網絡安全設計方案總結范文

導語：如何才能寫好一篇網絡安全設計方案總結，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

如果電力系統中缺少嚴格的驗證機制，或者不同業務系統之間缺乏有效的訪問控制，可能導致非法用戶使用到關鍵業務系統，引發非法侵入的業務安全風險。

2電力行業計算機應用網絡安全結構的內容

基于電力行業所面臨的網絡安全風險，為保障整個電力系統的安全、穩定運行，必須建立一套符合電力行業自身特點的網絡安全結構。而所謂電力行業計算機應用網絡的安全結構，即是應用和實施一個基于多層次安全系統的全面網絡安全策略，在多個層次上部署相關的安全產品，以實現控制網絡和主機存取，降低系統被攻擊危險，從而達到安全防護的目的。網絡安全結構的內容主要有以下幾個方面：2.1網絡安全防護結構體系電力行業網絡安全防護的基礎是網絡安全域的劃分。根據《電網和電廠計算機監控系統及調度數據網絡安全防護規定》的要求，電力系統的網絡可劃分為四級網。其中，電力調度生產控制與實時監測可作為一、二級網，它與三、四級網絡是進行物理隔離的。第三級網為DMIS網，第四級網為MIS網，網絡安全防護的重點也是第三、第四級網絡。根據整個電力行業計算機應用網絡的特點，還可對三、四級網絡進行進一步安全域的劃分，并劃清網絡的邊界，綜合采用路由器、防火墻、入侵監測等技術對三、四級網絡進行綜合防護。2.2安全防護技術的應用電力行業網絡安全防護技術，主要包括了防護墻技術、漏洞掃描技術、入侵檢測技術、病毒防治技術等，這些安全防護技術作為網絡防護結構的基礎組成部分，在統一的安全策略指導下，以保障系統的整體安全。其中，防火墻技術、入侵檢測技術和漏洞掃描技術，主要是針對內部信息系統不同安全域進行的安全防護；而病毒防治技術則主要是面對電力系統內的客戶端及各種服務器提供安全服務。

3電力行業計算機應用網絡安全結構的設計

3.1網絡安全結構設計的原則

（1）安全性原則。是指網絡安全結構的設計方案，應充分確保電力系統的安全性；所采用的安全技術產品應有著良好的產品質量與可靠性，以充分保證系統的安全。

（2）一致性原則。主要是電力行業網絡安全問題應與整個網絡的工作周期同時存在，所制定的安全體系結構也必須與網絡的安全需求相一致。

（3）易操作性原則。網絡安全結構的相關技術措施需要由人為去完成，如果所采用的技術措施過于復雜，對人的要求也過高，這自身就降低了系統的安全性。

（4）分布實施原則。由于電力網絡系統隨著規模的擴大和應用領域的增加，網絡受到攻擊的可能性也不斷增加，想一勞永逸的解決電力網絡安全問題是不現實的，而且網絡安全措施的實施也需要相當的費用支出。因此，網絡安全結構的建設可采用分布實施的方式，既可滿足當前網絡對信息安全的需要，也可為今后系統的擴展與完善奠定良好的基礎。

3.2網絡安全結構具體設計方案的應用

（1）電力系統局域網內部網絡安全結構設計整個電力行業計算機應用網絡，不僅會受到外部的攻擊，也同時會受到內部攻擊。內部網絡主要是指用于控制電力設備以及采集運行數據的設備層網絡系統，如SCADA系統DSC系統等，由于這部分網絡需和電力控制設備之間直接進行數據間的交換，任何非法入侵的數據都可能引發電力設備的故障，并可能導致整個電網的安全運行受到影響。為了有效解決內網的安全防護問題，可在電站系統的局域網內部，使用防火墻技術對不同的網段進行隔離，并且采用IPS設備加強對關鍵應用部位的監控與保護。如圖1所示，即為電力系統局域網內部網絡安全結構設計。在該設計方案中：

①使用防火墻集群將內部與外部網絡隔離，保證電力網絡外部的攻擊與漏洞掃描等，不會影響到內網數據的正常傳輸與交流；

②再將內部網絡的不同區域進行隔離，使之能具備不同級別的訪問權限，以有效保證內網數據的安全性；

③對電站關鍵部位的安全防護還可采用IPS裝置，以保證內部重要數據的可監控性、可審計性以及防止惡意流量的攻擊。

（2）省級電力骨干網絡安全結構設計省級電力骨干網絡的核心中部署有眾多的業務，如用電營銷、工程管理、辦公自動化系統、電力生產信息平臺以及GIS系統等，同時還包含了與其它企業及各種服務系統的系統。正是由于各種業務的流量都需由電力骨干網絡進行傳輸和匯集，對網絡的安全性與可靠性也有著極高的要求。因此，對于省級電力骨干網絡的安全結構設計，可部署2~4點的防火墻集群作為網絡系統的省級安全核心，并對系統的多鏈路情況進行負載均衡，以充分滿足省級電力骨干網絡對安全防護的要求。省級電力骨干網絡的安全結構建設，主要包括了兩方面的任務：

①利用防火墻技術對外部接口區域和內部服務器區域進行劃分，并綜合應用病毒防治技術、漏洞掃描技術等多種安全防護技術，從而實現系統在訪問控制、漏洞掃描、病毒防護、入侵檢測、集中安全管理以及日志記錄等多個環節的安全防護；

②通過安全結構的建設以實現系統多鏈路情況下的負載均衡，保證系統具有足夠的收發速度和響應速度，并能有效避免網絡服務的中斷。

（3）電力廣域網整體網絡安全結構設計對于整個電力系統的廣域網，為了保證端對端、局對局的安全性，并有效保證整個系統的安全性與可靠性，可對整個電力廣域網采用分布式的安全結構設計方案。其安全結構的特點是：

①通過分布式架構，可以使廣域網的安全結構真正實現多臺防火墻的同時Active技術，有效保證了網絡的安全性。

②通過過濾規則設置，可以實現對廣域網內部資源對外開放程度的有效控制，尤其是電力公司和Internet公共網絡之間的連接可僅開放某特殊段的IP端口，從而有效避免了病毒攻擊和非法侵入。

③通過客戶端認證規則的應用，可以確保電力廣域網不同的內部用戶享受到不同的訪問外部資源的級別。同時還對內部用戶嚴格區分網段，其自動的反地址欺騙有效杜絕了從外網發起的對于內網的訪問，而對于內網發起的對外網的訪問則可以不受到限制。

4總結

篇2

關鍵詞：VPN技術；校園網絡；安全體系

中圖分類號：TP393.08

目前，各大院校都在進行擴招，不同的院校也在逐漸的擴大規模，創建出了校區與校區之間協調發展的形式。按照我國院校的大體布局來分析，大部分的院校會擁有多個校區，并且這些校區可能會分布在不同的地區或者城市，校園的局域網若過于簡單，是不能夠達成協調管理的。那么VPN技術的應用成為了主流模式。

1 在校園網絡安全體系中應用VPN技術的功能模型

1.1 數據轉發模塊。此模塊是網絡當中的關鍵模塊，對于數據的加密是利用協商好的加密算法，同時將數據傳輸完成。

1.2 身份認證模塊?？蛻舳苏J證服務端，是通過數字證書；服務端認證客戶端，是通過兩種不同的方式，其一是對外網的認證，使用的是密碼和用戶名的認證，其二是內網的認證，使用的是數字證書的認證模式。

1.3 后臺管理模塊。此模塊主要負責采集日志，是安全審計前提下的操作日志。并且，可以將使用情況和操作行為充分匯總。

1.4 訪問控制模塊。此模塊具體創建了細致的VPN技術訪問控制對策，相應的決定了訪問的規則。

2 分析VPN技術的需求

2.1 對圖書館資源進行遠程訪問。校區之間需創建統一形式的認證系統以及圖書館管理系統，達成校區之間的圖書館資源統一認證和聯動管理。

2.2 解決院校中多個校區的互相訪問問題。達成校區與校區之間的財務專網以及一卡通整合，構成能夠連接校區與校區之間的完善網絡樞紐，確保網絡數據可以通過VPN技術進行快速、安全的傳輸。

2.3 以遠程的形式訪問校園網絡熱點，達成校區與校區之間的郵件服務站點以及web站點的整合，實現校區之間的信息交流、公文流轉以及郵件分發。

3 在校園網絡安全體系中應用VPN技術的原則

3.1 訪問控制。校園網絡當中會擁有較多的用戶，不同的用戶擁有著不同的權限，所以，VPN技術需要創建安全訪問的控制體系。

3.2 確保多平臺兼容。所謂多平臺兼容指的就是，VPN服務作用在校園網絡中，可以給予用戶實時的安全網絡接入服務。同時，可以達成較多操作系統的平臺環境兼容。

3.3 安全保障。在校園網絡安全體系當中應用VPN技術，最為基本的原則就是能夠合理的保障網絡安全。將VPN技術應用在校園網絡中，一般情況下需要擁有數據保密、數據完整性以及身份認證三個方面的保障體制[1]。

3.4 管理平臺的有效性。VPN技術服務器需要給予一定的服務器和客戶端配置工具，便于使用操作。還需要提供采集日志的功能，可以安全性審計日志記錄。

4 校園網絡安全體系當中有效的選擇VPN技術的應用方案

4.1 Extranet VPN。Extranet VPN方案能夠利用專門的共享連接網絡設施，在校園網絡中連接外部網，適合用在B2B的安全訪問過程中。

4.2 Access VPN。Access VPN方案的選擇與遠程或者移動辦公的要求相符，對于校園內與校園外的遠程網絡連接能夠充分實現。Access VPN具體適合用在現階段較多的接入方法中，例如：ISDN、移動網絡、PPPoE撥號、xDSL等，提供給移動辦公用戶較為安全的私有連接。

