建设校园局域网(精选11篇)
建设校园局域网 第1篇
1 建设校园局域网的目的和意义
我们通常认为计算机是思维的工具, 是人脑的延伸, 但单个计算机的容量和功能毕竟是有限的, 无法与蕴藏着巨大潜能的人脑相比。而国际互联网的出现将古今中外全人类的智慧汇聚到覆盖全球的巨型网络系统之中, 创造了一个每时每刻都在急剧发展的全人类的“大脑”。在这个全新的环境中, 拥有信息时代学习与创新能力的人就拥有充满机遇和希望的新世纪。现代教育技术如何研究信息化、网络化的社会文化环境, 如何驾驭新的教育环境和教育模式, 培养受教育者具有适应新时代的学习与创造能力, 不仅成为衡量教育现代化水平的标志, 而且将成为个体乃至整个民族跨入新世纪的“通行证”。可见, 建设校园网络是基础教育信息化的根本途径, 丰富多彩、健康清新的校园网络文化将成为学校培养学生思维方式、道德品质、创造能力的新环境, 成为面向全体学生, 培养全面发展的高素质人才的崭新平台。
2 校园局域网的架设
2.1 校园网络建设思路
结合学校的实际情况和经济状况, 建设既经济又实用的校园网, 在原有的闭路电视的基础上进行校园网络的建设。采用总体规划分步实施的原则, 同时考虑系统的实用性、先进性、可扩展性、经济等因素对于网络产品和服务器产品, 在考虑应有良好的可扩展性, 能兼容未来可能的技术的前提下, 选用当前比较先进的技术和设备一次完成。网络采用先进的以太网和交换技术, 主干的布线采用双绞线 (距离比较近) 连接主要的建筑物校内连通了各个办公室和教室实现了各部门之间的网络资源共享和信息交流。由于学校只是校园网的使用者, 没有必要, 也难以供养网络工程师。因此, 在具体建设时, 要考虑到校园网的易用性、易维护性和可靠性, 以设计成“傻瓜”式的网络环境为好, 在以上思路的指导下学校把校园网络初步建成。
2.2 设计与维护
2.2.1 网络设计
首先制订三至五年的校园局域网建设规划, 根据学校规模、财力与需求, 坚持实用性和可拓展性原则, 正确规划校园网的总体布局和实施方案。如江阴某学校架设局域网的方案是:2001年建成微机室, 接入因特网;2002年建成办公局域网, 教师人手一机, 实现办公数字化, 建成学校网站;2003年建成教学区局域网、视频点播系统和电子阅览室, 网络覆盖全校校园, 实施网络辅助教学;2004年建学校网络教学系统, 实施远程教学;2005年建成区域内网络教学名校。其次绘制校园网络架构图, 通常分为三个区:微机室、办公区和教学区。目前学校微机室与办公网已建成, 都具备良好的可持续扩充性, 既适应目前学校对网络的需求, 又能方便今后整体网络的改良和升级。
2.2.2 布线方案
设定一总控服务器, 使之与因特网相连, 作为全校网络管理的中枢, 其一路分支至微机室, 一路分支至办公网, 预留扩展分支。各分支均采用10/100M自适应以太网交换机作结点, 终端亦采用10/100M网卡与之相连, 确保网络数据传输效率和可扩展性。各分支间以并联形式相接, 以减少分支间的相互影响和干扰。
2.2.3 软件系统
操作系统的选择面较宽, 视学校实际及教师应用习惯而定, 通常教师办公终端机和学生机采用WINDOWSXP, 服务器和教师机可选用LINUX、UNIX。所用软件一要有稳定全面的系统性能和良好的操作界面, 二要便于上手和实用。网络教室须配备多媒体网络教学软件, 以便教师灵活控制师生双边活动与协作交流。如苏亚星、深蓝易思、黑马、联想、实达网络教学系统等。另外, 还需装备一些常用应用软件。如OFFICE、Authorware、资源库等等。
2.2.4 网络安全
校园局域网的运行过程中, 难免受到病毒与黑客的侵害, 一机染毒, 泱及全校, 购买一套正版的病毒查杀软件 (如kv3000或瑞星2008) 和防火墙相当必要, 并且在使用中要及时升级数据包为最新版本。由于查杀软件的滞后性, 故实际使用中应以预防为主, 运行新软件之前要先检查有无病毒, 杜绝一切来历不明软件在校园内运行, 严格禁止游戏软件的进入。对所有电脑均应设置开机密码, 以防他人随意使用。服务器须利用系统的网络安全功能设置相应安全级别。对于内部网络与Internet的连接, 可采用软件IP防火墙技术来分隔内外网络, 防止数据在传输过程中发生丢失或遭到破坏。
2.2.5 数据维护
由于校园网本身的开放性和复杂性, 故其所有微机内的数据均面临不同的安全问题, 稍有不慎, 即有可能遭到破坏或丢失。电脑使用人员应养成定期维护、备份数据的良好习惯。
3 校园局域网应用的成效和不足
校园局域网的设计原则 第2篇
1.移动性强。无线校园网吸引人的一点是移动性——用户可以在教室、实验室、办公室图
书馆之间自由移动并和网络保持持续连接。并且传输范围大大拓宽,最大传输范围可达15km。无线网络中的终端通过无线方式进行通信,在任何地方都能提供实时的信息服务,摆脱了线缆的束缚,增加了可移动性,同时无限局域网不仅支持移动终端之间的通信,还允许无线设备接入有限网络。在有限局域网中,两个站点的距离在使用铜缆时限制在500m,即使采用单模光纤也只能达到3km,而无线局域网中两个站点间的距离,目前可达到50km。由于没有线缆的限制,用户可以随心所欲的增加工作站,通信条件受环境的限制小,拓宽了网络的传输范围。
2.灵活快捷。无线局域网可以以一种独立与有线网的形式存在,在需要时可以随时建立临
时网络,而不依赖有限骨干网。无线局域网组网灵活,可以满足具体的应用和安装需要。系统结构可以使用于小数量用户的对等网络,也可以使用于几千名移动用户的完整基础网络。在无线局域网中增加或减少移动主机都是相当容易的,增加无线接入点就可以增加用户数量和覆盖范围,并且允许在较大范围内进行漫游。
3.投资回报快。在许多情况下安装一个无线网络比常规的有线网络要便宜,特别是现在许
多高校有多个校区,校区如果通过光纤连接的话,费用相当高,而通过无线网络则可以节约一部分费用。并且在两个不同的大楼内的计算机联网时,楼间的电缆价格昂贵,有时还受施工和其他全方面的限制,而无线网络可以提供一个简单直接的解决方案;从长远考虑,单位改组、内部调整、人才更变、新配办公室、新增办公大楼、加强部分职能等,节省大量资金。相当于有线网络,无线局域网的安装非常那个简单,它无需施工许可证,不需要不需要布线或开挖沟槽,它的组建、配置和维护较为容易,一般计算机工作人员都可以胜任网络的管理工作。同时,无线网络设备可以随办公环境的变化而轻松转移和布置,有限提高设备的利用率并保护用户的设备投资。
4.传输速率高,码分多址能力强。无线网络的速度可达到10M,可支持200个用户连接,且易于扩展,以适应更大量的读者需求。
5.可靠性强。有线网络线路由于金属接头生锈、渗水、人为的意外切断或网络的连接不良
而中断,线路失效,可能破坏网络的数据交换,检查问题往往需要很长时间。而无线网络则不存在这些问题。同时,无限网络不易受自然环境、地形及灾害影响。
6.便于教学。校园无线网络能提供对整个校园网用户的无线上网服务,通过无线网络师生
可以在学校任何地方很方便的连入校园网,进行信息的查询。并且马上可以得到数字化的全文信息,方便的进行学习。
校园局域网的设计思想
建议校园网WLAN采用思科公司集中管理架构下的“瘦AP”无线网络架构,以保证无线网络可管理性、安全性、QOS、无缝漫游等功能需求,尤其是方便未来的运维管理。
建议网络部署应该结合学校的实际情况,采用室内、室外多种无线接入相结合的方式,以满足学校楼宇多、广场多的特点。如在必要的时候采用室外Mesh WLAN技术通过无限回传技术解决有线网络传输距离的综合布线难度的问题。同时由于采用室内、外多种无线接入手段在满足武侠能覆盖的前提下,可以介入无线接入点的数量,从而提高无线网络的性价比。
校园无线网络在满足现有网络应用的同时,保证对未来网络技术和应用的支持,如无线话音、无线视频、组播等技术的支持,以满足学校教学和科研的要求。
无线校园局域网的构建 第3篇
关键词:校园无线局域网;子网规划;覆盖区;盲点
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
Construction of the Wireless Campus LAN
Li Junjian
(Zhaoqing Second Technical School,Zhaoqing526060,China)
Abstract:In recent years,in the building and construction of a lan on the inside are a substitute for cable networks of a trend.In a big trend for the wireless network,the rapid development and application,will help to the school campus of the network upgrade,and it will help to school teachers and students have a positive influence on the way of life.
