智慧社区网络设计方案(共8篇)(共8篇)
1.智慧社区网络设计方案 篇一
根据《关于加快智慧南京建设的意见》、《深化街道和社区体制改革实施方案》、《南京市智慧社区建设实施方案》、《高淳区关于进一步加强城乡社区建设的实施意见》等文件精神,现就我区智慧社区建设提出实施方案如下:
一、建设目标
在“智慧城市”整体框架下,紧扣全区社区体制改革方向,以居民为中心、以服务为导向,将各部门延伸到社区的业务系统进行整合,着力构建覆盖全区、分级管理、上下衔接、基本功能与特色应用相结合的社区综合管理和服务系统,全力拓展便民服务内容和领域,改进基本公共服务的供给方式,重构社区管理与服务的形态与流程,为广大居民提供政府服务协同化、社区管理智能化、居民生活便捷化的生活环境,切实有效提升社区居民幸福感和满意度。
二、建设原则
一是统筹规划,分级负责。区主管部门负责顶层设计、统筹推进,区有关部门、镇和社区负责推广应用并根据实际完善功能。
二是资源整合、条块联动。整合共享全区各级网络、信息资源,纵向实现区、镇、社区所有管理服务事项联通办理,横向实现各部门、各镇信息系统数据交换和共享。
三是先行试点,逐步推广。选择典型社区先行试点,完善实施路径和方法,形成长效运营管理机制,加快推广应用覆盖全区。
四是政府引导,社会参与。建立政府主导、多方参与的推进体系,发挥政府在规划建设、运行管理和经费保障方面的引导作用,鼓励社会组织和企业参与建设。
三、任务分工
(一)提升社区信息化基础支撑能力
1、完成社区信息基础设施。整合社区网络,结合政务外网提升扩容工程,实现区、镇、社区(村)三级联网。提高社区用户互联网宽带,加快推进公益免费WIFI网络建设,部署信息显示屏等自助设备。(牵头单位:区智慧办、区工信局、区发改局;责任单位:区委组织部、区民政局、区人社局、区农工委、区气象局、区科协、各镇等。完成时间:20--年12月)
2、整合共享社区信息资源。完善社区基础信息采集交换平台,融合智慧高淳公共信息平台建设,进一步完善社区基础数据共享交换标准和流程。结合各部门延伸至社区的工作需求,推广应用低保核对、不动产登记等业务模块,建立社区信息动态交换机制。(牵头单位:区智慧办、区民政局、区发改局;责任单位:区住建局、区人社局、区计生局、区残联、区公安分局、区司法局、区城管局、各镇。完成时间:20--年12月)
(二)建设智慧社区综合信息管理服务平台
3、建设镇级政务服务系统。实现数据接轨承接,以及系统推广应用,畅通联系服务群众“最后一公里”。并以“前台一口受理、后台分工协同”为原则,整合各部门业务系统,优化办事流程,实现公共事务通办、联接联办。(牵头单位:区政务中心、区智慧办、区民政局;责任单位:区人社局、区计生局、区残联、区住建局、区公安分局、区司法局、各镇。完成时间:20--年12月)
4、建设社区事务支持系统。建设智慧党建,规范综治三级信息化平台建设,完善社区事务协商(投票)、社区志愿者管理服务、社区事务跟踪管理、社区内部协同工作平台及社区日志、台账等应用系统,整合社区党建、综治等业务系统。构建网格化管理体系,实现对社区人员、部件和事件信息的三维、可视、动态管理。(牵头单位:区民政局、区智慧办;责任单位:区委组织部、区综治办、区人社局、区计生局、区残联、区公安分局、区城管局、团区委、区妇联、各镇。完成时间:20--年12月)
5、建设社工工作量化考评系统。依托镇、社区各类系统产生的业务、服务数据,推广应用社工工作考评系统,形成社工管理和服务工作全面、准确、量化的考核评价指标体系。(牵头单位:区民政局;责任单位:各有关单位、各镇。完成时间:20--年12月)
(三)深入推进社区信息惠民服务应用
6、拓展社区信息惠民综合应用。根据社区居民需求,应用如拼车、二手物品交换等符合社区特点的居民互助信息服务。建设社区公益捐助系统,组织和引导针对社区内受灾家庭、弱势群体的公益慈善服务,推进新型社区邻里关系形成。实施社区文化信息共享工程,建设标准化社区文化活动室和星级农家书屋。(牵头单位:区民政局、区智慧办、区文广局;责任单位:各有关单位、各镇。完成时间:20--年12月)
7、提高物业管理智能化水平。推进社区安防应急体系建设,综合运用信息化手段发布气象灾害预警、应急避难场所、民防设施地理位置等方面信息。推进社区车辆智能化管理、水电气远程抄表、有毒有害气体检测预警、电梯安全监测等系统建设。(牵头单位:区住房中心;责任单位:区城管局、区民政局、区公安分局、区气象局、区住建局、区市场监督管理局、各镇。完成时间:20--年12月)
8、推进社区商业增值服务。围绕社区居民生活需求,规范引导各类企业、社会组织,开发建设生活信息发布、搜索、交易平台,提供家政、配送、教育、健康等增值服务,进一步提升信息化服务水平。(牵头单位:区民政局、区智慧办;责任单位:各镇。完成时间:20--年12月)
四、组织实施
(一)推进计划
1、调研启动阶段:20--年5月至20--年6月。完成对现有社区业务系统和资源的详细梳理,开展建设方案深化设计工作,对接南京已有的统一平台技术标准。
2、试点推进阶段:20--年7月至20--年8月。选择信息化基础较好、具有代表性的2个城市社区和2个农村社区进行智慧社区试点运行工作。
3、应用推广阶段:20--年8月至20--年12月,根据试点情况对平台进行整改和完善工作,并逐步在全区所有社区的推广应用。
4、持续完善阶段:20--年1月以后,在继续完善社区综合管理信息系统的基础上,鼓励支持社区及相关服务组织创新应用,进一步拓展公共服务与增值服务。
(二)保障机制
1、加强组织领导。在区委、区政府领导下,各镇、各相关部门分工协作,保障智慧社区网格化管理服务队伍,形成智慧社区建设长效协调推进机制。针对相关工作任务,加快推进智慧社区综合信息管理和服务平台建设,确保平台尽快上线并推广应用。
2、落实资金保障。各镇、各相关职能部门安排专项资金并建立动态保障机制,落实智慧社区建设和维护相关经费。同时充分发挥市场作用,积极探索政府搭台、企业运作、社会参与的多方投入机制。
3、营造创新氛围。各镇、各相关部门加强对全区智慧社区建设宣传和普及工作,鼓励支持探索创新特色功能,充分利用先进信息技术完善社区便民应用,因地制宜推动智慧社区建设向纵深发展。
智慧社区项目方案
2.智慧社区网络设计方案 篇二
通信网络是智慧社区的重要的基础设施, 结合三大运营商4G网络的部署, 充分利用运营商原有通信设备, 满足智慧社区信息发布、数据采集、视频共享等的需求, 需要一种具有全覆盖、高速率、低成本等特点的快速部署方案。