4.3 Intranet VPN。Intranet VPN方案擁有著獨特的共享網絡設施，此共享網絡設施是Intranet VPN方案的堅實基礎，對Internet的合理利用能夠實現，在院校中各個校區的網絡互聯。Intranet VPN有效的通過了加密、VPN隧道等技術，確保了在傳輸過程中，信息的安全性。

根據這三種應用方案的細致探究，可以體現出不同的方案會適合應用在不同的訪問服務當中。按照需求分析能夠體現出，校園網一方面需要將校區與校區之間的網絡互聯實現，另一方面還需要將遠程用戶訪問校園網絡資源的指令實現。所以，需要選取Intranet VPN和Access VPN這兩種方案當做校園網絡安全體制中的具體構架方案[2]。

5 校園網絡安全體系中應用VPN技術的設計方案

5.1 Access VPN遠程形式下的VPN服務器訪問。在用戶對校園網絡資源的訪問過程中，并利用遠程協助的方式開展時，需要通過Access VPN技術將其實現。VPN技術會創設在校園網絡的內部，對于創設基礎環境的選擇，則需要選取Linux操作平臺，Linux操作平臺一方面擁有著免費、容易擴展的特點，另一方面還擁有著較高的性能，可以與Windows Server平臺相提并論[3]。

在校園網絡中傳輸的數據想要確保其安全性，需要應用NAT技術以及防火墻，因為在傳輸層中是SSL VPN在工作，可以涉及到全部的NAT設備與防火墻，確保了VPN技術用戶能夠實時的對校園網絡進行連接。并且，遠程的VPN用戶在對校園網絡進行訪問的時候，要設置內網的IP地址，所以DHCP的架設是必不可少的，該服務器能夠對IP地址的分配任務合理達成。針對外部網絡的用戶必須要與VPN服務器相連，并創建DNS域名服務器才能夠進入到校園網絡。這種方式的采用，能夠將屏蔽校園網絡結構的目的實現，確保了校園網絡的安全性[4]。

5.2 校區之間的網絡互聯能夠運用Intranet VPN來實現。首先需要在每一校區中接入網絡連接，將網絡出口定制在一個校區中，同時所有的校區之間所開展的信息化系統管理，要利用此網絡連接將信息互通完成，包含：教務、人事、財務、一卡通等管理系統。想要確保傳輸數據的安全性，需要通過IPSec VPN技術，加密應用系統中的相關數據，保證傳輸數據時的安全性與可靠性。一些用戶對信息安全方面有著較高的要求，例如：后勤、財務部門的用戶，需要通過二層隔離的方式進行校園網的接入，然后需要利用二層OSPF協議安全的傳輸到核心型交換機，達成校區與校區之間的加密信息傳輸。針對普通的用戶在訪問的過程中，因為具備較低的安全級別，需要將安全要求降低，以此有效的提高VPN服務器的性能[5]。

6 總結

根據以上的論述，各大院校紛紛應用了VPN技術，本文主要設計和規劃了VPN技術的應用方案，為的是將校園網絡中的安全體系能夠體現出可靠性的特點，從而實現校園內部協調管理的模式。

參考文獻：

[1]邱建新.基于IPSec的VPN技術在校園網絡中的應用研究[J].浙江交通職業技術學院學報，2013，12（09）：124-126.

[2]陳恒法，曾碧卿.虛擬專網（VPN）技術在校區網絡互聯中的應用[J].科技咨詢導報，2013，11（07）：126-127.

[3]劉巨濤.網絡安全技術在校園網絡建設中的應用研究[J].內蒙古農業大學學報：社會科學版，2013，10（02）：168-170.

[4]鄒，劉婷，范志勤.校園網絡安全體系的設計與應用分析[J].長沙民政職業技術學院學報，2013，5（04）：187-188.

[5]何來坤.VPN技術在校園網絡中的應用[J].杭州師范學院學報：自然科學版，2013，14（06）：156-159.

篇3

先進視訊: 城市視頻監控報警聯網系統

優 點

該方案對城市視頻監控報警聯網系統的網絡平臺、信息存儲和信息管理闡述得較為詳細。

方案利用當地電信運營商完善的網絡覆蓋，采用先進的VPN網絡技術構建了虛擬專網的數字化城市監控報警聯網系統，具有擴展靈活、維護方便、分布式多中心的特點。

另外，該方案采用IP-SAN網絡存儲技術，可以實現分布式海量網絡存儲; 而其信息管理方面分成了信息分級管理、信息傳輸方式、接入安全管理、數據共享功能、數據分析方法和數據搜索方法等多個方面，是監控報警網絡管理軟件功能的延伸。

不 足

該方案無論從工程設計還是從應用角度來看，仍然需要完善和改進。

從工程設計角度來說，該方案給出了專用網絡的拓撲結構和實現技術，需要對網絡流量的需求和設計給出計算方法; 方案在接入方式和終端控制、顯示系統等部分的設計內容需要給出更為具體的信息，對設備選型和工程性價比等內容需要加強。

從應用設計角度看，該方案應對三級公安管理中心的應用需求和管理方式方面應有更詳細的描述，對采用VPN技術的網絡安全和采用運營商管理數據安全等方面也應有更詳細的描述，特別是VPN專網與公網、VPN與公安專網的關系需要加強，否則無法給出安全性的判斷。

華為3Com:H3C iVS IP智能監控系統

優 點

該方案對現有的應用分析比較深入，同時在設計上比較獨特，整個方案都是基于IP網，充分利用了IP網的優勢，并把這些優勢充分應用到監控系統中。同時引入了IP組播的概念，有一定的前瞻性，符合視頻監控應用的特點，在一些情況下能提高QoS(服務質量)。該設計方案應用了最新的網絡傳輸與存儲技術，特別適合于建設大型、超大型視頻監控主干網絡。與傳統的模擬視頻架構不同，與用DVR(Digital Video Recorder)框架模式（模擬和數字結合）也不同，該方案的體系架構比較先進，設計獨到。

方案的編碼方式支持MPEG2/MPEG4/H.264編碼格式，編碼帶寬最高可達8Mpbs(編碼壓縮為高帶寬4Mpbs以上),可提供FULL D1高清晰圖紙分辨率，這一點有其獨到之處。

設計上采用了IP網中的分布式概念來實現IP監控的控制和管理，利用VM(Video Manager)和DM(Data Manager)來實現對各種終端的統一管理和調度，而視頻流則可以不經過VM單獨傳輸。把VM作為整個系統的控制和管理核心，所有監控的控制流都由VM處理，這樣能在一定程度上提高圖像信息的安全性。

系統設計上采用了IP-SAN這項新技術，結合iSCSI技術實現對視頻數據流的存儲。能向PC客戶端提供實際的VOD點播視頻流、數據流和視頻數據下載等服務，滿足現實應用的要求，且具有一定的先進性。

IP-SAN存儲可以達到大容量的海量存儲，也能達到集中管理，縮短緊急情況下的圖像回放響應時間。傳輸采用IP網絡同時完成視頻流的傳送及交換功能，代替了傳統的光端機傳輸，并可在同一根光纖上傳送各種視頻圖像。

不 足

從目前系統的設計方案來看，要建設中小型監控系統，資金投入可能會有問題。而且在網絡條件不太理想的應用環境中，方案對于一些低碼流的前端應用適應性方面未作詳細描述，方案中的傳輸設備需要用本公司產品才能實現。安全方面也只是提到采取簡單的注冊，沒有涉及具體的安全策略和方法。

對于如何實現QoS方面的設計方案，提及相對簡單。在實施中還需對該方案進一步進行細化設計，詳細闡述相關內容。

就拿北京來說，其架構（管理模式是DB/Z384）由住宅小區或社會重要單位建立平臺連到各街道和派出所，逐級上傳到區政府和公安分局，再上傳到市政府和市公安局。各級都有管理職能要求，所以基本模式應符合分級、分層、分權的實用要求。

而將所有信息（包括視頻，語音及報警）都傳送到IP-SAN一級海量存儲，像北京這樣大的城市必然會需要巨大容量的存儲空間，其安全性令人擔憂。而且其設備投資太大，從當前使用角度來看很難達到。

該方案與目前各級已建立起來的視頻系統是否兼容，并且其可靠性、安全性等多方面還尚待檢驗。

中盛益華: CSVision城市治安視頻監控系統

優 點

該方案對現有視頻監控的應用需求的分析比較全面，在設計上采用了分級管理。用戶可根據實際需要，在各服務器間構建多叉樹的拓撲結構，實現了分級和分層管理。

該方案在設計上所采用的分布式存儲能較好地解決網絡帶寬和存儲問題，分擔系統的壓力。該方案充分利用現有的網絡，可接受多種接入方式，使建設成本降低。系統所應用的生命周期管理、設備心跳管理、實時監控、管理編解碼設備以及系統具備的自愈自恢復功能等對于一個成熟的大型視頻監控系統來講是很重要的。

網絡視頻服務器可以支持不同的網絡接入和多級聯網，該系統設計方案適合于中、大型視頻監控系統建設。是較為廣泛的采用方式，比較符合現實應用需求。

不 足

該方案在設計上也還存在一些缺陷，如對在不同級別、不同層次間的信息共享以及系統的安全性考慮比較少，信息的采集、傳輸及所采取的C/S訪問方式等都存在著潛在的安全隱患。

