校园网络安全技术设计

A. 求网络安全设计方案

这样专业性的你在这儿找？？太天真了！

B. 网络安全技术措施

最佳的解决方案

1.安装瑞星杀毒或卡巴斯基等杀毒软件，实时清除电脑木马病毒；

2.安装个人硬件防火墙，简单使用，实时监控且能100%防御黑客攻击，又不会影响电脑出现卡机等现象。

目前此类产品中阿尔叙个人硬件防火墙做比较专业，价格还算能接受

在设置一个网络时，无论它是一个局域网（LAN）、虚拟LAN（VLAN）还是广域网（WAN），在刚开始时设置最基本的安全策略非常重要。安全策略是一些根据安全需求，以电子化的方式设计和存储的规则，用于控制访问权限等领域。当然，安全策略也包括一个企业所执行的书面的或者口头的规定。另外，企业必须决定由谁来实施和管理这些策略，以及怎样通知员工这些规则。安全策略、设备和多设备管理的作用相当于一个中央安全控制室，安全人员在其中监控建筑物或者园区的安全，进行巡逻或者发出警报。那什么是安全策略呢？所实施的策略应当控制谁可以访问网络的哪个部分，以及如何防止未经授权的用户进入访问受限的领域。例如，通常只有人力资源部门的成员有权查看员工的薪资历史。密码通常可以防止员工进入受限的领域。一些基本的书面策略，例如警告员工不要在工作场所张贴他们的密码等，通常可以预先防止安全漏洞。可以访问网络的某些部分的客户或者供应商也必须受到策略的适当管理。谁又能来实施管理安全策略呢？制定策略和维护网络及其安全的个人或者群体必须有权访问网络的每个部分。而且，网络策略管理部门应当获得极为可靠，拥有所需要的技术能力的人员。如前所述，大部分网络安全漏洞都来自于内部，所以这个负责人或者群体必须确保其本身不是一个潜在的威胁。一旦被任命，网络管理人员就可以利用复杂的软件工具，来帮助他们通过基于浏览器的界面，制定、分配、实施和审核安全策略。你想怎样向员工传达这个策略呢？如果相关各方都不知道和了解规则，那规则实际上没有任何用处。为传达现有的策略、策略的更改、新的策略以及对于即将到来的病毒或者攻击的安全警报制定有效的机制是非常重要的。

C. 校园网络安全设计！主要是服务器群这这方面的设计！谢谢

〔摘要〕高校校园网已成为高校信息化建设的重要支撑平台，本文根据高校实际情况，从设计目标、思想和原则入手，分析并设计了高校校园网方案。
〔关键词〕校园网核心设备设计
随着计算机网络的发展，校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本，硬件网络系统为物袭颂质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。

一、设计目标

校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连:在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。

二、设计的关键

1.网络技术选型
在校园网网络的建设中，主干网选择何种网络技术对网络建设的成拍唯郑功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投资。所以要根据实际应用的需要，采用千兆以太网作为校园网的主干网，因为作为整个校园网的信息交换中心，网络的速度会直接影响到其他各子网的性能;在建设多媒体教室时，由于网络中将会有很多的图像和声音的传输，因此对带宽和传输速度有很高的要求，采用快速以太网就是最好的选择；而对于其他一些只有诸如简单文件传输之类的应用的环境，采用以太网就能满足要求。不同网络技术的复杂程度，在一定程度上直接影响校园网的维护、管理和使用效果。千兆以太网继承了以太网的技术简单，容易学习掌握的特点，是校园网的首选技术。
2.校园网的出口解决方案
目前，高校校园网IP资源及注册域名基本来源于中国教育科研计算机网——CERNET，但资费比较高，除了重点高校，带宽也受到了很大限制。而随着用户数量的不断增加，多数高校原有CERNET接入带宽已不能满足需求，扩大校园网出口带宽迫在眉睫，但扩大出口带宽带来的一个直接问题便是网络信息费的急剧增大，与CERNET相比，通过本地ISP接入CHINANET，在相同接入带宽的情况下费用较低。所以，采用双出口方案是高校校园网发展的一个新趋势，它综合运用了静态、网络地址转换和策略路由等技术，充分整合了CERNET及本地ISP的优势资源，是一种行之有效的校园网出口瓶颈解决方案。
3.网络核心设备的选择
(1)骨干带宽的选择。网络应用的增加对网络带宽提出了直接的需求。事实上，从1983年802.3标准的正是成立开始，以太网技术经过20年的发展，已进入万兆以太网（802.3ae标准）的时代。校园网络应用也是极其丰富的。并且随着组播技术在校园的应用，校园网核心层将面临严峻的考验。出于对网络发展的考虑，基于网络业务的发展，在拥有近山冲万个信息点的高校采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来，先采用千兆骨干，但核心设备必须支持万兆，并且在教育行业有应用，证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率，有效地保证了多媒体教学、数字图书馆等业务的开展。
(2)处理能力。核心层是网络高速交换的骨干，被设计成尽可能高速包转发率，同时能够提供高速的Internet的接入和高冗余性能，同时由于各高校基本采用了Internet和CERNET双出口，而且出口的速率不同，所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能，本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块，支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力，需要线速的数据转发和数据交换功能，即高背板带宽支持和高性能网络处理芯片的支持；由于是核心设备，还必须考虑整体网络的灾难备份和设备冗余，在设计中考虑的设备冗余需要有设备支持和协议支持，设备支持就是指在核心不能由单台设备进行整个网络的数据交换，需要有至少两台设备对整个网络进行有效的支撑，并已经具备灾难备份的硬件支撑能力。在协议上，需要支持冗余协议，实现整体网络冗余。支持在单台设备失效的同时，在最短的时间切换，避免网络损失。
对于核心交换机在整个网络的设计，还要考虑整体业务的支撑方式，因为设备只是物理承载层面，而用户需要在该物理层面实现其业务，达到职能和流程的有效快捷，这样，物理设备的业务支撑能力就至关重要。核心设备应提供分布式L2/3/4层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持NAT、MPLS、VPN、策略路由等应用；支持基于端口、MAC、VLAN、IP、应用类型等多种Qos；支持四个优先级队列和WRED、WRR、PQ、WFQ等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。
对于核心设备在网络中的举足轻重的位置，安全对于整个网络来说也整个网络的至关重要的，对于外部的黑客攻击和内部的病毒攻击的屏蔽，是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制，防止非法内容的访问；广播包抑制及广播源定位功能，保证网络用户安全。
(3)对于未来的扩展设计。对于在中心位置的核心设备的设计而言，随着时代的改变，其业务结构和规模也会改变，这样需要整个网络设备能够对未来的变化具备应对措施；由于核心设备是数据和业务的核心，所以，不能轻易的进行更换，同时，考虑到成本的因素，除非核心设备已经完全不能支撑目前业务的进行，否则，基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样，对于未来的扩展性就变得异常重要，核心设备扩展槽，接插模块类型，端口密度数应有所考虑，以保证整体设备的高性价比。
4.安全方案的部署
从各高校网络现状分析，目前面临的网络安全威胁来源主要来自以下几个方面：一是来自Internet的安全威胁，各高校有自己独立的链路通往Internet。从Internet上的任意接入点对本局域网发起的基于网络的攻击，以及对外公开的应用服务器的攻击，这样可以造成网络性能的急剧下降，应用服务器的瘫痪。使整体网络正常的内、外双向通信、存储等服务受阻或中断;二是来自校内局域网内部的恶意安全攻击，网络连接学生的计算机，学生有可能基于学习的目的可能使用各种入侵的软件，给系统造成隐含的威胁;三是高校内各相关部门的数据上报采用FTP 方式逐级复制，处于完全敞开和透明的模式，只要掌握IP地址，传输数据就可以被轻易截获，从而造成保密信息的泄露;再有来自操作系统、应用系统本身的漏洞及来自互联网、内部局域网的病毒安全威胁的攻击。学校范围内的病毒防护不能依靠个人的自觉性，应当从网关、服务器、客户端多个层面来统一部署，实施整体病毒防护解决方案。这样才能从根本上杜绝病毒的发作和传播，有效地保护学校内部资源，同时对新出现的病毒有一个很好的、快速的响应系统。

