校园网安全整体解决方案设计

解

决

方

案

班级：计算机网络101班

姓名：高佩芮          

学号：JS02201030130   

目录

1.绪论    1

1.1课题背景    1

1.2校园网的发展    2

2.校园网的发展现状与分析    2

2.1校园网现状    2

2.2校园网安全需求    3

2.3校园网安全面临的威胁    4

3.校园网安全设计策略    4

3.1校园网安全管理    5

3.2校园网络安全技术    5

3.2.1杀毒产品的部署。    6

3.2.2采用VLAN技术。    6

3.2.3内容过滤器。    6

3.2.4防火墙。    6

3.2.5入侵检测。    7

3.2.6漏洞扫描。    7

3.2.7数据加密。    7

3.2.8加强网络安全管理。    7

4.本校网络拓扑图    8

4.1.简化拓扑图    8

4.2VLAN技术的虚拟实现    8

4.3防火墙功能的实现    9

4.4地址映射的实现    9

5、设备选型    10

5.1路由器的选择    10

5.2交换机的选择    11

5.3防火墙    15

5.4服务器    16

6.总结    - 1 -

1.绪论

1.1课题背景

校园网作为学校信息化建设的基础设施，在教学、科研、管理和对外交流等方面都起着举足轻重的作用。随着高校网络规模的急剧膨胀，网络用户的快速增长，网络数据的急剧增加，校园网的安全问题也不断暴露出来，如病毒侵蚀、恶意软件、黑象攻击等，校园网时刻都会受到来自内部和外部的威胁与危害，针对校园网的安全向题，构建完善的网络安全体系是越来越重要。而且校园网与其它网络比具有以下一些特点:

(1)校园网的数据流量大、速度快、规模大

     近年来，随着高校扩招和合并，校园网的用户群体一般比较大，少则数千人、多则数万人。许多校园网已经发展为一个跨城域的网络。校园网已发展成为了一个全面信息的化阶段。多媒体教学和网络视频应用的推广对网络交换速度和数据量提出更高的要求，同时也要求网络安全部件要有更快的处理速度和更高的性能。

(2)校园网中的设备来源多样化、管理复杂 

     校园网是一个平台，面向高校的师生，校园网中的设备来源比较复杂。容易出现计算机病毒“交叉感染”，无法分清责任。

(3)活跃的用户群体

     高校的学生是最活跃的网络用户，对网络新技术充满好奇，面对精力充沛的高校学生，网络安全更为迫切。

(4)有限的投入 

校园网的后期管理容易被忽视，特别是管理和维护吧人员方面的投入明显不足，无暇顾及、也没有条件管理和维护千台、万台计算机的安全。

(5)盗版资源泛滥 

从网络上随意下载的软件中可能隐藏木马、后门等恶意代码，许多系统因此被攻击者侵入和利用。

1.2校园网的发展

     网络技术的发展，尤其是Internet的出现，使我们校园生活、学习、工作和环境发生了巨大的变化。利用学校计算机网络，采用先进的管理软件，可规范学校的管理行为，提高管理水平和工作效率；在减轻工作量的同时，利用计算机存储量大、处理快速准确的特点，为学校的决策提供准确及时的信息。在学校的办公、信息交流和通信方面充分发挥计算机网络的作用，在软件的支持下实现网上协同工作。

计算机网络将使教学模式上有比较大突破，原来的老师、学生和网络三者之间的关系将发生变化，教师不再是知识的惟一拥有者和权威者，把知识传授给学生。学生应是学习的主体，校园网为学生的探索式学习提供情景和资源，老师只作为学习的指导者。在教学过程中将采用网络技术、多媒体技术，利用网络上丰富的教学资源，激发学生的学习兴趣，提高教学质量。多媒体技术将文本、声音、图像、动画和视频技术融为一体，使的教学活动变得生动且形式多变，从而提高学生学习的积极性、效率和效果。

高校校园网早期应用主要局限于行政办公、后勤、教学与计算中心，分离性较大，大部分采用企业网模式。而现在大部分高校在规划校园网时已计划将网络覆盖至学生宿舍区以及教师家属区，向在校学生及教职工提供园区内部互连以及Internet接入服务。

