基于ACL校园网络安全的实现

南阳理工学院

本科生毕业设计(论文)

学院(系)：软件学院

专业：网络工程

学生：

指导教师：

完成日期 2012 年 04 月

南阳理工学院本科生毕业设计（论文）

基于ACL的校园网络安全策略的设计与实现Based on Design and Implementation of th

e campus network security policy in ACL

总计：毕业设计(论文) 21页

表格：3个

图片：6个

南阳理工学院本科毕业设计(论文)

基于ACL的校园网络安全策略的设计与实现Based on Design and Implementation of th

e campus network security policy in ACL

学院(系)：软件学院

专业：网络工程

学生姓名：

学号：

指导教师(职称)：讲师

评阅教师：

完成日期： 2012年04月14日

南阳理工学院

Nanyang Institute of Technology

基于ACL的校园网络安全策略的设计与实现

网络工程

[摘要]随着网络的高速发展，网络的普及也越来越平民化，在人们的学习和生活的方方面面，网络无孔不入，给人们的学习和生活带来了极大的便利，但随之而来的网络安全问题也越来越引起人们的重视。高校校园网的安全是一个庞大的系统工程，需要全方位的防范。防范不仅是被动的，更要主动进行。ACL（访问控制列表）是网络安全防范和保护的主要策略，网络管理员通常首选ACL策略来完成对所管理网络的安全配置。由此可见ACL在网络中的重要性。

本文通过在校园网中配置ACL实现对网络安全策略的应用，论文首先论述了ACL的发展和应用，详细介绍ACL的概念、作用、工作流程、分类和局限性，然后介绍了各种类型的访问控制列表的具体配置，最后搭建配置校园网的环境，具体配置校园网的控制访问列表，实现校园网运作在一个安全稳定的环境中。

[摘要]ACL；校园网；网络安全策略

Based on Design and Implementation of th

e campus network security policy in ACL

Net Engineering Major

Abstract:With the rapid development of the network, the popularity of the network more and more civilians pervasive in people's learning and all aspects of life, the network has brought great convenience to people's learning and life, but the accompanying networkthe security issue has drawn increasing attention. Campus Network security is a huge project, a full range of prevention. Prevention is not only passive, but also to take the initiative. ACL (Access Control List) is the main strategy of prevention and protection of network security, network administrators often preferred the ACL policy to complete the security configuration on the management network. This shows the importance of ACL in the network.

This article through in the campus network configuration ACL to achieve in the application of network security policy, this paper first discusses the development and application of the ACL, detailed introduces the concept, function, ACL working process, and the classification and limitations, and then introduces various types of access control list of the specific configuration, build environment of campus network last configuration, and the specific configuration of the campus network access control list, realize campus network operating in a safe and stable environment

Key words:ACL; Campus Network; Network Security Policy

目录

1. ACL的发展和应用 (1)

1.1 ACL发展 (1)

1.2 ACL的应用 (1)

2. ACL的概述 (2)

2.1 ACL的定义 (2)

2.2 ACL的作用 (2)

2.3 ACL基本原理 (2)

2.4 ACL的工作过程 (3)

2.5 ACL的分类 (4)

2.6 ACL的局限性 (4)

2.7 ACL的匹配顺序 (4)

2.8 通配符掩码 (5)

2.9 正确放置ACL (5)

3. ACL的各种应用配置 (6)

3.1 标准ACL的配置 (6)

3.2 扩展ACL的配置 (7)

3.3 命名ACL (8)

3.4 基于时间段的ACL配置 (9)

3.5 ACL的显示调试和删除 (10)

4. 校园网ACL应用实例 (11)

4.1 搭建配置环境 (12)

4.2 ACL在院系机构的应用 (12)

4.3 ACL在教学机房中作用 (14)

4.3.1 屏蔽特定端口防范病毒与攻击 (14)

4.3.2 通过ACL 限制上网行为 (15)

4.4 ACL对校园网P2P流量的控制 (16)

4.4.1 P2P工作原理 (16)

4.4.2 抓包位置的部署 (16)

4.4.3 索引服务器地址收集 (16)

4.4.4 ACL 的组成 (16)

4.4.5 创建ACL 策略 (16)

结束语 (17)

参考文献 (18)

附录 (19)

致谢 (21)

1.ACL的发展和应用

1.1ACL发展

ACL（Access Control List）的全称是控制访问列表，控制访问起源于20世纪60年代，是一种重要的信息安全技术。所谓访问控制，就是通过某种途径显示地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户入侵或者合法用户的不慎操作造成破坏。网络中常说的ACL是CISCO IOS所提供的一种访问控制技术，初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方法都可能有细微的差别。CISCO路由器中有两种常用的控制访问列表，一种是标准访问列表，另一种是扩展访问列表。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。扩展ACL比标准ACL 提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

1.2ACL的应用

ACL（Access Control List，访问控制列表）是用来实现流识别功能的。网络设备为了过滤报文，需要配置一系列的匹配条件对报文进行分类，这些条件可以是报文的源地址、目的地址、端口号等。通过在路由器以及交换机上配置相关规则即可实现对数据包的过滤，而不需要添加额外的防火墙等过滤设备既能够实现对数据包的过滤。由于实现方式简单，效果明显，并且成本低廉，适合校园网、小型企业等节约网络成本的网络中用于数据包的控制[1]。同时其他网络技术结合ACL配置也能够实现相应的功能，例如NAT、IPSEC、路由策略、QOS等，由此可见ACL的重要性。

2.ACL的概述

2.1ACL的定义

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk 等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。

2.2ACL的作用

访问控制列表（Access Control List, ACL）是管理者加入的一系列控制数据包在路由器中输入、输出的规则。

ACL可以限制网络流量、提高网络性能。ACL可以根据数据包的协议，指定数据包的优先级。

ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

ACL是提供网络安全访问的基本手段，ACL允许主机A访问网络，而拒绝主机B访问。

ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

ACL是路由器接口的指令列表，用来控制端口进出的数据包，ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

2.3ACL基本原理

网络中的节点资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

ACL中规定了两种操作，所有的应用都是围绕这两种操作来完成的：允许、拒绝

ACL是CISCO IOS中的一段程序，对于管理员输入的指令，有其自己的执行顺序，它执行指令的顺序是从上至下，一行行的执行，寻找匹配，一旦匹配则停止继续查找，如果到末尾还未找到匹配项，则执行一段隐含代码——丢弃DENY.所以在写ACL时，一定要注意先后顺序。

可以发现，在ACL的配置中的一个规律：越精确的表项越靠前，而越笼统的表项越靠后放置。

当入站数据包进入路由器内时，路由器首先判断数据包是否从可路由的源地址而来，否的话放入数据包垃圾桶中，是的话进入下一步；路由器判断是否能在路由选择表

内找到入口，不能找到的话放入数据垃圾桶中，能找到的话进入下一步。接下来选择路由器接口，进入接口后使用ACL。

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的[2]。其中标准控制列表只读取数据包中的源地址信息，而扩展访问控制列表则还会读取数据包中的目的地址、源端口、目的端口和协议类型等信息。ACL判断数据包是否符合所定义的规则，符合要求的数据包允许其到达目的地址进入网络内部，不符合规则的则丢弃，同时通知数据包发送端，数据包未能成功通过路由器。通过ACL，可以简单的将不符合规则要求的危险数据包拒之门外，使其不能进入内部网络。具体过程如下图所示:

图2–1

2.4ACL的工作过程

无论在路由器上有无ACL，接到数据包的处理方法都是一样的：当数据进入某个入站口时，路由器首先对其进行检查，看其是否可路由，如果不可路由那么就丢弃，反之通过查路由选择表发现该路由的详细信息——包括AD，METRIC……及对应的出接口。这时，我们假定该数据是可路由的，并且已经顺利完成了第一步，找出了要将其送出站的接口，此时路由器检查该出站口有没有被编入ACL，如果没有ACL 的话，则直接从该口送出。如果该接口编入了ACL，那么就比较麻烦[3]。第一种情况——路由器将按照从上到下的顺序依次把该数据和ACL进行匹配，从上往下，逐条执行，当发现其中某条ACL 匹配，则根据该ACL指定的操作对数据进行相应处理（允许或拒绝），并停止继续查询匹配；当查到ACL的最末尾，依然未找到匹配，则调用ACL最末尾的一条隐含语句deny any来将该数据包丢弃。

2.5ACL的分类

目前有两种主要的ACL：标准ACL和扩展ACL。标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

这两种ACL的区别是，标准ACL只检查数据包的源地址；扩展ACL既检查数据包的源地址，也检查数据包的目的地址，同时还可以检查数据包的特定协议类型、端口号等。

网络管理员可以使用标准ACL阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，上表指出了每种协议所允许的合法表号的取值范围。

IP标准访问控制列表编号：1～99或1300～1999

IP扩展访问控制列表编号：100～199或2000～2699

标准访问控制列表和扩展访问控制列表的对比如下图所示。

图2–2标准ACL与扩展ACL对比

2.6ACL的局限性

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等[4]。因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

2.7ACL的匹配顺序

ACL的执行顺序是从上往下执行，Cisco IOS按照各描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据包进行检查。一旦找到了某一匹配条件，就结束比较过程，不再检查以后的其他条件判断语句。

在写ACL时，一定要遵循最为精确匹配的ACL语句一定要卸载最前面的原则，只有这样才能保证不会出现无用的ACL语句

图2–3 ACL匹配顺序

2.8通配符掩码

通配符掩码是一个32位的数字字符串，0表示“检查相应的位”，1表示“不检查（忽略）相应的位”。

IP地址掩码的作用：区分网络为和主机位，使用的是与运算。0和任何数相乘都得0，1和任何数相乘都得任何数。

通配符掩码：把需要准确匹配的位设为0，其他位为1，进行或运算。1或任何数都得1，0或任何数都得任何数。

特殊的通配符掩码：

2.9正确放置ACL

ACL通过制定的规则过滤数据包，并且丢弃不希望抵达目的地址的不安全数据包来达到控制通信流量的目的[5]。但是网络能否有效地减少不必要的通信流量，同时达到保护内部网络的目的，将ACL放置在哪个位置也十分关键。

假设存在着一个简单的运行在TCP/IP协议的网络环境，分成4个网络，设置一个ACL拒绝从网络1到网络4的访问。根据减少不必要通信流量的准则，应该把ACL放置于被拒绝的网络，即网络1处，在本例中是图中的路由器A上。但如果按这个准则设置

ACL后会发现，不仅是网络1与网络4不能连通，网络1与网络2和3也都不能连通。回忆标准ACL的特性就能知道，标准ACL只检查数据包的中的源地址部分，在本例子中，凡是发现源地址为网络1网段的数据包都会被丢弃，造成了网络1不能与其他网络联通的现象。由此可知，根据这个准则放置的ACL不能达到目的，只有将ACL放置在目的网络，在本例子中即是网络4中的路由器D上，才能达到禁止网络1访问网络4的目的。由此可以得出一个结论，标准访问控制列表应尽量放置在靠近目的端口的位置。

在本例子中，如果使用扩展ACL来达到同样的要求，则完全可以把ACL放置在网络1的路由器A上。这是因为扩展访问控制列表不仅检查数据包中的源地址，还会检查数据包中的目的地址、源端口、目的端口等参数。放置在路由器A中的访问控制列表只要检查出数据包的目的地址是指向网络4的网段，则会丢弃这个数据包，而检查出数据包的目的地址是指向网络2和3的网段，则会让这个数据包通过。既满足了减少网络通信流量的要求，又达到了阻挡某些网络访问的目的。由此，可以得出一个结论，扩展访问控制列表应尽量放置在靠近源端口的位置。

图2–4正确设置ACL

编辑原则：标准ACL要尽量靠近目的端，扩展ACL要尽量靠近源端。

3.ACL的各种应用配置

3.1标准ACL的配置

标准ACL命令的详细语法

创建ACL定义

例如：Router(config)#access-list 1 permit 10.0.0.0 0.255.255.255

将配置应用于接口：

例如：Router(config-if)#ip access-group 1 out

下面更详细的介绍扩展ACL的各个参数：

以下是标准访问列表的常用配置命令。

跳过简单的路由器和PC的IP地址设置

配置路由器上的标准访问控制列表

在PC1网络所在的主机上ping 2.2.2.2，应该通，在PC2网络所在的主机上ping 2.2.2.2,应该不通，在主机PC3上Telnet 2.2.2.2,应该成功。

3.2扩展ACL的配置

扩展ACL命令的详细语法

创建ACL定义

例如：accell-list101 permit host 10.1.6.6 any eq telnet

应用于接口

例如：Router(config-if)#ip access-group 101 out

址，还有目的地址、源端口和目的端口。

图3–1

扩展访问控制列表的常见配置命令。

(1)配置路由器

分别在访问路由器的Telnet和WWW服务，然后查看访问控制列表100：

3.3命名ACL

命名ACL是IOS11.2以后支持的新特性。命名ACL允许在标准ACL和扩展ACL中使用字符串代替前面所使用的数字来表示ACL，命名ACL还可以被用来从某一特定的ACL 中删除个别的控制条目，这样可以让网络管理员方便地修改ACL[6]。它提供的两个主要优点是：

解决ACL的号码不足问题；

可以自由的删除ACL中的一条语句，而不必删除整个ACL。

命名ACL的主要不足之处在于无法实现在任意位置加入新的ACL条目。

语法为：

允许或拒绝陈述前没有表号

可以用“NO”命令去除特定的陈述

的管理和维护。

最后是命名ACL常用配置命令。

(1)在路由器上配置命名的标准ACL

(2)在路由器上查看命名ACL

(4)在路由器上查看命名访问ACL

3.4基于时间段的ACL配置

使用标准访问控制列表和扩展访问控制列表就可以应付大部分过滤网络数据包的要求了。不过在实际的使用中总会有人提出一些较为苛刻的要求，这是就还需要掌握一些关于ACL的高级技巧[7]。基于时间的访问控制类别就属于高级技巧之一。

基于时间的访问控制列表的用途：

可能一些单位或者公司会遇到这样的情况，要求上班时间不能使用QQ或者浏览某些网站，或者不能在上班时间使用某些应用，只有在下班或者周末才可以。对于这种情

况，仅仅通过发布通知不能彻底杜绝员工非法使用的问题，这时基于时间的访问控制列表就应运而生了。

基于时间的访问控制列表的格式;

