校园局域网的安全

校园局域网的安全（共10篇）

校园局域网的安全 篇1

无线局域网(WirelessLAN,简称WLAN)本质上是一种网络互连技术。WLAN利用无线通信技术在一定的局部范围内建立的网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网LAN(LocalAreaNetwork)的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。目前,无线局域网正以接入速率高、组网灵活以及在移动传输数据等方面的优势而处于蓬勃发展时期。随着无线局域网技术的发展和无线接入设备的不断普及,无线局域网技术在高校校园网中的应用也成为热点。但由于无线局域网技术其传输介质的开放性,使得数据在通过无线信号向空中辐射传播的过程中,极有可能被一些非法的接收设备所接收,这就给入侵者有了可乘之机。因此与有线网络相比,无线局域网则更易遭受黑客攻击和泄密;另外,由于高校网络本身所具有的应用范围广、使用群体复杂、管理难度大等众多特点,致使网络本身更具脆弱性,因此高校无线局域网的安全问题就显得尤为突出。

1 无线局域网安全缺陷综述

无线局域网的安全缺陷可以从以下几个方面考虑。

(1)WEP的缺陷有线等价保密协议(WEP)的主要问题有:密钥管理系统不够健全;安全机制提供的安全级别不高;数据包装算法不先进;认证系统不完善等4个方面的问题。

(2)RC4加密算法的缺陷WEP采用RC4密码算法,通过扩展一个短的密钥得到密钥序列。RC4算法的密钥序列与明文无关,它属于同步流密码。虽然该类算法没有差错传播,但要以加解密精确同步,因此存在以下缺点:

1)解密丢步后,其后的数据均出错;

2)若攻击者翻转密文中的比特位,解码后明文中的对应比特位也是翻转的;

3)若攻击者截获两个使用相同密钥流加密的密文,可得到相应明文的异或结果,便利用统计分析解密明文成为可能;

4)CRC-32是线性的,意味着基于消息的比特差异计算对应CRC的比特差异是可能的;

5)WEP中的初始化向量为一个24比特位域,在消息中以明文式传递。

(3)认证安全缺陷在局域网中采用了两种认证模式:开放式系统认证和共享密钥认证。该标准的默认认证协议被称为“开放式系统认证”,实际上它是一个空的认证算法。当无需对终端进行身份认证时一般采用开放系统认证。如果终端的管理信息库MIB属性设置为Open System,任何使用开放系统认证算法的终端都可以和它建立相互认证关系。

2 无线局域网安全缺陷所带来的问题

无线局域网在其安全性设计上存在着严重的缺陷带来了很多问题,下面从国际标准化组织ISO层结构来简单分析一下无线局域网存在的安全问题。

2.1 无线局域网存在的安全问题

2.1.1 物理层

直接扩频系统DSSS使用一个众所周知的11位的扩频序列,并能调制该标准中规定的14个信道中的一个。由于使用的序列事先就知道了,给定的系统载波频率又是固定的,而且可能的频率数目也有限,所以,黑客可以很容易地收听到DSSS传送的信号。

2.1.2 MAC层

因为WLAN是使用广播方式的,如果黑客攻破物理层,就能侦听到信号,那么安全的关键就是信号加密技术了。可是WEP技术存在安全漏洞,因为WLAN标准没有定义WEP的密钥管理办法。

2.2 无线局域网的安全隐患

由于无线局域网存在安全问题,导致安全隐患如下:

2.2.1 硬件被窃

静态地制定WEP密钥给一台客户机是很常见的方法,密钥或存储在客户机的磁盘存储器中,或存储客户机的WLAN适配器的内存中。当客户机丢失或被盗时,该客户机的正常用户将不再拥有对MAC地址和WEP密钥的访问权,而非正常用户则有了这些权限。

2.2.2 虚假访问点

无线局域网共享密钥验证使用单向,非相互的身份验证方法。访问点可以验证用户的身份,但用户并不能验证访问点的身份。如果一个虚假访问点放置到WLAN中,它可通过“劫持”合法用户客户机来成为发动拒绝服务攻击的平台。

2.2.3 其他隐患

标准的WEP支持每个信息包加密功能,但是并不支持每个信息包的验证。黑客可从对已知数据包的响应来重构信息流,从而能够发送欺骗信息包。弥补这个安全弱点的途径之一是定期更换WEP密钥。

3 校园无线局域网基本安全策略

为了确保无线局域网的安全性,我们所选择的安全策略方案应该做到:WLAN身份验证基于与设备独立的项目,如用户名和口令等,不论在哪一步客户机上运行,这些项目都由用户拥有和使用;支持客户机和验证服务器之间的双向身份验证;使用由用户身份验证动态产生的WEP密钥,并不是和客户机物理相关的静态密钥;支持基于会话的WEP密钥。同时应根据对安全性要求高低通过设置认证服务器和配置其他监控手段以进一步提高网络的安全性。

3.1 合理安装无线网络设备,有效隔离无线网络和核心网络

WLAN的电磁波覆盖范围及AP的安放位置要适当,以免超出物理管辖范围,给窃听者提供更广阔的自由窃听空间。从网络结构着手,采取网络隔离及网络认证措施限制信号的范围,并将WLAN和重要的内部网络之间明确区分开来,在AP和内部网络之间采用防火墙进行安全隔离,必要时采用物理隔离手段。这样,即使WLAN出现了安全问题也不会立即导致内部网络的严重危机。

3.2 合理设计配置无线网络设备

更改缺省的SSID使之不易被猜测到;关闭定期广播功能使窃听者要获得SSID就必须借助一些无线数据包捕获及分析工具;利用MAC地址通过访问控制列表可以限制非授权人员对WLAN的访问;经常查看AP日志,及时发现攻击者;激活WEP、经常改变WEP密钥或使用动态密钥来避免密钥重用。

3.3 安装企业级防火墙,隔离通过Internet的攻击

若条件允许,可采用WLAN入侵检测系统进行实时分析和监控,及时发现非法接入的AP及假冒的客户端。

3.4 采用静态IP地址和入侵检测工具

采用静态IP地址而不使用由DHCP服务器配置的动态IP地址,可以阻止通过IP地址欺骗和克隆对无线网的非法访问。使用入侵检测工具定期扫描搜索发现非法用户。

3.5 加强无线网络用户的计算机安全管理

用户端要做到安装个人防火墙和杀毒软件,并及时进行更新;注意口令或密码地安全使用;对于无线通信要经常更换WEP密钥等安全措施。

3.6 设置严密的用户口令及认证措施,防止非法用户入侵

在无线网的站点上使用口令控制—当然没必要局限于无线网,诸如Novell NetWare和MicrosoftNT等网络操作系统和服务器都提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常予以变更。由于无线局域网的用户包括移动用户,而移动用户倾向于把他们的笔记本电脑移来移去,因此,严格的口令策略等于增加了一个安全级别,它有助于确认网站是否正被合法的用户使用。

3.7 设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容

假如单位的数据要求有极高的安全性,那么单位可能需要采取一些特殊的措施。最后也是最高级别的安全措施就是在网络上整体使用加密产品。数据包中的数据在发送到局域网之前要用软件或硬件的方法进行加密,只有那些拥有正确密钥的站点才可以恢复、读取这些数据。如果需要全面的安全保障,加密是最好的方法,一些网络操作系统具有加密能力,基于每个用户或服务器、价位较低的第三方加密产品也可以胜任,并可为用户提供最好的性能、质量服务和技术支持。

3.8 充分利用WLAN本身提供的安全特性进行安全保障

比如对于AP可以做以下工作:一是更改缺省的口令。一般设备出厂时的口令都非常简单,必须要更改。二是采用加密手段。尽管WEP(Wired Equivalent Privacy加密技术)已经被证明是比较脆弱的,但是采用加密方式比明文传播还是要安全一些。三是采用MAC地址的方式对客户端进行验证。在没有实施更加强壮的身份验证措施之前,这种防范措施还是必要的。四是更改SSID(Service Set Identifier服务集标识),并且配置AP不广播SSID。五是更改SNMP设置。这种防范措施是和有线网络设备相同的。

4 结语

由于无线局域网本身存在安全方面的弱点和应用环境的多样性,致使处理和解决它的安全问题非常困难。因此,要保证高校无线局域网的相对安全性,就必须从多层次、多方位综合考虑,灵活实施多种安全措施,建立多元化的整合联动的防护机制。随着无线网络在人们实际需求中的价值体现,无线局域网安全也会不断改善和升级,对于无线局域网安全防护技术的研究也将成为当前信息安全领域内的主要课题。

摘要：对校园无线局域网的安全缺陷进行了综述,阐述了由于安全缺陷所导致的各种网络安全问题,提出了各种可行而且必要的安全策略,从而保证校园无线局域网的安全正常的运行。

关键词：无线局域网,网络安全,安全缺陷,安全策略

参考文献

[1]李怡翔,等.无线局域网技术.通信世界,1999,(4):29～31.

