校园网安全配置

关键词： 布防 蜜罐 校园网 攻击

校园网安全配置（精选八篇）

校园网安全配置 篇1

随着网络和通信技术的发展,各个大学的校园网络越来越大,结构也越来越复杂,安全问题也越来越严重。特别是复合式攻击、分布式攻击和来自内网的攻击对网络安全管理提出了严峻的挑战。IDS,Firewall,蜜罐等安全工具满足了部分安全需求,却存在网络安全布防重复、布防漏洞和缺乏协同解决复合攻击能力等问题。本文利用态势感知理论对网络安全体系中的各个设备的配置和性能进行评估,提供给网络安全管理员直观的网络安全设备工作效果,并通过网络安全态势调整系统的安全策略,有力的提高网络系统的安全性能。

1 网络安全态势评估概述

1999年,T.Bass等人首次提出了网络态势感知(cyberspace situation awareness,network situation awareness)概念,即网络安全态势感知,并对网络态势感知与空中交通监管(Air Traffic Control,ATC)态势感知进行了对比,旨在把ATC态势感知的成熟理论和技术推广到网络态势感知中。网络安全态势是对网络运行状况的宏观反映,它反映了一个网络过去和当前的状况,并预测下一个阶段可能的网络状态。我们可以对网络原始事件和安全设备报警日志进行预处理,把具有一定相关性、反映某些网络安全事件的特征的信息提取出来,通过一系列数学方法处理,将网络安全特征信息归并融合成有意义的数值。

国内外对网络态势感知的研究目前还停留在学术理论阶段,多是围绕网络安全态势评估模型、网络预警等来开展的,在技术上主要通过对IDS等设备数据源进行数据挖掘实现。模型方面美国国防部JDL(Joint Director of Laborato-ries)给出的JDL模型和Endsley所给出的态势感知模型具有很好的代表性。在国内,西安交通大学实现了基于IDS和防火墙的集成化网络安全监控平台,国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架。这些研究还无法形成成熟的网络产品,但是其中某些技术可以应用于网络设备配置评估和建议中。本文通过网络安全态势感知的结果、网络设备的能力和网络拓扑信息给出网络安全配置评估和调整建议。

2 网络安全配置评估主要功能

(1)漏洞发现。目前校园网中攻击相当一部分是来自内网的攻击,而网络布防的时候往往会将防御设置在网络外出口上。网络安全配置评估应当能够发现重要主机的防御漏洞。

(2)重复布防发现。许多网络设备要耗费很大的系统资源,而不同网络安全设备往往具有相同功能,在保证网络体系安全的情况下,应当尽量减少系统的重复布防。

(3)可协同布防发现。单一的安全设备很难发现复杂攻击,通过网络安全配置评估生成可协同布防的网络设备清单和最佳的协同布防位置。

3 校园网安全配置评估模型

如图1所示,模型分为以下几个主要部分:

(1)网络元素信息采集:在本评价体系中,采集的网络元素信息主要包含来自主机的信息、来自安全设备的信息和来自网络设备的信息。采集的网络信息包含设备资产信息、设备管理的LAN信息、设备特征、设备资源性能和运行状态信息、各种告警、警报、事件、日志,等等。直接采集的信息格式并不统一不能直接入库,必须采用XML语言进行标准化。标准化过程中同时进行归一化处理:对采集上来的各种要素信息进行事件标准化、归一化。在事件归一化过程中最重要的就是统一网络对象的特征、事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。

(2)安全评估:安全评估主要通过漏洞扫描技术和聚类技术实现。安全扫描是自动探测远程主机或本地主机安全脆弱性的技术。它从外部通过一定的方式查询网络服务端口,根据其反馈信息来探测,然后将收集到的信息与已知的安全漏洞相比较,如果匹配,则找出了其中存在的安全隐患。聚类分析是安全评估的重要环节。通过基于攻击类型、LAN类型和主机类型的聚类结果横向对比给出布防重复报告和布防漏洞报告。

(3)态势评估:主要通过数据挖掘中的关联分析发现复杂攻击的中子攻击的时序性和因果性,通过来自不同网络安全设备的攻击间时序关系和因果关系的确立形成网络协同布防报告,并通过专家建议和横向对比给出协同布防建议。

4 网络安全配置评估关键技术

(1)数据挖掘技术:数据挖掘在评估模型中使用了4种分析方法:关联分析、序列模式分析、分类分析和聚类分析。关联分析用于挖掘数据之间的联系,起到加强报警确认度的作用,常用算法有Apriori算法、AprioriTid算法等。序列模式分析和关联分析相似,但侧重于分析数据间的前后(因果)关系,在模型中用于寻找复杂攻击协同解决网络策略,常用算法有DynamicSome算法、Apriori Some算法等。分类和聚类分析主要是为网络漏洞分析和布防重复提供横向比较资源。

(2)数据融合技术:为了加强对分散的协同攻击的发现,网络评估引入了数据融合技术。它通过对对来自网络环境中的具有相似或不同特征模式的多源信息进行互补集成,从而获得对当前网络状态的准确判断。目前用于数据融合领域的典型算法有贝叶斯网络和D-S证据推理。贝叶斯网络是神经网络和贝叶斯推理的结合。它使用节点和弧来代表域知识,节点之间可通过弧来传播新的信息。网络中保存的知识可以由专家指定,也可以通过样本进行学习。D-S证据理论用概率上下限来表示实际问题中的不确定性。它允许人们对不精确和不确定性问题进行建模、推理,为融合不确定信息提供了一条思路。

