校園網絡管理畢業(yè)論文

1、<p>　　信 息 工 程 系</p><p><b>　　畢 業(yè) 設 計 </b></p><p>　　試論有效的校園網絡管理 安全的校園網絡環(huán)境</p><p>　　班級學號： : </p><p>　　學生姓名： </

2、p><p>　　指導老師： </p><p>　　完成時間： 2011-12-31 </p><p><b>　　【摘要】</b></p><p>　　當今，科技發(fā)展迅速，網絡發(fā)展首當其沖。而作為培養(yǎng)頂尖人才的大學，也紛紛開始建設各具特色的校園網絡了。如何管理好，保證網絡的安全，

3、已成為校園網絡建設的首要任務。如何讓校園網絡在病毒肆虐的時代 穩(wěn)固運行，保證學校信息化、數字化網絡環(huán)境暢通，已成為網絡管理員的首要責任。  　　在技術的廣泛應用下，網絡的優(yōu)勢慢慢顯現(xiàn)：信息處理、工作效率、資源共享。同時當網絡給學校帶來方便時候，網絡安全也慢慢被重視。 網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、信息論、數論等多種學科的綜合性學科。網絡安全從本質上說就是網 絡上的信息安全

4、。它是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。本文從以下方面闡述校園網絡的安全管理：  　　</p><p>　　論文關鍵詞：校園網　網絡管理　網絡安全</p><p>　　一、設備安全  　　網絡環(huán)境的暢通、設備的安全，為校園網絡的信息化、數字化提供了網絡的物理安全。在

5、網絡工程建設中，由于網絡系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網絡工程的設計和施工中，必須優(yōu)先考慮保護人和網絡設備不受電、火災和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、 暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算 機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤

6、或錯誤；設備被盜、被毀；電磁干擾；線 路截獲；高可用性的硬件；雙機多冗余的設計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網絡的物理安全風險。</p><p>　　二、劃分VLAN  　 　校園網如何合理劃分VLAN。VLAN就是虛擬局域網。由于VLAN技術允許網絡管理者將一個物理的局域網邏輯地劃分成不同的廣播域(或稱虛擬局域網，即VLAN)，所以每一個VLAN可以都是按照校園的一個職能部門來劃分

7、，包含著一組具有相同工作特點的計算機。 由于它是按功能劃分而不是按物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，這些工作站不一定屬于同一個物理局域網網段。一 個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，因此可以控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。根據具體應用，提出如下 校園網VLAN的配置策略：一是以工作站和服務器的邏輯歸屬劃分VLAN。如按部門、系、處等，盡可能地將同一工作

8、性質的用戶集中在一個VALN中，以減 少跨VLAN的訪問，提高網絡的效率。二是按某項應用的覆蓋范圍配置所要求的VLAN。如學校的選課應用，不同地點選課可以將進行選課的數個機房所對應的 交換機端口設為一個VLAN。選課活動在物理上可跨幾個網段，但在邏輯上屬于一個子網。</p><p>　　根據校園網的具體情況，為了達到信息流量的控制，并提供良好的安全性，通過對網絡邏輯結構進行分析和合理劃分，在高校校園網中應用比較廣

9、泛的是基于 端口的VLAN，采用基于端口VLAN技術對校園內部網絡不同部門之間進行邏輯隔離，同時抑制廣播風暴。在接入層交換機采用基于端口的VLAN劃分和隔離 用戶，在匯聚層或核心層通過三層交換機采用VLAN路由進行通訊，達到靈活通訊和管理控制各網段機器的目的。本校的校園網采用基于物理端口進行VLAN的 劃分，來提高校園網絡的工作效率。</p><p>　　三、網絡流量控制  　　導致校園網絡異常流量的

