校园网络管理方案范文

时间:2024-03-05 18:10:33

导语:如何才能写好一篇校园网络管理方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

校园网络管理方案

篇1

关键词:安全管理策略;防火墙;校园网安全问题

中图分类号:G637文献标识码:B文章编号:1672-1578(2013)09-0285-01

随着校园网络工程的应用普及,很多中小学校都建设了校园网并通过各种渠道接入了Internet。现代化的信息处理方式和知识获取手段促进了教育的发展,但随之而来的网络安全问题也日渐明显地摆在了校园网络管理员面前。

1.校园内部网络安全环境分析与病毒预防措施

我校地处城郊两界,其中物理环境制约了校园网络管理的诸多不便,由于学校教育经费在校园网络管理中投入较少、专业人员配备不足等关键问题,为拥有强效的网络防护体系与购置高效的病毒软件维护带来许多困惑,受以上条件的制约在网络环境下,导致入侵病毒无法及时控制、传播扩散快,经常会遇到类似不稳定情况。例如:在公共机房中,一台担当着为若干个科室提供资源共享功能的主机,日常使用时仅靠一款单机版软件进行病毒防护,它要将大量数据传送给其他终端机时,很容易受外界存储器内不可预知的病毒侵袭,同时感染网络病毒,最终影响终端访问主机无法启动,或是正在使用数据共享资源的主机,突然出现黑屏、死机,电脑访问缓慢等状态。因此可见,在实际应用中,我们仅靠单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。

2.结合学校实际,采取有效的校园网络安全的技术应用

2.1防火墙的配置。校园网络使用频繁,访问部门较多,介于此情况,利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。

2.2采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在日常的教学中,学生的一个误操作,最大可能的会受到不良信息的困扰,国家信息安全部门颁发的绿坝上网检测软件,在此入侵检测系统中担当了不可忽视的作用,它的主控端利用主机的IP地址进入到公安部门的信息采集中,如果其中一台机子受到外界侵扰,此主机的IP地址的信息第一时间会出现在教师机的主控端内,同时大量的不良信息会转送到公安部门的信息采集库中。利用绿坝净化版软件进行审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用此软件的过滤入侵检测技术,则会减少管理员在对学生机管理时的忧虑。

2.3漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,在教育资源紧缺和要求安全程度不高的情况下,不妨管理员暂时可以利用360安全卫士,它也是一款能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具软件,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

2.4IP地址的有效管理。目前学校的网络是由教育局光纤统一接入后,由一台主监控进行一级管理,各校通过给定的IP地址分配后,实现二级管理,这样一来,在同一网络监管下的网络使用用户增多,受到同网络内的不法攻击和外界侵袭的威胁也非常的大。所以解决的方法应该是,各校管理员应该及时的在本校路由器上捆绑IP和MAC地址,当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,这样分级管理下来,同时给发出这个IP广播包的工作站返回一个警告信息。

2.5加强师生的法制教育和德育教育。管理员经常在维护中会遇到同样的感慨地说:"学生的破坏能力是无穷无尽的,然而老师的随意操作也是让人头疼的",问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年,让每一位教师深知网络并非是一个安全的岛屿,要想共建此岛屿就需要每一位老师的倾心倾力,加强教师正确使用优盘,不定时对自己的电脑进行安全体检与病毒预防,最关键的是培训教师不要去访问有病毒的网站和观看非法网站内容。

总之,任何先进的系统都是为人服务的,作为一名校园网络管理员,还应具备扎实的专业理论与技术应用素养,我们还要关注校园网络服务器的安全,从硬件与软件系统的双重保护入手,有相应的机房管理制度,防止人为的蓄意破坏和盗窃事件发生。对于服务器的管理尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。管理员要定期查看系统日志记录,及时解决出现的问题,无法解决的问题及时向上级汇报;任何人不得动手删除运行记录数据库中的文档。因为人永远是决定性的因素,配合先进的技术手段,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。

参考文献

[1]《计算机网络安全基础》人民邮电出版社袁津生吴砚农编

[2]《网络安全从入门到精通》北京电子工业出版社马树奇

[3]《计算机网络安全与数据完整性技术》北京电子工业出版社徐超汉

篇2

目前各大高校已经完全普及校园网,基于校园网开展教学工作、教务管理、科研管理和师生之间的交流等已经成为当今高校校园网管理不可忽视的日常工作。校园网是一种利用计算机技术,将学校的各种网络设施、工作站、局域网等连接起来的一种网络。通过校园网,高校能顺利开展教学、校园办公,共享教学资源等各项工作。因此,进行校园网的管理和维护研究具有重要的现实意义和应用价值。

2校园网管理与维护概述

当今高校的工作几乎都能通过校园网来完成,因此,校园网的管理和维护就显得十分重要。校园网管理与维护的目的在于网络全天候无故障运行,并根据不同需要及时调整或进行更新;保证各种软件系统稳定运行、不受恶意攻击以及各种数据的安全;确保校内网络畅通,与互联网安全互联,为信息传递、数据共享提供安全渠道,为高校的各项工作提供网络基础。

3校园网管理与维护方案

校园网的管理和维护是校园网能够正常稳定运行的重要保障,下面将详细阐述可采用的方案或策略。

3.1校园网的管理

校园网涉及的管理项目繁多,且师生们对网络的要求各不相同。因此,对校园网开展管理工作仍具有一定难度。以下将从推进网管队伍建设、完善网络管理制度、提高网络安全管理以及加强网络资源建设几个方面进行详细分析。在网管队伍建设方面,各个高校校园网所涉及的范围、情况和需求不尽相同,如果缺少专业化的网络管理队伍,则难以完成有针对性的网络配置和管理。因此,校园网的功能能否得到充分发挥,加强网络管理队伍建设是校园网顺利运行的关键。在网络管理制度建设方面,在已有制度的基础上及时进行合理的更新完善,建立相关的应急预案,明确网管队伍的工作职责、个人分工、突发事件的处置程序和权限,以防止或减少因制度不明而造成的混乱。在网络安全管理方面,网络的开放和虚拟两种特性对网络安全构成严重挑战,这也成为了当今网络管理的核心主题。当前高校校园网普遍都存在各类安全问题,如网站存在漏洞、计算机病毒传播、木马软件的威胁和黑客的入侵等,这些问题对校园网和各类重要数据的安全都不可小觑。面对这些不同的安全威胁,需要采取有针对性的措施。对网站上的漏洞,可通过建立先进的网络安全管理系统,定时对校园网中的各类网站进行扫描,及时发现并修复,既提高校园网的安全性,也可提高网络的整体稳定性;针对计算机病毒和木马软件,可在终端计算机或服务器上安装杀毒软件,定期对设备进行病毒和木马查杀,并及时更新病毒库。同时,在高校的内部网络和外部网络之间配置防火墙,将内部网络与外部网络进行有效的隔离;此外还可以配置入侵检测系统等设备,进一步提高网络的安全性。对内部网络中相对重要的教学管理部门,如领导办公室、财务处、教务处等根据其部门特性对其进行单独的网络划分和配置,保证数据安全;针对黑客的恶意攻击,首先需要提高师生的安全意识,在设备上设置较为复杂的登录密码,且不访问未知或不安全的网页,不随意在存储重要数据的计算机或服务器上插拔未知的存储设备。在网络资源建设方面,高校时代的资源也是学生生涯中最丰富的一个时代,让高校资源得到充分共享,提高利用率就显得尤为重要。在当前这个信息爆炸性增长的时代,硬件建设已经不是主要困难,对校园网来说,除了要确保网络的畅通和稳定这些基本需求外,还应当关注信息资源的利用。通过整合多元的信息资源,使教师可利用这些资源丰富教学内容,提高教学质量;让学生选择适合自身特点的学习方式和途径,提升学习效率。此外,网络信息资源的多寡对高校对外形象及其社会影响的高低也有不可低估的作用。

