瘓服務器的攻擊方式。

5 ) LAND攻擊 該攻擊是讓服務器自己向自己發送SYN握手信息．已達到癱瘓主機的目的。

6 ) Smurf攻擊。攻擊者將報文地址設為Echo地址，這樣Echo78地址就必須不問斷的響應該報文，使得網絡帶寬被侵占，從而達到癱瘓網絡的目的。

7 ) Fraggle攻擊。Fraggle攻擊對Smurf攻擊做了修改。

8 )電子郵件炸彈。通過向一臺服務器大量的不間斷的發送電子郵件，起到癱瘓服務器的作用。

9 )急性消息攻擊。借助機器對某些消息為進行錯誤校驗來攻擊服務器。

10)分布式拒絕服務攻擊。它是威力最強大的拒絕服務攻擊方式，其主要采用多臺服務器對同一網絡同時發起攻擊，導致該網絡瞬間癱瘓。

常見的拒絕服務攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網絡安全造成很大的危害。[5]

3 存在的安全隱患,以我校為例，校園網絡存在的安全隱患和漏洞有:

1 ) 計算機與Internet相連，卻沒有安裝相應的殺毒軟件及防火墻。

2) 使用的操作系統存在安全漏洞，網絡木馬、病毒和黑客攻擊影響到系統的安全。校內大部分計算機系統或多或少都存在著各種的漏洞，校園網絡又對社會開放，這樣一來只要接入INTERNET的用戶就可以對校園的網絡服務器進行攻擊，而流行于網絡上的很多病毒如“震蕩波、沖擊波、尼姆達”病毒都是利用系統的漏- 6 - 洞來進行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞。

3) 目錄共享導致信息的外泄, 在校園網絡中，利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所有的人都沒有充分認識到當一個目錄共享后，就不光是校園網內的用戶可以訪問到，而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。我曾經搜索過外地機器的一個C類IP網段，發現共享的機器就有十幾臺，而且許多機器是將整個C盤、D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。因而對目錄共享安全意識的單薄，會導致了信息的外泄。

4) 網絡安全意識淡薄，校園網絡上的攻擊、侵入他人機器，盜用他人帳號非法使用網絡、非法獲取未授權的文件、通過郵件等方式進行騷擾和人身攻擊等事件經常發生、屢見不鮮，我校應用服務器和普通計算機平均一個星期會經受到數千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內，說明校園網絡上的用戶安全意識淡薄；另外，沒有制定完善而嚴格的網絡安全制度，各校園網在安全管理上也沒有任何標準，這也是網絡安全問題泛濫的一個重要原因.由此可見，構筑具有必要的信息安全防護體系，建立一套有效的網絡安全機制顯得尤其重要.

- 7 -

2. 校園網絡安全策略

校園網的安全威脅既有來自校內的，也有來自校外的，只有將技術和管理都重視起來，才能切實構筑一個安全的校園網。

國內高校校園網的安全問題有其歷史原因：在以前的網絡時期，一方面因為意識與資金方面的原因，以及對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理“的傾向，常常只是在內部網與互聯網之間放一個防火墻就萬事大吉，有些學校甚至直接連接互聯網，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患只要發生一次，對整個網絡都將是致命性的。

作為高等院校，如何構筑相對可靠的校園網絡安全體系問題，變得越來越突出了。一般來說，構筑校園網絡安全體系，要從兩個方面著手：一是采用先進的技術；二是不斷改進管理方法。

2.1 校園網安全管理

針對目前高校校園網安全現狀的認識與理解，在防病毒軟件、防火墻或智能網關等構成的防御體系下，對于防止來自校園網外的攻擊已經足夠。以下五點是高校的安全策略：

1、規范出口管理，實施校園網的整體安全架構，必須解決多出口的問題。對于出口進行規范統一的管理，使校園網絡安全體系能夠得以實施。為校園網的安全提供最基礎的保障。

2、配備完整系統的網絡安全設備，在網內和網外接口處配置一定的統一網絡安全控制和監管設備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統、漏洞掃描系統、網絡版的防病毒系統等。另外，通過配置安全產品可以實現對校園網絡進行系統的防護、預警和監控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網絡的故障可以迅速定位并解決。

3、解決用戶上網身份問題，建立全校統一的身份認證系統 。校園網絡必須要解決用戶上網身份問題，而身份認證系統是整個校園網絡安全體系的基礎的基礎，否則即便發現了安全問題也大多只能不了了之，只有建立了基于校園網絡的全校統一身份認證系統，才能徹底的解決用戶上網身份問題，同時也為校園信息化的各項應用系統提供了安全可靠的保證。

- 8 - 4、嚴格規范上網場所的管理，集中進行監控和管理 。上網用戶不但要通過統一的校級身份認證系統確認，而且，合法用戶上網的行為也要受到統一的監控，上網行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。

5、根據相關部門的要求，配備專門的安全管理人員，出臺網絡安全管理制度 。

網絡安全的技術是多樣化的，現狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網絡的監控和管理。[2]

2.2 校園網絡安全措施

前述各種網絡安全威脅，都是通過網絡安全缺陷和系統軟硬件漏洞來對網絡發起攻擊的。為杜絕網絡威脅，主要手段就是完善網絡病毒監管能力，堵塞網絡漏洞，從而達到網絡安全。

1、殺毒軟件。

殺毒產品的部署. 在該網絡防病毒方案中，要達到一個目的就是：要在整個局域網內杜絕病毒的感染、傳播和發作。為了實現這一點，應在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能.。

（1）在學校網絡中心配置一臺高效的Windows2000服務器安裝一個殺毒軟件的系統中心，負責管理校內網點的計算機。

（2）在各辦公室分別安裝殺毒軟件的客戶端。

（3）安裝完殺毒軟件，在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。

（4）網絡中心負責整個校園網的升級工作。

2、采用VLAN技術。

VLAN技術是在局域網內將工作站邏輯的劃分成多個網段，從而實現虛擬工作組的技術。VLAN技術根據不同的應用業務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。

3、內容過濾器。

- 9 - 內容過濾器是有效保護網絡系免于誤用和無意識服務拒絕的工具。同時，可以限制外來的垃圾郵件。

4、防火墻。

在與Internet相連的每一臺電腦上都裝上防火墻，成為內外網之間一道牢固的安全屏障。在防火墻設置上按照以下原則配置來提高網絡安全性:

(1)根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，規則審核IP數據包的內容包括：協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則.

