校園網(wǎng)絡(luò)管理畢業(yè)論文

1、<p>　　信 息 工 程 系</p><p><b>　　畢 業(yè) 設(shè) 計(jì) </b></p><p>　　試論有效的校園網(wǎng)絡(luò)管理 安全的校園網(wǎng)絡(luò)環(huán)境</p><p>　　班級(jí)學(xué)號(hào)： : </p><p>　　學(xué)生姓名： </

2、p><p>　　指導(dǎo)老師： </p><p>　　完成時(shí)間： 2011-12-31 </p><p><b>　　【摘要】</b></p><p>　　當(dāng)今，科技發(fā)展迅速，網(wǎng)絡(luò)發(fā)展首當(dāng)其沖。而作為培養(yǎng)頂尖人才的大學(xué)，也紛紛開(kāi)始建設(shè)各具特色的校園網(wǎng)絡(luò)了。如何管理好，保證網(wǎng)絡(luò)的安全，

3、已成為校園網(wǎng)絡(luò)建設(shè)的首要任務(wù)。如何讓校園網(wǎng)絡(luò)在病毒肆虐的時(shí)代 穩(wěn)固運(yùn)行，保證學(xué)校信息化、數(shù)字化網(wǎng)絡(luò)環(huán)境暢通，已成為網(wǎng)絡(luò)管理員的首要責(zé)任。  　　在技術(shù)的廣泛應(yīng)用下，網(wǎng)絡(luò)的優(yōu)勢(shì)慢慢顯現(xiàn)：信息處理、工作效率、資源共享。同時(shí)當(dāng)網(wǎng)絡(luò)給學(xué)校帶來(lái)方便時(shí)候，網(wǎng)絡(luò)安全也慢慢被重視。 網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論、數(shù)論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全從本質(zhì)上說(shuō)就是網(wǎng) 絡(luò)上的信息安全

4、。它是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。本文從以下方面闡述校園網(wǎng)絡(luò)的安全管理：  　　</p><p>　　論文關(guān)鍵詞：校園網(wǎng)　網(wǎng)絡(luò)管理　網(wǎng)絡(luò)安全</p><p>　　一、設(shè)備安全  　　網(wǎng)絡(luò)環(huán)境的暢通、設(shè)備的安全，為校園網(wǎng)絡(luò)的信息化、數(shù)字化提供了網(wǎng)絡(luò)的物理安全。在

5、網(wǎng)絡(luò)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、 暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算 機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來(lái)說(shuō)物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤

6、或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線 路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。</p><p>　　二、劃分VLAN  　 　校園網(wǎng)如何合理劃分VLAN。VLAN就是虛擬局域網(wǎng)。由于VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的局域網(wǎng)邏輯地劃分成不同的廣播域(或稱虛擬局域網(wǎng)，即VLAN)，所以每一個(gè)VLAN可以都是按照校園的一個(gè)職能部門來(lái)劃分

7、，包含著一組具有相同工作特點(diǎn)的計(jì)算機(jī)。 由于它是按功能劃分而不是按物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，這些工作站不一定屬于同一個(gè)物理局域網(wǎng)網(wǎng)段。一 個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，因此可以控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。根據(jù)具體應(yīng)用，提出如下 校園網(wǎng)VLAN的配置策略：一是以工作站和服務(wù)器的邏輯歸屬劃分VLAN。如按部門、系、處等，盡可能地將同一工作

8、性質(zhì)的用戶集中在一個(gè)VALN中，以減 少跨VLAN的訪問(wèn)，提高網(wǎng)絡(luò)的效率。二是按某項(xiàng)應(yīng)用的覆蓋范圍配置所要求的VLAN。如學(xué)校的選課應(yīng)用，不同地點(diǎn)選課可以將進(jìn)行選課的數(shù)個(gè)機(jī)房所對(duì)應(yīng)的 交換機(jī)端口設(shè)為一個(gè)VLAN。選課活動(dòng)在物理上可跨幾個(gè)網(wǎng)段，但在邏輯上屬于一個(gè)子網(wǎng)。</p><p>　　根據(jù)校園網(wǎng)的具體情況，為了達(dá)到信息流量的控制，并提供良好的安全性，通過(guò)對(duì)網(wǎng)絡(luò)邏輯結(jié)構(gòu)進(jìn)行分析和合理劃分，在高校校園網(wǎng)中應(yīng)用比較廣