[2]Golic.Linear Statistical Weakness of Alleged RC4 KeystreamGenerator.IN EUROCRYPT.Advances in Cryptology:Proceed-ings of EUROCRYPT,1997.

[3]徐敏,罗汉文.无线局域网安全问题研究.通信技术,2002,(7):25-27.

[4]吴越,曹秀英,胡爱群,毕光国.无线局域网安全技术研究.电信科学,2002,(6):19～23.

[5]崔玉文.无线局域网安全问题的研究.哈尔滨学院学报,2002,(6):23～25.

[6]白君芬.高校无线局域网安全研究.陇东学院学报,2009,(5):22-25.

校园局域网的安全 篇2

关键词:校园局域网;信息安全;病毒

采用lnternet技术建立的校园内联网络,往往会因为管理的不完善、人为破坏、技术漏洞、病毒爆发等因素导致校园网的崩溃。防范诸多事故的发生,需要网络、技术、师生等诸多方面协同合作,本文就对此进行探讨。

一、校园网的特点

校园网是在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。近年来,我国校园网建设发展迅速,基本上各个高校已经完成了校园网的覆盖,部分中小学也已经开通了校园网。校园网为我国各学校内部实现教育的资源共享、信息交流和协同工作提供了较好的服务。

1.校园网首先是教育网络,教育功能是校园网的一个重要组成部分。校园网是在一定教育思想和理论的指导下,为学校教育服务,提供新型教育模式的教育专用网络。指导校园网建设的教育思想和理论包括:教育观念、管理理论、教学理论和学习理论等。服务于教学、科研、管理的应用是构建校园网的出发点和归宿。

2.校园网包含大量教育隐秘资料,网络安全至关重要。校园网具有大量的教育信息和基础数据,以及基于校园网的网络行政办公管理信息系统(学生管理、学籍管理、档案管理、人事管理、固定资产管理和财务管理等)、图书管理系统和一卡通系统。这些都涉及学校的管理、决策、人员信息等内容,信息安全至关重要,一旦发生泄密,对学校的影响十分巨大。

3.校园网同时也是互联网的组成部分,校际校园网的互通是发展趋势。它可以是几个校园网的互连,也可以扩大到一个城市,甚至可以跨越省际。这就要求校园网要有强大的数据传输能力,同时还要具备强大的技术后台,为校园网信息安全提供保障。

二、校园网信息安全的几点建议

校园网安全隐患大多来自于管理的不完善、人为破坏、技术漏洞、病毒爆发等方面。笔者就这几方面分别进行分析。

1.管理。校园网的管理包括:网络规划与布局、入网审批、学校主页页面设计、信息上网技术服务、信息安全及保密的技术管理、组织项目施工、网络维护等。在网络建设初期,做好规划与布局,严格入网审批,加强学校主页页面设计安全标准,强化信息上网技术服务与跟踪服务,要有专人负责信息安全及保密的技术管理,做好网络的日常软硬件维护。

2.人为破坏。校园网内部人员或网管人员的安全意识也会影响网络事件突发,如服务器密码不及时更新,泄密,内网中使用监测软件等。应加强网管人员安全意识,加强网络管理,建立应急机制来应对以上原因导致的校园网瘫痪。①成立应急小组。发现问题后,第一时间召集网络应急机制小组成员开会。②分析故障原因及解决网络故障。如果是政治类突发事件,应及时删除信息内容,有效封堵反动和不良信息,并按时向校领导和上级部门报送信息情况,预防和防范到位,保证发现情况及时处理;如果是硬件故障类突发事件,应及时检测出故障源,断开网络连接,重新安装系统及升级、打补丁、安装防病毒软件及配置好防火墙等。③做好善后的预防工作。

3.系统漏洞。学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”,大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。校园网络管理员可以通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网络管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作。合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统。

4.病毒。校园网中的计算机数量较多,使用者的防毒水平参差不齐,病毒防范成为校园网日常管理中的一项非常重要的内容。因此,防范计算机病毒要做好以下几方面的工作:选择适用的防病毒软件、及时安装各种补丁程序、采取必须的安全措施、规范电子信箱的使用、做好各种应急准备工作、隔离被感染的计算机。

浅谈校园局域网的安全策略 篇3

1 局域网与校园网

局域网 (Local Area Network, LAN) , 通常是指在局部一定的地理范围内, 将各种计算机及其外设等联接起来, 组成的相对封闭型的计算机通信网, 也可通过专门数据线路与其他局域网、数据库或处理中心相连接, 构成一个较大范围的信息处理系统。以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。校园网是局域网的一种, 是专门在学校内部架设的一种为学校师生提供教学、科研、管理、信息应用等为一体的综合性网络。

2 校园局域网安全及表现

随着网络技术的不断成熟和在各行业的应用日益广泛, 包括局域网在内的各种计算机网络的安全问题也面临更加复杂的形势, 紧迫性尤为突出。目前, 大多数有条件的学校已完成了校园网硬件工程建设。但在校园网的安全运行方面依然存在一定的问题。建立完善的网络安全方案、保护核心资源, 防范校园局域网安全迫在眉睫。

近年来, 全球受到黑客攻击的计算机网站及网络越来越多, 频率增加, 影响加大, 负作用也更加突出, 也使得人们对对信息安全问题更加关注。

总的来说, 影响校园局域网安全的因素有很多, 但归纳起来, 通常有以下几种表现:

一是操作失误, 主要是操作人员的一些无意行为导致对网络安全的破坏;二是病毒感染, 通过代理服务器或者外设带来的病毒, 对计算机或者校园网系统的破坏;三是外部攻击, 指来自局域网以外的通过专用线路的恶意攻击, 包括破坏网络数据、窃取机密信息等;四是系统漏洞, 主要包括系统在设计时可能有一些的“后门”, 可能是有意或者无意产生的, 但往往是黑客攻击的薄弱部位;五是信息安全, 包括网上不良信息监控泛滥或者隐私及机密资料泄密等。

3 校园局域网安全策略

校园局域网在网络安全方面应从整体防范方面加以考虑, 并针对所存在的风险制定相应的策略。

3.1 外部网络传输控制层

(1) 虚拟专网 (VPN) :指依靠ISP和其他NSP (网络服务提供者) 在公用网络 (如Internet、Frame Relay、ATM) 建立专用的数据通信网络的技术。VPN通过建立一个隧道, 利用加密技术对传输数据进行加密, 以保证数据的私有和安全性。

(2) 身份认证:身份认证是在计算机网络中确认操作者身份的过程。身份认证可分为用户与主机间的认证和主机与主机之间的认证, 用户与主机之间的认证可以基于如下一个或几个因素:用户所知道的东西, 例如口令、密码等;用户拥有的东西, 例如印章、智能卡 (如信用卡等) ;用户所具有的生物特征, 例如指纹、声音、视网膜、签字、笔迹等。对于拨号进入校园网的用户可结合实际情况进行认证, 以防止非法入侵。

(3) 加密技术:在外部网络的数据传输过程中, 利用技术手段把重要的数据变为乱码 (加密) 传送, 到达目的地后再用相同或不同的手段还原 (解密) 。

(4) 物理隔离:是指内部网不得直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。

3.2 内外网间访问控制层

(1) 防火墙:指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

(2) 防毒网关:指根据系统特性, 采取相应的系统安全措施预防病毒侵入计算机。对校园局域网络而言, 能够向网络管理员发送关于病毒入侵的信息, 记录病毒入侵的工作站, 必要时还能够注销工作站, 隔离病毒源, 以防止对网络的破坏。

(3) 网络地址转换技术:NAT属接入广域网 (WAN) 技术, 是一种将私有 (保留) 地址转化为公有 (合法) IP地址的转换技术, 广泛用于各种网络中。不仅解决了lP地址不足, 还隐藏并保护网络内部的计算机。

(4) 代理服务及路由器:代理服务是运行在防火墙主机上的专门的应用程序, 或者称服务程序。校园网在访问时, 通过代理服务器及路由器访问, 相当于有一个中介保护。这样, 校园局域网与外部网络就不是直接进行访问, 由此起到了隔离防护作用。