一种快速的LTE部署方案, 需要增加接入的无线设备AP (小基站) 、接入的安全网关SFGW和接入网关AGW, 配合运营商已经部署好的x PON网络、LTE承载网的PTN设备、LTE核心网设备来构建。
一、网络构成
与普通的LTE组网相比, 本部署方案增加了两个主要设备, 安全网关SFGW和接入网关AGW, 而AP即所谓的小基站, 作用类似于普通的e NB, 如图1所示。
(一) 外网部分
AP通过运营商的宽带网络的ONU设备接入, 经OLT和城域网到达BAS服务器, 其中AP需要分配公网的IP地址, 此IP地址与BAS服务器的接口IP地址在同一网段。
BAS服务器与内部网络相连接的时候, 为加强网络的安全性能, 可以添加防火墙FW设备, 设置防火墙两段IP地址为不同网段的IP地址。设置SFGW与防火墙FW相连的接口地址, 设置SFGW对AP暴露的公网地址, 此地址也是作为AP的网关地址, 由于这个IP地址不是真实存在的, 需要防火墙FW配置NAT, 安全网关对AP暴露的公网IP转换为安全网关公网局向的接口IP地址。
(二) 内网部分
内网部分包含了SFGW、AGW、层三PTN、LTE核心网、层三交换机组成, 其中SFGW、AGW和层三PTN通过层三交换机相连, 层三PTN连接至LTE核心网。
安全网关SFGW的主要功能是为外网的AP设备提供内网的IP地址, 确保了内部和外部网络的隔离, 加强了网络的安全性能。将安全网关SFGW需为AP配置内网IP地址池, 地址池的数量可以随着AP数量的增加而增加。
接入网关AGW的主要功能:
1) 相对于AP来说, AGW就相当于普通LTE组网的MME/SGW设备;
2) 相对于MME/SGW来说, AGW就相当于普通的e NB。这样做的好处是AGW可以管理多个AP设备, 而对于MME/SGW来说一个AG设备相当于普通的一个e NB。
AGW需要配置两个偶联地址和两个用户面地址, 分别为AP局向的偶联地址和CN局向的偶联地址, 对应设置AP局向的用户面地址为和CN局向的用户面地址。
二、数据流程
(一) AP至MME/SGW
AP将数据信息通过ONU、OLT、城域网、BAS服务器发送至防火墙FW, 防火墙FW查看IP包中的目的IP地址, 通过NAT转换将其转换成安全网关公网局向的IP地址, 接着为其分配内网IP地址, 并与源地址有一对一的映射关系, 同时安全网关将此数据包的目的IP地址设置为AGW的AP局向偶联地址 (如是控制信息) 或AGW的AP局向用户面地址 (如是业务信息) 。安全网关发送的信息经层三交换机至接入网关AGW设备, 接入网关AGW设备汇接多个AP设备发送过来的数据包后, 将所有数据包发送至核心网MME/SGW设备, 完成单向的数据或控制信息的传送。
(二) MME/SGW至AP
MME/SGW下发数据信息至接入网关AGW, AGW根据信息可识别出此数据包的目的AP, 并将数据包转发至安全网关SFGW, SFGW通过AP内网地址和AP公网地址的一对一的映射关系, 可告知防火墙FW将目的地址转换成公网的IP地址, 最后通过BAS服务器、OLT、ONU发送至AP设备。
三、总结
此种借助于原有网络部署的4G方案, 符合我国建设智慧社区提出的节约型建设需求, 也在一定程度上解决了无线流量室内室外不均衡的情况。结合其快速部署的特点, 在加快智慧社区的基础设施建设和改造, 最终为实现智慧社区的通信保障。
参考文献
[1]李富强.无线接入网小区中断补偿方法[D].北京邮电大学, 2012.
[2]刘晓峰.LTE组网技术及测试简析[J].现代电信科技, 2015 (11) .
3.小区网络方案设计 篇三
关键词:小区网络;设计方案;自动化
网络经过短短几十年的发展,已在世界各地逐步普及。近几年来,随着计算机的普及和建筑电子产业的发展。现如今,越来越多的人已经离不开网络,无论是工作、学习、休闲娱乐,都已经和网络息息相关,出行前不熟悉交通的上网查路线、外出吃饭会前去查哪家餐馆受好评、买书去卓越网、想看新闻去新浪、买IT产品必上导购网站查报价、网上购物去淘宝等等,我们发现生活的每个角落似乎都是在这个网络当中。
一、宽带接入方案
一个小区有十幢楼,一千用户,要求局域网内部能实现视频点播等高带宽网络服务,各用户能快速的连接Internet,并且该网络能便于将来升级。
1.网络设计思路
(1)小区局域网采用双核心、二层扁平结构 在整网配置两台核心交换机作为整个网络的核心交换节点,避免了单点故障对整网的影响范围,从而提高了整个网络的安全性。
(2)每栋住宅楼的接入层交换机采用千兆电口接入,可提供万兆上行的三层交换机在住宅楼接入交换机的选择上考虑采用能提供万兆上行口的千兆下行电接口三层交换机,主要是体现高带宽、高安全的优点:千兆三层到桌面一个最直接的优点就是带宽大。用户的接入不在只是百兆带宽,现在可以通过千兆直接接入网络,提供10倍与原来的带宽。通过三层到桌面的方式,整个网络中将不再有二层报文,二层攻击事件彻底杜绝,设备与设备之间的级连链路上将只有三层报文流通,极大提高了网络带宽的利用率与网络的安全性。高扩展性,在占用带宽较多的业务没有大规模应用时可以采用千兆上行连接核心交换机,在带宽需要扩展时添加万兆模块,形成万兆上行连接核心交换机,提供充足的冗余特性。
(3)局域网内部的服务器通过千兆网卡连接核心交换机 随着视频等大带宽占用的应用越来越多。视频点播等内部服务器需要通过千兆网卡直接连接核心交换机,性能可以得到充分发挥。
(4)结合园区建筑物及中心机房的位置,拓扑结构应采取星型和树型相结合。在楼宇之间尽量采用光纤(结合基础建设走地下管孔,避免架空缆),形成网络骨干线路,连接各楼的中心交换机及中心机房,在楼宇内根据具体情况(如楼层高度,楼内布线情况等)和设备端口密度,一般采用多模光纤作为楼宇内垂直布线,五类线到各户或者全部五类线到户的方案。
二、选择网络设备