系統雖然支持多種接入方式，但對編解碼的標準沒有做出明確的方案，是否適合這些接入方式？怎樣保證圖像的質量？以及需要什么樣的網絡帶寬等問題在方案中沒有描述清楚。

天地偉業: 城市監控報警聯網系統

優 點

該方案從需求分析、方案設計、運營/管理，主要產品介紹等方面作了敘述，內容清晰、構思清楚。該方案在需求分析、社會資源的接入方式、存儲方法等方面有較好的參考價值。

方案從城市監控報警聯網系統建設的應用需求分析入手，總結出系統建設功能需求，對公安系統自建信息資源和現有社會信息資源接入系統的方式進行了較為詳細的敘述。對公安局監控中心建設給出了規劃方案和實現功能，針對網絡傳輸的特點，采用了兩級信息存儲方案，給出了該方案核心設備的選型和設備參數指標。

結合實際的應用要求，能和現有監控資源兼容，采用標準接口; 可以依據不同需求，選擇不同類型的監控設備，方案靈活; 擴容簡單，可以逐步完善; 技術相對成熟，實施容易，既能保證傳統的模擬系統質量，又可采用先進的數字技術; 城市監控聯網系統結合了分級、分層、分權的管理機制。

不 足

方案對前端的接入方式沒有描述，應給出詳細的前端接入方式說明。

方案的基層控制中心建設過于簡單，應推薦給出模擬、數字和模數結合三種不同的實現結構框圖，并詳述各自不同的優缺點，供具體實現者參考。

在功能需求方面雖然提出了安全性要求，但在方案設計中沒有體現出安全性的保障措施; 特別是方案提到了能利用電信運營商的通信網絡解決城市監控網絡的覆蓋面問題，但如何解決通信網絡與公安專網的銜接方面沒有給出具體方法，安全性很難判斷。

在如何確保圖像的傳輸質量（特別是數字傳輸）方面，缺乏技術措施。在產品介紹上應更多說明其接口對不同系統設備的兼容，因為各地平安城市監控系統不可能都用該方案產品。在監控系統使用的控制權限上如何達到相互調用，從技術方案上要有措施。

松下電器: 銀行網絡視頻監控系統

優 點

該方案是銀行建設的全數字化網絡視頻監控系統方案，采用星型網絡拓撲結構，并采用了網絡供電方式，提高了系統的靈活性和可擴展性，降低了施工及布線成本; 前端攝像機采用網絡監控攝像機，通過網絡交換機將圖像及數據接入監控中心，由中心內配置的網絡硬盤錄像機對前端圖像進行記錄。該方案根據不同監控點的實際應用需求，采用了不同分辨率的網絡攝像機――百萬像素網絡彩色攝像機，拍攝的圖像清晰、鮮明。每臺網絡攝像機配置1GB的SD卡以備網絡故障時圖像記錄，提高了圖像記錄的可靠性; 該方案的最大特點是采用雙編碼格式，形成M-JPEG 和MPEG-4兩種視頻媒體流，MPEG-4利于實時動態觀看，M-JPEG利于高清晰圖像的記錄。

該實時監控錄像系統的使用可減少銀行柜員制業務中出現的錯誤和糾紛，切實保障銀行和儲戶的權益，有效防范金融詐騙等犯罪活動。

不 足

該方案給出的系統結構框圖僅僅是一個營業部門的監控系統圖，沒有給出銀行的各營業部門的監控系統是否聯網，以及如何聯網等相關問題的解決方案。

對網絡體系結構介紹較為簡單，沒有給出網絡流量的需求和保障措施，對網絡安全沒有論述; 該方案僅在系統框圖中畫出了城市安防中心，但沒有給出監控系統與城市安防中心的接口和傳輸方式的說明，同時監控中心沒有建設多屏顯示，不利于值守人員工作; 作為一個銀行監控系統，方案中對報警系統沒有描述，對報警系統與監控系統聯動的敘述過于簡單。

藍色星際: ATM視頻監控聯網系統

優 點

該方案專門針對金融行業中通過聯網的方式實現對所有ATM網點的集中統一監控和管理，核心設備均采用嵌入式操作系統，具有任務單一、響應實時的特點，避免了Windows等PC操作系統啟動緩慢、安裝配置復雜、不易維護、不能長時間穩定工作的弊病。嵌入式操作系統完全避免了病毒及其他非法手段的入侵，大大地提高了系統的安全性。

方案采用模塊化結構設計，可以提供靈活的系統組合，用戶可以根據需要靈活配置硬件數量。在盡量不改動原有現場監控系統的條件下，可將該系統作為一個功能模塊嵌入在原有系統之中，保證新的系統不影響原有系統的穩定性并有效保護用戶以前的投資。

方案將ATM作為網絡視頻監控系統的網點，并從設計原則、設計依據和應用技術特點、產品主要功能等方面做了詳細說明。

不 足

篇4

校園網作為因特網的重要組成部分，為教學提供了極大的方便。由于管理和使用等因素，校園網面臨著嚴重的安全威脅。其中主要體現為水災、雷擊或者操作人員的操作不當而導致的硬件或者網絡系損壞，另外黑客攻擊是校園網系統的主要安全影響因素。近年來，隨著網絡技術的發達，木馬安裝程序也越來越精密，不但影響公共網絡，也給校園網的安全帶來極大的沖擊。學生作為主要操作者，缺乏專業的技術，因此容易出現操作失誤現象。另外，學生的好奇心會導致系IP被修改，或者進入不安全網頁，導致計算機系統被病毒侵害。另外，校園網系統還面臨著系統應用問題和管理風險。系統應用問題主要體現為操作系統安全隱患和數據庫安全隱患。由于系統自身設計不完善，將導致操作系統存在致命的安全隱患，這需要檢修人員和技術人員及時發現并對其進行處理，以免出現重大安全事故。計算機服務器終端安全風險將導致整個系統的安全系統下降，出現安全漏洞，影響計算機的使用壽命。從這一點上，確保操作系統的信息安全是管理者的重要任務。但在校園網管理上，由于受到高校制度和對網絡教學或者計算機實踐教學重視程度不夠的影響，管理安全隱患十分明顯。目前，校園網安全管理依然是人在管理，管理效率低下的主要原因在于管理人員的綜合素質不高，管理制度不明確。要解決這一問題，就需要對校園網管理制度進行調整。

2校園網絡安全防范設計方案

為了提高校園網的安全系數，應建立可靠的拓撲結構，其中包括備份鏈路、必要的網絡防火墻以及VPN的構建。具體過程如下：

2.1利用備份鏈路優化校園網的容錯能力

備份鏈路的使用可有效提高網絡的容錯能力，降低安全風險。主要應用于路由器同系統核心交換機之間，其作用在于對學生連接的外網進行檢驗和排查，控制非法連接，從而提高被訪問網頁的安全系數。在核心交換機之間同樣可進行雙鏈路連接和端口聚合技術，從而確保鏈路之間的備份，提高交換帶寬。

2.2計算機防火墻的合理應用

計算機防火墻在校園網安全中起著決定性的作用。通過防火墻的建立，可攔截存在安全隱患的網頁。操作人員可在防火墻上預設適當的安全規則ACL，對通過防火墻的數據信息進行檢測，處理存在安全隱患的信息，禁止其通過，這一原理使得防火墻具有安裝方便，效率高等特點。在計算機系統中，防火墻實際上是外網與內網之間連接的唯一出口，實現了二者之間的隔離，是一種典型的拓撲結構。根據校園網自身特點，可對這一拓撲進行調整，將防火墻放置于核心交換機與服務器群中間。其主要原因為：防止內部操作人員對計算機網絡系統發起攻擊；降低了黑客對網絡的影響，同時實現對計算機網絡系統的內部保護和外部保護，使流經防火墻的流量降低，實現其高效性。但是隨著科技的發達，網絡木馬的類型逐漸增多，這要求防火墻技術也要不斷的更新，以發揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結合在一起，一旦入侵檢測系統捕捉到某一惡性攻擊，系統就會自動進行檢測。而這一惡性攻擊設置防火墻阻斷，則入侵檢測系統就會發給防火墻對應的動態阻斷方案。這樣能夠確保防火墻完全按照檢測系統所提供的動態策略來進行系統維護。

2.3VPN的構建

VPN主要針對校園網絡的外用，尤其是針對出差人員，要盡量控制其使用校內網絡資源。如必須使用，則要構建VPN系統，即在構建動態的外部網絡通往校園網的虛擬專用通道，也可建立多個校園網絡區域之間的VPN系統連接，提高安全防護效率。

2.4網絡層其他安全技術

網絡層其他安全技術主要體現為：防網絡病毒和防網絡攻擊?，F在網絡病毒對網絡的沖擊影響已經越來越大，如：非常猖狂的紅色代碼、沖擊波等網絡病毒，所以有必要對網絡病毒繼續有效的控制；而網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種：MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網絡設備管理安全。

3校園網的安全管理方案

計算機管理也是校園網安全的主要控制方案。在促進管理效率提高的過程中，主要可以采取VLAN技術、網絡存儲技術和交換機端口安全性能提高等方案，具體表現為以下幾個方面：

3.1應用VLAN技術提升網絡安全性能

VLAN技術是校園網安全管理中應用的主要技術，這一技術的應用有效的提高了計算機安全管理效率，優化了設備的性能。同時對系統的帶寬和靈活性都具有促進作用。VLAN可以獨立設計，也可以聯動設計，具有靈活性，并且這一技術操作方便有利于資源的優化管理，只要設置必要的訪問權限，便可實現其功能。

3.2利用網絡存儲技術，確保網絡數據信息安全

校園網絡數據信息安全一直是網絡安全管理中的主要任務之一。除了技術層面的防火墻，還要求采用合理的存儲技術，確保數據安全。這樣，不但可以防止數據篡改，還要防止數據丟失。目前，主要的存儲技術包括DAS、RAID和NAS等。

3.3配置交換機端口控制非法網絡接入

交換機端口安全可從限制接入端口的最大連接數、IP地址與接入的MAC地址來實現安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現不合理操作，將會觸發和該設備連接的交換機端口產生一個違例并對其實施強制關閉。設置管理員權限，降低不合理操作。配置交換機端口可實現將非法接入的設備擋在最低層。

4總結

篇5

關鍵詞：企業發展；計算機局域網；設計方案

Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.