(2）禁止訪問系統級別的服務( 如HTTP , FTP等)。局域網內部的機器只允許訪問文件、打印機共享服務。使用動態規則管理，允許授權運行的程序開放的端口服務，比如網絡游戲或者視頻語音電話軟件提供的服務。

(3）如果你在局域網中使用你的機器，那么你就必須正確設置你在局域網中的IP，防火墻系統才能認識哪些數據包是從局域網來，哪些是從互聯網來，從而保證你在局域網中正常使用網絡服務（如文件、打印機共享）功能。

(4）定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。

(5）允許通過配置網卡對防火墻設置，提高防火墻管理安全性.

5、入侵檢測。

入侵檢測系統是防火墻的合理補充，幫助系統對付網絡攻擊。擴展系統管理員的安全管理能力．提高信息安全基礎結構的完整性。入侵檢測系統能實時捕獲內外網之間傳輸的數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的入侵行為和異常現象，并記錄有關事件。入侵檢測系統還可以發出實時報警，使網絡管理員能夠及時采取應對措施。

6、漏洞掃描。

隨著軟件規模的不斷增大．系統中的安全漏洞或“后門”也不可避免地存在．因此，應采用先進的漏洞掃描系統定期對工作站、服務器等進行安全檢查，并寫出詳細的安全性分析報告，及時地將發現的安全漏洞打上“補丁”。

7、數據加密。

數據加密是核心的對策，是保障數據安全最基本的技術措施和理論基礎。

8、加強網絡安全管理。

- 10 - 加強網絡管理主要是要做好兩方面的工作。首先，加強網絡安全知識的培訓和普及；其次，是健全完善管理制度和相應的考核機制，以提高網絡管理的效率。[6]- 11 -

3. 校園網絡安全系統設計

安全管理是保證網絡安全的基礎，安全技術是配合安全管理的輔助措施。學校建立了一套校園網絡安全系統，制定詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執行，并定期對校內教師進行計算機網絡安全知識培訓，或發放常見病毒解決方案等。

3.1 校園網建設需求分析

3.1.1 需求分析

局域網最大的特點就是可以實現資源的最佳利用,如:共享磁盤設備、打印機等,從而可以在組建的局域網內部互相調用文件,并可在任何一臺共享打印機上進行打印;當然也可以借助Wingate或Sygate等軟件多機共享一臺Modem上網；或者通過代理服務器連上Internet，享受非一般的速度。網卡根據傳輸速率可分為：10Mbps網卡（ISA 插口或PCI插口）、100Mbps PCI插口網卡、10Mbps/100Mbps自適應網卡和千兆網卡。目前10Mbps ISA插口的網卡仍以其低廉的價格占有市場的一定份額，但由于10Mbps ISA插口網卡的網絡傳輸速率低，且占用大量的CPU資源，只適應于那些對速度要求不高的局域網，因此用100Mbps PCI插口的網卡或者10Mbps/100Mbps自適應網卡，夠適應于用戶比較多，網上傳輸的數據量大和需要進行多媒體信息傳輸的應用環境。

BNC口是用細同軸電纜作為傳輸媒介的一種網卡接口。RJ45是采用雙絞線作為傳輸媒介的一種網卡接口，RJ45的接口酷似電話線的接口，但網絡線使用的是8芯的接頭，使用RJ45的缺點是架設成本高，但安裝和維護較為方便，因此我們一般使用RJ45接口。集線器 (HUB):根據微機的數量,利用 HUB構成星形結構 ,在工作站較多的情況下 ,會因 HUB的處理速率遠遠低于通信線路的傳輸速度 ,從而造成瓶頸問題。因此有條件的話可選用交換機。一個 Hub所組成的域稱為沖突域 ,也就是說 ,網絡上任何一臺計算機在收發數據時 ,其他所有計算機都能夠收到 ,且這些計算機不能同時進行數據的收發 ,否則會發生碰撞(CSMA/ CD協議會阻止碰撞 )。此外每臺接入 Hub的計算機 ,都要檢測接收到的數據目的地址 ,以確認是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網通信效率低 ,只適用于小型工作組級別應用。

- 11 - 學校校園網是為學校師生提供教學、管理、科研和綜合信息服務的寬帶多媒體網絡；是學校信息化教學環境的基礎設施和實現各項管理的物質基礎；是建立遠程教育體系的基本保證；是提高全民素質的重要手段；也是一項靈魂工程。其設計方案應注意以下原則：

實用性校園網設計應能滿足學校目前對網絡應用的要求，充分實現學校內部管理、教學和科研的網絡化、信息化的要求，使網絡的整體性能盡快得到充分的發揮，并且便于掌握。

可靠性校園網的系統及網絡結構較為復雜，同時在部分子系統中存在較高的技術性，因此必須保證系統的穩定、可靠和安全運行，具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率)，提高容錯設計，支持故障檢測和恢復，可管理性強。

統一性在系統的設計過程中，堅持"三統一"，即統一規劃、統一標準、統一出口。

先進性在系統的開發過程中，既能滿足當前院校對網絡的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活變通，以便適應客戶的其他要求。

3.1.2 關鍵設備

在產品選購之前一定要經過認真的分析，這次參與組網的機構選用美國Cisco公司的Catalyst 6506作為數據網絡系統的內部核心交換機，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機，Catalyst 6506的交換容量以及端口數量等技術指標足以滿足網絡目前的需求。選擇Catalyst 3548作為外網交換機。可以通過千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Catalyst 3524和Catalyst 3548作為計算機網絡系統的二級匯聚交換機，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機網絡系統DDN、ISDN訪問路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續擴展的需求。同時Cisco 3662作為計算機網絡系統的撥號服務器，提供分支機構的撥號接入。

網絡核心層：用一臺Cisco的高端三層交換機Catalyst 6506作為整個交換系統的核心，由網絡中心網絡管理員統一調度，從而使計算機網絡系統成為一個具有整合的千兆以太網主干并具備第三層交換功能的綜合網絡通信平臺。其中配置兩個電源同時供電，彼此分擔負荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機的心臟，它控制交換機的尋址、數據轉發、模塊控制等。 Catalyst6506交換機引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強的三層交換能力，- 12 - 利用Cisco特有的Netflow技術，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網管工作站及網絡應用服務器都直接連入到核心層設備上去。

匯聚層：在分配線間分別設立Cisco Catalyst 3524和Catalyst 3548作為計算機網絡系統匯聚層設備，匯聚層設備將通過光纜以千兆以太網為主干連接到核心層設備Catalyst 6506上去，終端用戶可以通過超5類UTP線纜連接到各層交換機中去，可以實現10/100M的自適應通道連接到局域網中去。

接入層；在網絡接入層中我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網關，其中主要采用了兩種接入方式分別實現各自功能：