2.校园网的发展现状与分析

2.1校园网现状

    校园网网络信息十分丰富，网络用户的活动也非常活跃，校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等等，这些无论是涉及个人隐私或利益的信息，还是学校行政办公的文档信息，以及用于政治宣传和管理的信息都需要进行完整性、真实性保护和控制，这就需要对进出校园网的访问行为进行必要的、有效性的控制，封堵某些禁止的行为和业务，避免损失。

    校园网络系统中接入着成百上千台计算机，这些计算机的操作系统各种各样，通常分布在不同的物理位置，由不同的用户操作，用于不同的用途，由于这些差异，使得校园网网络中计算机中的漏洞问题十分严重。因为使用者的安全意识不强，或者采取措施不及时造成的损失在校园网网内时有发生，因此采用安全、及时的漏洞扫描技术对校园网网络中的系统漏洞进行扫描，在攻击发生之前发现网络和系统中的漏洞，并及时采取措施进行修复，可以进一步提高校园网络信息安全保障水平。

    校园网接入互联网以后，用户通过校园网进入互联网。网络上的各种信息良荞不齐，色情、暴力、邪教内容的网站泛滥，对正在形成世界观和人生观的学生来说，有可能还不能正确地对待这类内容，这些违道德标准和有关法律法规的有毒信息对他们危害极大，如果信息安全措施不好，不仅会有部分学生进入这些网站，还可能在校园内传播这类不良信息。

校园网网络的方便快捷同时也为病毒的肆意传播留下可能，下载的程序和电子邮件都有可能带有病毒。通过网络传播病毒无论在传播速度，还是破坏性和传播范围等方面都是单机病毒不能比拟的。大量病毒传播不仅占用网络资源，而且破坏服务器或单机，最终影响整个学校网络系统的正常运作，严重的还可能造成校园网网络的瘫痪，因此邮件监控和防病毒工作也是校园网络信息安全的一个重要方面。

教育信息化、校园网络化作为网络时代的教育方式和教育环境，己经成为教育发展的方向。随着各高校网络规模的急剧膨胀、网络用户的快速增长，校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。随着网络技术的发展与普及，校园网早已成为现代化教育建设的基础设施，校园网建设己经不仅仅只是局限于实现网络内部资源共享和外部信息互换。各学校为了能够实现以网养网，对网络设计提出了更高的要求，可运营、更安全、更实用成了今天对校园网络关注的焦点。

2.2校园网安全需求

    第一，高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网己意识的淡薄，而另一方面，高校学生—这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，70%来自高校网络内部，如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。

    第二，网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤;其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护,要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障;最后，要充分考虑全局统一的安全部署，需要能够从接入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全架构。

2.3校园网安全面临的威胁

校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临如下的安全威胁：

      (1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁；

      (2) Internet网络用户对校园网存在非法访问或恶意入侵的威胁；

      (3) 来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网；

      (4) 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；

       (5) 内恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；

       (6) 校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见；

       (7)可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁；

3.校园网安全设计策略

    校园网的安全威胁既有来自校内的，也有来自校外的，只有将技术和管理都重视起来，才能切实构筑一个安全的校园网。一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。

3.1校园网安全管理

    针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略：

1、规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。

2、配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

3、解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。

4、严格规范上网场所的管理，集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。

3.2校园网络安全技术

    前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。

3.2.1杀毒产品的部署。

    在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

3.2.2采用VLAN技术。

    VLAN技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到用户非法访问的目的。

3.2.3内容过滤器。

    内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以外来的垃圾邮件。

3.2.4防火墙。

    在与Internet相连的每一台电脑上都装上防火墙，成为内之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:

(1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则.

(2）禁止访问系统级别的服务( 如HTTP , FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。

(3）如果你在局域网中使用你的机器，那么你就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。

(4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

(5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性.