(3)拓扑发现技术:网络配置评估中要将网络安全事件和网络安全设备关联在一起分析,而网络安全事件的来源非常复杂。网络评估认为同一子网中发生的网络事件和网络设备是关联在一起的,这种关联的验证需要通过拓扑发现技术来验证。这种验证可以在网络接入层实现。南京航空航天大学提出一种基于地址转发表的网络拓扑发现算法,利用简单网络管理协议获得网桥MIB中的地址转发表信息,从而推导出连接关系。它不要求各个网桥转发表的信息是完备的,也无须进行大量比较,能够准确地计算出整个被管网络的二层拓扑结构。

5 结论及展望

网络安全态势评估具有对网络安全设备性能和配置强大检验能力,特别是对发现复杂攻击漏洞和来自内网的攻击漏洞具有十分重要的意义。但是,国内目前对NSAS研究才刚刚起步,相关理论和技术还很不成熟,特别是复杂网络安全设备态势评估的标准、利用态势评估激发安全策略的自动调整和触发多种设备的协同防御等方面均有许多问题需要研究。

参考文献

[1]Bass T,Gruber D,A glimpse into the future of id.http://www.usenix.org/publications/login/1999-9/features/future.html.1999.

[2]D.L.Hall Mathematical Techniques in Multisensor Data Fusion[M].Bosston:Artech House.2004.

[3]陈秀真.网络化系统安全态势评估的研究.西安交通大学学报.2004.

[4]胡华平等.面向大规模网络的入侵检测与预警系统研究.国防科技大学学报.2003.

[5]Braun J J.Dempster-Shafer Theory and Bayesian Reasoningin Multisensor Data Fusion in Sensor Fusion:Achitectures.Algorithms.and Applications IV.Dasarathy B V,eds.In:Proceedings ofSPIE.Vol 4051.2000.

校园网双线路路由配置策略 篇2

[关键词] 校园网 策略路由 双线路 NAT

随着信息化水平的不断提高,中职学校校园网作为信息化建设的基础设施,正逐渐成为教学、科研和管理信息化的重要平台。宁波地区中职学校早期均通过教育部门的城教网接入Internet,基于校园网的办公系统、FTP、邮件系统、内部网站、选课系统等,都可以通过这个平台对用户提供服务,随着信息化水平的普遍提高,对网络的要求也越来越高,单一通过城教网访问Internet速度越来越不满足要求,很多中职学校也相继通过中国电信或中国网通接入Internet,结果促使许多校园网都采用同时接入城教网与电信(或网通)的双出口网络方案。这样使得校园网的出口比较复杂,如果设计不当,容易造成设备性能得不到充分发挥,通信质量下降,甚至网络无法访问等问题。下面,以我校宁波电子职高一个电信出口和一个城教网出口的网络为例,说明多出口校园网中的策略路由配置。

一、校园网体系结构和需求分析

我校园网共有两个出口,一个是城教网出口,另外一个是电信出口,拓扑结构采用当前校园网典型架构,其出口拓扑如上图所示。

由于采用双线路出口,那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配,最简单的办法是直接将默认路由设置为两条线路对端的路由上,这样路由器能够动态分配网络流量。但实际运行后发现,校园网访问公网速度并没有明显提高,出现网络访问时快时慢的现象,有时甚至出现网络中断现象。通过路由器NAT转换分析发现,路由器并没按照带宽多少动态分量数据流量,而是随机根据用户访问进行NAT转换,这种负载均衡的方法实际意义并不大,城教网总的出口带宽是共享易受干扰,网络访问高峰时分配带宽更突显不足,部分走城教网线路出口的客户没有明显感受访问速度的提升,为了更好地利用城教网线路,发挥该线路分担流量和备份功能,提出如下需求:

1.全面提高网络的访问速度。自动判断用户访问的目标地址,从不同线路出口,达到高效访问城教网资源和高速访问互联网的目的。

2.实行负载均衡。机房均通过城教网出去,其它所有的公网流量都从电信出口出去。

3.城教网线路作为电信线路备份,一条电信出口线路出现故障时,所有出口均通过城教网访问,保障网络不会中断。

二、基于策略的路由技术概述

策略路由(Policy-Basedrouting)是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择,还能根据源IP地址、目的IP址、协议字段,甚至于TCP、UDP的源、目的端口等多种组合进行路由选择。简单地说,只要IP 标准或扩展的访问控制列表(Standard/ExtendedACL)能设置的,都可以作为策略路由的匹配规则进行转发。

基于策略的路由比传统路由强并使用更灵活,它使网络管理者能够根据报文大小、应用或IP源地址来选择转发路径,策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量(QOS)。

在具体的应用中,基于策略的路由有目的策略和源地址策略。基于目的地址的策略路由一般用于网络的出口,针对访问不同的目的地设置不同的路由。如我校内网访问城教网资源使用城教网线路就是基于目的地址策略路由。基于源地址的策略路由,主要针对数据包的来源设置不同策略规则,这样可以根据用户IP地址的不同设置不同的策略路由,源地址策略路由适合于对不同级别的用户设置不同的路由策略。

三、双线路策略路由在校园网中的实施及主要配置

校园网内使用的IP 地址范围为192.168.0.0/16,城教网出口网关地址为10.10.2.2/24,电信出口网关地址为201.64.12.2/28,主要配置如下:

