海大校园网综合布线

网络系统集成综合布线设计

设计题目:广东海洋大学校园网设计方案

课程编号:16742105-0

学生姓名

（学号）所在专业所在班级指导教师成绩设计时间

计算机科学与技术

1122 刘思凤

2015年5月20日2015年6月10日

前言 ............................................................................................................................... 4 1

广东海洋大学概况简介 .............................................................................................. 5 1.1 1.2 2 2.1 2.2

广东海洋大学概况 .............................................................................................. 5 学校建筑物分布 ............................................................................................. 5 网络设计原则 ......................................................................................................... 6 校园网功能需求分析 ............................................................................................. 8

教学楼 .............................................................................................................. 8 科技楼 .............................................................................................................. 8 图书馆 .............................................................................................................. 8 宿舍区 .............................................................................................................. 8 信息网络中心 .................................................................................................. 8 教学楼层信息点数分布表格 .......................................................................... 8 科技楼楼层信息点数分布表格： .................................................................. 9 图书馆楼层信息点数分布表格： .................................................................. 9 宿舍区信息点分布 ........................................................................................ 10 网络结构设计 .................................................................................................... 11

需求分析 ...................................................................................................................... 5

2.2.1 2.2.2 2.2.3 2.2.4 2.2.5 2.3 2.3.1 2.3.2 2.3.3 2.3.4 3 3.1

综合布线技术以及方案的设计 ............................................................................. 8

校园网的规划设计 .................................................................................................... 10 3.1.1 全网框架设计 .................................................................................................... 11 3.1.2 局部框架设计 .................................................................................................... 12 3.1.3海滨校区框架设计 ............................................................................................. 16 3.1.4霞山校区框架设计 ............................................................................................. 17

4 局域网技术以及方案的设计 .................................................................................... 18 4.1 主校区 ...................................................................................................................... 18 4.2 霞山校区和海滨校区 .............................................................................................. 18 4.3 VLAN 的划分 ............................................................................................................ 18

5 设备选材 .................................................................................................................... 19 5.1 5.2

二层交换机 ........................................................................................................... 19 三层交换机 ........................................................................................................... 20

5.3 5.4 5.5 5.6 5.7 6

路由器 ................................................................................................................... 21 配线架 ................................................................................................................... 22 机柜 ....................................................................................................................... 23 服务器 ................................................................................................................... 24 防火墙 ................................................................................................................... 25

系统软件平台选型 .................................................................................................... 26 6.1 操作系统 ................................................................................................................. 26 6.2选择操作系统的准则 ................................................................................................ 26

7 网络安全防范措施 .................................................................................................... 28 7.1 防火墙系统 ............................................................................................................. 28 7.1.1防火墙概述 ......................................................................................................... 28 7.1.2防火墙种类 ......................................................................................................... 28 7.2 入侵检测系统 ......................................................................................................... 29 7.2.1入侵检测系统概述 ............................................................................................. 29 7.2.2入侵检测原理 ..................................................................................................... 29 7.3 校园网网络安全设计 ............................................................................................. 30 7.3.1网络安全设计原则 ............................................................................................. 30 7.3.2网络安全建设方案 ............................................................................................. 30

课程设计心得 ............................................................................................................ 31

参考文献 ............................................................................................................................. 31

广东海洋大学校园网设计方案

前言

随着信息的调整膨胀，全球信息已经进入以计算机网络为核心的时代。作为科技先导的教育行业，计算机校园网已是教育进行科研和现代化管理的重要手段。近几年，校园网已经取得了很大的发展，中国教育科研网投入运营，全国多所高校校园网络开通互联。本文通过校园网建设的教育目的，策略，流程图，并进一步分析，总结，建设一个完善的校园网项目。校园网的建成，为全校的教学，科研，教务，人事，行政，财务，图书等提供了一种高效高性能的环节，对提高全校的教学，科研，管理水平都有很大的推动作用。故局域网学校范围内的应用，涉及的广度和深度是相当大和深的，不管是从小的宿舍说起，还是扩展到教学楼，实验楼等区域，都是相当具有研究意义和价值。

