杭州富阳市永兴学校章徐刚.pptVIP

网络规模我校目前分为四个区域，总计900个左右信息点： 接入区：CISCO 3550 EMI三层交换机控制和管理三个外部网络的接入。 教学区：中、小学160个大小教室，每个教室一台计算机；一线教学教师每人一台手提或台式计算机，共计250台；其他二线或职工，50台左右，高中部60台左右。总计：计算机550台左右（含服务器），教学区日均联网ip地址在500个左右。（有无线网卡的笔记本计算机可能被记为两个地址） 无线网络已经开始覆盖，作为有线网络的补充，本学期刚刚开始建设。 学生学习区：五个电脑教室，分别为62*3 + 42*2=270台 教工生活区：目前登记100余个，日均联机数量50-60个。 基础：校园网建设思路——逐步提高 有（有硬件，才能有网络） 通（内部要通，外部（Internet）要通） 安全稳定（安全的概念：对内防毒，对外防黑；划分网段，方便诊断排查错误；只有安全做好了，稳定通畅才有保障；在安全稳定的基础上，开始应用平台建设。 快（开始追求速度和效率。优化网络结构，对外升级更高速度的外部接入方式、对内增加更多或者更为便捷的内部接入点） 畅（对外考虑多ISP接入负载均衡，路由优化、策略路由等；对内进一步优化办公平台程序、从而提高工作效率（最终目标）） 基础：网络管理思路 管理思路：以安全为工作中心和重心，稳定为目标，简单化、集中化、服务专用化。 三层交换机的广泛应用，丰富的交换机二层、三层acl策略控制校园各vlan 的互相访问、构筑网络蠕虫病毒防护的基础。 内网接入 enable 三层交换的DHCP server detect和 Dhcp-relay address check ，自动监测非法的ip地址。 服务器操作系统以FreeBSD(一种完全免费的开源unix网络操作系统)为主，特点：安全、稳定、高效) 丰富的网络应用：web平台：(php+mysql),ftp,email,samba,打印管理等复合使用。 安全实施大纲：从对外防攻击（防黑）、对内防病毒）几个层面来考虑 交换机安全策略ACL(访问控制列表)；基于硬件交换机，性能好，效率高； 基于FreeBSD 上的pf NAT防火墙、流量控制、squid过滤； 客户端计算机基于文件系统和OUTLOOK邮件防毒等； 要有完善的、及时的系统恢复措施。 （我们认为可以忍受的down机时间在30-40分钟内。） 交换机策略： ACL(访问控制列表) 在各接入层、汇聚层、核心层交换机上设置不同的ACL，构建第一层安全防护 小区安全：小区专用安全交换机可以自动监测网络蠕虫活动，NAT 也能够自动阻止类似蠕虫活动的ip. （检测原理：固定时间内(比如10秒钟，1分钟） if 某ip地址试图与超过n(n=50,…200)个不同的ip地址通讯， then 阻止该ip一段时间(1分钟，3分钟，半小时等） 在各接入层、汇聚层、核心层交换机上设置不同的安全策略，构建第一层安全防护 外部接入交换机CISCO 3550: 丢弃所有来自内网和局域网端口的请求，阻止来自外部的病毒或蠕虫到达服务器； 内网汇聚层交换机huawei 3026E 策略：阻止内部各个网段之间的互相ping, 但开放网管网段和服务器网段对其他网段的访问； 内网核心交换机huawei 5516：设置只有指定的机器或者网络可访问交换机；设置不同区域之间的访问策略，比如学生、生活区不能访问教师网段、无线连接只在工作时间可以通讯（网管除外）等； 外部接入交换机CISCO 3550 内网汇聚层交换机策略 内网核心交换机 监控交换机的工作情况（生活区部分） 基于FreeBSD 上的pf NAT防火墙、流量控制、squid过滤： 三道FreeBSD/NAT防火墙隔离公共网络和教师办公区、学生教学区、教工生活区，三个区域各自为政，互不干扰，其中保障教师办公区成为校园网络最稳定、安全的区域。 外部访问我校web 服务器所需要经过的路径 我校内网工作站访问其他网络所经途径： Symantec ghost 操作系统分发 我校的Symantec ghost 操作系统分发服务器能够在十几分钟内让一台因操作系统或软件故障的客户端立即重新可用； 定期进行全校规模的操作系统更新让隐藏的病毒和非法程序无所遁形。 Symanc ghost 企业版负责新计算机操作系统分发与更新 新客户端部署 客户端的安装采用Symanc ghost 企业版的解决方案，安装1-n台新系统只需要10-15分钟，重新启动、从网络引导、加入域，全部自动，无须计算机教师上门干预，即使操作系统彻底损坏，也只需电话指导教师开机后选择一下网络部署选项即可。 Symantec Antivirus 在每台内网计算机上部署，集中管理病毒定义的分发。 客户端部署和教师办公 校内客户端