1.接口配置

2.定义策略路由

(1) 定义ACL 规则

对于机房访问公网,定义源地址策略,对于访问城教网资源定义基于目的地址的策略。

(2) 定义策略路由

定义策略路由名字为out,指定ACL 111 到策略中,符合ACL 111中规则的信息指定下一跳地址为10.10.2.1 (城教网)。

3.把策略路由out 指定给内网口f0/2 使其能使用:

4.设置浮动路由

浮动路由不能被永久地保存在路由表中,它仅仅出现在一条首选路由选择失败的时候,通常用作路由备份它是在原有的静态路由条目后面加上管理距离值来实现的。

在这里,当下一跳201.64.12.2不可用,路由选择会自动走10.10.2.2这条路,当首选链路起来后备份链路又会闲置。通过浮动路由设置,保证线路正常时内网访问城教网资源和机房访问公网时走城教网线路,同时城教网线路作为电信线路备份。

结论:通过以上配置达到了预期目的,使校园网用户访问城教网和电信网站均达到了较高的速度。同时,城教网线路作为电信线路备份,当电信线路出故障后不影响整个网络的访问。

由于网络的结构越来越复杂,对于一些有特殊要求的组网,需要仔细地分析用户网络的拓扑结构,了解各种数据的流向,然后采取相应的对策。使用策略路由可以按照既定的策略灵活地控制网络数据包的流向,满足校园网络用户对多条网络出口组网的需求。

参考文献:

[1]董民,周卫东,沈庆国.路由器原理、操作及应用[M].北京:国防工业出版社,2006.

校园网WEB服务器的安全配置探讨 篇3

校园网WEB服务器的安全配置一般分为服务器外部和服务器内部这两大方面,本文结合作者在高校网络管理的经验,对校园网WEB服务器安全配置进行探讨,来进一步加强服务器的安全。

1 WEB服务器外部的安全配置

WEB服务器外部的安全配置主要是通过一些网络安全设备来防止外来的攻击,一般校园网WEB服务器外部的安全问题来自外网和内网这两大方面。

1.1 外网安全配置

目前高校校园网大多数是通过硬件防火墙来连接外网,可以通过对硬件防火墙的设置来保证校园网服务器的安全。防火墙通过限制外部访问端口,来保证校园网服务器的安全,在Fortigate3810A防火墙的安全策略设置如图1。

该策略设置了所有的外部网络只能访问202.192.88.1这台服务器的HTTP服务,而不能访问这台服务器其他的服务,以保证服务器的安全。如果服务器有多个服务提供给外部使用,可以通过“服务”后面的“多个”选项添加多个服务,如DNS、POP3、STMP和HTTPS等。

外网安全配置还有一个方面是防止DOS(拒绝服务攻击)和DDoS(分布式拒绝服务攻击),如TCP SYN Flood攻击。TCP SYN Flood攻击是当前最流行的DoS攻击与DDoS攻击的方式之一,它一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,破坏TCP三次握手建立正常连接,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。我们可以在硬件防火墙进行相关设置,防止DoS攻击与DDoS攻击的发生,图2是在Fortigate3810A防火墙中的策略设置。

其中,该DoS传感器的第一项设置了如果某一台电脑的TCP SYN Flood攻击超过200次的话,就对该电脑进行屏蔽,以杜绝的DoS攻击与DDoS攻击的发生。第二项设置了如果某一台电脑扫描防火墙超过100次的话将被屏蔽,第三、四项设置了如果某一台电脑的源会话数和目的会话数超过300的话,也进行屏蔽。这些设置有效地阻止了DoS攻击和DDoS攻击,保证了服务器的安全。

1.2 内网安全配置

目前高校校园网用户数量众多,有些学生出于好奇和炫耀的心理,对校园网进行攻击,这些也是我们必须进行防范的。校内

安全配置主要通过对校内交换机进行安全配置来达到目的,以锐捷交换机S2126S为例,在交换机配置里面添加如下ACL命令:

以上命令主要的功能是通过屏蔽135、137、138、139和445端口,来保护服务器的安全。其中135、139和445端口为TCP端口,137、138端口为UDP端口,这些端口常常被用来攻击服务器。

2 WEB服务器内部的安全配置

2.1 操作系统的配置

目前大多数校园网WEB服务器安装的是Windows Server 2003系统,虽然Windows Server 2003的安全性相对于LINUX系统来说相对较弱,但操作方便、简单实用的特点仍然让Windows Server 2003成为网络服务器的主要平台。对Windows Server 2003的安全配置如下:

1)禁用不必要的系统服务。对于一台刚安装好Windows Server 2003的服务器,系统会默认开启一些服务,我们必须禁用一些不必要的服务,以保证服务器的安全。选择“开始”—“管理工具”—“服务”,进入系统服务管理界面,右击选中不必要的服务进行禁止。一般我们需要禁用以下服务:NetMeeting Remote Desktop Sharing、Remote Registry、Routing and Remote Access、Telnet等。

2)及时安装Windows系统漏洞补丁和杀毒软件。为了提高系统安全性,安装好系统之后,我们应当立即安装系统漏洞补丁,并且开启自动更新服务,让系统随时保持安全的状态。另外系统安装之后,需要立即安装一套正版杀毒软件,用于查杀病毒和防御病毒入侵,杀毒软件也需要保持病毒库的更新。