10、因素很多，有病毒木馬等有害程序，有網絡教學軟件錯誤使用，設備線路故障，最主要的還是P2P軟件的使用。對于前幾種原因引起的校園 網異常流量，因為數據流特征比較明顯，處理起來比較容易。如對于病毒木馬等有害程序可以采用網絡防病毒軟件進行查殺，并封堵異常流量傳播的特定端口；對于 網絡教學系統(tǒng)錯誤使用，可以修改系統(tǒng)設置或暫時切斷其與校園網聯(lián)系來控制；設備端口故障、配置錯誤、鏈路冗余沒有啟用生成樹協(xié)議或網線線序錯誤等設備線路 問題都可能導致網絡出現(xiàn)

11、異常流量，但此類現(xiàn)象出現(xiàn)的幾率很低，通過修改設備配置或修復損壞設備也能徹底解決。傳統(tǒng)的流量控制工具和限流技術難以控制P2P應用導致的網絡流量。如防火墻、路由器對使用隨機端口后的P2P軟件識別率比較低，不能取得滿意的過濾效果。 而對帶寬和連接數量兩方面的限制，雖然可以使用戶的P2P下載速度下降，P2P連接用戶數目下降，但合法用戶也會受到影響，很難達到專門限制P2P流量的 目的。    常用的P2P檢測技術

12、包括端口檢測技術、報文特征字檢測技術和行為特征檢測技術。端口檢測技術已逐漸被淘汰，而行為特征檢測是通過</p><p>　　四、部署防火墻  　　校園網有幾個顯著的特點，對于制定安全策略，維護網絡安全具有一定的意義。首先是校園網的用戶數目極其龐大，有許多是萬人以上的高校，這是一些企業(yè)的網絡 所不能相比的。上網人數的眾多和集中，會對網絡造成一定的沖擊。校園網的用戶以青年學生為主，網上行為十分活躍，這和一

13、些政府機關的網絡是不同的。如何對 網上行為做出規(guī)范和管理，是網絡安全的一個課題。校園網的用戶都有相當的文化水準，有些還是網絡技術的內行，而且一些住校的學生在夜晚有大量的時間，有可能在內部發(fā)起對校園網的攻擊，這是和一些部門或者網吧的情況很不相同的。 因此，在校園網的邊界以及校園網服務器群的邊界，使用防火墻來實施邊界防護，是十分必要的。防火墻雖然不能完全杜絕各種安全隱患，但是畢竟能夠在一定程度上降低對校園網安全的威脅。</p

14、><p>　　為了安全起見，校園網內部是要進一步劃分為更多層 次的局部網絡的，各個局部網絡之間都有防火墻相互隔離，或者使用VLAN技術相互隔離。通常情況下，各學區(qū)、各院系要相互隔離，辦公、科研、教學、生活各 系統(tǒng)也要相互隔離。具體情況視實際需要而定。</p><p>　　五、部署入侵防御系統(tǒng)  　 　為了彌補防火墻的不足，可使用入侵防御系統(tǒng)：如IPS。他能夠及時識別攻擊程序、有害代

15、碼及其克隆和變種，盡量將病毒擋在校園網之外。另外，對于已經傳 入校園網內的病毒，必須防止其擴散，可以利用核心交換機的訪問控制列表，屏蔽掉某些可能被病毒利用的端口。這樣就可以控制病毒，使其只能在某一子網內傳 播，而不至于在校園網內大范圍擴散。</p><p>　　另外還可以在交換機上建立內網計算機的IP地址和MAC地址的對應表，實現(xiàn)專人專用，防止IP地址被盜用。  </p><p&g

16、t;　　六、服務器的安全  　 　校園網的服務器為用戶提供各種應用，但是應用提供得越多，系統(tǒng)就存在越多的漏洞，也就有更多的危險。因此從安全角度考慮，應將不必要的服務關閉．只向用 戶提供他們所需的基本服務。例如：我們在校園網服務器中對用戶只提供WEB服務功能，而沒有必要向用戶提供FTP功能。這樣。在對服務器配置時，只開放 WEB服務，而將FTP服務禁止。如果要開放FTP功能，則要規(guī)定端口、賬號及密碼，向指定的用戶開放。因為用戶