核心层设备是新大楼网络的核心枢纽,应该选择高性能、高可靠、高扩展性的核心以太网交换机,本次方案推荐核心采用两台S7503E万兆以太网交换机进行双核心组网,两台设备之间既冗余备份又负载分担。两台S7503E上配置共配置了2个万兆口,用于两台核心之间级连,并预留了1个万兆口为备份或今后的扩容接口。此外还在两台S7503E上共配置了7个千兆光接口,用于连接住宅楼接入交换机,24个千兆电接口用于连接内部服务器以及出口路由器。在本方案中采用了双核心路由交换机S7503E承担了核心交换机的功能,而这两台核心交换机并不是简单的一主一备用的关系。由于住宅楼接入三层交换机采取负载均衡双接口分别接入到两台核心交换机上,所以两台核心交换机同时在承担整个网络的流量。同时,由于住宅楼接入的三层交换机通过双链路分别接入到两台核心交换机上,所以每台核心交换机在另一台设备故障时,可承担整个网络的流量。避免了单点故障对整网的影响范围,从而提高了整个网络的安全性。为了充分保障核心交换平台的高可靠特性,每一台S7503E都配置了双交换引擎和双主控单元以及双电源配置,规格指标达到电信级要求。为了各住宅楼交换机能更好的满足大接入容量、高接入带宽的配置需求,在汇聚层全部选用了S5500-28C-SI多业务万兆交换机作为接入设备,交换容量高达128Gbps,转发能力高达95.2Mpps的高速引擎,在设备的高性能上保证配合在开展视频、语音等高带宽、低时延、大流量业务时,住宅楼接入交换机能无阻塞的实现用户间互访的线速转发,并通过双上行链路和核心交换机互联,保证应用的不间断,提高整网的高效性、稳定性、安全性。住宅楼接入交换机是每栋住宅楼的交换中心,由于每栋住宅楼用户之间也存在通过划分VLAN实现隔离与互访,而且第三层操作(数据转发、服务器访问等)也都会通过住宅楼接入交换机集中进行,所以住宅楼接入交换机除了具备三层功能之外,还必须具备先进的体系结构、大容量高密度端口线速交换、高可靠性设计、弹性堆叠扩展、精细化用户管理等特性。结合各住宅楼信息点的分布情况,我采用以下产品,简单介绍如下:采用S5500-28C-SI作为住宅楼接入三层交换机H3CS5500SI系列交换机,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。内部交换容量高达128G bit/s,可以充分满足今后以及后续长期内楼层节点三层交换机的应用需求。当楼层比较低,并且用户量较小,在楼内可以通过一台交换机与五类线的接入来满足用户要求。当楼层比较高,并且用户量比较多,必须采用交换机级连的方式满足要求,与骨干连接的边缘交换机可以放置于楼层的底部,也可放置于楼层中部。
三、结论
本文首先对网络化小区做了简单介绍,并根据现状在后文中做了一个实例。在进行网络规划之前,对网络基本知识和网络设备进行介绍,比如在选择宽带接入之前,对现有的主流接入进行分析然后选择了LAN接入。最后选中了核心交换机和汇聚层交换机等设备。希望本设计让小区网络为人们的生活提供便捷。
参考文献:
[1]William Stallings 著;毛迪林 张琦 楚春波 译《局域网与城域网》电子工业出版社
[2]周属衡 马彬 张敏著;《现代计算机学习指导》四川电子音像出版社
4.智慧社区网络设计方案 篇四
项目概况:以信息化手段深化社区事务受理服务中心标准化建设,推进社区政务服务进一步向居民区延伸,创新深化信息公开方式,提升社区政务服务智能化水平。通过在居委会配置“智能社工”自助查询系统和社区事务自助受理终端设备,使居民不出小区便能方便的查询可办业务、具体流程、需提供材料等相关信息,并可自动受理常规即办件。根据市民政局智慧社区建设规划,今后将结合“三网联通”的功能应用,探索通过互联网、物联网、电话网和电视网等途径,实现申请人根据身份证号码对本人所办事项的过程、进度、结果、历史记录等信息的可查询、可下载,进一步实现政务服务的政策全透明、过程全公开、查询全方位。
为进一步落实《上海市推进智慧城市建设2011-2013年行动计划》和《上海市经济信息化委关于开展本市智慧社区建设试点示范工作的通知》提出的打造智慧社区,建立惠及民生的应用典范的要求,结合半淞园路街道信息化工作的基础水平和自身特点,开展有特色的典型性应用,提高社区管理服务水平,拟将“以信息化手段深化社区事务受理服务中心标准化建设”作为本街道智慧社区试点建设的工作目标,具体工作方案如下:
一、现状基础
半淞园路街道以信息服务网络整合建设为依托,积极推进社区政务服务信息化、智能化工作。街道信息化基本情况和受理中心信息化情况如下:
(一)街道信息化基本情况
1、在电脑配备方面,截止2011年底,半淞园路街道共配备电脑261台。其中街道办事处配备电脑110台;社区事务受理服务中心53台,文化活动中心12台,党员服务中心8台,生活服务中心12台;居委会66台,每个居委配备3台。
2、在网络建设方面,街道中心机房配备了光端机、路由器、交换机、服务器等网络设备,并将互联网、政务外网、办公业务网和各条线专网接入街道办公楼,将政务外网通过VPN(虚拟专线)的方式接入各居委会办公场所。
3、在系统应用方面,基于互联网的应用有“半淞园路社区门户网”和“半淞园路社区服务网”;基于办公业务网的应用有“黄浦政务”OA平台;基于政务外网和各条线专网的应用有“半淞园路社区事务受理服务系统”(即“一口受理”系统)。
4、在信息安全方面,街道根据区保密委有关要求和《半淞园路街道信息系统安全管理制度》,定期开展保密检查,同时统一安装杀毒软件,配备了硬件防火墙、防毒墙,保障
街道计算机系统及网络安全运行,防止病毒感染及信息泄密。
5、在管理体制方面,街道制定了《半淞园路街道机关计算机系统使用管理规定》、《半淞园路街道政府信息更新维护制度》、《半淞园路街道办事处机房管理制度》、《半淞园路街道政府信息系统安全管理制度》等规章制度,具体由行政办公室负责落实,配备了3名网管员分别负责街道办事处、受理中心和居委会的信息化管理维护。
(二)受理中心信息化情况
半淞园路街道从2009年起开展社区事务受理服务中心标准化试点建设,在市、区民政部门和信息化部门的指导下,按照《上海市社区事务受理服务中心规范手册》的相关要求,进行规范化的信息系统建设。
在硬件网络方面,配备了服务器、交换机、路由器、防火墙等各类网络设备,以及工作台电脑、打印机、条码扫描仪、满意度评价器等终端设备,并将政务外网和劳动、民政、医保、计生等各条线专网接入中心机房,组成适应“一口受理”业务需要的信息化网络硬件体系。
在软件系统方面,配置了操作系统、数据库系统、排队叫号系统、群众满意评价系统等,并在市民政局一门式政务研发中心指导下部署了半淞园路社区事务受理服务系统和上海市社区事务受理绩效评估系统,该系统包括民政救助、廉租住房、劳动就业、医疗保险、居住证办理等应用模块,实现了劳动、民政等多个部门的业务协同,市民在一个窗口就能办理所有业务,形成“前台一口受理、后台分类处理、中心一头管理”的运作模式。
受理中心实行标准化运作后,在均衡业务负载、提升服务效能,优化资源配置、贯通条线业务等方面取得显著成效,大大方便了居民办事,群众满意度不断上升。至今共接待中央、市、区考察团150余批,受到各方好评。