Keywords: enterprise development; computer network; design

中圖分類號：TP393.1 文獻標識碼：A文章編號：2095-2104（2013）

局域網是在一個局部的地理范圍內比如：一個學校、工廠和機關內），一般是方圓幾千米以內，將各種計算機，外部設備和數據庫等互相聯接起來組成的計算機通信網。它可以通過數據通信網或專用數據電路，與遠方的局域網、數據庫或處理中心相連接，構成一個較大范圍的信息處理系統。局域網可以實現文件管理、應用軟件共享、打印機共享、掃描儀共享、工作組內的日程安排、電子郵件和傳真通信服務等功能。計算機局域網嚴格意義上是封閉型的，它可以由辦公室內幾臺甚至上千上萬臺計算機組成。決定計算機局域網的主要技術要素為：網絡拓撲，傳輸介質與介質訪問控制方法。局域網的名字本身就隱含了這種網絡地理范圍的局域性。由于較小的地理范圍的局限性，企業計算機的局域網通常要比廣域網具有高的多的傳輸速率，例如，計算機局域網的傳輸速率為10Mb/s，FDDI的傳輸速率為100Mb/s，而廣域網的主干線速率國內僅為64kbps或2.048Mbps，最終用戶的上線速率通常為14.4kbps。計算機局域網的拓撲結構常用的是總線型和環行，這是由于有限地理范圍決定的，這兩種結構很少在廣域網環境下使用。另外企業運用計算機局域網還有諸如高可靠性、易擴縮和易于管理及安全等多種特性。

一、我國企業計算機局域網設計方案

為了提高企業的工作效率，從而進一步提高企業的經濟效益，很多企業都購置了可供需要的大量計算機。隨著經濟的不斷發展，社會生產力不斷地提高，我國計算機技術水平不斷地提升，企業的計算機也不在是以前孤立的個體，慢慢的經過科學技術革新、研究形成了企業根據自身情況所建立的“企業計算機局域網”。使企業內部形成的資源高度的共享、企業各部門有機協調的計算機網絡，既方便了企業員工之間的工作，也同時方便了企業管理層對員工的監督。就目前，我國各企業大都建立了自己的計算機網絡，網絡應用也逐漸頗具規模，特別在數值計算、信息管理、辦公事務、工程(產品)設計、加工制造等方面基本實現了計算機應用，計算機、網絡和數據庫正在成為企業日常運行的基石。那么我國企業計算機局域網主要有以下幾種設計方案和遵循標準：

1、企業內部計算機局域網建設

企業內部計算機局域網：是企業內部日常運作的重要保證。通過企業內部計算機局域網建設可實現企業內部辦公自動化，財務電算化，數據共享，上網鏈路共享，打印共享，內部電子郵件傳輸等一系列功能。但設計這樣的企業內部局域網需要遵循以下幾點原則：

(1)根據企業具體實際情況，設計網絡模型

根據企業的具體實際情況，建議整個網絡系統采用多服務器的“主干—星型”混合拓撲結構。采用光纖和5類雙絞線連接UTP加上百兆交換機，從而實現真正的百兆連接到桌面。其中服務器和交換機放置在專用計算機房，并配置網絡UPS。這種企業內部局域網絡設計結構的優勢在于非常靈活，網絡中任何一臺機器出現故障，對企業網絡整體都不會構成很大影響。另外由于財務系統具有封閉性，可以在企業內部局域網絡中建立分支結構，既便于財務人員從主干獲取信息，也保證企業內部財務信息的安全。

(2)工程布線標準

企業計算機局域網絡系統布線工程標準參照 EIA/TIA 568A、EIA/TIA 569 、EIA/TIA 、TSB36/40工業、國際商務建筑布線標準及相應國家電信通信標準。

(3)網絡的保修：要定期對企業內部的計算機局域網進行維修檢查，以防止故障的產生，影響企業工作的流程安排。

(4)企業內部要建立自己本企業的網站

企業計算機局域網與傳統的企業內部辦公網絡的主要區別在于，在先進的網絡設備和接入帶寬的保證下，有一套運行在企業內部局域網上的，與企業內部局域網網站相關連又有所區別的企業內部網站?？晒┢髽I員工分享資料，查看企業的最新動態。

2、企業計算機局域網上網共享的實現

通過企業計算機局域網，可使全體員工共享上網資源。根據人員情況和上網需求量的大小，還可采用以下三種方式對上網進行分類：

(1)ADSL上網

非對稱數字用戶環路，可以在普通的電話銅纜上提供1.5～8mbit/s的下行和10～64kbit/s的上行傳輸，可進行視頻會議和影視節目傳輸，非常適合中、小企業。

(2)ISDN上網

目前在國內迅速普及，價格大幅度下降，有的地方甚至是免初裝費用。兩個信道128kbit/s的速率，快速的連接以及比較可靠的線路，可以滿足中小型企業瀏覽以及收發電子郵件的需求。而且還可以通過ISDN和Internet組建企業VPN。這種方法的性能價格比很高，在國內大多數的城市都有ISDN接入服務。

(3)DDN專線上網

這種方式適合對帶寬要求比較高的應用，如企業網站。它的特點也是速率比較高，范圍從64kbit/s～2Mbit/s。但是，由于整個鏈路被企業獨占，所以費用很高，其優勢在于速度極快，在滿足內部上網需求的同時可以用于網站。這樣就節省了網站所須的線路費用。

二、企業計算機局域網設計的發展趨勢

隨著我國企業科學管理水平的提高。企業管理科技化、信息化越來越受到企業的重視。對于企業計算機局域網設計發展趨勢應越趨于網絡速度的快速化、網絡信息的安全化、企業計算機局域網絡的穩定化。其中，企業局域網的信息安全化逐漸成為企業設計計算機局域網的著重點。因為企業的計算機局域網與國際互聯網相聯接，形成一個內、外部信息共享的網絡平臺。這種連接方式使得企業內部的計算機局域網在給內部用戶帶來工作便利的同時，也面臨著外部環境——國際互聯網的多重危險。如病毒，黑客、垃圾郵件、而已侵襲軟件等給企業內部網的安全和性能造成極大地沖擊，甚至會造成企業內部的經濟損失。那么如何更有效地保護企業重要的信息數據、提高企業局域網系統的安全性已經成為當前企業設計計算機局域網必須解決的一個重要問題。

為了更好的解決企業信息安全的問題，確保網絡信息的安全，企業應建立完善的計算機安全保障體系。該體系應包括網絡安全科學技術的防護和企業網絡信息安全管理兩方面。對于網絡安全技術的防護主要側重于防范外部非法用戶的攻擊和企業重要內部數據信息的安全。而企業網絡信息安全管理則側重于對內部人員操作使用的管理，也要防止內部人員的泄漏。并在采用新的科學技術建立網絡安全防御體系的同時，加強企業信息網絡的安全管理這兩方面相互補充，缺一不可。這個安全防御體系其中包括入侵檢測系統、安全訪問控制、漏洞掃描、病毒防護、防火墻、接入認證、電子文檔保護和網絡行為監控，在這些安全防御體系中入侵檢測系統、漏洞掃描系統和病毒防護系統比較重要?？傊瑢τ谄髽I計算機局域網的設計發展，企業應從多方面考量，從整體著眼，促進企業的長遠發展。

【參考文獻】

1、于玥.《網絡信息管理及其安全》.[J]．計算機光盤軟件與應用.2010

篇6

作為高校教育信息化的一項重要基礎設施建設，無線校園網在我國的發展已經將近二十年。與有線校園網相比，無線校園網可以讓人們在校園里隨時隨地地訪問網絡資源，不再受到地域的限制。隨著手持無線終端設備的普及，無線網絡已被人們接受，大有取代有限網絡的趨勢。相伴而來的問題是由于采用了無線傳輸，用戶在使用時面臨越來越嚴重的安全問題，因此無線校園網的發展急需解決自身安全問題。目前，無線校園網正朝著高速率、大規模、集中管理的方向快速發展。伴隨著無線網絡架構的發展，無線網絡從分散安全管理發展到集中安全管理，從與有線接入融合式的安全管理發展到無線接入專網的安全管理，有必要確定一種安全架構體系滿足無線校園網的安全需求。本文著重討論了應如何搭建無線校園網安全架構，并提出了相應的安全實施方案。本文重點闡述了目前面臨的無線網絡安全問題，根據這些問題并結合中等規模校園的無線校園網絡安全需求，詳細闡述基于三層架構的獨立成網的無線校園網的安全部署和安全措施，最后提出了一個適合中等規模高校的無線校園網安全架構設計方案，供作參考。