科学技术的发展日新月异，九十年代，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。如今，不仅计算机已经和网络紧密结合，整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。在不久的将来，网络必将成为和电话一样通用的工具，成为人们生活、工作、学习中必不可少的一部分。

但是，管理师网络安全的重要组成部分。安全管理制度的不健全及缺乏可操作性等可能引起管理安全的风险。当网络出现攻击行为或者受到其他一些不可控的安全威胁时，无法进行实时的监控，报告和处理。而且当这些事故真正发生时，如果网络缺乏可控性和审查性，即提供不出足够的证据来引导网络的不正确的行为，这将是网络世界最严重的威胁。

尤其作为一种越来越普及的网络系统，校园网络的设计和建设就显得尤为突出和重要了，而且校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。所以，校园网的内部统筹对于网络的适当性铺展和进行起着决定性的作用。但是，正由于本身校园网内部的庞大和复杂，加上地域范围的因素影响，加之设计者水平的限制，或者局域网技术的高速发展和提升，直接导致旧的设计方案越来越不适应新时代校园网布局的要求，由此引起的问题也越来越多。本文就是针对这一现象进行对校园网的组建分析和改善校园网弊端。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本设计课题将主要以校园网络建设过程可能用到的各种技术及实施方案为设计方向，为校园网的建设提供理论依据和实践指导。

本次课程设计就是基本针对广东海洋大学的校园网布局为基础进行设计展开的，以下的设计安排均围绕广东海洋大学的具体情况进行，以求符合现有校园网布局技术最高水平的基础上，实现校园网的最佳布局。

1 广东海洋大学概况简介 1.1 广东海洋大学概况

广东海洋大学（Guangdong Ocean University）是广东省人民政府和国家海洋局共建的省属重点建设大学，是一所以海洋、水产、食品学科为特色，理、工、农、文、经、管、法、教、艺等学科协调发展，以应用学科为主体的多科性海洋大学。是具有“学士、硕士、博士”完整学位授权体系的大学。

学校的前身是创建于1935年的广东省立高级水产职业学校。1997年1月10日，湛江水产学院和湛江农业专科学校合并组建湛江海洋大学。2001年12月，全国重点中专湛江气象学校并入。2005年6月15日，经教育部批准，湛江海洋大学更名为广东海洋大学。

学校坐落于海滨城市湛江市，有主校区、霞山校区、海滨校区、寸金校区等校区，总面积4911亩（不含独立学院—寸金校区），其中主校区占地4200亩。教学楼、科技楼、图书馆、体育馆、博物馆、学生公寓、学生食堂以及文化广场、运动场和标准游泳池等基本教学生活设施完善。校舍总建筑面积达62.5万平方米，图书馆藏书221万册，教学科研设备值2.95亿元，固定资产值约15.7亿元。

设有18个二级学院、1个教学部、1个独立学院。面向全国25个省、自治区、直辖市招生，有全日制本专科生、研究生、留学生2.8万余人，独立学院1.6万余人，成人高等教育学生1.1万余人。

1.2 学校建筑物分布

学校分三个校区（不含寸金学院校区）：主校区、霞山校区、海滨校区。占地4911亩。主校区位于湛江市西郊世界地质公园─湖光岩风景区旁，依山面海，环境优美。设有水产学院、食品科技学院、农学院、工程学院、经济管理学院、航海学院、信息学院、软件学院、理学院、文学院、法学院、中歌艺术学院、外国语学院、继续教育学院、职业技术学院、寸金学院、政治与行政学院等17个二级学院和1个直属系——体育系。