作为学校网络安全的防线，防火墙、入侵检测、防病毒系统是必不可少的，它可有效的对来自外网和内网的攻击做出及时告警，并给予一定的响应措施。
5.专网的设计
近来年，各高校依托校园网线路的其他各项应用也相继加入。如校园一卡通工程，涉及到全校师生及校财务、图书馆、餐饮等多个部门。既有用户的身份识别，有又用户的消费，所以，应考虑到此类应用的专网设计。包括设备选择、VLAN划分、IP规划、访问列表设置等。再有，校保安系统视频监控、冬季取暖温度采集系统都将工作在校园网上。
6.其他注意问题
在用户管理、计费方面，要保证计费数据的准确，交换机可以支持用户账号、IP地址、MAC地址、交换机端口、VLAN的绑定，保证了用户上网期间IP地址不被盗用，支持基于流量/时长/包月/带宽的计费及其组合计费方式。
在用户日志管理方面，业务管理平台和接入交换机配置可以实现完善的用户日志功能。用户访问日志的内容包括用户名、源MAC、VLANID、源IP、目的IP、访问时间。用户的目的IP地址改变时会产生一条日志。根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器，与服务器的日志相对应追查出一些事故的责任人。
在网络管理方面，网络管理软件支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。
此外，高校用户数较多，所以，故障管理、集群管理、流量性能监控等也是必不可少的。

三、结束语

高校校园网是一个复杂的系统工程，构建高性能的校园网需要与新的网络设计理念紧密结合，以高性能、高可靠性、高安全性及先进的服务质量（Qos）为核心，将高校的教学、科研及管理在校园网的平台支撑下更上一个台阶。
参考文献:
[1]Douglas Comer,《Internetworking With TCP/IP Vol Ⅰ:Principles, protocols,and Architectures》,Fourth Edition,Publishing house of electronics instry,2001
[2]Andrew S.Tanenbaum,《Computer Networks》,Third Edition,Prentice-Hall International,Inc.,1997
[3]Howard C.Berkowitz,《Desingning routing and switching architectures for enterprise networks》,Publishing house of electronics instry,2000

仅供参考

D. 校园网网络安全方案设计

这个你需要找当地的网络公司来做布局.工程也比较大.不过设计起来并不难,只是实施比较麻烦而已.我是做学校机房网络安全的,有问题可以直接网络HI我
1 图就不太好做了,只能通过语言来说,因为不知道你们学校的布局.
2 你说的也比较简单,只需要办公楼和机房建一个局域网,你连接外网的网线,只建一个内网就可以了.学生和老师的宿舍,单独拉一根网线路由,根本就涉及不到办公楼和机房的局域网了.
3 网络安全主要就是办公楼和机房,宿舍属于老师和学生的个人电脑,而且连接外网,不属于公共电脑,也就涉及不到安全管理了.办公和机房电脑,只需要同一管理,安装保护卡,同一分配IP,统一机型,统一内部文件,管理起来非常方便.

E. 校园网基本网络搭建及网络安全设计分析

摘要：伴随着Internet的日益普及，网络应用的蓬勃发展，网络信息资源的安全备受关注。校园网网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，保证网络系统的保密性、完整性、可用性、可控性、可审查性方面具有其重要意义。通过网络拓扑结构和网组技术对校园网网络进行搭建，通过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效 措施 。

关键词：校园网；网络搭建；网络安全；设计。

以Internet为代表的信息化浪潮席卷全球，信息 网络技术 的应用日益普及和深入，伴随着网络技术的高速发展，各种各样的安全问题也相继出现，校园网被“黑”或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、 基本网络的搭建。

由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：

1. 网络拓扑结构选择：网络采用星型拓扑结构（如图1）。它是目前使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

2.组网技术选择：目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高；FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级；ATM技术成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低；目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的__带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网 、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到 其它 VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。

但是，这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害，同时为了建立一个集中有效地病毒控制机制，天下论文网需要应用基于网络的防病毒技术。这些技术包括：基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如，我们准备在主机上统一安装网络防病毒产品套间，并在计算机信息网络中设置防病毒中央控制台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。形成的整体拓扑图。

第二，防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，，应用代理等功能，保护内部 局域网安全 接入INTERNET或者公共网络，解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众，因此必须对这些信息进行严格的保护和保密，所以要加强外部人员对校园网网络的访问管理，杜绝敏感信息的泄漏。通过防火墙，严格控制外来用户对校园网网络的访问，对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护，包括：过滤掉不安全的服务和非法访问，控制对特殊站点的访问，提供监视INTERNET安全和预警，系统认证，利用日志功能进行访问情况分析等。通过防火墙，基本可以保证到达内部的访问都是安全的可以有效防止非法访问，保护重要主机上的数据，提高网络完全性。校园网网络结构分为各部门局域网（内部安全子网）和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机，包括各个VLAN及内部服务器，该网段对外部分开，禁止外部非法入侵和攻击，并控制合法的对外访问，实现内部子网的安全。共享安全子网连接对外提供的WEB，EMAIL，FTP等服务的计算机和服务器，通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。

参考文献：

[1]Andrew S. Tanenbaum. 计算机网络（第4版）[M].北京：清华大学出版社，2008.8.

[2]袁津生，吴砚农。 计算机网络安全基础[M]. 北京：人民邮电出版社，2006.7.

[3]中国IT实验室。 VLAN及技术[J/OL], 2009.

