園區網路安全設計弱電

❶ 什麼是網路安全，常用的安全措施有那些求答案！急！

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。 網路安全包含網路設備安全、網路信息安全、網路軟體安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全解決方案分析我們的網路對安全性有極高的要求，網路中的關鍵應用和關鍵數據越來越多，如何保障關鍵業務數據的安全性成為網路運維中非常關鍵的工作。
物理安全
網路的物理安全是整個網路系統安全的前提。在校園網工程建設中，由於網路系統屬於弱電工程，耐壓值很低。因此，在網路工程的設計和施工中，必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建築物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬體；雙機多冗餘的設計；機房環境及報警系統、安全意識等，因此要注意這些安全隱患，同時還要盡量避免網路的物理安全風險。
網路結構
網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時，內部網路的機器安全就會受到威脅，同時也影響在同一網路上的許多其他系統。透過網路傳播，還會影響到連上Internet/Intranet的其他的網路；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開伺服器（WEB、DNS、EMAIL等）和外網及內部其它業務網路進行必要的隔離，避免網路結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。
系統的安全
所謂系統的安全是指整個網路操作系統和網路硬體平台是否可靠且值得信任。恐怕沒有絕對安全的操作系統可以選擇，無論是Microsoft 的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用戶應從不同的方面對其網路作詳盡的分析，選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台，並對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達伺服器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。
應用系統
應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。
——應用系統的安全是動態的、不斷變化的。
應用的安全涉及方面很多，以Internet上應用最為廣泛的E-mail系統來說，其解決方案有sendmail、Netscape Messaging Server、SoftwareCom Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮盡可能建立安全的系統平台，而且通過專業的安全工具不斷發現漏洞，修補漏洞，提高系統的安全性。
——應用的安全性涉及到信息、數據的安全性。
信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，對於重要信息的通訊必須授權，傳輸必須加密。採用多層次的訪問控制與許可權控制手段，實現對數據的安全保護；採用加密技術，保證網上傳輸的信息（包括管理員口令與帳戶、上傳信息等）的機密性與完整性。
管理風險
管理是網路中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。
建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網路的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網路的損失都是難以估計的。因此，網路的安全建設是校園網建設過程中重要的一環。
安全技術手段
物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。
數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。
在這里著重強調的是，有些機房提供專門的機櫃存放伺服器，而有些機房只提供機架。所謂機櫃，就是類似於家裡的櫥櫃那樣的鐵櫃子，前後有門，裡面有放伺服器的拖架和電源、風扇等，伺服器放進去後即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別，顯而易見，放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上，那就意味著，任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體，還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房，那麼你可以這樣做：
（1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源；
（2)安裝完系統後，重啟伺服器，在重啟的過程中把鍵盤和滑鼠拔掉，這樣在系統啟動後，普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
（3)跟機房值班人員搞好關系，不要得罪機房裡其他公司的維護人員。這樣做後，你的伺服器至少會安全一些。

❷ 設計一個局域組網方案，提供網路結構設計、各層設備選擇及其理由

2.1方案綜述

校園主幹網通過多模光纖連接各子系統,各區域網採用快速乙太網,系統採用星形結構連接,還可擴充學校教職工住宅區.

具體方案如下:

(1) 網路具有傳遞語音、圖形、圖像等多媒體信息功能，具備性能優越的資源共享功能。

(2) 校園網中各終端間具有快速交換功能。

(3) 中心系統交換機採用虛擬網技術對網路用戶具有分類控制功能。

(4) 對網路資源的訪問提供完善的許可權控制。

(5) 網路具有防止及便於捕殺病毒功能，保證網路使用安全。

(6) 校園網與Internet網相連後具有「防火牆」過濾功能，以防止網路黑客入侵網路系統。

(7) 可以對接入Internet網的各網路用戶進行許可權控制。

2．2網路拓撲圖

2．3綜合布線系統方案

結構化布線設計應該滿足以下目標：

（1） 滿足大樓各項主要業務的需求，且兼顧未來長遠發展；

（2） 符合當前和長遠的信息傳輸要求；

（3） 布線系統設計遵從國際（ISO/IEC11801）標准和信息產業部、建設部標准；

（4） 布線系統應支持語音、數據等綜合信息的高質量傳輸，並適應各種不同類型不同廠商的計算機及網路產品；

（5） 布線系統的信息的埠採用國際標準的RJ-45插座，以統一線路規格和設備介面，是任意信息點都能接插不同類型的終端設備，如計算機、列印機、網路終端、電話機、傳真機等，一支持語音、數據、圖像等數據信息和多媒體信息的傳輸，布線系統符合綜合業務數字網ISDN的要求，以便與國內國際其他網路互聯。

校園網為園區網，建築群子系統採用光纜連接，可提供千兆位的帶寬，有充分的擴展餘地。垂直子系統則位於高層建築物的豎井內，可採用多模光纖或大對數雙絞線。管理子系統並入設備子系統，集中管理。

對於多幢樓宇，可採用多設備間的方法，分為中心設備間和樓棟設備間部分。中心設備間椒整個區域網的控制中心，內設有對外（Internet）對內通信的各種網路設備（交換機、路由器、視頻伺服器等），中心交換機通過光纜（地下直埋）與樓棟設備間的交換設備連接，以保證數據的高速傳輸。在樓棟設備間放置布線的配線架和網路設備，端接樓內來自各層的主幹線纜，並端連接網路中心的光纖。

樓內布線包括水平布線和主幹布線，水平系統採用超五類雙絞線，新的樓宇採用暗裝牆內的方式，舊的樓宇採用PVC線槽明裝的方式。

2.4網路硬體設備構選型

在本方案中，整個校園網採用層次化網路拓撲結構，核心層採用聯想LRS-6706G第三層交換機。這是一種功能強大的主幹交換機，使網路管理者能方便地監督和管理網路，同時，又能將主幹網帶寬提升到千兆速度。

LRS-6706G與工作組交換機聯想DES-6000之間採用生成樹（SpanningTree）冗餘連接，可以保證與骨幹交換機之間的備份連接。DES-6000與接入層交換機聯想DES-36241之間可採用鏈路匯聚技術，用以保證負載均衡及線路備份。通過鏈路匯聚技術可以在交換機之間連接最多4條線路，實現負載均衡線路冗餘。採用快速乙太網連接，可以達到800M帶寬，若採用千兆乙太網作多鏈路冗餘連接，最多可以實現8G帶寬，當兩個交換機之間的一條線路出現故障，傳輸的數據會快速自動切換到另外一條線路上進行傳輸，不影響網路系統的正常工作，無需人工干預。

DES-36241可以根據所需要埠的數量進行堆疊群，網路管理軟體通過一個IP地址就可以完成整個堆疊群的管理，可以實時監測交換機，並且可以通過多種方式進行顯示以便於觀察，隨時監控網路運行狀況。

用聯想LR-2501A路由器實現廣域網的路由連接，同時採用聯想LF-2000防火牆，用以提供全面的訪問策略和安全防護能力。

2.5客戶機和伺服器

2.5.1客戶機

客戶機是一種網路終端，校園網中的客戶機大多是教師機、學生機及各級管理用的PC機。在本方案中建議使用品牌PC機，售後保修，使用年限較長。

選型標准如下( 簡述)：

CPU
Intel P4
硬碟
4G

主板
Micro ATX
ADSL
華為SmartAX MT800

內存
256M
Moderm
花王系列Moderm卡

顯示器
TCL MF767 純屏電腦顯示器
網卡
10、100Mbit/s

2.5.2伺服器

伺服器是網路中的控制和數據的中心，是網路中的關鍵設備之一。一般伺服器是專用的，沒有主要的用戶，它是多客戶機共享的多用戶計算機。在大型校園網中一般選用企業級伺服器作為主伺服器。它可以連接客戶機120—500台之間的網路

1、網管工作站設計

網路管理是校園網必須考慮的關鍵技術，這里的網路管理主要指網路設備及其系統的管理，它包括配置、性能、安全、故障管理等，網路管理設計需要在配置每個網路設備時，都選擇具有網路管理代理的、駐留有網路管理協議的設備。