(5) 安全扫描及入侵检测:即通过运行相关程序进行安全扫描和检测, 并进行告警预示。

3.3 校园网内部访问控制层

(1) 用户认证:通过口令, 帐号、密码、智能卡等加密手段对用户进行验证, 同时, 也可以将用户与固定计算机结合起来, 进行认证和管理。

(2) 权限控制:将校园网的用户和用户组赋予一定的权限控制, 明确可以访问哪些目录及资源等, 在权限上加强安全管理。

(3) 加密技术:对校园网上重要节点或外设安装加密机, 对传输的内容进行加密, 以保证网上机密信息安全, 防止数据泄密。

(4) 客户端安全防护和检测:使用安全检测和扫描软件进行检测和分析, 查找漏洞并加以修复。

3.4 操作系统层

对网络而言, 操作系统是基础, 是基本程序, 也是系统安全的基础。对校园局域网而言, 通常可以采用安全性较高的系统、加密技术、病毒的防范、安全扫描、入侵检测等办法加以处理和解决。

3.5 数据存储层

数据的存储已经成为了人们日常生活与工作中必须要做的一项任务。随着人们对数据的依赖程度越来越严重, 数据存储安全日益凸显其重要地位。

(1) 确定问题所在:对所有部署的安全措施和设备进行广泛的审核, 包括软硬件的安全性、操作人员的权限及对文件访问的权限, 并通过积极测试存储环境的安全性, 从而找出可能存在的问题所在。比如, 通过管理员查看网络访问日志、防火墙设置等, 以此来了解所有可能的不安全事件的发生, 并积极进行应对和处置。

(2) 监测活动:包括24小时不间断地对用户行为进行监测, 但是, 检测存储环境比检测整个网络要更加现实。其中, 日志因其详细记录的系统的访问操作情况, 因为如果发生了不安全事件, 日志都有记录, 并可以用作后续调查的依据, 因此认为是重要的判断资源。对管理员来说, 加强对日志分析, 能够帮助管理员更好地了解资源及事件发生的基本信息, 以后更主动地做好资源的管理。

(3) 访问控制:访问控制是数据安全防护的重要手段, 对重要数据的访问, 要加强授权, 只允许有权限的用户访问和使用。

(4) 维护信息:为保护信息安全, 通常不许可用普通的可移动存储设备来保存和转移数据, 比如移动硬盘、U盘、DVD等, 存储了信息后, 可能会因为丢失而使数据的安全性受到威胁。因此, 除非情况特别, 也需要使用有加密技术在移动存储设备上存储数据。

(5) 需要知道和需要使用:要不断建立健全网络管理规定, 在校园网启用过程中, 通过不断制定技术政策, 根据明确的政策来使用设备。比如, 当有人员发生变动时, 就可能发生数据丢失或者数据安全受到威胁的情况。作为管理部门, 要注意加强这方面的防范。

(6) 数据处理政策:实施严格的安全政策, 包括数据是如何处理的、如何访问和转移等。单靠技术本身是不足以保护公司数据的。强有力的可执行的安全政策, 以及员工和管理层对安全问题的认知, 将能够提高校园网数据的存储安全水平。

(7) 简单沟通:要通过简单的方法, 与使用者进行沟通, 使他们明白每一个操作的含义, 安全使用校园网的意义和重要性, 并明确知道安全事件发生的后果及责任, 从而注意使用中的安全。

(8) 使用人教育:使用人需要注意, 不应该将自己的密码写在粘贴在监视器的记事贴上, 他们需要了解共享密码就像共享自己家里的钥匙一样。需要告诉使用人不能在未经认证的情况下, 将任何信息透露给第三方, 他们需要对安全和最常见的威胁 (如电子邮件钓鱼和社会工程) 有基本的了解。另外, 使用人需要注意他们的行为正在被监视。

(9) 备份所有的东西:备份所有通信和数据, 定期检查备份以确保在网络崩溃的时候, 能够在短时间内获取所有信息。

(10) 人员管理:存储安全比使用各种安全技术保护数据更加重要, 这也是训练人事管理的机会。使用和创建数据的人是最大的安全威胁和最薄弱的安全环节。

4 结语

网络安全问题十分复杂, 建立适当的安全策略、采用适当的安全技术、选择适用的软硬件工具, 是信息安全的重要保证。然而, 单纯的防护技术可能会导致系统安全的盲目性, 这种盲目是对整个校园网系统的某个或某些方面的安全采取了安全措施而对其它方面有所忽视。因而, 在校园网安全上, 我们采用分层控制方案, 将整个网络分为外部网络传输控制层、内外网间访问控制层、校园网内部访问控制层、操作系统及应用软件层和数据存储层, 进而对各层的安全采取不同的技术措施。

摘要：本文在介绍局域网与校园网的基础上, 对校园网系统安全防范提出相应的对策。并指出, 校园网的安全策略, 应从整体层面进行考虑, 加强整体建设和防范。

关键词：局域网,安全策略,校园

参考文献

[1]韩鹏东.浅析中小学校园网建设[J].科技传播, 2010 (19)

[2]刘长琦, 贾树刚.网络成绩管理系统的设计与实现[J].辽宁师专学报 (自然科学版) , 2010 (2)

[3]谷鹏.中小学校园网应用探索[J].大连教育学院学报, 2010 (2)

浅谈校园局域网的日常管理与维护 篇4

一、校园网的应用

根据使用要求，校园网一般有四个方面的典型应用：

第一，校园网是为学生学习活动服务的。它是一种先进的学习工具，同时也是学习资源的提供者，有利于学生进行探索学习和协作学习。

第二，校园网必须要为教育教学及其研究活动服务。学校的目的是通过教学过程来培养人才，因此对教学过程提供直接支持应是校园网的基本功能。如获取最新教育信息，提供丰富的教学资源，辅助教师备课，参与课堂教学活动和支持教师再学习活动等。

第三，校园网必须能够支持学校的日常办公和管理。如辅助学校的人事管理、教育教学工作管理、财务管理、学籍档案管理等。

第四，校园网是沟通学校与外界的窗口。利用它既可以从校外获取各种信息，也可以向外发布各种信息，进行相互交流。

综上所述，我们可以认为校园网日常应用中就是学习、信息收集与发布，使用对象主要是学生和教师。

二、日常管理

1.学生管理

首先，在入学教育和各年级的开学第一周中都应加入有关校园网使用的相关知识，规则在前，这样后期的麻烦就会少一些。其次，根据网络特点，不定期地对有关新计算机病毒及前期工作漏洞问题的改进。最后，关于应用中的各种制度，要公示在局域网所在的环境中（制度上墙）。

2.教师管理

根据教师的应用习惯和使用范围做一些简单培训，这样在使用过程中将大大减少问题。如课件的下载、软件的安装与卸载，以免因误操作导致计算机系统崩溃。另外，可以将教师的一些常见问题罗列上墙，让大家即学即用，节约时间。

3.校园网硬件管理

一般硬件出问题的几率较小，但也要做到闲时检查、忙时用，对故障硬件及时处理、及时更换。对损耗品让使用者检查，管理者只负责登记处理即可。

4.软件管理

对于软件应该及时更新和升级，及时发现和修复漏洞。

三、日常维护

1.服务器和交换机的维护

要对硬件进行清洁，注意设备的散热，及时更新路由器固件。服务器可利用系统的网络安全功能设置相应安全级别。对于内部网络与Internet的连接，可采用软件IP防火墙技术分隔内外网络，防止数据在传输过程中发生丢失或遭到破坏。交换机则可以定时查看是否运转正常，线头是否松动。

2.机房的维护

机房的维护也是整个局域网中关键的一部分，因为机子数量大，使用频率高，使用者较为特殊。各种不当操作会导致机子系统损坏，恶作剧式的破坏也会让人防不胜防。我校目前没有硬件还原设备，用的是冰点还原加奇虎软网的GFRing3。另外，在大面积修复和升级系统时用的是传统的硬盘对拷，这样只需前期做好准备（可以把系统共用软件及补丁一次性在一个或几个原盘上做好），后期只需设置IP和个别软件（如网络教室的学生端或学生端频道设置及保护软件）。

3.教师用机及其他办公用机的维护

一是咨询教师常用软件，下载备份进行安装。确保教师的需求，同时也减小了教师自行下载软件造成的资源浪费。二是进行GHOST备份，快速解决系统故障，将常用软件及杀毒软件安装到D盘可以进行及时升级。对这部分，计算机因其用途和分布应统一规划，定期检测。这部分计算机的使用者都是教师，一般操作比学生熟练，访问的网站也较多，但出错也不少。由于是公用计算机，维护起来难度也大。一般我们也用冰点对系统盘进行保护，对于重装系统的计算机要求登记或让专人来做，否则会导致个人装机抢占IP，致使网络混乱，或不进行系统维护，使病毒成灾。对学校档案、教育教学和教师个人资料等，可采用定期刻录光盘的形式保存。这种方式可有效防止重要资料的突发性损坏和丢失，而且易于保管，成本低廉。