Keywords:Campus Wireless LAN;Subnet planning;Coverage;Blind spot
一、无线局域网的概念
无线局域网(WLAN:Wireless Local Network)是指以无线信道来代替传统线传输介质所构成的局域网络。无线局域网是在有线网络的基础上发展而来的,无线网络的出现能够使各种网络终端设备摆脱有线连接介质的束缚,使其具有更多的移动性和灵活性,并能够实现与有线网络之间的互通。
二、无线校园网络的特点
无线校园网的特点主要集中在以下三个方面:
(一)信息点
随着笔记本电脑和现代信息化教学的普及,在一些场所,比如教室、图书馆、会议室等地方在同一时刻如果有大量的电脑,而目前的有线校园网不可能在这些场所布设太多的信息点,使得学生们在这些区域就无法同时上网。采用无线网络,在有限的信息点上连接无线接入器,就可以从一个信息点扩展到几十个信息点的应用。
(二)安全性
无线局域网安全性问题主要体现在以下两点。第一,访问受到控制。可以说,传统的有线网络普遍存在安全威胁和隐患,一些无名的以及任何不可相信的无线设备都有可能在信号覆盖范围区里进行网络接入的尝试,这样就暴露了网络的存在。第二,数据加密方面。如果有外部人员存有私心,可以通过绕过防火墙来访问网络,从而看到并非法存取学校内部数据;或者校园内部的教师和学生也有可能私自设置无线网卡,例如使用例如P2P等方式与外界通信,这样就可以在不为人所知情况下大量占用宽带网络。所以说,一定要做好访问控制和数据加密,这样才能保证了网络的稳定和数据的安全。
(三)节约成本
如果使用无线网络,一个无线接入点即可满足要求,能节省建一个大型机房的空间和一大笔维护一个大型机房的费用,并且无线网络系统的实用价值还会更高。
三、无线校园网络的子网设计
(一)无线校园网络的子网规划
1.教学子网:建立校园网的目的是利用网络实现信息化教学。教学过程中,主要传输的是文本、图像和视频等数据,对带宽要求较高,所以设计时教学子网用有线接入百兆无线设备进行覆盖;
2.办公子网:办公子网主要是用于学校的领导以及各职能部门办公,计算机所要做的主要就是对数据的查询、修改、添加、删除等。
3.图书馆子网:图书馆可以布设信息点,在信息点上连接无线接入器或者在图书馆设网络分中心,进行有线接入以无线设备进行覆盖,这样就可以减少布线的麻烦。
4.宿舍区子网:宿舍区子网使学生可以直接浏览学校主页及教务管理系统,也可以在宿舍接收老师的远程教学,由于宿舍区范围较大,进行分层无线覆盖。
(二)建筑物内与建筑物外的设计
1.建筑物内:在室内设计WLAN的时候首要解决的是要确定AP的数量和位置。覆盖区的间隙往往会导致在这些区域内无法连通,这就是我们在实际使用过程中可能出现的俗称的“盲点”,那么在安装AP的时候,我们最好通过以实地的测试来确定一下AP的数量和位置。一般情况下一个AP可以支持25-3O台计算机的接入,这样的情况是最佳的。另外,AP的地点的设置也要综合考虑实际环境,如教室的面积的大小和教室可以容纳的学生数量等;还有校方对机房网络的要求,如教学中对网络宽带、网络速度等的要求,包括覆盖频率、吞吐量需求等,一般的AP在空旷的环境下理论上有100米到300米的覆盖范围,在办公的环境下有35米到100米覆盖范围。
2.建筑物外:在室外进行网络布置的时候,首先要清楚信号是要传输到另外的较远的建筑物,还是对室外空地进行信号覆盖。
操场和其他地方的覆盖:在学校网络中心中安装一个全向天线,另外在其他的教学楼中安装一个室外的增益天线,利用各座教学楼的信号的相互覆盖就可以将学校中的空地进行信号的覆盖。在构建本方案的时候,可以体会到无线应用的范围很大,无线设施的便利点就是扩展起来方便、安装方便、使用方便。这样来看无线校园网又减少了投资、方便了管理,还能使用户随时随地上网。
无线校园网作为近几年教育行业信息化中出现的一个热门领域日益成为业界普遍关注的焦点之一。在有线校园网的基础上,越来越多的高校开始对建无线网络产生需求。到目前为止尽管由于种种原因,无线网络只是充当有限校园网的补充的角色,但相信在不久的将来,随着无线网络在高校应用需求的不断增加,人们使用无线网络进行网络沟通和交流的方便性大大提高,其设置和维护也渐趋完善后,无线网建设市场前景非常广阔,无线网络取代有线网络的一天将指日可待!
参考文献:
[1]王顺满,陶然,陈塑鹰,吴长奇.无线局域网络技术与安全[M].北京:机械工业出版社,2006
[2]孟祥宏.无线网络在高校校园中的应用[J].呼伦贝尔学院学报,2004,4
[3]朴雪,吴昌明.简析无线校园网的组建[J].教育信息化,2005,6
[4]陈建斌.无线校园网的规划与设计[J].教育信息化,2002,7
校园局域网建设安全系统的功能研究 第4篇
1.1 价值工程的基本概念
价值工程(Value Engineering,VE)是一门新兴的管理技术。于20世纪40年代起源于美国,麦尔斯(L·D·Miles)最初由材料代换(即功能不变,成本降低)而逐步总结出来的。价值工程是通过各相关领域的协作,对所研究对象的功能与成本进行系统分析,不断创新,旨在提高所研究对象价值的思想方法和管理技术。其目的是以研究对象的最低寿命周期成本可靠地实现使用者所需功能,以获取最佳的综合效益[1]。1955年价值工程传人日本后,价值工程成为日本许多企业各级管理和工程人员的必备知识和技能。使日本对价值工程研究和实践达到国际先进水平。1984年我国国家经委将价值工程作为推荐现代化管理方法之一,向全国推广。
1.2 价值工程的基本原理
价值工程中的基本原理包括以下三个方面[1]:
(1)价值、功能和成本的关系。
价值工程的目的是力图以最低的成本使产品具有适当的价值,实现其应具备的必要功能,价值、功能和成本的关系用公式表示为:
其中,V为价值;F为功能;C为寿命周期成本。从价值公式可以看出,价值与功能成正比关系,而与成本成反比关系,提高产品价值有以下5个方面:功能不变,成本降低,提高价值;成本不变,功能提高,提高价值;成本少量增加,功能大幅度提高,使价值提高;功能降低,成本大幅度降低,从而提高价值;功能提高,成本降低,使价值大幅度提高。
(2)价值工程的核心。
价值工程的核心是功能分析。例如,在项目设计时,进行结构分析的同时要进行功能分析,从而确定必要功能的最低成本方案;项目施工时,对施工条件和工程结构分析的同时要对施工方案和工程功能进行分解,从而确定实现施方案和工程功能的最低成本[1]。
2 校园局域网安全系统建设成本控制现状
过去十年中,许多IT管理人员普遍使用的网络安全策略是投资于外网,以防范外部威胁。他们认为所有威胁都来自于外部,外网保护森严的网络是最安全的网络。包过滤路由器、防火墙、应用代理和VPN等。防火墙、入侵检测系统等专业设备都比较昂贵,但并不能给局域网带来与之相匹配的防护。权威市场调查机构Gartner认为,损失金额在5万美元以上的攻击中,70%都涉及网络内部攻击者。防火墙、入侵防范系统可以抵御各种由蠕虫、越来越多的黑客活动所带来的威胁,但是不能有效防范内部攻击。高校的校园网和一般单位的网络相比又有很大的特殊性的,主要是由用户的特殊性决定的,高校学生是一个喜欢尝试、充满好奇的群体。校园网络分为内网、外网,学校的网络中心、数据中心属于内网,没有授予安全级别。面对来自于校园网内部的安全威胁,必要的内网安全措施是必须的。然而,当前国内的校园网在用重金购置防火墙,防病毒软件来防止外界威胁的同时,却往往忽视了对内部安全威胁的应对之策。
3 价值工程在校园局域网安全建设项目中的应用
本项目为某学校大型局域网网络安全建设项目,根据校园局域网对网络安全的要求,参照常见的网络安全系统,应用价值工程原理,在成本少量提高的情况下,使得安全防护性能得到很大提高。
3.1 校园局域网安全系统功能分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对局域网中存在的安全隐患,在进行安全方案设计时,下面列出必须认真考虑的安全防护功能,这与校园网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。校园网网网络系统安全主要具有如下功能[2]:
(1)防火墙系统:防火墙是不同网络或网络安全域之间信息的唯一出入口,防止外部的非法入禁,能够根据网络的安全策略进行控制;
(2)VPN系统:VPN系统能够起到防止外部攻击、加密传输数据等作用,构成一个相对稳固独立(1)的安全系统;
(3)入侵检测系统:为网络安全系统提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪、恢复和断开网络连接等;
(4)漏洞扫描系统:定期检查内部网络和系统的安全隐患,并进行修补;