二、总体目标
社区事务受理服务中心是社区政务服务平台、服务型政府形象窗口和基层社会管理载体。市委、市政府高度重视受理中心标准化建设,在市、区有关部门和街道的共同努力下,受理中心管理模式不断创新,服务群众理念不断彰显,便民利民功能不断加强,群众满意度不断提升。
半淞园路街道社区事务受理服务中心作为受理中心标准化建设试点单位,在全市处于领先地位,并已列入市民政局牵头的智慧社区试点,在此良好基础上,街道拟将以信息化手段深化受理中心标准化建设,进一步提高社区服务的智能化水平,健全信息共享和服务体系作为本街道智慧社区建设的总体目标。
三、建设内容
根据市政府《关于进一步深化社区事务受理服务中心标
准化建设的若干意见》的要求,半淞园路街道拟将延伸受理服务、实现政务服务全程公开、实行“三网联通”等3项内容作为智慧社区建设的主要任务。考虑到时间较为紧迫,为争取集中力量重点突破,拟分两个阶段分步推进,第一阶段主要实现延伸受理服务的目标,第二阶段力争结合“三网联通”实现政务服务全程公开。
第一阶段:
延伸受理服务。进一步完善居委会社区事务代理室、咨询点建设。延伸受理服务的关键在于延伸政务信息咨询和政务服务代理终端,目前受理中心已配置了“市民知道系统”用于政务信息咨询,在此基础上积极开发和推广“智能社工”自助查询系统和社区事务自助受理终端设备等便民信息系统在社区居委会的普及运用,居民只需凭自己的身份证或社保卡即可在“智能社工”系统中快捷的进行个性化自助查询,获得可办业务、具体流程、需提供材料等相关信息,并可自动受理常规即办件。
第二阶段:
政务服务全程公开。在受理中心服务承诺制达标的基础上,实现申请人根据身份证号码对本人所办事项的过程、进度、跨部门办事结果、受理情况历史记载等信息的可查询、可下载。结合“三网联通”的功能应用,探索通过互联网、物联网、电话网和电视网等途径,进一步实现政务服务的政
策全透明、过程全公开、查询全方位;运用电子监察系统确保服务过程可追踪、可审计。
四、应用特色
(一)方便居民办事。实现延伸受理服务后,居民到所在居委会使用“智能社工”系统便能自助查询相关信息和自动受理常规即办件,减少了居民因不熟悉流程和没带齐材料等原因往返奔波的情况。实现政务服务全程公开后,居民可通过相关终端查询到业务办理的全过程,足不出户即可了解到办理情况。
(二)深化信息公开。半淞园路街道目前已通过在门户网站发布公开信息、设立政府信息查阅点和配备触摸查询机等方式积极开展信息公开工作。实现延伸受理服务和政务服务全程公开后,居民可以更方便的通过“智能社工”系统和政府服务查询系统等获得相关信息,进一步深化信息公开工作。
(三)提升服务价值。实现延伸受理服务和政务服务全程公开后,大量的咨询服务和常规即办件的受理将下沉至居委会,受理中心可以腾出更多的精力用于处理流程较为复杂、解决起来比较困难的业务。同时通过政务服务的全程公开和电子监察系统的运用,从公众监督和内部监督两方面对受理服务过程进行管控,进而提升服务水平。
5.网络设计方案 篇五
xxxx年7月16日起,要求全国所有网络游戏都必须使用“网游防沉迷系统”。现在上网对于孩子来说已经是生活的一部分了。我们能真切感受到网络带来的益处,同时也深刻体会到它对孩子们心理健康成长的负面影响以及对传统道德规范的冲击。作为教师,我们必须肩负起正确引导孩子健康使用互联网,确保他们的身心健康成长的责任。要让我们的孩子养成良好的使用互联网资源的习惯,这个习惯的培养,会影响孩子的一生。
二、活动目的
1.了解一些常见的网络沉迷和犯罪症状及心理困惑,掌握一些健康使用互联网资源的方法。
2.注重疏导过程中的互动,提高学生自我心理修复的习惯和能力。
3.提高学生的信息伦理意识和信息素养,学会与人交流,感受解决心理障碍后的成功乐趣。
三、活动重难点
重点:了解网络沉迷和犯罪的症状,透析症状背后的心理成因;掌握一些健康使用互联网资源的方法,合理构建导向对策。
难点:诱导孩子坦诚交流沉迷时的心理状态。
四、活动形式
访谈互动式。
五、活动时间
40分钟。
六、适用年级
六年级。
七、准备用具
“互联网有约”背景道具;“六(1)的空间”,收集绿色网站空白表格;“博客家庭成员”签名表;活动课件;摄像机;照相机;录音笔。
八、活动实施过程
㈠创设互动情境,产生探究欲望
主持人:在座的哪些同学有QQ或者玩过在线网络游戏?
网络交友为什么吸引人?又有哪些危险?网络游戏为什么使人沉迷其中?
我们这期的“互联网有约”节目请来了两位嘉宾。通过他们的现身说法,来解开大家心中的疑惑。掌声有请两位“电脑迷”。(出示课件,进场音乐)
设计意图:模仿《鲁豫有约》的开场,以学生熟悉的生活素材和感兴趣的氛围导入。
㈡直面网络沉迷,透析症状诱因
1.令人沉迷的网络
①嘉宾的自述
主持人:先让我们来听听嘉宾的自述吧!
嘉宾一:我迷恋网络的原因很简单,因为孤独。爸妈工作都很忙,难得有个节假日又有许多应酬,根本没有时间和我交流。上网聊天让我结识了许多朋友,不再感到孤单,生活充实多了。当然,这也占用了我过多的时间和精力,特别是QQ,现在的学习成绩明显下降了。
嘉宾二:网上的东西也不可全信,有一次在网吧上网时,被人偷看了我的联系方式并进来和我聊天。我们聊得很投机,她说现在上中学,家境不好,母亲卧床不起,她说得很可怜,希望我能
给予帮助。我很同情,于是从爸妈那儿要来了一百多块钱,按她提供的地址给她寄了去。她QQ上说以后有钱一定还我。我很单纯,也没多想。可是自从钱寄出后再也没见到她上过QQ,我才明白自己被骗了。这件事我一直没说出来,怕爸妈责骂我。
嘉宾一:我还打网络游戏,这可是瞒着爸妈的。在网络这个虚拟的世界里无限畅游,时间过得飞快,神经高度紧张,大脑异常兴奋,而且游戏胜利了有一种成就感。下网后才觉得浪费了时间,但还是难以割舍对网络的依赖和迷恋。
设计意图:网络发展尚不成熟,有许多东西尚待规范,而学生无论是生理还是心理都不成熟。当两个不成熟的事物相遇时就不可避免地会产生诸多的矛盾。网络的神秘源于不了解,痴迷在于缺乏心理防范。
②观众提问
主持人:通过嘉宾的自述和大家的提问,让我们明白了这都和不正确的心理活动有关,尤其是孤独和寻求刺激的心理。因为不健康使用互联网,才会沉迷于互联网。
③观众倾诉经历
主持人:或许在座的很多小网友,也有这样的心理感触。利用今天这个机会,把你遇到过的种种困惑说出来。
2.无意识的网络违法
主持人:互联网给我们的学习带来了极大的便捷,但是很多同学都会在无意中有一些“不正当”的网络行为,下面让我们来看一段录像。
画面中的这些人为什么会有这样的行为呢?他们心里在想些什么?