1. ADSL接入方式。

2. FTTX+LAN接入方式。

3.1.3 校園網網絡拓撲結構

根據校園網的需求分析及建設目標，本設計方案采用交換式千兆以太網作為主干，百兆交換到桌面。網絡拓撲采用星型樹結構，網絡中心的交換機使用堆疊方式連接。

3.2 技術方案

3.2.1 校園網的建設規劃

校園網建設作為一項復雜的系統工程，與任何一項工程建設一樣，在開始建設- 13 - 前都要根據工程的特點事先進行詳細的工程規化與技術需求分析，它的成功與否都直接影響到工程的建設質量以及今后網絡能否可靠運行都有直接的關系，因此要特別認真地進行系統規劃。對于校園網來說，必須對技術和教育的發展前景有著清醒的認識，只有這樣，才能從很好地為校園網進行合理的規劃。

1． 校園網的應用特點

隨著現代化教學活動的開展和與國內外教學機構交往的增多，對通過網絡進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發揮師生的創造力，校園網絡建設成為現代教育機構的必然選擇。校園網大都屬于中小型系統，以園區局域網為主，一個基本的校園網具有以下的特點：

高速的局域網連接--校園網的核心為面向校園內部師生的網絡，因此園區局域網是該系統的建設重點，由于參與網絡應用的師生數量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數據傳輸是網絡的一項基本要求；

信息結構多樣化--校園網應用分為電子教學（多媒體教室、電子圖書館等）、學校管理和遠程通訊（遠程教學、互聯網接入）三大部分內容：電子教學包含大量多媒體信息，學校管理以數據庫為主，遠程通訊則多為WWW方式，因此數據成分復雜，不同類型數據對網絡傳輸有不同的質量需求；

操作方便，易于管理--校園網面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業化；

經濟實用--學校對網絡建設的投入有限，因此要求建成的網絡應經濟實用，具備很高的性能價格比。

2．校園網的需求分析

在著手設計一個校園網或者計算機局域網時，其主要依據就是網絡用戶（學校）的需求及將要建設的網絡系統的特點。通過對實際需要進行細致的分析，才能確定系統的總體目標和近期目標。需求分析是如何設計、建設和應用校園網的關鍵。在完成校園網的需求分析之后，就要對整個校園進行物理結構和邏輯結構的設計。校園網具體的需求分析有如下幾點：

（1） 總體目標

對于一個校園網來說，系統的總體目標就是在一個時期內，當校園網完全建設好后所要達到的功能和具有的規模。一般來說，一個校園網系統總體目標是分步實施的，包括功能的分步實施和規模的分步實施。主要原因是受資金的限制（這是在建設校園網時普遍遇到的問題）和技術發展的影響（因為隨著計算機網絡技術的飛速發展，校園網總會有進行升級的需求）。因此我們在設計一個校園網時，要充分考慮到對已有校園網資源的再次利用，又要考慮到將來對校園網進一步的升級改造。

（2）近期目標

- 14 - 近期目標就是根據實際需求來設計和建設校園網，使建設好后的校園網能滿足實際需求所應有的功能和規模，同時又要考慮將來能對校園網進一步的升級改造或者是后期工程的建設，系統近期目標是需求分析的重點。

3． 網絡結構設計

校園網絡結構設計主要是進行網絡的物理設計和邏輯設計，在完成結構設計后才能對網絡設備進行選型。網絡結構設計對于整個網絡系統來說是十分重要的，它設計的成功與否都直接影響網絡的使用功能的實現以及網絡是否能滿足網絡的需求。

（1）物理設計

根據需求分析，可以知道整個校園網信息點的數目，同時也知道這些信息點在整個校園內的分布情況。當我們確定網絡控制中心的位置后，就應該考慮如何把校園內的信息點連到網絡控制中心以及各種設備的連接速率和網絡使用的拓撲結構等，網絡系統所使用來連接各種網絡設備的傳輸介質也是需要考慮的問題。

（2）邏輯設計

網絡的邏輯設計主要考慮校園網的IP子網網段的劃分，通過實際的網絡物理連接，依據實際需求來實現虛擬網絡(VLAN)的設置。無論從網絡的安全性和IP地址的可管理性來考慮，還是從有效利用IP地址資源的角度來考慮，將整個校園網劃分為多個子網網段并對IP地址資源進行有效管理都是十分必要的。

4．網絡技術

學校建設校園網有許多需要考慮的問題，如網絡技術的選擇、網絡拓撲結構的選擇、網絡產品的選擇、網絡服務器的選擇以及操作系統、網絡應用服務、網絡管理及網絡安全等方面。下面根據前面介紹過的各種網絡技術來進行校園網組建技術的選擇。

(1) 網絡技術類型

網絡系統的建設應遵循高可靠性、技術先進、開放性、成熟標準、易于擴展、可維護性好等原則，并充分考慮性能價格比和今后技術的發展。要求系統兼容性好，易于平滑連接，避免網絡瓶頸。

當前達到或超過100Mbps的高速網絡技術主要有：快速以太網、FDDI、千兆以太網、ATM交換網。FDDI是幾年前十分流行的高速網絡技術，雖然技術十分成熟，但網絡管理復雜且成本較高，現已被逐漸淘汰。ATM是比較先進的網絡技術，它采用信元交換方式，以很高的速率在任意兩點間建立直接的虛擬通信鏈路，有較強的傳輸質量控制能力，特別適合于多媒體信息的傳輸。但在實際使用事因端口價格過高，難以大規模采用。以太網是種成熟的、質優價廉的網絡技術，其標準已制定完備。經過多年發展，形成了完善的10Mbps、100Mbps和千兆以太網技術，同時還由共享式的網絡發展成為交換式的以太網，具備與FDDI、ATM網絡融合的多- 15 - 種方法與規范。從技術上看，以太網技術還有不斷發展的佘地，是一種能夠到長期使用和發展的技術，另外以太網還可以在不同速率之間平滑升級，不會有網絡協議和規范上的障礙。綜全以上對高速網絡技術的分析，我認為在當前校園網的建設中應以建設和使用100Mbps快速以太網為主，在局部主干上使用千兆技術進行連接。

(2) 網絡拓撲的選擇

當前在局域網的建設中，主要應用的拓撲結構有總線型、環型和星型。在總線型網絡中，由于各計算機共享一條通信電纜，而且不需要額外的通信設備，因此，可以節約組網費用。但是其缺點也是十分明顯的，網絡中的任何一個節點出現故障，都將導致整個網絡癱瘓，這與在網絡建設要求網絡具有高可靠性和沉佘性不相符，因此使用總線型拓撲結構建設的網絡已趨于淘汰，在新的網絡建設中不應再使用。環型拓撲結構是令牌環網絡技術所常用的一種網絡拓撲結構，環型結構的缺點與總線型的缺點是差不多的，也是一種不太常用的網絡拓撲。當前在各種網絡系統的建設中使用最多的是星型拓撲結構，雖然星型拓撲結構的網絡在布線和網絡設備的花費多一些，不過目前各種硬件設備已經非常便宜了，這種花費是可以承受的。因而它的優點也是十分突出的，主要是當網絡中某個節點出現故障時不會影響整個網絡的運行，這使得網絡從總體上可以提供高度的可靠性和沉佘性，這個性能十分適合校園網這種應用環境，也是校園網的建設中必須要求做到的。