(5)主机监控与审计系统:使得网络管理员可以控制不同用户对主机的使用权限,加强主机本身的安全,并对主机进行安全监督;
(6)服务器群组防护系统:服务器群组保护系统为服务器群组提供全方位访问控制和入侵检测,严密监视服务器的访问及运行情况,保障内部数据资源的安全;
(7)防病毒系统:对局域网内部计算机进行全方位的防病毒保护;
(8)网络运行监管系统:对整个网络和单个主机运行状况进行检测分析,实现全方位的网络流量统计、蠕虫后面检测定位、报警、自动生成拓扑结构等功能。
3.2 校园网网络安全解决方案
在网络安全系统功能分析的基础上,参照已有网络安全系统,校园局域网安全系统应实现的功能一般包括两方面:即外部威胁防护子系统和内部威胁防护子系统。其中,外部威胁防范子系统主要包括:防火墙系统、VPN系统、入侵检测系统、漏洞扫描系统、服务器群组防护系统和防病毒系统;内部威胁子系统主要包括:主机监督与审计系统和网络运行监管系统。
图1是某局域网拓扑结构简图。在网络安全防护方面的投资主要有:硬件防火墙、入侵检测系统、物理隔离闸;还有图中没有显示的漏洞扫描系统和防病毒系统,价格昂贵,但只能防范20%的外部攻击。
为了使得局域网安全功能系统发挥更大的安全防护作用,应该将重点从以往的防范外部威胁转移到防范内部威胁上来。高效保护内网安全是本项目目前急需解决的主要问题,也是解决方案的设计重心。通过添置主机监控和审计系统以及网络运行监管系统,可以较好地解决内网安全威胁:
(1)主机监控和审计系统。这不仅能对计算机的各种行为进行审计,还具备安全控制和网络运维管理功能,防止计算机内的重要信息从各种途径泄密。主要有安全审计、安全控制和网络运维管理三大功能。完成内网监测监控、用户集中身份认证、内部账号口令管理、防计算机外设及端口失泄密、文件操作审计、主机管理、内网安全审计等工作。
(2)网络运行监管系统。主要包括网络流量监管和网络管理两大功能。通过视觉的方式,反映整个网络的部署状况和运行状况,并对网络的运行进行实时的监控;对网络终端主机的运行状况进行监视,及时对包括冲击波、震荡波等各种蠕虫病毒和后门程序引起的异常状况进行分析、定位、告警、处理建议、报告、记录,能对大幅度的增加网络管理的粒度和力度,降低管理人员和维护人员的工作难度和工作负担。
通过增加上述两大系统,局域网内部安全防护性能能够得到很大,而且这两大系统本身价格并不贵,以较少的成本投入使得性能得到较大的提升。
4 结束语
局域网安全系统成本控制必须紧紧把握住局域网网络安全威胁的主要来源这个中心,针对威胁来源采取相应的应对措施。应用VE这一先进的管理方法,成本少量增加,校园网的安全功能大幅增强,达到了预期的目标。
摘要:从局域网安全系统建设项目成本控制的现状入手,结合价值工程的基本原理,分析了价值工程在校园网安全系统建设项目中的应用。
关键词:价值工程,局域网安全,功能
参考文献
[1]贾焕文、纪勇:《价值工程原理和方法》[M];河北人民出版社,1984:4-30。
校园局域网信息安全与病毒防治分析 第5篇
关键词:校园局域网;信息安全;病毒
采用lnternet技术建立的校园内联网络,往往会因为管理的不完善、人为破坏、技术漏洞、病毒爆发等因素导致校园网的崩溃。防范诸多事故的发生,需要网络、技术、师生等诸多方面协同合作,本文就对此进行探讨。
一、校园网的特点
校园网是在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。近年来,我国校园网建设发展迅速,基本上各个高校已经完成了校园网的覆盖,部分中小学也已经开通了校园网。校园网为我国各学校内部实现教育的资源共享、信息交流和协同工作提供了较好的服务。
1.校园网首先是教育网络,教育功能是校园网的一个重要组成部分。校园网是在一定教育思想和理论的指导下,为学校教育服务,提供新型教育模式的教育专用网络。指导校园网建设的教育思想和理论包括:教育观念、管理理论、教学理论和学习理论等。服务于教学、科研、管理的应用是构建校园网的出发点和归宿。
2.校园网包含大量教育隐秘资料,网络安全至关重要。校园网具有大量的教育信息和基础数据,以及基于校园网的网络行政办公管理信息系统(学生管理、学籍管理、档案管理、人事管理、固定资产管理和财务管理等)、图书管理系统和一卡通系统。这些都涉及学校的管理、决策、人员信息等内容,信息安全至关重要,一旦发生泄密,对学校的影响十分巨大。
3.校园网同时也是互联网的组成部分,校际校园网的互通是发展趋势。它可以是几个校园网的互连,也可以扩大到一个城市,甚至可以跨越省际。这就要求校园网要有强大的数据传输能力,同时还要具备强大的技术后台,为校园网信息安全提供保障。
二、校园网信息安全的几点建议
校园网安全隐患大多来自于管理的不完善、人为破坏、技术漏洞、病毒爆发等方面。笔者就这几方面分别进行分析。
1.管理。校园网的管理包括:网络规划与布局、入网审批、学校主页页面设计、信息上网技术服务、信息安全及保密的技术管理、组织项目施工、网络维护等。在网络建设初期,做好规划与布局,严格入网审批,加强学校主页页面设计安全标准,强化信息上网技术服务与跟踪服务,要有专人负责信息安全及保密的技术管理,做好网络的日常软硬件维护。
2.人为破坏。校园网内部人员或网管人员的安全意识也会影响网络事件突发,如服务器密码不及时更新,泄密,内网中使用监测软件等。应加强网管人员安全意识,加强网络管理,建立应急机制来应对以上原因导致的校园网瘫痪。①成立应急小组。发现问题后,第一时间召集网络应急机制小组成员开会。②分析故障原因及解决网络故障。如果是政治类突发事件,应及时删除信息内容,有效封堵反动和不良信息,并按时向校领导和上级部门报送信息情况,预防和防范到位,保证发现情况及时处理;如果是硬件故障类突发事件,应及时检测出故障源,断开网络连接,重新安装系统及升级、打补丁、安装防病毒软件及配置好防火墙等。③做好善后的预防工作。
3.系统漏洞。学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”,大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。校园网络管理员可以通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网络管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作。合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统。
4.病毒。校园网中的计算机数量较多,使用者的防毒水平参差不齐,病毒防范成为校园网日常管理中的一项非常重要的内容。因此,防范计算机病毒要做好以下几方面的工作:选择适用的防病毒软件、及时安装各种补丁程序、采取必须的安全措施、规范电子信箱的使用、做好各种应急准备工作、隔离被感染的计算机。
校园局域网管理探讨 第6篇
随着互联网的迅速发展,越来越多的工厂、企业、公司、行政行政事业单位组建自己的局域网。现阶段我国校园内局域网发展很快,为师生的工作、学习、娱乐等带来很大的便利,如何使校园网络畅通无阻、更好地为广大师生服务,这是学校网络管理人员必须面对的主要问题.我校组建的校园局域网现有八百多个用户, 为了方便对校园内的局域网进行管理, 同时又兼顾经济实惠的原则, 网络中心购买了长角牛监控机软件(原网络执法官).下面我就使用长角牛监控机V3.26(原网络执法官)及一些辅助设备和手段对校园局域网的管理谈谈自己的看法。
一、保护服务器和网关。
在网络中有许多arp欺骗类木马、病毒,或有用户私自运行类似原理的网管软件,伪装成网关来窃取各用户数据或进行其它非法操作,不仅严重占用网络带宽、危害网络安全,而且如果有多台机器争做网关,将会造成服务器瘫痪、全网断线的后果。在"长角牛监控机V3.26软件中有"主机保护"的功能,它可由管理员事先依据网络实际情况,在本软件中填入一些欲保护主机(比如事先设定的网关、数据服务器等)的IP及其MAC(网卡地址),本软件会以此数据为依据,与前述非法软件竞争,防止网络内的机器利用arp欺骗原理伪装成网关等重要主机,保护整个网络安全。设置时在本软件的菜单栏点击设置的下拉菜单选取主机保护, 在弹出的菜单中输入欲保护的网关IP地址和对应的网卡地址 (可保护8个) , 选择加入, 按确定完成设置.但管理员在设置时应注意:本软件指定受保护主机的IP和MAC一定要与实际相符,如果MAC与IP不匹配,不仅达不到保护的作用,反而可能会令用户与这些主机断开。如果经济条件许可, 对服务器和网关的保护可安装硬件防火墙, 硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定, 这样将达到更好的保护效果.