網路管理設計的另一方面，是配置一個網路管理中心，配置網路管理平台，在平台上運行管理每個網路設備的應用軟體。網管軟體應能夠支持對網路進行設備級和系統級的管理，並能支持通用瀏覽器進行網路設備的管理及配置。

2、WWW伺服器設計

WWW應用是Intranet的標志性應用，最核心的應用服務集中在WWW伺服器上完成。因而對於WWW伺服器的設計首要考慮的就是伺服器性能問題，另外考慮到將來在Intranet平台上做應用開發的可能，對於WWW伺服器同資料庫互聯的問題也應作為重點考慮。

因為WWW伺服器是被大量實時訪問的超文本伺服器，它要求在支持大量網路實時訪問、磁碟空間、I/O吞吐能力、快速處理能力等方面具有較高的要求。

3、DNS伺服器設計

建立Intranet，其中一個必不可少的組成部分就是DNS（域名系統）。IP地址和機器名稱的統一管理由DNS（DomainNameSystem）來完成的。

4、FTP伺服器的設計

FTP是Internet中一種廣泛使用的服務，主要用來在兩台機器之間（甚至是一同系統）傳輸文件。FTP採用C/S模式，FTP客戶軟體必須與遠程FTP伺服器建立連接並登錄後才能進行文件傳輸。為了實現有效的FTP連接和登錄，用戶必須在FTP伺服器進行注冊，建立帳號，擁有合法的用戶名和口令。

5、E-mail伺服器設計

為了作到Intranet內部Mail系統同公共InternetMail系統的平滑對接，要求採用Internet公共標準的通用MAIL系統，在內部的MAIL系統同外部通信時需要一個Proxy應用作適當的轉接服務，進行相應的地址轉換工作。

6、Proxy伺服器的設計

代理伺服器是作為內部私有網路和INTERNET之間的一個網關。通過代理方式，首先可以大大降低網路使用費，另外代理可以保護區域網的安全，起到防火牆的作用。

2.5.3操作系統

伺服器採用Windows server2003企業版作為網路操作系統。工作站客戶端採用Windows XP操作系統。

具體的安裝方法與日常裝機時相同。

2.6網路配置和管理

2.6.1綜合配置和管理

校園主幹網採用一台千兆多層交換機作為中心交換機，配置多台二層交換機作為二級交換機；在網路中心配置多台工作站，一台網管工作站，一台作為連入INTERNET/CERNET的路由器，同時在路由器上配置相應的撥號訪問模塊供撥號用戶訪問校園網;二級交換機通過千兆光纖上連到主幹交換機上，構成星形的拓撲結構，使得主幹網具有較好的可擴展性和可管理性；下屬站點採用10/100M接入方式，可以實現100M到桌面.網路中心的設備配置各高校可根據方案的「需求分析」部分，本著實用、高效的原則進行選型、配置（含二級接點和其他接點交換設備的選擇）。

所有系統內的用戶，IP地址規劃由網路中心統一規劃；對於上公網的用戶，需要進行IP地址轉換（NAT），即將內部私有地址轉換為公有IP地址。這樣的好處是既節省了有限的公有IP地址資源，又對外屏蔽了內部的網路，有利於網路的安全管理。

2.6.2網路核心層設計

作為網路核心，起到網間互聯作用的路由器技術卻沒有質的突破。傳統的路由器基於軟體，協議復雜，與區域網速度相比，其數據傳輸的效率較低。隨著Internet/Intranet的迅猛發展肯B/S（瀏覽器）計算模式的廣泛應用，跨地域、跨網路的業務急劇增長，業界和用戶深感傳統的路由器在網路中的瓶頸效應，第三層交換技術應運而生。第三層交換技術也稱為IP交換技術，高速路由技術等。