3.2.2 組網技術

組網技術就是在有了網絡的設計方案和各種網絡設備之后，怎樣把不同的網絡- 16 - 設備按設計方案的要求連接起來所用到的各種技術。組網絡技術在整個網絡的建設過程中是最重要的階段之一，它直接關系到建設出來的網絡系統能否達到設計要求，能不能投入使用這樣嚴重的問題，如在組網中有不按規范和標準來施工的話，建出的網絡系統的質量是達不到設計要求，是不能滿足用戶需求的。組網技術主要包括：布線系統、Internet接入技術、防火墻等。

1．布線系統設計

結構化布線系統的組成：網絡系統的正常運行主要取決于網絡設備和網絡線路，對于網絡系統來說，采用結構化布線系統能夠很好地滿足需求，特別是從計算機網絡系統可靠運行的角度來說，布線系統的可靠性決定了網絡系統通信信道的可靠性，它是計算機網絡系統可靠運行的前提。整個布線系統主要包含光纖布線和室內綜合布線系統。

布線系統的主要是依據建筑物的分布圖，國際商務建筑線纜標準（TIA/ELA

586A ）和《建筑與建筑物綜合布線系統工程設計規范》來設計的。使用結構化布線工程設計的布線系統具有實用性、靈活性、可擴充性以及真正的開放性。一次性布線，可保證在十五到二十年之內，其系統性能不會下降，功能也不會落后，真正達到一次投資，長期受益。建成后的結構化布線系統將具有滿足多種計算機網絡系統（10/100/1000M Switch、FDDI、ATM）對線路的要求，不僅能實現計算機端口的靈活配置，而且方便計算機網絡的平滑升級和擴充。

光纖布線主要是用在建筑物之間或樓層之間，這些建筑的距離一般都比較遠，超出了雙絞線的連接距離，具體情況要看信息點的分布和數量以及對網絡帶寬的要求來決定。室內布線采用5類（超5類）非屏蔽雙絞線進行布線。整個布線工程分為工作區子系統、水平子系統、垂直子系統，建筑子系統和管理子系統來施工的。

工作區子系統由終端設備連接到信息插座的連線和信息插座所組成，通過插座即可以引出電話也可以連接數據終端，在RJ-45插座內不僅可以插入數據通信通用的RJ-45接頭，也可以插入電話機專用的RJ-45插頭。

水平子系統是將樓層配線間路延伸到用戶工作區，并連向各個信息插座。線纜由配線間進入房間后，可走天花板或橋架,以走暗線的原則走線。電纜橋架應高出地面2.2米以上，橋架頂部距頂棚或其他障礙物不應小于0.3m。橋架寬度不宜小于0.10m，橋架內橫斷面的填充率應小于50%。結構化系統的布線是放射型的，線纜量較大，所以線槽量的計算是很重要的，按照標準的線槽設計方法，應根據水平線的外徑來確定線槽的容量，即：線槽的橫截面積=水平線截面積之和*3 。

垂直主干子系統用于連接樓層配線室，垂直干纜系統的安裝主要是由一連串通過地板對準配線間的垂直豎井組成的，可以連接摟層間的配線室。垂直子系統的連接可用多根雙絞線形成集束穿過豎井進入水平子系統，外用線槽以保護和固定。

建筑子系統是在各棟建筑物之間的相互連接，組成一個較大的建筑群綜合布線- 17 - 系統。這一部分布線系統可以采用架空電纜、直埋電纜或地下管道內穿電纜，或者是這三者的任何組合，具體使用看施工現場而定。建筑子系統一般都采用光纖進行連接。

管理子系統設置在配線設備和機房內，管理子系統由配線間、輸入/輸出（I/O）設備等組成。管理子系統提供了與其他子系統連接手段，整個綜合布線系統及其連接的設備、器件等構成一個有機的整體。管理子系統內有部分主干布線和部分水平線的機械終端，為無源或有源或用于兩個系統連接的設備提供設施。[3]

2．布線系統的測試

在結構化布線完工后，必須對整個系統進行測試后才能投入使用，以保證系統能達到設計要求。測試主要依據TIA/EIA 568A以及《建筑及建筑群結構化布線系統工程驗收規范》來進行，測試內空包括線纜的長度、接線圖、信號衰減、近端串擾、信噪比等。其中最重要的技術指標是衰減端串擾，它直接影響著雙絞線的傳輸性能。

3.2.3 網絡操作系統

網絡操作系統NOS（Network Operating System）是在計算機操作系統的基礎上，加上一些具有實現網絡訪問和控制功能的模塊以及相關的數據通信協議，是使網絡上各計算機能夠方便有效地共享網絡資源、為網絡用戶提供所需的各種服務軟件和規程的集合。目前主要的網絡操作系統有NetWare、Unix、Linix和Windows NT/2003。在校園網中一般情況下都用Windows NT/2003網絡操作系統，因為它是圖形化的操作界面、使用簡單、安全可靠，以及和普及率很高Windows系列單機操作系統的兼容性很好。

3.2.4 Internet接入技術

如果校園網不能和Internet連接的話，就不能是一個完整的網絡，也不能充分利用Internet網上的大量信息資源。因此校園網和Internet的連接技術就顯得十分重要了，它關系到校園網與外部網絡能能否進行可靠的連接。當前適合校園網與Internet的寬帶連接方式主要有ADSL和光纖專線接入。

ADSL是一種非對稱的寬帶網絡數據傳輸技術，它的一個明顯優勢是經濟上實用。ADSL寬帶線路通過ADSL Modem接入Internet代理服務器的網卡上的，不過ADSL專線的接入是用傳統的模擬電話雙絞線線路布線不很規范，線路質量不夠好，達不到高速傳輸的要求，目前它只用在一些中小型網絡。光纖接入是一種在校園網建設中普遍使用的一種技術，它是通過構建專用的Internet服務器來實現的，在服- 18 - 務器上運行各種網絡服務軟件，為校園內部的用戶提供Internet的接入服務。光纖接入的優點是可提供比較高的網絡帶寬和穩定性，但它的連接較為復雜。