二、区分用户
校园局域网中, 根据不同的用户上网需要, 可划分工协作出不同的用户类型, 主要有如下几种:各个系、科室办公室用户、计算机实验室用户、电子阅览室用户、学生宿舍用户、教职工宿舍用户等.
2.1用户网关安排和IP地址分配
为了在网络管理中方便维护和维修, 可给不同类型的用户分配不同的网关和IP地址, 如在我们学校网关设置中, 以192.168.0.1为网关, 192.168.0.0-192.168.0.255的IP地址分配给办公室用户使用, 以192.168.10.1为网关, 192.168.10.0-192.168.10.255的IP地址分配给计算机实验室用户使用, 学生宿舍用户、教职工宿舍用户、电子阅览室用户等也分别分配不同的网关和IP地址, 当不同的网关下的IP用户出现故障时, 才能方便检查、维护.
2.2设置IP权限
对于不同的用户类型, 如办公室用户和教职工宿舍用户要求全天候无限制上网, 可用长角牛监控机软件设置为自由用户对于学生宿舍用户, 为避免一部分不自觉的学生沉迷于上网而影响学习, 可用长角牛监控机软件将其设置为受限用户, 通过控制其上网的总时间、上网的时间段控制学生上网, 对于计算机实验室用户、电子阅览室用户等也可以根据实际的需要采取同样的方法设置为受限用户, 通过控制其上网的总时间、上网的时间段控制学生上网情况.
三、解决合法用户与非法用户问题
3.1解决非法用户上网问题
校园内的一些计算机用户,没有经过正常途径申请和批准,私自把计算机拉入到校园局域网,逃避网络管理人员的管理,经常会造成网络内合法用户无法正常上网,他们常用的方法是盗用其他合法用户的IP地址,造成合法用户不能正常上网或盗用空置的IP地址上网,为了控制非法用户上网问题,可在长角牛监控机软件中设置的默认权限中对新用户默认权限设置为禁止用户,发现该用户上线即管理,管理方式为选择IP冲突和断开与所有主机TCP/IP连接,这样,没有经过正常途径批准的用户把计算机接入校园局域网时,将会在计算机中显示出现IP冲突的提示,无法接入校园网, 而对于合法的用户, 由于本软件之前已经根据其MAC地址和对应的IP地址, 判定为合法的用户, 从而不受影响。
3.2解决合法用户滥改IP地址的问题
一些合法用户,由于某种原因造成无法正常上网,有时会修改其IP地址进行上网,如果刚好遇到没有使用的IP地址则能正常上网, 但大多情况在修改IP地址时正好使用其他用户的IP地址, 造成两个用户同时使用一个IP地址, 两个用户都不能正常上网, 为了避免出现这种情况, 可采用MAC网卡与IP地址绑定的方法进行解决, 在长角牛监控机软件中MAC网卡与IP地址绑定的方法有两种.一种是对单一用户进行绑定, 可把该用户设定为受限用户, 选择启用IP限制, IP限制中有两种选择:限用以下IP和禁用以下IP, 一般采用选择限用以下IP, 如对IP地址为192.168.5.99的用户, 设定限用中输入192.168.5.99-192.168.599, 设定完毕后该用户只能使用192.168.5.99IP地址, 如果私自修改为其他的IP地址, 都会被监控软件管理, 使其不能进入到校园局域网.另一种是批量IP-MAC绑定, 有时要一次对多个用户所所使用的IP进行绑定, 避免对每一个用户逐个进行绑定时花费较多的工作时间, 采取在长角牛监控机软件的"用户列表"中选择多个用户, 然后点击右键, 选择右键菜单中的"IP-MAC绑定"就可以对多个用户快速指定权限, 与手工逐个设置权限效果相同但对网管人员来说更省时省力.
四、解决"友邻用户"问题
在同一局域网中, 其他也在运行长角牛监控机软件的用户称为"友邻用户".由于在本局域网中存在"友邻用户", "友邻用户"也可对局域网中的用户进行控制, 因此网管人员应当避免局域网中存在其他友邻用户", 网管人员应该在用户申请上网时留下如姓名、联系电话、地址、EMAIL等下联系方法, 经常留意长角牛监控机软件运行情况, 如本局域网中存在其他友邻用户"
在运行的长角牛监控机软件中的"用户列表"中会加入桔红色头像, 从而能够被发现, 网管人员可以联系到该用户通知其停止使用长角牛监控机软件.
五、解决ARP欺骗对用户计算机的影响
局域网内的一些计算机用户, 由于某种原因计算机有时会感染ARP类病毒, (运行长角牛监控机软件有时会发现某一个用户的IP地址上对应有两个MAC地址, 而且几乎同时上网和下线.) 造成该用户不能上网, 有时该类病毒甚至会通过正使用的计算机攻击局域网内的网关和服务器, 造成网络系统瘫痪, 此时应通过监控软件禁止其上网, 同时协助该用户处理感染的ARP类病毒, 如通过学校的网站、下发通知到各办公室、班级等手段发布处理感染的ARP类病毒方法.一般来说, 对感染ARP类病毒的机器可用多种方法解决, 主要有清空ARP缓存、安装和使用ARP防火墙单机版软件、硬盘格式化等方法处理.
5.1清空ARP缓存
对一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:通过点击桌面上任务栏的"开始"->"运行",然后输入cmd后回车,或"开始"->"程序"->附件->命令提示符点击后进入cmd (黑色背景) 命令行模式, 使用arp-d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的, 然后使用arp-s命令来添加一条ARP地址对应关系,例如arp-s 192168.5.25 00-14-78-a7-66-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,并把它写到一个批处理文件中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。
5.2安装防ARP类病毒软件
对一些已经感染了ARP类病毒的用户,除了限制其上网并通知他外,还可以在在学校的网站上提供一些比较有效的防ARP类病毒软件供师生链接下载,如ARP防火墙单机版软件等进行清除病毒木马,保证校园网络的安全畅通。
5.3重装计算机
对于一些感染了ARP类病毒的用户,当其上网时计算机会对局域网的网关或服务器进行攻击,则应要求该用户立即重装计算机(从系统格式化开始重装),重装后安装防火墙及杀毒软件,之后向网络中心通报,网络中心核实后才解除其上网限制。
六、结束语
利用长角牛监控机软件(原网络执法官)等类似软件对局域网进行管理方便、成本低等优点是非常显著的,但它只有在小型的局域网中使用和大部分用户是比较友善时才有较好的管理效果,因此具有一定的局限性。要真正保护好服务器和网关,最好应用硬件防火墙,要解决合法用户与非法用户问题,最好应用安全计费认证系统,现在如华为、西安交大捷普等公司都有这些产品,且产品的价格越来越低,这些产品将为我们对校园局域网的管理带来越来越大的帮助。
摘要:本文以利用长角牛监控机V3.26软件为主, 对校园局域网管理中存在的问题进行分析和提出解决问题的方法.