3.2.5入侵检测。

    入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。扩展系统管理员的安全管理能力．提高信息安全基础结构的完整性。入侵检测系统能实时捕获内之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。

3.2.6漏洞扫描。

随着软件规模的不断增大．系统中的安全漏洞或“后门”也不可避免地存在．因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。

3.2.7数据加密。

    数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。

3.2.8加强网络安全管理。

加强网络管理主要是要做好两方面的工作。首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。

4.本校网络拓扑图

4.1.简化拓扑图

                       图4.1

4.2VLAN技术的虚拟实现

将位于不同地理位置的主机划分到同一个局域网之中，如图4.1中，pc0与pc3不在同一个物理局域网之中，可以通过配置将其逻辑划分到同一个局域网之中。

!

interface FastEthernet0/1

 switchport mode trunk

!

interface FastEthernet0/2

 switchport access vlan 10

!

!

interface FastEthernet0/1

 switchport mode trunk

!

interface FastEthernet0/2

 switchport access vlan 20

!

interface FastEthernet0/3

 switchport access vlan 10

!

4.3防火墙功能的实现

通过对路由器端口流量规则的设置，实现只能访问校园网web服务器，而不能访问内外，但校园网能够正常访问。

!

access-list 1 deny 192.168.80.0 0.0.0.255

access-list 1 permit 10.0.0.0 0.255.255.255

!

4.4地址映射的实现

内网访问时，由于公网地址有限，往往采用地址映射来实现内网对的访问。

!

ip nat pool cat 192.168.3.2 192.168.3.30 netmask 255.255.255.0

ip nat inside source list 1 pool cat

ip classless

!

5、设备选型

5.1路由器的选择

锐捷RSR-08路由器是高性能、通用的骨干汇聚路由器，具有高背板带宽、高包转发率、结构紧凑、端口密度高等特点，并能提供全范围的光纤和铜缆接口。RSR-08路由器具有强大的业务能力，可以满足目前所有的城域汇聚和接入需求，提供多协议标准交换 (MPLS)第2或3层隧道技术、动态带宽控制和面向连接的数据收集体系。作为多协议标记（MPLS）PE路由器，他们使提供商的基于MPLS的业务具有高度的可扩展性和可靠性。通过使用VPLS，可以利用原有网络和以太网基础设施提供VOIP、互联网接入、视频以及多点虚拟专用网（VPN）等融合业务。

    锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网，速率高达OC- 48。部署在各种应用中，RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络，为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。

设备性能
交换容量	32G
包处理能力	16.7MPPS
ACL	2万条
路由表	25万条
流表	最多可达2,000,000个第4层应用数据流 最多可达3,500,000个第2层MAC地址
MTBF	>200,000小时（预测）
协议支持
路由协议	OSPF、IS-IS、BGP、RIPv2、静态路由
组播协议	IGMP、PIM-DM/SM、DVMRP、RP
地址管理	静态、DHCP中继
MPLS	MPLS LSR和LER支持 、2547-bis MPLS L3 VPN 、Martini MPLS L2 VLL 、MPLS 透明局域网业务 TLS 、MPLS 快速重路由
特色支持	NAT、Load balancing 、 VSRP 、Web cache redirection、策略路由、HPS
管理方式	线速全组 RMON/RMON2 、简单网络管理协议（SNMP）管理 、SSH、RADIUS、TACACS＋、RS-232、命令行接口（CLI）
物理指标
尺寸	高8.75英寸×宽17.25英寸×深12.25英寸 （22.23厘米×43.82厘米×31.12厘米）
重量	44.5磅（20.2公斤）
环境规格
操作温度	+0°C到+40°（32º到104ºF）
存储温度	-40°C到+70°C(-40º到158ºF)
相对操作湿度	10%到90%（非冷凝）
相对存储湿度	5%到95%（非冷凝）
电源规格
交流电源	输入电压：  100到240 VAC  输入电流：  12 ～ 6A   频率：  50到60Hz
直流电源	输入电压：  -48到-60 VDC   输入电流：  27A
标准和规范
安全性	UL60950、CAN/CSA-C22.2 No. 60950、EN60950、IEC950、72/73/EEC
电磁兼容性	FCC Part 15、CSA C108.8、EN55022、VCCI、EN55024、/336/EEC
ETSI	ETSI EN 300-386、EN 300-109、ETS 300-753
NEBS	NEBS Level 3、GR-10、GR-63

5.2交换机的选择

RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。

    RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。

RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议，并可扩展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。