F. 我需要一份校园网的设计方案，可以帮助我吗具体的资料如下

综合布线方案
技术方案
结构化综合布线(SCS)系统技术设计方案
一、综述
A. 布线系统将贯穿于1、2、3楼的各个平面。主要为话音、数据、图像等系统信号提供高性能传输路由。
B. 作为一个综合性的线路平台，应具有最大的兼容性和开放性，可满足各类型通讯及计算机等的传输需要和网络结构，提供一个标准化、高带宽、低成本的网路环境。
C. 系统应具有开放的模块化结构，可灵活地进行资源分配，线路管理、变更和扩展。
D. 系统应提供一个安全、有序、便于管理的设备安装及连接环境，可快捷简便地进行系统安装和运行。
E在充分考虑目前应用情况下，以高起点和适度超前的原则来规划本系统。为各种高性能应用提供充足的传输带宽，为日后系统的升级提供充足的空间。
F. 采用目前国际上最先进的工程标准及规范，去设计和规划系统，使之成为市内的有代表性的工程样板。
G．客户基本情况
楼层面积约16.5 x 9米，且已有光纤到楼层。网络信息点：90个；语音信息点：18个
二、系统设计
1、系统选型
PANDUIT结构化综合布线
基于上述的系统目标规模，在系统选型上应选用在技术上处于领导地位，产品成熟稳定，具有极佳应用效果的布线材料。本设计中，我们推荐使用PANDUIT的建筑物结构化综合布线系统。
PANDUIT美国泛达公司是世界着名的网络布线系统生产商---被喻为专家级的布线产品，PANDUIT是世界工业标准组织的成员之一。它以推广采用创新产品而享誉全球市场，其二代布线产品以高品质享誉国际包括美国、日本及欧洲等多个国家中，在其布线市场的占有率在前三名之内。
PANDUIT布线产品---PAN-NET网络布线系统的明显优点是绝对的模块化、免打及可方便地采用色标管理。该系统包括可供双绞线、同轴电缆和光缆使用的单个模块，此类模块可以混合安装，这样可以最大限度地提高系统的密度和灵活性。
着名网络厂家CISCO公司指定PANDUIT为其唯一的布线产品，专家的选择更显卓越出众。此外，3COM、MOTOROLA、LEHMAN BROTHER证券行也是PANDUIT的客户。
1997年PANDUIT泛达公司在北京成立了代表外，同上海代表一起，再加上分销商及系统集成商的努力，泛达公司在国内取得了令人鼓舞的业绩。泛达公司的国内客户包括：中华人民共和国专利局、国家教育部、CISCO北京办事处、上海通用汽车、中国银行江苏分行、大庆油田采油公司，昆明新闻中心、鞍山证券、长春证券以及华夏证券、华南师范大学电教系、广州港务局等。

技术上的不断领先和创新，为世界性的工业标准提供指导作用。
PANDUIT产品保证：
20年的PAN-NET产品质保------包括所有的PAN-NET产品。
15年的网络系统质保------保证满足你要求的端对端高性能布线系统。

2、系统规划
2.1 结构
楼内布线系统
1) SCS结构化布线系统楼内布线分为工作区子系统，水平子系统、主干子系统及管理/设备子系统的五个部分。
2) 采用中心星形结构，分为水平、系统主干布线两个层次。如下图：

3) 从设备间出发，水平布线采用4对的UTP电缆，阻抗100W，最长布线距离限制为90米。工作位的信 息出口处采用兼容EIA、RJ45 的5类液纯派8针插座模块连接。在配线架端，采用RJ45式端接模块，可满足多系统（数据和视像等）并行使用。并可采用D8SA模块跳线与网络设备直接连接，全套采用超五类布线器件组成。
4) 设备中心内闹贺，将设立管理配线架，对各应用网络进行配接管理，采用RJ45模块专用跳线裤芹；对于 构造网络的各种通信设备，则提供统一的19inch工业标准设备机架作设备的安装；而设备的连接同样采用标准RJ45模式统一连接接口(可选)。
5) 楼内信息点配置表：

三、系统描述及安装规范
体系统配置和结构可参照综合布线系统的结构示意图及系统配置表。
1、工作区子系统
指各应用位置上的信息插座、终端设备连接线等部分；分布在建筑物内的不同位置，全部采用国际标准EIA/TIA568B(RJ45)插座接口，以各种方式固定在墙上或地板上。
对于本方案中，我们的设计是使所有插座都支持155Mbps数据通信（计算机通信）应用，故采用全PANDUIT超五类CJ588信息插座，以同时满足数据和视像的应用。而水平信息点的分布，是按照大楼需求分析统计所得，具体的分布还要根据各楼层的实际应用和装修环境再作确定。
1.1 材料规格/性能
每个信息点配有一个RJ45 8针模式插座，每个插座由4对非屏蔽电缆单独配线。可用于话音、数据和图象等网络连接应用。这些插座已通过了美国UL独立实验室的测试认可。
信息点使用的标准8针模式连接插座，符合ISO 8877标准和EIA－TIA568协会的机械性能和电气性能标准。相关文件有：
ISO/IEC 11801通用布线标准
EIA－TIA568
为增强接口的通用性，本方案选用了PANDUITCJ588标准插座模块，经测试能支持100Mbps以太网、622Mbps的ATM应用。具有较好的NEXT、Attentuation性能指标和网络ACR值。面板规格为86×86mm，面板上有应用标识及座位编号标签，可方便地进行系统管理。
这些插座在连接电缆时不需任何工具，安装电缆是根据插座背后标明的与RJ45插座的接点相一致的编号进行的。

1.2 器件构成
在工作区内，有关布线的组件包括：
终端模块化插座/面板
多功能插座底盒
平衡器和适配器
工作位设备连线
在SCS综合布线系统中，设置终端设备的地方应当设至少2个86×86mm插座位。用以安装工作站运作过程中，所必须配置的电源插座和网络接口插座。
普通办公工作位信息点配置情况如下：
一个CJ588插座（型号CJ588）。是8针模块化插座，同时可用于数据、图象网络等应用；
一个220伏10/16安培的电源插座；最好能附加一个电脑工作站的备用电源插座（UPS）。