3.2.5 防火墻技術

防火墻是計算機網絡上一類防范措施的總稱，它使得內部網絡與Internet之間或其它外部網絡互相隔離、限制網絡互訪，用來保護內部網絡。防火墻簡單的可以只用路由器實現，復雜的則可以用主機甚至一個子網來實現，設置防火墻的目的都是為了在內部網與外部網之間設立惟一的通道來自簡化網絡的安全管理。防火墻的功能主要是過濾掉不安全服務和非法用戶與控制對特殊站點的訪問以及提供監視Internet安全和預警的方便端點。由于網絡具有天生的開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。因此，防火墻只能是一種整體安全防范政策的一部分。

實現防火墻技術從層次上大概可以分為報文過濾和應用層網關。報文過濾是在IP層實現的，它的原理是根據報文的源IP地址、目的IP地址、源端口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。在用應用層網關實現的防火墻有多種方式，如應用代理報務器和網絡地址轉換器等。

在校園網中大部分的應用都是內部網絡用戶，而內部用戶通常具有較大的訪問權限，因此局域網絡系統的安全是整個網絡系統安全中最重要的部分。但相對而言，內部的安全問題是可以預測的，并可據此制定相應的防范措施。

3.2.6 建網方案

根據校園網絡建設應遵循原則的介紹和各種網絡技術的分析。總的來說，交換式快速以太網是目前成熟技術中最先進、最實用的。所以決定選擇光纖交換式快速以太網作為校園網主干，系統總體上采用國際上流行的TCP/IP協議，并兼顧IPX協議，采用開放體系及在各種應用實踐中得到檢驗的快速以太網技術和產品。

為了加強對分布式多媒體交互教學的探索，校園網可分為三個層次結構：主干網、廣域網和內部局域網。主干網采用1000Mbps快速以太網技術，內部局域網與主干網之間用以太網交換機進行互聯，根據用戶的需求，網絡建設目標，采用交換式千兆以太網作為主干網，網絡拓撲結構為星型，這樣可有利于提高網絡的高可靠性，便于維護和管理。采用交換式快速以太網做主干有以下原因：速度快，安裝、維護簡單。主干速度為1000Mbit/s交換，能夠滿足網絡應用層對主干網寬要求；基于標準技術，使用了以太網MAC層上定義的CSMA/CD協議，可迅速利用現有設備接入，網絡升級方便，性能價格比高。

- 19 - 建設目標：構建普通學校校內Intranet環境，并通過代理服務器接入Internet，實現與Internet 交流。建設校園網絡中心，并通過一定的網絡拓撲結構構建連接校園網絡中心、計算機教室、教師備課機房、多媒體教學活動室、圖書館、校長室、教導處、財務處等的校園網，使之能通過一定的應用軟件完成行政辦公管理、教師備課授課、學生學習交流、校內信息公告、遠程電子通訊、Internet通訊瀏覽等基本功能。

1．網絡組成

(1) 網絡主干

基于當前信息技術發展形勢及經濟實用可持續發展原則，建議構建100M帶寬的快速以太網，根據實際工作站信息點到網絡中心的距離，選擇適當的傳輸媒介進行網絡綜合布線。一般來講，在同一幢大樓內距離不超過100米均可鋪設超五類非屏蔽雙絞線，而樓與樓之間的連接主干線原則上應架設光纜，以滿足今后發展的需要。

(2) 網絡中心

也就是校園網中心機房，應配置有各種系統服務器（如：Web服務器、Email服務器、代理服務器）、文件服務器（數據庫服務器）、中心交換機、配線機柜等。如剛使用時數據流量不大，可只配置一臺服務器，視今后網絡發展情況再作擴充。為保證網絡運行穩定可靠，網絡中心的設備選型應選擇信譽可靠、質量上等、性能穩定、擴充性優良的專業產品。服務器選用IBM等品牌的專業服務器,如X236

8841-ICC，另加配可讀寫光驅，用作系統備份。交換器可選用、CISCO產品，如CISCO 6065等。服務器網卡則可選配3COM 的 3C905B-TX 100MB網卡。為使校園網能訪問Internet，網絡中心的代理服務器可連接ASDL等通訊線路。

(3) 計算機教室

配置400臺左右586以上微機，通過星型網絡拓撲結構將所有微機連接到可堆疊交換機上，再通過交換機連接校園主干網。為方便教學，可在以上網絡教室的基礎上安裝多媒體教學平臺，使之成為一個既能完成信息技術學科教學，又能進行多媒體輔助教學，還能開展基于Internet技術的網絡活動的多媒體網絡活動室。

(4) 教師備課機房

為了能給廣大教師提供一個完備的多媒體網絡備課環境，校園網應能為每位教師提供網絡接入終端，即每位教師都配有一臺連接校園網的多媒體計算機，這將是一項投資很大的綜合布線工程。為降低成本，一般中小學校可采用建設一個配置有10-20臺酷睿2以上多媒體計算機的教師網絡備課機房的方案。配有多媒體的連網計算機既能滿足廣大教師電子備課、電子閱覽的需要，同時也能滿足教師進行遠程通訊、網上檢索等基于Internet環境的教科研活動。

- 20 - (5)圖書館系統

圖書館系統應該包括兩個方面，第一是圖書編目、借閱管理系統，它為圖書館管理提供了標準化、自動化、網絡化的采編、流通、查詢、統計以及讀者管理等手段，如省教委推薦使用的共創圖書管理系統；第二是多媒體視聽閱覽室，滿足讀者使用越來越多的電子音像讀物的要求。多媒體視聽閱覽室從技術本質上來講就是一個多媒體計算機網絡室，如果學校已建好前面所述的多媒體網絡活動室或教師備課機房，只要在網絡上連接有一套光盤鏡像服務器，即可實現多媒體視聽閱覽的功能。

(6)多媒體綜合教室

信息化環境的構筑其根本目的是為教學服務的，因此課堂信息化教學環境的建立應該是校園網建設的一個重要目標。針對課堂教學而言，計算機網絡應能為師生合作教學模式提供支持。在合作教學模式下，教師通過網絡安排教學計劃，指導學生學習，批改學生作業，實施網上教學；學生既可以在教師幫助下進行自主學習，也可通過小組討論等形式在同伴中開展合作學習。在當前情況下，在每個教室構建信息化教學環境還處在摸索探討階段，存在著投資大、可參考方案少等不利因素。有的學校采用在每個班級配置高亮度液晶投影儀、多媒體計算機、多功能視頻展示臺等設備的方法來實施教學環境信息化，教學仍舊還是在一個典型的以教師為中心的教學模式下進行著，這與構建校園信息化教學環境的初衷相距尚遠。因此在當前形勢下，一般中小學可在具有多媒體網絡環境的計算機教室內開展基于多媒體網絡環境下的合作教學模式的實驗活動，而為開展多媒體輔助教學活動配設專用的多媒體綜合教室。多媒體綜合教室內配備有多媒體計算機、高亮度液晶投影儀、多功能視頻展示臺各一臺，功放音響一套，其中多媒體計算機通過網卡連入校園主干網，從而方便調用網絡內其它計算機上的教學資源，實現資源共享。多媒體綜合教室不僅可滿足正常的輔助教學活動，還可以用來舉辦講座、開展培訓，不失為當前形勢下一種經濟實惠的選擇。學校可根據教學實際需要配置一到二個多媒體綜合教室。