四、网络及数据安全

校园局域网的运行过程中，难免受到病毒与黑客的侵害，一机染毒，殃及全校，购买一套正版的病毒查杀软件（如kv3000或瑞星200X）和防火墙相当必要，并且在使用中要及时升级数据包为最新版本。由于校园网本身的开放性和复杂性，故其所有微机内的数据均面临不同的安全问题，稍有不慎，即有可能遭到破坏或丢失。管理人员应养成定期维护、备份数据的良好习惯。

校园局域网的组建 篇5

关键词：计算机网络,院校局域网,院校网络架构

随着现代信息技术、科学技术的逐渐发展,世界已进入了以计算机网络为核心的全新的信息时代。而作为科学技术领头人的教育行业,校园网已经成为教育行业进行科研和现代化管理的重要手段。目前,我国的高等院校校园网的应用大多都还不成熟,校园局域网络的建成是其跨进各研究性、高水平的高等院校的必然选择途径,学校网络系统是一个比较复杂的系统,它不仅为院校的建设、综合信息的整理和自动化办公等所有的应用提供了基础性的操作平台,同时也促进了教学研究人员之间的信息交流、资源间的共享和科研合作, 是院校教育和科研工作的最重要的基础设施之一。

1院校建筑现状分析

当前,大多说院校的建筑特点大都是距离较远,而且存在许多分校,在组建校园网的时候往往会增大成本,同时也要求校园网建设设备的性能必须较高,除此之外,校园网络中对于数据信息的危害和对网络设备的危害是校园网所面临的主要威胁。具体来说,危害网络安全的威胁主要有:非授权访问,即不正常使用或者越权使用网络设备及信息资源等;冒充合法用户,即通过各种非法手段获得合法用户的使用权限,从而占用用户各种应用资源;破坏数据的整体性,即采用不合法的手段来篡改、重发、删除用户的重要的个人信息,来干扰用户的正常使用,从而干扰正常运行的系统。此外,不合法的互联网的内容也成了对网络的另一大主要的威胁。

校园网建设的主要原则:

(1)实施原则:由于各所高校财政状况不同,我们要依据院校的不同需求,我们要根据不同院校的特点,采用不同的实施方法。

(2)系统建设原则:根据各院校的不同实际情况,选择适当的应用系统,充分发挥计算机网络的作用。

(3)先进性原则:当前计算机网络技术发展的非常迅速,设备更新更快,要把可扩展性和经济可行性结合在一起。因此,校园网的建设中应当采用比较先进的设备和技术,同时这些设备也要具有可扩张性,这样可以对将来出现的新技术进行兼容。

学校建筑分析图如图1所示。院校分为学生住宿区,教师住宿区,行政区,图书馆,教学区。其中行政区包括财务处、 人事处、教务处、招生就业处,图书馆包括学生阅览室、电子阅览室、网络中心、 借书室,教学区包括教学楼1号楼、教学楼2号楼。

2面向对象分析及可行性分析

在现代教育背景下只有应用校园网这一必要的基础设施,才能提高教学水平。全校的老师和学生需要的各种网络信息服务都可以通过校园网与互联网的连接来实现。现在大部分院校的局域网都具有以下几个方面功能:一是具备展示、宣传的功能,通过互联网的连接,创建一个院校网站和BBS,在网站上展示院校的精神风貌、学术氛围,同时大家可以在学校的网络上进行交流;二是满足院校科技研发与教学的需求,如通过建设教学的各种需求,通过建设教学资源共享平台,用来存储教师上课应用的课件、教学需要的期刊文献、在线考试题库和远程教学等; 三就是满足学校日常办公的需求。通过数据库技术来实现学籍管理、文件管理、成绩管理等。

2.1面向对象分析

面向对象分析属于局域网组建时常用的分析技术,在整个局域网生存周期内不断与时俱进。重点放在校园网的组建上。学校和开发者大都很关心局域网的需求。开发者更加关心局域网的内部逻辑结构。学校中用户只注重网络的外在表现。 在长期的局域网开发实践中,用户对网络的安全性、可靠性不断增强。因此,开发者要根据当前现状,采用Internet互联技术,满足学校中的各种需求。

2.2可行性分析

根据校园实际的应用所做的可行性分析如下:

用户需求分析:用户可方便地浏览和查询局域网上的各种学习资源,通过服务器、远程登录等来实现远程学习,除此外还可以为教务处提供学生教务信息的管理等。

环境分析:网络规划人员校园网组建时需要确定校园网的覆盖的范围、网络中心的位置、网络信息点的数量和位置。

实用及经济性:院校局域网的特点决定了校园网要有实用性和经济性。实用性便于校园网络的管理、维护,来减少网络运用的难度。需要使用性价比较高的网络技术和网络设备,以节约建设资金。

3院校网络的配置

校园网络配置如表1所示。

大型网络可分为核心层、分布层、接入层,每层都有其各自的特点。具有以下层次化设计优点:

可扩展性:在网络的模块化增长过程中不会遇到问题;

简单性:通过将网络划分为多个小单元来降低网络的复杂性,从而使得故障排除更加容易快捷。

设计的灵活性:升级网络中的最新技术都比较容易,且在升级过程中各个层次都不会产生重大影响,即不会对整个网络大环境造成影响。

可管理性:各个层次的结构化管理, 可以使设备的复杂性降低,更加利于管理。

4网络架构设计

从局域网安全管理角度考虑,我们在全网中采用IP地址+MAC地址信息的绑定形式,采用ACL列表,按照部门来划分虚拟局域网网段和相应的访问权限,保证学生机对教师办公机没有任何访问权限, 只能用来访问校内服务器;

IP分配:在固定的办公区域,通常采用静态的IP划分,在学生学习的区域或者有较大移动性的办公区可补采用动态的主机配置协议获得IP地址。

按照核心的架构形式,全网可采用单核心单引擎。且汇聚设备可采用双链路连接的核心设备,即如果它们中的一条链路出现问题时,所有数据都可转换到另外的一条链路上,从而保证校园网的畅通。

5结束语

校园光纤局域网的建设方案研究 篇6

(1) 光纤局域网简介。

光纤, 一般都是由石英 (Si O2) 拉制而成, 和传统介质利用电子信号来传输数据不同, 它是利用光脉部来传输信号。光纤通信具有传统传输介质不可比拟的特性, 概括地说, 有以下优点: (1) 带宽高、传输容量大; (2) 抗电磁干扰强; (3) 信号损耗低; (4) 传输距离长; (5) 线径细、重量轻。

(2) 光纤局域网在校园网中的优势。

建立校园光纤局域网适应时代发展的需要, 它可以优化学校整体管理进程, 实现自动化管理, 现代化管理, 提高学校的管理水平和工作质量。对学生而言, 校园光纤网络服务的建设可以有效培养学生发现问题、提出问题、探索问题的兴趣和能力, 使学生学会独立获得知识和更新知识的方法, 促进学生学习能力的发展。对教师而言, 光纤网络可以帮助教师完成提高学生综合素质、促进学生全面发展的重要任务, 便于教学和研究活动。

2.校园光纤局域网组建的设备材料

(1) 光纤。

根据允许传输模式的多少, 光纤可分为单模和多模2种, 一般情况下使用多模光纤进行信息传输。一根光缆可以包含有2芯、4芯、8芯等不同种类的光纤。计算机网络中仅需使用2根光纤来传递信息, 因此, 一般情况下使用2芯光纤进行信息传输。但保险起见, 一般使用4芯光缆, 2根作为备用光纤, 这样可避免由于一根不能工作而使整体不能工作的情况发生。

(2) 路由器。

LAN路由器是一个重要的设备, 发挥网络管理、管理疏通网络的作用, 还能实现重要设备的网络资源共享。路由器有一个静态IP, 动态IP和PPPOE网络配置模式, 这3个参数的配置也有所区别。连接路由器时, 首先设置IP地址, 子网掩码, 默认网关。不一样的路由器设置方法可能会有所不同, 在配置路由器时, 还要了解路由器的型号, 进而对路由器进行配置。

(3) 交换机。

交换机是一个计算机网络如校园网络, 使用数量最大的网络设备, 选择标准就是实用性和稳定性强, 在这2者满足的情况下可以适当扩充配置和功能。每个建筑一般接入层交换机, 采用每秒100Mbit/s的普通2层交换机就可以, 物廉价美, 完全满足需要。当然, 在网络中心需要安装一台3层交换机作为中心交换机, 其他各栋楼的接入层交换机都需要接入到中心交换机上。

