网络建设与管理
课程总结报告
班级:计算机10-8班
学号:1004010818
姓名:李宏伟
20##年12月5日
目录
一 .需求分析... 3
1.1建设校园网的必要性... 3
1.2.校园网应用特点... 3
1.3校园网需求分析... 4
二总体设计... 5
2.1、设计思想... 5
2.2、网络设计原则... 5
2.3网络技术选择... 6
三.网络拓扑结构设计... 7
四.网络出口设计... 9
4.1网络分布... 9
4.2连网技术... 9
五.IP地址分配... 11
5.1整体结构设计... 11
5.2 IP规划... 11
六.服务器的规划和设计... 12
6.1 WEB服务器... 14
6.2 FTP、文件服务器... 15
6.3 邮件服务器... 15
6.4 数据库服务器... 15
6.5 DNS、目录服务器... 16
6.6 DHCP服务器... 16
6.7路由器选型:... 19
6.8 交换机选型... 19
6.9 汇聚交换机:. 20
6.10 防火墙选型:... 21
七.网络安全和可靠性规划... 21
7.1 网络病毒的防御... 22
7.2 web服务器安全预防措施... 22
7.3 在网络操作系统安全预防措施... 22
八.结束语... 23
一 .需求分析
1.1建设校园网的必要性
校园网建设势在必行。信息时代的热潮扑面而来,计算机变的越来越强大,而应用软件使计算机变的越来越容易使用,它们正在迅速改变着人们的生活、学习、工作方式,人们能够明显感觉到这种变化,总之整个世界正进行着一次深刻的变革。在这个变革的时代里,什么都在变,作为其它行业基础的教育当然也要变,而且应该变的更早变的更快。在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。这些只有校园网才能办到。社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。它们正在迅速改变着人们的生活、学习、工作方式,人们能够明显感觉到这种变化,总之整个世界正进行着一次深刻的变革。在这个变革的时代里,什么都在变,作为其它行业基础的教育当然也要变,而且应该变的更早变的更快。在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。这些只有校园网才能办到。社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。
1.2.校园网应用特点
校园网特点就是把分布在校园不同地点的多台电脑连接,按照网络协议相互通信,以共享软件、硬件和数据资源为目标的网络系统。提供丰富的教育教学信息和资源是校园网的生命力。校园网络具有距离短、延时少、相对成本低和传输速率高等优点;它的低层协议较简单,控制选择等问题大大简化,因而又具有组网简单、易于实现的特点。校园网的功能作用主要体现在以下四个方面。
这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源,并对这些资源进行综合管理。
(1)资源共享
①信息资源共享。通过接入ddn或isdn,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强。
②硬件资源共享。网络中各台电脑可以彼此互为后备机,一旦某台电脑出现故障,它的任务就由网络中其他电脑代而为之,当网络中的某台电脑负担过重时,网络又可将新的任务转交给网络中较空闲的电脑完成。
(2)方便教学
网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。
1.3校园网需求分析
随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的,也是可行的。主要表现在:
1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。
2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。
3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