3.2校园网的维护

对校园网的维护工作主要从硬件和软件两个方面开展。3.2.1校园网硬件的维护。校园网在运行过程中,硬件设备难免会出现各种老化、损坏等现象,这就需要高校中专业的网络维护部门或人员,对网络设备进行监测和定期维护。在维护硬件时,重点检查核心路由器、交换机等重要设备是否处于正常的运行状态,及时检测机房的环境是否整洁干燥等,另一方面要及时了解当前校园发展和各项工作推进所带来的需求改变,及时更改提高硬件组合配置,提高其利用率,降低故障的风险。3.2.2校园网软件的维护。校园网软件的维护相对复杂,既需要网络管理员根据实际情况来制定网络管理规定,还需要师生配合。网络管理员需要熟悉并运用病毒查杀软件、漏洞扫描软件以及基于SNMP的网络管理软件等软件,能定期检查软件更新和补丁情况,确保软件、病毒库和漏洞补丁目录处于最佳的工作状态,确保能及时发现校园网中的安全隐患,使管理员能采取相应的措施;师生应当加强网络安全防护意识,如安装杀毒软件并定期更新,规范上网行为等,以最大限度减少网络不安全性因素。

4结论

由于网络技术应用的日益普及,校园网的不可或缺性已经成为高校师生的共识。校园网的日常管理和维护是校园网能够正常运行的基础。面对越发复杂的社会及网络环境,高校应当对校园网的管理和维护工作给予相应的重视,以确保高校能健康、稳定地发展。

参考文献

[1]张娜.新形势下高校校园网的管理与维护[J].通讯世界,2017(04):118-118.

[2]曹东朗.高校校园网络的安全管理与维护[J].电子技术与软件工程,2016(01):226-226.

篇3

关键词:高校;校园网建设;关键技术;问题分析

DOI:10.16640/ki.37-1222/t.2017.03.250

0 引言

高校校园网还可以将学校的教学、娱乐、学习以及活动等资源整合在一起,成为一个能够供学生交流、沟通的平台,还能够拉近教师与学生之间的距离。

1 当前我国高校校园网建设所面临的问题

1.1 对高校校园网建设重视度不足

部分高校领导在开展校园建设时,将大多经历集中于学校的设备资源、师资力量等方面的建设,而忽略了校园网平台对高校教育的重要性。高校领导没有真正领悟校园网平台建设是校园教育信息化、现代化的重要途径,导致在对高校校园网建设力度较低,资金投资力度小,没有运用关键性建设技术进行建设,降低了高校的教育能力与质量。

1.2 高校校园网无形建设力度低

在高校校园网建设工作中,主要分为两方面内容,分别为有形建设和无形建设。在有形建设中,主要是对网络硬件,如网线、计算机等设备或线路的建设,而在无形建设中,主要以网络平台软件、计算机系统、管理或者应用软件等无形设备的建设。在高校校园网建设过程中,大部分资金都运用在有形建设方面,学校对无形校园网的建设力度低,导致高校校园网无法发挥出其真正的效用,降低了校园网对高校教育应有的作用。

1.3 高校校园网对关键性建设技术的研究度较低

高校校园网建设的关键性技术能够显著提高校园网的建设速度与质量,但是就目前的调查情况来看,我国大多数高校在开展校园网建设工作时,并没有加深对校园网关键技术的研究与分析,降低了校园网的建设质量。在对高校校园网进行建设时,主要应当针对综合布线技术、网络安全技术、网络管理技术三种关键技术进行分析与研究,将其充分应用在建设工作中,才能提高我国高校校园网的建设水平,进而提高高校的教育效率。

2 对当前我国高校校园网建设关键性技术的分析

2.1 对高校校园网建设中综合布线技术进行分析

综合布线技术在高校校园网建设中,属于基础建设内容。为了实现高校校园网的信息顺利传输,需要利用光缆以及非屏蔽双绞线来充当校园网信息传输的重要传输介质。为了能够将信息中的声音、图像以及数据等内容能够与校园网中其他的系统相关联,必须重视综合布线技术,充分依据合理布线设计方案,进行安装与运行。在高校校园网建设中,采用综合布线技术,能够提高高校相关信息传输的灵活性,属于智能化操作系统的基础设施。

2.2 对高校校园网建设中网络管理技术的分析

在高校校园网网络管理技术中,主要是为了能够确保校园网平台的正常运行,妥善对校园网平台中的庞大数据、信息进行有序管理。在网络管理技术中,主要包含网络配置管理、性能管理、故障检测管理以及安全检测管理等内容。其中,故障检测管理主要起到快速定位故障区域的作用。由于高校校@网的覆盖面积较大,若仅仅依靠人力对网络进行定期排查,当发生故障时,可能会出现故障位置难以确认的现象。为了保障高校校园网平台可以正常运行,减少崩溃、错乱等故障现象,采用网络管理技术可以在故障发生后,快速对故障问题进行分析与定位,提出相应的解决方案,在最短的时间内将故障处理好,提高高校校园网的管理水平。

2.3 对高校校园网建设中网络安全技术的分析

在高校校园网建设时,为了提高高校学生使用网络的安全性,避免在使用校园网的过程中受到病毒、非法人员的攻击,需要在高校校园网建设时加强对网络安全技术的分析。在网络安全技术中,主要是通过网络安全软件,诸如校园网网络防火墙、安全入侵检测管理等技术来提高校园网的安全性。只有提高高校校园网的安全性,才能让高校学生、老师等人员更放心的应用校园网,提高高校校园网的应用性。