1.3 插座安装方法
CJ588信息插座模块根据各种环境有如下的安装方法：
放在插座盒里，插座盒可以安装在墙面上或镶嵌在墙上，也可以安装在活动地坂上；
安装在办公桌面上；
直接安装在组合式办公家具上；
装在PBM导线柱上（若电缆从吊顶下来）。
2、水平子系统
本系统是把分布在同一水平层内的信息插座，以星型结构连接到管理模块上。采用PANDUIT的超5类4对非屏蔽双绞线(UTP)；每个信息插座的信息出口均对应布放1条4对水平电缆。
2.1 材料规格/性能
2.1.1 Panit 超5类电缆
每个工作位信息插座连接1条PVC阻燃外皮4对UTP双绞线电缆。可用于话音、高速数据、图象网络等应用。其技术性能为：
属于五类产品系列，
符合ISO/IEC/IS11801 D级标准，及EIA/TIA-568A的标准
特性阻抗：100W±15W
缆直径：5.2mm
单导线采用AWG24/0.51mm线号
根据PANDUIT结构化综合布线系统的关于布线长度及盘曲弯度的规范：
信息点与配线架之间距离，最大为90米；
电缆弯曲半径为电缆外皮直径的8倍。
2.2 水平电缆的布放及管道
为结构化布线系统的管槽，有别于强电的管槽布放方法，除要有结构化、灵活性等特点外，其密封性、屏蔽性及储线容量等方面都有较高的要求。
系统的布线是放射型的，线缆量较大，所以线槽容量的计算很重要。按照标准的线槽设计方法，应根据水平线的外径来确定线槽的容量。
即：线缆的横截面积之和 × 1.8
水平线子系统完成由接线间到工作区信霄口线路连接的功能。分为两种管线方式：
2.2.1 走廊电缆通道
电缆通道必须是金属或塑料制成的。应该根据电缆的大小和可用空间的大小计算并安装电缆通道。
传输数据的铜芯电缆应受到保护，以免受主要干扰源的干扰，尤其不受产生重大干扰源的电力电缆的干扰。这些干扰对高频的影响很大并因此污染附近的通信电缆，因此可采用一个基础的预防措施，即把电缆通道的用途作一个长期性的规定：
"弱电"电缆通道（数据、电话、图象）
"强电"电缆通道（电力电源）
在可能的情况下，这两种通道都应用金属材料做成并固定在天花内，这些金属材料的通道构成了一个珍贵的接地物体，可以将电缆容纳其中并加以固定，因而可以将外部的干扰电源引导他处。这些通道的金属物体应当根据现行的安全标准与地线连接。
以下介绍几种可能的走向：
当弱电电缆通道折走向与电力电缆的走向相同时，它们之间应至少相距30厘米。我们建议可以将走廊的一侧用于强电电缆，另一侧用于弱电电缆。电缆通道的0.3米距离内应当避免荧光灯。
对本项目，采用走吊顶的轻型装配式槽形电缆桥架方案。这种方式适用于大型建筑物，为水平线缆系统提供机械保护和支持。装配式槽形电缆桥架是一种闭合式的金属槽架，安装在天花内，从弱电井引向各个设有信息点的开间。再由墙内的不同规格的铁管及导槽，将线路引到办公室的插座底盒内。
2.2.2 办公室里的电缆通道
"弱电"电缆通道应尽可能近地延伸至信息点附近。在办公室配线时采用与走廊电缆通道相同的规定。但如果与电力电缆的平行走向长度较短，相隔距离也可较近，其平行距离及走线的管道弯曲应注意：
少于2.5米时，两者之间的相距至少2.5厘米
少于10米时，两者之间的相距至少4厘米
如果数据电缆设在一个全金属的线槽内并与地线正确连接，与电源电缆相隔距离可以是1厘米，但同时平行的长度必须小于10米
在安放电缆时，必须注意遵守电缆的最小弯曲度，UTP为外径8倍，光缆为外径的10倍。并因此预计电缆通道。同时，电缆也必须遵守一些机械性能的要求以避免其电性能的衰减。
2.3 垂直线缆布放及管道
怎样设置电缆通道尤其是垂直布线的管道是布线安装中的首要考虑的问题之一。因为其直接影响到水平、垂直布线走线情况。
规范与标准
电缆通道安置需看安装所在环境的情况而定，为了能限制可能的电磁干扰，电缆通道、竖井和配线间都应当设在距离电梯和发电机尽可能远的地方。电缆通道也应与多网格状的接地系统相连接。
强电和保护电缆可能会给话音/数据/图象信号弱电电缆带来干扰。因此必须采取一些必要措施，以便这些不同类型导体的通道能运行正常：
不同的电缆金属通道之间相隔至少0.3米。
强电/弱电电缆处于同一电缆通道里，强电与弱电电缆分开，并用金属板隔离，而且导线之间的距离相隔0.3米。
平行电缆管道必须遵守以上规定。当遇到电缆交叉而过时，交叉必须成直角，以减弱回路影响。
3、管理区子系统\设备子系统
处于各线缆汇集点，将各系统线缆用标准的线架模块进行分区端接，并实现水平配线、光纤干线及设备信道之间的交连和互连，可方便地将通讯线路定位或重新定位到不同的工作区，
3.1 管理、设备配线间的环境需求
配线间不应是一个"壁橱"，而应当是一个真正的操作工作室，其特点如下：
面积：（其规模根据安装在此的设备大小而定）
电源供应：至少1KVA（具体根据安装的设备而定）
低阻抗接地：低于5（建议值）
通风系统
免提电话
与竖井相连
照明至少200勒克司
门宽至少75厘米，带锁
远离所有电磁干扰源
配线间的面积应当不仅足容纳布线系统的所有连接器具，而且也能满足容纳所需的通讯设备及配件以便构成所有网络。这些设备一般是19"规格，要求电源供应和通风。因此在配置中，我们为每个管理设备间设置了一个19"设备机架。
配线间应距离强力电动机（电梯和发电机）和电力电源变电室至少2米。配线架框架的两端应当与设在工作室里的接地带连接（根据接地等级），否则应与工作室的主要接地端子连接。配线架应当与电缆金属通道连接。在同一配线架的各轨道之间应保证电的连续性。
配线间应关上门以保证所装网络的安全。而大楼配线间应该由局内指定一个部门作统一管理和维护。如果由好几个部门同时使用，他们可以共享配线间，但是这时可能会出现管理混乱，并容易发生安全和保密问题。
3.2 设备配线间的组织
配线间的组织应当加以分析以便能安放短、中期中所需要的全部设备。光纤布线的配线间和铜线布线的配线间可以是同一个。但是，如果光纤模块的量很多，最好将光纤模块放在一个专门的配线架上。
设备配线间内应由两方面的设施构成。一部分是配线管理线架；另一方面是具体网络设备的安放和配接器件。
在配线间里面，有配线器架、配线器框架以及安装以下传输设备所需的19"构件（底架、柜）：中继器
集中器
集线器装置
局部网络的服务器
网关、路由设备等
图象通信有源产品

配线器架和框架上放置各种模块以连接配线电缆。这样，再使用一些附件和有源设备，就可以构成具有一定拓扑结构的网络了。在这些元部件上作一些变动即可以改变拓扑结构。

配线间之间的连接通过更高网络或通过主干电缆进行。配线间接收所有来自办公室的水平配线电缆以及来自于其它管理配线间的主干电缆。这些主干电缆，根据不同情况可以是双绞线的，也可以是光纤的。
对于光纤配线，光纤的载体（光纤头或光纤线架）也放在这配线间内。
3.3 配线间的设备

