校园网网络安全解决方案范文1

校园网网络安全解决方案范文1
案校园网网络安全解决方案1课程设计任务书题目：校园网络安全解
决方案学号：
姓名：
专业：
课程：
指导老师：职称：
完成时间：2007年12月----2022年1月某某学院计算机科学系制校
园网络安全解决方案引言：校园网网络是一个分层次的拓扑结构，因此网
络的安全防护也需采用分层次的拓扑防护措施。

即一个完整的校园网网络
信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

一、网络信息安全系统设计原则1.满足Internet分级管理需求2.需求、风险、代价平衡的原则3.综合性、整体性原则4.可用性原则5.分步
实施原则目前，对于新建网络及已投入运行的网络，必须尽快解决网络的
安全保密问题，设计时应遵循如下思想：
大幅度地提高系统的安全性和保密性；保持网络原有的性能特点，即
对网络的协议和传输具有很好的透明性；易于操作、维护，并便于自动化
管理，而不增加或少增加附加操作；尽量不影响原网络拓扑结构，便于系
统及系统功能的扩展；安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；安全与密码产品具有合法性，并便于安全管理单位与密码
管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：
满足因特网的分级管理需求根据Internet网络规模大、用户众多的
特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它
的控制点分为三级实施安全管理。

第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部
门间的访问控制；部门网内部的安全审计。

第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据
库及终端信息资源的安全保护。

需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不
一定是必要的。

对一个网络进行实际额研究(包括任务、性能、结构、可
靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与
定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及
具体措施。

安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、
低辐射、容错、防病毒、采用高安全产品等)。

一个较好的安全措施往往
是多种方法适当综合的应用结果。

一个计算机网络，包括个人、设备、软件、数据等。

这些环节在网络中的地位和影响作用，也只有从系统综合整
体的角度去看待、分析，才能取得有效、可行的措施。

即计算机网络安全
应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系
结构。

可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。

其次，措施的采用不
能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。

分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。

一劳
永逸地解决网络安全问题是不现实的。

同时由于实施信息安全措施需相当
的费用支出。

因此分步实施，即可满足网络系统及信息安全的基本需求，
亦可节省费用开支。

二、网络信息安全系统设计步骤1.网络安全需求分析2.确立合理的
目标基线和安全策略3.明确准备付出的代价4.制定可行的技术方案5.工
程实施方案(产品的选购与定制)6.制定配套的法规、条例和管理办法本方
案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次
与安全强度的校园网网络信息安全解决方案。

三、网络安全需求确切了解校园网网络信息系统需要解决哪些安全问
题是建立合理安全需求的基础。

一般来讲，校园网网络信息系统需要解决
如下安全问题：局域网LAN内部的安全问题，包括网段的划分以及VLAN
的实现在连接Internet时，如何在网络层实现安全性应用系统如何保证
安全性l如何防止黑客对网络、主机、服务器等的入侵如何实现广域网信
息传输的安全保密性加密系统如何布置，包括建立证书管理中心、应用系
统集成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性
基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问
控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。

四、网络安全层次及安全措施信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施
见下表。

信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理
信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计
用户鉴别授权(CA)网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP安全)审计分析链路安全链路加密1.链路安全链路安全保护
措施主要是链路加密设备，如各种链路加密机。

它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。

加密后的数据不能
进行路由交换。

因此，在加密后的数据不需要进行路由交换的情况下，如DDN直通专线用户就可以选择路由加密设备。

2.网络安全网络的安全问题主要是由网络的开放性、无边界性、自由
性造成的，所以我们考虑校园网信息网络的安全首先应该考虑把被保护的
网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安
全的内部网络。

也只有做到这一点，实现信息网络的安全才有可能，而最
基本的分隔手段就是防火墙。

利用防火墙，可以实现内部网(信任网络)与
外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访
问控制，保证网络系统及网络服务的可用性。

目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，
一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代
理型防火墙的结合。

包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的
防火墙有着更高的网络性能和更好的应用程序透明性。

代理型防火墙作用
在应用层，一般可以对多种应用协议进行代理，并对用户身份进行鉴别，
并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。

应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决60%-80%的安全问题，其余的安全问题仍有待解决。

这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息系统安全的挑战。

信息系统的安全应该是一个动态的发展过程，应该是一种检测──监视──安全响应的循环过程。

动态发展是系统安全的规律。

网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。

华东交通大学理工学院课程设计报告书所属课程名称计算机网络题目华东交通大学理工学院校园网网络构建方案设计分院电信分院专业班级通信工程学号201某某某某某某某某某133学生姓名郑耀涛指导教师汤文平（讲师）
2022年
(12)第一章课程设计内容及要求一、题目：校园网网络构建方案设计
二、任务：
根据学院现有的两个校区，设计一个网络构建方案。