(7)校長辦公室及其它相關處室

配置相應數量的酷睿2以上多媒體計算機，通過網卡與校園主干網相連，以實現學校信息管理的自動化、無紙化。

以上只是整個校園網中一些主要的網絡組成部分，此外還有學生宿舍樓、教師宿舍樓、實驗室教學樓等。

2．虛擬網設計

由于整個網絡較大，所以必須通過劃分VLAN來實現流量的合理分配、內部網絡的安全。通常VLAN的實現有以下幾種方法：

●基于端口的虛擬工作組，

- 21 - ●基于MAC、協議、子網的虛擬工作組，

●Tagged VLAN：通過在數據幀中增加VLAN標記位來區分不同的工作組。

我選用的Catalyst 6506等交換機都支持以上各種VLAN的劃分方法。

雖然三種方式各有千秋,但是從實際出發，采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實際中普遍采用的劃分方式。

考慮到網絡安全性的需要，還可以在路由交換機上進行相應的設置，實現網絡訪問控制。比如我們可以限制哪些用戶擁有訪問中心服務器的權利，哪些則沒有。

根據以上思想，我將計算機網絡（根據不同的部門劃分）劃分成幾個不同的虛擬網，并賦予不同的IP子網地址。

由于系統的特殊性，可以配合虛擬網的劃分，給不同的虛擬網配置不同的子網段，整個網絡可以非常方便地劃分為幾個子網，子網之間的通信由中心路由式交換機來實現，具體可以采用OSPF路由協議。

3．網絡軟件運行平臺

(1) 服務器操作系統：由于美國Microsoft公司推出的網絡操作系統Windows

2003具有與有著廣泛應用基礎的在Windows 2003服務器上，對直接連接到 Internet

的計算機啟用防火墻功能，支持網絡適配器、DSL 適配器或者撥號調制解調器連接到 Internet。Web服務系統：選用Windows NT下的IIS信息服務系統。另外也有許多免費的BBS電子公告、中文論壇、網絡聊天軟件可以在NT下安全運行。

(3) 數據庫軟件：建議采用“甲骨文的”oracle數據庫軟件。

(4) 電子郵件系統：可采用Microsoft公司的Exchange Server,為簡便使用也可采用一些共享軟件如Sharemail、Imail等，這些軟件都是基于標準SMTP/POP3/IMAP4/LDAP協議的郵件服務器軟件，用戶界面簡單直觀，非常易于管理。

(5) 網頁維護制作軟件：Macrosoft公司的FrontPage、Macromedia 公司的Dreamweaver、Flash都是很好選擇。

(6) 多媒體課件制作軟件：Macromedia 公司的Authorware、 Director，洪圖多媒體著作工作等都有著非常友好的界面，使用方便，擁有著大量的用戶，推薦使用。

(7) 代理服務軟件：可采用WinGate3.05 for NT，這是一個功能完善、性能穩定的代理服務軟件，非常好用。

(8)工作站操作系統： Windows XP Windows 2003

(9) 校園辦公管理用軟件：選用省教委統一推薦使用的“共創校園辦公管理信息系統”網絡版。

(10) 工作站其它應用軟件：文字處理、數據表格、圖形處理、瀏覽器、電子郵件等都有許多大家熟悉并經常使用的軟件。

- 22 - 隨著網絡使用的日益廣泛，今后校園網絡在此基礎上還將不斷擴充，覆蓋面將越來越廣，如視頻點播系統、遠程登錄管理系統、各類收費服務IC卡系統等。

3.3 校園網的運行

3.3.1 校園網的應用

1．校園網管理信息系統

中國基礎教育校園網集成系統CFES面向全校，覆蓋教育行政管理、圖書館管理、后勤管理和互聯網連接等領域，分為教學管理、學生管理、行政管理、通用服務、互聯網絡和圖書館管理等分系統，以及教務管理、教師管理、教材管理、設備管理、學籍管理、考績管理、人事管理、文書管理、綜合查詢、通用查詢、電子郵件、遠程登錄、圖書編目、圖書流通、圖書檢索和館長查詢等近七十個管理子系統。

2．校園網計算機教學系統

計算機教學系統主要包括多媒體網絡教室、多媒體視頻點播、多媒體視頻廣播系統。

3．校園網站

校園網不是一個獨立的、封閉的體系，校園網與Internet互連后，校園網用戶在權限允許的范圍內可以使用Internet上的Web訪問、Email收發、FTP、Telnet、BBS、新聞組、討論組、個人主頁等服務。

校園網站連接Internet，用于宣傳學校形象、教學信息發布、提供信息查詢等，以后可成為網上教學的渠道。網站主頁的設計，主要由老師創意，學生制作，體現學生的創造性，培養學生的動手能力。

3.3.2 校園網的管理

根據前面介紹的校園網設計方案建設而成的一個校園網絡投入運行之后，它的穩定性及可靠性是很高。網絡系統出現的問題，一般情況下出現的問題主要有人為操作失誤（包括計算機病毒引起的故障）和整個網絡系統本身不可避免的故障。因此要想使計算機網絡的各種故障減少到最低的話，網絡管理員就要在平時做好網絡的預防性維護以及重要數據的備份、計算機病毒的防護，記錄網絡事件等工作。同時人為操作造成的故障在整個網絡故障的絕大部分，因此要注意加強網絡使用人員的應用技能和道德品質，可減少人員有意無意對網絡造成的傷害。

預防性維護是非常重要的，日常維護的主要工作是：清理污垢和其他一些污染，- 23 - 如果灰塵等污垢太多的話就會造成設備散熱不良，嚴重的還會引起電子器件間的短路。還要檢查各種網絡設備的連接情況，在一個計算機網絡中各種連接是現容易出問題的，因此要安排一定的時間，每隔一段日期就檢查一下局域網中所有計算機系統的連線是否松動，還要查看一下電源線、顯示器、網絡，串行和并行電纜以及各種配件等。任何提供服務的網絡都應該擁有備份系統，在備份之后還要進行測試，以保證備份的系統能夠正常工作。要確保備份系統的完整性，在安裝了服務器或備份設備之后，或者對系統進行了重大的修改之后（如升級），一定要把整個系統備份下來，再恢復其中的部分文件進行測試。根據系統中的數據 情況，可能每一項都要進行完全備份，也可能只做增量備份就可以滿足需要了，具體需要備份的數量應由系統環境來決定。[4]

- 24 -

總 結

沒有安全保證的校園網絡就像沒有剎車的車子跑在高速公路上。互聯網絡的飛速發展，對校園網絡中師生的工作和學習已經產生了深遠的影響，網絡在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識到，網絡安全問題的日益嚴重也越來越成為網絡應用的巨大阻礙，校園網絡安全已經到了必須要統一管理和徹底解決的地步，只有很好的解決了網絡安全問題，校園網絡的應用才能健康、高速的發展.

