校园网安全解决方案.docx
- 文档编号:28283498
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:45
- 大小:564.22KB
校园网安全解决方案.docx
《校园网安全解决方案.docx》由会员分享,可在线阅读,更多相关《校园网安全解决方案.docx(45页珍藏版)》请在冰豆网上搜索。
校园网安全解决方案
解
决
方
案
班级:
计算机网络101班
姓名:
刘小永
学号:
S022********
指导老师:
闫心丽
2、设备选型4
2.1路由器的选择5
2.2交换机的选择8
2.3防火墙10
2.4服务器………………………………………………………………………………………12
3、网络拓扑设计及原则13
4、网络方案设计15
4.1网络结构分析15
4.11.骨干层15
4.12.接入层15
4.13.出口16
4.2网络架构设计16
4.3扩展的考虑17
4.4网络VLAN的设计18
5、防火墙的设计、配置测试20
5.1防火墙的设计与简介…21
5.2防火墙的测试………………………………………………………………………………….23
6、恶意代码的防范……………………………………………………………………23
6.1恶意代码的危害级防范……………………………………………………………24
6.2网络安全防范体系层次…………………………………………………………24
6.3网络安全防范体系设计准则……………………………………………………25
7.1漏洞介绍………………………..…………………………………………..….…30
7.2漏洞分析…………………………………………………………………....……32
7.2.1高级风险安全漏洞……………………………………..…………………33
7.2.2中级风险安全漏洞……………………………………………………..…35
7.2.3低级风险安全漏洞………………………………………………………..37
7.3漏洞修复方法………………………………………………………………………39
8.总结....................................................................................................................................41
前言
快速、高效的传播和利用信息资源是21世纪的基本特征。
掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。
因此,学校校园网的有无及水平的高低,也将成为评价学校及学生选择学校的新的标准之一。
Internet及WWW应用的迅猛发展,极大的改变着我们的生活方式。
信息通过网络,以不可逆转之势,迅速打破了地域和时间的界限,为更多的人共享。
而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。
学校作为信息化进程中极其重要的基础环节,如何通过网络充分发挥其教育功能,已成为当今的热门话题。
随着学校教育手段的现代化,很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展,校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一,此时,校园网上的应用系统就显得尤为重要。
一方面,学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识,毫无疑问,这是学生综合素质中极为重要的一部分;另一方面,基于先进的网络平台和其上的应用系统,将极大的促进学校教育的现代化进程,实现高水平的教学和管理。
学校目前正加紧对信息化教育的规划和建设。
开展的校园网络建设,旨在推动学校信息化建设,其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,并保证将来可扩展骨干网络节点互联带宽为10G,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。
最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。
1、用户需求分析
在校园网络中,视频、音频、数据集于一身,如果保证不了高带宽、又多种视频、音频、数据流混杂在一起进行传输,就没法对流做出最高优先级和次高优先级及底优先级的分类,这样就不能保证重要业务的畅通,造成网络延迟、服务不可用。
所以要想真正改变网络的效率,更有效的保证应用服务的运营,需要通过端到端的QOS,智能到边缘的方式来保证。
通过智能到边缘,端到端的应用方式,可以减少对网络核心设备的消耗,这样保证了网络的有效畅通。
可以对园区网应用中的,多媒体视频点播服务、数据备份服务、文献传递服务、E-mail服务、数据库服务器等服务。
对不同服务流进行详细的分类,划分优先级,以及尽可能地避免发生拥塞。
同时保证网络的高效运行,充分利用现有的带宽。
在园区网络中,存在多样的网络设备及系统应用环境,并且要考虑在用户迅速增长的今天,考虑到网络设备的可扩展性。
保证在多样网络设备,用户不断增加的环境中,仍能保证网络畅通。
所以万兆骨干网络平台就应具有良好的兼容性和可扩展性,能与当前校园网络无缝衔接,同时预留空间符合当前和以后的信息建设需要和足够的升级空间。