(4) 光纤收发器。

光纤收发器, 也被称之为光电转换器、光纤转换器, 是一种短距离的双绞线, 电信号和光信号长距离互换的以太网传输媒体转换单元。使用范围必须在使用光纤来有效地扩展光纤传输距离的网络环境中, 因为这时以太网电缆已经无法全面覆盖了, 通常位于宽带城域网的接入层应用, 如宽带接入层应用的大都市区;在连接光纤最后一公里线路到城域网和更外层的网络上也有一定的作用。

(5) 协议转换器。

接口转换器, 工作在传输层或更高以上, 它促进通信网络中的主机采用不同的高层协议进行合作, 完成各种分布式应用程序。接口协议转换器通常使用ASIC芯片来完成, 可以转换以太网IEEE802.3协议和标准G.703 V.35数据接口协议的2M接口。

3.光纤局域网组建方案

(1) 光纤局域网的组建流程。

(1) 前期规划。校园网的形成之前, 首先对网络进行前期规划, 要确保校园网的需求, 如校园网的用户需要连接到哪种网络上, 什么网络需求等。所以应该首先确定校园网的需求, 选择网络解决方案, 购买设备, 然后得出网络预计规划的拓扑结构。

(2) 网络设备选择。对于网络设备的选择首先应考虑选择可以实际应用的, 其次应该是稳定的、经济的和易于维护的。比如常见的HUB, 粗电缆收发器, 转动粗光纤收发器, 中继器, 双绞线接口传输细电缆, 光纤尾线, 还有选择性能高、成本低, 容易采购台湾网络D-Link系列设备。

(3) 布线。在光缆的两端预留一定长度, 以防以后位置发生变化。把光纤的预留部分绕成一个圈。在光纤的拐弯处, 一般应弯成大于0.5米直径的圆弧, 防止内部的光纤断裂。整个光纤应悬挂在下面的绳子或地下管道, 避免直接受到拉力。

(4) 局域网的互联。进行局域网的互联首先要计算网络中计算机之间的物理距离, 选择有一定深度的光缆线路, 在电缆的表面设置警示标志。以防万一, 在光纤两端利用光纤熔断机各做2对接头, 其中1对作为备用。2个光纤收发器放在网络两端, 在光纤收发器中放入光纤接头, 利用直通电缆将光纤收发器连接到各自网内的交换机或集线器上。通过这些步骤就能通过光纤从物理上将2个局域网连在一起。一般情况下, 采用TCP/IP协议。

(5) 系统测试。网络和系统测试是在每个站点系统安装完成后必须要进行的步骤, 以确保正常使用。从顶部拓扑图到底部进行一段段的测试, 包括静态测试、线路的损耗测试、环路的电阻值测试、正常上网的测试。

(6) 系统维护。在系统维护过程中故障率比较低, 因为实现的是局域网的互联, 属点对点的互联, 很多情况下网络出现故障原因一般只是软件故障, 可能是操作系统和协议方面的问题, 比较常见的问题如与广域网络连接断开。当有一个网络出现故障时, 首先要确保自己的一段没有出错, 可以重新启动路由器, 并用ping命令测试网络连通性检查路由器状态和参数。可按照本地服务器、本地光端、远方光端、远方服务器, 这些段点进行一个个查找和排除, 同时可以利用光端室配合扯断、自环光纤、协议转换器进行检查。

(2) 适合校园的光纤局域网组建方案。

学校占地面积19.6125万平方米, 总建筑面积12.9728万平方米, 生均建筑面积27.3平方米。校园网基础建设、外部网络状况:学校接入互联网主要采用电信光纤200兆, 以及无锡市教育城域网100兆, 共计带宽300兆;校内情况:校内网络采用千兆主干、百兆到桌面方式;学生寝室:宿舍网络全部采用百兆到桌面方式, 如图1所示。

楼宇布线系统———各建筑物如办公楼内部, 利用室内光纤进行垂直子系统的传输, 采用AVAYA超五类双绞线作为传输介质进行水平子系统的传输。

(1) 校园主干网方案。采用AVAYA室外多模4芯多模光纤作为主干网子系统的传输介质, 以达到防干扰, 抗老化, 并且尽可能减少传输距离和经济开销。采用AVAYA公司的产品作为接插件、安装工具。在学校网络系统主干光纤网的设计中, 主要考虑建筑群的特点及各建筑的功能实现。因为不同的建筑有不同的职能, 如学生公寓可以远离中心, 而教学楼需要处于学校网络的中心。

(2) 接入网方案。学校网络布线工程计划设置300个数据信息点。其中主要分布在教学楼共需180个点、学生公寓共120个点。

开放式布线系统NETCONNECTOpen Cabling Systems是美国AVAYA公司的高科技产品结果, 它设计研发出了最高端的布线方式, 颠覆了传统布线的方法, 为现代化大厦的设计提供了非常稳定和切合实际的线路方案, 促进智慧型楼宇的创新。在局域网布线子系统中, 选用的是AVAYA布线产品。数据传输介质采用优质并且物廉价美的AMP超五类双绞线;接插件均采用积木式标准器件与材料, 整个布线系统的管理采用两级双点管理, 双交连的方式。

摘要：随着计算机、通信和多媒体技术的快速发展, 校园教育和管理对校园网络的应用有许多进一步的要求。光纤局域网可以更好地适应未来校园综合数字网络的需求, 保证了信息的传递和速度。文章介绍了光纤局域网在校园的优势, 然后围绕如何制定一套适合校园的实用光纤方案, 对光纤局域网组建所需要的设备材料、组建的过程进行了探讨。

关键词：光纤局域网,组建方案,校园网

参考文献

[1]叶卓栋.光纤局域网的建立及应用分析[J].中国新技术新产品, 2011 (14) .

[2]张建.光纤局域网的组建及其应用技术分析[J].金田 (励志) , 2012 (10) .

[3]陈晓桢.光纤局域网的组建与应用技术[J].中国有线电视, 2010 (2) .

[4]谢希仁.计算机网络[M].2版.北京:电子工业出版社, 2001.

浅谈校园局域网ARP病毒的防治 篇7

一、ARP病毒的欺骗原理

ARP欺骗病毒不仅影响学校局域网内计算机的正常运行, 而且可以造成诸多假象, 影响学校工作的效率, 甚至可能造成有关重要资料的丢失。那么, ARP病毒的欺骗究竟是怎么实现的呢?首先解释一下ARP, ARP (Address Resolution Protocol, 地址解析协议) 是一个位于TCP/IP协议栈中的低层协议, 负责将某个IP地址解析成为对应的MAC地址 (即硬件地址) 。在局域网中, 两台主机之间要进行相互通信, 首先需要由A主机向B主机发送出包含有IP地址的广播数据包 (即ARP请求) , 然后B主机再向A主机反馈发送回包含有自身IP地址和MAC地址的数据包, A主机在收到B主机反馈回的数据包以后才能与B主机建立连接, 实现数据通信。这一来一回就是我们通常所说的计算机通信过程中的身份核实。但是, 在实际操作中并不是每一次主机数据通信前都要如此。ARP缓存表的存在可以简化这个过程。ARP缓存表存在于安装了TCP/IP协议的校园局域网设备之中, 它保存了网中曾经与本机通信过的其他主机的IP地址和MAC地址。若再次发生数据通信时, 本机会首先查找ARP缓存表, 假如目标存在于缓存表内, 主机则按照表内相对应的MAC地址发送数据包。

从表面上看, 局域网内的数据通信过程完美无漏洞。但是, 以上通信过程必须是建立在对局域网内所有计算机全部信任的基础之上。也就是说它的假设前提是:无论局域网中的哪台计算机, 其所发送的ARP数据包都是正确的。但在实际上, 局域网内并非所有的计算机都能安分守己, 往往会有非法者的存在。在实际操作中, 由于局域网的拓扑结构一般都为总线型, 也就是说当A主机发送广播数据包时, 除了B主机以外, 局域网内的其他主机也会同时收到此数据包, 只不过其他主机对该数据包没有作出回应而已。但如果第三台主机C主动在B主机向A主机发回数据包之前, 抢先发回了数据包。由于协议中并没有规定ARP缓存表对接收到的ARP数据包的正确与否进行审查, 这时A主机ARP缓存表中B主机的IP、MAC地址就被C主机的地址所假冒。故而导致A主机的数据包发向了C主机, 而B主机却没有接收到数据情况。ARP病毒的欺骗由此而来。