4、现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。
5、随着经济发展,我国各级学校对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。
二总体设计
2.1、设计思想
校园网设计主要包括以下几个部分:校园内部主干设计、服务器系统设计、校园网应用设计。
2.2、网络设计原则
校园网的总体设计原则是:
开放性——采用开放的网络体系以方便网络的升级、扩展和互联;
可扩充性——从主干网络设备的选型及其模块、管理软件和网络整体机构以及技术的开放性来保证系统的可扩充性;
可管理性——利用合理的网络规划策略提供强大的网络管理功能;
安全性——内部网络之间、内部网络与外部公网之间的互联,利用Vlan/Elan
以及防火墙等对访问进行控制,确保网络的安全。
2.3网络技术选择
(1) 总体技术
从校园的建筑结构来说,一般以楼宇为单位,每个楼由多个楼层组成,整个楼可以作为一个相对独立的网络应用单元考虑,多个功能相近的楼宇形成一个建筑群,最典型的是学生宿舍楼。这种建筑分布结构非常适合以太网技术的应用。
首先,以太网采用分组交换方式,一个交换机就是一个交换中心,可以很容易地组成星型或者树型的网络结构。在楼宇内部,每层楼通过一台二层交换机来连接该层信息点,整个楼用一台二层/三层交换机作为楼宇汇聚,多个楼宇再汇聚到核心骨干交换机上。楼层、楼宇、楼群与以太网的接入、汇聚、核心的树型结构有着很好的对应关系,网络结构层次清晰。
其次,传输介质也适合了建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用5类双绞线,其100M连接状态100m、10M连接状态200m的传递距离能够满足室内布线的长度要求。最后,以太网建网能够提供性价比高的网络带宽。
(2) 路由技术
路由协议工作在OSI参考模型的第3层。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本规划设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
(3)交换技术
传统意义上的数据交换发生在OSI参考模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了网络数据交换的效率,更大大增强其数据交换的服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在校园网内部数据交换的部署是分层进行的。校园网数据交换设备可以划分为三个层次:核心层、汇聚层、接入层。在本规划设计中,也将采用这三层进行分开设计、配置。
三.网络拓扑结构设计
校园主干网采用一台千兆多层交换机作为中心交换机,配置多台二层换机作为二级交换机;在网络中心配置多台工作站,一台主机房工作站,一台连接外部网络的路由器,同时在路由器上配置相应的拨号访问模块,供拨号用户访问校园网。
二级交换机通过千兆光纤上连接到主干交换机上,构成星形的拓扑结构,使得主干网具有较好的可扩展性和可管理性。
图一 哈理工校园网络拓扑
图二 哈理工校园网络拓扑
四.网络出口设计
4.1网络分布
我们设计的校园网将覆盖整个哈尔滨理工大学(西区)将包括:主楼,第一教学楼,第二教学楼,实验楼,男生宿舍,女生宿舍,各行政楼,图书馆,教学楼,活动中心,各院系大楼和学生宿舍楼等。根据我们的设计标准,将校园网分成3个部分:中心区,教学区,宿舍区。
4.2连网技术
(1)主干网连接技术。
主干网采用交换式1000M以太网连接技术。在该方案中,网络中心、教学楼节点和图书馆节点之间采用多模光纤以太连接拓扑结构通过1000M交换机进行连接。即保证了主干线的1000M带宽,又保证了主干线的冗余。采用双核心网络以保证网络的稳定。
(2) 局域网采用快速交换式以太网通过5类双绞线按照星型拓扑结构进行连接。
五.IP地址分配
5.1整体结构设计
根据需求分析,以层次化的网络设计方法,选择合适的网络技术,设计一个性能价格比相对优化的网络解决方案,该网络要实现各种资源的兼容性,网络整体安全性、先进性、可靠性,后续网络的可扩展性、易管理性、高有效带宽等。主要包括:组网技术的选择,子网的划分与隔离,共享资源的配置,应用服务器的设置,IP地址规划等,综合布线系统的规划。