关键词:校园局域网,管理,长角牛监控机V3.26软件
参考文献
[1].长角牛软件工作室长角牛网络监控机帮助说明2007.5
校园无线局域网设计研究 第7篇
目前,随着无线局域网技术的发展,其应用领域也在不断扩大。为了加快学校信息化步伐,大部分学校都需组建一个相对安全、可靠和高性能的无线校园网络以满足学校对办公、教学自动化的各项需求,实现“数字化校园”。本文对校园无线局域网进行了拓扑模型设计和校园无线局域网的设计规划。
1 系统需求分析
不同的学校对无线网络的应用需求不尽相同,但大体上可分为自动化办公、信息化教学及信息服务等方面的需求。学校的信息服务一般用于满足校园网站建设、图书馆阅览室管理、学校教务管理、师生间的文件传输服务、学校日常办公事务管理,以及部分多媒体设备运用及一些远程教学服务。
应用于教学的无线网络一般要考虑其安全性、稳定性和可扩展性等。鉴于此,校园无线网络的性能需求大体可分为:高可靠性、较短的响应时间、高吞吐率、高传输速度、高性价比等。根据这些特点在有线网络主干部分统一使用光纤,其它数据点使用超5类双绞线来满足这些需求。对设备的选用,可选择性能高、WAN接口(广域网接口)多的路由器连接到外网,再通过防火墙接入核心层交换机,采用存储转发速率高、低延迟的交换机作为核心层交换机,对每个楼层之间、不同部门之间接入其各自单独的交换机再接进无线AP。在各节点上的客户端,通过VLAN的划分技术、Trunk设置技术等保证整个网络正常运行。
2 系统设计
2.1 无线局域网拓扑结构设计
无线局域网一般分为以下几种结构:星型网络结构、环型网络结构和总线型网络结构。本文采用树型和星型混合的拓扑结构,这种结构可以满足多用户需求。可将网络划分为核心层、分布层、接入层进行设计。无线网拓扑设计如图1所示。
某学校平面示意如图2所示,以该校为例,进行校园无线网络设计。
2.2 系统详细设计
2.2.1 无线局域网方案
从该教学楼建筑结构看,这种结构房间较多,障碍物多且人员较密集,因而对网络的性能要求也较高。可以采取在各楼层实现多个无线AP交叉覆盖的方案,每一个无线AP分别连接一个交换机,尽可能地保证带宽。对于图书馆这种特殊的结构,其室内空间大、障碍物少、人群密度高,因而可采用同一楼层中多个无线AP交叉覆盖的方案。
针对学校的广场、运动场这些室外活动区域,这种空间地形宽阔且存在的障碍物较少,可以根据室外场地的实际大小范围,适当设立多个无线AP并采取交叉重叠的覆盖方案,实现用户在室外无线漫游。
2.2.2 无线局域网AP布设
一个无线AP信号理论上为200m左右的覆盖范围,考虑到网络设计的成本需求以及满足移动设备在移动时能够正常使用无线局域网,在布设无线局域网时考虑了地板、墙之类的障碍物对于无线AP的影响。一般而言,当信号穿透地板时衰减在20dB~40dB之间,信号穿透墙时衰减在10dB~15dB之间,可以在每一层都布设独立的AP,以此来避免AP信号穿越太多的障碍物间隔。另外,在两个无线AP少量重叠时可以使得用户在走到一个无线AP覆盖边缘的情况下进入另一个无线AP的覆盖范围,这样可以增强用户体验。根据这些因素设计出校园无线AP放置方案如图3所示。
2.2.3 信道规划
完成AP布设后,一般情况下信道由路由器自己选择,为了减少邻近楼层的信道重叠,其可能会发生干扰情况,因而有必要对AP的设备信道进行分配。在我国使用最多的是IEEE802.11b和802.11g标准,它们的工作频率为2.4GHz,频段最多为14个信道,每个信道占用的带宽是22MHz。为了避免干扰,相邻接入点之间的信道间隔应该至少为5,每个频段中至多只有3个频段(如:信道1、信道6、信道11)。
根据信道规划将图3中的AP1、AP6、AP9设置为频道1,AP2、AP4、AP7、AP10设置为频道6,AP3、AP5、AP8、AP11设置为频道11,设置在室外的AP12为频道6,AP13为频道11。
2.2.4 客户端和AP关联建立
客户端和接入点之间传输数据需要先建立关联,步骤如下:1客户端查找可用的WLAN,当客户端搜索到特定网络名称后发送一个连接请求;2接入点处理客户请求,将质询文本发送至客户端并通过WEP或WPA等方法进行身份验证;3当接入点授予关联后它会返还一个连接ID和一个为“0”的状态代码以示成功;4接入点和客户端关联建立,客户端获得接入点MAC地址,接入点开始将帧转发到移动设备;5当客户端离开了一个信号覆盖范围逐步进入到另一个信号范围内,客户端就会重新发送请求,当第二个AP接受了客户端的请求后通过有线网络将客户端的更新信息发送至前一个AP,这时前一个AP就会断开连接。
2.3 主干网络设计
2.3.1 路由器的访问安全配置
创建不同的用户并为它们各自设置不同的密码,应设置8位以上的密码来保证安全。对客户频繁登入路由器的限制,可以有效防范非法用户恶意破解密码。当客户在30s内登入3次都失败时,须等待60s才能再次登入。同时设置一个ACL,当非法用户多次登入失败处于等待期时,ACL中特定的用户仍然可以登入,避免正常用户的使用受影响。使用Telnet协议访问路由器是一种明文传输且较简单的方法,它不够安全,可以使用加密传输的SSH协议来代替Telnet协议。SSH协议是应用于传输层和应用层的安全协议,提供基于口令的和基于密钥的安全验证。
2.3.2 路由器日志配置
使用路由器日志,用户可以掌握路由器活动情况,定时检查路由器是否遭受到攻击,了解网络的工作情况,可以更好地帮助用户识别攻击,保护校园网络安全。打开路由器日志功能,设置实现路由器日志在控制台上显示,同时将日志在远程终端上显示出来。
2.3.3 访问控制列表(ACL)
使用ACL访问控制列表可以对数据进行检查过滤,限制不必要的路由更新,根据优先级对数据包进行处理,它是一种保护网络安全的基本手段。ACL主要有3种:标准ACL是最简单的,它通过IP地址进行过滤;扩展ACL提供了更多项以供选择,它允许一些通信讯息通过,拒绝另一些通信;命名ACL可以增删特定项,更方便修改。
2.4 无线局域网安全措施
对于WLAN的安全防护,最主要的措施就是访问控制和数据加密。路由器ACL配置可以适当控制对路由器的非法访问,也可对链路层进行加密与认证配置。
2.4.1 SSID
SSID即服务集标示符。对不同的AP设备设置各不相同的SSID,当无线工作站出示与AP设置的SSID相同时才允许访问AP,如果SSID不相同AP则拒绝请求。SSID只是非常简单的口令,其安全度不够高,如果AP配置向外广播它的SSID,其安全性就更低[1]。
2.4.2 端口控制访问
客户端和AP建立关联后由IEEE802.1x决定认证结果,如果成功AP就会为用户打开一个逻辑端口,若失败则拒绝用户上网。对端口的控制可以保证过滤不经允许的客户接入。
2.4.3 MAC(物理地址)过滤
每一个工作站都有唯一的MAC地址,因而可在AP中设置允许访问的MAC地址列表,这种方法可以起到物理地址过滤的作用。MAC也存在明显缺陷,若攻击者可以通过软件更换MAC地址而无线网卡对此是允许的,那么伪装的有效MAC地址就能轻易进入网络[2]。
2.4.4 WEP加密
射频在穿过某些物体时存在信号被泄露的风险,必须采取一种机制对隐私信号予以保护。有线等效保密(WEP)就是IEEE802.1标准中创建的一个解决方案,它是一种单向认证方案。为了保护隐私信号,WEP采用了加密对策通过共享的密钥来实现,以此对无线通信进行加密和解密操作。并且,WEP在AP上定义了不止一个密钥,交替使用不同的密钥更增加了安全性。
2.4.5 WPA加密
由于WEP不太安全,后期采用了WPA加密技术。WPA技术包含了IEEE802.11x即端口访问控制技术、EAP、TKIP和MIC。WPA使用端口控制访问技术和EAP对客户端进行验证,当用户提供了正确的证明时才允许客户端加入[3]。同时,WPA通过TKIP技术生成一个动态密钥,客户端以接收到的密钥对数据进行加密。WPA又通过MIC进行攻击阻拦、防止篡改等技术。总体而言,WPA加密技术有效增强了WLAN的安全性,也提升了单向认证的WEP加密性。
2.4.6 WPA2加密
WI-FI对WPA技术进行增补,产生了WPA的下一个版本WPA2。WPA2对原来WPA中的TKIP技术进行了改进,它使用AEC-CCMP技术进而实现AES算法。在WPA2中仍然保有IEEE802.1x和EAP,其作用与原WPA中的相同。AEC-CCMP是一种比TKIP安全性更高的高级加密算法,它对以太帧进行再加密,密钥的长度为128位。WPA2中AES提供了加密算法,CCMP提供了加密技术和认证以及检查完整性的功能。同时WPA2对AP进行了认证,改进了WPA的不足。
3 网络管理
3.1 性能管理
对接入校园网络的IP地址数量和流量进行记录,能适时对校园网络流量的高峰进行统计。对性能的管理能帮助网络管理者有效解决网络瓶颈问题。
3.2 配置管理
运用数据库系统对网络设备和服务器的主要配置信息、网络通信、用户名、口令密码等重要信息进行管理。
3.3 失效管理
及时进行失效管理以消除故障,这是确保校园无线网络正常运作的一个重要部分。
3.4 环境安全管理
对校园无线网络所在的环境进行保护并对突发灾难进行预防,防止线路等设备被人为破坏。
3.5 数据备份
数据一旦被破坏会严重影响正常工作和生活,因而数据的备份和恢复不容忽视。根据不同的需求,可以选择本区域内或者其它场地的数据进行存储备份。备份不止在故障中防止重要数据丢失,同时在面对网络攻击时对被破坏的数据进行修护,它更是系统灾难恢复的重要基础[4]。
3.6 设备管理
为防止网络主要设备被不法分子盗窃或人为毁坏,可对部分设备进行防电磁干扰保护,并对电源进行定时检查和保护。
4 结语
本文在分析无线局域网需求的基础上,完成了对某校校园无线局域网的拓扑模型设计和无线局域网规划。重点探讨了如何建设一个安全的校园网络,对普遍存在的网络攻击进行了介绍,并提出了一些解决方案,如利用SSID、端口控制访问、WPA等技术。随着网络技术的发展,无线网络在各行各业中的应用将更加深入。
摘要:探讨了校园无线网络设计方案。通过规划信息点、布置AP、划分信道、配置主干网络等设计了一个“数字化校园”,并使用不同的安全协议以确保无线网络安全通信。
关键词:数字化校园,无线局域网,网络安全
参考文献
[1]胡朝清.基于IEEE802.11n的无线校园网[J].长春工业大学学报:自然科学版,2013,34(2):236-240.