线间安装结构图：
配线间里的设备分成四部分：
配线架模块
光纤配线架
19"承载部件（机箱、机架、配线板）
分区网络设备
3.3.1 配线架模块
19"RJ45模块化配线架（主机房设备环路互连）
本项目主要的应用是话音、计算机网络传输，因此在与设备连接的管理配线架上，我们可选取了与计算机网络设备具有相同接口的RJ45模块式配线架CPP24WBL；及110型P110B100R4WJ配线架。可安装在标准的19"设备机柜上，可通过标准的RJ45跳接线及话音跳线与网络设备及话音总机直接配接。
为了能符合在配线间安全方面的标准，这些连接模块是用聚酸醋制成的，没有毒性。
这些模块运用了接插领域最新的科技进步成果，尺寸结构极其紧凑，用聚碳酸酯制成（牢固、电性能高），接点坚硬受到保护（藏在一层塑料里面因此不突出在外），新的制作IDC接点的技术，使其连接性能质量更高，传输性能优化，特别适合高速率传输。
3.3.2
19"承载部件随着通信网络传送速度的提高，楼内结构化线路系统的广泛应用；越来越多的电子设备在网络得到应用：共享集线器、交换机、Modem、路由器、桥接器、Mux等。而通常这些电子器件都是以标准19"作为装配尺寸。因此，在配线设备间类都配置一定数量的19"标准设备机柜。
3.4 中心配线
本工程在大楼2楼设置总配线架，作为本大楼所有UTP电缆主干的配线中心及1至3楼水平线缆的配线中心。
四、系统服务
我方对本项目实行总承包，从系统设计，工程管理，管槽安装，线缆布放，线缆端接、系统安装调试，性能测试，验收报告、向PANDUIT申请15年系统保证及日后系统保养；提供一揽子服务。以下为工程服务的标准及范围：
1、工程设计、施工及验收标准
1.1标准
IEEE 802.3 10BASE－T，10BASE－FL
IEEE 802.3U 100Base-T
IEEE 802.5 TOKEN RING
EIA/TIA 568 EIA/TSB 40
EIA/TIA SP-2840
IEEE 802.6 FDDI/CDDI/TPDDI
CCITT ATM 155MBPS
1.2安装与设计规范
中国民用建筑电气设计规范 JGJ/T 16-92
EIA/TIA 568 商业建筑布线标准
性能测试符合UNDERWRITER LABORATORY(UL)的局域网缆线规划
工业企业通信设计规范
市内电话线路工程施工及验收技术规范
公布的<<建筑与建筑群综合布线系统工程设计规范>> ( 中国工程建设标准化协会标准 )
2、设计服务
当确定由我方承接本工程项目后，在需方提供建筑蓝图的前提下，本公司的工程师将按照美国PANDUIT的设计标准，为用户设计建筑物的综合布线系统。
该综合布线系统应参照国内有关通讯、计算机网络对传输线路的要求、标准等，如标准有冲突时，以标准高的为准。并向用户提供管线方案、建筑分布、系统配置、设备选型及工程进度等工程设计方案。
3、施工服务及人员配置
3.1 管槽安装、线缆布放及督导：
为了确保在布线过程中线缆不会受到损坏，我方会派出由PANDUIT指定工程师2人，在现场督导施工人员完成线缆在建筑物中的铺设；另外，我方同时会派出专业的管槽施工队，负责管槽的现场安装与线缆的布放，从而保证了线缆在不同的环境下，都能达到高速传输指标要求；为了确保布线质量，我方将用专用仪器及时检测线路的通道干扰、衰减等性能，并提交检测结果的证明文件。
3.2 配线及端接：
负责对主、分配线架进行安装，以及对各子系统电缆的配线、系统设置、安装和跳接。这部分工作会由我方的工程技术人员负责，以保证其高质量地完成。
3.3 测试：
测试分二级进行，即自测和PANDUIT测试。工程人员分二端进行跟踪测试，并详细填写测试记录，其中包括线序、通断、串扰及衰减的测试，且必须满足PANDUIT的标准。
4、工程验收和服务
4.1 验收与保证：
在整个施工、测试过程结束后，我方将向客方提交完整的工程文档，及系统测试数据；最后联同客方的领导和相关工程负责人，对工程进行验收，确定合格后，提交验收证明文件。
自验收之日起，我方负责向客户提供1年的工程质量保修。并提供终身系统保养和技术支持。并协助客户向PANDUIT申请十五年系统保证。
4.2 文档：
为了方便用户的管理和验收，我们将向用户提供整套布线系统，包括系统结构图、编号图、配线管理图表及系统应用方案等有关资料。
4.3 培训：
负责现场培训2名技术人员，以使他们具有对布线系统独立管理的能力。
5、与其它系统的配合
交换机系统和计算圾络系统的服务(包括安装、培训、维护)，由提供相应系统设备的厂商负责。其与综合布线系统相关的部分，即各系统内部由综合布线系统构成部分的服务有我方负责组织协调实施。对整个连接进行可靠性测试，并提交测试证明文件。
五、系统报价
1、PANDUIT布线材料费用预算表：
略
工程范围包括：
1、管槽安装、线缆布放；
2、线缆整理、编码、 标识；
3、设备柜及演示板内的配线架安装，与线缆端接；
4、插座的标识、端接及面板安装；
5、布线的初测与性能测试；
6、编写布线分布图、编码表、完工测试报告

G. 你可以把那份校园网网络安全设计方案发给我吗

成都信息工程学院
网络工程系

《安全系统整体解决方案设计》
课程设计报告

成绩（总分）：
网络现状描述
（10分） 漏洞分析
（20分） 物理安全
（15分） 主机安全
（20分） 网络安全
（25分） 总结
（10分）

姓名： 熊怀刚
学号： 2004033031
班级： 信安（1）班

第一章 企业网络的现状描述 3
1.1 企业网络的现状描述 3
第二章 企业网络的漏洞分析 4
2.1 物理安全 4
2.2 主机安全 4
2.3外部安全 4
2.4内部安全 5
2.5内部网络之间、内外网络之间的连接安全 5
第三章 企业网络安全整体解决方案设计 5
3.1 企业网络的设计目标 5
3.2 企业网络的设计原则 6
3.3 物理安全解决方案 6
3.4 主机安全解决方案 7
3.5 网络安全解决方案 7
第四章 方案的验证及调试 8
第五章 总结 9
参考资料 9

 
企业网络整体解决方案设计
第一章 企业网络的现状描述
1.1 企业网络的现状描述

网络拓扑图

以Internet发展为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,以往一直保持独立的大型机和中-高端开放式系统（Unix和NT）部分迅速融合成为一个异构企业部分。
以往安全系统的设计是采用被动防护模式，针对系统出现的各种情况采取相应的防护措施，当新的应用系统被采纳以后、或者发现了新的系统漏洞，使系统在实际运行中遭受攻击，系统管理员再根据情况采取相应的补救措施。这种以应用处理为核心的安全防护方案使系统管理人员忙于处理不同系统产生的各种故障。人力资源浪费很大，而且往往是在系统破坏造成以后才进行处理，防护效果不理想，也很难对网络的整体防护做出规划和评估。
安全的漏洞往往存在于系统中最薄弱的环节，邮件系统、网关无一不直接威胁着企业网络的正常运行;中小企业需要防止网络系统遭到非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题，而这些都不是单一的防病毒软件外加服务器就能够解决的。因此无论是网络安全的现状，还是中小企业自身都向广大安全厂商提出了更高的要求。

第二章 企业网络的漏洞分析
2.1 物理安全
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，防止非法进入计算机控制室和各种盗窃，破坏活动的发生，这些风险是可以避免的。
2.2 主机安全
对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性李扒。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证，特别是在到达服务器主机之前的认证，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。
与日常生活当中一样，企业主机也存在着各种各样的安全问题。使用者的使用权限不同，企业主机所付与的管理权限也不一样，同一台主机对不同的人有着不同的使用范围。同时，企业主机也会受到来自病毒，黑客等的袭击，企业主机对此也必须做好预防。在安装应用程序的时候，还得注意它的合法权限，以防止它所携带的一些无用的插件或者木马病毒来影响主机的运行和正常工作，甚至盗取企业机密。搏携
2.3外部安全
拒绝服务攻基扰伏击。值得注意的是，当前运行商受到的拒绝服务攻击的威胁正在变得越来越紧迫。对拒绝服务攻击的解决方案也越来越受到国际上先进电信提供商的关注。对大规模拒绝服务攻击能够阻止、减轻、躲避的能力是标志着一个电信企业可以向客户承诺更为健壮、具有更高可用性的服务，也是真个企业的网络安全水平进入一个新境界的重要标志。
外部入侵。这里是通常所说的黑客威胁。从前面几年时间的网络安全管理经验和渗透测试结果来看，当前大多数电信网络设备和服务都存在着被入侵的痕迹，甚至各种后门。这些是对网络自主运行的控制权的巨大威胁，使得客户在重要和关键应用场合没有信心，损失业务，甚至造成灾难性后果。
病毒。病毒时时刻刻威胁着整个互联网。前段时间美国国防部和全年北京某部内部网遭受的大规模病毒爆发都使得整个内部办公和业务瘫痪数个小时，而MS Blaster及Nimda和Code Red的爆发更是具有深远的影响，促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治。对病毒的彻底防御重要性毋庸置疑。
2.4内部安全
最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。
不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
2.5内部网络之间、内外网络之间的连接安全
内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自internet上的风险和下级单位的风险。
内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。
随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作