基于时间的访问控制列表由两部分组成，第一部分是定义时间段，第二部分是用扩展访问控制列表定义规则。这里主要解释下定义时间段，具体格式如下：

2005年5月1日零点，结束时间为2005年6月1日中午12点。还可以定义工作日和周末，具体要使用periodic命令。将在下面的配置实例中详细介绍。

基于时间的ACL配置常用命令

用“clock set”命令将系统时间调整到周一至周五的8：00-18：00范围内，然后在Telnet路由器R1，此时可以成功，然后查看访问控制列表111：

由器R1，此时不可以成功，然后查看访问控制列表111：

3.5ACL的显示调试和删除

访问控制列表的现实和调试都在特权模式下执行。

使用“show access-lists ”可以显示路由器上设置的所有ACL条目；

使用“show access-list acl number”则可以显示特定ACL号的ACL条目；

使用“show time-range”命令可以用来查看定义的时间范围；

使用“clear access-list counters”命令可以将访问控制列表的计数器清零[8]。

删除ACL的方法十分简单，只需在ACL表号前加“NO”就可以了，例如：

的ACL只能删除整个ACL条目，不能删除个别条目。

命名ACL与标准和扩展ACL不同，它可以删除个别的控制条目。

例如:

即可删除这条ACL语句条目，之后可以重新写入新的条目。

4.校园网ACL应用实例

校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网

络设备相互连接起来，形成校园园区内部的Intranet系统，对外通过路由设备接入广域网。包过滤技术和代理服务技术是当今最广泛采用的网络安全技术，也就是我们通常称的防火墙技术[9]。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络，同时将非法数据包挡在防火墙内外，最大限度地阻止黑客攻击。包过滤技术以访问控制列表的形式出现，一个设计良好的校园网络访问控制列表不仅可以起到控制网络流量、流量的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。

针对校园网中各种网络攻击、网络病毒对教学和管理造成的一系列的影响，通过对校园网络拓扑结构的分析，在三层网络结构中的汇聚层设定相应的ACL策略，校园网络是典型的三层网络拓扑结构即接入层、汇聚层、核心层，接入层面对的是大量的学生PC、教师PC，通过划分VLAN来区分不同系别的学生，教师，同时能够减小广播域，保证网络安全等功能。通过设置基于MAC的ACL来完成对接入层网络的控制，避免由于任意接入网络对网络造成的潜在安全隐患。同时在接入层设备上设置限速ACL来限制迅雷等

P2P软件的速度将网络流量控制在接入层从而保证网络出口的流畅，在汇聚层设置基于时间的ACL主要保证教师PC的网络带宽而在夜间自动将带宽分给学生。在核心层出口配置扩展ACL来完成数据包过滤、在入口上实现禁止外网访问指定的内部网站等。在出口配置NAT来解决IP不足问题，同时能够很好的隐藏内网IP，来防止网络的攻击。

下面通过模拟Cisco Packet Tracert 5.3模拟器模拟校园网环境，配置校园网路由器及三层交换机上的ACL，达到模拟校园网络数据控制的目的。通过模拟环境的实验，还可以模拟各种网络攻击，模拟特定目的端口数据包的发送，从而检验配置的ACL命令的可行性。

4.1搭建配置环境

校园网拓扑图如图4–1所示

图4–1

校园网的VLAN及IP地址规划

VLAN号VLAN名称IP网段默认网关说明

VLAN1 - 192.168.0.0/24 192.168.0.1 管理VLAN VLAN 10 JWC 192.168.10.0/24 192.168.10.1 教务处VLAN VLAN 20 XSSS 192.168.20.0/24 192.168.20.1 学生宿舍VLAN VLAN 30 CWC 192.168.30.0/24 192.168.30.1 财务处VLAN VLAN 40 JGSS 192.168.40.0/24 192.168.40.1 教工宿舍VLAN VLAN 50 ZWX 192.168.50.0/24 192.168.50.1 中文系VLAN VLAN 60 WYX 192.168.60.0/24 192.168.60.1 外语系VLAN VLAN 70 JSJX 192.168.70.0/24 192.168.70.1 计算机系VLAN VLAN 100 FWQQ 192.168.100.0 192.168.100.1 服务器群VLAN

表4–1

具体的VLAN设置方法及网络联通设置在这里不在冗述，重点放在ACL的设置上。

4.2ACL在院系机构的应用

(1)首先是设置校园网内部三层交换机上的ACL。

规定只有在财务处VLAN 30内的主机可以访问财务处VLAN 30，其他的教学单位部门可以互访；学生宿舍和教工宿舍VLAN可以互访，并且可以访问除了财务处和教务处外的其他教学单位。所有VLAN都可以访问服务器群VLAN。

财务处ACL设置

在网络环境中还普遍存在着一些非常重要的、影响服务器群安全的隐患。接下来是对连接外网的路由器添加ACL。

?屏蔽简单网络管理协议（SNMP）

利用这个协议，远程主机可以监视、控制网络上的其他网络设备。它有两种服务类型：SNMP和SNMPTRAP[10]。

这样的协议主要有SUN OS的文件共享协议端口2049，远程执行（rsh）、远程登录（rlogin）和远程命令（rcmd）端口512、513、514，远程过程调用（SUNRPC）端口111。

DoS攻击（Denial of Service Attack，拒绝服务攻击）是一种非常常见而且极具破坏力的攻击手段，它可以导致服务器、网络设备的正常服务进程停止，严重时会导致服务器操作系统崩溃[11]。

?保护路由器安全

作为内网、外网间屏障的路由器，保护自身安全的重要性也是不言而喻的。为了阻止黑客入侵路由器，必须对路由器的访问位置加以限制[12]。应只允许来自服务器群的IP 地址使用Telnet访问并配置路由器，内部其他部分的主机都不能用Telnet访问和配置路由器。

当校园网环境建成后，应对校园网的整体运行情况做一下细致的测试和评估。大致包含以下测试：对相同VLAN内通信进行测试、对不同VLAN内的通信进行测试、对内部网的ACL进行测试、对广域网接入路由器上的ACL进行测试。

?测试相同VLAN内通信

添加一台财务处VLAN30的主机，与VLAN30的用PING命令测试联通性。

校园网络安全课程设计

1 校园网络安全威胁 1.1校园网简介 珠海大学的校园网承载着学校的教务、行政、教学、图书资料、对外联络等方面事的务处理，它的安全状况影响着学校的教学、教务、行政管理、对外交流等活动。在珠海大学网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加。潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。 1.2网络攻击及缺陷 校园网受到的攻击以及安全方面的缺陷主要有： 1.有害信息的传播 校园网与Internet融为一体，师生都可以通过校园网络在自己的机器上进入Internet。目前Internet上充斥着各种信息。有些有毒的信息违反人类的道德标准和有关法律法规，对师生的危害非常大。如果安全措施不好，会让这些信息在校园内传播。 2.病毒破坏 通过网络传播的病毒无论实在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入广域网后，为外界病毒进入学校大开方便之门，下载的程序和电子邮件都有可能带有病毒，而且网络病毒的变异速度加快，攻击机理复杂，必须不断更新病毒库。 3.恶意入侵 学校涉及的机密不是很多，来自外部的非法访问的可能性要少一些，关键是内部的非法访问。一些学生可能会通过入侵的手段破坏教务系统，扰乱教学工作秩序。 4.恶意破坏 对计算机硬件系统和软件系统的恶意破坏，这包括对网络设备和网络系统两