在座的各位,你有过这样的行为吗?你当时心里是怎么想的?
设计意图:活生生的视频材料是触动孩子心理世界的良方。通过这些让孩子震撼的事实,触动原本侥幸的心理底线,为后期的疏导作好有效铺垫。
3.网络心理年龄测试
主持人:刚才画面中的行为我们在座的同学也有可能做过。做的时候都是存有侥幸的心理,正是这样的侥幸心理促使一些人走入网络犯罪的深渊。
让我们来做一个测试网络心理年龄的游戏。(发放网络心理年龄测试题)
设计意图:网络心理年龄测试摆脱单调乏味的重复,增强趣味性,引起学生的兴趣与注意,激发学生表现欲、探究欲。
4.阶段性小结
主持人:或许这样的答案都出乎大家的预料。你怎么也不会想到,正值快乐童年的你心理的年龄竟然是成年了。这都是不健康使用互联网造成的,它促使我们的心理年龄的早熟,过早使我们失去了快乐,增添了无谓的烦恼。
怎么办呢?关心我们健康成长的好心人都为我们担忧。搞计算机程序的叔叔阿姨给我们设计“网络防沉迷”系统,让我们一起来了解一下它吧。
设计意图:体现教学的整体性,渗透整体意识和目标意识,使学生对这节课“我们遇到了什么心理困惑”和“怎么样去疏导心理的困惑”两个问题非常明确。
㈢提炼网络资源,梳理导向对策
1.介绍“网络防沉迷”系统和健康游戏公告
①“网络防沉迷”系统
主持人:现在画面上出现的就是“网络防沉迷”系统的新闻视频。(出示课件,视频)
看了以后,有什么感触?
②健康游戏公告
主持人:有很多好心的网民也提出了健康游戏的公告,你知道吗?(出示课件,公告内容)
2.多分享,用好教育网站
主持人:其实,网络并非像我们现在说的那么可怕,关键是你抱着怎样的心态去使用。
有同学就准备了资料,来证明他的想法。(学生准备课件,利用课件做演说。)
设计意图:学生是解决自己问题的专家,是我们进行健康网络教育的共同体。同伴教育是一种比较适合学生自己解决问题的有效策略。
3.多动手,用好免费资源
①交流免费资源
主持人:哪些同学有自己的网站或博客?
你在使用过程中,感觉怎么样?需要费用吗?
是啊,互联网其实给我们提供了很多“免费的午餐”,利用这些免费资源,我们可以创建自己的健康网上家园。
现在是我们的互动时间,请大家将自己的宝贝网站和心得写在其他同伴的“空间”上,让更多的朋友来了解你,分享你的喜怒哀乐。当然,我也为大家准备了一张大大的“六(1)的空间”,你也可以写在那里。
(张贴,收集绿色网站空白表格)
②介绍踏雪的博客
主持人:blog.fcwx.net是学校为大家提供的网上家园阵地。“踏雪”就用它搭建了博客,很多在校的小朋友都浏览过她的博客,让我们通过网络来看看这个博客上都有些什么。
(课件,跳转到博客)
设计意图:将学生中的电脑高手组织起来,参加建设和管理自己的青少年教育网站,是学校健康教育网络的极好补充,又是引导孩子拥有健康心理的天然平台。
4.阶段性小结
主持人:通过大家的准备和交流,让我们重新认识了互联网,它还是有很多健康的资源,只要我们拥有健康的使用心态和习惯,它能给我们的学习和娱乐带来不少的快乐。同时,通过这些资源,也可以使那些曾经“迷路”的同学早日回到我们幸福的大家庭,和我们一样快乐地使用互联网。
㈣小结延伸
1.开博仪式暨签名活动
主持人:我一直想为班级建设一个网上家园,今天机会难得。“幸福一家人”博客今天诞生了。我们网上家园的健康成长,离不开大家的支持,请你在“博客家庭成员”中签上你神圣的留言和祝福吧!(出示,博客家庭成员空白表)
设计意图:利用开博作为这次活动的启动仪式,留下的决心和誓言是推动学生坚持的动力。
2.嘉宾小结
主持人:录制了这期节目后,两位嘉宾还有什么想对同年龄的少年朋友说?嘉宾:1.要深刻认识电脑游戏、上网聊天、网上交友、黄色信息的危害,很多学生都是因为沉迷于这些,而走上了犯罪的道路或是遇害的;2.我们要利用好网络资源。但因为我们是在校生,电脑只能作为一种学习辅助手段,所以在电脑的使用上要自觉严格控制时间。(录音笔录制音频,后期制作MP3)
我们会将两位的想法通过我们的博客告诉全校乃至全国的小学生网友。同时我们会将这期节目的录像做成视频,传到互联网上,可以使更多的小网友为我们今天的话题献计献策。
设计意图:嘉宾小结其实就是教师的小结,它不仅关注知识的回顾整理,而且是对三维目标的培养与发展方面的情况作全面的总结,为这次心理健康教育活动增添一份别样的人文底蕴。
3.延伸
主持人:这期的“互联网有约”节目又将结束。告诉大家一个好消息,《网络安全法律法规》已经逐步在完善。
最后,感谢两位嘉宾和众多小网友的参与,希望我们的期待早日成为现实。(课件,离场音乐)
设计意图:课外延伸是心理健康教育活动的一种必要的、有效的学习活动,通过课堂向课外的延伸,打通学生获得知识、应用知识的感性平台,提高了课堂的有效性。
6.网络安全设计方案 篇六
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求 网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求
网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求 防止IP地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理 记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理 第二章、某校园网方案设计 2.1校园网现网拓扑图 整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性
能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的 尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如
果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击 通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故
障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息
的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端, 第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。
NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。 第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大
多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬 件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火 墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成 本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这 样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操 作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所 作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且 其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部 分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少 量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾 的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙 分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代 防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为 第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm); 限制命令执行权限; 取消IP转发功能; 检查每个分组的接口; 采用随机连接序号; 驻留分组过滤模块; 取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作 扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专 门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计 上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密 的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主
机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详 细讨论。
B.对来自外部(和内部)攻击的反应能力 目前常见的来自外部的攻击方式主要有: a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。
b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能 在内网主机感染木马以后起一定的防范作用)。d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的 探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对 抗这些攻击。
C.透明代理的采用 应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防 火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明 模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以 继续使用。
目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:
内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时 由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连 接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和 内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清 楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子 网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:
1.用ARP代理实现路由器和子网的透明连接(网络层)2.用路由转发在IP层实现数据包传递(IP层)3.用端口重定向实现IP包上传到应用层(IP层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙 既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的 拓扑结构一般都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的 可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎 合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价: CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 无限用户 131000.00 从用户量上防火墙可以分为: a. 10-25用户:
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对
硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。
据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?
