全北京北京邮电大学出版社。刘钦创。现代计算机。期致谢首先感谢叶涛老师在我论文的选题写作过程中给予的细致关心和指导。在论文的选题和研究方面，叶老师提出了很多指导性的意见，很受启发。感谢学院三年来的授业解惑，使我在专业技术方面得到了很大的提高，开阔了视野，为今后的工作打下了良好的基础。感谢新乡学院的同学们，大家起学习，起探讨，互相帮助合作，度过了充实快乐的时光。最后，再次向所有帮助和关心过我的人们表示由衷的感谢,张新年月日化，新的安全问题不断涌现，必须根据情况的变化和现有体系中暴露出的些问题，不断对此体系进行及时的维护和更新，保证网络安全防范体系的良性发展，确保它的有效性和先进性。校园网安全设计方案针对上述分析当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍教职工家属等接入校园网后，网络规模急剧增大。同时，校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。下图是比较普遍的校园网拓扑结构。基于此图，我将从物理系统网络应用及管理五个层次分析和设计适合于校园网的安全建议方案。物理层安全物理层的安全主要包括环境设备及线路的安全。系统中心或机房的建设应遵照电子计算机机房设计规范计算机站场地安全要求及计算机站场地技术条件的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线行为。系统安全系统层主要解决的是由于各种操作系统数据库及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种用主机加固手段对主机加固，如升级打补丁关闭不需要的端口等用主机访问控制手段加强对主机的访问控制网络层安全校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护划分安全子网。如果同局域网内有不同等级的安全域，可以通过划分子网及的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网校园外网和之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统，可有效地防止来自网络内外的攻击。④定期的网络安全性检测实现持续安全。利用漏洞扫描器，定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制管理查杀网络中服务器终端的病毒，保护全网不被病毒侵害。应用层安全应用层的安全措施主要有以下几点应用系统自身的加固建立身份验证系统建立审计系统④建立备份系统管理层安全实现管理层的安全主要注意以下几点建立安全管理平台。主要是指将各种安全系统或设备集中控管综合分析。建立健全安全管理体制。校园网用户较多，定要建立套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。提高全员的安全意识。安全方案实施后的效果校园网在实施全局安全方案后，校园网在安全方面和管理方面都有大的改善。校园网安全方面校园网在实施了全局安全防御系统后实现了校园网全局的安全部署，包括全部学生宿舍教师宿舍机房和办公区域。全局安全防御系统可以对所有安全事件网络病毒攻经在网关的可信任表项中，欺骗行为失败。可信任是全局安全防御系统功能专署的表项。通过联动，动态学习己通过认证的用户，保障合法用户的上网质量。可信任是种介于静态和动态之间的地址表项。与静态不同，可信任也有老化机制，过期自动删除可信任有专门预留的地址空间，不会被动态所修改。可信任能够自动检测用户是否在线。可信任老化时，会自动检侧用户在线情况，如果用户在线，会自动恢复生存周期。第二重用户端防御，如图用户端防御的实现方法如下在上设置网关的正确对应信息。用户认证通过，将网关的信息下传至静态绑定网关的通过用户端防御，可以实现以下效果攻击者冒充网关欺骗合法用户。用户已经静态绑定网关地址，欺骗攻击无效。第三重交换机非法报文过滤，如图交换机非法报文过滤，是通过和系列交换机的安全功能来实现的，具体实现方法如下用户认证通过后，交换机会在接入端口上绑定用户的对应信息。交换机对报文的源地址进行检查，对非法的攻击报文律丢弃处理。该操作不占用交换机资源，直接由端口芯片处理。图防御的第三重交换机非法报文过滤交换机非法报文过滤可以实现以下的效果攻击者伪造源和地址发起攻击。报文不符合绑定规则，被交换机丢弃。通过以上的三重立体防护方法，解决了欺骗中的网关型欺骗，中间人欺骗以及泛洪攻击，给我们的局域网带来更加干净的网络环境。