网络工程实践课程设计报告

网络工程实践课程设计报告题目：校园网的网络安全管理和维护学生姓名：何坤学号：200410610428专业班级：计算机科学与技术04104班同组姓名:羊德娟于静赵容指导教师：潘梅森设计时间：2007年下学期第2周指导老师意见:评定成绩:签名:日期:摘要跟着21世纪这个网络时代的脚步，现在有很多学校都已建成了校园网，它促进了我们教育教学的改革，但同时也为计算机教师带来了沉重的负担。本次课程设计在管理、设置、软件维护几个方面阐述了对于校园网如何进行管理与维护。整个设计包括课程设计的目的与意义，需求分析，系统设计，系统实现，系统调试运行，总结，及参考文献几个方块。通过此次设计来加深我们对校园网络基本的管理与维护的了解，对于校园网建设中所用的基本设备如路由器，交换机，了解它们在校园网中的使用情况，及基本的配置过程。常用的病毒防治软件要掌握其具有的功能，及如何才能在校园网中起到预想的结果，还有防火墙的基本配置信息。经过课程设计使我们能把平时课程中所学知识与实际应用相结合起来，并能在此过程中发现并解决问题。关键词：校园网管理软件维护病毒防治防火墙课程设计的目的与意义建设校园网应达到的目的有一下几点：1、通过与INTERNET的互联，共享国内外院校以及商业机构的网络资源、并与他们建立包括E-MAIL（电子邮件）在内的国际通讯联系。2、将全校的局域网互联，使全校师生共享校内网络信息资源（教学、科研、图书等信息），改善校内信息流通状况，促进校园内部网络应用的开发。3、通过与INTERNET互联，展示大学校园校况及大学教育发展的状况，扩大该校在国内外的影响，突出该校在教育研究和建设中的重要地位。4、使学生通过对校园网的使用，熟悉和掌握现代通讯工具，了解INTERNET的商业应用价值，为今后走向教学岗位，适应新的计算机应用环境打下基础。5、利用校园网建立现代化的教学、科研环境，为今后的CAI（计算机辅助教学）、网络上的协作研究创造条件。6、通过校园网为周边地区的企事业单位提供广泛的网络信息服务。借助于校园网络，我们要逐渐培养用户使用网络来搜寻、发掘、获取及运用信息的习惯，进而对网络应用产生兴趣，将其融入日常工作和生活中，为网络应用的普及奠定良好的基础。利用校园内各院系现有的局部计算机网络环境建立校园网络，可充分利用网络及计算机相关设备，提高设备的利用率。以校园网络取代传统的布告栏，让用户可以更方便迅速地获知各种重要的学习信息、工作信息和生活信息。通过各校校园网络的连接，可以更便利地互相交换信息，促进各个大学间的学术交流。通过校园网络使教师和科研人员能及时了解国内外科技发展动态，加强对外技术合作，促进教学和科研水平的提高。为开展网上远距离教学和校内多媒体交互式教学提供支持平台。以校园网络为依托，建立各种课程的计算机辅助教学、计算机辅助考试和答疑批阅系统。建立以校园网络为基础的行政、教学及师生之间交互式管理系统。建立新的通讯方式和环境，提高工作效率。2需求分析随着计算机、通信和多媒体技术的发展，科技的进步与经济的繁荣，计算机网络在当今的信息时代扮演着越来越重要的角色，网络上的应用也更加丰富。当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛，并迅速广泛应用于社会各领域，产生和激发出新的生产力，正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。随着我国经济的高速发展，国家提出本世纪末将我国建设成为经济高度发展、教育设备完备的现代化强国。近年来国家加快改革教育体系，以教育为立国之本，建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段，学校很有必要建设一个校园网络管理应用系统，这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。以顺应无纸教学，无纸办公的发展趋势，充分利用现代化技术来进一步提高教学质量和办公效率，为培养二十一世纪人才提供一个优良的硬件教学环境。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。大学计算机网络的建立与应用已相当普遍，它对内综合了校园中的计算机资源，对外建立了广泛信息获取和交流渠道，为大学的教学和科研工作带来勃勃生机。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。建立校园网络已经成为各个大学的基础建设工作,它直接关系到学校的教学和科研工作的质量和水平。随着我国CERNET（中国教学科研示范网）主干网的建成和全国高校校园网建设的高潮，校园网已成为衡量一个高校优劣的重要标志之一。高可靠性的计算机网络为校园的计算机管理提供了稳定的平台，极大的提高了校园网络的极大优势。现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软，硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音，图像，数据的传输，这种带宽结合设备厂商优秀网管模式，可以向用户提供面对面的通讯。综上所述，在建设校园网的时要达到以下的目标：1、在学院建成一个适合于信息采集、共享的内部网络，在此基础上建立起供教学及人员培训使用的内部网络以及内部办公网络。2、实现到Internet的接入，实现信息在Internet的发布。校园网网络建成以后，要实现以下这些功能：1、服务，作为信息服务的平台。2、Email服务，作为信息传递和与外界交流的主要手段。在今后，本网络还要实现基于ATM的宽带多媒体的校园网，并通过ATM和省宽带多媒体网相连接，实现实时的远程教学。