b. 25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管
理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上
硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。c. 100-数百用户
这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功 能越多,价格就越贵。如Netscreen的百兆防火墙: NetScreen-100f(AC Power)-带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元: ¥317,500 7. 研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数 量还是太少(远远少于Windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分): 内核模块
防火墙模块(含状态检测模块)NAT模块 带宽管理模块 通信协议模块 管理模块
图形用户界面模块(或者Web界面模块)透明代理模块(实质属于NAT模块)
透明模式模块(包括ARP代理子模块、路由转发子模块等)各应用代理模块(包括URL过滤模块)VPN模块
流量统计与计费模块 审计模块
其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大 的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块 各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行 费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8. 可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙 不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级 功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。防火墙的灵活性主要体现在以下几点: a. 易于升级
b. 支持大量协议
c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)d. 功能可扩展
这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是 定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻 击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是 个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性 一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;%3Fid%3D1974 上下载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的IDS都是从Snort得到众多借鉴的,建议用户试用一下 Stick。
2.IDS漏报
和IDS误报相比,漏报其实更危险。采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让 IDS做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路: IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
这种方法比较适合智能化的IDS,好的IDS一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应该注意到,这种简单的IDS只是字符串匹配,一旦匹配成功,即可报警。
7.智慧社区网络设计方案 篇七
安全、高效的校园网络是高校重要的信息基础设施。学校通过校园网能够进行对外宣传,展示学校风貌;可以在校园网上开展多媒体教学、远程教育、进行网上联合科研、建立数字图书馆、实现办公自动化、承载校园一卡通系统,方便师生的校园生活。因此,规划、设计和建设好校园网是高校信息化基础设施建设的大事,各高校也是加大投入,努力建设先进、安全、高效的校园网。本文结合四川外国语大学智慧校园网络的规划及具体实施,探讨满足高校智慧校园建设需求的校园网络架构设计与实施。
1 高校校园网现状及问题
高校校园网有一定的共同特性,所采用的网络架构多是三层以太网架构[1],有校园网核心层,有各个区域的汇聚层,各楼宇的接入层;校园网通过出口路由的方式接入教育科研网以及中国电信、联通、移动等运营商;校园网安全主要通过部署校园网出口防火墙、入侵检测、病毒防范等系统实施校园网保护;校园网服务提供区一般部署在防火墙的DMZ区;目前校园网多是千兆主干光纤网络,网络的管理主要基于免费的主机监控软件或网络产品附带的网络管理软件。
随着计算机及网络技术的发展,特别是各种应用的飞速发展对网络带宽、安全、稳定提出了更高的要求,现在多数校园网都需要进行升级改造以满足应用的需要。一些高校已经开始或准备开始从数字校园建设阶段进入到智慧校园建设阶段,如何才能使我们的网络基础设施能够承载智慧校园呢?我们必须对现有网络进行详细的分析,找出不足,以便改进和升级。
1.1 校园网多条出口链路未得到合理、高效的利用
目前我校有6 条出口链路,1 条350M教育网光纤,1 条10M联通网光纤,4 条3300M电信网光纤(其中1 条300M,另外3条各1000M)。教育网带宽用于教学区上网,联通网带宽仅用于校外联通用户访问校内公共资源,300M电信带宽用于办公区上网,3000M电信带宽用于学生宿舍区和家属区上网。之前我校采用目的路由的方式,将流量分发到指定链路上,但会出现例如电信链路过载使得师生访问缓慢,而其他链路却空闲浪费资源的情况;当某条链路故障的时候,设备还按照之前的规则来引导流量导致部分师生无法使用,必须手动将路由切换到正常链路,当故障链路恢复后又必须手动切换回来,出口带宽利用率低,管理麻烦。
1.2 DNS解析不能满足多种用户访问的要求
我校有三条校园网出口链路,教育网、电信、联通,如何实现入站流量DNS智能解析,以保证校园网首页、邮件、OA及其他业务能够通过最快的链路提供给外网用户使用,在出口链路故障时,如何自动切换流量,避免访问中断。校内用户访问校园门户、使用校园网服务多是通过域名方式进行访问,但部分用户的地址解析由运营商DNS服务器完成,因此每次访问都需要绕道外网后再访问,无形中形成了流量的浪费和访问速度的下降。同时内部人员由于DNS是自动分配,不能保证访问外网的服务都自动解析到对应运营商的服务器镜像IP地址。
1.3 如何进行带宽控制,以保证带宽的高效利用
目前千兆流控设备不能满足对近万兆带宽的流量控制管理,已有的流控策略没有弹性,不能充分利用带宽资源,不能对P2P流量或其它重要应用类型,应用弹性的流控策略。
1.4 对用户认证授权,以保证校园网使用的安全可控
目前一些教学和办公用户一般开机即可访问校内资源甚至上互联网,没有实现上网实名认证。校园网目前的管理及审计工作还是基于IP实现,无法对应到实名用户,不便于校园网的管理及问题追溯。