第三章 企业网络安全整体解决方案设计
3.1 企业网络的设计目标
企业网络安全的设计目标与其他网络安全的设计目标一致，包括：保密性，完整性等面向数据的安全及可用性，可控性，可审查性等面向用户的安全。面向用户的安全即网络安全又包含：鉴别，授权，访问控制，抗否认性和可服务性，以及在于内容的个人隐私，知识产权等的保护。企业网络的安全即指该网络系统的硬件，软件及其系统中的数据的安全。网络信息的传输，存储，处理和使用都要求处于安全的状态。
保密性：指信息不泄露给非授权的个人，实体和过程，或供其使用的特性。
完整性：指信息未经授权不能被修改，不被破坏，不被插入，不延迟，不乱序和不丢失的特性。对网络信息安全进行攻击其最终目的就是破坏信息的完整性。
可用性：指合法用户访问并能按要求顺序使用信息的特性，即保证合法用户在需要时可以访问到信息及相关资产。
可控性：指授权机构对信息的内容及传播具有控制能力的特性，可以控制授权范围内的信息流向以及方式。
可审查性：指在信息交流过程结束后，通信双方不能抵赖曾经做出的行为，也不能否认曾经接收到对方的信息。
3.2 企业网络的设计原则
在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则：
综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际 、额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。
一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容光焕发及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。
易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。
分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。
多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。
可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。
3.3 物理安全解决方案
环境安全：对系统所在环境的安全保护，如区域保护和灾难保护。
设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
媒体安全：包括媒体数据的安全及媒体本身的安全。
3.4 主机安全解决方案
1.对主机用户进行分组管理，根据不同的安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证，确保用户的密码不会被他人所猜测到。
2.及时更新主机系统，防止因系统漏洞而遭到黑客或病毒的攻击。
3.对于应用服务，我们应该只开放那些需要的服务，并随时更新。而对于那些用不到的服务应该尽量关闭。
4.安装并及时升级杀毒软件以避免来自病毒的苦恼
5.安装防火墙可以有效的防止黑客的攻击
3.5 网络安全解决方案
在内部网络中，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。
将分散系统整合成一个异构网络系统，数据存储系统整合成网络数据中心，通过存储局域网的形式对系统的各种应用提供数据支持。随着信息的访问方式多样化,信息的处理速度和信息的交换量都成倍数的增长。使整个信息系统对数据的依赖程度越来越高。采取以数据为核心，为数据访问和数据处理采用整体防护解决方案也是系统必然的选择。基于联动联防和网络集中管理、监控技术，将所有网络安全和数据安全产品有机的结合在一起，在漏洞预防、攻击处理、破坏修复三方面给用户提供整体的解决方案，能够极大地提高系统防护效果，降低网络管理的风险和复杂性。
整体防护主要包括以下方面：
数据访问控制系统:
•防火墙——对不同安全域之间信息交换进行访问控制。
•防病毒——对计算机病毒进行检测、查杀和系统修复。
•入侵检测——对网络进行监测, 提供对网络攻击的实时保护, 是防火墙的合理补充。
•漏洞扫描——对网络安全性通过扫描进行分析评估。
•VPN加密——对网络数据进行封包和加密，使公网上传输私有数据，达到私有网络的安全级别。
•物理隔离——内部网不得直接或间接地连接公共网，满足高度数据安全要求。
数据安全处理系统：
•数据存储——基于RAID的存储技术防止系统硬件故障。
•双机容错——提供系统应用级的故障处理，适用于高可靠性需求。
•数据备份——基于时间对文件和数据库级别的系统故障提供解决方案。
•灾难恢复——对整个主机系统提供保障和系统的快速故障修复能力。

下图是防护系统对一个完整的网络攻击及防护方法的演示效果图：

第四章 方案的验证及调试
采用集中管理、统一监控的整体防护解决方案，能够极大的提高内部网络对网络攻击的防范能力和数据故障的处理能力，降低了网络管理的复杂性，提高了整个网络的可用性和稳定性。具体表现在以下方面：
•漏洞扫描和防病毒系统增强了各个网络节点自身系统的稳定性和抗攻击能力。
•防火墙作为网络系统的屏障极大地降低了内部系统遭受网络攻击的可能性。
•入侵检测与防火墙采用联动联防提高了系统自动对网络攻击的识别和防御能力。
•网络隔离系统将内部核心业务系统与外部网络物理隔离，降低了网络风险。
•磁盘阵列和双机容错提高了主机系统对软硬件故障的自动修复能力。
•网络存储方案将系统应用与数据读写分离，提高了系统的处理速度，节省了网络带宽。
•数据备份和灾难恢复降低了由于数据丢失造成的网络风险，提高了系统管理员排除故障的速度和效果。
•系统主干的所有防护设备都采用了冗余设计，防止了单点失效产生的故障隐患。
•采用网络管理工具使系统管理员对整个网络的运行状况一目了然，使网络管理更加简单、方便。
整个安全防护系统的效果评估作为一个整体的安全防护系统，方案设计中对于攻击行为的每一个步骤都有相应的措施进行防御，并且系统管理员可以通过网络管理软件掌握内部所有的安全隐患和攻击企图，根据具体情况采取灵活的处理措施，从而达到最大的防护效果。

第五章 总结
通过这次课程设计，我才了解到做一个企业网络安全系统整体解决方案的复杂。在我经历了网上查资料，书本找资料的过程中，我也只是完成了这么一些。对于一个企业网络来说，我想：理论终究是理论，还需要时间验证，而且在企业网络中面临着各种各样的问题，或者是在这个方案中没有提到的，那么在整体方案设计的方面我需要学习的东西还很多。已经大四了，马上就要毕业了，我也将进入到另一个学习的范畴中了，一个更需要努力更需要动手实践的领域！

参考资料
（1）保护网络空间的国家战略 美国
（3）计算机系统安全 曹天杰等 高等教学出版社
（4）密码编码学与网络安全-原理与实践（第三版）William Stallings等 电子工业出版

H. 大学校园网设计方案_校园网建设规划

校园网建设和规划

校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现桥宽型各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段。可见，校园网的建设和应用是一项灵魂工程。教育信息化是我国国民经济和社会信息化的重要组成部分，并已纳入我国的"十五"计划中。中等职业教育担负着培养数以亿计高素质劳动巧游者和技能型人才的重要使命，是我国经济社会发展和人力资源强国建设的重要基础。

近期国家教育督导团日前发布《国家教育督导报告：关注中等职业教育》。此次《报告》的发布旨在强化各级政府依法履行发展职业教育责任，落实教育规划纲要要求，促进中等职业教育发展。教育部副部长刘利民就发布《报告》与部分省份分管负责同志约谈，共商促进职业教育发展的思路。无疑地说明了中等职业教育信息化建设的紧迫性和重要性。