技术参数

技术参数	RG-S6810E	RG-S6806E
模块插槽	10个（2个用于管理引擎模块）	6个（2个用于管理引擎模块）
背板	1.6T（可扩展3.2T） 2.4T（可扩展4.8T）（V3.x）	800G（可扩展1.6T） 1.2T（可扩展2.4T）（V3.x）
交换容量	800G 1.2T（V3.x引擎）	400G 600G（V3.x引擎）
包转发速率	L2/L3：572Mpps L2/L3：857Mpps（V3.x引擎）	L2/L3：286Mpps L2/L3：428M（V3.x引擎）
路由表项	256K
802.1q VLAN	4K
L2协议	IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRP
L3协议	BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、 PIM-SSM/SM/DM、LPM Routing、Policy-based Routing、ECMP、WCMP、VRRP
病毒攻击防护	全面的ACL（基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等）、防源IP地址欺骗、防DOS/DDOS攻击，防IP扫描
管理方式	SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSH
其它协议	SNTP、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、IPV6、MPLS、Load Balancing、EAPS、NAT、VPN、Firewall、IDS、Web Cache Redirect、Syslog
尺寸（长x宽x高）	448 mm x 437mm x 956mm	508mm x 437 mm x 7mm
电源	100VAC~240VAC，50Hz~60Hz，功率:1200W
MTBF	> 200,000 hours
温度	工作温度：  0℃  到 40℃ 存储温度：-40℃ 到 70℃
湿度	工作湿度: 10% 到 90% RH 存储湿度:  5% 到 95% RH

RG-S6506是锐捷网络推出的万兆骨干路由交换机，拥有6个模块扩展槽，提供管理模块冗余，支持万兆、千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。”

RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率可为用户提供高速无阻塞的线速交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。

技术参数

背板构架	分布式CROSSBAR
模块插槽	6个（2个用于管理引擎模块）
背板	192G 768G（V3.x）
交换容量	192G 576G（第二代管理引擎）
包转发速率	L2/L3：143Mpps L2/L3：286Mpps（第二代管理引擎）
MAC地址	K
802.1q VLAN	4K
L2协议	IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRP
L3协议	OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、BGP4、DVMRP、 PIM-SSM/SM/DM、LPM Routing、ECMP、WCMP、VRRP
Ipv6协议	静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、手工隧道、ISATAP、6to4隧道
病毒攻击防护	全面的ACL（基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等）、防源IP地址欺骗（Souce IP Spoofing）、防DOS攻击（Synflood，Smurf），防扫描（PingSweep)
管理方式	SNMP v1/v2/v3、Telnet、Console、WEB、RMON
其它协议	SNTP、EAPS、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、Syslog
尺寸（长x宽x高）	440 mm x 540 mm x 559mm
电源	100VAC~240VAC，50Hz~60Hz，功率:600W
MTBF	> 200,000 hours
温度	工作温度：  0℃  到 40℃ 存储温度：-40℃ 到 70℃
湿度	工作湿度: 10% 到 90% RH 存储湿度:  5% 到 95% RH