2.4 对高校校园网建设中网络系统规划设计技术分析

在高校校园网的网络系统规划设计技术中,主要分为两方面设计技术内容。其一是逻辑网络设计内容,逻辑网络设计内容是通过网络设计师进行设计,对高校现有的网络结构进行分析,根据高校自身的网络结构特点进行网络逻辑和物理结构的设计。另一个是物理网络设计。在物理网络设计中,主要以结构化综合布线设计与网络机房系统设计、供电系统设计为住。加强这三方面的设计内容,就可以提高高校校园网建设水平,完善建设方案,推动我国高校的教育进步。

3 对我国高校校园网的应用分析

3.1 高校校园网在数字图书馆技术中的应用

利用高校校园网平台建立数字图书馆,在数字图书馆中可以集合学校所有的书籍、文献等资料,让其成为电子化图书馆。现代科技在不断进步,随着智能手机的出现,高校师生不仅能够在计算机中登陆数字图书馆,还可以利用手机平台登陆数字图书馆,提高查阅资料的便利性。数字图书馆的建立能够提高校的教育速度,让学生随时随地可以进行学习。

3.2 安全网络技术的应用

将安全网络技术应用在校园网建设中,可以显著提高高校校园网的安全性。首先,可以为高校校园网配备IDS入侵检测系统,利用检测系统信息的方法避免外来网络中的不法分子入侵到校园网平台中。其次可以为高校校园网安装防火墙软件。防火墙软件可以智能分析外来非法用户的数据,并且能够及时检测出病毒,避免出现病毒侵害。除此之外,在防火墙软件中,还可以进行手动操作,提高安全网络技术的人性化,能够有针对性的进行管理,提高我国高校校园网的安全性。

4 结束语

高校在开展校园网建设工作时,只有正视建设问题,加深对建设关键性技术的研究与分析,应当加强对校园网综合布线技术、网络安全技术、网络管理技术以及网络系统规划设计技术等多种关键技术的研究与应用,才能真正提高我国高校校园网的建设完善度,确保校园网的安全度,让高校师生能够安全应用。

篇4

【关键词】校园信息网 无线网络 互联网 安全

1 校园信息网建设中无线网络技术应用的意义

1.1 有利于降低校园网络建设成本

与有线校园网络不同,无线网络可以节省网络信号基站的定点安装,大大节省由于网络信息在传输过程中端口扩展投入的资金。我国目前处于互联网+时代,移动网络是时展的主流趋势,因此从长期考虑,建设校园无线网就是针对未来校园信息网络的投资,进而加快投资回收预期的时间,降低校园建设的成本。有线校园网络由于网络信号需要靠发射塔进行数据交换,因此网络设备投资成本所占投资比重较大。而校园无线网络,由于其覆盖范围大,一个无线网络可以实现整个食堂、宿舍楼、教学楼的网络信号全覆盖,因此也可以减少硬件网络设备成本的投入。

1.2 有利于提升校园网络性能体验

无论是教师还是学生,对于校园网络的基本要求就是网络信号,网络传输速度较快。这样才能满足学生的基本用网需求和用网体验;老师也才能更好的发挥网络教育的优势,提高自身的教学效率和教学质量。仅仅依靠有线校园网络,极大限制了学生上网地点的自由和由于网络接口数量,还极大限制了上网学生总数,因此有线网络比较适合在学校机房进行使用。随着无线连接、传输技术的不断发展,无线网的信号要比有线网络信号稳定,可以实现让学生随时随地上网的同时,还可以体验与有线相媲美的信号强度。

1.3 有利于稳固校园网络安全保密

无线网络应用与校园网络最大的优势就是可以实现各项性能的远程调控,网络安全是校园网络建设的核心考察指标之一,只有安全等级足够高的校园网络,才能最大可能保护校内公共网络资源不被盗取,才能让学生和老师更好的接受和使用校园网络,进而有利于发挥校园网络的综合优势。一旦发生网络安全问题,无线网络可以快速借助局域网权限的设置保护校园网络临时安全性能,为弥补校园网络的安全漏洞争取足够的时间。

2 校园信息网建设中的无线网络技术应用

2.1 无线局域网与互联网结合

本文所指的无线局域网在校园网络中的应用主要就是指接入互联网的无线网。可以将校园中的学校计算机房、图书馆资料建设网络资源网络,师生可以在学校的任何地方借助无线网浏览共享数据信息资源,改变传统的资源利用方式,提升资源利用效率。因此,一方面,学校要结合当地互联网服务的特点,合理筛选互联网供应商,并建立合作伙伴关系,营造稳定性好,性价比高的校园网络。另一方面,将学校的多媒体设备有效与无线网结合起来,提高多媒体设备的使用范围和效率。

2.2 明确无线网络功能

对于无线网络的应用,要明确在校园网络建设中的目标和功能设计。

(1)无线网要实现学校教与学的移动化。可以结合不同课程的教学特点来确定无线局域网的网络属性,对于体育教学,主要影响指标就是覆盖范围的大小。

(2)教师与学生进行无线网络专业管理,借助教师网络实现对老师的管理和支持;借助学生局域网,实现对于学生的网络课程签到。

(3)师生互动网络建设。由于老师与学生的交流借助网络平台信息交换更高效,可以进行学习和教学难点以及学生的学习困惑的解答。

2.3 无线网络介入网络管理

无线网络在校园网络中的应用可以最为校园网络管理的补充,使得校园网络管理更加科学、高效。首先,对于校园网络的安全管理,可以通过 WLAN 在访问无线 AP 时实现密保认证管理,利用 PPPOe+WEB 的方式,实现用户的合法认证,进而避免外来客户进入校园网络。其次,建立层次型网络管理框架。借

助无线网络远程操控的特点,实现校园网络的移动式管理。最后,多点接入无线连接。由于校园网络管理需要一定的风险评估,因此就要提升校园管理灵活性。

3 校园无线网络建设的安全技术

3.1 防火墙技术

校园网络安全要做好防火墙设置方案,目前主要应用的是双宿主机网关、屏蔽主网、屏蔽子网三种方式,其中屏蔽子网在保护校园网安全、提高防火墙抗攻击能力方面作用最为显著。校园网防火墙的设置要遵守以下几点原则: 一是要根据校园网的用途和特点,正确设置安全过滤规则,防止公网非法访问校园网络;二是要对防火墙访问日志进行定期检测和查看,及时发现网络攻击行为和不良上网记录;三是为提高防火墙管理安全性,还要加强网卡对防火墙的设置。