在宿舍楼的分布上：

东区：海趣，海天，海宇，海涛，海霞，海景，海宁，海安，海韵。中区：海虹，海轩，海月，海云，海风，海沁，海鹰

西区：海欢，海乐，海浪，海花，海情，海怀，海思，海意四饭

教工宿舍21,22,23,24栋

在教学楼的分布上：

钟海楼，主楼，科技楼，物理实验楼，水产楼图书馆兴农楼，兴教楼，

兴海楼，艺术楼，舞蹈楼，工程训练中心其他建筑分布：

体育楼，就业楼，行政楼，海博楼，一饭外加商中建筑区，校医院附近建筑区

2 需求分析

对于校园网络来说，无非就是保持其自身几个重要特性不变：稳定性，可选择性，功效性，可拓展性，安全性。

稳定性多在于对网络数据传输的保证上，一个稳定的校园网络系统是基础。

可选择性在于针对不同的校园用户群体，提出各种方案应对校园合适群体的网络布局方案。

功效性更多的体现在网络实时的特效性，一个复杂的网路系统当然集传输信息，视频，音频等于一身，务必实现其复杂的功能并保持高效率。

可拓展性介于不断发展的网络格局和不断改革翻新的技术，直接导致的校园网布局方式的革新，这是适应未来的需要。

安全性是校园网持续提供高效服务的保证，校园网是个复杂但又是极易出现小漏洞的系统组织，保证其安全性是维持可持续发展最基本的前提，以求应对越趋复杂的病毒入侵。从目前来讲，主要需求分为如下几个方面：

1、整个网络系统主要分布在全校区。

2、整个网络采用先进的网络结构，以满足传输、存储和处理数据、语音及图象信息的需要。

3、满足网上的集成系统和业务系统的需求。 4、完整统一的系统管理平台。 5、实现课堂多媒体电化教学。

6、校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。 7、校园网要求能实现对用户带宽的动态控制。

8、校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的。扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。

9、网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。 2.1 网络设计原则

采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。本系统在软件配置和硬件设备，整个系统设计上依照以下原则确定。

1、先进性

世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通信发展要求，因此，主要、关键设备以进口为主，但国内能满足要求的，尽量采用国产设备。

2、实用性

系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的

基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。

3、安全性

目前，计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。

4、易扩展性

系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。

5、灵活性

采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。

6、系统性

项目开发必须按照系统工程的管理方法，有计划做实施。 7、综合性

满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。根据已制定的网络设计原则，我们所选择的网络设备必须具有以下一些特定。

8、安全、稳定、可靠

作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品，所以在选择产品时选用国际知名厂商的产品。

9、技术先进性

网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有技术先进性。在选择网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。

10、易于扩展性

由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加的设备，而只需要增加一定数量的模块就行。

11、管理和维护方便

先进的设备必须配合先进的管理和维护的方法，才能够发挥最大的作用。所以，在选择设备时必须支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。

2.2 校园网功能需求分析 2.2.1 教学楼

主要有多媒体教室，授课方式包括声音，图像，视屏等。因此需要保留较大的带宽冗余，保证传输质量。 2.2.2 科技楼

科技楼分两栋，分布有实验室和教学办公区，办公区需要适要internet连接，有较多的文件传输和通信需求，能适应和支持现有的或将来的通信及计算机网络需求，能适合语音、数据计算机局域网、光纤分布数据接口、图像和其它连接的需要。另外科技楼还分布有计算机实验室和网络实验室等，对网络的拓展性有较高的要求。 2.2.3 图书馆

图书馆需要有电子阅览室，需要连接internet，为了提供完善的体验，需要提供高速的网络连接。另外还有办公室和图书借阅信息系统，需要有服务器对图书借阅处理，书籍录入提供支持。 2.2.4 宿舍区

宿舍区的网络构架对学校信息化工作起到了巨大的推动作用，一方面缩短了学校与外界的距离，另一方面也完善了以校园网为基础的管理信息系统，为学生和教工提供了极大的方便。

2.2.5 信息网络中心

中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。 2.3 综合布线技术以及方案的设计 2.3.1 教学楼层信息点数分布表格

主楼

2.3.2 科技楼楼层信息点数分布表格：

2.3.3 图书馆楼层信息点数分布表格：

整个图书馆预计550个信息点，可同时提供500多人上网进行信息检索 2.3.4 宿舍区信息点分布

这次我们总体上划分为东区宿舍群，中区宿舍群以及西区宿舍群。

东区宿舍群：海涛(360)、海霞(360)、海天(360)、海宇(360)、海景(360)、海趣(45)、海韵(360)、海宁(360)、海安(360)，总计约为2925个信息点。