RG-S2924G是锐捷网络推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。

    RG-S2924G特有的CPU保护控制机制，对发送到CPU的数据进行带宽控制，以避免非法者对CPU的恶意攻击，充分保障了交换机的安全。

    RG-S2924G为方便不同管理员的使用习惯，提供了多种形式的管理工具，如SNMP、Telnet、Web和Console口等。

    RG-S2924G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、高效、安全、智能的企业网新需求。

支持生成树协议802.1D、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率。

技术参数

技术参数
产品型号	RG-S2924G
固定端口	24个10/100/1000M电口，4个复用的SFP千兆光纤接口
可用SFP 模块	Mini-GBIC-SX：单口1000BASE-SX　mini GBIC转换模块（LC接口）； Mini-GBIC-LX：单口1000BASE-LX　mini GBIC转换模块（LC接口）； Mini-GBIC-LH：单口1000BASE-LX　mini GBIC转换模块（LC接口），40Km； Mini-GBIC-ZX50：单口1000BASE-ZX mini GBIC转换模块（LC接口），50km； Mini-GBIC-ZX80：单口1000BASE-ZX mini GBIC转换模块（LC接口），80km
端口交换容量	48Gbps
包转发速率	36Mpps
MAC	16K
802.1q VLAN	4K
IPv4 ACL	支持多种硬件ACL： 标准IP ACL（基于IP地址的硬件ACL）、 扩展IP ACL（基于IP地址、传输层端口号的硬件ACL）、 MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、 基于时间ACL、 专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)
IPv6 ACL & QoS	支持硬件IPv6 ACL： 支持源/目的IPv6地址、源/目的端口、IPv6报文头的流量类型（Traffic class）、时间选项的硬件IPv6 ACL 和IPv6 QoS
L2协议	IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IEEE802.1x、IGMP Snooping v1/v2/v3、LLDP
管理协议	SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、SSH、Syslog、NTP、SNTP
其它协议	DHCP Relay
Jumbo Frame	支持
尺寸（长× 宽× 高）	440mm×260 mm×44mm
电源	160VAC~240VAC，50Hz~60Hz
温度	工作温度： 0℃ 到 40℃ 存储温度：-40ºC 到 70ºC
湿度	工作湿度： 10% 到 90% RH 存储湿度： 5% 到 90% RH

5.3防火墙

为了以后扩展的需要，所以采用了RG-WALL1000。RG-WALL1000采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP, H323等)时，可提供强有力的安全信道。

采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL的主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。

技术参数

RG-WALL 1000千兆防火墙/VPN网关
端    口	固化2个10/100BaseT+2个10/100/1000BaseT接口，可选配最多4个千兆电口/千兆SX/LX光口
最大并发连接数	1,000,000sessions
吞吐量	1.8Gbps
（最大）策略数	65,535
VPN并发通道数	10,000tunnels
VPN吞吐量 (SHA-1, 3-DES)	400Mbps
尺    寸	标准19英寸宽度，2U高度
电气性能	电源类型：AC 100-240V/50-60Hz
	电源功率：200W
工作环境	操作环境：温度0℃~40℃，湿度0%~80%
	存储环境：温度-40℃~80℃，湿度0%~ 95%
技术性能	MTBF（平均故障间隔时间）：≥100,000小时

5.4服务器

天阔I650(r)-E服务器是曙光天阔服务器系列产品中，面向行业市场中等网络规模用户开发的一款部门级服务器产品。此款服务器支持双路Intel Xeonbit处理器，主频可达3.6GHz 以上，系统前端总线频率为800MHz，系统内存由原来I650(r)-N的DDR配置升级为DDRII配置，最大支持16GB DDRII400内存，为用户带来“海量处理”的应用体验。 

    天阔I650(r)-E服务器以处理能力、可用性及可管理性等方面的强大优势，为电信、ISP/ICP/ASP 等行业用户提供了一款系统性能、可用性最佳的部门级服务器精品。天阔I650(r)-E 服务器完全兼容Windows 2000/2003 、RedHat Linux、SUN Solaris、SCO Openserver/Unixware、Novell Netware等多种操作系统平台，用户可以根据自己的需求在各种平台上构筑自己的网络及应用。 

     天阔I650(r)-E 服务器提供了塔式天阔I650-E 服务器及机架式天阔I650r-E服务器两种机型，灵活满足不同用户环境下对部门级服务器的应用需求。

设备类型	部门级服务器
CPU类型	Intel Xeon DP
CPU频率	3000MHz
二级缓存	1024KB
目前CPU数	1
最大CPU数	2
内存类型	DDRII400 ECC Registered
标准内存容量	1024MB
最大内存容量	16000MB
主板芯片组	Intel E7520+6300ESB+6700PXH
PCI插槽类型/数量	1×bit 133MHzPCI-X；2×bit 100MHzPCI-X；2×PCI-Express x8；1×32bit 33MHz PCI
主板I/O接口	2×串口（其中一个需从主板引出）；1×并口；1×VGA接口；2×USB2.0接口（后置）；2×USB2.0接口（前置）；2×RJ45网口；1×键盘接口；1×鼠标接口
硬盘类型	SCSI
SCSI控制器类型/数量	集成双通道Ultra320 SCSI控制器，支持HOST RAID，级别RAID0、1、0＋1，支持ZCR（2010s）
IDE控制器类型/数量	Ultra ATA 100*2
是否支持热插拔硬盘	支持
硬盘标配容量	73*2GB
外部驱动器架数	52X CD-ROM，1×3.5英寸标准软驱
显示卡	ATI Radeon 7000
显卡显存	16MB
是否支持磁盘阵列	支持
网卡型号	集成两个千兆网卡（RJ45接口）
系统风扇	每处理器散热风扇；机箱中部2个系统风扇；机箱后部1个系统风扇
机箱尺寸	220*425*680mm
电源功率	550W
电源数量最大/标配	单电源
支持操作系统	UNIX||LINUX||Windows NT||Windows2000
随机软件	《曙光天阔服务器导航软件》（1CD）；《中文LINUX操作系统》（1套）；《NT资源手册》（一套3本）； 随机CD中含有《曙光天阔I110S用户手册》