1.5 存储、管理急剧增加的用户网络行为日志
公安部《互联网公共上网场所相关规定》等法律法规纷纷对用户的上网行为提出记录和审计要求。学校需要对上网用户的互联网访问行为进行记录和审计,便于事后的行为溯源,满足监管部门的要求;同时针对手机接入WIFI访问的情况也需要一并审计,但是一些学校还没有建立完备的日志记录审计系统,或者跟不上带宽增加的步伐,不能做到对所有用户的日志记录进行集中管理和审计。
1.6 如何保证智慧校园网络安全
校园网应用日新月异,但网络风险层出不穷,多样化的网络攻击频频发生,如何保证校园网正常运行免遭网络黑客、病毒的侵害,避免校园网内部僵尸木马蠕虫泛滥,阻断“肉机”同外部控制器连接后成为跳板,对内部发起攻击或对外发送攻击流量导致校园网拥塞。
各高校都建设了各自的数字化校园,有自己的数据中心,运行着学校的各种管理、应用系统,还存放和运行着很多托管系统,由于设施和管理原因,存在很大的安全隐患。近年来高校网站被篡改、挂马以及各类基于应用的攻击屡屡发生,互联网各种蠕虫、病毒木马泛滥,针对重点高校的网站和服务器的攻击越来越多,传统防火墙工作在网络层,无法对应用层风险进行全面的防护。
2 智慧校园网络建设的目标
智慧校园的建设需要先进、高效、安全的校园网基础设施平台的支撑,智慧校园网的建设更多是在原来校园网基础上的更新、升级,以使校园网能够满足智慧校园建设对大带宽、多出口链路管理、校园网无线全覆盖、多类型应用建设、安全审计、统一身份认证、入侵检测与防御、智能DNS域名解析、业务负载、数据中心安全保护等需求。
我们希望建成全网支持IPv6 的万兆主干光纤校园网络;校园网多个出口链路能实现科学合理的负载;建设覆盖全校的无线网络并纳入校园网的统一规划和管理;建设支持校内外用户使用的智能DNS,提高网络访问的效率;建设满足安全要求的统一身份认证和安全审计系统;建设完备的校园网安全体系保护校园网资源、服务和用户;建设应用负载和内容缓存系统提高用户网络使用体验;建立综合网管系统,提高对校园网的监控和管理能力。
3 智慧校园网络设计
我校已建成三层架构的千兆主干光纤校园网,这样的结构层次清晰,协议支持好,扩展方便,但是对各个汇聚分中心环境要求高,汇聚设备更换成本高,故障点增多,应用部署不够灵活,管理维护不方便。本次网络改造将取消部分汇聚层,只保留教学区汇聚,对网络架构进行扁平化改造,同时使全网支持IPv6 并升级到主干万兆光纤网络。基于网络安全、稳定、高效的要求,对智慧校园网络架构进行了如下详细设计。
3.1 网络结构设计
对校园网结构进行调整和优化[2],实现校园网扁平化管理。所谓扁平化,是从网络中设备所承担的功能上区分,将网络划分为业务控制层和接入层。接入层由汇聚和接入层设备构成,仅提供基本的用户高带宽接入功能和相互之间的VLAN二层隔离功能;业务控制层则由核心层设备构成,提供网络中的用户接入控制、业务功能实现等复杂功能。本方案设计采用功能、性能、可靠性和可扩展性良好的两台核心交换机,支持双机集群、虚拟化等技术,有足够大的背板带宽、快速的转发速率、稳定的性能,同时支持IPV4 和IPV6 协议,两台核心交换机做集群,实现一体化管理。智慧校园网络结构拓扑图如图1 所示。
核心层:校园网核心交换机采用双机部署方式,提供CSS集群提高系统可靠性。
汇聚层:汇聚交换机通过万兆端口双归属到核心交换机,通过链路捆绑技术或者路由协议避免环路,实现链路负载均衡。
智慧校园数据中心:数据中心通过万兆端口与核心交换机互联,通过路由协议避免环路,实现链路负载均衡。
校园网安全:见网络安全设计部分。
扁平化[3]:原汇聚交换机、楼宇交换机关闭三层功能,作为二层交换机使用。即原来的DHCP中继、ACL访问控制、Qo S、组播、三层路由等功能全部由核心交换机实现。这就要求核心交换机具备超大规格的ACL表项、MAC地址表项以及路由表项,以应对扁平化给核心交换机带来的压力。
校园网出口:本方案通过出口的网关设备实现链路的合理管理。采用带有ISP地址库的网关设备,链路出栈的时候能够自动的被分配到对应运营商链路上,避免跨运营商的情况;当多条链路中有链路中断了,能够自动将访问请求分配到健康链路上,避免网络中断,当链路恢复后可自动切换回之前的状态。如果多条链路中的部分空闲、部分却又拥塞,能够自动的把流量分配到空闲链路以避免资源浪费和访问体验下降。
流量控制:本次方案设计采用新的万兆级智能流控设备,对校内办公、教学用户采用一套账户同步统一流量管理。改变当前流控策略为弹性智能流控策略,根据带宽使用情况及应用重要性智能分配带宽。
3.2 网络安全设计
网络安全[4]包括校园网出口安全、数据中心安全(另外专门项目设计)、身份认证、内容审计、VPN系统等内容。见图2网络安全结构拓扑图。
出口安全:在校园网出口部署符合国家最新计算机网络安全标准的安全网关设备,进行安全隔离及防护,避免大规模僵木蠕发作导致校园网瘫痪。实现对校园网出口2-7 层统一防护,同时防止内部师生电脑被植入僵尸、木马、后门等,防止其主动外链恶意服务器下载有害代码造成跳板攻击,组织其对外发送垃圾流量造成出口拥塞;避免外部利用内部存在漏洞或已被植入木马的肉鸡对我内网发起攻击,切段肉机与目的服务器的联系;采用专业的fw、ips、waf、僵木蠕防御、漏洞检测扫描、网页防篡改等功能,对校内多个网站提供安全防护;保护内部师生的操作系统及财产安全。
身份认证:新建万兆级身份统一认证系统,本次认证系统要实现,无论上网人员用什么账号走哪条链路都能够识别到人,支持短信认证方式,用户输入手机号作为用户名,通过短信猫或短信平台发送验证码;支持二维码认证方式,当有访客到我校参观,可通过扫码上网;支持与我校微信公众号结合的认证方式,用户关注微信公众号后即通过身份认证;支持LDAP、Radius、POP3、Proxy等第三方认证结合,如我校明年建立此类认证系统也可同步读取认证信息。
内容审计:建立满足公安部33 号令、公安部82 号令、公安部《互联网公共上网场所相关规定》等法律法规对用户上网行为记录和审计要求的日志记录审计系统。使用外置数据中心,存储至少90 天的日志以便于公安部门检查,存储内容应包括使用的人、应用、URL、网页快照、关键字等。不仅对使用电脑上网的人群进行审计,同时对手机等移动终端接入WIFI访问网络也进行审计,实现有线无线统一审计。
VPN系统:为了师生在校外能够安全访问校内资源,处理相关业务需建立VPN系统。新建VPN系统需要支持IPSEC、SSL、PPTP等多种访问方式,支持记录用户的访问行为如:记录账号在何时访问了何种业务系统。
智能网管:智能网管能够集中管理网络中的路由器、交换机、防火墙等网关设备、服务器、存储设备、视频监控等设备,同时可以对第三方设备进行监控,实现全网设备统一管理;支持网络规模平滑扩展,功能组件可按需求选择;提供拓扑管理、故障管理、性能管理、配置管理等功能;能通过监控任务自动对网络线路进行周期诊断和临时诊断,协助用户评估网络服务质量;针对管理人员提供敏捷报表,从多个维度对报表数据进行分析;支持移动管理,用户可以在移动终端上进行无线网络管理,包括监控、故障诊断等功能。
4 结束语
校园网是智慧校园重要的网络基础设施,在高校教学、科研、管理和师生的信息交流、生活服务方面都起着关键的支撑作用,没有安全、高效的校园网络就没有智慧校园。本文以四川外国语大学为例,分析了当前校园网的架构、存在的问题,建设智慧校园对网络的实际需求并设计了我校的网络建设与改造方案,实践证明方案是可行并满足智慧校园建设要求的。
参考文献
[1]张丹东,戴俊文.高校校园网络架构设计与实践.电信科学,2010.