3)端口配置。虽然外部安全设备已经做了端口屏蔽策略,不过在系统内部,也要进行端口的屏蔽,以做到双保险。Windows Server 2003安装后,很多服务端口默认都是开启的,但是对我们来说没有全开的必要,所以我们在此关闭一些不必要的端口。选择“开始”—“管理工具”—“本地安全策略”,进入本地安全策略管理界面,在其中添加新的IP安全策略,通过IP筛选器将一些可能被攻击的端口屏蔽掉,如135、137、138、139和445等端口。如果需要远程管理服务器,为安全起见,需要把默认的远程管理端口3389在注册表中修改成其他的端口,如修改为3288端口。

2.2 IIS配置

目前在Windows Server 2003中一般采用IIS6.0作为WEB服务器。所以对IIS的配置也非常重要。对IIS的安全配置如下:

1)为IIS中的文件分类设置权限。一般而言,对一个文件夹不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览一遍,找到漏洞后进行攻击。

2)保护日志安全。IIS的日志默认保存在一个众所周知的位置(%WinDir%System32LogFiles),这对Web日志的安全很不利,所以我们需要修改其存放路径,将其放在隐蔽的地方。还有,日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在NTFS分区上,设置为只有管理员才能访问。

2.3 数据库配置

现在的网站大多数是动态网站,都带有后台数据库,如Access、SQL Server等,数据库的安全配置主要有:

1)如果后台用的是Access数据库,主要要防止数据库被下载,这个可以通过修改数据库后缀名、在数据库名前加“#”号、数据库放在WEB目录外和使用ODBC数据源等方法来实现。

2)如果后台用的是SQL Server数据库,安装数据库时,最好使用混合模式的身份验证,并设置安全性强的数据密码。安装完毕之后,要及时更新数据库补丁程序。

3)无论安装哪种数据库都要定时进行备份,以便出现问题的时候可以及时恢复。

3 结束语

随着高校信息化的不断发展,针对校园网WEB服务器的攻击手段将会层出不穷,我们需要不断提高自身业务水平来应对。校园网的日常管理与维护也是保证网络安全的一个重要方面,我们要培养一个良好的操作习惯,以保证WEB服务器安全和稳定地运行。

摘要：该文主要探讨校园网WEB服务器的安全配置问题。首先分析了当前校园网Web服务器面临的安全威胁,讨论了几种加强校园网Web服务器安全性的配置策略。将这些配置策略应用到校园网Web服务器上后,可以有效地提高校园网Web服务器的安全性。

关键词：WEB服务器,安全,配置

参考文献

[1]王小琼,杨志国.Windows Server2003网络配置与管理[M].北京:人民邮电出版社,2007:30-35.

[2]刘晓辉,王淑江.Windows Server2003系统安全实战指南[M].北京:人民邮电出版社,2007:10-15.

[3]邓吉,罗诗尧,曹轶.黑客攻防实战入门[M].2版.北京:电子工业出版社,2007:31-32.

[4]王磊,耿丽红.浅论Web服务器的安全设置[J].科技信息,2010(,29):75.

校园网宽带接入配置举例 篇4

有没有办法能保证学校管理者、多媒体机房教师可以随时上网, 其他教师在上班时间以及学生在上课时间不能上网。或者说有没有办法通过一定的设置, 从而完成有关上网的管理呢?在实际应用中, 大家采用的方法可能有很多, 笔者是利用WinRoute来实现的。现在, 结合笔者自身的应用, 将WinRoute的配置方法简单介绍如下:

关于接入环境, 目前, 多数地区的中、小学都没有条件接入教育网, 一般都是利用电信光缆或ADSL接入。但电信提供的IP数量有限, 为了保证整个学校的正常上网, 让师生在工作学习之余可以从网上获取所需信息, 就必须采用NAT (地址转换) 。NAT (地址转换) 功能的采用不仅解决了IP地址的短缺, 同时也起到了防火墙的作用。通常, 我们使用增设代理服务器用于进行地址转换的方法 (当然路由器也可实现, 但因其管理难度大, 需对网络管理人员进行专门的培训, 一旦设置完成后更改较复杂, 一般不为中、小学校所采用) 。在代理服务器上, 为了高效利用网络带宽, 一般都安装两块网卡, 一块外接因特网, 另一块内接局域网。

WinRoute的安装比较简单, 只要找到安装文件SETUP.EXE双击就可以开始安装, 其中基本单击“下一步”就可以了。但是, 需要注意的是安装前先要在“网络属性”中把“文件和打印机共享”删除, 否则, 安装完成后启动WinRoute时将会出现对应端口打不开的错误提示。安装完成后, 可以对软件进行汉化和注册, 注册时打开“帮助”菜单中的第二项“关于应用程序”, 选择第二项“许可”, 在其中输入注册号。

安装完成后, 启动WinRoute (图1) , 即可进行相应设置:

1) 实现共享上网。单击“”图标或单击打开“设置” (setting) 菜单中第一项“接口表”选项, 双击连向外网的网卡, 选择“在通过的所有通信上以此接口的IP来执行NAT”即设置地址翻译NAT为ON。后打开“设置”的第三项“代理服务器”, 一般主要是修改第一项“通常”, 设置为“允许代理服务器”, 并修改代理端口。

2) 数据过滤 (上网控制) 。

1. 设置地址组和时间间隔。

为进行上网控制时方便设置, 打开“设置→高级→地址组”菜单选项, 对局域网内IP地址分成若干个不同的地址组 (图2) , 打开“设置→高级→时间间隔”菜单选项, 将不同的时间段分成若干个不同的时间间隔 (图3) 。