在校园网络建设中存在多用户,多服务的现状。
带来了对网络系统要求具有高效率等,以保证大数据量访问下有效的处理能力。
针对需求设备要能对数据做到分布式处理,这样的分布式处理可以节省主交换引擎的消耗。
使数据在独立的板卡上就能做出对数据的识别,这样比在中央处理器识别要快的多。
并在大量的数据应用,数据传输的过程中,要保证所有硬件设备都可以进行快速的转发,要具备高背板带宽(交换容量),所有端口都能保证线速转发。
这种分布式处理可以极大地提高整体处理能力,保证了网络畅通。
现在的网络环境中稳定可靠是争相谈论的话题,因现在在网络中运行了众多重要应用及服务,是要保证7*24小时不间断的服务。
就要完全能保证网络设备全天后的可用性。
即使在设备出现问题时切换到备用设备的过程中,也要保证较小的延迟,以满足网络应用中的有效畅通的需要。
在这样的需求中利用,冗余的管理交换引擎、冗余的电源等关键部件的冗余,支持(802.1D、802.1W)802.1S多Vlan生成树协议保证链路级的冗余和负载均衡,支持VRRP、OSPF等三层路由协议保证路由级的冗余,支持loadbalancing技术实现了应用级的冗余备份和负载均衡。
全方位的完全保证了设备、网络、应用系统的可靠性。
在校园网络中,对于校园网的安全保障十分重要:
校园网的信息点分布很广,与一般企业网比较,校园网用户的流动性大,信息点存在随意接入使用的问题。
学生及外来不明身份的用户,在校园网中找到任何一个信息点,就可以进入到校园网,可以肆意干扰和破坏校园网网络平台及应用系统的正常运行。
另外校园网的网络安全,还需要考虑与外网及内网不同应用系统之间的安全访问控制。
为了发生安全事件后,能够有效、快捷地处理事故,采用上网审计手段是十分有必要的。
由于当前类似“冲击波、震荡波病毒”的肆虐,一个健壮的网络应该提供必要的手段,禁止特定病毒的传播以及由于病毒造成的流量拥塞。
2、设备选型
2.1路由器的选择
锐捷RSR-08路由器是高性能、通用的骨干汇聚路由器,具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点,并能提供全范围的光纤和铜缆接口。
RSR-08路由器具有强大的业务能力,可以满足目前所有的城域汇聚和接入需求,提供多协议标准交换(MPLS)第2或3层隧道技术、动态带宽控制和面向连接的数据收集体系。
作为多协议标记(MPLS)PE路由器,他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。
通过使用VPLS,可以利用原有网络和以太网基础设施提供VOIP、互联网接入、视频以及多点虚拟专用网(VPN)等融合业务。
锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC-48。
部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务,并提供高可用性网络所需的冗余支持。
设备性能
交换容量
32G
包处理能力
16.7MPPS
ACL
2万条
路由表
25万条
流表
最多可达2,000,000个第4层应用数据流
最多可达3,500,000个第2层MAC地址
MTBF
>200,000小时(预测)
协议支持
路由协议
OSPF、IS-IS、BGP、RIPv2、静态路由
组播协议
IGMP、PIM-DM/SM、DVMRP、RP
地址管理
静态、DHCP中继
MPLS
MPLSLSR和LER支持、2547-bisMPLSL3VPN、MartiniMPLSL2VLL、MPLS透明局域网业务TLS、MPLS快速重路由
特色支持
NAT、Loadbalancing、VSRP、Webcacheredirection、策略路由、HPS
管理方式
线速全组RMON/RMON2、简单网络管理协议(SNMP)管理、SSH、RADIUS、TACACS+、RS-232、命令行接口(CLI)
物理指标
尺寸
高8.75英寸×宽17.25英寸×深12.25英寸(22.23厘米×43.82厘米×31.12厘米)
重量
44.5磅(20.2公斤)
环境规格
操作温度
+0°C到+40°(32º到104ºF)
存储温度
-40°C到+70°C(-40º到158ºF)
相对操作湿度
10%到90%(非冷凝)
相对存储湿度
5%到95%(非冷凝)
电源规格
交流电源
输入电压:
100到240VAC
输入电流:
12~6A
频率:
50到60Hz
直流电源
输入电压:
-48到-60VDC
输入电流:
27A
标准和规范
安全性
UL60950、CAN/CSA-C22.2No.60950、EN60950、IEC950、72/73/EEC
电磁兼容性
FCCPart15、CSAC108.8、EN55022、VCCI、EN55024、89/336/EEC
ETSI
ETSIEN300-386、EN300-109、ETS300-753
NEBS
NEBSLevel3、GR-1089、GR-63
2.2交换机的选择
RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。
目前提供10竖插槽设计和6横插槽设计两种主机:
RG-S6810E和RG-S6806E。
RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽,并支持将来扩展到4.8T/2.4T的能力,高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。
RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议,并可扩展支持MPLS、loadbalancing、NAT、VPN、Firewall、IDS、webcacheredirect等丰富的业务功能,满足客户环境灵活而复杂的不同应用需求。
技术参数
技术参数
RG-S6810E
RG-S6806E
模块插槽
10个(2个用于管理引擎模块)
6个(2个用于管理引擎模块)
背板
1.6T(可扩展3.2T)
2.4T(可扩展4.8T)(V3.x)
800G(可扩展1.6T)
1.2T(可扩展2.4T)(V3.x)
交换容量
800G
1.2T(V3.x引擎)
400G
600G(V3.x引擎)
包转发速率
L2/L3:
572Mpps
L2/L3:
857Mpps(V3.x引擎)
L2/L3:
286Mpps
L2/L3:
428M(V3.x引擎)
路由表项
256K
802.1qVLAN
4K
L2协议
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、PortMirror、IgmpSnooping、JumboFrame(9Kbytes)、QinQ、GVRP
L3协议
BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、DVMRP、PIM-SSM/SM/DM、LPMRouting、Policy-basedRouting、ECMP、WCMP、VRRP
病毒攻击防护
全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描
管理方式
SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSH
其它协议
SNTP、DHCPClient、DHCPRelay、DNSClient、ARPProxy、Radius、IPV6、MPLS、LoadBalancing、EAPS、NAT、VPN、Firewall、IDS、WebCacheRedirect、Syslog
尺寸(长x宽x高)
448mmx437mmx956mm
508mmx437mmx647mm
电源
100VAC~240VAC,50Hz~60Hz,功率:
1200W
MTBF
>200,000hours
温度
工作温度:
0℃到40℃
存储温度:
-40℃到70℃
湿度
工作湿度:
10%到90%RH
存储湿度:
5%到95%RH
RG-S6506是锐捷网络推出的万兆骨干路由交换机,拥有6个模块扩展槽,提供管理模块冗余,支持万兆、千兆和百兆模块线速转发,可以根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。
”
RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是小型网络核心和大型网络骨干交换机的理想选择。
技术参数
背板构架
分布式CROSSBAR
模块插槽
6个(2个用于管理引擎模块)
背板
192G
768G(V3.x)
交换容量
192G
576G(第二代管理引擎)
包转发速率
L2/L3:
143Mpps
L2/L3:
286Mpps(第二代管理引擎)
MAC地址
64K
802.1qVLAN
4K
L2协议
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S、PortMirror、IgmpSnooping、JumboFrame(9Kbytes)、QinQ、GVRP
L3协议
OSPF、RIPV1、RIPV2、IGMPv1/v2/v3、BGP4、DVMRP、PIM-SSM/SM/DM、LPMRouting、ECMP、WCMP、VRRP
Ipv6协议
静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、手工隧道、ISATAP、6to4隧道
病毒攻击防护
全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗(SouceIPSpoofing)、防DOS攻击(Synflood,Smurf),防扫描(PingSweep)
管理方式
SNMPv1/v2/v3、Telnet、Console、WEB、RMON
其它协议
SNTP、EAPS、DHCPClient、DHCPRelay、DNSClient、ARPProxy、Radius、Syslog
尺寸(长x宽x高)
440mmx540mmx559mm
电源
100VAC~240VAC,50Hz~60Hz,功率:
600W
MTBF
>200,000hours
温度
工作温度:
0℃到40℃
存储温度:
-40℃到70℃
湿度
工作湿度:
10%到90%RH
存储湿度:
5%到95%RH
RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机,在提供高性能、高带宽的同时,提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性,并可以根据网络的实际使用环境,实施灵活多样的安全控制策略,有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理化使用网络资源,充分保障了网络高效安全、网络合理化使用和运营。