[2]陶舟,王一举,黄东平,陈飞.数字化校园的网络架构与设计——以长江大学数字化校园网络建设为例[j].长江大学学报(自然版),2006.
[3]葛玉军.校园弹性扁平化计算机网络设计[j].福建电脑,2012.
8.计算机网络安全方案设计探微 篇八
关键词 计算机 网络安全 防护
中图分类号:TP393 文献标识码:A
信息网络技术以其方便快捷,资源共享以及工作效率高受到人们的青睐,日益深入人们的生活,为人们的生活带来了的巨大的改变。任何事物的发展有其有利的一面就有其不利的一面,信息化的不断发展使得网络安全问题逐渐进入到人们的视野。网络病毒,网络黑客等随时都会出现在某一台电脑中窃取重要信息或损毁重要文件。
1 计算机网络安全的问题及建设意义
1.1计算机网络安全的问题
一是网络病毒的肆虐,一些组织或个人因为某种目的,而在网络上散播病毒,企图窃取他人重要信息或损毁重要文件,对他人的财产安全造成威胁。网络病毒也在不断的升级中,让人们防不胜防,成为保证网络安全的一大阻力;二是网络黑客的威胁,网络信息的开放性,自由性和国际化为网络黑客的侵入提供了方便,让人们对信息化带来的方便感到高兴时也为其脆弱性感到担忧。网络安全系统存在较多漏洞,对于漏洞的发现与修补不及时便会给黑客以可乘之机;三是信息安全保障工作较为薄弱,在对病毒的安全检测中,由于受到技术水平的限制,对很多病毒无法检测,而使得人们在以为安全的情况下受到病毒的危害。提高应对网络病毒与黑客入侵的技术,建立更强的安全保护屏障显得尤为重要。
1.2计算机网络安全的建设意义
网络安全是保护计算机硬件、软件和数据的保密性,完整性和可用性,避免被恶意损坏造成不必要的损失。但由于计算机网络的多变性、复杂性以及信息资源的脆弱性,使得在保护网络安全时更为困难。网络安全一般由四部分组成,一是运行系统的安全,即保证系统的正常运行,避免因为系统自身问题造成信息输入、存储或传输出现问题;二是系统信息的安全,对信息进行各种安全防护,加密保护,访问权限设置等以确保不被泄露;三是信息传播的安全,对某些携带病毒的信息进行删除过滤,在信息传输时加强对信息安全的保护,避免被恶意软件捆绑,携带病毒;四是信息内容的安全,以保护信息的保密性,真实性和完整性为主,避免被入侵着窃取或损毁。
只有解决网络信息安全问题才能促进信息化的进一步发展,推动人类社会的巨大进步。因此,提高网络安全建设为社会发展进步提供便利。
2 计算机网络安全方案
2.1病毒防护及身份鉴别
随着计算机技术的不断发展进步,病毒技术跟随时代的步伐也在不断发展壮大。必须进行全方位的病毒查杀,提高杀毒软件的辨识能力,阻断病毒侵入电脑的一切可能,阻断病毒进入电脑的途径便可大大降低病毒带来的危害。在科技快速发展的带领下,病毒的更新升级也在快速提高,因此防病毒系统的更新周期也应该较短。提高人们对病毒的防护意识,对一些来路不明的邮件,信息等及时删除,在下载文件时选择有安全保障的网站进行下载,让病毒无法进入电脑,降低病毒对电脑的危害。对于机密性要求较高的信息,从其接收到传输都要有每一个人的身份验证,只有有授权的人才可以接触和看到这些信息,才不会被其他人从中窃取泄露机密。
2.2入侵检测系统及防火墙升级
对于入侵检测系统及防火墙都是人们根据病毒及黑客的入侵方式进行编程设计出来的软件,这些软件只能根据编程设计运行,很容易被黑客找到漏洞入侵,不断加强对入侵检测系统及防火墙的升级,对自身漏洞的修补,在诸多防护软件的配合下,实现多重防护,构建一个安全稳定的网络环境。开发新型防护软件,加强对病毒及黑客的追踪,一旦发现散播病毒之人加以严惩,从根源上减少病毒散播。
2.3提高安全管理制度
计算机网络发展较为迅速,以前的管理体制早已不再适用,只有根据现代实际情况制定新的管理制度,应用新的管理技术,才能保障网络安全。完善相关法律制度,加大对黑客及散播网络病毒的人的惩罚力度。不断加强对追踪软件的开发升级,加大对散播病毒人的追踪,减少散播病毒的人数,也是保障网络安全的重要环节。制定一些个人安全防护措施,在网络中加以宣传,加强人们在日常应用中的防护水平,在遇到不同情况时可以有很好的应对措施,减少不必要的损失。
2.4实体安全防护
在实际生活中,网络危害对电脑的威胁最大,但损坏电脑、网络设施及其他多媒体资料的事故,例如,地震、水灾以及火灾等灾害也会造成数据的丢失和损坏,造成无法挽回的损失。现代人们都在使用电脑,但对于如何正确使用与保护电脑却知之甚少,加强人们对正确使用电脑的意识,宣传正确使用电脑的方法,可提高电脑的使用寿命,同时也可避免因错误使用造成的数据丢失等情况。因此,加强对这些基础设施的保护,增强正确使用电脑的常识,是对网络正常运行的基本保障。
3 总结
在科技迅猛发展的现代,人们对信息安全也越来越重视,国家与企业对信息安全有了更高的要求。如何更好的保护信息与网络的安全,成为人们努力的目标。但计算机网络安全是一段漫长而艰难的路,并不是用用检测及杀毒软件就可以做到的,它需要每个人的共同努力,设计完善一个网络防护措施,全方位的保护网络安全,才能为大家提供一个安全绿色的网络环境。提高人们的个人修养及正确的价值观,从根源上减少散播病毒及黑客人数。
参考文献
[1] 贺贝.计算机网络安全及其防范措施探讨[J].价值工程,2010,29(2):199-200.
[2] 张玉扣.计算机网络安全面临的问题及防范措施[J].价值工程,2012,31(31):217-218.
【智慧社区网络设计方案】推荐阅读:
智慧社区论文09-17
智慧社区物业合作协议07-05
北京智慧社区指导标准07-12
智慧社区汇报提纲范文09-19
智慧旅游规划设计方案08-23
数学智慧课堂教学设计09-22
智慧乡村方案书08-16
智慧城管建设方案09-18
母狼的智慧教学设计06-10
智慧物流应用方案介绍09-05