【關鍵詞】無線校園網絡 WLAN安全

進入21世紀，隨著無線技術及其應用的迅猛發展，人們的生活也因此而正在發生巨大的改變。近年來，全球的信息化與網絡化無線技術與應用日益走向融合，網絡時代正在無線技術的強力推動下悄然走進我們的生活。但與此同時，當無線網絡技術滲透到社會方方面面的時候，技術本身的安全性就會成為了人們關注的重點。于是，一個有效的、安全的、強健的無線網絡是越來越多人的期盼。

作為無線局域網最典型的應用場景之一，無線校園網的建設越來越得到人們的關注。隨著高校規模的不斷擴大，校園無線用戶的數量飛速增加，傳統思路下的無線校園網已滿足不了現實的需要。當前，無線校園網在接入規模上要求滿足大規模的移動智能終端接入；在接入速率上要求提供不遜色于有線LAN的傳輸速度；在信號覆蓋上，更是要求既能彌補有線網絡覆蓋的不足，還要能同時覆蓋有線網本身的區域；在服務支持上，無線校園網正在向實現全網移動漫游的方向發展。伴隨著無線校園網的快速發展，無線校園網的安全問題也日趨凸顯。亟需在無線網絡性能高速提升的情況下，改善和增強其網絡自身的安全性。但安全問題是一個動態的體系問題，不是靠哪一項安全技術的出現就可以徹底地解決，一味地強調安全會進入安全的誤區。不存在絕對安全的網絡，只存在相對安全的網絡。于是研究在當前的技術條件下高校無線校園網的安全架構就十分具有現實意義。

1 校園WLAN的發展

一般而言，凡是采用無線傳輸的計算機局域網都可稱為無線局域網WLAN。目前，市場上采用的WLAN的技術很多，比較典型的有IEEE802.11系列技術、藍牙、紅外技術等。在這些技術之中，又以IEEE802.11系列技術最為突出。它憑著自身優異的技術性能和成熟的標準體系實際上已成為WLAN技術的代言人。我國的無線校園網起步較晚，直到2002年北京大學才建成了我國第一個校園無線網絡。從已走過的十多個年頭來看，我國校園網絡建設發展經歷了從簡單有線LAN的接入端加上無線AP（Access Point）、引入AC設備集中管理AP到建設獨立無線校園網的過程。由于獨立的無線校園網絡結構簡單，既解決了帶寬不足的問題，又能輕松實現全網AP的統一管理，目前己成為新建高校建設無線校園網主要方式。

2 校園網絡安全問題及原因

與有線局域網相比，無線局域網（WLAN）具有易于擴展、便捷靈活、經濟實用等優點，但是由于WLAN開放的傳輸信道，使其更容易受到這種攻擊。

一般來說，攻擊者的攻擊方式有以下幾種：

2.1 竊聽

竊聽是被動式的攻擊方法，也是最常見和最容易的。由于WLAN的無線信號的特征，理論上只要是無線電波可以到達的地方都可以被攻擊者竊聽到。若用戶的重要數據無線傳送過程未進行復雜的加密措施，則信號傳輸過程中被竊聽的概率相當之高，用戶將遭受意外損失。另外，由于無線信號的區域覆蓋性，攻擊者無法被有效定位，因此其身份很難被察覺。隱蔽和隨機的攻擊，使網絡的監控措施有很大的難度。

2.2 非法登陸

非法登陸是指某個非法用戶使用非法技術手段通過AP連接上了一個WLAN的行為。一般來說非法登陸導致的后果通常都比較嚴重，因為它本身具備了主動攻擊的能力，并可能借此為跳板對其它網絡進行攻擊。

2.3 攻擊干擾

大部分的攻擊干擾的目的純粹只是為了破壞網絡使其徹底癱瘓，使網絡失去自身的作用。但還有一種行為被稱為中間人攻擊。攻擊者把自己偽裝成AP，使得用戶在不知情的情況下就接入了攻擊者偽裝的AP，攻擊者就可以輕松竊取用戶發送的敏感信息。

2.4 DoS（拒絕服務）攻擊

相比有線局域網，無線局域網面臨著更多的在無線環境下特有的DoS攻擊。攻擊者通過不斷的發出無效信息來干擾無線網絡的正常運行。最常見的DoS攻擊是通過向AP發送大量垃圾信息來消耗AP的資源，使其無法提供其他用戶的接入，最終導致網絡癱瘓。

2.5 重放攻擊

重放攻擊是指攻擊者通過截獲無線用戶發送的認證憑據，重復向認證服務器發送騙取認證服務器的信任，以達到侵入網絡的目的。

除了以上五種主要的安全問題外，WLAN還面臨著很多形形的安全威脅，例如針對破解加密算法的攻擊、地址欺騙攻擊、重路由攻擊等等。

針對WLAN中存在的這些安全問題，我們可以從研究WLAN的通信規格和相關的網絡協議出發，系統分析WLAN安全問題的特點，通過構建一個較完善的WLAN安全架構來確保WLAN的安全。

3 無線校園網的安全需求

學校教學、科研水平的提高和使用人數的增多要求無線校園網承載更多的業務應用，因此對無線校園網的安全需求也越來越高。

常見的無線校園網的安全需求有八個方面：（1）高可用性的冗余設計；

（2）安全的準入準出機制；

（3）支持BYOD接入功能；

（4）完備的訪問控制機制；

（5）安全威脅的監視與追蹤；

（6）迅速的安全響應機制；

（7）出口安全控制；

（8）AP的負載均衡。

要滿足無線校園網的安全性需求，有必要在建設之初通盤考慮網絡架構設計，使其滿足無線校園網各層次用戶的實際需求。

4 無線校園網的安全設計

無線校園網的安全體系架構設計可分為七個部分：網絡結構的安全設計、安全接入功能的設計、統一認證和準入準出的設計、出口的安全功能設計、SSID和VLAN劃分設計、IP地址規劃設計、網絡管理安全系統的功能設計。

4.1 網絡結構安全設計

一般來說，校園無線網絡在設計采用了“瘦”AP+AC的單核心三層架構方案。在核心交換機上設計部署超大規模的智能AC設備對全網所有AP進行集中式管理。為了確保無線網絡的高可用性，防止AC出現問題導致網絡癱瘓，通常采用雙AC冗余方式來保證網絡結構的安全。雙AC冗余設計采用AC的1+1快速熱備份。采用兩臺AC設備分別與核心交換機連接互聯，分別設置為一主一備兩個控制器。網絡里所有AP同時與兩臺AC建立CAPWAP隧道。

4.2 安全接入功能設計

安全接入功能設計一般分為兩塊內容，分別為WIDS功能設計和支持先進加密算法和用戶訪問控制。

在AC上部署WIDS模塊主要是為了實現對無線網絡的入侵攻擊行為的檢測和隔離，當AC的WIDS模塊檢查到無線接入網發生了諸如非法登陸等行為時，AC能自動監測發生問題的AP和客戶端，并將其從網絡里剔除。由于WIDS只能檢測出離基于二層網絡的攻擊行為，因此還需要AC設備可以支持與高層的IDS設備聯動。

為保證無線網絡部分的安全，設計要求AP/AC必須支持多種加密和認證技術統一實施。

4.3 統一認證和準入準出的設計

基于保證用戶使用的便捷性，校園無線網絡一般采用統一身份認證和統一準入準出的設計方案。常見的web portal和802.1x兩種認證方式能夠滿足不同區域的不同業務訪問需求。

4.4 出口安全功能設計

一般來說網絡具有獨立的網絡出口，作為連接內外網設備的出口網關需擁有強大的路由功能，支持多種路由協議。當用戶訪問互聯網時，網關設備要自動校準DNS解析，在多種路由協議的支持下用戶選擇最快的路徑訪問互聯網。另外，出口網關還需支持NAT的地址轉換，實現內外網地址分離，節省公網IP地址資源。為保證內網能夠抵御外網的攻擊，出口設備需要有完善的安全措施，確保無線校園網的安全平穩運行。從節約建設資金的角度考慮，一般在安全功能上要求采用一體化的安全網關設備來綜合實現安全功能，避免購買大量安全設備。

4.5 SSID和VLAN劃分設計

一般來說無線校園網里至少需要規劃五種VLAN，分別是：無線用戶的業務VLAN、無線用戶VLAN、AP的管理VLAN、AC的管理VLAN和交換機的管理VLAN。其中AP的管理VLAN用于AP到AC的通信，之所以將AP和無線用戶的VLAN分開劃分，是保護AP和AC通信的安全，增強其穩健性。AC的管理VLAN用于外網遠程登錄AC。交換機的管理VLAN用于交換機的遠程管理。無線用戶VLAN和無線用戶的業務VLAN要根據實際情況靈活分配。

網絡設備可分配的VLAN數量很大，一般來說支持數量達到4096個，完全可以滿足中等規模無線校園網的業務需求。根據業務實行全網單一SSID的設計在無線校園網建設中比較常見。唯一SSID的設計簡化了管理難度，用戶在使用時也較易實現全網的無縫漫游。

4.6 IP地址規劃設計

無線校園網里的IP地址規劃，通常要考慮終端STA的IP地址、AP的管理IP地址、AC的IP地址和不同業務的網關IP地址。STA用戶的IP地址和AP的管理IP地址都要求通過DHCP Server自動獲得，不需要手工配置。DHCP Server的位置通常都在核心層，可集成在某個設備模塊上。常見手法是獨立采用ZHICHI DHCP reply功能的核心交換機。通過在出口網關上利用NAT地址轉換，STA和AP分配到的私網地址就訪問互聯網。這樣的IP地址規劃，有利于節約公網地址資源。