3.2 防病毒技术

计算机病毒严重威胁着网络安全,防止计算机病毒传播不但要建立完善的管理措施,还要有病毒扫描、病毒查杀、系统恢复等工具和技术。学校领导、教师、学生使用电子邮件的情况比较广泛,这就造成了计算机病毒的迅速传播,学校信息系统因此受到侵害,造成了学校的严重损失。随着互联网的快速发展,计算机病毒的种类和传播途径也日益多样化,校园网的防病毒工作急需建立一个多层次、立体的病毒防护体系,并依靠先进的管理系统防止计算机病毒的侵害。防病毒软件在校园网络安全中得到了最为广泛的应用,学校在对防病毒软件进行选择时,要充分考虑到软件的易用性、系统的兼容性、对资源的占用情况及病毒查杀能力,同时还要综合考虑软件的价格、软件开发商的实力等。

3.3 身份认证和数据加密技术

身份认证技术是指网络用户在使用计算机网络时身份需要被确认并获得准入权限的技术。在校园网络中,每一个校园网络使用者都需要在网络管理员处获得一个身份,凭借这个身份,网络用户在登录校园网络后需要首先输入相应的帐号和密码,通过身份认证后才被准入校园网络而进行查找、浏览、下载等活动,这对网络黑客的恶意攻击产生了巨大的抑制作用,从而提高了校园网络的安全性。

参考文献

[1]蒋建峰.校园网建设方案设计与实施[J],苏州市职业大学学报,2013.

[2]胡朋.防火墙安全技术探讨[J].电子技术与软件工程,2013.

篇5

目前大部分校园网架构基本采用核心层-汇聚层-接入层的三层分级交换架构,每个层次分别实现不同的业务功能。核心层作为校园网的高速交换主干层,负责数据流迅速安全地在校园的传输;汇聚层是核心层和接入层之间的中介,保证了整个校园网的稳定性;接入层是师生接入校园网的通道,管理者可以完成对网络资源访问的控制。

2校园网流量管理面临的问题

为了解决校园网网络速度问题,首先分析校园网络流量产生的关键环节,第一是内网用户外联网络时产生的接入流量,第二是内网用户在访问内部服务器时产生的内部流量,第三是内网用户访问互联网产生的网络出口流量。

2.1用户接入流量问题

接入层是用户获取外部网络资源的途径,面对黑客攻击、网络病毒、非法访问等威胁和攻击,许多校园网防范措施不到位,只是简单设置防火墙就认为可以屏蔽那些威胁和攻击。但是有些木马程序会产生大量的数据包去干扰和拥堵网络出口,使得校园网无法正常运行,外界用户无法访问校园网络,内部用户也无法正常使用校园网络去访问外网。一旦出现上述接入流量异常情况,那就难以保证访问质量和提高用户体验。这种异常情况正是流量管理所要解决的问题。

2.2内部网络流量问题

要对内部流量管理需要引入虚拟局域网VLAN(VirtualLocalAreaNetwork)技术,将整个网络按功能进行逻辑划分。通过虚拟分组管理,用来减小和控制广播流量。VLAN虚接口的终结于核心设备,该核心设备接收所有数据包,但是在组播包、广播包的处理过程中,核心交换设备会占用大量的CPU时间,CPU占用率提高。这个影响对整个网络的性能来说是巨大的,它会直接导致网络传输速度的降低。如果网络管理人员没有相关的措施去控制和管理各VLAN间互访流量,这些流量就可以使得有限的带宽资源被大量占用。这种状况使得各层交换设备受到冲击,严重的会引发网络安全问题。

2.3网络出口流量问题

许多校园网接入是由中国电信、中国联通、广电网络提供接入服务,接入的方式有IPv4方式和IPv6方式,未来还会连接不同的运营商网络。普通的师生没有考虑校园网的实际带宽情况,他们在使用校园网时随心所欲,加上许多用户喜欢直接交换P2P(PeertoPeer)、在线游戏、在线视频、即时通信等网络应用,大量侵占网络带宽、滥用带宽的现象非常严重,使得校园网络出口的流量特征体现为入流量很大、出流量相对较小(从内网用户的角度出发),因为网络巨大的入流量导致数据延迟或丢弃,校园网对外服务受到严重影响。这种网络上下行流量的不对称及流量分布不合理情况是校园网流量管理需要注意的地方。

3校园网流量管理策略

由于通信交换技术的进步和交换设备功能的改进,VLAN的应用越来越多,从虚拟交换角度出发,采用突破物理位置限制重新划分广播域,在内部主干网上做到能够划分跨越物理子网的虚拟网,由一组任意选定的第二层网络地址组成虚拟网段。这样,可以将整个校园网划分为若干个跨越物理子网的虚拟网络VLAN网段,用来强化网间访问、网间广播的控制和管理,防止发生广播风暴,实现对内网应用进行访问控制、对学生公寓网到其他网络的策略管控。在这个过程中,网络管理员可以通过配置VLAN之间的路由来全面管理校园网内部不同管理单元之间的信息互访。

3.1出口流控选择

基于笔者所在的学院使用的设备状况,首先进入锐捷EG1000S出口网关的管理窗口,在窗口里中选择设备提供的智能流控方案,在该方案中,应用控制引擎ACE(ApplicationControlEngine)对协议识别能力非常强,可以实施分类和控制针对用户的应用级IP数据流,可以全面管理和控制P2P、网络视频、非法网站访问等,优化每个上网用户的流量;身份认证系统负责定制每个用户策略,使用户的信息及时被ACE获取,为了保证相应网络服务质量为关键用户所获得,流量控制必须以用户身份为基准;日志软件RG-eLog了解每个用户上网状况,实现对于用户上网的管控,同时通过日志便于网络管理者进行网络安全与管理的分析。流控方案里选择“学校(高校)”,在这个方案中根据学院网络应用调查结果对相应的阻断类和抑制类的应用进行严格的挑选,系统会自动根据选择保证场景下的关键/保证类应用的流畅,保证带宽的合理使用,提高带宽利用率。

3.2流控高级选项

通过上述流控方案窗口选择其中的高级选项,打开高级选项窗口后勾选前面4项高级设置,可以在页面添加您认为需要被阻断的网站,如一些非法或带病毒的网站,然后点击“完成配置”,这样立即回到路由器正常的观测页面,查看设备和人员上网情况,通过这个设置可以轻松保护内网网络的安全。