5.2 IP规划
六.服务器的规划和设计
服务器模块用来对校园网的接入用户提供各种服务。在本方案设计中,所有的服务器被集中到VLAN构成的服务器群中并通过交换机的端口接入校园网。
校园网提供的常见的服务(服务器)包括:
l WEB服务器:提供WEB网站服务;
l FTP、文件服务器:提供文件传输、共享服务;
l 邮件服务器:提供邮件收发服务;
l 数据库服务器:提供各种数据库服务;
l DNS、目录服务器:提供域名解析以及目录服务;
l DHCP服务器
如图所示,各服务器配置情况:
各服务器硬件平台、操作系统以及服务软件的选型表具体如下:
对于各种服务器的安装、配置步骤以及运行维护方法,具体如下:
6.1 WEB服务器
Web服务是服务器提供的基本功用,尤其是在校园网中,如何能够没有校园主页呢?在将校园网主页的数据复制到服务器中之后,须要重新配置一下Web服务,使校园网主页可以正常运转。
IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。现详细说明IIS 5.0的配置和管理。
1、 在电脑上安装IIS并测试。
进入“控制面板”,依次选“添加/删除程序→添加/删除Windows组件”,将“Internet信息服务(IIS)”前的小钩去掉(如有),重新勾选中后按提示操作即可完成IIS组件的添加。(在安装过程中要插入WIN2000或WINXP安装盘。)
测试:安装完毕后,在浏览器地址栏中输入:http://localhost(或http://服务器名,或http://127.0.0.1,或http://本机IP),如果连接成功就会出现localstart.asp的页面。
2、 IIS的配置
当IIS添加成功之后,再进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器,对于有“已停止”字样的服务,均在其上单击右键,选“启动”来开启。
IIS之WEB服务器的配置
在“Internet信息服务”管理窗口中右击“默认WEB站点”,在弹出的菜单中选择“属性”选项,进入属性设置对话框。
①设置“WEB站点”,这里可以设置站点服务器的IP地址和访问端口。在“IP地址”栏中选择目前能够使用的IP地址;“TCP”端口默认为80,当然为了保密,也可以设置特殊的端口。
②设置“主目录”, “本地路径”默认为:c:\Inetpub\wwwroot,当然可以输入(或用“浏览”按钮选择)你自己网页所在的目录作为主目录。
③设置“文档”选项,“启用默认文档”选中后,当在浏览器中输入域名或IP时,系统自动在“主目录”中按上到下的顺序寻找列表中指定的文件名。
其他的设置均可按默认设置。
6.2 FTP、文件服务器
第一个FTP站点(即“默认FTP站点”)的设置方法请参照前文Web服务器中相关操作执行。需要注意的是,如果你要用一个IP地址对应多个不同的FTP服务器,则只能用使用不同的端口号的方法来实现。
对于已建立好的FTP服务器,在浏览器中访问将使用,ftp://IP地址,如ftp://10.106.1.121。
6.3 邮件服务器
E-mail是网络中运用频率最高的网络服务之一,因而E-mail服务器不可缺。邮件服务器软件有许多,在Windows NT/2000中,用的最多的就是Exchange Server了。
建立IIS下的邮件服务器的方法非常简单,只需在IIS管理器中让“默认邮件虚拟服务器”处于已启动状态就行了;此外一般不用再做其他任何设置。
如果你想要用自己的SMTP服务器发信,只需将你E-mail客户端软件设置中“发送邮件服务器”项中填入“localhost”,则不管你的IP地址如何变化,它都能正常工作。
6.4 数据库服务器
数据库服务也是服务器中经常提供的服务,许多使用系统都在数据库服务器的根底上执行。在Windows NT/2000网络中,最常用的数据库服务系统是MS SQL Server;在Linux中,最常用的数据库服务系统是My SQL。也可以够运用等大型数据库系统。