2. 数据过滤 (上网控制) 设置。

在WinRoute程序窗口中, 单击图标或“设置→高级→数据包过滤”菜单选项。在出现的对话框中有“收到的” (incoming) 和“发出的” (sending) 两个选项卡, 要对数据过滤进行设置, 一般是对“收到的” (Incoming) 选项中连接内网的网卡进行设置, 或对“发出的” (sending) 选项中连接外网的网卡进行设置。两者的区别在于, 若利用“收到的”对连接内网的网卡设置进行数据过滤后服务器与被过滤的内网客户机通讯中断, 不利于对服务器远程操作。因此, 笔者采用“发出的” (sending) 选项中连接外网的网卡进行设置。此时, 将内网中的地址作为源地址, 外网的地址为目的地址, 然后设置为允许、丢弃或拒绝。

我们可以先设置行政楼中的地址组为任何时间都允许访问因特网。接着设置普通教师办公室的地址组上班时间为禁止访问因特网 (如图4所示为选择其中一组地址设置时的界面) 。然后设置其他地址组的计算机在规定时间允许访问因特网 (如设置计算机房中的地址在网络课时间允许访问因特网) 。对数据过滤设置完成后, 我们可以看到如图5所示的界面。

在设置时, 也要注意过滤的优先级。如东机房的IP中若包含192.168.0.132, 现先后设置以下两条规则:IP地址192.168.0.132拒绝到任何主机IP, IP东机房允许到任何主机, 那么结果是, 东机房中除IP为192.168.0.132的主机外, 其余均能与外网通信。如把上述的两条规则先后次序相反, 则东机房所有主机都能与外网通信。

经过上述配置后, 除管理者或机房教师机的IP地址可以在任意时间对因特网进行访问外, 其他教师计算机上班时间不能上网, 下班时间才可以对因特网进行任意访问, 而机房中的学生计算机IP地址在网络课时间可以访问因特网。

当然, 上述仅仅是结合笔者实际应用的举例。根据以上规则, 大家还可以根据自己具体需要制定出更符合自身需求的过滤规则。总之, 使用WinRoute既较某些代理增加了更多管理功能, 又较某些网络管理软件降低了成本, 这是笔者使用WinRoute的感受。

摘要：学校校园网络建成已很普及, 校园网络接入因特网也已很普遍, 如何有效管理上网尤显重要。这里介绍校园网及中小规模网络接入因特网使用WinRoute软件管理的配置方法。

关键词：校园网,接入,管理,WinRoute,配置

参考文献

[1]张亚建.实战Kerio WinRoute Firewall[J].网管员世界.2006[2].

校园网安全配置 篇5

网络地址转换 (NAT, NetworkAddress Translation) 被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因是NAT不仅完美地解决了l P地址不足的问题, 而且还能够有效地避免来自网络外部的攻击, 隐藏并保护网络内部的计算机。

一、W in2003服务器N AT的配置

首先要有一台安装好win2003的服务器, 安装两块网卡, 一块连接内部交换机, 一块连接教育局主交换机。其设置分别是内网卡IP为192.168.1.1, MASK为255.255.255.0, 外网卡IP为172.16.1.1, MASK为255.255.0.0, 网关为172.16.1.254, DNS为202.102.128.68。外网卡设置由教育局分配, 内网卡不要设置网关, 因为在Win2003系统中两块网卡都设置网关会发生冲突。

配置NAT的步骤非常简单, 单击“开始-程序-管理工具-路由和远程访问”, 默认情况下没有启用路由和远程访问, 在服务器名称上单击鼠标右键, 选择“配置并启用路由和远程访问”, 单击“下一步”, 在对话框中选择“网络地址转换 (NAT) ”, 单击下一步, 在“使用此公共接口连接到Internet”中选定“外网卡”。单击下一步, 在“为可访问Internet的网络选择接口”中选定“内网卡”, 单击下一步, 选择“我将稍后设置名称和地址服务”, 单击下一步, 单击完成。此时服务器上就启用了路由和远程访问服务。

二、客户端的设置

Win2003 NAT配置好以后, 就是校园内部计算机的设置, 可分为两种情况。一种情况是校园交换机不是三层交换机, 校园内部计算机数量也不是很多, 没有划分vlan。第二种情况就是校园内部有三层交换机, 计算机数量非常多, 并且也划分了多个vlan。

第一种情况设置非常简单, 只需客户端IP和服务器内网卡在同一网段内, 网关设置为192.168.1.1 (服务器内网卡IP) , DNS为202.102.128.68, 设置完毕内部就能够上网。

第二种情况稍微麻烦一些, 比如说校园网三层交换机划分的vlan如下表所示。

这里把NAT服务器的内网卡接口单独划分出了一个vlan, 这样即使其他vlan中有病毒也不会影响到N A T服务器, 还需要把三层交换机的默认网关 (default gateway) 设置为内网卡地址。客户端IP需要设置所属网段内IP, 网关设置为所属网段的网关。另外还需要在NAT服务器命令提示符下输入以下几条命令:

Route add–p 192.168.2.0 mask 255.255.255.0 192.168.1.254

Route add–p 192.168.3.0 mask 255.255.255.0 192.168.1.254

Route add–p 192.168.4.0 mask 255.255.255.0 192.168.1.254

因为内网卡不能设置默认网关, 所以需要加上以上几条路由, 使得内网卡网段能够与其他三个网段通信, 至此内部已能够上网。

三、利用W in2003服务器N AT进行简单的上网控制

有时我们不希望内部访问某些网站, 比如说我们想禁止内部对www.4399.com网站的访问, 我们可以进行如下设置。在“路由和远程访问”中展开本地服务器的名称, 再展开“IP路由选择”, 选定“常规”, 在右边窗口中右键单击“外网卡”, 在弹出的菜单中选择“属性”, 在外网卡属性对话框中单击“出站筛选器”按钮, 在“出站筛选器”对话框中单击“新建”按钮, 在“添加IP筛选器”对话框中, 选定“源网络”, 在IP地址中输入172.16.0.0, 子网掩码为255.255.0.0。选定“目标网络”, IP地址中输入221.5.251.250, 子网掩码为255.255.255.255。协议选择“任何”即可, 单击确定按钮回到“出站筛选器”对话框, 此时可以看到筛选器的操作是“传输所有符合下列条件以外的数据包”。由于发布www.4399.com网站的IP有四个, 分别是221.5.251.250、221.5.251.251、220.98.24.67、202.98.24.67, 所以我们还需要建立禁止其他三个IP的策略。可以看出在进行上网的控制与管理方面Win2003 NAT确实功能有限。如果需要对内部上网进行更严格的控制, 需要安装代理软件, 如ccproxy、ISA server 2004等。

校园网安全配置 篇6

1 希望达到目标

运营商链路带宽能被充分利用;访问运营商资源不用绕路,即访问运营商资源与链路出口一致;外网用户访问学校网站不用绕路教育网。

2 问题分析

1)出口流量没选对路。当校园网络出口有多家运营商链路时,如果采用传统等价路由的办法将平均分配流量到这些出口链路上,就会出现跨运营商访问的情况,即链路和访问内容所属的运营商不一致,而各个运营商之间网络互访很慢,就会出现用户上网速度慢的情况。

2)出口流量没选好路。三家运营商的链路质量有差别,电信最好、联通次之、移动最差,用户流量要尽可能引导到电信出口链路上。

3)单一DNS服务器设定导致流量分配不科学。DNS域名解析是用户上网、流量发起的第一步,如果单纯用某一运营商DNS服务器解析,用户获得的资源地址就会集中在该运营商网内。如果用户流量再从其他运营商链路转发,就会绕路,如果用户流量从该运营商转发,就会流量都集中在该链路,不利于其他链路充分利用、或导致该链路流量溢出。

4)学校网站是edu域名,对应公网地址是教育网地址,互联网用户访问学校网站要从运营商网络绕道教育网,网络延时增大,影响用户体验。

3 解决机制

3.1 对网络出口流量基于链路权重选路

根据出口链路带宽大小、链路质量等具体情况制定合适的链路权重比例,引导流量优先走转发性能最高链路,也不闲置性能稍差的链路,保证用户访问体验。比如,电信、联通、移动三家带宽都是1000M,可以设定权重比例为6:3:1。权重比例可以在后期根据实际流量情况进行调整。需要注意的是,要防止某条链路流量过大出现带宽溢出的情况,可以给每条链路设定一个阀值,当某条出口链路流量到达阀值时,后续流量就不再转发,而由其他流量未达阀值的链路承担。

3.2 启用DNS代理、DNS报文负载分担、运营商选路功能

根据多个运营商链路带宽、质量设定链路权重,策略路由按权重在不通运营商链路进行DNS报文负载分担,同时对向外发起的DNS报文做代理,即A运营商链路转发的DNS报文访问A运营商DNS服务器,B运营商链路转发的DNS报文访问B运营商DNS服务器。这样DNS解析返回的资源地址也在各运营商之间做了一次分担。

所谓运营商路由是根据运营商地址库生成的静态路由,引导业务报文在不同运营商链路出口转发,这样业务报文也会在对应运营商链路之间进行负载分担,链路带宽能得到充分利用。运营商路由根据运营商地址库生成、要注意对运营商地址的收集整理、并定期更新。

3.3 开启智能DNS功能

在边界实时捕获DNS解析响应报文,根据入口流量链路所属运营商,将服务器IP地址解析为与访问用户相同运营商的地址,并启用相应的服务器NAT映射,这样就能实现互联网用户访问学校网站不用再绕路,即电信用户通过电信网络访问学校网站、移动用户通过移动网络访问学校网站,当然上述对外映射公网地址需要跟网站一起备案,并开通其80端口。

4 总结

上述3点内容是边界设备选路的几种主要机制,当前主流边界网关或防火墙都具备上述功能。在现网情况下,只有灵活运用这几种相关机制,并根据具体情况形成组合策略,这样才能最大限度降低网络延迟,保障用户体验。

参考文献

[1]王世锋.校园网多出口环境下的路由策略研究与应用[J].计算机时代,2014(3).

校园网安全配置 篇7

校园网体系结构和需求分析

我校园网共有两个出口, 一个是城教网出口, 另外一个是电信出口, 拓扑结构采用当前校园网典型架构, 其出口拓扑如上图所示。

由于采用双线路出口, 那么如何设置路由以充分利用二条线路的资源是一个必须面对的问题。处理两条线路的带宽分配, 最简单的办法是直接将默认路由设置为两条线路对端的路由上, 这样路由器能够动态分配网络流量。

但实际运行后发现校园网访问公网速度并没有明显提高, 出现网络访问时快时慢的现象, 有时甚至出现网络中断现象。通过路由器NAT转换分析发现, 路由器并没按照带宽多少动态分量数据流量, 而是随机根据用户访问进行NAT转换, 这种负载均衡的方法实际意义并不大, 城教网总的出口带宽是共享易受干扰, 网络访问高峰时分配带宽更突显不足, 部分走城教网线路出口的客户没有明显感受访问速度的提升, 为了更好地利用城教网线路, 发挥该线路分担流量和备份功能, 提出如下需求:

1. 全面提高网络的访问速度:自动判断用户访问的目标地址, 从不同线路出口, 达到高效访问城教网资源和高速访问互联网的目的。

2. 实行负载均衡:机房均通过城教网出去, 其它所有的公网流量都从电信出口出去。

3.城教网线路作为电信线路备份, 一条电信出口线路出现故障时, 所有出口均通过城教网访问, 保障网络不会中断。

基于策略的路由技术概述

策略路由 (Policy-Basedrouting) 是路由器的一项扩展功能。它不仅能以目的地址为依据来进行路由选择, 还能根据源IP地址、目的IP址、协议字段, 甚至于TCP、UDP的源、目的端口等多种组合进行路由选择。简单地说, 只要IP标准或扩展的访问控制列表 (Standard/ExtendedACL) 能设置的, 都可以作为策略路由的匹配规则进行转发。

基于策略的路由比传统路由强并使用更灵活, 它使网络管理者能够根据报文大小、应用或IP源地址来选择转发路径, 策略可以定义为通过多路由器的负载平衡或根据总流量在各线上进行转发的服务质量 (QOS) 。

在具体的应用中, 基于策略的路由有目的策略和源地址策略:基于目的地址的策略路由一般用于网络的出口, 针对访问不同的目的地设置不同的路由。如我校内网访问城教网资源使用城教网线路就是基于目的地址策略路由。基于源地址的策略路由, 主要针对数据包的来源设置不同策略规则, 这样可以根据用户IP地址的不同设置不同的策略路由, 源地址策略路由适合于对不同级别的用户设置不同的路由策略, 如对我校机房访问公网走城教网的策略, 策略路由可以应用于出口设备上, 也可应用于网络内部核心或汇聚设备上。

双线路策略路由在校园网中的实施及主要配置

校园网内使用的IP地址范围为192.168.0.0/16, 城教网出口网关地址为10.10.2.2/24, 电信出口网关地址为201.64.12.2/28, 主要配置如下:

1.接口配置

2. 定义策略路由

(1) 定义ACL规则

对于机房访问公网, 定义源地址策略, 对于访问城教网资源定义基于目的地址的策略。

(2) 定义策略路由

定义策略路由名字为out, 指定ACL 111到策略中, 符合ACL111中规则的信息指定下一跳地址为10.10.2.1 (城教网) 。

3. 把策略路由out指定给内网口f0/2使其能使用:

4. 设置浮动路由

浮动路由不能被永久地保存在路由表中, 它仅仅出现在一条首选路由选择失败的时候, 通常用作路由备份它是在原有的静态路由条目后面加上管理距离值来实现的。

在这里, 当下一跳201.64.12.2不可用, 路由选择会自动走10.10.2.2这条路, 当首选链路起来后备份链路又会闲置。通过浮动路由设置, 保证线路正常时内网访问城教网资源和机房访问公网时走城教网线路, 同时城教网线路作为电信线路备份。

结论

通过以上配置达到了预期目的, 使校园网用户访问城教网和电信网站均达到了较高的速度。同时城教网线路作为电信线路备份, 当电信线路出故障后不影响整个网络的访问。

由于网络的结构越来越复杂, 对于一些有特殊要求的组网, 需要仔细地分析用户网络的拓扑结构, 了解各种数据的流向, 然后采取相应的对策。使用策略路由可以按照既定的策略灵活地控制网络数据包的流向, 满足校园网络用户对多条网络出口组网的需求。

生态校园植物配置评价分析 篇8

生态校园是高校校园环境建设和发展的必然趋势[1]。当前国内外对于生态校园的研究还处在起步阶段, 生态校园的具体概念还在讨论之中[2]。其中多数学者认为生态校园应是在生态学理念的指导下, 贯彻可持续发展的思想, 遵守人与自然和谐的原则, 经过科学的规划设计与建设实施, 形成具有能够体现校园特色文化内涵的校园生态系统[3]。植物景观作为校园环境的重要组成部分, 它决定了校园绿地的生态功能是否能够有效发挥。校园植物配置是建设生态校园的重要途径和方法。

2 西南林业大学环境概况

西南林业大学位于我国的“春城”———昆明市, 拥有两个校区, 其中老校区占地面积达到了83 hm2, 位置为东经102°10'~103°40', 北纬24°23'~26°22', 海拔1 891 m左右。属于低纬度高原山地季风气候, 全年温差比较小, 年平均气温在15℃左右。适合动植物的生长。

3 调查结果

3.1 植物类型

经实地调查, 西南林业大学老校区已应用的绿化植物达到79科, 127属, 187种[4,5,6]。运用较多的植物科属依次是蔷薇科、木兰科、樟科、豆科、柏科等。数量最多的植物依次为滇润楠 (Machilus yunnanensis Lec) 、石楠 (Photinia serrulata Lindl) 、桂花 (Osmanthus fragrans (Thunb.) Lour) 、樟树 (Cinnamomum bodinieri Levl) 等。其中详细植物类型及其所占比重如表1所示。