[2]顾晟.校园无线局域网建设中安全措施的设计[J].南京工程学院学报:自然科学版,2011,9(4):69-72.
[3]群诺.试论无线校园网设计方案——以西藏大学老校区为例[J].西藏大学学报:自然科学版,2013,28(2):58-63.
校园无线局域网安全现状刍议 第8篇
1 校园无线局域网的概述和应用状况
无线网是利用无线电技术使用户通过无线连接来接入网络的方式。那么校园无线局域网, 就是在校园内建立的一种利用无线电技术把用户设备连接在一起, 构建成一种能够共享资源和互相之间连接的局域网的网络体系。这种校园局域网技术的本质在于利用无线网的灵活、便捷性来替代有线电缆连接的方式。与传统的校园局域网相比, 这种校园无线局域网的优点是显而易见的, 主要表现在以下三方面: (1) 校园无线局域网的建立十分简单, 安装人员并不需要有十分强的专业知识就可以对无线网络设备进行安装, 而且校园无线局域网受时间和空间的限制相对较少, 基本上不会被地理空间限制。 (2) 校园无线局域网的可变性比较好, 它的位置可以随用户的需要而改变, 而且只需要通过无线AP桥接的方式就可以做到, 不像有线网络, 需要用大量的线路和交换机等设备来完成。 (3) 校园无线局域网在建立之后, 可以使教师和学生在教学和学习活动中获得极大的便利, 同时教学活动也变得十分灵活, 教师和学生甚至可以在室外教学和学习。因此, 校园无线局域网的建立和普及是一种必然的发展趋势。
2 校园无线局域网的安全问题
无线网络的发展虽然越来越快、越来越成熟, 但是相对于有线网络来说, 无线网络毕竟是一种新兴的事物, 在安全性方面仍存在不少问题。无线局域网是一种非固定节点网络, 容易被发现, 这是由无线局域网的特性决定的。要使校园无线局域网有尽可能广的人群使用, 就必须保证其信号足够强, 传输速度足够高而稳定, 但是这又与无线局域网的安全性、私密性是相悖的, 因此, 必然会导致校园局域网在安全性方面出现一些问题。同时, 校园无线局域网也是一种网络, 自然也会出现常见的网络安全问题, 比如网络黑客的入侵、网络病毒的进攻等。除了这些常见的网络问题, 校园无线局域网同时也会遇到自己所独有的问题, 比如未被授权的网络访问和网络监听入侵、网络信号受到干扰和防御措施所导致的入侵。
2.1 未被授权的网络访问和网络监听入侵
这种问题在无线局域网络中是十分常见的, 同时也是目前无线局域网络所面对的最大问题, 它所造成的威胁也是最大的。网络入侵者通过获取无线局域网的信息信号, 冒用合法用户的身份, 通过无线网络来获取总系统、总网络的控制权。
这种安全问题在无线局域网中多由无线网络的特性来决定。有线网络使用电缆来连接, 网络信息在传递过程中, 传输介质在传输方式上已经采用了外界的物理保护措施防护, 很私密也很封闭, 有线网络除非在物理上遭受损坏或者攻击者接入物理电缆网线才会使信息被窃取。无线局域网络则不同, 它是通过无线电传播网络信息的。无线局域网在空中呈辐射状, 可以被任何接入者接入, 而不像有线网络那样可以进行人为外界控制, 而且在进入后也很难对接入设备进行精确定位, 这使得未被授权的入侵者能够很容易侵入网络并且全身而退。
2.2 网络信号受到的干扰
无线局域网络抵抗信号干扰的能力与有线网络相比要弱很多。有线网络在网线损坏时, 一般只有一台设备机的网络互通和资料共享性受到影响。然而无线网络当一台无线网络设备机损坏时, 其覆盖的范围、接入网络的设备机数量就会大大减少。这是一种信号受到干扰的情况。还有一种情况则是无线电技术导致的信号本身的问题。虽然无线局域网的无线信号机位置是固定的, 但是与有线网络相比, 无线局域网的传输速率不够稳定, 并且信号是可变的。比如用户距离信号机远, 则传输速率会低, 就是常说的“网速慢”, 而即使人们距离信号发射机近, 但是接入设备在不断移动, 接收的信号也不稳定, 传输速率也会受到影响。另外, 发射机本身的信号还会受到其他频段的信号和其他干扰源等的影响。这些都是导致校园无线局域网不安全的因素。
2.3 防御措施所导致的入侵
一般来说, 校园无线局域网都有一套自己的安全系统和安全设施, 但是无线网络的安全防御措施和有线网络的安全防御措施是有区别的。有线网络在长年的发展过程中, 已经形成了一套完整的防御体系, 网络入侵要经过层层防御才能窃取到信息, 而这种入侵在世界上也比较少见, 除非发生内部入侵。而无线局域网络的发展时间并不长, 网络内部的防御就更加脆弱。无线局域网在外部防御上一般和有线网络是相似的, 但是如果入侵者突破外部的防御入侵到了其中一个网络节点之后, 无线局域网络内部的救护变得十分脆弱, 这样就会使内部的信息暴露无遗。这是无线局域网中一个大的安全隐患。
3 校园无线局域网安全性的未来发展
从校园无线局域网目前所反映出的问题得知, 校园无线局域网未来发展的方向为“根据无线网络自身的技术特性和人们在管理和意识上的疏忽, 来提高其安全性”。在未来的发展中, 校园无线局域网必将更加普及, 而有线网络将逐渐退居二线, 作为辅助方式, 这是大势所趋。因此, 校园无线局域网的安全性显得尤为重要——如果安全性问题得不到解决, 那么未来必然会有重大的信息泄露等安全事件发生。
4 结束语
在当下的发展中, 校园无线局域网虽然在逐渐普及, 但是校园无线局域网的安全状况却得不到重视。目前, 校园无线局域网的安全状况不容乐观, 遇到的安全问题也是多种多样的, 比如有硬件技术带来的问题, 也有软件技术带来的问题, 同时还有人员管理方面的问题。因此, 我们应该对校园无线局域网的安全现状有一个完整、全面的认识, 充分意识到网络安全问题的重要性和紧迫性。从目前的问题着手解决安全性问题, 促使校园无线局域网的安全性问题得到很好的解决。
摘要:由于无线网络可以满足教育教学灵活、多样化的要求, 因此, 现代大多学校配备了校园局域网, 而且局域网已经从有线延伸到了无线。然而, 校园网在从有线到无线的变化过程中, 也逐渐暴露了许多安全性问题, 这是由无线网络的特性决定的。结合现状, 着重讨论校园无线网络中的安全问题。
关键词:校园局域网,无线网络,有线网络,安全问题
参考文献
[1]陈卓, 洪帆.无线局域网认证协议及安全性证明[J].计算机工程与科学, 2006, 28 (1) :9-10.
[2]厉剑.无线局域网安全标准及技术浅析[J].信息安全与通信保密, 2008 (10) :36-38.