将安装光盘插入光驱后,选择“安装SQL Server 2000组件”,出现下一个页面后,选择“安装数据库服务器”,双击“AUTORUN”,选择“安装SQL Server 2000组件”;点击"下一步",选择“本地计算机”,然后根据提示完成安装;在“安装选择”窗口,选择“创建新的SQL Server 实例…”;在“安装定义”窗口,选择“服务器和客户端工具”选项进行安装;在“实例名”窗口,选择“默认”的实例名称。这时本SQL Server的名称将和windows 2000服务器的名称相同;在“安装类型”窗口,选择“典型”安装选项,并指定“目的文件夹”,程序和数据文件的默认安装位置都是“C:\Program Files\Microsoft SQL Server\”;在“服务账号”窗口,请选择“对每个服务使用统一账户…”的选项,在“服务设置”处,选择“使用本地系统账户”;在“身份验证模式”窗口,请选择“混合模式…”选项,并设置管理员“sa”账号的密码。如果需要更高的安全性,可以选择“windows身份验证模式”,此时只有Windows Server的本地用户和域用户才能使用SQL Server了;在“选择许可模式”窗口,根据购买的类型和数量输入(0表示没有数量限制),“,每客户”表示同一时间最多允许的连接数,“处理器许可证”表示该服务器最多能安装多少个CPU,完成后点击“下一步”即可顺利完成安装。
安装完SQLServer2000后,在使用前应用先做些准备,如查看SQLServer2000的安装结果、学习控制和管理SQLServer2000服务、注册和配置服务器等。
6.5 DNS、目录服务器
DNS(域名分析系统)是基于TCP/IP的网络中最主要的网络服务之一,最首要的作用是提供主机名到IP地址的分析服务。在 20## Server组成的网络中,DNS服务居于中心肠位,假设没有DNS, 2000网络将不能任务。所以在Windows 2000网络中,至少要有一台DNS服务器。
6.6 DHCP服务器
DHCP 是 Dynamic Host Configuration Protocol(动态主机配置协议)缩写,它分为两个部份:一个是服务器端,而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。DHCP 的分配形式 首先,必须至少有一台 DHCP 工作在网络上面,它会监听网络的 DHCP 请求,并与客户端磋商 TCP/IP 的设定环境。服务器配置具体如下:
安装DHCP服务
在Windows Server 2003系统中默认没有安装DHCP服务,因此需要安装DHCP服务。
第1步 单击“开始”按钮,在“控制面板”中双击“添加或删除程序”图标,在打开的窗口左侧单击“添加/删除Windows组件”按钮,打开“Windows组件向导”对话框。
第2步 在“组件”列表中找到并勾选“网络服务”复选框,然后单击“详细信息”按钮,打开“网络服务”对话框。接着在“网络服务的子组件”列表中勾选“动态主机配 置协议(DHCP)”复选框,依次单击“确定→下一步”按钮开始配置和安装DHCP服务。最后单击“完成”按钮完成安装。
提示:如果是在Active Directory(活动目录)域中部署DHCP服务器,还需要进行授权才能使DHCP服务器生效。本例的网络基于工作组管理模式,因此无需进行授权操作即可进行创建IP作用域的操作。
创建IP作用域
要想为同一子网内的所有客户端电脑自动分配IP地址,首先要做就是创建一个IP作用域,这也是事先确定一段IP地址作为IP作用域的原因。下面开始创建IP作用域的操作。
第1步 依次单击“开始→管理工具→DHCP”,打开“DHCP”控制台窗口。在左窗格中右击DHCP服务器名称,执行“新建作用域”命令。
第2步 在打开的“新建作用域向导”对话框中单击“下一步”按钮,打开“作用域名”向导页。在“名称”框中为该作用域键入一个名称(如“CCE”)和一段描述性信息,单击“下一步”按钮。
小提示:这里的作用域名称只起到一个标识的作用,基本上没有实际应用。
第3步 打开“IP地址范围”向导页,分别在“起始IP地址”和“结束IP地址”编辑框中键入事先确定的IP地址范围(本例为“10.115.223.2~10.115.223.254”)。接着需要定义子网掩码,以确定IP地址中用于“网络/子网ID”的位数。由于本例网络环境为城域网内的一个子网,因此根据实际情况将“长度”微调框的值调整为“23”,单击“下一步”按钮(图3)。