4结束语

篇6

关键词: VLAN 校园网 网络管理

1.VLAN的概述

1.1VLAN的特点

Virtual Local Area NetworkVLAN(虚拟局域网),在逻辑上等同于广播域,网络中的站点按网络用户的性质和需要划分成若干个“逻辑工作组”,每一个“逻辑工作组”就是一个VLAN。分隔广播域的方式有物理分隔和逻辑分隔两种,前者使用的是网桥和路由器技术,后者使用的就是VLAN技术。这两种方式功能上完全相同,但是,与前者相比,VLAN技术拥有诸多优点:

1.1.1工作组分隔的灵活性。组员可以处在不同的物理连接位置上,实现了动态的网络组织结构。

1.1.2组员变更的灵活性。变更组员工作组,无需从物理连接上重新布线,只需重新定义VLAN成员即可。

1.1.3有效控制网络广播。VLAN自动地形成广播域,所有广播都只能在本VLAN中进行,大大减少了广播对网络带宽的占用,有效避免了广播风暴的产生。

1.1.4提供额外的安全性。VLAN之间不能直接相互访问,能从物理上防止某些非授权用户访问敏感数据。

1.1.5网络监督和管理的智能化。网络管理员通过网管软件进行VLAN划分,检查VLAN间和VLAN内通信数据包、应用数据包的细目分类信息,对于确定路由系统和经常被访问的服务器的最佳配置十分有用。通过划分VLAN,网络管理变得更简单、轻松、智能化。

1.2VLAN的分类

以建立VLAN的具体方式来划分,大致有如下几种:基于端口的VLAN、基于MAC地址的VLAN、基于第三层协议的VLAN、基于广播地址的VLAN、基于策略的VLAN。本文仅对目前应用较多的基于端口的VLAN技术予以简要说明,这也是我院校园网目前正在使用的一种VLAN技术。

基于端口的VLAN技术是通过把同一个交换机的端口分成若干组,每组构成一个虚拟网,也就是VLAN。该技术是目前最简单、最有效的VLAN划分方式,得到了所有厂家的支持。优点是:使用时相当安全,并且容易配置和维护。缺点是:需要对各端口的连接情况非常清楚,初始设置时工作量较大;当某一用户需要从一个端口所在的虚拟网移动到另一个端口所在的虚拟网时,网管人员需要重新进行设置,这对于移动用户量大的网络来说不太合适。

除了将同一个交换机的不同端口划分到同一VLAN外,许多交换机还支持将同一端口划分至多个VLAN。这种被设置到多个VLAN中的端口,称为公共端口,主要用于连接服务器、网络打印机等共享资源。第二代端口VLAN技术还允许跨交换机划分VLAN,即将不同的交换机的端口划分至同一VLAN,从而完全摆脱了物理位置的限制,给VLAN划分带来了更大的灵活性。

2.VLAN在网络管理中的优势

VLAN是将一组位于不同物理网段上的用户在逻辑上划分成逻辑组,在功能上和操作上与传统的LAN基本相同,但与后者相比具有以下优势:

2.1提高了性能

一个VLAN就是一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。因此,广播域的分段有利于提高网络的整体性能。

2.2提高了管理效率

采用VLAN技术来管理网络,可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用,减少了站点移动和改变的代价。

2.3增强了网络的安全性

将不同用户群划分在不同VLAN,不在同一VLAN的用户要访问VLAN中的主机就必须通过路由,再通过路由访问列表和MAC地址分配等。VLAN可以控制用户访问权限和逻辑网段大小,从而提高交换式网络的整体性能和安全性。

3.VLAN的设计与实现

3.1设置VTP管理域

VTP(VLAN Trunk Protocol)协议主要用于多台局域网交换机互联情况下有效管理VLAN的配置。VTP Domain也叫VLAN的管理域,它由具有相同管理域名称的交换机组成,每个交换机只能位于一个VTP域中。只要在核心交换机上设置一个管理域,网络上所有的交换机都自动加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。

3.2创建VLAN

可以在管理域中的任何一台VTP属性为Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有的交换机。但是如果要将交换机的端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。

3.3配置管道(Trunk)

应用管道技术可以使得多个VLAN在一条链路上被复用。管道为端口属于同一个VLAN的交换机之间提供VLAN间的连接。为了保证VLAN的完整性,必须应用标签技术,Cisco采用两种方法,其中ISL是Cisco的专有VLAN标签协议,而IEEE802.1Q则是国际标准。

4.VLAN之间路由的配置实现

由于VLAN相当于子网(Subnet)的概念,所以不同VLAN之间的通信需要用到第三层的路由器。我们在交换机上采用路由交换模块的方式来实现。VLAN间要实现三层(网络层)交换,必须给各VLAN分配IP地址。给VLAN分配IP地址分两种情况,其一,给VLAN所有的节点分配静态IP地址;其二,给VLAN所有的节点分配动态IP地址。

VLAN配置完成,可以在三层交换模块上用ping命令测试VLAN配置是否成功,再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN就可以实现通信了。

5.结语

第三层交换技术是目前校园网建设的主流方案,并且在未来仍将是园区网应用的首选方案,该方案具有良好的性价比和较好的可管理性。以第三层交换机作为校园网的核心交换机,通过配置合适的VLAN,可以灵活地管理校园网上的用户和子网,并实现子网间第三层协议的线速路由。在我校校园网络VLAN的规划与实施中,我们根据校园网络的结构与应用,结合三层交换机的特点,保证了校园网的灵活性、可管理性及性能。

参考文献:

[1]徐超汗.计算机网络及其解决方案[M].北京:电子工业出版社,1999.

[2]Karen Webb.组建CISCO分层交换网络[M].北京:人民邮电出版社,2000.