个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等，它们分布在整个校园内，不可能24小时专人看管，故意的或非故意的某些破坏，会造成校园网络全部或部分瘫痪。 另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面：对学校网站的主页面进行修改，破坏学校的形象；向服务器发送大量信息使整个网络瘫痪；利用学校的邮件服务器转发各种非法信息等。 5.口令入侵 通过网络监听非法得到用户口令，或使用口令的穷举攻击非法获得口令入侵，破坏网络。 2 校园网网络拓扑结构 珠海大学的校园网由四个物理区域组成：办公大楼、图书馆大楼、实验楼、教学楼。在整个网络中，各信息点按功能又划分为行政办公、实验教室、普通教室、中心管理机房、电子阅览室等不同区域，各区域与互联网连接的目的也是不一样的，对特定区域，与互联网连接将受到一定限制。校园网采用千兆到楼，百兆到桌面的全交换网络系统，覆盖到实验楼、行政楼、图书馆、广播楼、教学楼，共计光纤链路10余条，交换机80余台，网络信息点2800多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证软件、网络版杀毒软件。 当前在各种网络系统的建设中使用最多的是星型拓扑结构，虽然星型拓扑结构的网络在布线和网络设备的花费多一些，不过目前各种硬件设备已经非常便宜了，这种花费是可以承受的。因而它的优点也是十分突出的，主要是当网络中某个节点出现故障时不会影响整个网络的运行，这使得网络从总体上可以提供高度的可靠性和沉佘性，这个性能十分适合校园网这种应用环境，也是校园网的建设中必须要求做到的。 根据校园网的需求分析及建设目标，本设计方案采用交换式千兆以太网作为主干，百兆交换到桌面。网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式连接。

加强网络安全管理

加强网络安全管理 马王堆中学近年来的改造、扩建工程，为学校的腾飞奠定了基础。这几年，我校校园网建设飞速发展，各种硬软件设备配套齐全，学校于2005年成功申报长沙市现代教育技术实验学校，2006年又获得了湖南省现代教育技术实验学校称号，马王堆中学已成为一所全新的现代教育技术实验学校。有了这样良好的条件，怎样加强网络安全管理使之发挥最大效率，为教育教学搞好服务，成为了学校行政和网络管理员共同面对和思考的问题。基如上述思考，我们做了下列几方面工作： 1、积极支持网管员工作，妥善处理好网络安全问题。 因特网的迅速发展，给我们的教育教学工作提供了许多方便，但学校网络毕竟与家庭电脑存在着很大的差异。如果没有一套完善的上网制度，将会出现很多麻烦，甚者将导致整个校园网瘫痪。因此，我

校领导和网管员经过认真讨论研究，加强了校园网使用权限的管理，每位老师必须用自己的姓名和密码登陆电脑，网管员对每位老师上网作了一定权限的限制，例如，不能修改电脑的设置，不能安装软件，不能上在线游戏等。一开始，老师们不能理解接受这些限制，也不支持网管员的工作，经常为此事，网管员和老师们之间产生矛盾。但学校领导亲自带头执行规定，并且在教职工大会上多次做解说工作，反复强调校园网络的特殊性和网络安全的重要性。使老师们认识到校园网是一个有机的系统，如果任由大家随便下载安装软件，玩网络游戏等，势必给网络管理员的工作带来很大的麻 烦，给学校网络安全使用带来隐患。学校提倡健康上网，绿色上网，有序上网。经过一段时间的磨合，全体教职工适用且乐意地接收了这些限制，并积极配合网管员对校园网进行维护，老师们在使用电脑时自己能查毒杀毒，学校网管员也定时在周一、周三、周五中午对校园网统一杀毒。 2、用差异化管理做好网络资源共享工作。

校园网络与信息安全管理办法

校园网络与信息安全管理办法 桑梓镇辛撞中心小学 2018.9

校园网络与信息安全管理办法 学校校园网是为教学及学校管理而建立的计算机信息网络，目的在于利用先进实用的计算机技术和网络通信技术，实现校园内计算机互联、资源共享，并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展，保证校园网络的正常运行和网络用户的使用权益，更好的为教育教学服务，特制定如下管理办法。 第一章总则 1、本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的，为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理，应当保障计算机网络设备和配套设施的安全，保障信息的安全和运行环境的安全，保障网络系统的正常运行，保障信息系统的安全运行。 3、按照“合法合规，遵从标准”的原则开展网络与信息安全管理工作，网络及信息安全管理领导小组负责相应的网络安全和信息安全工作，定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、所有上网用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查，必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。

6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。 第二章网络安全管理细则 1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备，管理人员应每天检查上述设备是否正常，保证网络设备的安全运行，要建立完整、规范的校园网设备运行情况档案及网络设备账目，认真做好各项资料(软件)的记录、分类和妥善保存工作。 2、校园网由学校信息中心统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由信息中心分配的IP地址，网络管理员对入网计算机和使用者进行及时、准确登记备案，由信息中心负责对其进行监督和检查。任何人不得更改IP及网络设置，不得盗用IP地址及用户帐号。 3、与校园网相连的计算机用户建设应当符合国家的有关标准和规定，校园内从事施工、建设，不得危害计算机网络系统的安全。 4、网络管理员负责全校网络及信息的安全工作，建立网络事故报告并定期汇报，及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后，信息中心必须及时备案并向公安机关报告。 5、网络教室及相关设施未经校领导批准不准对社会开放。 6、按照信息安全等级保护工作规定，完成定级、备案等工作，留存安全审核日志。校园网中对外发布信息的Web服务器中的内容必须经领导审核，由负责人签署意见后再由专人（信息员）发布。新闻公布、公文发布权限要经过校领导的批准。门户网站不得链接企业网站，不得发布商业广告，不得在网页中设置或植入商品、商业服务的二维码。

计算机网络课程设计例文

校园网络总体结构设计 一﹑校园网络概述 当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛，并迅速广泛应用于社会各领域，产生和激发出新的生产力，正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。 随着我国经济的高速发展，国家提出本世纪末将我国建设成为经济高度发展、教育设备完备的现代化强国。近年来国家加快改革教育体系，以教育为立国之本，建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段，学校很有必要建设一个校园网络管理应用系统，这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的。以顺应无纸教学，无纸办公的发展趋势，充分利用现代化技术来进一步提高教学质量和办公效率，为培养二十一世纪人才提供一个优良的硬件教学环境。 二、建设校园网的目标 现今的网络系统包括网络交换机以及叠加其上的语音、数据、视频装置以及可变化的软，硬件应用。它的开放式设计意味着更好的整体化及高品质应用的能力。提供的带宽可适合话音，图像，数据的传输，这种带宽结合设备厂商优秀网管模式，可以向用户提供面对面的通讯。在建设校园网时，要达到以下目标： 1．在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段； 2，支持教育教学改革，提高教育技术的现代水平和教育信息化程度、为学校教师的备课、课件制作、教学演示提供网络环境； 3．通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面发展创造相应的条件； 4．实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平； 5．及时、准备、可靠地收集、处理、存储、传输学校的教育教学信息完成与因特网的通讯和资源共享，实现社会教育、学校教育、家庭教育的有机整合。 6．实现课堂多媒体电化教学，具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机，实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。 总之，校园网的建设能促进教师和学生尽快提高应用信息技术的水平，为学生提供了一个实践的环境，为教师提供了一种先进的辅助教学工具、提供了丰富的资源库。校园网是学校进行教学改革、推行素质教育的一种必不可少的工具，是学校现代化信息管理的基础，也