本文分析了校園網絡面臨的主要危害，并針對危害提出了相應的安全解決措施。文中分析認為，校園網絡安全重點在防病毒和防攻擊。為此．文中針對病毒的特點和網絡攻擊的特性，提出了校園網絡的相應措施。采用上述措施，基本能夠解決校園網絡面臨威脅風險，從而建構一個安全、高效的網絡。

- 25 -

【參考文獻】

[1]徐亞鳳. 解析校園網絡的安全及管理. 牡丹江大學學報. 2008，17(8)：118—125

[2]鄭春. 軟硬件結合的校園網安全策略. 軟件導刊. 2008，7(8)：181—183．

[3]江鐵. 高校校園網安全策略設計. 科技信息. 2008，20：422—423．

[4]孫力. 淺談校園網絡安全技術的應用[J] 甘肅科技，2009（09）

[5]容強. 網絡入侵誘騙技術在高校網絡安全中的研究與實現[J] 計算機安全，2009（06）

[6]周麗娟. 校園網絡安全策略研究[J] 長春師范學院學報（自然科學版）2009（06）

[7]來源：/trade/7/。

- 26 -

畢業設計（論文）原創性聲明和使用授權說明

原創性聲明

本人鄭重承諾：所呈交的畢業設計（論文），是我個人在指導教師的指導下進行的研究工作及取得的成果。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經發表或公布過的研究成果，也不包含我為獲得 及其它教育機構的學位或學歷而使用過的材料。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。

作 者 簽 名： 日 期：

指導教師簽名： 日 期：

使用授權說明

本人完全了解 大學關于收集、保存、使用畢業設計（論文）的規定，即：按照學校要求提交畢業設計（論文）的印刷本和電子版本；學校有權保存畢業設計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務；學校可以采用影印、縮印、數字化或其它復制手段保存論文；在不以贏利為目的前提下，學校可以公布論文的部分或全部內容。

作者簽名： 日 期：

學位論文原創性聲明

本人鄭重聲明：所呈交的論文是本人在導師的指導下獨立進行研究所取得的研究成果。除了文中特別加以標注引用的內容外，本論文不包含任何其他個人或集體已經發表或撰寫的成果作品。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律后果由本人承擔。

作者簽名：

日期： 年 月 日

學位論文版權使用授權書

本學位論文作者完全了解學校有關保留、使用學位論文的規定，同意學校保留并向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權 大學可以將本學位論文的全部或部分內容編入有關數據庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。

涉密論文按學校規定處理。

作者簽名： 日期： 年 月 日

導師簽名： 日期： 年 月 日

指導教師評閱書

指導教師評價：

一、撰寫（設計）過程

1、學生在論文（設計）過程中的治學態度、工作精神

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、學生掌握專業知識、技能的扎實程度

□ 優 □ 良 □ 中 □ 及格 □ 不及格

3、學生綜合運用所學知識和專業技能分析和解決問題的能力

□ 優 □ 良 □ 中 □ 及格 □ 不及格

4、研究方法的科學性；技術線路的可行性；設計方案的合理性

□ 優 □ 良 □ 中 □ 及格 □ 不及格

5、完成畢業論文（設計）期間的出勤情況

□ 優 □ 良 □ 中 □ 及格 □ 不及格

二、論文（設計）質量

1、論文（設計）的整體結構是否符合撰寫規范？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、是否完成指定的論文（設計）任務（包括裝訂及附件）？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

三、論文（設計）水平

1、論文（設計）的理論意義或對解決實際問題的指導意義

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、論文的觀念是否有新意？設計是否有創意？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

3、論文（設計說明書）所體現的整體水平

□ 優 □ 良 □ 中 □ 及格 □ 不及格

建議成績：□ 優 □ 良 □ 中 □ 及格 □ 不及格

（在所選等級前的□內畫“√”）

指導教師： （簽名） 單位： （蓋章）

年 月 日

評閱教師評閱書

評閱教師評價：

一、論文（設計）質量

1、論文（設計）的整體結構是否符合撰寫規范？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、是否完成指定的論文（設計）任務（包括裝訂及附件）？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

二、論文（設計）水平

1、論文（設計）的理論意義或對解決實際問題的指導意義

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、論文的觀念是否有新意？設計是否有創意？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

3、論文（設計說明書）所體現的整體水平

□ 優 □ 良 □ 中 □ 及格 □ 不及格

建議成績：□ 優 □ 良 □ 中 □ 及格 □ 不及格

（在所選等級前的□內畫“√”）

評閱教師： （簽名） 單位： （蓋章）

年 月 日

教研室（或答辯小組）及教學系意見

教研室（或答辯小組）評價：

一、答辯過程

1、畢業論文（設計）的基本要點和見解的敘述情況

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、對答辯問題的反應、理解、表達情況

□ 優 □ 良 □ 中 □ 及格 □ 不及格

3、學生答辯過程中的精神狀態

□ 優 □ 良 □ 中 □ 及格 □ 不及格

二、論文（設計）質量

1、論文（設計）的整體結構是否符合撰寫規范？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、是否完成指定的論文（設計）任務（包括裝訂及附件）？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

三、論文（設計）水平

1、論文（設計）的理論意義或對解決實際問題的指導意義

□ 優 □ 良 □ 中 □ 及格 □ 不及格

2、論文的觀念是否有新意？設計是否有創意？

□ 優 □ 良 □ 中 □ 及格 □ 不及格

3、論文（設計說明書）所體現的整體水平

□ 優 □ 良 □ 中 □ 及格 □ 不及格

評定成績：□ 優 □ 良 □ 中 □ 及格 □ 不及格

（在所選等級前的□內畫“√”）

教研室主任（或答辯小組組長）： （簽名）

年 月 日

3 教學系意見：

系主任： （簽名）

年 月 日

4 學位論文原創性聲明

本人鄭重聲明：所呈交的學位論文，是本人在導師的指導下進行的研究工作所取得的成果。盡我所知，除文中已經特別注明引用的內容和致謝的地方外，本論文不包含任何其他個人或集體已經發表或撰寫過的研究成果。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式注明并表示感謝。本人完全意識到本聲明的法律結果由本人承擔。