4.7 網絡管理安全系統的功能設計

面對像中等校園規模的網絡實現統一的安全管理非常重要。由于網絡規模很大，因此安全策略的制定需要從全網的角度來出發設計，完全有必要建立一套相應的、完善的安全管理系統來掌握全網的安全動向。設備方面，盡量采用同一個廠商的主要設備，那樣可以很好的實現設備的兼容性。另外，新建立的網管系統在技術上必須滿足包括支持大規模無線設備的配置和管理，支持B/S的架構，支持網絡拓撲自動發現，支持無線AP和AC以及有線設備的統一管理，支持接收告警信息，能夠準確定位故障點，可以分析映射表發現IP和MAC地址異常等。

5 無線校園網絡的安全功能測試

要驗證無線校園網方案的安全功能能不能達到高校安全的要求，還需要進行一系列的安全功能測試。比如：非法AP的檢測和抑制功能測試、網管系統發現AP故障并處理的功能測試、網管系統定位合法和非法終端的功能測試等。如測試結果良好，則說明無線校園網的安全功能達到了設計要求。

6 總結與展望

通過對當今常見的無線校園網架構進行研究，本文著重討論了應如何搭建無線校園網安全架構，并提出了相應的安全實施方案。本文重點闡述了目前面臨的無線網絡安全問題，根據這些問題并結合中等規模校園的無線校園網絡安全需求，詳細闡述基于三層架構的獨立成網的無線校園網的安全部署和安全措施。

隨著手持智能終端的迅速普及，無線網絡在未來的發展中占據著特別重要的角色。雖然當前無線網絡還存在著各種各樣的安全漏洞和隱患，但隨著各項網絡技術和系統技術的發展，我相信在不久的將來這些問題都能得到很好地解決。展望未來，信息時代即將到來。

參考文獻

[1]錢進.無線局域網技術與應用[M].北京：電子工業出版社，2004.

[2]段水福，歷曉華，段煉.無線局域網設計與實現[M].杭州：浙江大學出版社，2007（11）.

[3]孫言強，王曉東，周興銘.無線網絡中的干擾攻擊[J].軟件學報，2012，34（05）：1207-1221.

[4]馬建峰.無線局域網安全體系結構[M].北京：高等教育出版社，2008（05）.

[5]王隆娟，杜文才，姚孝明.淺談無線網絡安全問題[J].信息安全與技術，2010（08）：87-93.

篇7

面對一個龐大、復雜的內網及相關的信息系統，單獨對每項信息資產確定保護方法是非常復雜的工作，應該采用信息安全等級保護的策略。邊界防護作為網絡安全等級保護的重要機制之一，將劃分整個系統的邊界，制定安全域規則，將各類信息系統歸入不同安全域中，對進出該等級網絡的數據進行有效的控制與監視。每個安全域內部都有著基本相同的安全特性，在同一安全域內實施統一的保護，從而大大地降低了安全防護的難度。

西安交通大學醫學院第一附屬醫院（以下簡稱“交大一附院”）擁有內外兩套相互物理隔離的網絡系統，內網主要應用于醫療業務系統，外網主要應用于辦公及互聯網業務，內外網之間基本沒有通信，數據交換也采用原始的導入導出方式。傳統的物理隔離方式雖然較為安全，但是違背了等級保護為不同等級數據提供通信的初衷，并且隨著SDR（Software Designed Radio）在各個領域中的應用，物理隔離已經越來越難以實現。

醫院信息系統安全域劃分

安全域劃分作為邊界安全防護的首要步驟，并不等同于傳統意義上的物理隔離，它是在綜合分析各套信息系統的安全需求及所面臨的安全威脅的基礎上，充分兼顧系統之間正常數據傳輸的通信需求，對系統內不同安全區域進行的層次化安全策略防控。

醫院信息系統在進行安全域劃分設計時應遵循以下基本原則：（1）從醫院信息系統的業務特殊性等方面考慮總體性要求，合理劃分網絡安全域，保證信息系統的整體安全防護能力；（2）根據各信息系統與醫院醫療相關程度進行層次化網絡結構設計，形成網絡縱深防護體系，與醫療業務直接相關系統應位于縱深結構內部；（3）安全域內根據業務類型、業務重要性、物理位置等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；（4）同一安全域內重要網段與其他網段之間采取可靠的技術隔離手段；（5）建立多重保護系統，避免將整套系統安全寄托在單一安全措施或安全產品上；（6）安全域劃分的目的是充分發揮安全產品的整體效能，并不是對原有系統整體結構的徹底顛覆，因此在對網絡結構改造的同時，需要考慮保護已有投資，避免重復建設。

醫院信息系統邊界劃分

結合醫院醫療業務需求和網絡安全需求，首先從總體架構上將該醫院信息網劃分為醫療業務網（內網）、辦公互聯網（外網）兩個基本的信息系統。再針對各信息系統所承載的業務、應用等不同特點，在各信息系統內部繼續劃分安全域。各信息系統內部安全域及網絡邊界的詳細劃分情況見圖1。

1.內網（醫療業務系統）

醫療業務系統主要承載著醫院醫療業務中的收費、電子醫囑、電子病歷、醫學影像、檢驗等信息系統，其安全域可劃分為：

醫療業務終端區：主要指醫務人員使用的業務終端，位于醫療業務系統。與互聯網、辦公網等外部網絡域物理隔離；

內網開發維護區：主要指信息維護及軟件開發業務終端；

內網服務器區：主要指為醫療業務系統提供數據及應用服務；

內外網數據交換區：主要指醫療業務系統與辦公互聯網系統的內外數據交換區域。

2.外網（辦公互聯網系統）

辦公終端區：醫院辦公業務如OA、郵件等業務終端；

外網服務器區：醫院門戶網站、預約網站及辦公系統服務；

互聯網接入區：醫院局域網絡與互聯網接入區。

3.相關邊界描述

根據醫院業務特點，醫療業務系統承載著醫院業務運轉，其安全性關系到每位患者的切身利益，下面以該院內網區域為主，按照安全域劃分的具體情況，對照分析各安全域之間的業務關系，各邊界及相關接口定義描述如下：

邊界1：內網與外網的互聯邊界，用于實現醫療業務系統與辦公互聯網的數據交互及分級防護；

邊界2：業務終端邊界，用于實現業務系統與醫護人員的人機交互業務；

邊界3：維護開發終端邊界，內網業務系統與軟件開發的互聯邊界，用于軟件開發、更新、系統維護等等業務；

邊界4：服務器區邊界，門戶網站、診療預約網站與公眾訪問的邊界。

醫療業務網邊界防護方案設計

邊界保護主要考慮的問題是如何使某個安全等級的網絡內部不受來自外部的攻擊，根據邊界劃分結果，主要防護的區域有：內外網交換區、服務器區、業務終端區、維護開發終端區。邊界防護的主要機制有以下幾種。

1.網絡邊界隔離措施（防火墻、網閘）

防火墻、網閘是常規的網絡邊界防護技術，便于對網絡邊界進行安全控制，但是傳統防火墻無法對病毒、蠕蟲及其引起的惡意流量進行控制。防火墻技術利用邏輯層訪問控制策略，對雙向數據進行定義，物理層屬于聯通狀態，實時交互性高，安全性高。網閘由于采用數據“擺渡”原理，在數據傳遞過程中網絡之間屬于物理隔離狀態，實時交互性較差，安全性最高。

交大一附院在使用網絡過程中發現，網閘安全性高，但維護難度較高，配置較為復雜，如果廠商的支持力度不足將大大影響醫院外聯業務的開展，而防火墻雖然安全性較網閘差，但是配置簡單。因此，可以針對不同業務對安全性的要求及數據交互的實時性要求，采用不同的網絡邊界防護措施。

2.主機邊界入侵防御系統（IDS、IPS、UTM）

入侵防御系統，在攻擊檢測、安全審計和監控方面都發揮了重要作用，通常架設在網絡間的通信路徑中間。IDS以旁路方式接入網絡，對不產生網絡負載，以檢測報警功能為主。IPS不僅能夠實現對攻擊的檢測報警，還能對攻擊進行阻攔和防范，但是必須串聯接入網絡，在系統防護的同時勢必對網絡流量造成影響。

UTM是集合IDS、IPS、防病毒、防火墻等功能于一身的防護措施，所以也被稱為“統一威脅管理平臺”，主要應用于網絡邊界，如局域與廣域之間、內網與外網之間，UTM使得網絡邊界的防護整體化、平臺化，它的處理能力、吞吐量和自身對抗攻擊的能力是影響性能的關鍵因素。但是，作為其他環節的防護措施而言，過于集中的功能與我們按照等級或按照安全域進行分級防護的思路有所偏差。

根據醫院業務特色，醫院業務高峰相對集中，同時在網絡邊界已經采用了防火墻及網閘技術，過度的防御反而會對業務系統的性能造成影響，容易形成網絡瓶頸，因此我們采用了旁路方式將IDS接入核心網絡區域，實現內部與外部入侵的綜合檢測，根據報警及時采取相應措施。

3.終端邊界安全防護

據調查醫院內部網絡中95%以上的病毒，源自終端設備違規使用外接設備交換數據，因此對終端設備的端口控制與病毒防護尤為重要。部分防病毒系統已經具備防病毒與端口管理等多種功能，也可以通過桌面管理實現對終端的資產管理、遠程維護、端口管理、組策略管理等更多功能。同時，采取措施對終端的U盤啟動功能進行屏蔽或管理達到有效防護，對于非法接入的終端設備，則需要采取終端準入認證機制。