第4步 在打开的“添加排除”向导页中可以指定排除的IP地址或IP地址范围。由于已经使用了几个IP地址作为其它服务器的静态IP地址,因此需要将它们排除。在“起始IP地址”编辑框中键入排除的IP地址并单击“添加”按钮。重复操作即可,接着单击“下一步”按钮。
第5步 在打开的“租约期限”向导页中,默认将客户端获取的IP地址使用期限限制为8天。如果没有特殊要求保持默认值不变,单击“下一步”按钮。
第6步 打开“配置DHCP选项”向导页,保持选中“是,我想现在配置这些选项”单选框并单击“下一步”按钮。在打开的“路由器(默认网关)”向导页中根据实际情况键入网关地址(本例为“10.115.223.254”)并依次单击“添加→下一步”按钮。
第7步 在打开的“域名称和DNS服务器”向导页中没有做任何设置,这是因为网络中没有安装DNS服务器且尚未升级成域管理模式.依次单击“下一步”按钮,跳过“WINS服务器”向导页打开“激活作用域”向导页。保持“是,我想现在激活此作用域”单选框选中状态,并依次单击“下一步”→“完成”按钮结束配置。
设置DHCP客户端
安装了DHCP服务并创建了IP作用域后, 要想使用DHCP方式为客户端电脑分配IP地址,除了网络中有一台DHCP服务器外,还要求客户端电脑应该具备自动向DHCP服务器获取IP地址的能力,这些客户端电脑就被称作DHCP客户端。
因此我们对一台运行Windows XP的客户端电脑面前进行了如下设置:在桌面上右击“网上邻居”图标,执行“属性”命令。在打开的“网络连接”窗口中右击“本地连接”图标并执行“属性”,打开“本地连接 属性”对话框。然后双击“Internet协议(TCP/IP)”选项,点选“自动获得IP地址”单选框,并依次单击“确定”按钮。
提示:默认情况下端电脑使用的都是自动获取IP地址的方式,一般无需进行修改,只需检查一下就行了。
至此,DHCP服务器端和客户端已经全部设置完成了。在DHCP服务器正常运行的情况下,首次开机的客户端会自动获取一个IP地址并拥有八天的使用期限。
路由器及交换机相关设备及说明如下:
6.7路由器选型:
Cisco7206VXR
Cisco7206VXR虽然是一款面向中端市场的产品,但其性能已经达到高端水平。这款路由器最大优点就是它的模块化,通过6个插槽机箱,提供5个速度为300kpps的处理器,背部带宽达到了1G,它的端口总数为48个。Cisco7206VXR最大带机台数也高达8000台之多,充分显示出了这 款路由器的高性能。 Cisco7206VXR提供了RED功能,这项功能能够通过自动分析,将网络中的堵塞现象消除,保持网络中的畅通,特别是在大量校园网用户上网时表现得更明显。
这款路由器还提供了速率(CAR)工具,可以限制互联网进入校园网络通信流(如点播观看互联网的视频)的速度,让校园内部网络更加流畅。 Cisco7206VXR支持目前最新的H.323协议,支持Voip,可以非常好的实现网络视频会议,对于需要远程教育的高校来说,又多了一种选择。而它提供的MAC地址和IP地址绑定,则让校园用户不能任意更换端口而使用同一个IP地址进行恶意破坏活动。Cisco7206VXR提供了可以分配带 宽的功能,让校园网用户可以合理的使用带宽。
Cisco7206VXR也提供了目前路由器常用的一些功能,如虚拟服务器,IP过滤等功能,够很好的实现校园内部网络和互联网之间的连接。
6.8 交换机选型
核心层交换机功能:
第3层支持
l 极高的转发速率
l 千兆以太网/万兆以太网
l 冗余组件
l 链路聚合
l 服务质量(QoS)
核心交换机:Cisco 7609
6.9 汇聚交换机:
汇聚层主要承担的基本功能有:
1、汇接接入层的用户流量,进行数据分组传输的汇聚、转发和交换;
2、根据接入层的用户流量,进行本地路由、过滤、流量均衡、QoS优先级管理,以及安全机制,IP地址转换、流量整形、组播管理等处理;
3、根据处理结果将用户流量转发到核心交换层或在本地进行路由处理;
4、完成各种协议的转换(如路由的汇总和重新发布等),以保证核心层连接运行不同的协议的区域。
Cisco Catalyst 4500-E
Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。