网络管理方面入网身份验证作为全局安全的身份基础平台，系统实现了苏州托普信息职业技术学院全体学生宿舍教师宿舍办公和公共机房身份认证。该系统基于技术，实现了对用户的身份和，交换机端口交换机等信息严格绑定，旦出现安全事件，可迅速追查到人。系统提供的完善的计费运营功能，为校园网运营提供了足够的数据支撑。通过该系统的部署，有效的防止了地址盗用，极大的减轻了校园网管理的运营负担，并为全局网络安全提供了基础身份平台。如下图，份认证而入网身份验证的多元素绑定，也有效的杜绝了地址冲突现象的发生，只有用自己的才能登陆上网，而通过用户漫游功能，也实现了用户在不同地区认证上网的需求。如图网身份验证多元素绑定防非法外联通过的防非法外联功能，可以限制接入主机的拨号架设代理的功能，防止不受控的上网行为发生，将危险置之网外，如图图加接入控制组小结随着网络的普及，校园网给教师和老师的学习生活工作和院校的管理带来了很大的便利，但随之而来，也产生了许多问题。校园网系统庞大，设备来源多，管理复杂，师生的安全意识不强，管理层资金短缺，各种操作系统以及应用系统自身的漏洞等诸多因素导致了校园网的不安全，如信息的泄露，非法用户入侵，黑客攻击等。因此，校园网的安全问题越来越受关注。本文分析了校园网的现状及对校园网安全造成威胁的诸多因素，从而提出了校园网安全设计方案，解决了校园网的安全问题。参考文献刘永华，解圣庆，张凤云。局域网组建管理与维护行为用户行为和用户主机安全信息进行深入分析和全局监控。通过这种实时全网侦测，可以在第时间内将网络异常现象通过接入层隔离出网络，使得网络异常现象完全不影响核心网络在发现安全问题后能自动对用户进行安全事件告警，并迅速根据用户身份选择将用户隔离到安全修复区域或自动阻断异常数据流该系统部署完成后，对网络内的安全事件和网络病毒进行了有效抑止。另外，通过校园网全局安全防御系统的主机信息获取和完整性检测，能够清楚网络中的应用情况，并约定用户主机的准入标准，比如校园网用户可以安装什么软件，禁止安装何种软件。这方面，获取的主机信息可以为校园网管理的决策提供判断依据。另方面，从侧面体现了学院网络中心的职责转变，从单的维护向对网络平台的可靠运行负责的转变，其中就涉及对网络相应规则制度的制定。此外，通过校园网全局安全防御系统先进的免疫型防欺骗改击手段，能够彻底解决攻击带来的安全漏洞和断网事件的发生。过去，我们只有在个区域发生断网之后，才去判断是否是欺骗，并进行手工处理。若用户未能完全杀毒，极可能又会引起该区域的网络中断。由于校园网全局安全防御系统自动的防范，网络中心的老师再也不用为了个小小的欺骗犯愁了，而是可以将大量的时间和精力投入到更有意义的事情中去。完善的主机完整性检测校园网全局安全防御系统通过获取接入网络的主机信息软件安装情况硬件配置网络信息来了解主机的情况，管理员通过对主机的安全状态进行判断后，即可制定出对应的主机完整性即规则，来保障主机必须禁止安装哪些软件必须禁止开启嘟些服务必须禁止运行哪些进程以及管理注册表中对应键值的数值，通过这些检测，对主机的安全情况有了个细致的检测，同时，在检测失败后，给出用户如何修复不安全因素的解决方法，同时，对用户的上网行为进行限制，例如只允许访问修复服务器去下载补丁或这相关软件。通过主机完整性检测的启用，保障了用户安装并开启必须的防范软件和服务，同时对病毒所引起的注册表修改等行为也可以有效的恢复，最重要的是，通过这些行为与网络控制的结合，使得用户必须通过主机完整性检测才能入网，否则就是无法上网办公，保障了安全手段的强制性，也将不安全因素排除在了网外。如图图的主机完整性检测安全的联动防范网络攻击在校园网的全局安全解决方案中，除了传统的入侵检测设备的加入外，还加入了跟安全管理平台的联动，在发现安全事件之后，可以及时准确的定位到攻击的发起者，并通过下发安全策略警告消息和修复程序来制止攻击者保护被攻击者，必要时可以通过定位攻击者采取行政手段。在病毒防范方面，全局安全防御通过安全网关安全智能交换机和之间的联动，实现了网关的绑定，表的静态维护，客户端的绑定，通过多重工事的立体防御。第重网关防御，如图网关防御的实现过程如下通过学习已通过认证的合法用户的对应关系将用户的信息通知相应网关。网关生成对应用户的可信任表项。通过网关防御可以实现以下效果攻击者冒充用户对网关进行欺骗。真正的用户膨胀网络用户的快速增长，校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。随着网络技术的发展与普及，校园网早已成为现代化教育建设的基础设施，校园网建设己经不仅仅只是局限于实现网络内部资源共享和外部信息互换。各学校为了能够实现以网养网，对网络设计提出了