中区宿舍群：海鹰(360)、海虹(360)、海轩(360)、海月(360)、海风(360)、海云(360)、海沁(360)，海涵(360)、海怡(360)，总计约为3240个信息点。

西区宿舍群：海花(360)、海乐(360)、海浪(360)、海花(360)、海情(360)、海怀(360)、海思(360)、海意(360)、教工宿舍(336)，总计约为3216个信息点。

3 校园网的规划设计

3.1 网络结构设计

3.1.1 全网框架设计

层次化网络设计模型:对于大中型网络，可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。

核心层：主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分，担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。

汇聚层：顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。

接入层：作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过 VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。“核心层-汇聚层-访问层”层次化网络设计模型有如下优点：

1、高可扩展性：遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。

2、易于实施：每一层的功能性清晰划分，简化每一层的实现。

3、易于故障排除：每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。

模块化设计也有效限制故障影响范围。

4、易于规划和管理－层次化的功能划分，整个网络规划和管理更为简单。随着Internet应用的不断普及，越来越多的信息交流是在Internet上实现，广州市政设计院也将与国际Internet相连，实现同国内外同行的信息交流，并为用户提供远程服务，因此，在设计上除遵从前面的原则，还应考虑以下两个方面：开放性、标准化。

3.1.2 局部框架设计

3.1.2.1 主楼

3.1.2.2 钟海楼

3.1.2.3 科技楼

3.1.2.4 图书馆

3.1.2.5 兴农兴海行政楼

3.1.2.6 学生宿舍东区宿舍群：

中区宿舍群：

西区宿舍群：

3.1.3海滨校区框架设计

海滨校区主要分为综合楼、图书馆、教学楼、实验楼、办公室和宿舍楼，大概的网络拓扑图为：

3.1.4霞山校区框架设计

霞山校区主要为教工宿舍区和网络管理中心，大概的网络拓扑图为：

4 局域网技术以及方案的设计 4.1 主校区

4.2 霞山校区和海滨校区

4.3 VLAN 的划分

5 设备选材

5.1 二层交换机

型号：CISCO WS-C2960S-24TS-L

5.2 三层交换机

型号：

CISCO WS-C3560G-48TS-S

5.3 路由器

型号：

CISCO 2911/K9

5.4 配线架

型号：清华同方超五类24口数据配线架（CP20024）

5.5 机柜

型号：跃图多功能服务器机柜

AS61042H-D

5.6 服务器

型号：

IBM SYSTEM X3650 M4(7915I51)

5.7 防火墙

型号：

CISCO ASA5510-K8

6 系统软件平台选型

6.1 操作系统

操作系统是管理计算机硬件与软件资源的计算机程序，同时也是计算机系统的内核与基石。操作系统是软硬件之间的交互接口。

选择一个合适的操作系统尤为重要对日后校园网的拓展显得尤为重要。

6.2选择操作系统的准则

网络操作系统的选择有如下准则：

 标准化

 可靠性

 安全性

 网络应用软件

 应用性

而在实际网络操作系统选择的时候还要考虑以下因素：

 首先要考虑的成本因素

 其次，要考虑网络操作系统的可继承性因素

 可拓展性时选择网络操作系统需要考虑的另一个因素

1. Windows类

对于这类操作系统相信用过电脑的人都不会陌生，这是全球最大的软件开发商--Microsoft（微软）公司开发的。微软公司的Windows系统不仅在个人操作系统中占有绝对优势，它在网络操作系统中也是具有非常强劲的力量。这类操作系统配置在整个局域网配置中是最常见的，但由于它对服务器的硬件要求较高，且稳定性能不是很高，所以微软的网络操作系统一般只是用在中低档服务器中，高端服务器通常采用UNIX、LINUX或Solairs等非Windows操作系统。在局域网中，微软的网络操作系统主要有：Windows NT 4.0 Serve、Windows 2000 Server/Advance Server，以及最新的Windows 2003 Server/ Advance Server等，工作站系统可以采用任一Windows或非Windows操作系统，包括个人操作系统，如Windows 9x/ME/XP等。