从欺骗的对象来分类, ARP病毒欺骗有两种:一种是对路由器ARP表的欺骗;另一种是对内网PC的网关的欺骗。第一种ARP病毒欺骗的原理——截获网关数据。非法者通知路由器一系列错误的内网MAC地址 (这些地址往往是无效的) , 并且按照一定的频率不断地进行, 使其他主机真实的地址信息无法通过更新, 保存在路由器之中, 其结果致使路由器的所有数据只能发送给错误的MAC地址, 造成其他正常PC无法收到信息, 严重干扰校园局域网的正常工作。第二种ARP病毒欺骗原理——伪造网关。它的原理就是建立假网关, 让被它所欺骗的PC向假网关发送数据, 而不是通过正常的路由器途径上网。在正常的PC上看来, 就是上不了网, 或者发生网络掉线的现象。ARP病毒欺骗的危害在于, 攻击者可以控制局域网主机的网络数据流向, 它不仅可以阻止其他用户上网, 造成局域网的瘫痪, 而且还可以修改网关所回传的数据, 插入恶意代码。这就是在校园局域网主机上打开的任何网页都包含木马和病毒程序, 而家庭计算机打开相同网页却没有任何病毒现象的原因所在。

二、校园局域网ARP病毒的防治办法

关于学校校园局域网中ARP病毒的防治办法, 仍要从修补软件漏洞、加强安全防护和教育计算机操作者养成良好的上网习惯入手。为此, 笔者建议安装《ARP防火墙》或在《360安全卫士》中开启“局域网ARP防火墙”功能。同时在安装《ARP防火墙》后注意手动设置网关的IP、MAC地址, 用以确保网关的真实可靠性, 防止网关信息被篡改。

对于已经中毒的局域网, ARP病毒的防治可采取以下步骤:

(一) 确切定位中毒主机。确切地查找到病毒源是做好防治工作的第一步。假如局域网内有的主机安装了ARP防火墙, 当防火墙拦截到本机以外的ARP病毒攻击时, 即会自动弹出“对外ARP攻击”页面, 点击进入后, 就会显示出发动ARP病毒攻击的其他主机的MAC地址。然后通过对局域网内所有主机MAC地址的详细查找与对应, 找出染毒的主机, 将其从局域网内断开, 再行杀毒。如果整个局域网内没有一台主机安装有ARP防火墙, 也可以使用arp-a命令, 查找出毒源。其方法就是任选两台不能上网的主机, 在DOS命令窗口下运行arp-a命令。对照两台主机的结果, 假如两台主机除了网关的IP、MAC地址对应项, 还同时包含了相同的IP地址, 即可以确切判定这个IP地址就是病毒源。因为一般情况下, 局域网内的主机只和网关通信。在正常情况下, 一台主机的ARP缓存表中只有网关的MAC地址, 如一台主机既不是网关又不是服务器, 但又与所选主机最近有通信发生, 通信期间又出现ARP欺骗现象的话, 基本上可以断定它就是毒源。

(二) 删除病毒。可以安装ARP病毒专杀工具来轻松解决。其下载地址如下:http://www.newhua.com/soft/13159.htm金山ARP防火墙http://www.newhua.com/soft/47509.htm 360ARP防火墙http://dl.360safe.com/kill_arp.exe 360arp专杀工具。基本上各大专业杀毒软件公司都有推出相关的专杀工具。

目前ARP病毒已经使不少高校的校园局域网受到了严重损害。因此从局域网主机收到ARP欺骗攻击到查找出中毒主机并清除病毒, 都需要网络管理员及时地发现、及时地处理, 故对于高校校园局域网ARP病毒的防治, 网络管理员发挥着主动防御的功能。而局域网内的一般用户也应该随时采取防护措施, 积极配合网管, 自觉地进行病毒的查杀。只有这样, 才能从根本上保证校园局域网络的安全运行。

摘要：本文通过对ARP病毒在校园局域网上传播的途径和破坏方式的剖析, 提出与之相对应的防治方法。

关键词：局域网,ARP病毒

参考文献

[1]《电脑报》2007年43期《让局域网网络彻底瘫痪的ARP欺骗》;

基于局域网的校园节能控电系统 篇8

关键词：双层网络,控制,节能型校园

随着我国经济的发展, 各部门对能源的需求越来越大, 而能源价格也在不断的上涨。但是用电的占据了很大一部分的电能消耗。尤其是照明时间较长、照明场所较多的机构, 比如高等学校。因此, 有必要在保证照明质量的前提下, 实施校园节能控电措施, 这不仅可以节约能源, 而且也会产生明显的经济效益。基于此, 本文设计了一种校园节能控电装置, 适用于教室、图书馆阅览室等大面积室内场所和室外广场或道路的照明控制, 可以有效地对照明灯具进行节能控制。

通讯网络的构架及其实现是校园节能控电系统的重要组成部分之一。网络技术的选用对整个系统网络建设的成功与否起着决定性的作用。合适的网络不但能够保证整个网络的高性能, 还能保证整个网络的先进性及设备端口、网络结构和网络协议的扩展性, 同时还具有较优的性能价格比。

1 网络结构的确定

总线形局域网已经广泛应用于分散终端集中控制领域, 并且日益发展成为一种成熟的应用技术, 被誉为自动化控制领域的计算机局域网[1]。在总线形拓扑中, 传输介质是一条总线, 网络内的所有分布式网络终端都可通过相应的硬件接口接至总线上。因此安装费用低, 扩展和维护都很方便, 某个网络终端的故障不会影响总线上的其它终端通信, 可靠性高;只要正确解决对总线的介质访问, 所有网络终端之间可实现点对点通信, 网络延迟小, 而且方便实现广播通信。通过总线形网络, 分散的网络终端可以很方便地共享控制信息, 同时用户还可以实时查询分散网络终端的运行状态, 从而可以更好的对其进行实时控制。

2 网络系统方案的选择

智能监控网络主要由基于RS232C总线通讯、基于RS485总线通讯和基于CAN总线的通讯几种方式。以下将分别介绍和比较RS232C、RS485及CAN总线在网络中的应用。

2.1 RS232C串行总线接口

RS232C是美国电子工业协会EIA (Electronic Industry Association) 与BELL等公司一起于1962年制定并于1969年最后一次修订而成的一种串行总线的物理接口标准, 此标准规定了串行传输中, 主控模板与从属模块间的连接电缆和机械特性、电气特性、信号功能及传送过程, 两端都必须遵循的共同约定。

RS232C的标准总线为25线, 不过在实际应用中RS232C的25条引线中有许多是很少使用的, 在计算机与终端通讯中一般只使用3~9条引线。RS232C中常用的信号线只有9条。计算机一般使用的都是9芯插座异步通信的连接器[2]。RS232C标准功能如图:

由上图可见, RS232C标准有两个地。一个是保护地PG, 它直接连到系统的屏蔽罩上, 如果保护地连在一起是安全的场合, 那么两个设备的保护地才能连到一起。另一个是信号地GND, 对所有其他信号提供一个公共参考点。由于信号地不一定与保护地绝缘, 因此信号地必须连接起来, 这是RS232C存在的一个固有潜在接地回路的问题。此外, 由于RS232C接口标准的发送器和接收器之间有公共信号地, 不可能使用两端信号, 从而导致共模噪声会固有的耦合到信号传输系统中。传输距离越长, 干扰就越严重。因此, 为了可靠的传输信息, 不得不增大电压摆幅。可见, RS232C标准对短距离通讯是很有用的, 但对长距离通讯不可靠, 并会带来严重的后果。而且RS232C是数据设备以相对较慢的数据速率 (20Kbs) 在较短的距离内 (典型值为15m) 进行单端数据传输定制的。因此目前在智能控制系统网络的应用中趋于淘汰。

2.2 RS485标准

在智能教室底层网络中, 为了减少系统由于布线带来的成本, 采用基于电力线载波布线, 这样信号和强电在同一根线上传输, 传输过程中不可避免地存在强电场的干扰, 信号的可靠性受到影响, 而且随着传输距离的增大, 信号的衰减较快, 我们已知RS232C总线存在可靠性、速率和传输距离等因素, 所以一般不予采纳RS232C总线。基于RS485的教室控制系统是较为理想的一种远程控制系统, 该总线网络技术成熟, 结构简单, 可靠性高, 良好的抗噪声干扰性、长的传输距离和多站能力等优点, 它采用主从式的通信方式, 任何时候只允许一个节点向网络发送数据, 所以RS485采用的主从结构命令型通信方式可以防止数据通讯故障, 数据通信时必须由主节点接收到管理主机的命令, 然后由主节点向各个从节点传达命令, 从节点的数据依次送到主节点, 最后再由主节点将各从节点的数据发送至管理主机。