综上所述，本网络的网络建设必须采用当前最新的网络技术。接下来就是要根据学校的情况进行调查：调研情况如下：学校有几栋建筑需纳入局域网，其中原有计算机教室将并入整个校园网络。根据校方要求，总的信息点将达到3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层，图书馆、实验楼和教学楼为信息点密集区。需求功能如下：校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学校办公质量和效率，以促进学校整体教学水平的提高。3系统的设计一、设计思想校园网计算机网络系统应便于将来网络系统的扩充，网络的硬件和软件应具有相对的独立性；充分考虑网络系统的开放性；充分考虑硬件的适应性，硬件应具有高度的可连接性和兼容性；网络系统应具有高度的开放性，能与不同的计算机系统，通讯系统，自动控制系统连接，能连接不同协议的网络系统；实现多种操作系统平台，多种网络操作系统，多种网络协议互操作。二、网络设计原则1、网络的先进性和实用性的原则采用的硬软件系统既有技术的先进性，又有很高的性能价格比。2、网络的开放性和兼容性的原则选择符合国际标准的网络硬软件产品，有很好的互换、扩展和升级能力。3、网络的灵活性和可靠性的原则网络系统能够适应各种网络应用系统，易于今后向更先进的技术迁移，并且要有很好的容错能力。4、网络的可管理性和易维护性原则配置网管软件，采用具有可管理的网络设备，以便合理规划网络资源和控制网络运行。整个网络应结构合理，层次划分清楚且具有相对独立性，便于管理和维护。5、网络系统的保密性和强有力的防病毒性。三、网络拓扑图图一校园网络拓扑图四、具体设计根据大学校园网的拓扑结构特点及面临的安全隐患，我们将通过瑞星防火墙、入侵检测、网络杀毒软件，实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求，为大学校园构建统一、安全的网络。A：通过一台路由器隔开外网（Internet）与校园网，路由器中我们设置了防御外部的第一道屏障。屏蔽路由器对进出内部网络的所有信息进行分析，并按照一定的安全策略（信息过滤规则）对进出内部网络的信息进行限制。它能根据IP地址、UDP和TCP端口来筛选数据。如可以在路由器中实现对内部网络在8.00--18.00屏蔽腾讯的所有服务，也可以对特定的黄色、暴力、黑客、游戏网站进行屏蔽。B：通过防火墙（装有瑞星企业版的主机）隔离，在校园网络与外界连接处实施网络访问控制。在Internet与校园网内网之间部署了一台瑞星企业版防火墙，可以让学院了解外部网络用户的身份和工作性质，提供访问规则，并针对存取要求授予不同的权限，保证只有经授权许可的信息才能在客户机和服务器间流通。其中、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。这样，通过Internet进来的外网用户只能访问到对外公开的一些服务（如、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。具体配制规则如下：第一，根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，如审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自外网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。第二，将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。第三，在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。第四，在局域网的入口架设千兆防火墙，并实现VPN的功能，在校园网络入口处建立第一层的安全屏障，VPN保证了管理员在家里或出差时能够安全接入数据中心。第五，定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。第六，允许通过配置网卡对防火墙设置，提高防火墙管理安全性。C：在中心交换机上架设入侵检测系统（瑞星入侵检测系统RIDS-100）。入侵检测能力是衡量一个防御体系是否完整有效的重要因素，根据校园网络的特点，我们采用瑞星入侵检测系统RIDS-100。将RIDS-100入侵检测引擎接入中心交换机上，对处于防火墙之后的来自外部网和校园网内部的各种行为的网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。具体工作过程如下：IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。IDS是被动的，它监测你的网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的，记录是庞大的，所以我们必须制定合适的规则对他进行正确的配置，如果IDS没有正确的配置，其效果如同没有一样。IDS能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。D：漏洞扫描系统采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置，为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。例如：如果主机不提供诸如FTP、HTTP等公共服务，尽量关闭它们。E：部署网络版杀毒软件最理想的状况是在整个局域网内杜