校园网络安全教育总结

校园网络安全教育总结 总结，是对过去一定时期的工作、学习或思想情况进行回顾、分析，并做出客观评价的书面材料。按内容分，有学习总结、工作总结、思想总结等，按时间分，有年度总结、季度总结、月份总结等。人们常常对已做过的工作进行回顾、分析，并提到理论高度，肯定已取得的成绩，指出应汲取的教训，以便今后做得更好。 校园网络安全教育总结一：根据某局XXXXXX文件精神，结合我局工作实际，近日对照检查内容开展了安全自查工作。 现将自查情况报告如下： 为妥善地完成网络安全工作，消除网络安全隐患，我局成立了以分管副局长为组长的网络安全工作领导小组，其中办公室、网监科的科长为副组长，各科室负责人为小组成员，以加强对网络安全工作的领导。严格按照上级部门要求，积极完善各项安全制度，保证了网络安全持续稳定运行。 基本情况 为保证网络安全工作顺利开展，我局先后投入资金30余万元，购置绿盟数据库审计系统2套、盈高入网准入控制1套。办公电脑均安装了360三件套(卫士、杀毒、浏览器)，

采取了360企业版安全防护模式，机房配备了入侵检测系统 1台、上网行为管理1台、千兆防火墙2台。同时在每个基层单位确定一名信息联络员，具体负责基层单位日常网络安全维护。我局目前是通过乐清市政府电子政务网访问互联网，我局的外网网站在市政府电子政务网的防火墙保护下。 我局制定了网络安全工作的各项信息管理制度制度。包括人员管理、机房管理、资产和设备管理、数据和信息安全管理、系统建设和运行维护管理等制度，涉及国家秘密、要害部门管理、计算机及信息系统管理、通信及办公自动化设备管理、网络安全监督检查、政府信息公开网络安全审查、涉密事件报告查处、责任考核与奖惩等基本制度均在上述管理制度中有涉及到。同时，我局加强网络安全教育、宣传，使有关人员了解网络安全的危害，设立责任意识。 我局的信息安全产品都采购国产厂商的产品，未采用国外信息安全产品。信息系统和重要数据的均自行维护，信息安全产品售后服务由厂家提供服务。 信息系统等级测评和安全建设整改情况。 20xx年10月oa系统通过等保2级，该信息系统未变化，所以无需作备案变更;目前暂无新建信息系统需要定级备案。 1、重要的网站还未开展信息系统定级备案、等级测评。

学校网络安全管理工作总结

学校网络安全管理工作总结 我校是全县范围内最大的乡镇中心小学，现有学生1166人，教职工74人。随着计算机及其网络的普及与应用，我校近几年投入了不少经费用于购买了十余台办公电脑，并对学生用机进行了更新换代。学校现已基本实现了办公网络信息化，这无疑极大地提高了我校的工作效率，但也给我校网络信息安全工作带来了严峻考验。 一、切实加强组织领导，建立健全各项网络安全管理规章制度。 1、为确保学校网络安全管理工作顺利开展，学校特成立了校长任组长的网络信息安全管理工作领导小组，全面负责该工作的实施与管理。 2、建立健全了一系列的学校网络安全管理规章制度。包括：《校园网用户信息安全管理制度》、《学校网络信息安全保障措施》、《学生上机守则》、《计算机室管理制度》、《计算机室管理员职责》、《办公室电脑使用管理暂行规定》等。通过制定与实施、切实让相关人员担负起对信息内容安全的监督管理工作责任。 二、认真开展好学校网站的备案工作。 按县局有关文件精神，我校迅速成立了专人负责学校网站备案工作。根据文件要求，在如实了解学校网站虚拟空间提供服务商的安全

信息后，及时填写好相关材料报县科教局电教站，并由县电教站送市局进行审批。与此同时，我校自行到公安部门的网站上进行网上备案和进行重要信息系统安全保护登记备案工作。 三、建立起了一支相对稳定的网络安全管理队伍。 我校高度重视网络信息安全工作的队伍建设。学校从在职教师中挑选出一批具有一定计算机知识的人员作为网络管理员和网络安全员，并保持队伍的相对稳定。此外，学校还购买了网络管理书籍供网管人员自学，并大力支持网管人员参加各级各类网络技术知识培训，从而大大提高了网管的业务素质和技术水平。 四、计算机维护及其病毒防范措施。 学校电脑除去电脑室100台，，另有24套多媒体电脑，日常维护工作量非常大。由于机器较多，日常出现故障的情况较为常见，为此，我校成立了专人负责学校计算机系统及软件维护，由于平日能及时有效地维护，因此学校内各计算机使用均正常，无出现重大故障。 目前网络计算机病毒较多、传播途径也较为广泛，可以通过浏览网页、下载程序、邮件传播等方式传播。为了做好防范措施，学校每台机器都安装了杀毒软件，并定期自动升级，对发现病毒的机器及时的进行处理。多年来，学校机器无出现严重中毒情况，电脑内重要信息未出现泄露而造成重大影响事件。 五、大力开展文明上网、安全上网等宣传教育。 为加强互联网建设，学校特向全体师生发出了《抵制低俗之风，

学校网络及网络安全管理制度

《网络安全管理制度》 计算机网络为学校局域网提供网络基础平台服务和互联网接入服务，由现代教育技术中心负责计算机连网和网络管理工作。为保证学校局域网能够安全可靠地运行，充分发挥信息服务方面的重要作用，更好地为学校教职工、学生提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备（包括光纤、路由器、交换机、集线器等）均归现代教育技术中心所管辖，其安装、维护等操作由现代教育技术中心工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有学校内计算机网络部分的扩展必须经过现代教育技术中心实施或批准实施，未经许可任何部门不得私自连接交换机、集线器等网络设备，不得私自接入网络。现代教育技术中心有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报现代教育技术中心，由现代教育技术中心做网络实施方案。 第四条学校局域网的网络配置由现代教育技术中心统一规划管理，其他任何人不得私自更改网络配置。 第五条接入学校局域网的客户端计算机的网络配置由现代教育技术中心部署的DHCP服务器统一管理分配，包括：用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可，任何人不得使用静态网络配置。 第六条任何接入学校局域网的客户端计算机不得安装配置DHCP服务。一经发现，将给予通报并交有关部门严肃处理。 第七条网络安全：严格执行国家《网络安全管理制度》。对在学校局域网上从事任何有悖网络法规活动者，将视其情节轻重交有关部门或公安机关处理。 第八条教职工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损学校形象和教工声誉的信息。 第十条任何人不得扫描、攻击学校计算机网络。 第十一条任何人不得扫描、攻击他人计算机，不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响，接入学校局域网的所有用户必须遵循以下规定： 1.任何单位和个人不得制作计算机病毒；不得故意传播计算机病毒，危害计算机信息系统安全；不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用现代教育技术中心部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。

大学校园网规划课程设计

大学校园网规划课程设计WORD版本下载后可编辑

一、校园网络的需求分析 1.1 规划背景 随着网络建设的逐步普及，大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择，高校校园网网络系统是一个非常庞大而复杂的系统，它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且，能够使教育、教学、科研三位一体，提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本次课程设计将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向，来对高校校园网络做出一系列的规划。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作，更承担着部分国家级的科研任务，同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速，智能，安全，认证计费等的需求,可以利用千兆以太网的校园网组网技术。构建校园网骨干网，实现各个分支建筑和校园网中心机房之间的连接，以及实现端到端的以太网访问，提高了传输的效率，有效地保证了远程多媒体教学、数字图书馆等业务的开展。 S大学有师生一万多人，主要建筑有16栋，分别是：1.一实验楼；2.二实验某某区；3.二实验某某区；4.三实验楼1号楼；5.三实验楼2号楼；6.三实验楼3号楼；7.图书馆；8.1号教学楼；9.2