在本解決方案中，整個校園網路採用層次化網路拓撲結構，在網路中心的核心層配置聯想LRS-6706G第三層交換機。通過LRS-6706G第三層交換機完成高帶寬、大容量網路層路由交換功能交換，是一種功能強大的企業網主幹交換機，使網路管理者能方便地監督和管理網路，同時，又能將主幹網帶寬提升到千兆速度。LRS-6706G配置靈活、實用。可選的擴展模塊包括一個6埠的千兆模塊，一個16埠的10/100Base-TX擴展模塊。

LRS-6706G同時提供了增強的網路傳輸能力，例如：IP路由、服務質量（QoS）、分級傳送和IP組播。網路管理員能夠隨時通過任意一個埠配置以上功能，以消除傳統路由器的瓶頸，設置優先順序給不同類型的網路傳輸及保證某些應用的流量帶寬，如視頻傳輸。

LRS-6706G提供了廣泛的管理選擇，使用Netscape或IE瀏覽器，可以很容易地通過Web方式對交換機進行配置和監控。其中包括配置IP路由、IP組播、靜態VLAN、生成樹、設置陷阱和警報，察看RMON狀態和登錄事件。也可以通過VT100模擬終端以文本界面方式設置交換機。

2.6.3網路分布層設計

在校園園區內樓宇間連接時，主要樓宇可放置聯想機箱式言主幹交換機DES-6000作為分布層交換機，與主幹第三層交換機LRS-6706採用千兆以太鏈路冗餘方式連接，用以保證主幹鏈路的冗餘不連接。DES-6000採用級不連方式，通過千兆們埠與該樓宇的聯想可堆疊交換機DES-3624L連接。使得分布層交換機和接入層交換機之間均在全雙工模式下以1G的帶寬不連接，保證分支主幹無帶寬阻塞瓶頸。

2.6.4網路接入層設計

校園網廣域網的設計主要考慮如何實現和INTERNET、CERNET的互聯。校園網的撥號網路，主要目的是解決校內和校外零散用戶以及出差在外的臨時用戶的接入服務。訪問網中的技術關鍵是撥號訪問伺服器的選擇和對撥號上網用戶的安全控制。要求路由器有簡單的防火牆功能，具有良好的擴展性，即以後撥號用戶的擴展，其它公網的接入等。根據實際需要，能夠不斷增加撥號用戶的數量

在本方案設計中，採用聯想DES-3624系列可網管、可堆疊千兆乙太網交換機作為網路的接入級交換機，即放置於每幢樓的樓層內，可用以直接接入到辦公室或住宅內部。DES-3624系列是可網管、可堆疊的高性能交換機，包括：DES-3624I交換機和DES-3624交換機。DES-3624I提供了20個固定10/100Mbit/s埠和3個插槽，分別可插3口的堆疊模塊、單口或雙口的千兆模塊以及2口10/100Mbit/s（已內置）、100Base-FX模塊；DES-3624提供了22個固定10/100Mbit/s埠和2個插槽，分別可插單口堆疊模塊（已內置）和2口10/100Mbit/s、100Base-FX模塊。

DES-3624系列交換機堆疊後，可使用於高埠密度的部門級大中型網路；提供千兆乙太網模塊可適用於上連高速率主幹網路，用以有效地緩解網路骨乾的瓶頸。

採用1台DES-3624與3台DES-3624組成一個堆疊，可提供最多94個10/100BASE-TX埠和2個千兆乙太網埠。由於該技術採用背板堆疊，堆疊時不需佔用網路埠，而且堆疊後仍可以達到線速交換。

在設計接入Internet時，本方案推薦採用區域網專線接入方式。此方式需要配備聯想接入路由器LR-2501A租用電信部門的專線並向CERNET管理部門申請IP地址及注冊域名。聯想接入路由器LR-2501A可以通過DDN專線（最高可達2.048M帶寬）、FrameRelay、X.25、ISDN撥號等方式與Internet相連，還可以按照需要靈活配置多種廣域網埠模塊，提供寬頻、具有QOS保證的遠程多媒體服務。為了保證園區網路的安全，方案中在聯想接入路由器LR-2501A後，設置一台聯想LF-2000硬體防火牆，該防火牆可及時追蹤Internet的黑客攻擊行為和方法，實現了抗攻擊和反攻擊的安全策略，為用戶提供安全可靠的服務。在網路中亦可實現實時郵件病毒檢測、實時檢測是否有入侵行為、進行快速的流量過濾、訪問控制和加密，防止外部非法用戶的侵入以及內部用戶對外部網路的不安全訪問等。