學位論文作者（本人簽名）： 年 月 日

學位論文出版授權書

本人及導師完全同意《中國博士學位論文全文數據庫出版章程》、《中國優秀碩士學位論文全文數據庫出版章程》(以下簡稱“章程”)，愿意將本人的學位論文提交“中國學術期刊（光盤版）電子雜志社”在《中國博士學位論文全文數據庫》、《中國優秀碩士學位論文全文數據庫》中全文發表和以電子、網絡形式公開出版，并同意編入CNKI《中國知識資源總庫》，在《中國博碩士學位論文評價數據庫》中使用和在互聯網上傳播，同意按“章程”規定享受相關權益。

論文密級：

□公開 □保密（___年__月至__年__月）(保密的學位論文在解密后應遵守此協議)

5

作者簽名：_______ 導師簽名：_______

_______年_____月_____日

_______年_____月_____日

6 獨 創 聲 明

本人鄭重聲明：所呈交的畢業設計(論文)，是本人在指導老師的指導下，獨立進行研究工作所取得的成果，成果不存在知識產權爭議。盡我所知，除文中已經注明引用的內容外，本設計（論文）不含任何其他個人或集體已經發表或撰寫過的作品成果。對本文的研究做出重要貢獻的個人和集體均已在文中以明確方式標明。

本聲明的法律后果由本人承擔。

作者簽名:

二〇一〇年九月二十日

畢業設計（論文）使用授權聲明

本人完全了解濱州學院關于收集、保存、使用畢業設計（論文）的規定。

本人愿意按照學校要求提交學位論文的印刷本和電子版，同意學校保存學位論文的印刷本和電子版，或采用影印、數字化或其它復制手段保存設計（論文）；同意學校在不以營利為目的的前提下，建立目錄檢索與閱覽服務系統，公布設計（論文）的部分或全部內容，允許他人依法合理使用。

（保密論文在解密后遵守此規定）

作者簽名:

二〇一〇年九月二十日

7 致 謝

時間飛逝，大學的學習生活很快就要過去，在這四年的學習生活中，收獲了很多，而這些成績的取得是和一直關心幫助我的人分不開的。

首先非常感謝學校開設這個課題，為本人日后從事計算機方面的工作提供了經驗，奠定了基礎。本次畢業設計大概持續了半年，現在終于到結尾了。本次畢業設計是對我大學四年學習下來最好的檢驗。經過這次畢業設計，我的能力有了很大的提高，比如操作能力、分析問題的能力、合作精神、嚴謹的工作作風等方方面面都有很大的進步。這期間凝聚了很多人的心血，在此我表示由衷的感謝。沒有他們的幫助，我將無法順利完成這次設計。

首先，我要特別感謝我的知道郭謙功老師對我的悉心指導，在我的論文書寫及設計過程中給了我大量的幫助和指導，為我理清了設計思路和操作方法，并對我所做的課題提出了有效的改進方案。郭謙功老師淵博的知識、嚴謹的作風和誨人不倦的態度給我留下了深刻的印象。從他身上，我學到了許多能受益終生的東西。再次對周巍老師表示衷心的感謝。

其次，我要感謝大學四年中所有的任課老師和輔導員在學習期間對我的嚴格要求，感謝他們對我學習上和生活上的幫助，使我了解了許多專業知識和為人的道理，能夠在今后的生活道路上有繼續奮斗的力量。

另外，我還要感謝大學四年和我一起走過的同學朋友對我的關心與支持，與他們一起學習、生活，讓我在大學期間生活的很充實，給我留下了很多難忘的回憶。

最后，我要感謝我的父母對我的關系和理解，如果沒有他們在我的學習生涯中的無私奉獻和默默支持，我將無法順利完成今天的學業。

8 四年的大學生活就快走入尾聲，我們的校園生活就要劃上句號，心中是無盡的難舍與眷戀。從這里走出，對我的人生來說，將是踏上一個新的征程，要把所學的知識應用到實際工作中去。

回首四年，取得了些許成績，生活中有快樂也有艱辛。感謝老師四年來對我孜孜不倦的教誨，對我成長的關心和愛護。

學友情深，情同兄妹。四年的風風雨雨，我們一同走過，充滿著關愛，給我留下了值得珍藏的最美好的記憶。

在我的十幾年求學歷程里，離不開父母的鼓勵和支持，是他們辛勤的勞作，無私的付出，為我創造良好的學習條件，我才能順利完成完成學業，感激他們一直以來對我的撫養與培育。

最后，我要特別感謝我的導師***老師、和研究生助教***老師。是他們在我畢業的最后關頭給了我們巨大的幫助與鼓勵，給了我很多解決問題的思路，在此表示衷心的感激。老師們認真負責的工作態度，嚴謹的治學精神和深厚的理論水平都使我收益匪淺。他無論在理論上還是在實踐中，都給與我很大的幫助，使我得到不少的提高這對于我以后的工作和學習都有一種巨大的幫助，感謝他耐心的輔導。在論文的撰寫過程中老師們給予我很大的幫助，幫助解決了不少的難點，使得論文能夠及時完成，這里一并表示真誠的感謝。

9 致 謝

這次論文的完成，不止是我自己的努力，同時也有老師的指導，同學的幫助，以及那些無私奉獻的前輩，正所謂你知道的越多的時候你才發現你知道的越少，通過這次論文，我想我成長了很多，不只是磨練了我的知識厚度，也使我更加確定了我今后的目標：為今后的計算機事業奮斗。在此我要感謝我的指導老師——***老師，感謝您的指導，才讓我有了今天這篇論文，您不僅是我的論文導師，也是我人生的導師，謝謝您！我還要感謝我的同學，四年的相處，雖然我未必記得住每分每秒，但是我記得每一個有你們的精彩瞬間，我相信通過大學的歷練，我們都已經長大，變成一個有擔當，有能力的新時代青年，感謝你們的陪伴，感謝有你們，這篇論文也有你們的功勞，我想畢業不是我們的相處的結束，它是我們更好相處的開頭，祝福你們！我也要感謝父母，這是他們給我的，所有的一切；感謝母校，盡管您不以我為榮，但我一直會以我是一名農大人為榮。

通過這次畢業設計，我學習了很多新知識，也對很多以前的東西有了更深的記憶與理解。漫漫求學路，過程很快樂。我要感謝信息與管理科學學院的老師，我從他們那里學到了許多珍貴的知識和做人處事的道理，以及科學嚴謹的學術態度，令我受益良多。同時還要感謝學院給了我一個可以認真學習，天天向上的學習環境和機會。

即將結束*大學習生活，我感謝****大學提供了一次在農大接受教育的機會，感謝院校老師的無私教導。感謝各位老師審閱我的論文。

10