从表1统计结果来看:常绿植物和落叶植物比例约为2∶1, 配置相对合理, 使校园环境在一些场所能体现四季如春, 一些环境又可以体现四季的变化特点, 很好的满足了学校空间环境多样需求的条件。乡土植物种类占校园各类型植物种类总数比例的数据, 说明校园乡土植物的应用力度。老校区植物种类属于云南地区地带性乡土植物的有101种, 占校园总植物种数的54.1%, 反映了老校区绿地植物的地带性特征。根据以上数据, 从校园的功能角度分析可以得知:老校区的植物群落以乡土植物为主, 便于管理和造景, 体现了地带性植被特征。速生树种和慢生树种的比例接近2∶1, 配置较为合理, 既说明了校园景观的可持续性, 又体现了校园景观的稳定性。不过, 乡土树种和慢生树种的比例仍有很大的空间, 还需继续增加。

3.2 植物特征

此次调查同时对老校区的植物特征进行了针对性的统计分析, 其结果如表2所示。

从表2统计结果来看:乔木的生态效果最优, 但乔木的应用比例仅为54.5%, 所以还应适当增加其数量, 藤本植物所占比例最低, 仅为4.3%, 说明其应用力度远未达到, 在以后的应用中需要提高;观叶、观花、观果的植物比例则较为合理, 这对于校园的多彩景观营造起到了重要作用;在长势特征中, 优良比例只达到了46.5%, 比例较低, 说明老校区植物的养护方面学校需要做的还有很多, 需要加强和维护。

3.3 植物配置定性评价分析

老校区校园内的植物配置采用的有孤植、对植、列植、群植等方式, 能够体现出各树种的个体美和群体美。尤其是在群植方式的处理下创造出了富有特色的一年四季幽静凉爽、鸟语花香的校园环境。在植物配置的艺术手法上采用了对比和衬托, 把不同形态色彩的植物进行组合搭配, 用唯美的植物造景表达了校园植物配置的艺术构思。还有就是在植物搭配过程当中, 比较注重各种植物间以及与环境中其他的要素之间的和谐;同时还考虑了植物在不同的生长阶段和季节的变化所呈现出的动态景观。可以说老校区的植物配置为学生们的生活和学习创造了一个较为优美、安静、典雅的校园环境。

3.4 植物配置定量评价分析

3.4.1 建立模型

此次定量评价采用的是杭州大学傅文伟教授提出的系统综合评价方法, 对西南林业大学老校区的植物配置进行定量评价。在综合了植物配置的视觉质量、生态效能、服务功能三个条件后, 建立起了一个模糊评价模型, 评价模型为:

其中, E为老校区植物配置综合性评估结果值;Qi为第i个评价因子的权重;Pi为第i个评价因子的评价值;n为评价因子的数目。满分100分, 其中生态效能条件为50分、服务功能条件为30分、视觉质量条件为20分。按得分情况划分为三个等级:优良 (≥90分) 、良好 (80分~89分) 、较差 (≤79分) 。根据上述评价的标准和建立的评价模型进行打分评价, 其结果见表3。

3.4.2 评价结果

从表3中得出西南林业大学老校区植物配置评分结果为90.5分, 属于优秀等级, 其中视觉质量条件、生态效能条件、服务功能条件三项得分分别占该项满分的91%, 93.6%, 85%, 说明了西南林业大学老校区的植物配置为优秀水准。

4 校园优化配置建议

4.1 增加垂直绿化, 提高绿视率

从调查结果中可以发现, 老校区校园垂直绿化这方面还有很大的提升空间, 尤其是在老校区地形起伏较大这样的环境下。垂直绿化是解决老校区校园空间小、人均绿地面积少的重要方法。老校区中垂直绿化除可考虑棚架绿化外, 还可加强墙面、楼顶等地的绿化。合理利用常绿、落叶藤本如炮仗花、三角梅、爬山虎、常春藤等营造与周围环境协调的植物生态景观。

4.2 提高植物配置的文化内涵

校园植物配置需要体现学校的文化底蕴, 现代环境艺术也要求把文化蕴涵于景观设计之中, 植物配置亦是相同。植物本身也是一种文化象征, 在进行校园植物环境配置时, 可以加入具有特殊意义的植物, 如云南山茶既是我国的十大传统名花, 也是昆明市的市花, 是当地人民崇尚精神文明、热爱美好生活的代表。可以对这类植物进行适当配置, 将其应用提高到代表学校文明与文化的精神层面上来。

4.3 加强植物日常的养护管理

植物绿化的养护目的是使花草树木良好生长, 并且在原来设计的基础上进行再一次的艺术创造。从调查结果来看, 老校区植物生长优秀的比例只达到了46.5%, 说明了校园植物养护管理还不到位。其中具体表现为乔木生长良好, 但草坪及灌木生长状况较差:有的植物枯死, 没有及时进行替换, 需要在以后的日常管理中加强养护。

摘要：通过实地调查西南林业大学老校区的植物配置情况, 对其植物种类进行了详细统计分析, 并运用系统综合评价法对其进行了定量评价, 根据分析结果对老校区的校园植物配置提出了具有针对性的改善建议。

关键词：生态校园,植物配置,分析

参考文献

[1]李开然.绿色基础设施:概念, 理论及实践[J].中国园林, 2009 (10) :88-90.

[2]马文银, 莫晓红.生态大学构建模式研究[J].生态经济, 2005 (5) :42-45.

[3]陈岳堂.生态校园规划设计研究与应用——以湖南农业大学为例[D].长沙:湖南农业大学, 2003.

[4]西南林学院, 云南省林业厅.云南树木志 (上) [M].昆明:云南科技出版社, 1988.

[5]西南林学院, 云南省林业厅.云南树木志 (中) [M].昆明:云南科技出版社, 1988.