9、泛的是基于 端口的VLAN，采用基于端口VLAN技術(shù)對(duì)校園內(nèi)部網(wǎng)絡(luò)不同部門之間進(jìn)行邏輯隔離，同時(shí)抑制廣播風(fēng)暴。在接入層交換機(jī)采用基于端口的VLAN劃分和隔離 用戶，在匯聚層或核心層通過(guò)三層交換機(jī)采用VLAN路由進(jìn)行通訊，達(dá)到靈活通訊和管理控制各網(wǎng)段機(jī)器的目的。本校的校園網(wǎng)采用基于物理端口進(jìn)行VLAN的 劃分，來(lái)提高校園網(wǎng)絡(luò)的工作效率。</p><p>　　三、網(wǎng)絡(luò)流量控制  　　導(dǎo)致校園網(wǎng)絡(luò)異常流量的

10、因素很多，有病毒木馬等有害程序，有網(wǎng)絡(luò)教學(xué)軟件錯(cuò)誤使用，設(shè)備線路故障，最主要的還是P2P軟件的使用。對(duì)于前幾種原因引起的校園 網(wǎng)異常流量，因?yàn)閿?shù)據(jù)流特征比較明顯，處理起來(lái)比較容易。如對(duì)于病毒木馬等有害程序可以采用網(wǎng)絡(luò)防病毒軟件進(jìn)行查殺，并封堵異常流量傳播的特定端口；對(duì)于 網(wǎng)絡(luò)教學(xué)系統(tǒng)錯(cuò)誤使用，可以修改系統(tǒng)設(shè)置或暫時(shí)切斷其與校園網(wǎng)聯(lián)系來(lái)控制；設(shè)備端口故障、配置錯(cuò)誤、鏈路冗余沒(méi)有啟用生成樹(shù)協(xié)議或網(wǎng)線線序錯(cuò)誤等設(shè)備線路 問(wèn)題都可能導(dǎo)致網(wǎng)絡(luò)出現(xiàn)

11、異常流量，但此類現(xiàn)象出現(xiàn)的幾率很低，通過(guò)修改設(shè)備配置或修復(fù)損壞設(shè)備也能徹底解決。傳統(tǒng)的流量控制工具和限流技術(shù)難以控制P2P應(yīng)用導(dǎo)致的網(wǎng)絡(luò)流量。如防火墻、路由器對(duì)使用隨機(jī)端口后的P2P軟件識(shí)別率比較低，不能取得滿意的過(guò)濾效果。 而對(duì)帶寬和連接數(shù)量?jī)煞矫娴南拗疲m然可以使用戶的P2P下載速度下降，P2P連接用戶數(shù)目下降，但合法用戶也會(huì)受到影響，很難達(dá)到專門限制P2P流量的 目的。    常用的P2P檢測(cè)技術(shù)

12、包括端口檢測(cè)技術(shù)、報(bào)文特征字檢測(cè)技術(shù)和行為特征檢測(cè)技術(shù)。端口檢測(cè)技術(shù)已逐漸被淘汰，而行為特征檢測(cè)是通過(guò)</p><p>　　四、部署防火墻  　　校園網(wǎng)有幾個(gè)顯著的特點(diǎn)，對(duì)于制定安全策略，維護(hù)網(wǎng)絡(luò)安全具有一定的意義。首先是校園網(wǎng)的用戶數(shù)目極其龐大，有許多是萬(wàn)人以上的高校，這是一些企業(yè)的網(wǎng)絡(luò) 所不能相比的。上網(wǎng)人數(shù)的眾多和集中，會(huì)對(duì)網(wǎng)絡(luò)造成一定的沖擊。校園網(wǎng)的用戶以青年學(xué)生為主，網(wǎng)上行為十分活躍，這和一

13、些政府機(jī)關(guān)的網(wǎng)絡(luò)是不同的。如何對(duì) 網(wǎng)上行為做出規(guī)范和管理，是網(wǎng)絡(luò)安全的一個(gè)課題。校園網(wǎng)的用戶都有相當(dāng)?shù)奈幕疁?zhǔn)，有些還是網(wǎng)絡(luò)技術(shù)的內(nèi)行，而且一些住校的學(xué)生在夜晚有大量的時(shí)間，有可能在內(nèi)部發(fā)起對(duì)校園網(wǎng)的攻擊，這是和一些部門或者網(wǎng)吧的情況很不相同的。 因此，在校園網(wǎng)的邊界以及校園網(wǎng)服務(wù)器群的邊界，使用防火墻來(lái)實(shí)施邊界防護(hù)，是十分必要的。防火墻雖然不能完全杜絕各種安全隱患，但是畢竟能夠在一定程度上降低對(duì)校園網(wǎng)安全的威脅。</p