号教学楼；10.学校食堂；11.学校宿管中心；12.体育馆；13.科学会堂；14.行政楼；15.励志楼；16.生活服务中心。这16栋建筑分别位于以图书馆为中心的从60米到500米的地理范围内。现拟建覆盖全校的校园网，包括局域网和接入网，能支持办公自动化、信息管理、科研与教学工作，能接入CERNET，与INTERNET 相联。校园网出口有两个：中国电信1000M，中国教育科研网2M，中心机房位于1实验楼316室。 1.2 需求分析 1.2.1 网络设计需求 1) 校园网主干结构采用当前的主流技术，并保证一定的技术先进性； 2) 组建专门的网络中心，负责校园网运行和管理，核心网络设备应具备很强的交换能力，为将来网络容量需求的成倍增长预留足够的扩展空间； 3) 各系级单位一般建成独立局域网后，再接入校园网；暂不能建局域网的单位直接接入校园网； 4) 网管设备（软、硬件）能实现对网络设备的实时监控和网络流量计费； 5) 要有完善的安全机制，防止来自外部和内部的非法访问； 6) 校园网应能够为全校师生提供以下应用服务： ● WWW 服务 ● E-mail 服务

校园网络管理与信息安全解决方案(精选.)

河北金融学院校园网络管理与信息安全解决方案 目录 摘要 (1) 一概述 (1) 二对当前校园网络现状的研究分析 (1) 三河北金融学院网络拓扑图 ............ 错误!未指定书签。 四校园网主要面临的安全威胁 .......... 错误!未指定书签。 4.1 计算机病毒破坏................ 错误!未指定书签。 4.2 校园网络设备管理不健全 ........ 错误!未指定书签。 4.3 计算机系统漏洞................ 错误!未指定书签。 4.4 用户对校园网网络资源的滥用 ... 错误!未指定书签。 4.5 校园网安全管理制度缺失 ....... 错误!未指定书签。 4.6 网络管理者和使用者的安全技术能力低错误!未指定书签。五网络安全解决方案设计 .............. 错误!未指定书签。 5.1 身份认证...................... 错误!未指定书签。 5.2 部署网络防病毒系统 ............ 错误!未指定书签。 5.3 防止地址盗用和攻击 ............ 错误!未指定书签。 5.4 设置漏洞管理系统 .............. 错误!未指定书签。 5.5 设置防火墙保护网络安全 ........ 错误!未指定书签。 5.6 设置应用防护系统 .............. 错误!未指定书签。 5.7 定期对服务器进行备份和维护 .... 错误!未指定书签。 5.8 加强校园管理.................. 错误!未指定书签。 六结束语............................ 错误!未指定书签。 参考文献.............................. 错误!未指定书签。

网络安全技术课程设计报告

信息工程系 课程设计报告书 2015-2016学年第2学期 系部：信息工程系 专业：计算机网络专业 班级：14计算机网络1班 课程名称：网络安全技术 姓名学号： 起迄日期: 6月10日-6月24日 课程设计地点:实验楼C211 指导教师:庄晓华 下达任务书日期: 2015 年06月16日

一、内容要求 独立设计一个小型网络的安全方案，采用的安全技术可以包括以下几种：加密技术、认证技术、VPN技术、防火墙技术、防病毒系统等局域网核心服务功能。其中必须用Packet Tracer实现的功能为防火墙技术的配置与管理或网络安全隔离。 二、评分标准 （一）网络安全方案评分标准（40分） 网络安全方案及测试报告（40分） 1、网络安全方案2000字（30分） 1）相关概念定义准确。（10分） 2）安全方案叙述完整清晰。（10分） 3）设计合理，符合实际应用需求。（10分） 2、测试报告（10分） 确定测试结果是否符合设计要求，完成测试总结报告。 （二）网络设备系统配置评分标准（60 分） 1、系统设计（10分） 1、在Packet Tracer中实现，要求：网络设备选型合理，（5分） 2、网络设备连接，要求：正确使用连接介质（5分）。 2、网络设备配置（40分） 1、PC机、服务器配置，要求：能作必要TCP/IP属性设置（10分） 2、网络设备接口配置，要求：正确配置端口，实现网络连通。（10分） 3、网络安全配置，要求：实现设定的网络安全防护（20分） 3、安全防护测试（10分） 使用正确测试方法，步骤完整.(10分) 三、设计要求： 1、所有PC机的默认网关地址中第四个数为学生学号，如“a.b.c.学号” （注意：PC机的地址不能与此默认网关地址冲突）。 2、所有网络设备、PC机的名称以学生姓名开头，如“azgSW1”。 四、设计成果形式及要求： 1、提交网络安全方案（.doc文档），文件命名格式：学号姓名.doc, 如01安志国.doc。 2、提交Packet Tracer文档（.pkt文档），文件命名格式：学号姓名.pkt, 如01安志国.pkt。

学校网络安全管理方案

加强中小学校园网络安全管理工作方案 随着教育信息化建设工作的不断发展，我市部分学校建设了校园网，建成了学校信息发布的门户网站，但由于在信息安全管理方面经验不足，措施不力，导致个别校园网络存在一定的信息安全隐患。为认真贯彻中共中央办公厅、国务院办公厅《关于进一步加强互联网管理工作的意见》（中办发〔2004〕32号）精神，充分利用校园网络为教育教学服务，现就进一步加强校园网络安全管理工作的有关事项通知如下： 一、强化领导，提升校园网络安全防范意识。按照“谁主管、谁主办、谁负责”的原则，加强工作领导，细化管理分工，落实责任到人，建立有效防范、及时发现、果断处置有害信息的工作机制。学校要建立健全安全管理组织机构，校长是网络安全管理工作的第一责任人，要指定一名校领导直接负责，加强校园网上网服务场所和网站信息安全管理工作的领导；要建立、健全和落实相关制度，进一步加强校园网络应用的管理、检查、监督，发现问题及时纠正、整改，要采取一切措施，坚决杜绝各种有害信息、虚假信息在校园网上散布；要明确管理责任，严肃工作纪律，对不履行职责、管理不严造成严重后果的要追究相关人员的责任，对违反国家有关法律法规的将移交公安机关处理。 二、加强管理，保障校园网络安全稳定运行。校园内联网计算机要统一分配静态IP地址，实现网卡MAC和IP绑定，禁止使用DHCP分配IP 地址，建立网络运行维护日志和校园网管理、应用、维护等技术文档，网络日志至少要保存60天以上；规范校园网管理，落实网络安全技术防范

措施，按要求做好各项信息安全管理制度及技术措施的建立及落实，对校园网上各类有害信息做到防范得力、删除及时，确保对在校园网上制造和传播色情、反动有害信息嫌疑人的查处；有开通留言板、交流论坛等性质的栏目的学校网站必须实行24小时监管，信息须审核后才能发布；要加强对路由器、服务器等网络设备管理员帐号、密码的保密和安全管理，定期更换管理员帐号、密码，管理员帐号、密码须专人使用；定期检查和检测服务器信息及日志文件，发现异常，及时同公安部门联系，尽快解决出现的问题。 三、严格审查，确保网上发布信息规范合法。要建立和落实严格的用户管理和信息发布审核、监督等制度，其所发布的各类信息、资源必须严格遵守国家有关政策法规规定，严格执行信息保密工作条例的有关要求；查看学校网站发布的文件类的内部信息要实行用户名、密码登录制度；学校网站发布的教育信息要有分管领导审批，教育教学资源要由学科组长审批；对在网络信息管理不力导致出现问题并情节严重的，将追究有关领导及网络管理员的责任。 四、加强引导，倡导全体师生健康文明上网。进一步加强网络精神文明建设和青少年学生安全文明上网教育引导工作。要高度重视网络思想政治教育工作，建设一批融思想性、知识性、趣味性、服务性于一体的主题教育网站；要充分发掘优秀的中小学校网络文化资源对学生开放，丰富中小学生文明健康的网络生活；要在学校中广泛开展远离淫秽色情等有害信息宣传教育活动和文明上网活动，增强青少年学生上网的法制意识、自律意识和安全意识；学生上网场所的计算机网络要有网站过滤功能，对不利于学生身心健康的有害信息要进行屏蔽；严禁利用计算机联网从事危害国