另外，某些教師或學生如果要在園區外訪問校園內部網查找資料，這些遠程訪問用戶需要撥號訪問校園內部網，這就需要校園網提供遠程訪問服務。通過配備訪問伺服器可以滿足這些需求。使用聯想DI-520和DI540訪問伺服器，安裝在本地區域網中，通過1至4個數據機（或ISDNTA）和1至4根電話線，為們於任何地方遠程訪問人員提供撥號訪問本地區域網的服務。遠程用戶只要在當地擁有1個數據機和1根電話線，通過 撥接DI-540上所連接的電話號碼，就可以使其計算機登陸，訪問校園網上的資源。

2.7校園網內部信息資源建設

內部信息資源建設包括校園辦公管理系統、多媒體電子圖書閱覽室、網路多媒體課件製作系統等。外部信息資源包括學校主頁、遠程教學、Internet信息管理等。

1、校園辦公管理系統

校園辦公管理系統可分為以下幾個模塊：校長查詢、學生管理、教工管理、課程管理、工資管理、財產管理、人事檔案管理、文件管理等。

2、多媒體網路教室

多媒體網路教室有以下幾個功能模塊：教學功能、管理功能、輔助功能等。

3、外部信息資源建設

外部信息資源建設應包括以下功能模塊：Internet功能、遠程訪問功能、電子函件功能學校主頁、討論和交流功能、住處發布功能。

{1}Internet功能及遠程訪問功能 在信息時代宣傳學校、發布學校的信息，對提高學校的知名度，同時共享教育資源非常有意義。只要學校還沒有條件通過專線上Internet，可安裝Modem讓用戶遠程撥號入網。

（2）電子函件功能 校園網信息平台應用功能強大的郵件系統，可以為每個使用者建立自己的信箱，安全保密以極大地方便了通信。許多事務處理均可以通過郵件提醒，高效便利。

（3）建立學校主頁碼 在校園網中建立學校的主頁，可以以靈活生動的方式綜合介紹學校。這是展示學校風採的最佳手段。

（4）討論和漿功能 校園網信息平台具有討論的功能，可以允許所有人就一個問題發表自己的意見，面這種討論的好處在於它可以保留討論的過程，並且不受時間和空間的限制，如教學研討、經驗交流等均是以討論的形式出現。

（5）信息發布功能 學校有許多信息需要向老師、學生或社會公布，如學校的規章制度、招生信息、教學信息等，它們共同的特點是只許看不能改，校園網信息平台的安全體系保證這一點。

2.8網路安全

2.8.1網路安全性設計

網路的安全性是評價校園網的重要指標之一，對於校園網這樣的大型園區網，網路的安全問題就越發重要。

1、 本地主機系統的安全考慮

計算機病毒是伴隨著計算機而產生的，它同時隨著計算機技術的發展而發展，在網路環境中，計算機病毒更易於傳播，其對系統的危害也是明顯的，在校園網工程中建議採用網路與單機相結合的方式來避免計算機病毒的危害。

2、 內部網安全控制

通過VLAN的劃分，利用中心交換機上高性能路由模塊的管理和控制，可以控制內部各VLAN間的訪問。

3、 外聯網的安全控制

網路的安全問題主要是由網路的開放性、無邊界性、自由性造成的，所以考慮信息網路的安全首先應該考慮把被保護的網路由開放的、無邊界的網路環境中獨立出來，成為可管理、可控制的安全的內部網路。也只有做到這一點，實現信息網路的安全才有可能，而最基本的分隔手段就是防火牆。利用防火牆，可以實現內部網與外部網路（如網際網路）之間或是內部網不同網路安全域的隔離與訪問控制，保證網路系統及網路服務的可用性。