14、><p>　　為了安全起見(jiàn)，校園網(wǎng)內(nèi)部是要進(jìn)一步劃分為更多層 次的局部網(wǎng)絡(luò)的，各個(gè)局部網(wǎng)絡(luò)之間都有防火墻相互隔離，或者使用VLAN技術(shù)相互隔離。通常情況下，各學(xué)區(qū)、各院系要相互隔離，辦公、科研、教學(xué)、生活各 系統(tǒng)也要相互隔離。具體情況視實(shí)際需要而定。</p><p>　　五、部署入侵防御系統(tǒng)  　 　為了彌補(bǔ)防火墻的不足，可使用入侵防御系統(tǒng)：如IPS。他能夠及時(shí)識(shí)別攻擊程序、有害代

15、碼及其克隆和變種，盡量將病毒擋在校園網(wǎng)之外。另外，對(duì)于已經(jīng)傳 入校園網(wǎng)內(nèi)的病毒，必須防止其擴(kuò)散，可以利用核心交換機(jī)的訪問(wèn)控制列表，屏蔽掉某些可能被病毒利用的端口。這樣就可以控制病毒，使其只能在某一子網(wǎng)內(nèi)傳 播，而不至于在校園網(wǎng)內(nèi)大范圍擴(kuò)散。</p><p>　　另外還可以在交換機(jī)上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，實(shí)現(xiàn)專人專用，防止IP地址被盜用。  </p><p&g

16、t;　　六、服務(wù)器的安全  　 　校園網(wǎng)的服務(wù)器為用戶提供各種應(yīng)用，但是應(yīng)用提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險(xiǎn)。因此從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉．只向用 戶提供他們所需的基本服務(wù)。例如：我們?cè)谛@網(wǎng)服務(wù)器中對(duì)用戶只提供WEB服務(wù)功能，而沒(méi)有必要向用戶提供FTP功能。這樣。在對(duì)服務(wù)器配置時(shí)，只開(kāi)放 WEB服務(wù)，而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能，則要規(guī)定端口、賬號(hào)及密碼，向指定的用戶開(kāi)放。因?yàn)橛脩?/p>

17、通過(guò)FTP可以上傳資源，如果給了用戶可 執(zhí)行權(quán)限，那么，通過(guò)運(yùn)行上傳的某些程序，就可能使服務(wù)器受到攻擊。所以，控制好服務(wù)器的用戶群體也是保障網(wǎng)絡(luò)安全的一個(gè)重要因素。  </p><p>　　七、部署防病毒  　　(1) 合理的校園網(wǎng)規(guī)劃和主機(jī)實(shí)名制。有效的管理是防治網(wǎng)絡(luò)病毒的基礎(chǔ)。合理規(guī)劃校園網(wǎng)，利用子網(wǎng)劃分技術(shù)將整個(gè)網(wǎng)絡(luò)劃分成若干子網(wǎng)。每個(gè)子網(wǎng)對(duì)應(yīng)固定的交換機(jī) 端口，從而使計(jì)算機(jī)只能在相

18、應(yīng)的位置范圍內(nèi)使用；對(duì)入網(wǎng)計(jì)算機(jī)的命名實(shí)行實(shí)名制統(tǒng)一管理，所有機(jī)器一律以責(zé)任人名_部門名的模式命名，并將部門名稱作為機(jī) 器的工作組名，借助這兩項(xiàng)措施，網(wǎng)絡(luò)管理人員將很方便的定位到問(wèn)題計(jì)算機(jī)。(2) 使用網(wǎng)絡(luò)防火墻及核心交換機(jī)上的訪問(wèn)。設(shè)定訪問(wèn)控制規(guī)則，限制網(wǎng)絡(luò)病毒的擴(kuò)散和傳播。大多數(shù)網(wǎng)絡(luò)蠕蟲(chóng)病毒的傳播利用了一些常用的端口。例如：震蕩波利用 445端口，沖擊波利用135端口。在病毒傳播初期，可利用校園網(wǎng)邊界上網(wǎng)絡(luò)防火墻設(shè)備，通過(guò)訪問(wèn)控制策