但是, RS485只规定了平衡驱动器和接收器的电特性而没有规定接插件传输电缆和应用层通信协议, 使用时存在总线效率低、系统的实时性差、通讯的可靠性低、后期维护成本高、网络工程调试复杂、传输距离不理想、单总线可挂接的节点少、应用不灵活等缺点, 同时数据的容错没有考虑, 其容错和应用层的协议完全依赖软件的支持, 这就增加了系统通讯软件的负担。RS485总线多采用单主机的工作方式[3], 若令其工作在多主机方式, 则其通讯的可靠性与通讯网络的负荷量成反比。特别是当系统节点工作在多种通讯模式下时, 通讯的失误率与重发率将随着网络负荷量的增长而成倍增长, 如果主节点出现故障, 则整个系统会陷入瘫痪状态。此外, RS485收发器件中收发缓冲区比较小, 这也不利于由它构成的网络长期处于长子串或连续的收发状态。不过, 由于RS485具有相当高噪声抑制、相对高的传输速率、传输距离较远和宽共模范围的通信平台, 因此在小系统网络中有着广泛的应用。

2.3 CAN总线

基于RS232C和RS485总线技术的缺陷, 采用现场总线技术构成数字化、开放式、多点通讯的底层网络成为现代教室智能化系统的一种趋势。而面对种类繁多的现场总线, 如何选择一种技术先进, 有发展前途, 将来不会被迅速淘汰, 同时也能达到我们的设计要求并且价格适中的总线呢?经过参阅大量国内外资料, 发现CAN总线拥有很多其他总线所没有的优点, 我们最后决定采用CAN总线技术来实现楼层控制器与主控上位机的网络模型。

CAN属于总线式串行通讯网络[4], 由于采用了许多新技术及独特的设计, CAN总线与一般的通信总线相比, 它的数据通信具有突出的可靠性、实时性和灵活性。CAN总线突出的优越性主要表现为:CAN网络上的节点不分主从, 任一节点均可在任意时刻主动地向网络上其他节点发送信息, 通信方式灵活, 利用这一特点, 可方便地构成多机备份系统。CAN采用非破坏性总线仲裁技术, 当多个节点同时向总线发送信息时, 优先级别低的节点会主动地停止发送数据, 而最高优先级的节点可不受影响地继续传输数据, 从而有效地避免了总线冲突, 使信息和时间均无损失;CAN节点只需通过对报文的标识符滤波即可实现点对点, 一点对多点及全局广播等几种方式传送接收数据;CAN总线数据链路层协议的平等式通信方式, 即使主机出现故障, 系统其余部分仍然可运行;CAN总线较为宽松的电气特性, 使灵活的配置多种介质物理层成为可能, 也使CAN总线在这方面的应用范围更加广泛。此外, 开发系统廉价, 其单元节点百元的成本, 以及其相对较低的技术层次和技术难度, 决定了CAN总线必定会有广大的发展空间和发展前景。

2.4 CAN和RS485

针对它们各自的特点, 我们采用符合国际标准ISO11898的CAN总线技术和目前自动化装置常用的RS485总线构成双层网络结构, 这种网络结构有效地解决了系统的建设成本高、数据管理困难、可靠性不高以及扩展性能差等问题。

由于教室采集器的工作环境不算恶劣, 所以本系统下层网络采用RS485总线, 它具有结构简单、成本低廉、对布线要求不高的特点;而且RS485总线在9600bps下最远传输距离可以达到1200米, 完全能够完成一层教学楼中教室控制器与楼层控制器远程通讯的距离需求;再加上它们之间的通讯数据量小, 数据结构简单, 所以RS485总线能够可靠地完成下层数据采集的需要。上层网络采用兼容性能好、可靠性能高、数据传输速度快、传输距离远的CAN总线。CAN总线采用短帧结构, 传输时间短, 受干扰概率低;有CRC校验和出错标定能力;而且具有故障节点自动脱离CAN总线等功能, 特别适合数据交换频繁的楼层控制器与主控上位机之间的通信。经过实际工作证明, 本方案弥补了单独的RS485网络或CAN网络各自的缺点, 充分利用了两者的性能优势。其中RS485网络是完成教室控制器与楼层控制器之间的通讯, CAN网络则完成楼层控制器与主控上位机之间大量的数据交换。为了降低系统的设计成本, RS485与CAN皆采用价格低廉的双绞线连接。

3 结束语

该系统采用双层网络结构, 可以实现对校园用电的远程和自动控制。本系统的运用, 避免了“长明灯”现象, 减少了人为浪费, 降低了运行维护费用, 节约了管理成本, 适合现代化校园的节能控电系统。

参考文献

[1]Deveaux, M.J, Rahman, M.H.A study of integrated bus LAN protocals.Electrical and Computer Engineering, 1993.Canadian Conference, 1993.

[2]李学海.PIC单片机实用教程 (提高篇) [M].北京:北京航空航天大学出版社, 2002.

[3]陈夏清.应用于数据采集系统中的485总线与CAN总线比较[J].工业控制计算机, 2004 (5) :52-55.

无线局域网的安全性 篇9

关键词:无线局域网;无线接入点;数据加密

中图分类号:TP393.17文献标识码:A文章编号:1007-9599 (2010) 06-0000-02

Wireless LAN Security

Feng Jie

(Guangdong Metallurgical Technical School,Guang Zhou511430,China)

Summary:Wireless LAN as the most popular wireless technology in the world has been rapid promotion and popularization of their safety also will be more and more attention.Based on the wireless LAN security protocols and certification standards for analysis and improvement,proceed to improve the security of wireless local area network.

Keywords:Wireless LAN;Wireless access point;Data encryption

安全性对于无线局域网来说可谓老生常谈,自它诞生之日起,与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。据统计,不愿采用无线局域网的理由中,安全问题高居第一位,达40%以上。不可否认,它已成为阻碍WLAN进一步扩充市场的最大障碍。

为了加强无线局域网的安全性,无论IEEE工作组还是众厂商都尽了最大努力,制定并开发出各种技术来加强WLAN的安全性,经过这一年多的发展,无线局域网的加密技术也已不再限于“MAC地址过滤”、“WEP”等传统方式。各种基于802.11g标准的无线网络产品在安全性上均有很大的提高。

无线局域网的安全性定义包括三个方面,所有的保护/加密技术都是围绕这三方面来进行。首先是“数据的安全性定义”(Confidentiality),它意指无线局域网传输的信息不会被未经授权的用户获取,主要通过各种数据加密的方式来实现;其次是“数据的完整性定义”(integrity),指的是数据在传输的过程中不会被进行修改、删除等额外操作,主要通过数据校验技术来实现;最后是“数据来源的真实性定义”(Authenticity),它代表了数据来源的可靠性,也就是说合法用户的身份不会被非法用户所冒充。

一、无线局域网相关安全技术标准

(一)WiFi

WiFiWirelessFidelity,无线保真技术与蓝牙技术一样,同属于在办公室和家庭中使用的短距离无线技术。AP一般称为网络桥接器或接入点,它是当作传统的有线局域网络与无线局域网络之间的桥梁,因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源,其工作原理相当于一个内置无线发射器的HUB或者是路由,而无线网卡则是负责接收由AP所发射信号的CLIENT端设备。

(二)WAPI

WAPI(无线网络鉴别与保密基础结构)是我国首个在计算机宽带无线网络通信领域自主创新安全接入技术标准(属无线网络通信领域基础关键技术)。2009年10月,WAPI获国际标准组织ISO/IEC JTC1/SC6的提案邀请,将作为ISO/IEC独立标准重新进入国际标准流程——这标志着历经曲折的WAPI在国际标准道路上重获新生。作为该领域全球的两个标准之一,相比另一个由IEEE主导并公认存在严重安全缺陷的802.11i标准,WAPI具有明显的安全和技术优势,迄今未被发现有安全技术漏洞。

二、实际项目分析

(一)项目背景

新科技楼,办公区域较分散,某些区域不能实施布线。办公楼共9层,每层900平方,其中8楼为主办公区域,网络内有40台式计算机,20台笔记本计算机。但是工作要求在所有区域都能上网,同时,在科技楼的公共区域也要求能够提供无线接入。由于对网络灵活性的需求,使得无线网络成为构建网络的首选。

(二)网络需求

根据各部门对网络的不同需求,要求无线网络能提供以下的应用:共享上网、从简单的文件共享与打印共享、办公自动化,到复杂的电子商务等。由于网络内有大量Photoshop文档列印需求,有时还有网络视频应用,因而对网络质量和速率要求非常高,普通的802.11B网络的54Mbps传输速率无法满足实际需求,需要选用802.11G无线产品。