而針對維護開發終端，使用人員多為計算機專業人員，且有大量外包公司人員，流動性大，系統權限較高，為了便于系統開發及維護，開發人員往往需要直接訪問主機、數據庫、外界支持，如遠程支持、外部數據接入，外部文件拷貝等，降低了桌面及防病毒的防護等級。對系統安全的威脅性更高，開發終端病毒感染數遠遠高于業務終端，同時還有集中在信息科的文件服務器也是病毒高發區。

防病毒網關作為一種網絡病毒防護機制，需要對經過網關的數據包都進行數據過濾，經過測試，防病毒網關對部分應用會造成效率影響，因此較為適合作為區域性網絡防病毒措施，不建議將單臺設備用于全網防病毒。

考慮到各種措施的防護能力，我們將終端防護的重點放在了開發維護終端區，在防病毒及桌面管理的基礎上，采用防病毒網關及主機訪問網關（堡壘機），控制開發維護區域的病毒影響和開發人員對主機的訪問控制。

4.安全審計技術

在可追究性方面，從安全事件發生概率來說，內部問題遠遠大于來自系統外部的攻擊，安全審計已經成為信息安全體系中的重要環節。對于內部人員非授權訪問、數據竊取等違規操作，可以通過加強審計進行及時發現和有效制止，在國家信息安全等級保護建設中針對醫療行業的特殊要求中防“統方”被作為重點審計的一個環節。

因此在安全審計方面，可以采用以數據端口鏡像方式旁路接入網絡的帶有“統方”審計的數據庫審計措施和針對主機及網絡的審計措施。在數據庫審計實施時由于大部分數據庫審計產品廠商對醫療衛生行業不了解，需要進行詳細的需求調研和系統設置。

5.其他安全保護措施

除以上述主要的邊界安全措施外，還需采用以下安全保護技術，以保證各安全域內服務的完整性、可用性，以及信息的完整性、機密性、可用性：

（1）在各安全域的核心交換機上進行VLAN劃分，不同業務部署在不同VLAN上，并啟用訪問控制列表（AcL）功能，只允許合法的數據流通過，實現不同業務之問的隔離。安全策略應細化到IP地址和端口。

（2）在各安全域的核心交換機上部署漏洞掃描系統，搜索安全域內關鍵網絡設備、各監務子系統和關鍵服務器等的漏洞信息，并在不會對業務系統的正常運行造成影響的前提下進行相應安全加固。

（3）對登錄操作系統和數據庫系統的用戶，采用動態口令認證系統實現核心服務器身份認證。

（4）在核心服務器上部署防病毒軟件，進行惡意代碼防護，實時監控主機的工作狀態和網絡訪問情況。

6.邊界防護方案拓撲

綜上所述，交大一附院確定了最終網絡邊界防護方案見圖2。

7.方案的設計總結

篇8

關鍵詞：醫院 信息網絡系統 風險控制

當今社會，人們獲取信息的重要途徑就是計算機網絡，在計算機網絡發展的同時也存在一些安全隱患，它不會通過安全的體系設計方案進行解決，比如非法訪問用戶賬戶、干擾計算機網絡的正常運行、破壞數據的完整性，傳播網絡病毒，進行數據盜取等。醫院要想計算機網絡消除安全方面的隱患，需要先對影響計算機安全的因素有個大體的了解。下面就講解了影響醫院計算機信息網絡系統安全的因素。

一、影響醫院信息系統安全的因素

1．自身系統及軟硬件的不穩定

醫院信息網絡系統不可避免的會出現安全漏洞。信息網絡系統最容易出現漏洞的方面有調用RPC漏洞，緩沖區溢出漏洞。信息網絡系統的數據庫也比較容易受到攻擊。信息網絡系統出現的漏洞被利用后，可能會遭受遠程攻擊。應用軟件具有一定的軟件缺陷，這種缺陷可以存在于小程序中，也可以存在于大型的軟件系統中。軟件的缺陷導致了醫院信息網絡系統的安全風險。網絡硬盤設備方面也存著在缺陷，網絡硬盤作為信息傳遞中重要的硬件設備，在被人們使用的同時也存在著安全隱患，它包含的電磁信息泄露是主要的安全隱患。網絡硬盤與計算機信息網絡系統組成的不牢固也能造出計算機信息網絡系統安全隱患。

2．網絡病毒的惡意傳播

現在網絡病毒從類型上來分有木馬病毒和蠕蟲病毒。木馬病毒采用的是后門啟動程序，它往往會隱藏在醫院計算機的操作系統中，對用戶資料進行竊取。而蠕蟲病毒比木馬病毒更高級一些，它的傳播可以通過操作系統以及軟件程序的漏洞進行主動攻擊，傳播途徑非常廣泛，每一個蠕蟲病毒都帶有檢查計算機電腦是否有系統及軟件漏洞的模塊，如果發現電腦含有漏洞，立刻啟動傳播程序傳播出去，它的這一特點，使危害性比木馬病毒大的多，在一臺電腦感染了蠕蟲病毒后，通過這個電腦迅速的傳播到、該電腦所在網絡的其他電腦中，電腦被感染蠕蟲病毒后，會接受蠕蟲病毒發送的數據包，被感染的電腦由于過多的無關數據降低了自己的運行速度，或者造成CPU內存占用率過高而死機。漏洞型病毒傳播方法主要通過微軟windows操作系統。由于windows操作系統漏洞很多或者用戶沒有及時的進行windows系統的自身更新，造成了漏洞型病毒趁虛而入，攻占醫院的計算機電腦。計算機技術在更新換代，病毒技術也在發展變化，現在的網絡病毒不像以前的計算機病毒，現在的病毒有的可以通過多種途徑共同傳播，比如集木馬型病毒、漏洞型病毒于一體的新病毒混合體。該病毒對網絡的危害性更大，處理查殺起來也比較困難。

3．人為惡意攻擊

人為的惡意攻擊是醫院計算機信息網絡系統面臨的最大安全風險，人為的惡意攻擊可以分為主動攻擊和被動攻擊，主動攻擊是有選擇的通過各種形式破壞信息網絡系統的完整性和有效性；被動攻擊是在不影響醫院信息網絡系統正常運行的情況下，進行數據信息的竊取、截獲以及尋找重要的機密文件。它們都對醫院的信息網絡系統造成了巨大的危害。

二、保護醫院信息系統安全的措施

1．建立防火墻防御技術

防火墻設計的理念是防止計算機網絡信息泄露，它通過既定的網絡安全策略，對網內外通信實施強制性的訪問控制，借此來保護計算機網絡安全。它對網絡間傳輸的數據包進行安全檢查，監視計算機網絡的運行狀態。一個完整的防火墻保護體系可以很好的阻止威脅計算機的用戶及其數據，阻止黑客通過病毒程序訪問自己的電腦網絡，防止不安全因素擴散到電腦所在的局域網絡。通過將用戶電腦的使用賬戶密碼設置的高級些，，禁用或者刪除無用的賬號，不定期進行賬號密碼的修改都可以很好的防止病毒侵入。由于網絡入侵者的實時性、動態性，所以在計算機網絡中防火墻軟件要做到實時監控的要求。防火墻的實時監控技術通過過濾在調用前的所以程序，發現含有破壞網絡安全的程序文件，并發出警報，對可疑程序進行查殺，將網絡入侵者阻攔，使計算機免受其害。

2.采用特征碼技術

目前的查殺病毒采用方法主流是通過結合特征碼查毒和人工解毒。當搜查病毒時采用特征碼技術查毒，在殺除清理的時候采用人工編制解毒技術。特征碼查毒技術體現了人工識別病毒的基本方法，它是人工查毒的簡單描述，按照“病毒中某一類代碼相同”的原則進行查殺病毒。當病毒的種類和變形病毒有相關同一性時，可以使用這種特性進行程序代碼比較，然后查找出病毒。但是描述特征碼不能用于所有的病毒，許多的病毒很難被特征碼進行描述或者根本描述不出來。在使用特征碼技術時，一些補充功能需要一同使用，比如壓縮包和壓縮可執行性文件的自動查殺技術。

3．其他網絡安全保護對策

加密技術通過將醫院計算機信息網絡系統的可讀信息變為密文來保護網絡安全。IP地址影響著用戶的計算機網絡安全，網絡黑客通過特殊的網絡探測手段抓取用戶IP，然后對此發送網絡攻擊。對IP進行隱藏是指通過用戶服務器上網，防止了網絡黑客獲取自己的IP。關閉電腦中不必要的端口也可以有效防范黑客的入侵，還能提高系統的資源利用率。對自己的賬號密碼進行定期、不定期的更改，然后設置賬號密碼保護問題，可以在第一道防線阻止網絡黑客的入侵。及時更新計算機操作系統和應用軟件可以有效避免漏洞病毒的侵入。安裝知名的保護網絡安全軟件，對保護網絡安全的軟件進行及時更新。

總結

醫院信息網絡系統的安全與醫院的經濟效益息息相關。影響醫院信息網絡系統安全的因素是多方面的，網絡病毒也在不斷發展進化，面對這種嚴峻的形勢，我們不能只采用單一的防范措施，而是采用多種保護醫院信息網絡系統安全的措施，相互協調，發揮優勢，揚長避短，保證醫院的信息網絡系統在防范風險方面取得較好的效果。