三、要求：
（1）分析学院的建筑拓扑情况，完成需求分析；（2）列出所需设备，设计完成网络拓扑结构图；（3）构建网络的层次结构；（4）设计学院所
需的网络服务（如FTP服务，邮件服务等）
第二章需求分析2.1建网需求华东交通大学理工学院，为了紧追时代
步伐，发展与校际互联、静态资源共享、动态信息发布、远程教学和协作
工作的阶段，发展对学校教育现代化的建设，决定建设自己的校园网，争
取尽早实现教育信息化。

校园网建成后，将计算机引入教学各个环节，从
而可以引起教学方法、教学手段、教学工具的重大革新。

对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。

网络又为学校的管理者
和老师提供了获取资源、协同工作的有效途径。

校园网将会是学校提高管
理水平、工作效率、改善教学质量的有力手段,也就是解决信息时代教育
问题的基本工具。

通过对学校信息化建设专业人员沟通，了解到校园宽带网用户集中且
网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：
1、教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应
的路由策略。

2、校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET）和INTERNET两个出口。

3、校园网安全性要求较高，要求设备能够实现用户识别和动态绑定
功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。

5、校园网要求能对每个用户的使用情况能进行事后审计，能够定位
到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。

6、校园网要求能实现对用户带宽的动态控制。

7、校园网要求实现组播业务。

8、校园网要求在学校规模不断扩大中，用户数在持续增加，要求网
络具有很好的扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。

9、网管平台实现网络资源的管理、网络安全访问的控制。

并且在平
台上能方便地开发所需网络应用。

10、校园网建成后将实现以下基本功能：
●图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等；
2.2网络环境学校现有学生宿舍26幢，每幢楼6层，每层有学生寝室30间，每间寝室提供一个网络节点；教师宿舍2幢（195）户，共14层，每
户提供1个网络节点；教学楼5幢，共5层，每层有13间教室，每间教
室提供1个网络节点；图书馆和电子阅览室在同一幢楼，共有1间电子阅
览室，每间电子阅览室需要10个网络节点；实训楼共7层每层需要20个
节点。

要求校园网主干采用1000Mb/光纤，100Mb/交换到桌面。

2.3设计目标（1）本项目的实施将会大大改善学校的教学和科研条件。

系统完成后将达到以下目标：
建立一个连接多媒体教室，图书馆等地的校园网，该网的骨干速率为100Mb/。

（2）建立VPN服务器，以支持教师的移动办公。

教师在任何地方，通过Modem拨号，在授权情况下都可以访问校内信息。

（3）建立学
校本身的WWW服务器，提供学校的主页。

（4）提供学校图书馆数目的联
机查询。

（5）建立邮件服务器，为全校师生提供电子邮件服务。

（6）提
供文件传输服务。

第三章校园网结构的设计根据学校实际情况和特点，进行校园网的建设。

在设计过程中，注意校园网的实用性与先进性的结合，并且采用成熟
的网络技术，保证校园网的实用性。

3.1总体设计原则由于学校资金并不是很充足，不可能一步到位。

另
一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效
的方针，坚持实用、经济的原则。

该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管
理系统，为广大教职工和学生提供一个在网络环境下进行教学和科研工作
的先进平台。

校园网覆盖整个学校校园，网络设计遵循下列5个基本原则：可靠性和高性能网络必须是可靠的，包括网元级的可靠性，如引擎、
风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路
冗余，负载均衡等。

网络必须具有足够高的性能，满足业务的需要。

可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长
和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很
好的可扩展性，并能随着技术的发展不断升级。

设备应选用符合国际标准
的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统
升级的要求。

易管理、易维护由于校园骨干网络系统规模庞大，应用丰富而复杂，
需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障
隔离、过滤设置等功能，以便于系统的管理和维护。

同时应尽可能选取集
成度高、模块可通用的产品，以便于管理和维护。

这里我们选用的设备是
思科可网管的交换机，防火墙。

安全性、保密性网络系统应具有良好的安全性。

由于校园骨干网络为多个用户内部互联并支持多种业务，要求能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。

在次校园网假设中，通过划分子网，在交换机上实现Vlan达到网络安全性。

灵活性、综合性通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。

以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。

3.2校园网设计的层次化模型所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。

层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。

为了更加清楚地理解分层设计的重要性，最好能够理解OSI（开放系统互联）参考模型。

OSI模型能够简化计算机之间通信的要求，同样，使用层次化模型设计网络也能够简化联网的要求。