(三)网络设计与分析

在无线网的方案中全部选用友讯D-Link和普联TP-Link系列无线网络产品:增强型802.11N无线网络宽带路由器(无线宽带hub)、802.11N/G/B TP-Link无线网卡,802.11N D-Link系列无线网络接入点(无线AP)。其中增强型802.11N/G/B TP-LINK TL-WR1043N无线网络宽带路由器与802.11N/G/B TP-Link无线网卡搭配可提供高达300Mbps的传输速率,完全可满足笔记本计算机区域内移动无线高速上网的需求。台式机全部安装TP-LINK TL-WN821N+USB无线网卡,速率最高可达300Mbps,灵敏度高,输出功率64dbm,支持高达128-Bit的WEP数据加密。同时支持WPA/WPA-PSK、WPA2/WPA2-PSK安全机制。TP-LINK TL-WN821N内置全向智能天线,可适应不同的工作环境,使台式机或笔记本电脑用户方便地接入无线网络,同时支持无线漫游功能。另外还可以方便地与其它的802.11b、802.11g、802.11n无线设备连接。

无线网络宽带路由器TP-LINK TL-WR1043N为办公区域部署了增强型的无线安全网络,内建防火墙及NAT,能有效的阻挡来自Internet的安全性风险。基于硬件的128/254-Bit WEP传输加密,提供安全的数据通信能力。TP-LINK TL-WR1043N不仅针对单一AP设备提供基于WEB的管理方式,同时它还提供有AirPremier AP Manager多设备统一管理软件。通过该软件平台,管理员可以对网内AP实现集中管理,根据设备的运行情况直接进行设置维护,提高了管理和维护效率。

由于主要办公区域在8层,且3楼和6楼均建为有线网络,因而将ADSL Modem与无线路由器TP-LINK TL-WR1043N放置于8层,并通过有线方式连接。TP-LINK TL-WR1043N高达73dBm的输出功率可有效覆盖8层的全部商用无线网络环境。通过路由自动分配IP使得区域内的电脑无需设置即可实现随时随地互联、接入网络,可以不受场所或房间的限制进行连接以及共享文件、共享打印等。

无线局域网的安全系统要做到有效,就必须解决下面三个安全问题:

1.提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。

2.确保链路的保密与完好:防止未经授权的用户读取、引入或更动在网络上传输的数据。

3.防止阻断服务攻击:确保没有一个用户或一小批用户可占用某个接入点的所有可用带宽,阻断其他用户的正当接入。

当然,8楼的财务部安装有内部财务系统,属于公司的核心关键业务,不能采用无线网络,就会通过有线网络来运行,而不会采用无线网络。只要把有线网络和无线网络进行合理的分工,安全就不是一个问题了。

三、结束语

无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。无线局域网不是用来取代有线局域网,而是用来弥补有线局域网络之不足,以达到网络延伸之目的。目前,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用!

参考文献:

[1]谢希仁.计算机网络(第四版)[M].电子工业出版社,2007

[2]中国IT培训工程编委编.Win2000.网络管理员培训班[M].珠海:珠海出版社,2001

校园局域网的安全 篇10

1 校园局域网的组网技术方案设计

1.1 校园局域网的物理结构设计

建立一个校园局域网的初步设想是利用计算机网络技术,构建一个可以覆盖学生宿舍、教学楼、实验楼、活动会馆、图书馆、运动场、餐厅等校园内的所有地点的大型网络,为这些地方提供快速、安全、可靠的网络服务。网络的物理拓扑结构是校园局域网设计中的最重要部分之一,它直接影响着网络的运作效率和运行合理性。例如,总线拓扑物理结构通常应用在小范围的计算机数量不是很多的办公室内 ;星型拓扑物理结构则主要应用在办公楼的多个楼层、多个办公室的多台计算机的相互连接之间。另外,校园局域网的物理拓扑结构也在一定程度上,影响着网络的故障诊断技术以及网络构建的成本。拓扑结构自身带有的特点对于故障诊断和检测方面有着重要影响,例如,冗余设计可以有效的防止电缆发生断裂,从而有效的避免了可能发生的通信中断现象 ;若将网络中的各条电缆分开传输,则可以在网络的某一部分发生故障时,不至于由于拥有问题的电缆而产生影响整个网络结构全部瘫痪的现象。与此同时,物理结构是否简便、高效,对网络构建时所需要的相关材料的种类、数量、以及成本有着很大的影响。

因此,在本校园局域网的组网技术方案中,采用的物理拓扑结构是“总线——星形”相结合的结构,将两个物理结构的优点结合到一起。将各个终端、集线器与终端之间的电缆相互连通。

1.2 校园局域网结构设计中的网络节点

网络由若干节点和连接这些节点的链路组成,在校园局域的网结构设计中有无数个网络节点。其中,使用集线器从而将网络中的节点连接起来是本设计方案中的重点部分。集线器特指在计算机网络中,将所有的终端设备连接到一起的连接设备的总称。在这个设计方案中,通过对集线器的支持电缆的类型、每台集线器上连接的PC机的数目、以及集线器对于远程管理的控制和拓展的分别研究和讨论,对集线器进行了分析,从而选择适合的器械资源。

1.3 实现校园局域网的网络连接

校园局域网的网络连接主要由电缆构建,电缆又可以分为铜缆和光缆。其中,铜缆是使用最广泛的电缆类型,生活中常见的用于实际应用的铜缆是双绞线,主要应用的有两种类型,分别为有两对电缆的屏蔽双绞线和有四对电缆的非屏蔽双绞线。在本校园局域网的设计中,基于对系统的整体性、如何更紧密的将整个系统的各方面功能紧密结合起来、如何建立一个高速度、高效率、高拓展性、低成本的校园局域网的综合考虑,最终选择采用的是超五类非屏蔽双绞线,将双绞线安置在墙内,既可以有效的保护电缆不受其他外界因素的影响,又可以达到整洁美观的效果。与此同时,超五类非屏蔽双绞线的最高传输速率可以达到100M个单位,最大连接长度可以达到100米,在校园局域网中有着至关重要的作用。

2 校园局域网的入侵检测方法

2.1 异常检测、误用检测以及混合检测

异常检测、误用检测以及混合检测是基于检测方法的不同而分出的三种检测方法。异常检测是基于异常行为的入侵检测系统。异常检测系统检测的是在数据的传输和通信过程中发生的异常现象。通过“建立数学概率模型——定义异常行为——设计对应措施”的方法,在系统中检测同机器所定义的正常行为具有较大偏差的异常行为。但是由于异常检测受环境等外界因素的影响比较大,不能够快速的适应环境,导致其检测的准确性不高,甚至会出现虚报、误报的情况。

误用检测是基于误用行为的入侵检测系统,主要的监测对象是利用非标准手段对系统进行入侵和影响的行为。此种检测方法需要提前在检测系统中输入对于已知的入侵行为的描述,作为识别误用行为的依据。但想系统中输入的程序与系统中所保存的一种误用行为进行可以匹配,系统则会自动识别出误用行为的出现,并且将误用行为的警报发送至网络管理员的机器中,管理员再根据误用行为进行相应的处理。

混合检测是将以上两种检测方法有机的结合起来,因此,所检测的范围更加广泛。混合检测要求在作出决策之前,既要分析系统的正常行为,又要准确、及时的检测出任何可疑的入侵行为。

2.2 分布式入侵检测系统

在计算机网络技术的发展逐渐加快的今天,人们的生活水平与生活节奏也快来越高,越来越快,网络的数量以及每个网络中的数据传输数量和数据传输速率也逐渐增加。显然,传统的、单一的、集中式入侵检测系统已经逐渐不能够满足当今网络安全发展的需要。因此,在此校园局域网的设计方案中,根据综合性的考虑,选择采用的是先进的分布式入侵检测系统。在分布式入侵检测系统中,检测策略普遍统一通过控制台来定义并进行管理。控制台由中央控制台和分控制台两级组成,各个分控制台队分别对系统中的各个组成部分或者各个客户端进行实时的入侵检测控制。如有某一部分发生问题,分控制器则将入侵检测到的信息传送给中央控制器,再由中央控制器向上一级处理器进行反映。与此同时,各个客户端在实施策略的时候,也可以根据不同的情况和需要,从而对基于主机的入侵检测系统、基于网络的入侵检测系统、异常和误用检测、混合检测等等进行使用,也可以进行综合性的系统应用。

3 总结

计算机网络技术已经成为当今世界上最重要的技术之一,对社会的影响也越来越大。校园局域网的构建和应用在每个学校中,都是必不可少的交流与沟通的介质。校园局域网的发展也越来越迅速,越来越需要创新。本文根据现在的校园网络情况,提出了对校园局域网的组网技术方案,以及对于入侵检测的方法。

摘要：校园局域网是一种运用计算机网络技术,实现校园内部的直接和快速的交流和沟通,从而加强校园内部信息的公布和通知,提高各部门的资源共享程度的网络,实现了校园局域网与因特网的相互连接。本文通过对校园局域网的阐述,提出了关于校园局域网的组网技术方案以及入侵检测方法。