參考文獻：

[1]王鑫.關于醫院網絡環境下計算機安全的防范技術[J].計算機與數字工程，2009

[2]鄧立新.加強醫院中信息網絡系統安全的思考[J].科技資訊,2008(26)

篇9

ICS的網絡威脅與脆弱性

ICS系統的網絡威脅工業控制系統的網絡架構朝著工業以太網的方向發展，其開放性逐漸增強，基于TCP/IP以太網通訊的OPC(OLEforProcessControl，用于過程控制的一個工業標準)技術在該領域得到廣泛應用。從工業控制系統的網絡現狀分析，ICS網絡面臨兩類安全威脅：1)開放性引入的安全風險。例如TCP/IP協議和OPC協議等通用協議的漏洞很容易遭到來自外部或內部網絡的攻擊。2)連接性引入的安全風險。早期，工業控制系統和企業管理系統是物理隔離的，但近年來為了管理與生產的方便，兩個網絡系統間以邏輯隔離的方式存在，因此ICS系統也面臨來自企業網絡和Internet的威脅。表2總結了ICS系統存在的幾種網絡威脅[1]。

ICS系統的脆弱性工業控制系統的漏洞存在多個方面，如物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等，其中可以造成網絡入侵攻擊的漏洞主要包括以下一些問題[1，5]。

工業控制系統安全防護設計

近些年，業內提出了深度防御策略[1，6-7]來對一個典型的ICS系統進行網絡安全防護，主要包括以下內容：1)為ICS系統實現多層的網絡拓撲結構，在最安全和可靠的層執行最嚴格的通信。2)在企業網絡和ICS網絡間提供邏輯隔離(即在兩個網絡間配置狀態檢測防火墻)。3)配置DMZ網絡結構(即阻止企業網絡和ICS網絡的直接通信)。4)確保關鍵的部件是冗余的，并且部署在冗余網絡上。5)在經過測試能夠確保不影響ICS操作的情況下，禁止ICS設備未使用的端口和服務。6)嚴格限制物理設備接入ICS網絡。7)建立基于角色的訪問控制規則，根據最小化特權的原則配置每個角色的權力。8)考慮對ICS網絡和企業網絡的用戶采用獨立的鑒權機制。9)在技術可行的情況下實現安全控制，如防病毒軟件、文件完整性檢查軟件，以阻止、發現和減少惡意軟件的進入和傳播。10)在ICS數據的存儲和通信中，應用加密等安全技術。11)在現場環境中，必須在測試系統上測試所有的補丁，然后再安裝到ICS系統并配置安全的補丁。12)在ICS的重要區域跟蹤和監控審計日志。這里認為在ICS的3層網絡體系中，應進行多層-多級安全防護。在各層邊界部署防火墻以進行有效隔離。其中信息管理層部署商業防火墻，商用IDS、IPS，以過濾、監控、聯動處理2-7層網絡的攻擊；在生產管理層部署面向生產過程控制的工業防火墻，同時對信息管理層的外部用戶、第三方的連接需求采用專用VPN設備，在生產管理層部署具有物理隔離功能的單向網閘，通過其單向的數據導入和物理隔離能力保證工業過程的信息流嚴格可控。此外，在接入區部署防病毒服務器及終端管理系統，并對商用數據庫部署審計系統，滿足數據管理要求；在管理運維客戶端部署運維操作審計系統，滿足配置管理要求，強化口令及權限管理；針對PC/服務器的操作系統級漏洞實現有效管理，部署商用漏洞掃描產品；針對采用無線連接的系統，部署無線安全產品。通過上述的多層-多級防護，可以基本滿足《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)的要求。

結語

篇10

關鍵詞：vlan；校園網設計

中圖分類號：TP393.18

在90年代末期，我國高校逐步建立了校園網。起初，許多院校基本上采用服務器的上網方式，其只能滿足規模小的網絡，并且不便于管理，極容易導致IP沖突以及廣播風爆。雖然交換技術的不斷發展，高校又逐漸實現基于VLAN上網方式。它可以有效隔離廣播風爆，提高個人用戶安全性，又方便用戶人員變動，更好的滿足用戶的需求。這種上網方式也逐步受到高校網絡管理人員的親睞。為了強化網絡管理，管理者首先需要對其進行詳盡的設計。

1 Vlan技術

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網”。VLAN是一種通過局域網內的設備從邏輯地劃分成一個個網段，以軟件方式實現邏輯工作組的劃分與管理的技術。這些網段內的機器有著共同的需求，而與物理位置無關。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間則是相互隔離的，不同的VLAN間的如果要通信就要通過必要的路由設備；通過將企業網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的數據廣播。網絡管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的 信息互訪。交換機是根據交換機的端口來劃分VLAN的。所以，用戶可以自由的在企業網絡中移動辦公，不論他在何處接入交換網絡，他都可以與VLAN內其他用戶自如通訊。

2 校園網網絡結構設計

為了減少網絡中各部分的相關性，便于網絡的實施及管理，在網絡的構建中，從整體上可以將網絡劃分為核心層、匯聚層、接入層等三個層次。采用了分層結構的校園網解決方案在性能、可靠性、擴展性等方面有無可比擬的優勢，在投資保護方面，使得整個網絡的性能價格比最優。整個網絡的設計，采用vlan技術，邏輯地將物理網絡進行劃分和管理。而其整體規劃、設計需要體現在路由、交換設備上詳盡的配置。管理者可通過telnet或web的方式遠程可以對網絡進行調整，具有較強的靈活性。由于目前思科公司設備的價格不菲，很多高校都采用了價格低廉的華為、中興交換機接入校園網，來減少經費。以某高校為例，其路由、交換設備多采用華為、H3C，其網絡拓撲結構如圖1所示。

2.1 核心層網絡設計。核心層的主要功能是實現數據包高速交換。核心層是所有流量的最終匯聚點和處理點，它的結構應相對簡單，但其性能要求較高，核心交換機一般采用高性能的多層模塊化交換機，還要保證高速率的幀轉發。在設計策略上一般采用設備冗余和鏈路冗余設計，以保證網絡的QoS和可靠性。避免網絡配置的復雜度，因為一旦執行策略出錯，將導致整個網絡癱瘓。

該校的核心層交換機啟用三層功能，對VLAN進行規劃，在端口中使用Trunk技術，起到隔離作用，部份VLAN的配置信息如下：

#

interface Vlanif2 //網通出口

description connect-cnc

undo shutdown

ip address 202.102.235.54 255.255.255.252

#

interface Vlanif3 //連接校內服務器組

description server-group

undo shutdown

ip address 202.102.240.80 255.255.255.0

ip address 218.28.87.17 255.255.255.240 sub

#

interface Vlanif99 //管理VLAN

undo shutdown

description guanli

ip address 192.168.100.1 255.255.255.0

#

2.2 匯聚層網絡設計。匯聚層的主要功能是匯聚網絡流量，屏蔽接入層變化對核心層的影響。對網絡主干鏈路進行流量控制、負載均衡和QoS保證。不同vlan之間的計算機需要通信時，應當在匯聚層進行路由處理。

在該高校校園網中匯聚層交換機采用S6506，匯聚層交換機到每一幢樓采用光纖連接，在該高校校園網拓樸規劃中，采用24芯光纜到每一幢樓，每一幢樓的每一層各使用一對光纖到匯聚層的交換機，在匯聚層的交換機端口設置不同的VLAN，給每一個VLAN配置上IP地址，再進行路由，交換機之間的連接采用TRUNK技術，每一層相互之間隔離，不允許相互間訪問，匯聚層交換機VLAN的部份配置：

#

vlan 12

description to-8016-g4/0/2

#

vlan 99

description guanli

#

vlan 301

description to-3cun1#

#

interface Vlan-interface301

description to-3cun1#

ip address 59.69.129.1 255.255.255.224

#

interface Ethernet3/0/1

description to 3cun1#

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 99 301

port trunk pvid vlan 301

broadcast-suppression 10

#

2.3 接入層網絡設計。接入層處理網絡邊緣，接入節點一般距離網絡管理中心較遠，而且節點分散，數量眾多，接入設備良好的可管理性將大大降低網絡運營成本，必須選用可網管的交換機，交換機應提供Web 、Telnet等多種管理方式。如果交換機具有遠程監控功能，就可實時進行網絡信息收集，有效進行故障定位。

在該高校的接入層采用華為2403H/E026/E126交換機，接入層交換機到匯聚層交換機之間采用TRUNK連接，為了方便管理，給每個交換機配置管理VLAN，可以進行遠程管理，接入層交換機VLAN的配置信息如下所示：

#

vlan 99

description guanli

#

vlan 515

#

management-vlan 99

#

interface Vlan-interface99

ip address 192.168.100.119 255.255.255.0

description guanli

#

interface Ethernet1/0/2

broadcast-suppression 10

port access vlan 515

#

3 總結

基于vlan技術的網絡設計在分層結構下，層次分明，便于擴展、移動，具有較強的靈活性。實踐證明，設計方案是有可行的，強化了網絡管理，有效控制網絡流量，抑止廣播風爆，提高了網絡的安全性。

參考文獻：

[1]易建勛，姜臘林，史長瓊.計算機網絡設計[M].北京：人民郵電出版社，2011.

[2]楚書來，劉若華.vlan技術在校園網建設中的應用研究[J].電腦知識與技術，2011（2）.

[3]陳凱，胡鵬.vlan技術在校園網維護管理中的應用[J].電腦知識與技術，2009（4）.

[4]王魏.交換機在劃分校園vlan中的應用[J].北京工業職業技術學院，2005（7）.