篇7

关键词:无线校园网;安全;性价比

中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)27-6470-02

现阶段高职高专院校的信息技术水平的不断提高,无线终端设备(手机、掌上电脑、笔记本)也得到广泛的使用,教职工和学生对随时随地能接入网络进行教学、科研和学习的需求也越来越普遍;而伴随着无线网络技术迅速发展,WLAN已经经历了四种标准,发展到了现在802.11n标准[1];高职高专自身的需求与无线网络技术的迅速发展相结合,促进了无线校园网的发展。

无线校园网络的建设与有线网络的建设不同,无线校园网应该更多的考虑可靠性、安全性、易用性、可扩展性等;另外,高职高专院校的经费主要来自财政拨款,如何建设性价比最高的无线校园网也是应该考虑的问题。

1建设的模式

与电信运营商合作:借鉴现有的无线城市的建设模式,无线基础设施由电信运营商投资,采用移动网络与Wi-Fi融合的方式实现。

自主建设:借助校园网的有线网络,自主建设针对校园范围内的无线网络,本文主要讨论针对自主建设的方案。

以上两种模式的优缺点对比如下:

2无线校园网设计与建设

2.1设计与建设原则

校园无线网络设计及建设应从安全性、可靠性、易用性、高性价比、可扩展性、易维护性及绿色环保等方面充分考虑。

1)安全性:在为教职工和学生提供方便的同时,一定要保障校园的网络信息安全。

2)可靠性:无线校园网涉及网络节点较多,整个网络应该可靠、稳定的运行。

3)易用性:无线网络接入认证方式在保障安全的同时要方便用户接入,用户接入网络仅需一次认证,在覆盖区域内实现无缝漫游。

4)高性价比:在降低成本的同时按照信号范围最大化的原则实现校园的无线覆盖。

5)可扩展性:无线校园网络在网络管理、网络结构、网络容量等方面应具有良好的扩展性。

6)易维护性:无线校园网络的管理系统要具有优秀的监控、分析和处理能力,一旦某个无线节点出现故障,应该通过网络管理系统自动查找故障节点,并提供恢复建议,使无线网络系统很快恢复工作。

2.2规划

无线校园网的前期规划必须从用户的业务需求、覆盖范围、网络应用的密度、覆盖建筑的结构等各方面的需求[2]。

现阶段无线校园网的应用主要集中在移动教学、随时互动辅导、电子网络课堂教学、科研与实验等;范围应覆盖全校园;高职高专院校的特点是面积大,建筑相对集中,人员主要集中在教学楼和宿舍,教学楼的教室单间面积较大用户多,宿舍楼的单间多且面积小,教室和宿舍相应的要增加覆盖强度;在业务需求方面,应以教学为主,提供网页浏览、流媒体播放等流量较小的网络应用,限制网络游戏、高清电影等大流量的网络应用。

从技术上讲,无线校园的规划应采用实地实测、现场勘测、与软件模拟相结合的方式完成。对于校园的大部分范围应该采用实测的办法,主要包括操场、食堂、大

礼堂、教学楼和宿舍楼等区域,根据测试结果,确定初步的覆盖方案;对于无法实测的区域,要进行现场勘测;同时也可以使用无线网络规划软件,模拟无线校园网络覆盖效果;结合现场实测、勘测和规划软件结果,可以得到最终的无线网络规划方案。

2.3无线网络部署

为了达到最优的覆盖效果,可以采用室外直接覆盖、室外覆盖室内、室内直接覆盖、室内分散式覆盖等多种方案。

室外覆盖方案适合于操场、花园、广场等开阔的区域;室外覆盖室内方案对室内覆盖的补充,适合学生宿舍、小型教室无线覆盖的补点;室内直接覆盖方案适合于大礼堂、图书馆、报告厅厅、教室等用户密度高,信号衰减小的区域;室内分散式覆盖方案适合于办公室、学生宿舍、家属楼等密度不高,信号衰减大的区域。合理配置各种方案可以在实现无线信号全覆盖的同时,保证无线信号质量。

2.4安全问题

建成的校园无线网络系统应该具有较高的安全性,能够提供安全可靠的接入方式,保障数据传输的安全性,能够及时发现和防护常见的无线攻击。

在接入认证和数据加密传输的过程中应使用安全性较好的协议,如WPA/WPA2/WAPI等协议,而非安全性较差的WEP协议;提供Web Portal认证和802.1x认证等多种方式,确保无线网络数据传输的安全性[3]。能够及时检测和防范非法AP,防止用户连接到非法AP上而导致泄密。

在无线校园网内部应该能够全面防护ARP攻击、DOS攻击等常见的网络攻击保障网络的稳定性。

2.5业务应用

无线校园网相对于有线网络可以发挥随时随地方便接入的优势,提供更多的业务,为高职高专院校的教学、科研等提供更多、更好的增值服务。如提供校园网络直播、在线课堂、即拍即传、提供基于位置或的页面推送(不同专业的学生的终端界面直接弹出个性化的界面)等。

2.6管理和运营

校园无线网络范围覆盖广,无线接入点比较分散,管理存在存在一定难度。无线网络的管理应该实现对所有涉及的设备的管理,包括核心交换机、汇聚交换机、POE交换机、无线控制器及无线AP的统一管理,使无线校园网真正成为一个完整的系统,方便管理和运营。

在运营方面,可以根据学校的实际情况采取免费提供或收费的方式。如果收费的话,应实现基于用户、时长和流量的计费,并实现与学校的一卡通系统对接以方便计费和管理。

3结束语

总之,无线校园网络建设对高职高专院校的信息化水平的提高及发展具有重要意义。它不仅可以满足教职工和学生通信、教学、办公和学习的需求,同时也对促进学校信息化,充分利用信息资源起到重要作用。无线校园的建设必须结合高职高专院校自身的实际情况,因地制宜,符合规范,在降低成本的同时最大限度的保证无线网络的质量。

参考文献:

篇8

【关键词】校园网络建设应用

当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。

新的世纪已经到来,信息技术所带来的一场革命将彻底改变我们的学习、生活和工作方式,现行教育体制面临着严峻挑战。作为教育主管部门的领导、学校的校长、老师以及社会上的每一个人都必须考虑这一技术的发展给我们的教育、我们的学校、我们的教师和我们的孩子所带来的冲击,同时还要积极思考我们应该怎样响应这一世纪性的挑战,如何利用信息技术为教育行政管理、师资培训、学校管理、教学研究乃至教学的全过程服务促进中华民族素质的整体提高。

整个高速多媒体校园网建设原则是"经济高效、领先实惠",既要领先一步,具有发展余地,又要比较实惠。 校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的参与性以及积极性。

校园规划设计的总体任务:

1要进行对象研究和需求调查,明确学校的性质、任务和改革发展的主系统建设的需求和条件,对学校的信息化环境进行准确的描述。

2在应用需求分析的基础上,确定系统建设的目标,包括网络设施、站点设置、开发应用和管理等的目标。

3确定网络拓扑结构和功能,根据应用需求建设目标和学校的主要建筑分布特点,进行系统分析和设计。

4确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求。

5规划校园网建设的实施步骤。

■校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面。

■整体规划安排。

■先进性、开放性和标准化相结合。.