《计算机网络课程设计》

中国石油大学(北京)远程教育学院 2014-2016-三学期 《计算机网络课程设计》大作业 题目：校园网规划设计 专业：计算机科学与技术 班级： 学生姓名：韩亮 学号：075131 2015年11月

目录 第一章综述 (3) 1.1网络设计背景分析 (3) 1.2网络设计采用的方法和原则 (3) 第二章用户需求分析 (4) 2.1网络功能性需求分析 (4) 2.2网络非功能性需求分析 (5) 2.2.1网络拓扑结构需求分析 (5) 2.2.2网络性能需求分析 (5) 2.2.3网络可靠性需求分析 (5) 2.2.4网络安全需求分析 (5) 第三章网络拓扑结构设计 (6) 3.1网络拓扑结构 (6) 3.2网络硬件结构 (6) 3.3网络地址规划 (7) 第四章网络性能设计 (9) 第五章网络可靠性设计 (11) 第六章网络安全设计 (13) 第七章网络物理设计 (16) 7.1网络传输介质的选择 (16) 7.2网络综合布线设计 (16) 第八章课程设计总结与体会参考文献 (18) 参考文献 (19)

第一章综述 1.1网络设计背景分析 21世纪是一个以网络为核心的信息时代，要实现信息化，就必须依靠完善的网络。通过本课程设计，使学生在对计算机网络技术与发展整体了解基础上，掌握网络的主要种类和常用协议的概念及原理，初步掌握以TCP/IP协议族为主的网络协议结构，培养学生在TCP/IP协议工程和LAN、WAN上的实际工作能力：学会网络构建、日常维护及管理的方法，使学生掌握在信息化社会建设过程中所必需的计算机网络组网和建设所需的基本知识与操作技能。 1.2网络设计采用的方法和原则 1、根据要求对园区建网进行需求分析，提交需求分析报告； 2、在需求分析的基础上进行系统设计、技术选型，规划、设计网络的逻辑拓扑方案、布线设计等，划分子网，设计子网地址、掩码和网关，为每个子网中的计算机指定IP地址； 3、根据条件进行设备选型，决定各类硬件和软件的配置； 4、构建工作型局域网，在指定计算机内安装网络接口卡，动手制作双绞线网线，把计算机与集线器（交换机）相连；在工作组中指定的基于计算机上分别安装操作系统、TCP/IP协议，配置IP地址、掩码和网关等参数。 5、搭建相关服务器。

学生网络安全方案设计

学生网络安全方案设计 网络安全关系到每一个人，今天小编要给大家介绍的便是学生网络安全方案设计，欢迎阅读！ 学生网络安全方案设计(一) 围绕学校二一六年工作重点，坚持科学发展观，充分发挥学校网络中心的技术指导的管理职能，强化服务意识、责任意识、发展意识，巩固我校教育信息化成果，不断完善信息化建设水平，大力推进教育现代化进程，科学、规范、高效抓管理，求真、务实、优质育人才，努力争创省级教学示范学校，办优质初中教育。 1、采取切实可行的措施，加强对校园网的管理，继续完善相关规章制度，落实各项管理措施，确保学校网络安全畅通。学校要继续完善相关的网络制度，杜绝网络信息安全事故的发生，确保网络畅通，更好的服务与教育教学工作。采取积极可行的措施，在保证网络畅通的情况下，杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题，充分发挥网络的作用，提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度，使教师学会使用杀毒软件进行计算机病毒的查杀，确保学校网络畅通。基本上解决网络病毒在我校各计算机上的传播，保证网络不因病毒而导致堵塞、停网等现象的发生。 加强学校校园网网站建设和应用力度，使其服务于教

学、服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管好用好校园网，要有相当一部分学生也建有自己的学习网页。通过建设各种学习主页，广泛吸引学生、教师和家长及社会各界人士驻站，增强学校在社会上的良好形象，扩大学校知名度。管理员要不断学习相关业务知识，不断提高自己的业务能力，树立服务于教学的思想，管好用好校园网，不断更新网站内容，建设有自己独特风格的学校网站。 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班，加强培训指导，教师要将学习走在前头，自觉地学。大力提倡电子备课。 把学校微机室建“成绿色机房”，利用课余时间、休息日、节假日对学生开放，为广大学生提供健康、安全的网络学习环境。采取得力措施，杜绝师生玩电脑游戏，建设“无游戏校园”。 学生网络安全方案设计（二) 随着教育信息化建设工作的不断发展，我市部分学校建设了校园网，但由于在信息安全管理方面经验不足，措施不力，导致各室网络存在一定的信息安全隐患。为认真贯彻教育部以《教育部关于加强教育行业网络与信息安全工作的指导意见》的通知(教技发〔20xx〕4号)精神，充分利用校园网络为教育教学服务，进一步加强校园网络安全管理工作。

网络安全保护和管理制度

龙凤中心学校网络安全保护和管理制度 校园网络是学校重要的基础设施之一，为师生提供一种先进、可靠、安全的计算机网络环境，支持学校的教学、科研、管理工作。为了保护校园网络的安全，特制定本制度。 第一章总则 1、本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站所构成的，为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理，应当保障计算机网络设备和配套设施的安全，保障信息的安全和运行环境的安全，保障网络系统的正常运行，保障信息系统的安全运行。 3、网络中心负责相应的网络安全和信息安全工作，定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、任何单位和个人，未经校园网网络中心同意，不得擅自安装、拆卸或改变网络设备。 5、所有上网用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 6、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查，必须接受学校网络中心进行的网络系统及信息系统的安全检查。 7、使用校园网的全体师生有义务向网络中心和有关部门报告违法行为和有害信息。 第二章网络安全保护措施： 1、制定《学校网络安全管理制度》，规范学校网络安全管理，学校各用户入网需经过领导审批，审批合格后方可入网。 2、我校网络路由带防火墙功能，能够防范目前互联网络上的绝大多数病毒，确保本校网络始终保持畅通。 3、我校配备瑞星企业版专业查杀病毒软件，能够确保所有办公室办公计算机、机房，防病毒要求。 4、日常管理： ①及时更新数据库及各计算机的防病毒软件病毒库。 ②定期对所有数据库进行漏洞扫描、补丁修复。 ③数据备份：对有重要资料的数据库及各计算机数据定期进行备份理，从而在相应计算机出现问题时能及时修复，保证重要数据的安全。 第三章网络安全管理 1、校园网由学校网络中心统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由网络中心分配的IP地址。网络管理员对入网计算机和使用者进行登记，由网络中心负责对其进行监督和检查。任何人不得更改IP

