网络安全大作业校园网络设计.docxVIP

070136630701361007013668题目07013610★姓名： 班级： 计算机 073 学号: 姓名： 班级： 计算机073 学号: 姓名： 班级： 计算机073 学号: （★为本方案的主要负责同学） 计算机与信息学院二零一零年六月 \方案背景介绍 ? XX中学校园网络 ? 12幢楼宇约458个信息点。其中1幢办公楼32个信息点，3幢教学楼 60个信息点( 19+20+21=60), 7幢教师宿舍楼172个信息点 (21+21+28+28+27+36+11=172, 1幢教辅用房硅步楼194个信息点 (122+60+12=194。 ?主十网络提供1000M带宽，至球面提供100M带宽，连接15幢楼宇，校 内互联，学校各部门子系统连接校园主十网口， 各网段内、各网段之间计 算机互访和校内资源共享; ?校园网与国际互联网相连：局域网内的计算机通过 WWW务器代理 网。 ?核心内部网络建设，包括 DNS服务器、EMAIL服务器、WW服务器、FTP 服务器、BBS服务器、数据库服务器等，对外能与 Internet 互联，对内 提供校内各种局域网的接口，提供Internet服务，如电子邮件、远程登 陆、文件传输、信息查询等。 ?提供网络教学环境：网络提供视频、 首频、课件在校园网内传输，提供视 频点播系统服务； ?提供办公自动化管理服务：进行各类公文收发、分类的处理； ?提供远程用户访问服务。 二、方案设计任务分工 方案设计，找资料：龚卓成，陈林滔 开题报告：龚卓成，陈林滔 解决方案报告撰写：何骏，龚卓成 解决方案报告修改：何骏，陈林滔 三、需求分析 从对内安全和对外安全两个角度进行分析： 1.来自外部网络的安全威胁 由于需要，网络与外部网络进行了连接，这些连接集中在安全威胁的第一 层，包括：如果内部网络和这些外部网络之间的连接为直接连接， 外部网 络则可以直接访问内部网络的主机， 若内部和外部没有隔离措施，内部系 统较容易遭到攻击。 由于需要，学生和教师在非校区内使用 ISP拨号上网连接上Internet , 进入学校内部网网络，这时非法的internet用户也可以通过各种手段访 问内部网络。这种连接使学校内部网络很容易受到来自internet的攻击。 攻击一旦发生，首先遭到破坏的将是办公自动化网的主机， 另外，通过使 用连接托管服务器网站与办公自动化网的 DD时线，侵入者可以继续攻击 托管服务器网站部分。攻击的手段以及可能造成的危害多种多样。 ? 1.对外安全分析 安装软件、硬件防火墙，网络防病蠹软件，客户端防病蠹软件 利用代理服务器提供Internet与Intranet之间的防火墙功能 通过网管软件实时记录网络的运行状态 2.来自内部网络的安全威胁 网络上的节点众多，网络应用复杂，网络管理困难。这些问题主要体现在 安全威胁的第二和第三个层面上，具体问题： ?网络的实际结构无法控制； ?网管人员无法及时了解网络的运行状况； ?无法了解网络的漏洞和可能发生的攻击； ?对于已经或正在发生的攻击缺乏有效的追查手段； ?访问控制的问题 2.对内安全分析 利用VLAN的安全特性，按照学校各部分的基本工作性质结合楼宇的分布 划分子网网段 一方面对子网内信息点设置访问控制，另一方面对不同子网的访问进行控 制。 服务器访问控制：通过密码、口令（不定期修改、定期保存密码与口令） 等禁止非授权用户对服务器的访问，以及对办公自动化平台、教务管理平 台的访问和管理 采用有效的扫描工具，定期对网络进行扫描，发现网络结构的变化，及时 纠正错误 使用有效的工具，及时发现错误，关闭非法应用，保证网络的安全 进行客观的网络风险评估，及时发现网络中的安全隐患，并提出切实可行 的防范措施 记录攻击行为的全过程，为调查工作提供依据 四、网络安全设计方案 a）利用VLAN勺安全特性，按照学校各部分的基本工作性质结合楼宇的 分布划分子网网段：192.168.10段，办公楼；192.168.20段，教师周转房 （1, 2）; 192.168.30段，为临江园2幢教师住宿楼，192.168.40段为硅步 楼，192.168.50段为2号教师住宿楼,192.168.60段为1号教师住宿楼。 192.168.70段为3幢教学楼。一方面对子网内信息点设置访问控制，另一 方面对不同子网的访问进行控制。 b）服务器访问控制：通过密码、口令（不定期修改、定期保存密码与 口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、教务管 理平■台的访问和管理 对外安全： 安装软件、硬件防火墙，网络防病蠹软件，客户端防病蠹软件；利用代 理服务器提供Internet与Intranet之间的防火墙功能；通过网管实时记录 网络的运行状态。