17、通過FTP可以上傳資源，如果給了用戶可 執(zhí)行權限，那么，通過運行上傳的某些程序，就可能使服務器受到攻擊。所以，控制好服務器的用戶群體也是保障網絡安全的一個重要因素。  </p><p>　　七、部署防病毒  　　(1) 合理的校園網規(guī)劃和主機實名制。有效的管理是防治網絡病毒的基礎。合理規(guī)劃校園網，利用子網劃分技術將整個網絡劃分成若干子網。每個子網對應固定的交換機 端口，從而使計算機只能在相

18、應的位置范圍內使用；對入網計算機的命名實行實名制統(tǒng)一管理，所有機器一律以責任人名_部門名的模式命名，并將部門名稱作為機 器的工作組名，借助這兩項措施，網絡管理人員將很方便的定位到問題計算機。(2) 使用網絡防火墻及核心交換機上的訪問。設定訪問控制規(guī)則，限制網絡病毒的擴散和傳播。大多數網絡蠕蟲病毒的傳播利用了一些常用的端口。例如：震蕩波利用 445端口，沖擊波利用135端口。在病毒傳播初期，可利用校園網邊界上網絡防火墻設備，通過訪問控制策

19、略拒絕所有企圖連接135，445端口的數據包， 將病毒阻隔在校園網之外。另外，對于已經傳入校園網內的病毒,必須防止其擴散?？梢岳媒粨Q機的訪問控制列表，屏蔽掉某些可能被病毒利用的端口，并且嚴格 控制個子網間的訪問規(guī)則，這樣就可以控制病毒的傳播，使其只能在某一子網里傳播，而不會在校園網大范圍內擴散。利用網絡防火墻和核心交換機的訪問控制功 能，一方面可限制網</p><p>　　八、定時更新  　 　任何

20、一個操作系統(tǒng)、防病毒軟件、防火墻系統(tǒng)、入侵檢測系統(tǒng)、路由交換設備等網絡節(jié)點、系統(tǒng)或多或少都存在著各種漏洞。系統(tǒng)漏洞的存在就成為網絡安全的首 要問題。發(fā)現(xiàn)并及時修補漏洞是每個網絡管理人員的主要任務。當然，從系統(tǒng)中找到漏洞不是我們一般網絡管理人員所能做的．但是及早地發(fā)現(xiàn)有報告的漏洞，并進 行補丁升級卻是我們應該做的。經常登錄各有關網絡安全網站，密切關注我們所有使用的軟件和服務程序的最新版本和安全信息，一旦發(fā)現(xiàn)與這些程序有關的安全問 題就立即

21、對軟件進行必要的補丁和升級。網絡管理員應該養(yǎng)成勤打補丁的習慣。  </p><p>　　九、規(guī)范管理  　　以上提及的安全管理辦法只是對網 絡設備和硬件所說，為校園網絡提供技術手段和措施，但是還需要制定一系列的信息網絡規(guī)章制度來規(guī)范網絡管理員的操作流程，提高網絡管理員的安全意識和責任。包括制定網絡安全管理范圍規(guī)章制度、制訂有關校園網網絡操作使用規(guī)程、制定人員出入校園網主控機房的管理制度、制

22、定校園網網絡系統(tǒng)的維護制度和應急措施、確定校園網信息安全管理的一般責任和具體責任，以及規(guī)定出現(xiàn)安全事故以及違反安全策略的后果等。  　　網絡管理的規(guī)范程度直接反映一個網絡的應用保障系數，通過以上幾個方面的管理，并結合定期的內部網絡的掃描巡檢，科學的管理分工制度，要把一個網絡管好、用好不難。  　　相信隨著校園網絡管理和校園網絡安全不斷優(yōu)化發(fā)展。必然會給校園信息化、數字化應用提供暢通環(huán)境，校園網絡的效益將會越來越大

23、。也必將會進一步提高學校的教學質量和管理效率，使學校成為一所具有先進的信息化網絡環(huán)境和數字化應用的現(xiàn)代化學校。 </p><p>　　參考文獻：  　　</p><p>　　[1]黃開枝,孫巖.網絡防御與安全對策[M].北京:清華大學出版社  　　</p><p>　　謝希仁.計算機網絡（第2版）[M].北京:清華大學出版社