在整个Windows网络操作系统中最为成功的还是要算了Windows NT4.0这一套系统，它几乎成为中、小型企业局域网的标准操作系统，一则是它继承了Windows家族统一的界面，使用户学习、使用起来更加容易。再则它的功能也的确比较强大，基本上能满足所有中、小型企业的各项网络求。虽然相比Windows 2000/2003 Server系统来说在功能上要逊色许多，但它对服务器的硬件配置要求要低许多，可以更大程度上满足许多中、小企业的PC服务器配置需求。

2. NetWare类

NetWare操作系统虽然远不如早几年那么风光，在局域网中早已失去了当年雄霸一方的气势，但是NetWare操作系统仍以对网络硬件的要求较低（工作站只要是286机就可以了）而受到一些设备比较落后的中、小型企业，特别是学校的青睐。人们一时还忘不了它在无盘工作站组建方面的优势，还忘不了它那毫无过份需求的大度。且因为它兼容DOS命令，其应用环境与DOS相似，经过长时间的发展，具有相当丰富的应用软件支持，技术完善、可靠。目前常用的版本有3.11、3.12和4.10 、V4.11，V5.0等中英文版本，NetWare服务器对无盘站和游戏的支持较好，常用于教学网和游戏厅。目前这种操作系统有市场占有率呈下降趋势，这部分的市场主要被Windows NT/2000和Linux系统瓜分了。

3. Unix系统

目前常用的UNIX系统版本主要有：Unix SUR4.0、HP-UX 11.0，SUN的Solaris8.0等。支持网络文件系统服务，提供数据等应用，功能强大，由AT&T和SCO公司推出。这种网络操作系统稳定和安全性能非常好，但由于它多数是以命令方式来进行操作的，不容易掌握，特别是初级用户。正因如此，小型局域网基本不使用Unix作为网络操作系统，UNIX一般用于大型的网站或大型的企、事业局域网中。UNIX网络操作系统历史悠久，其良好的网络管理功能已为广大网络用户所接受，拥有丰富的应用软件的支持。目前UNIX网络操作系统的版本有：AT&T和SCO的UNIXSVR3.2、SVR4.0和SVR4.2等。UNIX本是针对小型机主机环境开发的操作系统，是一种集中式分时多用户体系结构。因其体系结构不够合理，UNIX的市场占有率呈下降趋势。

4. Linux

这是一种新型的网络操作系统，它的最大的特点就是源代码开放，可以免费得到许多应用程序。目前也有中文版本的Linux，如REDHAT(红帽子)，红旗Linux等。在国内得到了用户充分的肯定，主要体现在它的安全性和稳定性方面，它与Unix有许多类似之处。但目前这类操作系统目前使仍主要应用于中、高档服务器中。

总的来说，对特定计算环境的支持使得每一个操作系统都有适合于自己的工作场合，这就是系统对特定计算环境的支持。例如，Windows 2000 Professional适用于桌面计算机，Linux目前较适用于小型的网络，而Windows 2000 Server和UNIX则适用于大型服务器应用程序。因此，对于不同的网络应用，需要我们有目的有选择合适地网络操作系统。

7 网络安全防范措施

7.1 防火墙系统

7.1.1防火墙概述

防火墙是指设置在不同网络或网络安全域（公共网和企业内部网）之间的一系列部件的组合。它是不同网络（安全域）之间的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有很高的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。

7.1.2防火墙种类

1. 网络层防火墙

网络层防火墙可视为一种 IP 数据包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的数据包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要数据包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用数据包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过

2. 应用层防火墙

防火墙的视察软件接口示例，纪录IP进出的情况与对应事件应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包，并且封锁其他的数据包(通常是直接将数据包丢弃)。理论上，这一类的防火墙可以完全阻绝外部

的数据流进受保护的机器里。防火墙借由监测所有的数据包并找出不符规则的属性，可以防范计算机蠕虫或是木马程序的快速蔓延。实际上，这个方法繁复（因软件种类极多），所以大部分防火墙都不会考虑以这种方法设计