校园网建设规划是一项技术性、系统性敏猜很强的工程。它由计算机网络系统、安防系统等组成。表面上看是一个综合布线系统，已及覆盖学校教学、管理等各个方面的应用软件组成，同时还要考虑到技术的可行性、资金的可行性、拓展的可行性等诸多因素。下面就来谈谈校园网建设和规划。

我校在整个信息化建设中，可大致分为七个大方面：

 校园网络硬件建设

 校园安防系统建设

 校园VOD视频智能点播系统建设

 校园一卡通

 校园网络软件建设

 校园网络安全建设

 校园智能照明控制系统建设

一、校园网络硬件建设

目前，就校园网网络建设中，采用先进的千兆以太网及无线网络相结合的构架。千兆交换式以太网是网络实施中最成熟的方式之一，具有结构简单、投资较少、建设周期短、维护方便等特点，为大多数学校所采用。

随着近几年来，无线校园网络的建设浪潮在全球蔓延：美国、欧洲、日本、新加坡等国家纷纷建立起无线校园网络环境。我国的无线校园网络建设步伐也紧跟着技术的发展。上海中学、北京大学都是无线校园网络建设的典范。无线局域网以其灵活布设、高带宽和无线接入的优势，可以突破有线网络节点限制、实现多人同时上网的问题，大大地增加了校园网络信息点，方便在校师生获取信息，进一步提升学校的信息化水平。此外，无线网络环境的引入，为崭新的无线多媒体提供了应用平台，从而将教育信息化建设带入一个崭新的天地。

我校根据自身的实际情况，拟采用千兆以太网和无线网络相结合

的网络架构，保证学校网络的稳定性、安全性、灵活性等。

通过网络的建设，可以实现：

 校园网络的快速接入，强大的核心交换机为整个校园网提供了一

颗乃至数颗强大的心脏。

 全面支持兼容教学管理、学生管理、行政管理、通用服务、互联

网络和图书馆管理等分系统。

 通过高带宽实现校园网多媒体计算机教学系统，为现代化教学提

供了一个新的平台。

 建立完善的校园网站，与Internet互连后，校园网用户在权限

允许的范围内可以使用Internet上的Web访问、Email收发、FTP、Telnet、BBS、新闻组、讨论组、个人主页等服务。

 校园网站连接Internet，用于宣传学校形象、教学信息发布、

提供信息查询等，以后可成为网上教学的渠道。

 无线网络与千兆以太网络环境互为补充，扩展网络使用范围，取

消了传统网络接入上的端口限制问题，为移动多媒体教学应用提供移动平台，进一步便于笔记本电脑用户随时随地的使用网络。  支持个人数字助理(PDA)的网络应用，使得校园网络的应用更为

灵活多变。

 为外来的宾客提供便捷灵活的网络接入服务。

 学校管理人员可随时随地进行教学管理，教务管理等日常工作，

突破了传统办公管理模式。

 ……

二、校园安防系统建设

伴随着平安重庆工作的不断深入，“平安校园”作为“平安重庆”的重要组成部分。

如何利用校园安防系统来解决学校安全防卫工作的后顾之忧，来解决学校诸如画面质量、成像效果、设备可靠性等疑虑。采用一套具有合理性、先进性、可操作性的系统是解决这一问题的根本手段。

为确保学校教育安全工作，我校拟采用百万高清监控系统、周界报警、门禁系统等几个子系统来对整个校园实现全方位防卫，同时可与110实现联网，运用3G网络等技术手段来实现更为高效、快捷、灵活的管理应用。

百万高清监控系统是业界目前一致认同的发展方向。百万高清摄像机与模拟摄像机最大的差别在于画质上的飞跃，使用者所得到的画面更清晰、更流畅，从而在发生意外突发性事件（例如盗窃、打架、失火等）时，校园领导能够迅速查知现场情况，从而快速进行全校人员安全疏散等工作，最大程度上保护学校安全。

周界报警及门禁系统作为校园监控系统的重要组成部分，将能更好地做到对校园周界的防卫工作。

通过安防系统的建设，可以实现：

 实时监控：通过本系统能够实时监控了解校园内所有情况及动态。

特别是园区的安全等重点防护点位，加强园区内部的安全监控，发挥高效的管理机制。

 安全管理：通过该系统的动态检测录像功能，把正常校园生活进

行全面管理，包括人员流动、财物监管等。

 远程浏览：使用最简便的通讯手段实现实时远程视频监控，让每

一名管理者不管在本地教室，还是在旅途中，甚至全球任何一处有通讯的地方，都可以通过电脑、手机、PDA等来实现视频监控。  校园周界入侵移动检测：自动检测进入校园周界的人、动物、汽

车等移动目标。对翻越、破坏等行为进行预警监测。

 解决在雪天，雨天，大风等恶劣天气下无法监控报警的情况。  门禁系统实现学校各个区域的安全通行管理：对于学校不同的区

域，按权限进行有效的通行管理，包括教学楼、宿舍楼、办公楼、车库等重点建筑。

 徘徊检测：在校园部分区域内，如重要实验室、围墙、财务室等

区域当有人徘徊一段时间后，系统将会自动识别并报警。同时在监视屏上自动弹出徘徊人及其运动轨迹。

 联动报警：报警装臵和视频监控系统与110联网，当发生偷盗、

抢劫、师生被侵害或重大自然灾害性事故时，联网学校可通过报警系统，以声音提示和颜色显示的方式予以报警。

 强大的系统兼容能力：充分利用已有资源进行下一步建，兼容多

家主流产品，从而实现在一个系统平台上实现统一集中管理。  ……

三、校园VOD视频智能点播系统建设

校园网VOD视频智能点播系统在现有校园网基础上建立一种新的实时、交互的学习环境，在教学过程中可以实现随时随地点播教学课件完成教学，从而突破了传统的集体教学的时间和空间的限制，实现了个性化教学，达到最佳的教学效果。这将会是传统的校园教学模式的一次革命性的变革，真正实现了以素质教育为本的教育目标。

所谓VOD（VIDEO ON DEMAND）视频点播系统,也称交互式多媒体视频点播业务，即通过高速上网技术连上各种宽带多媒体服务器进行网上教学、视频会议等各种交互式活动；是集动态影视图像、静态图片、声音、文字等信息为一体的，为用户提供实时、高质量、交互性服务的多媒体通信业务。VOD的本质是交互性，即信息的使用者根据自己的需求主动获得多媒体信息，它区别于传统信息发布的最大不同：一是主动性、二是选择性。

系统通过专业的宽带视音频解决方案，优秀的视频流技术，卓越的整体性能，分布式架构体系，支持视频服务器集群接入和负载均衡，轻松实现大流量视频流并发点播。

通过此系统，我们可以轻松实现：

 互动式教学视频点播，包括课件、教学视频、娱乐等，自由截取

网络动态视频流、前后拖动播放、停止、快进、快退。

 操作简单、使用方便、功能强大的视音频编辑工具系统。

 服务器端实现零管理，数据可随意备份，保证用户数据安全；管

理员可在本地或异地进行系统维护和后台管理。

 在校园内不同的区域进行分区音、视频管理，可与安防系统联机

管理，根据权限分级使用。

 实现在同一区域内，不同音、视频的播放，用户可根据语言、自

身喜好、专业需求等不同方式，进行互动点播。

 ……

四、校园一卡通

校园一卡通系统是一种非常有效的管理手段，它能将数量庞大、流动频繁的师生群体科学地管理起来，它代表了当今校园信息化的发展趋势，是学校现代化管理和校园数字化的重要标志。