（二）防火墙 路由器 服务器

服务器
服务器名		IP 段	映射IP	VLAN ID
WWW		192.168.99.1/24	221.212.138.163/28	99
FTP		192.168.99.2/24	221.212.138.1/28	99
DNS		192.168.99.3/24	221.212.138.165/28	99
VOD		192.168.99.4/24	221.212.138.166/28	99
OA		192.168.99.5/24	221.212.138.167/28	99
数据库		192.168.99.6/24	221.212.138.168/28	99
财务数据		192.168.100.0/24		100
	防火墙(RG-WALL1000)
	接口	IP 地址	连接的设备
	F0	172.16.1.2/30	RSR-08
	F1	172.16.1.5/30	RG-S6810E
	F2
	F3
	管理IP	192.168.101.100
		192.168.101.101
	user
	pass
	路由器(RSR-08)
	接口	IP 地址	连接的设备
	S1/1	221.212.138.162/28	INTERNET
	F1/1	172.16.1.1/30	RG-WALL1000
	防火墙(财务)
	接口	IP 地址	连接的设备
	F0	172.16.1.10/30	RG-S6810E
	F1	172.16.1.13/30	财务

（三）多层交换机

设备型号RG-S6810E	端口连接设备		IP	VLAN ID
	设备名称	接口号
g.5/1	RG-S6506	g.5/1		TRUNK
g.5/2	RG-S6506	g.5/2		TRUNK
g.5/3	RG-WALL1000	F1	172.16.1.1/30
g.5/4	WWW 服务器		192.168.99.1/24	VLAN 99
g.5/5	FTP 服务器		192.168.99.2/24	VLAN 99
g.5/6	DNS 服务器		192.168.99.3/24	VLAN 99
g.5/7	VOD 服务器		192.168.99.4/24	VLAN 99
g.5/8	OA  服务器		192.168.99.5/24	VLAN 99
g.5/9	SQL 服务器		192.168.99.6/24	VLAN 99
g.5/10	防火墙(财务)	F0	172.16.1.9/30
g.5/11	RG-S2924G(一楼)	F1/1		TRUNK
g.5/12	RG-S2924G(二楼)	F1/1		TRUNK
g.5/13	RG-S2924G(三楼)	F1/1		TRUNK
g.5/14	RG-S2924G(四楼)	F1/1		TRUNK
g.5/15	RG-S2924G(五楼)	F1/1		TRUNK
g.5/16	RG-S2924G(备用)	F1/1		TRUNK
设备管理段			192.168.101.0/24
设备型号RG-S6506	端口连接设备		描述
	设备名称	接口号
g.5/1	RG-S6810E	g.5/1	TRUNK
g.5/2	RG-S6810E	g.5/2	TRUNK
g.5/3	RG-S2924G(一楼)	F1/1	TRUNK
g.5/4	RG-S2924G(二楼)	F1/1	TRUNK
g.5/5	RG-S2924G(三楼)	F1/1	TRUNK
g.5/6	RG-S2924G(四楼)	F1/1	TRUNK
g.5/7	RG-S2924G(五楼)	F1/1	TRUNK
g.5/8	RG-S2924G(六楼)	F1/1	TRUNK
设备管理段			192.168.101.0/24

6.总结

随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案，应建立在对网络风险分析的基础上，结合系统的实际应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固化为一个模式，用这个模子去套所有的信息系统。

本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的网络安全防御体系。