3. 代理服务

代理（Proxy）设备（可能是一台专属的硬件，或只是普通计算机上的一套软件）也能像应用程序一样回应输入数据包（例如连接要求），同时封锁其他的数据包，达到类似于防火墙的效果。代理会使从外部网络窜改一个内部系统更加困难，且只要对于代理有良好的设置，即使内部系统出现问题也不一定会造成安全上的漏洞。相反地，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途增加安全，破坏者也许仍然使用方法譬如IP欺骗（IP spoofing）试图通过小包对目标网络。

7.2 入侵检测系统

7.2.1入侵检测系统概述

入侵检测是对入侵行为进行检测，它通过收集和分析网络行为，安全日志，设计数据，其他网络可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

7.2.2入侵检测原理

入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测系统的任务是从这些混合的数据中找出是否有入侵的痕迹，并给出相关的提示和警告。入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括

系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。第二步是信息分析，收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。第三步是结果处理，控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。

7.3 校园网网络安全设计

7.3.1网络安全设计原则

（1）可用性和可靠性

保证汇聚以上的网络中单点故障不会使局域网失去与整个网络的连接，多点故障不会造成整个网络被分成几个互不相连的部分。

（2）网络安全性

对用户进行合理的区域划分，实现对网络用户的访问控制，能有效的抵御病毒的入侵和恶意攻击，确保网络的安全。

（3）可扩展性

网络系统在体系结构、容量、产品升级、处理能力等方面必须为今后的扩充留有足够的余地，保证满足今后的发展，以及其它的需求。

7.3.2网络安全建设方案

（1）物理安全

1 通信线路的安全

学校保卫人员要负责对校园进行24小时不间断的巡逻，防止通信线路被破坏。 2 机房环境安全

供配电系统安全设计：要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断。

（2）网络安全

VLAN的划分是整个校园网的主体框架，此校园网主要是发挥三个方面的功能：教学功能、管理功能、信息功能。根据各部门对校园网的要求，采用基于端口的VLAN划分方法，对网络进行合理划分，确保校园网络的安全。

广东海洋大学本科生课程实习报告

（3）应用安全

1、病毒防范

随着计算机网络应用的不断发展，网络已经逐步成为人类生活中不可缺少的一部分。但随之而来的病毒也给我们带来了不少的麻烦。因此必须采取措施，对防病毒软件进行实时监控，保证防病毒软件的正常运行，在检测到防病毒运行不正常时，通知用户及时采取措施，避免遭受计算机病毒进一步的破坏。

2、数据备份

网络中心服务器应随时为各数据库服务器提供存储空间，支持各数据库的备份功能。

8 课程设计心得

这次的布线，刚开始做的时候什么都不懂，无从下手，然后百度了很多的资料，看了很多遍的课件虽然还是懵懵懂懂的，网络布线是将独立的设备连接在一起，并使它们可以共享信息和资源的连接系统，正确的设计和实施一个网络系统可以提高通信的速度和可靠性，从而使得一个系统工作起来更加富有效率，通过本次实验，可以更深刻的了解到综合布线的概念更好的认识正确的布线概念，为以后应付更多不同的工作打好基础，也磨砺了团队合作精神，为以后可以参加更大的工程做准备。通过这次主楼综合布线系统的实践，我了解了综合布线系统的一个基本流程，也接触了以前只在书本上看到过的材料以及体验了他们的用法和用处，但是还是有点不足之处，首先就是我没有接触真正的工程，也许这个想法比较困难，因为让学生走入工地参观的可能性不大，但是我个人认为还是参观学习真正的布线系统才是最有用也是最能学习到东西的一种方法。希望以后可以增加一些实际机会，把课本上学到的理论运用于实际中，让学到的知识有所用。

参考文献

[1]郑秋生主编《网络工程实训和实践应用教程》清华大学出版社 20011年10月

[2]百度文库：

http://wenku.baidu.com/link?url=E08AeU9LVRyIBeSJR3PdMqjQ5HiiJ3Kzy3z928BlDjMQ1KIJQZfuqaxSeNShWOmxLzaKI37jPgaQid59Dz7AuI2Ro8jU40eGDNwgDucBDF_

31 / 31