学校校园网络安全管理制度.doc

学校校园网络安全管理制度 学校校园网是为教学及学校管理而建立的计算机信息网络，目的在于利用先进实用的计算机技术和网络通信技术，实现校园内计算机互联、资源共享，并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展，保证校园网络的正常运行和网络用户的使用权益，更好的为教育教学服务，特制定如下管理条例。 第一章总则 1、本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站所构成的，为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理，应当保障计算机网络设备和配套设施的安全，保障信息的安全和运行环境的安全，保障网络系统的正常运行，保障信息系统的安全运行。 3、网络中心负责相应的网络安全和信息安全工作，定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、任何单位和个人，未经校园网网络中心同意，不得擅自安装、拆卸或改变网络设备。 5、所有上网用户必须遵守国家有关法律、法规，严格执行安全保密制度，并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。

6、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查，必须接受学校网络中心进行的网络系统及信息系统的安全检查。 7、使用校园网的全体师生有义务向网络中心和有关部门报告违法行为和有害信息。 第二章网络安全管理 1、校园网由学校网络中心统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由网络中心分配的IP地址。网络管理员对入网计算机和使用者进行登记，由网络中心负责对其进行监督和检查。任何人不得更改IP及网络设置，不得盗用IP地址及用户帐号。 2、与校园网相连的计算机用户建设应当符合国家的有关标准和规定，校园内从事施工、建设，不得危害计算机网络系统的安全。 3、网络管理员负责全校网络及信息的安全工作，建立网络事故报告并定期汇报，及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后，网络中心必须及时备案并向公安机关报告。 4、对所有联网计算机要及时、准确登记备案。网络教室不准对社会开放。 5、校园网中对外发布信息的Web服务器中的内容必须经领导审核，由负责人签署意见后再由信息员发布。新闻公布、公文发布权限要经过校领导的批准。

校园网络安全知识讲座讲稿二

校园网络安全知识讲座讲稿二 亲爱的同学们： 大家下午好，很高兴来这里和大家一起探讨有关网络安全的演讲，我今天演讲的题目是：互联网，精彩而危险的世界。 网络世界，一个精彩的世界。但是精彩的背后蕴含着危险。大家可否想过，你的QQ号被盗可能是病毒的祸你的系统被劫持，可能是流氓犯的错；你的网银被盗，可能是钓鱼网站干的事，你的数据不见，甭说了，八成是黑客干的。大家一直以来，都对黑客有一份“特殊化的感情”，认为说所有的黑客都是非常厉害的，要不然怎么会让电脑中病毒呢？ 既然有黑客，那么一定有安全人员的存在，在这网络世界的背后，进行着怎样一场“对决”，那么今天，我就以安全人员的身份来带大家走进这网络世界的安全领域。我的讲座分为这五个版块：什么叫网络安全、网络安全的重要性、网络安全的现状、如何防范网络安全、打造一个和谐网络。 首先我们看一下什么是我们这里所讲的“网络安全”，网络安全呢，就是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全的具体含义就是用户（个人、企业等）希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。 同时，网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 美国著名未来学家阿尔温.托尔勒曾经说过，“谁掌握领了信息，控制了网络，谁将拥有整个世界。”美国过去总统克林顿也说过，“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”从此可见掌握网络是何等的重要，网络安全的重要性也从中体现出来 这里有一些美国FBI的数据：据美国FBI统计，美国每年网络安全问题所造成的经济损失高达75亿美元。而全球平均每20秒钟就发生一起Internet计算机侵入事件。 在Internet/Intranet的大量应用中，Internet/Intranet 安全面临着重大的挑战，事实上，资源共享和安全历来是一对矛盾。在一个开放的网络环境中，大量信息在网上流动，这为不法分子提供了攻击目标。而且计算机网络组成形式多样性、终端分布广和网络的开放性、互联性等特征更为他们提供便利。

基于校园网网络安全管理与维护课程设计报告

摘要 (3) 前言 (4) 一、课程设计目的意义 (6) 二、需求分析 (6) 1、虚拟网 (6) 2、管理与维护 (6) 3、网络安全 (7) 1、防火墙技术 (7) 2、建立网络入侵侦测系统 (7) 3、反病毒防御 (7) 三、方案设计 (8) 1、设计原则 (8) 2、安全策略 (8) 3、安全服务 (9) 4、拓扑结构图 (9) 四、方案的实施 (10) 1、在管理方面 (10) 2、在技术方面 (10) 3、定期做好备份工作 (10) 4、定期做好网络杀毒工作 (10) 五、结束语 (11) 附录一：参考文献 (12)

随着互联网络的普及，校园网已成为每个学校必备的信息基础设施，也成了学校提高教学、科研及管理水平的重要途径和手段，它是以现代化的网络及计算机技术为手段，形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来，使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。 随着网络的高速发展，网络的安全问题日益突出，黑客攻击、网络病毒等层不出穷，在高校网络建设的过程中，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，而如何有效地加以管理和维护，是校园网得以有效、安全运行的关键。 校园网网络的安全十分重要，它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面，详细分析了威胁校园网网络安全的各种因素，提出了若干可行的安全管理的策略，从设备资源和技术角度上做了深入的探讨。 关键词：校园网、网络安全、管理及维护策略、防火墙。

2019年幼儿园校园网络安全管理制度

幼儿园校园网络安全管理制度
学校校园网是为教学及学校管理而建立的计算机信息网络，目的在于利用 先进实用的计算机技术和网络通信技术，实现校园内计算机互联、资源共享， 并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算 机网络的应用和发展，保证校园网络的正常运行和网络用户的使用权益，更好 的为教育教学服务，特制定如下管理条例。 第一章 总则
1、本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线 缆设施、网络服务器、工作站所构成的，为校园网络应用而服务的硬件、软件 的集成系统。b5E2RGbCAP 2、校园网络的安全管理，应当保障计算机网络设备和配套设施的安全，保 障信息的安全和运行环境的安全，保障网络系统的正常运行，保障信息系统的 安全运行。p1EanqFDPw 3、教技领导小组下的网络管理组负责相应的网络安全和信息安全工作，定 期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查 和监控。DXDiTa9E3d 4、任何单位和个人，未经管理组同意，不得擅自安装、拆卸或改变网络设 备。 5、所有上网用户必须遵守国家有关法律、法规，严格执行安全保密制度，

并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网 及本地局域网服务器、工作站的活动。RTCrpUDGiT 6、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校 依法进行的监督检查，必须接受学校网络管理组进行的网络系统及信息系统的 安全检查。5PCzVD7HxA 7、使用校园网的全体师生有义务向网络管理组和有关部门报告违法行为和 有害信息。 第二章 网络安全管理
1、校园网由学校网络管理小组统一管理及维护。连入校园网的各部门、教 室和个人使用者必须严格使用由网络中心分配的 ip 地址。网络管理员对入网计 算机和使用者进行登记，由网络中心负责对其进行监督和检查。任何人不得更 改 ip 及网络设置，不得盗用 ip 地址及用户帐号。jLBHrnAILg 2、与校园网相连的计算机用户建设应当符合国家的有关标准和规定，校园 内从事施工、建设，不得危害计算机网络系统的安全。xHAQX74J0X 3、网络管理员负责全校网络及信息的安全工作，建立网络事故报告制度并 定期汇报，及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑 客攻击后，网络管理组必须及时备案并向公安机关报告。LDAYtRyKfE 4、对所有联网计算机要及时、准确登记备案。校园网络不准对社会开放。 5、校园网中对外发布信息的 web 服务器中的内容必须经领导审核，由负责 人签署意见后再由信息员发布。新闻公布、公文发布权限要经过校领导的批 准。Zzz6ZB2Ltk 6、校园网各类服务器中开设的帐户和口令为个人用户所拥有，网络管理组