■结构合理,便于维护。

在建设校园网时,要达到以下目的:

(1) 在校园内部实现资源高度共享,为教学、科研、管理提供服务,为计划、组织、管理与决策提供基础信息和科学手段;

(2) 支持教育教学改革,提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境;

(3) 通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电子备课功能。

(4) 实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平;

(5) 及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享,实现社会教育、学校教育、家庭教育的有机整合。

(6) 实现课堂多媒体电化教学,具备适用于双向课堂语音教学及语音室功能学习。

校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。

校园网是一个以人、人与人的关系网络和应用产品为核心,通过认证、授权与开放接口进行有机融合,形成的一个庞大综合社区服务平台。校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带 、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。校园网应具有为学校和学校之间的教育提供网络环境;实现资源共享、信息交流、协同工作等基本功能。

1.为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境。

2.为学校行政管理和决策提供基础数据、手段和网络环境,实现办公自动化,提高工作效率、管理和决策水平。

3.为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境。

4.为使用网络通信、视频点播和视频广播技术,提供符合素质教育要求的新型教育模式;

5.为科学研究的资料检索、收集和分析;成果的交流、研讨;模拟实验等提供环境和手段

总之,校园网的建设能促进教师和学生尽快提高应用信息技术的水平,为学生提供了一个实践的环境,为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。

校园网的总体设计思想:

校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化教学环境系统。因此,在总体上如何筹划、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。

总体设计是校园网建设的总体思路和工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定学校Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。

网络建设的几个原则

1 网络系统的高性能

网络系统设计中的设备高可靠性要求和系统高可用性要求:核心交换机所有关键部件可以实现冗余工作,可以在线更换(插拔),故障的恢复时间在秒级间隔内完成。多级容错设计基于单个设备高可靠性的基础之上进一步提高系统的可用性。

就学校应用来说,其通过先进的计算机、网络等信息技术,实现办公自动化,可以提高学校的管理效率和水平。支持校园应用的基础设施是校园的园区网络,它的工作状况会直接影响到校园的办公应用环境,教学、管理、开发、设计等业务环境,财务管理、部门管理等环境,信息检索、数据库查询、Internet浏览等支持校园正常运行是必要服务设施功能。网络的可靠性要求是保障校园应用环境正常运行的首要条件,网络要求可靠性的同时,要求网络具有高可用性。不仅要求设备的部件冗余,同时要求网络的链路冗余,可结合物理层、链路层及第三层技术实现,以保证网络可以在任何时间、任何地点提供信息访问服务。

2 网络系统的可扩展性

网络设计的可扩展性要求包括交换机硬件的扩展能力以及网络设施新应用的能力。核心交换机的灵活扩充性要求:核心交换机应该具有灵活的端口扩充能力,模块扩充能力,满足网络规模的扩充;同时提高性能,满足更高性能的要求。支持新应用的能力:产品具有支持新应用的技术设备,能够方便快捷地实施新应用。 在设计网络方案时,首先是满足现有规模的网络用户的需求,同时考虑到未来业务发展、规模的扩大,设计网络具有用户端口灵活的扩充能力。核心设备是整个网络的枢纽,用户端口数的扩充,需要增加配线间边缘工作组的设备,增加边缘设备的同时,要求连接核心骨干设备的端口数相应增加,因此核心设备应该可以通过增加的负载插槽容量。对于交换机来说,核心交换引擎应该可以满足最大配置下,无阻塞的进行端口数据饱交换,模块的扩充不影响交换性能。采用分布式交换结构可以实现了交换机的并行数据交换处理,优化网络的性能,本地交换和全局交换相结合的分布式交换实现灵活的模块、端口扩充能力。

3 网络系统的安全性

网络系统的安全性要求可以有效的控制网络的访问。灵活的实施安全控制策略。网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护。在校园园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何非法的操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分vlan,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全性控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。

4 网络的可管理性

网络的可管理性要求网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网络平台进行控制,通过网络管理平台简化管理工作,提高网络管理的效率。

篇9

【关键词】 校园网 网络管理 信息交流

校园网是面向校园内部师生的网络,应该为校园内的广大师生提供一个信息化教学环境,促进信息交流,资源共享和技术科研合作,同时根据实际所需,在必要的地方实现安全认证和计费管理,使建成的校园网形成可管理、易维护、安全、高效的新一代网络体系。

一、校园网的设计原则和网络结构

校园网设计时应遵从以下原则:1、先进性;2、标准化和开放性;3、可靠性和可用性;4、灵活性和兼容性;5、实用性和经济性;6、安全性和保密性;7、扩展性和升级能力;8、网络的灵活性及可管理性[1]。

目前,各个学校的校园网的结构基本相同,大多采用以下结构:(1)主干网采用千兆以太网,10M/100M自适应交换到桌面。 (2)整个网络由网络主控室、教学子网、办公子网、图书馆子网、学生宿舍楼子网等组成,其中网络主控室是整个网络的主干,是网络的总节点,其余各个子网的中心为二级节点。(3)校园网实现办公自动化、学校内部主页、内部电子邮件、电子教室、电子图书馆、内部信息服务等主要功能。

二、建设目标

网络建设总体目标是采用先进实用的计算机技术及网络通信技术,建立一个覆盖全校所有建筑和部门的综合网络,建立一个技术先进、安全可靠、高效优质的校园网络系统,为广大师生、教研和管理人员提供一个先进的网络环境,使学校的教学、管理和科研达到一个高效的层次。同时,通过校园网与国内外通信网络的连通,共享国内外资源,建立一个满实用校园网络[2]。

三、网络管理

3.1网络安全的管理

校园网中的各信息点一般使用固定IP地址,科学的VLAN划分和规范有序的IP地址管理是网络安全管理工作的基础,在构建网络时要做好规划、制定切实可行的实施方案。VLAN划分要做到既满足使用要求又方便网络管理。要注意校园网VLAN划分的策略、VLAN划分的方法、VLAN之间的路由策略。IP地址管理要做到对网络中所有的网络设备的MAC地址进行登记、进行IP地址与MAC地址绑定、进行用户认证。这样可以有效预防局域网内发生IP地址冲突、盗用造成ARP攻击等问题。

网络安全要求保证网络不被攻击,保证重要信息不被篡改。网管人员设计并实施网络安全解决方案,以降低被攻击和侵害的风险。可以采取的措施有:标识重要的网络资源,设置访问权限;确定重要的网络资源与其用户间的映射关系;监视对重要资源的访问;记录非法登录及对重要网络资源的非法访问等。

3.2校园网设备的管理

组建校园网的设备多,信息点分散,应该将网络设备集中建立档案,进行统一管理。主要做法如下:

(1)了解不同设备的各自性能并建立档案备查。(2)建立每台设备的配置档案及更换记录。(3)将所有网络设备的驱动程序收集起来集中放到某台工作站中,方便日后机器重装。(4)将安装好系统软件及常用软件的各种配置的计算机硬盘都通过GHOST软件将其镜像成一个文件放到服务器中。