RG-S2924G特有的CPU保护控制机制,对发送到CPU的数据进行带宽控制,以避免非法者对CPU的恶意攻击,充分保障了交换机的安全。
RG-S2924G为方便不同管理员的使用习惯,提供了多种形式的管理工具,如SNMP、Telnet、Web和Console口等。
RG-S2924G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管,最大化满足高速、高效、安全、智能的企业网新需求。
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率。
技术参数
技术参数
产品型号
RG-S2924G
固定端口
24个10/100/1000M电口,4个复用的SFP千兆光纤接口
可用SFP
模块
Mini-GBIC-SX:
单口1000BASE-SX miniGBIC转换模块(LC接口);
Mini-GBIC-LX:
单口1000BASE-LX miniGBIC转换模块(LC接口);
Mini-GBIC-LH:
单口1000BASE-LX miniGBIC转换模块(LC接口),40Km;
Mini-GBIC-ZX50:
单口1000BASE-ZXminiGBIC转换模块(LC接口),50km;
Mini-GBIC-ZX80:
单口1000BASE-ZXminiGBIC转换模块(LC接口),80km
端口交换容量
48Gbps
包转发速率
36Mpps
MAC
16K
802.1qVLAN
4K
IPv4ACL
支持多种硬件ACL:
标准IPACL(基于IP地址的硬件ACL)、
扩展IPACL(基于IP地址、传输层端口号的硬件ACL)、
MAC扩展ACL(基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL)、
基于时间ACL、
专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)
IPv6ACL&QoS
支持硬件IPv6ACL:
支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型(Trafficclass)、时间选项的硬件IPv6ACL和IPv6QoS
L2协议
IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMPSnoopingv1/v2/v3、LLDP
管理协议
SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP、SNTP
其它协议
DHCPRelay
JumboFrame
支持
尺寸(长×宽×高)
440mm×260mm×44mm
电源
160VAC~240VAC,50Hz~60Hz
温度
工作温度:
0℃到40℃
存储温度:
-40ºC到70ºC
湿度
工作湿度:
10%到90%RH
存储湿度:
5%到90%RH
2.3防火墙
为了以后扩展的需要,所以采用了RG-WALL1000。
RG-WALL1000采用锐捷网络独创的分类算法(ClassificationAlgorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(StatefulInspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP,H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。
另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL的主要功能包括:
扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。
技术参数
RG-WALL1000千兆防火墙/VPN网关
端口
固化2个10/100BaseT+2个10/100/1000BaseT接口,可选配最多4个千兆电口/千兆SX/LX光口
最大并发连接数
1,000,000sessions
吞吐量
1.8Gbps
(最大)策略数
65,535
VPN并发通道数
10,000tunnels
VPN吞吐量(SHA-1,3-DES)
400Mbps
尺寸
标准19英寸宽度,2U高度
电气性能
电源类型:
AC100-240V/50-60Hz
电源功率:
200W
工作环境
操作环境:
温度0℃~40℃,湿度0%~80%
存储环境:
温度-40℃~80℃,湿度0%~95%
技术性能
MTBF(平均故障间隔时间):
≥100,000小时
2.4服务器
天阔I650(r)-E服务器是曙光天阔服务器系列产品中,面向行业市场中等网络规模用户开发的一款部门级服务器产品。
此款服务器支持双路IntelXeon64bit处理器,主频可达3.6GHz以上,系统前端总线频率为800MHz,系统内存由原来I650(r)-N的DDR配置升级为DDRII配置,最大支持16GBDDRII400内存,为用户带来“海量处理”的应用体验。
天阔I650(r)-E服务器以处理能力、可用性及可管理性等方面的强大优势,为电信、ISP/ICP/ASP等行业用户提供了一款系统性能、可用性最佳的部门级服务器精品。
天阔I650(r)-E服务器完
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 安全 解决方案