xxx校园网络规划和设计 xxx班 xxx

要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

2. 配臵防火墙，过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。

3. 在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4. 定期查看防火墙访问日志，及时发现攻击行为和不良的上网记录。

5. 允许通过配臵网卡对防火墙设臵，提高防火墙管理的安全性。

防火墙是计算机网络上一类防范措施的总称，它使得内部网络与Internet之间或其它外部网络互相隔离、限制网络互访，用来保护内部网络。防火墙简单的可以只用路由器实现，复杂的则可以用主机甚至一个子网来实现，设臵防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理。防火墙的功能主要是过滤掉不安全服务和非法用户与控制对特殊站点的访问以及提供监视Internet安全和预警的方便端点。由于网络具有天生的开放性，所以有许多防范功能的防火墙也有一些防范不到的地方，如防火墙不能防范不经由防火墙的攻击和感染了病毒的软件或文件的传输。因此，防火墙只能是一种整体安全防范政策的一部分。

实现防火墙技术从层次上大概可以分为报文过滤和应用层网关。报文过滤是在IP层实现的，它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报

40

xxx校园网络规划和设计 xxx班 xxx

文通过，因此它可以只用路由器完成。在用应用层网关实现的防火墙有多种方式，如应用代理报务器和网络地址转换器等。

如果校园网不能和Internet连接的话，就不能是一个完整的网络，也不能充分利用Internet网上的大量信息资源。因此校园网和Internet的连接技术就显得十分重要了，它关系到校园网与外部网络能能否进行可靠的连接。当前适合校园网与Internet的宽带连接方式主要有ADSL和光纤专线接入。

ADSL是一种非对称的宽带网络数据传输技术，它的一个明显优势是经济上实用。ADSL宽带线路通过ADSL Modem接入Internet代理服务器的网卡上的，不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规范，线路质量不够好，达不到高速传输的要求，目前它只用在一些中小型网络。光纤接入是一种在校园网建设中普遍使用的一种技术，它是通过构建专用的Internet服务器来实现的，在服务器上运行各种网络服务软件，为校园内部的用户提供Internet的接入服务。光纤接入的优点是可提供比较高的网络带宽和稳定性，但它的连接较为复杂。

网络操作系统NOS（Network Operating System）是在计算机操作系统的基础上，加上一些具有实现网络访问和控制功能的模块以及相关的数据通信协议，是使网络上各计算机能够方便有效地共享网络资源、为网络用户提供所需的各种服务软件和规程的集合。目前主要的网络操作系统有NetWare、Unix、Linix和Windows2003/2008。在校园网中一般情况下都用Windows 2008/XP网络操作系统，因为它是图形化的操作界面、使用简单、安全可靠，以及和普及率很高Windows系列单机操作系统的兼容性很好。 6.3.1安装漏洞扫描系统

41

xxx校园网络规划和设计 xxx班 xxx

对付破坏系统企图的理想方法当然是建立一个完全安全的没有漏洞的系统，但从实际而言，这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷。

因此，一个实用的方法是，建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统，漏洞扫描器就是这样一类系统。就目前系统的安全状况而言，系统中存在着一定的漏洞，因此也就存在着潜在的安全威胁，但是，如果我们能够根据具体的应用环境，尽可能早地通过网络扫描来发现这些漏洞，并及时采取适当的处理措施进行修补，就可以有效地阻止入侵事件的发生。

采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。

6.3.2部署趋势网络版杀毒产品

为了实现在整个局域网内杜绝病毒的感染、传播和发作，我们在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。

1. 在学校网络中心的Windows 2000服务器上安装趋势杀毒软件网络版的控制中心，负责管理1000多个主机网点。

2. 在各行政、教学单位等20多个分支机构分别安装趋势杀毒软件网络版的客户端。

3. 安装完趋势杀毒软件网络版后，在管理员控制台对网络中

42

xxx校园网络规划和设计 xxx班 xxx

所有客户端进行定时查杀毒的设臵，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4. 网络中心负责整个校园网的升级工作。为了安全和管理的方便，由网络中心的系统中心定期地、自动地到趋势网站上获取最新的升级文件（包括病毒码、扫描引擎等），然后自动将最新的升级文件分发到其他1000多个主机网点的客户端与服务器端，并自动对趋势杀毒软件网络版进行更新。同时，因为只有网络中心才有Internet出口，便于整个网络的统一管理。 6.3.3建立安全管理制度

常言说：“三分技术，七分管理”。安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定了详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施，保证了制度的执行。

校园网是学校教学、科研和管理不可缺少的重要基础设施，校园网的安全特别重要。校园信息化也成为影响学校未来竞争力的重要因素。因此，校园网安全技术管理不仅任务重，其技术要求也越来越高，网络安全技术人才队伍建设也将是校园网建设的重中之重。

43