3.3网络管理软件的使用

网络管理软件属于网络软件(通信支撑平台软件、网络服务支撑平台软件、网络应用支撑平台软件、网络应用系统、网络管理系统以及用于特殊网络站点)的一种,即通过软件来支持行为,提高工作效率。借助此网管系统,网络管理人员不仅可以进行自动化的网络监测和管理,而且可以开发网络管理应用程序,按照网络管理的对象,它可以分为系统管理软件和设备管理软件[4]。

四、网站管理

4.1 WWW服务管理

1、IIS管理

WWW服务器为更新网站内容,一般会安装FTP服务,所以管理WWW服务要和FTP服务协同管理。(1)只安装必须的服务。 (2)停止默认的FTP站点、默认的Web站点、管理Web站点,在新的目录下新建WWW服务与FTP服务。(3)安装新的Service Pack后,重设IIS的应用程序映射。(4)设置IP拒绝访问列表。(5)禁止对FTP服务的匿名访问。(6)记录并审查日志。(7)慎重设置WEB站点目录的访问权限。

2、网页编程安全管理

数据检查和文件检查有利于防止SQL注入、防止跨站脚本攻击、防止存在源文件的文本。

3、数据库的安全配置]

数据库服务是Intranet应用的基础,也是平常维护网络安全时容易忽视的问题,这里介绍SQL Server数据库服务器的安全配置。(1)在服务器端脚本上过滤一些类似 , ‘ ; @/ 等字符,防止破坏者构造恶意的SQL语句。(2)安装SQL Server的最新补丁。(3)使用安全的密码策略。(4)使用安全的帐号策略。(5)加强数据库日志的记录。(6)管理扩展存储过程。(7)使用协议加密。(8)更改原默认的1433端口,拒绝来自1434端口的探测。

4、FTP服务管理

FTP服务容易产生较大的网络流量,如果管理不好,就会造成网络堵塞、服务器死机等问题。FTP服务管理涉及Serv-U的安装、用户的管理、域的设置等。

5、防止垃圾邮件

网络技术的飞速发展,人类进入互联网时代,电子邮件在人们的生活中逐渐取代传统邮件,成为企业、个人工作生活不可或缺的联络方式,随之而来出现大量垃圾邮件,占用大量传输、存储和运算资源,造成资源和空间浪费。垃圾邮件还具有欺骗性,成为不良信息的主要传播载体。因此,要制定垃圾邮件过滤规则,通过对发件人,收件人,邮件头,邮件正文等进行比较分析,通过白名单、黑名单结合,定义过滤规则对违规邮件过滤[5]。

6、被入侵系统的恢复

网站要经常进行数据备份,万一被入侵遭到破坏,就可以进行恢复。恢复工作不能简单地还原系统了事,要进行认真地分析原因、采取措施、追根寻源,防止以后的入侵或对其它网络用户的入侵。系统恢复应该包含以下几个方面的工作:制定安全策略;记录恢复过程中所有的步骤;夺回对系统的控制权;将被侵入的系统从网络上断开;复制一份被侵入系统。

7、计费管理

计费管理是校园网管理的重要工作,计费系统的特点也可以反映出校园网管理和结构的特点。校园网及其管理要注意它的特点:独特的计费方式;网络出口带宽逐步扩展;多个网络出口的需求;接入方式多样化;提供服务多样化;用户层次多样化;管理对象多样化;付费类型多样化;网络结构多样化等。

五、入侵分析及策略研究

通过审查日志文件和系统配置文件,检查入侵的蛛丝马迹、入侵者对系统的修改和系统配置的脆弱性。主要检查入侵者对系统配置文件的修改、被修改的数据、入侵者留下的工具和数据,同时审查系统日志文件,检查网络嗅探器程序、网络上的其它系统和涉及到的或者受到威胁的远程站点。具体策略首先是重装操作系统,安装所有补丁,及时关注系统的升级和补丁信息,取消不必要的服务,只配置系统所需要提供的服务,查阅CERT(计算机紧急响应组)的安全建议和供应商的安全提示。其次是安装安全工具,启动日志、检查、记帐程序,将它们设置到准确的级别,配置防火墙对网络进行防御,根据权威的安全指南检查系统的安全性,从而加强系统和网络的安全。最后,总结教训,从记录中总结出这起事故的教训,有助于检讨自己的安全策略。计算事故的代价,改进安全策略,所做的修改要让组织内的所有成员都知道,还要让他们知道修改后对他们的影响。

参 考 文 献

篇10

北京邮电大学校园网从诞生到2005年,经历了互联网飞速发展的阶段,为了满足飞速增长的校内用户和网络业务的需求,北京邮电大学校园网总共经历了三次规模比较大的重建,即校园的一、二、三期。

北京邮电大学校园网一期工程从1994开始启动,到2000年结束历史使命。校园网的核心设备是思科公司的高端路由器。

北京邮电大学二期校园网从1999年开始建设,到2005年停止使用。二期校园网的建设大大提高了网络的性能,缓解了校内网络业务增长压力,成为当时国内比较先进的校园网络之一。

随着一期、二期校园网成功建设运行,北邮校园网络规模逐步扩大,在用户不断增加的同时,网络使用中的管理隐患也逐步增大,三期校园网应运而生。三期校园网改造的主要目的是将整个校园网的性能、带宽进行全网的改造。

方案实施

三期校园网的主干采用环状拓扑结构,核心层骨干设备之间提升至万兆互联。核心层由教学区、学生宿舍区、服务器群3个核心节点组成,采用华为3Com万兆交换机S8500,环网的构成大大提高了网络的可靠性。在教学区内,教学楼采用原有的部分交换机产品,使用千兆交换机与核心交换机相连,各办公室、教室百兆接入;宿舍网在二期的基础上学生宿舍区又新增2个宿舍楼,均使用华为3Com系列产品。每个宿舍楼采用千兆交换机与核心交换机相连,各宿舍百兆接入。在防止MAC地址及IP地址的盗用;防止私起DHCP服务器;防病毒攻击;对恶意用户监控等方面也应用了很多先进的网络管理手段,使校园网络的安全性有了很大的提高。

鉴于IPv4向IPv6过渡的长远考虑,校园网3期中建设了IPv6环境,使得师生可以对IPv6网络进行访问,同时逐步在IPv6网络当中开展IPv6业务,如:组播、FTP、流媒体等。

三期校园网的建设大大提高了网络的性能和带宽,实现了校区内的高速互联,使北邮校园网成为可管理、可增值、可持续发展的校园网络。