校园一卡通系统是将采取银行卡金融功能与非接触式电子钱包、电子化校务管理相整合的方式，由指定银行与贵校联合发行校园银行卡，师生们可以在各地银行网点或自动终端实现存取款、消费、转帐等金融功能；可以代替教职员工和学生等在校内的所有个人证件（如学生证、工作证、图书证、医疗证、临时证），应用于需要身份识别的各个MIS系统，也可以通过设在非接触式IC芯片内的电子钱包实现餐饮、校内购物、上机上网、医疗等校内的各种消费。

校园一卡通系统将极大的提升学校在社会上形象，鼓舞广大师生员工的士气，提升师生、员工作为学校一员的荣誉感和自豪感。

通过校园一卡通，我们可以实现：

 资金自由流转：实现校园卡上从银行帐户向校园卡帐户的资金转

入，实现银行卡直接充值。解决学校资金管理问题

 IC卡多种情况应用，如食堂售餐管理、辅助教务/教学管理、学

籍管理、上机/上网管理、图书借阅管理、考勤管理等

 IC卡POS机消费：可校内消费（如开水、饮水机、小卖部购物、

打字、复印、传真、电话等）管理。要求各消费点必须设臵POS机，可实现联网或脱机消费。

 IC卡辅助校内医疗管理：用于校内医疗管理系统。将校园卡用于

师生在学校各校区的医务所就诊的身份凭证。

 IC卡辅助身份认证系统：可以在独立式IC卡身份识别器上显示

持卡人的身份信息，用于学校辨认人员身份，并且可以通过短信方式告之学生家长，学生到校时间、离校时间、在校情况等。  ……

五、校园网络软件建设

稳定强健的硬件基础，必须要与系统平台和应用软件相配合，才能使校园网发挥应有的作用。因此，软件规划就必不可少。一个完善的软件规划可以减少事后不必要的重复工作。

 网络系统平台规划：

目前网络操作系统主要有WINDOWS NT SERVER、WINDOWS 2003 SERVER、UNIX、LINUX等。WINDOWS系列具有操作界面友好，易于维

护，应有软件丰富的特点。但对于访问量较大的服务器来说，要求有较高配臵。UNIX平台具有优秀的网络性能，但一台配臵优良的UNIX服务器价格惊人，软件的安装相对复杂，自从X-WINDOWS问世以来，它的可操作性有所改善。LINUX是网络操作系统中的新秀。与UNIX一样，它的网络性能卓越，并且LINUX支持现今几乎所有的连网技术（以太网、高速以太网、ATM、调制解调器、ISDN、令牌环）和网络协议（TCP/IP、PPP、SLIP等）。在相同的硬件上其性能已超过WINDOWS系列及其它的UNIX。同时LINUX以近乎免费的价格和高性能的应用体系已为大多数网站所采用。目前，有许多软件开发商为其开发相应的应用软件，其中包括基于WEB的校园网应用软件。因此，它已成为基于WEB应用软件的最理想的网络平台。

 应用平台规划：

在应用平台规划之前必须了解整个校园网要实现的功能。一个典型的校园网络应具有以下基本功能：

1. 校园WEB站点。其中应包括教育论坛（提供国家的教育方针、

政策，教学科研成果，研究性学习，并根据各自学校的教育教

学实践创办特色版面）、聊天室（提供学生、教师和家长之间

在线交流的空间）。

2. 校园电子邮件系统。方便学生、教师校内外的信息交流。

3. 电子图书系统和电子阅览室。

4. 教学课件库。

5. OA办公系统、日常行政管理系统、教师学生评估系统。

6. INTERNET接口。

六、校园网络安全建设

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行。校园网络特别是已与INTERNET相连的校园网络，对于网络的安全防范就显得特别重要。因为一次的恶意破坏或管理人员的误操作都会带来巨大的损失。因此，一方面要加强管理人员及使用者的技术培训及有关法律和道德教育，另一方面，要建立起一套有效的软、硬件的监控、防护体系。学校可以采用高性能的防火墙软、硬件。它应具有强大的包过滤功能、图形化的配臵界面、建立URL的访问限制、流量分析、实时入侵检测、入侵告警及网络数据流量分析等功能。

七：校园智能照明控制系统建设

新校园的建设要适应网络时代的发展，应引入智能化的概念。在传统的楼宇自控系统中，一般只包括了综合布线、计算机网络、安防、消防、闭路电视监控等子系统。但近年来，随着经济的发展和科技的进步，人们对照明灯具节能和科学管理提出了更高的要求，使得照明控制在智能化领域的地位越来越重要。而在新校区的建设热潮中，各

类院校和他们的建设者也意识到了智能照明的重要性。相对商业楼宇而言，校园里的大功率动力和制冷设备比重较少，照明灯具则相对比重更多。使用照明控制系统，更能体现其在节能与管理方面的优势，提高学校的科学管理水平。

通过智能照明控制系统，我们可以看到与传统照明系统的区别：  智能照明系统更能达到良好的节能效果，延长灯具寿命。

 智能照明控制系统可以根据不同场合、不同的人流量，进行时间

段、工作模式的细分，把不必要的照明关掉，在需要时自动开启。  系统还能充分利用自然光，自动调节室内照度。控制系统实现了

不同工作场合的多种照明工作模式，在保证必要照明的同时，有效减少了灯具的工作时间，节省了不必要的能源开支。

 改善工作环境，提高工作效率：合理地选用光源、灯具及性能优

越的照明控制系统，提高照明质量，有效地控制各种照明场所的平均照度值，从而提高照度均匀性

 实现多种的照明效果：多种照明控制方式，可以使同一建筑物具

备多种艺术效果，为建筑增色不少。现代建筑物中，照明不单纯地为满足人们视觉上的明暗效果，更应具备多种的控制方案，使建筑物更加生动，艺术性更强，给人丰富的视觉效果和美感。  智能照明控制系统是以自动控制为主、人工控制为辅的系统。在

一般的情况下，不需要有人的参与，照明系统自动实现开关和调光功能。

 合理配臵照明系统，从长远利益来看，既倡导了环保，又确实的

节约费用开支，还提升了学校的整体形象，实为一举多得。

结束语

在我国学校日益加大信息化校园的建设步伐，许多先进的信息处理技术都被引入校园，它为数字化校园提供信息采集，涉及到校园生活的各个方面，使教育与信息技术真正地融合，逐步实现以人为本，从校园环境、资源到活动的全部数字化管理。本文通过以上对学校校园网的初步规划，在总结多种校园网的建设方式的基础上，提出了以千兆以太网和无线网络为构架校园主干网络的解决方案，更包含了安防、VOD点播、一卡通等子系统，必定能为学校的校园信息化建设画上浓墨重彩的一笔，使学校成为更具影响力的名校之一。

I. 求1 校园网网络安全方案设计 方案

网络HI我，我有一份以前网络安全课的大作业。和你这题目一样。

J. 校园网设计方案

怎么觉得你把方案自己都说贺指掉了```
其实和你上述综合起来的话，配拍山真的是已经差不多了~
你要注意的就是记得要有外链~
多贴合生活，多放点学校的内容和信息```
平易培中近人才能做到最好~