4、 撥號訪問的安全設計

對於從外部撥號訪問中心內部區域網的用戶，由於使用公用電話網進行數據傳輸所帶來的風險，必須嚴格控制其安全性。

主要措施如下：*通過在撥號訪問伺服器後設置防火牆來實現網路的安全性，以嚴格限制撥號上網用戶所訪問的系統信息和資源。

*使用專用身份驗證伺服器，以加強對撥號用戶的身份認證。

*在數據傳輸過程中採用加密技術，防止數據被非法竊取。

5、數據的安全： ]

網路系統應能通過身份驗證實現信息的鑒別，通過存取控制達到對信息的控制，通過數字簽名或數據壓縮等演算法保證數據在傳送過程中保持完整、保證信息的機密。在實現時重點考慮信息系統整體的安全控制策略和重要設備的安全控制。

2.8.2網路防火牆

防火牆界於網路出口，將網路分成內部網路和外部網路，並認為內部網路是安全的和可信賴的，而外部網路則是不太安全和不太可信的。防火牆檢查和檢測所有進出內部網路的信息流，防止未經授權的通信進出被保護的內部網路。

防火牆除了具有包過濾功能外，通常還可以對應用層數據進行安全控制和信息過濾，對主機地址轉換（SAT）和地址隱藏(NAT),具有認證、日誌、計費等功能。防火牆的實現技術非常復雜，由於所有進出內部網路的信息都需要通過防火牆的處理，因此對其可靠性和處理效益都有很高的要求。

此設計方案選用天網防火牆，它量款國產軟體。具有嚴密的襯里監測、靈活的安全規則及詳細的訪問記錄。可從www.sky.net.cn下載安裝。

2.8.3防毒軟體

面對計算機病毒的威脅，人們都希望能做好預防工作，而不是面對事後被病毒感染破壞的殺毒和數據恢復工作。預防計算機病毒最好的方法是安裝一套防毒軟體。防毒軟體對於保持系統安全很重要。目前國內主流的反病毒軟體有KV3000、Kill、瑞星、諾頓等多種品牌，它們各有所長，而且都有自己的特殊技術作為後盾。本方案選用「瑞星殺毒軟體」。它是北京瑞星科技股份有限公司針對流行於國內外危害較大的計算機病毒和有害程序，自主研製的反病毒安全工具。可以到瑞星公司的主頁（http://www.rising.com.cn）上去獲取試用版本。

2.8.4安全建議

1.建立良好的安全習慣。例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟體等，這些必要的習慣會使您的計算機更安全。

2.關閉或刪除系統中不需要的服務。默認情況下，許多操作系統會安裝一些輔助服務，如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3.經常升級安全補丁。據統計，有80%的網路病毒是通過系統安全漏洞進行傳播的，象蠕蟲王、沖擊波、震盪波等，所以我們應該定期到微軟網站去下載最新的安全補丁，以防範未然。

4.使用復雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的，因此使用復雜的密碼，將會大大提高計算機的安全系數。

5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網，以防止計算機受到更多的感染，或者成為傳播源，再次感染其它計算機。

6.了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施，在關鍵時刻使自己的計算機免受病毒破壞。定期看一看注冊表的自啟動項是否有可疑鍵值和內存中是否有可疑程序。

7.最好安裝專業的殺毒軟體進行全面監控。用戶還應該安裝個人防火牆軟體進行防黑將安全級別設為中、高，這樣才能有效地防止網路上的黑客攻擊。

❸ 網路方案設計過程主要分哪幾個步驟

步驟如下：

1，需求調研

2，需求分析

3，概要設計

4，詳細設計

設計方案內容包括：網路拓撲、IP地址規劃、網路設備選型等等。

(3)園區網路安全設計弱電擴展閱讀：

網路工程設計原則

網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。

1，實用、好用與夠用性原則

計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2，開放性原則

網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。

3，可靠性原則

無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。

4， 安全性原則

網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。

5， 先進性原則

網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。

6，易用性原則

網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。

7，可擴展性原則

網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。