19、略拒絕所有企圖連接135，445端口的數(shù)據(jù)包， 將病毒阻隔在校園網(wǎng)之外。另外，對(duì)于已經(jīng)傳入校園網(wǎng)內(nèi)的病毒,必須防止其擴(kuò)散?？梢岳媒粨Q機(jī)的訪問(wèn)控制列表，屏蔽掉某些可能被病毒利用的端口，并且嚴(yán)格 控制個(gè)子網(wǎng)間的訪問(wèn)規(guī)則，這樣就可以控制病毒的傳播，使其只能在某一子網(wǎng)里傳播，而不會(huì)在校園網(wǎng)大范圍內(nèi)擴(kuò)散。利用網(wǎng)絡(luò)防火墻和核心交換機(jī)的訪問(wèn)控制功 能，一方面可限制網(wǎng)</p><p>　　八、定時(shí)更新  　 　任何

20、一個(gè)操作系統(tǒng)、防病毒軟件、防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、路由交換設(shè)備等網(wǎng)絡(luò)節(jié)點(diǎn)、系統(tǒng)或多或少都存在著各種漏洞。系統(tǒng)漏洞的存在就成為網(wǎng)絡(luò)安全的首 要問(wèn)題。發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員的主要任務(wù)。當(dāng)然，從系統(tǒng)中找到漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的．但是及早地發(fā)現(xiàn)有報(bào)告的漏洞，并進(jìn) 行補(bǔ)丁升級(jí)卻是我們應(yīng)該做的。經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站，密切關(guān)注我們所有使用的軟件和服務(wù)程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn) 題就立即

21、對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。網(wǎng)絡(luò)管理員應(yīng)該養(yǎng)成勤打補(bǔ)丁的習(xí)慣。  </p><p>　　九、規(guī)范管理  　　以上提及的安全管理辦法只是對(duì)網(wǎng) 絡(luò)設(shè)備和硬件所說(shuō)，為校園網(wǎng)絡(luò)提供技術(shù)手段和措施，但是還需要制定一系列的信息網(wǎng)絡(luò)規(guī)章制度來(lái)規(guī)范網(wǎng)絡(luò)管理員的操作流程，提高網(wǎng)絡(luò)管理員的安全意識(shí)和責(zé)任。包括制定網(wǎng)絡(luò)安全管理范圍規(guī)章制度、制訂有關(guān)校園網(wǎng)網(wǎng)絡(luò)操作使用規(guī)程、制定人員出入校園網(wǎng)主控機(jī)房的管理制度、制

22、定校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施、確定校園網(wǎng)信息安全管理的一般責(zé)任和具體責(zé)任，以及規(guī)定出現(xiàn)安全事故以及違反安全策略的后果等。  　　網(wǎng)絡(luò)管理的規(guī)范程度直接反映一個(gè)網(wǎng)絡(luò)的應(yīng)用保障系數(shù)，通過(guò)以上幾個(gè)方面的管理，并結(jié)合定期的內(nèi)部網(wǎng)絡(luò)的掃描巡檢，科學(xué)的管理分工制度，要把一個(gè)網(wǎng)絡(luò)管好、用好不難。  　　相信隨著校園網(wǎng)絡(luò)管理和校園網(wǎng)絡(luò)安全不斷優(yōu)化發(fā)展。必然會(huì)給校園信息化、數(shù)字化應(yīng)用提供暢通環(huán)境，校園網(wǎng)絡(luò)的效益將會(huì)越來(lái)越大

23、。也必將會(huì)進(jìn)一步提高學(xué)校的教學(xué)質(zhì)量和管理效率，使學(xué)校成為一所具有先進(jìn)的信息化網(wǎng)絡(luò)環(huán)境和數(shù)字化應(yīng)用的現(xiàn)代化學(xué)校。 </p><p>　　參考文獻(xiàn)：  　　</p><p>　　[1]黃開(kāi)枝,孫巖.網(wǎng)絡(luò)防御與安全對(duì)策[M].北京:清華大學(xué)出版社  　　</p><p>　　謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第2版）[M].北京:清華大學(xué)出版社