作为新一代Cisco Catalyst 4000系列平台,Cisco Catalyst 4500系列包括三种新型Cisco Catalyst 机箱:Cisco Catalyst 4507R(七个插槽)、Cisco Catalyst 4506(六个插槽)和Cisco Catalyst 4503(三个插槽)。Cisco Catalyst 4500系列中提供的集成式弹性增强包括1+1超级引擎冗余(只对Cisco Catalyst 4507R)、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。
6.10 防火墙选型:
防火墙功能:
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入
Cisco PIX Firewall 520
PIX的处理性能是最好的,其吞吐可达150Mbps,而且使用NAT时不影响其性能。它可以防止有害的SMTP命令,但对FTP,它不能对get和put进行限制。
PIX的管理风格和Cisco路由器命令接口风格类似。PIX的管理需要有一台NT服务器专门运行该软件,通过Web来访问,但使用Web界面管理PIX只能进行简单的配置改变。它的日志和监控能力较弱,所有日志须送到另一台运行syslog的机器上。
七.网络安全和可靠性规划
保密性:采取有效措施保障数据保密性好
完整性:不经授权数据不得修改。
可靠性:数据或有关数据的信息不能有错。
保证网络管理系统正确运行,保护被管理的目标免遭破坏,包括身份鉴别、密钥管理、病毒预防和灾难恢复等
管理:具有数据备份和恢复的能力,定时更新等,各种服务的管理,如HTTP、FTP、SMTP、POP3、DNS服务管理等。
安全管理表:
7.1 网络病毒的防御
在防治网络病毒方面,接受不明电子邮件,下载软件如:.zip .exe 等文件过程中应特别加以注意。都有潜伏病毒的可能性。
对于系统本身安全性,主要考虑服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要系统,必须加上防火墙和数据加密技术加以保护。
计算机系统安全是个很大的范畴,在操作系统、应用软件、硬件本身都可能出现的一些情况,平时应重视,加以防范。
7.2 web服务器安全预防措施
1)对在web服务器上开的帐户,在口令长度及定期更改方面作出要求,防止被盗用。
2)在web服务器上去掉一些绝对不用的shell等之类解释器,即当在你的 cgi的程序中没用到perl时,就尽量把perl在系统解释器中删除掉。
3)设置好web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组如:www,并只分配它只读的权利。把所有的HTML文件归属WWW组,由WEB管理员管理WWW组。对于WEB的配置文件仅对WEB管理员有写的权利。
7.3 在网络操作系统安全预防措施
1)尽量使ftp, mail等服务器与之分开,去掉ftp,sendmail,tftp,NIS, NFS,finger,netstat等一些无关的应用。
2)定期查看服务器中的日志logs文件,分析一切可疑事件。在errorlog 中出现rm, login, /bin/perl, /bin/sh等之类记录时,服务器可能有受到一些非法用户的入侵的尝试。
3)网络管理员要及时安装网络OS补丁程序。如windows2000有iis的漏洞,需要安装补丁程序sp1 sp2。
八.结束语
网络时代的到来,教育要面向现代化、面向世界、面向未来,首先要面向网络。教育只有与网络有机结合,才能跟上时代的发展。实现网络教育的前提是网络的建设,而各高校园网络的建设不仅仅是网络硬环境的建设,还必须包括校园网络的维护与保障、校园网络的资源建设和校园网络的有效应用等其他三个环节。只有充分有效的应用校园网络,才能导致整个教学模式与教育观念的彻底变革,才能适用新世纪培养高素质的创造型和复合型人才的需要。对于校园网络建设,没有对所有学校都适用的通用方案,即使对一所学校,也不可能有最优的方案,只有较优的方案。为了更好的适用网络时代的需要,必须对校园网络建设采取“整体规划、分步实施”的战略。各学校可在此战略的基础上一边分析研究,一边积极实践,逐步优化,探索出一条自己的路。