浅析校园内部局域网信息安全 第9篇
1 采用安全交换机
由于内网的信息传输采用广播技术, 数据包在广播域中很容易受到监听和截获, 因此需要使用安全交换机, 利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源, 以加强内网的安全性。
2 操作系统的安全
从终端用户的程序到服务器应用服务、以及网络安全的很多技术, 都是运行在操作系统上的, 因此, 保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外, 还需要建立一套对系统的监控系统, 并建立和实施有效的用户口令和访问控制等制度。
3 对重要资料进行备份
在内网系统中数据对用户的重要性越来越大, 实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击, 用户的一次错误操作, 系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。
为了维护校园内网的安全, 必须对重要资料进行备份, 以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃, 进而蒙受重大损失。
对数据的保护来说, 选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的, 配合各种灾难恢复软件, 可以较为全面地保护数据的安全。
4 使用代理网关
使用代理网关的好处在于, 网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关, 进而才能访问到Internet, 这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。
在代理服务器两端采用不同协议标准, 也可以阻止外界非法访问的入侵。还有, 代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。
5 设置防火墙
防火墙的选择应该适当, 对于微小型的内部网络, 可从Norton Internet Security、PC-cillin、天网个人防火墙等产品中选择适合的个人防火墙。
而对于具有内部网络的学校来说, 则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言, 都可以通过内置的防火墙防范部分的攻击, 而硬件防火墙的应用, 可以使安全性得到进一步加强。
6 信息保密防范
为了保障网络的安全, 也可以利用网络操作系统所提供的保密措施。以Windows为例, 进行用户名登录注册, 设置登录密码, 设置目录和文件访问权限和密码, 以控制用户只能操作什么样的目录和文件, 或设置用户级访问控制, 以及通过主机访问Internet等。
同时, 可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性, 数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施, 而数据库的数据以可读的形式存储其中, 所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径, 电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道, 如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等, 也可以采取相应的保密措施。
7 从攻击角度入手
目前, 计算机网络系统的安全威胁有很大一部分来自拒绝服务 (Do S) 攻击和计算机病毒攻击。为了保护网络安全, 也可以从这几个方面进行。
对付“拒绝服务”攻击有效的方法, 是只允许跟整个Web站台有关的网络流量进入, 就可以预防此类的黑客攻击, 尤其对于ICMP封包, 包括ping指令等, 应当进行阻绝处理。
通过安装非法入侵侦测系统, 可以提升防火墙的性能, 达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作, 当窃取者入侵时可以立刻有效终止服务, 以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问, 规定具有IP地址的工作站对本地网络设备的访问权限, 以防止从外界对网络设备配置的非法修改。
8 防范计算机病毒
从病毒发展趋势来看, 现在的病毒已经由单一传播、单种行为, 变成依赖互联网传播, 集电子邮件、文件传染等多种传播方式, 融黑客、木马等多种攻击手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点:与Internet和Intranet更加紧密地结合, 利用一切可以利用的方式 (如邮件、局域网、远程管理、即时通信工具等) 进行传播;所有的病毒都具有混合型特征, 集文件传染、蠕虫、木马、黑客程序的特点于一身, 破坏性大大增强;因为其扩散极快, 不再追求隐藏性, 而更加注重欺骗性;利用系统漏洞将成为病毒有力的传播方式。
因此, 在内网考虑防病毒时选择产品需要重点考虑以下几点:防杀毒方式需要全面地与互联网结合, 不仅有传统的手动查杀与文件监控, 还必须对网络层、邮件客户端进行实时监控, 防止病毒入侵;产品应有完善的在线升级服务, 使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网, 在病毒爆发的第一时间即能提供解决方案;厂商能提供完整、即时的反病毒咨询, 提高用户的反病毒意识与警觉性, 尽快地让用户了解到新病毒的特点和解决方案。
9 密钥管理
在现实中, 入侵者攻击Intranet目标的时候, 90%会把破译普通用户的口令作为第一步。以Unix系统或Linux系统为例, 先用“finger远端主机名”找出主机上的用户账号, 然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效, 入侵者就会仔细地寻找目标的薄弱环节和漏洞, 伺机夺取目标中存放口令的文件shadow或者passwd。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理, 如口令的位数尽可能的要长;不要选取显而易见的信息做口令;不要在不同系统上使用同一口令;输入口令时应在无人的情况下进行;口令中最好要有大小写字母、字符、数字;定期改变自己的口令;定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。
结语
以上九个方面仅是多种保障校园内部局域网信息安全措施中的一部分, 为了更好地解决校园网的安全问题, 需要有更为开阔的思路看待校园网的安全问题。在安全的方式上, 为了应付比以往更严峻的“安全”挑战, 安全不应再仅仅停留于“堵”、“杀”或者“防”, 应该以动态的方式积极主动应用来自安全的挑战, 保证校园内部局域网信息真正得到安全保障。
医院无线局域网建设研究 第10篇
关键词:医院信息化;无线局域网;安全研究
中图分类号:TN925.93 文献标识码:A 文章编号:1674-7712 (2012) 12-0075-01
随着计算机信息技术的发展,医院的信息化建设进入了快速发展阶段,特别是医院应用的软件系统的开发,如HIS(医院信息系统)?LIS(检验信息系统)、RIS(放射科信息系统)、PTS(医院门诊管理系统)等都已经开发成功,为医院信息化建设提供了必备的条件,为提高医疗水平与服务质量奠定了坚实的基础。但值得注意的是,现阶段医院的信息系统大多采用有线局域网结构,一些工作的效率还不能得到真正的提升,医院的干净整洁受到了破坏。随着无线局域网的不断发展和应用,医院建设无线网络已经成为现实,为更好地提高医疗效率,提高医疗服务质量,提供了技术上的支持。
一、无线局域网的特点
无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency; RF)技术,取代双绞铜线(Coaxial)所构成的局域网络,让用户实现信息随时获得,随时交换。我们选择IEEE802.11标准的无线局域网的解决方案来建立医院信息化网络应用,是最为合适的?它的优点是:
(一)灵活性、移动性。在无线信号覆盖区域内的任何一个位置,无线网络设备都可以接入网络,用户终端可以移动位置与网络保持连接,灵活方便地工作。
(二)安装便捷。无线局域网可最大程度地减少网络布线,只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。
(三)方便网络规划和调整。有线网络要改变结构就得重新建网,重新布线,建立无线局域网就可以避免重新布线。
(四)故障定位容易。有线网络的物理连接出现故障很难查明,但无线网络则很容易定位故障,只需更换设备就能恢复网络连接,简单易行。
(五)易于扩展。无线局域网有多种配置方式,从几个用户的小型局域网扩展到上百上千用户的大型网络也极为容易,适合医院发展需求。
二、医院建设无线局域网的优势
(一)网络建设方便快捷。无线局域网不需要大规模布线,只要在医院病区合理布置AP(Access Point,无线接入点),就能把网络拓展到诊室和病房,医生用笔记本电脑(有无线网络适配器的)或PDA设备就可接入医院信息化网络,快速获取患者的相关病史?用药情况以及检查信息等;快速记录病程情况,根据需要直接调整医嘱,并发送到各个相关医技科室,实现移动查房,提高工作效率。
(二)实现数据信息化,检查数据无纸化,医生调用随时化。医院的信息系统化不能只停留在管理流程的计算机化,而且要实现医疗数据信息化,检查数据无纸化,医生调用随时化?如大量的化验结果?放射报告等医技检查数据要数据化后,在无线局域网中,医生能够在病区随时调阅数据,提高了诊断治疗的速度,也避免了纸张浪费。
(三)方便接入监护设备。建立无线局域网后,不仅医院的ICU?CCU病人监护可以入网,一般监护设备,如心电图监护仪?脑电图监护仪等也可入网,医护人员能随时获取和捕捉完整的病情信息。
三、医院无线局域网设计方案
(一)无线网络结构。在建设无线局域网时,一定要借助原有的有线网络,在原先的三层交换或七层网络的基础上进行扩展,所需的区域无线设备,都要通过现有的有线网络汇聚到信息中心,无线用户通过认证后方可访问医院的信息网络,这样就把无线网络能和原有的有线网络?应用系统、安全策略有机结合成完整的信息网络。其结构大体如下:以三层或七层千兆核心交换机为中心,上设医院信息化采集处理中心和网管工作站,下设楼层交换机,与楼层交换机相连的是无线AP。信息采集中心视功能及实际需要可设多台终端机,网管工作站应该外设医保专网,建立医保终端处理系统,与医院的无线网络相联。其中楼层交换机可视需要进行建立,原则上每个楼层都要设置一台或多台,以达到无线信号全覆盖。
(二)注意无线AP设置。日常交费、挂号、结算系统因其交换的信息量大,要求速度快,可用有线网络结构,增强工作量。无线AP可按科室或工作需要在适当地方设置。根据近几年工作中的经验,我们认为,每个无线AP间应以半径15~25米做水平180度无线覆盖为最佳。无线AP可吊顶或墙壁放置,且使用远程供电单元(PoE)通过以太网线远程供电。无线AP利用自身的10/100M以太网端口,用双绞线连接局域网交换机。要减少无线AP间的信号覆盖重叠区域;一台无线AP至多接入20~30个无线用户,以保证信号质量。
(三)实现微蜂窝覆盖。在无线AP设置时,要注意保证子频道间不相互干扰,两个频道的中心频率间隔不能低于25MHz。在一个蜂窝区(Cell)内,直序扩频技术最多可以提供3个不重叠的频道同时工作。因此,配置子频道时要把每个病区内的3个无线AP的工作子频道按频道1?6?11的规律错开设置,以避免相邻无线AP子频道出现干扰问题。这种微蜂窝覆盖的无线网络,扩展了单个无线AP的覆盖范围,用户可以在无线AP群覆盖的范围内随时投入工作。
(四)购置支持IEEE802.11g标准的无线AP。市场上支持IEEE802.11g标准的无线AP产品主要NETGEAR WG602,WAP54G,D-Link DWL-2000AP+等,提供的数据通信高达300Mbps,甚至更高,且兼容所有802.11b的网络设备,要采购此类产品,在最大程度地减少投资的基础上,保证大流量的检验数据和数字图像的传输。
参考文献:
[1]刘月阳,无线分布式网络中基于能量的路由算法和MAC算法研究[D].北京邮电大学,2006
校园无线局域网的安全策略研究 第11篇
随着科学技术的日新月异,无线局域网技术也在以惊人的速度不断发展。人们通过网络来进行查询账目、网上炒股、网上购物、缴费和搜索资料越来越方便。能够在任何时间、任何地方使用网络成为人们的迫切希望。这时,最佳的选择是无线网络。由于无线局域网具有许多方面的优点,例如,数据传输方便、组建简单、造价便宜及施工影响面小等,因此,它已经逐步在高校校园网中使用。在校园中,可以通过某种形式将现有的设备以及电子产品连成无线网络,进行统一的管理和控制,并将其连入Internet进行远程调度,从而进行无线上网。
2 概述
近年来,随着无线通信技术的迅速发展,校园无线局域网也在大多数学校出现。校园无线局域网是在校园内,通过计算机网络与无线通信技术的结合,将计算机设备进行连接,形成的局域网。校园无线局域网通过无线通信技术,将传统的通过电缆的方式将计算机与网络连接起来的局域网组网方式替代,使上网的灵活性得到增强。和传统校园网中的有线网络相比较,校园无线局域网具有非常多的优点,例如,良好的移动性、没有必要使用设备、灵活性高等等,而且不受位置的限制。但是,校园无线局域网具有诸多优点的同时,也面临着相对于有线网络的特殊的安全问题。
3 安全策略
为了保证校园无线局域网的安全性,校园无线局域网的安全策略应该符合以下几个方面的要求:校园无线局域网的身份验证基于用户名和用户密码等与网络设施独立的项目,不论在哪一台客户机上运行,用户名和用户密码等与网络设施独立的项目都应该由用户拥有和使用;支持客户机和验证服务器之间的双向身份验证;使用由用户身份验证动态产生的连线对等保密协议密钥,而并不是和客户机物理相关的静态密钥;支持基于会话的连线对等保密协议密钥。同时应根据对安全性要求高低通过设置认证服务器和配置其他监控手段以进一步提高网络的安全性。下面详细探讨校园无线局域网的安全策略。
(1)校园无线局域网设备应使校园无线局域网和核心网络得到有效隔离
校园无线局域网可以使用的区域范围及接入点的安放位置必须适当,从而避免超出可以使用的区域范围,而使黑客得到范围更大的自由攻击空间。在网络结构方面,同时采取网络隔离及网络认证措施对校园无线局域网的信号传输范围进行限制,并明确区分开来校园无线局域网和重要的内部网络,在接入点和内部网络之间采用防火墙进行安全隔离,必要时采用物理隔离手段。这样,即使校园无线局域网出现了安全问题,也不会导致内部网络立即产生严重危机。
(2)校园无线局域网设备必须合理设计配置
为了使校园无线局域网设备不易被猜测到,默认的服务集标识应该改掉;关闭定期广播功能,避免黑客直接获得服务集标识,而只能借助一些无线数据包捕获及分析工具才能获得;利用MAC地址通过访问控制列表,就能够限制非授权人员访问校园无线局域网;接入点日志应该经常查看,及时发现攻击者;激活连线对等保密协议,连线对等保密协议密钥应该经常改变或者通过使用动态密钥的方式来避免密钥重用。
(3)合理利用无线局域网的加密技术
为了提高无线局域网的可靠性,应该合理利用无线局域网的加密技术。例如,连线对等保密(WEP,Wired Equivalent Privacy)技术、Wi-Fi保护接入(WPA,Wi Fi Protected Access)技术、新一代无线安全技术IEEE802.11i和虚拟专用网络(VPN,Virtual Private Network)技术。
其中,连线对等保密(WEP,Wired Equivalent Privacy)技术、Wi-Fi保护接入(WPA,Wi Fi Protected Access)技术、新一代无线安全技术IEEE802.11i的关系如图1所示。
(4)采用静态IP地址和入侵检测工具
采用静态IP地址而不使用由DHCP(动态主机配置协议)服务器配置的动态IP地址,这样,对于黑客通过伪造IP和MAC地址在网络中实现ARP欺骗等方式对无线网的非法访问的问题就可以得到阻止。可以通过使用入侵检测工具定期扫描的方式进行黑客的搜索并采取措施避免黑客入侵。
(5)校园无线局域网用户的计算机安全管理要加强
校园无线局域网用户应该管理好自己的计算机,例如,安装个人防火墙、防ARP欺骗的相关工具软件和杀毒软件,并且经常用这些软件对个人计算机的安全进行诊断,及时排除威胁因素;定期修改用户个人密码;对于无线通信要经常修改连线对等保密协议密钥。
(6)用户密码及认证措施必须设置严密
在校园无线局域网的站点上,应该使用用户密码控制。具有包括用户密码管理在内的内建多级安全服务的装置有很多,例如Novell Net Ware和Microsoft NT等网络操作系统和服务器。无线局域网的用户包括了经常需要移动使用笔记本电脑的用户,严格的用户密码策略会使安全级别得到提高,用户密码及认证措施必须设置严密,必须定期修改用户的密码,这样对于确认在校园无线局域网的站点是否正被合法的用户使用是非常有利的。
(7)设置附加的第三方数据加密方案
使校园无线局域网得到最好的安全保障,最好的方法是加密。通过附加的第三方数据加密方案的设置,即使黑客窃取了校园无线局域网信号,窃听到的内容也是不能够理解的。校园无线局域网的数据对于保密性的要求非常高,必须采取一些特殊的措施。其中,最高级别的安全措施就是在网络上整体使用加密产品。在将数据包中的数据发送到校园无线局域网之前,通过多种加密方式进行加密,可以恢复、读取这些数据的人或者组织,只能是那些拥有正确密钥的站点。
(8)充分利用校园无线局域网本身提供的安全特性
可以通过以下几个方面的工作来充分利用校园无线局域网本身提供的安全特性进行安全保障:
1)对默认的用户密码进行修改。通常情况下,路由器、交换机等网络设施出厂时的用户密码都是非常简单的,非常容易被黑客破解,威胁校园无线局域网的安全,应该及时进行修改。
2)必须采用加密手段。虽然连线对等保密协议(Wired Equivalent Privacy加密技术)比较脆弱,但是,相对于明文传播来说,采用加密方式还是要安全一些。
3)对客户端的验证工作采用物理地址(也称为硬件地址或链路地址)的方式。在更加强壮的身份验证措施没有实施之前,采用MAC地址的方式进行客户端验证非常必要。
4)对服务集标识进行更改,并且进行接入点的配置,并且禁止对服务集标识进行广播。
5)修改SNMP(简单网络管理协议)的设置,这种安全保障策略和传统的局域网相同。
4 结语
由于校园无线局域网具有灵活性好等多方面的优点,因此,校园无线局域网的应用需求非常广泛。在使用校园无线局域网技术的时候,设计一个合理的、安全强度足够高的方案是尤为重要的,必须及时掌握和了解最新的安全技术,探讨校园无线局域网的安全策略,随时采取一定的安全措施,并且加强一定的信息安全产品的应用,从而使校园无线局域网的安全得到保障。
参考文献
[1]王晓军.校园无线局域网安全性分析与解决方案[J].廊坊师范学院学报(自然科学版),2009,(03).
[2]黄国峰.基于无线局域网安全防范的研究[J].武汉船舶职业技术学院学报,2009,(04).
[3]吴华光,刘航,吴志坚.校园无线局域网的规划与设计[J].嘉应学院学报,2007,(03).
[4]张军,邹县芳.校园无线局域网的安全技术研究[J].阜阳师范学院学报(自然科学版),2009,(02).
[5]程海英.校园无线局域网的安全策略探讨[J].软件导刊,2010,(03).
[6]郭拯危,闵林.校园网安全策略的设计[J].河南大学学报(自然科学版),2002,(01).
[7]赵华.无线局域网及其在校园网中的应用前景[J].中小学电教,2004,(03).
[8]刘丽琳.无线校园网与有线校园网的无缝结合[J].电脑知识与技术,2005,(06).
[9]左红卫.校园网中无线局域网的应用[J].六盘水师范高等专科学校学报,2006,(06).